Tag Archives: Security

자바 애플리케이션의 보안 검수 방법 살펴보기

안녕하세요. LINE에서 보안 업무를 담당하고 있는 최하늘입니다. LINE은 메신저 이외에도 많은 서비스를 론칭하고 있고 각 서비스는 새로운 기능이 추가되거나 버그가 수정될 때마다 수시로 업데이트됩니다. 보안 팀에선 새로 출시한 서비스나 업데이트한 서비스에 보안 상 문제가 없는지 확인하는데요. 이때 기존 코드에 이미 수행했던 동일한 보안 평가를 서비스에 새로 추가된 코드에 반복적으로 수행해야 하는 경우가 많았습니다. 그래서 보안 팀에선 자주 발견되는 보안 취약점 패턴을 정의하는 등 취약점을 자동으로 탐지해내기 위해 끊임없이 노력하고 있는데요. 이와 더불어 개발자들이 개발 과정에서 취약점을 자동으로 발견할 수 있는 도구를 사용한다면 보안 평가 과정에서 발견되는 보안 이슈가 훨씬 줄어들 수 있을 것입니다. 실제로 이를 위한 오픈소스나 상용 제품이 존재하며 LINE에서도 이를 적용하여 애플리케이션의 보안 이슈를 사전에 제거하려고 노력하고 있습니다. 이번 글에서는 보안 취약점을 자동으로 찾아내는 방법 중의 하나인 정적 분석에 대해서 알아보고, 자바(Java)용 오픈소스 정적 분석 도구인 SpotBugs를 보안 평가에 어떻게 활용할 수 있는지 알아보겠습니다.

AIR GO에 안드로이드 9 APK 서명 scheme v3 적용하기

안녕하세요. LINE에서 AIR GO를 개발하고 있는 김승훈입니다. AIR GO에 대해선 이전에 ‘AIR GO를 소개합니다‘에서 먼저 말씀드렸는데요. 이번 블로그에서는 그에 이어 APK 서명에 관한 내용과 AIR GO 탐지 정보를 소개하고자 합니다. 최근 Google이 Android 9(Pie)에서 APK Signature Scheme v3을 소개했는데요. 이에 관련된 내용을 AIR GO에 적용하면서 개발자에게 도움이 될 만한 부분을 정리한 글입니다.

LINE Security Bug Bounty Program 2017년도 운영 결과

안녕하세요, LINE에서 보안 업무를 맡고 있는 이명재(MJ)라고 합니다.

이번 글에서는 2017년(1월 1일~12월 31일) 동안 진행된 LINE Security Bug Bounty 프로그램을 뒤돌아보며, 여러분께 그 결과를 소개하려고 합니다.

대상 확대 및 기부 제도

‘LINE Security Bug Bounty Program’은 LINE이 제공하는 서비스에 잠재적으로 존재하는 취약점에 대해 외부의 보안 전문가들로부터 보고를 받아, 가급적 빨리 문제점을 수정함으로써 더욱 안전한 서비스를 제공하는 것을 목적으로 하고 있습니다. 지난 기사에서 소개한 바 있습니다만, 2017년에는 프로그램 대상을 확대하여 더욱 많은 보고를 받을 수 있었습니다. 또한 11월부터는 포상 대상자가 보상금을 기부할 수 있는 옵션을 제공하기 시작했습니다.

VoIP 오픈 소스 라이브러리인 PJSIP에서의 버퍼 오버플로우

안녕하세요. 보안실(애플리케이션 보안팀)에서 LINE 서비스의 보안 평가를 담당하고 있는 김영성(Facebook, Twitter)입니다.

이번 포스팅에서는 VoIP 오픈 소스 라이브러리인 PJSIP의 취약점(CVE-2017-16872, AST-2017-009)에 대해 다루고자 합니다. PJSIP는 표준 프로토콜인 SIP, SDP, RTP, STUN, TURN 및 ICE를 구현한 멀티미디어 통신 라이브러리입니다. IP-PBX, VoIP 게이트웨이 등에서 널리 사용되는 Asterisk 프레임워크에서도 PJSIP 기반으로 SIP 스택을 구현했습니다.

이번에 발견한 취약점은 64-bit 환경에서 클라이언트로부터 받은 SIP 요청을 처리할 때, signed int형을 unsigned long 형으로 변환하는 과정 중에, 정수의 부호 확장을 고려하지 않은 것이 원인이며, 결과적으로 이 취약점은 버퍼 오버플로우를 발생시킬 수 있습니다. 취약점을 확인한 후 PJSIP 개발팀에 문의했지만 보안 이슈를 제보할 수 있는 창구가 없어, Asterisk security 대응 창구제보했습니다. 이후 Asterisk의 개발자인 George Joseph씨와 패치에 대해 논의했고, pjproject 2.7.1 버전에 패치(PJSIP 패치, Asterisk 패치)가 적용되었습니다. 이 기회를 빌어 패치 작업을 진행해 주신 George씨께 감사드립니다.

LINE and Intertrust Security Summit 2017 Spring, Tokyo 개최 후기 1

안녕하세요? LINE 보안실의 Ichihara라고 합니다.

LINE이 제공하는 서비스의 보안 컨설팅, 계정 도용 및 어뷰징 대책, 인증 기술에 관한 조사/연구, 표준화 활동 등의 업무를 담당하고 있습니다. 오늘은 5월 17일에 LINE과 Intertrust사의 공동 주최로 열린 ‘LINE and Intertrust Security Summit 2017 Spring, Tokyo’ 행사 후기를 전해드리겠습니다.

이 포스팅은 후기 1편입니다. 2편은 여기에서 보실 수 있습니다.


LINE and Intertrust Security Summit 2017 Spring, Tokyo 개최 후기 2

안녕하세요? LINE 보안실의 Ichihara라고 합니다.

LINE이 제공하는 서비스의 보안 컨설팅, 계정 도용 및 어뷰징 대책, 인증 기술에 관한 조사/연구, 표준화 활동 등의 업무를 담당하고 있습니다. 오늘은 5월 17일에 LINE과 Intertrust사의 공동 주최로 열린 ‘LINE and Intertrust Security Summit 2017 Spring, Tokyo’ 행사 후기를 전해드리겠습니다.

이 포스팅은 행사 후기 2편으로, 1편은 여기서 보실 수 있습니다. 아직 1편은 보지 않으셨다면 1편 먼저 보시길 권장합니다.

2016년 LINE Security Bug Bounty Program 결과와 상시운영 소개

상시운영에 관하여

안녕하세요. LINE에서 보안 업무를 맡고 있는 이명재(MJ)라고 합니다.

먼저, ‘LINE Bug Bounty Program’에 대해서 처음 들어보신 분들은 이전의 소개 블로그2015년도 시험운영 결과 블로그를 먼저 읽어보시길 권장합니다.

이번 블로그에서는 2016년 ‘LINE Security Bug Bounty Program’을 뒤돌아보며, 여러분께 그 결과를 소개하려고 합니다. 이 프로그램은 외부의 엔지니어분들로부터 보고를 받은 서비스에 잠재적으로 존재하는 취약점에 대해 가능한 빨리 문제점을 수정함으로써 더욱 안전한 서비스를 제공하는 것을 목적으로 하고 있습니다.

먼저 2015년도에는 ‘LINE Bug Bounty Program’을 8월 24일부터 9월 23일까지 한정된 기간동안 시험적으로 실시했습니다. 이후 2016년에는 앞선 1개월 간의 시험운영에서의 경험을 바탕으로, 2016년에는 프로그램 내용의 개정, 리스크의 계속적인 관리를 주 목적으로 개선하였습니다. 또한 프로그램의 이용규약 보고폼, 보고내용의 판단기준, 여기에 상시운영을 전제로 한 운영체제 등 여러 가지 측면에서 개선을 준비하여, 2016년 6월 2일부터는 ‘LINE Security Bug Bounty Program’이란 이름으로 프로그램명을 변경하여 상시 운영하게 되었습니다.

LINE Security Bug Bounty 홈페이지 : https://bugbounty.linecorp.com/