시스템 관리 및 보안

1. 정보 보안 및 암호화

2. 보안 관리

3. 보안 위협의 구체적인 형태

1. 정보 보안 및 암호화

---

1. 보안의 정의와 보안 요건

  > 보안?

- 컴퓨터 시스템 및 컴퓨터에 저장된 정보들을 일부분 또는 전체에 대해 권한이 없는 외부의 불법적인 침입이나 변경, 파괴로 부터 보호하는 것을 의미

  > 보안요건

- 기밀성(Confidentiality, 비밀성)

ㄴ 시스템 내 정보와 자원은 인가된 사용자에게만 접근 허용

ㄴ 정보가 전송 중에 노출되더라도 데이터를 읽을 수 없음

- 무결성(Integrity)

ㄴ 시스템 내 정보는 인가된 사용자만 수정 가능

ㄴ 정보의 내용이 전송 중에 수정되지 않고 전달되는 것을 의미

- 가용성(Availability)

ㄴ 인가받은 사용자는 언제라도 사용 가능함

- 인증(Authentication)

ㄴ 정보를 보내오는 사람의 신원을 확인

ㄴ 사용자를 식별하고, 사용자의 접근 권한을 검증

- 부인 방지(Non Repudiation)

ㄴ 데이터를 송수신한 자가 송수신 사실을 부인할 수 없도록 송수신 증거 제공

- 접근 통제(Access Control)

ㄴ 시스템의 자원 이용에 대한 불법적 접근을 반히나느 과정을 말하며 크래커의 침입으로 부터 보호

2. 보안 위협의 유형

  > 가로막기(Interruption, 흐름 차단)

- 데이터의 정상적인 전달을 가로막아서 흐름을 방해하는 행위

- 가용성 저해

  > 가로채기(Interception)

- 송신된 데이터가 수신지까지 가는 도중에 몰래 보거나 도청하여 정보를 유출하는 행위

- 기밀성 저해

  > 수정(Modification)

- 전송된 데이터를 원래의 데이터가 아닌 다른 내용으로 바꾸는 행위

- 무결성 저해

  > 위조(Fabrication)

- 마치 다른 송신자로 부터 데이터가 송신된 것처럼 꾸미는 행위

- 무결성 저해

3. 인증(Authentication)

  > 다중 사용자 컴퓨터 시스템 또는 망 운용 시스템에서 시스템이 단말 작동 개시(log-on) 정보를 확인하는 보안 절차.

  > 방법1 : 망을 경유해서 컴퓨터에 접속해 오는 사용자가 등록된 사용자인지 확인

  > 방법2 : 전송된 메시지가 변조되거나 의미가 그릇되지 않고 송신자가 보낸 그대로인지 확인

4. 개인키 암호화(Private Key Encryption) 기법

  > 개인키 암호화 기법은 동일한 키로 데이터를 암호화하고 복호화한다.

  > DB 사용자 : 평문M + 암호화알고리즘E + 개인키K → 암호문C

  > 사용자 : 암호문C + 복호화알고리즘D + 개인키K → 평문M

  > 대칭 암호 기법 또는 단일키 암호화 기법이라고도 지칭

  > 종류 : 전위 기법, 대체 기법, 대수 기법, 합성 기법, DES(Data Encryption Standard)

  > 장점 : 암호화/복호화 속도 빠름, 알고리즘 단순, 파일크기 작음

  > 단점 : 사용자 증가에 따라 관리해야 하는 키 수가 많아짐

5. 공개키 암호화(Public Key Encryption) 기법

  > 데이터를 암호화에 쓰이는 공개키는 DB사용자에게 공개하고 복호화에 쓰이는 비밀키는 관리자가 비밀리에 관리

  > 암호화 : 평문M + 암호화알고리즘E + 공개키P → 암호문C

  > 복호화 : 암호문C + 비밀키S + 복호화알고리즘D + 권한 → 평문M

  > 비밀키는 노출시키지 않고 DB 사용 권한자에게만 공유

  > 비대칭 암호기법 이라고 하며 RSA(Rivest Shamir Adleman)이 있다.

  > 장점 : 키의 분배가 용이하고 관리해야 할 키가 적다

  > 단점 : 암호화/복호화 속도 느림, 알고리즘 복잡, 파일크기 큼

6. DES(Data Encryption Standard, 데이터 암호 표준)

  > 대표적인 비밀키 암호화 기법

  > 56bit의 암호/복호 키를 이용하여 64bit 평문을 암호화, 복호화 하는 방식

  > IBM에서 개발하고 미국 국방성이 채택

  > 암호화 키와 복호화 키가 동일한 개인키 암호화 기법

  > 3개의 키를 연속해 놓은 트리플 DES가 많이 사용됨

7. 순차적 암호화(OPE, Order Preserving Encryption)

  > DB에서 암호화된 수치 데이터들이 원본 수치 데이터와 동일한 순서로 정렬될 수 있도록 해주는 암호화 기술

  > 검색 속도 저하를 극복하기 위한 암호화 방법이지만 순서 자체가 중요한 정보가 될 수 있기 때문에 정보 노출 위험성이 따른다. 따라서 안정성을 보완해 줄 기술 보안 장치를 함께 사용하여 OPE의 취약점을 보완해야 한다.

8. 공개 키 기반 구조(PKI; Public key Infrastructure)

  > 공개키 암호 시스템을 안전하게 사용하고 관리하기 위한 정보 보호 표준 방식

  > ITU-T의 X.509방식

- 인증기관에서 발생하는 인증서를 기반으로 상호 인증 제공

  > 비 X.509방식

- 국가별, 지역별로 맞게 보완 개발 되고 있다.

9. 양자 암호키 분배(QKD; Quantum Key Distribution)

  > 양자 통신을 위해 비밀키를 분배하고 관리하는 기술

  > 두 시스템이 암호 알고리즘 동작을 위한 비밀키를 안전하게 공유하기 위해 양자 암호키 분배(QKD) 시스템을 설치하여 운용하는 방식으로 활용된다. 키 분배를 위해 얽힘 상태 광자 또는 단일 광자를 이용하는 방법을 사용한다.

10. 크로스 사이트 스크립팅(XSS; Cross Site Scripting)

  > 네트워크를 통한 컴퓨터 보안 공격의 하나이다.

  > 웹페이지의 내용을 사용자 브라우저에 표현하기 위해 사용하는 스크립트에서 악용될 수 있는 취약점이나 해킹 기법을 말한다.

  > 일반적으로 게시판이나 웹 메일 등에 삽입된 악의적인 목적의 스크립트를 통해 전달된다.

  > 사용자가 해당 게시물 또는 메일을 클릭하면 악성 스크립트가 실행되어 페이지가 깨지거나 사용자의 컴퓨터에 있는 로그인 정보나 개인 정보, 내부 자료 등이 해커에게 전달된다.

11. 해시(Hash)

  > 임의의 길이의 입력 데이터나 메시지를 고정된 길이의 값이나 키로 변환하는 것

  > 데이터의 암호화가 아닌 무결성을 검증하기 위한 방법으로 사용된다.

  > 대칭-비대칭 암호화 기법과 함께 사용되어 전자화폐, 전자서명 등의 다양한 방면에서 활용된다.

2. 보안 관리

---

1. 프라이버시 강화 기술(PET; Privacy Enhancing Technology)

  > 개인정보 위험관리 기술

  > 암호화, 익명화 등 개인정보를 보호하는 기술에서 사용자가 직접 개인정보를 통제하기 위한 기술까지 다양한 사용자 프라이버시 보호기술을 통칭

2. Digital Forensics(디지털 포렌식)

  > 디지털 저장매체에 존재하는 디지털 정보를 수집하는 디지털 수사과정

  > 범죄의 증거로 사용될 수 있는 컴퓨터, 휴대전화, 인터넷 등이 대상이 된다

3. DRM(Digital Rights Management, 디지털 저작권 관리)

  > 데이터의 안전한 배포를 활성화하거나 불법 배포를 방지하여 인터넷이나 기타 디지털 매체를 통해 유통되는 데이터의 저작권을 보호하기 위한 시스템

  > 보통 데이터를 암호화하여 인증된 사용자만이 접속할 수 있게 하거나, 디지털워터마크의 사용 또는 이와 유사한 방식으로 콘텐츠를 작성하여 지적재산권을 보호한다.

4. ONS(Object Naming Service)

  > 사물에 관한 구체적인 정보가 저장되어 있는 서버의 위치를 알려주는 서비스

  > RFID 태그가 부착된 제품을 리더로 읽으면 제품의 초기 제작 정보는 물론 유통 과정에서 저장된 다양한 정보를 파악할 수 있다. 정보는 RFID 태그에 내장된 제품 고유 번호 표준 EPC(Electronic Product Code)를 통해 저장된다.

5. 침입 탐지 시스템(IDS; Intrusion Detection System)

  > 컴퓨터 시스템이 실시간으로 비정상 사용, 오용, 남용 등을 탐지하는 시스템

  > 침입 차단만으로는 내부 사용자의 불법적인 행동과 외부 해킹에 대처할 수는 없기 때문에 모든 내외부 정보의 흐름을 실시간으로 차단하기 위해 해커 침입 패턴에 대한 추적과 유해 정보 감시가 필요하다.

6. RFID(Radio Frequency IDentification, 전파 식별)

  > 라디오 주파수 인식 기술, IC칩과 무선을 통해 다양한 개체의 정보를 관리할 수 있는 인식 기술

  > 판독 및 해독 기능을 수행하는 판독기(Reader)와 정보를 제공하는 태그(Tag)로 구성

  > 제품에 붙이는 태그에 생산, 유통, 보관, 소비 전 과정에 대한 정보를 저장함으로써, 판독기로 하여금 안테나를 통해 이 정보를 읽어 들이도록 한다. 인공위성이나 이동 통신망과 연계하여 정보 시스템과 통합적으로 사용된다.

  > 바코드의 단점을 극복한 대체기술(적은 저장 용량, 실시간 정보 파악 불가, 가까운 거리만 판독 가능)

7. 저작권(Copyright)

  > 원저작물의 창작자가 저작물의 사용/배포에 일정 기간 동안 배타적 권리를 인정받는 법적인 권리

  > 배타적 권리는 저작권법에서 정한 제한 및 예외 사항에 의해 제한되므로 절대적인 권리는 아니다.

8. Copyleft

  > 저작권을 기반으로 한 정보의 공유를 주장

- 일부에 의해 지식이나 정보가 독점되어서는 안되며 누구나 접근할 수 있도록 열려 있어야 한다는 내용

  > 대표적으로 리눅스가 있다.

- 소스 코드가 공개되어 다운로드 후에 이용자가 프로그램을 원하는 대로 변형 및 활용할 수 있다.

9. 데이터 유출 방지(DLP; Data Leakage/Loss Prevention)

  > 내부정보 유출 방지 솔루션

  > 사내 PC와 네트워크 상 모든 정보를 검색하고 사용자의 행위를 탐지/통제해 외부로의 유출을 사전에 방지

10. CC(Common Criteria, 공통 평가 기준)

  > ISO표준으로 채택된 정보 보호 제품 평가 기준

  > 정보화 순기능 역할을 보장하기 위해 정보화 제품의 정보보호 기능과 이에 대한 사용 환경 등급을 정한 기준

  > 정보 보호 시스템에 대한 공통 평가 기준은 선진 각국들이 서로 다른 평가 기준으로 인해 발생하는 시간과 비용 낭비 등의 문제점을 없애기 위해 개발하기 시작하여 제1부 시스템의 평가 원칙과 평가 모델, 제2부 시스템 보안 기능 요구 사항(11개), 제3부 시스템의 7등급 평가를 위한 보증 요구 사항(8개)으로 되어있다.

11. SSL(Secure Sockets Layer)

  > 데이터 송수신측 사이에 위치하여 인증, 암호화, 무결성을 보장하는 업계 표준 프로토콜

  > TCP/IP 계층과 응용계층 사이에 위치한 레이어

  > SSL을 통해 접속하는 경우, 전송되는 데이터는 모두 암호화되어 전송하기 때문에 전송 도중 유출되어도 안전

  > SSL을 사용하기 위해서는 SSL용 인증서가 필요

12. 프록시 서버(Proxy Server)

  > PC사용자와 인터넷 사이에서 중개자 역할을 하는 서버

  > 방화벽(Firewall) 기능

- 컴퓨터 시스템에 방화벽을 설치하는 경우 외부와 연결하여 통신이 가능하게끔 하며 HTTP, FTP, Gopher 지원

  > 캐시 기능

- 많은 요청이 발생하는 데이터를 프록시 서버에 저장해 두었다가 요청이 있을 경우 신속하게 전송

13. HDCP(High-bandwidth Digital Content Protection, 고대역폭 디지털 콘텐츠 전송 보호)

  > DVI(디지털 비주얼 인터페이스) 송수신간 고대역폭의 비디오 암호화 전송을 보호하기 위한 규격

  > 방식

- 송신측 : 컴퓨터, 셋톱 박스, 디지털 비디오 디스크(DVD) 플레이어 등을 사용

- 수신측 : 액정 표시 장치(LCD), TV, 플라즈마 장치, 프로젝터 등을 사용

- 모든 장비는 콘텐츠 보호 기관으로부터 고유의 비밀 장비 키를 부여받는다.

- 콘텐츠 사용 전 수신측 키가 인지되고 양측 장비가 공유 비밀 키를 생성하는 인증 절차를 거친 후에 콘텐츠가 암호화되어 수신측에 전송된다.

14. 빅 데이터(Big Data)

  > 기존 관리 방법이나 분석 체계로는 처리하기 어려운 막대한 양의 정형 또는 비정형 데이터 집합

  > 스마트 단말의 빠른 확산, 소셜 네트워크 서비스의 활성화, 사물 네트워크의 확대로 데이터 폭발이 더욱 가속화되고 있다. 빅데이터가 주목받고 있는 이유는 기업이나 정부, 포털 등이 빅데이터를 효과적으로 분석함으로써 미래를 예측해 최적의 대응 방안을 찾고, 이를 수익으로 연결하여 새로운 가치를 창출하기 때문이다.

15. CCL(Creative Commons License, 저작물 이용 약관)

  > 저작권자가 자신의 저작물에 대한 이용 방법 및 조건을 표기하는 저작물 이용 약관

  > 분류 : 저작자표시(BY), 비영리($), 변경금지(=), 동일조건변경허락(⊃)

16. 개인정보 영향평가 제고(PIA, Privacy Impact Assessment)

  > 개인정보를 활용하는 새로운 정보시스템의 도입 및 기존 정보시스템의 중요한 변경 시 시스템의 구축과 운영이 기업의 고객은 물론 국민의 사생활에 미칠 영향에 대해 미리 조사, 분석, 평가하는 제도

  > 개인정보 침해 위험성을 사전에 발견해 정보시스템 구축 및 운영에서 시행착오를 예방하고 효과적인 대응책을 수립하기 위해 도입된 것으로, 개인정보보호법에 의해 공공기관은 의무화 되어있다.

17. 목표 복구 시점(RPO; Recovery Point Objective)

  > 조직에서 발생한 여러 가지 재난 상황으로 인해 IT 시스템이 마비되었을 때, 각 업무에 필요한 데이터를 여러 백업 수단을 활용하여 복구할 수 있는 기준점

  > 복구 기준점

  > 복구가 필요한 업무에 대해 어느 시점까지 데이터가 필요한가에 따라 시점을 정한다.

18. 목표 복구 시간(RTO; Recovery Time Objective)

  > 비상사태 또는 업무 중단 시점부터 업무를 복귀하기 위한 목표 시간을 지칭

19. 인터넷 제어 메시지 프로토콜(ICMP; Internet Control Message Protocol)

  > TCP/IP 기반의 인터넷 통신 서비스에서 인터넷 프로토콜과 조합하여 통신 중에 발생하는 오류의 처리와 전송 경로의 변경 등을 위한 제어 메시지를 취급하는 프로토콜이다. ICMP는 OSI 기본 참조 모델의 네트워크층에 해당한다.

20. WEP(Wired Equivalent Privacy, 유선급 프라이버시)

  > 유선 랜(LAN)에서 기대할 수 있는 것과 같은 보안과 프라이버시 수준이 제공되는 무선 랜(WLAN)의 보안 프로토콜

  > 유선 랜은 일반적으로 건물 접근 통제와 같은 물리적 보안 체계로 되어 있지만, 무선 랜에서는 전파의 공간 전달 특성으로 인해 별 효과가 없기 때문에 유선망의 보안 수준에 맞추어 유사한 보안 대책으로 데이터를 암호화한 것

  > 데이터 암호화는 노출되기 쉬운 회선 접속을 보호하고 비밀번호, 단말 간 암호, 가상 사설 통신망(VPN), 인증 등 전형적인 랜 보안 체계가 프라이버시를 보호하고 있다.

  > WEP의 기술 표준은 IEEE WI-FI 표준 802.11b에 기술되어 있다.

21. WPA(Wi-Fi Protected Access)

  > Wi-Fi에서 제정한 무선 랜(WLAN) 인증 및 암호화 관련 표준

  > 암호화는 웹 방식을 보완한 IEEE 802.11i 표준의 임시 키 무결성 프로토콜(TKIP)을 기반으로 함

  > 인증 부문에서도 802.1x 및 확장 가능 인증 프로토콜(EAP)을 기반으로 상호 인증을 도입해 성능을 높임

  > 특히 패킷 당 키 할당 기능, 키 값 재설정 등 여러기능 덕에 해킹이 불가하고 네트워크에 접근할 때 인증 절차 필요

22. IP 보안 프로토콜(IPSec; IP security protocol)

  > 안전에 취약한 인터넷에서 안전한 통신을 실현하기 위한 통신 규약

  > 인터넷상에 전용 회선과 같이 이용 가능한 가상적인 전용 회선을 구축하여 데이터가 도청당하는 등의 행위를 방지하기 위한 통신 규약이다. 이 통신 규약은 사용자 측 단말기에 탑재할 수 있으며, 인터넷을 거쳐 특정 클라이언트와 서버만이 IPsec로 데이터를 주고받을 수 있다.

23. OTP(One-Time Password, 일회용 패스워드)

  > 로그인 할 때마다 그 세션에서만 사용할 수 있는 1회성 패스워드를 생성하는 보안 시스템

  > 동일한 패스워드가 재사용됨으로써 발생할 수 있는 패스워드 도난 문제를 예방하는 것이 목적

  > 일반 패스워드와는 달리 단방향 암호 기반의 해시(Hash)라는 패스워드를 사용하며, 그 세션이 끝나면 폐기되기 때문에 재사용이 불가능한 안전한 기능이다.

24. SSO(Single Sign On)

  > 한 번의 로그인으로 개인이 가입한 모든 사이트를 이용할 수 있게 해주는 시스템

  > 개인의 경우 사이트에 접속하기 위해 아이디와 패스워드는 물론 이름 전화번호 등 개인정보를 각 사이트마다 일일이 기록해야 하던 것이 한 번의 작업으로 끝나므로 불편함이 해소되며, 기업에서는 회원에 대한 통합관리가 가능해 마케팅을 극대화시킬 수 있다는 장점이 있다.

25. 공인인증서(Certificate)

  > 전자 서명법에 의한 공인 인증기관이 발행한 인증서

  > 인터넷 뱅킹, 전자 민원, 전자 입찰, 인터넷 주택 청약 등에서 신원 확인 수단 및 로그인 수단으로 사용하고 있다.

26. 생체 인식(Biometrics)

  > 사람의 신체적, 행동적 특징을 자동화된 장치로 추출하고 분석하여 정확하게 개인의 신원을 확인하는 기술

  > 광의로는 생물 데이터를 측정 및 분석하는 기술을 의미하지만 정보 기술에서는 지문, 눈의 망막 및 홍채, 음석, 얼굴 표정, 손 측정 등 인증 목적으로 사람의 신체 특성을 측정 및 분석하는 기술을 말한다. 측정 장치는 스캐너, 소프트웨어, DB로 구성되어 있으며 입력 데이터의 정합점을 비교하여 알고리즘으로 처리한다.

27. 인터넷 개인식별번호(i-PIN, internet Personal Identification Number)

  > 인터넷에서 주민등록번호 대신 쓸 수 있도록 만든 사이버 주민등록번호

  > 사용자에 대한 신원확인을 완료한 후에 본인확인기관에 의해 온라인으로 사용자에게 발행된다.

  > 이 방식에 따르면 개별 웹사이트는 실제 주민번호와는 전혀 다른 i-PIN 정보만을 갖게 되므로 주민번호 수집행위 등 개인정보 침해 요소를 대폭 줄일 수 있고, 주민번호는 유출되어도 이를 변경할 수 없지만 i-PIN에서는 이용자가 유출이 의심되면 언제든지 새로운 i-PIN으로 변경할 수 있어서 개인정보의 오용과 추적을 원천적으로 막을 수 있다.

28. BCP(Business Continuity Planning, 업무 연속성 계획)

  > 재난 발생 시 비즈니스의 연속성을 유지하기 위한 계획

  > 재해, 재난으로 인해 정상적인 운용이 어려운 상황에 처했을 때 데이터 백업과 같은 단순 복구 뿐만 아니라 고객 서비스의 지속성을 보장, 핵심 업무 기능을 지속하는 환경을 조성해 기업 가치를 극대화하는 것을 말한다.

  > 기업이 운용하고 있는 시스템에 대한 평가 및 비즈니스 프로세스를 파악하고 재해 백업 시스템 운용 체계를 마련하여 재해로 인한 업무 손실을 최소화하는 컨설팅 기능을 포함한 개념이므로 일반적으로 컨설팅→시스템 구축→시스템 관리의 3단계로 이뤄진다.

29. CRL(Certificate Revocation List, 인증서 폐기 목록)

  > 폐기된 인증서를 이용자들이 확인할 수 있도록 그 목록을 배포, 공표하기 위한 메커니즘

  > 주로 인증기관에서 관리하며 메시지를 전달할 때 인증서와 함께 전달된다.

  > CRL에는 취소된 인증서들의 일련번호가 들어 있으며 이를 받은 당사자는 목록을 참조하여 취소된 인증서를 사용하지 않도록 해야 한다.

30. EPC 클래스(EPC Class; Electronic Product Code Class)

  > EPCglobal에서 정의하는 RFID 태그의 종류

  > Class 1

- 태그 제조업체에서 고유한 인식 번호가 제작단계에서 부여되어 물체에 부착된 후 읽기만을 제공

  > Class 2

- 읽기/쓰기 모두 가능하며 암호화를 적용할 수 있는 수동형 태그

  > Class 3

- 리더로 부터 오는 전력을 내장배터리를 통해 태그정보 전송에만 활용하여 인식 거리를 증가시킨 반 능동형 태그

  > Class 4

- 태그끼리 통신이 가능하며 애드 훅 네트워크 구성이 진화된 태그

- 애드 훅 네트워크 : 노드들에 의해 자율적으로 구성되는 기반 구조가 없는 네트워크

31. 인증기관(Certification Authority)

  > 인증 업무를 수행하는 제3자의 신뢰기관

  > 온라인상에서의 사용자 인증, 전자문서 위변조 방지, 부인방지 등의 보안기능을 제공하는 인증서에 대한 발급, 갱신, 폐지, 유효성 등의 검증 업무를 수행한다. 국내에서는 전자상거래, 인터넷 뱅킹 등 거래에 공인인증 서비스를 위한 인증체계로서 루트 인증기관으로 한국인터넷진흥원을, 하위 인증기관으로 금융결제원, 한국정보인증, 코스콤 등을, 인증서 발급 관련 등록업무 및 신분확인 업무를 담당하는 기관으로 등록대행기관(RA, 은행 등)을 두어 운영하고 있다.

32. SAM(Secure Application Module)

  > 카드 판독기 내부에 장착되어 카드와 단말기의 유효성을 인증하고 통신 데이터를 암호화하여 정보의 노출 방지 및 통신 메시지의 인증 및 검증을 하며, 또한 카드에서 이전된 전자적인 가치를 저장하기도 한다. SAM은 일반적으로 하드웨어의 형태로 존재하지만 소프트웨어적인 형태로 존재하며, 인터넷 전자상거래 시 또는 PC사용 시 프로그램 안에 카드 인증용 SAM을 내장하기도 한다.

33. 저작권라이선스 통합관리시스템(CLMS; Copyright License Management System)

  > CLMS는 정부가 디지털 저작물에 대한 체계적인 관리를 위해 추진하고 있는 시스템이다.

  > 정부와 저작권 관련단체는 저작권의 이용계약 체결과 사용 내역 등 통합적인 관리를 위해 저작권라이선스 통합관리시스템 구축을 추진해 왔으며, 적용분야도 음악과 어문 분야에 이어 영화 등 각종 영상과 외국음악, 나아가 방송콘텐츠까지 구축을 확대해 가고 있다.

34. 정부 개인식별번호(Government-Personal Identification Number)

  > 정부가 추진하고 있는 주민등록번호 대체 수단

  > 주민번호 오남용, 도용 등 개인정보보호를 강화하기 위해 공공기관 웹사이트 회원가입이나 게시판 이용 시 G-PIN을 전 공공기관에서 사용해야 한다. 민간 부분에서 사용중인 인터넷 개인식별번호(i-PIN)와 G-PIN을 연계하여 개인이 하나의 PIN을 이용하여 사용할 수 있다.

35. 키 페어(Key Pair)

  > 공개키 암호 알고리즘에 사용되는 개인키(Private Key)와 공개키(Public Key)쌍을 말한다.

  > 두 개의 키는 서로 수학적인 방법에 의해 암호화 및 복호화 과정을 수행함으로서 원래의 평문을 추출할 수 있다.

  > 개인키와 공개키 쌍은 1개는 암호화에 이용되고 또 다른 1개는 복호화에 이용된다.

36. 방화벽(Firewall)

  > 방화벽은 기업이나 조직 내부의 네트워크와 인터넷 간 전송되는 정보를 선별하여 수용, 거부, 수정하는 능력을 가진 보안 시스템이다. 내부 네트워크에서 외부로 나가는 패킷은 그대로 통과시키고, 외부에서 내부 네트워크로 들어오는 패킷은 내용을 엄밀히 체크하여 인증된 패킷만 통과시키는 구조로, 해킹 등에 의한 외부로의 정보 유출을 막기 위해 사용한다.

37. 백업 방식

  > 전체 백업 : 데이터 전체를 대상으로 백업을 수행하는 방식

  > 중분 백업(Incremental Backup) : 백업 대상 데이터 중 변경되거나 증가된 데이터만을 대상으로 백업

- 차별 중분(Differential Incremental) : 전체 백업 이후 변화가 있는 데이터만을 대상으로 백업

- 누적 중분(Cumulative Incremental) : 전체 백업 이후 변경분을 누적하여 백업. 차별 중분과 유사

38. 트러스트존 기술(TrustZone Technology)

  > 칩 설계회사인 ARM에서 개발한 기술

  > 하나의 프로세서 내 구역을 2개로 분할하여 관리하는 하드웨어 기반의 보안 기술

- 일반 구역(Normal World) : 일반 애플리케이션을 처리하는 구역

- 보안 구역(Secure World) : 보안이 필요한 애플리케이션을 처리하는 구역

  > 결제, 인증서, 기밀문서 등과 같이 보안이 필요한 데이터들을 취급하는 app을 외부 공격에 노출하지 않고 운영체제 수준에서 안전하게 보호하는 것이 가능하다.

39. 독싱(Doxing)

  > 문서를 떨어뜨리다(Dropping Docs)에서 파생된 용어

  > 특정 개인이나 조직을 해킹하여 빼낸 정보를 온라인에 공개하는 행위

  > 독싱은 개인정보를 해킹한 후 유포하는 행위도 포함된다.

40. 독스웨어(Doxware)

  > 독싱과 랜섬웨어의 기능이 결합된 악성코드

  > 랜섬웨어 : 시스템에 대한 접근을 막거나 데이터를 암호화하여 해제를 위해 금품 등을 요구하는 행위

  > 피해자의 정보를 암호화하여 접근을 막고 독싱하겠다고 협박한다.

41. 킬 스위치(Kill Switch)

  > 스마트폰 이용자가 도난당한 스마트폰의 작동을 웹사이트를 통해 정지할 수 있도록 하는 일종의 자폭 기능

  > 단말기의 펌웨어나 운영체제에 탑재된다.

42. 클릭 농장(Click Farm, 가짜 클릭 농장)

  > 인터넷에서 특정 상품의 조회 수, 앱 다운로드 수 등을 조작할 목적으로 가짜 클릭을 대향으로 생산하는 행위나 집단

  > 저임금 근로자, 자동화 스크립트, 컴퓨터 프로그램 등을 이용해 특정 게시글의 정보를 조작

  > 소비자가 제품 구매 시 피해를 보게되며 웹서비스에 대한 신뢰도 저하 피해 초래

43. 신뢰 실행 환경(TEE; Trusted Execution Environment)

  > 프로세서 내 일반 영역(normal area)과 다른 보안 영역(secure area)을 제공함으로서, 보안 관련 app이 다른 app의 영향을 받이 않고 안전하게 실행될 수 있도록 조성된 환경

  > 비영리 표준화 기구인 글로벌플랫폼(GlobalPlatform)에서 2010년 국제 표준을 제정하였다.

  > 주로 개인정보가 저장되는 스마트폰에서 사용되며 유료 컨텐츠 보호, 디지털 저작권 관리, 모바일 금융 서비스, 인증 등을 위해 이용된다. 칩 설계회사인 ARM에서 개발한 TrustZone이 대표적인 TEE로 꼽힌다.

44. 신뢰 플랫폼 모듈(TPM; Trusted Platform Module)

  > 소프트웨어만으로 운영되는 보안기술의 한계점을 인식하고 이를 해결하기 위해 내놓은 표준 규격

  > 국제산업표준단체 TCG(Trusted Computing Group)에서 발표

  > 암호화된 키, 패스워드, 디지털 인증서 같이 보안을 필요로 하는 중요 데이터를 하드웨어적으로 분리된 안전한 공간에 저장하여 키의 관리나 암호화 처리 등을 해당 보안 장치 내부에서만 처리하도록 하는 강력한 보안 환경을 제공하는 모듈. 모바일용 신뢰 플랫폼 모듈 MTM(Mobile Trusted Module)도 있다.

3. 보안 위협의 구체적인 형태

---

1. Cyber Bullying(사이버 협박)

  > 개인이나 집단이 인터넷에서 상대에게 나타내는 적대 행위를 말한다.

  > 전자 우편, 문자 메시지, 인터넷 메신저 따위로 모욕이나 위협을 주는 메시지를 보내거나 소문을 퍼뜨리고 모욕적인 사진을 공개하여 누군가를 괴롭히는 행위

2. DDoS(Distributed Denial of Service, 분산 서비스 거부 공격)

  > 여러 대의 장비를 이용하여 대량의 데이터를 한 곳의 서버에 집중적으로 전송함으로써, 특정 서버의 정상적인 기능을 방해하는 것을 말한다. 표적 서버는 데이터 범람으로 시스템 가동을 멈추게 된다.

3. VoIP 보안 위협(VoIP Security Threat)

  > 음성 패킷을 불법으로 수집 및 조합해 통화 내용을 재생하고 도청(Sniffing)하는 위협이다. 

  > 서비스 관련 시스템 자원 고갈 및 비정상 패킷의 다량 발송을 통한 회선 마비 등의 서비스 거부(DoS) 공격이 있다.

  > 또한 사용자의 등록정보를 조작하거나 추가해 비 인가된 서비스를 이용하는 서비스 오용 공격, 호 설정 과정이나 사용자 등록 과정에 개입해 사용자의 세션 제어권한 등을 획득하는 세션 가로채기, 인터넷 회션을 공유해 녹음기 등을 통해 발송하는 VoIP 스팸이 있다.

4. Ransomware(랜섬웨어)

  > 미국에서 발견된 스파이웨어 형태의 악성 프로그램

  > 인터넷 사용자의 컴퓨터에 잠입해 내부 문서나 파일 등을 임의로 암호화해 사용자가 열지 못하도록 만든 후 암호 해독용 프로그램의 전달을 조건으로 사용자에게 금품을 요구

5. 디지털 발자국(Digital Footprint)

  > 사람들이 온라인 활동을 하며 남긴 다양한 디지털 기록 또는 흔적

- 로그인 정보, 결제 정보, 결제 방법, 구매 이력, SNS, E-mail

  > 기업들은 디지털 발자국을 토대로 고객 맞춤형 광고나 판촉이 가능하지만, 개인 정보 유출에 대한 피해 사례가 많아지고 개인 정보 보호에 대한 인식이 높아지며 논란의 대상이 되고 있다. 디지털 발자국을 지워 주는 전문업체도 등장

6. 워터링 홀(Watering Hole)

  > 포식자가 사냥을 위해 물 웅덩이(Wetering Hole)에서 매복하고 있는 것을 빗댄 용어

  > 표적으로 삼은 집단이 주로 방문하는 웹 사이트를 감염시켜, 피해 대상이 해당 사이트를 방문하는 것을 기다린다. 공격자는 표적 집단에 대한 정보를 수집하여 주로 방문하는 웹사이트를 파악, 감염시킨다. 해당 웹사이트에 방문하는 모든 사용자들이 악성 코드에 감염되어 전염성이 높아지는 것이 특징이다.

7. 백도어(Back Door, Trap Door)

  > 시스템 보안이 제거된 비밀 통로로, 서비스 기술자나 유지 보수 프로그램 작성자의 액세스 편의를 위해 시스템 설계자가 고의로 만들어놓은 것

  > 대규모의 응용 프로그램이나 운영체제를 개발할 때는 프로그램 보수의 용이성을 위해 코드 중간 중간에 Trap Door라는 중단 부분을 설정하는데, 최종 단계에서 이 부분을 삭제하지 않고 남겨두면 컴퓨터 범죄에 악용되기도 한다.

8. Zero Day Attack(제로 데이 공격)

  > 보안 취약점이 발견되었을 때 그 문제의 존재 자체가 널리 공표되기도 전에 해당 취약점을 악용하여 이뤄지는 보안 공격으로, 공격의 신속성을 의미한다.

  > 일반적으로 컴퓨터에서 취약점이 발견되면 제작자나 개발자가 취약점을 보완하는 패치를 배포하고 사용자가 이를 내려받아 대처하는 것이 관례이나, 이것은 대응책이 공표되기도 전에 공격이 이루어지므로 대처 방법이 없다.

9. SMURFING(스머핑)

  > IP나 ICMP의 특성을 악용하여 엄청난 양의 데이터를 한 사이트에 집중적으로 보냄으로써 네트워크의 일부를 불능상태로 만드는 공격 방법이다. 스머핑 공격을 무력화하는 방법 중 하나는 각 네트워크 라우터에서 IP 브로드캐스트 주소를 사용할 수 없게 미리 설정해 놓는 것이다.

10. Typosquatting(타이포스쿼팅)

  > 네티즌들이 사이트에 접속할 때 주소를 잘못 입력하거나 철자를 빠뜨리는 실수를 이용하기 위해 이와 유사한 유명 도메인을 미리등록하는 것으로 URL 하이재킹 이라고도 한다. 유명 사이트들의 도메인을 입력할 때 발생할 수 있는 온갖 도메인 이름을 미리 선점해놓고 이용자가 모르는 사이에 광고 사이트로 이동하게 만든다.

11. Hacktivism(핵티비즘)

  > 해커(Hacker)와 행동주의(Activism)의 합성어로 자신들의 정치적 목적을 달성하기 위한 수단으로 자신과 노선을 달리하는 정부나 기업, 단체 등의 인터넷 웹 사이트를 해킹하는 일체의 활동을 말한다. 인터넷이 활성화되면서 정치가, 사회 운동가들이 인터넷 공간으로 활동 영역을 넓히면서 핵티비즘도 증가하고 있다.

12. Tivishing(티비싱)

  > 스마트TV에 악성 소프트웨어를 설치해 스마트TV에 대한 최고 접근 권한을 획득하는 해킹 기법이다. 스마트TV를 해킹해 시청자의 사생활을 몰래 촬영하여 유출하거나 녹화된 홈쇼핑 화면을 해적방송으로 송출하고 자동주문번호를 자신의 번호로 바꿔치기해 금전적인 피해를 입힐 수 있다.

13. APT(Advanced Persistent Threats, 지능형 지속 위협)

  > 다양한 IT 기술과 방식들을 이용해 조직적으로 특정 기업이나 조직 네트워크에 침투해 활동 거점을 마련한 뒤 때를 기다리며 보안을 무력화시키고 정보를 수집한 다음 외부로 빼돌리는 형태의 공격을 말한다. 공격 방법에는 내부자에게 악성코드가 포함된 이메일을 오랜 기간 동안 꾸준히 방송해 한 번이라도 클릭되길 기다리는 형태, 스턱스넷(Stuxnet)과 같이 악성코드가 담긴 이동식 디스크(USB) 등으로 전파하는 형태, 악성코드에 감염된 P2P 사이트에 접속하면 악성코드에 감염되는 형태 등이 있다.

14. Pharming(파밍)

  > 합법적으로 소유하고 있던 사용자의 도메인을 탈취하거나 DNS 이름을 속여 사용자들이 진짜 사이트로 오인하도록 유도하여 개인 정보를 훔치는 신종 인터넷 사기 수법이다. 피싱이 금융 기관 들릐 웹 사이트에서 보낸 이메일로 위장하여 링크를 유도해 개인의 인증 번호나 신용카드 번호, 계좌 정보 등을 빼내는 반면, Pharming은 아예 해당 사이트가 공식적으로 운영하고 있는 도메인 자체를 탈취한다. 사용자들은 늘 이용하는 사이트로 인식하여 의심하지 않고 개인 ID, PW, 계좌 정보 등을 노출하는 것이 특징이다.

15. Social Engineering(사회 공학)

  > 컴퓨터 보안에 있어서, 인간 상호 작용의 깊은 신뢰를 바탕으로 사람들을 속여 정상 보안 절차를 꺠트리기 위한 비기술적 시스템 침입 수단을 말한다. 우선 통신망 보안 정보에 접근 권한이 있는 담당자와 신뢰를 쌓고 전화나 이메일을 통해 그들의 약점과 도움을 이용하는 것이다. 상대방의 자만심이나 권한을 이용하는 것, 정보의 가치를 몰라서 보안을 소흘히 하는 무능에 의존하는 것과 도청 등이 일반적인 Social Engineering적 기술이다.

16. Zeus

  > 사용자의 온라인 뱅킹 계정 정보를 탈취하기 위해 개발된 상용 멀웨어이다. 2007년 러시아에서 개발된 것으로 추정되는 Zeus는 주로 이메일 등을 통해 전파되며, 감염된 컴퓨터는 사용자의 키보드 입력 정보를 지정된 곳으로 보낸다.

17. Botnet(봇넷)

  > 악성 프로그램에 감염되어 향후에 악의적인 의도로 사용될 수 있는 다수의 컴퓨터들이 네트워크로 연결된 형태를 말한다. 해킹 또는 악성 프로그램에 감염된 컴퓨터를 네트워크로 연결하고, 해커는 봇넷에 연결된 컴퓨터를 원격 조종해 개인 정보 유출, 스팸 메일 발송, 다른 시스템에 대한 공격 등 악의적인 행위를 한다.

18. Zombie [컴퓨터]

  > Zombie 컴퓨터란 다른 프로그램이나 다른 사용자를 조종하도록 악성코드에 감염된 컴퓨터를 말한다. C&C(Command & Control) 서버의 제어를 받아 주로 DDoS 공격 등에 이용된다.

19. Patent Troll(특허 괴물)

  > 특허권을 비롯한 지적 재산권을 통해 로열티 수입만으로 이익을 창출하는 특허 관리 전문 기업을 말한다. 실제로 제품을 만드는 회사가 아니므로 자신들이 보유한 특허로 다른 회사를 공격할 수는 있지만 다른 회사가 이들을 공격하여 피해를 줄 방법이 없다는 점을 악용하여 수익을 창출한다.

20. 악성 소프트웨어(Malware; Malicious Software)

  > 악의적인 목적을 위해 작성된 것으로 악성 코드(Malicious Code) 또는 악성 프로그램(Malicious Program) 등으로 불린다. 실행 가능한 코드에는 프로그램, 매크로, 스크립트 뿐만 아니라 취약점을 이용한 데이터 형태도 포함된다. 악성 소프트웨어는 광범위한 개념이며 자가 복제 능력과 감염 대상 유무에 따라 바이러스, 웜, 트로이 목마, 스파이웨어 등으로 분류된다. 최근의 악성 소프트웨어는 첨부파일을 열어 보거나, 소프트웨어를 다운받아 설치하는 종래의 통념을 벗어나 단지 검색 페이지의 링크나 이미지를 클릭하기만 해도 원치 않는 소프트웨어가 설치되거나 시스템이 하이재킹 당할 수 있어 주의를 요한다.

21. 스턱트넷(Stuxnet)

  > 독일 지멘스사의 원격 감시 제어 시스템(SCADA)의 제어 소프트웨어에 침투하여 시스템을 마비하게 할 목표로 제작된 악성코드이다. 원자력 발전소와 송배전망, 화학공장, 송유관, 가스관가 같은 산업기반 시설에 사용되는 제어 시스템에 침투하여 오동작을 유도하는 명령 코드를 입력해서 시스템을 마비시킨다.

22. 공격용 툴킷(Attack Toolkit)

  > 네트워크에 연결된 컴퓨터를 공격하기 위해 악성 코드 프로그램을 모아 놓은 것이다. 대표적인 공격용 툴킷으로는 제우스(Zeus)와 스파이아이(Spyeye) 등이 있으며, 이들은 온라인 금융 계정 정보 등을 탈취할 목적으로 개발한 공격용 툴킷이다. 둘은 비슷하나 경쟁 관계이다 보니 스파이아이에는 제우스 기능을 제거하는 기능(Kill Zeus)이 들어 있고, 제우스도 새로운 2.0 버전을 내놓으면서 스파이아이의 이러한 기능을 막을 수 있는 기능을 추가했다. 

23. Ping of Death(죽음의 핑)

  > 인터넷 프로토콜 허용 범위(65,536 바이트) 이상의 큰 패킷을 고의로 전송하여 발생한 서비스 거부 공격이다. 공격자의 식별 위장이 용이하고 인터넷 주소 하나만으로도 공격이 가능하다. jolt, sPING, ICMP bug, IceNewk 등의 변종 공격에 대비하여 방화벽을 사용해 인터넷 제어 메시지 프로토콜(ICMP) 핑 메시지를 차단하는 기술이 개발되었다.

24. Splogger(스플로거)

  > 스팸(Spam)과 블로거(Blogger)의 합성어로 다른 사람의 콘텐츠를 무단으로 복사해 자신의 블로그에 게재하는 블로거 또는 제품 광고나 음란물 등을 유포하는 광고성 블로거를 의미한다.

25. IP 스푸핑(IP Spoofing)

  > 다른 시스템과의 신뢰 관계를 속여서 침입하는 크래킹 기술이다. '속이기'라는 의미의 스푸핑은 기술적인 요소가 많이 필요한 크래킹 기술로서, 목표 호스트와 신뢰 관계를 맺고 있는 다른 호스트로 공격자의 IP 주소를 속여서 패킷을 보내는 방식이다.

26. 스니핑(Sniffing)

  > 네트워크의 중간에서 남의 패킷 정보를 도청하는 해킹 유형의 하나로 수동적 공격에 해당한다. 네트워크 내의 패킷들은 대부분 암호화되어 있지 않아 스니핑 같은 해킹 기법에 이용당하기 쉽기 때문에 이를 보완하는 여러 기법이 개발되고 있다.

27. 스위치 재밍(Switch Jamming)

  > 위조된 MAC 주소를 네트워크 상으로 지속적으로 흘려보내 스위칭 허브의 주소 테이블 기능을 마비시키는 것이다. 스위칭 허브는 넘쳐나는 MAC 주소로 인해 주소 테이블이 오버플로(Overflow) 되면 주소 테이블을 재설정하기 위해 네트워크 상의 컴퓨터들에게 MAC 주소를 확인하여 주소 테이블을 새롭게 생성하게 된다. 이 과정에서 해커의 MAC 주소도 포함시킨다. 예를 들어 A 주소를 갖는 컴퓨터가 누구냐는 질문에 COM1 컴퓨터가 회답을 할 때 해커의 컴퓨터도 동시에 회답을 하여 A 주소에 관련된 컴퓨터가 COM1과 해커 컴퓨터 두 개가 되도록 하여 COM1 컴퓨터에게만 전달되어야 하는 데이터를 해커의 컴퓨터로도 보내지도록 하는 것이다.

28. 스팸(Spam)

  > 스팸은 인터넷 상에서 다수의 수신인에게 무작위로 송신된 이메일 메시지를 의미한다. 일반적으로는 발신자가 자신과 아무런 관계가 없는 수신자에게 발송하는 전자 메시지를 스팸이라고 하며, 쓰레기나 다름없다고 하여 정크 메일(Junk Mail)이라고도 한다. 스팸에는 2가지 종류가 있는데, 직접 스팸은 스패머가 직접 자신이 이용하는 ISP의 메일 서버를 통해 불특정 다수의 사용자에게 메일을 직접 보내는 것이고, 중계 스팸은 스패머가 임의의 다른 메일 서버를 중계 서버로 이용해 마치 중계 서버의 사용자가 메일을 보내는 것처럼 위장하여 필터링 차단 방식을 피하는 방식이다.

29. 사이버 스토킹(Cyber Stalking)

  > 정보통신망을 이용해 악의적인 의도로 지속적으로 공포감이나 불안감 등을 유발하는 행위이다. 사이버 스토킹이 성립하려면 악의적인 행위가 정보통신망을 통해 이루어져야 하고 상대방의 의사와 관계없이 의도적, 반복적, 지속적으로 이루어져야 하며, 통상적인 판단력을 가진 사람이라면 누구나 자신 또는 가족의 생명이나 신체의 안전에 위협을 느낄만한 내용이 있어야 한다.

30. 피싱(Phishing)

  > 피싱은 낚시라는 뜻의 은어로, 허위 웹 사이트를 내세워 사용자의 개인 신용 정보를 빼내는 수법을 의미한다. 최근 인터넷 사기의 주된 유형으로 떠오르는 피싱은 해커들 사이에서 광범위하게 사용되고 있다. 예를 들어 은행의 진짜 웹 사이트와 거의 비슷하게 만들어진 웹 사이트를 고객들에게 이메일로 보내 계좌거래 조건이 변경되었다고 통보한 후 고객의 이름, 비밀번호 등을 도용하는 것이다.

31. 반달리즘(Vandalism)

  > 다수가 참여할 수 있도록 공개된 문서의 내용을 훼손하거나 엉뚱한 제목으로 변경하고 낙서를 하는 일을 말한다. 스팸을 끼우거나, 내용의 부분 혹은 모두를 지우고, 내용을 고의로 왜곡시키거나, 문서의 내용과 무관한 선전 관고를 일삼는다. 욕을 써넣거나 저질의 낙서를 하고, 불쾌감을 주는 그림을 올리며, 남을 비방하는 글을 써넣는다. 반달행위에 대해 관리자는 해당 IP와 ID에 대하여 접속 차단, 명단 발표, 그리고 법적 경고 등의 조치를 취하게 된다. 유럽 중세시대의 민족이동 당시에 악평이 자자하던 반달족의 무자비한 로마문화 파괴 및 약탕 행위를 비유하는 말이다.

32. 살라미(salami) 기법

  > 장기간 보관하여 두고 조금씩 얇게 썰어서 먹는 이탈리아 소시지에서 따 온 말로, 많은 대상으로부터 눈치 채지 못할 만큼의 적은 금액이나 양을 빼내는 컴퓨터 사기 기법을 의미한다.

33. SQL injection(SQL 삽입) 공격

  > 전문 스캐너 프로그램 혹은 봇넷 등을 이용해 웹사이트를 무차별적으로 공격하는 과정에서 취약한 사이트가 발견되면 DB등의 데이터를 조작하는 일련의 공격 방식이다. 임의의 사용자가 공격당한 웹사이트에 접속하면 조작된 웹페이지에 의해 악성코드에 감염되며, 감염된 악성코드는 시간이 지나면서 변형되는 등 지능적으로 발전하고 있다. 자동화 프로그램으로 인해 불특정 다수의 웹 사이트에서 피해가 동시다발적으로 발생할 수 있기 때문에 공격 시점 예측이 쉽지 않다.

34. brute force attack(무작위 공격)

  > 암호화된 문서의 암호키를 찾아내기 위해 적용 가능한 모든 값을 대입하여 공격하는 방법이다. 암호문에 대한 암호키를 찾아내는 용도로 사용하던 공격 방법이었는데, 최근에는 사용자의 ID나 비밀번호를 찾아내기 위해 반복 대입하는 공격의 형태로 사용되고 있다.

35. Qshing(큐싱)

  > QR코드(Quick Response Code)를 통해 악성 앱의 다운로드를 유도하거나 악성 프로그램을 설치하도록 하는 금융사기 기법의 하나로 QR코드와 개인정보 및 금융정보를 낚는다(Fishing)는 의미의 합성 신조어이다. 스마트폰의 대중화로 널리 사용되고 있는 QR코드는 각종 정보나 프로그램을 담은 격자무늬의 2차원 코드로, 스마트폰 카메라로 스캔하면 관련된 정보가 바로 확인되는 편리한 시스템이다. 스마트폰의 대중화로 모바일 앱을 통한 금융거래가 증가하면서 스마트폰에 악성프로그램을 설치해 해킹하는 방식의 금융사기가 성행하는데, 그 중 QR코드를 이용한 최신 신용금융사기 방식인 Qshing에 의한 피해가 증가하고 있다.

36. 다크 데이터(Dark Data)

  > 수집된 후 저장은 되어 있지만 분석에 활용되지는 않는 다량의 데이터를 의미한다. 다크 데이터는 향후 사용될 가능성이 있다는 이유로 삭제되지 않아 공간만 차지하고 있으며, 보안 위협을 초래하기도 한다.

37. 블록체인(BlockChain)

  > P2P 네트워크를 이용하여 온라인 금융 거래 정보를 온라인 네트워크 참여자(peer)의 디지털 장비에 분산 저장하는 기술을 의미한다. P2P 네트워크 환경을 기반으로 일정 시간 동안 반수 이상의 디지털 장비에 저장된 거래 내역을 서로 교환확인승인하는 과정을 거쳐, 디지털 서명으로 동의한 금융 거래 내역만 하나의 블록으로 만든다. 이렇게 생성된 블록은 기존의 블록체인에 연결되고, 다시 복사되어 각 사용자의 디지털 장비에 분산 저장된다. 이로 인해 블록체인은 기존 금융 회사들이 사용하고 있는 중앙 집중형 서버에 거래 정보를 저장할 필요가 없어 관리 비용이 절감되고, 분산 저장으로 인해 해킹이 난해해짐에 따라 보안 및 거래 안전성도 향상된다. 비트 코인이 블록체인의 가장 대표적인 예이며, 주식부동산거래 등 다양한 금융거래에 사용이 가능하고, 현관 키 등의 보안과 관련된 분야에도 활용될 수 있어 크게 주목받고 있다.

38. 드롭퍼(Dropper)

  > 정상적인 파일 등에 트로이 목마나 웜, 바이러스가 숨겨진 형태를 일컫는 말

39. 메모리 해킹(Memory Hacking)

  > 컴퓨터 메모리(주기억장치)에 있는 데이터를 위변조하는 해킹방법으로, 정상적인 인터넷뱅킹 사이트를 이용했음에도 이체거래 과정에서의 수취인의 계좌번호를 변조하거나 보안카드의 비밀번호를 빼내어 돈을 빼돌린다.

40. 스미싱(Smishing)

  > 문자 메시지(SMS)와 피싱(Phishing)의 합성어로, 무료쿠폰이나 모바일 초대장 등의 문자 메시지를 보낸 후 메시지에 있는 인터넷 주소를 클릭하면 악성코드를 설치하여 개인 금융 정보를 빼내는 행위이다.

41. 스파이웨어(Spyware)

  > 적절한 사용자 동의 없이 사용자 정보를 수집하는 프로그램 또는 적절한 사용자 동의 없이 설치되어 불편을 야기하거나 사생활을 침해할 수 있는 프로그램을 의미한다.

42. 웜(Worm)

  > 네트워크를 통해 연속적으로 자신을 복제하여 시스템의 부하를 높임으로써 결국 시스템을 다운시키는 바이러스의 일종이다. 분산 서비스 거부 공격(DDoS), 버퍼 오버플로 공격, 슬래머 등이 웜의 한 형태이다.

43. 크래킹(Cracking)

  > 어떤 목적을 가지고 타인의 시스템에 불법으로 침입하여 정보를 파괴하거나 정보의 내용을 자신의 이익에 맞게 변경하는 행위이다. 이런 일을 하는 사람을 크래커(Cracker)라고 부른다.

44. 트로이 목마(Trojan Horse)

  > 정상적인 기능을 하는 프로그램으로 가장하여 프로그램 내에 숨어 있다가 해당 프로그램이 동작할 때 활성화되어 부작용을 일으키는 것으로, 자기 복제 능력은 없다. 지속적으로 사용자 컴퓨터에서 정보를 유출하거나 컴퓨터를 원격 제어한다. 바이러스나 웜처럼 직접 컴퓨터에 피해를 주는 것이 아니므로 사용자가 트로이 목마에 대한 감염사실을 인식하기 어렵다.

45. 해킹(Hacking)

  > 컴퓨터 시스템에 불법적으로 접근, 침투하여 시스템과 데이터를 파괴하는 행위이다.

46. 혹스(Hoax)

  > 실제로는 악성 코드로 행동하지 않으면서 겉으로는 악성 코드인 것처럼 가장하여 행동하는 소프트웨어이다.

47. OWASP(the Open Web Application Security Project, 오픈 웹 앱 보안 프로젝트)

  > 웹 정보 노출이나 악성 코드, 스크립트, 보안이 취약한 부분을 연구하는 비영리 단체이다. 2001년 부터 Top Ten 이라는 이름으로 10대 웹 앱의 취약점을 발표하였고 문서도 공개했다. 10대 웹 앱의 취약점은 보안이 취약한 부분 중에서도 빈도가 잦고 보안에 미치는 영향이 큰 것을 기준으로 선정한 것이다.

48. 그레이웨어(grayware)

  > 제공하는 입장에서는 악의적이지 않은 유용한 소프트웨어라고 주장할 수 있지만 사용자 입장에서는 유용할 수도 있고 악의적일 수도 있는 애드웨어, 트랙웨어, 기타 악성 코드나 악성 공유웨어를 말한다. 정상적인 소프트웨어의 이미지인 백색과 악성 소프트웨어의 이미지인 흑색의 중간에 해당한다고 하여 이러한 명칭으로 불리게 되었다.

49. 분산 원장 기술(DLT; Distributed Ledger Technology)

  > 중앙 관리자나 중앙 데이터 저장소가 존재하지 않고, 피투피(P2P; Peer-to-Peer) 망 내의 참여자들에게 모든 거래 목록이 분산 저장되어, 거래가 발생할 때마다 지속적으로 갱신되는 디지털 원장을 의미한다. 분산 원장 기술을 사용한 대표적인 사례로 블록체인이 있으며, 2016년 부터 많은 은행과 금융회사들이 분산 원장 기술에 주목하여 투자하고 있다. 기존의 중앙 서버와 같이 집중화된 시스템을 유지 및 관리할 필요가 없어지고, 해킹 및 위변조의 위험도도 낮기 때문에 효율성과 보안성 면에서 크게 유리하다.

50. 암호 화폐(Cryptocurrency)

  > 온라인 거래에서 안전하게 사용될 수 있도록 해시함수를 이용한 암호화 기술(cryptography)이 적용된 전자 화폐를 의미한다. 암호 화폐는 중앙 관리자나 서버가 없이 P2P 네트워크에서 각 참여자(Peer)들이 거래 내역을 분산 저장하여 관리하고 있기 때문에 거래 내역의 위변조가 불가하고 익명성이 보장되는 장점이 있다. 비트코인, 이더리움 등이 있으며 비트코인은 해시캐시(HashCash)라고 불리는 SHA-256(Secure Hash Algorithm 256) 기반의 작업 증명(POW; Proof-Of-Work) 방식을 암호화 기술로 사용한다.

51. 가상 화폐(Virtual Currency, Virtual Money)

  > 지폐나 동전과 같은 실물 없이 온라인 네트워크 상에서 발행되어 온라인 또는 오프라인에서 사용할 수 있는 디지털 화폐 또는 전자 화폐를 말한다. 유럽 중앙은행은 가상 화폐를 '가상화폐 발행자가 발행 관리하고, 특정 가상 커뮤니티의 구성원들 사이에서 이용되며 대부분 법적 규제를 받지 않는 디지털 화폐'라고 정의내린 바 있다. 비트코인, 이더리움, 리플 등을 가리키는 암호 화폐가 가상 화폐에 속하며, 게임이나 웹사이트에서 이용되는 사이버머니나 인터넷 쿠폰과 모바일 쿠폰들 또한 가상 화폐에 속한다.

맨 위로