Seminar

[Seminar] Service Security : Story of Challenge and Response - Sanghyun Cho (NAVER security GL)
작성일2019-05-16

Abstract:

인터넷 포털 서비스는  안전하게 설계구현되지 않아 발생할  있는 데이터 노출권한 탈취등의 전통적인 보안 위협과 더불어,

비즈니스 로직을 악용하여 다른 이용자에게 악영향을 주거나서비스 제공자에게 경제적 손실을 야기할  있는 보안 위협이 존재한다.

XSS등의  취약점은  서비스에 흔히 존재하는 개발 보안 취약점으로 개발자의 시큐어 코딩과 리뷰 시스템이 완벽하지 못하여 발생한다.

이용자의 검색댓글 공감/비공감 등의 활동에 의해 순위가 산정되는 실시간 검색어뉴스 댓글 등에서는  일반적인 이용자와 조직화된 (매크로) 적절히 식별대응하지 못해 조작 이슈들이 생겨난다

 

 발표에서는 대표적인 인터넷 포털 서비스 네이버에서 겪었던 다양한 보안 위협 사례(도전)와 대응 노력(응전)을 기술적인 관점에서 소개하며,

네이버 서비스에서 확인되었던 보안 위협들이 수년  국내외 다른 서비스에서 이슈화되는 경향을 고려하여당면한 문제들과 도전중인 해법들을 공유한다.

 

Bio

발표자(조상현)는 현재 네이버 시큐리티 그룹 리더로 네이버 서비스의 기술적인 보안을 총괄하고 있으며고려대학교 정보보호대학원에 겸임교수로 재직 중이다.

보안 취약점  어뷰징 분석을 통해 안전한 서비스 설계와 운영개발자 보안 가이드  교육을 수행해 왔다.

특히 서비스에서의 비정상적인 행위 탐지에 관심을 많이 가지고 있으며현재는 모바일 광고 인젝션 등의 악성 행위를 탐지하기 위한 앱의 동적 행위 분석과  봇 탐지를 위한 브라우저/디바이스 식별 연구를 진행하고 있다.

2005년, 비정상적인  세션 탐지 라는 주제로 KAIST 전산학과에서 박사학위를 받았고고려대학교와 KAIST 연구 교수를 거쳐 네이버 포털 서비스 보안에 합류하였다.

현재 경찰청과 경기남부지방경찰청의 보안 자문 위원으로 활동하고 있으며서비스 어뷰징 관련 공판에 ​​​기술 증인으로 약 30회 정도 출석한  있다.