[Security] 실무에서 사용되는 보안 용어들

1. 용어 정리의 필요성

• 정보보안 관리 지침 및 절차에 걸쳐 명확하고 통일성을 갖춘 용어를 사용하여 오해와 오역을 예방하고 이견과 분쟁을 원활하게 해결하는 기준으로 활용

 

2. 자산의 관점에서의 보안 요소

• 보안의 3요소 : 기밀성(Confidentiality), 무결성(Intergrity), 가용성(Availability)
• 기밀성(Confidentiality) : 허가 받지 않은 사람에게 노출되지 않음
• 무결성(Intergrity) : 데이터 흐름 중에 완전성과 정확성을 유지
• 가용성(Availability) : 자산의 계속적 이용을 가능하게 하는 것
  → 기. 무. 가 / C.I.A
• 자산(Asset) : 회사가 보유한 가치를 지닌 것
• 영향(Impact) : 보안 사고로 발생할 수 있는 정보자산에 대한 위협 및 비용
• 위협(Threat) : 버그, 오류, 결함 등으로부터 피해를 받을 수 있는 모든 경우
• 위험(Risk) : 주어진 위협이 자신의 취약점을 이용하여 자신의 손실과 손상을 유발 시킬 수 있는 잠재력(측정 될 수 있어야 함)

 

3. 흐름 관점에서의 보안 용어

• 사용자(User) : 서버에 접속하는 자
• 서버(Server) : 서버/클라이언트 관계에서 기다리고 있는 프로그램(서버가 제공하는 것이 서비스)
• 로그(Log)
  • 시스템 사용에 관련된 전체의 기록(사용, 행동에 관한 증적 자료 - 정상적/비정상적 모든 자료들의 흐름을 모두 기록)
  • 시스템이 꺼졌다 켜진 경우에는 유일한 증적 자료, 시스템이 켜져 있는 상황에서는 유일하지 않은 증적 자료
• 감사기록(Logging) : 증거가 되는 데이터를 시간 순으로 기록, 저장하는 방법
• 감사(Audit) : 안전하게 운용되고 있는지 확인하기 위한 조사, 분석 방법
• 감사 추적(Audit Trail) : 모든 활동을 재생, 검토, 조사할 수 있는 시스템 활동의 시간별 기록을 추적

• 스니핑(Sniffing) : 통신 상에서 감청, 도청하는 행위, 킁킁거리다(sniff)
• 도청(Wiretapping) : 정보의 불법적인 가로채기(스니핑에 포함되는 감청 방법)
• 스푸핑(Spoofing)
  • 인가된 것을 속이는 행위, 속이다(spoof)
  • MITM(Man In The Middle Attack - 중간자 공격)
• 변조(Tempering) : 인가 받지 않고 공격자가 임의로 파일을 변경하는 행위, 여러 방식의 공격에 사용(스푸핑 과정에도 변조가 사용됨)

 

4. IT 단위 요소에서의 보안 용어들

• Data
  • 데이터 베이스(Database) : DBMS 내의 테이블, 뷰, 데이터 등의 집합체를 나타내는 구조
  • 데이터 보안(Data Security) : 보안 사고로부터 하드웨어 또는 소프트웨어의 자료 손실을 방지하고 보호하는 것
  • 데이터베이스 보안(Database Security) : 데이터베이스 및 데이터베이스 내 저장된 데이터를 보호하는 것
• Network
  • 네트워크 노드(Network Node) : 네트워크에 연결되어 있는 컴퓨터, 프린터, 네트워크 장비 및 시스템 등을 지칭
  • 네트워크 시스템(Network System) : 라우터(경로를 지정해주는 장비), 스위치(네트워크 노드들을 연결해주는 장비) 등 네트워크 연결 및 데이터 전송을 위한 시스템을 지칭
  • 로드밸런싱(Load Balancing)
    • 1개의 서버나 방화벽에 트래픽이 집중되는 것을 분산시키기 위한 스위칭 기술
    • 서버의 과부하로 인한 다운을 방지하기 위해 사용되는 기술, 1대 이상의 시스템에 집중되는 트래픽을 나눠서 보내주는 기술

 

5. 악성행위 관점에서의 보안 용어들

• 백도어 : 시스템의 정상적인 보호 수단을 우회하기 위해 사용되는 악의적인 소프트웨어, 뒷문, 개구멍, 공격자가 접속 기록을 남기지 않기 위한 통로
• 취약점(Vulnerability) : 위협 요소로 남용할 수 있는 일개 자산 또는 자산들이 지닌 약점
• 멀웨어(Malware) : Malicious Software의 약어로 응용프로그램의 기능을 위협하는 등의 악의적인 행위를 수행하는 프로그램
• 크랙(Crack) : 여러 복사방지 또는 접근 통제 기술이 적용된 소프트웨어의 비밀을 풀어서 불법으로 복제하는 행위
• 제로데이(Zero-Day) : 취약점에 대한 패치가 나오지 않은 시점에서 이루어지는 공격(OneDay 공격, TwoDay 공격 등 다양함)
• 익스플로잇(Exploit) : 소프트웨어나 하드웨어 및 컴퓨터 관련 전자 제품의 버그, 취약점 등의 설계상 결함을 이용해 공격자의 의도된 동작을 수행하도록 만들어진 절차나 일련의 명령, 스크립트, 프로그램, 조작을 이르기까지의 사용한 공격 행위

 

6. 보안 관리 관점에서의 보안 용어들

• 관리적 보안 : 정보 시스템과 데이터를 보호하기 위해 수립하는 관리 절차나 규정으로 절차적 보안(Procedural Security)이라고도 함
• 보안 대책 : 침해사고 및 보안사고로 인하여 발생할 수 있는 개별 위험을 최소화할 수 있도록 대응하는 방법
• 보안 평가 : 기밀 정보를 안전하게 처리하기 위해 시스템에 부여하는 신뢰도를 평가하기 위한 일련의 수행 과정
• 보안 정책 : 조직의 관리 및 보호 방법과 중요 정보의 분배 방법을 규정한 법, 규칙, 관습의 집합
• 부인 방지(Non-Repudiation) : 행위나 이벤트의 발생을 증명하여 추후 행위나 이벤트를 부인할 수 없도록 하는 서비스
• 백업센터(DR Center) : 업무의 장애나 전산본부 재난 시 전산처리 업무의 복구를 위해 구성된 특정 장소를 의미
• 접근 권한(Access Right) : 서버나 응용 시스템, 네트워크 기능 및 서비스 사용 등을 위해 특정 사용자가 수행할 수 있는 작업을 정해 놓은 것
• 접근 통제(Access Control) : 서버나 응용 시스템, 네트워크의 기능 및 서비스 사용 등을 위한 사용자의 권한에 대한 제한
• 정보보호감사 : 정보 시스템 본부 소속 임직원이 수립된 보안 지침 및 절차에 규정된 사항을 적절히 이행하고 있는지 확인하기 위해 인터뷰, 문서 검토 등 다양한 방법으로 증거를 수집하고 분석하여 개선사항을 제시하거나 이행을 권고하는 행위
• 정보보호시스템 : 침입차단 시스템, 침입탐지 시스템 등을 포함하여 정보자산 보호를 주목적으로 하는 시스템
• 정보 시스템 : 컴퓨터의 본체, 주변장치 및 단말장치 등의 전부 또는 일부로서 구성되는 하드웨어 및 소프트웨어를 총칭
• 정보보호전략 : 회사의 경영전략 항목에 연계하여 전략사항을 추진하고 달성함에 있어 필요한 정보보호 측면의 지원사항

 

7. 정보 시스템 관리 관점에서의 보안 용어

• 침입 방지 시스템 : IPS(Intrusion Prevention System) 등의 장비로 네트워크 트래픽에서 발생하는 위협을 감시하여 잠재적 위협 탐지 시 즉각적인 대응을 하기 위한 기술이 적용된 차단 시스템을 의미
• 침입 차단 시스템 : 내부의 컴퓨터 시스템 혹은 내부 네트워크와 공중 인터넷 사이에서 트래픽을 통제하기 위해 사용되는 전용 시스템을 의미, 위에서의 IPS가 침입 차단 시스템
• 침입 탐지 시스템 : 대상 시스템이 비인가자에 의해 침입이 시도되는 때 침입 사실을 탐지하는 시스템으로 각종 해킹 수법을 이미 자체적으로 내장, 침입 행동을 실시간으로 감지할 수 있는 기능 제공, IDS(Instusion Detection System)이라고 함
• 터널링 : 개방된 인터넷 망을 안전한 네트워크의 일부로 사용하게 하는 방법으로 특정 사용자들만의 유효한 통신 채널을 형성하여 논리적인 터널을 만드는 것을 의미
• 통제 구역 : 당사 내의 정보보호를 위해 극히 중요한 구역으로 모든 출입자의 통제가 요구되는 구역
• 패치(Patch) : 운영체제 또는 소프트웨어 등의 결함을 제거하기 위해 보완하는 행위

 

8. 기업 자료를 통한 키워드

• 매년 국내외 유명 보안 컨퍼런스를 개최하거나 유명 국내외 기관에서의 동향 자료를 공유하고 배포하고 있다. 이를 통해 현재의 트렌드, 혹은 다가올 미래에 대한 보안 트렌드를 읽어볼 수 있다.
• https://www.gartner.com/en/cybersecurity/topics/cybersecurity-trends