세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
‘OWASP 코리아데이 2015 - 부산 컨퍼런스’ 개최
  |  입력 : 2015-05-21 21:55
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

6월 12일 부산에서 ‘OWASP 코리아데이 2015’ 개최

부산 등 동남권 지역 애플리케이션 보안인식 확산 위해 기획


[보안뉴스 민세아] 보안전문가들이 한 자리에 모여 다양한 애플리케이션 위협과 대응방안을 논의할 수 있는 자리가 마련될 예정이다.



전 세계 오픈소스 기반 웹·애플리케이션·소프트웨어 보안표준 기술을 선도하고 있는 OWASP의 코리아챕터는 2015년 OWASP 코리아 공식 행사로 6월 12일 부산 해운대에서 ‘OWASP 코리아데이 2015 - 부산 컨퍼런스’를 개최한다.


이번 OWASP 코리아데이 2015 부산행사는 부산 등 동남권 지역의 애플리케이션 보안기술 및 인식 확산을 위해 기획됐다. 작년에 구성된 OWASP 부산지역지부 소개, OWASP 신규 프로젝트, 네이버에서 개발한 XSS 방어 라이브러리, 모바일 기기 보안, OWASP Zed 프록시에 대한 주제가 논의된다.


이번 행사에서는 먼저 코리아챕터의 성윤기 이사가 OWASP 소개, 코리아챕터의 활동내역, OWASP 프로젝트 현황 및 활용방안, OWASP 코리아챕터의 향후 계획을 발표할 예정이며, 2014년 결성된 OWASP 부산지역대학생연합 지부의 이동현 지부장이 부산대학생연합회 구성 및 향후 부산지역내 활동계획을 발표한다.


다음 세션에서는 네이버랩스의 이형규 책임연구원이 XSS 취약점 공격을 방어하기 위해 네이버에서 직접 개발·운영 중인 오픈소스 Lucy-XSS 방어 필터를 소개한다. 이 필터 라이브러리는 화이트리스트 방식으로 구현해 간단한 설정만으로 XSS 공격을 방어할 수 있다.


이어 시큐아이의 남대현 과장은 iOS 버전 5.x부터 8.2까지 순정 iDevice에서 AFC(Apple File Conduit) 프로토콜을 이용해 앱의 설정 부분과 샌드박스에 있는 앱의 민감한 데이터를 획득할 수 있는 문제점을 제기하고, 이를 예방하기 위해 모바일 SDLC(Software Development Life Cycle)에서 고려해야 하는 키체인(KeyChain) 활용방안 등을 제시한다.


또한, NPO의 조용현 과장은 은행, 증권, 카드사에서 배포하는 금융 스마트폰 앱 설치시 요구하는 개인정보 수집 권한에 대한 조사내용을 바탕으로 개인정보 권한 위험과 위험을 최소화할 수 있는 개선방안을 제시한다.


마지막으로 한국전자통신연구원(ETRI) 부설연구소 정계옥 박사는 OWASP의 플래그쉽 프로젝트 중 하나인 Zed Attack Proxy(ZAP)의 주요 특징을 살펴보고, 웹 애플리케이션 취약점 점검 관점에서 필수적인 기능들의 사용법과 다른 상용 로컬 프락시 도구인 Burp Suite와의 기능을 비교해 보는 시간을 가진다.


코리아챕터의 성윤기 이사는 “이번 OWASP 코리아데이 부산 컨퍼런스는 소프트웨어 개발자, 보안전문가들이 한자리에 모여 다양한 애플리케이션 위협과 대응방안을 논의할 수 있는 자리가 될 것으로 기대한다”며, “향후 부산 등 동남권 지역의 보안인식 제고에 큰 도움이 될 것”이라고 전했다.

이번 행사와 관련해서 ‘OWASP 코리아데이 2015-부산 컨퍼런스’ 홈페이지(http://www.owasp.or.kr/koreaday)에서 보다 자세한 등록방법 및 참여정보를 얻을 수 있다.

[민세아 기자(boan5@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
2017년은 3분기까지 침해사고 수가 2016년 전체 침해사고 수를 앞지르는 등 급증하는 침해사고로 신기록을 세운 해입니다. 지난 한 해 동안 발생한 침해사고 중 가장 심각한 유형은 무엇이라고 생각하시나요?
기업의 개인정보 및 신용정보 유출 ex) 에퀴팩스 사태
한국을 겨냥한 북한의 사이버 공격 ex) 하나투어 등
가상(암호)화폐 탈취 위한 사이버 공격 ex) 거래소 해킹, 피싱 이메일 등
대규모 랜섬웨어 공격 ex) 워너크라이, 낫페트야
공공 클라우드 설정 오류 및 보안 미비로 인한 사고 ex) AWS, 구글 그룹스
사물인터넷 보안 미비로 인한 침해사고 ex) IP 카메라 해킹
기타(댓글로)