Skip to main content
# whoami --verbose

Profile

K.knock

복무기간을 제외하고 18년도부터 매년 운영이나 교육과정에 도움을 주고 있다

8기 (2017)

  • 1년간 준회원으로서 C, Network, Web, Rev, Pwn 주제의 과제들을 수행하고 피드백을 받는 교육을 이수
  • 정회원으로 올라가기 위한 CTF 형식의 생존게임에서 Web 문제를 다수 해결하며 8기 1등과 함께 정회원 자격 획득 9기 C언어 커리큘럼 담당자 (2018)
  • 9기를 대상으로 한 C언어 포인터 부분 커리큘럼을 담당함
  • 컴퓨터와 관련이 적은 학과도 존재하는 동아리 특성을 반영하여 수업 자료를 제작하여 제공함 경기대학교 정보보안 동아리 K.knock 21년도 부회장 (2021)
  • 회장을 도와 전반적인 동아리 운영을 하였으며 비대면으로 인한 대외활동 감소문제를 해결하기 위해 대회에 출전하거나 컨퍼런스에 참가하는 인원에게 다과나 식사 비용을 제공 및 수상 시 포상제도를 운영함 2021 인코그니토 보안 컨퍼런스 운영진
  • 운영팀을 지원하여 내부 행사 중 하나인 CTF 대회 서버 구축 및 전반적인 운영, CTF 서버자원고갈 등 여러 문제에 대한 실시간 해결을 담당함

CERT

실시간 침해사고 대응 및 교내 웹 서비스 모의해킹 등 좋은 경험이었다.

경기대학교 전산정보원 내 침해사고대응팀에서 1년간 근무하면서 학기 중에는 ECSC 업무를 맡아 교내에서 랜섬웨어, ssh bruteforce등의 보안사고에 대응하였고 방학 중에는 교내 주요 웹 서비스에 대해서 취약점 진단을 진행, 비교적 파급력이 약하다고 볼 수 있는 Redirect XSS 취약점이 많이 존재하였으며 일부 서비스에선 상급 취약점이 존재하였고 이에 대한 해결방안도 보고서에 같이 제시하였다.

Hackyboiz

1day 분석 및 보안연구를 수행하고 있으며 현재는 팀이 잠시 쉬는 상태이다.

연구팀 (2022 ~ )

  • 2021 Christmas CTF에 참가하면서 이 팀에 대해 알게되고 그 해 겨울 모집에 지원함
  • 연구팀에 지원하여 일정 기간동안의 1-day를 간략히 분석하는 하루한줄 컨텐츠와 주제를 설정하여 긴 기간을 두고 연구하는 연구 글 컨텐츠를 작성함
  • 2022년 5월 이후 팀 멤버들이 온전히 팀 활동에 집중할 수 없어 휴식기를 가지고 있다.

DELETE

다양한 분야의 개발을 하며 여러 경험을 쌓고 있다.

삼성 내부에 필요한 각종 시스템을 개발하고 있다.

Presentation

Incognito

처음 웹 해킹에 대해 연구를 시작한 발표이다.

"웹퍼징 툴 분석 및 개발" / 2018 인코그니토 보안 컨퍼런스

  • 웹 퍼징 툴 개발을 맡음
  • 퍼징에 대해 처음 알게된 계기이나 무작위 데이터 생성과 관련한 부분이 미흡하여 만들어진 결과물은 퍼징보단 well-known xss, sql injection payload에 대한 dictionary attack에 가까움
  • 발표자료 - slideshare

Award

제 5회 SW개발 보안 경진대회 - "우수상"

첫 대외 수상이며 시큐어코딩에 대해 처음 접한 대회였다.

동아리 선배 2분과 함께 Kerberos 팀으로 참가하여 KISA 개발보안 가이드에 의거한 소스코드 정적 분석 및 발견된 취약점에 대한 공격 시나리오를 바탕으로 보고서 작성을 맡음

육군 사이버 보안 경진대회 - "최우수상"

군대에서 개인정비시간 및 연등 때 조금씩 시간을 내어 공부한 결실을 맺은 대회이다.

동아리 후배이자 맞후임과 함께 K.knock팀으로 참가하여 sql injection payload, 프로그램 로직 정적분석, 시스템 정보획득 문제를 해결하여 팀에 기여함

제 2회 KOSPO 웹 서비스 정보보안 경진대회 - "장려상"

웹 모의해킹에 대해 재미를 느끼기 시작한 대회이다.

학과 동기와 선배 2분과 함께 참가 sql injection vector를 주로 확인하였고 결국 하나를 찾아내어 system 주요정보인 업로드 폴더 경로 및 여러 계정 정보를 획득하여 높은 점수를 받아 팀에 기여함

제 3회 TS 보안 허점을 찾아라! - "우수상"

KOSPO 대회와 같이 sql injection vector를 우선 공략하였으나 찾지 못하고 모바일 페이지에서 터지는 xss를 찾아 팀에 기여

Bug Bounty

KVE-2019-0932

군 복무를 앞두고 동아리 선배의 권유로 gnuboard5 플러그인 youngcart5에 대해 버그바운티를 진행함, 소스코드 정적분석을 통해 파라미터 변조를 통한 SQL Injection 취약점을 찾아 제보하였으나 군 복무 중에 중복처리 통보받음

crbug-1393341

BoB 프로젝트 기간내에 project zero나 최근 원데이들에서 발생했던 패턴인 iterator find 메소드의 결과 값 검증 미흡으로 인한 container-overflow와 관련하여 제보, 통상적으로 browser 소스코드를 수정한 경우 취약점으로 인정이 안되지만 그 당시 유명한 연구소에서 browser 소스코드를 수정한 부분이 있는 제보가 인정받은 것을 보고 browser 소스코드 수정없이 race condition을 통해 trigger하는 것을 못 찾던터라 바로 제보하였고 단순 bug로 분류되어 취약한 부분의 패치만 이루어짐

Project

2021 군장병 공개 SW 온라인 해커톤

안정적인 인프라 구축을 위한 여러 기법을 실습해본 해커톤이였다.

딥러닝을 활용한 잔반 감소 인프라

  • 인프라 구축을 맡아 안정성을 위한 여러 Database를 Master, Slave 관계로 다뤄 fail over가 가능하도록 하고 write, read 작업 split을 통한 부하분산 처리를 구축함

KShield Jr

웹 모의해킹, 바이너리 취약점 분석 외에 신선한 연구 주제였다.

AI 챗봇 내 개인정보 노출 점검

  • 이루다 챗봇 개인정보 노출 사건 및 오징어 게임에서 개인정보 노출이 큰 파장을 일으킨 시점에서 시중에 존재하는 챗봇에 개인정보 노출 정도를 파악한 결과 짧은 시간에 여러 정보가 검출됨, 개인정보 비식별화의 중요성을 인지하여 해당 처리를 도와줄 수 있는 도구를 개발함
  • 이 중 시연용 자연어 모델을 활용하여 시연용 챗봇을 만들고 점검을 위해 챗봇에 메시지를 보낼 수 있도록 하는 api 서버의 프로토 타입과 그 사양 문서 및 api 서버와 실제 점검 도구 개발을 맡음
  • 안정성 보다는 짧은 시간에 많은 가능성을 보여주기 위해 파이썬 및 flask 프레임워크를 사용, 챗봇은 텔레그램을 활용함

Best of Best

해보고 싶었지만 경험이 없던 브라우저 취약점 분석! 결과는 아쉬웠지만 C++ 및 디자인 패턴들을 공부할 수 있는 계기였다.

Chromium Sandbox Escape 취약점 분석

  • Chromium Architecture는 권한이 충분한 Browser Process 및 Sandbox내에 존재하는 Renderer Process, Graphic Process 등이 Mojo IPC를 통해 소통하는 구조로 구성되어있음
  • Browser Process에 존재하는 취약점을 Renderer Process에서 Mojo IPC를 통해 접근할 수 있는 벡터를 연구함
  • 1day에서 버그 패턴을 추출하여 패턴 탐색 도구를 통해 유사 패턴을 찾아 분석하는 부분을 맡았으며 Indexed DB Component에서 Container-Overflow 취약점을 찾아 제보하였으나 현실성이 떨어져 단순 버그로 분류됨 (crbug-1393341)
  • 90일마다 공개제한이 풀린 security bug report를 바로바로 알 수 있게 discord를 활용한 챗봇을 개발함