Abstract:

인터넷 포털 서비스는  안전하게 설계, 구현되지 않아 발생할 수 있는 데이터 노출, 권한 탈취등의 전통적인 보안 위협과 더불어,

비즈니스 로직을 악용하여 다른 이용자에게 악영향을 주거나, 서비스 제공자에게 경제적 손실을 야기할 수 있는 보안 위협이 존재한다.

XSS등의 웹 취약점은 웹 서비스에 흔히 존재하는 개발 보안 취약점으로 개발자의 시큐어 코딩과 리뷰 시스템이 완벽하지 못하여 발생한다.

이용자의 검색, 댓글 공감/비공감 등의 활동에 의해 순위가 산정되는 실시간 검색어, 뉴스 댓글 등에서는  일반적인 이용자와 조직화된 봇(매크로)을 적절히 식별, 대응하지 못해 조작 이슈들이 생겨난다. 

본 발표에서는 대표적인 인터넷 포털 서비스 네이버에서 겪었던 다양한 보안 위협 사례(도전)와 대응 노력(응전)을 기술적인 관점에서 소개하며,

네이버 서비스에서 확인되었던 보안 위협들이 수년 후 국내외 다른 서비스에서 이슈화되는 경향을 고려하여, 당면한 문제들과 도전중인 해법들을 공유한다.

Bio

발표자(조상현)는 ​현재 네이버 시큐리티 그룹 리더로 네이버 서비스의 기술적인 보안을 총괄하고 있으며, 고려대학교 정보보호대학원에 겸임교수로 재직 중이다.

보안 취약점 및 어뷰징 분석을 통해 안전한 서비스 설계와 운영, 개발자 보안 가이드 및 교육을 수행해 왔다.

특히 서비스에서의 비정상적인 행위 탐지에 관심을 많이 가지고 있으며, ​현재는 모바일 광고 인젝션 등의 악성 행위를 탐지하기 위한 ​​앱의 동적 행위 분석과  봇 탐지를 위한 브라우저/디바이스 식별 연구를 진행하고 있다.

2005년, ​비정상적인 웹 세션 탐지 라는 주제로 KAIST 전산학과에서 박사학위를 받았고, 고려대학교와 KAIST의 연구 교수를 거쳐 네이버 포털 서비스 보안에 합류하였다.

현재 경찰청과 경기남부지방경찰청의 보안 자문 위원으로 활동하고 있으며, 서비스 어뷰징 관련 공판에 ​​​​​기술 증인으로 약 30회 정도 출석한 바 있다.