AI 시대 대비
이 태그가 달린 문서 12건
AI 시대의 보안: 지금 다잡아야 할 기본기 (우선순위 체크리스트)
AI는 새로운 약점을 만들기보다 기존 약점(패치 안 된 CVE, 재사용된 비밀번호, 노출된 시크릿)에 대한 공격을 주로 증폭한다 — 자동으로, 빠르게, 대규모로 찾아내며. 따라서 가장 좋은 대비는 기본기를 올바른 순서로 다잡는 것이다: CVE 패치 + 의존성 모니터링, 재사용 차단 + MFA, 노출 시크릿 제거, 최소 권한, 공개 표면 축소, 로그/IOC, 백업.
AI 시대 보안에서 통하는 것(과 통하지 않는 것) — 작은 사이트도 노려지는 이유
AI 시대의 네 가지 통념을 바로잡는다: (1) 너무 작아서 표적이 안 된다 → 자동화가 '사람이 고르는' 단계를 없앤다; (2) 특별한 새 통제가 필요하다 → 여전히 기본기가 이긴다; (3) 제품이 안전하게 해준다 → 탐지보다 예방 설계가 먼저; (4) AI 코드는 빠르니 안전하다 → 취약점과 함께 출시되니 공개 전 검토. 통하는 것은 올바른 순서의 지루한 기본기다.
피싱 메일이 자기 도메인을 위조했다? 스푸핑 vs 침해, 그리고 막는 법
자기 도메인에서 온 것처럼 보이는 수상한 메일은 보통 침해가 아니라 From 위조다 — SMTP가 누구나 From 줄을 쓰게 허용하기 때문. 헤더(Authentication-Results, Received, Reply-To)를 읽으면 침해와 위조를 구분할 수 있다. 받은편지함에 도달하는 주된 이유는 DMARC 정책 부재. SPF → DKIM → DMARC(p=none → reject) 순서로 고친다.
MFA를 제대로 고르기: '피싱 저항'이 무엇이고, SMS가 왜 약한가
MFA는 유출된 비밀번호만으로는 못 들어오게 하는 두 번째 잠금이다 — 하지만 무엇을 켜느냐에 따라 강도가 세 등급으로 갈린다. SMS/이메일 코드는 릴레이 피싱과 SIM 스왑에 무너지고, 인증 앱(TOTP)은 중간, 패스키/보안 키(FIDO2)는 가짜 사이트에 아예 제시될 수 없다 — 그것이 피싱 저항이다. 최우선: 왕국의 열쇠(이메일, 도메인, 결제)에 피싱 저항 MFA를. 복구 코드 저장과 백업 요소가 설정을 완성한다.
백업의 핵심: 3-2-1 규칙과 랜섬웨어를 견디는 복구 계획
'백업이 있다'로는 부족하다 — 복원할 수 있음을 검증한 백업만이 진짜다. 기본: 3-2-1 규칙(사본 3개, 매체 2종, 한 부는 외부). 랜섬웨어에는 '오프라인 또는 불변' 사본이 최소 하나 더 필요하다 — 늘 연결된 백업은 원본과 함께 암호화된다. 클라우드 동기화는 백업이 아니다(삭제와 암호화까지 복제한다). 버전 관리와 주기적 복원 테스트가 실천을 완성한다.
비밀번호 관리자는 안전한가? 작동 원리, 클라우드 vs 로컬, 선택법
비밀번호 관리자는 재사용이나 평문 보관보다 안전합니다. 핵심은 제로 지식 암호화: 마스터 비밀번호가 당신의 기기에서만 금고를 복호화하고, 제공자는 암호문만 보관하므로 제공자 침해로도 비밀번호가 노출되지 않습니다. 진짜 단일 지점은 마스터 비밀번호 + 금고 MFA입니다. 용도에 따라 클라우드(Bitwarden/1Password)나 로컬(KeePass)을 고르세요.
1인 개발자와 소규모 운영자를 위한 보안 베이스라인: 표준 세트 전부
베이스라인은 '모두 똑같이 중요'가 아닙니다. 본 사이트의 우선순위: 1) 왕국의 열쇠(MFA, 도메인, 이메일), 2) 시크릿과 코드, 3) 앱 자체, 4) 패치·탐지·복구. 시간이 유한할 때 위에서부터 채우세요. 심각한 침해는 대부분 새로운 공격이 아니라 이 토대의 틈에서 옵니다.
의존성 CVE를 제대로 고치기: 스캔, 수정, 격리, 그리고 계속 감시
취약점 작업은 '고쳤다'고 끝나는 게 아니다. 완료 = 1) 스캔, 2) 수정, 3) 격리/인계, 4) 모니터링. 모니터링(매일 변화 탐지)이 갖춰지기 전까지는 미완이다 — 의존성은 내일 다시 취약해진다. 다음 배포가 덮어쓰는 완벽한 수정은 가치가 0이다. 소규모 팀은 두 규율로 안전을 지킨다: 자동 변화 탐지와 '로컬→push→배포'.
osv-scanner 설치와 사용법: 의존성에서 CVE 찾아내기
osv-scanner는 락파일과 컨테이너를 스캔해 의존성의 CVE를 무료로 드러냅니다. 설치·실행·CI 연동을 짚고, npm/pnpm audit·Dependabot과 언제 쓸지도 비교합니다. 본 사이트의 견해: 올바른 도구는 당신의 환경이 결정합니다 — 다중 생태계나 GitHub 비사용 프로젝트엔 osv-scanner를, 단일 npm 트리엔 번들된 pnpm audit을.
공개 디렉터리에 시크릿 파일을 남겨두지 않았나요? 웹루트를 점검하라
웹루트의 모든 것은 누구나 URL로 가져갈 수 있습니다. 남겨진 토큰/자격증명 JSON, .env, 백업은 즉각 노출을 뜻하며 — 공유 템플릿에서 왔다면 모든 사이트가 같은 구멍을 갖습니다. 해법: 공개 디렉터리엔 공개해도 되는 것만, 시크릿은 웹루트 밖에 권한 600으로, 하나 찾으면 모든 사이트와 호스트를 점검하기.
침해될 수 있는 환경에 루트 키를 주지 마라: SSH 키 최소 권한
임시·침해 가능한 환경(GPU 파드, CI 러너, 일회용 VM)에서 프로덕션에 루트 키를 등록한다는 것은, 그 환경이 침해되는 순간 프로덕션이 루트로 통째로 넘어간다는 뜻입니다. 해법: 임시 환경에 루트 키 금지; 미사용 시 키 제거; 다시 필요하면 비루트 사용자 + 키를 한 작업으로 제한하는 명령 제한 키. 재사용 키는 가장 중요한 자산이니 — '한 번 누출, 전부' 구조를 절대 만들지 마세요.
AI가 작성한 코드에서 API 키가 유출돼 부정 과금이 발생했다 — 진짜 원인은 방치된 CVSS 10.0
요금 급증은 증상이었다. 진짜 원인은 패치되지 않은 공개 CVSS 10.0 RCE였다. 익명화한 사례를 방어 교훈으로 정리한다.