TTESays
💡Editor Pick - 모든 취약점에 대응할 수 없는 현실 직시 필요 - 취약점 대응은 기술적 대응 만으로 불가능 - 취약점 대응을 위해 기술적, 절차적 체계와 의사결정 필요 2025년 12월 CVSS 기준 10.0점의 React2Shell(CVE-2025-55182) 취약점이 공개되면서 취약점 대응에 빨간불이 켜졌다. 안 그래도 매년 새롭게 등장하는 취약점의 개수가 늘어나면서 대응이
TTESays
💡Editor Pick - 또 다시 중앙 집중 구조 기반의 문제 해결 방식 - 또 다시 높은 권한을 활용한 해결책 제시 - 또 다시 공격자에게 유리한 공격면(Attack Surface) 생성 패치라는 이름의 명령 실행 구조 "KISA ‘보안 취약점 클리닝 서비스’, 진짜 문제는 무엇인가 Part1"에서 우리는 KISA 보안 취약점
TTESays
💡Editor Pick - KISA 보안 취약점 클리닝 서비스에 관한 서로 다른 시선 - 서로 다른 의견의 이유 그리고 현실과 이상의 괴리감 금융보안 소프트웨어 취약점 등을 비롯해 국내 소프트웨어의 취약점을 악용해 지속적으로 악성코드가 유포되는 가운데, 한국인터넷진흥원(KISA)은 ‘보안 취약점 클리닝 서비스’를 사업을 추진했다. 한국인터넷진흥원은 7월, 잉카인터넷의 nProtect 엔진을 활용해
![[OWASP 시리즈] OWASP Top10 2025 RC A03, 소프트웨어 공급망의 균열, 이제는 조직 전체의 리스크다](https://images.unsplash.com/photo-1590497008432-598f04441de8?crop=entropy&cs=tinysrgb&fit=max&fm=jpg&ixid=M3wxMTc3M3wwfDF8c2VhcmNofDIzfHxzdXBwbHklMjBjaGFpbiUyMGZhaWx1cmV8ZW58MHx8fHwxNzY0NzQ1NTY1fDA&ixlib=rb-4.1.0&q=80&w=600)
TTESays
OWASP가 공개한 Top10 2025 RC에서 확인할 수 있는 변화 중 하나는 기존 OWASP Top10 2021 A06 ‘취약하고 오래된 구성요소(Vulnerable and Outdated Components)’가 OWASP Top10 2025 RC A03: Software Supply Chain Failures라는 더 넓은 개념으로 재정의되었다는 것이다. 이는 단순한 명칭 변경이 아닌소프트웨어 개발, 배포 전 과정에서 발생하는 위협을 포함하는
TTESays
💡Editor Pick - 쿠팡 개인정보 유출 관련 언론보도에 대한 질문과 의견 - 사고 대응을 위해 단순한 점검, 인증, 제도 강화/개선이 아닌 환경 변화 필요 1. 기사와 발표의 모순을 짚다: 사실관계의 혼선과 잘못된 기술적 이해 쿠팡에서 3,000만 건이 넘는 개인정보가 유출된 것으로 확인되었다. 사건 관련 언론보도를 살펴보면 사고의 심각성만큼이나
![[OWASP 시리즈] OWASP Top10 2025 RC A02, ‘Security Misconfiguration’ 항목 대대적 재편… 2021 대비 무엇이 달라졌나](https://images.unsplash.com/photo-1667372525724-16cede94db0b?crop=entropy&cs=tinysrgb&fit=max&fm=jpg&ixid=M3wxMTc3M3wwfDF8c2VhcmNofDF8fGNvbmZpZ3VyYXRpb258ZW58MHx8fHwxNzY0MTQzODYyfDA&ixlib=rb-4.1.0&q=80&w=600)
TTESays
💡Editor Pick - OWASp Top10 202t RC의 A2에 대한 변화 및 세부적인 이해 - A2의 경우 근본 원인(Root Cause) 중심의 변화를 잘 보여주고 있음 - OWASp Top10 202t RC의 A2에서는 표준화되고 자동화된 보안 설정의 방향성과 필요성 제시하고 있음 OWASP가 발표한 Top10 2025 RC(Release Candidate)에서는 A2: Security Misconfiguration
![[OWASP 시리즈] OWASP Top 10 2025, A01: Broken Access Control ‘확장된 접근제어’](https://images.unsplash.com/photo-1467733238130-bb6846885316?crop=entropy&cs=tinysrgb&fit=max&fm=jpg&ixid=M3wxMTc3M3wwfDF8c2VhcmNofDh8fGJyb2tlbiUyMGFjY2VzcyUyMGNvbnRyb2x8ZW58MHx8fHwxNzYzNzE0MzkwfDA&ixlib=rb-4.1.0&q=80&w=600)
TTESays
💡Editor Pick - OWASP Top10 2025 RC의 A1 변화 분석 - OWASP Top10 카테고리 세부 항목을 이해할 필요가 있음 - OWASp Top10 2025 RC A1에서는 접근 제어 개념 확장성 제시 OWASP가 발표한 Top 10 2025에서 A1 항목인 Broken Access Control은 이전과 동일하게 가장 심각한 웹 애플리케이션 보안 위험으로 분류되었다. 그러나
![[OWASP 시리즈] OWASP Top10 2025 RC: 최신 웹 애플리케이션 보안 전망과 주요 변화](https://images.unsplash.com/photo-1555952494-efd681c7e3f9?crop=entropy&cs=tinysrgb&fit=max&fm=jpg&ixid=M3wxMTc3M3wwfDF8c2VhcmNofDc4fHx3ZWIlMjBzZWN1cml0eXxlbnwwfHx8fDE3NjM1Mzg3NDh8MA&ixlib=rb-4.1.0&q=80&w=600)
TTESays
OWASP Top10 2025의 RC(Release Candidate) 버전이 공개되었다. 이번 2025년판은 이전 에디션과 달리, 두 가지 새로운 카테고리가 추가되고 기존 항목이 통합되는 등의 구조적인 변화를 보여 준다. 이번 2025 RC는 OWASP Top10의 8번째 개정판으로, 데이터 기반 위험 분석을 한층 강화하는 동시에 기존 버전에서 제기된 여러 한계점을 보완하려는 시도가 돋보인다. 이번 기사는
TTESays
💡Editor Pick - CVE에 등장하는 취약점 대응 미흡 - 취약점의 패치 결정 및 효과적인 대응 방향성 수립 필요 - ASM과 PTaaS, Intelligence 연계 통한 대응 프레임워크 제안 최근 기업 보안 점검의 핵심 수단으로 자리 잡은 모의해킹과 취약점 점검은 여전히 현실적 제약에 직면해 있다. “공격자보다 먼저 약점을 발견한다”는 목표는 유효하지만,
TTESays
💡Editor Pick - 2025년 보안 사고의 증가는 ‘사건의 폭증’이 아니라 ‘탐지·보고 역량의 향상’일 가능성 - 반복되는 취약점 문제는 모의해킹을 형식적으로 수행하고 결과를 단순 패치로만 처리하는 관행에서 비롯 - 진정한 해결책은 취약점의 Exploit·파급력·근본 원인까지 가시화 - PTaaS, Git·이슈 트래커로 라이프사이클을 연동해 지속적으로 추적 2025년, ‘사건’
Security
💡Editor Pick - Pwn2Own Ireland 2025에서 73개 0Day에 102만 달러 상금 지급 - PetoWorks팀 Pwn2Own에서 Canon 프린터 0-Day 성공 73개 제로데이 공개 2025년 10월 아일랜드 코크(Cork)에서 열린 글로벌 보안 경연대회 Pwn2Own Ireland 2025가 성황리에 막을 내렸다. 이번 행사는 트렌드마이크로(Trend Micro)의 Zero Day Initiative(ZDI) 가 주관했으며,
![[TE머묾] 미국의 로보콜 차단 시도, 한국 방미통위와 비교돼](https://images.unsplash.com/photo-1558717738-0b9fbb9b0b21?crop=entropy&cs=tinysrgb&fit=max&fm=jpg&ixid=M3wxMTc3M3wwfDF8c2VhcmNofDF8fHdlYiUyMHNpdGUlMjBibG9ja2VkfGVufDB8fHx8MTc2MTI3MTQxNHww&ixlib=rb-4.1.0&q=80&w=600)
TTESays
💡Editor's Pick - 미국 국민들 괴롭히는 사기 전화 공격에 대책 마련하려는 미국 연방 정부 - 그런데 그 미국 정부는 현재 셧다운 상황 - 한국 방미통위는 아직 당파 싸움 때문에 개점휴업 상태인데 미국 정부가 셧다운 상황임에도 불구하고 사이버 사기 공격을 줄이기 위해 로보콜(robocall) 단속 법안을 마련해 통과시키고 있다.