본문으로 건너뛰기
>_ITDITD웹 보안 플랫폼
timeline

보안의 역사

1970년대부터 오늘날까지, 보안을 형성해 온 주요 사고·취약점·악성코드·방어 기술을 하나의 연표에 담았습니다. 각 항목은 이 사이트의 자세한 해설로 이어집니다.

보안의 역사는 새로운 공격과 그것을 막기 위해 만들어진 기술의 겨룸을 기록한 것입니다. 전체를 조망하면, 오늘 무엇을 우선해서 지켜야 하는지가 보입니다. 색은 분류를 나타냅니다.

  • 침해·공격
  • 취약점
  • 악성코드
  • 방어 기술
  • 표준·법규

여명기

1970s–1980s
  1. 1976공개키 암호

    Diffie–Hellman이 키 교환의 개념을 공개했습니다. 이후 TLS·전자 서명·오늘날의 패스키까지, 현대 암호 통신의 토대가 되었습니다.

  2. 1988모리스 웜

    최초의 대규모 인터넷 웜입니다. 수많은 기기를 감염시켜 CERT 설립의 계기가 되었고, 실행되는 코드는 퍼진다는 사실을 세상에 알렸습니다.

    더 읽기
  3. 1988CERT/CC 설립

    웜 사태를 계기로 취약점 대응을 조율하는 최초의 거점이 발족했습니다. 이후 조정된 취약점 공개의 원형입니다.

웹 시대의 개막

1990s
  1. 1995SSL / TLS

    웹 통신의 암호화가 등장했습니다(이후 TLS로 표준화). 도청과 변조를 막는 HTTPS의 핵심입니다.

  2. 1998SQL 인젝션

    입력값으로 데이터베이스 쿼리를 가로채는 취약점이 널리 알려졌습니다. 지금도 최상위급 위험이며, 방어는 매개변수화된 쿼리입니다.

    더 읽기
  3. 1999CVE 프로그램

    취약점마다 공통 ID를 부여하는 체계가 탄생했습니다. 전 세계가 같은 구멍을 같은 이름으로 부를 수 있게 되었습니다.

    더 읽기
  4. 2000ILOVEYOU

    이메일 첨부로 폭발적으로 퍼진 웜입니다. 사람의 심리를 파고드는 소셜 엔지니어링 감염의 초기 원형입니다.

웜과 대규모 감염

2000s
  1. 2003SQL Slammer

    불과 몇 분 만에 인터넷을 뒤덮은 웜입니다. 미적용 상태의 알려진 취약점이 전 세계적 장애가 될 수 있음을 보여 주었습니다.

  2. 2003OWASP Top 10

    웹 애플리케이션의 대표적 위험을 10가지로 정리한 대표 목록입니다. 이후 개발자들의 공통 언어가 되었습니다.

  3. 2005XSS(Samy 웜)

    하루 만에 약 100만 프로필로 퍼진 XSS 웜입니다. 출력값을 반드시 이스케이프해야 하는 이유를 생생히 일깨웠습니다.

    더 읽기
  4. 2006PCI DSS

    카드 정보를 다루는 사업자를 위한 공통 보안 표준입니다. 기준으로 규율하는 컴플라이언스 보안 시대의 시작입니다.

  5. 2008Conficker

    수백만 대에 퍼진 거대 봇넷입니다. 패치 적용이 늦어지는 것이 얼마나 위험한지 다시금 일깨웠습니다.

대형 침해의 시대

2010–2016
  1. 2010Stuxnet

    산업 제어 시스템을 노린 국가급 공격입니다. 사이버 공격이 물리 설비를 망가뜨릴 수 있음을 세상에 보여 주었습니다.

  2. 2014Heartbleed

    OpenSSL의 취약점으로, 서버 메모리에서 비밀키와 세션이 유출될 수 있었습니다. 의존성 위험의 상징입니다.

    더 읽기
  3. 2014Shellshock

    Bash의 취약점으로, 조건에 따라 원격 코드 실행이 가능했습니다. 널리 쓰이는 구성 요소의 구멍은 영향 범위가 방대합니다.

    더 읽기
  4. 2014FIDO / U2F 보안 키

    피싱에 강한 2차 인증 표준이 등장했습니다. 이후 패스키로 이어지는 길입니다.

    더 읽기
  5. 2015Let's Encrypt

    무료·자동 TLS 인증서가 보급되었습니다. HTTPS가 특별한 것에서 당연한 것이 된 전환점입니다.

    더 읽기
  6. 2016Mirai(IoT 봇넷)

    기본 비밀번호의 IoT 기기를 가로채 거대 DDoS를 일으켰습니다. 기본·약한 인증 정보의 위험성을 보여 줍니다.

    더 읽기

랜섬웨어·공급망

2017–2021
  1. 2017WannaCry / NotPetya

    전 세계 규모의 랜섬웨어 피해입니다. 미적용 패치와 빠른 확산이 겹치면 조직 전체가 멈출 수 있습니다.

    더 읽기
  2. 2017Equifax 침해

    미적용 Apache Struts 취약점으로 약 1억 4700만 명분이 유출되었습니다. 의존성 CVE 방치가 부른 최악의 결말입니다.

    더 읽기
  3. 2018GDPR 시행

    EU의 포괄적인 개인정보 보호법이 발효되었습니다. 이제 침해에는 고액의 과징금과 통지 의무가 따릅니다.

  4. 2019Capital One(SSRF)

    SSRF와 클라우드 설정 미비가 겹쳐 1억 명 이상이 유출되었습니다. 클라우드 시대 설계 실수의 전형입니다.

    더 읽기
  5. 2020SolarWinds

    정상적인 소프트웨어 업데이트에 심어진 공급망 공격입니다. 신뢰하던 배포 경로 자체가 무기가 되었습니다.

    더 읽기
  6. 2021Codecov

    CI 도구의 변조로 다수의 비밀 정보가 유출되었습니다. 빌드 파이프라인도 공격 대상이라는 인식을 넓혔습니다.

    더 읽기
  7. 2021Log4Shell

    Log4j의 취약점으로, 문자열을 로그에 남기기만 해도 코드가 실행될 수 있었습니다. 의존성을 신속히 패치하는 것의 중요성을 뼈저리게 일깨웠습니다.

    더 읽기

현대(패스키·AI)

2022–
  1. 2022패스키

    비밀번호를 대체하는, 피싱에 강한 인증이 주요 OS와 브라우저에서 실용화되었습니다.

    더 읽기
  2. 2023MOVEit / Cl0p

    파일 전송 제품의 취약점을 노린 대규모 침해입니다. 하나의 구성 요소의 구멍이 수천 개 조직으로 번졌습니다.

    더 읽기
  3. 2024xz-utils 백도어

    널리 쓰이는 압축 라이브러리에 심어질 뻔한 백도어를 아슬아슬하게 발견했습니다. 공급망 공격이 점점 교묘해지고 있음을 보여 줍니다.

    더 읽기
  4. 2024AI 시대

    생성형 AI가 공격과 방어 양쪽을 가속합니다. 키 유출이나 프롬프트 인젝션 같은 새로운 주의점도 함께 생겼습니다.

    더 읽기