PLURA Blog 🚨

그만 두자 캠페인 — 공포·유행어 추격을 멈추고 ‘증거 중심 보안’으로 🛑

🕵️‍♂️ 캠페인: 그만 두자 캠페인 🛑 공포 마케팅을 멈추고, ⛔ 유행어 추격을 멈추고, 💡 증거로 설득하자. 한 줄 선언 “우리는 더 이상 ‘공포’나 ‘신종 제품 유행어’로 보안을 팔지 않는다. 정의(Problem Definition) → 증거(Evidence) →...

‘완벽한 보안은 없다’에 매몰되지 말자 — 정의하고 준비하면 ‘완벽’은 가능하다

한 줄 문구 “완벽은 선언이 아니라 증거다 — 문제를 정확히 정의하고 충분히 준비하면, 우리는 ‘완벽’을 운영할 수 있다.” 캠페인 선언 — Stop Fear Marketing in Security 이 글은 “완벽한 보안은 없다”...

소버린 AI의 시작은 ‘소버린 데이터’다

요약 한 줄 AI 방어는 데이터 게임입니다. 지금 실패의 본질은 데이터가 없어서고, 정답은 방어용 데이터를 ‘생성’하는 운영 전환입니다. 웹은 요청·응답 본문, 서버는 감사 정책 활성화로 새 로그를 만들어 AI가 일할 자료를 공급하세요.

성문지기의 마지막 임무: 아웃바운드 통제 🏰👮

옛날, 성문지기의 가장 중요한 일은 들어오는 자를 살피는 것이었습니다. 하지만 진짜 위기는 세작이 정보를 품고 다시 ‘나갈 때’ 찾아옵니다. 오늘의 시스템도 같습니다. 우리는 인입을 막는 데 익숙하지만, 유출(아웃바운드)을 통제하지 못하면 전투는 패합니다.

공성전에서 성을 지키는 방법 🏰⚔️

옛날, 성벽🧱이 높고 해자🌊가 깊은 나라가 있었습니다. 적은 성벽을 넘을 수 없었고, 남은 길은 성문뿐이었죠. 오늘 우리의 시스템도 같습니다. 방화벽으로 외곽은 닫혀 있고, 유일한 열린 문은 웹 서비스(80/443)입니다. 그래서 공격자는 성문을 정면돌파하기보다, 성 ...

SOC 분석가의 번아웃: 왜 심해졌고, AI·PLURA-XDR는 어떻게 바꿀 수 있는가? 😵‍💫

한 줄 요약: 🚨 경보는 많고 ⏰ 시간은 부족하며, 🛠️ 도구는 늘어도 🧠 맥락은 부족합니다. 해법은 경보 총량을 줄이고(Noise ↓), 첫 10초에 맥락을 자동 보강하며(Context ↑), 조치를 반자동화(Automation ↑) 하는 것입니다....

[정책제안] 공공 웹사이트는 왜 기본 포트(80, 443)를 써야 하나 — 비표준 포트의 숨은 비용과 위험

요약 한 줄 원칙: 대국민 서비스는 443 고정, 80→443 리다이렉트. 금지: 비표준 포트(8080·8443 등) 대외 공개. 이유: 접근성·규정준수·보안운영·성능 저해 + 타 기관 아웃바운드 완화 강제 → 공격면 급증.

AI 보조 WAF 우회: 공격 자동화 시나리오(심화·공격자 관점)

본 문서는 LLM/에이전트 기반 우회 전술이 실제 공격 흐름에서 어떻게 쓰일 수 있는지만 설명합니다. 주의: 재현 가능한 코드·구체 페이로드 예시는 포함하지 않습니다. 목적은 현상 이해와 분석 기준 제시입니다. 0) Executive summary 핵심:...

KT 서버 해킹 사고 분석 – ‘전사 서버 침해 6건 보고’

요약 한 줄: KT는 2025년 9월 18일 23:57 한국인터넷진흥원(KISA)에 서버 침해 흔적 4건, 의심 정황 2건을 신고했습니다. 공개된 항목에는 Windows 서버 침투·SMB 측면 이동, VBScript 기반 RCE, ‘Smominru’ 봇 감염,...

롯데카드 해킹 사고 분석 - 왜 웹방화벽은 무용지물이 되었을까

2025년 8월 14일 19:21 첫 침해가 시작되어 15일까지 활동이 이어졌고, 조사 과정에서 웹셸(WebShell) 설치가 확인되었습니다. 이후 금융당국 합동조사 결과 총 유출량은 초기 보고(1.7GB)를 크게 상회하는 최대 200GB로 정정되었으며, 297만 명 ...

[정책제안] AI 행정: HWP에서 웹 표준(HTML+Markdown)으로

파일에서 링크로: 정부 문서 표준의 전환 특정 제품 형식(HWP)에 묶인 정부 문서를, 누구나 설치 없이 읽고 쉽게 고칠 수 있는 ‘웹 표준’ 중심으로 바꿔야 합니다. 이 전환은 생산성과 접근성, 보안과 AI 활용도를 동시에 높이는 가장 빠른 행정 혁신입니다. AI...

xWAF – 클라우드 네이티브 차세대 웹방화벽

🌐 xWAF (https://xwaf.io) 단순한 WAF가 아닙니다. ✨ 클라우드 SaaS 기반 차세대 웹방화벽으로, 빠르게 진화하는 공격과 복잡한 운영 환경에 최적화된 보안 플랫폼입니다. 🚀 xWAF 한눈에 보기 ☁️ 클라우드 네이티브 SaaS – 설치 없이 즉시 ...

소버린 AI, 데이터 주권, 그리고 GDPR: 갈라파고스를 넘어서

🌐 소버린 AI는 ‘국산 AI’만을 의미하지 않는다 최근 국내에서 논의되는 소버린 AI(Sovereign AI)는 “국내에서 개발된 AI” 또는 “외국산 AI를 배제한 국산 AI"로 오해되고 있습니다....

[정책 제안] AI 100조 시대, 성공적 추진을 위한 10대 산업 생태계 구축 ✨

국가성장펀드 100조원과 AI 생태계 구축의 필요성 정부는 민관 합동으로 100조원 규모의 국가성장펀드를 조성해 AI 중심 성장 전략을 추진하고 있습니다. 이러한 거대한 투자가 실제 성과로 이어지기 위해서는, AI 연구개발과 더불어 이를 뒷받침할 산업 생태계가 함께 성...

“비복호화 탐지(Non-Decryption Detection)?” — 불가능을 포장한 마케팅

🔐 요지: “복호화 없이 암호화된 트래픽의 내용을 탐지한다”는 주장은 암호를 깼다는 뜻과 사실상 동일하며, 이는 현재의 공개된 암호 기술(AES/TLS)의 안전성 가정과 정면으로 충돌합니다. 실제로 가능한 것은 메타데이터 기반의 간접 추정일 뿐이며,...

안전벨트 없는 운전처럼, 보안 없는 운영체제는 위험하다

🚦 리눅스의 SELinux, 윈도우의 PowerShell Constrained Language Mode(CLM) 는 운영체제 보안의 안전벨트와 같은 존재입니다. 하지만 지금은 단순한 설정 변경만으로 꺼버릴 수 있습니다. 이는 “안전벨트를 풀어도 자동차가 출발해 버리는 ...

[이솝 우화] 성을 지키는 방법 🏰

성을 지키는 방법 🏰 옛날 옛적, 커다란 나라에 보물💎로 가득한 성이 있었습니다. 왕👑은 이 성을 지키기 위해 관리인을 뽑았습니다. 관리인은 칼⚔️을 써본 적도, 전투를 해본 적도 없었지만, 시험📜을 잘 봐서 뽑혔습니다.

제조업, 랜섬웨어 감염 ‘속출’…왜 보안 체계 재정비가 필요한가?

제조업, 랜섬웨어 감염 ‘속출’ 경고 🚨 최근 제조업을 타깃으로 한 랜섬웨어 감염 사례가 지속적으로 발생하고 있습니다. 생산 중단, 기밀 데이터 유출 등 심각한 피해로 이어질 수 있어 사전 점검과 대응 체계 강화가 필수적입니다. 한국인터넷진흥원(KISA)에 따르면, 피...

Gartner 하이프 사이클로 본 SIEM과 SOAR – 왜 둘 다 한계가 있는가?

📊 Gartner 하이프 사이클에 따르면, SOAR는 ‘환멸의 골짜기’에, SIEM은 ‘생산성의 정상’에 위치해 있습니다. 겉으로 보면 SOAR는 기대를 잃었고, SIEM은 성숙기에 들어선 듯 보입니다....

curl 요청은 악성일까? 과탐 없는 WAF 운영을 위한 체크포인트

🧪 curl 요청, WAF에서 과탐 대상일까? 웹 방화벽(WAF)을 운영하다 보면 종종 다음과 같은 문의가 발생합니다: “웹 서버에 curl을 사용하는 요청이 탐지되는데, 이건 공격 아닌가요?” 하지만 단순히 curl이라는 User-Agent가 포...

RDP 기본 설정 변경만으로 무차별 대입 공격 차단하기

RDP, 반드시 열어야 하나요? 기업 또는 기관에서 외부에서 내부 시스템에 접속할 필요가 있을 경우, 종종 원격 데스크톱 프로토콜(RDP)을 방화벽에서 오픈하게 됩니다. 그러나 이는 공격자에게도 직접적인 진입 경로를 열어주는 것과 같으며, 특히 다음과 같은 위험이 뒤따...

SSL VPN, 써도 되나요? 침해로 이어지는 엣지 장비의 허상

📉 많은 기업이 외부 근무자와 내부 시스템 간 안전한 연결을 위해 SSL VPN을 도입합니다. 하지만 정말 안전할까요? 최근 수년간 발생한 국내외 침해 사고를 보면, 대부분의 초기 침입 경로가 바로 SSL VPN 장비였습니다. SSL VPN...

SGI서울보증보험 해킹 사고 분석 – 침투부터 랜섬웨어 유출까지

2025년 7월 14일 새벽, 국내 보증보험사인 SGI서울보증보험이 해킹 공격으로 전산망 일부가 마비되고 복호화 및 복구가 17일 오전 완료되는 81시간 침해사고가 발생했습니다. 공격자는 외부 노출된 SSL-VPN 장비의 SSH 포트를 대상으로 한 무차별 비밀번호 대...

SentinelOne의 자율형 AI 보안은 정말 AI인가?

📉 최근 글로벌 보안 솔루션 시장에서는 “AI 기반 자율형 보안“이라는 표현이 유행하고 있습니다. SentinelOne도 예외는 아닙니다. 그러나 과연 SentinelOne이 말하는 ‘AI’는 우리가 생각하는 AI와 같은 것일...

DragonForce 랜섬웨어 실전 탐지: PLURA-XDR로 막아낸 위협

🧩 DragonForce 랜섬웨어 개요 항목 내용 최초 공개 2024.10, 다크웹 유출 기반 분석 주요 활동 그룹 RansomHub 해체 이후 다수 제휴자 흡수하여 영향력 확대 사용 기술 ChaCha8 대칭 암호화 + RSA-4096...

웹방화벽 우회 공격에 대응하기

🛡️ 웹방화벽, 완벽할까요? 웹방화벽(WAF)은 웹 서비스 보안을 위한 핵심 수단입니다. 그러나 반복되는 예외 처리와 우회 공격은 운영자와 개발자 모두에게 고민을 안겨줍니다.

왜 지금 당장 '소버린 사이버보안'을 준비해야 하는가?

“AI가 핵무기처럼 국가의 미래를 좌우하게 될 것입니다.” 이 말은 결코 과장이 아닙니다. AI 기술이 지닌 영향력은 이미 국가의 안보와 경제를 결정짓는 핵심적인 요소가 되었습니다. 전력, 데이터, 클라우드 인프라, 그리고 AI까지 모든 디지털 기술의 핵심이 주권과 ...

지금 랜섬웨어가 진행 중이라면, 당신은 알 수 있습니까?

“랜섬웨어, 감염된 순간이 아니라 실행된 바로 지금이 핵심입니다” 랜섬웨어는 단 한 번 실행되는 순간, 시스템 전체를 암호화하고 피해를 확산시킵니다. 🔓 하지만 감염의 시작은 소리 없이 찾아옵니다. 평소와 다름없는 파일 다운로드 내부 사용자의 자격 증명 탈취 그리고 악...

고급 랜섬웨어 대응 전략: 노트북 전원 차단이 왜 중요한가

✅ 핵심 한 줄 “랜섬웨어 의심 시, 즉시 전원 OFF—그 한 번의 클릭이 모든 데이터를 지킵니다.”

RAM 안의 비밀번호를 노린다 – T1003.001: LSASS 메모리 덤프 공격

요약 3줄 1️⃣ 공격자는 lsass.exe의 메모리를 덤프해 패스워드 해시·토큰을 탈취합니다. 2️⃣ Event ID 4656/10 등 프로세스‑핸들 접근 로그로 탐지가 가능합니다. 3️⃣ LSASS PPL + Credential Guard + ASR...

Cold‑Boot 공격 다시보기 – RAM 잔류 데이터로 암호화 키를 훔치는 물리적 위협

요약 3줄 1️⃣ Cold‑Boot 공격은 냉각한 RAM 잔류 데이터에서 암호화 키를 추출합니다. 2️⃣ 2008년 프린스턴대 연구로 존재가 입증되었고, 2018년 F‑Secure가 최신 노트북에서도 재현했습니다. 3️⃣ 대규모 랜섬웨어보다 표적 공격·포렌식에 현실적...

[정책 제안] 우리나라 해킹은 정부의 인증 제도 때문이다

대한민국 정보보안 인증 제도의 철폐와 완벽한 공격 대응 전략 정부가 강제한 보안 인증 제도는 실제 해킹을 막지 못했습니다. 이제 해킹 대응 실패는 기업의 문제가 아니라, 정부 정책의 실패입니다.

[보고서] ISMS 인증제도, 왜 지금은 더 이상 유효하지 않은가?

대한민국 정보보안 인증 제도의 기술적 부조리와 현실 괴리 분석 보고서 개요 및 배경 대한민국의 정보보호 관리체계(ISMS 등)와 보안적합성 인증 제도는 기업과 기관의 사이버 보안을 담보하기 위한 필수적인 기준을 제시해왔습니다. 그러나 급변하는 기술 환경과 위협 양상에 ...

생각지도 못한 일을 해내는 PLURA

🎬 영화 이미테이션 게임 속 명대사 “Sometimes it is the people no one imagines anything of who do the things that no one can imagine.” “생각지도 못한 누군가가, 누구도 상상하지 못한 일을 ...

지금 해킹 공격이 진행 중인지 확인하려면?

“눈에 띄지 않는 해킹 위협, 지금도 진행 중일 수 있습니다.” 해킹은 어느 날 갑자기 발생하지 않습니다. 🔓 조용히, 깊숙이 파고들어 내부 시스템 어딘가에서 눈에 띄지 않게 진행 중일 가능성이 더 높습니다. 이미 해커가 백도어를 설치해 뒀을지도 모릅니다. 지금 이 순...

정보보안의 코어 vs 부가적 서비스: 핵심과 보완 요소의 구분

🔒정보보안의 진정한 핵심은 결국 외부 해킹 공격을 막고, 이상 징후를 조기에 탐지해 신속 대응하는 것입니다. 하지만 보안 영역이 광범위하다고 해서 모두 동등한 우선순위를 갖는 것은 아닙니다. 실제 해킹 상황에 즉각적으로 대응하기 위해, 다음 4가지 핵심 서비스 영역(사...

IDS/IPS/NDR, 정말 코어 보안일까?

🔒IDS/IPS/NDR이 예전처럼 “무조건 코어”로 분류되지 않고, 운영 보안(부가적 요소)에 더 가깝다고 보아야 합니다.

PLURA를 활용한 BPFDoor 탐지: Audit 로그와 포렌식 기반 대응

🔍 PLURA로 BPFDoor 공격 탐지하기 최근 리눅스 기반 시스템을 노리는 고급 위협 중 하나로 BPFDoor가 주목받고 있습니다. BPFDoor는 BPF(Berkeley Packet Filter)를 악용하여 백도어 통신을 가능하게 하는 APT형 리눅스 백도어로, ...

BPFDoor 악성코드 탐지 도구 비교 분석

🔍 개요 2025년 4월 이후 국내 주요 리눅스 서버 환경을 타깃으로 한 BPFDoor 백도어 악성코드 감염 사례가 다수 보고되었습니다. 해당 악성코드는 포트를 열지 않고도 외부 명령을 수신하며, BPF 필터를 통해 패킷 필터 우회, 메모리 상주형 리버스 셸, 위장 프...

SOAR 도입하면 뭐하나요? 자동 대응도 못하는데

📉 SOAR는 SIEM에서 발생한 이벤트를 받아 자동 대응을 수행해주는 솔루션으로 알려져 있습니다. 하지만 막상 “SOAR를 도입했는데도 자동 대응이 어렵다”는 이야기가 꾸준히 나옵니다. 가장 큰 이유는 SOAR가 단독으로 동작하지 않으며, SIEM의 탐지 결과에 전적...

SIEM, 도입하면 뭐하나요? 로그 수집도 분석도 안 된다면

📉 많은 기업이 통합로그관리, SIEM 도입을 고민합니다. 하지만 중요한 질문 하나가 있습니다: 정말 로그 수집이 되고 있나요? 그리고 수집한 로그를 제대로 분석하고 있나요? 결론부터 말씀드리면, 대부분의 기업은 로그도 제대로 수집하지 못하고,...

CJ올리브네트웍스 인증서 유출 사건: 김수키의 공급망 공격

1. 공격 개요 김수키 조직은 표적 기업(이번 경우 CJ올리브네트웍스)에 먼저 침투하여, 내부 개발서버나 빌드서버에서 코드서명 인증서를 확보한 뒤, 이 탈취된 인증서를 사용해 악성코드를 정상 프로그램처럼 위장·서명합니다. 그 후 기존 신뢰 체계를 악용해 다른 기관(예:...

다중∙계층 보안, 정말 필요한가?

다중∙계층 보안, 정말 필요한가? 오늘날 사이버 위협이 갈수록 다양해지고 교묘해지면서, 많은 기업이 ‘다중∙계층 보안 모델’을 도입했거나 전환하려 합니다. 그러나 과연 여러 솔루션을 겹겹이 도입하는 것이 최선일까요? 🔒 실제로 다중 보안은 아래와 같은 심각한 문제점을 ...

SKT 해킹 가설: 유심 데이터 탈취와 BPFDoor 설치, 어떻게 이뤄졌나?

핵심 한 줄 요약 2025년 4월 18일, SK텔레콤 HSS(Home Subscriber Server)가 해킹되어 최대 2,300만 가입자의 USIM 인증 정보가 노출되었으며, SKT는 4월 28일에 전 고객을 대상으로 무료 USIM 교체를 발표했습니다.

SKT 해킹으로 본 NDR 기술 한계: BPFDoor 같은 스텔스 공격 대응법

📡 NDR(Network Detection and Response)은 네트워크 트래픽 분석을 통해 위협을 탐지하려는 기술입니다. 그러나 최근 SK텔레콤 유심 해킹 사건에서 확인된 BPFDoor와 같은 고도화된 스텔스형 공격 앞에서는 분명한 기술적 한계를 드러냈습니다. ...

SKT 해킹 악성코드 BPFDoor 분석 및 PLURA-XDR 대응 전략 (탐지 시연 영상 포함)

BPFDoor는 eBPF 필터·매직 바이트·다중 프로토콜을 이용해 “패킷 흔적이 0”에 가까운 포트리스(backdoor) 상태를 구현합니다. 기존 접근 방식으로는 탐지되지 않습니다. 이러한 탐지 우회를 깨뜨리려면 메모리 실행·AF_PACKET 소켓·iptables 변...

SKT 유심 해킹 사건 총정리: 유출 원인, 피해 규모, 대응 방법까지

핵심 한 줄 요약 2025년 4월 18일 확인된 SK텔레콤 HSS 해킹은 최대 2,300만 가입자의 USIM 인증 정보를 노출시켰으며, SKT는 4월 28일 전 고객 무료 USIM 교체를 발표했습니다.

법원행정처 전산망 해킹 시나리오

사법부 전산망이 북한 해킹조직 ‘라자루스’로 추정되는 집단의 공격을 받아 최소 1만7998명의 개인정보가 유출되었습니다. 내부·외부망 간 ‘포트’(네트워크 통신 경로)의 개방과 미흡한 계정·암호 관리 등의 보안 취약점을 악용하여 대규모 1,014GB 분량의 데이터가 외...

대학 통합정보시스템 해킹과 PLURA-XDR의 대응 전략

2024년 하반기, 전북대학교와 이화여자대학교에서 발생한 개인정보 유출 사고는 국내 교육기관 보안 현실을 여실히 드러낸 사건이었습니다. 특히 웹 기반 통합정보시스템의 초기 취약점 방치와 야간 관제 공백은 동일한 유형의 공격을 반복적으로 허용했습니다. 이는 단순한 방화벽...

LG유플러스 고객인증 시스템 유출 시나리오

LG유플러스 고객인증 시스템이 외부에 노출되어 공격자에게 취약한 관리자 페이지가 식별되었습니다. 공격자는 기본 계정과 파일 업로드 취약점을 악용해 웹셸(WebShell)을 설치하였고, 이를 통해 약 29만 7천여 명의 고객 정보가 유출되었습니다. 유출 시점은 DB 갱신...

「시스템은 복잡할수록 실패하기 쉽다」

최신 글