기업이 운영하는 웹 서비스에서 가장 중요한 공간 중 하나는 바로 관리자 페이지(Admin Console) 입니다. 그러나 많은 기업이 기본 설정 그대로 서비스를 운영하거나 접근통제 정책을 제대로 구성하지 않아, 공격자에게 쉽게 노출되는 경우가 빈번합니다. 실제 보안점검과 모의해킹 과정에서도 동일한 구조의 취약점이 수백 대의 서버에서 반복적으로 발견되고 있습니다. 이번 글에서는 특정 고객사의 실제 취약점 진단 과정에서 확인된 … Read more
실무에서 정보보안 관련 업무를 하다 보면 예상치 못한 작은 허점 하나가 서비스 전반을 위험에 몰아넣는 상황을 종종 마주하게 됩니다. 이번 글에서는 제가 실제 모의해킹 프로젝트에서 경험했던 취약한 인증 및 불충분한 세션관리 취약점을 리뷰 형식으로 자세하게 공유해보려고 합니다. 모든 점검은 합법적 절차를 통해 진행되었으며, 현재는 본문에서 설명드리는 보안 취약점은 모두 보완 조치가 완료된 상태입니다. 1. … Read more
사이버 보안 업계에 있다 보면 예상치 못한 구조적인 허점이 서비스 전반을 뒤흔드는 순간을 종종 마주하게 됩니다. 이번 글에서는 제가 실제 프로젝트에서 경험했던 Elasticsearch 인증 취약점 사례를 리뷰 형식으로 정리해보려고 합니다. 모든 정보는 이미 조치가 완료된 환경이며, 민감한 부분은 전부 비식별 처리되었습니다. 저는 여러 서버 기반 서비스를 점검하는 모의해킹 업무를 수행하는데, 이번 사례는 특히 많은 … Read more
얼마전 저희 회사 프로젝트에서 내부 문서(정책, 매뉴얼, 제품 스펙)를 기반으로 고객 질의에 답하는 RAG 서비스를 만들었습니다. 초기에는 단일 임베딩 검색만 사용했는데, 특정 고유명사나 법조문과 같이 정밀한 매칭이 필요한 질의에서 오답이 많이 나왔습니다. 이 문제를 해결하기 위해 시맨틱 검색과 키워드 검색을 혼합한 Hybrid Search를 도입했고, 추가로 문서를 ‘질문형’으로 변환하는 방법(Hypothetical Question)과 쿼리로부터 가상 문서를 생성해 임베딩 … Read more
최근 저는 실무에서 여러 프로젝트에서 LLM을 활용해 자동 분석과 데이터 후처리를 진행하면서, 모델이 출력한 JSON을 Python에서 안정적으로 파싱하는 일이 얼마나 까다로운지 절실히 느낀 적이 있습니다. 저는 주로 LangChain을 기반으로 파이프라인을 구성하는데, 출력 형식을 JSON으로 명확하게 지정했음에도 불구하고 Python LLM 출력 JSON 파싱 과정에서 계속해서 예기치 못한 오류가 발생하더군요. 특히 파라미터 수가 적은 경량 LLM 모델을 … Read more
Windows Sandbox는 가볍고 일회성으로 사용할 수 있는 임시 Windows 실행 환경으로, 프로그램을 테스트하거나 안전하지 않은 파일을 실행할 때 매우 유용한 기능입니다. 얼마전 저는 가상환경 즉 윈도우 11 VM에서 샌드박스(sandbox)를 사용할수는 없는지 찾아보게 되었는데요. 다행히 제가 원하는대로 가능한 방법이 있었습니다. 오늘은 이 방법을 공유해드리도록 하겠습니다. 하지만 많은 사용자들이 Windows 11을 가상 머신(VM)에서 사용하면서 Sandbox 실행이 되지 … Read more
최근 사내 테스트 서버에 Windows 11 가상머신(VM)을 구성하려다 뜻밖의 문제를 만났습니다. 하이퍼바이저는 잘 동작하지만, 물리 서버가 하드웨어 TPM(Trusted Platform Module)을 지원하지 않는다는 점이었습니다. Windows 11은 TPM 2.0을 필수로 요구하기 때문에 설치가 막히더군요. 하지만 결국 해결했습니다. 이번 글에서는 그 실제 과정을 공유합니다. 1. TPM 없는 하드웨어 환경에서의 문제 저희 서버는 Xeon 기반 구형 보드로, … Read more
이번 시간에는 웹과 시스템 보안에서 자주 언급되는 Command Injection 공격에 대해 안전한 관점에서 학습해보고자 합니다. Windows와 Linux 환경에서의 명령어 차이와 대응 전략을 이해하는 것은 보안 실무자나 개발자에게 필수적입니다. Command Injection의 기본 개념과 Windows 및 Linux 환경에서의 명령어 차이, 리버스 쉘과 바인드 쉘 개념, 안전하게 테스트하는 방법과 보안 방어 전략을 소개해드리는 시간을 갖도록 하겠습니다. … Read more
과거에 진행했던 프로젝트들이 눈에 들어왔습니다. 그중에서 가장 먼저 다시 살펴본 것은 바로 시카고 집값 예측 프로젝트였습니다. 프로젝트를 되돌아보면서, 그때 놓쳤거나 더 개선할 수 있었던 부분들을 하나씩 짚어보고, 실제 코드와 사례를 통해 어떤 방식으로 개선할 수 있었는지 공유하려고 합니다. 이번 리뷰를 통해 데이터 전처리, 모델 선택, 성능 평가, 변수 해석까지 프로젝트 전반에서 배울 점을 정리하고, 앞으로 … Read more
얼마전 저는 최근 보유 중인 건강기능식품 데이터 약 84,000 개를 기반으로 운영 중인 서비스에서 검색 속도 문제를 해결한 경험을 공유하려고 합니다. 기존 유사도 검사 방식으로는 검색 시간이 오래 걸려 사용자가 기다리는 시간이 길었고, 서비스 품질에 한계가 있었습니다. 보유한 서비스에서 검색 속도가 느린 문제를 해결하기 위해 엘라스틱서치를 도입한 경험을 공유합니다. 형태소 분석과 동의어 처리로 검색 … Read more