로딩 중...
안녕하세요, 저는
디지털 포렌식 조사관 · 소프트웨어 엔지니어 · 사이버 보안 연구원
2018년부터 개발자로 활동 — 12개 이상의 애플리케이션을 구축하고 대규모 개발 프로젝트와 매우 민감한 정부 프로젝트에 참여했습니다.
악성코드 분석, 백도어 탐지, 메모리 분석, C2 데이터 추출, 사기 사이트 폐쇄.
Epic Games, Snapchat, Discord, Meta, TikTok 등 주요 플랫폼의 취약점 발견과 문서화된 CVE 확보.
GhostByte 팀 창립자 — HackWave25 CTF 1위, BlackHat 참가 등.
로우레벨에서 풀스택까지 — 배우고, 적용하고, 반복하라
네이티브 언어와의 여정이 여기서 시작되었습니다. C, C++, 어셈블리, 바이너리, C#을 배웠습니다. 이 단계가 진정한 기초였고, 이를 통해 프로그래밍 언어의 핵심 논리를 익혔습니다.
핵심은 C 언어가 이후 대부분의 언어가 어떻게 작동하는지 이해하는 데 도움을 주었다는 점입니다. 이 언어들을 배운 뒤에는 다른 언어도 쉽게 이어서 배울 수 있었습니다.
2020년에는 온통 게임과 게으름에 빠져 있었습니다. 코로나가 퍼지면서 축구, 헬스장, 외출과 어울림 등 모든 것을 막았습니다. 모든 활동이 멈췄습니다.
하지만 이 해는 제게 각성의 해였습니다. 다시 집중하고 시간을 낭비하지 말아야 한다는 것을 깨달았습니다. 그 깨달음이 2021년에 강하게 돌아오게 만들었습니다.
꾸준히 공부한 지 단 5개월 만에 PHP 학습을 끝냈습니다. 대규모 프로젝트에 큰 도움이 되어 좋았습니다 — 학교와 정부 기관용 대시보드 구축, 텔레그램 봇과 보호 봇 개발, 정부 웹사이트 제작에 HTML, CSS 같은 구조 언어를 함께 사용했습니다.
PHP 완료 기념 게시물FiveM을 위해 Python과 Lua를, 같은 방식이라 Dart를 배웠습니다. Python은 사이버 도구 제작, 도구를 통한 수익 창출, API 개발, 온갖 웹사이트와 API 처리, 취약점 스캐너 및 요청 전송·분석 도구 제작에 가장 큰 도움이 된 언어였습니다. 첫 교육용 악성코드도 이 언어로 만들었습니다.
Dart + Flutter — 당시 취업 시장이 앱 개발자를 필요로 해서 배웠습니다. AI의 도움으로 Flutter 프레임워크와 함께 Dart를 배우는 간단한 로드맵을 세웠습니다. 최고의 선택이었습니다 — 하나의 앱을 안드로이드와 아이폰에서 동시에 실행하도록 개발한다는 것은 멋진 일입니다. 전문적인 장점은 거의 네이티브에 가까운 처리와, 외부 라이브러리·서비스에 약 77% 의존하는 Expo React Native와 달리 제3자에 의존하지 않고 완전한 앱을 만들 수 있다는 점입니다.
Rust, Go, JavaScript를 배우기 시작했습니다. Rust는 조금 게을리하고, 프로젝트에 더 필요했던 Go와 JS에 집중했습니다. 12개월 동안 지속해 이를 익히고 실제 대규모 프로젝트에 사용하는 데 성공했습니다.
PHP Backend API + Go + JavaScript + HTML + CSS
Rust를 진지하게 다시 배우기 시작했습니다. 프론트엔드를 익힌 뒤 백엔드로 들어갔습니다. 가장 힘든 경험 중 하나였습니다 — 언어가 다소 복잡하고 컴파일러가 매우 엄격하며, Cargo와 디버깅을 다루는 것이 제게는 가장 성가신 일이었습니다. 하지만 다행히 2024년에 끝냈습니다.
2024년 2월 백악관 국가사이버국(ONCD)이 개발자들에게 메모리 안전 언어, 그중에서도 Rust 채택을 공식 권고한 뒤 이에 대한 열정이 커졌습니다. 특히 Discord 같은 대규모 프로젝트에 사용된다는 것을 알게 된 후 더욱 그랬습니다.
UDP Flooding Tool — 2024년 9월 13일통신 회사와 협력하여 3개의 앱을 구축하고 API 아키텍처를 안전하고 전문적으로 설계했습니다. AI는 보안 취약점과 작업 품질을 분석·개선하는 데 큰 역할을 했습니다.
언급하지 않은 부수 프로젝트도 많은데, 앞서 소개한 대규모 프로젝트 수준은 아니기 때문입니다. 이 모든 프로젝트와 경험 덕분에 어떤 개발 환경도 쉽게 다루고, 언어의 논리를 읽고 작동 방식을 파악해 새로운 언어도 이해할 수 있게 되었습니다.
프로그래밍은 암기가 아닙니다.
배우기 → 적용 → 반복
배운 것을 적용할수록 프로그래밍은 훨씬 쉬워집니다. 많은 사람들이 프로그래밍은 모든 코드를 외우는 것이라 생각하지만 이는 잘못된 생각입니다. 기초를 이해하는 것에서 시작해 실제 프로젝트를 만들고, 특정 라이브러리나 함수를 잊어버리면 문서를 찾아 사용법을 익힙니다. 이 과정을 반복하다 보면 자연스럽게 작업 방식을 익히게 됩니다.
제가 직접 만든 말입니다 — 디지털 포렌식에서 하드웨어를 공부하며 둘의 차이를 알게 된 데서 영감을 얻었습니다.
큰 성공을 거둔 파일 호스팅 사이트 — 하루 방문 23만 회, 업로드 604개. 부하로 인해 종료되었지만 트래픽과 요청이 많은 사이트 운영에 대한 큰 경험을 얻었습니다.
사기꾼으로부터 Discord 서버를 보호하는 시스템 — 서버를 도난과 파괴로부터 지키는 알림 봇, 사이트 tnbeh.com 포함.
HTTP 요청을 테스트하는 크롬 확장 프로그램 — 취약점 연구자가 API와 SQLi, XSS 같은 결함을 테스트하는 오프라인 도구. 무료로 공개되었습니다.
악성코드를 분석·복호화하고 보고서를 게시하는 플랫폼 — 보안 연구자 전용.
대규모 프로젝트 — 플랫폼을 업데이트하고 개선하는 개발자로 참여했습니다.
FiveM 스크립트를 위한 독립형 보호 시스템 — 파일과 코드를 도난 및 변조로부터 보호합니다.
데이터를 추출하고 사용자를 손쉽게 검색하는 텔레그램 OSINT 봇.
Rust로 작성된 네트워크 부하 테스트 도구 — 연구 및 교육 목적.
정부 대시보드와 API를 설계하고 보호 시스템을 구축 — 개인정보 보호를 위해 공개할 수 없습니다.
개인정보 보호로 공개할 수 없는 추가 프로젝트
BugCrowd 플랫폼의 Discord 버그 헌터 중
P1 등급 취약점 — 최고 위험 수준
여러 국가의 정부 사이트에서 민감한 취약점을 발견하고 공식 감사장을 받음
Bdtask Multi-Store Inventory Management System의 크로스사이트 스크립팅 취약점 — 카테고리와 브랜드 이름을 통한 악성 스크립트 주입.
WordPress용 ARMember 플러그인의 취약점 — 구독자 이상 권한으로 파일 업로드 및 보안 제한 우회.
SourceCodester Best House Rental Management System 1.0의 취약점 — admin_class.php의 사용자 이름 파라미터를 통한 SQL 인젝션.
CEO & Founder
이 성과는 전적으로 팀의 노력이었습니다. 저는 개인으로 참여하지 않았지만 팀원들이 훌륭하게 해냈습니다. 챌린지 시작 몇 시간 만에 1위를 차지했습니다 — Saad, ./DaLToN 그리고 나머지 팀원들에게 특별히 감사합니다.
게시물 보기
메모리 분석과 악성코드 패턴 인식을 통해 고급 백도어를 탐지·분석합니다. 우회 기법을 시연하는 교육용 도구를 제작하고 이를 신고합니다.
Avast 등 주요 백신 소프트웨어 우회 방법을 시연하는 교육용 EXE 파일 제작 — 공식 신고 및 우회 인정 포함.
음성 변조 도구를 제공한다고 주장하며 Discord 사용자를 속이는 가짜 사이트 분석 — C2 데이터를 추출하고 호스팅 업체에 연락해 폐쇄.
음성 채팅 앱 Lobby의 심각한 취약점 발견 — 반복되는 결함을 회사에 신고했고 보안 및 재정 문제로 앱이 완전히 폐쇄되었습니다.
CEH
CEH v12
CHFI
CND
CPENT
DFE
EHE
프로젝트나 아이디어가 있나요? 양식을 작성하면 요청이 저에게 바로 전달됩니다.