CISO 전략과 실행의 간극: WAF 논쟁과 현장 리더십 보고서
서문: 철학과 실행 사이, 고립된 확신의 균열 202x년 상반기. 지주사의 모의 해킹 결과 보고서에 “WAF 미도입 구간에서 SQL Injection 가능성 확인”이라는 문구가 담겼을 때, CISO는 한동안 아무 말도 하지 않았다. 보고서 문장은 단정했고, 공격은 고전적이었으며, 방어는 없었다. “내가 틀린 건가? 아니면, 그들이 내 의도를 오해한 건가…” ...
Posts
🔥 구조를 해부하는 시선
🔥 기술 너머의 신뢰와 문화
🔥 문제를 고치는 코드
SSRF Defense: 최신 방어 전략과 실전 가이드
은탄환은 없다: 민속과 현대적 의미 “은탄환(no silver bullet)”이라는 표현은 유럽 민속에서 유래했으며, 은으로 만든 탄환만이 늑대인간이나 뱀파이어 같은 초자연적 존재를 물리칠 수 있다고 믿었습니다. 1816년 월터 스콧의 _Tales of My Landlord_에서 처음 문서화되었고, 1765년의 제보당의 야수 사건 등에서도 마지막 수단으로 은탄환이 언급됩니다. 시간이 흐르며 이 표현은 “복잡한 문제에 단 하나의 간단한 해결책은 없다”는 의미로 확장되었고, 소프트웨어 공학에서는 프레드 브룩스의 1986년 에세이로 널리 알려졌습니다. 이 글은 SSRF 방어에도 같은 교훈을 적용합니다: 만능 해결책에 의존하지 말고, 단순한 속설이나 임시방편이 아닌, 근본적인 원인과 구조적 대책을 고민해야 합니다. ...
OpenStack Nova 예외 직렬화 패턴: 이론적 RCE 위험과 보안 교훈
OpenStack Nova의 예외 직렬화 메커니즘에서 발생할 수 있는 이론적 원격 코드 실행(RCE) 위험 분석과 여러 PoC, 방어책 제안
엔드포인트 보안 우회 기법(2020-2025년) - 기술 심층 분석
EDR을 우회하기 위한 공격자들의 기술은 더욱 정교해지고 있습니다. 2020년부터 2025년까지의 대표적인 우회 기법(BYOI, BYOVD, DLL 하이재킹, 서비스 변조)을 기술 메커니즘, 실제 사례, 공급업체 영향 및 방어 전략 중심으로 분석합니다.
사이버보안의 SPOF: 역사에서 전략까지, 그래프 기반 분석
단일 실패 지점(SPOF)의 위협을 역사적 사례와 그래프 이론에 기반해 분석하고, 사이버보안 인프라의 구조적 약점을 사전에 식별하는 전략적 접근 방식을 제시합니다.
Dicer 모듈 취약점 대응 가이드: CVE-2022-24434
Multer 의존성을 통해 간접적으로 영향을 받는 Dicer 모듈의 취약점을 분석하고, 실제 대응 방안을 정리했습니다. 유지보수 중단된 오픈소스에 대한 현실적인 대응 예시로 활용할 수 있습니다.
유지보수 중단 오픈소스를 Gmail과 Snyk 알림으로 관리한 방법
Snyk의 웹 UI에만 노출되는 정보를 자동으로 수집해야 했습니다. Gmail과 Apps Script를 활용한 취약점 알림 자동 수집기 구현 사례를 소개합니다.
인간의 깨달음과 인공지능: 불가능한 교차점에서의 대화
AI가 인간의 깨달음을 가질 수 있을까? 본 글은 존재론적 비대칭에서 출발해, 인간의 내적 변화와 AI의 반복적 구조를 비교하며 깨달음을 향한 기술적 조건을 탐구한다.
eBPF 기반 백도어 탐지 프레임워크와 최신 방법론
eBPF를 악용한 백도어 및 루트킷의 부상과 탐지 난제를 분석하고, Tracee, LKRG, bpftool, Hypervisor 기반 감사 등 최신 대응 방법과 연구 동향(2023~2025)을 종합 정리합니다.
통신 보안 심층 분석 리포트: SKT 해킹 사건과 글로벌 사례 분석
2025년 SKT 해킹 사건을 중심으로, 통신 인프라의 핵심 보안 구조와 과거 글로벌 해킹 사례(Gemalto, APT10, Circles)를 심층 분석한 보고서입니다. 가입자 인증 시스템(Ki, SUPI/SUCI)과 5G SA/NSA 차이점까지 다루었습니다.