보안 통제는 부족한 것이 아니라 불편하다 — 그래서 보안은 고객 맥락을 알아야 한다
보안 통제는 이미 충분하다. 문제는 어떤 고객에게, 어떤 순간에, 어느 정도의 마찰을 줄 것인지를 정하지 못하는 것이다. CAPTCHA·ATO 시리즈의 결론으로서, 통제 양에서 통제 맥락으로 옮겨가는 적응형 보안 운영 체계를 다룹니다.
Posts
🔥 구조를 해부하는 시선
🔥 기술 너머의 신뢰와 문화
🔥 문제를 고치는 코드
시장이 거버넌스를 끌고 갈 수 있는가
정책만이 변화를 만드는 것은 아니다. 보험, 고객사, 공급망, 평가 서비스, 보안 SaaS 같은 외부 행위자가 비용을 매기기 시작하면 거버넌스도 결국 따라온다.
적응 능력은 어떻게 측정할 것인가
준수 능력에서 적응 능력으로 이동하려면 무엇을 측정해야 하는가. MTTA, MTTP, MTRS와 현장용 실행 템플릿을 제안합니다.
한국 보안 거버넌스는 왜 바뀌지 않는가
국정원, KISA, 감사원, 보안 산업, CISO, 정책기관이 각자 합리적으로 행동할 때 왜 전체 보안 거버넌스는 정체되는가를 게임이론 관점에서 분석합니다.
한국 보안 거버넌스는 AI 시대에 잘못된 방향으로 가속되고 있다
AI 시대의 보안 거버넌스는 한 기관의 역할 명칭보다 평가가 보상하는 행동을 바꿔야 한다는 문제의식을 다룹니다.
보안 지식 전달에서 기본값 설계로
보안–DevOps 문제를 지식 전달 실패가 아니라 기본값 설계, 인터페이스, 예외 처리, 정렬의 구조 문제로 다시 보는 조직 설계 보고서.
코드 이후에도, 구조는 남는다
취약점을 더 많이 찾는 문제보다, 발견 이후를 조직이 어떻게 흡수하고 지속시키는지가 이제 더 중요하다는 이 블로그의 대표 서문.
228개 엔드포인트를 5개 클러스터로 줄인 이야기
실제 코드베이스에 dataflow 기반 클러스터링을 적용한 기록 — 228개 엔드포인트를 5개 리뷰 가능한 클러스터로 축약하고, 교차점에서 RCE 체인을 발견하기까지.
계정 탈취는 왜 끝나지 않는가 — ATO 공급망의 해부
포인트·기프티콘·코인의 환류 구조를 통해 한국형 CaaS 공급망이 어떻게 스스로를 재생산하는지 분석합니다. 단순한 로그인 방어를 넘어 행위망 전체를 읽어야 하는 이유.
취약점을 잘 찾는 사람보다, 구조를 만드는 사람이 남는다
18년의 취약점 탐지 경험에서 얻은 통찰 — 감각에서 가이드라인으로, 가이드라인에서 구조로, 그리고 AI가 그 구조 안에서 작동하는 시대까지.