TRENDSHIFT DAILY #9 · 2026.05.26 · MUKUL975

Anthropic-Cybersecurity-Skills
754개 보안 스킬을 AI 에이전트에 박아 넣는 오픈 데이터베이스

SQL 인젝션 탐지, 액티브 디렉터리 ACL 남용 분석, 골든티켓 공격 사냥, 멀웨어 리버스 엔지니어링 — 노련한 보안 엔지니어가 십 년 동안 손에 익혀야 할 754가지 절차를 AI 에이전트가 바로 읽고 따라 할 수 있는 형식(SKILL.md)으로 한 곳에 모은 오픈소스 카탈로그. Claude Code·Cursor·Codex·Copilot 등 26개 이상의 AI 코딩 도구가 그대로 가져다 쓸 수 있다.

한 줄 요약

"보안 부서 신입에게 시키는 일을 매뉴얼로 정리해서 신입 대신 AI에 건네주는 회사 위키"

회사 보안팀에 신입이 들어오면 보통 "이런 상황이면 이렇게 해라"는 절차 문서를 한 보따리 안긴다. 이 레포는 그 절차서를 754개 모아 놓고, 사람이 아니라 AI 에이전트(Claude Code 같은)에게 그대로 읽혀서 시키게 만든 것. 한 스킬마다 SKILL.md(언제·왜·어떻게) + 동작하는 파이썬 스크립트 + 표준 참조표 + 보고서 템플릿이 한 세트로 들어 있다.

스타 0개의 레포가 TrendShift Daily 9위에 오른 이유는 "보안 + Agent Skills" 카테고리에서 양이 가장 많다는 단순 사실 때문이다. 754개는 동종 레포(mvanhorn/last30days-skill·Yuan1z0825/nature-skills 같은) 대비 한 자릿수 큰 규모다.

0도대체 무엇을 만드는 레포인가

스킬·SKILL.md·Agent Skill — 처음 보는 말부터 정리하고 시작

이 레포는 코드를 실행하는 도구가 아니라, AI에게 "이렇게 해라"고 알려주는 문서 뭉치다. 그런데 흔한 매뉴얼 PDF가 아니라 정해진 형식(SKILL.md)으로 적혀 있어서, Claude Code 같은 AI 코딩 도구가 자동으로 "지금 이 일에는 이 스킬을 쓰면 되겠다"고 골라 쓸 수 있다.

용어 풀이
Agent Skill (에이전트 스킬)
2025년 가을 Anthropic이 발표한 표준. skills/{이름}/SKILL.md 폴더 한 개가 한 스킬이고, 그 안에 "이 스킬은 언제 쓰는지·어떤 도구가 필요한지·어떤 절차로 실행하는지"를 사람도 AI도 읽을 수 있게 적어 둔 마크다운 파일. AI는 사용자가 보낸 메시지를 보고 description 필드를 훑어 "지금 이 스킬을 끌어와야겠다"고 스스로 판단한다.
용어 풀이
agentskills.io 표준
SKILL.md를 어떻게 써야 하는지를 정한 공개 규약. YAML 머리말(name·description·tags·license)과 마크다운 본문(When to Use / Prerequisites / Workflow / Output Format)을 갖춰야 한다. 이 레포의 754개 스킬은 전부 이 표준을 따른다.
초보자용 비유

요리책으로 비유하면 — 보통의 요리책은 사람이 보고 따라 한다. Agent Skill 책은 "요리사 로봇이 자기 손으로 찾아서 펼치고 따라 할 수 있도록" 만든 책이다. "오늘 카르보나라 만들어 줘"라고 하면 로봇이 알아서 "이건 파스타 섹션의 카르보나라 페이지구나" 골라서 펼친다. SKILL.md 첫줄의 description이 바로 그 "골라 펼치는 단서"다.

이 레포는 그런 요리책 754권을 "보안 분야" 한 가지 주제로 모아 둔 도서관. 카르보나라 대신 "SQL 인젝션 뚫기", "골든티켓 공격 잡기", "도커 컨테이너 포렌식하기" 같은 메뉴가 들어 있다.

754개
스킬(SKILL.md) 수
26개
보안 도메인
5개
보안 프레임워크 매핑
26+개
호환되는 AI 도구

1한 줄 요약 — 무엇을 하는 프로젝트인가

단어 한 개를 뺐을 때 의미가 깨지는 가장 짧은 설명

이 레포는 "AI 코딩 에이전트(Claude Code·Cursor·Copilot 등)에게 사이버 보안 754가지 절차를 한꺼번에 가르치는 표준 형식의 오픈 데이터베이스"다.

한 글자라도 빼면 의미가 깨진다.

예시 한 가지로 감 잡기

"우리 회사 액티브 디렉터리에 위험한 권한 있나 검사해 줘"

이 한 줄을 Claude Code에 던지면, Claude가 skills/analyzing-active-directory-acl-abuse/SKILL.md를 자동으로 로드한다. SKILL.md 안에는 "ldap3 라이브러리로 DC에 붙어서 nTSecurityDescriptor 읽고, GenericAll(0x10000000)·WriteDACL(0x00040000) 같은 위험한 비트마스크가 켜진 ACE를 찾고, 도메인 어드민이 아닌 사용자가 가지고 있으면 보고서로 출력해라"는 7단계 절차가 적혀 있다.

같은 폴더의 scripts/agent.py는 그 절차를 이미 코드로 구현해 둔 ~250줄짜리 파이썬 스크립트. Claude는 SKILL.md를 읽고 이 스크립트를 그대로 실행하거나, 필요한 부분만 수정해서 쓸 수 있다.

2왜 지금 주목받는가

스타 0개의 신생 레포가 트렌딩에 오른 진짜 이유

이 레포는 2026년 5월 26일 시점 스타 0개·포크 0개이지만, v1.0.0(3/11)·v1.1.0(3/21)·v1.2.0(4/6) 등 여러 버전이 출시된 레포다. 그런데도 TrendShift Daily 9위에 올랐다. 이유는 세 가지가 겹쳤기 때문이다.

① "Agent Skill" 트렌드가 폭발 중

2025년 가을 Anthropic의 Agent Skills 공식 발표 후, 2026년 봄 트렌딩 상위 60%가 SKILL.md 관련 레포다(트렌드 분석 결과: anthropics/skills 117k stars, multica-ai/andrej-karpathy-skills, MiniMax-AI/skills, slavingia/skills, mattpocock/skills 등). 보안 도메인은 아직 빈자리가 컸다 — 이 레포가 채웠다.

② 양으로 한 자릿수를 이긴다

비슷한 부류 레포의 스킬 수를 보면:

레포스킬 수도메인
anthropics/skills17개일반(docx·pdf·pptx 등)
Yuan1z0825/nature-skills9개학술 논문
multica-ai/andrej-karpathy-skills1개(CLAUDE.md)코딩 일반
Imbad0202/academic-research-skills4개학술 연구
mukul975/Anthropic-Cybersecurity-Skills754개사이버보안 전체

한 도메인을 정말로 "통째로" 덮은 첫 사례다. 보안 직군의 SOC 분석가·펜테스터·DFIR 전문가가 하루에 마주치는 거의 모든 작업이 들어 있다.

③ 5개 보안 프레임워크에 직접 매핑

모든 스킬의 YAML 머리말에 NIST CSF 2.0 카테고리가 박혀 있다. 예시:

--- name: detecting-golden-ticket-attacks-in-kerberos-logs nist_csf: - DE.CM-01 ← Continuous Monitoring - DE.AE-02 ← Anomaly Analysis - DE.AE-07 ← Cyber Threat Intel - ID.RA-05 ← Risk Assessment ---

레포 README는 5개 프레임워크 매핑을 내세운다 — MITRE ATT&CK(공격자 행동), NIST CSF 2.0(거버넌스), MITRE ATLAS(AI 시스템 공격), MITRE D3FEND(방어 조치), NIST AI RMF(AI 위험관리). 보안 컴플라이언스를 신경 쓰는 큰 회사라면 "스킬이 어떤 통제 항목에 매핑되는가"가 도입 결정의 핵심이다.

경쟁 우위
"수가 깊이를 만든다"

10개짜리 스킬 모음은 사용자가 "내가 필요한 그 스킬이 있나?" 물을 때 50%만 답을 한다. 754개는 "Cobalt Strike beacon 분석"·"Linux ELF 멀웨어 분석"·"Kubernetes 감사 로그 보기"·"이더리움 스마트 컨트랙트 취약점" 같은 좁은 작업까지 거의 다 잡는다. 보안 도메인에서 "특정 도구 X로 작업 Y하기"는 거의 무한히 많지만, 이 레포는 그 long-tail을 의도적으로 쓸어 담았다.

3기술 스택 전체 지도

레포 안에 들어있는 모든 기술 요소를 한 번에

이 레포는 "문서 + 스크립트 + 표준"의 세 층으로 이뤄져 있다. 거대한 백엔드 서버나 프론트엔드 앱은 없다. 대신 한 스킬마다 콘텐츠 패키지가 한 묶음으로 들어 있고, 그 패키지의 형식이 표준화되어 있다.

① 콘텐츠 계층 (754개 × 4 파일)

skills/{스킬-이름}/ ├── SKILL.md ← YAML 머리말 + 마크다운 본문 (~4 KB) ├── references/ │ └── api-reference.md ← 코드 예시·표준 번호 (~3 KB) ├── scripts/ │ └── agent.py ← 동작하는 실행 스크립트 (~10 KB) └── (LICENSE)

한 스킬의 평균 무게가 약 17 KB. 754 × 17 = 약 13 MB 정도가 콘텐츠 전체 크기다. 그래서 레포에 별 0개·1 커밋이라도 코드 양은 작지 않다.

② 데이터 형식 표준

요소형식역할
YAML frontmatterYAML 1.2name·description·tags·nist_csf 같은 메타 데이터. AI가 "이 스킬을 지금 쓸지" 판단할 때 이 부분만 읽는다(Progressive Disclosure).
마크다운 본문CommonMarkWhen to Use / Prerequisites / Workflow / Key Concepts / Tools / Common Scenarios / Output Format. 사람이 읽어도 AI가 읽어도 이해되는 구조.
코드 펜스fenced code block```bash, ```python, ```spl(Splunk), ```kql(KQL), ```cypher(BloodHound), ```powershell까지 — AI가 SIEM 쿼리·EDR 쿼리·LDAP 검색을 그대로 실행할 수 있도록.
JSON 출력 명세JSON Schema(약식)Output Format 섹션이 결과물 JSON 모양을 미리 보여 줘서 AI가 일관된 형식으로 결과를 만들도록 강제.

③ 실행 스크립트 계층 (Python 100%)

모든 scripts/agent.py는 순수 파이썬으로 작성. 의존성도 표준 라이브러리 + 한두 개 핵심 패키지만 쓴다.

스킬 분야주 의존 패키지예시 스킬
Active Directoryldap3, impacketanalyzing-active-directory-acl-abuse / detecting-golden-ticket-attacks
웹 펜테스트requests, sqlmap CLI 호출exploiting-sql-injection-with-sqlmap / testing-for-xss
네트워크 스캔scapy, nmap 서브프로세스scanning-network-with-nmap-advanced
메모리 포렌식volatility3analyzing-memory-dumps-with-volatility
클라우드 보안boto3(AWS), azure-sdkanalyzing-azure-activity-logs / analyzing-cloud-storage-access-patterns
컨테이너 보안docker, kubernetes SDKanalyzing-docker-container-forensics / analyzing-kubernetes-audit-logs
위협 인텔requests + STIX/TAXII 파서analyzing-apt-group-with-mitre-navigator
SIEM 통합Splunk REST API / Sentinel KQLbuilding-cloud-siem-with-sentinel

④ 보안 프레임워크 매핑 계층

YAML 머리말의 nist_csf·mitre_attack 같은 필드로 외부 표준에 연결된다.

용어 풀이
NIST CSF 2.0 (NIST Cybersecurity Framework 2.0)
미국 표준기술연구소(NIST)가 만든 사이버보안 통제 분류 체계. GV(거버넌스)·ID(식별)·PR(보호)·DE(탐지)·RS(대응)·RC(복구) 6개 함수와 그 하위 카테고리로 보안 활동을 분류. 정부·금융·의료 업계의 보안 컴플라이언스 기준이다. DE.CM-01 = "Continuous Monitoring(지속적 모니터링)" 같이 알파벳 + 숫자 코드로 식별한다.
용어 풀이
MITRE ATT&CK
MITRE 사가 만든 공격자의 전술·기법 사전. "T1558.001 Golden Ticket"·"T1055 Process Injection" 같이 코드로 식별. 보안 운영의 사실상 표준 어휘. 이 레포의 스킬은 tags: - mitre-t1558-001로 매핑.
용어 풀이
MITRE ATLAS
MITRE의 AI 시스템 전용 공격 분류 체계. "AML.T0051 LLM Prompt Injection"·"AML.T0040 ML Model Theft" 같이 ML/LLM 시스템을 노리는 공격을 정리. 2026년 들어 AI 에이전트 자체가 공격 타깃이 되면서 중요도 폭증.

⑤ 호환 AI 도구 계층 (배포 표면)

SKILL.md가 agentskills.io 표준을 따르므로, 다음 도구들이 별도 변환 없이 그대로 로드할 수 있다.

┌─────────────────────────────────────────────────────────┐ │ 같은 SKILL.md를 읽는 AI 도구들 (26+개) │ ├─────────────────────────────────────────────────────────┤ │ Anthropic 계열 → Claude Code · Claude Desktop │ │ OpenAI 계열 → OpenAI Codex CLI · ChatGPT │ │ IDE 통합 → Cursor · GitHub Copilot · Windsurf │ │ JetBrains AI · Continue · Cline │ │ 터미널 에이전트 → Aider · Roo Code · Amazon Q Developer │ │ Devin · Replit Agent │ │ Google 계열 → Gemini CLI │ │ 기타 → Zed · Trae · OpenCode 등 │ └─────────────────────────────────────────────────────────┘

한 스킬을 한 번 작성하면 위 도구 어디서나 동작 — 이게 agentskills.io 표준의 핵심 가치다.

4아키텍처 심화 분석

한 스킬이 AI에 의해 호출되는 전체 흐름

Progressive Disclosure — "필요한 만큼만 보여 준다"

Agent Skills 표준의 핵심 설계 패턴. AI 에이전트의 컨텍스트(읽을 수 있는 토큰 수)는 한정돼 있다. 754개 스킬을 전부 읽으면 그것만으로 100만 토큰을 넘긴다 — 의미가 없다. 그래서 표준은 3단계로 점진적으로 정보를 노출한다.

┌─────────────────────────────────────────────────────────────────┐ │ 1단계: 메타데이터만 (항상 메모리에 상주, 754 × ~100 bytes) │ │ → name + description 만 읽음 │ │ → "SQL 인젝션 일감 들어왔으니까 sqlmap 스킬 골라야겠다" │ ├─────────────────────────────────────────────────────────────────┤ │ 2단계: SKILL.md 본문 (트리거된 1개만 로드, ~4 KB) │ │ → When to Use / Prerequisites / Workflow 단계까지 읽음 │ │ → "이대로 sqlmap 명령어 짜서 실행하면 되겠다" │ ├─────────────────────────────────────────────────────────────────┤ │ 3단계: references/ + scripts/ (필요 시에만 추가 로드) │ │ → references/api-reference.md → 정확한 표 / 코드 패턴 확인 │ │ → scripts/agent.py → 그대로 실행하거나 일부만 수정 │ └─────────────────────────────────────────────────────────────────┘

이 3단계 구조 덕분에 AI는 평소엔 가벼운 메타데이터만 들고 있다가, 실제 작업에 들어가면 그 스킬의 디테일만 한꺼번에 펼친다. 도서관 사서가 책 제목만 외워두다가, 손님이 책을 찾으면 그제서야 펼치는 것과 같다.

한 스킬 SKILL.md의 8가지 표준 섹션

📋 동일한 골격으로 754번 반복

한 스킬의 SKILL.md는 다음 8개 섹션을 거의 똑같이 갖는다. AI가 어떤 스킬을 골라 와도 같은 위치에서 같은 종류의 정보를 찾을 수 있다.

섹션역할예시(sqlmap 스킬)
① YAML frontmatter메타 데이터tags: [penetration-testing, sql-injection, owasp]
② When to Use발동 조건"권한 받은 펜테스트 중 / 매뉴얼 테스트가 SQLi 의심 / CTF 도전 중"
③ Prerequisites필요한 도구·권한pip install sqlmap / 펜테스트 동의서 / Burp Suite
④ Workflow7단계 절차1) 인젝션 포인트 찾기 → 2) 기본 스캔 → ... → 7) 보고서 정리
⑤ Key Concepts용어 정리표Union-based / Blind / Stacked / Out-of-band SQLi 비교
⑥ Tools & Systems대안 도구sqlmap · Burp Pro · OWASP ZAP · Havij · jSQL
⑦ Common Scenarios실전 4시나리오전자상거래 / 로그인 폼 / WAF 보호된 검색 / 쿠키 블라인드
⑧ Output Format결과 JSON 모양Vulnerability · Severity · Impact · Evidence · Recommendation

실제 호출 흐름 — 사용자 한 마디부터 보고서까지

사용자: "https://test-site.local 에서 SQLi 검사 한 번 돌려 줘" │ ▼ ┌──────────────────────────────────────────────────────────┐ │ STEP 1. Claude Code 진입 │ │ - description 인덱스에서 키워드 "SQLi" 매칭 │ │ - exploiting-sql-injection-with-sqlmap 스킬 선택 │ └──────────────────────────────────────────────────────────┘ │ ▼ ┌──────────────────────────────────────────────────────────┐ │ STEP 2. SKILL.md Workflow 로드 │ │ - 7단계 절차 텍스트 컨텍스트에 추가 │ │ - Prerequisites 항목 검사 (sqlmap 설치 여부) │ └──────────────────────────────────────────────────────────┘ │ ▼ ┌──────────────────────────────────────────────────────────┐ │ STEP 3. Workflow 따라 명령 생성 │ │ $ sqlmap -u "https://test-site.local/products?id=1" │ │ --batch --random-agent │ │ $ sqlmap ... --dbs │ │ $ sqlmap ... -D target -T users --dump │ └──────────────────────────────────────────────────────────┘ │ ▼ ┌──────────────────────────────────────────────────────────┐ │ STEP 4. Output Format 섹션에 맞춰 결과 정리 │ │ { │ │ "vulnerability": "SQL Injection (Union-based)", │ │ "severity": "Critical (CVSS 9.8)", │ │ "evidence": {...}, "recommendation": [...] │ │ } │ └──────────────────────────────────────────────────────────┘

핵심 설계 패턴 5가지

설계 패턴 #1
"Convention over Configuration" — 같은 폴더 모양

754개 스킬이 전부 SKILL.md + references/ + scripts/ + assets/ 같은 폴더 구조를 따른다. AI는 "다음에 또 어떤 보안 스킬이 오든 똑같은 자리에서 똑같은 종류의 정보를 찾을 수 있다"는 보장을 받는다.

설계 패턴 #2
"Front-loading" — 중요한 건 앞에

SKILL.md 첫 200자 안에 description이 있다. AI가 어떤 스킬을 쓸지 결정할 때 본문 끝까지 안 봐도 된다. 보안 도메인에서 중요한 "이 스킬은 어떤 MITRE 기법에 매핑되나"도 YAML 첫 부분에 박혀 있다.

설계 패턴 #3
"Code as Documentation" — 코드는 문서이고 문서는 코드

SKILL.md의 Workflow 섹션에 들어있는 ```bash 블록은 그대로 복사해서 터미널에 붙여 넣어도 동작한다. scripts/agent.py도 SKILL.md의 절차를 1:1로 코드화한 거라 SKILL.md만 봐도 무엇이 일어나는지 알 수 있다.

설계 패턴 #4
"Multi-language queries" — SIEM 언어를 그대로 인용

위협 헌팅 스킬은 Splunk SPL·Microsoft Sentinel KQL·BloodHound Cypher 쿼리를 본문에 그대로 박아 둔다. AI가 어떤 SIEM 환경에 가도 적절한 언어로 출력할 수 있게 미리 학습 자료로 준 셈.

설계 패턴 #5
"Compliance binding" — 통제 코드 박기

YAML 머리말의 nist_csf: [DE.CM-01, DE.AE-02] 같은 라벨이 보안 컴플라이언스 감사에 직접 답이 된다. "이 통제 항목을 어떻게 충족하나요?" 물으면 "이 스킬들이 매핑됩니다"로 답할 수 있다. 보안 거버넌스의 핵심.

5디렉토리 구조 해부

레포 안의 모든 파일과 폴더의 역할

레포 루트에는 README.md·LICENSE·CONTRIBUTING.md·ATTACK_COVERAGE.md·index.json 등 여러 파일과 assets/·mappings/·tools/·skills/ 폴더가 있다. 모든 가치는 skills/ 폴더 안에 754개로 분기된다.

Anthropic-Cybersecurity-Skills/ │ ├── README.md ← 레포 소개 + 26개 보안 도메인 목록 ├── .gitignore ← Python __pycache__ 등 제외 │ └── skills/ ← 754개 스킬의 부모 폴더 │ ├── acquiring-disk-image-with-dd-and-dcfldd/ │ ├── SKILL.md ← 디스크 이미지 획득 절차 │ ├── references/ │ │ └── api-reference.md ← dd / dcfldd 옵션 사전 │ └── scripts/ │ └── agent.py ← 자동 이미지 생성 + 해시 검증 │ ├── analyzing-active-directory-acl-abuse/ │ ├── SKILL.md ← ACL 남용 탐지 7단계 │ ├── references/ │ │ └── api-reference.md ← ldap3 + SDDL + BloodHound Cypher │ └── scripts/ │ └── agent.py ← ~250줄 LDAP 쿼리 + DACL 파서 │ ├── analyzing-android-malware-with-apktool/ │ └── ... │ ├── ... (총 754개 스킬 폴더) │ └── triaging-incident-with-incident-commander-playbook/ └── ...

스킬 폴더의 4 표준 하위 항목

경로내용크기필수?
SKILL.mdYAML frontmatter + 8섹션 마크다운~4 KB✅ 필수
references/api-reference.md표준 번호·CVE·코드 패턴 사전~3 KB⭐ 권장
scripts/agent.py실제로 돌아가는 파이썬 구현~10 KB⭐ 권장
assets/template.md채워 넣는 형식의 보고서 템플릿~1 KB옵션
LICENSEApache-2.0 텍스트11 KB각 스킬에 동봉

스킬 이름 규칙(naming convention) — 동사로 시작

754개 스킬 이름의 앞부분을 집계해 보면 분명한 패턴이 보인다.

동사 접두사개수의미예시
performing-172개"~수행하기"performing-active-directory-bloodhound-analysis
implementing-167개"~구현하기"implementing-siem-correlation-rules-for-apt
detecting-87개"~탐지하기"detecting-mimikatz-execution-patterns
analyzing-76개"~분석하기"analyzing-cobalt-strike-beacon-configuration
building-34개"~구축하기"building-red-team-c2-infrastructure-with-havoc
hunting-34개"~사냥하기"hunting-for-living-off-the-land-binaries
exploiting-32개"~익스플로잇하기"exploiting-sql-injection-with-sqlmap
testing-22개"~테스트하기"testing-for-xss-vulnerabilities-with-burpsuite
왜 동사로 시작하나

스킬 이름이 곧 "어떤 행동을 하는 스킬인가"의 답이 되도록 하기 위해서. 사용자가 "골든 티켓 탐지하고 싶다"고 하면 Claude가 detecting- 접두사 스킬 중에서 매칭을 시도한다. detecting-golden-ticket-attacks-in-kerberos-logs가 정확히 그것. 이름만 보고 무엇을 하는지 100% 알 수 있게 짜야 AI가 잘못 고르지 않는다.

26개 보안 도메인 — README가 선언하는 카테고리

웹 보안 → Web Application Security 네트워크 → Network Security 침투 테스트 → Penetration Testing 레드 팀 → Red Teaming DFIR → Digital Forensics & Incident Response 멀웨어 분석 → Malware Analysis 위협 인텔 → Threat Intelligence 클라우드 보안 → Cloud Security 컨테이너 보안 → Container Security IAM → Identity & Access Management 암호학 → Cryptography 취약점 관리 → Vulnerability Management 컴플라이언스 → Compliance & Governance 제로 트러스트 → Zero Trust Architecture OT/ICS 보안 → Operational Technology / Industrial Control DevSecOps → Secure CI/CD, IaC scanning + 그 외 10개 도메인 (모바일·IoT·블록체인·AI 보안 등)

6학습 포인트 — 이 레포에서 무엇을 배울 것인가

기술별로 분리한 학습 가치 + 바로 해볼 수 있는 실습 아이디어

① Agent Skills 표준의 정석을 익히는 자료

SKILL.md를 한 번 작성해 보고 싶다면 anthropics/skills의 4개 예제(docx·pdf·pptx·xlsx)만 봐서는 양이 부족하다. 이 레포는 754개의 진짜 SKILL.md 사례를 제공한다. 8 섹션 구성·YAML 필드 활용·Output Format 명세까지 정형화된 패턴을 익히기에 최적.

실습 아이디어 — 나만의 도메인 스킬 카탈로그

본인 도메인(예: 데이터 분석·웹 개발·DevOps)에서 자주 하는 작업 10개를 골라 이 레포의 SKILL.md 형식을 따라 적어 본다. name/description/When to Use/Workflow까지 채우면 자기 Claude Code에 바로 박을 수 있다.

② NIST·MITRE 매핑 사고법

"내가 만든 보안 도구가 어떤 통제 항목과 맞아떨어지나?" — 이 질문은 보안 컴플라이언스 감사 때 무조건 나온다. 이 레포는 모든 스킬에 nist_csf, MITRE ATT&CK tags를 박아 두었다. 한 스킬을 골라 그 매핑을 거꾸로 따라가 보면 NIST CSF 2.0의 6 함수(GV·ID·PR·DE·RS·RC) 구조와 ATT&CK 15 전술의 위계를 자연스럽게 익히게 된다.

실습 아이디어 — 매핑 역추적

detecting-golden-ticket-attacks-in-kerberos-logs/SKILL.md를 펼치고 nist_csf: [DE.CM-01, DE.AE-02, DE.AE-07, ID.RA-05]를 본다. 각 코드를 NIST CSF 2.0 공식 문서에서 찾아 무슨 의미인지 정리. 그러면 한 스킬이 NIST 통제 4개를 동시에 만족시키는 구조가 보인다.

③ Active Directory 보안의 실전 코드

analyzing-active-directory-acl-abuse/scripts/agent.py250줄 정도로 BloodHound가 하는 일의 한 단면을 직접 구현한다. ldap3 라이브러리로 LDAP 검색 → nTSecurityDescriptor 바이너리 파싱 → SDDL 형식으로 변환 → DACL의 ACE 하나하나 검사 → 위험한 비트마스크 매칭 → SID 해석 → 공격 경로 매핑 → JSON 보고서 출력. AD 보안을 코드 레벨로 처음 배우는 사람에게 완벽한 입문서.

용어 풀이
SDDL (Security Descriptor Definition Language)
Windows 보안 설명자(security descriptor)를 사람이 읽을 수 있는 문자열로 표현한 형식. (A;;GA;;;S-1-5-21-xxx-512)는 "S-1-5-21-xxx-512 SID에게 Generic All(GA) 권한을 허용(A)"이라는 뜻. AD 권한 분석의 알파벳.
용어 풀이
GenericAll · WriteDACL · WriteOwner
AD에서 가장 위험한 3가지 권한. GenericAll(0x10000000) = 객체 전체 통제, WriteDACL(0x00040000) = 권한 자체를 수정할 수 있어서 자기 자신에게 GenericAll 부여 가능, WriteOwner(0x00080000) = 소유권 탈취 후 다른 권한 변경 가능. 일반 사용자가 도메인 어드민 그룹에 이 권한 중 하나라도 갖고 있으면 도메인 장악 가능.

④ SIEM 쿼리 멀티 언어 능력

골든티켓 탐지 스킬 한 개만 봐도 Splunk SPL + Microsoft Sentinel KQL 두 가지 SIEM 쿼리가 모두 들어 있다. 다른 위협 헌팅 스킬도 Splunk/KQL/Elastic Query DSL을 병행 제공. 실무에서 어떤 SIEM 환경에 가도 대응할 수 있게 한 번에 익힐 수 있다.

실습 아이디어 — 같은 탐지 룰의 3개 언어 비교

detecting-golden-ticket-attacks-in-kerberos-logs/SKILL.md의 SPL 쿼리와 KQL 쿼리를 나란히 놓고 "같은 의도가 어떻게 다른 문법으로 표현되는지" 표로 만들어 본다. Elastic ECS에도 같은 룰을 작성해 보면 SIEM 추상화 능력이 확 커진다.

⑤ 멀웨어 분석 도구 사슬

34개 멀웨어/포렌식 스킬(analyzing-bootkit-and-rootkit-samples·analyzing-cobalt-strike-beacon-configuration·analyzing-linux-elf-malware·analyzing-golang-malware-with-ghidra 등)에서 Ghidra·radare2·Volatility·YARA·dynamic sandbox 같은 도구 사슬을 한 줄에 꿴 워크플로를 만난다. 각 도구가 분석 단계의 어느 자리에 들어가는지 자연스럽게 학습.

⑥ 위협 인텔과 MITRE ATT&CK 매핑

analyzing-apt-group-with-mitre-navigator·analyzing-threat-actor-ttps-with-mitre-attack·analyzing-threat-actor-ttps-with-mitre-navigator 같은 스킬은 위협 인텔리전스 리포트에서 TTP(전술·기법·절차)를 뽑아 MITRE ATT&CK Navigator JSON으로 출력하는 절차를 명세한다. 인텔 분석가 사고법을 코드로 본다.

⑦ 클라우드 보안의 멀티 클라우드 지도

AWS·Azure·GCP·Kubernetes 각각의 보안 로그 분석 스킬이 들어 있다 — analyzing-azure-activity-logs-for-threats·analyzing-aws-cloudtrail-for-attacks·analyzing-kubernetes-audit-logs·analyzing-cloud-storage-access-patterns. 한 사이트로 클라우드 보안의 전체 지형을 둘러볼 수 있다.

7하드웨어 / 시스템 요구사항

레포 자체는 가볍지만, 각 스킬 실행에는 별도 환경이 필요

이 레포는 "문서 + 스크립트"만 들어 있으므로 클론하는 데 100 MB 미만이면 충분하다. 단, 각 스킬을 실제로 돌리려면 도구별로 환경이 필요하다.

최소 환경 (스킬을 읽고 SKILL.md만 활용)

스킬 카테고리별 추가 도구

분야필요 도구비고
AD 보안Domain Controller 접속 권한, ldap3, BloodHound CE실습은 GOAD(Game of Active Directory) 가상랩 권장
웹 펜테스트Burp Suite Community, sqlmap, OWASP ZAP타깃은 OWASP Juice Shop · DVWA
네트워크nmap, Wireshark, scapyKali Linux VM 권장
메모리 포렌식Volatility 3, MemProcFSRAM 16 GB+ (대용량 덤프 처리)
멀웨어 분석Ghidra, radare2, REMnux, FLARE VM샌드박스 격리 환경 필수
클라우드AWS/Azure/GCP 계정, ScoutSuite, Prowler$10/월 정도 비용 발생
컨테이너Docker, kubectl, Falco, Trivy로컬 Minikube로 시작
SIEMSplunk Free / Sentinel Azure / Wazuh 셀프호스팅Wazuh + ELK가 가장 저렴
법적 주의 — 권한 없이 사용 금지
"이 레포의 스킬은 공격 도구도 포함한다"

SQL 인젝션·BloodHound·Mimikatz·Cobalt Strike 같은 스킬은 모두 권한이 있는 환경(서면 동의가 있는 펜테스트 계약·CTF·자신의 가상랩)에서만 사용해야 한다. 한국 정보통신망법 제48조·미국 CFAA·EU GDPR Article 32가 적용된다. 모르는 시스템에 함부로 실행하면 형사 처벌 대상이다. 모든 SKILL.md의 Prerequisites에 "Authorization / Rules of Engagement 서명"이 첫 항목으로 박혀 있는 이유.

8직접 해볼 수 있는 실습 과제

난이도별로 5개 — ★(쉬움) ~ ★★★★★(어려움)

★ 난이도 1 — SKILL.md 분해 읽기

한 스킬을 골라서 8 섹션 모두 표로 정리하기

  1. exploiting-sql-injection-with-sqlmap/SKILL.md 한 파일을 GitHub 웹에서 펼친다.
  2. YAML frontmatter의 8 필드(name·description·domain·subdomain·tags·version·author·license·nist_csf)를 표로 옮긴다.
  3. 본문 8 섹션(When to Use / Prerequisites / Workflow / Key Concepts / Tools / Common Scenarios / Output Format)의 길이를 글자 수로 측정.
  4. 학습 효과: SKILL.md의 분량 분포(YAML 5% · Workflow 50% · 나머지 45%)를 체감하게 됨 → 자기 스킬을 쓸 때 비례를 잡을 수 있다.
★★ 난이도 2 — 내 도메인 스킬 1개 작성

이 레포의 형식을 따라 "내가 자주 하는 작업" 1개 SKILL.md 만들기

  1. 본인이 자주 하는 작업 중 하나를 고른다(예: "GitHub PR 리뷰" · "TypeScript 에러 디버깅" · "Excel 피벗 만들기").
  2. 이 레포의 SKILL.md를 그대로 베껴 자기 작업에 맞춰 8 섹션을 채운다.
  3. ~/.claude/skills/my-task/SKILL.md 위치에 저장하고 Claude Code 재시작.
  4. Claude Code에 작업을 시켜 보고 스킬이 자동으로 발동되는지 확인.
  5. 학습 효과: Agent Skills 표준의 모든 부분을 한 번씩 만져 보게 됨 + 자기 작업 자동화 자산 1개 획득.
★★★ 난이도 3 — AD ACL 스크립트 실행

GOAD 가상랩에 ACL 분석 스킬 돌려서 공격 경로 찾기

  1. VMware/VirtualBox에 GOAD(Orange-Cyberdefense/GOAD) 설치 — 의도적으로 취약한 AD 가상랩.
  2. pip install ldap3으로 의존성 설치.
  3. analyzing-active-directory-acl-abuse/scripts/agent.py를 GOAD의 DC IP에 대고 실행:
    python agent.py --dc-ip 192.168.56.10 \ --domain sevenkingdoms.local \ --username stannis.baratheon \ --password "Password123" \ --output findings.json
  4. 출력 JSON에서 critical severity 항목을 골라 BloodHound로 검증.
  5. 학습 효과: LDAP + DACL 파싱 + SID 해석 + 공격 경로 매핑까지 한 번에 경험. AD 펜테스트의 핵심 절차.
★★★★ 난이도 4 — 5 프레임워크 매핑 분석

한 스킬을 NIST CSF + MITRE ATT&CK + D3FEND에 동시 매핑

  1. detecting-mimikatz-execution-patterns 스킬을 선택.
  2. NIST CSF 2.0 공식 PDF에서 매핑된 통제 항목의 정확한 정의를 옮긴다.
  3. MITRE ATT&CK Navigator(공식 사이트)에서 매핑된 기법 ID를 검색하고 sub-technique까지 확장.
  4. MITRE D3FEND에서 그 ATT&CK 기법에 대응하는 방어 조치(D3F:T1001 같은 코드)를 찾아 짝짓는다.
  5. "공격 ATT&CK ↔ 방어 D3FEND ↔ 거버넌스 NIST CSF" 매트릭스를 한 장의 표로 만든다.
  6. 학습 효과: 보안 컴플라이언스 컨설팅의 핵심 기술 — "통제 항목 ↔ 공격 ↔ 방어" 삼각 매핑.
★★★★★ 난이도 5 — 754개 스킬 메타데이터로 검색 엔진 만들기

YAML frontmatter만 인덱싱해서 자연어 검색 가능한 카탈로그 구축

  1. GitHub API로 754개 SKILL.md 다운로드(requests.get + Tree API).
  2. 각 파일의 YAML frontmatter만 python-frontmatter로 파싱해서 JSON 인덱스 생성.
  3. OpenAI text-embedding-3-small 같은 임베딩으로 description 벡터화.
  4. FAISS / SQLite-vec / Chroma로 벡터 인덱스 저장.
  5. FastAPI로 검색 엔드포인트 1개 만들기 — 사용자가 자연어 질문하면 가장 가까운 스킬 5개 반환.
  6. nist_csf·mitre_attack·domain으로 메타 필터 추가.
  7. 학습 효과: RAG(Retrieval-Augmented Generation) 시스템 + Progressive Disclosure 패턴 직접 구현. 이게 Claude Code 내부에서 일어나는 일과 똑같다.

9관련 기술 심화 학습 로드맵

8주 동안 이 레포를 발판으로 보안 + AI Agent 양쪽 다 익히기

1주차 — Agent Skills 표준 기초

2주차 — NIST CSF 2.0 + MITRE ATT&CK 기본 어휘

3주차 — Active Directory 보안 코어

4주차 — 위협 헌팅 SPL / KQL 마스터

5주차 — 웹/네트워크 펜테스트

6주차 — 멀웨어 분석 입문

7주차 — 클라우드 보안 (AWS/Azure/K8s)

8주차 — 스킬 카탈로그 시스템 구축 (캡스톤)

10핵심 키워드 사전

이 레포 / 보안 도메인 / Agent Skills 표준을 가로지르는 용어 25개

용어
SKILL.mdAgent Skills 표준의 단일 파일 형식. YAML frontmatter + 마크다운 본문.
agentskills.ioSKILL.md 표준을 정한 공개 규약 사이트.
Progressive Disclosure"필요할 때 필요한 만큼만 보여 준다"는 컨텍스트 절약 패턴.
YAML frontmatter마크다운 파일 맨 앞 ---로 감싼 메타데이터 영역.
NIST CSF 2.0미국 NIST 사이버보안 프레임워크 2.0 — GV/ID/PR/DE/RS/RC 6 함수.
MITRE ATT&CK공격자 행동(전술·기법) 분류 사전. T1234 같은 코드로 식별.
MITRE ATLASAI/ML 시스템 공격 분류 — AML.T0051(프롬프트 인젝션) 같은 코드.
MITRE D3FEND방어 조치 분류. ATT&CK의 짝.
NIST AI RMFNIST AI 위험 관리 프레임워크. AI 시스템 거버넌스 표준.
BloodHoundAD 공격 경로 시각화 도구. Cypher 쿼리로 권한 흐름 추적.
Golden TicketKRBTGT 계정 해시로 위조한 Kerberos TGT. 도메인 영구 장악.
DCSync도메인 컨트롤러로 위장해 다른 DC에서 비밀번호 해시 받아오기.
KerberoastingSPN 있는 서비스 계정의 TGS를 받아 비밀번호 오프라인 크랙.
SDDLWindows 보안 설명자(security descriptor) 사람 읽기용 형식.
DACL / ACEDiscretionary ACL / Access Control Entry — Windows 권한 자료구조.
GenericAllAD 객체에 전체 제어권을 주는 위험 권한(0x10000000).
SIEMSecurity Information & Event Management — 보안 로그 분석 플랫폼.
SOCSecurity Operations Center — 보안 운영 센터(24/7 모니터링).
DFIRDigital Forensics & Incident Response — 디지털 포렌식 + 사고 대응.
SPLSplunk Processing Language — Splunk SIEM의 쿼리 언어.
KQLKusto Query Language — Microsoft Sentinel/Defender의 쿼리 언어.
SigmaSIEM 룰의 벤더 중립 YAML 표준. SPL/KQL/Elastic으로 변환 가능.
STIX / TAXII위협 인텔리전스 데이터 교환 표준 형식(STIX) + 전송 프로토콜(TAXII).
IoCIndicator of Compromise — 침해 지표(IP·해시·도메인 등).
TTPTactics, Techniques, Procedures — 공격자 행동 묘사 단위.

11참고 링크

이 레포 + 주변 생태계를 한 번에

레포 본체

Agent Skills 표준 생태계

보안 프레임워크 표준 문서

실습 환경 / 가상랩

도구 공식 사이트

📌 본 자료는 mukul975/Anthropic-Cybersecurity-Skills 레포(2026-05-26 시점, TrendShift Daily #9)의 README, 4개 SKILL.md 샘플(analyzing-active-directory-acl-abuse, exploiting-sql-injection-with-sqlmap, detecting-golden-ticket-attacks-in-kerberos-logs 등), 1개 scripts/agent.py 정독, GitHub Contents API로 가져온 754개 스킬 이름 전수 집계, agentskills.io 표준 문서를 토대로 작성된 한국어 학습 자료입니다. 작성 시점은 2026-05-26.