Donghwi Shin - 더테크엣지(The Tech Edge)

TTESays

값싼 소프트웨어의 나라 Part2

💡Editor Pick - 우리나라 소프트웨어 산업은 경제 규모 대비 어떠한가? - 우리나라 소프트웨어는 값싸고 저렴하다? - 구조적인 문제가 있다면 고쳐야 하나 설명이 쉽지 않다. - 꼬리를 물면서 강화되는 이슈의 고리를 끊어야 한다. 구조 속에서 선택지를 잃어버린 공급사, 그리고 다음 질문 Part 1에서 살펴본 구조는 "소프트웨어 공급사는 어떤 위치에 놓여

TTESays

값싼 소프트웨어의 나라 Part1

💡Editor Pick - 우리나라 소프트웨어 산업은 경제 규모 대비 어떠한가? - 우리나라 소프트웨어는 값싸고 저렴하다? - 구조적인 문제가 있다면 고쳐야 하나 설명이 쉽지 않다. - 꼬리를 물면서 강화되는 이슈의 고리를 끊어야 한다. 값싼 소프트웨어의 나라를 만드는 구조 소프트웨어 산업을 이야기할 때, 우리는 공급사의 기술력, 인재 부족을 원인을 지목한다. 그러나 실제

Security

OWASP Top10 2025 A05 Injection : 입력값 검증을 넘어 ‘실행 경계’를 다루는 보안으로

💡Editor Pick - OWASP Top10 2025에서 Injection 순위 변화에 관심을 갖기 보단 관점의 변화에 주목 - Injection에 대한 관점 변화는 대응 전략의 변화로 이어져야 함 OWASP시리즈의 일환으로 OWASP Top10 2025의 다섯 번째 A05 Injection을 살펴보고자 한다. Injection은 OWASP Top10 2021 A03에서 OWASP Top10 2025 A05로 이동했다. 우리는 일반적으로 이와 같은

Security

침해사고는 왜 매년 반복되지만, 대응은 늘 익숙하고 질문은 제자리에! Part2

💡Editor Pick - 사고는 반복되는데, 질문은 제자리에 머물고 있음 - 질문을 바꾸기 위해 시선을 바꿔야하 상황 - 9가지 질문을 선정하고 논해보고자 한다. 본지는 Part1에서 인증제도, 지속적인 개인정보 유출 상황 파악, 공격자 행동, 정보보 공시 등에 대한 내용을 다루었다. Part2는 Part1에서 다룬 5개의 질문에 이어 다음 4개의 질문에 대한 내용을 기술하고

Security

침해사고는 왜 매년 반복되지만, 대응은 늘 익숙하고 질문은 제자리에! Part1

💡Editor Pick - 사고는 반복되는데, 질문은 제자리에 머물고 있음 - 질문을 바꾸기 위해 시선을 바꿔야하 상황 - 9가지 질문을 선정하고 논해보고자 한다. 2025년, 대한민국의 사이버 공간은 조용하지 않았다. 연초부터 연말까지 이어진 침해사고들은 통신, 금융, 플랫폼, 유통, 교육, 게임 산업을 가리지 않았다. 한 해 동안 공개적으로 확인된 침해사고만 수십 건에 달했고,

TTESays

React2Shell 취약점으로 바라보는 취약점 대응의 현실과 한계

💡Editor Pick - 모든 취약점에 대응할 수 없는 현실 직시 필요 - 취약점 대응은 기술적 대응 만으로 불가능 - 취약점 대응을 위해 기술적, 절차적 체계와 의사결정 필요 2025년 12월 CVSS 기준 10.0점의 React2Shell(CVE-2025-55182) 취약점이 공개되면서 취약점 대응에 빨간불이 켜졌다. 안 그래도 매년 새롭게 등장하는 취약점의 개수가 늘어나면서 대응이

TTESays

KISA 보안 취약점 클리닝 서비스, 왜 ‘기술적으로’ 위험한가 Part2

💡Editor Pick - 또 다시 중앙 집중 구조 기반의 문제 해결 방식 - 또 다시 높은 권한을 활용한 해결책 제시 - 또 다시 공격자에게 유리한 공격면(Attack Surface) 생성 패치라는 이름의 명령 실행 구조 "KISA ‘보안 취약점 클리닝 서비스’, 진짜 문제는 무엇인가 Part1"에서 우리는 KISA 보안 취약점

TTESays

KISA ‘보안 취약점 클리닝 서비스’, 진짜 문제는 무엇인가 Part1

💡Editor Pick - KISA 보안 취약점 클리닝 서비스에 관한 서로 다른 시선 - 서로 다른 의견의 이유 그리고 현실과 이상의 괴리감 금융보안 소프트웨어 취약점 등을 비롯해 국내 소프트웨어의 취약점을 악용해 지속적으로 악성코드가 유포되는 가운데, 한국인터넷진흥원(KISA)은 ‘보안 취약점 클리닝 서비스’를 사업을 추진했다. 한국인터넷진흥원은 7월, 잉카인터넷의 nProtect 엔진을 활용해

TTESays

[OWASP 시리즈] OWASP Top10 2025 RC A03, 소프트웨어 공급망의 균열, 이제는 조직 전체의 리스크다

OWASP가 공개한 Top10 2025 RC에서 확인할 수 있는 변화 중 하나는 기존 OWASP Top10 2021 A06 ‘취약하고 오래된 구성요소(Vulnerable and Outdated Components)’가 OWASP Top10 2025 RC A03: Software Supply Chain Failures라는 더 넓은 개념으로 재정의되었다는 것이다. 이는 단순한 명칭 변경이 아닌소프트웨어 개발, 배포 전 과정에서 발생하는 위협을 포함하는

TTESays

쿠팡 3,000만 건 개인정보 유출, 언론보도 및 지적에 무엇이 잘못됐고 무엇을 고쳐야 하는가

💡Editor Pick - 쿠팡 개인정보 유출 관련 언론보도에 대한 질문과 의견 - 사고 대응을 위해 단순한 점검, 인증, 제도 강화/개선이 아닌 환경 변화 필요 1. 기사와 발표의 모순을 짚다: 사실관계의 혼선과 잘못된 기술적 이해 쿠팡에서 3,000만 건이 넘는 개인정보가 유출된 것으로 확인되었다. 사건 관련 언론보도를 살펴보면 사고의 심각성만큼이나

TTESays

[OWASP 시리즈] OWASP Top10 2025 RC A02, ‘Security Misconfiguration’ 항목 대대적 재편… 2021 대비 무엇이 달라졌나

💡Editor Pick - OWASp Top10 202t RC의 A2에 대한 변화 및 세부적인 이해 - A2의 경우 근본 원인(Root Cause) 중심의 변화를 잘 보여주고 있음 - OWASp Top10 202t RC의 A2에서는 표준화되고 자동화된 보안 설정의 방향성과 필요성 제시하고 있음 OWASP가 발표한 Top10 2025 RC(Release Candidate)에서는 A2: Security Misconfiguration

TTESays

[OWASP 시리즈] OWASP Top 10 2025, A01: Broken Access Control ‘확장된 접근제어’

💡Editor Pick - OWASP Top10 2025 RC의 A1 변화 분석 - OWASP Top10 카테고리 세부 항목을 이해할 필요가 있음 - OWASp Top10 2025 RC A1에서는 접근 제어 개념 확장성 제시 OWASP가 발표한 Top 10 2025에서 A1 항목인 Broken Access Control은 이전과 동일하게 가장 심각한 웹 애플리케이션 보안 위험으로 분류되었다. 그러나

See all