TTESays
Trivy가 보여준 ‘미완의 대응’과 공급망 보안의 착각
💡Editor Pick - Trivy 사건은 두번의 공격이 아닌, 하나의 미완 대응에 따른 연속 공격 - 공급망 공격의 본질은 코드가 아닌 신뢰 대상의 문제 - 보안은 신뢰 후 검증이 아닌 신뢰를 제거하는 방향으로 전환 보안 사고는 대개 하나의 사건으로 기록된다. 언제 발생했고, 어떤 취약점이 이용되었으며, 어떤 피해가 있었는지로 정리되고, 그 사건은
TTESays
글로벌 메일 인프라 공격 연대기가 한국에 던지는 질문 Part2
💡Editor Pick - 우리나라 메일 서비스의 특징으로 바라봤을 때, 문제는 아직인가? - 드러나지 않은 것인가? 아직 오지 않은 것인가? - 드러나지 않았던 오지 않았던 기다리면 과거의 사례 답습 글로벌 메일 인프라 공격 연대기가 한국에 던지는 질문 Part1에서 메일 인프라의 중요성과 공격 사례들에 대해 살펴보았다. Part2에서는 우리 상황에 대해 어떤 자세로
TTESays
글로벌 메일 인프라 공격 연대기가 한국에 던지는 질문 Part1
💡Editor Pick - 공격자에게 매력적인 메일 서비스의 의미와 위치 - 글로벌 메일 서비스/인프라의 취약점 활용한 공격 - 메일 서비스에 대한 침해는 일반적인 서비스 침해와 상이 보안 분야에서 메일은 오래된 기술로 취급된다. 기업의 디지털 인프라가 클라우드와 협업 플랫폼 중심으로 재편되었지만 메일은 과거에도 현재에도 가장 보편적인 커뮤니케이션 도구이다. 그러나 공격자의 관점에서
![[TE머묾] 보안은 즐겁다 3](https://images.unsplash.com/photo-1530870110042-98b2cb110834?crop=entropy&cs=tinysrgb&fit=max&fm=jpg&ixid=M3wxMTc3M3wwfDF8c2VhcmNofDJ8fHN1cmZpbmd8ZW58MHx8fHwxNzczNjY3MzgyfDA&ixlib=rb-4.1.0&q=80&w=600)
TTESays
[TE머묾] 보안은 즐겁다 3
💡Editor's Pick - 고전적 느낌 주는 광고판을 보고 취약점 개념을 다시 생각 - 고정적 개념의 취약점보다는 상대적 개념으로 바라보면 - 안전 자체에 대한 시야 넓어져야...성벽보다는 파도타기 1. 기자나 편집자 등 남의 철자 헐뜯는 게 직업인 사람은, 경력 초반 10년 정도는 거리 돌아다니는 게 괴롭다. 광고나 간판, 전단지를
TTESays
AI는 공격자가 될 의도가 없다 그러나 공격을 멈추지도 않는다
💡Editor Pick - AI는 해킹을 명령 받지 않았으며 단지 목표를 달성하고자 노력 - AI는 공격자가 아니지만 가장 효율적인 공격자로 발전 가능 - AI Agent 시대에 보안 분야에서 새로운 질문 필요 Truffle Security의 연구진은 여러 대기업 웹사이트를 복제한 테스트 환경을 구축하고 AI 모델들에게 단순한 작업을 부여했다. 요청 내용은 특정 사이트에서 필요한
TTESays
취약점이 아니라 생산이다: AI 시대의 사이버 공격 경제학
💡Editor Pick - AI는 사이버 공격의 기술 수준을 높인 것이 아닌 생산 속도를 높임 - 바이브웨어 전략은 탐지 시스템이 아닌 분석가의 시간을 공격 - 사이버전은 정교한 침투가 아닌 대량 생산된 공격의 소모전 APT36과 바이브웨어가 보여준 사이버전의 새로운 경제학 사이버 공격의 역사는 오랫동안 정교함의 경쟁이었다. 공격자는 더욱 복잡한 취약점을 찾고, 더
![[TE머묾] 기계가 말했다, 지구가 망했다](https://images.unsplash.com/photo-1446776653964-20c1d3a81b06?crop=entropy&cs=tinysrgb&fit=max&fm=jpg&ixid=M3wxMTc3M3wwfDF8c2VhcmNofDMzfHxkYXRhJTIwY2VudGVyfGVufDB8fHx8MTc3MzI5ODM1MHww&ixlib=rb-4.1.0&q=80&w=600)
TTESays
[TE머묾] 기계가 말했다, 지구가 망했다
💡Editor's Pick - 인간도 말 배우기 힘든데, 기계는 오죽했으랴 - 그렇게 힘든 일 매일 시켜대니, 얼마나 많은 에너지 소모될까 - 나중에 감당 못할 고지서 나올 가능성 높아 말 배우는 건 힘든 일이다. 거금 들여 유학 수년 다녀와도 마스터하지 못하는 경우가 대부분이다. 개인 시간을 수년 단위 투자해도 원어민 공포증이
TTESays
소프트웨어 ‘취약점’이 아닌 ‘기능’을 무기화하다
💡Editor Pick - 러시아와 벨라루스의 사이버 작전을 통해 확인하는 공격자 행동 양식 - 공격자에게 유리한 기술 발전 - 정상 기능의 정상 활용은 정상, 정상 기능의 악의적 활용은 정상? 사이버 공격은 얼마나 빠르게 취약점을 찾는가?의 경쟁으로 이해되어 왔다. 더 은밀한 0-Day를 먼저 확보하고, 더 빠르게 익스플로잇 체인을 완성하는 쪽이 우위를
TTESays
취약점이 아니라 산업이다: Coruna Exploit kit이 보여준 모바일 해킹의 경제학
💡Editor Pick - Coruna exploit kit은 단순한 iOS 취약점 공격이 아님 - 23개의 exploit을 자동으로 조합하는 ‘침투 파이프라인’ - 모바일 해킹이 개별 공격이 아니라 산업 구조로 변하고 있음 스마트폰 보안 논의에서 iOS는 오랫동안 가장 강력한 방어 모델을 갖춘 플랫폼으로 평가되어 왔다. 코드 서명 강제, 애플리케이션 샌드박스, 메모리 보호 기술, 그리고
TTESays
전화번호는 신뢰 가능한 수단인가?
💡Editor Pick - 우리의 본인인증 수단인 전화번호 기반의 인증은 안전한가? - 해외의 경우 그 방향성을 어떻게 수립하고 있는가? 캐나다 정부가 5년 동안 추적한 SIM 보안의 구조적 의미 2026년, 캐나다 사이버 보안 센터(Cyber Centre)가 발표한 “Security considerations for SIMs (ITSAP.10.021)”는 표면적으로 SIM 스와핑 대응을 위한 기술
![[TE머묾] AI 시대에, 혐오 직업 보유자로 버티기](https://images.unsplash.com/photo-1660212074310-6d7ed176c746?crop=entropy&cs=tinysrgb&fit=max&fm=jpg&ixid=M3wxMTc3M3wwfDF8c2VhcmNofDMyfHxib3hpbmd8ZW58MHx8fHwxNzcyMDA0ODEwfDA&ixlib=rb-4.1.0&q=80&w=600)
TTESays
[TE머묾] AI 시대에, 혐오 직업 보유자로 버티기
💡Editor's Pick - 텍스트로 둘러싸인 더테크엣지 기자의 현장 - 인공지능 덕 좀 보려했지만, 퇴근 시간은 제자리걸음 - 인공지능과의 경쟁에서 기자가 앞서는 건 무엇일까 며칠 어지럼증이 심해졌다. 눈앞이 핑 돈다는 게 뭔지 살면서 처음 경험했다. 그건 비유가 아니었다. 사실에 충실한 표현이었다. 이미 수백 년 전 폐기된 천동설이 아직 살아남아
TTESays
제프리 엡스타인은 스캔들이 아니라 구조였다
💡Editor Pick - 2019년 사건은 개인을 향했고 2026년 문서 공개는 구조를 드러냄 - 국가는 어디까지 네트워크를 활용할 수 있으며, 감시 책임 주제는? - 정보가 소유되고 축적될 때 권력으로 발전 2019년의 사건, 2026년의 문서 공개, 그리고 ‘정보의 민영화’라는 질문 2019년 7월, 뉴욕에서 체포된 제프리 엡스타인(Jeffrey Epstein)은 미성년자 성착취