보안의 역사
1970년대부터 오늘날까지, 보안을 형성해 온 주요 사고·취약점·악성코드·방어 기술을 하나의 연표에 담았습니다. 각 항목은 이 사이트의 자세한 해설로 이어집니다.
보안의 역사는 새로운 공격과 그것을 막기 위해 만들어진 기술의 겨룸을 기록한 것입니다. 전체를 조망하면, 오늘 무엇을 우선해서 지켜야 하는지가 보입니다. 색은 분류를 나타냅니다.
- 침해·공격
- 취약점
- 악성코드
- 방어 기술
- 표준·법규
여명기
1970s–1980s- 1976공개키 암호
Diffie–Hellman이 키 교환의 개념을 공개했습니다. 이후 TLS·전자 서명·오늘날의 패스키까지, 현대 암호 통신의 토대가 되었습니다.
- 1988모리스 웜
최초의 대규모 인터넷 웜입니다. 수많은 기기를 감염시켜 CERT 설립의 계기가 되었고, 실행되는 코드는 퍼진다는 사실을 세상에 알렸습니다.
더 읽기 - 1988CERT/CC 설립
웜 사태를 계기로 취약점 대응을 조율하는 최초의 거점이 발족했습니다. 이후 조정된 취약점 공개의 원형입니다.
웹 시대의 개막
1990s- 1995SSL / TLS
웹 통신의 암호화가 등장했습니다(이후 TLS로 표준화). 도청과 변조를 막는 HTTPS의 핵심입니다.
- 1998SQL 인젝션
입력값으로 데이터베이스 쿼리를 가로채는 취약점이 널리 알려졌습니다. 지금도 최상위급 위험이며, 방어는 매개변수화된 쿼리입니다.
더 읽기 - 1999CVE 프로그램
취약점마다 공통 ID를 부여하는 체계가 탄생했습니다. 전 세계가 같은 구멍을 같은 이름으로 부를 수 있게 되었습니다.
더 읽기 - 2000ILOVEYOU
이메일 첨부로 폭발적으로 퍼진 웜입니다. 사람의 심리를 파고드는 소셜 엔지니어링 감염의 초기 원형입니다.
웜과 대규모 감염
2000s- 2003SQL Slammer
불과 몇 분 만에 인터넷을 뒤덮은 웜입니다. 미적용 상태의 알려진 취약점이 전 세계적 장애가 될 수 있음을 보여 주었습니다.
- 2003OWASP Top 10
웹 애플리케이션의 대표적 위험을 10가지로 정리한 대표 목록입니다. 이후 개발자들의 공통 언어가 되었습니다.
- 2005XSS(Samy 웜)
하루 만에 약 100만 프로필로 퍼진 XSS 웜입니다. 출력값을 반드시 이스케이프해야 하는 이유를 생생히 일깨웠습니다.
더 읽기 - 2006PCI DSS
카드 정보를 다루는 사업자를 위한 공통 보안 표준입니다. 기준으로 규율하는 컴플라이언스 보안 시대의 시작입니다.
- 2008Conficker
수백만 대에 퍼진 거대 봇넷입니다. 패치 적용이 늦어지는 것이 얼마나 위험한지 다시금 일깨웠습니다.
대형 침해의 시대
2010–2016- 2010Stuxnet
산업 제어 시스템을 노린 국가급 공격입니다. 사이버 공격이 물리 설비를 망가뜨릴 수 있음을 세상에 보여 주었습니다.
- 2014Heartbleed
OpenSSL의 취약점으로, 서버 메모리에서 비밀키와 세션이 유출될 수 있었습니다. 의존성 위험의 상징입니다.
더 읽기 - 2014Shellshock
Bash의 취약점으로, 조건에 따라 원격 코드 실행이 가능했습니다. 널리 쓰이는 구성 요소의 구멍은 영향 범위가 방대합니다.
더 읽기 - 2014FIDO / U2F 보안 키
피싱에 강한 2차 인증 표준이 등장했습니다. 이후 패스키로 이어지는 길입니다.
더 읽기 - 2015Let's Encrypt
무료·자동 TLS 인증서가 보급되었습니다. HTTPS가 특별한 것에서 당연한 것이 된 전환점입니다.
더 읽기 - 2016Mirai(IoT 봇넷)
기본 비밀번호의 IoT 기기를 가로채 거대 DDoS를 일으켰습니다. 기본·약한 인증 정보의 위험성을 보여 줍니다.
더 읽기
랜섬웨어·공급망
2017–2021- 2017WannaCry / NotPetya
전 세계 규모의 랜섬웨어 피해입니다. 미적용 패치와 빠른 확산이 겹치면 조직 전체가 멈출 수 있습니다.
더 읽기 - 2017Equifax 침해
미적용 Apache Struts 취약점으로 약 1억 4700만 명분이 유출되었습니다. 의존성 CVE 방치가 부른 최악의 결말입니다.
더 읽기 - 2018GDPR 시행
EU의 포괄적인 개인정보 보호법이 발효되었습니다. 이제 침해에는 고액의 과징금과 통지 의무가 따릅니다.
- 2019Capital One(SSRF)
SSRF와 클라우드 설정 미비가 겹쳐 1억 명 이상이 유출되었습니다. 클라우드 시대 설계 실수의 전형입니다.
더 읽기 - 2020SolarWinds
정상적인 소프트웨어 업데이트에 심어진 공급망 공격입니다. 신뢰하던 배포 경로 자체가 무기가 되었습니다.
더 읽기 - 2021Codecov
CI 도구의 변조로 다수의 비밀 정보가 유출되었습니다. 빌드 파이프라인도 공격 대상이라는 인식을 넓혔습니다.
더 읽기 - 2021Log4Shell
Log4j의 취약점으로, 문자열을 로그에 남기기만 해도 코드가 실행될 수 있었습니다. 의존성을 신속히 패치하는 것의 중요성을 뼈저리게 일깨웠습니다.
더 읽기
현대(패스키·AI)
2022–- 2022패스키
비밀번호를 대체하는, 피싱에 강한 인증이 주요 OS와 브라우저에서 실용화되었습니다.
더 읽기 - 2023MOVEit / Cl0p
파일 전송 제품의 취약점을 노린 대규모 침해입니다. 하나의 구성 요소의 구멍이 수천 개 조직으로 번졌습니다.
더 읽기 - 2024xz-utils 백도어
널리 쓰이는 압축 라이브러리에 심어질 뻔한 백도어를 아슬아슬하게 발견했습니다. 공급망 공격이 점점 교묘해지고 있음을 보여 줍니다.
더 읽기 - 2024AI 시대
생성형 AI가 공격과 방어 양쪽을 가속합니다. 키 유출이나 프롬프트 인젝션 같은 새로운 주의점도 함께 생겼습니다.
더 읽기