• creamlit 김동현
• Beyond and back to basic security
• 처음에는 연사자가 Offensive Security를 공부가 재밌었다고 함.
  • 어느 순간에 일을 하다보니 → 취약점 기법들이 잇는데 업무에 활용한 scope는 좁음
  • AI, 클라우드, 기본기에 가깝게 진행
• 1차 연사자 : 김동현 (크리밋 CEO)
  • Security Enginger → OWASP 인증, 취약점, 클라우드 보안
  • DevSecOps, 접근제어 솔루션, 인프라 관리
  • 클라우드, DevSecOps 문화
  • OWASP 서울 챕터 리더

Non-Human Identity vs Human Identity

Human identity

• 과거 - id, pw를 신원증명으로 씀
• 지금은 foundational한 integration가 이루어짐
• 인사db 연동, Single Sign on
  • 구글 로그인, 옵타 로그인 → 권한 부여
• publisher 입장의 verification 제공 → 사용성과 보안성 높이기
• 고급 integration - conditional access - 와이파이 비번x 특정 클라우드 서비스 로그인 못하게 하거나, 해외 로그인 시 다른 정책 관리.
• security tool integration - 사람인증 → 스코어화하여 로그인 막고 허용하는 지속적 검증을 함
  • 예) end point detection
    • 이와 같은 방법으로 Zerotrust 실현!
• 인원에 따른 변화, 중앙화된 관리(인사db), 사람이 곧 접근되는 맥락, 인사팀/보안팀/it팀 생성됨

Non Human identity

• API KEY, 토큰, 시크릿 정보
• SaaS에서 메시지 자동으로 보낼때 사용하는 토큰값,
• 시크릿 값
• 툴 연동할때 키가 많음 → 워크로드 구분