- 아주대학교 혁신융합원 원장 - 사이버보안학과 교수
TTESays
💡Editor Pick - 국내, 암호키의 생명주기와 유효기간 언급 - 해외, 장기 자격 증명 자체를 줄이는 방향으로 고민/이동 중 - “키를 언제 교체할 것인가?”에서 “이 키가 꼭 오래 살아 있어야 하는가?”로 바꾸어야... Argemma Blog의 “You don’t want long-lived keys” 에서는 Long-lived key는 시간이 지날수록 위험이 누적되는 부채이며,
![[Claude Mythos 이후 #3] Claude Mythos 시대의 위험수용: 수용된 취약점은 사라진 위험이 아니다](https://images.unsplash.com/photo-1618333416396-5b11c71c0c94?crop=entropy&cs=tinysrgb&fit=max&fm=jpg&ixid=M3wxMTc3M3wwfDF8c2VhcmNofDk4fHxyaXNrJTIwQWNjZXB0YW5jZSUyMHxlbnwwfHx8fDE3Nzc3MTAyNDh8MA&ixlib=rb-4.1.0&q=80&w=600)
TTESays
💡Editor Pick - 위험수용은 취약점 제거가 아닌 취약점에 의한 위협을 조건부로 감당하겠다는 경영판단 - Claude Mythos 이후 수용된 취약점은 더 짧은 주기의 재평가 필요 - AI 시대의 금융보안은 취약점을 찾는 능력뿐 아니라 수용된 취약점의 생명주기를 관리하는 능력 평가 위험수용은 취약점 제거가 아니다. Claude Mythos 이후의 보안 논의는 결국 조직의 의사결정으로
![[Claude Mythos 이후 #2] Claude Mythos가 드러낸 보안 부채: 발견된 취약점은 왜 닫히지 않는가](https://images.unsplash.com/photo-1746729798021-129315426424?crop=entropy&cs=tinysrgb&fit=max&fm=jpg&ixid=M3wxMTc3M3wwfDF8c2VhcmNofDF8fGJhY2tsb2d8ZW58MHx8fHwxNzc3NzA3OTY4fDA&ixlib=rb-4.1.0&q=80&w=600)
TTESays
💡Editor Pick - Claude Mythos 이후 취약점 관리는 발견보다 검증과 조치의 문제 - AI가 만든 결과가 실제 조치 가능한 항목으로 전환되지 못하면 검증 부채와 보안 부채 적립 - MTTR, Backlog, KEV, EPSS, 오탐률, 재검증률은 Mythos 시대의 보안 운영 능력을 보여주는 핵심 지표 취약점은 발견되는 순간 사라지지 않는다 Claude Mythos가 보여준
![[Claude Mythos 이후 #1] Claude Mythos 이후, 보안은 취약점을 찾는 기술이 아닌 감당하는 시스템](https://images.unsplash.com/photo-1664526937033-fe2c11f1be25?crop=entropy&cs=tinysrgb&fit=max&fm=jpg&ixid=M3wxMTc3M3wwfDF8c2VhcmNofDR8fHN5c3RlbXxlbnwwfHx8fDE3Nzc2Mjg0Mzl8MA&ixlib=rb-4.1.0&q=80&w=600)
TTESays
💡Editor Pick - Mythos 이후, “AI가 취약점을 찾는가”에서 “조직이 그 결과를 감당할 수 있는가”로 이동 - AI 취약점 탐지는 발견, 검증, 조치 등으로 이어지는 시스템으로 완성 - 보안 성숙도는 모델 도입 보다는 결과를 운영으로 전환하는 능력 Claude Mythos가 바꾼 것은 모델의 성능만이 아니다 Claude Mythos가 보안 업계에 던진
AI
💡Editor Pick - Anthropic Mythos Preview를 통해 준비해야하는 보안 - Anthropic Mythos Preview가 제시하는 보안 업계의 미래 준비 인공지능의 발전으로 앞으로 인공지능이 취약점을 더 빨리 찾게 될 것이라 예상은 했다. 그러나 취약점 탐지와 익스플로잇 개발 사이에는 분명한 간극이 있다고 여겨졌다. 버그를 찾는 일은 자동화될 수 있어도, 그것을 실제 공격 가능한
TTESays
최근 Youtube를 통해 하나의 영상을 흥미롭게 끝까지 시청했다. 영상을 보면서 영상을 제작한 사람은 누구인가? 어떻게 이런 생각을 하게 되었는가? 등이 궁금했다. 그러다 문득 영상을 통해 규제 대응, 눈앞의 프로젝트 등의 논평을 들으면서 자칫 잘못하면 인재들이 잘못된 선택을 하고 있으며 그 결과 세계적인 기업에 밀리는 상황에 이르렀다고 인식할 수도 있겠다 싶었다.
TTESays
💡Editor Pick - 우리나라 메일 서비스의 특징으로 바라봤을 때, 문제는 아직인가? - 드러나지 않은 것인가? 아직 오지 않은 것인가? - 드러나지 않았던 오지 않았던 기다리면 과거의 사례 답습 글로벌 메일 인프라 공격 연대기가 한국에 던지는 질문 Part1에서 메일 인프라의 중요성과 공격 사례들에 대해 살펴보았다. Part2에서는 우리 상황에 대해 어떤 자세로
TTESays
💡Editor Pick - 공격자에게 매력적인 메일 서비스의 의미와 위치 - 글로벌 메일 서비스/인프라의 취약점 활용한 공격 - 메일 서비스에 대한 침해는 일반적인 서비스 침해와 상이 보안 분야에서 메일은 오래된 기술로 취급된다. 기업의 디지털 인프라가 클라우드와 협업 플랫폼 중심으로 재편되었지만 메일은 과거에도 현재에도 가장 보편적인 커뮤니케이션 도구이다. 그러나 공격자의 관점에서
TTESays
💡Editor Pick - AI는 사이버 공격의 기술 수준을 높인 것이 아닌 생산 속도를 높임 - 바이브웨어 전략은 탐지 시스템이 아닌 분석가의 시간을 공격 - 사이버전은 정교한 침투가 아닌 대량 생산된 공격의 소모전 APT36과 바이브웨어가 보여준 사이버전의 새로운 경제학 사이버 공격의 역사는 오랫동안 정교함의 경쟁이었다. 공격자는 더욱 복잡한 취약점을 찾고, 더
TTESays
💡Editor Pick - Coruna exploit kit은 단순한 iOS 취약점 공격이 아님 - 23개의 exploit을 자동으로 조합하는 ‘침투 파이프라인’ - 모바일 해킹이 개별 공격이 아니라 산업 구조로 변하고 있음 스마트폰 보안 논의에서 iOS는 오랫동안 가장 강력한 방어 모델을 갖춘 플랫폼으로 평가되어 왔다. 코드 서명 강제, 애플리케이션 샌드박스, 메모리 보호 기술, 그리고
TTESays
💡Editor Pick - 2019년 사건은 개인을 향했고 2026년 문서 공개는 구조를 드러냄 - 국가는 어디까지 네트워크를 활용할 수 있으며, 감시 책임 주제는? - 정보가 소유되고 축적될 때 권력으로 발전 2019년의 사건, 2026년의 문서 공개, 그리고 ‘정보의 민영화’라는 질문 2019년 7월, 뉴욕에서 체포된 제프리 엡스타인(Jeffrey Epstein)은 미성년자 성착취
TTESays
💡Editor Pick - 우리나라 소프트웨어 산업은 경제 규모 대비 어떠한가? - 우리나라 소프트웨어는 값싸고 저렴하다? - 구조적인 문제가 있다면 고쳐야 하나 설명이 쉽지 않다. - 꼬리를 물면서 강화되는 이슈의 고리를 끊어야 한다. 구조 속에서 선택지를 잃어버린 공급사, 그리고 다음 질문 Part 1에서 살펴본 구조는 "소프트웨어 공급사는 어떤 위치에 놓여