실무 보안 전문가를 위한 암호학 가이드
암호학 실무에서 자주 무너지는 지점은 알고리즘 자체보다 난수, 키 관리, 운영 모드, 오류 처리, 인증 검증을 조합하는 설계다. 이 글은 보안 진단자와 리버서 관점에서 암호 구현을 점검하는 기준을 정리한다.
Mind
🔥 구조를 해부하는 시선
🔥 기술 너머의 신뢰와 문화
🔥 문제를 고치는 코드
보안 통제는 부족한 것이 아니라 불편하다 — 그래서 보안은 고객 맥락을 알아야 한다
보안 통제는 이미 충분하다. 문제는 어떤 고객에게, 어떤 순간에, 어느 정도의 마찰을 줄 것인지를 정하지 못하는 것이다. CAPTCHA·ATO 시리즈의 결론으로서, 통제 양에서 통제 맥락으로 옮겨가는 적응형 보안 운영 체계를 다룹니다.
AI Slop의 역설: 취약점을 더 잘 찾는 시대에 triage가 더 어려워지는 이유
AI는 취약점 발견 비용을 낮추지만 동시에 저품질 후보와 중복 신고를 늘린다. AI slop 시대에 triage 기준이 왜 보안 운영의 핵심이 되는지 설명합니다.
CVE 이후 대응만으로는 늦다: AI 시대 취약점은 번호가 붙기 전에 움직인다
AI 시대의 취약점 대응은 CVE가 붙은 뒤 움직이는 방식만으로는 늦다. CVE 이전 신호를 수집하고 공급망 영향도를 먼저 검증해야 하는 이유를 다룹니다.
계정 탈취는 왜 끝나지 않는가 — ATO 공급망의 해부
포인트·기프티콘·코인의 환류 구조를 통해 한국형 CaaS 공급망이 어떻게 스스로를 재생산하는지 분석합니다. 단순한 로그인 방어를 넘어 행위망 전체를 읽어야 하는 이유.
취약점을 잘 찾는 사람보다, 구조를 만드는 사람이 남는다
18년의 취약점 탐지 경험에서 얻은 통찰 — 감각에서 가이드라인으로, 가이드라인에서 구조로, 그리고 AI가 그 구조 안에서 작동하는 시대까지.
해커에게 0원짜리 자동문이 된 캡차 — CAPTCHA 우회 PoC와 방어 전략
Playwright, Whisper, Page-Agent로 오디오 CAPTCHA 우회 PoC를 재현하고, CAPTCHA 이후를 전제로 한 로그인 방어 전략을 정리합니다.
보안 장비(WAF/IPS/IDS) 탐지 공백 분석 및 보완 방향
WAF, IPS, IDS의 구조적 탐지 공백을 해석 불일치, TLS 가시성, 검사 범위 한계 관점에서 정리하고 실무 보완 방향을 제시합니다.
CISO 전략과 실행의 간극: WAF 논쟁과 현장 리더십 보고서
철학에 머문 전략, 실행의 실패, 그리고 WAF 논쟁을 중심으로 현장 리더십과 실질적 보안 개선 로드맵을 제시하는 종합 보고서.
엔드포인트 보안 우회 기법(2020-2025년): EDR 우회에서 EDR Kill까지
BYOI, BYOVD, DLL 하이재킹, 서비스 악용이 어떻게 단순 EDR 우회를 넘어 보안 에이전트 무력화로 이어졌는지 2020~2025년 사례를 바탕으로 분석합니다.