이번 OWASP 아시아 투어는 아시아 지역의 소프트웨어·애플리케이션 보안문제에 대해 전문가 참여 강화를 위해 기획됐으며, 이미 일본, 중국, 홍콩, 태국 등에서 아시아 투어 컨퍼런스가 개최되어 OWASP 신규 프로젝트, 암호화 기술동향, 웹 해킹 기법, 시큐어코딩 등에 대한 논의가 진행됐다.

이번 서울 컨퍼런스에는 국내 웹·애플리케이션 개발자 및 보안전문가들에게 도움이 될 수 있는 소프트웨어 개발보안, 모바일 애플리케이션 보안, 신규 브라우저 보안 기술 등 5개 주제가 발표된다.

먼저 코리아 챕터의 성윤기 이사는 2014년 OWASP의 활동 결과 및 2015년 계획, OWASP ModSecurity CRS, CSRF 가드 등 플래그쉽 프로젝트를 소개하는 시간을 갖고, 이어 행정자치부 김해숙 박사가 전자정부 정보시스템 구축운영지침에 따른 전자정부용 소프트웨어 개발보안 의무화 방안에 대해서 키노트 발표를 한다.

세 번째 세션에서는 OWASP 글로벌의 이사인 토비어스가 OWASP와 IETF에서 논의되고 있는 중간자 공격(MITM)을 방어할 수 있는 신규 브라우저 보안기술에 대해서 발표할 예정이다. 이 세션에서는 XSS, 클릭재킹을 예방할 수 있는 기술, HTTP 보안 강화 프로토콜 기술이 소개된다. 네 번째는 시큐아이 조용현 과장이 은행, 증권, 카드사에서 배포하는 금융 스마트폰 앱 설치 시 요구하는 개인정보 수집 권한에 대한 조사 내용을 바탕으로 개인정보 권한의 위험성과 이를 위험을 최소화할 수 있는 개선방안을 제시한다. 마지막으로 베라코드 코리아의 김병조 대표가 모바일 앱을 B2C 앱, 기업용 앱, 공공 앱 등으로 분류하고, 각각의 모바일 앱에 대한 보안위협과 해결책을 모색하는 시간을 갖는다.

코리아 챕터의 성윤기 이사는 “이번 OWASP 아시아 투어 서울 컨퍼런스는 인터넷과 모바일 플랫폼 기반의 소프트웨어·애플리케이션 확산에 따른 보안문제에 대해서 개발자 및 보안전문가들이 같이 토의할 수 있는 시간을 갖게 된다”며, “최신 애플리케이션 보안 기술에 대해서 이해할 수 있는 시간과 함께 올해 국내 OWASP 활동을 정리하고 2015년을 논의할 수 있는 자리가 될 것”이라고 밝혔다.

이번 ‘OWASP 아시아 투어 2014-서울 컨퍼런스’에 대한 보다 구체적인 사항과 참관등록 관련해서는 여기를 클릭하면 확인할 수 있다.

한편, OWASP(www.owasp.org)는 웹·애플리케이션·소프트웨어 보안 기술을 논의하는 전 세계 전문가로 구성된 비영리 단체로 2004년에 설립됐다. OWASP는 전 세계 전문가가 자발적으로 참여하여 오픈소스 도구개발, 표준 문서 개발 등 약 200여개의 프로젝트가 진행되고 있다. 또한, 모바일 보안, IoT 보안, 프라이버시 등 최신의 보안 이슈를 해결하기 위해 노력하고 있다.

코리아 챕터(www.owasp.or.kr)는 2011년에 결성됐으며, 2013년에는 ‘OWASP Top 10’ 공식 한글본 출간과 함께 OWASP 아시아 태평양 컨퍼런스 개최 등 연 2~3회 정기 워크숍을 개최한 바 있다. 올해도 정기 워크숍과 함께 OWASP 테스팅 가이드 및 코드 리뷰 가이드를 발간할 계획이다.

[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>