2026년 4월 17일
NHI Kill Chain: Drifted Key — DB 비밀번호가 Jira, GitHub, Docker 이미지에 동시에 존재하는 이유
PostgreSQL 마스터 비밀번호가 7개 플랫폼 유형을 횡단했습니다. 각 보안 도구는 자기 영역만 봤고, 전체 그림을 보는 도구는 없었습니다.
김동현
대표이사
Vercel 2026년 4월 보안 사고, 결국 NHI 문제입니다: 무엇부터 교체해야 하는가
2026년 4월 19일 Vercel이 공식 확인한 사고는 한 직원이 쓰던 서드파티 AI 도구에서 시작돼 Google Workspace를 거쳐 Vercel 내부 시스템에 도달했고, 일부 고객 프로젝트의 환경 변수 중 sensitive 플래그가 없던 값들이 노출됐습니다. 확인된 사실과 루머를 나누고, 지금 무엇부터 교체해야 하는지 정리했습니다.
2026년 4월 14일
만료됐는데 여전히 작동하는 크레덴셜: 좀비 키 문제 (NHI Kill Chain #5)
Secret scanning alert: Resolved. 크리덴셜 상태: Active. 코드에서 지우는 것과 폐기하는 것은 완전히 다릅니다. Zombie Key 킬체인 분석.
김동현
대표이사
2026년 4월 11일
과도한 권한의 API 키: 하나의 크레덴셜이 너무 많은 것을 여는 문제 (NHI Kill Chain #4)
Stripe API 키 하나가 3년간 14곳에 복사되었습니다. QA 리포가 공개 전환되면서 키가 노출 — 폐기하면 14개 서비스가 동시에 죽는 상황.
김동현
대표이사
2026년 4월 10일
회전되지 않은 API 키: 수년 된 크레덴셜이 여전히 프로덕션을 움직이는 이유 (NHI Kill Chain #3)
3년간 로테이션 없이 7개 시스템에 퍼진 AWS 키 하나. 공급망 공격으로 이 키가 탈취되었을 때, 공격자는 인프라 전체에 접근할 수 있었습니다. Aged Key 킬체인 분석과 단계적 로테이션 대응 가이드.
김동현
대표이사
2026년 4월 5일
섀도우 서비스 계정: 문서화되지 않은 머신 아이덴티티 탐지하기 (NHI Kill Chain #2)
프로덕션 장애 한 번으로 크리덴셜이 6개 비코드 플랫폼에 퍼졌습니다. 시크릿 스캐너는 하나도 찾지 못했습니다. Shadow Key 킬체인 분석.
김동현
대표이사
2026년 4월 2일
소유자 없는 API 키: 주인을 잃은 크레덴셜의 보안 리스크 (NHI Kill Chain #1)
퇴사한 개발자의 AWS 키가 92일간 방치되다 인포스틸러를 통해 다크웹에 유출되었습니다. Ghost Key 킬체인 분석과 고아 크리덴셜 대응 가이드.
김동현
대표이사
2026년 3월 25일
보안 스캐너가 해킹 도구가 된 날 — Trivy 공급망 공격의 사이버 킬체인 분석
Aqua Security의 Trivy가 해킹당해 LiteLLM까지 연쇄 감염된 TeamPCP 공급망 공격. 사이버 킬체인 7단계와 MITRE ATT&CK 매핑으로 분석하고, NHI 거버넌스 실패가 만든 연쇄 재앙의 교훈을 정리합니다.
김동현
대표이사
2026년 3월 17일
공개 노출된 API 키: 크레덴셜이 오픈 저장소에 도달하면 벌어지는 일 (NHI Kill Chain #7)
.env 파일이 GitHub 공개 저장소에 push된 지 4분 만에 공격자 봇이 탐지합니다. 크리덴셜 노출에서 인프라 침해까지의 Kill Chain 전체를 분석하고, 피해가 발생하기 전에 탐지하고 대응하는 방법을 다룹니다.
김동현
대표이사
2026년 3월 7일
GitHub Issue 제목 하나가 4,000대 개발자 머신을 감염시킨 방법
AI 코딩 도구 Cline의 GitHub Issue 트리아지 봇에 프롬프트 인젝션을 주입해 npm 토큰을 탈취하고, 4,000대의 개발자 머신에 악성 AI 에이전트를 설치한 Clinejection 공격. AI가 AI를 설치하는 새로운 공급망 공격이 시작되었습니다.
김동현
대표이사
2026년 1월 25일
Git Secret Scanning: 2026년 완벽 가이드
Git secret scanning 완벽 가이드. TruffleHog, GitGuardian, GitHub Advanced Security, Cremit 비교. 실전 CI/CD 통합 예제와 구현 전략 포함.
김동현
대표이사
2025년 12월 26일
다크웹에서 거래되는 API Key, 해커들의 새로운 타깃
다크웹에서 거래되는 API Key, 해커들의 새로운 타깃
김동현
대표이사
2025년 8월 28일
Nx 패키지 공급망 공격: GitHub Actions 취약점이 글로벌 위기로 번진 경로
Nx 패키지를 통한 공급망 공격. GitHub Actions 취약점에서 출발한 공격 체인을 분석하고, 피해 범위와 유사 위협 탐지 방법을 정리합니다.
김동현
대표이사
2025년 5월 29일
2025년 사이버보안 현황: 전체 보고서 다운로드
2025년 사이버보안 현황: 전체 보고서 다운로드
김동현
대표이사
2025년 4월 27일
Vercel 시크릿 노출 실제 사례 5건과 방지 가이드
공개된 Vercel 배포 중 약 0.45%에서 실제 유효한 API 키가 발견됐습니다. AWS, Stripe, GitHub 토큰까지. 어떤 패턴으로 노출되는지, 공격자가 단일 키를 어떻게 클라우드 전면 침해로 엮어 가는지, 이번 주에 뭘 바꿔야 하는지 정리했습니다.
김동현
대표이사
2025년 4월 25일
OWASP NHI5:2025 과도한 권한 분석
OWASP NHI5:2025 과도한 권한 분석
김동현
대표이사
2025년 4월 23일
Lifecycle 관리를 넘어서: NHI 보안을 위해 지속적인 Secret 탐지가 필수적인 이유
Lifecycle 관리를 넘어서: NHI 보안을 위해 지속적인 Secret 탐지가 필수적인 이유
김동현
대표이사
2025년 4월 22일
OWASP NHI4:2025 불안전한 인증
OWASP NHI4:2025 불안전한 인증
김동현
대표이사
2025년 4월 18일
CI/CD 시크릿 관리 가이드: 파이프라인 단계별 크레덴셜 유출 방지 베스트 프랙티스
CI/CD 파이프라인의 어느 단계에서 크레덴셜이 유출되는지, pre-commit·빌드·배포 단계별로 무엇을 스캔해야 하는지, 배포 속도를 해치지 않고 시크릿 탐지를 통합하는 방법을 정리합니다.
김동현
대표이사
2025년 4월 16일
MCP와 A2A: AI 시대에 비인간 아이덴티티 보안이 중요한 이유
Model Context Protocol(MCP)과 Agent-to-Agent(A2A) 통신이 NHI 보안 경계를 다시 그립니다. AI 에이전트가 인프라의 1급 아이덴티티가 될 때 무엇이 달라지는지 정리합니다.
김동현
대표이사
2025년 4월 14일
Secret 확산 방지: 효과적인 Secret 탐지를 위한 Shift Left 접근법
Secret 확산 방지: 효과적인 Secret 탐지를 위한 Shift Left 접근법
김동현
대표이사
2025년 4월 14일
숨겨진 위험: S3 버킷의 시크릿(Secret) 탐지가 중요한 이유
숨겨진 위험: S3 버킷의 시크릿(Secret) 탐지가 중요한 이유
김동현
대표이사
2025년 4월 4일
데이터 유출 비용 증가: Secret 탐지가 사이버 보안을 강화하는 방법
데이터 유출 비용 증가: Secret 탐지가 사이버 보안을 강화하는 방법
김동현
대표이사
2025년 4월 1일
인간 대 비인간 인증 정보: 주요 차별점
인간 대 비인간 인증 정보: 주요 차별점
김동현
대표이사
2025년 3월 25일
tj-actions/changed-files 침해 사건 - NHI 보안을 중심으로
tj-actions/changed-files 침해 사건 - NHI 보안을 중심으로
김동현
대표이사
2025년 3월 18일
코드의 이면: 숨겨진 Secret 식별을 위한 모범 사례
코드의 이면: 숨겨진 Secret 식별을 위한 모범 사례
김동현
대표이사
2025년 3월 3일
OWASP NHI1:2025 - 부적절한 오프보딩: 알아보기
OWASP NHI1:2025 - 부적절한 오프보딩: 알아보기
김동현
대표이사
2025년 2월 25일
무분별한 확산을 막으세요: Cremit의 AWS S3 비인간 인증 정보 탐지 기능 소개신원 (NHI) 탐지 기능 도입
무분별한 확산을 막으세요: Cremit의 AWS S3 비인간 인증 정보 탐지 기능 소개신원 (NHI) 탐지 기능 도입
김동현
대표이사
2025년 2월 25일
자체구축 vs. 구매: Secret 탐지를 위한 올바른 선택
자체구축 vs. 구매: Secret 탐지를 위한 올바른 선택
김동현
대표이사
2025년 2월 18일
바이비트 해킹 사건 분석: 암호화폐 거래소 보안, 어떻게 강화해야 할까요?
바이비트 해킹 사건 분석: 암호화폐 거래소 보안, 어떻게 강화해야 할까요?
김동현
대표이사
2025년 2월 18일
OWASP NHI2:2025 Secret 유출 - 위험 제대로 파악하고 안전하게 관리하기
OWASP NHI2:2025 Secret 유출 - 위험 제대로 파악하고 안전하게 관리하기
김동현
대표이사
2025년 2월 4일
OWASP NHI3:2025 위협 3 - 취약한 3rd Party NHI 이해하기
OWASP NHI3:2025 위협 3 - 취약한 3rd Party NHI 이해하기
김동현
대표이사
2024년 12월 5일
조직 내 비인간 ID 보호를 위한 6가지 필수 실천 방안
조직 내 비인간 ID 보호를 위한 6가지 필수 실천 방안
김동현
대표이사
2024년 11월 19일
Vigilant Ally: Github에 노출된 Secret 조치하기
Vigilant Ally: Github에 노출된 Secret 조치하기
김동현
대표이사
2024년 11월 17일
프론트엔드 API 키 유출: JS 번들에서 키 찾아내는 방법
자바스크립트 번들과 소스맵에는 브라우저에 도달하면 안 되는 API 키가 자주 유출됩니다. 어떻게 새는지, 어떻게 찾는지, 어떻게 막는지 정리했습니다.
김동현
대표이사
2024년 11월 6일
Cremit, AWS SaaS 스포트라이트 프로그램에 합류
Cremit, AWS SaaS 스포트라이트 프로그램에 합류
김동현
대표이사
2024년 8월 3일
크리밋의 새로운 Secret, NHI 탐색 엔진을 소개합니다!
크리밋의 새로운 Secret, NHI 탐색 엔진을 소개합니다!
김동현
대표이사
2024년 4월 9일
OWASP NHI Top 10 해설: 머신 자격증명 10대 리스크 매핑
OWASP NHI Top 10은 대부분의 팀이 아직 추적하지 않는 머신 자격증명 리스크 10가지를 정리합니다. 각 위협이 실제로 무엇을 의미하고, 어떤 통제로 매핑되는지 풀어봅니다.
김동현
대표이사
2024년 3월 18일
DevSecOps의 시작, Cremit
DevSecOps의 시작, Cremit
김동현
대표이사
2024년 3월 4일
고객 인터뷰: ENlighten에서 얻은 인사이트
고객 인터뷰: ENlighten에서 얻은 인사이트
김동현
대표이사
2024년 2월 26일
Secret Detection이란?
Secret Detection이란?
김동현
대표이사
2023년 10월 23일
마이크로소프트 Credential 유출 사고
마이크로소프트 Credential 유출 사고
김동현
대표이사
2023년 10월 22일
Secret 확산과 Non Human Identity: 증가하는 보안 문제
Secret 확산과 Non Human Identity: 증가하는 보안 문제
김동현
대표이사
뉴스레터
다음 글을 놓치지 마세요
Cremit 리서치 팀이 월 1회 보내드리는 짧은 브리프입니다.