문제해커가 직접 공격하던 시대에서 AI 가 자동으로 취약점을 찾는 시대로 진화. 이미지 패턴·학습 데이터 오염·프롬프트 인젝션 등 신규 공격 표면.

접근4단계 방어: 사내 AI·데이터 접근 현황 파악 → 배포 전 모의 해킹 → 실시간 입출력 필터링 → 24시간 모니터링. 더불어 승인 안 된 AI 도구 사용 통제, AI 에이전트에 사람과 동등한 신원·권한 관리.

결과적대적 입력·데이터 포이즈닝·프롬프트 인젝션·과도한 권한 부여로 인한 내부 시스템 초기화 같은 사고를 사전 차단.

문제PyPI 공급망 공격(LiteLLM, PyTorch Lightning)은 보통 일주일 이내 짧은 노출 윈도우 안에 일어난다. 사내 개발자가 무심코 악성 패키지를 설치하면 막을 방법이 없다.

접근모든 패키지 설치를 거치는 사내 PyPI 프록시를 구축. PEP 503 / 691 기반 인덱스 미러에 쿨다운 기반 필터링을 적용하고, 정책은 Central Dogma 로 중앙 관리한다.

결과쿨다운 정책 하나로 PyTorch Lightning 공격을 실제로 차단. 전사 보안 정책이 일관되게 자동 적용되는 구조를 확보.

문제LiteLLM, PyTorch Lightning 등 PyPI 패키지가 공급망 공격으로 악성 버전이 업로드된다. 주요 공격 10건 중 일부는 일주일 미만의 짧은 노출 기간을 가졌다.

접근당근이 내부 PyPI 프록시를 구축해 모든 패키지 설치 요청을 중앙화. PEP 503(HTML) 응답을 클라이언트에 주면서 PEP 691(JSON) API로 업로드 시간을 확인하고, 정해진 쿨다운 기간 안의 패키지를 필터링한다. 정책은 Central Dogma로 동적 관리.

결과PyTorch Lightning 공격 시 쿨다운 정책으로 악성 버전 설치를 자동 차단. 회사 전체에 일관된 보안 정책이 적용된다.

문제AI 에이전트가 조직 내 다양한 서비스를 연동할 때 복잡한 인증·인가 관리와 토큰 증식으로 운영 비용·보안 위험 증가.

접근OAuth 2.0 Token Exchange(RFC 8693)와 JWT Profile(RFC 7523)을 결합. 기업 IdP가 발행한 JWT(ID-JAG)를 "소개장"으로 활용해 정책 평가·범위 제어를 IdP에 일원화.

결과사용자 동의 팝업 감소로 UX 개선, 감사 로그 집중화로 컴플라이언스 추적 용이, token sprawl 완화. 단 IETF 초안 단계라 강결합은 위험.

문제"지금 가로채 두고 나중에 양자 컴퓨터로 복호화하는(Harvest now, decrypt later)" 위협이 현실적이다. 오늘 암호화된 금융 트래픽이 미래에 풀릴 수 있다.

접근토스가 NIST 표준 PQC(Post-Quantum Cryptography)를 금융 서비스에 도입. 키 교환부터 시작해 핵심 채널까지 확장한다.

결과양자 컴퓨터 도래 전 10년의 안전 마진을 확보. 금융 서비스에서 PQC 를 실서비스에 적용한 사례를 정리.

문제"harvest now, decrypt later" 위협: 지금 암호화된 트래픽이 미래 양자컴퓨터가 등장하면 해독될 수 있다. 금융 서비스는 10년 단위 보존 데이터가 많아 특히 민감하다.

접근토스가 NIST 표준 양자내성암호(PQC)를 금융 서비스 트래픽에 단계적으로 적용. 키 교환 단계부터 시작해 핵심 채널로 확대.

결과양자컴퓨터 시대가 오기 10년 전부터 대비를 마친 상태. 운영 복잡도와 성능 영향을 측정해 실서비스 적용 가능성을 검증했다.

문제TLS/SSL 인증서 유효 기간이 짧아지는 추세라 수동 갱신은 곧 운영 사고로 이어진다.

접근ACME 프로토콜로 발급/갱신을 자동화. 만료 모니터링, 자동 배포, 알람을 묶은 워크플로 설계.

결과인증서 만료 사고를 사실상 제거. NHN Cloud 인증서 시리즈 2편으로 운영 가이드 정착.

문제AI 코딩 도구가 만든 코드 자체의 안전성 검증이 어렵다. 보안 취약점이 우연히 들어갈 수 있다.

접근LINE 보안팀이 코딩 에이전트를 활용해 취약점 수집/생성을 자동화. 그 데이터로 가드레일 모델 학습 → AI 생성 코드를 메타-AI 가 평가.

결과AI 도구의 출력 안전성을 측정/개선 가능한 framework 구축. "AI 안전" 이라는 추상 개념이 실질 운영 도구로 전환.

문제기존 SAST/DAST 보안 도구는 비즈니스 로직 결함을 못 잡는다. false positive 도 많다.

접근토스가 LLM 으로 서비스 코드를 분석해 비즈니스 로직 결함을 찾는다. 코드 컨텍스트 + 도메인 지식을 prompt 에 주입해 false positive 를 줄이고 우선순위를 자동 매김.

결과기존 도구가 못 잡던 결함 발견 + 보안팀의 검토 부담 감소. AI 활용 security review 시리즈 2편.

문제SOC 팀이 수억 건의 보안 시그널 속에서 진짜 위협을 찾는 데 "알람 피로" 로 효율이 떨어진다.

접근카카오가 LLM/ML 모델로 시그널을 분류해 진짜 위협을 자동 우선화. anomaly detection + LLM 기반 분류기 조합.

결과알람 노이즈 감소 + SOC 분석가의 high-value 작업 시간 확보. AI 기반 보안 모니터링 패러다임 전환.

문제TLS 인증서는 매일 쓰지만 그 원리(PKI, X.509, 신뢰 체인) 를 정확히 아는 개발자는 의외로 적다.

접근NHN Cloud 인증서 시리즈 1편. PKI, X.509, CA 체인, 신뢰 모델을 입문자용으로 정리.

결과디지털 신뢰의 기초를 다지는 가이드. 인증서 운영 / mTLS 도입 전 읽으면 좋은 글.