[용어/개념] 보안 시스템/솔루션 및 클라우드/인공지능/개발 보안 용어 정리

1. 보안시스템

▶ FireWall(침입차단시스템)
⦁ 4계층에서 동작하는 패킷 필터링 장비

• 3, 4계층 정보를 기반으로 정책을 세울 수 있고 해당 정책과 매치되는 패킷이 방화벽을 통과하면 그 패킷을 허용(Allow, Permit)하거나 거부(Deny)할 수 있음
• IP(L3)/ PORT(L4)단의 룰셋으로 설정하며, 리눅스의 iptables과 윈도우의 ipsec기능과 동일
• 하나의 장비로 존재하여 운용 공격자 IP나 불필요한 포트를 차단

⦁ 방화벽의 기능

• 접근제어: 정책에 의하여 허용/차단 결정하기 위한 검사
• 로깅(Logging) 및 감사(Auditing) 추적: 허가되지 않은 정보에 대한 로그파일 기록, 의심스러운 사항이나 명백한 침입 사실이 확인될 경우, 이에 대한 자세한 정보를 관리자가 추적할 수 있도록 하는 기능
• 사용자 인증(Authentication) 및 NAT 기능
• 데이터 암호화

⦁ 방화벽의 종류
(1) 패킷필터링 방식

• 단순히 IP 주소와 Port 번호를 이용해 패킷을 허용하거나 Drop하는 방식
• IP와 Port를 통한 보안 정책
• OSI 7 Layer 모델 중 네트워크(IP address)계층과 전송 계층(TCP/UCP)에서 동작
• 애플리케이션 레벨 방화벽에 비하여 처리속도가 빠름
• 정책이 많을수록 delay가 생기고 바이러스에 감염된 메일과 첨부파일 등을 전송할 경우 차단 불가능

(2) Application Gateway(프록시 방식)

• Application Gateway 방식은 별도의 Gateway를 통해 Application 계층까지 검사하여 이를 허용하거나 차단
• 외부 시스템과 내부시스템은 방화벽의 Proxy를 통해서만 연결이 허용되어 외부에 대한 내부망의 완벽한 경계선 방어 가능

(3) Hybrid 방화벽

• 여러 유형의 방화벽들을 상황에 맞게 복합적으로 구성할 수 있는 방화벽
• 서비스의 종류에 따라서 다양한 보안정책을 부여함으로써 구축 및 관리하는데 어려움이 따를 수 있음

(4) 상태기반 감시(Stateful inspection)

• 스테이트풀 인스펙션은 현재 방화벽 업계 표준으로 자리 잡아가고 있음.
• 상태기반감시는 연결 상태를 추적하고, 정상상태에서 벗어난 패킷을 차단하는 방법
• 상태표의 세부 내용은 일반적으로 출발지 IP 주소, 목적지 IP주소, 포트번호 그리고 연결 상태 정보를 포함

▶ IDS(Intrusion Detection System : 침입탐지시스템)
⦁ Snort Rule 기반으로 패턴을 대입하여 시스템 공격에 대한 탐지 및 차단을 주로 병행(ftp, ssh 등)
⦁ 네트워크나 시스템에 침입하는 악의적인 공격 등의 행위를 탐지하는 정보보호시스템
⦁ 침입의 패턴 데이터베이스와 지능형 엔진을 사용하며 네트워크나 시스템의 사용을 실시간으로 모니터링하고 칩입을 탐지하는 정보보호시스템

⦁ IDS의 종류 및 특징

• 데이터 소스 기반 분류
  : 네트워크 기반 IDS: 네트워크의 패킷 자료를 침입 판정에 사용, 네트워크 영역 전체를 탐지 영역으로 하기 때문에 스위치 등 네트워크 장비에 연결하여 설치
  : 호스트 기반 IDS: 단일 호스트로부터 수집된 감사 자료를 침입 판정에 사용하며, 하나의 호스트만을 탐지 영역으로 하기 때문에 호스트에 설치
• 침입모델 기반 분류
  : 오용 탐지(Misuse Detection)
  : 이상 탐지(Anomaly Dectection)

⦁ IDS의 작동 원리(실행단계)

• 데이터 수집 → 데이터 가공 및 축약 → 침입분석 및 탐지 → 보고 및 대응

▶ IPS(Intrusion Prevention System : 침입방지시스템)
⦁ IDS+F/W= IPS
⦁ 개요

• IDS는 기본적으로 침입을 알려주는 시스템으로, 침입에 대한 능동적인 기능은 별로 없음
• 이러한 IDS에 능동적인 기능을 많이 탑재한 것을 IPS(Intrusion Prevention System)라고 함
• IPS는 IDS에서 한발 더 나아가 공격이 실제 피해를 주기 전에 미리 능동적으로 공격을 차단함으로써 공격 피해를 최소화할 수 있는 능동적 보안대책
• ⦁ 특징
• 정보보안 손실 전에 대응이 가능함
• 알려지지 않은 공격도 유추하여 차단 가능함
• 독립된 agent를 갖고 있음
  ⦁ 능동적인 침입방지, 트래픽 조절, 효율적 보안정책 수립이 가능한 시스템
  ⦁ 공격 시그니처를 찾아내어 네트워크에 연결된 기기에서 수상한 활동이 이루어지는지 감시하여 자동으로 해결, 조치함으로써 중단시키는 보안솔루션

▶ WAF(Web Application Firewall)
⦁ 웹 애플리케이션에 특화된 시스템으로 웹방화벽이라고 불림
⦁ 웹 공격에 대해서 IPS에 패턴이 있더라도 장비의 한계치 때문에 웹방화벽이란 장비를 두어 세밀하게 탐지하고 방어함
⦁ IDS/IPS 장비보다 범용성이 떨어지지만 Application 단의 http/https 트래픽 분석하고 패턴 업데이트 반영으로 모든 패턴을 거의 탐지
⦁ 웹쉘, SQL Injection / Cross Site Script(XSS), apache struct2 등 공격을 차단하고, 위변조 방지, 정보 유출 방지 등의 역할을 함
⦁ 웹 애플리케이션 보안 특화 방화벽, 웹 공격을 탐지하고 차단하는 기능 및 부정 로그인, 정보유출, 위변조 방지 등으로 활용 가능
⦁ WAF는 IPS에서 방어할 수 없는 IPS 회피 공격(Evasion Attack)을 방어할 수 있음
⦁ IPS는 데이터를 조합하지 않고 처리하지만 WAF는 프록시 서버와 같이 패킷을 데이터 형태로 조합해 처리
⦁ 회피 공격을 쉽게 만들기 어렵고 데이터의 일부를 수정, 추가하는 기능을 수행할 수 있음

공격 트래픽을 방어만 하지 않고 공격자에게 통보하거나 민감한 데이터가 유출될 때, 그 정보만 제거해 보낼 수 있음
(IPS는 공격을 차단한 후 그에 대한 통보가 어렵고 전체 공격 내용에 대한 차단만 가능)
⦁ WAF는 다음과 같은 다양한 형태의 장비나 소프트웨어로 제공

• 전용 네트워크 장비
• 웹 서버의 플러그인
• ADC 플러그인
• 프록시 장비 플러그인

▶ VPN(virtual private network)
⦁ 물리적으로 분리된 대상과 암호화된 통신을 위한 장비로 인증, 캡슐화 (암호화 전송)등의 보안 기능을 제공하는 장비로 전용선에 비해 가격이 싼 게 장점
⦁ 인터넷과 같은 공중망을 이용하여 마치 사설망을 사용하듯 네트워크를 안전하게 연결하기 위한 통신 터널을 만들어 데이터를 안전하게 전송하는 시스템
⦁ 기존에는 VPN 서비스를 제공하는 하드웨어가 있었지만 현재는 대부분 방화벽이나 라우터 장비에 VPN 기능 포함
⦁ 가장 많이 사용하는 VPN은 IPSEC과 SSL

• IPSEC은 주로 네트워크 연결용으로 쓰이고 SSLVPN은 사용자가 내부 네트워크에 연결할 때 주로 쓰임

▶ DDoS(Distributed Denial of Service) 전용 장비
⦁ DoS 공격은 'Denial of Service' 공격의 약자로, 다양한 방법으로 공격 목표에 서비스 부하를 가해 정상적인 서비스를 방해하는 공격 기법
⦁ DoS 공격은 비교적 탐지가 쉽고 신속한 탐지시 IP 주소 기반으로 충분히 방어가 가능한데 이를 회피하고 더 짧은 시간 안에 공격 성과를 내기 위해 다수의 봇(bot)을 이용해 분산 공격을 수행하는 DDoS 공격 기법이 등장
⦁ DDoS 장비는 공격에 대한 패킷 필터링 장비로 임계치 설정으로 방어
⦁ DDoS 장비는 데이터 센터 네트워크 내부와 외부의 경계에 위치시켜 공격을 방어하는데 이것은 볼류메트릭 공격(Bolumetric Attack)을 우선 막기 위함

• 볼류메트릭 공격은 회선 사용량이나 그 이상의 트래픽을 과도하게 발생시켜 회선 사용을 방해하는 공격으로 DDoS 장비는 회선을 공급해주는 ISP나 네트워크 ISP와 연결되는 데이터 센터 네트워크의 가장 바깥쪽에 위치시켜 이 공격을 완화(Mitigation)시키는 것을 우선으로 함

 

2. 통합 보안/관제솔루션

 

▶ UTM(Unified Threat Management)
⦁ 안티바이러스, 방화벽, VPN, IDS, IPS, QoS 장비 등 여러 기능을 통합한 네트워크 통합보안시스템
⦁ 하나의 장비로 여러 가지 기능을 수행하므로 한계가 발생할 수 있으며 보안시스템 간 상호 보안 부분을 충족하지 못할 수 있음
⦁ 장점

• 각종 보안 기능 통합 관리, 설치, 비용 절감
• 실시간 긴급 대응 체계가 가능함
  ⦁ 단점
• UTM 고장 시 다양한 보안 시스템이 한 번에 마비되어 치명적인 문제가 발생할 수 있음
• 기능면에서 한계점이 있으며, 장애 발생 시모든 것에 영향

▶ ESM(Enterprise Security Managemnt)
⦁ 통합보안관리 시스템을 말함. 웹방화벽, IDS, 웹서버, DDoS 전용 장비들의 이벤트들을 모아 상호 연관 분석해 실시간 보안위협 파악/대응
⦁ 여러 가지 이벤트들을 모아서 만들다 보니 퍼포먼스나 속도에 대해 문제가 심각하여 부하 발생 시 실시간으로 탐지를 못하고 미러링 하여 차후 분석을 진행하기도 함
⦁ 체계적인 통합 분석을 통해 설루션 별 보안 정책의 일관성 확보 가능
⦁ ESM 구성 요소

• ESM Agent: 규칙에 따라 로그 및 이벤트 데이터 수집 매니저에게 전달
• ESM manager: 수집된 데이터를 분석/저장하여 결과를 콘솔로 전달
• ESM Console: 전달된 정보의 시각적 전달, 상황 파단 및 리포팅 등 제공 및 Manager/Agent에 대한 제어

▶ SIEMs(security information and event management solutions)
⦁ UTM+ESM 형태로 원격관제가 가능한 설루션으로 시스템들 간 호환성에 조금 문제가 있을 수 있음
⦁ ESM의 진화된 형태로, 로그/이벤트 수집 및 관리를 위해 다음과 같은 기능을 제공

• 로그 수집 : 관제 대상 시스템에 설치된 에이전트로 또는 SNMP, syslog 서버에 저장하는 과정
• 로그 분류 : 이벤트 발생 누적 횟수 등 유사 정보를 기준으로 그룹핑하여 한 개의 정보로 취합하는 과정
• 로그 변환 : 다양한 로그 표현 형식을 표준 포맷으로 변환하는 과정
• 로그 분석 : 표준 포맷으로 변환된 로그 중에서 타임스탬프, IP주소, 이벤트 구성된 규칙을 기준으로 여러 개의 로그들의 연관성을 분석하는 과정

▶ TMS(Threat Management System : 위협관리시스템)
⦁ 외부 위협으로부터 내부 정보자산을 보호하기 위해 위협에 대한 조기감지/감소/제거를 목표호 하는 보안시스템
⦁ 글로벌 위협정보를 실시간 분석하여 내부 정보 인프라에 능동적으로 적용함으로써 조기에 위협을 제거하고 관리할 수 있는 통합된 정보보호 기술 체계 및 보안 솔루션
⦁ 위협은 정보자산의 보안에 부정적 영향을 줄 수 있는 외부환경 또는 발생 가능한 이벤트를 말함
⦁ 패턴과 시그니처에 대해 Manager->Agent로 일괄 배포도 가능하며 원격관제를 할 때 주로 사용됨

 

3. 네트워크 (보안)시스템

▶ L4 스위치
⦁ IP와 PORT 기준의 로드벨런스하는 스위치 장비.

예) client IP가 홀수인 경우 A장비로 짝수인 경우 B장비 설정

▶ L7스위치
⦁ Application(L7)별로 로드밸런스하는 스위치 장비.
⦁ 웹서버나 WAS서버의 세션 임계치를 두어 세션이 적은 곳에 뿌려줌
⦁ URL별로 파싱 하여 서비스 가능
⦁ Https 와일드카드(*) 인증서 설치 가능

▶ SDP(Software-Defined Perimeter)
⦁ VPN을 보완할 차세대 보안 기술로 제로 트러스트 기반 소프트웨어 정의 경계(SDP)라고 명함
⦁ SDP는 서버를 은폐해 해커의 침입을 원천적으로 막고 허가된 사용자에게만 접근을 허용하는 신개념 보안 기술
⦁ VPN이 서버 접속 후 인증을 거쳐 사내망에 접속한다면 SDP는 반대로 인증을 거쳐야 서버에 닿을 수 있어 보안성이 높음

▶ NTA(Network Traffic Analysis)
⦁ 네트워크 패킷 분석에 초점을 맞춘 솔루션으로 네트워크 위협 탐지 및 대응(NDR) 솔루션과 비슷한 개념
⦁ 네트워크 풀패킷 분석을 통해 실시간 위협을 탐지하고 대응할 수 있도록 도우며, 특히 AI 기술을 이용해 정교한 위협까지 탐지할 수 있도록 도와주는 기술

▶ SDN(Software-Defined Network)
⦁ 네트워크 자원의 개방화 및 가상화를 통해 네트워크 설정을 소프트웨어적으로 제어할 수 있도록 하는 기술
⦁ 기존 네트워크 기술은 분산된 하드웨어에 제어 기능이 개별 관리되는 비유연성 구조를 기반으로 하는데 반해 SDN 기술은 제어 기능을 별도로 분리해 중앙집중식으로 관리해 데이터 전송만 담당하는 분산 하드웨어를 적시에 제어 가능한 유연한 네트워크 구조를 제공

▶ SD-WAN(Software-Defined Wide Area Networking)
⦁ SD-WAN은 SDN(소프트웨어 정의 네트워크)에 기반해 WAN 영역까지 확장한 개념으로 MPLS(Multi-Protocol Label Switching)의 대체 기술로 관심받고 있음
⦁ MPLS에 비해 SD-WAN이 부상하는 이유는 기존의 브로드밴드 회선을 사용해 대역폭을 대폭 향상할 수 있으며 빠르면서도 운영비용을 상당히 절감할 수 있기 때문

 

4. End Point 보안 및 내부자료 유출방지

 

▶ NAC(Network Access Control : 네트워크접근제어)
⦁ End-Point 보안 솔루션으로 단말장치의 등록, 유무선 장비의 중앙관리, 네트워크 이상활동 탐지, 문제를 일으키는 장치에 대한 네트워크상 격리 등을 통하여 단말장치를 통제할 수 있는 보안솔루션
⦁ 단말기가 내부 네트워크에 접속을 시도할 때 이를 제어하고 통제, 정상적 단말 및 사용자 인증, 무결성 검증 후 접근허용 (ex: PacketFence, FreeNAC)

• 네트워크에 접속하는 장치들을 제어하기 위해 개발된 것으로 인가된 사용자만 내부망에 접속할 수 있도록 제어하는 기술

▶ EDR(Endpoint Detection & Response)
⦁ 엔드포인트 레벨에서 지속적인 모니터링과 대응을 제공하는 보안 솔루션으로 아래 기능을 제공함

• 보안 사고탐지
• 엔드포인트의 보안 사고통제
• 보안 사고조사
• 감염 전 상태로 엔드포인트 치료
  ⦁ 데이터 애널리틱스를 실행하는 보안으로, 모든 행위를 기록하면서 악의적인 행위에 대해 판단하고 대응할 수 있도록 함
  ⦁ 단순 솔루션이 아닌 기술, 프로세스, 사람이 결합되어야만 충분한 효과를 발휘할 수 있음

▶ XDR(Extended Detection and Response)
⦁ 엔드포인트의 확장으로 네트워크, 클라우드 등 IT 전체에서 발생하는 위협을 탐지하고 연계 분석하는 개념
⦁ 네트워크 풀 패킷과 로그, 엔드포인트 이벤트, 클라우드와 IoT에서 수집하는 모든 위협 이벤트를 관리해 IT 전반의 위협을 낮춰 주는데 목적이 있음

▶ MDR(Managed Defense & Response)
⦁ 보안 솔루션과 매니지드 서비스가 결합된 보안 모델로 네트워크 및 호스트에서 탐지된 위협들을 제거하고 대응하는 서비스 또는 아웃소싱 행위를 말함
⦁ 전문 보안팀이 네트워크에 침입한 악성코드와 악성 행위를 탐지하고 위협을 제거하기 위한 일련의 서비스.

▶ DLP(Data Leakage/Loss Prevention)
⦁ 조직 내부의 중요 자료가 외부로 유출되는 것을 탐지하고 차단하는 솔루션, 정보의 흐름에 대한 모니터링과 실시간 차단 기능
⦁ 데이터의 외부 유출을 차단해 주며 허가받지 않은 외부 장치를 연결했을 때도 차단 시킴

• 허가받지 않은 외부 장치를 연결했을 때, 바이러스 등에 감염될 우려가 있고, 정보를 외부로 유출할 수도 있기 때문
• 그 이외에 메일 전송 로그를 기록하고 증거를 수집하는 기능도 포함
  ⦁ DLP 구분
• 네트워크 DLP : 메일, 메신저, 웹메일/하드/게시판, P2P 등 네트워크를 통해 유출되는 것을 통제
• 단말 DLP : 단말기에서 이동식 저장 매체, 출력물 등을 통해 유출되는 것을 방지

▶ DRM(Digital Right Management)
⦁ 디지털 콘텐츠를 안전하게 보호할 목적으로 암호화 기술을 이용하여 허가되지 않은 사용자로부터 콘텐츠 저작권 관련 당사자의 권리 및 이익을 지속적으로 보호 및 관리하는 시스템
⦁ 저작자 및 유통업자의 의도에 따라 디지털 콘텐츠가 안전하고 편리하게 유통될 수 있도록 제공되는 모든 기술과 서비스 절차 등을 포함하는 개념
⦁ 기업에서 사용하는 문서 보안솔루선(문서 DRM)이 해당하며, ebook이나 mp3 등 파일에 암호를 걸기도 하며 권한이 없는 사용자가 사용하지 못하게 할 수도 있음

▶ 스테가노그래피(Steganography)
⦁ 전달하려는 기밀정보를 그래픽, 사진, 영화, 소리, 파일 등에 암호화해 숨겨서 전달하는 암호기술
⦁ 정보를 교환하고 있다는 것을 숨기면서 통신하는 기술

▶ 워터마킹(Water Marking)
⦁ 디지털 정보에 사람이 인지할 수 없는 마크를 삽입하여 디지털 콘텐츠에 대한 소유권을 추적할 수 있는 정보 은닉 기술
⦁ 오디오, 비디오, 이미지 등의 디지털 데이터에 삽입되는 또 다른 디지털 데이터.
⦁ 프린트된 출력물에 미리 구성된 텍스트 또는 이미지를 사입하여 소유권을 추적(문서보안)

▶ WIPS(Wireless Intrusion Prevention System : 무선침입방지시스템)
⦁ 비인가 단말기 탐지 및 차단, 취약한 무선 공유기 탐지, 무선랜 환경에서의 보안 위협 탐지 대응

▶ 스팸차단솔루션
⦁ 메일 서버 앞단에 위치하여 프락시 메일 서버로 동작, 내 외부의 바이러스, 내부정보유출방지 등을 하는 보안솔루션

▶ PMS(Patch Management System : 패치관리시스템)
⦁ 기업 네트워크에 접속하는 사용자 PC의 운영체제와 각종 애플리케이션에 대한 패치를 보안 정책에 따라 자동 설치/업그레이드함으로써 IT환경을 효과적으로 보호해주는 솔루션
⦁ PMS Server, PMS Agent, 관리용 콘솔 구성

▶ 보안USB(Security USB)
⦁ 안전한 이동식 저장장치를 위해 개발
⦁ 사용자 식별/인증, 저장데이터 암/복호화, 저장된 자료의 임의복제방지, 분실 데이터 보호/삭제 등의 기능을 포함

▶ HSM(Hardware Security Module : H/W 보안토큰)
⦁ 전자서명이 저장장치 내부에서 생성되어 공인인증 유출을 방지할 수 있는 휴대용 보안토큰

• 지문보안토큰, OTP와 토큰 결합방식 등

 

5. 정보보호 기술(기법) 및 도구(툴)

▶ 샌드박스
⦁ 가상 운영체제 안에서 각종 파일을 직접 실행시키고 그 행동을 모니터링해 악성 코드 여부를 판별하는 방법을 이용하는 개념

• APT의 공격을 방어하는 대표적인 장비로 악성 코드를 샌드박스 시스템 안에서 직접 실행하여 악성 여부를 판단
• APT는 원하는 시스템에 직접 접근하지 않고 악성 코드를 관리자 PC에 우회적으로 심고 이 악성 코드를 이용해 관리자 PC를 컨트롤하는 방식으로 공격
• 악성 코드가 든 이메일을 관리자에게 보내거나 관리자가 악성 코드를 내려받도록 다양한 방법으로 유도
• 보안솔루션을 회피하는 일환으로 APT(Advanced Persistent Threat: 지능형 지속 공격)와 ATA(Advanced Target Attack: 지능형 표적 공격)이 됨
  ⦁ 기존 방화벽에서는 내부 사용자가 외부로 통신을 정상적으로 시도한 것으로 보이므로 공격을 검출하거나 방어 못함

▶ Snort
⦁ 대표적인 오픈소스 침입탐지시스템(IDS)
⦁ 패킷을 실시간으로 모니터링하여 패킷과 사전에 정의된 패턴을 비교하고, 로그 형태로 공격 여부를 알려주는 시스템
⦁ Linux와 Windows 환경을 지원

▶ TCP Wrapper
⦁ 네트워크 서비스에 대한 접근통제, 로그 생성 등을 통해 네트워크의 통제를 가능하게 해 주는 도구
⦁ 유닉스 계열에서 사용되는 접근제어 툴(방화벽 툴)
⦁ TCP Wrapper의 접근 허용 및 접근 금지에 대한 판단은 /etc/hosts.allow와 /etc/hosts.deny 파일에 정의된 호스트 정보를 기준으로 함

▶ PAM(Pluggable Authentication Modules : Linux)
⦁ 공유 라이브러리를 사용하여 응용 프로그램이 어떤 방법으로 사용자를 인증할 것인지를 설정
⦁ 인증 모듈로, 사용자에 대한 인증을 각 응용 프로그램에서 하는 것이 아니라, 시스템 자체 내에서 계정을 생성하고 인증하도록 하는 메커니즘
⦁ 접근 통제와 파일 시스템 보호 방식으로 Login, FTP, Telnet 등의 일반적인 서비스 인증 부분에 접근 통제를 설정
⦁ 특정한 사용자가 특정한 시간에, 특정한 장소에서만 로그인할 수 있도록 제한을 설정할 수 있음

▶ 포트 미러링(Port Mirroring)
⦁ 스위치에 흐르는 데이터를 분석하기 위해 사용하는 기술이며, 해당 포트에 흐르는 트래픽을 트래픽 분석 장비가 설치된 포트로 복사하여 보내는 기술
⦁ 네트워크 상의 데이터를 분석하거나 오류를 진단하는 데 사용하며, 관리자가 네트워크 성능을 관찰하는데 도움을 주고, 문제가 발생하였을 때 보고하는 기능이 있음

▶ 허니팟(Honey Pot)
⦁ 해커가 취약성을 가진 서버에 침입하도록 유도한 뒤, 해킹 수법이나 해킹 경로 등을 관찰함으로써 해커의 기술 수준과 공격 의도를 파악할 수 있도록 하는 인터넷 보안기술
⦁ 제로데이 공격을 탐지하기 위한 수단으로도 활용

▶ John The Ripper
⦁ 원래 다양한 패스워드 형식을 가지는 파일을 점검하는 도구였지만, 공격자가 사용하는 패스워드 크래커로써 많이 사용되는 도구

▶ Modsecurity : 오픈소스 WAF(Web Application Firewall)
⦁ Trustwave 사에 의해 제공되며 아파치 웹 서버, IIS 웹 서버 등을 지원하는 오픈소스 웹 방화벽
⦁ 대표적인 공개 웹 방화벽에는 KISA의 캐슬(CASTLE), ATRONIX 사의 Webknight, Trustwave 사의 Modsecurity 등이 있음

▶ nmap
⦁ 네트워크 보안을 위한 유틸리티로, 대규모 네트워크를 고속으로 스캔하는 도구
⦁ 네트워크의 어떤 호스트가 살아있는지, 어떤 포트를 사용하는지, 운영체제가 무엇인지 등 네트워크의 수많은 특징을 점검할 수 있음

▶ Portsentry
⦁ 실시간으로 포트 스캔을 탐지하고 대응하기 위해 만들어진 프로그램
⦁ ping이나 다른 도구를 이용하여 불법적인 접근을 하려고 할 때, /etc/hosts.deny 파일에 실시간으로 추가되어 서버 접근 및 포트 스캔을 막는 시스템

▶ Tripwire
⦁ 대표적인 무결성 점검도구
⦁ 파일이나 디렉터리에 관련된 정보를 보관 후, 불법적인 변조나 삭제가 있는지를 점검하는 툴
⦁ 시스템 파일들에 대한 Check sum을 데이터 베이스화하여 파일에 대한 변경 여부를 판단. 이것은 공격자가 임의적으로 파일을 변조했을 경우, 변조된 파일을 파악하기 위해 사용

▶ 바이너리 디핑(Binary Diffing)
⦁ APT 공격이 아닌, 제로데이 공격 취약점을 찾을 수 있는 기법
⦁ 디핑 기술을 사용해서 스크립트 된 바이너리 함수 정보를 획득하는 것으로 자동으로 Malware를 탐지하고 오픈소스 라이선스 준수 여부를 확인함

▶ 공개키
⦁ 공개키는 지정된 인증기관에 의해 제공되는 키 값

• 이 공개키로부터 생성된 개인키와 함께 결합되어, 메시지 및 전자서명의 암호화와 복원에 효과적으로 사용될 수 있음
• 공개키와 개인키를 결합하는 방식은 비대칭 암호 작성법으로 알려져 있으며, 공개키를 사용하는 시스템을 공개키 하부구조(PKI)라고 부름

 

6. 클라우드 (보안)용어

▶ 클라우드 네이티브(Cloud Native)
⦁ 클라우드 네이티브란 클라우드 컴퓨팅 모델의 장점을 모두 활용하는 애플리케이션을 개발하고 실행하기 위한 접근 방식을 뜻함.

• 클라우드 활용이 늘어남에 따라 클라우드 보안에 대한 요구도 증가하고 있음

▶ 컨테이너(Container)
⦁ 애플리케이션 가상화 환경에서 애플리케이션을 패키징하고 안전하게 실행하는 방법. 애플리케이션 컨테이너 또는 서버 애플리케이션 컨테이너로도 알려져 있음
⦁ 호스트 OS 위에 컨테이너 엔진을 설치하고 애플리케이션 작동에 필요한 바이너리, 라이브러리 등을 하나로 모아 각자가 별도의 서버인 것처럼 사용하는 환경

▶ 쿠버네티스(Kubernetes)
⦁ 설치(deploy) 자동화, 스케일링, 컨테이너화된 애플리케이션의 관리를 위한 오픈소스 시스템으로서 원래 구글에 의해 설계되었고 현재 리눅스 재단에 의해 관리되고 있음
⦁ 여러 클러스터의 호스트 간에 애플리케이션 컨테이너의 배치, 스케일링, 운영을 자동화하기 위한 플랫폼을 제공하기 위한 목적을 가지고 있음

▶ 도커(Docker)
⦁ 리눅스의 응용 프로그램들을 소프트웨어 컨테이너 안에 배치시키는 일을 자동화하는 오픈소스 플랫폼(프로젝트 및 프로젝트의 툴)
⦁ 컨테이너를 실행하는 기능 외에 컨테이너 생성 및 구축, 이미지 전송, 이미지 버전 관리 프로세스를 용이하게 해 줌

▶ 파일시스템 가상화(Filesystem Virtualization)
⦁ 다수의 컨테이너가 동일한 물리적 스토리지를 공유하지만, 다른 컨테이너의 스토리지에 접근하거나 변경할 수 없는 가상화의 한 형태

▶ 마이크로서비스(Microservice)
⦁ 애플리케이션을 구성하기 위해 함께 작업하는 컨테이너의 집합으로, 애플리케이션이 독립적인 구성요소로 구축되어 각 애플리케이션 프로세스가 서비스로 실행됨
⦁ 서비스가 독립적으로 실행되기 때문에 애플리케이션 특정 기능에 대한 수요를 충족하도록 각각의 서비스를 업데이트, 배포 및 확장할 수 있음

▶ 서버리스 컴퓨팅(Serverless computing)
⦁ 클라우드 컴퓨팅 실행 모델의 일종으로, 클라우드 제공자는 동적으로 머신 자원의 할당을 관리하고 제공함
⦁ 서버를 관리할 필요 없이 애플리케이션을 빌드하고 실행할 수 있도록 하는 클라우드 네이티브 개발 모델을 말함
⦁ 가격은 미리 구매한 용적 단위가 아닌 애플리케이션이 소비한 자원의 실제 사용량에 기반을 둠

▶ CASB(Cloud Access Security Broker)
⦁ 기업이 이용하는 클라우드 및 애플리케이션에 대해 가시화하고 데이터 보호 및 거버넌스를 실현하는 서비스를 말함
⦁ 클라우드 내 데이터에 대한 가시성을 확보하고, 사용자 접근 통제를 적용함으로써 기업의 자산을 보호하겠다는 취지
⦁ 클라우드 사업자와 사용자 중간에 위치한 보안 전반을 책임지는 클라우드 중계 서비스

▶ CSPM(Cloud Security Posture Management : 보안 형상관리)
⦁ 클라우드 서비스의 구성 위험 평가 및 관리를 하는 것으로, IAM 서비스, 네트워크 연결/구성, 스토리지 구성 및 PaaS 서비스를 관리
⦁ CSPM 핵심 엔터프라이즈 통합은 IaaS에서 SIEM 및 분석 플랫폼에 대한 클라우드 구성 및 서드파티(3rd party) 툴의 커스터마이즈를 통해 PaaS(Platform as a Service)의 구성 문제를 감지함

▶ CWPP(Cloud Workload Protection Platform)
⦁ 클라우드 서버 워크로드 중심의 보안 방어(protection)를 위해 설계된 새로운 범주의 솔루션
⦁ 클라우드 네이티브 애플리케이션, 컨테이너, 관리형 Kubernetes, PaaS에서 지속적으로 안정적인 클라우드 구성을 보장하기 위한 클라우드 보안형상 관리의 개념임

• kubernetes 보안은 CWPP에 속한다고 봄

 

7.인공지능 관련 용어

▶ 인공지능(Artificial Intelligence, AI)
⦁ 인공지능은 인간의 사고, 학습, 추론, 지각, 언어 이해 등을 컴퓨터 프로그램으로 실현한 기술로 영어로는 ‘Artificial Intelligence’, 줄여서 AI라고 함
⦁ AI는 '약한 AI'와 '강한 AI'로 구분

• 약한 AI는 스스로 문제를 인지하고 해결할 수는 없지만 주어진 조건에서 합리적인 결론을 도출하는 형태
• 강한 AI는 지각 능력과 자아를 갖고 있으며, 주어진 과제에 대해 자의적으로 판단을 내릴 수 있어야 함

▶ 인공지능 퍼징(Artificial Intelligence Fuzzing, AIF)
⦁ 퍼징은 특정 시스템이나 애플리케이션 등의 요소가 마비될 때까지 무작위로 입력 값을 넣는 행위로, 흔히 소프트웨어 제품의 품질(QA) 테스트에 활용되는 방법
⦁ 공격자들이 소프트웨어나 네트워크의 취약점을 찾아 제로데이(zero-day)를 발견하는 프로세스가 빨라지게 됨

▶ 머신러닝(Machine Learning)
⦁ ‘약한 AI’를 구현할 때 머신러닝(기계학습)을 사용하게 되는데 딥러닝과 머신러닝은 흔히 혼용되어 쓰이지만 명확히 말하면 머신러닝이 상위 개념이 됨
⦁ 머신러닝은 인공지능의 한 분야로, 방대한 빅데이터를 분석해 미래를 예측하는 기술을 말함

• 컴퓨터가 주어진 데이터에서 의미 있는 정보를 자동으로 찾아낼 수 있도록 하는 모든 기술 영역을 일컫는다.

▶ 딥러닝(Deep Learning)
⦁ 딥러닝(Deep Learning)은 컴퓨터가 마치 사람처럼 생각하고 배울 수 있도록 인공 신경망을 기반으로 한 기계 학습 기술을 말함
⦁ 딥러닝은 인간의 두뇌가 수많은 데이터 속에서 패턴을 발견한 뒤 사물을 구분하는 정보처리 방식을 모방해 컴퓨터가 사물을 분별하도록 기계를 학습시키는 기술

• 딥러닝 기술은 구글의 알파고(AlphaGo)가 대표적

 

8. 공격 기법 용어

▶ 피싱(Phishing)
⦁ 개인정보(Private data)와 낚시(Fishing)의 합성어
⦁ 금융기관을 가장한 이메일을 발송하고 이메일에서 안내하는 인터넷 주소를 클릭하게 한 다음 가짜 은행 사이트로 접속을 유도해 보안카드 번호 전부 입력을 요구하고 금융정보를 탈취하는 형태

▶ 파밍(Pharming)
⦁ 피싱에서 진화한 형태로, 유도가 아닌 직접적으로 가짜 사이트로 접속하도록 해서 악성코드에 감염된 사용자 PC를 조작하여 금융정보를 빼내는 수법
⦁ 파밍은 해당 사이트가 공식적으로 운영하고 있던 도메인 자체를 중간에서 탈취한다는 점에서 차이가 있음

▶ 스미싱(Smishing)
⦁ 문자메시지(SMS)와 피싱(Phishing)의 합성어로, 무료쿠폰 제공이나 돌잔치 초대장, 모바일 청첩장 등을 내용으로 하는 문자 메시지 내 인터넷 주소 클릭하면 악성코드가 스마트폰에 설치되어 피해자가 모르는 사이에 개인·금융정보를 탈취하는 기법

▶ 랜섬웨어
⦁ ransom(몸값)과 ware(제품)의 합성어로 컴퓨터 사용자의 문서를 ‘인질’로 잡고 돈을 요구한다고 해서 붙여진 명칭
⦁ 컴퓨터에 잠입해 내부 문서나 그림파일 등을 암호화해 열지 못하도록 만든 후 돈을 보내주면 해독용 열쇠 프로그램을 전송해 준다며 금품을 요구하는 악성 프로그램

▶ 멀웨어(Malware)
⦁ 악성 소프트웨어(malicious software)의 줄임말
⦁ 컴퓨터 사용자 시스템에 침투하기 위해 설계된 소프트웨어를 뜻함

• 컴퓨터바이러스, 웜바이러스, 트로이목마, 애드웨어 등
  ⦁ 초기의 바이러스나 웜이 이메일에 첨부된 파일이나 플로피디스크를 통해 전파됐던 반면, 특정 웹사이트를 접속하는 것만으로도 감염될 만큼 발전을 거듭하고 있음

▶ 딥페이크(Deepfake)
⦁ 딥페이크(Deepfake)란 인공지능의 한 분야인 심층 학습(Deep Learning)과 가짜(Fake)의 합성어
⦁ 없는 사람을 만들거나 실존하는 사람이 하지 않은 행동을 한 것처럼 보이게 하여 범죄에 악용할 수 있음
⦁ 최근 사회적 이슈에 편승한 가짜 동영상, 가짜 뉴스 등에 활용되는 기술

 

9.개발 보안 용어

▶ 시큐어 코딩(Secure Coding)
⦁ 소프트웨어의 개발 과정에서 개발자의 지식 부족이나 실수, 또는 각 프로그래밍 언어의 고유한 약점 등 다양한 원인으로 발생할 수 있는 취약점을 최소화하기 위하여 설계 단계부터 보안을 고려하여 코드를 작성하는 방식

▶ WebDAV
⦁ HTTP 사양에 대한 확장판으로서 분산형 저작 및 버전 처리
⦁ 인가된 사용자에게 원격으로 웹 서버 상에서 콘텐츠를 추가하고 관리할 수 있게 해주는 HTTP 프로토콜의 확장

▶ CI(Continuous Integration)
⦁ 소프트웨어 개발 시 잘못을 바로잡는데 소요되는 시간과 노력을 줄이기 위해 개발 팀원들이 작성한 코드를 자주 통합하는 소프트웨어 개발 방법 중의 하나

▶ CD(Continuous Delivery)
⦁ 소프트웨어가 언제든지 신뢰 가능한 수준으로 출시될 수 있도록 보증하기 위한 것
⦁ 언제든 배포할 준비가 되어 있는 소프트웨어를 만들어내는 개발 방법
⦁ 소프트웨어를 더 빠르게, 더 주기적으로 빌드하고 테스트하고 출시하는 것을 목표로 함

▶ API(Application Programming Interface)
⦁ 응용 프로그램 개발 시 운영체제나 프로그래밍 언어 등에 있는 라이브러리를 이용할 수 있도록 규칙 등을 정의해 놓은 인터페이스
⦁ 프로그램들이 사용하기 귀찮은 일들은 운영체제가 처리하도록 만드는 것

• API 보안을 제대로 하지 못하면 데이터 유출 사고가 발생할 수 있음

▶ 데브옵스(DevOps)
⦁ 데브옵스는 애플리케이션과 서비스를 빠른 속도로 제공할 수 있도록 조직의 역량을 향상하는 문화 철학, 방식 및 도구의 조합으로 제품을 더 빠르게 혁신하고 개선할 수 있음
⦁ 데브옵스 팀 전체가 보안을 중점으로 하는 경우 데브섹옵스(DevSecOps)라고 부름

▶ 데브섹옵스(DevSecOps)
⦁ 데브섹옵스는 데브옵스와 보안이 결합된 개념으로, 데브옵스의 IT 개발부터 배포, 운영, 관리에 이르기까지 전 영역이 보안과 연계된 것을 의미
⦁ 상호협력 관계인 데브옵스 프레임워크에 보안을 공동의 책임으로 간주하고 개발부터 운영까지의 전 라이프사이클에 걸쳐 빌트인 된 보안 기반을 구축하는 것

▶ 오케스트레이터(Orchestrator)
⦁ 데브옵스(DevOps) 직원(또는 자동화)이 레지스트리에서 이미지를 가져오고, 컨테이너 이미지를 배치하고, 실행 중인 컨테이너를 관리할 수 있게 하는 도구

• 레지스트리(Registry) : 개발자들이 생성한 이미지를 저장하고 검색과 재사용을 목적으로 버전 통제와 다운로드를 할 수 있는 서비스
  ⦁ 오케스트레이터는 전체 호스트에서 컨테이너의 리소스 소비, 작업 실행, 기기 상태를 모니터링해야 함

▶ 오버레이 네트워크(Overlay network)
⦁ 대부분의 오케스트레이터에 포함된 SDN(Software-Defined Network) 컴포넌트로 동일한 물리적인 네트워크를 사용하는 애플리케이션 사이의 통신을 분리하기 위해 사용

▶ SOAR(Security Orchestation, Automation and Response)
⦁ 보안 운영 시 유입되는 다양한 보안 위협에 대해 대응 수준을 자동으로 분류하고, 표준화된 업무 프로세스에 따라 사람과 기계가 유기적으로 협력할 수 있도록 지원하는 플랫폼

 

10.기타 보안 용어

▶ 엣지 컴퓨팅(Edge Computing)
⦁ 소형 IoT 장치에서부터 데이터센터 같은 인프라의 말단 기기에서 컴퓨팅을 수행하는 모든 작업
⦁ 엣지 컴퓨팅을 나타내는 용어로는 분산 컴퓨팅, 하이브리드 엣지 컴퓨팅, 이기종 컴퓨팅, 매트릭스 컴퓨팅, 로컬 클라우드, 네트워크 엣지 등이 대표적

▶ 제로트러스트(Zero Trust)
⦁ 제로 트러스트는 지난 2010년 포레스트 리서치의 존 킨더버그가 소개한 것으로 알려져 있음
⦁ 네트워크 자산에 연결하려는 모든 사람과 디바이스를 신뢰할 수 없는 것으로 취급하고, 접속하고자 하는 모든 것에 접속 권한을 부여하기 전에 신원 확인 과정을 거쳐야 한다는 개념

▶ BAS(Breach and Attack Simulation)
⦁ 기존 자산에 영향을 미치지 않으면서 실제 해커들이 사용하는 최신 해킹 및 중요 기술들을 실제 시뮬레이터를 통해서 전체 네트워크를 대상으로 시뮬레이션해보는 방법
⦁ 구축했던 보안 체계가 얼마나 잘 작동하는지 한눈에 파악할 수 있게 해주는 솔루션

▶ 위협사냥(Threat Hunting)
⦁ 위협 사냥은 자동화된 방어 및 탐지(preventative & detective) 솔루션에서 파악하기 어려운 고도화된 위협을 발견하기 위한 중심의 프로세스를 뜻함

• 기술, 프로세스, 인력이 필요하며 내재된 위협에 대한 가시성을 확보하기 위한 도구가 반드시 동반되어야 함

▶ SASE(Secure Access Service Edge)
⦁ WAN에 각종 네트워크 보안 기능을 덧붙인 것으로 보안 웹 게이트웨이, 클라우드 접근 보안 브로커, 서비스 방화벽, 제로 트러스트 네트워크 접근 등과 같은 보안 서비스들을 아우르는 말
⦁ 민감한 데이터나 멀웨어를 찾아내고 콘텐츠를 복호화하며 위험 요소들과 세션의 신뢰도 수준을 계속해서 모니터링해야 한다는 의미

▶ UEBA(User and Entity Behavior Analytics)
⦁ 고의를 가진 내부자의 소행이나 감염된 사용자 계정에서 발생하는 이상 행위를 탐지하는 솔루션
⦁ 엔드포인트나 네트워크 내에서 사용자의 행위를 정밀하게 분석하고 추적하면서 이상 행위를 찾아내는 사용자 행위 분석 솔루션

▶ 사이버 복원력(Cyber resilience)
⦁ 초연결사회에서 작동하고 있는 주요 정보시스템들은 사이버 공격을 받고 있는 상황에서도 그 핵심 기능이 작동해야 한다는 개념
⦁ 침해당한 부분도 자기 치유를 통해 회복되어야 하기 때문에 사이버 복원력의 중요성이 커지고 있음
⦁ 사이버 복원력은 침해 사고를 완벽하게 통제할 수 없기 때문에 사고 시 정상 비즈니스로 빠르게 돌아오는 회복 탄력성을 높이는 것을 뜻함

▶ DPI(Deep Packet Inspection) : 심층 패킷 검사
⦁ 기본적으로 패킷 내부의 콘텐츠뿐만 아니라 클라이언트와 서버 간의 패킷 통신의 규약에 대한 정보까지 파악하여 정상적인 통신 형태가 이루어지고 있는지를 파악하는 차세대 방화벽 기술
⦁ 네트워크 트래픽을 조정하기 위해 쓰이는 기술

▶ FDS(Fraud Detection System) : 이상 금융거래 탐지시스템
⦁ 고객 신용 거래를 분석하여 평소와 다른 의심거래 이상 징후가 있을 때, 회원과 통화하거나 확인 과정을 통해 사고를 예방하는 시스템