보안 통제는 부족한 것이 아니라 불편하다 — 그래서 보안은 고객 맥락을 알아야 한다
보안 통제는 이미 충분하다. 문제는 어떤 고객에게, 어떤 순간에, 어느 정도의 마찰을 줄 것인지를 정하지 못하는 것이다. CAPTCHA·ATO 시리즈의 결론으로서, 통제 양에서 통제 맥락으로 옮겨가는 적응형 보안 운영 체계를 다룹니다.
보안 연구
🔥 구조를 해부하는 시선
🔥 기술 너머의 신뢰와 문화
🔥 문제를 고치는 코드
228개 엔드포인트를 5개 클러스터로 줄인 이야기
실제 코드베이스에 dataflow 기반 클러스터링을 적용한 기록 — 228개 엔드포인트를 5개 리뷰 가능한 클러스터로 축약하고, 교차점에서 RCE 체인을 발견하기까지.
계정 탈취는 왜 끝나지 않는가 — ATO 공급망의 해부
포인트·기프티콘·코인의 환류 구조를 통해 한국형 CaaS 공급망이 어떻게 스스로를 재생산하는지 분석합니다. 단순한 로그인 방어를 넘어 행위망 전체를 읽어야 하는 이유.
취약점을 잘 찾는 사람보다, 구조를 만드는 사람이 남는다
18년의 취약점 탐지 경험에서 얻은 통찰 — 감각에서 가이드라인으로, 가이드라인에서 구조로, 그리고 AI가 그 구조 안에서 작동하는 시대까지.
해커에게 0원짜리 자동문이 된 캡차 — CAPTCHA 우회 PoC와 방어 전략
Playwright, Whisper, Page-Agent로 오디오 CAPTCHA 우회 PoC를 재현하고, CAPTCHA 이후를 전제로 한 로그인 방어 전략을 정리합니다.
보안 진단 보고서는 발행되면 죽는다
기존 보안 진단 보고서의 한계를 짚어보고, 진단 결과를 ‘문서’가 아닌 ‘실행 가능한 코드(PoC)‘로 관리하는 Security Testing as Code의 필요성과 실무 적용 사례를 공유합니다.
보안 장비(WAF/IPS/IDS) 탐지 공백 분석 및 보완 방향
WAF, IPS, IDS의 구조적 탐지 공백을 해석 불일치, TLS 가시성, 검사 범위 한계 관점에서 정리하고 실무 보완 방향을 제시합니다.
OpenStack Nova 예외 직렬화 패턴: 이론적 RCE 위험과 보안 교훈
OpenStack Nova의 예외 직렬화 메커니즘에서 발생 가능한 이론적 RCE 위험을 PoC와 함께 분석하고 방어 패턴을 제시합니다.