정보보안 용어 정리

 

용어 정리의 필요성

정보보안 관리 지침 및 절차에 걸쳐 명확하고 통일성을 갖춘 용어를 사용하여 해결하는 기준으로 활용된다.

• 오해와 오역을 예방

• 이견과 분쟁을 원할

 

자산의 관점에서의 보안 3요소

• 기밀성(Confidentiality): 허가 받지 않은 사람에게 노출되지 않음

• 가용성(Availability): 자산의 계속적 이용을 가능하게 하는 것

• 무결성(Integrity): 데이터 흐름 중에 완전성과 정확성을 유지

• 줄여서 기무가 또는 CIA 라고도 부른다.

 

흐름 관점에서의 보안 용어

• 스니핑(Sniffing): 통신 상에서 감청, 도청하는 행위

• 스푸핑(Spoofing): 인가된 것으로 속이는 행위

• 변조(Tempering): 인가 받지 않고 공격자가 임의로 파일을 변경하는 행위

• 로그(Log): 시스템 사용에 관련된 현재의 기록

• 감사기록(Logging): 증거가 되는 데이터를 시간 순으로 기록 저장하는 방법

• 감사(Audit): 안전하게 운용되고 있는지 확인하기 위한 조사, 분석 방법

 

IT 단위 요소에서의 보안 용어들

Data

• 데이터베이스(Database): DBMS 내의 테이블, 뷰, 데이터 등의 집합체를 나타내는 구조

• 데이터 보안(Data Security): 보안 사고로부터 하드웨어 또는 소프트웨어의 자료 손실을 방지하고 보호하는 것

• 데이터베이스 보안(Database Security): 데이터베이스 및 데이터베이스 내 저장된 데이터를 보호하는 것

Network

• 네트워크 노드(Network Node): 네트워크에 연결되어 있는 컴퓨터, 프린터, 네트워크 장비 및 시스템 등을 지칭

• 네트워크 시스템(Network System): 라우터, 스위치 등 네트워크 연결 및 데이터 전송을 위한 시스템을 지칭

• 로드 밸런싱(Load Balancing): 1개의 서버나 방화벽에 트래픽이 집중되는 것을 분산시키기 위한 스위칭 기술

 

악성행위 관점에서의 보안 용어들

• 백도어(Backdoor): 시스템의 정상적인 보호 수단을 우회하기 위하여 사용하는 악의적인 소프트웨어

• 취약점(vulnerability): 위험 요소로 남용할 수 있는 일개 자산 또는 자산들이 지닌 약점

• 멀웨어(Malware): Malicious Software의 약어로 응용프로그램의 기능을 위협하는 등의 악의적인 행위를 수행하는 프로그램

• 크랙(Crack): 여러 복사방지 또는 접근 통제 기술이 적용된 소프트웨어의 비밀을 풀어서 불법으로 복제하는 행위

• 제로데이(Zero-Day): 취약점에 대해 패치가 나오지 않은 시점에서 이루어지는 공격

• 익스플로잇(Exploit): 소프트웨어나 하드웨어 및 컴퓨터 관련 전자 제품의 버그, 취약점 등의 설계상 결함을 이용해 공격자의 의도된 동작을 수행하도록 만들어진 절차나 일련의 명령, 스크립트, 프로그램, 조작을 이르기까지의 사용한 공격 행위

 

보안 관리 관점에서의 보안 용어들

• 관리적 보안: 정보 시스템과 데이터를 보호하기 위하여 수립하는 각종의 관리 질서나 규정으로 절차적 보안이라고도 함

• 보안 대책: 침해사고 및 보안사고로 인하여 발생할 수 있는 개별 위험을 최소화할 수 있도록 대응하는 방법

• 보안 평가: 기밀 정보를 안전하게 처리하기 위해 시스템에 부여하는 신뢰도를 평가하기 위한 일련의 수행 과정

• 보안 정책: 조직의 관리 및 보호 방법과 중요 정보의 분배 방법을 규정한 법, 규칙, 관습의 집합

• 부인방지(non-repudiation): 행위나 이벤트의 발생을 증명하여 추후 행위나 이벤트를 부인할 수 없도록 하는 서비스

• 백업센터(DR Center): 업무의 장애나 전산본부 재난 시 전산처리 업무의 복구를 위해 구성된 특정 장소를 의미

• 접근 권한(Access Right): 서버나 응용시스템, 네트워크 기능 및 서비스 사용 등을 위해 특정 사용자가 수행할 수 있는 작업을 정해 놓은 것

• 접근 통제(Access Control): 서버나 응용시스템, 네트워크 기능 및 서비스 사용 등을 위한 사용자의 권한에 대한 제한

• 정보보호 감사: 정보시스템본부 소속 임직원이 수립된 보안 지침 및 절차에 규정된 사항을 적절히 이행하고 있는지 확인하기 위하여 인터뷰, 문서검토 등 다양한 방법으로 증거를 수집하고 분석하여 개선사항을 제시하거나 이행을 권고하는 행위

• 정보보호 시스템: 침입차단 시스템, 침입탐지 시스템 등을 포함하여 정보자산 보호를 주 목적으로 하는 시스템

• 정보 시스템: 컴퓨터의 본체, 주변장치및 단말장치 등의 전부 또는 일부로서 구성되는 하드웨어 및 소프트웨어를 총칭

• 정보보호 전략: 회사의 경졍전략 항목에 연계하여 전략 사항을 추진하고 달성함에 있어 필요한 정보보호 측면의 지원사항

• 침입 방지 시스템: IPS(Intruction Prevention System) 등의 장비로 네트워크 트래픽에서 발생하는 위협을 감시하여 잠재적 위협 탐지 시 즉각적인 대응을 하기 위한 기술이 적용된 차단 시스템을 의미

• 침입 차단 시스템: 내부의 컴퓨터 시스템 혹은 내부 네트워크와 공중 인터넷 사이에서 트래픽을 통제하기 위해 사용되는 전용 시스템을 의미

• 침입 탐지 시스템: 대상 시스템이 비인가자에 의해 침입이 시되는 때 침입 사실을 탐지하는 시스템으로 각종 해킹 수법을 이미 자체적으로 내장, 침입해동을 실시간으로 감지할 수 있는 기능 제공

• 터널링: 개방된 인터넷 망을 안전한 네트워크의 일부로 사용하게 하는 방법으로 특정 사용자들만의 유효한 통신 채널을 형성하여 논리적인 터널을 만드는 것을 의미

• 통제 구역: 당사 내의 정보보호를 위해 극히 중요한 구역으로 모든 출입자의 통제가 요구되는 구역

• 패치: 운영체제 또는 소프트웨어 등의 결함을 제거하기 위해 보완하는 행위