보안 공격 및 대응 관련 용어
보안 공격 관련 용어
부 채널 공격 (Side Channel Attack)
암호화 알고리즘의 실행 시기의 전력 소비, 전자기파 방사 등의 물리적 특성을 측정하여 암호 키 등 내부 비밀번호를 부 채널에서 획득하는 공격 기법
드라이브 바이 다운로드
악의적인 해커가 불특정 웹서버와 웹 페이지에 악성 스크립트를 설치하고, 불특정 사용자 접속 시 사용자 동의 없이 실행되어 의도된 서버(멀웨어 서버)로 연결하여 감염시키는 공격 기법
워터링홀 (Watering Hole)
특정인에 대한 표적 공격을 목적으로 특정인이 잘 방문하는 웹 사이트에 악성코드를 심거나 악성코들르 배포하는 URL로 자동으로 유인하여 감염시키는 공격기법
비즈니스 스캠 (SCAM)
기업 이메일 계정 도용하여 무역 거래 대금 가로채는 사이버 범죄
하트 블리드 (HeartBleed)
OpenSSL 암호화 라이브러리의 하트비트라는 확장 모듈에서 클라이언트 요청 메시지를 처리할 때 데이터 길이에 대한 검증을 수행하지 않는 취약점을 이용하여 시스템 메모리에 저장된 64KB 크기의 데이터를 외부에서 아무런 제한 없이 탈취할 수 있는 취약점
크라임웨어
중요한 금융정보 또는 인증정보를 탈취하거나 유출을 유도하여 금전적인 이익 등의 범죄행위를 목적으로 하는 악성코드
토르 네트워크 (Tor Network)
네트워크 경로를 알 수 없도록 암호화 기법을 사용하여 데이터를 전송하며, 익명으로 인터넷을 사용할 수 있는 가상 네트워크
MITM 공격 (Man in the Middle)
네트워크 통신을 조작하여 통신 내용을 도청 및 조작하는 공격기법으로 통신을 연결하는 두 사람 사이 중간에 침입하여 두 사람의 정보를 탈취하는 중간자 공격
DNS 스푸핑 공격 (Spoofing)
공격 대상에게 전달되는 DNS 응답(IP 주소)을 조작하거나 DNS 서버의 캐 시(Cache) 정보를 조작하여 희생자가 의도하지 않은 주소로 접속하게 만드 는 공격기법
DNS 캐시 포이즈닝(Cache Poisoning)이라고도 함
포트 스캐닝 (Port Scanning)
공격자가 침입 전 대상 호스트에 어떤 포트(서비스)가 활성화되어 있는지 확인하는 기법으로 침입 전 취약점을 분석하기 위한 사전 작업
디렉토리 리스팅 (Directory Listing) 취약점
웹 애플리케이션을 사용하고 있는 서버의 미흡한 설정으로 인해 인덱싱 기 능이 활성화되어 있을 경우, 공격자가 강제 브라우징을 통해서 서버 내의 모든 디렉토리 및 파일 목록을 볼 수 있는 취약점
리버스 쉘 공격 (Reverse Shell)
타깃 서버가 클라이언트(공격자)로 접속해서 클라이언트가 타깃 서버의 을 획득해서 공격하는 기법
익스플로잇 (Exploit)
소프트웨어나 하드웨어의 버그 또는 취약점을 입을 하면 공격지가 의도한 동작이나 명령을 실행하도록 하는 코드 또는 그러한 행위
스턱스넷 공격 (Stuxnet)
독일 지멘스사의 SCADA 시스템을 공격 목표로, 제작 된 악성코드로 원사에 전기, 철강, 반도체, 화학 등 주요 산업 기반 시설의 제어 시스템에 침투해 서 오작동을 일으키는 악성코드 공격기법
크리덴셜 스터핑 (Credential Stuffing)
사용자 계정을 탈취해서 공격하는 유형 출 하나 다른 곳에서 유출된 이 이디와 비밀번호 등의 로그인 정보를 다롱 의 상인 특나연에 무작위로 대입 해 로그인이 이루어지면 타인의 정보를 유출시키는 기법
보안 공격 대응 관련 용어
허니팟 (Honeypot)
비정상적인 접근을 탐지하기 위해 의도적으로 설치해 둔 시스템으로 일부러 허술하게 만들어서 해커에게 노출하는 유인시스템
OWASP Top 10
웹 애플리케이션 취약점 중 공격 빈도가 높으며. 보안상 큰 영향을 줄 수 있는 10가지 취약점에 대한 대응 방안을 제공하는 웹 보안 기술 가이드
핑거프린팅 (Finger Printing)
멀티미디어 콘텐츠에 저작권 정보와 구매한 사용자 정보를 삽입하여 콘텐츠 불법 배포자에 대한 위치 추적이 가능한 기술(저작권 정보구매자 정보)
워터마킹 (Water Marking)
디지털 콘텐츠에 저작권자 정보를 삽입하여, 불법 복제 시 워터마크를 추출, 원소유자를 증명할 수 있는 콘텐츠 보호 기술
이상금융거래탐지시스템 (FDS; Fraud Detection System)
전자금융거래에 사용되는 단말기 정보, 접속 정보, 거래 정보 등을 종 합적으로 분석하여 의심 거래를 탐지하고, 이상 거래를 차단하는 시스템
СС (Common Criteria)
정보기술의 보안 기능과 보증에 대한 평가 기준(등급), 정보보호 시스 템의 보안 기능 요구사항과 보증 요구사항 평가를 위해 공통으로 제공 되는 국제 평가 기준
사이버 위협정보 분석 공유시스템 (C-TAS, Cyber Threats Analysis System)
사이버 위협정보를 체계적 수립해서 인터넷진흥원(KSA) 주관으로 관 계 기관과 자동화된 정보공유를 할 수 있는 침해 예방 대응 시스템
장착형 인증 모듈 (PAM; Pluggable Authentication Module)
리눅스 시스템 내에서 사용되는 각종 애플리케이션 인증을 위해 제공 되는 다양한 인증용 라이브러리
CVE (Common Vulnerabilities and Exposures)
미국 비 영리회사인 MITRE 사에서 공개적으로 알려진 소프트웨어의 보안취약점을 표준화한 식별자 목록
규칙: CVE - (연도) - (순서)
CWE (Common Weakness Enumeration)
미국 비영리 회사인 MITRE 사가 중심이 되어 소프트웨어에서 공통적 으로 발생하는 약점을 체계적으로 분류한 목록으로, 소스 코드 취약점 을 정의한 데이터베이스
소프트웨어 약점은 SDLC 과정에서 발생할 수 있기 때문에 설계, 아키 텍처, 코드 단계 등에 대한 취약점 목록을 포함
ISMS (Information Security Management System)
조직의 주요 정보자산을 보호하기 위하여 정부부호 관리 절차와 과정 을 체계적으로 수립하여 지속적으로 관리하고 운영하기 위한 종합적인 체계
PIMS (Personal Information Management System)
기업이 개인정보보호 활동을 체계적 . 지속적으로 수행하기 위해 필요 한 보호조치 체계를 구축했는지 여부를 점검, 평가하여 기업에게 부여 하는 인증제도
PIA (Privacy Impact Assessment)
개인정보를 활용하는 새로운 정보 시스템의 도입이나 개인정보 취 급이 수반되는 기존 정보 시스템의 중대한 변경 시, 동 시스템의 구축 • 운영 • 변경 등이 프라이버시에 미치는 영향에 대하여 사전에 조 사 및 예측, 검토하여 개선 방안을 도출하는 체계적인 절차
TKIP (Temporal Key Integrity Protocol)
임시 키 무결성 프로토콜로 IEEE802.11i의 암호화 방식으로 초기 W-FI 장비에서 널리 사용되었 던 안전하지 않은 WEP(Wired Equivalent Privacy) 암호화 표준을 대 체하기 위한 암호 프로토콜
참고
