정보 보안 및 암호화

 

 

---

 

 

보안 위협의 유형

- 가로막기 : 데이터의 정상적인 전달을 가로막아 흐름을 방해

- 가로채기 : 송신된 데이터가 수신까지 가는 도중 보거나 도청하여 유출

- 수정 : 전송된 데이터를 원래의 데이터가 아닌 다른 내용으로 바꾸는 행위

- 위조 : 다른 송신자로부터 데이터가 송신된 것처럼 꾸미는 행위

 

인증(Authentication)

다중 사용자 컴퓨터 시스템 또는 망 운용 시스템에서 시스템이 단말 작동 개시 정보를 확인하는 보안 절차

 

개인키 암호화 기법(Private Key Encryption)

- 동일한 키로 데이터를 암호화하고 복호화

- 대칭 암호 기법, 단일키 암호화 기법

- 종류로는 대표적으로 DES(Data Encryption Standard)기법이 있음

- 암호화/복호화 속도가 빠르며, 알고리즘이 단순

 

공개키 암호화 기법(Public Key Encryption)

- 공개키 암호화 기법은 데이터를 암호화할 때 사용하는 공개키는 데이터 베이스 사용자에게 공개하고, 복호화할 때의 비밀키는 관리자가 비밀리에 관리

- 제 3자에게 노출 X DB사용 권한이 있는 사용자만 나누어 가짐

- 키의 분배가 용이하고 관리해야할 키의 개수가 적다

- 대표적으로는 RSA(Rivest Shamir Adleman)기법이 있다

 

DES(Data Encryption Standard, 데이터 암호 표준)

데이터 암호화 표준으로, 대표적인 비밀키 암호화 기법이다.

 

OPE(Order Preserving Encryption, 순차적 암호화)

데이터베이스에서 암호화된 수치 데이터들이 원본 수치 데이터와 동일한 순서로 정렬될 수 있도록 해주는 암호화 기술

 

PKI(Public Key Infrastructure, 공개키 기반 구조)

공개키 암호 시스템을 안전하게 사용하고 관리하기 위한 정보 보호 표준 방식으로 X.509 방식과 비X.509방식으로 구분

 

QKD(Quantum Key Distribution, 양자 암호키 분배)

양자 통신을 위해 비밀키를 분배하고 관리하는 기술

 

XSS(Cross Site Scripting, 크로스 사이트 스크립팅)

네트워크를 통한 컴퓨터 보안 공격의 하나, 웹페이지의 내용을 사용자 부러우저에 표현하기 위해 사용하는 스크립트에서 악용 될 수 있는 취약점을 해킹하는 기법

 

Hash(해시)

임의의 길이의 입력 데이터나 메시지를 고정된 길이의 값이나 키로 변환하는 것

 

PET(Privacy Engancing Technology, 프라이버시 강화 기술)

 

Digital Forensics(디지털 포렌식)

디지털 저장매체에 존재하는 디지털 정보를 수집하는 디지털 수사 과정

 

DRM(Digital Rights Management, 디지털 저작권 관리)

콘텐츠가 제한 없이 보급되지 않도록 하여 지적 재산권을 보호함

 

ONS(Object Naming Service,)

사물에 관한 구체적인 정보가 저장되어 있는 서버의 위치를 알려주는 서비스

 

IDS(Intrusion Detection System,침입 탐지 시스템)

- 컴퓨터 시스템의 비정상적인 사용, 오용, 남용 등을 실시간으로 탐지하는 시스템

 

RFID(Radio Frequency IDentification, 전파 식별)

RFID란 라디오 주파수 인식 기술로서, IC칩과 무선을 통해 식품, 동물, 사물 등 다양한 개체의 정보를 관리할 수 잇는 차세대 인식 기술

(동물 추적장치, 자동차 안전장치, 요금징수장치 등등 여러 분야로 확산될 전망)

 

Copyleft

저작권을 기반으로 한 정보의 공유를 주장, 일부에 의해 지식이나 정보가 독점되면 안된다고 생각, 대표적인 예로 리눅스

 

DLP(Data Leakage/Loss Prevention, 데이터 유출 방지)

내부정보 유출 방지 솔루션

 

CC(Common Criteria, 공통 평가 기준)

- 정보 보호 제품 평가 기준

 

SSL(Secure Sockets Layer)

데이터를 송/수신하는 두 컴퓨터 사이의 종단 사이(IP계층과 애플리케이션 계층 사이)에 위치하여 인증, 암호화, 무결선을 보장하는 업계 표준 프로토콜

 

프록시 서버(Proxy Server)

프록시 서버는 PC사용자와 인터넷 사이에서 중개자 역할을 하는 서버로 크게 방화벽 기능과 캐시 기능을 수행

 

HDCP(High-bandwidth Digital Content Protection, 고대역폭 디지털 콘텐츠 전송 보호)

디지털 비주얼 인터페이스 송/수신간 고대역폭의 비디오 암호화 전송 보호 규격

 

CCL(Creative Commons License, 저작물 이용 약관)

저작권자가 자신의 저작물에 대한 이용방법 및 조건을 표기하는 저작물 이용 약관

( 저작자표시 / 비영리 / 변경금지 / 동일조건변경허락 – 4가지로 분류 )

 

PIA(Privacy Impact Assessment,개인정보 영향평가 제도)

- 개인 정보를 활용하는 새로운 정보시스템의 도입 및 기존 정보시스템의 중요한 변경 시 시스템의 구축/운영이 기업의 고객은 물론 고객의 사생활에 미칠 영향을 평가 분석하는 제도

 

RPO(Recovery Point Objective,목표 복구 시점)

조직에서 발생한 여러 가지 재난 상황에 백업을 할 수 있는 기준점을 말함

 

RTO(Recovery Time Objective,목표 복구 시간)

비상사태 또는 업무 중단 시점부터 업무를 복귀하기 위한 목표 시간을 말함

 

ICMP(Internet Control Message Protocol, 인터넷 제어 메시지 프로토콜)

- 인터넷 통신 서비스에서 인터넷 프로토콜과 조합하여 통신중에 발생하는 오류의 처리와 전송 경로의 변경 등을 위한 제어 메시지를 취급하는 프로토콜

 

WEP(Wired Equivalent Privacy, 유선급 프라이버시)

유선랜에서 기대할 수 있는 것과 같은 보안과 프라이버시 수준이 제공되는 무선랜의 보안 프로토콜

 

WPA(Wi-Fi Protected access)

Wi-fi에서 제정한 무선 랜 인증 및 암호화 관련 표준

 

IPSec(IP Security protocol, IP보안 프로토콜)

안전에 취약한 인터넷에서 안전한 통신을 실현하기 위한 통신 규약

 

OTP(One-Time Password, 일회용 패스워드)

로그인 할 때마다 그 세션에서만 사용할 수 있는 1회성 패스워드를 생성하는 보안 시스템

 

SSO(Single Sign On)

한 번의 로그인으로 개인이 가입한 모든 사이트를 이용할 수 있게 해주는 시스템

 

공인인증서(Certificate)

전자 서명법에 의한 공인 인증기관이 발행한 인증서

 

생체 인식(Biometrics)

사람의 신체적, 행동적 특징을 자동화된 장치로 추출하고 분석하는 신원확인 기술

 

i-PIN(internet Personal Identification Number)

인터넷에서 주민등록번호 대신 쓸 수 있도록 만든 사이버 주민등록번호

 

 

BCP(Business Continuity Planning, 업무 연속성 계획)

재난 발생 시 비즈니스의 연속성을 유지하기 위한 계획, 기업이 운용하고 있는 시스템에 대한 평가 및 비즈니스 프로세스를 파악하고 백업 시스템 마련으로 업무 손실을 최소화 하는 계획

 

CRL(Certificate Revocation List, 인증서 폐기 목록)

폐기된 인증서를 이용자들이 확인할 수 있도록 그 목록을 배포, 공표하기 위한 메커니즘

 

EPC클래스(Electronic Product Code Class)

EPCglobal에서 정의하는 RFID 태그의 종류

 

인증기관(Certification Authority)

인증 업무를 수행하는 제 3자의 신뢰 기관

 

SAM(Secure Application module)

카드 판독기 내부에 장착되어 카드와 단말기의 유효성을 인증하고 통신데이터를 암호화하여 정보의 노출 방지 및 통신 메시지의 인증 및 검증을 함

 

CLMS(Copyright License Management System, 저작권라이선스 통합관리시스템)

정부가 디지털 저작물에 대한 체계적인 관리를 위해 추진하고 있는 시스템

 

정부 개인식별번호(Government-Personal Identification Number)

정부가 추진하고 있는 주민등록번호 대체 수단으로 I-pin과 연계하여 개인이 하나의 pin을 이용하여 사용할 수 있음

 

키 페어

공개키 암호 알고리즘에 사용되는 개인키와 공개키 쌍을 말함

 

백업 방식

- 전체 백업 : 데이터 전체를 대상으로 백업을 수행하는방식

- 중분 백업 : 데이터 중 변경되거나 증가된 데이터만을 백업하는 방식

 

트러스트존 기술(TrustZone Technology)

하나의 프로세서 내에 일반 애플리케이션을 처리하는 일반 구역과 보안이 필요한 애플리케이션을 처리하는 보안 구역으로 분할하여 관리하는 하드웨어 보안 기술

 

독싱(Doxing)

dropping docs = “문서를 떨어트리다”에서 파생된 용어로 특정 개인이나 조직을 해킹하여 빼낸 정보를 온라인에 공개하는 행위를 의미

 

독스웨어(doxware)

해킹을 통해 획득한 정보를 온라인에 공개하는 독싱과 랜섬웨어의 기능이 결합된 악성코드이다

 

킬 스위치(Kill Switch)

스마트폰 이용자가 도난당한 스마트폰의 작동을 웹사이트를 통해 정지할 수 있도록 하는 일종의 자폭 기능

 

클릭 농장(Click Farm, 가짜 클릭 농장)

특정 상품의 조회 수 , 앱 다운로드 수 등을 조작할 목적으로 가짜 클릭을 대량으로 생산하는 행위나 생산하는 곳

 

TEE(Trust Execution Environment, 신뢰 실행 환경)

프로세서 내에 일반 영역과 다른 보안 영역을 제공함으로서, 보안 관련 애플리케이션이 다른 애플리케이션의 gdudgid을 받지 않고 실행될 수 있도록 조성된 환경

 

TPM(Trusted Platform Module, 신뢰 플랫폼 모듈)

소프트웨어만으로 운영되는 보안 기술의 한계점을 인식하고 이를 해결하기 위해 내놓은 표준 구격

 

Cyber Bullying(사이버 협박)

개인이나 집단이 인터넷에서 상대에게 나타내는 적대 행위를 말함

 

DDos(Distributed denial of Service, 분산 서비스 거부 공격)

분산 서비스 거부 공격은 여러 대의 장비를 이용하여 대량의 데이터를 한곳의 서버에 집중적으로 전송하여 서버를 데이터의 범람으로 가동을 멈추게 하는 공격

 

VoIP(VoIP Security Threat, 보안 위협)

음성 패킷을 불법으로 수집 및 조합해 통화 내용을 재생하고 도청하는 위협

 

디지털 발자국

사람들이 온라인 활동을 하면서 남긴 로그인 정보, 결재 정보 등의 디지털 이용 기록

 

워터링 홀

포식자가 사냥을 위해 물웅덩이에서 매복하고 있는 것을 빗댄 용어, 표적으로 삼은 집단이 주로 방문하는 웹사이트를 감염시키고 방문하기를 기다리는 것

 

백도어

시스템 보안이 제거된 비밀 통로, 서비스 기술자나 유지 보수 프로그램 작성자의 액세스 편의를 위해 시스템 설계자가 고의로 만들어 놓은 것

 

제로 데이 공격(Zero Day Attack)

보안 취약점이 발견되었을 때 그 문제가 공표되기도 전에 이루어지는 공격

 

스머핑

- IP나 ICMP의 특성을 악용하여 엄청난 양의 데이터를 한 사이트에 집중적으로 보내 네트워크의 일부를 불능상태로 만드는 공격 방법

 

핵티비즘(Hacktivism)

해커와 행동주의의 합성어로 자신들의 정치적 목적을 달성하기 위한 수단으로 반대파의 웹 사이트를 해킹하는 일체의 활동

 

티비싱(Tvishing)

스마트TV에 악성 소프트웨어를 설치해 스마트TV에 대한 최고 접근 권한을 획득하는 해킹 기법

 

APT(Advanced Persistent Threats, 지능형 지속 위협)

다양한 IT 기술과 방식들을 이용해 조직적으로 특정 기업이나 조직 네트워크에 침투해 보안을 무력화 시키고 정보를 빼돌리는 형태의 공격

 

파밍(Pharming)

합법적으로 소유하고 있던 사용자의 도메인을 탈취하거나 DNS 이름을 속여 사용자들이 진짜 사이트로 오인하도록 유도하여 개인정보를 훔치는 수법

 

사회 공학(Social engineering)

컴퓨터 보안에 있어서 인간 상호 작용의 깊은 신뢰를 바탕으로 사람들을 속여 정상 보안 절차를 깨트리기 위한 비 기술적 시스템 침입 수단

 

Zeus

사용자의 온라인 뱅킹 계정 정보를 탈위하기 위해 개발된 스파이웨어

 

Botnet(봇넷)

악성 프로그램에 감염되어 향후에 악의적인 의도로 사용될 수 있는 다수의 컴퓨터들이 네트워크로 연결된 형태

 

Zombie

좀비 컴퓨터란 다른 프로그램이나 다른 사용자를 조종하도록 악성코드에 감연된 컴퓨터를 말함

 

Patent Troll(특허 괴물)

특허권을 비롯한 지적 재산권을 통해 로열티 수입만으로 이익을 창출하는 기업

 

악성 소프트웨어(Malware; Malicious Software)

악의적인 목적을 위해 작성된 것으로 악성코드, 악성 프로그램 등으로 불림

 

스턱스넷(Stuxnet)

독일 지멘스사의 원격 감시 제어 시스템의 제어 소프트웨어에 침투하여 시스템을 마비하게 할 목표로 제작된 악성코드, 원자력 발전소나 화학공장등의 산업기반 시설에 시스템에 침투하여 오작동을 유도하는 명령 코드를 입력함

 

공격용 툴킷(Attack Toolkit)

네트워크에 연결된 컴퓨터를 공격하기 위해 악성 코드 프로그램을 모아 놓은 것으로 제우스와 스파이아이가 대표적

 

죽음의 핑(Ping of Death)

인터넷 프로토콜 허용 범위 이상의 큰 패킷을 고의로 전송하여 발생한 서비스 거부 공격

 

스플로거(Splogger)

- 스팸과 블로거의 합성어로 다른사람의 콘텐츠를 무단복사하거나 게재하는 광고성 블로거

 

IP 스푸핑

다른 시스템과의 신뢰 관계를 속여서 침입하는 크래킹 기술이다

 

스니핑

네트워크의 중간에서 남의 패킷 정보를 도청하는 해킹 유형

 

스위치 재밍(Switch Jamming)

위조된 MAC 주소를 네트워크 상으로 지속적으로 흘려보내 스위칭 허브의 주소 테이블 기능을 마비시키는 것

 

사이버 스토킹

정보통신망을 이용해 악의적인 의도로 지속적으로 공포감이나 불안감 등을 유발

 

반달리즘(Vandalism)

다수가 참여할 수 있도록 공개된 문서의 내용을 훼손하거나 엉뚱한 제목으로 변경하고 낙서를 하는 일(반달족의 무자비한 로마문화 파괴와 약탈에서 온 말)

 

살라미 기법

조금씩 얇게 썰어 먹는 이탈리아 소시지에서 따 온 말로, 많은 대상으로부터 눈치 채지 못할 만큼 적은 금액이나 양을 빼내는 컴퓨터 사기 기법을 의미

 

SQL injection(SQL 삽입) 공격

전문 스캐너 프로그램 혹은 봇넷 등을 이용해 웹사이트를 무차별적으로 공격하는 과정에서 취약한 사이트가 발견되면 데이터 베이스 등의 데이터를 조작하는 공격

 

brute force attack(무작위 공격)

암호화된 문서의 암호키를 찾아내기 위해 적용 가능한 모든 값을 대입하여 공격

 

Qshing(큐싱)

- QR코드를 통해 악성 앱의 다운로드를 유도하거나 악성 프로그램을 설치하도록 하는 금융사기 기법의 하나

 

다크 데이터

수집된 후 저장은 되어 있지만 분석에 활용되지 않는 다량의 데이터

 

블록체인

P2P네트워크를 이용하여 온라인 금융 거래 정보를 온라인 네트워크 참여자의 디지털 장비에 분산 저장하는 기술을 의미

 

드롭퍼

정상적인 파일 등에 트로이 목마나 웜등의 바이러스가 숨겨진 형태를 일컫는 말

 

메모리 해킹

컴퓨터 메모리에 있는 데이터를 위/변조하는 해킹방법

 

스미싱

문자 메시지와 피싱의 합성어로 문자메시로 피싱을 하는 행위

 

웜

네트워크를 통해 연속적으로 자신을 복제하여 시스템의 부하를 높임으로써 결국 시스템을 다운시키는 바이러스

 

크래킹

어떤 목적을 가지고 타인의 시스템에 불법으로 침입하여 정보를 파괴하거나 정보의 내용을 자신의 이익에 맞게 변경하는 행위

 

혹스

실제로는 악성 코드로 행동하지 않으면서 겉으로만 악성 코드인척하는 소프트웨어

 

OWASP(the Open Web Application Security Project, 오픈 웹 애플리케이션 보안 프로젝트)

웹 정보 노출이나 악성 코드, 스크립트, 보안이 취약한 부분을 연구하는 비영리 단체

 

그레이웨어

제공하는 입장에서는 악의적이지 않은 유용한 소프트웨어라고 주장할 수 있지만 사용자 입장에서는 유용할 수도 있고 아닐수도 있는 악성 공유웨어를 말함

 

DLT(Distribute Ledger Technology, 분산 원장 기술)

중앙 관리자나 중앙 데이터 저장소가 존재하지 않고, 피투피 망 내의 참여자들에게 모든 거래 목록이 분산 저장되어, 거래가 발생할 때마다 지속적으로 갱신되는 디지털 원장을 의미

 

가상 화폐(암호화폐 비트코인은 가상화폐에 속함)

- 지폐나 동전과 같은 실물이 없이 온라인 네트워크 상에서 발행되어 온라인 또는 오프라인에서 사용할 수 있는 디지털 화폐(비트코인)

 

 

---