보안 기초
이 태그가 달린 문서 13건
AI 시대의 보안: 지금 다잡아야 할 기본기 (우선순위 체크리스트)
AI는 새로운 약점을 만들기보다 기존 약점(패치 안 된 CVE, 재사용된 비밀번호, 노출된 시크릿)에 대한 공격을 주로 증폭한다 — 자동으로, 빠르게, 대규모로 찾아내며. 따라서 가장 좋은 대비는 기본기를 올바른 순서로 다잡는 것이다: CVE 패치 + 의존성 모니터링, 재사용 차단 + MFA, 노출 시크릿 제거, 최소 권한, 공개 표면 축소, 로그/IOC, 백업.
AI 시대 보안에서 통하는 것(과 통하지 않는 것) — 작은 사이트도 노려지는 이유
AI 시대의 네 가지 통념을 바로잡는다: (1) 너무 작아서 표적이 안 된다 → 자동화가 '사람이 고르는' 단계를 없앤다; (2) 특별한 새 통제가 필요하다 → 여전히 기본기가 이긴다; (3) 제품이 안전하게 해준다 → 탐지보다 예방 설계가 먼저; (4) AI 코드는 빠르니 안전하다 → 취약점과 함께 출시되니 공개 전 검토. 통하는 것은 올바른 순서의 지루한 기본기다.
MFA를 제대로 고르기: '피싱 저항'이 무엇이고, SMS가 왜 약한가
MFA는 유출된 비밀번호만으로는 못 들어오게 하는 두 번째 잠금이다 — 하지만 무엇을 켜느냐에 따라 강도가 세 등급으로 갈린다. SMS/이메일 코드는 릴레이 피싱과 SIM 스왑에 무너지고, 인증 앱(TOTP)은 중간, 패스키/보안 키(FIDO2)는 가짜 사이트에 아예 제시될 수 없다 — 그것이 피싱 저항이다. 최우선: 왕국의 열쇠(이메일, 도메인, 결제)에 피싱 저항 MFA를. 복구 코드 저장과 백업 요소가 설정을 완성한다.
백업의 핵심: 3-2-1 규칙과 랜섬웨어를 견디는 복구 계획
'백업이 있다'로는 부족하다 — 복원할 수 있음을 검증한 백업만이 진짜다. 기본: 3-2-1 규칙(사본 3개, 매체 2종, 한 부는 외부). 랜섬웨어에는 '오프라인 또는 불변' 사본이 최소 하나 더 필요하다 — 늘 연결된 백업은 원본과 함께 암호화된다. 클라우드 동기화는 백업이 아니다(삭제와 암호화까지 복제한다). 버전 관리와 주기적 복원 테스트가 실천을 완성한다.
아직 Windows 10? 지원 종료 후 계속 쓸 때의 보안 위험
Windows 10은 2025년 10월 14일에 지원이 종료되었습니다. 계속 쓸 때의 핵심 위험은 새로 발견된 구멍이 영영 패치되지 않고(영구 데이) 쌓여 기기가 선호 표적이 되는 것입니다. 소비자 ESU는 2026년 10월 13일까지의 1년, 보안 전용 임시방편입니다(무료 등록 경로가 있지만, EEA의 무료 첫해는 대부분 지역에 적용 안 됨). 진짜 해법은 Windows 11로 옮기거나 하드웨어를 교체하는 것 — ESU는 이전이 끝날 때까지의 다리로만 쓰세요.
들고 다니는 노트북 지키기 — 도난, 분실, 어깨너머 훔쳐보기 방어
노트북을 들고 다니면 언젠가 잃거나 도난당한다고 전제하라. 진짜 방어는 분실해도 내용이 새지 않게 설계하는 것이다: 디스크 암호화(BitLocker/FileVault), 짧은 자동 잠금이 있는 강한 로그인, 원격 삭제/위치 추적. HTTPS가 보편화돼 공용 Wi-Fi 도청은 우선순위가 낮고, 진짜 위협은 악성 AP, 어깨너머 훔쳐보기, 자리를 비우는 것이다. VPN을 과신하지 말고 — 먼저 기기를 단단히 하라.
비밀번호 관리자는 안전한가? 작동 원리, 클라우드 vs 로컬, 선택법
비밀번호 관리자는 재사용이나 평문 보관보다 안전합니다. 핵심은 제로 지식 암호화: 마스터 비밀번호가 당신의 기기에서만 금고를 복호화하고, 제공자는 암호문만 보관하므로 제공자 침해로도 비밀번호가 노출되지 않습니다. 진짜 단일 지점은 마스터 비밀번호 + 금고 MFA입니다. 용도에 따라 클라우드(Bitwarden/1Password)나 로컬(KeePass)을 고르세요.
공용 Wi-Fi의 위험 — 진짜 위험은 '도청'이 아니라 이블 트윈과 무시된 인증서 경고
공용 Wi-Fi '도청'은 HTTPS로 대부분 완화되어 이제 우선순위가 낮습니다. 진짜 위험은 (1) 이블 트윈 가짜 AP에 스스로 접속, (2) 인증서 경고 무시, (3) 공유 네트워크에 기기 노출입니다. 가장 강한 해법은 의외로 단순합니다 — 폰 테더링을 쓰고, HTTPS와 인증서 경고를 신뢰하고, 모르는 SSID에 자동 접속하지 마세요. VPN은 그다음 계층입니다.
1인 개발자와 소규모 운영자를 위한 보안 베이스라인: 표준 세트 전부
베이스라인은 '모두 똑같이 중요'가 아닙니다. 본 사이트의 우선순위: 1) 왕국의 열쇠(MFA, 도메인, 이메일), 2) 시크릿과 코드, 3) 앱 자체, 4) 패치·탐지·복구. 시간이 유한할 때 위에서부터 채우세요. 심각한 침해는 대부분 새로운 공격이 아니라 이 토대의 틈에서 옵니다.
중대규모 조직을 위한 보안 베이스라인: 팀을 위한 표준 토대
규모가 커지면 베이스라인은 '체크리스트'에서 '담당자가 있는 프로그램'으로 옮겨갑니다. 우선순위는 1인 버전과 같습니다: 1) 신원, 2) 시크릿과 공급망, 3) 앱과 인프라, 4) 탐지와 대응, 그리고 가로지르는 사람·거버넌스 계층. 큰 변화: 침해의 주원인이 실수에서 사람·프로세스·퇴직자 접근·제3자로 이동합니다.
보안 인벤토리 — 서버 여러 대를 운영하는 사람이 놓치는 7가지 점검
1인/소규모 운영자에게 사고는 통제의 부재보다 추적되지 않은 상태에서 옵니다. 경계는 키를 쥔 PC입니다. 신뢰의 뿌리로 2FA를 계층화하고, SSH 키를 매트릭스로 만들어 중복/미사용/고아를 죽이고, 클라우드의 평문 비밀번호를 제거하고, 한 번에 하나씩 되돌릴 수 있게 조치하고, 시크릿을 대장에 두지 마세요. 도구 추가 전에 인벤토리부터.
스마트폰 보안 기초 — 키, 금고, 신분증을 하나로 담은 기기를 지키기
폰은 2FA, 이메일, 뱅킹, 신분증을 하나의 단일 실패 지점에 집약합니다. 진짜 방어는 보안 앱이 아닙니다: (1) 강한 잠금 + 짧은 자동 잠금(암호가 암호화 키); (2) 자동 OS/앱 업데이트; (3) 공식 스토어 + 권한 검토; (4) 원격 잠금/초기화 사전 설정; (5) 2FA 백업 보관. iOS/Android는 이미 기본으로 암호화·샌드박스합니다.
비밀번호를 Google Drive에 저장하면 안전한가? 제대로 보관하는 법
비밀번호를 평문 Google 문서/시트에 두는 것은 위험합니다: Google 계정 하나가 모든 비밀번호의 단일 실패 지점이 됩니다 — 계정 탈취, 악성 연결 앱, 피싱이 한꺼번에 누출시킵니다. 해법은 전용 비밀번호 관리자입니다(동기화해도 내용은 암호화). Drive를 꼭 써야 한다면 암호화된 금고 파일만 저장하고 계정에 피싱 저항 MFA를 거세요.