2021년을 정리하며..
내년이면 4학년에 반오십이라니..
올해는 좀 특별한 일로 많이 바빴던거 같다.
올해 어떤 것을 했는지 간단하게 적어 보았다.
개인 프로젝트
동아리에서 개인 프로젝트를 진행 했는데, 성공적으로 마무리 했다. 하나는 동아리 프로젝트 자료를 관리하는 Project Manager 라는 오픈소스 프로젝트와 Bug Bounty, 1-day 분석 이다.
Project Manager(https://github.com/CASPER-REPSAC/project-manager) 는 nodejs로 만들었고, 동아리에서 발표한 프로젝트를 관리하기 위해 개발했다. 1월부터 3월까지 혼자서 쭉 개발한 결과 성과는 나름 만족했다. 현재 유지보수는 거의 방치된 상태이지만..
Bug Bounty 프로젝트를 1월부터 12월까지 장기간 목표를 세우며 진행했다. 목표는 올해 말까지 10개의 취약점을 제보하는 것이 목표였다. 그 결과 총 16개의 취약점을 제보하게 되었다. 솔직히 불가능한 목표로 생각 했지만, 목표를 잡고 무지성으로 했더니 운 좋게 찾을 수 있게 된거 같다.
마지막으로 동아리 1학년 후배들이랑 했던 1-day 분석 프로젝트이다. 진짜 개인적으로 한번쯤 이런 프로젝트를 해보고 싶어 할 사람을 모집했다. 1학년 후배들이랑 같이 팀을 만들어 알려주면서 진행했다. 타겟은 gnuboard에 알려진 취약점을 분석하는 것이다. 처음에는 간단하게 XSS 부터 시작해서 SQLI, RCE로 마무리 지었다. 하면서 느낀건, RCE 분석이 엄청 오래 걸렸지만 이런걸 어떻게 찾은건지 궁금했다. 이를 계기로 내년에는 오픈소스에서 zero-day를 찾는 목표를 세우게 되었다. 이후에는 바빠서 참가를 못했지만, 후배들에게 wordpress를 1-day 분석을 해보라고 주제만 던져놓고 알아서 하게 했다. 걱정은 했지만, gnuboard 분석 때문인지 알아서 잘 했다. 좀 뿌듯했다 ㅋㅋ.
BoB 10기 합격
2020년도 말에 군대에서 전역하여 bob 10기 합격을 위해 준비를 많이 했다. 군대에서 좋은 경험을 했기에, 전역하고도 많은 동기부여로 준비할 수 있게 되었다.
BoB 취약점 분석 트랙에 지원하기 위해, 무작정 버그 바운티를 했다. 이전에 웹 해킹 공부를 했었고, DreamHack 에서 최대 38등까지 했기에 나의 실력을 real world에서 테스트 목적도 있었다. 21년도 4월까지 총 4개의 취약점을 국내에 제보하여 인정받았다. 나만의 KVE 번호를 받게 되었을 때는 좀 신기했었다.
자소서 준비를 위해 주변 사람들에게 많이 부탁을 했었다. 뭘 준비하면 되는지, 어떻게 자소서를 써야 하는지 등등.. 사실 BoB 7기 때 지원했지만, 최종 탈락했던 아픈 기억이 있어서 이번에는 준비를 더 많이 했던거 같다. 그 결과, 올해 최대 성과인 BoB 10기에 최종합격 할 수 있었다! 동아리 후배들도 좋은 기회를 제공해 주기 위해 BoB 지원에 도움을 줄 것이다.
동아리 회장
군대에서 전역하고 갑자기 뭔지 모를 자신감이 생겨 동아리 회장을 하겠다고 말 했다. 동아리 회장이 된 이후, 후배들에게 많은 경험과 지식을 알려주기 위해 내부 CTF, 스터디, 프로젝트 등을 진행했다. 동아리 방향을 바꾸려고 노력을 많이 했지만, 맴버들은 어떻게 생각할지 ㅋㅋ
솔직히 1년더 회장을 해서 이끌어 나가고 싶지만, 4학년이고 준비해야 할게 있기 때문에 다음 사람에게 회장 권한을 주게 되었다.
Bug Bounty
아마 BoB 다음으로 개인적인 성과 중 2번째로 의미 있는 활동인 것 같다. 총 16개의 취약점을 제보했는데, 발견한 취약점을 보고서로 쓰고 보낸 뒤, 패치된 것을 보면 신기했다. 뭔가 다른 사람이 나의 보고서를 보고 패치 했다라고 생각하면 같이 일을 한 느낌이 들었다. Bug Bounty를 하면서 좋았던건, 나의 커리어도 되지만 물론 돈도 좋았다 ㅎㅎ. 이 맛을 느껴버려서 내년에도 꾸준이 Bug Bounty를 할 것이다. 받은 돈으로 필요했던 장비도 사고, 같이 프로젝트 했던 후배들에게 밥도 사주면서 나름 의미있는 프로젝트 였다.
BoB Project
팀이 만들어진 이후, 주제가 애매해서 변경이 되었다. 바뀐 주제는 "웹 취약점 점검 보조 도구" 이다. 목표는 서버의 가용성을 해치지 않으면서, attack vector 및 기타 정보를 수집하여 사용자에게 제공하는 도구이다. 처음에는 멘토님들께서 애매한 주제라고 하셨지만, 보완하면서 잘 마무리를 하게 되었다. 곧, 만든 도구를 public으로 오픈할 예정이라 블로그에 소개글을 올릴 예정이다.
여담이지만, BoB 멘토님이 우리 팀 프로젝트 주제를 그랑프리로 추천해 주셨다. 좀 의아했지만, 나는 창업에 관심이 없고 그쪽 지식이 없어서 그랑프리에 참가를 하지 않는다고 말 했다. 다른 팀원들은 각자 개인이 생각했던 계획이 있기 때문에 참여/불참이 갈렸지만, 아직 정해지지 않아서 여기까지 작성하겠다.
학술 논문
논문을 적어볼 기회가 있을까 라는 생각을 했었는데, BoB 프로젝트를 진행하면서 학술 논문을 적을 수 있는 기회가 생겼다. 각자 맡은 부분을 작성하여 제출하고, 최종 합칠 때는 개인적인 사정으로 참가를 못했지만, 나름 좋은 결과였다.
대회
올해 대회를 3개 정도 참가 했다. 3개 다 웹 모의해킹 대회에 참가했지만, 1개는 3점 차이로 수상을 못했고 나머지 2개는.... 올해 대회 수상까지 했더라면 완벽한 한 해 였을 텐데 지금도 많이 아깝다. 실력이 부족하긴 했지만, 내년에 다시 도전하여 수상을 목표로 열심히 할 것이다.