[SQL Angeles] 2018-02-06 Blizzard 사례로 알아보는 JSON RPC 취약점, SQL Server Basic AtoZ

[SQL Angeles] 2018-02-06 Blizzard 사례로 알아보는 JSON RPC 취약점, SQL Server Basic AtoZ

 

SQL Angeles는 LA 한인 IT 커뮤니티 그룹으로 다양한 IT 기술을 공부하며 회원들의 소통을 공유하는 모입니다. 정기적인 오프라인 스터디를 운영하고 있으며 각종 공지를 위한 포럼, 그룹채팅을 운영하고 있습니다. 커뮤니티는 회원제로 운영되고 있으며 참여의 제한은 없습니다. 스터디 참여를 원하시거나 교류를 원하시는 분은 아래 홈페이지에서 상세 내용을 확인할 수 있습니다.

l  SQL Angeles 공식 홈페이지 : http://SQLAngeles.com

 

SQL 스터디는 SQL PASS의 공식 회원이며, LA Chapter 그룹으로 PASS 커뮤니티 중 한국어로 진행되는 모임입니다.

l  SQL PASS 공식 홈페이지 : http://pass.org

 

오늘 스터디 주제는 보안전문가 유동규님의 “Blizzard 사례로 알아보는 JSON RCP 취약점 분석” 과 강성욱님의 “SQL Server Basic”으로 진행 되었습니다. DB 스터디에서 보안 주제가 다루어 지는 부분에서 대해서 특이하게 생각할 수도 있으나 저희 커뮤니티는 DB에 한정되지 않고 다양한 주제를 발표하고 교류하는 모임으로 서로의 지식을 공유하는데 목적을 두고 있습니다.

 

오늘 모임은 17명이 모였습니다. 실제 스터디 장소가 매우 협소하여 많은 불편함이 있었으나 회원님들의 배려와 스터디에 대한 열정으로 무사히 진행되었습니다. (처음 참석 인원인 20명이었으나, 정말 다행히(?)도 3분이 개인 사정으로 참석하지 못한다고 해서 많은 아쉬운(?) 마음이 있었습니다.)

 

 

첫 번째 세션으로 보안 전문가 유동규님의 발표가 진행 되었습니다. 세계적으로 유명한 게임회사인 Blizzard Entertainment의 Launcher 프로그램에서 JSON RPC 취약점 사례가 보고되었으며 (현재는 패치를 통해서 취약점이 보완된 상태) 이러한 취약점이 어떤 방식으로 이루어지며 어떠한 영향을 미치는지에 대해서 실제 현업 보안 관점에서 살펴 보았으며, 실제 동작 방식에 대한 자세한 내용을 설명해 주셨습니다.

 

 

특히 이 취약점과 유사한 여러 보안 사례가 있어서, 다양한 유사한 케이스를 (Bang & Oufsen 사례) 소개해 주며 어떤 방식으로 홈 네트워크의 ID 및 비밀번호가 외부로 유출되었는지에 대해서 알려주셨습니다.

 

실제 이 취약점이 어떻게 동작하는지에 대해서 분석한 결과를 설명해 주셨으며, 어떠한 코드가 실행되었는지, 어떤 원리로 작동하는지에 대해서 취약점과 관련된 소스코드를 보여주면서 상세히 설명해 주셨습니다.

 

 

첫 번째 보안 세션이 끝나고 5분 정도 휴식 시간을 가진 뒤 이어서 강성욱님의 SQL Server Basic AtoZ를 진행하였습니다.

 

지난 스터디까지는 공공 데이터를 활용해서 데이터를 정제하고 리포트 툴을 이용해서 시각화 하는 부분을 다루었 보았습니다. 원래 오늘 스터디에서 DB 튜닝 관련된 내용을 진행하려고 하였으나 다양한 분야의 회원님들의 특성을 고려해서 기본부터 시작해서 전체적인 지식에 대한 상향 평준화를 목표로 기본부터 진행하게 되었습니다. 이미 SQL에 대해서 잘 아시는 분들에게는 복습의 시간이 되었으며, SQL을 모르시는 분들에게는 SQL이 무엇인지, 어떻게 데이터를 조회하는지, 그리고 나중에 자세히 다루겠지만 SQL 튜닝은 어떻게 하는 것인지 전반적으로 이해할 수 있는 시간이지 않았을까 하는 생각이 듭니다.

 

발표는 회원님들의 SQL 경험 및 지식 수준을 확인하기 위해 간단한 몇 가지 질문으로 시작하였습니다.

 

 

RDB는 무엇인지에 대해 설명하고, 데이터 모델링 필요성에 대한 이야기, 그리고 데이터 조인 등 깊이 파면 어렵지만 얕게 파면 쉽게 느낄 수 있는 수준으로 개념을 이해하는데 중점을 두었습니다.

 

 

Basic에 대한 내용을 다루면서 중간 중간에 성능과 관련된 중요한 부분에서는 실제 튜닝에 대한 사례 및 쿼리개발시 주의해야할 부분에 대해서 강조하여 설명하였습니다. 실제 개발 단계에서는 대충 만들어도 문제 없이 잘 돌아가는 경우가 많습니다. 하지만 꼭 라이브 서비스만 적용되면 문제가 되는 경우가 많습니다. SQL Server의 입장에서 왜 문제가 발생하는지 이해하는 시간을 가져 보았습니다.

 

 

 

예상외로 많은 인원이 참석하였지만, 스터디에 대한 열정 및 나눔과 소통을 함께 할 수 있는 소중한 시간이었습니다. 다음 스터디에도 항상 발전하는 스터디가 되기를 기대하면서 오늘 하루도 고생 많으셨습니다.

 

스터디 장소를 제공해 준 Noah-Media(http://noah.media)에 감사드리며, 기업 홈페이지 제작 및 유지보수, 디자인 관련 문의는 Noah-Media에 문의 바랍니다.

 

 

2018-02-06 / 강성욱 / http://sqlmvp.kr / http://sqlangeles.com

 

LA 한인 SQL 스터디 모임, LA IT 모임, DB 스터디, SQL 스터디, SQL Server, DB 스터디, LA SQL Server, SQL Angeles, IT 커뮤니티, OC IT 커뮤니티