신기술 동향
· 약 107분
보안 요건
기밀성
- Confidentiality = 비밀성
- 시스템 내의 정보와 자원은 인가된 사용자에게만 접근이 허용
- 정보가 전송 중에 노출되더라도 데이터를 읽을 수 없음
무결성
- Integrity
- 정보의 내용이 전송 중에 수정되지 않고 전달되는 것
가용성
- Availability
- 인가된 사용자는 언제라도 사용 가능
인증
- Authentication
- 정보를 보내오는 사람의 신원을 확인
- 다중 사용자 컴퓨터 시스템 또는 망 운용 시스템에서 시스템이 단말 작동 개시 정보를 확인하는 보안 절차이다.
- 인증에는 망을 경유해서 컴퓨터에 접속해 오는 사용자가 등록된 사용자인지 확인하는 것과 전송된 메세지가 변조되거나 의미가 그릇되지 않고 송신자 가 보낸 그대로의 것인지를 확인하는 것이 있다.
부인 방지
- Non Repudiation
- 데이터를 송수신한 자가 송수신 사실을 부인할 수 없도록 송수신 증거를 제공
접근 통제
- Access Control
- 시스템의 자원 이용에 대한 불법적인 접근을 방지하는 과정
보안 위협 유형
가로막기
- Interruption
- 데이터의 정상적인 전달을 가로막아서 흐름을 방해하는 행위
가로채기
- Interception
- 송신된 데이터가 수신지까지 가는 도중에 몰래 보거나 도청하여 정보를 유출하는 행위
수정
- Modification
- 전 송된 데이터를 원래의 데이터가 아닌 다른 내용으로 바꾸는 행위
위조
- Fabrication
- 마치 다른 송신자로부터 데이터가 송신된 것처럼 꾸미는 행위
개인키 압호화 기법
- Private Key Encryption = 대칭 암호 기법 = 단일키 암호화 기법
- DES(Data Encryption Standard)
DES
- 데이터 암호 표준
- 대푲거인 비밀키 암호화 기법
- 56비트의 암복호 키를 사용하여 64비트의 평문을 암복호화
- IBM에서 개발, 미국방성에 의해 채택
- Triple DES가 많이 사용됨
공개키 암호화 기법
- Public Key Encryption = 비대칭 암호 기법
- RSA(Rivest Shamir Adleman)
순차적 암호화
- OPE = Order Preserving Encryption
- DB에서 암호화된 수치 데이터들이 원본 수치 데이터와 동일한 순서로 정렬될 수 있도록 해주는 암호화 기술
공개키 기반 구조
- PKI = Public Key Infrastructure
- 공개키 암호 시스템을 안전하게 사용하고 관리하기 위한 정보 보호 표준 방식
- ITU-T의 X.509 방식과 비X.509 방식으로 구분
프라이버시 강화 기술
- PET = Privacy Enhancing Technology
- 개인정보 위험 관리 기술
- 개인정보를 보호하는 기술에서 사용자가 직접 개인정보를 통제하기 위한 기술까지 다양한 사용자 프라이버시 보호기술을 통칭
Digital Forensics
- 범죄의 증거로 사용될 수 있는 컴퓨터, 휴대전화, 인터넷 등의 디지털 저장매체에 존재하는 디지털 정보를 수집하는 디지털 수사 과정
DRM
- Digital Rights Management = 디지털 저작권 관리
- 데이터의 안전한 배포를 활성화하거나 불법 배포를 방지하여 인터넷이나 기타 디지털 매체를 통해 유통되는 데이터의 저작권을 보호하기 위한 시스템
ONS
- Object Naming Service
- 사물에 관한 구체적인 정보가 저장되어 있는 서버의 위치를 알려주는 서비스
- RFID 태그가 부착된 제품을 리더로 읽으면 제품 초기 제작 정보는 물론 유통 과정에서 저장된 다양한 정보를 파악할 수 있다.
침입 탐지 시스템
- IDS = Intrusion Detection System
- 컴퓨터 시스템의 비정상적인 사용, 오용, 남용 등을 실시간으로 탐지하는 시스템
RFID
- Radio Frequency IDentification = 전파 식별
- 라디오 주파수 인식 기술
- IC칩과 무선을 통해 다양한 개체의 정보를 관리할 수 있는 차세대 인식 기술
- 판독 및 해독 기능을 하는 판독기(Reader)와 정보를 제공하는 태그(Tag)로 구성
저작권
- Copyright
- 원저작물의 창작자가 저작물의 사용과 배포에 있어 일반적으로 제한된 시간 동안 배타적 권리를 인정하는 법적인 권리
데이터 유출 방지
- DLP = Data Leakage/Loss Prevention
- 내부정보 유출 방지 솔루션
- 사내 직원이 사용하는 PC와 네트워크상의 모든 정보를 검색하고 사용자의 행위를 탐지, 통제해 외부로의 유출을 사전에 막는다.
CC
- Common Criteria = 공통 평가 기준
- 1999년 6월 8일 ISO 15408 표준으로 채택된 정보 보호 제품 평가 기준
- 정보화 순기능 역할을 보장하기 위해 정보화 제품의 정보보호 기능과 이에 대한 사용 환경 등급을 정한 기준
SSL
- Secure Sockets Layer
- 데이터를 송수신하는 두 컴퓨터 사이, 종단 간 즉 TCP/IP 계층과 애플리케이션 계층 사이에 위치하여 인증, 암호화, 무결성을 보장하는 업계 표준 프로토콜
프록시 서버
- Proxy Server
- PC 사용자와 인터넷 사이에서 중개자 역할을 하는 서버
- 방화벽 기능과 캐시 기능을 수행
HDCP
- High-bandwidth Digital Content Protection = 고대역폭 디지털 콘텐츠 전송 보호
- 디지털 비주얼 인터페이스(DVI) 송수신간 고대역폭의 비디오 암호화 전송을 보호하기 위한 규격
- 송신측은 컴퓨터, 세톱, DVD 플레이어 등을 수신측은 LCD, TV, 프로젝터 등을 사용하며 모든 장비는 컨텐츠 보호 기관으로부터 고유의 비밀 장비 키를 부여받는다.
빅 데이터
- 기존의 관리 방법이나 분석 체계로는 처리하기 어려운 막대한 양의 정형 또는 비정형 데이터 집합
CCL
- Create Commons License = 저작물 이용 약관
- 저작원자가 자신의 저작물에 대한 이용방법 및 조건을 표기하는 저작물 이용약관
- 저작자 표시(BY), 비영리($), 변경금지(=), 동일조건변경허락(⊃)의 4가지로 분류
개인정보 영향평가 제도
- PIA = Privacy Impact Assessment
- 개인 정보를 활용하는 새로운 정보시스템의 도입 및 기존 정보시스템의 중요한 변경 시 시스템의 구축 운영이 기업의 고객은 물론 국민의 사생활에 미칠 영향에 대해 미리 조사, 분석, 평가하는 제도
목표 복구 시점
- RPO = Recovery Point Objective
- 조직에서 발생한 여러 가지 재난 상황
- IT 시스템이 마비되었을 때 각 업무에 필요한 데이터를 여러 백업 수단을 활용하여 복구할 수 있는 기준점
인터넷 제어 메세지 프로토콜
- ICMP = Internet Control Message Protocol
- TCP/IP 기반의 인터넷 통신 서비스에서 인터넷 프로토콜과 조합하여 통신 중에 발생하는 오류의 처리와 전송 경로의 변경 등을 위한 제어 메세지를 취급하는 프로토콜
WEP
- Wired Equivalent Privacy = 유선급 프라이버시
- 유선 랜에서 기대할 수 있는 것과 같은 보안과 프라이버시 수준이 제공되는 무선 랜의 보안 프로토콜
- IEEE WI-FI 표준 802.11b에 기술
WPA
- WI-FI Protected Access
- WI-FI에서 제정한 무선랜 인증 및 암호화 관련 표준
- 암호화는 웹 방식을 보완한 IEEE 802.11i 표준의 임시 키 무결성 프로토콜(TKIP)를 기반으로 하며 인증 부분에서도 802.1x 및 확장 가능 인증 프로토콜(EAP)을 기반으로 상호 인증을 도입해 성능을 높임
IP 보안 프로토콜
- IPSec = IP security protocol
- 안전에 취약한 인터넷에서 안전한 통신을 실현하기 위한 통신 규약
- 인터넷상에 전용 회선과 같이 이용 가능한 가상적인 전용 회선을 구축하여 데이터가 도청당하는 등의 행위를 방지하기 위한 통신 규약
OTP
- One-Time Password = 일회용 패스워드
- 로그인 할 때마다 그 세션에서만 사용할 수 있는 1회성 패스워드를 생성하는 보안 시스템
- 동일한 패스워드가 반복해서 재사용됨으로써 발생할 수 있는 패스워드 도난 문제를 예방하는 것이 목적
- 일반 패스워드와 달리 단방향 암호 기반의 Hash를 사용
공인인증서
- Certificate
- 전자 서명법에 의한 공인 인증 기관이 발행한 인증서
생체 인식
- Biometrics
- 사람의 신체적, 행동적 특징을 자동화된 장치로 추출하고 분석하여 정확하게 개인의 신원을 확인하는 기술
I-PIN
- 인터넷에서 주민등록번호 대신 쓸 수 있도록 만든 사이버 주민등록번호
BCP
- Business Continuity Planning = 업무 연속성 계획
- 재난 발생시 비즈니스의 연속성을 유지하기 위한 계획
- 재해 재난으로 인해 정상적인 운용이 어려운 상황에 처했을 때 데이터 백업과 같은 단순 복구뿐 아니라 고객 서비스의 지속성 보장, 핵심 업무 기능을 지속하는 환경을 조성해 기업 가치를 극대화하는 것
CRL
- Certificate Revocation List = 인증서 폐기 목록
- 폐기된 인증서를 이용자들이 확인할 수 있도록 그 목록을 배포, 공표하기 위한 메커니즘
- 주로 인증기관에서 관리하며 메세지를 전달할 때 인증서와 함께 전달
EPC 클래스
- Electronic Product Code Class
- EPCglobal에서 정의하는 RFID 태그의 종류
인증기관
- Certification Authority
- 인증 업무를 수행하는 제3자의 신뢰 기관
- 온라인상에서 사용자 인증, 전자문서 위변조 방지, 부인방지 등의 보안기능을 제공하는 인증서에 대한 발급 갱신 폐지 유효성 등의 검증 업무를 수행
SAM
- Secure Application Module
- 카드 판독기 내부에 장착되어 카드와 단말기의 유효성을 인증하고 통신 데이터를 암호화하여 정보의 노출 방지 및 통신 메세지의 인증 및 검증을 하며 또한 카드에서 이전된 전자적인 가치를 저장하기도 한다.
CLMS
- Copyright License Management System = 저작권라이선스 통합관리시스템
- 정부가 디지털 저작물에 대한 체계적인 관리를 위해 추진하고 있는 시스템
정부 개인식별 번호
- Government-Personal IDentification Number
- 정부가 추진하고 있는 주민등록번호 대체 수단
- G-PIN
키 페어
- Key Pair
- 공개키 암호 알고리즘에 사용되는 개인키와 공개키 쌍을 말한다.
방화벽
- Firewall
- 기업이나 조직 내부의 네트워크와 인터넷 간에 전송되는 정보를 선별하여 수용, 거부, 수정하는 능력을 가진 보안 시스템
소프트웨어 에스크로
- Softwawre Escrow
- 소프트웨어 개발자의 지식재산권을 보호하고 사용자에게는 저렴한 비용으로 소프트웨어를 안정적으로 사용하고 유지 보수를 받을 수 있도록 하기 위해서 소스 프로그램과 기술 정보 등을 제 3기관에 보관하는 것
마이핀
- 법적 근거 없는 주민등록번호 수집이 금지되면서 도입된 13자리 무작위 번호
- 오프라인 상에서 주민번호를 대신한다.
CAPTCHA
- 자동 계정 생성 방지 기술 = Completely Automated Public Turing test to tell Computers and Humans Apart
- 웹페이지에서 악의적으로 회원강비을 하거나 스팸 메세지를 보내기 위해 사용되는 프로그램인 봇을 차단하기 위해 만들어졌다.
- 사람과 컴퓨터를 구분하기 위한 자동화된 시험
지능형 사이버 위협 대응
- CTI = Cyber Threat Intelligence
- 조직의 인프라와 지적 재산을 보호하기 위해 과거 조직 내부뿐만 아니라 외부의 다양한 정보들에 기초하여 각종 위협에 대응하는 방법
백업방식
전체 백업
- 데이터 전체를 대상으로 백업을 수행하는 방식
증분 백업
- Incremental Backup
- 백업 대상 데이터 중 변경되거나 증가된 데이터만을 대상으로 백업을 수행하는 방식
Cyber Bullying
- 사이버 협박
- 개인이나 집단이 인터넷에서 상대에게 나타내는 적대 행위
DDoS
- Distributed Denial of Service = 분산 서비스 거부 공격
- 분산 서비스 거부 공격은 여러 대의 장비를 이용하여 대량의 데이터를 한 곳의 서버에 집중적으로 전송함으로써 특정 서버의 정상적인 기능을 방해하는 것
VoIP 보안 위협
- VoIP Security Threat
- 음성 패킷을 불법으로 수집 및 조합해 통화 내용을 재생하고 도청하는 위협
Ransomware
- 랜섬웨어
- 인터넷 사용자의 컴퓨터에 잠입해 내부 문서나 파일 등을 임의로 암호화해 사용자가 열지 못하도록 한 후 암호 해독용 프로그램의 전달을 조건으로 사용자에게 돈을 요구
디지털 발자국
- Digital Footprint
- 사람들이 온라인 활동을 하면서 남긴 로그인 정보, 결제 정보, 결제 방법, 구매 이력, SNS, Email 등의 다양한 디지털 기록 또는 흔적
워터링 홀
- Watering Hole
- 포식자가 사냥을 위해 물 웅덩이에서 매복하고 있는 것을 빗댄 용어
- 표적으로 삼은 집단이 주로 방문하는 웹 사이트를 감염시켜 피해 대상이 해당 사 이트를 방문하는 것을 기다린다.
백도어
- Back Door = Trap Door
- 시스템 보안이 제거된 비밀 통로
- 서비스 기술자나 유지 보수 프로그램 작성자의 액세스 편의를 위해 시스템 설계자가 고의로 만들어 놓은 것
Zero Day Attack
- 제로 데이 공격
- 보안 취약점이 발견되었을 때 그 문제가 공표되기 전에 해당 취약점을 악용하여 이루어지는 보안 공격
- 공격의 신속성을 의미
Smurfing
- 스머핑
- IP나 ICMP의 특성을 악용하여 엄청난 양의 데이터를 한 사이트에 집중적으로 보냄으로써 네트워크의 일부를 불능상태로 만드는 공격 방법
Typosquatting
- 타이포스쿼팅 = URL 하이재킹
- 네티즌들이 사이트에 접속할 때 주소를 잘못 입력하거나 철자를 빠뜨리는 실수를 이용하기 위해 이와 유사한 유명 도메인을 미리 등록하는 것