KEYNOTE SPEAKER


Security Meets AI: Assembling the Jigsaw puzzles of a cybercrime

안길준

Samsung Research


Profile

- 현 Samsung Research 전무
- 현 Arizona State Univ 교수
- Center for Cybersecurity and Digital Forensics 디렉터

Abstract

Over the past few years, the volume and frequency of new cyber threats and variants targeting both the private and the public sector have exploded and become critical concerns. A staggering number of cybercrimes that evade existing security measures have complicated workflows and involve multiple criminals and organizations.
However, current threat analysis and intelligence discovery are performed piecemeal in an ad-hoc manner. For example, a modern malware analysis system can dissect a piece of malicious code by itself. But, it cannot automatically identify the criminals who developed it or relate cyber attack events with it. Consequently, it is imperative to automatically assemble the Jigsaw puzzles of a cybercrime by performing holistic threat analytics on data collected from heterogeneous sources.
With this in mind, this talk focuses on threat intelligence analytics (TIA) that considers all sorts of threat sources as a whole and performs collective analysis across different threat sources to discover meaningful knowledge and intelligence related to cybercrime events. The goal of TIA is to provide both the private and the public sector with a trusted platform, where they can safely share their collected threat evidence data through structured specification and protocols, and obtain multi-dimensional threat intelligence generated from TIA.


PANEL


[패널토론] 국내 보안 산업에 대한 진단

Abstract


1. 규제가 한국 산업에 끼치는 영향
 - 규제가 한국을 안전하게 만드는가 위험하게 만드는가?
 - 한국 보안 업계에서 혁신이 일어나지 않는 이유는?
 - 보안 업계 제값 받기 가능한가? (저가 입찰이 없어질 수 있는가?)
 - 대기업의 인력 빼가기: 시장 원리에 의하여 당연한가, 아니면 제도를 만들어야 하는가?
 - 한국 보안 업체 관점에서 인력 수급의 실정은?
 - 데이터 공유의 문제

2. 해외 보안 산업 vs. 한국 보안 산업
 - 해외 산업체에서 해외/한국 보안 제품을 바라보는 눈길은?
 - 보안업체 관점에서 한국 산업이 보안을 바라보는 눈은?
 - 해외에서 보안 인력을 뽑는 어려움은?
 - 한국 보안 인력의 해외에서의 가치?
 - 한국에서 하는 보안 산업, 해외에서 하는 보안 산업?


김용대

KAIST


Profile

- 김용대 교수는 카이스트 전기및전자공학부 및 정보보호대학원에서 일을 하고 있다.
특이한 점은 지난 25년 간 경쟁자가 없는 보안 분야의 연구를 주로 해 왔으며, 끊임없이 남과 달라지려고 오늘도 노력하고 있다.

김기영

플라이하이


Profile

- 현 플라이하이 대표이사
- 구 안랩 연구소 실장
- 구 이니텍 개발본부장
- 구 소프트포럼(현 한컴시큐리티) 연구소장

이호웅

AhnLab


Profile

- 현 (주)안랩 CTO
- 현 서울여자대학교 정보보호학과 외래교수
- 2015~2017 (주)안랩 연구소장
- 2011~2014 (주)안랩 시큐리티대응센터(ASEC) 센터장
- 19년째 안랩에 근무중이며, 열심히 다양한 뻘짓을 주도하고 있음

박세준

THEORI


Profile

Plaid Parliament of Pwning (PPP) 이라는 학교내 해킹/보안 그룹을 2009년에 만들었고 지금까지 팀원들과 대회를 참여합니다.
PPP 멤버 몇 명과, 인턴을 했던 Lockheed Martin에서 만난 사람들과 같이 Kaprica Security라는 보안회사를 차려서 일하였습니다.
현재는 Theori라는 보안 R&D 스타트업을 새로 창업해서 한국지사와 미국본사를 운영하고 있습니다.

오정욱

Microsoft


Profile

- DarunGrim 제작자
- 다수의 보안 컨퍼런스 스피커
- 하드웨어 워너비

이지훈

LINE


Profile

- LINE Corporation의 서비스환경과 업무환경 등, 인프라를 보다 안전하게 만들기 위한 업무를 담당하는 Infra Protection Team에서 Security Engineer로 일하고 있습니다.
- 한국에서 12년가량 보안제품 또는 보안컨설팅의 제공자로써 일을 하였고, 2016년부터 일본 도쿄에서 기업보안을 담당하는 Security Engineer로써 일을 하고 있습니다

SPEAKERS


(Newbie Session) Chronicles and Attribution of Ransomwares : 랜섬웨어 연대기 및 유사도 분석

김예준

SCHCsRC


Profile

- 순천향대학교 SCH사이버보안연구센터(SCHCsRC) 소속, 연구생(2015.12. ~ )
- 악성코드와 TI(Threat Intelligence)에 관심을 두고 공부하고 있습니다.

주하종

SCHCsRC


Profile

- 순천향대학교 SCH사이버보안연구센터(SCHCsRC) 소속 연구원
- 다양한 프로그램 분석 기술에 관심이 있습니다.


Abstract

지난 2017년 2월 17일, Magnitude EK (Exploit Kit)을 사용하고 Cerber 랜섬웨어와 유사한 새로운 랜섬웨어가 발견되었고 이를 마이랜섬이라고 명명한 적이 있다. 이후, 2018년, 4월 초 마이랜섬 (A.K.A Magniber)를 유포하던 동일한 사이트에서 갠드크랩 랜섬웨어가 유포되었다. 이와 같이 랜섬웨어 간에는 코드 관점에서의 유사성뿐만 아니라 동일한 유포지를 사용하는 정황 등의 유사성도 발견되고 있다. 본 발표에서는 현재까지 국내외에 유포되었던 수많은 랜섬웨어들의 역사에 대해 알아보고 각각의 랜섬웨어 간의 유사도를 분석한 결과를 살펴보고자 한다.






Attribution is Dead : Finding Wolf in Wolf's Clothing

박성수

Kaspersky Lab


Profile

현재 Kaspersky Lab GReAT 팀에서 Threat Intelligence 관련 업무를 주로 하고 있으며, 주로 APAC 지역에서 발생하는 APT 공격의 공격 기법이나 악성코드 분석 등을 주로 수행하고 있습니다.
공격자의 기술을 통해서 많은 깨달음과 배움을 얻어가고 있는 생계형 엔지니어 입니다.


Abstract

Threat intelligence 분야에서 Attribution(공격 배후 분석)은 중요하면서도 가장 어려운 분야이기도 합니다. 최근 분석 사례를 기반으로 Attribution이 얼마나 어려우며 공격자들이 다른 공격자처럼 위장하기 위한 사례를 공유 하고자 합니다. 평창 올림픽 중 발생한 사이버 공격의 배후의 경우 자신을 Bluenoroff 그룹으로 속이기 위한 정교한 장치들을 숨겨놨었으며, 다른 사례로 CVE-2018-8174 취약점을 이용한 공격 사례의 배후를 조사하던 중 초반에 잘못된 attribution으로 인하여 혼란에 빠졌던 사례를 바탕으로 공유할 예정입니다.






Exploit Linux kernel eBPF with side-channel

박진범

Samsung Research


Profile

- SAMSUNG Research Security Team 에 있습니다. 주로 제품 보안 솔루션 개발, 논문 쓰는 일을 합니다.
- Offensive security 는 업무가 아닌, 개인적으로 진행하고 있습니다.
- 관심분야 : Linux kernel security, Side channel attack (Crypto, CPU Vulnerability)


Abstract

Spectre, Meltdown 을 시작으로 private 한 정보를 leak 할 수 있는 side-channel 공격이 전세계를 위협하고 있습니다. 또한 최근에는 Variant 3a, 4 라는 이름으로 새로운 공격이 추가로 공개되었습니다. 이러한 side-channel 공격의 경우 실제 공격 가능한 target 을 찾는 것은 매우 어렵습니다. Spectre variant1, variant4 의 경우 실제 공격 가능한 target 은 모두 Linux kernel eBPF(extended Berkeley Packet Filter) 였습니다. 따라서 해당 발표에서는 eBPF 라는게 무엇인지, 왜 side-channel 공격의 target 으로 eBPF 가 선정되었는지를 소개합니다. 그리고 Spectre variant1, variant4 공격에 대해 간략하게 소개하고, Google 에서 공개한 eBPF 와 Spectre 를 악용하여 user process 에서 kernel memory 를 read 하는 공격에 대해서 설명합니다. 또한 Google 에서 공개한 공격 코드의 문제에 대해서 이야기하고, 이 문제를 어떻게 극복할 수 있는지 소개합니다. 마지막으로, 위 공격들이 모두 패치된 Linux kernel 에 대해서도 공격 가능한 Point 가 남아있을지 생각해 봅니다.






이더리움 스마트 컨트랙트에서 발생하는 취약점 소개

송종혁

Samsung Research


Profile

- 현재 Samsung Research에 security팀에서 근무 중
- POSTECH, HPC연구실에서 박사 학위 취득
- PLUS 멤버로 데프콘을 비롯한 여러 해킹 대회 출전 경험


Abstract

본 발표에서는 저자가 직접 찾은 이더리움 스마트 컨트랙트 취약점들을 소개한다. 소개할 취약한 스마트 컨트랙트 종류는 ERC20 토큰과 게임/도박 컨트랙트 2가지가 있다. ERC20 토큰에서 소개할 취약점은 logic error, 중복 출금, 권한 설정 부재 등이 있고 스캠 토큰에 대한 얘기도 언급한다. 게임/도박 컨트랙트에서는 안전하지 않은 난수 생성으로 인한 취약점들을 소개하고 internal transaction을 사용하여 exploit 방법에 대해 설명한다. 이 방법을 통하여 생성될 난수를 미리 예측하여 상금에 당첨되고, 가장 강한 캐릭터를 생성한 예시를 보여준다. 본 발표를 통하여 이더리움 스마트 컨트랙트 개발 시 보안상 주의해야 할 점들에 대해 알아보는 시간이 될 수 있기를 기대한다.






(Invited Talk) 버그 찾기 방법, 퍼징 기술 다시 생각해보기

이병영

서울대학교


Profile

- 서울대학교 전기정보공학부 조교수 (현재)
- 퍼듀대학교 컴퓨터과학과 조교수 (2016~2018)
- 조지아공대 컴퓨터과학과 박사 (2016)
- 포항공대 컴퓨터공학과 학사 (2009), 석사 (2011)


Abstract

소프트웨어 취약점은 컴퓨터 시스템의 보안에 매우 치명적인 영향을 미친다. 만약 공격자가 취약점을 성공적으로 익스플로잇하게 되면, 전체 시스템의 권한을 가지게 될 수 있다. 이번 발표에서는 소프트웨어 취약점을 찾는 가장 대표적인 방법, 퍼징에 대해서 다룬다. 기본적인 퍼징 시작 시점에서 부터, 어떻게 퍼징 테크닉들이 발전해왔는지, 어떠한 생각의 전환이 좋은 퍼징 결과를 가져왔는지 소개한다. 좀 더 구체적으론 다음과 같은 질문들에 답하고자한다: 어떻게 하면 퍼징 시스템을 더 효율적으로 운영할 수 있는지, 어떻게 하면 더 퍼징에 적합하게 취약점을 디텍션 할 수 있는지, 어떻게 하면 특정한 패턴의 버그들을 더 잘 퍼징할 수 있는지. 마지막으로 이러한 발전을 기반으로 앞으로 퍼징 기술이 나아가야 할 방향을 생각해보고자 한다.






(Newbie Session) Hyara – Generator for YARA rules

이 현

선린인터넷고등학교


Profile

- 선린인터넷고등학교 3학년


Abstract

Yara 는 virustotal 에서 만든 악성코드 유사도 분석 도구이며, 현재 다양한 research 기업에서 사용되고 있습니다. 사용자가 작성한 Yara rule이 바이너리에서 탐지된 경우, 탐지 유무 및 결과를 출력합니다. 악성코드 분석가는 IDA를 활용하여 분석하는 도중, Yara rule 을 작성해야 하는 경우가 많습니다. rule을 작성하기 위해서는 전체적인 틀을 사람이 직접 입력 해야 하며, 유니크한 문자열이 수 백개가 있을 경우, 하나하나 입력해야하는 번거로움이 존재합니다. 하지만 제작한 IDA 플러그인을 사용함으로써 손쉽게 rule 을 제작할 수 있습니다. 해당 도구를 만들게 된 계기부터 다양한 활용 사례를 보여줌과 함께 기능을 초점으로 이야기 할 예정입니다.






(Invited Talk) A Bad Dream: Subverting Trusted Platform Module While You Are Sleeping

한승훈

국가보안기술연구소


Profile

- USENIX Security, Black Hat Asia, HITBSecConf, beVX 등 국내외 컨퍼런스 논문 게재 및 발표
- Lightweight hypervisor 개발자 및 Linux kernel 등 오픈소스 프로젝트 컨트리뷰터
- "64비트 멀티코어 OS 원리와 구조 1/2권" 저자


Abstract

신뢰 플랫폼 모듈(Trusted Platform Module, 이하 TPM)은 PC 환경에서 가장 널리 쓰이는 하드웨어 보안 모듈(Hardware Security Module, HSM)이다. TPM은 암호화 및 복호화, 키(key) 생성 및 관리, 단말 설정 저장, 원격 검증 등의 기능을 제공하며, 현재 Microsoft의 BitLocker나 Linux의 dm-crypt와 같은 디스크 암호화 기능에 널리 사용되고 있다. 또한 UEFI(Unified Extensible Firmware Interface) 기술 및 Intel TXT(Trusted Execution Technology) 기술과 결합되어 단말의 상태를 원격 검증(remote attestation)하고 주요 정보를 안전하게 보호(seal/unseal)하는데 활용되고 있다.
본 발표에서는 절전 모드(sleep mode)를 이용하여 TPM을 전복시킬 수 있는 CVE-2018-6622와 CVE-2017-16837을 공개하고 이를 해결할 수 있는 방안을 제시한다. 해당 취약점을 이용하면 TPM의 단말 설정 정보(Platform Configuration Register, PCR)를 초기화하고 임의의 값으로 재설정할 수 있다. 따라서, 취약점으로 인해 TPM의 정보 보호(seal/unseal) 기능이 무력화되어 주요 정보가 유출될 수 있으며, 원격 검증(remote attestation) 기능 역시 무력화될 수 있다.






All NEW ActiveX !?!?

BokdungAbum

-


Profile

- 애플리케이션 보안에 관심이 많은 Pentester


Abstract

우리나라는 인터넷 뱅킹이나 모바일뱅킹이 발달된 나라이다. 그래서 돈을 목적으로 한 해커들의 좋은 놀이터이기도 하다. 이러한 해커들의 공격을 막기위해 국내 사용자들은 많은 보안프로그램 설치를 강요받고 있지만, 아이러니하게도 안전하기 위해 설치한 보안프로그램에 의해 새로운 위협에 놓이기도 한다. 본 발표에서는 컨플라이언스와 함께 변화하고 있는 보안프로그램 구동 방식의 Case Study를 공유하고자 한다. 또한 국내 보안 전문가들과 고민해봤으면 하는 현안에 대해 이야기 하고자 한다.






Shadow Voice : Android app based Voice Phishing Incident Response

EnergyDrink with EnergyBrothers(EnergyStar, EnergyMonster)

-


Profile

- 다수의 국내외 보안컨퍼런스 발표
- 피싱사이트 근간을 흔들기 위한 방법을 고민하고 있습니다.


Abstract

국내 안드로이드 스마트폰 사용자 대상으로 발생하고 있는 보이스피싱 공격에 대해 추적 분석한 결과 발표






(Invited Talk) The Rifle Sequel: What Goes Around Comes Around #CryptoExchange #Financial

EnergyStar

-


Profile

- 위협 인텔리전스 업무를 하고 있으며, 국내외 위협그룹에 관심이 많습니다.
- 최근에는 TI를 어떻게 하면 학문적으로 만들 수 있을까에 대한 고민(만) 하고 있으며, 관련 도구들에 대해서도 열심히 구상(만)하고 있습니다.


Abstract

흔히 유행은 돌고 돈다라는 표현이 있다. 사이버 공간에서의 공격 트렌드도 마찬가지다.
얼마전에는 A라는 업권을 공격하고 있는 것으로 보이다가도 어느순간은 다시 B라는 업권을 공격한다. 전자의 공격과 후자의 공격은 서로 맞물려 있고 서로에게 도움을 준다. 본 발표에서는 작년 Campaign Rifle 이후의 공격 트렌드에 대해 살펴보기로 하며, 가상통화 거래소 공격과 기존 금융권 공격 사이의 교점을 알아보고자 한다. 또한 그동안 공개하지 않았던 소소한 비하인드 스토리들을 공유하고자 한다. (이제는 말할 수 있다... 말하고 싶다.)