Jamie the programmer

MITRE ATT&CK(Matrix)는 사이버 공격자의 전술(Tactics), 기술(Techniques), 절차(Procedures)을 체계적으로 정리한 프레임워크입니다. 이 글에서는 MITRE ATT&CK의 구조와 해석 방법을 설명하고, 실제 보안 분석에 어떻게 활용할 수 있는지 알아보겠습니다. 1. MITRE ATT&CK Matrix란?MITRE ATT&CK은 사이버 공격자들이 사용하는 기법을 정리한 위협 인텔리전스 프레임워크입니다. 이를 활용하면 조직의 보안 체계를 강화하고, 공격 탐지 및 대응을 효율적으로 수행할 수 있습니다. MITRE ATT&CK의 주요 개념MITRE ATT&CK은 크게 세 가지 요소로 구성됩니다.개념설명전술 (Tactics)공격자가 수행하는 목적 (예: 초기 침투, 권한 상승..

LockBit 랜섬웨어 개요 🔒서비스형 랜섬웨어(RaaS: Ransomeware as a Service):LockBit은 범죄 조직에게 대여되는 형태의 랜섬웨어로, 누구나 쉽게 자신만의 변종을 만들어 사용할 수 있는 “프랜차이즈” 모델입니다. 최신 버전: LockBit 3.0:기존 버전에서 한 단계 업그레이드되어, 더 정교한 암호화 기법과 보안 회피 기술을 탑재했습니다. 초기 감염 시 피싱 이메일(이력서나 공공기관 사칭 등)로 피해자의 방심을 유도합니다. 📧 내부 작전 및 기술적 특징 🕵️‍♂️코드 난독화 & Process Hollowing:실행 파일은 스스로를 정상 파일로 위장하고, %TEMP% 폴더에 숨겨진 DLL을 생성해 보안 솔루션의 탐지를 회피합니다. 또한, 다른 프로세스의 빈 껍데기에 악..

ATT&CK의 개요MITRE ATT&CK은 실제 사이버 공격 사례를 기반으로 구축된 적대적 기술의 지식 베이스입니다. 공격 생명 주기의 다양한 단계와 공격 대상 플랫폼을 체계적으로 분류하여 공격자의 행동 방식을 이해하는 데 도움을 줍니다. 마치 범죄자들의 수법을 기록해둔 데이터베이스처럼, ATT&CK은 사이버 공격의 패턴을 분석하고 효과적인 방어 전략을 수립하는 데 필수적인 도구입니다.ATT&CK 모델의 핵심 개념ATT&CK 모델은 다음과 같은 핵심 개념으로 구성됩니다.전술(Tactics): 공격자가 공격 목표를 달성하기 위한 전략적 행동 (예: 초기 침투, 권한 상승, 정보 유출 등)기술(Techniques): 전술을 실행하기 위한 구체적인 방법 (예: 피싱, 취약점 악용, 악성 코드 실행 등)하위 기..

이 문서는 CVSS(Common Vulnerability Scoring System) v4.0의 공식 사양을 제공합니다. CVSS는 소프트웨어 취약점의 특성과 심각도를 전달하기 위한 개방형 프레임워크입니다. CVSS는 기본(Base), 위협(Threat), 환경(Environmental) 및 보충(Supplemental)의 네 가지 메트릭그룹으로 구성됩니다. 이 시스템은 취약점의 심각도를 표준화된 방법으로 평가하고, 조직이 자체 환경에 맞는 위협을 평가하고 관리하는 데 도움을 줍니다. CVSS는 FIRST.Org, Inc.에서 소유 및 관리하며, 누구나 자유롭게 사용할 수 있습니다.1. 🔍 CVSS v4.0의 주요 특징과 구조CVSS는 소프트웨어 취약점의 특성과 심각도를 전달하기 위한 개방형 프레임워크..

사이버 공격은 예측하기 어렵고 복잡하지만, 공격자들이 목표를 달성하기 위해 거치는 일련의 단계를 분석하면 효과적인 방어 전략을 수립할 수 있습니다. 바로 이러한 목적으로 고안된 것이 '사이버 킬 체인(Cyber Kill Chain)'입니다.1. 사이버 킬 체인 개요사이버 킬 체인은 미국의 방위산업체 록히드 마틴(Lockheed Martin)이 2011년에 제시한 개념으로, 사이버 공격의 단계를 분석하고 방어 전략을 수립하기 위한 모델입니다. 원래 군사 용어인 '킬 체인'에서 유래했으며, 사이버 공격의 각 단계를 끊어 공격을 무력화하는 것을 목표로 합니다.2. 사이버 킬 체인의 7단계사이버 킬 체인은 다음과 같은 7단계로 구성됩니다.1단계: 정찰(Reconnaissance)공격 대상에 대한 정보를 수집하는..

https://media.defense.gov/2022/Aug/29/2003066362/-1/-1/0/CTR_KUBERNETES_HARDENING_GUIDANCE_1.2_20220829.PDF  이 문서는 쿠버네티스 클러스터의 보안 강화 가이드라인을 제공합니다. 주요 내용은 다음과 같습니다. 컨테이너 보안 강화, 네트워크 분리및 강화, 컨트롤 플레인강화, 인증 및 권한 부여, 감사 로깅및 위협 탐지, 업그레이드 및 애플리케이션 보안 사례 등입니다. 이 가이드는 시스템 관리자와 개발자가 쿠버네티스를 안전하게 배포하고 관리하는 데 도움을 주어, 보안 취약점을 줄이고 악의적인 활동으로부터 보호하는 것을 목표로 합니다. 궁극적으로 쿠버네티스 환경에서 발생할 수 있는 다양한 위협에 대한 종합적인 보안 전략을 제시..

멀웨어란?멀웨어(Malware)는 악성 소프트웨어를 뜻하며, 컴퓨터와 스마트폰을 대상으로 개인정보 유출, 금전적 피해, 시스템 파괴 등의 악의적인 행위를 수행합니다. 우리가 알지 못하는 사이에 디지털 자산을 위협하는 요소가 될 수 있습니다.멀웨어의 위험성멀웨어는 다양한 형태로 우리의 디지털 환경을 공격합니다.1. 개인 정보 유출스파이웨어(Spyware), 키로거(Keylogger): 사용자의 비밀번호, 금융 정보, 대화 내용을 몰래 수집합니다.2. 금전적 피해랜섬웨어(Ransomware): 파일을 암호화하고 금전을 요구합니다.뱅킹 멀웨어: 온라인 뱅킹 정보를 탈취하여 금전적 손실을 유발합니다.3. 시스템 파괴바이러스(Virus), 웜(Worm): 시스템 파일을 손상시키거나 삭제하여 사용 불가능한 상태로 ..

OCSF(Open Cybersecurity Schema Framework)는 다양한 사이버 보안 이벤트를 활동 유형(Activity Type)으로 분류하며, 각 이벤트 클래스(class_uid)마다 고유한 활동 ID(activity_id)와 이름(activity_name)을 정의합니다. 아래는 주요 OCSF 이벤트 클래스별 활동 유형을 정리한 목록입니다.1. 시스템 활동 (System Activity) | class_uid: 1001활동 ID 및 이름:1: Created (리소스 생성)2: Deleted (리소스 삭제)3: Modified (리소스 수정)4: Read (리소스 읽기)5: Logged In (사용자 로그인)6: Logged Out (사용자 로그아웃)7: Privilege Escalation..

사이버보안 도구들은 각기 다른 언어로 데이터를 생성합니다. SIEM, 방화벽, 엔드포인트 보안 시스템이 서로 다른 형식의 로그를 출력하면 분석가는 40% 이상의 시간을 데이터 정규화에 할애해야 합니다. Open Cybersecurity Schema Framework(OCSF)는 이 문제를 해결하기 위해 등장한 오픈소스 표준입니다. 이 글에서는 OCSF의 개념, 장점, 실제 구현 방법(Go 언어 예시 포함), 스키마 JSON 구조까지 총체적으로 다룹니다. 1. OCSF란 무엇인가?문제: 사이버보안의 ‘바벨 탑’도구 간 호환성 부재: 각 솔루션의 독자적 데이터 형식으로 통합 어려움.비효율적 운영: 분석가의 시간이 위협 분석 대신 데이터 파싱에 소모됨.느린 대응 속도: 수동 매핑으로 인한 지연.해결책: OCS..

사이버 보안에서 IoC (Indicators of Compromise)는 디지털 세계의 범죄 현장에 남겨진 "증거"와 같습니다. 공격자가 시스템이나 네트워크를 침해했을 때 남기는 다양한 흔적들을 의미합니다. 이러한 IoC를 잘 활용하면 공격을 조기에 탐지하고 신속하게 대응하여 피해를 최소화할 수 있습니다.1. IoC란 무엇인가?IoC는 시스템 또는 네트워크에서 보안 위반이나 악성 활동의 증거를 나타내는 단서입니다. 침해 사고 발생 시 이를 식별하고 대응하는 데 활용되며, 공격자의 흔적을 탐지하는 데 필수적입니다. 2. IoC의 다양한 유형과 예시IoC는 크게 세 가지 유형으로 나눌 수 있으며, 각 유형별로 다양한 예시가 있습니다. 네트워크 기반 IoC악성 IP 주소, 도메인, URL: 공격자가 명령 제어..

✍️ "내 코드, 어떻게 공유해야 할까?" 오픈소스 라이선스 A부터 Z까지 한 번에 정리합니다! 1. 오픈소스 라이선스가 뭐죠?오픈소스 라이선스는 남의 코드를 사용하거나 수정할 때 지켜야 할 규칙입니다.예를 들어, "이 코드를 쓰려면 원작자 이름을 밝혀라" 또는 "수정한 코드도 공개해라" 같은 조건을 정해 놓은 것이죠.잘못 선택하면 법적 분쟁이 생길 수 있으니 꼭 이해하고 선택하세요!  2. 핵심 용어 3초 만에 이해하기카피레프트 (Copyleft):"내 코드를 쓰면 너의 코드도 공개해야 해!"예시: GPL 라이선스 → 강한 카피레프트. 코드 일부만 사용해도 전체 프로젝트 공개 의무.특허 조항:"내 코드를 쓰다가 특허 문제 터지면 나도 보호해 줄게!"예시: Apache 2.0 → 특허 소송 시 라이선스 ..

"보안은 전문가만 할 수 있는 복잡한 일이다" – 이런 생각, 이제 버려보세요!해커들은 매일 새로운 방법으로 우리의 네트워크를 노립니다.하지만 놀랍게도, 그들도 피하고 싶어하는 '침투하기 귀찮은 네트워크'가 있다는 사실, 알고 계셨나요?"해커들은 방어막이 단단한 네트워크보다 빠르게 뚫을 수 있는 쉬운 목표를 찾아다닙니다."이 글에서는 해커들이 직접 밝힌 '뚫기 싫은 네트워크의 비밀'을 초보자 눈높이에 맞춰 알려드립니다.복잡한 기술 용어 없이, '이것만 해도 해커가 움찔하는' 실전 보안 전략을 소개합니다.당신의 네트워크를 '해커가 포기하게 만드는 철벽 방어망'으로 바꾸는 방법, 지금부터 차근차근 시작해볼까요? 🛡️"그럼 해커들이 가장 경계하는 5가지 네트워크 특징, 첫 번째 이야기로 들어가보겠습니다!"1..

보안의 핵심 허브, SOC(Security Operations Center)의 역할과 중요성최근 사이버 위협이 복잡해지고 빈번해지면서, 기업과 조직은 보안 인프라를 강화하기 위해 다양한 전략을 도입하고 있습니다. 그중에서도 SOC(Security Operations Center)는 현대 보안 운영의 핵심 허브로 자리매김하며 위협 대응의 최전선에서 활약하고 있습니다. 이번 글에서는 SOC가 무엇이며, 어떤 역할을 수행하는지 자세히 알아보겠습니다.SOC란 무엇인가?SOC는 조직의 IT 인프라를 실시간으로 모니터링하고, 사이버 위협을 탐지·분석·대응하는 전문 보안 조직입니다. 24/365 운영을 원칙으로 하여 해킹, 랜섬웨어, 데이터 유출 등 다양한 보안 사고로부터 시스템을 보호합니다. 클라우드, 온프레미스,..

최근 기업들의 보안 운영 센터(SOC: Security Operations Center)는 단순한 경고 대응을 넘어 적극적인 위협 추적이 필요하다는 인식이 확산되고 있습니다. 하지만 "어디서부터 시작해야 할지", "현재 수준은 어느 정도인지"에 대한 고민이 여전히 많죠. 이번 포스팅에서는 위협 헌팅의 핵심 개념과 조직의 헌팅 역량 평가 방법을 sqrrl의 프레임워크를 통해 알아보겠습니다.🔍 위협 헌팅이란?"기존 보안 솔루션으로 탐지되지 않는 고급 위협을 능동적으로 찾아내는 과정"기존의 수동적 대응(Alert-Driven)을 탈피해, 보안 분석가가 주체가 되어 네트워크·시스템을 지속적으로 탐색하며 위협을 사전에 차단합니다. 공격자의 잠복 행위, 데이터 유출 시도, 비정상 패턴 등을 추적하는 것이 핵심입니..

1. CISA KEV란?CISA(미국 사이버보안 및 인프라 보안국)는 'Known Exploited Vulnerabilities(KEV)' 카탈로그를 운영하고 있다. KEV는 이미 공격자들에 의해 실제로 악용된 보안 취약점(Known Exploited Vulnerabilities)을 의미한다. 이 목록은 단순히 높은 심각도를 가진 취약점이 아니라, 공격자들이 현실에서 적극적으로 악용하고 있는 취약점들을 포함하고 있기 때문에 빠르게 패치하는 것이 중요하다.CISA KEV 카탈로그는 다음 링크에서 확인할 수 있다:👉 CISA KEV 카탈로그2. "Exploited in the Wild"란?보안 분야에서 "Exploited in the Wild(ITW)"란, 특정 보안 취약점이 실제 공격에 사용되고 있다는 ..

바이러스와 웜의 차이점: 정보보안기사 시험 대비정보보안기사 자격증을 준비하면서 중요한 개념 중 하나는 바이러스와 웜의 차이를 명확히 아는 것입니다. 두 용어는 모두 악성 코드의 일종으로 자주 혼용되지만, 실제로는 그 특성과 동작 방식에서 큰 차이가 있습니다. 이번 블로그에서는 바이러스와 웜의 차이점을 쉽게 설명하고, 정보보안기사 시험에서 다루어질 주요 개념들을 정리해 보겠습니다.1. 바이러스(Virus)란 무엇인가?바이러스는 자기 복제를 통해 다른 프로그램이나 파일에 감염되어 시스템을 파괴하거나 성능을 저하시킬 수 있는 악성 코드입니다. 바이러스는 보통 사용자가 특정 파일을 실행하거나 프로그램을 실행할 때 활성화됩니다. 주로 파일을 감염시키며, 감염된 파일이나 프로그램이 다시 실행될 때 다른 시스템이나 ..

정보보안기사 자격증을 준비하는 과정에서 다양한 보안 모델과 기법들을 학습해야 합니다. 그 중에서 최근 IT 업계에서 큰 주목을 받고 있는 보안 모델 중 하나가 바로 제로 트러스트(Zero Trust) 보안 모델입니다. 제로 트러스트는 기존의 전통적인 보안 모델을 대체하고, 현대의 복잡한 보안 환경에 적합한 새로운 접근 방식을 제공합니다. 이번 블로그에서는 제로 트러스트 보안 모델의 개념과 그 중요성, 그리고 정보보안기사 시험에서 다루어질 주요 포인트들을 설명하려 합니다.1. 제로 트러스트란 무엇인가?제로 트러스트 보안 모델은 “신뢰하지 말고, 항상 검증하라”는 원칙에 기반을 둔 보안 접근 방식입니다. 전통적인 보안 모델은 네트워크의 경계를 중심으로 보안을 설정하여 내부 네트워크를 신뢰하고, 외부에서의 공..

“호텔 청소부가 해커라고?” – Evil Maid Attack의 모든 것“노트북을 잠시 두고 나갔을 뿐인데…?”출장을 갔다. 호텔 방에서 노트북을 충전해 두고 저녁을 먹으러 나갔다. 몇 시간 후, 다시 돌아와 노트북을 켰다.그런데 뭔가 이상하다. • 전원 버튼을 눌렀는데 부트로더가 바뀌어 있다? • 평소에 없던 의심스러운 로그인 창이 뜬다? • 그런데도 노트북은 정상적으로 부팅되고… 해킹당한 건가?그렇다. 당신의 노트북은 Evil Maid Attack(사악한 호텔 청소부 공격)을 당했을 가능성이 크다.이제부터 이 무서운 공격이 뭔지, 어떻게 막아야 하는지 알아보자.⸻1. Evil Maid Attack이란?이름부터 흥미롭다. “사악한 호텔 청소부 공격”하지만 진짜로 호텔 청소부가 해킹을 한다는 뜻은 아니다..

“해커들이여, 어서 오라! 근데 진짜 시스템은 아니야.”상상해보자. 어떤 도둑이 밤늦게 남의 집에 몰래 들어갔다. 하지만 뭔가 이상하다. 금고가 반짝반짝 빛나고, 서랍이 너무 쉽게 열린다. 심지어 비밀번호도 “1234”로 설정되어 있다.도둑은 “이게 웬 떡?” 하면서 신나게 금고를 열고, 모든 문서를 뒤지며 기뻐한다. 하지만 그는 모른다. 그의 모든 행동이 실시간으로 녹화되고 있으며, 경찰이 그를 추적 중이라는 사실을.이것이 바로 허니팟(Honey Pot, 꿀단지)이다. 해커들을 유인해 그들의 모든 행동을 분석하는 가짜 시스템. 말 그대로 “해커 잡는 덫”이다.⸻1. 허니팟이란?허니팟(Honey Pot)은 해커나 공격자가 침입했을 때, 그들의 활동을 추적하고 분석하기 위해 만들어진 미끼 시스템이다.해커 ..

Black Hat / White Hat / Gray Hat – 해커들은 왜 모자를 쓰고 있을까?해커들의 세계에서는 모자 색깔로 윤리적 기준을 나누곤 합니다.“해커가 무슨 모자야?“라고 생각할 수도 있지만, 실제로 Black Hat(블랙햇), White Hat(화이트햇), Gray Hat(그레이햇) 이렇게 해커들은 세 종류로 구분됩니다.그럼 지금부터 이들의 정체를 하나씩 파헤쳐 보겠습니다.(그리고 마지막에는… 레드햇의 정체도 공개됩니다!)⸻🎩 1. Black Hat 해커 – 악당 해커블랙햇 해커는 악의를 가진 해커를 의미합니다.이들은 주로 기업, 정부, 개인의 시스템을 해킹하여 데이터를 훔치거나, 랜섬웨어를 퍼뜨리며, 금융 사기를 저지르는 등 나쁜 짓을 일삼습니다.💀 주요 특징 • “돈이 최고야!” –..