CDN은 단일 장애점이다
CDN 집중화로 하나의 장애가 수천 개 사이트를 동시에 내린다. 분산 복원력을 중앙화된 편의로 교환했다.
더 읽기블로그
프로토콜, 보안, 그리고 인터넷이 실제로 작동하는 방식에 대하여.
DNS-over-HTTPS는 아무것도 안 바꿨다 (그리고 모든 걸 바꿨다)
DoH는 DNS 쿼리를 HTTPS로 감싼다. 같은 질문, 같은 답, 다른 전송. 기술 변화는 단순하다. 정치적 파장은 거대하다.
더 읽기CDN 캐시 포이즈닝의 작동 원리
CDN 캐시 포이즈닝은 CDN을 속여서 악성 응답을 캐시하게 하고 모든 후속 방문자에게 서빙하게 한다. 이상한 요청 하나, 대량의 부수 피해.
더 읽기OCSP Stapling vs CRL: 인증서 폐기의 두 가지 나쁜 선택지
인증서가 침해되면 폐기해야 한다. 폐기 확인 메커니즘 두 가지가 다 근본적으로 고장 나 있다.
더 읽기포스트 양자 암호: TLS에서 뭐가 바뀌어야 하는가
양자 컴퓨터가 RSA와 타원곡선을 깨뜨린다. 전환은 이미 시작됐다 — 양자 컴퓨터가 아직 없어서가 아니라 '지금 수확하고 나중에 복호화'가 실제 위협이라서.
더 읽기SNI: 목적지를 유출하는 필드
HTTPS가 모든 걸 암호화한다고? 아니다. 어떤 사이트에 접속하는지는 TLS 핸드셰이크에서 평문으로 전송된다.
더 읽기TLS 1.0/1.1 — 2026년에 아직 누가 쓰는가?
TLS 1.0과 1.1은 공식 폐기되고 모든 브라우저가 거부한다. 그런데 서버는 아직 제공한다. 얼마나, 왜?
더 읽기VPN은 익명성을 주지 않는다
VPN은 트래픽을 보는 주체를 ISP에서 VPN 제공자로 바꾼다. 신뢰를 제거하는 게 아니라 옮기는 것이다.
더 읽기우리는 인터넷이 어떻게 작동하는지 가르치기를 멈췄다
추상화가 인터넷을 쓸 수 있게 만들었다. 불투명하게도 만들었다. 그 비용이 나쁜 보안 결정, 장애 시 무력함, 카고컬트 설정에서 나타난다.
더 읽기"종단간 암호화"가 실제로 뜻하는 것 (그리고 안 뜻하는 것)
모든 메시징 앱이 E2EE를 주장한다. 대부분의 사용자가 완전한 프라이버시라고 생각한다. 현실은 더 미묘하다.
더 읽기BGP: 신뢰 위에 돌아가는 프로토콜
BGP는 내장 인증 없이 인터넷을 라우팅한다. 어떤 AS든 어떤 프리픽스를 공지할 수 있다. 라우트 하이재킹이 터무니없이 쉽다.
더 읽기Certificate Transparency: 모든 인증서가 공개인 이유
공인 CA가 발급하는 모든 TLS 인증서는 공개 검색 가능한 추가 전용 로그에 기록된다. DigiNotar 때문에 이렇게 됐다.
더 읽기DMARC 채택 현황: 2026년에도 여전히 장식
DMARC가 '있다'는 대부분의 도메인이 p=none으로 설정한다. 감시만 하고 차단 안 함. 사이렌 없는 화재 감지기다.
더 읽기DNS 쿼리의 처음 50밀리초에 무슨 일이 일어나는가
URL을 입력하면 페이지가 뜬다. 그 사이에 컴퓨터는 서버 4개 이상과 대화하고, 1983년산 계층 구조를 탐색하고, 대부분의 쿼리가 목적지에 도달하지도 않는 캐싱에 의존한다.
더 읽기컴플라이언스는 보안이 아니다
SOC 2, ISO 27001, PCI DSS — 조직은 컴플라이언스를 보안의 증거로 취급한다. 아니다. 컴플라이언스는 바닥이다. 보안은 방어의 실제 상태다.
더 읽기이메일 인증 5개 전부 갖춘 도메인이 얼마나 될까?
SPF, DKIM, DMARC, MTA-STS, BIMI — 5개 표준, 20년, 전부 갖춘 도메인의 비율은 대부분의 조사에서 오차 범위에 들어간다.
더 읽기DNSSEC 작동 원리 (그리고 아무도 안 쓰는 이유)
DNSSEC는 우아한 암호학이지만 운영 현실은 잔인하다. 20년이 지나도 채택률은 20% 미만. 프로토콜이 문제가 아니다.
더 읽기14개 HTTP 보안 헤더 (실제로 중요한 것은?)
모든 보안 헤더가 같지 않다. 어떤 건 매일 실제 공격을 막고, 어떤 건 브라우저가 무시하는 레거시다. 솔직한 우선순위.
더 읽기HTTP 보안 헤더: 실제로 CSP를 갖춘 곳은?
쉬운 헤더와 어려운 헤더 사이의 격차가 엄청나다. 대부분의 사이트가 X-Content-Type-Options는 설정하고 CSP는 건너뛴다.
더 읽기Let's Encrypt가 인터넷을 바꿨다 (좋은 쪽으로도, 나쁜 쪽으로도)
2015년 전에는 HTTPS가 누군가 신경 쓴다는 뜻이었다. Let's Encrypt 이후 HTTPS는 서버가 존재한다는 뜻이다. 암호화는 얻었고 신뢰 신호는 잃었다.
더 읽기MCP: 보안 도구에 어떤 의미인가
Model Context Protocol은 AI 에이전트에게 보안 도구를 호출하는 표준 방법을 준다. 정찰 워크플로우가 바뀐다. 판단 부분은 안 바뀐다.
더 읽기패스키 vs 패스워드: 아무도 안 하는 전환
패스키는 기술적으로 모든 면에서 우월하다 — 피싱 방지, 공유 비밀 없음, 생체인증 친화적. Apple, Google, Microsoft 모두 지원한다. 채택은 여전히 미미하다.
더 읽기브라우저 자물쇠 아이콘은 제거되어야 한다
자물쇠는 수억 명의 사용자에게 거짓 신뢰를 만든다. HTTPS는 암호화를 의미하지, 안전을 의미하지 않는다. 아이콘은 사라져야 한다.
더 읽기보안 점수는 의미 없다
보안 점수 시스템을 만드는 사람이 말한다. 점수는 실제 보안을 측정하지 않는다. 그런데도 계속 만드는 이유.
더 읽기SPF 10-Lookup 제한: 20년 된 실수
RFC 7208은 SPF를 DNS 조회 10회로 제한한다. 초과하면 이메일 인증이 조용히 깨진다. 2003년에는 말이 됐다. 지금은 아니다.
더 읽기TLS 핸드셰이크 7단계
모든 HTTPS 연결은 대부분의 개발자가 생각조차 안 하는 협상으로 시작된다. TLS 1.3에서 정확히 무슨 일이 일어나는지, 단계별로.
더 읽기2단계 인증은 피싱을 막지 못한다
2FA는 크리덴셜 스터핑을 막는다. 2026년에 실제로 세션을 훔치는 실시간 피싱 프록시는 거의 늦추지도 못한다.
더 읽기루트 CA가 침해되면 무슨 일이 일어나는가
2011년 DigiNotar가 해킹당해 *.google.com을 포함한 500개 이상의 위조 인증서가 발급됐다. 그 여파가 전체 PKI 생태계를 바꿨다.
더 읽기이메일 인증에 프로토콜이 5개나 필요한 이유
SPF, DKIM, DMARC, BIMI, MTA-STS — 이메일은 50년 된 시스템 위에 프로토콜을 계속 쌓고 있다. 왜 교체하지 않는 걸까.
더 읽기"제로 트러스트"는 마케팅 용어다
제로 트러스트는 정당한 보안 아키텍처 원칙으로 시작했다. 모든 벤더가 '우리 제품을 사세요'라는 뜻으로 전용했다. 원래 아이디어가 더 나은 대우를 받을 자격이 있다.
더 읽기