프로그램 정보

국내외 전문가들이 함께하는 최신 보안/블록체인 트렌드 공유의 장

Important Date

• 조가원한국, 한국IBM 보안팀 실장
  

  조가원 실장은 소프트웨어 개발, 솔루션 구축 및 기술 엔지니어의 다양한 분야에서 20년 이상의 경력을 쌓은 IT 전문가 입니다.
  2008년 부터 한국IBM에서 정보 거버넌스 분야를 지원해 왔으며, 지난 2년간 IBM 아시아 태평양 지역 데이터 보안 기술 리더를 역임한 바 있습니다. 현재 사이버 보안 전문가로서 데이터 보안, 계정 사기 식별, 클라우드 보안 등 보안사업부의 Information Risk and Protection 보안 기술 도메인을 담당하고 있습니다.

  주제 : 디지털 ID 사기 방지를 위한 차세대 보안

  대부분의 일상의 서비스와 업무가 인터넷으로 제공되는, 그래서 모든 기업이 변화해야 하는 디지털 트랜스포메이션의 시대가 도래했습니다. 그러나 컴퓨팅 기술의 발전과 함께 해킹 공격 역시 다양해지고 있는데요, 대표적으로 최근의 공격 트렌드 중 하나인 크리덴셜 스터핑 (Credential Stuffing) 의 경우 탈취된 계정 정보로 무차별 인증을 시도하여 사용자 정보를 유출하는 공격 기법으로, 이렇게 유출된 ID를 비롯한 개인정보를 통해 도용 사고, 보이스피싱 등의 보안사고로 이어지게 됩니다.
  문제는 기존의 ID/PWD 등의 인증 방식을 통해서는 이런 해킹 공격을 식별하기가 어렵다는 것입니다. 또한 이러한 위헙을 해결하기 위해서 OTP 등 인증이 강화될 수록 고객의 사용자 경험(User Experience)은 방해됩니다. 이번 세션에서는 인공지능과 머신러닝을 이용한 차세대 보안 기술을 통해 어떻게 기업이 사용자 경험을 저해하지 않으면서 고객의 디지털 ID에 대한 신뢰도를 확보할 수 있는지 살펴보고자 합니다.

• 기태현한국, 블록체인시큐리티 대표이사
  

  기태현은 이화여대 사이버보안학과의 교수이자, 블록체인시큐리티 대표이사로 국내 저명한 보안 전문가 입니다.

  주제 : HW 탐지 기반 멀웨어 탐지기, 분석기 통합 보안

  to be updated

• 신정훈한국, 보안기업 Theori / BoB 멘토
  

  한국정보기술연구원(KITRI) 차세대 보안리더 양성프로그램 BoB(Best of the Best) 을 통해 만난 신정훈, 정혜진은 멘토-멘티 간 팀워크를 기반으로 HDMI 공격 백터와 관련된 발표를 진행합니다.

  주제 : HDMI 공격 벡터 해부, 분석

  HDMI에서는, 비디오/오디오를 전송하는 TMDS 프로토콜 뿐만 아니라 다른 기능을 제공하는 CEC, DDC, ARC 프로토콜도 있습니다.
  본 발표에서는 아래와 같은 내용을 공유하고자 합니다.
  1) HDMI 프로토콜은 무엇인가
  2) 왜 이 프로토콜들은 공격 벡터로 간주될 수 있는가
  3) 이러한 상황에서 활용할 수 있는 Fuzzer 소개
  4) 취약성 발견

• 정혜진한국, 숭실대학교 / BoB 7기 멘티
  

  한국정보기술연구원(KITRI) 차세대 보안리더 양성프로그램 BoB(Best of the Best) 을 통해 만난 신정훈, 정혜진은 멘토-멘티 간 팀워크를 기반으로 HDMI 공격 백터와 관련된 발표를 진행합니다.

  주제 : HDMI 공격 벡터 해부, 분석

  HDMI에서는, 비디오/오디오를 전송하는 TMDS 프로토콜 뿐만 아니라 다른 기능을 제공하는 CEC, DDC, ARC 프로토콜도 있습니다.
  본 발표에서는 아래와 같은 내용을 공유하고자 합니다.
  1) HDMI 프로토콜은 무엇인가
  2) 왜 이 프로토콜들은 공격 벡터로 간주될 수 있는가
  3) 이러한 상황에서 활용할 수 있는 Fuzzer 소개
  4) 취약성 발견

• 장문수한국, 국가보안기술연구소 사이버안전훈련센터 실장

  To be updated

  주제 : 국외 사이버위기 대응 훈련 및 발전방안

  경계가 없는 사이버 공간 상에서 사이버위기 대응은 더 이상 개인, 기관 또는 국가 단독으로 수행하기 어렵습니다.
  본 발표에서는 미국, 유럽 등 국외 사이버위기 대응 훈련 분석을 통해 시급히 확보해야 하는
  보안 역량과 인력 양성을 위한 발전방안을 모색합니다.

• 심준보한국, 블랙펄 시큐리티
  

  심준보는 국내 대표적인 해커들 중 한명으로, 지속적으로 업계에 다양한 제언들을 주는 영향력있는 인물입니다.
  그는 0-day finding, 리버스 엔지니어링등에 관심이 있습니다.

  주제 : Deserialize Unchained Blockchain

  의사결정에 있어, 블록체인은 기본적으로 다수결의 원칙을 따릅니다. 시스템상의 모든 보안적인 문제는 하나의 유기체처럼 구성되는데 현존하는 블록체인 시스템은 블록과 블록, 노드와 토큰, 노드와 노드상의 계약문제만을 다루고 있습니다. 본 발표에서는 이와 같은 현존하는 블록체인 시스템의 Security Chain을 살펴보고 이에 대한 문제를 알아보고자 합니다.

•  
  Jino Masaaki Haro일본, Columbia University

   

  

  J.Haro는 콜롬비아 대학교에 재학중이며, DEFCON China의 독립 연구원으로 활동한 이력이 있습니다.
  악성 소프트웨어 및 표적 공격 시뮬레이션에 특화되어 있는 전문가 입니다.

  주제 : Targeted Attacks on the Blockchain

  본 발표에서는 language-based 공격, 컨테이너 기반 공격 및 커스텀 악성 프로그램으로 인한 표적된 커스텀 블록체인 시스템 공격에 대해 설명 합니다. 이런 공격에 대한 여파 및 대응에 대해 논의 할 예정이며 조사 및 최종 대안에 대해 논의 할 예정입니다. UBS, Credit Suisse, IHS Markit 등 15개 글로벌 금융회사를 대상으로 최종 시스템을 출시하였으며 이번 달 테스트 단계가 끝날 경우 어떤 결과를 가져오고 이어질지 논의하고자 합니다.

• 송종혁한국, 삼성 리서치

   

  
  송종혁은 포항공과대학교(POSTECH) 를 졸업하고 삼성 리서치의 보안팀에서 연구원으로 활동하고 있습니다.
  그는 DEFCON 17, 19, 25 CTF의 파이널리스트로 랭크되기도 했습니다.

  주제 : Breaking Pseudo-Random Number Generator in Ethereum Smart Contracts

  이더리움 스마트 계약에서 랜덤 번호를 생성하는 건 매우 어렵습니다.
  스마트 계약의 실행 결과가 여러 번 실행되는 여러 노드를 고려하여야 하기 때문입니다.그럼에도 불구하고 게임, 로또 및 겜블과 같은 많은 스마트 계약서에는 PRNG (Pseudo-Random Number Generator)가 구현되어 있으나, 대부분이 취약하기 때문에 쉽게 공격 받을 수 있습니다. 많은 연구자들이 스마트 계약을 검증할 수 있는 도구를 제안했지만, 취약한 PRNG를 탐지하기 힘듭니다
  본 발표에서는 취약한 PRNG의 4가지 주요 유형을 분류하고, 실제 사례를 소개하고자 합니다.

• Kyrylo Chykhradze우크라이나, Bitfury Crystal
  

  Kyrylo는 2019년 포브스 선정 TOP 50 블록체인 핀테크 기업에 선정된 Bitfury의 자회사 Crystal에 소속되어 있습니다.
  Crystal은 비트코인 및 암호화폐가 블록체인 화폐를 사용하는 범죄를 막고, 추적하기 위해 개발된 도구로
  향후 업계에서 각광을 받을 솔루션이며, Kyrylo는 Crystal의 Head로서 업력을 이어가고 있습니다.
  Kyrylo는 이전에 5년 이상 러시안 과학 아카데미에 있으면서 관련 네트워크/학문을 쌓아온 바 있습니다.

  주제 : Investigating Crypto Hacks with Crystal Analytics

  크리스탈 블록체인의 제품 책임자 Kyrylo은 크리스탈 블록체인 분석 플랫폼을 통해 암호화폐와 관련된 사이버 공격 (랜섬웨어, 교환 해킹 등)을 Crystal의 조사를 통해 실제 사례를 가지고 조사하는 방법을 보여드리겠습니다. Crystal의 업계 최고의 연결 방법, 필터링 및 추적 기능을 사용하여 Bitcoin, Bitcoin Cash 및 Ethereum 블록 체인에서 트랜잭션을 분석하는 방법을 배울 수 있을 것 입니다.

• 김경민한국, 고려대학교
  

  김경민은 고려대학교 사이버 국방학과를 졸업하고 블록체인 연구그룹 Team Code4Block 프로젝트 매니저로 활동하고 있습니다.
  또한, 다수의 스마트 컨트랙트 CVE를 보유하고 있습니다. (최고 CVSS 9.8)

  주제 : 현실적인 스마트 컨트랙트 접근 제어 취약점 진단 방법론과 진단 도구

  도메인 특정 언어로 개발된 스마트 계약을 안전하고 신뢰할 수 있게 작성하는 것은 정말 어려운 일입니다. 특히 여러 스마트 컨트랙트들의 다양한 해킹 사건들이 발생되면서, 이에 대한 보안 진단 도구들이 연구되고 있습니다. 본 발표는 기존에 발표된 스마트 컨트랙트 취약점들을 소개하고 이러한 취약점을 위한 기존의 다양한 진단도구 연구(오옌테, 미쓰릴 등)들의 방법과 각각의 차이점들을 발표합니다. 뿐만 아니라 이러한 진단도구들이 검증하지 못했던 접근 제어 취약점을 소개하고, 해당 취약점 클래스가 진단하기 어려웠던 배경과 이를 해결한 진단도구에 대해서 소개하겠습니다. 본 연구에서 개발된 진단도구는 소스코드가 검증된 48,399개의 스마트 컨트랙트들을 샘플로 정확성 검증을 진행하였고, 진단 도구만을 통해 170여개의 실제 벤더가 존재하는 취약점을 발견하였습니다.

• 이진경한국, 서울여자대학교
  

  이진경은 서울여자대학교 정보보호학과를 졸업하고, Team Code4block 컨설팅 매니저로 활동하고 있습니다.

  주제 : 현실적인 스마트 컨트랙트 접근 제어 취약점 진단 방법론과 진단 도구

  도메인 특정 언어로 개발된 스마트 계약을 안전하고 신뢰할 수 있게 작성하는 것은 정말 어려운 일입니다. 특히 여러 스마트 컨트랙트들의 다양한 해킹 사건들이 발생되면서, 이에 대한 보안 진단 도구들이 연구되고 있습니다. 본 발표는 기존에 발표된 스마트 컨트랙트 취약점들을 소개하고 이러한 취약점을 위한 기존의 다양한 진단도구 연구(오옌테, 미쓰릴 등)들의 방법과 각각의 차이점들을 발표합니다. 뿐만 아니라 이러한 진단도구들이 검증하지 못했던 접근 제어 취약점을 소개하고, 해당 취약점 클래스가 진단하기 어려웠던 배경과 이를 해결한 진단도구에 대해서 소개하겠습니다. 본 연구에서 개발된 진단도구는 소스코드가 검증된 48,399개의 스마트 컨트랙트들을 샘플로 정확성 검증을 진행하였고, 진단 도구만을 통해 170여개의 실제 벤더가 존재하는 취약점을 발견하였습니다.

• 홍승필한국, 한국블록체인학회 수석 부회장
  

  홍승필 박사는 현재 국내 블록체인학계를 대표하는 한국블록체인학회에서 수석부회장을 역임하고 있습니다.
  KAIST 컴퓨터공학 박사 출신인 홍승표 박사는 2016년 행정안전부 공공기관 개인정보보호 평가위원, 금융위원회 핀테크 전문위원으로 임명된 바 있으며, 현재는 공공기관 개인정부평가 및 금융기관 디지털 핀테크 및 블록체인 전문가로 활동하고 있다.

  주제 : 스마트시티 보안과 블록체인

  본 발표에서는 스마트시티 현황과 미래를 사례 연구를 통하여 이해하고 보안의 필요성과 블록체인과의 연동방안을 제언합니다. 최근 각광받고 있는 블록체인 현황과 이슈, 글로벌 트렌드를 실제 구현 사례를 통해 이해하고 향후 추진방안에 대하여 비지니스, 기술적 측면에서 제언하고자 합니다.

• Eugene Aseev싱가포르, CTO at Chainstack
  

  Eugene은 Chainstack의 CTO 이자 공동창립자로서, 10년 이상 글로벌 TOP R&D 팀에서 엔지니어링 및 사이버 보안 업에 종사해왔습니다.
  Chainstack 이전 Acronis에서 엔지니어링 VP로서 Acronis의 Active Protection 및 Notary 개발을 담당했으며,
  GeoEdge의 보안 연구팀과, 선도적인 보안 회사의 Anti-malware 팀을 이끌기도 했습니다.
  아울러 이더리움의 데이터 보호를 위한 블록체인 연구를 3년 이상 진행하는 등, 적극적으로 블록체인 기술 고도화에 힘쓰고 있습니다.
  러한 경험을 바탕으로 기업들이 빠르고, 간단하게 블록체인을 적용하는 데 이바지하고자 합니다.
  그는 Bauman Moscow State Technical University에서 컴퓨터 공학 석사를 받았으며, 사이버 보안 관련 다양한 기고, 연설, 워크샵, 트레이닝 세션 등을 진행해왔습니다.

  주제 : Distributed Ledger Security in the Enterprise Environment

  많은 기업들은 공급망, 물류, 헬스케어 등 여러시장에서 블록체인 및 광범위한 분산원장기술(Distributed Ledger Technology)를 적극적으로 실험하고 있습니다. 분산 된 솔루션을 구축하면 비즈니스 프로세스와 관련된 여러 당사자 간의 투명성 및 운영 간소화와 관련하여 많은 이익을 얻을 수 있지만 완전히 새로운 종류의 리스크가 초래됩니다. DLT는 복잡하고 미숙하며, 빠르게 변화하는 기술로 기업 환경에서 보안 및 개인 정보에 대한 신중한 접근이 필요합니다. 이번 발표에서는 DLT 구현에 의해 도입된 다양한 사이버 보안 과제를 잠재적인 솔루션과 함께 소개할 예정입니다.