사이버보안 전문교육 및 역량평가 전문기관인 ITL(대표 진수희)은 2014년에 이어 오는 4월 22일부터 24일까지 3일간 서울 상공회의소에서 웹 애플리케이션 개발자, 침투시험, 보안전문가를 위한 국내 최고 전문가가 직접 강의하는 'ITL AppSec 2015‘ 애플리케이션 보안 교육행사를 개최한다고 밝혔다.
 
해커들이 웹 사이트 및 애플리케이션의 서버 및 클라이언트 취약점을 공격해 조직의 민감정보 탈취, 세션 탈취, 악성코드 유포 등 피해가 확산되고 있다. 조직에서는 공격자가 취약점을 공격하기 전에 회사의 웹 사이트에 존재하는 취약점을 찾아내고, 방어하는 일이 중요해 지고 있다. 또한 애플리케이션 기반의 침입시도를 탐지하기 위해 정교한 침입탐지 규칙을 개발하고 적용해 공격 및 공격시도를 사전에 탐지하고 대응할 수 있어야 한다.
 
이번 교육행사에서는 웹 애플리케이션의 취약점 및 보안성을 평가할 수 있는 침투시험과정(M250)과, 애플리케이션 기반 침입탐지 기법 과정(M330) 등 2개 과정이 개설되며, 모든 과정은 상세한 실무적인 기술과, 실습을 통해 조직의 보안수준을 향상시킬 수 있다.
 
웹 애플리케이션 침투시험(M250) 과정에서는 조직의 외부에 노출된 웹 서비스의 취약점을 직접 평가해 볼 수 있는 중급 수준의 강의 과정으로 교육생은 OWASP Top 10 등 다양한 웹 애플리케이션 취약점에 대해서 이해하고, 다양한 프록시 도구를 이용한 취약점을 평가하는 방법을 배울 수 있다. 또한 WebGoat/DVMA과 워게임 사이트를 통해 실제 웹 취약점을 분석하는 실습시간을 가질 수 있다. 본 과정을 통해 공격자가 공격하기 전에 회사의 홈페이지에 존재하는 웹 취약점을 찾아낼 수 있는 방법과 취약점 방어 방법을 배울 수 있다.
 
침입탐지를 위한 로그분석 방법(M330) 과정에서는 외부의 침입을 정교하게 탐지하기 위해 패턴 매칭 기법을 공격 패턴과 함께 사용자 조직의 네트워크에 최적화하는 방법에 대해 이론과 실습을 통해 배울 수 있다. 또한 사고 단위 분석이 아닌, 데이터 단위 분석을 통해 패턴 매칭의 문제점을 찾아내고 개선함으로써 대량의 침입탐지 로그를 빠르게 분석하고, 정확도를 개선할 수 있는 방법에 대해서 이론과 실습을 통해 익힐 수 있다.
 
‘ITL AppSec 2015’ 애플리케이션 보안 교육행사를 기획한 ITL의 진수희 매니저는 “우리나라는 대기업, 정부, 공공기관 등에서 웹 기반의 소프트웨어, 애플리케이션을 개발해 서비스하고 있지만, 개발 과정상의 보안 위협과 위험에 대해서 제대로 인식하지 못해 큰 해킹 사고로 발전하는 사례가 있어 왔다. 또한 조직에서 수많은 애플리케이션을 운영하고 있지만 다양한 이유로 취약점 대응 기회를 놓쳐 개인정보 등 민감한 정보 유출, 악성코드 배포 등의 상황이 자주 발생하고 있다. 이번 교육행사는 조직에서 이러한 위협에 대응할 수 있는 해답을 제공해 줄 수 있을 것이라고 기대한다”고 밝혔다.
 
ITL AppSec 2015’ 애플리케이션 보안 교육행사는 국내외 해킹대회에서 수상하고 현장의 보안전문가로 활동하고 있는 신동휘 이사와 국내 네트워크 침입탐지 분야 전문가인 강명훈 이사가 교수진으로 참여한다.
 
'ITL AppSec 2015' 교육행사와 관련된 자세한 사항은 행사 홈페이지(www.itlkorea.kr/appsec2015/)를 방문하거나 itl@itlkorea.kr로 문의하면 된다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com