암호학 실무에서 자주 무너지는 지점은 알고리즘 자체보다 난수, 키 관리, 운영 모드, 오류 처리, 인증 검증을 조합하는 설계다. 이 글은 보안 진단자와 리버서 관점에서 암호 구현을 점검하는 기준을 정리한다.
🔥 구조를 해부하는 시선
🔥 기술 너머의 신뢰와 문화
🔥 문제를 고치는 코드
소형 LLM용 보안 개발 스펙에서 회귀 테스트와 퍼징 검증까지
소형 로컬 모델에서도 동작하는 XSS 보안 개발 스펙을 core/verify/dev/test 오버레이로 나누고, LLM 판정을 회귀 테스트 생성과 Jazzer/Jazzer.js 퍼징 서버의 seed로 연결하는 과정에서 얻은 설계 교훈과 한계를 정리한다.
AI 국가 전략의 진짜 승부처는 GPU 수량만이 아닙니다
AI 국가 전략의 승부처는 GPU 수량만이 아니라, GPU 위에서 돌아가는 데이터·모델·agent·권한·로그·검증 흐름을 누가 통제하고 증명할 수 있는가에 있습니다.
AI가 진짜 새로워지는 순간: 답을 찾을 때가 아니라 문제를 다시 쓸 때
나이팅게일 신화, 화이트해커 담론, Sterbenz lemma, 브라우저 exploit reasoning을 통해 LLM의 진짜 변화가 지식 검색이 아니라 문제 재정의에 있음을 살펴본다.
사이버보안 정책의 구조적 윤리에 대한 비판적 평가: 대한민국 2025년 범부처 정보보호 종합대책 사례
2025년 범부처 정보보호 종합대책을 나이팅게일 신화와 화이트해커 담론의 구조적 유사성으로 읽는다. 정책은 개인 윤리 의존에서 구조적 책임으로 이동하고 있지만, 아직 완전히 전환되지는 않았다.
진단 워크플로우는 미스 케이스를 흡수할 때만 살아남는다 — sec-audit-static v2.0의 여덟 번 보강
오픈소스 sec-audit-static 워크플로우 v2.0을 설계하고, 실제 인증 서버 진단에 돌렸다가 두 가지를 놓쳤다. 그 미스를 도구로 역반영해 v2.8까지 보강한 기록.
보안 통제는 부족한 것이 아니라 불편하다 — 그래서 보안은 고객 맥락을 알아야 한다
보안 통제는 이미 충분하다. 문제는 어떤 고객에게, 어떤 순간에, 어느 정도의 마찰을 줄 것인지를 정하지 못하는 것이다. CAPTCHA·ATO 시리즈의 결론으로서, 통제 양에서 통제 맥락으로 옮겨가는 적응형 보안 운영 체계를 다룹니다.
MCP는 RPC 보안의 역사를 반복하고 있다
MCP 보안 문제를 프롬프트 인젝션이 아니라 RPC, 로컬 실행 경계, 설정 승격, 공급망 거버넌스 관점에서 분석합니다.
시장이 거버넌스를 끌고 갈 수 있는가
정책만이 변화를 만드는 것은 아니다. 보험, 고객사, 공급망, 평가 서비스, 보안 SaaS 같은 외부 행위자가 비용을 매기기 시작하면 거버넌스도 결국 따라온다.
적응 능력은 어떻게 측정할 것인가
준수 능력에서 적응 능력으로 이동하려면 무엇을 측정해야 하는가. MTTA, MTTP, MTRS와 현장용 실행 템플릿을 제안합니다.