‘OWASP 코리아데이 2015 - 부산 컨퍼런스’ 개최

6월 12일 부산에서 ‘OWASP 코리아데이 2015’ 개최

부산 등 동남권 지역 애플리케이션 보안인식 확산 위해 기획

[보안뉴스 민세아] 보안전문가들이 한 자리에 모여 다양한 애플리케이션 위협과 대응방안을 논의할 수 있는 자리가 마련될 예정이다.

전 세계 오픈소스 기반 웹·애플리케이션·소프트웨어 보안표준 기술을 선도하고 있는 OWASP의 코리아챕터는 2015년 OWASP 코리아 공식 행사로 6월 12일 부산 해운대에서 ‘OWASP 코리아데이 2015 - 부산 컨퍼런스’를 개최한다.

이번 OWASP 코리아데이 2015 부산행사는 부산 등 동남권 지역의 애플리케이션 보안기술 및 인식 확산을 위해 기획됐다. 작년에 구성된 OWASP 부산지역지부 소개, OWASP 신규 프로젝트, 네이버에서 개발한 XSS 방어 라이브러리, 모바일 기기 보안, OWASP Zed 프록시에 대한 주제가 논의된다.

이번 행사에서는 먼저 코리아챕터의 성윤기 이사가 OWASP 소개, 코리아챕터의 활동내역, OWASP 프로젝트 현황 및 활용방안, OWASP 코리아챕터의 향후 계획을 발표할 예정이며, 2014년 결성된 OWASP 부산지역대학생연합 지부의 이동현 지부장이 부산대학생연합회 구성 및 향후 부산지역내 활동계획을 발표한다.

다음 세션에서는 네이버랩스의 이형규 책임연구원이 XSS 취약점 공격을 방어하기 위해 네이버에서 직접 개발·운영 중인 오픈소스 Lucy-XSS 방어 필터를 소개한다. 이 필터 라이브러리는 화이트리스트 방식으로 구현해 간단한 설정만으로 XSS 공격을 방어할 수 있다.

이어 시큐아이의 남대현 과장은 iOS 버전 5.x부터 8.2까지 순정 iDevice에서 AFC(Apple File Conduit) 프로토콜을 이용해 앱의 설정 부분과 샌드박스에 있는 앱의 민감한 데이터를 획득할 수 있는 문제점을 제기하고, 이를 예방하기 위해 모바일 SDLC(Software Development Life Cycle)에서 고려해야 하는 키체인(KeyChain) 활용방안 등을 제시한다.

또한, NPO의 조용현 과장은 은행, 증권, 카드사에서 배포하는 금융 스마트폰 앱 설치시 요구하는 개인정보 수집 권한에 대한 조사내용을 바탕으로 개인정보 권한 위험과 위험을 최소화할 수 있는 개선방안을 제시한다.

마지막으로 한국전자통신연구원(ETRI) 부설연구소 정계옥 박사는 OWASP의 플래그쉽 프로젝트 중 하나인 Zed Attack Proxy(ZAP)의 주요 특징을 살펴보고, 웹 애플리케이션 취약점 점검 관점에서 필수적인 기능들의 사용법과 다른 상용 로컬 프락시 도구인 Burp Suite와의 기능을 비교해 보는 시간을 가진다.

코리아챕터의 성윤기 이사는 “이번 OWASP 코리아데이 부산 컨퍼런스는 소프트웨어 개발자, 보안전문가들이 한자리에 모여 다양한 애플리케이션 위협과 대응방안을 논의할 수 있는 자리가 될 것으로 기대한다”며, “향후 부산 등 동남권 지역의 보안인식 제고에 큰 도움이 될 것”이라고 전했다.

이번 행사와 관련해서 ‘OWASP 코리아데이 2015-부산 컨퍼런스’ 홈페이지(http://www.owasp.or.kr/koreaday)에서 보다 자세한 등록방법 및 참여정보를 얻을 수 있다.

[민세아 기자(boan5@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)