보안☝🏻

Spear Phishing (스피어 피싱)

• 사회 공학의 한 기법. 인간 상호 작용의 깊은 신뢰를 바탕으로 특정 대상을 선정한 후 메일의 링크나 파일을 클릭하도록 유도한 뒤 개인정보 탈취

Smurfing (스머핑)

• 출발지 주소를 공격 대상의 IP로 설정하여 네트워크 전체에게 ICMP Echo 패킷을 직접 브로드캐스팅하여 타겟 시스템을 마비시키는 공격

Brute-force Attack (무차별 대입 공격)

• 프로그램을 사용하여 가능한 모든 문자의 조합 시행하여 문자를 적용해 보는 반복에 의해 시도되는 침입방법

Zero Day Attack (제로데이 공격)

• 보안 취약점이 발견되었을 때 발견된 취약점의 존재 자체가 널리 공표되기 전 해당 취약점을 통해 이루어지는 보안 공격

트로이 목마

• 정상적인 기능을 하는 프로그램으로 위장하여 프로그램 내에 숨어 있다가 해당 프로그램이 동작할 때 활성화되어 부작용을 일으키는 프로그램. 자가 복제 능력은 없음

DLP (데이터 유출 방지)

• 내부 정보의 외부 유출을 방지하는 보안 솔루션. 모든 정보를 검색하고 사용자 행위를 탐지, 통제해 사전 유출 방지

VPN

• 사설 통신망을 지칭하는 용어. 터널링 기법을 사용해 인터넷과 같은 공중망에서 전용 회선을 구성한 것과 같은 효과를 내는 가상 네트워크

IPS (침입 방지 시스템)

• 방화벽과 침입 방지 시스템을 결합한것. 비정상적인 트래픽을 능동적으로 차단하고 격리하는 등의 방어 조치를 취하는 보안 솔루션

SQL Injection (SQL 삽입)

• SQL문을 삽입하여 데이터베이스로부터 정보를 열람, 조작할 수 있는 취약점 공격기법

RUDY (RU-Dead-Yet?)

• 헤더의 Content-length를 비정상적으로 크게 설정하여 메시지 바디 부분을 소령으로 보내 계속 연결 상태를 유지시켜 자원을 소진시키는 공격기법

패스워드 크래킹

• 사전 크래킹과 무차별 크래킹 방법을 사용해 네트워크 패스워드를 탐색하는 공격기법

APT (Advanced Persistent Threat, 지능형 지속 위협)

• 특수 목적을 가진 조직이 하나의 표적에 대해 다양한 IT 기술을 이용해 지속적으로 정보를 수집하고 취약점을 파악하여 침투, 검색, 수집, 유출하는 공격기법

SYN Flooding

• SYN 패킷만 보내 점유하여 다른 사용자가 서버를 사용 불가능하게하는 공격. 3-way-handshake 과정을 의도적으로 중단시켜 공격 대상지 서버가 대기 상태에 놓여 정상적인 서비스를 수행하지 못하게 하는 공격 기법

Slowloris

• 헤더의 최종을 알리는 개행 문자열 /r/n/r/n을 전송하지 않고 /r/n만 전송하여 대상 웹 서버와 연결 상태를 장시간 지속시켜 연결 자원을 모두 소진시키는 서비스 거부 공격

DoS

• 특정 서버에 수 많은 접속을 시도하여 다른 사용자가 정상적으로 서비스 이용을 불가하게 만드는 공격

DDoS

• 한 서버에 대해 분산 서비스 공격을 수행하는 것. 호스트들에 분산 서비스 공격용 툴을 설치하여 에이전트로 만든 후 공격에 이용

DoS vs DDoSDoS는 직접 공격 but DDoS는 공격하도록 지시

Qshing

• QR코드를 통해 악성 앱의 다운로드를 유도하거나 악성 프로그램을 설치하도록 하는 금융 사기 기법의 하나

Smishing (스미싱)

• 문자 메시지(SMS)에 링크를 거는 등 문자 메시지를 이용해 사용자의 개인 신용 정보를 빼내는 수법

Key Logger Attack (키로거 공격)

• 컴퓨터 사용자의 키보드 움직임을 탐지해 개인 정보를 빼가는 해킹 공격

Ransomware (랜섬웨어)

• 컴퓨터에 침입해 내부 문서 파일 등을 암호화해 사용자가열지 못하게 하는 공격. 해독 프로그램 전달 조건으로 사용자에게 돈을 요구

백도어

• 액세스 편의를 위해 시스템 보안을 제거하여 만들어 놓은 비밀 통로

Secure OS

• 기존 운영체제의 보안취약점을 해소하기 위해 보안 기능을 갖춘 커널을 이식하여 외부의 침입으로부터 시스템 자원 보호 운영체제

Pharming

• 사용자 도메인을 탈취하거나 가짜 웹페이지에 접속하게 하여 개인정보를 훔치는 인터넷 사기 수법

XSS

• Cross-Site Scripting
• 웹 페이지에 악의적인 스크립트를 포함시켜 사용자 측에서 실행되게 유도하는 공격

CSRF

• Cross Site Request Forgery
• 사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위(수정, 삭제, 등록 등)를 특정 사이트에 요청하게 하는 공격

XSS vs CSRF

• XSS는 사용자가 웹 브라우저를 신용하는 상태를 노린 공격
• CSRF는 웹 사이트가 사용자의 웹 브라우저를 신용하는 상태를 노린 공격
• XSS는 공격 대상이 Client, CSRF는 Server
• XSS는 사이트 변조, 백도어 사용, CSRF는 요청 위조

IDS (침입 탐지 시스템)

• 컴퓨터 시스템의 비정상적 사용, 오용 등을 실시간탐지

PoD (Ping of Death)

• 큰 사이즈의 패킷을 목표 시스템으로 발생시켜 시스템이 서비스 할 수 없는 상태로 만드는 공격

TearDrop

• IP Fragment Offset 값을 서로 중첩되도록 조작하여 전송, 이를 수신한 시스템의 기능을 마비시키는 공격