나무모에 미러 (일반/밝은 화면)
최근 수정 시각 : 2025-04-15 14:58:02

.HACK 컨퍼런스


<colbgcolor=#000><colcolor=#fff> Hack The Future No Limits
.HACK Conference 2025
파일:닷핵컨퍼런스.jpg
개최일자 2025년 4월 9일
국가 
#!if 행정구 == null && 속령 == null
[[대한민국|{{{#!wiki style="display: inline; color: ;" dark-style="color: ;"
{{{#!wiki style="display: inline-flex; vertical-align: middle; border: .0625rem solid #ddd;" dark-style="border-color: #383b40;"
[[파일:대한민국 국기.svg|width=24]]}}} {{{#!if 출력 == null
대한민국}}}{{{#!if 출력 != null
}}}}}}]]
#!if 국명 == null && 속령 == null
[[틀:국기|{{{#!wiki style="display: inline; color: ;" dark-style="color: ;"
{{{#!wiki style="display: inline-flex; vertical-align: middle; border: .0625rem solid #ddd;" dark-style="border-color: #383b40;"
[[파일: 특별행정구기.svg|width=24]]}}} {{{#!if 출력 == null
행정구}}}{{{#!if 출력 != null
}}}}}}]]
#!if 국명 == null && 행정구 == null
[[틀:국기|{{{#!wiki style="display: inline; color: ;" dark-style="color: ;"
{{{#!wiki style="display: inline-flex; vertical-align: middle; border: .0625rem solid #ddd;" dark-style="border-color: #383b40;"
[[파일: 기.svg|width=24]]}}} {{{#!if 출력 == null
속령}}}{{{#!if 출력 != null
}}}}}}]]
개최 theori[1]
운영 .HACK Company
슬로건 Hack The Future No Limits[2]
홈페이지 파일:홈페이지 아이콘.svg
개최지 서울특별시 강남구 영동대로 513 코엑스 3F 컨퍼런스룸E

1. 개요2. 티켓3. 세션
3.1. Room 1~4
3.1.1. Do Not Disturb: Hacked AI vs. Secure AI3.1.2. Finding bugs and fixing code without humans3.1.3. 신뢰할 수 있는 AI 생태계 구축: LLM 취약점 분석과 경량화된 guard model 개발3.1.4. 차세대 GRC를 위한 통합 및 자동화 중점의 ComplOps 소개3.1.5. 제목은 Cloud Security로 하겠습니다. 근데 이제 Offensive를 곁들인3.1.6. The challenge of tight window3.1.7. 컴파일러 규칙 기반 웹어셈블리 런타임 퍼징
3.2. Room2
3.2.1. Web3 입문기: UniswapV4 Security Platform3.2.2. Diffing 꼭 취약점만 찾아야해? LLM도 붙이면?3.2.3. 중고나라부터 투자리딩방까지: 정보보호학 박사(수료)가 보는 사이버사기 추적시도 사례3.2.4. 첫 Kernel CTF exploit3.2.5. Real-World Bug Bounty: Lessons Learned through Trial and Error3.2.6. Pwn2Own Ireland 2024 첫 도전과 실패 경험을 통한 준비3.2.7. The way they are watching you: Exploiting the Surveillance System and its supply chain3.2.8. AI기반 실시간 침해사고 탐지/대응(feat. eBPF)3.2.9. 투자자 입장에서 본 사이버보안 시장의 현재와 미래(Special Session)
3.3. Room3
3.3.1. 우당탕탕 고등학생의 첫 보안프로젝트 도전기3.3.2. LLM 통합 웹 환경, 편리함 뒤에 숨은 위험3.3.3. Find Vulnerabilities in Kubernetes Through Golang Code Auditing3.3.4. Vaults of Vulnerability: The Untold Stories of DeFi Hacks3.3.5. Pentesteredteam3.3.6. 버그헌팅을 통해 얻는 꺾이지 않는 마음3.3.7. 개인정보 분야의 직무와 커리어 가이드3.3.8. 학술적 연구에서 제로데이 연구까지3.3.9. 금융권 망분리 규제 개선에 따른 보안 리스크 관리
3.4. Closing & Award 세션
3.4.1. AI Prompt Injection3.4.2. 럭키 드로우
4. 이벤트
4.1. Lock Picking4.2. Rapid Hack4.3. Speed Coding4.4. AI Prompt Injection
5. Dreamhack 상점

1. 개요

본 문서는 2025년 4월 9일에 개최되는 사이버 보안 컨퍼런스인 .HACK 컨퍼런스 2025를 서술하는 문서입니다.

2. 티켓

3. 세션

자세한 내용은 아래 문단을 참고하세요.

3.1. Room 1~4

Room 1~4(E1~4)에서는 Tech Session이 진행되었다.

3.1.1. Do Not Disturb: Hacked AI vs. Secure AI

AI는 혁신을 선도하는 동시에 가장 큰 보안 위협이 되고 있습니다. 딥시크의 GPT 모델 증류 사건에서 보듯, 모델 복제 공격, 프롬프트 인젝션, 백도어 삽입 등 AI 자체의 보안 취약점은 현실적인 위협으로 부각되고 있습니다. 특히, 대규모 언어 모델(LLM)과 같은 최신 AI 기술이 금융, 의료, 국방 등 핵심 산업에 도입되면서, AI의 보안 취약점이 곧 시스템 전반의 취약점으로 연결되는 시대가 되었습니다.

이상근 교수는 AI 모델 복제 공격 및 방어, 설명가능한 인공지능(XAI) 등 AI보안 연구에서 세계 최고 수준의 기술을 보유하고 있으며, AI 모델의 해킹과 이를 방어하기 위한 최신 기술과 전략을 연구하고 있습니다. 특히, 온디바이스 AI, 멀티모달 AI, LLM 어플리케이션을 포함한 새로운 환경의 AI 보안성을 강화하는 방법을 탐구하고 있습니다.

이번 강연에서는 AI 모델의 핵심 보안 취약점(회피 공격, 복제 공격, 백도어 공격 등)의 개념 및 원리와 이를 보호하기 위한 실질적인 방법을 심층적으로 살펴볼 것입니다. AI는 기존 시스템과 전혀 다른 방식으로 동작하며, 따라서 AI 해킹 및 방어를 위해서는 수학과 통계에 대한 지식이 중요합니다.

AI 보안은 더 이상 소수 연구자들만의 과제가 아닙니다. AI의 적용 분야는 사이버 공간 뿐 아니라 물리 공간까지 확대되고 있으며, 특히 사이버보안에도 적극 도입되고 있습니다. 현재 AI 보안 연구는 아직 초기 단계이며, 이를 해결할 전문가는 절대적으로 부족합니다. AI가 우리의 보안 위협이 될 것인지, 혹은 우리를 지키는 핵심 자산이 될 것인지는 지금 결정해야 합니다. AI 보안의 최전선에서 대응할 사람은 바로 여러분입니다.

3.1.2. Finding bugs and fixing code without humans


Large Language Models (LLMs) have been unavoidable in the news for advances in tasks such as generating code and solving math problems. Large software companies such as Google and Meta report using LLMs extensively to write unit tests and assist in writing production code. The US Government is now holding a competition called AIxCC to use LLMs to find and fix bugs in open source software without human intervention. We will discuss the approach our team took to automating security work which led us to win the first round of this competition: successfully identifying and producing POCs for 13 bugs in 4 of the 5 projects given, and generating patches for 11 of those bugs. We will also discuss the areas where LLMs continue to struggle. Some of the key areas of research include using agents to overcome LLM hallucinations, exploit generation with LLMs, and limiting analysis costs. This work will be open source after the final round of AIxCC in August 2025.

3.1.3. 신뢰할 수 있는 AI 생태계 구축: LLM 취약점 분석과 경량화된 guard model 개발


ChatGPT-3.5의 등장으로 AI 기술은 연구 영역을 넘어 일상으로 확장되었고, 사용자 수가 가파르게 증가했습니다. AI Safety는 AI 시스템의 신뢰성과 통제 가능성을 확보하여 사회질서를 유지하고 AI로 인한 잠재적 위험을 최소화하는 것을 목표로 하는 분야입니다.

주요 AI 리스크는 미래의 인력 대체로 인한 노동가치 하락, 인간 통제를 벗어난 자율적 AI 시스템부터 현재 악용되는 가짜뉴스 생성, 사이버 공격, 사회적 갈등 조장, 지적재산권 침해 등이 있습니다. 이러한 위협에 선제적으로 대응하기 위해 국가 연구기관, 국제 협력 체계, 그리고 기업 주도 이니셔티브가 적극적으로 추진되고 있습니다.

본 세션에서는 AI Safety 분야의 핵심 리스크와 글로벌 대응 동향을 소개합니다. 특히 티오리 연구팀이 진행한 LLM 내부 취약점 분석 방법과 함께 AI 시스템의 취약점을 해결하기 위해 개발된 보호시스템 PRISM을 소개하며, 직면한 문제와 해결방안을 설명합니다.

우리는 학습데이터 오염, 연구자의 편향된 instruction tuning 등 LLM 개발시 발생할 수 있는 문제들로 비롯되는 LLM 내부 취약점을 분석하였으며, 이중 LLM 내부의 편향을 이용하하는 취약점인 Biasjailbreak 기법과 그 대응 방안을 제시합니다. ɑprism의 보호 로직인 ɑprism GUARD는 LLM에 입력되는 prompt를 분석하고, 분석한 데이터를 바탕으로 공격에 대한 선제적 방어를 하는 guard 로직으로, LLM 기반 데이터 증강 기술을 통해 다국어 환경에서도 효과적인 jailbreak 방어 능력을 제공합니다. 기존 guard model이 높은 컴퓨팅 자원 요구로 실용화에 제약이 있었던 반면, ɑprism은 경량화와 성능 최적화로 이러한 한계를 극복했습니다. 이로써 기업뿐 아니라 개인 사용자에게도 고급 AI 보안 기능을 제공하여 안전한 AI 생태계 구축에 기여합니다.

3.1.4. 차세대 GRC를 위한 통합 및 자동화 중점의 ComplOps 소개


현대 글로벌 애플리케이션에서는 Cloud, DevOps, Container Orchestration과 같은 기술의 사용이 증가하고 있습니다. 이러한 환경에서는 Security Compliance를 준수하기 위해 상당한 인적 자원이 필요하고, 관리의 허점으로 인해 보안 위험이 증가할 수 있습니다.
이 발표에서는 글로벌 영상 채팅 플랫폼을 운영하는 기술 중심 회사의 Security Compliance Team이 복잡한 IT 환경에서 Security Compliance 통제 사항을 준수하기 위한 Operation을 자동화, 통합화하고 커뮤니케이션 및 협업을 지원하는 'ComplOps' 개념을 도입하여 반복적인 Operation의 작업 효율성을 극대화하여 보안 위험을 최소화한 경험과 접근 방식을 공유하려고 합니다.
주요 발표 내용으로는 먼저, 'ComplOps' 개념과 필요성을 자세히 설명하며 이를 도입하기 위해, 필요한 준비 사항(제약, 제반)과 Tool(GRC Tool, CSPM)을 선택할 때 고려해야 할 요소를 소개합니다.
이후 구체적인 'ComplOps'의 구현 방법과 데모를 통해 주요 Security Compliance 통제 사항(Third-party vendor 및 SaaS 관리, 자산 관리, Risk management, 보안 운영 평가, 통제 항목 최신화, 보안 정책 관리, 증적 관리 등)을 어떻게 운영하고 있는지 사례 기반으로 공유합니다.
특히, 자동화를 통해 증적 수집, 자산 관리를 효과적으로 수행한 사례와 이후 SaaS, CSP의 운영 정보를 통합화하여 Shadow IT를 줄이고, 실시간으로 통제 사항 준수 여부를 모니터링하여 신속한 커뮤니케이션 및 협업을 통해 위험 관리하는 사례를 중점으로 설명합니다.
마지막으로, 본 개념을 도입해 2024년 동안 두 개의 Security Compliance(SOX ITGC, K-ISMS)를 운영한 효과(리소스 변화, 개선 효과, 심사 대응, Human Error 감소 등)와 커버리지 영역 및 한계를 설명하고, 앞으로 2025년 준비해야 하는 ISO 27001:2022의 대응 전략을 공유하고자 합니다.
이 발표를 통해 저희의 경험을 공유함으로써 컨퍼런스에 참가해 주신 많은 보안 담당자분과 'ComplOps'의 효과뿐 아니라 어려움과 갈등을 나누어, 더 나은 Security Compliance Operation 문화를 만들고 싶습니다.

3.1.5. 제목은 Cloud Security로 하겠습니다. 근데 이제 Offensive를 곁들인


제목과 같이 Cloud Security를 주제로 발표를 진행합니다. 다만 다른 Cloud Security 발표들과의 차이점이 있다면 바로 Offensive를 곁들인다는 부분입니다. 인터넷에 퍼져있는 많은 Cloud Security 관련 자료들은 안전한 아키텍처나 WAF/IPS/SIEM/SOAR 도구 사용에 대한 방법 등 주로 Defensive한 부분에 많이 초점이 맞추어져 있거나, Offensive한 부분을 다룬다고 해도 '권한 제어 미비', '가시성 확보 실패', '제로데이 공격 있습니다. 즉 실제로 공격자가 Cloud 환경에서 어떤 식으로 공격을 수행하는지에 대한 정보가 미비하다고 생각했습니다. 이에 이번 발표에서는 공격자가 실제로 Cloud 환경을 사용하는 서비스를 대상으로 또는 인프라 자체를 대상으로 어떤 공격을 수행할 수 있는지 예시와 함께 공유드릴 예정입니다. 또한 이러한 공격들로부터 안전해지기 위한 방법을 제안함으로써, 그냥 도구를 어떻게 사용하는지가 아니라 원인이 무엇이고, 이에 따라 어떻게 대응하는지를 하나의 원인과 결과로서 공유드리는 자리라고 봐주시면 될 것 같습니다.

3.1.6. The challenge of tight window


Race condition 및 Concurrency UAF는 Type confusion, Logic bug 등과 함께 Fuzzing 등의 Software test automation technique을 통한 효과적 검출이 난해한 것으로 알려진 취약점입니다. 특히 이러한 경향은 Linux kernel, Windows Kernel, JS engine, Rendering engine 등 대규모 코드베이스에서 더욱 두드러지게 나타납니다. 더하여 Race condition 및 Concurrency UAF은 Linux kernel에서 발생했던 CVE-2022-2959, V8에서 발생했던 Issue 40055938 등과 같이 권한 상승 및 원격코드실행 등 심각한 수준의 위협성을 지닙니다.

이러한 배경으로 인해 Race condition 및 Concurrency UAF은 취약점 연구자들의 꾸준한 관심사 중 하나로 이어져 오고 있으며, 특히 Linux kernel을 중심으로 하여 DDrace, Razzer 등의 연구는 다수의 신규 취약점을 식별해 내는 등 뛰어난 결과를 보였습니다.

본 발표의 진행은 상술한 경향성과 선행 연구에 대해서 간단하게 살펴보고, 발표자가 Best of the Best 12기에서 진행했던 프로젝트에서 도출된 Linux kernel에서의 Race condition 및 Concurrency UAF에 대한 검출 방법론을 소개할 예정입니다. 해당 방법론은 Linux kernel에서 동시성으로 인한 문제를 검출하기 위한 KCSAN의 3가지 개선 가능 지점인 계측 정밀성, 지연 시간, 검출 효율성을 해결하기 위해 설계되었으며, SVF에 기반한 정적분석과 Syzkaller를 결합한 형태로 구현되었습니다. 이어서 이를 JS engine에 적용하는 것을 목표로 현재 진행 중인 프로젝트에서 타깃의 특성에 따라 새롭게 제기된 문제들과, 이를 해결하기 위한 시도들에 대해 다룰 예정입니다.

본 발표는 동시성 문제에서 기인하는 개별적 취약점에 대한 세부적인 탐구보다는 동시성 문제에서 기인하는 취약점에 대한 검출 방법론의 설계와 각각의 주요한 타깃에 대한 적용 과정에서 식별된 문제, 그리고 이를 해결하기 위한 시도들에 초점을 맞춥니다.

공유자원과 이에 대한 접근의 식별 및 동시성 관련 Sanitizer의 개선 가능 지점의 도출과 개선을 위한 노력의 소개가 .HACK에 참석하는 모두에게 새로운 Insight로 와닿을 수 있길 바랍니다.

3.1.7. 컴파일러 규칙 기반 웹어셈블리 런타임 퍼징


웹 어셈블리(WebAssembly) 런타임은 프로그램 실행 속도를 극대화하기 위해 내부에 컴파일러를 탑재하고 있습니다. 이 컴파일러는 코드를 기계어로 변환하며, 변환 과정에서 다양한 컴파일러 규칙을 사용해 최적화를 수행합니다. 그러나 기존 테스트 도구들은 이러한 규칙의 복잡성을 충분히 다루지 못하고, 제한된 기능으로 인해 다양한 테스트 케이스를 생성하는데 한계가 있습니다. 그 결과, 런타임의 버그를 발견하지 못하는 사례가 다수 발생합니다.

본 발표에서는 이러한 한계를 극복하기 위한 연구를 소개합니다. 연구에서는 규칙 기반 퍼징(Rule-guided fuzzing)과 역 스택 기반 생성(Reverse stack-based generation)이라는 두 가지 새로운 기술을 제안합니다. 이 기술들은 복잡한 컴파일러 규칙을 효과적으로 탐색하고, 보다 다양한 테스트 케이스를 생성하여 웹 어셈블리 런타임을 정밀하게 테스트할 수 있도록 돕습니다. 실제로 이 기술들을 브라우저 엔진 3종을 포함한 총 6개의 런타임에 적용한 결과, CVE 하나를 포함한 20개의 새로운 버그를 발견하는 성과를 거두었습니다. 결론적으로 발표에서는 해당 기술들의 설계, 구현, 그리고 이를 통해 새롭게 발견한 버그 사례를 중심으로 연구의 전반적인 과정을 상세히 다룰 예정입니다.

3.2. Room2

Room2(E5)에서는 Lessons Learned, Tech Session, Special Session이 진행되었다.

3.2.1. Web3 입문기: UniswapV4 Security Platform


최근 Web3 시장에 자본이 집중화됨에 따라 Web3 커뮤니티에 참여하는 사람들이 많아지고 있습니다. 한편, Web3에 입문하고 싶어도 어떻게 입문해야하는지 막막한 경우가 많습니다. 이러한 배경에서 저는 Web3 보안 인재 양성 프로그램인 UPSide Academy (두나무 X 티오리) 에 참여하여 주요 개념을 학습할 수 있었고, Web3에 대한 큰 흥미와 만족스러운 성장을 이루어 냈습니다. 이를 기반으로 UniswapV4 Security Plaform을 주제로 팀 프로젝트를 진행하였습니다.

하지만 팀 프로젝트는 또 다른 영역이었습니다. UniswapV4 Security Platform은 hook contract의 malicious를 탐지하는 도구입니다. 따라서 프로토콜에 대한 이해가 선행되고, 해당 프로토콜에 특화된 취약점 탐지 도구를 설계하고 개발해내야 했습니다. 저는 이러한 과정 속에서 겪었던 기술적 어려움과 한계점을 어떻게 수용하고 극복해 냈는지, 또 어떤 점을 개선해 나갈 수 있었는지 이야기해 보고자 합니다.

이 발표에서는 Web3 입문기와 프로젝트 수행 과정에서, 어떤 학습 방법이 효과적이었고 어떤 점이 아쉬웠는지 이야기하고자 합니다. 이를 통해, 앞으로 Web3 도전하고자 하는 사람들이나 프로젝트와 같은 협업을 앞두고 있는 사람들에게 도움이 되길 바랍니다.

3.2.2. Diffing 꼭 취약점만 찾아야해? LLM도 붙이면?


많은 분들이 Diffing을 통하여 패치 전후의 1-day와 유사 패턴의 취약점을 찾는 데 많이 사용하고 있습니다.
저는 해당 Diffing을 사내 개발 과정에 적용하여 협력사와 Release Note가 없는 Version Up을 찾는 데 활용하였습니다. 그 과정에서 오픈 소스로 공개된 Diffing 툴을 어떻게 사용하였고, 실패했고 포기하려고 했지만 LLM까지 붙이는 과정을 통하여 취약점을 찾는 과정에서 사용하는 도구가 현업에서 사용되면 어떤 효과가 있는지를 소개하고자 합니다.

3.2.3. 중고나라부터 투자리딩방까지: 정보보호학 박사(수료)가 보는 사이버사기 추적시도 사례


사이버범죄 중 가장 흔한 유형은 사이버 공간에서 벌어지는 '사기'일 것입니다. 이러한 사이버사기는 단순한 비대면 물품거래를 가장한 사기부터 비상장주식과 암호화폐 투자에 이르기까지 다양한 양상을 나타내고 있습니다. 저는 지난 3년간 우리나라에서 나타나는 사이버사기 행위를 추적하였고 실제로 다수의 범죄자를 검거하였습니다. 하지만 많은 추적 실패 사례 또한 경험하였습니다. 여러 수사기법을 활용해 피의자 특정을 시도하였으나 한계에 봉착할 수밖에 없었습니다. 이 발표에서는 중고나라에서부터 투자리딩방까지 우리나라의 사이버사기 범죄의 양상을 분류하고 전 세계적 동향을 알아봅니다. 그리고 최근 새로이 등장한 신종 사기 기법인 투자리딩방이나 가상화폐 사기운영 조직들이 피해자들을 큰 수익을 벌어준 것처럼 보여줄 때 사용하는 프로그램, 어플리케이션, 홈페이지를 리버스 엔지니어링한 결과물로 어떻게 범죄자를 추적할 수 있을지를 보여줄 예정입니다. 또한 정보보호의 기술적 관점과 정책적 관점에서 사이버사기 범죄자를 한 발자국이라도 더 추적할 수 있을지 현장에서 느낀 Lesson Learned를 공유하고자 합니다.

3.2.4. 첫 Kernel CTF exploit


kernelCTF는 Google에서 운영하는 리눅스 커널 관련 바운티 프로그램 입니다. Linux Kernel의 perf서브시스템에 대한 1-day를 각자 분석하였고 새로운 보호 기법이 적용된 커널인 kernelCTF의 mitigation instance에서 exploit에 성공했습니다. 본 발표에선 해당 1-day에 대한 간략한 설명과 mitigation instance exploit에 성공하기 위해서 어떠한 시행착오를 겪었고 이를 어떻게 극복했는지에 대해 중점적으로 소개하며 극복 과정에서 얻은 인사이트들도 공유합니다.

3.2.5. Real-World Bug Bounty: Lessons Learned through Trial and Error


버그 바운티는 보안 전문가와 기업이 협력하여 취약점을 발견하고 해결하는 데 기여하는 중요한 방식으로 자리 잡았습니다.

저는 2018년 네이버 버그 바운티에서 첫 XSS 취약점을 발견하며 버그 바운티의 세계에 발을 내디뎠습니다. 취약점 하나를 발견하기까지 수많은 시도와 실패를 거쳤고, 그 과정에서 배운 것들이 지금까지 이어져 오고 있습니다. 이후 국내 주요 버그 바운티 대회인 Hack The Challenge와 화이트햇투게더에 참가하여 좋은 성과를 거두고, 다양한 플랫폼에서 의미 있는 취약점들을 발견하며 성장해 왔습니다.

웹 서비스 취약점을 중심으로 제가 겪은 시행착오와 실제 경험을 바탕으로 한 구체적인 사례들을 공유합니다. 특히 취약점 분석 시 놓치기 쉬운 부분들과 리포트 작성에서의 핵심 포인트를 다룹니다. 처음 버그 바운티를 시작할 때는 단순히 취약점만 찾아 제보했지만, 평가자와의 커뮤니케이션 과정을 통해 실제 공격 시나리오와 비즈니스 임팩트를 함께 고려하는 것의 중요성을 배웠습니다.

또한 버그 바운티 스터디를 운영하며 함께 배우고 성장했던 경험도 나눕니다. 스터디를 통해 많은 분들이 '어디서부터 시작해야 할지 모르겠다'는 공통된 어려움을 겪는다는 것을 알게 되었습니다. 이러한 어려움을 함께 해결해 나갔던 경험을 바탕으로, 타깃 선정부터 분석 방법, 리포트 작성까지 사례들을 공유합니다.

이 발표를 통해 버그 바운티에 관심 있는 분들께 도전을 위한 작은 도움이 되고, 프로그램 참가에 대한 용기를 얻는 계기가 되기를 희망합니다.

3.2.6. Pwn2Own Ireland 2024 첫 도전과 실패 경험을 통한 준비


안녕하세요. 저는 IoT 보안 연구를 진행하고 있는 X-IoT 보안회사 지엔의 연구개발팀 선임 연구원 박한렬입니다. IoT 보안을 연구하며 연구 성과 발표, 버그 바운티 제보, 대회 참여 등 다양한 활동을 이어가고 있습니다.

입사 후 지난 3년간 다수의 취약점을 제보하며 경험을 쌓아왔고, 2024 DEFCON IoT Village에서 연구 성과를 발표하며 연구자로서의 자신감이 점점 상승했습니다. 이러한 경험을 바탕으로, 더 큰 도전을 위해 팀원들과 함께 Pwn2Own Ireland 2024 대회에서 IoT 제품의 Pre-Auth 취약점 2건을 제보하는 것을 목표로 삼았습니다.
그러나 지나치게 많은 장비를 분석하려는 무리한 접근 방식으로 인해 자원과 인력 분배의 한계를 마주했고, 결국 목표를 달성하지 못하는 아쉬운 결과를 경험했습니다.

이번 발표에서는 해당 실패 경험을 바탕으로, 취약점 분석 접근법의 한계와 실패 요인에 대해 중점적으로 다룰 예정입니다.
IoT 기기는 하드웨어 아키텍처, 운영체제, 미들웨어, 웹 인터페이스 및 애플리케이션 구성의 다양성으로 인해 장비별 분석 전략이 크게 달라질 수 밖에 없습니다. 이러한 다양성은 분석 중 주요 지점을 간과하거나 불필요한 자원 낭비로 이어질 위험이 있습니다. 특히, 하드웨어 분석 중 예상치 못한 고장이 발생할 경우 해외 제품 특성상 장비 추가 구매나 수리에 많은 시간과 비용이 소요될 수 있음을 깨달았습니다. 이와 같은 경험을 통해 체계적이고 전략적인 접근 방식이 프로젝트 성공에 필수적임을 절실히 느꼈습니다.

이 발표는 IoT 보안 연구를 준비하는 학생과 연구자 여러분께 실패에서 얻은 교훈과 실질적인 분석 전략을 공유함으로써, 향후 연구와 프로젝트 성공의 발판이 될 정보를 공유하고자 합니다.

3.2.7. The way they are watching you: Exploiting the Surveillance System and its supply chain


인공지능과 영상 처리 기술의 발전으로 CCTV를 포함한 영상 감시 산업은 급격히 성장하고 있습니다. 하지만 이러한 기술 발전은 개인의 프라이버시 침해와 개인정보 유출이라는 심각한 문제를 동반하고 있습니다. 특히, 감시 시스템의 중심에 있는 NVR은 그 중요성에도 불구하고, 보안 취약점에 대한 연구와 관심이 상대적으로 부족한 상황입니다.

본 발표에서는 NVR의 공급망 보안 문제와 실제 프라이버시 침해 가능성을 구체적으로 분석합니다. 시장 점유율이 높은 Hikvision과 Dahua, 그리고 Synology의 Surveillance Station을 분석 대상으로 선정하였으며, 이 과정에서 발견한 다양한 취약점과 이를 통해 발생할 수 있는 공격 시나리오를 공유합니다.

우리는 파일 시스템 추출 과정에서 발생한 여러 도전 과제, 예를 들어 부트로더(U-Boot) 보호장치 우회와 같은 문제를 부 채널 공격, OS 명령어 주입, 정보 유출 기법 등을 활용하여 해결하였습니다. 파일 시스템 추출 이후 다양한 분석 방법론을 통해 여러 종류의 취약점을 발견하였고, 해당 과정에서 발견한 취약점은 단순한 임베디드 시스템의 전형적 문제를 넘어, NVR이 가진 특수한 환경에서 발생 가능한 시나리오로 작성하였습니다. 예를 들어, NVR에서 사용되는 API를 이용한 영상 탈취 시나리오, 관리자 패스워드 초기화를 통한 영상 탈취 시나리오 등을 포함합니다. 마지막으로 이러한 취약점들이 공급망을 통해 확산되는 과정을 검증하였고, 파급력을 확장 시킬 수 있었습니다.

이러한 내용들을 통해 연구자들은 영상 감시 시스템 및 이와 유사한 시스템에서 취약점을 발견하거나 이를 익스플로잇할 수 있는 통찰력을 얻을 수 있으며, 공급망 보안의 중요성을 강화하기 위한 아이디어를 얻는 계기가 될 것입니다.

3.2.8. AI기반 실시간 침해사고 탐지/대응(feat. eBPF)


AI기술 발전은 하루가 멀다 하듯 발전하고 있습니다. 현재 기업들은 방화벽, 침입 탐지 시스템, Threat Intelligence, 클라우드 보안 솔루션, 다중 인증 시스템 등을 활용하여 점점 고도화되는 사이버 공격에 대응하고 있습니다.

AI 기술이 발전함에 따라 보안 패러다임도 기존의 경계 기반 방어에서 실시간 적응형 보안으로 변화해야 합니다. 특히 AI가 위협을 실시간으로 감지하고 자동으로 대응하는 능력이 핵심이 될 것입니다. 기존 보안 시스템은 정해진 패턴과 규칙을 기반으로 공격을 탐지하지만, AI를 활용한 새로운 공격 방식은 기존 패턴을 우회할 수 있기 때문에 정형화된 탐지 방식만으로는 대응이 어렵습니다. 따라서 보안은 AI는 활용하여 정상적인 시스템 작동을 학습하고, 그와 다른 이상징후를 스스로 탐지하여 즉각적인 방어 조치를 취하는 능력을 갖춰야 합니다.

이 발표에서는 eBPF와 AI기술을 사용하여 행위 패턴, 네트워크 트래픽의 변동, 데이터 접근 방식 등을 실시간으로 분석하여 의심스러운 행동을 사전에 감지 하고 대응하는 선제적 대응에 대해 다룹니다.

3.2.9. 투자자 입장에서 본 사이버보안 시장의 현재와 미래(Special Session)


현재 사이버보안 시장은 ▲디지털 전환 가속화(클라우드, 원격근무 확산)로 인한 공격 표면 증가 ▲랜섬웨어, 지능형 위협 등 사이버 공격의 고도화 및 빈도 증가 ▲개인정보보호 등 데이터 관련 규제 강화라는 복합적인 요인에 의해 견고한 성장을 지속하고 있다. 이는 기업에게 보안 투자를 비용이 아닌 필수 경영 요소로 인식하게 만들었다. 그렇지만, 미래는 다소 다른 접근이 필요해 보인다. 향후 사이버보안 시장은 ▲인공지능(AI)·머신러닝(ML)을 활용한 지능형 위협 탐지 및 대응 자동화 ▲클라우드 네이티브 환경 보안(CASB, CWPP, CSPM 등) 강화 ▲스마트팩토리, 커넥티드카 등 사물인터넷(IoT)·운영기술(OT) 환경으로의 보안 영역 확장 ▲'제로 트러스트(Zero Trust)' 아키텍처 도입 확산 ▲만성적인 보안 전문가 부족 심화에 따른 관리형 보안 서비스(MSSP) 시장 성장 등이 주요 트렌드 키워드가 될 것이다. 투자자 입장에서 사이버보안은 장기적인 성장 잠재력이 매우 높은 분야이다. 단순히 방어적 기술을 넘어 AI, 클라우드, IoT 등 미래 기술과의 융합을 통해 새로운 부가가치를 창출하는 영역에 주목할 필요가 있다.

3.3. Room3

Room3(E6)에서는 Junisor Session, Carrer, Frideside Chat이 진행되었다.

3.3.1. 우당탕탕 고등학생의 첫 보안프로젝트 도전기


IDA Python3과 IDA Python API를 활용하여 정적 분석 자동화 도구를 개발한 경험을 공유하고자 합니다. 이 도구는 Command Injection과 Format String 버그를 포함한 취약점 탐지 자동화 구현을 목표로 하였으며, Juliet C/C++ 1.3 데이터 세트를 기반으로 제작되었습니다.

프로젝트 초기에는 기본적인 정적 분석 기법과 도구 사용법을 학습하는 데 주력하였으나, 실험과 개선 과정을 거치면서 도구의 정확성과 효율성을 크게 향상시킬 수 있었습니다. 사전에 발급된 CVE와 Juliet 데이터 세트를 활용하여 취약점 사례와 코드 패턴을 학습하고 이를 개발에 적용하여 개선해 나갔고 최종적으로 IP 카메라 내에서 실제로 취약점 트리거를 시도할 수 있었던 결정적인 계기가 되었습니다.

비록 최종적으로 CVE를 발급받는 등의 큰 성과는 이루지 못했지만, 이 프로젝트를 통해 정적 분석 기법, IDA Python 및 관련 API 사용법, 그리고 시스템 해킹에 대한 전반적인 인사이트를 넓힐 수 있었습니다. 처음 도전한 정보보안 프로젝트였음에도 불구하고, 협업을 통해 문제를 해결하고 도구를 발전시키는 과정에서 많은 것을 배울 수 있었습니다.

이 경험은 이후 BoB 프로젝트를 진행할 때 큰 도움이 되었습니다. 특히, 정적 분석 도구 개발 과정에서 얻은 노하우와 문제 해결 능력은 추후 진행할 BoB 프로젝트에 도전할 수 있는 발판이 되었습니다.

3.3.2. LLM 통합 웹 환경, 편리함 뒤에 숨은 위험


최근 기존 웹 환경에 LLM(Large Language Model)을 통합하는 사례가 급증하며, 이러한 기술은 웹 애플리케이션의 기능성과 사용자 경험을 혁신적으로 개선하고 있습니다.
LLM의 한계점을 극복하기 위해 등장한 RAG(Retrieval-Augmented Generation)와 같은 기술은 LLM의 성능을 높일 수 있지만, 동시에 새로운 Attack surface를 형성합니다.

본 발표에서는 LLM과 RAG 시스템의 기본적인 작동 흐름을 설명하며, 이들이 통합된 환경에서 발생할 수 있는 잠재적인 보안 위협을 사례 중심으로 분석합니다.
특히, 기존 웹에서 발생하던 SQL Injection, Remote Code Execution(RCE)과 같은 일반적인 취약점들이 LLM 통합 환경에서 어떻게 변형되고 확장될 수 있는지 살펴볼 예정입니다.
이를 위해 공개된 다양한 CVE 및 각종 보고서, 1-Day case를 통해 실제 발생했던 문제들을 공유하며, LLM 관련 프로젝트들을 대상으로 한 취약점 탐지 시도와 그 과정에서 사용한 방법론을 상세히 소개할 예정입니다.
발표의 마지막에는 취약점 탐지 결과와 그 분석을 바탕으로, LLM 통합 환경에서의 보안 위협을 효과적으로 완화할 수 있는 전략과 가이드라인 등을 제시합니다.

3.3.3. Find Vulnerabilities in Kubernetes Through Golang Code Auditing


현재 여러 Container Orchestration 솔루션 중 Kubernetes는 약 75%의 점유율을 기록하며 업계 표준으로 자리 잡았습니다. Kubernetes는 오픈소스 Container Orchestration 플랫폼으로, 컨테이너를 관리하기 위한 다양한 기능과 옵션을 제공하지만, 복잡한 아키텍처와 방대한 코드베이스로 인해 보안 취약점이 발생할 가능성도 함께 증가하고 있습니다. 본 프로젝트는 Kubernetes의 핵심 컴포넌트와 대표적인 서드파티 도구인 Ingress-nginx를 대상으로 보안 취약점을 탐지하고, Kubernetes의 전반적인 보안성을 강화하며, 버그바운티 프로그램 기여를 목표로 진행되었습니다.

해당 발표에서는 먼저 golang으로 이루어진 코드베이스에서 발생할 수 있는 주요 취약점들을 다룹니다. nil pointer dereference 등의 런타임 오류로 이어질 수 있는 문제, 입력값 검증이 미흡한 os.ReadFile, exec.Command 등의 함수가 초래할 수 있는 보안 리스크, 그리고 Symbolic link 우회 및 Path Traversal과 같은 파일 경로 관련 검증 부족 문제를 중심적으로 다룬 뒤, 이러한 취약한 코드 패턴을 탐지하는 방법론에 대해서 다룰 것입니다.

이후에는 Kubernetes의 특성을 고려하여 API Server, kubelet 등 주요 컴포넌트별로 취약점이 발생할 수 있는 Attack Surface를 판별하고, 해당 코드베이스에서 발생할 수 있는 logical bug로 인한 취약점에 대해서도 다룰 것입니다.

3.3.4. Vaults of Vulnerability: The Untold Stories of DeFi Hacks


DeFI(Decentralized finance)에서 발생하는 알려지지 않은 보안 취약점에 대해서 소개하고 잠재적 취약점을 이용한 몇백만 달러 규모의 자금 탈취 사례에 대해서 소개합니다. 블록체인은 지속적으로 많은 사람들의 관심을 받으며 점점 수면 위로 부상하고 있는 기술입니다. 블록체인 기술을 기반으로 만들어진 Smart Contract, 그중에서 금융이라는 키워드를 엮은 DeFI는 대량의 이용자들의 토큰/코인을 보관함으로써 많은 해커들의 주요 타깃이 됩니다. 유명한 DeFI의 플랫폼의 경우 TVL(Total Value Locked)이 약 몇천만 달러를 도달하기도 함으로 이는 화이트 햇 해커 모두가 보호해야하는 중요한 자금입니다.
큰 TVL을 가지고 있는 DeFI 플랫폼의 자금이 해킹을 통해서 탈취될 경우 이는 막대한 피해로 이어지게 됩니다. 또한 블록체인의 특성상 탈취된 자금은 자금 세탁을 진행하게 되면 추적이 어렵거나 불가능하게 되므로 최초 공격자를 검거하는 것에 많은 어려움이 있습니다. 실제로 북한에서도 이와 같은 특성을 이용해, 부족한 자금을 충원하기 위해 암호화폐 시장을 주요 타깃으로 잡고 공격하고 있는 상황입니다. 이와 같이 현재 DeFI 플랫폼에 대한 공격은 지속적으로 점점 증가하는 추세이나 국내에는 아직까지 웹, 시스템, 리버싱과 같은 기존 보안 시장이 더 많은 점유율과 수요를 차지하고 있어서 블록체인 보안에 대한 시장은 많은 관심을 받지 못하고 있습니다.
이번 발표를 통해 블록체인 보안에 대해서 조금 더 많은 화이트 햇 해커분들께 소개하고자 합니다. 본 발표에서는 실제 DeFI 플랫폼 해킹을 통한 자금 탈취 사례를 중점으로 Oracle Price Manipulation, Re-entry Attack과 같은 Smart Contract에서 발생할 수 있는 잠재적인 보안 취약점에 대해서 이해하기 쉽도록 설명합니다.

3.3.5. Pentesteredteam


본 발표에서는 모의해커로서의 실전 경험과 커리어 성장 과정을 공유하고, 모의해킹 분야 진입을 고민하시는 분들에게 실질적인 인사이트를 전달하고자 합니다.
핵심 내용은 크게 네 가지 영역으로 구성됩니다. 첫째, 모의해커의 정의와 보안 업계에서의 핵심 역할을 소개하며, 특히 침투 테스팅과 일반적인 웹/앱 취약점 진단의 차이점을 실무적 관점에서 설명합니다. 이를 통해 각 영역의 특성과 요구되는 전문성을 이해할 수 있을 것입니다.
둘째, 실제 모의해킹 프로젝트의 수행 과정을 단계별로 소개하며, 두 가지 대표적인 시나리오를 살펴봅니다. 기술 중심 시나리오에서는 파일 다운로드부터 시작하여 권한 상승, 측면 이동을 거쳐 핵심 서버를 장악하기까지의 과정을 다루며, 목표 지향 시나리오에서는 IDOR 취약점을 시작으로 정보 유출, 인증 우회를 연계하여 계정 탈취나 금전적 피해로 이어지는 과정을 설명합니다.
셋째, 모의해커에게 요구되는 핵심 역량과 이를 개발하기 위한 실질적인 학습 방법론을 공유합니다. 아울러 모의해킹 분야의 채용 시장 현황과 전망, 그리고 제 개인적인 Career Path를 통해 실제적인 발전 가능성을 제시하고자 합니다.
마지막으로, 화이트해커로서 반드시 지켜야 할 윤리적 가치관과 책임감을 강조하며 마무리합니다. 이를 통해 단순한 기술적 역량을 넘어, 진정한 보안 전문가로 성장하기 위한 마음가짐을 전달하고자 합니다.

3.3.6. 버그헌팅을 통해 얻는 꺾이지 않는 마음


버그바운티는 기업의 제품에서 보안 취약점을 탐색하고 이를 제보하는 활동으로, 실제 보안 직무와 유사한 경험을 제공하는 기회입니다. 이 발표에서는 제가 참여했던 버그바운티 활동이 금전적인 부분 뿐만이 아닌 실무를 간접적으로 경험하기 위한 수단으로 활용할 수 있음을 이야기합니다.

버그바운티 활동은 단순한 기술 연습을 넘어 실제 제품 환경에서의 문제를 탐구하며 보안 분석 역량을 키울 수 있습니다. 특히 취업 준비 과정에서는 지원 기업의 제품을 분석해 취약점을 제보하는 경험이 강점으로 작용 할 수 있음을 이야기합니다. 또한 이러한 활동은 단순히 기술을 습득하는 것을 넘어 보안 직무에서 필요한 실질적인 문제 해결 능력을 기르는 데 큰 도움이 될 수 있음을 이야기합니다.

현재는 발표자는 LG전자에서 자사 제품의 보안을 점검하고 취약점을 보완하는 업무를 하고 있으며, 이는 버그바운티 활동에서 익힌 경험과 자연스럽게 연결되었음을 이야기합니다.
버그바운티는 보안 분야에서 실무를 간접적으로 경험하며 실제 업무에서 활용할 수 있는 역량을 쌓는 데 유용한 도구가 될 수 있음을 경험과 함께 다시 한번 이야기합니다.

최종적으로 이 발표에서는 버그바운티가 정보보안 직무를 준비하는 데 있어 어떤 가치를 제공하는지를 다시 한번 정리하며 어떤 플랫폼들이 있는지를 소개하고 발표를 마무리하고자합니다.

3.3.7. 개인정보 분야의 직무와 커리어 가이드


정보보안 분야로의 진로를 고민하는 학생들을 대상으로, 다양한 직무와 커리어 경로를 소개하고자 합니다. 대학교에서 정보보안 전공 이후 선택할 수 있는 직업군을 소개하고, 정보보안 분야가 단순히 개발 직무에만 한정되지 않고 폭넓은 선택과 가능성이 있음을 제시하고자 합니다.
또한 개인정보 담당자로 취직으로 고려하는 학생들에게 기업이 취업 준비생들에게 기대하는 주요 역량과 도움이 되는 스펙을 공유하고자 합니다.
개인적으로 문과에서 정보보안 전공 후 개인정보 담당자로 커리어를 쌓아가면서 했던 직무 고민과 커리어 방향성 등을 공유하여, 보안 전공을 또는 취직을 고려하는 학생들에게 커리어 수립을 위한 도움을 주고자 합니다.

3.3.8. 학술적 연구에서 제로데이 연구까지


본 발표에서는 대학원 진학과 제로데이 취약점 연구를 하고 싶어 하는 학생들을 대상으로 발표자가 경험했던 다양한 내용을 소개합니다.

먼저 대학원에서는 어떤 지식을 배울 수 있는지와 학술적 연구는 어떤 과정으로 이루어지는지에 대해 소개합니다. 발표자가 대학원에서 논문들을 작성했던 경험을 바탕으로 학술적 연구의 전반적인 과정에 대해 설명합니다. 또 대학원을 졸업하면 어떤 방향의 진로를 선택할 수 있는지 소개합니다.

다음으로, 제로데이 취약점을 발견하고 버그 바운티 프로그램에 참여했던 발표자의 경험을 소개합니다. 발표자가 어떤식으로 취약점을 발견하고 분석하였는지와 발표자가 참여했던 버그 바운티 프로그램인 Pwn2Own과 kernelCTF를 운영하는 Google VRP (Vulnerability Reward Program)에 대해 설명합니다.

3.3.9. 금융권 망분리 규제 개선에 따른 보안 리스크 관리


금융분야 망분리 정책 및 금융권 적용 등 동향을 소개하고, 법조계, 금융권, 학계 연사로 구성된 패널들의 토론이 진행됩니다.

3.4. Closing & Award 세션

Closing & Award 세션은 Room 1~4에서 진행되는 CTF, Dreamhack, AI Prompt Injection 등에게 어워드와 럭키 드로우로 iPad A17 프로를 제공하는 세션이었다.

3.4.1. AI Prompt Injection

AI Prompt injection 수상으로는 로지텍의 버티컬 마우스로 상품을 증정받았다. 6단계를 총 22 Prompts만에 해결하였다.

3.4.2. 럭키 드로우

Closing & Award 세션 현장에 있었던 참가자에 한하여 이벤터스 시스템을 통해 추첨 번호를 분배하고 뽑힐 시 iPad A17 Pro를 제공하는 이벤트였다. 수상자로는 세종대학교 재학생이 받았다.

4. 이벤트

.HACK 컨퍼런스에서 진행되었던 각종 이벤트를 서술하는 문단입니다. 자세한 문단은 하단 문단을 참고해주시길 바랍니다.

4.1. Lock Picking

자물쇠는 기본적으로 총 3가지로 기본적인 투명 자물쇠, 투명 원형 자물쇠, 투명 기둥형 자물쇠이고 만약 락 피킹에 성공할 시 금화[비밀]를 제공하고 난이도가 더욱 어려운 내부가 안 보이는 자물쇠를 열면 또 금화[비밀]를 준다.[40]

4.2. Rapid Hack

C언어, Python, JS 등 각종 언어에 숨겨진 취약점을 빠르게 찾는 이벤트이다. 상품으로는 참가자 중 3명을 추첨으로 치킨 기프티콘을 준다.

4.3. Speed Coding

Python, C, C++, C#, SQL(SQLite), Java, Javascript, Typescript, Swift, Objective-C 등 다양한 언어[택1]로 주어진 10개의 코드를 구현하면 된다.

4.4. AI Prompt Injection

가장 난이도가 어려운 이벤트로 총 6개의 스테이지로 이루어지며 각 스테이지별로 모델 혹은 시스템 프롬프트가 변경되며 난이도가 올라가는 이벤트이다. AI 비서에게 Theroi의 마스코트인 아모의 비밀번호를 획득하면 된다. 프롬프트는 총 100개가 제공되며 1위는 6스테이지, 22 Prompts 사용으로 1등을 쟁취하였다. 4 스테이지까진 아모와 친한 척을 하면 해결되었지만 5 스테이지부터는 강화된 프롬프트로 인해 친한 척을 하여도 풀지 못하는 난이도가 상당히 높은 이벤트이다.

5. Dreamhack 상점

AI Prompt Injection 이벤트장 옆에 위치한 Dreamhack 상점으로, Dreamhack 티어만 인증해도 배지와 당일날만 하단 QR코드로 접속하면 Enterprise를 20% 할인해주는 행사가 있었으며 Dreamhack 관련된 굿즈가 판매되었다. 주로 키링, 우산, 노트북 케이스 등이 있었으며 가격대는 7000원 ~ 3,40000원 정도이다.
[1] 보안 회사이다.[2] 미래를 해킹하라, 한계 없이 라는 뜻으로 추정된다.[3] 제한된 자리, 주류 제공으로 인해 성인 제한, General 티켓 제한[4] 허나 대학원생은 미 해당이다, 그에 따라 대학원생은 General 티켓을 구매해야한다.[5] 저는 고려대학교 정보보호대학원 부교수로 AI 연구실(AIR Lab)을 운영하며 AI 안전성, 신뢰성, 보안을 연구합니다. 서울대에서 학사와 석사를, 위스콘신-매디슨에서 인공지능으로 박사 학위를 받았으며, 독일 도르트문트 대학 책임연구원과 한양대 조교수를 역임했습니다.[6] Andrew Wesie is a cybersecurity expert specializing in offensive security research and development. He has been a member of the Plaid Parliament of Pwning CTF team since 2009, with whom he has won DEFCON CTF 7 times. He is currently CTO at Theori, with a recent focus on solving cybersecurity with AI.[7] Theori AIOS팀의 researcher입니다. Theori에서 Large Language Model(LLM)을 활용한 취약점 탐색 또는 LLM내부에 존재하는 취약점을 주로 연구하고있습니다.[8] 저는 회계법인에서 보안 컨설턴트로써 7년간 근무하였으며, 2022년부터 하이퍼커넥트에서 Security Compliance Team에서 근무하고 있습니다. 회사에서는 Security Compliance를 준수하기 위해 효율적인 방법을 항상 고민하고 있으며, 본 발표를 통해 저희가 고민했던 사항과 해결 방법을 공유하고 싶습니다.[9] 저는 블록체인과 결제 플랫폼 기업에서 6년 동안 보안 엔지니어 및 매니저로 근무하였으며, 2023년부터 하이퍼커넥트에서 Security Compliance Analyst로써 ISO 27001, SOX ITGC, K-ISMS 등 Security Framework를 담당하고 있습니다. 최근, 변화하는 IT 환경 및 트랜드에 맞춰 Cloud, Container Orchestration, 그리고 DevOps 환경에서 다양한 Security Compliance 보안 통제를 어떻게 적용할지 많은 고민을 하고 있습니다.[10] 10년 차 Application Security Engineer로 현재 우아한형제들 SOC 팀에 소속되어 있으며, 서비스 보안성 확보를 위해 취약점 진단, 모의해킹, 클라우드 보안 등 다양한 예방 차원의 업무들을 수행하고 있습니다.[11] 직접 세션 시작때 그렇게 발언하였다.[12] UNIST S2Lab 소속 취약점 연구원으로써 소프트웨어 시스템에서 취약점 분석을 수행 중입니다. 특히 Linux kernel과 JS engine을 대상으로 하는 Software test automation technique의 적용에 높은 흥미를 지니고 있습니다.[13] 저는 라온시큐어 핵심연구팀 소속원으로서 레드팀 업무를 수행 중입니다. 드넓은 "보안"이라는 분야에서 한없이 배울 수 있음에 감사하며 끊임없이 나아가기 위해 정진하고 있습니다.[14] 현재 카이스트 윤인수 교수님 연구실 박사과정 학생입니다. 소프트웨어 보안에 관심이 많으며, 주로 퍼징과 같은 자동화된 취약점 탐지 연구를 진행하고 있습니다. 소프트웨어의 경우 하이퍼바이저, 브라우저, 윈도우, 안티바이러스 등 다양하게 관심을 가지고 있습니다.[15] Web3 보안 인재 양성 프로그램 UPSide Academy 1기 수료 이후, MEV와 DEX 프로토콜을 연구하고 있습니다.[16] 현재 OPCIA에서 회사 전반적인 업무를 배워나가고 있습니다. 연구와 멘토링을 즐기고 있어 키보아(키다리보안아저씨)라는 단체를 운영하고 있습니다. 아직도 더 공부하고 연구하고 싶고 주말이면 골방에 앉아 고민하고 삽질하고 있습니다. "할 수 없는게 아니라 하지 않는 것이다."라는 좌우명으로 무조건 도전하고 있습니다.[17] 일선 현장에서 사이버 범죄를 수사하고 있는 오동빈입니다. 저의 일과 별개로 AI나 데이터 분석을 이용하여 사이버범죄를 대응하기 위한 방법들에 관심이 많아 개인적으로 학업을 하고 있고, 연구 결과물들을 논문으로 만들고 있습니다. 언젠가는 보다 평화로운(?) 인터넷 세상을 만들고 싶습니다.[18] 현재 숭실대학교 정보보호학과 1학년에 재학중이며 Linux Kernel을 중점적으로 연구하고 있습니다.[19] 소프트웨어 취약점 분석에 관심이 많으며, 최근에는 리눅스 커널 취약점에 대해서 연구하고 있습니다.[20] '하얀백숙'이라는 닉네임으로 버그 바운티 활동을 이어오며, 국내 버그 바운티 대회에서 세 차례 1위를 수상하고 국내 주요 버그 바운티 플랫폼들에서 2023, 2024년 연속 1위를 달성했습니다. 버그 헌팅 활동을 통해 정보보호 생태계의 발전과 안전한 사이버 환경 구축에 기여하고자 노력하고 있습니다.[21] 저는 X-IoT 보안 전문 회사 지엔 연구개발팀 선임 연구원으로, IoT 보안 연구 4년 차입니다. 사이버보안챌린지 2022 스마트홈 해킹 대회 우승, 2023 스마트팩토리 해킹 대회 4위의 성과를 냈으며, 다량의 KVE와 CVE를 제보했습니다. 또한, 2024 DEFCON IoT Village에서 DashCAM 취약점을 발표한 경험이 있습니다.[22] 차세대 보안 리더 양성 프로그램(BoB) 12기 WhiteHat 10으로 선정되었으며, 정보보안 컨설턴트로 활동하고 있습니다. 웹/모바일, 운영 기술(OT), 정책 등의 보안 분야에서 경험을 쌓고 있으며, 최근에는 IoT 보안과 공급망 보안에 관심을 가지고 연구하고 있습니다.[23] 차세대 보안 리더 양성 프로그램(BoB) 12기 Top 30으로 선정되었으며, 현재 ENKI WhiteHat 컨텐츠팀에서 재직중입니다. 현재는 시스템과 IoT 보안에 관심이 있으며 임베디드 해킹을 공부하고 있습니다.[24] 6G, AI, 양자 컴퓨팅 등 기술의 발전에 따라 미래에 필연적으로 도래할 세상에 보안은 어떤 모습일까?를 상상하는 평범한 보안 엔지니어 중 1명 입니다. 다양한 환경에서 공격 탐지 및 예방의 효율성을 위해 자동화된 보안 시스템 개발을 좋아합니다.[25] 국내 최고 IT 융합 전문가. 한양대학교 의과대학 졸업 후 서울대학교에서 보건정책관리학으로 석사 학위를, 미국 서던캘리포니아대학교 대학원에서 의공학 박사 학위를 취득했다. 현재 Asia2G Capital 의 창업파트너로 딥테크 스타트업을 중심으로 적극적인 투자를 하고 있으며, 다음세대재단 이사, DGIST 겸직교수, 모두의연구소 최고비전책임자를 맡고 있다. 지은 책으로 《거의 모든 IT의 역사》, 《거의 모든 인터넷의 역사》, 《AI 101: 인공지능 비즈니스의 모든 것》 등이 있다.[26] 2023년 선린인터넷고등학교 정보보호과 118기 입학을 기점으로 정보보안에 입문하였고 Hspace 4기 운영진, Layer7 부부장 활동을 했었습니다. 서울여대 정보보호영재교육원 고등전문B 수료와 KITRI BoB 13기를 수료하였습니다.[27] 선린인터넷고등학교 정보보호과 3학년에 재학 중인 김우진입니다. KITRI WHS 2기를 수료하였습니다.[28] 부산소프트웨어마이스터고등학교 소프트웨어개발과 2학년에 재학 중인 전영현입니다. BoB 13기 취약점 분석 트랙 과정을 이수하고 있습니다.[29] 현재 선린인터넷고등학교에 재학중이며, 국내 화이트 햇 해킹팀인 TeamH4C에 소속되어 있습니다. 또한 고려대학교 블록체인 학회인 Blockchain Valley 학회원으로 활동중입니다. 주로 웹 개발/보안쪽과 스마트 컨트랙트 보안, DeFI쪽을 연구하고 있습니다.[30] 현재 금융보안원 레드팀 RED IRIS팀에서 모의해킹 업무를 수행하고 있습니다. 취미로 CTF와 버그바운티를 즐기며 웹해킹 분야를 주로 맡고 있습니다. 금융보안원 전문강사, 화이트햇스쿨 멘토 등 보안 교육 분야에서도 활동하고 있습니다.[31] 저는 현재 LG전자 SW센터 SW Security개발실 SW Security Governance 팀에서 레드팀으로 활동하고있는 장태진입니다. LG전자 제품의 취약점을 찾기위해 웹과 앱부터 커널과 TEE까지 다양한 부분을 연구하고 있습니다.[32] 안녕하세요, 카카오페이 금융데이터팀에서 개인정보 및 신용정보의 컴플라이언스 검토를 담당하고 있는 양산휘입니다. 오늘은 개인정보 담당자로서의 주요 업무를 소개하고, 정보보안 커리어를 고려하시는 분들께 도움이 될 만한 인사이트와 경험을 공유하고자 합니다.[33] Theori Frontier Squad 팀의 Senior Researcher입니다. 소프트웨어 시스템에서 취약점 분석을 하고 있으며 특히 리눅스 커널을 중점으로 연구하고 있습니다. Pwn2Own, kernelCTF 등의 버그 바운티 프로그램에 참여하고 있습니다.[34] 안녕하세요, 금융보안원에서 연구 부분을 통항하고 있는 서호진 입니다.[35] 안녕하세요, 김앤장 법률사무소에서 보안 컨설턴트 업무를 하고 있는 김수득 수석입니다. 해커들의 새로운 문화를 만들어가고 있는 티오리의.HACK 행사를 환영합니다. 현재 BoB와 화이트햇스쿨의 멘토를 하며 후배 해커들이 넓은 세상으로 나아가기 위한 발판을 만들고 있으니, 더 좋은 환경에서 함께 일할 수 있도록 노력하겠습니다. 고맙습니다.[36] 안녕하세요, 대구대학교 컴퓨터정보공학부 사이버보안전공 교수 김창훈입니다. 국가정보원 사이버안보센터 정보보안 실태평가 위원, 한국사이버안보학회 N2SF(국가 망 보안체계) 연구회 회장 등을 역임한 바 있습니다.[37] KB국민은행 정보보호부 수석차장 이형철입니다. KB국민은행과 한국산업은행 차세대 보안 설계 및 구축을 담당한 바 있습니다.[비밀] 사실 금화가 아니라 금 초콜릿이라는...[비밀] [40] 다른 자물쇠보다 쉽다는 소문이 자자하다.[택1]

분류