교육과정 개요 : 각 과정과 강사에 대한 세부사항은 아래 내용을 참고하시기 바랍니다.


교육과정강사교육기간교육일정언어가격
안드로이드/iOS 공격 방법Aditya Gupta and Subho Halder (XYSec)2일2.19(화) ~ 20(수)영어$800 USD
OWASP Top 10 사고 대응Jonathan Spruill (Trustwave Spiderlabs)2일2.19(화) ~ 20(수)영어$800 USD
CISO 교육Tobias Gondrom (Thames Stanley)1일2.20(수)영어$400 USD
HTML 5 보안김태일 (코어시큐리티)1일2.20(수)한국어$400 USD
개발자 워크샵Jim Manico4시간2.20(수)영어무료


2일 교육과정

  • 일정 : 2.19(화) ~ 2.20(수)
  • 시간 : 09:00 ~ 17:00 (점심시간 및 휴식시간 포함)

안드로이드/iOS 공격 방법 (Advanced Android and iOS Hands-on Exploitation Course)

강사 : Aditya Gupta and Subho Halder (XYSec) 
대상 : 관리자, 기술자, 개발/운영, 개발자
수준 : 초급, 중급
언어 : 영어


과정요약:

단기 워크샵을 통해 iOS 공격 기법을 다룰 뿐 아니라 다양한 안드로이드 운영체제와 플랫폼에서 기존 보안모델을 쉽게 우회할 수 있게 될 것이다. 안드로이드 공격을 위해 제작한 안드로이드 공격 프레임워크라 이름 붙인 프레임워크에 대해서도 논의할 예정이다. 이를 통해 보안 연구자가 버그를 찾기 위한 자동화된 세부분석 및 안드로이드 어플리케이션과 플랫폼의 보안 평가를 수행할 수 있도록 한다.

강의개요 PDF


Aditya Gupta는 저명한 모바일 보안 전문가이자 정보보안 연구가다. 안드로이드 공격 프레임워크의 수석 개발자이고 공동 창시자이기도 한 그는 안드로이드, iOS, 그리고 블랙베리를 포함한 모바일 기기 보안에 관련된 심도 있는 리서치를 많이 진행했다.

구글, 애플, 마이크로소프트, 어도비, 스카이프 등 많은 기업이 운영하는 웹사이트에서도 심각한 보안 결함을 발견했다. XYSEC에서 근무하면서 VAPT와 모바일 어플리케이션 보안 분석에 몰두하고 있다. 또한 인도 정부 고객과 정보 기관과 함께 일하면서 악성코드 분석, 공격 코드 개발과 고급 웹 어플리케이션 해킹에 대한 강의를 제공하고 있다.

이전 블랙햇, 투콘, 클럽핵, 널콘, THC, 데프콘 인도 지부 등 수많은 컨퍼런스에서 발표했다.


Subho Halder는 프로그래머이자 보안 연구가 및 침투 테스터다. 그는 PHP, 자바, 펄 그리고 파이선 언어로 공격코드 작성과 프로그래밍하기 좋아한다. 실력파이며 안드로이드와 블랙베리 프레임워크를 깊이 이해하고 있다.



OWASP Top 10 사고 대응 (HACKED - The OWASP Top 10 - Incident Response)

강사 : Jonathan Spruill (Trustwave Spiderlabs)
대상 : 관리자, 기술자, 운영자, 개발/운영, 법조인
수준 : 중급, 고급 
언어 : 영어


과정요약:

이 과정을 수료하면 법정에서 인정하는 증거를 확실히 획득할 수 있는 정형화된 방법론에 입각하여 기본적인 네트워크 침입 조사를 수행할 수 있는 기술을 익히고 나아가 침입자를 좀 더 이해할 수 있을 것이다. 직접 실습과 “실제” 환경에서 네트워크 침입 개념이 담긴 강사 데모를 경험해 볼 것이다. 실 환경은 가상 장비 (VM)을 통해 생성할 수 있다. 각 VM은 서로 다른 운영체제(OS), 네트워크 환경과 추후 경험할 수도 있을 침입 이슈사항을 포함해 미리 구성되어 있다.

참고: 참가자는 마이크로소프트 윈도우 버전이 구동되는 노트북을 직접 준비해야 한다. VMware 워크스테이션과 서버 역시 직접 실습에 참여하려면 준비해야 한다. 노트북은 최소 20GB의 여유 공간이 필요하다.


Jonathan Spruill은 Trustwave사의 보안 컨설턴트다. Trustwave SpiderLabs의 구성원으로 침투 테스트, 사고 대응과 어플리케이션 보안에 초점을 둔 고급 보안 팀에 속해 있다. 컴퓨터 범죄와 침입 사고사례 조사에서 9년 이상의 경력을 가지고 있다. SpiderLabs에서 근무하기 전 존은 미국 첩보기관의 특수요원이었다. 그 기간 동안 컴퓨터 범죄 특수 요원 프로그램 구성원으로 활동했고 컴퓨터와 핸드폰 포렌식 전문가이다. 존의 조사와 검토를 통해 연방 정부와 개별 주에서 기소된 수많은 사고사례를 성공적으로 해결했다.

조나단은 애플사의 iOS 운영체제와 다른 핸드폰 침입흔적에서 광범위한 리서치를 수행해 왔다. 수많은 사립 회사와 법률 기관에서 위조 화폐 탐지에서 고급 포렌식 분석까지 다양한 주제로 발표했다.


1일 교육과정

  • 일정 : 2.20(수)
  • 시간 : 09:00 ~ 17:00 (점심시간 및 휴식시간 포함)


CISO 교육 (CISO training: Managing Web & Application Security for senior managers)

강사 : Tobias Gondrom (Thames Stanley)
대상 : 관리자
수준 : 초급, 중급, 고급
언어 : 영어


과정요약:
주요 OWASP 프로젝트와 도구를 이용해 글로벌 정보 보안 기관을 수립하고 관리하며 향상시킨다. 비용 효과적인 어플리케이션 보안을 달성하고 경영진에서 이를 모두 해결할 수 있도록 한다. OWASP를 사용하고 활용하는 법과 보안 프로그램과 조직을 발전시킬 수 있는 모범 사례를 공유한다. 워크샵을 통해 많은 성공 사례 및 효과적으로 글로벌 보안 계획을 관리하는 법을 논의하고 OWASP 도구를 조직 내에서 사용하도록 한다. 강사는 세계적으로 수많은 개발 조직과 프로세스의 보안을 향상시킬 수 있도록 조언했을 뿐 아니라 자신이 직접 보안 개발 조직을 경영한 다양한 경험도 보유하고 있다.


주제:

  • 대형 글로벌 조직에서 웹 및 어플리케이션 보안 관리
  • OWASP 탑 10과 OWASP 프로젝트 – 조직에서 사용법
  • 위험 관리와 위협 모델링 기법 (OWASP 위험 분석, ISO-27005,...)
  • 벤치마킹 & 성숙도 모델
  • 조직 설계와 글로벌 정보보안 프로그램을 위한 변화 경영
  • 안전한 SDLC
  • 훈련: OWASP 안전한 코딩 방식- 개발자를 위한 빠른 참조 가이드, 개발 가이드, 훈련 가이드
  • 측정과 검증: ASVS (어플리케이션 보안 검증 표준) 프로젝트, 코드 검사 가이드, 테스팅 가이드
  • 개발과 운영: 프레임워크와 도구, 예) AppSensor


워크샵에서 참석자가 제기한 모든 과정과 이슈사항은 채텀 내부 규칙에 의해 기밀로 간주한다. (http://en.wikipedia.org/wiki/Chatham_House_Rule)


Tobias Gondrom
은 Thames Stanley사의 경영진으로 홍콩, 영구, 독일에 기반을 두고 CISO이자 보안 및 위험 관리 이사로 근무하고 있다. 미국, EMEA, APAC의 개별 소프트웨어 벤더와 대형 글로벌 금융, 기술, 정부기관에서 일하며 소프트웨어 개발, 어플리케이션 보안, 암호학, 전자 서명, 글로벌 표준화 조직에서 15년간 경험을 쌓았다. Open Text(2005-2007)에서 보안 팀 글로벌 책임자, 또 2000년에서 2004년까지 IXOS 소프트웨어 AG의 보안 특수 임무 책임자로서 그는 보안, 위험 및 사고 관리를 담당했고 미국, 캐나다, 영국, 독일 개발 부서에서 전세계적으로 사용 중인 안전한 SDLC를 소개하고 시행했다.


그는 2003년부터 IETF(www.ietf.org) 보안 영역의 보안 부문 구성원으로 워킹그룹 의장이며 2010년부터 IETF에서 만든 웹 보안 WG의 의장이다. 또한 이전 2007년에서 2008년까지 독일 OWASP 지부 의장이었고 현재 OWASP 런던 이사회 구성원이자 OWASP 글로벌 산업 위원회 구성원이다. 토비스는 RFC 4998과 RFC 6238 (증거물 기록 문법) 국제 표준의 저자이고 보안 및 전자 서명에서 많은 인터넷 표준을 수립하는 데 공동으로 참여 또는 기여했다. 그리고 “안전한 전자적 압축” (ISBN 3-87081-427-6)과 OWASP CISO 가이드를 공동 집필했고 컨퍼런스에서 많은 강연을 했으며 글을 기고했다. (AppSec, IETF, ISSE, 모더너 스탯, VOI 책자 “전자적 서명”, iX)


HTML 5 보안

강사 : 김태일(Taeil Kim) 코어시큐리티(Core Security)
대상 : 기술, 개발 및 운영, 개발자
수준 : 중급
언어 : 한국어


과정요약:
HTML5 에서 새롭게 추가된 기능들을 이용하여 웹 어플리케이션에서 발생할 수 있는 보안 위협/ 대응 및 완화 방법.

  • XHR Level2 를 이용한 CSRF & CORS 우회
  • HTML5 에 새롭게 추가된 테그 및 속성을 이용한 XSS
  • 자바스크립트를 이용한 Web Storage 정보 추출
  • 자바스크립트를 이용한 WebSQL 정보 추출


강사경력:

실무 / 강의 경력 13년

정보보안 기술교육을 중심으로 공공기관, 기업, 대학 강의

CEH /CHFI 해킹 및 컴퓨터포렌식 국제공인강사

IPv6 프로토콜 변환기 개발 참여 (2001년, I2Soft)

주민번호대체수단 I-PIN 모의해킹 수행 (2007년 한국정보보호진흥원)


現 ㈜코어시큐리티 대표이사 (CEO)

現 경찰수사연수원 외래교수

前 ㈜FSK시큐리티 지식사업부 부장

前 SH Information System 기술연구소 지식사업팀

前 보안 프리랜서 강사


보유자격증 : CEH / CHFI / ECSA / LPT / CEI 등


개발자 워크샵

  • 일정 : 2.20(수)
  • 시간 : 13:00 ~ 17:00
  • 비용 : 무료

시큐어 코딩 (Approaching Secure Code – Where do I start?)

강사: Jim Manico
대상: 개발자
수준: 초급 
언어: 영어


과정요약:
웹 어플리케이션 제작시 선택한/필요한 프레임워크에 무관하며 Spring, Struts, Rails, PHP, Python 등 본인이 익숙한 언어를 사용하도록 한다. 해커에게 문을 열어놓고 다니는 개발자가 되지 않도록 한다. 세계를 선도하는 AppSec 전문가로써 유용한 팁을 알려준다.


Jim Manico
는 OWASP 치트 시트 시리즈물을 제작하고 있는 OWASP 자원 봉사자이고 OWASP 팟캐스트도 방송한다. 짐은 화이트햇 시큐리티사의 보안 아키텍쳐 VP이기도 하다. 짐은 8년 이상 SANS와 Aspect 시큐리티 등에서 개발자 훈련과정을 맡으며 화이트햇 시큐리티 사의 안전한 코딩과 개발자 의식 교육도 제공했다. 16년간 데이터베이스 위주의 웹 소프트웨어 개발과 화이트햇 및 OWASP에서 분석 경력을 가지고 있다.