* 인증 기술의 유형
-사용자가 기억하고 있는 지식. 그가 알고 있는 것(아이디, 패스워드)
지식기반 인증
-소지하고 있는 사용자 물품. 그가 가지고 있는 것(공인인증서, OTP)
소지기반 인증
-고유한 사용자의 생체 정보. 그를 대체하는 것(얼굴, 지문)
생체기반 인증
-사용자의 특징을 활용. 그가 하는 것(서명, 몸짓)
특징(=행위)기반 인증
* 서버 접근 통제 유형
-신분 기반(Identity-Based) 접근통제 정책으로, 주체나 그룹의 신분에 근거하여 객체에 대한 접근을 제한하는 방법이다.
임의적 접근 통제
(DAC; Discretionary Access Control)
-규칙 기반(Rule-Based) 접근통제 정책으로, 객체에 포함된 정보의 허용 등급과 접근 정보에 대하여 주체가 갖는 접근 허가 권한에 근거하여 객체에 대한 접근을 제한하는 방법이다.
강제적 접근 통제
(MAC; Mandatory Access Control)
-중앙 관리자가 사용자와 시스템의 상호관계를 통제하며 조직 내 맡은 역할(Role)에 기초하여 자원에 대한 접근을 제한하는 방법이다.
역할 기반 접근 통제
(RBAC; Role Based Access Control)
* 3A
-시스템을 접근하기 전에 접근 시도하는 사용자의 신원을 검증
인증
(Authentication)
-검증된 사용자에게 어떤 수준의 권한과 서비스를 허용
권한 부여
(Authorization)
-사용자의 자원(시간, 정보, 위치 등)에 대한 사용 정보를 수집
계정 관리
(Accounting)
* 인증 관련 기술
-여러 개의 사이트에서 한 번의 로그인으로 여러 가지 다른 사이트들을 자동적으로 접속하여 이용하는 방법을 말한다. 일반적으로 서로 다른 시스템 및 사이트에서 각각의 사용자 정보를 관리하게 되는데 이때 하나의 사용자 정보를 기반으로 여러 시스템을 하나의 통합 인증을 사용하게 하는 것을 말한다. 즉 하나의 시스템에서 인증을 할 경우 타 시스템에서는 인증 정보가 있는지 확인하고 있으면 로그인 처리를 하도록 하고, 없는 경우 다시 통합 인증을 할 수 있도록 만드는 것을 의미한다.
SSO
(Single Sign On)
-MIT의 아테나 프로젝트의 일환으로 개발되었으며 클라이언트/서버 모델에서 동작하고 대칭 키 암호기법에 바탕을 둔 티켓 기반의 프로토콜
커버로스
* 대칭 키 암호화 알고리즘
-미국 NBS (National Bureau of Standards, 현재 NIST)에서 국가 표준으로 정한 암호 알고리즘으로, 64비트 평문을 64비트 암호문으로 암호화하는 대칭키 암호 알고리즘이다. 키는 7비트마다 오류검출을 위한 정보가 1비트씩 들어가기 때문에 실질적으로는 56비트이다. 현재는 취약하여 사용되지 않는다.
DES
(Data Encryption Standard)
-1999년 국내 한국인터넷진흥원이 개발한 블록 암호화 알고리즘
SEED
-대칭키 알고리즘으로 1997년 NIST(미국 국립기술표준원)에서 DES를 대체하기 위해 생성되었다. 128비트, 192비트 또는 256비트의 가변 키 크기와 128비트의 고정 블록 크기를 사용한다. 높은 안전성과 효율성, 속도 등으로 인해 DES 대신 전 세계적으로 많이 사용되고 있다.
AES
(Advanced Encryption Standard)
-2004년 국정원과 산학연구협회가 개발한 블록 암호화 알고리즘
ARIA
-DES를 대체하기 위해 스위스 연방기술 기관에서 개발한 블록 암호화 알고리즘. Xuejia Lai와 James Messey 가 만든 알고리즘으로 PES(Proposed Encryption Standard)에서 IPES(Improved PES)로 변경되었다가, 1991년에 제작된 블록 암호 알고리즘으로 현재 국제 데이터 암호화 알고리즘으로 사용되고 있다. 64비트 블록을 128비트의 key를 이용하여 8개의 라운드로 구성되어 있다.
IDEA
(International Data Encryption Algorithm)
-시프트 레지스터의 일종으로, 레지스터에 입력되는 값이 이전 상태 값들의 선형 함수로 계산되는 구조로 되어 있는 스트림 암호화 알고리즘
LFSR
(Linear Feedbak Shift Register)
-미국의 NSA에서 개발한 Clipper 칩에 내장되는 블록 알고리즘이다. 전화기와 같은 음성을 암호화 하는데 주로 사용되며 64비트 입출력에 80비트의 키 총 32라운드를 가진다.
Skipjack
* 비대칭 키 암호화 알고리즘
-최초의 공개키 알고리즘으로 1976년에 고안한 알고리즘으로서 유한 필드 내에서 이산대수의 계산이 어려운 문제를 기본 원리로 하고 있음
디피-헬만
-1977년 3명의 MIT 수학교수(Rivest, Shamir, Adleman)가 고안한 큰 인수의 곱을 소인수 분해하는 수학적 알고리즘 이용하는 공개키 암호화 알고리즘
RSA
-T.EIGamal이 1984년에 제안한 공개키 알고리즘
ElGamal
* 해시 암호화 알고리즘
-128비트 암호화 해시 함수로 RFC 1321로 지정되어 있으며, 주로 프로그램이나 파일이 원본 그대로인지를 확인하는 무결성 검사 등에 사용된다. 1991년에 로널드 라이베스트(Ronald Rivest)가 예전에 쓰이던 MD4를 대체하기 위해 고안하였다.
MD5
-Network layer에서 IP패킷을 암호화하고 인증하는 등의 보안을 위한 표준이다. 기업에서 사설 인터넷망으로 사용할 수 있는 VPN을 구현하는데 사용되는 프로토콜이다. AH(Authentication Header)와 ESP(Encapsulating Security Payload)라는 두 가지 보안 프로토콜을 사용한다.
IPSec
* 입력 데이터 검증 및 표현 취약점
-검증되지 않은 외부 입력 데이터가 포함된 웹페이지가 전송되는 경우, 사용자가 해당 웹페이지를 열람함으로써 웹페이지에 포함된 부적절한 스크립트가 실행되는 공격
XSS
-사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위를 특정 웹사이트에 요청하게 하는 공격
CSRF
(사이트 간 요청 위조)
-응용 프로그램의 보안 취약점을 이용해서 악의적인 SQL 구문을 삽입, 실행시켜서 데베의 접근을 통해 정보를 탈취하거나 조작 등의 행위를 하는 공격기법
SQL 삽입
* XSS 공격 유형
-방문자들이 악성 스크립트가 포함된 페이지를 읽어 봄과 동시에 악성 스크립트가 브라우저에서 실행되면서 감염되는 기법
Stored XSS
-공격용 악성 URL을 생성한 후 이메일로 사용자에게 전송하면 사용자가 URL 클릭시 즉시 공격 스크립트가 피해자로 반사되어 접속 사이트에 민감정보를 공격자에게 전송하는 기법
Reflected XSS
-공격자는 DOM 기반 XSS 취약점이 있는 브라우저를 대상으로 조작된 URL을 이메일을 통해 발송하고 피해자가 URL 클릭 시 공격 피해를 당하는 기법
DOM(Document Object Model) XSS
* 네트워크 보안 솔루션
-기업 내부, 외부 간 트래픽을 모니터링 하여 시스템의 접근을 허용하거나 차단하는 시스템
방화벽
-단말기가 내부 네트워크에 접속을 시도할 때 이를 제어하고 통제하는 기능을 제공하는 솔루션. 바이러스나 웜 등의 보안 위협으로부터 네트워크 제어 및 통제 기능을 수행
네트워크 접근 제어
(NAC; Network Access Control)
-네트워크에서 발생하는 이벤트를 모니터링하고 비인가 사용자에 의한 자원접근과 보안정책 위반 행위(침입)를 실시간으로 탐지하는 시스템
침입 탐지 시스템
(ISD; Intrusion Detection System)
-네트워크에 대한 공격이나 침입을 실시간적으로 차단하고, 유해트래픽에 대한 조치를 능동적으로 처리하는 시스템]
침입 방지 시스템
(IPS; Intrusion Prevention System)
-인가되지 않은 무선 단말기의 접속을 자동으로 탐지 및 차단하고 보안에 취약한 무선 공유기를 탐지하는 시스템
무선 침입 방지 시스템
(WIPS; Wireless Intrusion Prevention System)
-방화벽, 침입 탐지 시스템, 침입 방지 시스템, VPN, 안티 바이러스, 이메일 필터링 등 다양한 보안 장비의 기능을 하나의 장비로 통합하여 제공하는 시스템
통합 보안 시스템
(UTM; Unified Threat Management)
-인터넷과 같은 공중망에 인증, 암호화 ,터널링 기술을 활용하여 마치 전용망을 사용하는 효과를 가지는 보안 솔루션
가상사설망(VPN)
-다양한 보안 장비와 서버, 네트워크 장비 등으로부터 보안 로그와 이벤트 정보를 수집한 후 정보 간의 연관성을 분석하여 위협 상황을 인지하고, 침해사고에 신속하게 대응하는 보안 관제 솔루션
SIEM
(Security Information and Event Management)
-방화벽, 침입 탐지 시스템, UTM, VPN 등의 여러 보안 시스템으로부터 발생한 각종 이벤트 및 로그를 통합해서 관리, 분석, 대응하는 전사적 통합 보안 관리 시스템
ESM
(Enterprise Security Management)
* SW 개발 보안 테스트의 유형
-SW를 실행하지 않고 보안 약점을 분석. SW 개발 단계에서 주로 사용. 취약점 초기 발견으로 수정비용 절감. 컴포넌트 간 발생할 수 있는 통합된 취약점 발견에 제한적. 설계-구조 관점의 취약점은 식별 가능
정적 분석
-SW 실행환경에서 보안 약점 분석. SW 시험 단계에서 주로 사용. 소스 코드 필요 없음. 정확도와 커버리지 향상. 구조 관점의 보안 약점은 식별 불가
동적 분석
-각종 재해, 장애, 재난으로부터 위기관리를 기반으로 재해복구, 업무복구 및 재개, 비상계획 등을 통해 비즈니스 연속성을 보장하는 체계
BCP(비즈니스 연속성 계획; Business Continuity Plan)
* 비즈니스 연속성 계획 관련 용어
-장애나 재해로 인해 운영상의 주요 손실을 입을 것을 가정하여 시간흐름에 따른 영향도 및 손실평가를 조사하는 BCP를 구축하기 위한 비즈니스 영향분석
BIA
(Business Impact Analysis)
-업무중단 시점부터 업무가 복구되어 다시 가동될 때까지의 복구 목표 시간
RTO
(Recovery Time Objective)
-업무중단 시점부터 데이터가 복구되어 다시 가동될 때까지의 손실허용시점
RPO
(Recovery Point Objective)
-재해복구계획의 원활한 수행을 지원하기 위하여 평상시에 확보하여 두는 인적, 물적 자원 및 이들에 대한 지속적인 관리체계가 통합된 재해복구센터
DRS
(Disaster Recovery System)
-재난으로 장기간에 걸쳐 시설의 운영이 불가능한 경우를 대비한 재난 복수 계획
DRP
(Disaster Recovery Plan)
* DRS의 유형
-주 센터와 데이터복구센터 모두 운영 상태로 실시간 동시 서비스가 가능한 재해복수센터. 재해 발생 시 복구까지의 소요 시간은 즉시(0)
Mirror Site
-주 센터와 동일한 수준의 자원을 대기 상태로 원격지에 보유하면서 동기, 비동기 방식의 미러링을 통하여 데이터의 최신 상태를 유지하고 있는 재해복구센터. 재해 발생 시 복구까지의 소요 시간은 4시간 이내
Hot Site
-핫 사이트와 유사하나 재해복구센터에 주 센터와 동일한 수준의 자원을 보유하는 대신 중요성이 높은 자원만 부분적으로 재해복수센터에 보유하고 있는 센터. 데이터 백업 주기가 수 시간~1일 재해 발생 시 복구까지의 소요 시간은 수일~수주
Warm Site
-데이터만 원격지에 보관하고, 재해 시 데이터를 근간으로 필요 자원을 조달하여 복구할 수 있는 재해복구센터. 재해 발생 시 복구까지의 소요 시간은 수 수주~수개월. 구축 비용이 저렴하나 복구 소요 시간이 길고 신뢰성이 낮음
Cold Site
* 보안 공격 관련 용어
-암호화 알고리즘의 실행 시기의 전력 소비, 전자기파 방사 등의 물리적 특성을 측정하여 암호 키 등 내부 비밀 정보를 부 채널에서 획득하는 공격 기법
부 채널 공격
-악의적인 해커가 불특정 웹 서버와 웹페이지에 악성 스크립트를 설치하고, 불특정 사용자 접속 시 사용자 동의 없이 실행되어 의도된 서버(멀웨어 서버)로 연결하여 감염시키는 공격기법
드라이브 바이 다운로드
-APT 공격에서 주로 쓰이는 공격으로, 공격 대상이 방문할 가능성이 있는 합법적인 웹 사이트를 미리 감염시킨 뒤, 잠복하고 있다가 공격 대상이 방문하면 대상의 컴퓨터에 악성코드를 설치하는 방식이다.
워터링홀
-기업 이메일 계정을 도용하여 무역 거래 대금 가로채는 사이버 범죄
비즈니스 스캠(SCAM)
-OpenSSL 암호화 라이브러리의 하트비트라는 확장 모듈에서 클라이언트 요청 메시지를 처리할 때 데이터 길이에 대한 검증을 수행하지 않는 취약점을 이용하여 시스템 메모리에 저장된 64KB 크기의 데이터를 외부에서 아무런 제한 없이 탈취할 수 있도록 하는 취약점
하트 블러드
-중요한 금융정보 또는 인증정보를 탈취하거나 유출을 유도하여 금전적인 이익 등의 범죄행위를 목적으로 하는 악성코드
크라임웨어
-네트워크 경로를 알 수 없도록 암호화 기법을 사용하여 데이터를 전송하며, 익명으로 인터넷을 사용할 수 있는 가상 네트워크
토르 네트워크
-네트워크 통신을 조작하여 통신 내용을 도청 및 조작하는 공격기법
MITM 공격
(Man in the Middle)
-공격 대상에게 전달되는 DNS 응답(IP 주소)을 조작하거나 DNS 서버의 캐시 정보를 자작하여 희생자가 의도하지 않은 주소로 접속하게 만드는 공격기법
DNS 스푸핑 공격
-공격자가 침입 전 대상 호스트에 어떤 (서비스)가 활성화되어 있는지 확인하는 기법으로 침입 전 취약점을 분석하기 위한 사전 작업
포트 스캐닝
-웹 앱을 사용하고 있는 서버의 미흡한 설정으로 인해 인덱싱 기능이 활성화되어 있을 경우, 공격자가 강제 브라우징을 통해서 서버 내의 모든 디렉토리 및 파일 목록을 볼 수 있는 취약점
디렉토리 리스팅 취약점
-타깃 서버가 클라이언트(공격자)로 접속해서 클라이언트가 타깃 서버의 쉘을 획득해서 공격하는 기법
리버스 쉘 공격
-SW나 HW의 버그 또는 취약점을 이용하여 공격자가 의도한 동작이나 명령을 실행하도록 하는 코드 또는 그러한 행위
익스플로잇(Exploit)
-독일 지멘스사의 SCADA 시스템을 공격 목표로 제작된 악성코드로 원자력, 전기, 철강, 반도체, 화학 등 주요 산업 기반 시설의 제어 시스템에 침투해서 오작동을 일으키는 악성코드 공격기법
스틱스넷 공격(Stuxnet)
-사용자 계정을 탈취해서 공격하는 유형 중 하나로, 다른 곳에서 유출된 아이디와 비밀번호 등의 로그인 정보를 다른 웹 사이트나 앱에 무작위로 대입해 로그인이 이루어지면 타인의 정보를 유출시키는 기법
크리덴셜 스터핑
(Credential Stuffing)
* 보안 공격 대응 관련 용어
-비정상적인 접근을 탐지하기 위해 의도적으로 설치해 둔 시스템으로 일부러 허술하게 만들어서 해커에게 노출하는 유인시스템
허니팟
-멀티미디어 콘텐츠에 저작권 정보와 구매한 사용자 정보를 삽입하여 콘텐츠 불법 배포자에 대한 위치 추적이 가능한 기술
핑거프린팅
-디지털 콘텐츠에 저작권자 정보를 삽입하여, 불법 복제 시 워터마크를 추출, 원소유자를 증명할 수 있는 콘텐츠 보호 기술
워터마킹
-전자금융거래에 사용되는 단말기 정보, 접속 정보, 거래 정보 등을 종합적으로 분석하여 의심 거래를 탐지하고, 이상 거래를 차단하는 시스템
이상금융거래탐지시스템
(FDS; Fraud Detection System)
-정보기술의 보안 기능과 보증에 대한 평가 기준(등급), 정보보호 시스템의 보안 기능 요구사항과 보증 요구사항 평가를 위해 공통으로 제공되는 국제 평가 기준
CC
(Common Criteria)
-사이버 위협정보를 체계적 수립해서 인터넷진흥원 주관으로 관계 기관과 자동화된 정보공유를 할 수 있는 침해 예방 대응 시스템
사이버 위협정보 분석 시스템
(C-TAS; Cyber Threats Analysis System)
-리눅스 시스템 내에서 사용되는 각종 앱 인증을 위해 제공되는 다양한 인증용 라이브러리
장착형 인증 모듈
(PAM; Pluggable Authentication Module)
-미국 비 영리회사인 MITRE 사에서 공개적으로 알려진 SW의 보안취약점을 표준화한 식별자 목록
CVE
(Common Vulnerabilities and Exposures)
-미국 비영리 회사인 MITRE 사가 중심이 되어 SW에서 공통적으로 발생하는 약점을 체계적으로 분류한 목록으로, 소스 코드 취약점을 정의한 데베
CWE
(Common Weakness Enumeration)
-조직의 주요 정보자산을 보호하기 위하여 정보보호 관리 절차와 과정을 체계적으로 수립하여 지속적으로 관리하고 운영하기 위한 종합적인 체계
ISMS
(Information Security Management System)
-기업이 개인정보보호 활동을 체계적-지속적으로 수행하기 위해 필요한 보호조치 체계를 구축했는지 여부를 점검, 평가하여 기업에게 부여하는 인증제도
PIMS
(Personal Information Management System)
-개인정보를 활용하는 새로운 정보 시스템의 도입이나 개인정보 취급이 수반되는 기존 정보 시스템의 중대한 변경 시, 동 시스템의 구축-운영-변경 등이 프라이버시에 미치는 영향에 대하여 사전에 조사 및 예측, 검토하여 개산 방안을 도출하는 체계적인 절차
PIA
(Privacy Impact Assessment)
-임시 키 무결성 프로토콜. IEEE 802.11 무성 네트워킹 표준에 사용되는 보안 프로토콜. IEEE 802.11i의 작업 그룹과 WiFi 얼라이언스에서 WEP를 하드웨어 교체 없이 대체하기 위해 고안
TKIP
(Temporal Key Integrity Protocol)
'정보처리기사 실기' 카테고리의 다른 글
| 정보처리기사 실기 상세 단어 암기 모음집 - [11단원 – 응용 SW 기초 기술 활용] - 1부 (1) | 2025.03.10 |
|---|---|
| 정보처리기사 실기 상세 단어 암기 모음집 - [10단원 – 애플리케이션 테스트 관리] (0) | 2025.03.07 |
| 정보처리기사 실기 상세 단어 암기 모음집 - [9단원 – SW 개발 보안 구축] - 1부 (1) | 2025.03.04 |
| 정보처리기사 실기 상세 단어 암기 모음집 - [8단원 – 서버 프로그램 구현] (1) | 2025.03.03 |
| 정보처리기사 실기 상세 단어 암기 모음집 - [7단원 – SQL 응용] (0) | 2025.03.03 |