본문으로 건너뛰기
>_ITDITD웹 보안 플랫폼
사이버 대비, 상황실의 침착함

실제 사고에서 배우고, 내 사이트를 지키세요.

공격하는 법이 아니라 방어하는 법을, 실제로 일어난 침해 사고에서 끌어냈습니다. 보안 배경지식이 없어도 오늘 바로 실천할 수 있는 실용적인 방어책입니다.

사고 둘러보기방어 시작하기
itd@defense:~ — site-health.shLIVE
$  
  • >.env exposure[ 방어됨 ]
  • >TLS / cert expiry[ 주의 ]
  • >Dependency CVEs[ 위험 ]
  • >Security headers[ 방어됨 ]
  • >Secret in repo[ 방어됨 ]
ONLINE위협 피드LIVE7 사고 & 취약점26 용어 사전29 보안 가이드DEFENSE-ONLY — NO ATTACK STEPS
주요 콘텐츠

AI 시대의 보안

성능 좋은 AI는 방치의 대가를 키웁니다. 지금 기본부터 우선순위대로 단단히 잠그세요.

주요 콘텐츠 읽기
01 — Sections

어디서 시작할까요

목표에 맞는 시작점을 고르세요. 모두 무료이며 가입이 필요 없습니다.

사고 & 취약점

Capital One, Equifax, Log4Shell, Heartbleed, XZ — 공개된 침해 사고와 취약점을 원인, 영향, 초동 대응, 예방법으로 나누어, 지금도 통하는 교훈을 짚어봅니다.

$ Log4Shell, Heartbleed, Capital One, MOVEit 등.

용어 사전

CVE, CVSS, RCE, SSRF, XSS, SPF/DKIM/DMARC — 용어마다 한 줄 정답과 쉬운 설명을 함께 담았습니다.

$ 전문 용어에 막히지 않도록.

보안 가이드

비밀번호, MFA, 기기, 공용 Wi-Fi, 서버, 의존성, Git, 노출된 환경 — 오늘 바로 적용할 수 있는 방어책을 목표별로 정리한 실용 가이드입니다.

$ 목표별 실용 방어 가이드.

무료 도구

의존성(OSV), CVE, 보안 헤더, CSP, JWT, SPF/DKIM/DMARC를 점검하는 무료 도구 모음입니다. 진단 도구는 AI 수정 프롬프트도 함께 만들어 줍니다. 클라이언트 측 도구는 입력값을 절대 전송하지 않습니다.

$ 클라이언트 측 도구는 입력값을 전송하지 않습니다.

02 — Field notes

주목할 사고 & 취약점

Capital One, Log4Shell, MOVEit 등 — 공개된 침해 사고와 취약점을, 당신이 방어하는 방법으로 풀어냅니다.

critical2026-06-12

MOVEit 대규모 유출 사고(2023) — SQL 인젝션 제로데이가 2,700개 이상 조직에 도달한 경위와 방어법

진입점은 인터넷에 노출된 MOVEit Transfer의 SQL 인젝션 제로데이(CVE-2023-34362)였습니다. 웹 셸(LEMURLOOT)이 심어지고 백엔드 데이터베이스에서 데이터가 대량 탈취되어 2,700개 이상 조직, 약 9,330만 명에게 피해를 입혔습니다. 대부분의 피해자는 벤더가 MOVEit을 썼기 때문에 간접적으로 끌려 들어갔습니다. 여러분의 환경에서는 KEV 신속 패치, 노출 최소화, 웹↔DB 최소 권한과 분리, 벤더 인벤토리와 데이터 최소화가 핵심입니다.

critical2026-06-07

Capital One 데이터 유출 사고(2019) — 단 하나의 SSRF가 1억 건이 넘는 기록을 유출시킨 경위와 방어법

단 하나의 SSRF가 메타데이터 엔드포인트에 도달 → 과도한 권한의 IAM 임시 자격 증명 → S3 일괄 복사로 약 1억 600만 건이 유출되었습니다. 모든 단계에서 막을 수 있었습니다. 여러분의 환경에서는 IMDSv2, IAM 최소 권한, 그리고 아웃바운드 조회에 대한 허용 목록이 핵심입니다.

critical2026-06-07

Codecov 유출 사고(2021) — CI 안의 '신뢰하던 도구'가 탈취되어 비밀 정보가 새어 나갔을 때

신뢰하던 CI 도구(curl|bash로 실행되는 Bash Uploader)가 상위에서 변조되었습니다. 여러분의 코드는 손대지 않았기 때문에 약 2개월간 알아채지 못한 채 CI 비밀 정보가 유출되었고, 체크섬 검사가 이를 잡아냈습니다. 여러분의 CI에서는 가져온 산출물 검증, 최소 권한 비밀 정보, 로테이션, 이그레스 모니터링이 핵심입니다.

03 — Our stance

이 사이트가 지향하는 것

보안 제품이라면 제 집부터 단속해야 합니다.

We don't hold secrets

We never store your real API keys — only metadata. The safest secret is the one we can't leak.

Scan only what you own

Diagnostics run on verified domains only. Internal IPs and metadata endpoints are blocked — SSRF defense is built in.

Minimal blast radius

Isolation so one breach can't cascade. This site itself runs on a dedicated, isolated host.

We test on ourselves

This site watches its own dependencies for CVEs. The incident that started this never gets missed by a human again.