대표 서문
취약점을 더 많이 찾는 문제보다, 발견 이후를 조직이 어떻게 흡수하고 지속시키는지가 이제 더 중요하다는 이 블로그의 대표 서문.
이 글은 이 블로그 전체를 관통하는 문제의식을 먼저 묶어두는 프레임이다. 기술 분석, 방법론, 거버넌스에 관한 글들은 모두 여기서 시작된다.
Detection, Method, Governance
보안 통제는 이미 충분하다. 문제는 어떤 고객에게, 어떤 순간에, 어느 정도의 마찰을 줄 것인지를 정하지 못하는 것이다. CAPTCHA·ATO 시리즈의 결론으로서, 통제 양에서 통제 맥락으로 옮겨가는 적응형 보안 운영 체계를 다룹니다.
포인트·기프티콘·코인의 환류 구조를 통해 한국형 CaaS 공급망이 어떻게 스스로를 재생산하는지 분석합니다. 단순한 로그인 방어를 넘어 행위망 전체를 읽어야 하는 이유.
18년의 취약점 탐지 경험에서 얻은 통찰 — 감각에서 가이드라인으로, 가이드라인에서 구조로, 그리고 AI가 그 구조 안에서 작동하는 시대까지.
Playwright, Whisper, Page-Agent로 오디오 CAPTCHA 우회 PoC를 재현하고, CAPTCHA 이후를 전제로 한 로그인 방어 전략을 정리합니다.
WAF, IPS, IDS의 구조적 탐지 공백을 해석 불일치, TLS 가시성, 검사 범위 한계 관점에서 정리하고 실무 보완 방향을 제시합니다.
철학에 머문 전략, 실행의 실패, 그리고 WAF 논쟁을 중심으로 현장 리더십과 실질적 보안 개선 로드맵을 제시하는 종합 보고서.
BYOI, BYOVD, DLL 하이재킹, 서비스 악용이 어떻게 단순 EDR 우회를 넘어 보안 에이전트 무력화로 이어졌는지 2020~2025년 사례를 바탕으로 분석합니다.
단일 실패 지점(SPOF)의 역사적 사례와 그래프 이론을 활용해 사이버보안 인프라의 구조적 약점을 식별하는 전략을 제시합니다.
eBPF를 악용한 백도어·루트킷의 탐지 난제를 분석하고, Tracee, LKRG, 하이퍼바이저 감사 등 최신 대응 방법론을 정리합니다.
2025년 SKT 해킹 사건을 중심으로 Ki 유출, USIM 복제, 5G SA/NSA 보안 구조와 글로벌 통신 해킹 사례를 심층 분석합니다.
보안–DevOps 문제를 지식 전달 실패가 아니라 기본값 설계, 인터페이스, 예외 처리, 정렬의 구조 문제로 다시 보는 조직 설계 보고서.
한국 보안 산업에서 반복되는 규제·납품 중심 구조와 글로벌 제품 중심 성장 경로의 차이를 정리하고, AI 시대에 다시 나타나는 분기점을 돌아봅니다.
계약은 집행 수단이고, 정보보호 거버넌스는 리스크·정책·책임·감사를 설계·운영하는 경영 시스템이라는 관점에서, SW 공급망 보안과 예외승인 체계까지 연결해 정리합니다.
EU eIDAS 2.0(EU Digital Identity Wallet)과 한국의 모바일 신분증/민간 본인확인(CI/DI) 체계를 거버넌스·프라이버시·운영 관점에서 비교합니다.
취약점 현황을 조직 내부에 투명하게 공개할 때, 책임감/감시 인식/억지 효과가 조치율과 속도를 어떻게 끌어올리는지 이론과 사례로 정리합니다.
2025년 공격 표면 관리(ASM)에서 ‘지속적 가시성’이 왜 필수인지, 주요 트렌드/설문 인사이트/실무 포인트를 정리합니다.
2025년 카카오페이 개인정보 유출 사건을 통해 PIPA의 구조적 한계와 AI 기반 DPIA 검증, 시민 감시의 필요성을 제안합니다.
CVE 시스템의 지속 가능성 위기와 글로벌 보안 공공 인프라에 대한 공동 자금 모델의 필요성을 분석합니다.
개발자들이 보안에 대해 흔히 믿는 책임 전가형·기술 과신형·과소평가형 거짓말을 분석하고 현실적 대응 방안을 제시합니다.
보안 취약점 평가 담당자들이 흔히 가지는 오해를 분석하고, 통합적 보안 설계와 체계적 취약점 관리 전략을 제시합니다.
실제 코드베이스에 dataflow 기반 클러스터링을 적용한 기록 — 228개 엔드포인트를 5개 리뷰 가능한 클러스터로 축약하고, 교차점에서 RCE 체인을 발견하기까지.
기존 보안 진단 보고서의 한계를 짚어보고, 진단 결과를 '문서'가 아닌 '실행 가능한 코드(PoC)'로 관리하는 Security Testing as Code의 필요성과 실무 적용 사례를 공유합니다.
Snyk 웹 UI에만 노출되는 취약점 정보를 Gmail과 Apps Script로 자동 수집하여 Google Sheets에 정리하는 구현 사례입니다.
dnsmasq를 사용하여 SVCB와 HTTPS 레코드를 필터링함으로써 ECH를 비활성화하고 중앙 DNS 정책을 적용하는 실습 가이드. DoH 차단은 별도의 네트워크 정책이 필요함을 함께 안내합니다.
서버사이드 요청 위조(SSRF) 공격의 원리와 이를 효과적으로 방어하는 최신 전략 및 실전 가이드.
