본문 바로가기

정보보호 (Security)418

728x90
AST · DAST · SCA: 안전한 소프트웨어 개발을 위한 보안 점검 핵심 도구 SAST, DAST, SCA는 모두 소프트웨어 개발 및 보안 점검 프로세스에서 매우 중요한 자동화 도구이자 분석 기법입니다.SAST (Static Application Security Testing)정적 분석 도구로, 소스코드, 바이트코드, 또는 바이너리 코드를 실행하지 않고 분석합니다.개발 초기에 코드 레벨의 취약점을 찾아내는 데 유리합니다.컴파일 이전 단계 또는 코드 저장소에 커밋된 시점에서 실행됩니다.주요 특징개발자 코드 수준의 버그, 논리 오류, 보안 취약점(CWE 등)을 탐지코드 품질 개선에도 도움CI/CD 파이프라인에 통합 용이대표 제품제품명특징SonarQube오픈소스 기반, 품질 + 보안 점검 모두 지원CheckmarxSAST 기능 특화, 다양한 언어 지원Fortify Static Code .. 2025. 8. 18.
Prompt Injection과 코드 취약점 방어를 위한 통합 방화벽, LlamaFirewall LlamaFirewall: 생성형 AI를 위한 다계층 보안 프레임워크AI 보안 위협 탐지·차단을 위한 실시간 스캐너 아키텍처 Prompt Injection과 코드 취약점 방어를 위한 통합 방화벽 PromptGuard부터 CodeShield까지, LLM 보안의 모든 것다음은 LlamaFirewall 프레임워크 및 관련 도구들(Purple Llama 생태계 포함)입니다.Purple Llama와 LlamaFirewallPurple Llama 프로젝트주도: Meta (Facebook)목표: 생성형 AI(특히 LLM 기반)의 신뢰성과 보안 확보를 위한 오픈소스 생태계 조성구성: 다양한 보안 도구, 가이드라인, 평가 도구, 벤치마크 통합LlamaFirewall이란?Purple Llama의 핵심 보안 프레임워크LLM.. 2025. 8. 13.
실시간 시크릿 탐지와 환경변수 보안을 완성하는 DevSecOps 듀오 (Kingfisher × Varlock) 🔐 Kingfisher × Varlock: 실시간 시크릿 탐지와 선언적 환경변수 보안 관리의 정수민감정보는 유출되는 순간부터 보안사고로 이어집니다.Kingfisher는 유출된 시크릿을 탐지/검증, Varlock은 유출 자체를 막고 협업을 강화합니다.이 둘은 DevSecOps의 완벽한 파트너입니다.기존 .env 방식의 한계와 보안 리스크.env 파일은 널리 사용되지만 다음과 같은 심각한 보안/유지관리 문제가 있습니다.항목문제점❌ 정적 타입 없음"true"도 문자열로 인식되어 코드 혼란 초래❌ 유효성 검증 없음오타/누락 발생 시 런타임 오류❌ 일관성 부족.env.example과 실제 .env가 불일치 가능❌ 노출 위험로그/오류 메시지 등에서 값이 드러날 수 있음❌ 시크릿 분리 불가민감 정보와 일반 값 혼재.. 2025. 8. 7.
AI 기반 지능형 사회공학 피싱·파밍·딥페이크 공격 대응 모의훈련 시스템 시스템 목표실감나는 모의훈련: AI 기반 개인화된 피싱 시나리오 생성다채널 통합: 이메일, 전화, 메신저 연계 공격 시뮬레이션실시간 추적: 사용자 행동 모니터링 및 분석교육 효과 극대화: 개인별 맞춤 피드백 및 교육 제공시스템 아키텍처graph TB A[사용자 프로파일 DB] --> B[AI 시나리오 생성기] B --> C[다채널 발송 시스템] C --> D[이메일 발송] C --> E[음성 통화 시뮬레이터] C --> F[메신저 봇] D --> G[추적 시스템] E --> G F --> G G --> H[분석 엔진] H --> I[대시보드] H --> J[교육 시스템]훈련 메일 프롬프트 모음금융 관련 시나리오 (10종)1. 세금 환급 사칭대상:.. 2025. 7. 25.
클라우드 웹 보안 인프라 통합 오픈소스 WAF, BunkerWeb 실시간 자동화 BunkerWeb는 차세대 클라우드 네이티브 웹 방화벽(Web Application Firewall, WAF) 으로, 오픈소스로 개발되어 보안성과 확장성을 모두 갖춘 점에서 매우 주목받고 있는 솔루션입니다. BunkerWeb에 대한 개념부터 아키텍처, 주요 기능, 운영 방식, 보안 관점에서의 활용 포인트를 정리합니다.BunkerWeb 개요공식 저장소: https://github.com/bunkerity/bunkerweb라이선스: AGPLv3 (오픈소스), 기업용 Pro 버전 별도 제공기반 기술: NGINX 기반 리버스 프록시 + 보안 기능 통합BunkerWeb은 전통적인 WAF와 달리 보안 구성의 자동화, 클라우드 네이티브 환경 지원, 직관적인 UI 및 플러그인 확장성에 초점을 둔 통합 보안 솔루션입니다.. 2025. 7. 22.
728x90
728x90