Security

LINE Security Bug Bounty Program 2017년도 운영 결과

안녕하세요, LINE에서 보안 업무를 맡고 있는 이명재(MJ)라고 합니다.

이번 글에서는 2017년(1월 1일~12월 31일) 동안 진행된 LINE Security Bug Bounty 프로그램을 뒤돌아보며, 여러분께 그 결과를 소개하려고 합니다.

대상 확대 및 기부 제도

‘LINE Security Bug Bounty Program’은 LINE이 제공하는 서비스에 잠재적으로 존재하는 취약점에 대해 외부의 보안 전문가들로부터 보고를 받아, 가급적 빨리 문제점을 수정함으로써 더욱 안전한 서비스를 제공하는 것을 목적으로 하고 있습니다. 지난 기사에서 소개한 바 있습니다만, 2017년에는 프로그램 대상을 확대하여 더욱 많은 보고를 받을 수 있었습니다. 또한 11월부터는 포상 대상자가 보상금을 기부할 수 있는 옵션을 제공하기 시작했습니다.

LINE and Intertrust Security Summit 2017 Spring, Tokyo 개최 후기 1

안녕하세요? LINE 보안실의 Ichihara라고 합니다.

LINE이 제공하는 서비스의 보안 컨설팅, 계정 도용 및 어뷰징 대책, 인증 기술에 관한 조사/연구, 표준화 활동 등의 업무를 담당하고 있습니다. 오늘은 5월 17일에 LINE과 Intertrust사의 공동 주최로 열린 ‘LINE and Intertrust Security Summit 2017 Spring, Tokyo’ 행사 후기를 전해드리겠습니다.

이 포스팅은 후기 1편입니다. 2편은 여기에서 보실 수 있습니다.


LINE and Intertrust Security Summit 2017 Spring, Tokyo 개최 후기 2

안녕하세요? LINE 보안실의 Ichihara라고 합니다.

LINE이 제공하는 서비스의 보안 컨설팅, 계정 도용 및 어뷰징 대책, 인증 기술에 관한 조사/연구, 표준화 활동 등의 업무를 담당하고 있습니다. 오늘은 5월 17일에 LINE과 Intertrust사의 공동 주최로 열린 ‘LINE and Intertrust Security Summit 2017 Spring, Tokyo’ 행사 후기를 전해드리겠습니다.

이 포스팅은 행사 후기 2편으로, 1편은 여기서 보실 수 있습니다. 아직 1편은 보지 않으셨다면 1편 먼저 보시길 권장합니다.

2016년 LINE Security Bug Bounty Program 결과와 상시운영 소개

상시운영에 관하여

안녕하세요. LINE에서 보안 업무를 맡고 있는 이명재(MJ)라고 합니다.

먼저, ‘LINE Bug Bounty Program’에 대해서 처음 들어보신 분들은 이전의 소개 블로그2015년도 시험운영 결과 블로그를 먼저 읽어보시길 권장합니다.

이번 블로그에서는 2016년 ‘LINE Security Bug Bounty Program’을 뒤돌아보며, 여러분께 그 결과를 소개하려고 합니다. 이 프로그램은 외부의 엔지니어분들로부터 보고를 받은 서비스에 잠재적으로 존재하는 취약점에 대해 가능한 빨리 문제점을 수정함으로써 더욱 안전한 서비스를 제공하는 것을 목적으로 하고 있습니다.

먼저 2015년도에는 ‘LINE Bug Bounty Program’을 8월 24일부터 9월 23일까지 한정된 기간동안 시험적으로 실시했습니다. 이후 2016년에는 앞선 1개월 간의 시험운영에서의 경험을 바탕으로, 2016년에는 프로그램 내용의 개정, 리스크의 계속적인 관리를 주 목적으로 개선하였습니다. 또한 프로그램의 이용규약 보고폼, 보고내용의 판단기준, 여기에 상시운영을 전제로 한 운영체제 등 여러 가지 측면에서 개선을 준비하여, 2016년 6월 2일부터는 ‘LINE Security Bug Bounty Program’이란 이름으로 프로그램명을 변경하여 상시 운영하게 되었습니다.

LINE Security Bug Bounty 홈페이지 : https://bugbounty.linecorp.com/

LINE Bug Bounty 소개

안녕하세요. LINE에서 보안 업무를 맡고 있는 이명재라고 합니다. 이번 블로그에서는 LINE에서 준비한 Bug Bounty 프로그램을 소개하려고 합니다.

Bug Bounty란

Bug Bounty란 자사의 서비스나 제품의 보안 취약점을 찾아낸 사람에게 보상금을 지급하는 프로그램으로, 글로벌기업의 경우 자사의 서비스 및 제품의 보안을 강화하는 방안으로 적극 활용하고 있습니다. 실제로 이 프로그램을 통해 많은 기업들이 자사의 서비스와 보안을 강화할 수 있는 기회로 삼아 적극적으로 보안 문제를 해결할 수 있었습니다.

LINE은 월 실사용자 2억 명 이상의 글로벌 기업으로 성장하였습니다. 이런 성장 과정에서 수많은 애플리케이션과 늘어난 사용자를 보안 위협으로부터 빠르게 보호해야 할 필요성이 생겼습니다. LINE에서도 Bug Bounty 프로그램을 통해 더 안전한 서비스를 제공하고자 합니다.

Spark, Mesos, Zeppelin, HDFS를 활용한 대용량 보안 데이터 분석

라인플러스에서 게임 보안 개발을 담당하고 있는 오왕진, 한광희입니다.

대규모 이용자들이 모바일로 접속을 하는 LINE 게임(LINE Game)의 상황상 빠른 분석과 대응은 어려울 수 밖에 없습니다. LINE 게임(LINE Game)의 접속자와 해외 이용자들이 큰 규모로 증가함에 따라 다양한 어뷰징(허가 받지 않은 조작을 통해 이익을 취하는 행위) 상황이 계속 관찰되고 있습니다. 어뷰징은 정상적으로 게임을 이용하는 다른 이용자들에게 영향을 주고, 게임 서비스 자체에도 직접적인 영향을 미치게 됩니다. 게임의 안정성을 지키고, 정상 사용자들을 보호하기 위하여 게임 어뷰징 행위에 빠르게 대응하는 것이 중요합니다.

이런 어뷰징에 대응하기 위해서는 서로 다른 형태의 로그들을 연관해서 분석함으로써 문제의 원인을 찾고, 수정하는 것이 필요한데 가장 큰 걸림돌은 대용량의 로그 데이터들을 빠르게 처리할 수 있는가였습니다. 라인에서 다루는 각종 데이터의 분량이 많아지면서 기존의 전통적인 방식으로의 Big Data 처리과정은 현상이 발생한 후 수십 분, 수백 분 후에 사안을 확인할 수 있었습니다. 또한, 데이터의 형태(RDB, NoSQL, File, API)나 대용량 서비스를 위한 Data Sharding과 같은 기술 도입 등의 이유로 모든 데이터를 연계하는 것은 쉬운 일이 아니었습니다. 무엇보다도 인기 게임의 경우는 유입되는 데이터 자체가 매우 많습니다. 다양한 관점에서 빠른 데이터 처리를 가능하게 하는 여러 오픈 소스들을 조합하여 가능성을 체크해보았습니다. 그 결과, 작업 분배와 자원 활용을 위해 Apache Mesos와 Apache Spark을 활용하고 시각화는 Apache Zeppelin을 사용하는 것이 원하는 데이터 처리 요구사항에 가장 근접하는 것임을 확인하였고 적절한 구성을 시도하였습니다.