1

D2 CAMPUS PARTNERS 보안동아리 대상 세미나

2017/01/11

조상현 (bungae@gmail.com)

CTO.SECURITY

2

근무 환경

보안 과목 수강은 어떻게?

네이버에서의 보안은? 신뢰성은?

네이버 침해사고 발생시 대응

다른 회사/ 연구소에 비해 특별한 것들

보안엔지니어가 되기 위한 준비

보안 분야 기피에 대한 조언

3

사전 질문들

Q : 보안을 왜 하고 싶은가요?

4

• 오늘 이 문제로 하루를 날려보냈네요 ㅠㅠ;;

• 현직 보안업종 종사자입니다 지옥을 보고 있습니다

(.....) ⓣ

• 막 소식 퍼지는 오전에는 클OO을 비롯해서 카톡 등 다

양한 서비스들이 난리도 아니었죠. 야후도 아까 저녁

먹을 때 까지 털리고 있었고요. 5

간밤에 안녕하신가요?

• HTTPS (보안웹서버) 중에서

• 취약한 버전의 openssl을 사용하는 경우

• 특정 정보가 노출될 수 있는 취약점

무슨 취약점이길래?

6

Ransomware의 진화 : 관리상의 취약점 악용, DB 데이터 암호화

1만2천대에서 2만7천대 정도 피해 받았을 것으로. 0.1 BTC ~ 1 BTC 요구

27017번 포트 접근을 차단하거나, 서버에 접근을 제한하기 위해 로컬 IP 주소 바인딩을 설정

MongoDB hacked..

7

대학교 알고리즘 수업 시간

8

텀프로젝트로 “DES 알고리즘” 을 구현하면서

시작은

보안 동아리 (Security KAIST)

스타트업 창업 (A3 Security Consulting, Han Secure)

연구/강의 (대학 / 대학원 / 연구소)

회사 (네이버)

9

20년간의 경험

http://www.hankyung.com/news/app/ newsview.php?aid=1999091303591&intype=1

10

History : 보안업체 창업 (1999)

• SHE (Security Hole Examiner) • LOOKER • ILVA (Integrated Log Analysis Tool)

History : SHE & .. (1997)

11

KANE(KAIST Anti-Network Epidemic Framework)

12

계층적 구조를 갖는 대규모 네트워크에서의 협력적인 침입 탐지 및 대응 프레임워크 (WISC 2001에서 발표)

인간 의학의 전염병 대응 체계(방역)과 유사하게 사이버 침해를 다루자는 아이디어

History : KANE (2001)

Cooperative and Autonomous Methodologies

KAIST domain specific

Prevention : Vulnerability Scanning and Patching

Detection : Real time Intrusion Detection Recover

y : Restore before-the-attack system state Investi

gation : Trace Attacker Isolation : Isolate Attacked system to investigate and prevent from re-intrusion

Similar to medical epidemic control process

Network-based Anomaly Detection

Detect anomalous or malicious network packets

Focus on unknown or modified attacks

Investigation of protocol or program specification Applicatio

n IDS for Web server in INTRANET Environments Attack C

ategorization on detection attacks

• SAD (Session Anomaly Detection) • Web Session Anomaly Detection

• Computing the degree of anomaly compared to established usage PatternsUsing Web Sessions from raw Web Log data

• SAD Viewer • Visualization for Web Usage Pattern • Visualization for Anomaly and Misuse Detection in Web • Visually flag suspicious sessions using yellow or red flags

• Real Time Monitoring of Web Session

History : SAD (2003)

13

History : 웹 사이트 보안 수준 확인 시스템 (2007)

14

History : 악성사이트 분석 시스템 (2011)

http://d2.naver.com/helloworld/994

15

History : AD Injection

16

17

History : 서비스 어뷰징 추적 시스템 (2012)

네이버 카페 채팅방…

악성코드 유포하여 감염된 PC들이 자신의 블로그를 방문해서 ….

특정 ISP에서 네이버로의 연결이 원활치 않자 ….

18

History : 기억에 남는 일들

보안 사고를 예방하기 위해

위협을 사전에 파악하고

사고를 탐지, 분석하고

복구, 추적하는 일

시스템/네트워크 등 인프라 보안에서 서비스 보안

인적 보안

정책, 관리적인 보안

19

Naver Security

+ NAVER

20

-Privacy & Security (staff) : 보안 정책, 프라이버시 -Security (CTO) : 기술 보안

+ NBP -Security Center : 기술 보안

+ NITS : 보안 관제

+ I&S : 물리 보안

여러분의 Role Model은 ?

21

• 보안 관리자

• 보안 분석가

• 보안 개발자

• 보안컨설턴트

• 인증 심사자

• 감사자

• 법률가

• 보안 강사

여러분에게 펼쳐진 길은

22

Bug Hunter, 프리랜서 (pen-tester)

보안 업체 : 보안 컨설턴트, 보안솔루션 개발자

일반 기업 : 보안 실무자

공무원 : 행정자치부, 미래부, 국정원

학계 : 대학, 대학원생, 교수

연구자 : KISA, 금융보안원, 국가보안기술연구소, ETRI 등등

23

무궁무진해요

자부심

정의감

헌신

재미, 신선함, 기발함

24

보안분석가의 삶 : 일하는 보람

어떻게 공부할 것인가?

25

얘기를 들어봅시다 !

무료 교육 : COURSERA

26

무료 교육 : MOOCS

27

무료 교육 : K-MOOC

28

무료 교육

29

http://kitribob.kr

BOB

30

BOB

31

유료 교육

32

Self Study : Youtube

33

Self Study : webhacking.kr

34

Self Study : wargame.kr

35

Self Study : http://www.hackerfactory.co.kr/

36

국가기술자격 : 정보보안기사

37

분석적 사고

체계적

꼼꼼함

집요함

필요 스킬

책임감

38

창의력 기발함

윤리의식

필요 스킬

39

40

Keywords

41

열정 + 집중 + 기본기

Penetration Test (pen-test)

- is an attack on a computer system with the intention of finding security weaknesses, potentially gaining access to it, its functionality and data

42

Promising Security Area

Determining the feasibility of a particular set of attack vectors

Identifying higher-risk vulnerabilities that result from a combination of lower-risk vulnerabilities exploited in a particular sequence

Identifying vulnerabilities that may be difficult or impossible to detect with automated network or application vulnerability scanning software

Assessing the magnitude of potential business and operational impacts of successful attacks

Testing the ability of network defenders to successfully detect and respond to the attacks

Providing evidence to support increased investments in security personnel and technology

43

Penetration Testing

BUG Hunter

44

WARNING !!

45

시기 : 여름 (7월~8월) + 겨울 (1월~2월)

유형 : 체험형, 채용형

contact : super.bg@navercorp.com , bungae@gmail.com

46

Naver Intern

근무 환경

보안 과목 수강은 어떻게?

네이버에서의 보안은? 신뢰성은?

네이버 침해사고 발생시 대응

다른 회사/ 연구소에 비해 특별한 것들

보안엔지니어가 되기 위한 준비

보안 분야 기피에 대한 조언

48

사전 질문들 : 답이 모두 나왔나요?