SQL 인젝션 탐지, 액티브 디렉터리 ACL 남용 분석, 골든티켓 공격 사냥, 멀웨어 리버스 엔지니어링 — 노련한 보안 엔지니어가 십 년 동안 손에 익혀야 할 754가지 절차를 AI 에이전트가 바로 읽고 따라 할 수 있는 형식(SKILL.md)으로 한 곳에 모은 오픈소스 카탈로그. Claude Code·Cursor·Codex·Copilot 등 26개 이상의 AI 코딩 도구가 그대로 가져다 쓸 수 있다.
회사 보안팀에 신입이 들어오면 보통 "이런 상황이면 이렇게 해라"는 절차 문서를 한 보따리 안긴다. 이 레포는 그 절차서를 754개 모아 놓고, 사람이 아니라 AI 에이전트(Claude Code 같은)에게 그대로 읽혀서 시키게 만든 것. 한 스킬마다 SKILL.md(언제·왜·어떻게) + 동작하는 파이썬 스크립트 + 표준 참조표 + 보고서 템플릿이 한 세트로 들어 있다.
스타 0개의 레포가 TrendShift Daily 9위에 오른 이유는 "보안 + Agent Skills" 카테고리에서 양이 가장 많다는 단순 사실 때문이다. 754개는 동종 레포(mvanhorn/last30days-skill·Yuan1z0825/nature-skills 같은) 대비 한 자릿수 큰 규모다.
스킬·SKILL.md·Agent Skill — 처음 보는 말부터 정리하고 시작
이 레포는 코드를 실행하는 도구가 아니라, AI에게 "이렇게 해라"고 알려주는 문서 뭉치다. 그런데 흔한 매뉴얼 PDF가 아니라 정해진 형식(SKILL.md)으로 적혀 있어서, Claude Code 같은 AI 코딩 도구가 자동으로 "지금 이 일에는 이 스킬을 쓰면 되겠다"고 골라 쓸 수 있다.
skills/{이름}/SKILL.md 폴더 한 개가 한 스킬이고, 그 안에 "이 스킬은 언제 쓰는지·어떤 도구가 필요한지·어떤 절차로 실행하는지"를 사람도 AI도 읽을 수 있게 적어 둔 마크다운 파일. AI는 사용자가 보낸 메시지를 보고 description 필드를 훑어 "지금 이 스킬을 끌어와야겠다"고 스스로 판단한다.요리책으로 비유하면 — 보통의 요리책은 사람이 보고 따라 한다. Agent Skill 책은 "요리사 로봇이 자기 손으로 찾아서 펼치고 따라 할 수 있도록" 만든 책이다. "오늘 카르보나라 만들어 줘"라고 하면 로봇이 알아서 "이건 파스타 섹션의 카르보나라 페이지구나" 골라서 펼친다. SKILL.md 첫줄의 description이 바로 그 "골라 펼치는 단서"다.
이 레포는 그런 요리책 754권을 "보안 분야" 한 가지 주제로 모아 둔 도서관. 카르보나라 대신 "SQL 인젝션 뚫기", "골든티켓 공격 잡기", "도커 컨테이너 포렌식하기" 같은 메뉴가 들어 있다.
단어 한 개를 뺐을 때 의미가 깨지는 가장 짧은 설명
이 레포는 "AI 코딩 에이전트(Claude Code·Cursor·Copilot 등)에게 사이버 보안 754가지 절차를 한꺼번에 가르치는 표준 형식의 오픈 데이터베이스"다.
한 글자라도 빼면 의미가 깨진다.
이 한 줄을 Claude Code에 던지면, Claude가 skills/analyzing-active-directory-acl-abuse/SKILL.md를 자동으로 로드한다. SKILL.md 안에는 "ldap3 라이브러리로 DC에 붙어서 nTSecurityDescriptor 읽고, GenericAll(0x10000000)·WriteDACL(0x00040000) 같은 위험한 비트마스크가 켜진 ACE를 찾고, 도메인 어드민이 아닌 사용자가 가지고 있으면 보고서로 출력해라"는 7단계 절차가 적혀 있다.
같은 폴더의 scripts/agent.py는 그 절차를 이미 코드로 구현해 둔 ~250줄짜리 파이썬 스크립트. Claude는 SKILL.md를 읽고 이 스크립트를 그대로 실행하거나, 필요한 부분만 수정해서 쓸 수 있다.
스타 0개의 신생 레포가 트렌딩에 오른 진짜 이유
이 레포는 2026년 5월 26일 시점 스타 0개·포크 0개이지만, v1.0.0(3/11)·v1.1.0(3/21)·v1.2.0(4/6) 등 여러 버전이 출시된 레포다. 그런데도 TrendShift Daily 9위에 올랐다. 이유는 세 가지가 겹쳤기 때문이다.
2025년 가을 Anthropic의 Agent Skills 공식 발표 후, 2026년 봄 트렌딩 상위 60%가 SKILL.md 관련 레포다(트렌드 분석 결과: anthropics/skills 117k stars, multica-ai/andrej-karpathy-skills, MiniMax-AI/skills, slavingia/skills, mattpocock/skills 등). 보안 도메인은 아직 빈자리가 컸다 — 이 레포가 채웠다.
비슷한 부류 레포의 스킬 수를 보면:
| 레포 | 스킬 수 | 도메인 |
|---|---|---|
| anthropics/skills | 17개 | 일반(docx·pdf·pptx 등) |
| Yuan1z0825/nature-skills | 9개 | 학술 논문 |
| multica-ai/andrej-karpathy-skills | 1개(CLAUDE.md) | 코딩 일반 |
| Imbad0202/academic-research-skills | 4개 | 학술 연구 |
| mukul975/Anthropic-Cybersecurity-Skills | 754개 | 사이버보안 전체 |
한 도메인을 정말로 "통째로" 덮은 첫 사례다. 보안 직군의 SOC 분석가·펜테스터·DFIR 전문가가 하루에 마주치는 거의 모든 작업이 들어 있다.
모든 스킬의 YAML 머리말에 NIST CSF 2.0 카테고리가 박혀 있다. 예시:
레포 README는 5개 프레임워크 매핑을 내세운다 — MITRE ATT&CK(공격자 행동), NIST CSF 2.0(거버넌스), MITRE ATLAS(AI 시스템 공격), MITRE D3FEND(방어 조치), NIST AI RMF(AI 위험관리). 보안 컴플라이언스를 신경 쓰는 큰 회사라면 "스킬이 어떤 통제 항목에 매핑되는가"가 도입 결정의 핵심이다.
10개짜리 스킬 모음은 사용자가 "내가 필요한 그 스킬이 있나?" 물을 때 50%만 답을 한다. 754개는 "Cobalt Strike beacon 분석"·"Linux ELF 멀웨어 분석"·"Kubernetes 감사 로그 보기"·"이더리움 스마트 컨트랙트 취약점" 같은 좁은 작업까지 거의 다 잡는다. 보안 도메인에서 "특정 도구 X로 작업 Y하기"는 거의 무한히 많지만, 이 레포는 그 long-tail을 의도적으로 쓸어 담았다.
레포 안에 들어있는 모든 기술 요소를 한 번에
이 레포는 "문서 + 스크립트 + 표준"의 세 층으로 이뤄져 있다. 거대한 백엔드 서버나 프론트엔드 앱은 없다. 대신 한 스킬마다 콘텐츠 패키지가 한 묶음으로 들어 있고, 그 패키지의 형식이 표준화되어 있다.
한 스킬의 평균 무게가 약 17 KB. 754 × 17 = 약 13 MB 정도가 콘텐츠 전체 크기다. 그래서 레포에 별 0개·1 커밋이라도 코드 양은 작지 않다.
| 요소 | 형식 | 역할 |
|---|---|---|
| YAML frontmatter | YAML 1.2 | name·description·tags·nist_csf 같은 메타 데이터. AI가 "이 스킬을 지금 쓸지" 판단할 때 이 부분만 읽는다(Progressive Disclosure). |
| 마크다운 본문 | CommonMark | When to Use / Prerequisites / Workflow / Key Concepts / Tools / Common Scenarios / Output Format. 사람이 읽어도 AI가 읽어도 이해되는 구조. |
| 코드 펜스 | fenced code block | ```bash, ```python, ```spl(Splunk), ```kql(KQL), ```cypher(BloodHound), ```powershell까지 — AI가 SIEM 쿼리·EDR 쿼리·LDAP 검색을 그대로 실행할 수 있도록. |
| JSON 출력 명세 | JSON Schema(약식) | Output Format 섹션이 결과물 JSON 모양을 미리 보여 줘서 AI가 일관된 형식으로 결과를 만들도록 강제. |
모든 scripts/agent.py는 순수 파이썬으로 작성. 의존성도 표준 라이브러리 + 한두 개 핵심 패키지만 쓴다.
| 스킬 분야 | 주 의존 패키지 | 예시 스킬 |
|---|---|---|
| Active Directory | ldap3, impacket | analyzing-active-directory-acl-abuse / detecting-golden-ticket-attacks |
| 웹 펜테스트 | requests, sqlmap CLI 호출 | exploiting-sql-injection-with-sqlmap / testing-for-xss |
| 네트워크 스캔 | scapy, nmap 서브프로세스 | scanning-network-with-nmap-advanced |
| 메모리 포렌식 | volatility3 | analyzing-memory-dumps-with-volatility |
| 클라우드 보안 | boto3(AWS), azure-sdk | analyzing-azure-activity-logs / analyzing-cloud-storage-access-patterns |
| 컨테이너 보안 | docker, kubernetes SDK | analyzing-docker-container-forensics / analyzing-kubernetes-audit-logs |
| 위협 인텔 | requests + STIX/TAXII 파서 | analyzing-apt-group-with-mitre-navigator |
| SIEM 통합 | Splunk REST API / Sentinel KQL | building-cloud-siem-with-sentinel |
YAML 머리말의 nist_csf·mitre_attack 같은 필드로 외부 표준에 연결된다.
DE.CM-01 = "Continuous Monitoring(지속적 모니터링)" 같이 알파벳 + 숫자 코드로 식별한다.tags: - mitre-t1558-001로 매핑.SKILL.md가 agentskills.io 표준을 따르므로, 다음 도구들이 별도 변환 없이 그대로 로드할 수 있다.
한 스킬을 한 번 작성하면 위 도구 어디서나 동작 — 이게 agentskills.io 표준의 핵심 가치다.
한 스킬이 AI에 의해 호출되는 전체 흐름
Agent Skills 표준의 핵심 설계 패턴. AI 에이전트의 컨텍스트(읽을 수 있는 토큰 수)는 한정돼 있다. 754개 스킬을 전부 읽으면 그것만으로 100만 토큰을 넘긴다 — 의미가 없다. 그래서 표준은 3단계로 점진적으로 정보를 노출한다.
이 3단계 구조 덕분에 AI는 평소엔 가벼운 메타데이터만 들고 있다가, 실제 작업에 들어가면 그 스킬의 디테일만 한꺼번에 펼친다. 도서관 사서가 책 제목만 외워두다가, 손님이 책을 찾으면 그제서야 펼치는 것과 같다.
한 스킬의 SKILL.md는 다음 8개 섹션을 거의 똑같이 갖는다. AI가 어떤 스킬을 골라 와도 같은 위치에서 같은 종류의 정보를 찾을 수 있다.
| 섹션 | 역할 | 예시(sqlmap 스킬) |
|---|---|---|
| ① YAML frontmatter | 메타 데이터 | tags: [penetration-testing, sql-injection, owasp] |
| ② When to Use | 발동 조건 | "권한 받은 펜테스트 중 / 매뉴얼 테스트가 SQLi 의심 / CTF 도전 중" |
| ③ Prerequisites | 필요한 도구·권한 | pip install sqlmap / 펜테스트 동의서 / Burp Suite |
| ④ Workflow | 7단계 절차 | 1) 인젝션 포인트 찾기 → 2) 기본 스캔 → ... → 7) 보고서 정리 |
| ⑤ Key Concepts | 용어 정리표 | Union-based / Blind / Stacked / Out-of-band SQLi 비교 |
| ⑥ Tools & Systems | 대안 도구 | sqlmap · Burp Pro · OWASP ZAP · Havij · jSQL |
| ⑦ Common Scenarios | 실전 4시나리오 | 전자상거래 / 로그인 폼 / WAF 보호된 검색 / 쿠키 블라인드 |
| ⑧ Output Format | 결과 JSON 모양 | Vulnerability · Severity · Impact · Evidence · Recommendation |
754개 스킬이 전부 SKILL.md + references/ + scripts/ + assets/ 같은 폴더 구조를 따른다. AI는 "다음에 또 어떤 보안 스킬이 오든 똑같은 자리에서 똑같은 종류의 정보를 찾을 수 있다"는 보장을 받는다.
SKILL.md 첫 200자 안에 description이 있다. AI가 어떤 스킬을 쓸지 결정할 때 본문 끝까지 안 봐도 된다. 보안 도메인에서 중요한 "이 스킬은 어떤 MITRE 기법에 매핑되나"도 YAML 첫 부분에 박혀 있다.
SKILL.md의 Workflow 섹션에 들어있는 ```bash 블록은 그대로 복사해서 터미널에 붙여 넣어도 동작한다. scripts/agent.py도 SKILL.md의 절차를 1:1로 코드화한 거라 SKILL.md만 봐도 무엇이 일어나는지 알 수 있다.
위협 헌팅 스킬은 Splunk SPL·Microsoft Sentinel KQL·BloodHound Cypher 쿼리를 본문에 그대로 박아 둔다. AI가 어떤 SIEM 환경에 가도 적절한 언어로 출력할 수 있게 미리 학습 자료로 준 셈.
YAML 머리말의 nist_csf: [DE.CM-01, DE.AE-02] 같은 라벨이 보안 컴플라이언스 감사에 직접 답이 된다. "이 통제 항목을 어떻게 충족하나요?" 물으면 "이 스킬들이 매핑됩니다"로 답할 수 있다. 보안 거버넌스의 핵심.
레포 안의 모든 파일과 폴더의 역할
레포 루트에는 README.md·LICENSE·CONTRIBUTING.md·ATTACK_COVERAGE.md·index.json 등 여러 파일과 assets/·mappings/·tools/·skills/ 폴더가 있다. 모든 가치는 skills/ 폴더 안에 754개로 분기된다.
| 경로 | 내용 | 크기 | 필수? |
|---|---|---|---|
SKILL.md | YAML frontmatter + 8섹션 마크다운 | ~4 KB | ✅ 필수 |
references/api-reference.md | 표준 번호·CVE·코드 패턴 사전 | ~3 KB | ⭐ 권장 |
scripts/agent.py | 실제로 돌아가는 파이썬 구현 | ~10 KB | ⭐ 권장 |
assets/template.md | 채워 넣는 형식의 보고서 템플릿 | ~1 KB | 옵션 |
LICENSE | Apache-2.0 텍스트 | 11 KB | 각 스킬에 동봉 |
754개 스킬 이름의 앞부분을 집계해 보면 분명한 패턴이 보인다.
| 동사 접두사 | 개수 | 의미 | 예시 |
|---|---|---|---|
performing- | 172개 | "~수행하기" | performing-active-directory-bloodhound-analysis |
implementing- | 167개 | "~구현하기" | implementing-siem-correlation-rules-for-apt |
detecting- | 87개 | "~탐지하기" | detecting-mimikatz-execution-patterns |
analyzing- | 76개 | "~분석하기" | analyzing-cobalt-strike-beacon-configuration |
building- | 34개 | "~구축하기" | building-red-team-c2-infrastructure-with-havoc |
hunting- | 34개 | "~사냥하기" | hunting-for-living-off-the-land-binaries |
exploiting- | 32개 | "~익스플로잇하기" | exploiting-sql-injection-with-sqlmap |
testing- | 22개 | "~테스트하기" | testing-for-xss-vulnerabilities-with-burpsuite |
스킬 이름이 곧 "어떤 행동을 하는 스킬인가"의 답이 되도록 하기 위해서. 사용자가 "골든 티켓 탐지하고 싶다"고 하면 Claude가 detecting- 접두사 스킬 중에서 매칭을 시도한다. detecting-golden-ticket-attacks-in-kerberos-logs가 정확히 그것. 이름만 보고 무엇을 하는지 100% 알 수 있게 짜야 AI가 잘못 고르지 않는다.
기술별로 분리한 학습 가치 + 바로 해볼 수 있는 실습 아이디어
SKILL.md를 한 번 작성해 보고 싶다면 anthropics/skills의 4개 예제(docx·pdf·pptx·xlsx)만 봐서는 양이 부족하다. 이 레포는 754개의 진짜 SKILL.md 사례를 제공한다. 8 섹션 구성·YAML 필드 활용·Output Format 명세까지 정형화된 패턴을 익히기에 최적.
본인 도메인(예: 데이터 분석·웹 개발·DevOps)에서 자주 하는 작업 10개를 골라 이 레포의 SKILL.md 형식을 따라 적어 본다. name/description/When to Use/Workflow까지 채우면 자기 Claude Code에 바로 박을 수 있다.
"내가 만든 보안 도구가 어떤 통제 항목과 맞아떨어지나?" — 이 질문은 보안 컴플라이언스 감사 때 무조건 나온다. 이 레포는 모든 스킬에 nist_csf, MITRE ATT&CK tags를 박아 두었다. 한 스킬을 골라 그 매핑을 거꾸로 따라가 보면 NIST CSF 2.0의 6 함수(GV·ID·PR·DE·RS·RC) 구조와 ATT&CK 15 전술의 위계를 자연스럽게 익히게 된다.
detecting-golden-ticket-attacks-in-kerberos-logs/SKILL.md를 펼치고 nist_csf: [DE.CM-01, DE.AE-02, DE.AE-07, ID.RA-05]를 본다. 각 코드를 NIST CSF 2.0 공식 문서에서 찾아 무슨 의미인지 정리. 그러면 한 스킬이 NIST 통제 4개를 동시에 만족시키는 구조가 보인다.
analyzing-active-directory-acl-abuse/scripts/agent.py는 250줄 정도로 BloodHound가 하는 일의 한 단면을 직접 구현한다. ldap3 라이브러리로 LDAP 검색 → nTSecurityDescriptor 바이너리 파싱 → SDDL 형식으로 변환 → DACL의 ACE 하나하나 검사 → 위험한 비트마스크 매칭 → SID 해석 → 공격 경로 매핑 → JSON 보고서 출력. AD 보안을 코드 레벨로 처음 배우는 사람에게 완벽한 입문서.
(A;;GA;;;S-1-5-21-xxx-512)는 "S-1-5-21-xxx-512 SID에게 Generic All(GA) 권한을 허용(A)"이라는 뜻. AD 권한 분석의 알파벳.골든티켓 탐지 스킬 한 개만 봐도 Splunk SPL + Microsoft Sentinel KQL 두 가지 SIEM 쿼리가 모두 들어 있다. 다른 위협 헌팅 스킬도 Splunk/KQL/Elastic Query DSL을 병행 제공. 실무에서 어떤 SIEM 환경에 가도 대응할 수 있게 한 번에 익힐 수 있다.
detecting-golden-ticket-attacks-in-kerberos-logs/SKILL.md의 SPL 쿼리와 KQL 쿼리를 나란히 놓고 "같은 의도가 어떻게 다른 문법으로 표현되는지" 표로 만들어 본다. Elastic ECS에도 같은 룰을 작성해 보면 SIEM 추상화 능력이 확 커진다.
34개 멀웨어/포렌식 스킬(analyzing-bootkit-and-rootkit-samples·analyzing-cobalt-strike-beacon-configuration·analyzing-linux-elf-malware·analyzing-golang-malware-with-ghidra 등)에서 Ghidra·radare2·Volatility·YARA·dynamic sandbox 같은 도구 사슬을 한 줄에 꿴 워크플로를 만난다. 각 도구가 분석 단계의 어느 자리에 들어가는지 자연스럽게 학습.
analyzing-apt-group-with-mitre-navigator·analyzing-threat-actor-ttps-with-mitre-attack·analyzing-threat-actor-ttps-with-mitre-navigator 같은 스킬은 위협 인텔리전스 리포트에서 TTP(전술·기법·절차)를 뽑아 MITRE ATT&CK Navigator JSON으로 출력하는 절차를 명세한다. 인텔 분석가 사고법을 코드로 본다.
AWS·Azure·GCP·Kubernetes 각각의 보안 로그 분석 스킬이 들어 있다 — analyzing-azure-activity-logs-for-threats·analyzing-aws-cloudtrail-for-attacks·analyzing-kubernetes-audit-logs·analyzing-cloud-storage-access-patterns. 한 사이트로 클라우드 보안의 전체 지형을 둘러볼 수 있다.
레포 자체는 가볍지만, 각 스킬 실행에는 별도 환경이 필요
이 레포는 "문서 + 스크립트"만 들어 있으므로 클론하는 데 100 MB 미만이면 충분하다. 단, 각 스킬을 실제로 돌리려면 도구별로 환경이 필요하다.
| 분야 | 필요 도구 | 비고 |
|---|---|---|
| AD 보안 | Domain Controller 접속 권한, ldap3, BloodHound CE | 실습은 GOAD(Game of Active Directory) 가상랩 권장 |
| 웹 펜테스트 | Burp Suite Community, sqlmap, OWASP ZAP | 타깃은 OWASP Juice Shop · DVWA |
| 네트워크 | nmap, Wireshark, scapy | Kali Linux VM 권장 |
| 메모리 포렌식 | Volatility 3, MemProcFS | RAM 16 GB+ (대용량 덤프 처리) |
| 멀웨어 분석 | Ghidra, radare2, REMnux, FLARE VM | 샌드박스 격리 환경 필수 |
| 클라우드 | AWS/Azure/GCP 계정, ScoutSuite, Prowler | $10/월 정도 비용 발생 |
| 컨테이너 | Docker, kubectl, Falco, Trivy | 로컬 Minikube로 시작 |
| SIEM | Splunk Free / Sentinel Azure / Wazuh 셀프호스팅 | Wazuh + ELK가 가장 저렴 |
SQL 인젝션·BloodHound·Mimikatz·Cobalt Strike 같은 스킬은 모두 권한이 있는 환경(서면 동의가 있는 펜테스트 계약·CTF·자신의 가상랩)에서만 사용해야 한다. 한국 정보통신망법 제48조·미국 CFAA·EU GDPR Article 32가 적용된다. 모르는 시스템에 함부로 실행하면 형사 처벌 대상이다. 모든 SKILL.md의 Prerequisites에 "Authorization / Rules of Engagement 서명"이 첫 항목으로 박혀 있는 이유.
난이도별로 5개 — ★(쉬움) ~ ★★★★★(어려움)
exploiting-sql-injection-with-sqlmap/SKILL.md 한 파일을 GitHub 웹에서 펼친다.~/.claude/skills/my-task/SKILL.md 위치에 저장하고 Claude Code 재시작.pip install ldap3으로 의존성 설치.analyzing-active-directory-acl-abuse/scripts/agent.py를 GOAD의 DC IP에 대고 실행:
detecting-mimikatz-execution-patterns 스킬을 선택.requests.get + Tree API).python-frontmatter로 파싱해서 JSON 인덱스 생성.text-embedding-3-small 같은 임베딩으로 description 벡터화.nist_csf·mitre_attack·domain으로 메타 필터 추가.8주 동안 이 레포를 발판으로 보안 + AI Agent 양쪽 다 익히기
analyzing-active-directory-acl-abuse의 agent.py 한 줄 한 줄 분석exploiting-sql-injection-with-sqlmap 워크플로 7단계 전부 실행이 레포 / 보안 도메인 / Agent Skills 표준을 가로지르는 용어 25개
| 용어 | 뜻 |
|---|---|
SKILL.md | Agent Skills 표준의 단일 파일 형식. YAML frontmatter + 마크다운 본문. |
agentskills.io | SKILL.md 표준을 정한 공개 규약 사이트. |
| Progressive Disclosure | "필요할 때 필요한 만큼만 보여 준다"는 컨텍스트 절약 패턴. |
| YAML frontmatter | 마크다운 파일 맨 앞 ---로 감싼 메타데이터 영역. |
| NIST CSF 2.0 | 미국 NIST 사이버보안 프레임워크 2.0 — GV/ID/PR/DE/RS/RC 6 함수. |
| MITRE ATT&CK | 공격자 행동(전술·기법) 분류 사전. T1234 같은 코드로 식별. |
| MITRE ATLAS | AI/ML 시스템 공격 분류 — AML.T0051(프롬프트 인젝션) 같은 코드. |
| MITRE D3FEND | 방어 조치 분류. ATT&CK의 짝. |
| NIST AI RMF | NIST AI 위험 관리 프레임워크. AI 시스템 거버넌스 표준. |
| BloodHound | AD 공격 경로 시각화 도구. Cypher 쿼리로 권한 흐름 추적. |
| Golden Ticket | KRBTGT 계정 해시로 위조한 Kerberos TGT. 도메인 영구 장악. |
| DCSync | 도메인 컨트롤러로 위장해 다른 DC에서 비밀번호 해시 받아오기. |
| Kerberoasting | SPN 있는 서비스 계정의 TGS를 받아 비밀번호 오프라인 크랙. |
| SDDL | Windows 보안 설명자(security descriptor) 사람 읽기용 형식. |
| DACL / ACE | Discretionary ACL / Access Control Entry — Windows 권한 자료구조. |
| GenericAll | AD 객체에 전체 제어권을 주는 위험 권한(0x10000000). |
| SIEM | Security Information & Event Management — 보안 로그 분석 플랫폼. |
| SOC | Security Operations Center — 보안 운영 센터(24/7 모니터링). |
| DFIR | Digital Forensics & Incident Response — 디지털 포렌식 + 사고 대응. |
| SPL | Splunk Processing Language — Splunk SIEM의 쿼리 언어. |
| KQL | Kusto Query Language — Microsoft Sentinel/Defender의 쿼리 언어. |
| Sigma | SIEM 룰의 벤더 중립 YAML 표준. SPL/KQL/Elastic으로 변환 가능. |
| STIX / TAXII | 위협 인텔리전스 데이터 교환 표준 형식(STIX) + 전송 프로토콜(TAXII). |
| IoC | Indicator of Compromise — 침해 지표(IP·해시·도메인 등). |
| TTP | Tactics, Techniques, Procedures — 공격자 행동 묘사 단위. |
이 레포 + 주변 생태계를 한 번에