NHI 보안 플레이북
Cremit이 1년간 쌓은 리서치를 압축했습니다. 9가지 실패 패턴, 6축 심각도 지표, 그리고 월요일부터 바로 시작할 수 있는 30-60-90 실행 계획.
Cremit Research 작성. 신용카드, 영업 통화 필요 없습니다.
플레이북 구성
벤더 브로셔가 아닌, 실무자를 위한 현장 레퍼런스입니다.
NHI Kill Chain
보안팀이 이름을 댈 수 있어야 할 9가지 패턴입니다. Ghost, Shadow, Aged, Over-shared, Zombie, Drifted, Public, Unattributed, 그리고 이 모두를 묶는 메타 패턴. 각 패턴마다 탐지 시그널과 다음 리뷰에서 던질 질문을 담았습니다.
심각도 지표
CVSS로 측정할 수 없는 자격증명 노출을 평가하는 6축 프레임워크입니다. 3년간 노출된 Slack Bot Token, 2년간 방치된 Asana Admin API Key 같은 실제 사례에 끝까지 적용해 바로 사용할 수 있습니다.
ISMS-P 크로스워크
한국 엔터프라이즈 독자를 위해 Kill Chain을 강화 인증기준에 매핑하고, 2027년 의무화 타임라인, 2026년에 준비할 항목까지 정리했습니다.
목차
5개 파트, 18페이지, 불필요한 내용 없이.
스프롤과 45:1 비율
비인간 아이덴티티가 직원 수를 45배로 넘어선 지금, 반대 상황에 맞춰진 기존 보안 프로그램이 왜 핵심을 놓치는지 짚습니다.
NHI Kill Chain
9가지 실패 패턴과 탐지 시그널, 실제 사례, 다음 보안 리뷰에 가져갈 질문을 담았습니다.
심각도 지표
자격증명 노출 평가용 6축 스코어링 모델과 Slack Bot Token, Asana Admin Key 적용 사례입니다.
ISMS-P 크로스워크
한국 컴플라이언스 매핑: 강화 인증기준, 2027 의무화 타임라인, 2026 준비 체크리스트.
30-60-90 플랜
비인간 아이덴티티 인벤토리 구축, 소유권 지정, 로테이션, 거버넌스까지 분기별 실행 플레이북.
공개된 리서치를 바탕으로
- 월 약 1만 2천 명이 읽는 NHI Kill Chain 9부작 블로그 시리즈에서 인용됩니다.
- Cremit Research의 2025-2026 현장 분석을 집약했습니다.
- 한국 보안 커뮤니티 논의에서 인용된 방법론이 포함됩니다.