Donghwi Shin

Canada
Donghwi Shin
KISA ‘보안 취약점 클리닝 서비스’, 진짜 문제는 무엇인가 Part1

TTESays

KISA ‘보안 취약점 클리닝 서비스’, 진짜 문제는 무엇인가 Part1

💡Editor Pick - KISA 보안 취약점 클리닝 서비스에 관한 서로 다른 시선 - 서로 다른 의견의 이유 그리고 현실과 이상의 괴리감 금융보안 소프트웨어 취약점 등을 비롯해 국내 소프트웨어의 취약점을 악용해 지속적으로 악성코드가 유포되는 가운데, 한국인터넷진흥원(KISA)은 ‘보안 취약점 클리닝 서비스’를 사업을 추진했다. 한국인터넷진흥원은 7월, 잉카인터넷의 nProtect 엔진을 활용해

By Donghwi Shin
[OWASP 시리즈] OWASP Top10 2025 RC A03, 소프트웨어 공급망의 균열, 이제는 조직 전체의 리스크다

TTESays

[OWASP 시리즈] OWASP Top10 2025 RC A03, 소프트웨어 공급망의 균열, 이제는 조직 전체의 리스크다

OWASP가 공개한 Top10 2025 RC에서 확인할 수 있는 변화 중 하나는 기존 OWASP Top10 2021 A06 ‘취약하고 오래된 구성요소(Vulnerable and Outdated Components)’가 OWASP Top10 2025 RC A03: Software Supply Chain Failures라는 더 넓은 개념으로 재정의되었다는 것이다. 이는 단순한 명칭 변경이 아닌소프트웨어 개발, 배포 전 과정에서 발생하는 위협을 포함하는

By Donghwi Shin
쿠팡 3,000만 건 개인정보 유출, 언론보도 및 지적에 무엇이 잘못됐고 무엇을 고쳐야 하는가

TTESays

쿠팡 3,000만 건 개인정보 유출, 언론보도 및 지적에 무엇이 잘못됐고 무엇을 고쳐야 하는가

💡Editor Pick - 쿠팡 개인정보 유출 관련 언론보도에 대한 질문과 의견 - 사고 대응을 위해 단순한 점검, 인증, 제도 강화/개선이 아닌 환경 변화 필요 1. 기사와 발표의 모순을 짚다: 사실관계의 혼선과 잘못된 기술적 이해 쿠팡에서 3,000만 건이 넘는 개인정보가 유출된 것으로 확인되었다. 사건 관련 언론보도를 살펴보면 사고의 심각성만큼이나

By Donghwi Shin
[OWASP 시리즈] OWASP Top10 2025 RC A02, ‘Security Misconfiguration’ 항목 대대적 재편… 2021 대비 무엇이 달라졌나

TTESays

[OWASP 시리즈] OWASP Top10 2025 RC A02, ‘Security Misconfiguration’ 항목 대대적 재편… 2021 대비 무엇이 달라졌나

💡Editor Pick - OWASp Top10 202t RC의 A2에 대한 변화 및 세부적인 이해 - A2의 경우 근본 원인(Root Cause) 중심의 변화를 잘 보여주고 있음 - OWASp Top10 202t RC의 A2에서는 표준화되고 자동화된 보안 설정의 방향성과 필요성 제시하고 있음 OWASP가 발표한 Top10 2025 RC(Release Candidate)에서는 A2: Security Misconfiguration

By Donghwi Shin
[OWASP 시리즈] OWASP Top 10 2025, A01: Broken Access Control ‘확장된 접근제어’

TTESays

[OWASP 시리즈] OWASP Top 10 2025, A01: Broken Access Control ‘확장된 접근제어’

💡Editor Pick - OWASP Top10 2025 RC의 A1 변화 분석 - OWASP Top10 카테고리 세부 항목을 이해할 필요가 있음 - OWASp Top10 2025 RC A1에서는 접근 제어 개념 확장성 제시 OWASP가 발표한 Top 10 2025에서 A1 항목인 Broken Access Control은 이전과 동일하게 가장 심각한 웹 애플리케이션 보안 위험으로 분류되었다. 그러나

By Donghwi Shin
[OWASP 시리즈] OWASP Top10 2025 RC: 최신 웹 애플리케이션 보안 전망과 주요 변화

TTESays

[OWASP 시리즈] OWASP Top10 2025 RC: 최신 웹 애플리케이션 보안 전망과 주요 변화

OWASP Top10 2025의 RC(Release Candidate) 버전이 공개되었다. 이번 2025년판은 이전 에디션과 달리, 두 가지 새로운 카테고리가 추가되고 기존 항목이 통합되는 등의 구조적인 변화를 보여 준다. 이번 2025 RC는 OWASP Top10의 8번째 개정판으로, 데이터 기반 위험 분석을 한층 강화하는 동시에 기존 버전에서 제기된 여러 한계점을 보완하려는 시도가 돋보인다. 이번 기사는

By Donghwi Shin
모의해킹의 현실과 CVE 활용의 한계 — ASM 기반 실무적 대응 프레임워크

TTESays

모의해킹의 현실과 CVE 활용의 한계 — ASM 기반 실무적 대응 프레임워크

💡Editor Pick - CVE에 등장하는 취약점 대응 미흡 - 취약점의 패치 결정 및 효과적인 대응 방향성 수립 필요 - ASM과 PTaaS, Intelligence 연계 통한 대응 프레임워크 제안 최근 기업 보안 점검의 핵심 수단으로 자리 잡은 모의해킹과 취약점 점검은 여전히 현실적 제약에 직면해 있다. “공격자보다 먼저 약점을 발견한다”는 목표는 유효하지만,

By Donghwi Shin
주기적인 모의해킹/취약점 점검과 반복되는 사고

TTESays

주기적인 모의해킹/취약점 점검과 반복되는 사고

💡Editor Pick - 2025년 보안 사고의 증가는 ‘사건의 폭증’이 아니라 ‘탐지·보고 역량의 향상’일 가능성 - 반복되는 취약점 문제는 모의해킹을 형식적으로 수행하고 결과를 단순 패치로만 처리하는 관행에서 비롯 - 진정한 해결책은 취약점의 Exploit·파급력·근본 원인까지 가시화 - PTaaS, Git·이슈 트래커로 라이프사이클을 연동해 지속적으로 추적 2025년, ‘사건’

By Donghwi Shin
PetoWorks팀, Pwn2Own Ireland 2025서 Canon 프린터 제로데이 성공

Security

PetoWorks팀, Pwn2Own Ireland 2025서 Canon 프린터 제로데이 성공

💡Editor Pick - Pwn2Own Ireland 2025에서 73개 0Day에 102만 달러 상금 지급 - PetoWorks팀 Pwn2Own에서 Canon 프린터 0-Day 성공 73개 제로데이 공개 2025년 10월 아일랜드 코크(Cork)에서 열린 글로벌 보안 경연대회 Pwn2Own Ireland 2025가 성황리에 막을 내렸다. 이번 행사는 트렌드마이크로(Trend Micro)의 Zero Day Initiative(ZDI) 가 주관했으며,

By Donghwi Shin
[TE머묾] 미국의 로보콜 차단 시도, 한국 방미통위와 비교돼

TTESays

[TE머묾] 미국의 로보콜 차단 시도, 한국 방미통위와 비교돼

💡Editor's Pick - 미국 국민들 괴롭히는 사기 전화 공격에 대책 마련하려는 미국 연방 정부 - 그런데 그 미국 정부는 현재 셧다운 상황 - 한국 방미통위는 아직 당파 싸움 때문에 개점휴업 상태인데 미국 정부가 셧다운 상황임에도 불구하고 사이버 사기 공격을 줄이기 위해 로보콜(robocall) 단속 법안을 마련해 통과시키고 있다.

By 문가용 기자, Donghwi Shin
DEFCON: 새로운 패스워드 파일 korear.kr

TTESays

DEFCON: 새로운 패스워드 파일 korear.kr

💡Editor Pick - korear.kr_plain_text_password.txt 파일은 무엇인가? - 한글 패스워드 저장 파일로 GPKI 인증서 크랙에 활용 - 한글 패스워드에서 사용하는 주요 특수문자 : !, @, *, ^ 올해 데프콘에서 프랙(Phrack)을 통해 공개된 자료들을 본지에서는 계속해서 분석해 나가고 있다. 이번 주에는 result.txt와 pass.txt를 분석해 보도했다. 이번 기사에서는 korear.

By Donghwi Shin, 문가용 기자
캄보디아 가짜 사이트 차단해야 할 방미통위, 접속했더니 오류

Security

캄보디아 가짜 사이트 차단해야 할 방미통위, 접속했더니 오류

💡Editor's Pick - 캄보디아 가짜 구인 사이트 차단 못한다는 위원회 - 위원회 사이트도 접속하면 오류 메시지 내보내 - 알고 보니 인증서 문제...불행인지 다행인지 최근 캄보디아 범죄 조직들이 한국인들을 유인한 후 납치, 감금해 각종 피해를 발생시키고 있다는 뉴스가 전국을 들썩이고 있다. 이들은 주로 불법 구인 광고 게시물을 통해

By Donghwi Shin, 문가용 기자