[정보보안 일반] 기본 보안용어 정의
1. 자산(Asset)
- 조직이 보호해야 할 대상으로서 데이터 혹은 자산 소유자가 가치를 부여한 실체이다.
2. 취약점(취약성, Vulnerability)
- 컴퓨터나 네트워크에 침입하여 환경 내의 리소스에 대한 허가되지 않은 접근을 시도하려는 공격자에게 열린 문을 제공할 수 있는 소프트웨어, 하드웨어, 절차 혹은 인력상의 약점을 가리킨다. 즉, 위협의 이용대상으로 관리적 물리적 기술적 약점이다.
3. 위협(Treat)
- 손실이나 손상의 원인이 될 가능성을 제공하는 환경의 집합니다.
- 보안에 해를 끼치는 행동이나 사건이다.
- 임의의 위협은 네가지로 구분된다.
[기밀성에 영향]
■ 가로채기(interception) : 비인가된 당사자가 자산으로의 접근을 획득한 것을 의미(불법 복사, 도청 등)
[가용성에 영향]
■ 가로막음(interruption) : 시스템 자산은 손실되거나, 손에 넣을 수 없거나, 사용 불가능하게 됨(하드웨어 장치의 악의적 파괴, 파일 삭제, 서비스 거부 등)
[무결성에 영향]
■ 변조(modification) : 비인가된 당사자가 접근하여 그 내용을 변경(데이터베이스 특정값 변경, 특정 프로그램 변경 등)
■ 위조(fabrication) : 비인가된 당사자가 컴퓨팅 시스템상에 불법 객체의 위조 정보를 생성(네트워크 통신에 가짜 거래 정보를 만듦 등)
4. 위협 주체(위협원, Treat agents)
- 취약점을 이용하는 존재는 위협 주체라고 불린다.
- 위협 주체는 침입차단시스템의 포트를 통해 네트워크에 접근하는 침입자, 보안 정책을 위반하는 방식으로 데이터에 접근하는 프로세스, 시설물을 파괴하는 태풍, 혹은 의도하지 않은 실수로 기밀 정보를 누설하거나 파일의 무결성을 손상시키는 직원이 될 수 있다.
5. 위험(Risk)
- 위협 주체가 취약점을 활용할 수 있는 가능성과 그와 관련된 비즈니스 영향을 가리킨다. 만약 침입차단시스템이 다수의 개방된 포트를 가지고 있다면, 침입자가 허가되지 않은 방법으로 네트워크에 접근할 가능성이 높다.
- 위협 주체가 취약점을 이용하여 위협이라는 행동을 통해 자산에 악영향을 미치는 결과를 가져올 가능성으로 위험은 자산X위협X취약점으로 표현된다.
6. 노출(Exposure)
- 위협 주체로 인해서 손실이 발생할 수 있는 경우를 말한다. 취약점은 조직에 있어서 가능한 피해를 노출시킨다.
- 만약 패스워드 관리가 허술하고 패스워드 규칠이 집행되지 않으면, 기업은 사용자들의 패스워드가 유출되어 허가되지 않은 방법으로 사용될 수 있는 가능성에 노출된다.
7. 대책/안전장치(Countermeasure/Safeguard)
- 대책 혹은 안전장치는 잠재적 위험을 완화시키기 위해 배치된다. 대책은 취약점을 제거하거나 위협 주체가 취약점을 이용할 수 있는 가능성을 감소시키기 위한 소프트웨어 설정, 하드웨어 장비, 또는 절차이다.
8. 다계층 보안/심층 방어(Defense in Depth)
- Multi Layered(Level) Security라고도 불리는 것으로, 여러 계층의 보안대책이나 대응수단을 구성하는 것을 말한다.
- 다계층 보안이므로 한 가지 통제가 대응에 실패하더라도 전체 시스템을 위험에 빠뜨리지 않는다.
- 시스템이 취할 수 있는 가장 최선의 보안 접근 방법으로, 보호·탐지·대응으로 이루어진 보안 접근법이다.
9. 직무상의 신의성실, 노력(Due Care, Due Diligence)
- Due : 특정 목적을 위하여 필요하거나 요구되는 적절하고 충분한 의무이다.
- Due Care : 특정 목적을 위하여 필요하거나 요구되는 충분한 주의이다.
- Due Diligence : 특정 목적을 위하여 필요하거나 요구되는 충분한 노력이다.
10. 사회공학(Social Engineering)
- 컴퓨터 보안에서 인간 상호 작용의 깊은 신뢰를 바탕으로 사람들을 속여 정상적인 보안 절차를 깨트리기 위한 침입 수단이다.
- 우선 통신망 보안 정보에 접근 권한이 있는 담당자와 신뢰를 쌓아 전화나 이메일을 통해 도움을 받고, 약점을 이용한다.
11. 시점별 통제(Control)
(1) 예방통제(Preventive Control) : 사전에 위협과 취약점엠 대처하는 통제이다.
(2) 탐지통제(Detective Control) : 위협을 탐지하는 통제로, 빠르게 탐지할수록 대처하기에 용이하다.
(3) 교정통제(Corrective Control) : 이미 탐지된 위협이나 취약점에 대처하거나, 위험이나 취약점을 감소시키는 통제이다.
기본 보안 용어 정리 표
구분 | 설명 |
공격자 | 시스템을 공격하거나 위협하는 존재 |
공격 | 시스템의 보안 서비스를 회피하여 보안 정책을 위반하려는 의도된 시도 |
대응 | 피해의 최소화 및 적절한 대응을 위해 탐지, 보고하여 위험, 노출, 공격을 제거하거나 방지하는 행위 |
위험 | 특정 위협이 가져올 피해가 확률적으로 표현되는 예상 손실 |
보안 정책 | 시스템이나 기관이 민감하고 중요한 시스템 자원에 보안 서비스를 제공하기 위해 명시한 규정과 업무 |
자산 | 정보 시스템 내의 데이터, 시스템의 서비스, 처리 기능, 통신 대역폭, 시스템 장비(하드웨어, 펌웨어, 소프트웨어, 문서). 시스템 장비 설비 |
위협 | 보안을 침해하고 손해를 가져올 수 있는 상황, 행위, 이벤트가 존재할 때의 잠재적 보안 위반 |
취약점 | 시스템 보안 정책을 위반할 수 있는 시스템 설계, 구현, 혹은 운영, 관리상의 오류 및 약점 |