IT/정보보안

[정보보안 일반] 기본 보안용어 정의

액트 2019. 11. 11. 16:04

[정보보안 일반] 기본 보안용어 정의


1. 자산(Asset)

 - 조직이 보호해야 할 대상으로서 데이터 혹은 자산 소유자가 가치를 부여한 실체이다.

 

2. 취약점(취약성, Vulnerability)

 - 컴퓨터나 네트워크에 침입하여 환경 내의 리소스에 대한 허가되지 않은 접근을 시도하려는 공격자에게 열린 문을 제공할 수 있는 소프트웨어, 하드웨어, 절차 혹은 인력상의 약점을 가리킨다. 즉, 위협의 이용대상으로 관리적 물리적 기술적 약점이다.

 

3. 위협(Treat)

 - 손실이나 손상의 원인이 될 가능성을 제공하는 환경의 집합니다.

 - 보안에 해를 끼치는 행동이나 사건이다.

 - 임의의 위협은 네가지로 구분된다.

[기밀성에 영향]

    ■ 가로채기(interception) :  비인가된 당사자가 자산으로의 접근을 획득한 것을 의미(불법 복사, 도청 등)

[가용성에 영향]

    ■ 가로막음(interruption) : 시스템 자산은 손실되거나, 손에 넣을 수 없거나, 사용 불가능하게 됨(하드웨어 장치의 악의적 파괴, 파일 삭제, 서비스 거부 등)

[무결성에 영향]

    ■ 변조(modification) : 비인가된 당사자가 접근하여 그 내용을 변경(데이터베이스 특정값 변경, 특정 프로그램 변경 등)

    ■ 위조(fabrication) : 비인가된 당사자가 컴퓨팅 시스템상에 불법 객체의 위조 정보를 생성(네트워크 통신에 가짜 거래 정보를 만듦 등) 

 

4. 위협 주체(위협원, Treat agents)

 - 취약점을 이용하는 존재는 위협 주체라고 불린다.

 - 위협 주체는 침입차단시스템의 포트를 통해 네트워크에 접근하는 침입자, 보안 정책을 위반하는 방식으로 데이터에 접근하는 프로세스, 시설물을 파괴하는 태풍, 혹은 의도하지 않은 실수로 기밀 정보를 누설하거나 파일의 무결성을 손상시키는 직원이 될 수 있다.

 

5. 위험(Risk)

- 위협 주체가 취약점을 활용할 수 있는 가능성과 그와 관련된 비즈니스 영향을 가리킨다. 만약 침입차단시스템이 다수의 개방된 포트를 가지고 있다면, 침입자가 허가되지 않은 방법으로 네트워크에 접근할 가능성이 높다.

 - 위협 주체가 취약점을 이용하여 위협이라는 행동을 통해 자산에 악영향을 미치는 결과를 가져올 가능성으로 위험은 자산X위협X취약점으로 표현된다.

 

6. 노출(Exposure)

 - 위협 주체로 인해서 손실이 발생할 수 있는 경우를 말한다. 취약점은 조직에 있어서 가능한 피해를 노출시킨다.

 - 만약 패스워드 관리가 허술하고 패스워드 규칠이 집행되지 않으면, 기업은 사용자들의 패스워드가 유출되어 허가되지 않은 방법으로 사용될 수 있는 가능성에 노출된다.

 

7. 대책/안전장치(Countermeasure/Safeguard)

 - 대책 혹은 안전장치는 잠재적 위험을 완화시키기 위해 배치된다. 대책은 취약점을 제거하거나 위협 주체가 취약점을 이용할 수 있는 가능성을 감소시키기 위한 소프트웨어 설정, 하드웨어 장비, 또는 절차이다.

 

8. 다계층 보안/심층 방어(Defense in Depth)

 - Multi Layered(Level) Security라고도 불리는 것으로, 여러 계층의 보안대책이나 대응수단을 구성하는 것을 말한다.

 - 다계층 보안이므로 한 가지 통제가 대응에 실패하더라도 전체 시스템을 위험에 빠뜨리지 않는다.

 - 시스템이 취할 수 있는 가장 최선의 보안 접근 방법으로, 보호·탐지·대응으로 이루어진 보안 접근법이다.

 

9. 직무상의 신의성실, 노력(Due Care, Due Diligence)

 - Due : 특정 목적을 위하여 필요하거나 요구되는 적절하고 충분한 의무이다.

 - Due Care : 특정 목적을 위하여 필요하거나 요구되는 충분한 주의이다.

 - Due Diligence : 특정 목적을 위하여 필요하거나 요구되는 충분한 노력이다.

 

10. 사회공학(Social Engineering)

 - 컴퓨터 보안에서 인간 상호 작용의 깊은 신뢰를 바탕으로 사람들을 속여 정상적인 보안 절차를 깨트리기 위한 침입 수단이다.

 - 우선 통신망 보안 정보에 접근 권한이 있는 담당자와 신뢰를 쌓아 전화나 이메일을 통해 도움을 받고, 약점을 이용한다. 

 

11. 시점별 통제(Control)

  (1) 예방통제(Preventive Control) : 사전에 위협과 취약점엠 대처하는 통제이다.

  (2) 탐지통제(Detective Control) : 위협을 탐지하는 통제로, 빠르게 탐지할수록 대처하기에 용이하다.

  (3) 교정통제(Corrective Control) : 이미 탐지된 위협이나 취약점에 대처하거나, 위험이나 취약점을 감소시키는 통제이다.

 

기본 보안 용어 정리 표

구분 설명
공격자 시스템을 공격하거나 위협하는 존재
공격 시스템의 보안 서비스를 회피하여 보안 정책을 위반하려는 의도된 시도
대응 피해의 최소화 및 적절한 대응을 위해 탐지, 보고하여 위험, 노출, 공격을 제거하거나 방지하는 행위
위험 특정 위협이 가져올 피해가 확률적으로 표현되는 예상 손실
보안 정책 시스템이나 기관이 민감하고 중요한 시스템 자원에 보안 서비스를 제공하기 위해 명시한 규정과 업무
자산 정보 시스템 내의 데이터, 시스템의 서비스, 처리 기능, 통신 대역폭, 시스템 장비(하드웨어, 펌웨어, 소프트웨어, 문서). 시스템 장비 설비
위협 보안을 침해하고 손해를 가져올 수 있는 상황, 행위, 이벤트가 존재할 때의 잠재적 보안 위반
취약점 시스템 보안 정책을 위반할 수 있는 시스템 설계, 구현, 혹은 운영, 관리상의 오류 및 약점