Code Before Breach

🔥 구조를 해부하는 시선

CISO 전략과 실행의 간극: WAF 논쟁과 현장 리더십 보고서

철학에 머문 전략, 실행의 실패, 그리고 WAF 논쟁을 중심으로 현장 리더십과 실질적 보안 개선 로드맵을 제시하는 종합 보고서.

엔드포인트 보안 우회 기법(2020-2025년) - 기술 심층 분석

EDR을 우회하기 위한 공격자들의 기술은 더욱 정교해지고 있습니다. 2020년부터 2025년까지의 대표적인 우회 기법(BYOI, BYOVD, DLL 하이재킹, 서비스 변조)을 기술 메커니즘, 실제 사례, 공급업체 영향 및 방어 전략 중심으로 분석합니다.

사이버보안의 SPOF: 역사에서 전략까지, 그래프 기반 분석

단일 실패 지점(SPOF)의 위협을 역사적 사례와 그래프 이론에 기반해 분석하고, 사이버보안 인프라의 구조적 약점을 사전에 식별하는 전략적 접근 방식을 제시합니다.

eBPF 기반 백도어 탐지 프레임워크와 최신 방법론

eBPF를 악용한 백도어 및 루트킷의 부상과 탐지 난제를 분석하고, Tracee, LKRG, bpftool, Hypervisor 기반 감사 등 최신 대응 방법과 연구 동향(2023~2025)을 종합 정리합니다.

통신 보안 심층 분석 리포트: SKT 해킹 사건과 글로벌 사례 분석

2025년 SKT 해킹 사건을 중심으로, 통신 인프라의 핵심 보안 구조와 과거 글로벌 해킹 사례(Gemalto, APT10, Circles)를 심층 분석한 보고서입니다. 가입자 인증 시스템(Ki, SUPI/SUCI)과 5G SA/NSA 차이점까지 다루었습니다.

🔥 기술 너머의 신뢰와 문화

내 정보, 고양이 손에 맡겼나요?

2025년 카카오페이 사건은 형식적 동의와 자율 규제의 한계를 드러냈습니다. AI 기반 DPIA 검증과 시민 감시를 통해 데이터 민주주의를 실현해야 합니다.

공짜 점심은 없지만, 보안에는 공짜가 있었다

전 세계 보안 커뮤니티는 수십 년 동안 CVE 시스템에 의존해왔지만, 그 대가를 지불한 적은 거의 없습니다. 이제 이 공공 보안 인프라의 지속 가능성을 위해 누가 비용을 부담해야 할지 물어야 할 때입니다.

개발자들 말하는 보안에 대한 흔한 거짓말

개발자들이 보안에 대해 자주 믿는 ‘책임 전가형’, ‘기술 과신형’, ‘보안 과소평가형’ 거짓말을 분석하고, 현실적인 대응 방안을 제시합니다.

보안진단 담당자의 흔한 착각

사이버 보안 환경이 끊임없이 변화하면서 보안 취약점 평가는 잠재적인 보안 침해에 대한 주요 방어수단으로 자리잡고 있습니다. 그러나 이에 대한 일반적인 오해로 인해 평가의 실효성이 저하되는 경우가 많습니다. 본 글에서는 보안 취약점 평가에 대한 잘못된 인식을 살펴보고, 이를 극복할 수 있는 효과적인 전략을 제시함으로써 조직의 보안 수준 향상을 지원하고자 합니다.

🔥 문제를 고치는 코드

유지보수 중단 오픈소스를 Gmail과 Snyk 알림으로 관리한 방법

Snyk의 웹 UI에만 노출되는 정보를 자동으로 수집해야 했습니다. Gmail과 Apps Script를 활용한 취약점 알림 자동 수집기 구현 사례를 소개합니다.

기업 네트워크 보안을 위한 ECH 차단 및 DoH 대응 전략

dnsmasq를 사용하여 SVCB와 HTTPS 레코드를 필터링함으로써 ECH를 비활성화하고 중앙 DNS 정책을 적용하는 실습 가이드. DoH 차단은 별도의 네트워크 정책이 필요함을 함께 안내합니다.

보안진단 담당자의 흔한 착각

개발문화가 보안수준에 영향을 미칠 수 있을까?

개발문화가 보안수준에 영향을 미칠 수 있을까? 정적 분석 도구(joern)를 이용한 코드 품질과 보안 수준의 평가 배경 개방적이고 협업 중심의 개발문화를 가진 구글 등 회사와 달리, 그렇지 못한 일부 조직에서는 개인의 역량에 따라 코드의 품질 - 보안 수준을 포함하여 - 이 좌우될 수 있습니다. 특히, C 코드에서 strcpy 함수를 사용하는 등의 품질 낮은 코드를 작성하는 경향이 있는 개발자들에게 정적 분석 도구(joern, codeQL 등)을 커스텀 룰을 활용하여 코드의 품질과 보안 수준을 평가하여 제공할 수 있습니다. 결과적으로 개발 문화가 부족한 제한된 상황에서도 코드 품질과 동시에 보안수준이 향상되는, Good한 수준의 코드를 기대할 수 있습니다. ...

시트릭스 정책 우회는 취약점이 아니라 법률 위반이다

시트릭스 정책 우회는 취약점이 아니라 법률 위반이다 주의!! cert.org의 VINCE를 통한 Citrix와의 논의를 바탕으로, 이 문제는 관리 권한이 필요하기 때문에 취약점으로 분류되지 않는 것으로 결론지어졌습니다. 따라서 보안상의 문제 없이 이 정보를 공유할 수 있습니다. 그러나 보안상의 이유로, 논리적으로 격리되거나 폐쇄된 네트워크와 같은 특수 환경에서는 Xendesktop (VDI)의 사용을 권장하지 않습니다. 만약 VDI를 반드시 사용해야 한다면, 관리자 권한을 제거하고 보안 전용 소프트웨어를 설치해야 합니다. 관리자 권한이 필요하다는 점은 위험을 낮출 수 있지만, 잠재적인 영향력을 완전히 제거하지는 않습니다. 아래는 Citrix 정책이 어떻게 우회될 수 있는지에 대한 상세한 기술 설명입니다. ...

정부 NGO 및 버그 바운티 프로그램을 통한 사이버 보안 강화

정부 NGO 및 버그 바운티 프로그램을 통한 사이버 보안 강화: 보안세와 그 실행 사례 살펴보기 오늘날의 디지털 시대에서 정보 보안은 개인, 기업, 그리고 정부 모두에게 중요한 이슈가 되었습니다. 사이버 공격과 데이터 유출이 점점 더 빈번해지고 정교해지면서 그 결과는 매우 치명적일 수 있습니다. 이러한 위협에 대비하기 위해 강력한 사이버 보안 대책을 마련하는 것이 필수적입니다. 최근 인기를 얻고 있는 한 가지 접근 방식은 정부 NGO(비정부기구)와 버그 바운티 프로그램의 활용입니다. 이 프로그램들은 개인과 조직이 디지털 시스템의 취약점과 약점을 식별하고 신고하도록 장려하여, 적시에 효과적인 대응을 가능하게 합니다. 이들은 포괄적인 사이버 보안 전략의 핵심 요소로서, 그 중요성은 아무리 강조해도 지나치지 않습니다. ...

자바 리플렉션의 보안 위협과 완화 전략

자바 리플렉션의 보안 위협과 완화 전략 자바 리플렉션 API는 런타임에 클래스, 메서드, 인터페이스를 동적으로 조작할 수 있게 해주는 강력한 도구입니다. 하지만 그 유연성 때문에 공격자가 이를 악용해 시스템에 무단 접근할 수 있는 심각한 보안 위험이 발생합니다. 본 문서에서는 자바 리플렉션이 야기하는 보안 위협을 살펴보고, 이러한 위험을 완화하기 위한 전략들을 설명합니다. 리플렉션 API 사용 시의 위험성 리플렉션은 객체의 구조를 검사하거나 런타임에 메서드를 동적으로 호출하는 데 일반적으로 사용됩니다. 그러나 적절한 **보안 관리자(Security Manager)**가 없는 경우, execute, eval 등과 같은 민감한 메서드에 접근할 수 있어 잠재적인 원격 코드 실행(RCE) 공격을 유발할 수 있습니다. ...

About the XSSAudit

Chrome에서 XSSAudit 기능이 제거하는 이유? Google 보안팀에서는 Chrome 개발팀에게 XSSAudit 기능을 제거하자는 제안을 했지만, Google 보안팀이 제시한 근거는 우회 가능하다는 내용( evn@google.com의 논문)뿐이라 제거까지 가지 않을 것 같았지만, Chrome version 에서는 완전히 제외되는 것으로 결정되었습니다. 논문의 주요 내용은 신규 javascript framework의 garget을 이용한 우회 방법은 방어하기 어려우므로, 기존 완화하는 방법(xssaudit filter)에서 격리/예방하는 방법(Content Security Policy, 이하 CSP)으로 변화하자는 것이 주요 내용입니다. XSSAudit은 유용하지 않았던가? Google과 같은 업체 입장에서는 XSSAudit 기능에 의해 유지 비용이 소모되고 경쟁 업체(MS 등) 브라우저보다 성능이 느려진다면, 이 기능은 제거하고 싶은 것이 당연할 겁니다. (실제로 MS EDGE에서 해당 기능을 제거하였습니다.) ...