C
보안 목록
이전1 / 4다음
보안//Lesson 01

보안

30분·theory

보안

🎯 이 lesson 을 읽고 나면

이 lesson 을 다 읽고 나면 아래 3가지를 자신 있게 할 수 있습니다.

  • ✅ "보안" 의 보안 패턴
  • ✅ OWASP (웹 보안 표준 단체) Top 10 매핑
  • ✅ 실무 함정 (SQL Injection (DB 변조 공격), XSS (스크립트 삽입), CSRF (위장 요청))

학습 목표를 체크리스트로 두고 다 답할 수 있게 되면 lesson 을 닫으세요.

🔒 보안 만든 4명 — 암호학에서 현대 웹 보안까지

01
Whitfield Diffie & Martin Hellman디피·헬만
Pioneers of Public-Key CryptographyStanford University1944~ / 1945~

공개키 암호의 문을 연 두 사람 — 현대 인터넷 보안의 시작

  • 1976 논문 'New Directions in Cryptography' 발표 — 공개키 개념 최초 제시
  • 1976 Diffie-Hellman 키 교환 알고리즘 발표 — HTTPS·VPN·SSH의 기반
  • 1992 Sun Microsystems 합류 — 보안 아키텍처 정립 (Diffie)
  • 2015 공동으로 튜링상 수상 — 공개키 암호학 기여 공인
TLS·SSH·VPN — 인터넷 모든 보안 통신의 수학적 토대PUBLIC-KEY · 공개키 창시자
02
Rivest · Shamir · AdlemanRSA 3인방
Inventors of RSA AlgorithmMIT1947~ / 1952~ / 1945~

RSA — 디피·헬만의 개념을 실용 알고리즘으로 완성한 3인

  • 1977 MIT에서 RSA 공개키 암호 알고리즘 발표 — 소인수분해 난해성 기반
  • 1982 RSA Security 창업 — 상용 암호화 시장 개척
  • 2000 RSA 특허 만료 — 전 세계 무료 사용 시대 개막
  • 2002 3인 공동으로 튜링상 수상
RSA — TLS 인증서·디지털 서명·전자상거래의 기본 암호 방식RSA · 알고리즘 창시자
03
Phil Zimmermann필 짐머만
Creator of PGPPGP Inc. → Silent Circle1954~현재

PGP — 개인이 정부 감시에 맞설 수 있게 한 이메일 암호의 아버지

  • 1991 PGP(Pretty Good Privacy) 1.0 공개 — 이메일 암호화 대중화
  • 1993 미국 정부의 무기수출법 위반 수사 — 1996년 무혐의 종결
  • 1997 PGP Inc. 창업, OpenPGP 표준화 추진
  • 2012 Silent Circle 공동 창업 — 종단간 암호 통신 서비스
OpenPGP·GPG·이메일 종단간 암호화 — 개인 프라이버시의 상징PGP · 이메일 암호화
04
Bruce Schneier브루스 슈나이어
Cryptographer & Security AuthorCounterpane → IBM → Harvard1963~현재

현대 보안의 양심 — 알고리즘을 설계하고 정책을 비판한 권위자

  • 1993 Blowfish 대칭키 암호 알고리즘 설계 — 무료·라이선스 없음
  • 1996 'Applied Cryptography' 출간 — 업계 표준 교과서로 자리매김
  • 1998 Twofish 발표 — AES 최종 후보 5개에 진입
  • 2016 하버드 케네디스쿨 펠로우 — 보안 정책·프라이버시 권위자
Blowfish·Twofish 설계 + Schneier on Security — 보안 사고방식의 표준MODERN SECURITY · 현대 보안 권위자
👥
한 줄
디피·헬만(공개키 개념) → RSA 3인방(실용 알고리즘) → 짐머만(대중화) → 슈나이어(현대 권위자). 4팀이 인터넷 보안의 골격을 만들었다.

왜 보안을 알아야 하는가

한 줄: 한 번의 취약점 = 회사 평판·법적 책임·서비스 종말. 보안은 최후의 안전망이 아닌 기본 설계.

도구 매핑

영역핵심 표준
웹 취약점OWASP Top 10 (가장 흔한 웹 취약점 10가지 목록)
암호화AES · RSA · ECDSA · TLS (데이터·통신 암호 표준)
인증bcrypt · argon2 (비번 해싱) · OAuth (구글·카카오 로그인 위임) · JWT (서명된 인증 토큰)
보안 헤더CSP (스크립트 허용 정책) · HSTS (HTTPS 강제) · X-Frame-Options
모니터링Sentry · Datadog · WAF (웹 방화벽)
시크릿HashiCorp Vault · AWS Secrets Manager (비밀키 안전 보관)

5가지 핵심 이유

이유의미
XSS · CSRF (스크립트 삽입 · 위장 요청)가장 흔한 웹 취약점. 한 줄 escape (특수문자 무력화) 누락 → 사용자 탈취
SQL Injection (DB 변조 공격)파라미터 미사용 → DB 전체 노출. parameterized query (값 분리 질의) 필수
HTTPS (암호화된 HTTP)평문 통신 = 패킷 탈취. 무료 인증서로 기본 의무
해시 알고리즘 (비번 단방향 변환)MD5·SHA1 폐기. bcrypt · argon2 (현대 표준) 만 사용
OWASP Top 10 (10대 취약점 목록)모든 백엔드 면접 단골. 모르면 입사 불가

핵심: 보안은 기능 이 아니라 기본 자세. 한 번 뚫리면 복구 불가.

🤖 AI 에게 이렇게 요청해보세요

이 lesson 의 개념을 알면 AI 에게 구체적으로 지시할 수 있습니다. 막연한 "고쳐줘" 가 아니라 어휘를 가진 요청 — 그게 토큰 절약의 출발점입니다.

  • "이 코드의 보안 관점 취약점 점검해줘"
  • "보안 관련 OWASP Top 10 (웹 보안 10대 취약점) 항목 매핑해줘"
  • "이 비번 저장 로직을 bcrypt (현대 비번 해싱 표준) 로 바꿔줘"

왜 이게 토큰을 줄이나

개념을 모를 땐 AI 답변을 받고도 "그게 뭐예요?" 를 다시 물어야 합니다. 그 "다시 물음" 이 토큰을 잡아먹습니다. 개념 한 번 익혀두면 대화가 한 번에 끝납니다.

먼저 읽으면 좋은 개념: 파일시스템·스케줄링·고급
다음 추천: 웹 공격 — OWASP Top 10 + XSS·CSRF·SQL Injection
이전목록다음
보안 - 보안