Security Engineering

보안인들의 유쾌한 모임! Becks KR 온라인 밋업에 참가했습니다

2021년 8월 13일, 드디어 BECKS KR이 온라인으로 열렸습니다. LINE Plus Graylab과 Developer Relations 팀에서 준비해 주셨고, LINE을 비롯한 여러 회사에서 참여한 발표자분들이 훌륭한 내용을 공유해 주셨습니다. 회의가 많았던 날이라 발표를 다 듣진 못했지만 중간중간 들은 내용에 대한 소감을 간단히 정리해 봤습니다.

REST API 취약점 탐지 자동화

안녕하세요. Security R&D 팀에서 보안 연구 및 보안 컨설팅을 담당하고 있는 김도연입니다. 애플리케이션의 크기가 점점 커지고 다양해지면서 애플리케이션에 존재하는 버그도 많아지고 있습니다. 버그는 사용자들을 불편하게 하며 자칫하면 개인 정보 유출과 같은 큰 사고로 이어질 수도 있는데요. 이번 글에서 다룰 퍼징(fuzzing) 또는 퍼즈 테스팅(fuzz testing)은 자동으로 버그를 찾는 소프트웨어 테스팅 기법 중 하나로 프로그램에 예상치 않은 데이터를 무작위로 입력해 본 후 프로그램 내에 버그가 있는지 확인하는 테스팅 기법입니다. 보안 연구 분야에서 가장 인기 있는 주제 중 하나이며 Google이나 Microsoft와 같은 굴지의 기업에서도 관련 연구를 활발히 진행하고 있습니다. LINE Security R&D 팀 역시 LINE에서 제공하는 애플리케이션의 보안을 강화하기 위해 퍼징을 포함한 다양한 분야에 힘쓰고 있습니다. 이번 글에서는 그중 하나인 REST API 퍼징을 소개하려고 합니다.

FIDO at LINE: FIDO2 서버를 오픈 소스로 공개했습니다

안녕하세요 Security R&D팀에서 FIDO(Fast Identity Online) 개발 담당 엔지니어로 일하고 있는 박경준입니다. 지난번에 발행한 FIDO at LINE: 패스워드 없는 세상으로의 첫 발걸음에 이어서, 이번 글에서는 FIDO2에 대해서 간략히 소개하고 올해 3월 초에 FIDO2 Alliance에서 주최한 상호 운용성 테스트 이벤트에 참여한 후기를 공유한 뒤, 이번에 오픈 소스로 공개하는 LINE FIDO2 서버에 대해 소개하려고 합니다.

LINE의 자체 개발 SSL 인증서 관리 시스템, VOYAGER

안녕하세요. Infra Protection 팀에서 컨테이너 보안 기술과 인증서 관리 업무를 담당하고 있는 유휘재입니다. 이번 글에서는 LINE에서 인증서를 관리하는 방법과 시스템, 그리고 기술적인 배경에 대해서 소개하려고 합니다.

생체 정보를 활용한 안전한 로그인, passwordless LINE 프로젝트를 소개합니다

안녕하세요. LINE 플랫폼 엔지니어링 3팀의 편백범입니다. 이번 글에서는 패스워드 대신 생체 정보를 활용해 안전하게 로그인할 수 있게 만드는 ‘Passwordless LINE’ 프로젝트에 대해 말씀드리겠습니다. 먼저 패스워드의 역사를 살펴보고 패스워드의 대체재로 사용할 수 있는 생체 정보의 장단점을 알아본 뒤 산업계의 동향과 이에 대응해 LINE에서 진행한 passwordless LINE 프로젝트를 소개하는 순서로 진행하겠습니다.

Android 취약점 탐색 자동화를 위한 Jandroid 적용기

안녕하세요. LINE에서 보안 업무를 담당하고 있는 박선주입니다. LINE 보안 팀에서는 릴리스될 서비스와 애플리케이션의 보안 위협을 사전에 발견하여 제품을 더 안전하게 만들기 위해 노력하고 있습니다. 서비스나 애플리케이션을 대상으로 보안 검수를 진행하다 보면, 기존에 보안 이슈가 발생했던 코드와 유사한 패턴을 사용하거나 취약한 패턴의 코드를 재사용하여 취약점이 발생하는 경우가 많습니다. 이처럼 빈번하게 발생하는 보안 이슈를 쉽고 빠르게 탐지하기 위해서 상용 솔루션을 사용하거나 자체적인 도구를 개발하고 있는데요. 이번 포스팅에서는 Android 애플리케이션에서 사용할 수 있는 자동화 취약점 탐색 도구인 Jandroid를 LINE Android 애플리케이션에 적용하여 보안 이슈를 발견한 내용을 공유하고자 합니다.

오크(ORK) – 난독화 컴파일러 도구 2편

안녕하세요. LINE에서 클라이언트 보호 솔루션인 AIR ARMOR 개발을 담당하고 있는 정상민입니다. 지난 1편에선 예제 소스 코드의 컴파일 과정을 살펴보며 난독화가 실행되는 단계를 확인했습니다. 이번 글에선 오크의 난독화가 어떻게 동작하는지 역시 예제 실행 파일을 통해서 살펴보겠습니다.

오크(ORK) – 난독화 컴파일러 도구 1편

안녕하세요. LINE에서 클라이언트 보호 솔루션인 AIR ARMOR 개발을 담당하고 있는 정상민입니다. 이전 글, ‘iOS 코드 서명에 대해서’에서는 심민영 님이 iOS 앱의 무결성과 서명자를 검증할 수 있는 iOS 코드 서명에 대해서 설명했는데요. 이번 글에서는 앱의 위변조 및 도용 방지를 위해서 자체 개발 중인 난독화 도구를 소개하려고 합니다. 예제 소스 코드를 이용해 컴파일러 동작의 각 단계를 확인하면서 난독화가 어떻게 수행되는지 살펴보겠습니다.

보안 모니터링을 위한 머신러닝 알고리즘 적용기

안녕하세요. 저는 Graylab에서 LINE의 보안 관련 업무를 담당하고 있는 신종호입니다. 저희 Graylab에서는 여러 보안 팀과 함께 LINE의 전반적인 보안을 강화하기 위해 다양한 노력을 기울이고 있습니다. 최근 LINE의 성장과 함께 사업 영역과 서비스가 확장되면서 저희가 보호해야 할 영역도 함께 넓어지고 있습니다. 특히 중요한 서비스에 대해서는 더욱 주의를 기울이고 있는데요. 일례로 시스템 접속 로그 모니터링도 진행 중입니다. 그런데 모니터링해야 할 로그가 쌓여가는 양이 많아 수많은 로그를 효과적으로 관리할 방법이 필요하게 되었습니다. 그래서 이번에 머신러닝을 활용하여 모니터링 업무의 효율을 높여보기로 하였습니다.

게임 보안 운영 관점에서 바라본 게임 치트 방지 모니터링

안녕하세요. LINE Game Security 팀에서 LINE GAME의 보안 운영을 담당하고 있는 이명재입니다. LINE GAME이 탄생한 지 벌써 6년이 지났습니다. 지난 6년 간의 경험을 토대로 ‘게임 보안 운영 관점에서 바라본 게임 치트(cheat) 방지 모니터링’에 대하여 여러분께 소개하려고 합니다. 게임 치트란, 악의적인 유저(이하, 어뷰저(abuser)로 지칭)가 앱을 조작하거나 데이터를 조작하는 등 비정상적인 방법으로 게임이 본인에게 유리하게 진행되도록 만드는 행위라고 정의할 수 있습니다.