2020-10-24 23:35 (토)
OWASP 코리아데이 2015 부산 컨퍼런스 개최
상태바
OWASP 코리아데이 2015 부산 컨퍼런스 개최
  • 길민권
  • 승인 2015.05.21 15:40
이 기사를 공유합니다

6월 12일, 부산 해운대…다양한 애플리케이션 위협과 대응방안 논의
전 세계 오픈소스기반의 웹, 애플리케이션, 소프트웨어 보안 표준 기술을 선도하고 있는 OWASP 한국 챕터는 2015년 OWASP 코리아 공식 행사로 다음달 6월 12일 부산 해운대에서 ”OWASP 코리아데이 2015-부산 컨퍼런스“를 개최한다.
 
이번 OWASP 코리아 데이 2015 부산행사는 부산 등 동남권 지역의 애플리케이션 보안 기술 인식 확산을 위해 기획되었으며, 작년에 구성된 OWASP 부산지역지부 소개, OWASP 신규 프로젝트, 네이버에서 개발한 XSS 방어 라이브러리, 모바일 기기 보안, OWASP Zed 프록시 등 다양한 주제들이 논의된다.
 
이번 행사에서는 먼저 코리아 챕터의 성윤기 이사는 OWASP 소개, 코리아 챕터의 활동내역, OWASP 프로젝트 현황 및 활용방안, OWASP 코리아 챕터의 향후 계획을 발표할 예정이며, 이어서 2014년 결성된 OWASP 부산지역대학생연합 지부의 이동현 지부장이 부산대학생연합회 구성 및 향후 부산 지역내 활동계획을 발표한다.
 
세번째 세션에서는 네이버랩스의 이형규 책임연구원이 XSS 취약점 공격을 방어하기 위해 네이버에서 직접 개발해 운영 중인 오픈소스 Lucy-XSS 방어 필터를 소개한다. 이 필터 라이브러리는 화이트리스트 방식으로 구현해 간단한 설정만으로 XSS 공격을 방어할 수 있어 조직에서 활용하면 XSS 취약점 공격을 쉽게 예방할 수 있다.
 
이어서 시큐아이 남대현 과장은 iOS 5.x ~ 8.2까지 순정 iDevice에서 AFC(Apple File Conduit) 프로토콜을 이용하여 앱의 설정 및 샌드박스에 있는 앱의 민감한 데이터를 획득 할 수 있는 문제점을 제기하고, 이를 예방하기 위한 모바일 SDLC(Software Development Life Cycle)에서 고려해야 하는 KeyChain 활용방안 등을 제시한다.
 
또 NPO 조용현 과장은 은행, 증권, 카드사에서 배포하는 금융 스마트폰 앱 설치 시 요구하는 개인정보 수집 권한에 대한 조사 내용을 바탕으로 개인정보 권한 위험과 위험을 최소화할 수 있는 개선방안을 제시한다.
 
마지막으로 ETRI 부설연구소 정계옥 박사는 OWASP의 플래그쉽 프로젝트 중 하나인 Zed Attack Proxy(ZAP)의 주요 특징을 살펴보고, 웹 애플리케이션 취약점 점검 관점에서 필수적인 기능들의 사용법을 알아보고 다른 상용 로컬 프락시 도구인 Burp Suite와의 기능도 비교해 보는 시간을 가진다.
 
코리아 챕터 성윤기 이사는 “이번 OWASP 코리아 데이 부산 컨퍼런스는 소프트웨어 개발자, 보안전문가들이 한자리에 모여 다양한 애플리케이션 위협과 대응방안을 논의할 수 있는 자리가 될 것으로 기대하며, 향후 부산 등 동남권지역의 보안성 인식 제고에 큰 도움이 될 것”이라고 밝혔다.
 
이번 OWASP 코리아데이 2015 부산행사는 사이버보안 전문교육기관 (주)아이티엘(ITL), 정보보호전문업체 에스에스알(SSR), 애플리케이션 보안전문기업 엔시큐어(EnSecure) 및 정보보호전문기업 타이거팀(TigerTeam)에서 공식 후원사로 참여한다.
 
OWASP 코리아 데이 2015 부산 컨퍼런스는 www.owasp.or.kr/koreaday에서 자세한 등록 및 참여정보를 얻을 수 있다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com