행동으로 보여주는 해커 Henry입니다.

2년 차 보안 엔지니어로 대한민국 육군 CERT 복무 후 스타트업에서 앱 서비스를 기획/운영/개발한 경험이 있습니다. 주로 보안 취약점 진단/분석을 담당했으며 필요에 따라 DevOps 역할을 겸했습니다. 당시 작은 프로젝트였던 스타트업에 기술 고문으로 근무했다가 잠시 떠나 학업을 마치고 돌아와서 이제 DevSecOps 업무를 보는 중입니다. 회사 규모는 작지만 지속 가능한 성장 모멘텀을 지니고 있고, 여기서 사내 보안을 끝까지 책임질 수 있는 역량을 기르고 있습니다.

보안을 비즈니스 성장에 다양한 방식으로 기여했습니다. 개발/배포에 필요한 보안과 운영에 필요한 보안은 어떻게 설계할지 물어보며 고민하고, 시각화가 부족하여 이해하기 어려운 보안을 사용자 입장에서 생각할 때 어떤 데이터가 나오는지 논의하며 검증했습니다. 또한, 팀 구성원들이 각자 맡은 일에서 한 단계 더 나아가 역량을 키운 그로스 해킹으로 빠른 pivoting을 진행했습니다.

하나만 보지 않고 다양하게 바라보는 것을 좋아합니다. 여러 오픈소스 프로젝트에 기여하여 더 효율적인 보안 인프라를 구축하고, 최신 기술 트렌드를 반영한 R&D를 통해 현 비즈니스 니즈에 맞는 보안 아키텍처를 반영한 경험이 있습니다.

📞Contact

🛠Skills

  • Programming: C, Java, Python, JavaScript, Rust
  • OS: macOS, Linux (Ubuntu, Arch Linux, Kali Linux, Raspbian, OpenWrt)
  • Security
    Web/Network: Burp Suite, BeEF, sqlmap, Nikto, Nmap, Wireshark, tcpdump
    Reverse Engineering: GDB, IDA, Ghidra, Apktool, Frida, Radare2, Objdump, WinDbg
    SAST/IR: ZAP, Snyk, TheHive, DefectDojo, Dependency-Track, IoTcube
    Penetration Testing: Security Onion, Juice Shop, bettercap, Metasploit, soFrida
    Architecture: x86, x86-64, DSP, ARM
    Hardening: bunkerized-nginx, Dockle
  • DevOps: Terraform, Packer, Vault, AWS (EC2, S3, RDS, VPC, Lambda, Security Hub, CloudWatch), GCP, Docker, Git, uftrace, ELK Stack, OpenVPN, WireGuard

💼Work Experience

  • Security Engineer/DevSecOps
    Empo Inc.
    Jan 2020 - Present
  • Threat Monitoring Analyst
    IBM Korea
    Aug 2019 - Sep 2019
  • Intern, Security Engineer
    EMPO
    Jan 2019 - Apr 2019
  • Technical Advisor/Co-founder
    EMPO
    Jan 2017 - May 2017

🎓Education

  • College of IT, Gachon University
    B.E. in Department of Computer Engineering
    GPA 3.79/4.5
    Mar 2012 - Feb 2019
    Pay1oad 정보보호 동아리 창립/1기 회장
    Jan 2018 - Aug 2018
    Gachon. Fintech Labs 정보보호 연구실 학부연구생
    Apr 2018 - Dec 2018

🤹‍♂️Extracurricular Activity

  • 구글 제품 커뮤니티
    Silver GPE (Google Product Expert) @ Chrome
    Jan 2018 - Present
  • K-Shield Jr.
    정보보호 관리진단 교육 과정 (1기) 수료 및 서포터즈 활동
    Sep 2018 - Jan 2019
  • KUCIS
    Pay1oad - KUCIS 서경강권역 소속
    Jan 2018 - Dec 2018
  • CodeEngn (코드엔진 컨퍼런스)
    운영진
    Aug 2017 - Dec 2017
  • SUA
    운영진
    Sep 2016 - Aug 2018

🏆Awards

  • 2019
    대상(과학기술정보통신부장관상), 공개SW 컨트리뷰톤 - uftrace
  • 2018
    우수 정보보호 취업인재 선정 및 인증, K-Shield Jr. 정보보호 관리진단 교육 과정
    최우수상, KUCIS 프로젝트 부문 - Pay1oad
    최우수상(가천대학교총장상), 가천미래프로젝트 - 창의융합설계 경진대회
  • 2017
    1위, 제14회 HDCON 취약점 세션 (CTD: Capture the Drone)
    최우수상(행정안전부장관상), 제4회 SW 개발보안 경진대회
    장려상(특별상), CODEGATE 2017 해킹 시연 동영상 공모전
    우수상, 제1회 보안취약점 자동분석 아이디어 공모전
  • 2016
    장려상, 2016 가천대학교 해커톤
    3위, 스마트그리드 보안 해커톤 - 해킹 부문
  • 2014
    1위, 제9회 해킹캠프 Quiz & CTF

🗣Presentation

  • 2019
    'SW 개발보안 경진대회 - 후기' [SlideShare]
  • 2018
    '고통스러운 디컴파일러 제작기 - PL길만 걷자' [SlideShare]
    'Bluepwn: 블루투스, 이거 실화냐' [SlideShare]
  • 2017
    '제4회 SW개발보안 경진대회 - 모바일 앱 분야' [SlideShare]
    'IoTcube(화이트박스)를 활용한 분석 사례 및 플랫폼 개선 아이디어' [SlideShare]
  • 2016
    2016 'DLMS 프로토콜을 이용한 AMI 시스템 해킹' [SlideShare]
    'IoT 기반 ARP 공격 탐지 시스템' [SlideShare]
  • 2013
    'iOS7 iBeacon에 담긴 결제 서비스의 미래' [SlideShare]
    '사이버 공격 - 당신과 조직을 어떻게 위협하는가?' [SlideShare]

🐞Bug/Vulnerability Reports

Chromium Project

  • Character removal issue in any type of text input when converting Korean to Chinese [Issue] (2019)
  • Unable to change keyboard input to Korean from English or special characters in iOS Chrome Remote Desktop [Issue] (2019)
  • [User Feedback - Beta] Reports of Hangul characters being deleted during input in M75 [Issue] (2019)
  • Korean character break-up issue on a third party search engine on the search bar shortcut [Issue] (2019)

IoTcube
제보에 대한 모든 내용은 링크에 있습니다.

  • Out-of-bounds read/Invalid pointer reference in [FFmpeg] (CVE-2011-3893, CVE-2016-1897)
  • Buffer overflow/Uncontrolled format string in [SpiderMonkey] (CVE-2016-1879)
  • Out-of-bounds read/Invalid pointer reference in [The Sleuth Kit(TSK)] (CVE-2012-1571, CVE-2014-3710)
  • Uninitialized memory locations in [OpenCV] (CVE-2013-6629)

🖥Projects

  • 현재
    Cutter 번역 진행 중 [GitHub]
    OWASP Juice Shop 번역 진행 중 [GitHub]
    Let's Encrypt 추가 번역 진행 중 [GitHub]
  • 2019
    공개SW 컨트리뷰톤 - [uftrace] 멘티 참여 [GitHub]
    HTTP/3 Explained 번역 참여 [GitHub]
  • 2018
    블루투스 취약점 (BlueBorne) 분석 PoC 및 White paper 번역 [GitHub]
    DSP 명령어 구조분석을 통한 디컴파일러 구현에 관한 연구 (NDA)
    모바일 (iOS) 기반 SNS형 캘린더 서비스 개발 [GitHub]
    Let's Encrypt 웹사이트 번역 [Article] [GitHub]
  • 2017
    CentOS와 ELK Stack을 활용한 XSS 및 SQL Injection 탐지 프로젝트 [Post]
    모바일 (Android), 웹 기반 복권번호 추천 및 Reward 서비스 개발 [GitHub]
    OWASP Top 10 - 2017 번역 참여 [Website]
    CodeEngn Security Talk [PDF], 홈페이지 개발 (Django), RSS 관리 참여 (NDA)
    모바일 (Android) 기반 개발 관련 웹사이트 추천 및 사용자화 서비스 개발 [GitHub]

👨‍💻Military Service

  • CERT (정보보호병) 복무
    네트워크를 통한 사이버 공격 탐지 및 대응 임무 수행
    군 내부 IT 인프라 & 주요 서버 관리
    악성코드 분석 (IDA, WinDbg) 및 업무용 프로그램 개발 (C, Shell script)
    Nov 2014 - Aug 2016

📜Certification

  • Google Cloud Certified Associate Cloud Engineer
  • Google's Product Expert Certificate of Recognition - Chrome
  • 정보보안기사 (필기)
  • 정보보안산업기사
  • TOEIC 885, IELTS 6.5
  • CCNA

📖Readings

최근에 읽은 책: <아이디어 불패의 법칙> 알베르토 사보이아 저