Governance

대표 서문

코드 이후에도, 구조는 남는다

취약점을 더 많이 찾는 문제보다, 발견 이후를 조직이 어떻게 흡수하고 지속시키는지가 이제 더 중요하다는 이 블로그의 대표 서문.

이 글은 이 블로그 전체를 관통하는 문제의식을 먼저 묶어두는 프레임이다. 기술 분석, 방법론, 거버넌스에 관한 글들은 모두 여기서 시작된다.

서문 읽기 이 블로그 소개

Detection, Method, Governance

🔥 구조를 해부하는 시선

보안 통제는 부족한 것이 아니라 불편하다 — 그래서 보안은 고객 맥락을 알아야 한다

보안 통제는 이미 충분하다. 문제는 어떤 고객에게, 어떤 순간에, 어느 정도의 마찰을 줄 것인지를 정하지 못하는 것이다. CAPTCHA·ATO 시리즈의 결론으로서, 통제 양에서 통제 맥락으로 옮겨가는 적응형 보안 운영 체계를 다룹니다.

AI Slop의 역설: 취약점을 더 잘 찾는 시대에 triage가 더 어려워지는 이유

AI는 취약점 발견 비용을 낮추지만 동시에 저품질 후보와 중복 신고를 늘린다. AI slop 시대에 triage 기준이 왜 보안 운영의 핵심이 되는지 설명합니다.

CVE 이후 대응만으로는 늦다: AI 시대 취약점은 번호가 붙기 전에 움직인다

AI 시대의 취약점 대응은 CVE가 붙은 뒤 움직이는 방식만으로는 늦다. CVE 이전 신호를 수집하고 공급망 영향도를 먼저 검증해야 하는 이유를 다룹니다.

계정 탈취는 왜 끝나지 않는가 — ATO 공급망의 해부

포인트·기프티콘·코인의 환류 구조를 통해 한국형 CaaS 공급망이 어떻게 스스로를 재생산하는지 분석합니다. 단순한 로그인 방어를 넘어 행위망 전체를 읽어야 하는 이유.

취약점을 잘 찾는 사람보다, 구조를 만드는 사람이 남는다

18년의 취약점 탐지 경험에서 얻은 통찰 — 감각에서 가이드라인으로, 가이드라인에서 구조로, 그리고 AI가 그 구조 안에서 작동하는 시대까지.

해커에게 0원짜리 자동문이 된 캡차 — CAPTCHA 우회 PoC와 방어 전략

Playwright, Whisper, Page-Agent로 오디오 CAPTCHA 우회 PoC를 재현하고, CAPTCHA 이후를 전제로 한 로그인 방어 전략을 정리합니다.

보안 장비(WAF/IPS/IDS) 탐지 공백 분석 및 보완 방향

WAF, IPS, IDS의 구조적 탐지 공백을 해석 불일치, TLS 가시성, 검사 범위 한계 관점에서 정리하고 실무 보완 방향을 제시합니다.

CISO 전략과 실행의 간극: WAF 논쟁과 현장 리더십 보고서

철학에 머문 전략, 실행의 실패, 그리고 WAF 논쟁을 중심으로 현장 리더십과 실질적 보안 개선 로드맵을 제시하는 종합 보고서.

엔드포인트 보안 우회 기법(2020-2025년): EDR 우회에서 EDR Kill까지

BYOI, BYOVD, DLL 하이재킹, 서비스 악용이 어떻게 단순 EDR 우회를 넘어 보안 에이전트 무력화로 이어졌는지 2020~2025년 사례를 바탕으로 분석합니다.

사이버보안의 SPOF: 역사에서 전략까지, 그래프 기반 분석

단일 실패 지점(SPOF)의 역사적 사례와 그래프 이론을 활용해 사이버보안 인프라의 구조적 약점을 식별하는 전략을 제시합니다.

eBPF 기반 백도어 탐지 프레임워크와 최신 방법론

eBPF를 악용한 백도어·루트킷의 탐지 난제를 분석하고, Tracee, LKRG, 하이퍼바이저 감사 등 최신 대응 방법론을 정리합니다.

통신 보안 심층 분석 리포트: SKT 해킹 사건과 글로벌 사례 분석

2025년 SKT 해킹 사건을 중심으로 Ki 유출, USIM 복제, 5G SA/NSA 보안 구조와 글로벌 통신 해킹 사례를 심층 분석합니다.

🔥 기술 너머의 신뢰와 문화

AI 국가 전략의 진짜 승부처는 GPU 수량만이 아닙니다

AI 국가 전략의 승부처는 GPU 수량만이 아니라, GPU 위에서 돌아가는 데이터·모델·agent·권한·로그·검증 흐름을 누가 통제하고 증명할 수 있는가에 있습니다.

AI가 진짜 새로워지는 순간: 답을 찾을 때가 아니라 문제를 다시 쓸 때

나이팅게일 신화, 화이트해커 담론, Sterbenz lemma, 브라우저 exploit reasoning을 통해 LLM의 진짜 변화가 지식 검색이 아니라 문제 재정의에 있음을 살펴본다.

사이버보안 정책의 구조적 윤리에 대한 비판적 평가: 대한민국 2025년 범부처 정보보호 종합대책 사례

2025년 범부처 정보보호 종합대책을 나이팅게일 신화와 화이트해커 담론의 구조적 유사성으로 읽는다. 정책은 개인 윤리 의존에서 구조적 책임으로 이동하고 있지만, 아직 완전히 전환되지는 않았다.

공급망 보안은 SBOM만으로 끝나지 않는다: AI 개발 도구와 자동화 연결 관리

AI IDE, MCP, 자동화 연결은 단순한 개발 편의 도구가 아니라 공급망 자산이다. 개발 프로세스의 신뢰 경로를 어떻게 관리해야 하는지 정리합니다.

보안 지식 전달에서 기본값 설계로

보안–DevOps 문제를 지식 전달 실패가 아니라 기본값 설계, 인터페이스, 예외 처리, 정렬의 구조 문제로 다시 보는 조직 설계 보고서.

한국 보안 산업에 대한 단상

한국 보안 산업에서 반복되는 규제·납품 중심 구조와 글로벌 제품 중심 성장 경로의 차이를 정리하고, AI 시대에 다시 나타나는 분기점을 돌아봅니다.

계약과 정보보호 거버넌스의 차이, 그리고 “계약을 잘 안다 = 거버넌스를 안다”라는 착각을 막는 방법

계약은 집행 수단이고, 정보보호 거버넌스는 리스크·정책·책임·감사를 설계·운영하는 경영 시스템이라는 관점에서, SW 공급망 보안과 예외승인 체계까지 연결해 정리합니다.

eIDAS 2.0 vs. 대한민국 디지털 신원체계 비교 분석

EU eIDAS 2.0(EU Digital Identity Wallet)과 한국의 모바일 신분증/민간 본인확인(CI/DI) 체계를 거버넌스·프라이버시·운영 관점에서 비교합니다.

내부 취약점 현황 공개가 보안 조치율에 미치는 심리·행동적 효과

취약점 현황을 조직 내부에 투명하게 공개할 때, 책임감/감시 인식/억지 효과가 조치율과 속도를 어떻게 끌어올리는지 이론과 사례로 정리합니다.

2025년 공격 표면 관리(ASM): 왜 지속적 가시성이 필수인가

2025년 공격 표면 관리(ASM)에서 ‘지속적 가시성’이 왜 필수인지, 주요 트렌드/설문 인사이트/실무 포인트를 정리합니다.

내 정보, 고양이 손에 맡겼나요?

2025년 카카오페이 개인정보 유출 사건을 통해 PIPA의 구조적 한계와 AI 기반 DPIA 검증, 시민 감시의 필요성을 제안합니다.

공짜 점심은 없지만, 보안에는 공짜가 있었다

CVE 시스템의 지속 가능성 위기와 글로벌 보안 공공 인프라에 대한 공동 자금 모델의 필요성을 분석합니다.

개발자들 말하는 보안에 대한 흔한 거짓말

개발자들이 보안에 대해 흔히 믿는 책임 전가형·기술 과신형·과소평가형 거짓말을 분석하고 현실적 대응 방안을 제시합니다.

보안진단 담당자의 흔한 착각

보안 취약점 평가 담당자들이 흔히 가지는 오해를 분석하고, 통합적 보안 설계와 체계적 취약점 관리 전략을 제시합니다.

🔥 문제를 고치는 코드

소형 LLM용 보안 개발 스펙에서 회귀 테스트와 퍼징 검증까지

소형 로컬 모델에서도 동작하는 XSS 보안 개발 스펙을 core/verify/dev/test 오버레이로 나누고, LLM 판정을 회귀 테스트 생성과 Jazzer/Jazzer.js 퍼징 서버의 seed로 연결하는 과정에서 얻은 설계 교훈과 한계를 정리한다.

진단 워크플로우는 미스 케이스를 흡수할 때만 살아남는다 — sec-audit-static v2.0의 여덟 번 보강

오픈소스 sec-audit-static 워크플로우 v2.0을 설계하고, 실제 인증 서버 진단에 돌렸다가 두 가지를 놓쳤다. 그 미스를 도구로 역반영해 v2.8까지 보강한 기록.

MCP는 RPC 보안의 역사를 반복하고 있다

MCP 보안 문제를 프롬프트 인젝션이 아니라 RPC, 로컬 실행 경계, 설정 승격, 공급망 거버넌스 관점에서 분석합니다.

보안진단은 외주 업무가 아니라 개발 공정이 된다

AI 시대의 보안진단은 외주비 절감 문제가 아니라 개발 프로세스 안에 반복 검증을 내재화하는 문제다. 공정별 자동화 가능성과 사람 판단이 남는 영역을 나눠 봅니다.

228개 엔드포인트를 5개 클러스터로 줄인 이야기

실제 코드베이스에 dataflow 기반 클러스터링을 적용한 기록 — 228개 엔드포인트를 5개 리뷰 가능한 클러스터로 축약하고, 교차점에서 RCE 체인을 발견하기까지.

보안 진단 보고서는 발행되면 죽는다

기존 보안 진단 보고서의 한계를 짚어보고, 진단 결과를 '문서'가 아닌 '실행 가능한 코드(PoC)'로 관리하는 Security Testing as Code의 필요성과 실무 적용 사례를 공유합니다.

유지보수 중단 오픈소스를 Gmail과 Snyk 알림으로 관리한 방법

Snyk 웹 UI에만 노출되는 취약점 정보를 Gmail과 Apps Script로 자동 수집하여 Google Sheets에 정리하는 구현 사례입니다.

기업 네트워크 보안을 위한 ECH 차단 및 DoH 대응 전략

dnsmasq를 사용하여 SVCB와 HTTPS 레코드를 필터링함으로써 ECH를 비활성화하고 중앙 DNS 정책을 적용하는 실습 가이드. DoH 차단은 별도의 네트워크 정책이 필요함을 함께 안내합니다.

시장이 거버넌스를 끌고 갈 수 있는가

정책만이 변화를 만드는 것은 아니다. 보험, 고객사, 공급망, 평가 서비스, 보안 SaaS 같은 외부 행위자가 비용을 매기기 시작하면 거버넌스도 결국 따라온다.

한국 보안 거버넌스는 왜 바뀌지 않는가

국정원, KISA, 감사원, 보안 산업, CISO, 정책기관이 각자 합리적으로 행동할 때 왜 전체 보안 거버넌스는 정체되는가를 게임이론 관점에서 분석합니다.

한국 보안 거버넌스는 AI 시대에 잘못된 방향으로 가속되고 있다

AI 시대의 보안 거버넌스는 한 기관의 역할 명칭보다 평가가 보상하는 행동을 바꿔야 한다는 문제의식을 다룹니다.