서울여대 정보보호학과 로고

학과뉴스

정보보호학과의 새로운 뉴스를 확인해보세요.

Global Camp in New Zealand

등록일 :
2018.01.26
조회수 :
560
작성자 :
관리자
파일 :
첨부파일 없음

Global Camp in New Zealand

 

서울여자대학교 사회기여형 정보보호 여성인재(CES+) 양성 사업단 (단장 정보보호학과 김형종 교수)’은 지난 116일부터 19일까지 New Zealand, Christchurch에 위치한 UC(University of Canterbury) 학생들을 대상으로 ‘2018 CES+ Global Camp in New Zealand’를 진행했다.

 

이번 글로벌 캠프는 김형종 교수와 이해영 교수 지도하에 이주현, 윤혜민, 우가을, 태규빈, 최효경, 강다빈, 이진주학생들의 발표를 중심으로 4일간 이루어졌으며, 발표는 Recent research of information security (이해영 교수), Cryptography (이주현, 윤혜민), System Security (우가을, 태규빈), Network Security (최효경), Web Security (강다빈), Secure Programming (이진주), Recent research of mobile security (김형종 교수) 의 순서로 진행되었다.

 

Cryptography 1을 맡은 이주현 학생 (정보보호학과 16) 은 암호학의 기초인 Symmetric key cryptography Asymmetric key cryptography부터 MAC, Digital Signature 같이 여러 암호학 기술이 융합된 응용된 개념에 대해 발표를 진행했다.
첫 번째 주제로는 암호의 역사에 대해 배우며 Simple substitution cipher에 대해 이야기하면서 직접 Cipher Disk를 제작해 Brute-force attack 을 이용해 Simple substitution cipher의 취약점에 대해 이야기했다. 이어서 Multiple substitution cipher에 대해 이야기하며 Enigma의 구조와 Encryption/Decryption 과정에 대해 발표를 했다.
두 번째 주제로는 Symmetric key cryptography Asymmetric key cryptography의 기초 개념을 배우고 차이점과 DES, Triple-DES, AES 그리고 RSA에 대해 이야기해보며 각 알고리즘의 Encryption/Decryption 과정뿐만 아니라 취약점에 대해 생각해 볼 수 있는 시간을 가졌다.

세 번째 주제로는 이전 주제의 연장선으로 Hybrid cryptosystem의 구조와 Strong Hybrid cryptosystem의 원리와 암호기술의 여러 가지 결합에 대해 이야기했다.
네 번째로 One-way hash functionfile integrity check 원리에 대해 이야기하고 One-way hash function에 대한 collisioncollision resistance에 대해 이야기했다. One-way hash function으로 해결할 수 없는 False positives에 대한 해결책으로 MACDigital signature에 대해 이야기하며 발표를 마무리했다.
다른 세션에 비해 개념이 많고 실습이 없어 지루하고 개념이 직접 와 닿지 않을 수 있었지만 많은 콘텐츠를 가져오고, 어려운 과정을 그림을 이용해 발표를 진행해서 다행히 큰 어려움은 없었다.

 

Cryptography 2를 맡은 윤혜민 학생(정보보호학과 15)은 기본적인 암호들을 사용하는 응용 암호들에 대한 설명과 현재 사용하고 있고, 발전 가능성이 높은 2가지 기술에 대해 설명하였다.

첫 번째 주제에서는 Certificate를 설명하였는데, 기본 진행방법과 PKI에 관해 소개하고 Certificate가 당할 수 있는 공격들에 대해 설명하였다.

두 번째 주제에서는 Email 보안 방법인 PGP에 관해 설명하였다. 이 섹션에서 실습이 있었는데 여러 여건들 때문에 실행하지 못하여 구두로 설명하였다.

세 번째 주제에서는 SSLTLS의 개념과 이 기술을 사용하고 있는 여러 가지 예들을 토대로 설명하였으며 마지막 섹션에서는 블록체인과 양자암호에 관련하여 현재의 수준과 앞으로의 전망 및 기대를 끝으로 발표를 마무리 했다.

아무래도 계속 이론적으로 설명하였기 때문에 지루할 수 도 있었으나 참여해준 UC 학생들은 전혀 그런 모습을 보이지 않고 열심히 들어주는 모습을 보였다. 덕분에 많이 긴장하지 않고, 떨지 않고 발표를 할 수 있었다고 전했다.

 

System Security 1을 맡은 우가을 학생(정보보호학과 15)은 시스템보안의 개념을 시작으로 접근통제와 모델들(DAC, MAC, RBAC), 리눅스 시스템의 기본 구조와 명령어, setUID와 패스워드 보호&크랙킹에 대해 설명하였다.

처음으로 시스템과 네트워크의 관계, 시스템보안의 6가지 주제를 실생활에 빗대어 설명하였고, 다음으로 6가지 주제 중 접근 통제에 초점을 맞춰 발표를 진행하였다. 학생들은 흥미로워 했다.

그리고 리눅스 시스템으로 배경지식을 쌓은 후 setUID와 패스워드 크랙킹 툴인 John The Ripper를 실습함으로써 학생들의 적극적인 참여와 한 명씩 질문을 받으며 모두 실습을 성공적으로 마칠 수 있었다.

 

System Security 2를 맡은 태규빈 학생 (정보보호학과 14) 은 시스템 보안에서 근본적인 부분인 시스템의 취약점들과 그에 따른 공격기법을 왜 배워야 하는지에 대한 소개를 시작으로 가장 대표적인 공격방법인 Race Condition AttackBuffer Overflow Attack에 대한 발표를 진행했다.

첫 번째 주제인 Race Condition Attack에 관해서는 Hard LinkSymbolic Link에 대한 설명을 한 후, 각각에 대한 실습을 하였다. 그 후에는 실제로 Symbolic Link를 활용한 Race Condition Attack을 시도해보는 실습을 하였는데, 참여했었던 UC 학생들이 흥미를 느꼈고 질문도 많이 하는 등 활발히 참여하는 모습을 보였다.

두 번째 주제인 Buffer Overflow Attack에 관해서는 가장 기초가 되는 스택과 gdb분석에 대한 설명을 하였다. 그 후에는 두 가지 서로 다른 예제가 되는 코드를 분석, 설명함으로서 어떠한 원리를 통해 그런 공격이 일어날 수 있는지에 대해 심층적으로 알아보는 시간을 가졌다.

 

Network Security를 맡은 최효경 학생 (정보보호학과 16) 은 기본적인 네트워크 개념 소개를 시작으로 하여 Shell 과 같은 응용 개념 및 네트워크에서의 가장 대표적인 공격방법인 ARP spoofing attack 에 대한 발표를 진행했다.

첫 번째 주제인 Basic Concepts Of Data Communication 에서는 client, server, socket 등에 대한 설명을 진행한 후, clientserver의 통신에 대한 실습을 진행하였다. 실습에서는 데이터를 보내는 방식을 바꾸면서 자신의 이름을 string으로 보내거나 Dos attack tool로 통신을 변경하는 등의 응용을 하였다.

두 번째 주제인 Remote Shell 에서는 정방향 쉘과 역방향 쉘에 대한 차이점을 소개하고 clientserver의 통신 과정을 더 구체적으로 소개하였다. 실습에서는 정방향 쉘과 역방향 쉘의 프로그래밍 코드 레벨에서의 차이점을 소개하고, 실행시키는 방법을 알려주는 시간을 가졌다.

마지막 주제인 Link LayerSniffing & Spoofing 에서는 Link Layer에서 데이터 통신이 어떻게 진행되는지에 대한 간략한 소개와, 이때의 arp table의 변화를 소개하였고 더불어 공격자가 arp table을 감염시키는 과정을 설명하면서 발표를 마무리하였다.

Session에 비해 실습이 많았지만, UC 학생들의 적극적인 참여로 인해 발표자와 청자가 모두 상호작용 하면서 즐길 수 있었다.

 

Web Security를 맡은 강다빈 학생 (정보보호학과 15) OWASP에서 발표한 10가지의 웹 취약점 중 대표적인 취약점 3가지를 설명했다. SQL injection, XSS, CSRF의 개념 설명과 각 공격의 demonstration을 보여주면서 발표를 진행했다. 공격의 대한 이해를 더 깊이 하기 위해 공격 설명 앞에 간단한 스토리나 기본개념을 설명했다. 마지막으로 SQL injectionXSS의 관한 4가지의 실습을 했다. 그 중에서 필터링을 하는 SQL injection 실습에 학생들이 가장 흥미를 느꼈고 쉬는 시간에도 계속 공격을 시도하는 등 시간을 아쉬워하는 모습을 보였다. 발표를 마친 후, 학생들에게 현지에서는 해본 적이 없는 흥미로운 실습을 해서 매우 좋았다는 평을 받았다.

 

Secure Programming을 맡은 이진주 학생 (정보보호학과 15) 은 먼저 안전한 프로그래밍이란 무엇인지와 중요한 이유를 재미있게 소개함으로써 UC학생들이 안전한 프로그래밍 주제에 대한 흥미를 가질 수 있도록 했고, 이어서 Memory Corruption Attack, Buffer Overflow의 메인 이슈들 그리고 다양한 Alternative에 대한 순서로 발표를 진행했다.

첫 번째 주제인 Memory Corruption Attack 에서는 프로그램이 메모리에 로드된 뒤의 메모리 구조를 설명한 뒤, 공격자가 취약점을 어떤 방식으로 이용하는 지에 대해 설명했다.

두 번째 주제인 Buffer Overflow의 메인 이슈들 에서는 입력 값 검사(Input Validation)의 중요성을 스토리에 빗대어 설명해 강조하고. 입력 값 검사가 필요한 여러 상황들에 대해 어떤 검사 코드를 삽입해야 하는지 설명했다. 그 중 Signed Integer Comparison 파트에서는 배웠던 내용을 바탕으로 한 퀴즈타임을 가졌었는데, UC학생들이 퀴즈의 정답을 맞히고 흥미로워 하는 모습을 보였다. 이러한 점으로 미루어보면 UC학생들의 발표에 대한 이해도가 높았음을 알 수 있었다.

세 번째 주제인 Alternative 에서는 공격의 성공 확률을 낮추는 방법들을 설명했다. 공격자와 프로그래머가 서로 채팅을 하는 듯이 설명해, 생소한 개념을 이해하기가 수월했다는 평을 받았다. 그리고 Overflow 취약점을 악용 가능한 프로그램을 앞서 배웠던 Alternative들을 이용해 안전한 프로그램으로 만들어보는 실습을 하며 발표를 마무리했다.



또한, 마지막 날에는 UC(University of Canterbury) 학생들의 발표가 진행되었다.
이처럼 CES+ 글로벌 캠프는 서울여대의 슬로건인 'Learn to share, Share to learn'을 실현하는 프로그램 중 하나로, 단순히 지식 전달에 그치지 않고 함께 서로의 생각들을 공유하고 토론하며 ‘2018 CES+ Global Camp in New Zealand’를 성황리에 끝마쳤다.

 

이번 캠프에 참여한 학생들은 스스로 발전하고 성장하는 좋은 기회를 갖게 된 것에 감사하고 있다. 더불어 성공적인 발표를 위해 쏟은 노력은 앞으로 주어진 일들에 큰 원동력이 될 것이라고 생각한다.



끝으로, ‘2018 CES+ Global Camp in New Zealand’ 개최에 큰 도움을 주신 Computer Science and Software Engineering, University of Canterbury의 김동성 교수님, Pro-Vice Chancellor Jan Evans-Freeman 그리고 Deputy Pro-Vice Chancellor David G WarehamGlobal Camp를 성공적으로 마친 것을 함께 축하했다.

 

 

: 우가을(정보보호학과 15), 이진주(정보보호학과 15)

사진 : 박소연 선생님