들어가며요즘 차량 보안 관련 업무를 진행하면서, 임베디드 환경과 펌웨어 구조에 대한 이해가 부족하다는 점을 느끼게 되었다.이를 보완하기 위해 임베디드 시스템과 펌웨어의 기본 구조부터 정리해보고자 한다.임베디드 시스템과 펌웨어 개요임베디드란?임베디드 시스템(Embedded System)특정 기기에 내장되어, 정해진 목적을 수행하도록 설계된 시스템을 의미한다.임베디드 기기(Embedded Device)임베디드 시스템이 실제로 동작하고 있는 하드웨어 장치를 말한다.일반적으로 ‘임베디드’라는 용어는 임베디드 시스템과 임베디드 기기를 모두 포괄하는 의미로 사용된다.컴퓨터가 범용 목적을 위해 설계된 장치라면,임베디드 기기는 특정 기능 수행을 목적으로 제작된 장치라는 점에서 차이가 있다.펌웨어(Firmware)과거 ..

CVE-2026-24061PoC목차CVE-2026-2406란?Root CausePoC진행exploit 분석요약CVE-2026-2406란?CVE-2026-24061은 telnetd가 클라이언트로부터 전달받은 환경 변수(USER)를 적절한 검증 없이 시스템 로그인 프로그램(/bin/login)으로 넘겨주면서 발생하는 인자 주입(Argument Injection) 취약점입니다. 이를 통해 공격자는 인증 절차를 완전히 건너뛰고 시스템의 루트 권한을 장악할 수 있습니다.영향을 받는 소프트웨어는 GNU InetUtils telnetd (v1.9.4 ~ v2.7)로 확인할 수 있습니다. Root Cause Telnet의 환경 변수 전달 기능 (RFC 1572)Telnet 프로토콜은 NEW-ENVIRON 옵션을 통해 ..

1. 개요웹 애플리케이션 개발자, 혹은 정보 보안을 공부하는 분들이라면 수없이 들어봤을 용어들이 있습니다.프론트엔드, 백엔드, 클라이언트, 서버, 웹 서버(WS), 웹 애플리케이션 서버(WAS), SPA, MPA, SSR, CSR 등 매일 사용하는 용어지만, 누군가 "프론트엔드와 클라이언트의 정확한 차이가 뭔가요?"라고 물었을 때, 혹은 "Nginx는 웹 서버인가요, WAS인가요?"라는 질문에 망설임 없이 답변할 수 있으신가요? 실무에서도 이 용어들은 혼재되어 사용되곤 합니다. 하지만 각 개념의 역할과 작동 방식을 명확히 구분하는 것은 전체 시스템 아키텍처를 이해하는 첫걸음이자, 웹 보안의 공격 벡터를 파악하는 기초가 됩니다. 이번 포스팅에서는 비슷해 보이지만 엄연히 다른 웹 필수 용어들의 개념을 확실하..

작성자: 보안왕 김보안 취약점 진단 체크리스트는 기본적으로 온프레미스 MySQL 환경을 기준으로 정의되어 있다.그래서 실무 현장에서 RDS나 Aurora 환경을 점검하다 보면,“이건 취약으로 봐야하나 아니면 예외로 처리해야하나?”, “설정 파일이 없는데 뭘 확인해야하지?”이런 상황이 정말 자주 발생한다.즉, 온프렘 기준을 그대로 적용하면 오탐이 우수수 떨어지는 구조다.문제는 이게 컨설턴트 잘못이 아니라, 애초에 기준이 만들어진 전제가 다르기 때문이다.그래서 이 글에서는 실제 현장에서 느끼는 관점대로,“같은 MySQL이라도 온프렘과 RDS/Aurora는 어떤 기준으로 봐야 하는가”를 정리해보려고 한다.1) 계정·권한 점검 — “권한 없음”이 취약이 아니라 오히려 정상온프렘 MySQL은 root 계정이 절대..

1. 개요이번 포스팅에서는 모바일 플랫폼의 양대 산맥인 Android와 iOS의 핵심 특징을 살펴보고, 내부 아키텍처를 분석하여 두 플랫폼이 하드웨어와 소프트웨어를 제어하는 방식의 차이를 비교해 보겠습니다. 2. 안드로이드 특징2-1. 오픈소스와 다양성안드로이드는 구글이 주도하는 오픈소스 모바일 플랫폼입니다. 삼성, 샤오미 등 다양한 제조사가 이 소스를 가져와 자사 기기에 맞게 커스터마이징(One UI, MIUI 등) 하여 사용합니다.장점: 기기 선택 폭이 넓고, 파일 시스템 접근 등 시스템 레벨에서의 자유도가 높습니다.단점: 기기 종류와 제조사가 너무 다양하다 보니 OS 버전, 화면 크기, 커스터마이징 수준이 제각각인 파편화(Fragmentation) 문제가 발생하기도 합니다.2-2. 개발 환경언어: ..

최근에 안드로이드 위주로 Frida를 다뤄봤는데, 이번에는 iOS 앱 후킹을 공부해봤다.안드로이드랑 다른 점이 많아서 비교 위주로 정리한다.1. 안드로이드 vs iOS 기본 뼈대안드로이드: 항상 Java.perform() 안에서 후킹해야 안정적iOS: ObjC.schedule(ObjC.mainQueue, …) 안에서 후킹하는 게 일반적 (특히 UI 관련 메서드)// 안드로이드 기본Java.perform(function () { // ...});// iOS 기본if (ObjC.available) { ObjC.schedule(ObjC.mainQueue, function () { // ... });}안드로이드는 Java.use("클래스명")으로 접근하지만, iOS는 ObjC.cla..