» Tags

TrustAndCulture

🔥 구조를 해부하는 시선

CISO 전략과 실행의 간극: WAF 논쟁과 현장 리더십 보고서

CISO 전략과 실행의 간극: WAF 논쟁과 현장 리더십 보고서

철학에 머문 전략, 실행의 실패, 그리고 WAF 논쟁을 중심으로 현장 리더십과 실질적 보안 개선 로드맵을 제시하는 종합 보고서.

엔드포인트 보안 우회 기법(2020-2025년) - 기술 심층 분석

엔드포인트 보안 우회 기법(2020-2025년) - 기술 심층 분석

EDR을 우회하기 위한 공격자들의 기술은 더욱 정교해지고 있습니다. 2020년부터 2025년까지의 대표적인 우회 기법(BYOI, BYOVD, DLL 하이재킹, 서비스 변조)을 기술 메커니즘, 실제 사례, 공급업체 영향 및 방어 전략 중심으로 분석합니다.

사이버보안의 SPOF: 역사에서 전략까지, 그래프 기반 분석

사이버보안의 SPOF: 역사에서 전략까지, 그래프 기반 분석

단일 실패 지점(SPOF)의 위협을 역사적 사례와 그래프 이론에 기반해 분석하고, 사이버보안 인프라의 구조적 약점을 사전에 식별하는 전략적 접근 방식을 제시합니다.

eBPF 기반 백도어 탐지 프레임워크와 최신 방법론

eBPF 기반 백도어 탐지 프레임워크와 최신 방법론

eBPF를 악용한 백도어 및 루트킷의 부상과 탐지 난제를 분석하고, Tracee, LKRG, bpftool, Hypervisor 기반 감사 등 최신 대응 방법과 연구 동향(2023~2025)을 종합 정리합니다.

통신 보안 심층 분석 리포트: SKT 해킹 사건과 글로벌 사례 분석

통신 보안 심층 분석 리포트: SKT 해킹 사건과 글로벌 사례 분석

2025년 SKT 해킹 사건을 중심으로, 통신 인프라의 핵심 보안 구조와 과거 글로벌 해킹 사례(Gemalto, APT10, Circles)를 심층 분석한 보고서입니다. 가입자 인증 시스템(Ki, SUPI/SUCI)과 5G SA/NSA 차이점까지 다루었습니다.

🔥 기술 너머의 신뢰와 문화

eIDAS 2.0 vs. 대한민국 디지털 신원체계 비교 분석

eIDAS 2.0 vs. 대한민국 디지털 신원체계 비교 분석

EU eIDAS 2.0(EU Digital Identity Wallet)과 한국의 모바일 신분증/민간 본인확인(CI/DI) 체계를 거버넌스·프라이버시·운영 관점에서 비교합니다.

내부 취약점 현황 공개가 보안 조치율에 미치는 심리·행동적 효과

내부 취약점 현황 공개가 보안 조치율에 미치는 심리·행동적 효과

취약점 현황을 조직 내부에 투명하게 공개할 때, 책임감/감시 인식/억지 효과가 조치율과 속도를 어떻게 끌어올리는지 이론과 사례로 정리합니다.

2025년 공격 표면 관리(ASM): 왜 지속적 가시성이 필수인가

2025년 공격 표면 관리(ASM): 왜 지속적 가시성이 필수인가

2025년 공격 표면 관리(ASM)에서 ‘지속적 가시성’이 왜 필수인지, 주요 트렌드/설문 인사이트/실무 포인트를 정리합니다.

내 정보, 고양이 손에 맡겼나요?

내 정보, 고양이 손에 맡겼나요?

2025년 카카오페이 사건은 형식적 동의와 자율 규제의 한계를 드러냈습니다. AI 기반 DPIA 검증과 시민 감시를 통해 데이터 민주주의를 실현해야 합니다.

공짜 점심은 없지만, 보안에는 공짜가 있었다

공짜 점심은 없지만, 보안에는 공짜가 있었다

전 세계 보안 커뮤니티는 수십 년 동안 CVE 시스템에 의존해왔지만, 그 대가를 지불한 적은 거의 없습니다. 이제 이 공공 보안 인프라의 지속 가능성을 위해 누가 비용을 부담해야 할지 물어야 할 때입니다.

개발자들 말하는 보안에 대한 흔한 거짓말

개발자들 말하는 보안에 대한 흔한 거짓말

개발자들이 보안에 대해 자주 믿는 ‘책임 전가형’, ‘기술 과신형’, ‘보안 과소평가형’ 거짓말을 분석하고, 현실적인 대응 방안을 제시합니다.

보안진단 담당자의 흔한 착각

보안진단 담당자의 흔한 착각

사이버 보안 환경이 끊임없이 변화하면서 보안 취약점 평가는 잠재적인 보안 침해에 대한 주요 방어수단으로 자리잡고 있습니다. 그러나 이에 대한 일반적인 오해로 인해 평가의 실효성이 저하되는 경우가 많습니다. 본 글에서는 보안 취약점 평가에 대한 잘못된 인식을 살펴보고, 이를 극복할 수 있는 효과적인 전략을 제시함으로써 조직의 보안 수준 향상을 지원하고자 합니다.

🔥 문제를 고치는 코드

유지보수 중단 오픈소스를 Gmail과 Snyk 알림으로 관리한 방법

유지보수 중단 오픈소스를 Gmail과 Snyk 알림으로 관리한 방법

Snyk의 웹 UI에만 노출되는 정보를 자동으로 수집해야 했습니다. Gmail과 Apps Script를 활용한 취약점 알림 자동 수집기 구현 사례를 소개합니다.

기업 네트워크 보안을 위한 ECH 차단 및 DoH 대응 전략

기업 네트워크 보안을 위한 ECH 차단 및 DoH 대응 전략

dnsmasq를 사용하여 SVCB와 HTTPS 레코드를 필터링함으로써 ECH를 비활성화하고 중앙 DNS 정책을 적용하는 실습 가이드. DoH 차단은 별도의 네트워크 정책이 필요함을 함께 안내합니다.

eIDAS 2.0 vs. 대한민국 디지털 신원체계 비교 분석

PDF Open (new tab): /files/Digital_Identity_Redesigning_Control.pdf PDF가 보이지 않으면 여기로 열어보세요: /files/Digital_Identity_Redesigning_Control.pdf 관련 영상 eIDAS 2.0: 유럽의 디지털 신원 프레임워크 유럽연합의 eIDAS 2.0(Electronic Identification, Authentication and Trust Services 2.0)은 차세대 디지털 신원 전략으로, 유럽 디지털 신원 지갑(EU Digital Identity Wallet) 도입을 핵심으로 한다. 이 지갑은 모든 EU 시민·거주자에게 발급되며, 개인이 자신의 디지털 신원을 안전하게 저장・관리하고 필요한 정보만 선택적으로 공유할 수 있는 월렛 기반 신원증명 수단이다[1][2]. eIDAS 2.0 규정은 2024년 5월 발효되었고, 각 회원국이 2026년까지 최소 하나 이상의 공인 디지털 신원 지갑을 국민에게 제공하도록 의무화하였다[3]. 이를 통해 EU 전역에서 통용되는 조화로운 신원체계를 구축하고, 국경 간 전자거래와 서비스 이용 시 상호 인증을 가능하게 한다. ...

1월 19, 2026 · 12 분 · 2345 단어

내부 취약점 현황 공개가 보안 조치율에 미치는 심리·행동적 효과

내부 취약점 현황 공개가 보안 조치율에 미치는 심리·행동적 효과 PDF Open (new tab): /files/Visibility_Changes_Behavior.pdf PDF가 보이지 않으면 여기로 열어보세요: /files/Visibility_Changes_Behavior.pdf 관련 영상 서론 조직 내부에서 보안 취약점 현황을 전사적으로 투명하게 공개하면 구성원들에게 심리적 압박과 동기를 부여하여 취약점 조치율(패치 적용율)과 속도 향상에 기여할 수 있다는 주장이 있다. 실제로 많은 보안 리더들은 **“무엇을 측정하면 그것이 개선된다”**는 원칙 아래 취약점 관리 지표를 공유하고 추적한다. 본 보고서에서는 이러한 내부 공개가 가져오는 심리적·행동적 메커니즘과 이를 뒷받침하는 이론, 그리고 실무 사례와 연구 결과를 살펴본다. 특히 Perceived Accountability (인지된 책임감), Perceived Surveillance (인지된 감시), Behavioral Deterrence (행동적 억제) 개념이 내부 정보공개와 어떻게 맞물려 있는지, 그리고 구글·마이크로소프트·메타와 같은 기업들의 내부 보안 대시보드 운영 사례와 실증 연구를 정리한다. 이를 통해 왜 투명성이 보안 행동을 개선하는지 그 원리를 밝히고자 한다. ...

12월 29, 2025 · 7 분 · 1417 단어

2025년 공격 표면 관리(ASM): 왜 지속적 가시성이 필수인가

PDF가 보이지 않으면 여기로 열어보세요: /files/ASM_Promise_Reality_Behavior.pdf 관련 영상 2025년 공격 표면 관리(ASM): 왜 지속적 가시성이 필수인가 2025년에는 공격 표면이 폭발적으로 커졌습니다. 클라우드, SaaS, IoT, 원격 근무가 기존 네트워크 경계를 무너뜨리면서, 조직은 웹 앱·API·섀도우 IT·서드파티 서비스까지 포함하는 방대한 자산 지형도를 상대하게 됐습니다. 이 모든 것이 공격자의 진입점이 될 수 있습니다[1][2]. 공격자는 자동화와 AI를 활용해 설정 오류나 잊힌 도메인을 몇 초 만에 스캔하며, 종종 “방어자가 그 자산의 존재를 알기도 전에” 약점을 찾아냅니다[2]. 이런 환경에서 **가시성(visibility)**은 새로운 전장입니다. 결국 **“보이지 않는 것은 방어할 수 없다”**는 말이 더 이상 수사가 아니라 현실이 됐습니다[3]. ...

12월 22, 2025 · 6 분 · 1122 단어

내 정보, 고양이 손에 맡겼나요?

2025년 카카오페이 사건은 형식적 동의와 자율 규제의 한계를 드러냈습니다. AI 기반 DPIA 검증과 시민 감시를 통해 데이터 민주주의를 실현해야 합니다.

4월 21, 2025 · 5 분 · 951 단어

공짜 점심은 없지만, 보안에는 공짜가 있었다

전 세계 보안 커뮤니티는 수십 년 동안 CVE 시스템에 의존해왔지만, 그 대가를 지불한 적은 거의 없습니다. 이제 이 공공 보안 인프라의 지속 가능성을 위해 누가 비용을 부담해야 할지 물어야 할 때입니다.

4월 17, 2025 · 2 분 · 423 단어

개발자들 말하는 보안에 대한 흔한 거짓말

개발자들이 보안에 대해 자주 믿는 ‘책임 전가형’, ‘기술 과신형’, ‘보안 과소평가형’ 거짓말을 분석하고, 현실적인 대응 방안을 제시합니다.

4월 1, 2025 · 3 분 · 475 단어

보안진단 담당자의 흔한 착각

사이버 보안 환경이 끊임없이 변화하면서 보안 취약점 평가는 잠재적인 보안 침해에 대한 주요 방어수단으로 자리잡고 있습니다. 그러나 이에 대한 일반적인 오해로 인해 평가의 실효성이 저하되는 경우가 많습니다. 본 글에서는 보안 취약점 평가에 대한 잘못된 인식을 살펴보고, 이를 극복할 수 있는 효과적인 전략을 제시함으로써 조직의 보안 수준 향상을 지원하고자 합니다.

6월 16, 2024 · 3 분 · 448 단어