<팀원>

사이버보안학과 김강호

 사이버보안학과 김석환

사이버보안학과 오윤경

사이버보안학과 오제묵

사이버보안학과 오채건

<팀원별 활동내용>

김강호

- 스마트 컨트랙트 보안과 웹 보안 전반에 걸친 다양한 학습과 실습 진행

- 이더넛(Ethernaut) 33개 문제를 직접 풀이하고 각 문제에 대한 write-up을 작성하여 스마트 컨트랙트의 취약점을 분석하고 공격 방법을 체계적으로 정리했습니다. 더불어 Web2 보안 학습의 일환으로 LOS(Lord of SQLi) 문제 풀이 write-up을 작성하고, CSRF 취약점에 대한 조사와 분석을 통해 전통적인 웹 보안 취약점에 대한 이해 심화

- Secureum에서 제공하는 Solidity-101, 201, Web3 Auditing-101, 201 학습 자료 기반 정리, 스마트 컨트랙트 개발과 보안 감사(Audit)에 필요한 이론과 실무 지식 체계화

- Aave v3 프로토콜에서 발생 가능한 취약점을 탐지하는 툴을 개발하는 미니 프로젝트 진행

김석환

- 기초 개념 학습 : HTTP 프로토콜 구조와 동작 원리 학습, HTML 문서 구조와 기본 태그의 역할 이해, 쿠키와 세션의 개념, 차이점, 그리고 인증/보안에서의 활용 분석

 - 네트워크 계층 학습 : OSI 7계층 중 네트워크 계층의 역할과 기능 학습, IP, 라우팅, VPN, IPSec과 같은 응용 보안 사례 조사

 - 발표 자료 제작 : 학습 내용을 정리하여 PPT 제작, 웹 보안 개념과 네트워크 계층 개념을 연결 지어 설명할 수 있도록 발표 구조

 - 설계 : 발표 및 공유, PPT를 활용해 발표 진행, 팀원들과 토론을 통해 이해를 심화

오윤경

- 하계 방학 기간 동안 Github Pages 블로그를 만들기 위해 HTML, CSS, JavaScript를 활용하여 웹 페이지 개발

- 통신 계층을 공부하기 위해 『데이터 통신과 네트워크』 도서를 읽으며 각 계층의 역할과 구조 학습

- 웹에서 일어나는 보안사고들을 깊게 이해하기 위해 팀 발표에서 응용 계층을 맡아 논문과 다양한 인터넷 자료 조사 및 분석

- 웹 해킹 역량 강화를 위해 DreamHack 플랫폼의 Web Hacking Path 과정 모두 완료, DreamHack에 있는 다양한 워게임 문제 풀이

- 실제 웹에서 일어나는 보안 사고를 이해하기 위해 웹 해킹을 시작으로 Microsoft의Active Directory가 공격당했던 사례인 ProxyLogon 공격 체인 분석

오제묵

- Dreamhack Wargame 풀이 진행  

(문제1) 인증 우회 취약점 확인 후 /admin 경로 접근과 세션 키 획득, 쿠키 변조를 통해 관리자 권한 획득

(문제2) SQL Injection(-- 주석 활용)으로 로그인 우회 후 관리자 계정 접근 성공

(문제3) XSS 취약점 활용, 스크립트를 삽입하여 document.cookie 값을 탈취하고 flag 획득

(문제 4) 입력값 검증 취약점을 이용해 문자열 범위와 아스키 값을 기반으로 조건을 만족하는 입력값 도출

오채건

- 스마트 컨트랙트 보안의 기초를 다지기 위해 이더넛(Ethernaut) 워게임을 풀이하며 실제 취약점 공격과 방어 원리 체득

- Secureum의 Solidity-101 및 Audit-101 자료를 깊이 있게 학습하고 100가지가 넘는 핵심 내용들 직접 정리

- Web2 보안 역량 강화를 위해서 LOS(Lord of SQL Injection), XXS 관련 워게임 등을 풀이. 특히 SSRF 취약점에 대해서는 개요 학습을 넘어 실제 CVE 사례 분석 진행

- 실제 CTF에 참가하여 SSTI, XXE, 리버스 셸, JWT 등 다양한 최신 웹 취약점 문제 해결

- 'Security Tree'라는 이름의 Web2 취약점 모음집 프로젝트 시작을 통해 웹 보안의 모든 것을 담는 개인 위키로 발전시킬 초석을 마련

<팀원별 최종성과>

김강호

- 이더넛(Ethernaut) 33개 문제 풀이 및 write-up 작성을 통해 스마트 컨트랙트 보안 학습의 기초부터 심화 단계 경험 및 체계적으로 기록

 - LOS Web2 문제 풀이와 CSRF 취약점 조사, 이를 Web3 보안 학습과 접목

 - Secureum Solidity-101, 201, Web3 Auditing-101, 201 학습 및 정리

- Aave v3 취약점 탐지 툴 개발 미니 프로젝트 진행을 통한 개발 결과물 구현, 보안 분석 자동화

- Web2와 Web3를 아우르는 보안 취약점 학습 및 분석 역량 강화, 보안 감사 지식의 체계화, 실제 프로토콜 보안 도구 개발 경험 축적

- 이를 기반으로 향후에는 더 심화된 보안 프로젝트에 참여하거나 연구를 확장해 나갈 수 있는 토대 마련 

김석환

- 웹 보안의 기초 개념을 정리한 발표용 PPT 자료 제작 및 발표 수행

- HTTP, HTML, 쿠키/세션, 네트워크 계층 보안 사례에 대한 명확한 이해 확보

- 팀원들과의 협업을 통해 발표 능력 및 의사소통 능력 향상

오윤경

- 개인 블로그 개발(https://yunse4l.github.io/)

- 응용 계층을 분석하며 HTTP 각 버전에 대한 특징과 DNS의 트리 구조 등 응용 계층의 프로토콜 이해 및 실제 웹공격 사례 분석, DreamHack 플랫폼 워게임 풀이를 통한 웹 취약점 공부

오제묵

- Dreamhack 웹해킹 워게임 문제 풀이 4문제 성공적으로 해결

- 입력값 검증, 세션 관리, SQL Injection, XSS 공격 기법에 대한 실습적 이해

- 공격자의 관점뿐 아니라 방어자의 관점(취약점 예방 및 대응책 필요성) 체감

오채건

- 이더넛 워게임 풀이와 Secureum 학습 자료 정리를 통해 스마트 컨트랙트의 주요 취약점을 분석하는 능력과 보안 감사의 이론적 토대를 동시에 확립

- LOS, XXS 등 다양한 워게임 풀이와 실제 CTF 참가를 통해 SQL Injection부터 SSTI, XXE에 이르기까지 Web2의 주요 공격 벡터를 직접 경험 및 방어 원리 터득

- SSRF 취약점과 관련 CVE 분석을 통해 하나의 취약점을 깊이 있게 파고드는 연구 경험을 통한 복잡한 보안 이슈 근본 이해 분석력 획득

- 'Security Tree' 프로젝트를 시작하여 단순한 학습을 넘어 지식을 구조화하고 장기적인 학습 로드맵을 설계하는 자기주도적 연구 역량 증명

- Web2와 Web3 보안의 이론과 실전을 균형 있게 학습하여 자신만의 지식 체계 구축 및 실전 경험 축적

<팀원별 향후계획>

김강호

- 이더넛과 Secureum을 통해 다진 기반 위에서 Foundry, Hardhat 환경을 활용한 보안 실습을 지속하며, 최신 스마트 컨트랙트 취약점 사례를 분석하여 꾸준히 write-up으로 기록할 예정입니다. 이를 통해 단순히 문제 풀이에 그치지 않고 실제 프로토콜 보안 감사에 가까운 학습을 이어가고자 합니다.  또한 Web2 보안 학습도 병행하여 SQL Injection, CSRF, SSRF 등 전통적 취약점과 Web3 보안 이슈를 연계하는 연구를 진행할 계획입니다. 이를 통해 Web2와 Web3 환경에서의 공격 벡터를 종합적으로 이해하고, 더 나아가 온체인/오프체인 통합 보안 관점을 확립하고자 합니다. 아울러, 이번에 진행했던 Aave v3 취약점 탐지 툴 프로젝트를 고도화하여 실제 감사 과정에서 활용 가능한 수준으로 발전시키고, 나아가 다른 프로토콜에도 적용할 수 있는 범용 보안 분석 도구로 확장하는 것을 목표로 하고 있습니다. 이를 통해 단순 학습자에 머무르지 않고, 실제 생태계에 기여할 수 있는 보안 연구자/개발자로 성장하고자 합니다. 종합적으로, 향후 계획은 (1) 지속적인 문제 풀이 및 학습 기록, (2) Web2·Web3 통합 보안 연구, (3) 실무형 보안 툴 개발로 요약되며, 이번 모각소 활동이 이러한 도전의 출발점이자 발판이 되었다고 생각합니다.

김석환

- 학습한 내용을 바탕으로 웹 보안 실습(예: 취약점 분석, 웹 공격 시뮬레이션, 방어 기법 체험)을 진행할 계획입니다. 네트워크 계층뿐만 아니라 전송 계층, 응용 계층 등 다른 계층의 보안 개념까지 확장 학습합니다. 심화 학습 후 보안 관련 자격증(예: 정보보안기사) 준비합니다.

오윤경

- Github Pages로 개인 블로그를 만든 만큼 앞으로는 프로젝트 진행 과정이나 개인적으로 학습한 내용을 블로그에 포스팅하며 운영해보고자 합니다. 이를 통해 프론트엔드 개발 역량이크게 향상되는 것을 기대하고 있습니다. 또한 웹 해킹의 기초를 다진 만큼 DreamHack 플랫폼의 Web Hacking Advanced 과정과 다양한 워게임을 이어서 학습하고, 나아가 취약점 문제 풀이 대회인 CTF에 참가하여 좋은 성과를 거두는 것을 목표로 하고 있습니다.

오제묵

- 웹 보안 취약점 종류를 더 확장하여 학습 (CSRF, File Upload 취약점, Command Injection 등) OWASP Top 10을 기반으로 실제 웹 애플리케이션에서 발생 가능한 보안 이슈 학습할 예정입니다. 단순한 공격 성공에서 그치지 않고 보안 대응책 및 방어 기법도 함께 정리할 예정입니다.

오채건

- 이번 모각소 활동을 발판 삼아, 더욱 깊이 있는 보안 전문가로 성장하기 위한 다음 단계의 목표를 설정했습니다. 첫째, 모든 보안 및 개발 분야의 근간이 되는 컴퓨터 구조, 운영체제, 자료구조 등 핵심 CS 기초 지식을 매우 탄탄하게 다질 것입니다. 이는 특정 분야에 얽매이지 않는 폭넓은 문제 해결 능력을 갖추기 위한 최우선 과제입니다. 둘째, 블록체인 보안 역량을 실전 단계로 끌어올릴 것입니다. 워게임 수준을 넘어 실제 코드 감사 컨테스트(Audit Contest)와 버그 바운티에 적극적으로 참여하여, 감사 보고서 작성법을 익히고 실제 프로토콜의 취약점을 분석하며 실무 경험을 쌓겠습니다. 셋째, 'Security Tree' 프로젝트를 완성하여 웹에 존재하는 모든 취약점을 집대성한 개인 위키를 구축할 것입니다. 각 취약점마다 개요, 배경, 해킹 과정, 워게임, CTF 문제, CVE 분석, 모의 해킹(Pentest)까지 아우르는 깊이 있는 자료를 만들어 웹 해킹 분야의 최고 전문가로 성장하는 발판으로 삼겠습니다. 궁극적으로, 탄탄한 컴퓨터 과학 지식을 기반으로 웹 해킹과 블록체인 보안 양쪽 모두에서 최고의 전문성을 갖춘 보안 전문가가 되는 것을 최종 목표로 삼고 정진해 나가겠습니다.

<발표자료>