2014 보안 컨퍼런스에 다녀왔습니다.
다분히 상업적인 목적이 보이는 행사였으나, 보안을 위한 다방면의 노력이 있다는 점을 느끼는 기회였습니다.
Key point: 정적 분석, OWASP, 난독화, 시큐어 코딩
개요
주제: 해커로부터 애플리케이션의 안전을 지키는 올바른 해법은 무엇인가?
장소: 삼성동 코엑스 그랜드컨퍼런스룸 401호
시간: 2014.04.08 13:00~17:00
세션
1. OWASP의 모바일 보안 – 앤시큐어
Mobile app은 비신뢰환경 (루팅|탈옥)에서 동작함.
해킹, 리버스 엔지니어링을 통한 app에 대한 분석이 가능함.
OWASP top 10에도 근래 binary에 대한 보안 항목이 추가됨.
난독화는 필수이나, 충분 조건은 아님
Dendroid라는 해킹 service도 존재하며, 해킹 시도가 급증하고 있음.
App의 무결성을 위한 추가적인 장치가 필요함
2. 개발계 데이터 생성과 변환을 통한 데이터 유출 방지 방안 – 한국인포매티카
TDMS: Test Data Management System
데이터 접근에 대한 제어, 마스킹, 모니터링 그리고 임의 data 생성
3. 개발자 손끝에서 시작되는 시큐리티 – 이웨이파트너즈
정적 분석 tool
일반적으로 open source 1000라인 당 0.5개의 문제,
상용 solution에는 1000라인당 1개의 문제가 검출됨
대한민국에는 보안규약이 있으며, 이를 준수하는 경우 보안 이슈에 대한 면죄부로 활용…되기도 함
주기적으로 code를 검증하고, 이에 대한 report가 필요함
유사 solution으로는 Jenkins, Git, Jira 등이 있음
개발단계에서 선제적으로 문제를 해결하여 이후 Step에서 발생할 고비용의 후속조치를 방지하자.
4. 수익성 극대화를 위한 애플리케이션 보안과 라이센싱 실전 전략 – Safenet
Software 라이선스 제어 및 보안
Cloud환경, SaaS환경에서 라이선스 적용에 많은 비용이 필요함.
라이선스는 Device중심에서 User중심으로 옮겨가고 있음
(동일한 업무를 PC, Mobile, Tablet 등에서 수행할 수 있으므로)
VM Clone등에 대한 대비도 필요함
5. 실사례로 보는 시큐어코딩의 필요성 – 트리니티소프트
과거 모의해킹 등을 통해서 문제를 탐지하였으나, 진화하는 해킹시도에 대해 충분한 방법이 되지 못함
정적 분석을 통해서 XSS, SQL Injection, Error log노출 등의 문제를 탐지
Client가 제공하는 정보는 의심하라.
극단적인 예로, 해커가 위장취업하여 back door를 열어두는 경우를 탐지할 방법이 있는가?
6. Endpoint 보안 관리 대책 – 미디어랜드
그룹의 보안 solution.
Pre-admission에서 모든 환경 setting을 확인하여 실사용 전의 prerequisite를 확신할 수 있음
Terms
OWASP: Open Web Application Security Project
정적 분석: 원시 코드(source code)를 통해 문제를 파악하는 방법
'Programming > Etc' 카테고리의 다른 글
Azure seminar (0) | 2014.07.22 |
---|---|
악의 축 IE (0) | 2014.07.22 |
[TFS] ShelveSet (0) | 2014.07.22 |
JsonViewer (0) | 2014.07.22 |
AjaxMin (javascript minimizer) (0) | 2014.07.22 |