[야생의 땅: 듀랑고] 서버 아키텍처 - SPOF 없는 분산 MMORPG 서버Heungsub Lee
NDC14에서 발표한 "[야생의 땅: 듀랑고] 서버 아키텍처" 세션의 슬라이드입니다.
슬라이드에 설명이 많지 않은데, 디스이즈게임에서 발표 내용을 잘 정리해주었습니다. 기사도 함께 보시면 좋을 것 같습니다.
http://www.thisisgame.com/webzine/news/nboard/4/?n=54955
[야생의 땅: 듀랑고] 서버 아키텍처 - SPOF 없는 분산 MMORPG 서버Heungsub Lee
NDC14에서 발표한 "[야생의 땅: 듀랑고] 서버 아키텍처" 세션의 슬라이드입니다.
슬라이드에 설명이 많지 않은데, 디스이즈게임에서 발표 내용을 잘 정리해주었습니다. 기사도 함께 보시면 좋을 것 같습니다.
http://www.thisisgame.com/webzine/news/nboard/4/?n=54955
CloudBread는 클라우드 기반 무료 오픈소스 프로젝트로, 모바일 게임과 모바일 앱에 최적화된 게임 서버 엔진입니다. 이번 CloudBread 캠프는 Unity 개발자를 위한 CloudBread 캠프로 현장에서 제공되는 Unity 예제 게임을 이용해 실제 게임서버와 연동하는 과정을 직접 코딩하는 과정으로 진행됩니다. Unity와 클라우드 기반 게임서버를 연동하는 가장 손쉬운 방법을 CloudBread 캠프에서 확인하세요.
KGC 2014 가볍고 유연하게 데이터 분석하기 : 쿠키런 사례 중심 , 데브시스터즈Minwoo Kim
1년 7개월 장수 모바일 게임 쿠키런. 많은 유저, 하루에도 쏟아지는 많은 로그. Time To Market 단축이 핵심 역량 중 하나가 되는 모바일 게임 시장. 자주 빠르게 변경되는 스팩, 로그도 마찬가지로 자주 빠르게 변경되는 스키마. 이런 현실속에서 게임 개발과 운영, 데이터 분석까지 병행 하기 위해서 가볍고 유연한 아키텍처로 적당히 빠르게 데이터 분석을 하는 쿠키런 서버팀 사례를 소개합니다.
[NDC18] 야생의 땅 듀랑고의 데이터 엔지니어링 이야기: 로그 시스템 구축 경험 공유Hyojun Jeon
NDC18에서 발표하였습니다. 현재 보고 계신 슬라이드는 1부 입니다.(총 2부)
- 1부 링크: https://goo.gl/3v4DAa
- 2부 링크: https://goo.gl/wpoZpY
(SlideShare에 슬라이드 300장 제한으로 2부로 나누어 올렸습니다. 불편하시더라도 양해 부탁드립니다.)
CloudBread는 클라우드 기반 무료 오픈소스 프로젝트로, 모바일 게임과 모바일 앱에 최적화된 게임 서버 엔진입니다. 이번 CloudBread 캠프는 Unity 개발자를 위한 CloudBread 캠프로 현장에서 제공되는 Unity 예제 게임을 이용해 실제 게임서버와 연동하는 과정을 직접 코딩하는 과정으로 진행됩니다. Unity와 클라우드 기반 게임서버를 연동하는 가장 손쉬운 방법을 CloudBread 캠프에서 확인하세요.
KGC 2014 가볍고 유연하게 데이터 분석하기 : 쿠키런 사례 중심 , 데브시스터즈Minwoo Kim
1년 7개월 장수 모바일 게임 쿠키런. 많은 유저, 하루에도 쏟아지는 많은 로그. Time To Market 단축이 핵심 역량 중 하나가 되는 모바일 게임 시장. 자주 빠르게 변경되는 스팩, 로그도 마찬가지로 자주 빠르게 변경되는 스키마. 이런 현실속에서 게임 개발과 운영, 데이터 분석까지 병행 하기 위해서 가볍고 유연한 아키텍처로 적당히 빠르게 데이터 분석을 하는 쿠키런 서버팀 사례를 소개합니다.
[NDC18] 야생의 땅 듀랑고의 데이터 엔지니어링 이야기: 로그 시스템 구축 경험 공유Hyojun Jeon
NDC18에서 발표하였습니다. 현재 보고 계신 슬라이드는 1부 입니다.(총 2부)
- 1부 링크: https://goo.gl/3v4DAa
- 2부 링크: https://goo.gl/wpoZpY
(SlideShare에 슬라이드 300장 제한으로 2부로 나누어 올렸습니다. 불편하시더라도 양해 부탁드립니다.)
최근 랜섬웨어(Ransomware)를 통한 공격이 늘어나고 있습니다. 이에 대비하여 AWS 클라우드를 사용하는 고객의 대응 방안에 대해 알려드리는 보안 특집 세미나입니다. 본 세션에서는 다원화되고 있는 랜섬웨어 공격 패턴과 WannaCry 같은 잘 알려진 공격 및 이에 대한 AWS 공식적인 보안 공지 및 대응 매뉴얼을 소개합니다. 또한, AWS 고객들이 랜섬웨어 공격에 미리 대비하기 위해 OS 패치 및 보안 관리를 위한 EC2 System Manager, VPC 보안 그룹 및 Flow Logs 활용 방법, AWS Inspector 를 통한 취약점 관리 등에 대해 상세히 설명합니다.
OWASP에 대응할 수 있는 애플리케이션/웹 보안 솔루션 앱스캔(AppScan)의 Standard Editin에 대한 자료입니다.
AppScan의 다른 에디션인 Source Edition 에 대한 설명은 이쪽으로!
☞https://www.slideshare.net/eunoakcho/ibm-app-scan-source-edition
AWS를 위한 도커, 컨테이너 (이미지) 환경 보안 방안 - 양희선 부장, TrendMicro :: AWS Summit Seoul 2019Amazon Web Services Korea
스폰서 발표 세션 | AWS를 위한 도커, 컨테이너 (이미지) 환경 보안 방안
양희선 부장, TrendMicro
AWS 내 보안 접근은 기존의 보안 적용 방식과 많은 차이점이 있습니다. AWS 환경에서는 도커 및 컨테이너를 사용하여 빠르게 서비스를 적용하고 커스터마이징 서비스가 이루어져 동시에 보안을 적용 적용함에 있어 많은 어려움이 있습니다. 호스트 OS 및 독립적인 컨테이너에 대한 많은 위협들이 있고 이러한 위협들을 빠르게 파악하는 동시에 해당 위협 요소를 제거 및 차단하는 방법이 필요합니다. 본 세션에서는 일련의 위협들로 부터 도커 컨테이너 및 컨테이너 (이미지)에 대한 보안 위협들을 알아보고 트렌드마이크로의 Deep Security 및 Smart Check를 통한 효율적인 보안 적용 방법에 대한 가이드를 제시합니다.
악성코드는 끊임없이 지능화되어 가며 사용자들의 데이터를 노리고 있는데, 우리는 이러한 공격으로부터 안전할까요? 나는 아니겠지 하는 한순간의 방심으로 우리 회사의 데이터가 공격자로부터의 인질이 될 수 있습니다. AWS 인프라 환경에서 랜섬웨어로부터 보호하기 위한 방법은 무엇인지 살펴보며, 안전하게 구축하기 위한 전략을 함께 찾아봅니다. 완벽한 보안은 항상 어려운 일이지만, 이 몇 단계의 기본을 지키는 준비만으로도 여러분의 AWS 보안은 달라질 것입니다.
OWASP Top 10 2013이 발표되었습니다. 이번 업데이트는 2010년 Top 10에 비해 일반적이면서도 중요한 취약점 분류
기준을 확대 적용하였으며, 얼마나 많이 퍼져있는가를 기준으로 순위를 재조정하였습니다. 또한 2010년 Top 10의
‘A6:보안 설정 오류’의 세부적인 설명의 모호함을 해소하고자, 위협 분류 가운데 컴포넌트 보안을 새로 포함하였습니다.
OWASP Top 10 2013은 애플리케이션 보안을 전문으로 하는 7개 기업의 8개 데이터세트를 토대로 하였습니다. 이
데이터들은 수백 개 기업, 수천 개의 애플리케이션에 걸친 500,000개 이상의 취약점들을 포함하고 있습니다. Top 10 각 항목들은 이 가운데 가장 많이 퍼져있는 데이터를 기준으로, 취약점 공격 가능성, 탐지 가능성, 그리고 영향 평가 등을 함께 고려하여 선정되었습니다.
OWASP Top 10을 선정하는 가장 큰 이유는 가장 중요한 웹 애플리케이션의 보안 취약점 개발자, 설계자, 아키텍트, 운영자, 혹은 기관들에게 주요 웹 애플리케이션 보안 취약점으로 인한 영향을 알리기 위해서입니다. Top 10은 위험도가 큰 문제들에 대해 대응할 수 있는 기본적인 기술을 제공하며, 또한 이를 근거로 향후 방향을 제시하고 있습니다.
다시보기 영상 링크: https://youtu.be/QGgQOcA3W6w
클라우드로의 마이그레이션이 증가하면서, 퍼블릭 클라우드를 목표로 한 공격도 폭증하고 있습니다. 특히, 클라우드 관리자의 자격증명을 탈취하려는 시도나 탈취된 자격증명을 이용하여 중요정보를 유출하고 대규모로 비트코인 채굴을 시도하는 행위들이 늘어가고 있습니다. AWS로의 이관을 고려하고 있거나 사용중인 고객들이라면, 이와 같이 클라우드의 특성을 활용하여 발생하고 있는 정교한 보안 위협들에 대응하기 위한 방법을 고민하셔야 합니다. 본 세션에서는 이러한 클라우드 네이티브 위협들에 효과적으로 대응하는 기능을 제공하는 GuardDuty, Inspector, Config, SecurityHub와 같은 AWS 보안 서비스들에 대한 설명을 진행합니다.
14. 1.2 세이프 브라우징
Exploit Kit
셋업 파일, 제어 콘솔, 악성코드 등 각종 공격툴을 모아 놓은 패키지
다양한 보안 취약점에 의해 공격을 받고 최종 악성코드가 실행될 수 있는 구조
출처 : https://www.recordedfuture.com/top-vulnerabilities-2016
21. 1.2 세이프 브라우징
DGA (Domain Generation Algorithm)
C&C, Ransomware 유포등에 이용할 서버가 blacklist(sinkhole)로 차단되는 것을 막기 위해
IP Address가 아닌 도메인 주소 이용
악성코드 내부의 자동 생성 모듈에서 도메인 주소 생성
28. 1.3 피싱(phishing) 탐지 및 대응
이 사이트는 2017.10.11 pm 18:30 까지도 웨일 브라우저외 타 브라우저에서는 차단되지 않고 있음
29. 1.3 피싱(phishing) 탐지 및 대응
Image-based Phishing Detection Framework
Hyunsang Choi, Sanghyun Cho and Younggab Kim,
Image-based Phishing Detection Framework
USENIX 2017 Poster Session
페이지내에 키워드 매칭 후, 브랜드로고, 입력폼 이미지 매칭
실험 결과 : Detection Rate (96%), False Positive (0%), False Negative (4%)
30. 1.4 파밍(pharming) 탐지 및 대응
파밍 (pharming)
PC내의 hosts 파일이 변조되거나
네트워크 설정에서 DNS설정 정보 변경 (공유기 해킹)
33. 1.4 파밍(pharming) 탐지 및 대응
범죄 활용 사례
2016년 2월부터 약 4개월 동안
이용자 스마트폰 내 문자 정보 탈취 기능이 포함된 악성앱을 설치하게끔 유도
13,502대의 스마트폰을 감염시켜 11,256개 네이버 계정 대량 가입
이를 바이럴마케팅 업자에게 판매하여 지식iN, 블로그등에 글 게시에 활용함.
36. 1.4 파밍(pharming) 탐지 및 대응
아이디어들
서로 다른 도메인을 Domain Name Lookup 했을때 같은 결과가 나오면 파밍
37. 1.4 파밍(pharming) 탐지 및 대응
HTTP Strict Transport Security (HSTS) : RFC 6797
Response Header에 HSTS가 포함되어 있을 경우,
브라우저에서 사이트 이동시 http 사이트가 아닌 https로 접속되게 함
38. 1.4 파밍(pharming) 탐지 및 대응
HSTS Preload
브라우저 자체적으로 HSTS 리스트를 가지고 있어, 사이트 이동시 https로 접속함
https://chromium.googlesource.com/chromium/src/net/+/refs/heads/master/
http/transport_security_state_static.json
2017년 9월 16일 현재,
35657개의 도메인이 등록됨
(.kr도메인은 10여개)
39. 1.4 파밍(pharming) 탐지 및 대응
DNScrypt
브라우저에서 안전하게 DNS Server와 연결될 수 있다면?
DNS서버와의 통신채널을 암호화하여 DNS 스푸핑이나 파밍과 같은 공격을 방어하는 기술
vs. DNSSEC (DNS 응답의 무결성을 공개키 암호화로 검증)
43. 2.1 보안 취약점 분석 및 해결
보안 취약점 분석
자동 업데이트
- MITM(Man-In-The-Middle) Attack 가능성 분석
- Digital Signature 검증
기본 탑재 extensions 점검
세이프 브라우징, 안티파밍, 스마트팝업 점검
주요 정보 노출
- 사용자 동기화 정보 복호화 및 유출 가능성
웨일 브라우저 내 오픈소스 라이브러리 취약점 분석 (Blink, V8등)
45. 2.2 Bug-Bounty Program
A deal offered by many websites and software developers by which individuals can
receive recognition and compensation for reporting bugs, especially those
pertaining to exploits and vulnerabilities.
51. 2.2 Bug-Bounty Program
운영 후기
1개월은 너무 짧음. 그러나..
프로그램 진행을 충분히 알리지 못함.
미처 신경 쓰지 않은 부분에 대한 제보
실력있는 분석가들도 관심을 가졌으나, 그들은“소스코드” 공개를 원함.
웨일이 아닌 네이버 서비스의 보안 취약점 위주로 제보한 제보자
국내보다는 국외에서 관심 (56.4%), IP기준 1500여명 추정
포상금을 올리는 방안, 기부(x2)도 가능하게
53. 2.3 익스텐션 보안 검수
익스텐션 보안 검수를 해야겠는데
체크리스트는 어떻게 만들어야 할까?
크롬 익스텐션의 개발 정책? 가이드라인?
크롬 익스텐션은 어떻게 검수를 하고 있을까?
54. 2.3 익스텐션 보안 검수
Google Chrome : Developer Program Policies
Contents Policies
Security Vulnerabilities
Spam and Placement
User Data Privacy
Payment Information, Authentication Information, Web Browsing Activity
Ads
https://developer.chrome.com/webstore/program_policies?csw=1#extensions
55. 2.3 익스텐션 보안 검수
Developer Program Policies
Security Vulnerabilities
If your item is associated with a security vulnerability that could be exploited to compromise
another application, service, browser, or system,
we may remove your item from the Chrome Web Store and take other measures to protect users.
In such an event, you may be contacted about remediation steps required to restore the item.
56. 2.3 익스텐션 보안 검수
Deceptive extensions : AD Injection
57. 2.3 익스텐션 보안 검수
악성 크롬 익스텐션 사례
- 주요 사이트(google, yahoo)에서 광고 노출
- 게임으로 위장하여 설치할 경우 검색엔진을 강제로 바꿔버림
- 모든 URL에 대해 content security policy등 security header 제거
- 중요한 쿠키를 개인 서버로 보냄
- 특정 사이트에 버튼을 만들고 클릭시 uid, name등을 개인 서버로 전송
- 특정 SNS 사이트 방문시, 공격자의 서버로 부터 명령을 수신하여 실행함
- HTML 파일내에서 주요 정보를 파싱하여 전송
- png파일내에 자바스크립트를 은닉하여 실행
58. 2.3 익스텐션 보안 검수
구글의 크롬 익스텐션 검수는 어떻게 할까?
상상할 수 있는 악성 익스텐션을 하나씩 스토어에 등록해 봄
61. 2.3 익스텐션 보안 검수
웨일 익스텐션 보안 검수
아직은 한땀 한땀 사람 손으로 수행하지만, 가능한 부분에서 자동화 진행 중
어떤 부분에서 업데이트가 있는지
62. 2.3 익스텐션 보안 검수
웨일 익스텐션 보안 검수
manifest.json 파일에 명시된 권한 기준으로 위험도 점수화
blacklist url이 포함되어 있는가?
난독화되어 있는가?
동적 분석
- 트래픽이 과도하게 발생하는가?
- 모든 URL에 스크립트를 추가하려고 하는가? 등