보안 용어 사전

웹 애플리케이션에서 사용자 입력값을 적절히 검증하지 않아 악성 스크립트가 삽입되는 취약점입니다. 공격자는 이를 통해 사용자의 세션 쿠키를 탈취하거나 악성 행위를 수행할 수 있습니다. Stored XSS, Reflected XSS, DOM-based XSS 등의 유형이 있습니다.

웹 애플리케이션의 입력값에 악의적인 SQL 쿼리를 삽입하여 데이터베이스를 조작하는 공격 기법입니다. 이를 통해 데이터 유출, 수정, 삭제는 물론 서버의 제어권까지 획득할 수 있습니다. 매개변수화된 쿼리(Parameterized Query) 사용이 주요 대응 방안입니다.

인증된 사용자의 권한을 이용하여 의도하지 않은 요청을 서버에 전송하게 만드는 공격입니다. 공격자는 사용자가 로그인된 상태에서 악의적인 요청을 실행하도록 유도합니다. CSRF 토큰, SameSite 쿠키 설정 등으로 방어할 수 있습니다.

서버가 공격자가 지정한 임의의 주소로 HTTP 요청을 보내도록 유도하는 취약점입니다. 내부 네트워크의 리소스에 접근하거나 클라우드 메타데이터를 탈취하는 데 악용될 수 있습니다. 입력값 검증과 화이트리스트 기반 필터링으로 방어합니다.

공격자가 대상 시스템에서 원격으로 임의의 코드를 실행할 수 있는 취약점입니다. 가장 심각한 보안 취약점 중 하나로, 시스템의 완전한 제어권을 탈취당할 수 있습니다. 소프트웨어 업데이트와 입력값 검증이 핵심 방어 수단입니다.

다수의 시스템을 이용하여 대상 서버에 대량의 트래픽을 전송함으로써 서비스를 마비시키는 공격입니다. 봇넷(Botnet)을 활용하여 동시에 공격을 수행하는 것이 일반적입니다. CDN, 트래픽 필터링, 레이트 리미팅 등으로 방어합니다.

가능한 모든 조합을 시도하여 비밀번호나 암호 키를 알아내는 공격 방법입니다. 시간이 많이 걸리지만 이론적으로 반드시 성공할 수 있는 공격입니다. 계정 잠금 정책, CAPTCHA, 강력한 비밀번호 정책 등으로 방어합니다.

신뢰할 수 있는 기관을 사칭하여 사용자의 개인정보나 인증 정보를 탈취하는 사회공학적 공격 기법입니다. 이메일, 문자, 웹사이트 등을 통해 수행되며 스피어 피싱, 웨일링 등 다양한 변형이 존재합니다. 보안 인식 교육과 이메일 필터링이 주요 방어 수단입니다.

시스템의 파일을 암호화하거나 접근을 차단한 후 금전을 요구하는 악성 소프트웨어입니다. 최근에는 데이터를 유출하겠다고 협박하는 이중 갈취(Double Extortion) 방식도 증가하고 있습니다. 정기적인 백업과 보안 업데이트가 핵심 예방 조치입니다.

소프트웨어 개발사나 보안 커뮤니티에 알려지지 않은 상태에서 공격에 악용되는 취약점입니다. 패치가 나오기 전까지 방어가 매우 어려우며, 고가에 거래되기도 합니다. 행동 기반 탐지와 심층 방어(Defense in Depth) 전략이 중요합니다.

프로그램이 할당된 버퍼 크기를 초과하는 데이터를 기록할 때 발생하는 취약점입니다. 메모리의 인접 영역을 덮어써서 프로그램의 실행 흐름을 변경하거나 임의 코드를 실행할 수 있습니다. ASLR, DEP, 스택 가드 등의 보호 기법이 사용됩니다.

일반 사용자 권한에서 관리자 권한으로 상승하는 등 더 높은 접근 권한을 획득하는 공격 기법입니다. 수직적 권한 상승과 수평적 권한 상승으로 구분됩니다. 최소 권한 원칙(Least Privilege)과 적절한 접근 제어가 주요 방어 수단입니다.

통신하는 두 당사자 사이에 끼어들어 데이터를 가로채거나 변조하는 공격입니다. 암호화되지 않은 통신에서 특히 위험하며, ARP 스푸핑이나 DNS 스푸핑 등을 통해 수행됩니다. TLS/SSL 암호화와 인증서 검증이 주요 방어 수단입니다.

유효한 사용자 세션을 탈취하여 해당 사용자로 위장하는 공격 기법입니다. 세션 ID를 가로채거나 예측하여 인증을 우회합니다. 세션 토큰의 안전한 관리, HTTPS 사용, HttpOnly 쿠키 설정 등으로 방어합니다.

투명한 iframe을 이용하여 사용자가 의도하지 않은 요소를 클릭하도록 유도하는 공격입니다. 사용자는 정상적인 페이지를 클릭한다고 생각하지만 실제로는 숨겨진 악성 요소를 클릭하게 됩니다. X-Frame-Options 헤더와 CSP의 frame-ancestors 지시어로 방어합니다.

유출된 계정 정보(아이디/비밀번호)를 다른 서비스에 자동으로 대입하여 로그인을 시도하는 공격입니다. 많은 사용자가 동일한 비밀번호를 여러 서비스에 재사용하는 점을 악용합니다. MFA 적용과 비밀번호 재사용 금지 정책이 효과적인 방어 수단입니다.

미국 NIST에서 제정한 대칭 키 블록 암호화 알고리즘입니다. 128, 192, 256비트 키 길이를 지원하며 현재 가장 널리 사용되는 대칭 암호화 방식입니다. 빠른 처리 속도와 높은 보안성으로 데이터 암호화의 표준으로 자리잡았습니다.

큰 소수의 곱셈은 쉽지만 인수분해는 어렵다는 수학적 원리를 기반으로 한 비대칭 키 암호화 알고리즘입니다. 공개 키와 개인 키 쌍을 사용하며, 키 교환과 디지털 서명에 널리 사용됩니다. 2048비트 이상의 키 길이가 권장됩니다.

임의 길이의 데이터를 고정 길이의 해시값으로 변환하는 단방향 해시 함수 집합입니다. SHA-1은 보안 취약점이 발견되어 더 이상 권장되지 않으며, SHA-256 이상의 사용이 권장됩니다. 데이터 무결성 검증, 비밀번호 저장, 디지털 서명 등에 사용됩니다.

인터넷 통신에서 데이터의 기밀성과 무결성을 보장하는 암호화 프로토콜입니다. SSL은 TLS의 전신으로, 현재는 TLS 1.2와 1.3이 주로 사용됩니다. HTTPS 통신의 기반이 되며, 핸드셰이크 과정을 통해 안전한 연결을 수립합니다.

공개 키 암호화 기술을 기반으로 디지털 인증서를 생성, 관리, 배포, 폐기하는 체계입니다. 인증 기관(CA), 등록 기관(RA), 인증서 저장소 등으로 구성됩니다. 전자 서명, 암호화 통신, 인증 등 다양한 보안 서비스의 기반이 됩니다.

문서나 메시지의 작성자 신원과 내용의 무결성을 보증하는 전자적 서명입니다. 개인 키로 서명하고 공개 키로 검증하는 비대칭 암호화 방식을 사용합니다. 부인 방지(Non-repudiation), 무결성 검증, 인증의 기능을 제공합니다.

임의 길이의 데이터를 고정 길이의 고유한 값(해시값)으로 변환하는 단방향 함수입니다. 동일한 입력은 항상 동일한 출력을 생성하지만, 해시값에서 원본 데이터를 복원할 수 없습니다. 비밀번호 저장, 데이터 무결성 검증, 블록체인 등에 활용됩니다.

평문(Plaintext)을 암호문(Ciphertext)으로 변환하여 인가되지 않은 접근으로부터 데이터를 보호하는 기술입니다. 대칭 키 암호화와 비대칭 키 암호화로 나뉩니다. 저장 데이터(Data at Rest)와 전송 데이터(Data in Transit) 모두에 적용해야 합니다.

HTTP에 TLS/SSL 암호화를 적용하여 안전한 통신을 제공하는 프로토콜입니다. 웹 브라우저와 서버 간 전송되는 데이터를 암호화하여 도청과 변조를 방지합니다. 현대 웹에서는 모든 사이트에 HTTPS 적용이 필수적으로 요구됩니다.

공개 키의 소유자 신원을 보증하는 전자적 문서입니다. 인증 기관(CA)이 발급하며, X.509 표준 형식을 따릅니다. 웹사이트의 신원 확인, TLS 통신, 코드 서명 등 다양한 보안 용도로 사용됩니다.

암호화와 복호화에 동일한 키를 사용하는 암호화 방식입니다. 비대칭 암호화에 비해 처리 속도가 빠르지만, 키 분배 문제가 존재합니다. AES, DES, 3DES 등이 대표적인 대칭 키 암호화 알고리즘입니다.

공개 키와 개인 키의 한 쌍을 사용하여 암호화와 복호화를 수행하는 방식입니다. 공개 키로 암호화한 데이터는 개인 키로만 복호화할 수 있습니다. RSA, ECC 등이 대표적이며, 키 교환과 디지털 서명에 주로 사용됩니다.

암호화 키의 생성, 저장, 배포, 교체, 폐기 등 전체 수명 주기를 관리하는 프로세스입니다. 안전한 키 관리는 암호화 시스템의 보안성을 결정하는 핵심 요소입니다. HSM(Hardware Security Module)이나 KMS(Key Management Service) 등을 활용합니다.

비밀번호 해싱 시 원본 데이터에 추가하는 랜덤 데이터입니다. 동일한 비밀번호라도 서로 다른 해시값을 생성하게 하여 레인보우 테이블 공격을 방지합니다. 각 사용자마다 고유한 솔트를 사용하는 것이 권장됩니다.

비밀 키와 해시 함수를 결합하여 메시지의 무결성과 인증을 동시에 제공하는 메커니즘입니다. 전송 중 데이터가 변조되지 않았음을 검증하는 데 사용됩니다. API 인증, JWT 서명 등에 널리 활용됩니다.

제3자 애플리케이션이 사용자의 자격 증명 없이 리소스에 접근할 수 있도록 하는 인가 프레임워크입니다. OAuth 2.0이 현재 표준으로 사용되며, Authorization Code, Client Credentials 등 다양한 권한 부여 방식을 지원합니다. 소셜 로그인의 기반 기술로 널리 사용됩니다.

JSON 형식으로 당사자 간 정보를 안전하게 전송하기 위한 토큰 표준입니다. 헤더, 페이로드, 서명 세 부분으로 구성되며 자체적으로 정보를 포함하는 자기 포함형(Self-contained) 토큰입니다. API 인증, SSO, 정보 교환 등에 널리 활용됩니다.

두 가지 이상의 인증 요소를 조합하여 사용자 신원을 확인하는 보안 방법입니다. 지식(비밀번호), 소유(OTP 기기), 생체(지문) 등의 요소를 결합합니다. 단일 인증 방식의 취약점을 보완하여 계정 보안을 크게 강화합니다.

하나의 인증 정보로 여러 시스템이나 서비스에 접근할 수 있게 하는 인증 방식입니다. 사용자 편의성을 높이고 비밀번호 관리 부담을 줄여줍니다. SAML, OAuth, OpenID Connect 등의 프로토콜을 기반으로 구현됩니다.

사용자의 역할(Role)에 따라 시스템 리소스에 대한 접근 권한을 부여하는 접근 제어 모델입니다. 개별 사용자 대신 역할 단위로 권한을 관리하여 효율적인 권한 관리가 가능합니다. 최소 권한 원칙과 함께 적용하여 보안성을 높입니다.

서버와 클라이언트 간의 상태를 유지하기 위한 연결 단위입니다. 서버 측에 사용자 정보를 저장하고 세션 ID를 통해 식별합니다. 세션 관리는 웹 보안의 핵심 요소로, 세션 타임아웃, 세션 고정 방지 등의 보안 설정이 필요합니다.

웹 서버가 사용자의 브라우저에 저장하는 작은 데이터 조각입니다. 세션 관리, 사용자 설정 저장, 추적 등의 용도로 사용됩니다. Secure, HttpOnly, SameSite 등의 속성을 설정하여 보안을 강화해야 합니다.

사용자의 인증 정보를 포함하는 디지털 자격 증명입니다. 세션 기반 인증의 대안으로, 서버의 상태 저장 부담을 줄여 확장성이 뛰어납니다. Access Token, Refresh Token 등 용도에 따라 구분되며, JWT가 대표적인 토큰 형식입니다.

네트워크 상의 디렉터리 서비스에 접근하기 위한 표준 프로토콜입니다. 사용자 계정, 조직 구조, 권한 정보 등을 중앙에서 관리할 수 있습니다. Active Directory의 기반 프로토콜이며, 기업 환경의 통합 인증에 널리 사용됩니다.

ID 제공자와 서비스 제공자 간에 인증 및 인가 데이터를 교환하기 위한 XML 기반 표준입니다. 기업 환경의 SSO 구현에 주로 사용되며, SAML 2.0이 현재 표준입니다. 웹 브라우저 기반 SSO 시나리오에 최적화되어 있습니다.

한 번만 사용할 수 있는 임시 비밀번호로, 시간 기반(TOTP) 또는 이벤트 기반(HOTP) 방식으로 생성됩니다. MFA의 소유 기반 인증 요소로 널리 활용됩니다. Google Authenticator, 하드웨어 토큰 등을 통해 생성할 수 있습니다.

사용자, 리소스, 환경의 속성(Attribute)을 기반으로 접근 권한을 결정하는 접근 제어 모델입니다. RBAC보다 세밀한 접근 제어가 가능하며, 복잡한 정책을 유연하게 표현할 수 있습니다. 클라우드 환경과 대규모 시스템에서 특히 유용합니다.

안전한 비밀번호의 생성과 관리에 대한 규칙을 정의하는 보안 정책입니다. 최소 길이, 복잡도 요구사항, 변경 주기, 이전 비밀번호 재사용 금지 등을 포함합니다. NIST 최신 가이드라인에서는 길이를 중시하고 주기적 변경 강제는 권장하지 않습니다.

OAuth 2.0 위에 구축된 인증 계층으로, 사용자 신원 확인(인증)을 표준화한 프로토콜입니다. ID Token을 통해 사용자 정보를 안전하게 전달합니다. 현대 웹 및 모바일 앱의 소셜 로그인 구현에 널리 사용되고 있습니다.

API 호출 시 클라이언트를 식별하기 위해 사용되는 고유한 문자열입니다. 간단한 인증 수단이지만, 단독으로 사용 시 보안이 취약할 수 있습니다. 반드시 HTTPS와 함께 사용하고, 환경 변수로 관리하며, 주기적으로 교체해야 합니다.

네트워크 트래픽을 모니터링하고 보안 규칙에 따라 허용 또는 차단하는 네트워크 보안 장치입니다. 패킷 필터링, 상태 기반 검사, 애플리케이션 레벨 게이트웨이 등 다양한 방식이 있습니다. 외부 위협으로부터 내부 네트워크를 보호하는 1차 방어선 역할을 합니다.

네트워크 트래픽이나 시스템 활동에서 악의적인 행위를 탐지(IDS)하거나 자동으로 차단(IPS)하는 보안 시스템입니다. 시그니처 기반과 이상 행위 기반 탐지 방식이 있습니다. 방화벽과 함께 사용하여 다층 방어 체계를 구성합니다.

공용 네트워크를 통해 안전한 암호화 터널을 생성하여 사설 네트워크처럼 통신하는 기술입니다. 원격 근무 시 사내 네트워크에 안전하게 접속하는 데 주로 사용됩니다. IPSec, OpenVPN, WireGuard 등 다양한 프로토콜을 사용합니다.

외부 네트워크와 내부 네트워크 사이에 위치한 중간 네트워크 영역입니다. 웹 서버, 메일 서버 등 외부 접근이 필요한 서비스를 배치하여 내부 네트워크를 보호합니다. 방화벽을 이용하여 외부-DMZ, DMZ-내부 간 트래픽을 제어합니다.

사설 IP 주소를 공인 IP 주소로 변환하는 네트워크 기술입니다. IP 주소 부족 문제를 해결하고 내부 네트워크 구조를 외부에 숨기는 보안 효과가 있습니다. 포트 기반 NAT(PAT)를 통해 여러 내부 호스트가 하나의 공인 IP를 공유할 수 있습니다.

도메인 이름을 IP 주소로 변환하는 인터넷의 핵심 서비스입니다. DNS 스푸핑, DNS 하이재킹 등의 공격에 취약할 수 있어 DNSSEC을 통한 보안 강화가 필요합니다. DNS over HTTPS(DoH), DNS over TLS(DoT) 등 보안 DNS 프로토콜도 활용됩니다.

클라이언트와 서버 사이에서 중계 역할을 하는 서버입니다. 접근 제어, 캐싱, 익명성 제공, 콘텐츠 필터링 등의 기능을 수행합니다. 정방향 프록시(Forward Proxy)와 역방향 프록시(Reverse Proxy)로 구분됩니다.

HTTP/HTTPS 트래픽을 검사하여 웹 애플리케이션을 대상으로 하는 공격을 탐지하고 차단하는 보안 장치입니다. SQL 인젝션, XSS, CSRF 등 OWASP Top 10 공격을 방어합니다. 시그니처 기반, 규칙 기반, 머신러닝 기반 탐지 방식을 사용합니다.

들어오는 네트워크 트래픽을 여러 서버에 분산하여 처리하는 장치 또는 소프트웨어입니다. 가용성과 성능을 향상시키며 DDoS 공격 완화에도 도움이 됩니다. L4(전송 계층)와 L7(애플리케이션 계층) 로드 밸런서로 구분됩니다.

네트워크를 여러 개의 독립된 세그먼트로 나누어 보안을 강화하는 기법입니다. 침해 사고 발생 시 피해 범위를 제한하고 중요 자산을 보호할 수 있습니다. VLAN, 서브넷, 마이크로 세그먼테이션 등의 기술이 사용됩니다.

네트워크 상의 패킷을 캡처하고 분석하는 도구 또는 소프트웨어입니다. 네트워크 문제 해결과 보안 분석에 합법적으로 사용되지만, 악의적 목적으로 통신 내용을 도청하는 데 악용될 수도 있습니다. Wireshark가 대표적인 네트워크 스니퍼입니다.

대상 시스템의 열린 포트를 탐색하여 실행 중인 서비스를 파악하는 기법입니다. 보안 점검의 초기 단계에서 공격 표면을 파악하는 데 사용됩니다. Nmap이 가장 널리 사용되는 포트 스캐닝 도구입니다.

공격자를 유인하기 위해 의도적으로 취약하게 설정된 시스템 또는 리소스입니다. 공격 패턴을 분석하고 새로운 위협을 탐지하는 데 활용됩니다. 저인터랙션과 고인터랙션 허니팟으로 구분되며, 허니넷(Honeynet)은 여러 허니팟의 네트워크입니다.

네트워크 패킷의 헤더 정보(출발지/목적지 IP, 포트 번호, 프로토콜 등)를 기반으로 트래픽을 허용하거나 차단하는 기술입니다. 방화벽의 가장 기본적인 기능이며, ACL(Access Control List)을 통해 규칙을 설정합니다. 간단하고 빠르지만 애플리케이션 계층의 공격을 방어하기 어렵습니다.

웹 브라우저에서 다른 출처(도메인, 프로토콜, 포트)의 리소스 요청을 제어하는 보안 메커니즘입니다. 서버 측에서 Access-Control-Allow-Origin 등의 헤더를 설정하여 허용된 출처를 명시합니다. 동일 출처 정책(SOP)을 안전하게 완화하여 필요한 교차 출처 요청을 허용합니다.

XSS 및 데이터 인젝션 공격을 방지하기 위해 웹 페이지에서 로드할 수 있는 리소스의 출처를 제한하는 보안 정책입니다. HTTP 응답 헤더를 통해 설정하며, 스크립트, 스타일, 이미지 등 리소스 유형별로 허용 출처를 지정합니다. report-uri를 통해 정책 위반을 모니터링할 수 있습니다.

웹 브라우저의 핵심 보안 모델로, 동일한 출처(프로토콜, 호스트, 포트)에서만 리소스에 접근할 수 있도록 제한하는 정책입니다. 악성 웹사이트가 다른 사이트의 데이터에 접근하는 것을 방지합니다. CORS를 통해 필요한 경우 이 정책을 완화할 수 있습니다.

웹사이트가 브라우저에 HTTPS 연결만 사용하도록 강제하는 보안 정책입니다. Strict-Transport-Security 헤더를 통해 설정하며, 중간자 공격과 프로토콜 다운그레이드 공격을 방지합니다. HSTS Preload 목록에 등록하면 최초 접속부터 HTTPS가 적용됩니다.

사용자 입력에서 잠재적으로 위험한 코드나 문자를 제거하거나 변환하는 과정입니다. HTML 태그 제거, 특수 문자 이스케이프, SQL 메타 문자 처리 등이 포함됩니다. 입력 검증(Validation)과 함께 XSS, SQL 인젝션 등의 공격을 방어하는 핵심 기법입니다.

사용자로부터 받는 모든 입력 데이터의 형식, 길이, 범위, 유형 등을 검증하는 보안 기법입니다. 화이트리스트(허용 목록) 방식이 블랙리스트(차단 목록) 방식보다 안전합니다. 클라이언트 측과 서버 측 모두에서 검증을 수행해야 하며, 서버 측 검증이 필수입니다.

웹 서버가 HTTP 응답에 포함하여 브라우저의 보안 동작을 제어하는 헤더입니다. CSP, HSTS, X-Content-Type-Options, X-Frame-Options 등이 대표적입니다. 적절한 보안 헤더 설정은 다양한 웹 공격을 예방하는 효과적인 방어 수단입니다.

CDN 등 외부 출처에서 로드하는 리소스가 변조되지 않았음을 검증하는 보안 기능입니다. HTML 태그에 integrity 속성으로 리소스의 해시값을 지정하여 무결성을 확인합니다. 공급망 공격(Supply Chain Attack)으로부터 웹 애플리케이션을 보호합니다.

소프트웨어 개발 과정에서 보안 취약점이 발생하지 않도록 안전한 코딩 규칙을 준수하는 프로그래밍 방법론입니다. 입력 검증, 출력 인코딩, 에러 처리, 암호화 적용 등의 원칙을 포함합니다. OWASP, CERT, CWE 등에서 시큐어 코딩 가이드를 제공합니다.

크로스 사이트 스크립팅(XSS) 공격을 탐지하고 차단하기 위한 필터링 메커니즘입니다. 입력값에서 악성 스크립트 패턴을 식별하고 제거하거나 인코딩합니다. 서버 측 필터링과 CSP 정책의 병행 사용이 권장됩니다.

웹 캐시 서버에 악성 콘텐츠를 저장시켜 해당 캐시를 사용하는 모든 사용자에게 악성 콘텐츠를 전달하는 공격입니다. HTTP 헤더 조작을 통해 캐시 키와 무관한 입력값이 응답에 반영되는 점을 악용합니다. 캐시 키 설계와 입력값 검증으로 방어할 수 있습니다.

웹 애플리케이션에서 파일 경로 입력값을 조작하여 허가되지 않은 디렉터리와 파일에 접근하는 공격입니다. "../" 등의 경로 조작 문자를 사용하여 웹 루트 밖의 시스템 파일에 접근을 시도합니다. 입력값 검증과 chroot 환경 설정으로 방어합니다.

파일 업로드 기능의 부적절한 검증으로 인해 악성 파일이 서버에 업로드되는 취약점입니다. 웹 셸 업로드를 통한 서버 제어권 탈취가 대표적인 악용 사례입니다. 파일 확장자, MIME 타입, 파일 내용 검증과 업로드 디렉터리의 실행 권한 제거로 방어합니다.

한국인터넷진흥원(KISA)에서 운영하는 정보보호 및 개인정보보호 관리체계 인증 제도입니다. 기존 ISMS와 PIMS를 통합한 것으로, 관리체계 수립, 보호대책 요구사항, 개인정보 처리 단계별 요구사항으로 구성됩니다. 일정 규모 이상의 기업은 의무적으로 인증을 받아야 합니다.

정보보안 경영시스템(ISMS)에 대한 국제 표준 규격입니다. 리스크 관리를 기반으로 한 정보보안 관리체계의 수립, 구현, 운영, 모니터링, 검토, 유지 및 개선에 대한 요구사항을 명시합니다. 전 세계적으로 가장 널리 인정받는 정보보안 인증입니다.

신용카드 정보를 처리, 저장, 전송하는 모든 조직이 준수해야 하는 데이터 보안 표준입니다. 12개의 핵심 요구사항으로 구성되어 있으며, 카드 정보의 안전한 처리를 보장합니다. 준수하지 않을 경우 과징금 부과나 카드 결제 처리 권한이 박탈될 수 있습니다.

유럽연합(EU)의 개인정보 보호 규정으로, EU 시민의 개인정보를 처리하는 모든 조직에 적용됩니다. 정보 주체의 권리 강화, 데이터 처리의 투명성, 개인정보 보호 책임자(DPO) 지정 등을 요구합니다. 위반 시 전 세계 매출의 4% 또는 2천만 유로 중 높은 금액의 과징금이 부과됩니다.

웹 애플리케이션 보안 향상을 위한 비영리 국제 커뮤니티입니다. OWASP Top 10은 가장 중요한 웹 보안 위협 10가지를 선정한 목록으로 전 세계적으로 참조됩니다. 보안 테스트 가이드, 개발 가이드 등 다양한 무료 자료와 도구를 제공합니다.

소프트웨어 및 하드웨어의 보안 취약점 유형을 분류한 표준화된 목록입니다. MITRE에서 관리하며, 각 취약점 유형에 고유 식별자를 부여합니다. 개발자와 보안 전문가가 취약점을 일관된 언어로 소통하고 분석하는 데 활용됩니다.

공개적으로 알려진 보안 취약점에 고유한 식별 번호를 부여하는 표준 체계입니다. CVE-연도-번호 형식으로 식별하며, MITRE가 관리합니다. 보안 전문가, 벤더, 연구자들이 취약점 정보를 명확하게 공유하는 데 사용되는 공통 언어 역할을 합니다.

보안 취약점의 심각도를 0.0~10.0 점수로 수치화하는 표준 평가 체계입니다. 기본 지표, 시간 지표, 환경 지표로 구성되며 현재 CVSS v3.1이 널리 사용됩니다. 취약점 우선순위 결정과 패치 관리에 핵심적인 역할을 합니다.

미국 NIST에서 운영하는 취약점 정보 데이터베이스입니다. CVE에 등록된 취약점에 대한 상세 분석, CVSS 점수, 영향 받는 소프트웨어 목록 등을 제공합니다. 보안 관리자가 시스템 취약점을 파악하고 관리하는 데 핵심적인 참조 자료입니다.

미국의 기술 표준을 개발하고 관리하는 정부 기관으로, 사이버보안 프레임워크(CSF)를 비롯한 다양한 보안 표준과 가이드라인을 발행합니다. NIST SP 800 시리즈는 정보보안 분야의 주요 참조 문서로 활용됩니다. AES, SHA 등의 암호화 표준도 NIST에서 제정하였습니다.

법률, 규정, 산업 표준 등의 요구사항을 준수하는 것을 의미합니다. 보안 컴플라이언스는 조직이 관련 보안 규정과 표준을 충족하는지 확인하는 활동입니다. 정기적인 감사(Audit)와 평가를 통해 준수 여부를 검증합니다.

조직의 정보자산에 대한 위험을 식별, 분석, 평가하고 적절한 대응 방안을 수립하는 체계적인 프로세스입니다. 위험 회피, 완화, 전가, 수용 등의 전략을 포함합니다. ISO 27005, NIST SP 800-30 등의 표준에서 위험 관리 프레임워크를 제공합니다.

개인정보 및 중요 데이터의 수집, 처리, 저장, 파기 전 과정에서 데이터를 보호하기 위한 기술적, 관리적 조치입니다. 암호화, 접근 제어, 데이터 마스킹, 백업 등의 기술을 포함합니다. GDPR, 개인정보보호법 등 관련 법규의 준수가 필요합니다.

소프트웨어의 보안 취약점을 수정하는 패치를 체계적으로 관리하고 적용하는 프로세스입니다. 패치 식별, 테스트, 배포, 검증의 단계로 이루어집니다. 적시적인 패치 적용은 알려진 취약점을 악용한 공격을 방지하는 가장 기본적인 보안 조치입니다.

네트워크 탐색과 보안 감사를 위한 오픈소스 도구입니다. 포트 스캔, 서비스 탐지, OS 식별, 취약점 스캔 등의 기능을 제공합니다. NSE(Nmap Scripting Engine)를 통해 기능을 확장할 수 있으며, 보안 전문가의 필수 도구로 사용됩니다.

네트워크 프로토콜을 분석하는 오픈소스 패킷 캡처 및 분석 도구입니다. 실시간 트래픽 캡처와 오프라인 분석을 지원하며, 수백 가지 프로토콜을 해석할 수 있습니다. 네트워크 문제 해결, 보안 분석, 프로토콜 학습 등에 광범위하게 사용됩니다.

웹 애플리케이션 보안 테스트를 위한 통합 플랫폼입니다. 프록시, 스캐너, 인트루더, 리피터 등 다양한 도구를 포함하고 있습니다. 웹 취약점 진단 시 가장 널리 사용되는 도구 중 하나로, 수동 및 자동화 테스트를 모두 지원합니다.

침투 테스트와 취약점 연구를 위한 오픈소스 프레임워크입니다. 다양한 익스플로잇, 페이로드, 인코더를 제공하여 취약점의 실제 악용 가능성을 검증할 수 있습니다. 보안 전문가가 시스템의 보안 수준을 평가하는 데 핵심적으로 사용됩니다.

소스 코드나 바이너리를 분석하여 보안 취약점을 탐지하는 테스트 방법입니다. 코드를 실행하지 않고 분석하므로 개발 초기 단계에서 취약점을 발견할 수 있습니다. SonarQube, Checkmarx, Fortify 등이 대표적인 SAST 도구입니다.

실행 중인 애플리케이션에 다양한 입력값을 전송하여 보안 취약점을 탐지하는 테스트 방법입니다. 블랙박스 테스트 방식으로 실제 공격 시나리오를 시뮬레이션합니다. OWASP ZAP, Acunetix, Qualys 등이 대표적인 DAST 도구입니다.

조직 내 다양한 보안 장비와 시스템에서 발생하는 로그와 이벤트를 통합 수집, 분석하여 보안 위협을 탐지하는 시스템입니다. 실시간 모니터링, 상관 분석, 경보 발생, 보고서 생성 등의 기능을 제공합니다. Splunk, QRadar, ArcSight 등이 대표적인 SIEM 솔루션입니다.

조직의 보안 상태를 24시간 모니터링하고 사이버 위협에 대응하는 중앙화된 보안 운영 조직입니다. SIEM을 활용하여 보안 이벤트를 분석하고, 보안 사고 발생 시 신속한 대응을 수행합니다. 보안 분석가, 엔지니어, 관리자 등으로 구성됩니다.

소프트웨어 개발(Dev), 보안(Sec), 운영(Ops)을 통합하여 개발 전 과정에 보안을 내재화하는 방법론입니다. CI/CD 파이프라인에 보안 테스트를 자동화하여 빠른 개발 속도를 유지하면서 보안을 강화합니다. Shift Left 전략을 통해 보안을 개발 초기부터 적용합니다.

시스템, 네트워크, 애플리케이션의 알려진 보안 취약점을 자동으로 탐지하는 과정입니다. Nessus, OpenVAS, Qualys 등의 전문 도구를 사용합니다. 정기적인 취약점 스캔과 결과에 따른 조치가 보안 관리의 기본 활동입니다.

시스템, 애플리케이션, 네트워크 장비에서 생성되는 로그를 수집, 저장, 분석, 보관하는 프로세스입니다. 보안 사고 조사, 컴플라이언스 준수, 운영 문제 해결에 필수적입니다. ELK Stack(Elasticsearch, Logstash, Kibana)이 널리 사용되는 로그 관리 솔루션입니다.

사이버 위협에 대한 정보를 수집, 분석하여 의사결정에 활용할 수 있는 형태로 가공한 정보입니다. 전략적, 전술적, 운영적, 기술적 위협 인텔리전스로 분류됩니다. IOC(Indicator of Compromise), TTP(Tactics, Techniques, and Procedures) 등의 정보를 포함합니다.

엔드포인트(PC, 서버, 모바일)에서 발생하는 보안 위협을 실시간으로 탐지하고 대응하는 솔루션입니다. 기존 안티바이러스보다 진보된 형태로, 행위 기반 탐지와 자동 대응 기능을 제공합니다. CrowdStrike, Carbon Black, SentinelOne 등이 대표적인 EDR 솔루션입니다.

의심스러운 프로그램이나 코드를 격리된 환경에서 안전하게 실행하고 분석하는 기술입니다. 악성코드 분석, 소프트웨어 테스트, 보안 연구 등에 활용됩니다. 실제 시스템에 영향을 주지 않으면서 프로그램의 동작을 관찰할 수 있습니다.

정보보안의 세 가지 핵심 원칙인 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability)을 의미합니다. 기밀성은 인가된 사용자만 접근, 무결성은 정보의 정확성 보장, 가용성은 필요할 때 접근 가능함을 뜻합니다. 모든 보안 정책과 대책의 기본 프레임워크입니다.

여러 계층의 보안 통제를 중첩하여 적용하는 보안 전략입니다. 하나의 방어층이 뚫려도 다른 층이 보호 기능을 수행하도록 설계합니다. 물리적 보안, 네트워크 보안, 호스트 보안, 애플리케이션 보안, 데이터 보안 등 다층적 접근을 취합니다.

사용자나 프로세스에게 업무 수행에 필요한 최소한의 권한만 부여하는 보안 원칙입니다. 과도한 권한 부여로 인한 보안 위험을 줄이고, 내부자 위협과 권한 상승 공격의 피해를 최소화합니다. RBAC, ABAC 등의 접근 제어 모델과 함께 적용됩니다.

네트워크 내부와 외부를 구분하지 않고, 모든 접근 요청을 검증하는 보안 모델입니다. "절대 신뢰하지 말고, 항상 검증하라(Never Trust, Always Verify)"를 기본 원칙으로 합니다. 마이크로 세그먼테이션, MFA, 지속적 모니터링 등을 핵심 요소로 포함합니다.

시스템에 대한 잠재적 위협을 체계적으로 식별하고 평가하는 보안 분석 방법론입니다. STRIDE, DREAD, PASTA 등의 프레임워크를 사용하여 위협을 분류하고 우선순위를 결정합니다. 설계 단계에서 수행하여 보안 취약점을 사전에 예방하는 것이 가장 효과적입니다.

보안 사고 발생 시 피해를 최소화하고 신속하게 복구하기 위한 체계적인 대응 절차입니다. 준비, 탐지/분석, 억제, 제거, 복구, 사후 활동의 6단계로 구성됩니다. 사전에 수립된 사고 대응 계획(IRP)과 훈련된 대응팀(CSIRT)이 핵심입니다.

실제 공격자의 관점에서 시스템의 보안 취약점을 발견하고 악용을 시도하는 모의 해킹 테스트입니다. 블랙박스, 화이트박스, 그레이박스 방식으로 수행되며, 취약점의 실질적 위험도를 평가합니다. 정기적인 침투 테스트는 조직의 보안 수준을 검증하는 효과적인 방법입니다.

실제 공격자의 역할을 수행하여 조직의 보안 체계를 종합적으로 평가하는 전문 보안 팀입니다. 침투 테스트보다 넓은 범위에서 물리적, 사회공학적 공격까지 포함하여 시뮬레이션합니다. 블루 팀과의 대항 훈련을 통해 조직의 탐지 및 대응 능력을 향상시킵니다.

조직의 정보 시스템을 방어하고 보안 사고를 탐지, 대응하는 방어 전문 팀입니다. 보안 모니터링, 사고 대응, 위협 헌팅, 보안 정책 수립 등을 담당합니다. 레드 팀의 모의 공격에 대응하여 방어 체계의 효과성을 검증합니다.

레드 팀과 블루 팀의 협업을 통해 조직의 보안 역량을 극대화하는 접근 방식입니다. 공격과 방어 양측의 지식을 공유하여 보안 탐지와 대응 능력을 체계적으로 향상시킵니다. 대립 구도가 아닌 협력 구도를 통해 실질적인 보안 개선을 추구합니다.

기술적 취약점 대신 인간의 심리적 취약점을 악용하여 정보를 탈취하거나 시스템에 접근하는 공격 기법입니다. 피싱, 프리텍스팅, 미끼, 꼬리물기 등 다양한 기법이 있습니다. 보안 인식 교육이 가장 효과적인 방어 수단입니다.

디지털 기기에서 법적 증거가 될 수 있는 데이터를 수집, 보존, 분석, 보고하는 과학적 방법론입니다. 사이버 범죄 수사, 보안 사고 분석, 기업 내부 조사 등에 활용됩니다. 증거의 무결성을 보장하기 위한 연쇄 보관(Chain of Custody) 원칙이 중요합니다.

시스템에 해를 끼치거나 무단으로 작동하도록 설계된 소프트웨어의 총칭입니다. 바이러스, 웜, 트로이목마, 스파이웨어, 애드웨어, 랜섬웨어 등 다양한 유형이 있습니다. 안티바이러스 소프트웨어, EDR, 행위 기반 탐지 등으로 방어합니다.

조직 구성원의 정보보안에 대한 이해도와 경각심을 높이기 위한 교육 및 활동입니다. 피싱 시뮬레이션, 보안 교육, 정책 공유 등을 통해 인적 보안 위험을 줄입니다. 기술적 보안 조치만으로는 방어할 수 없는 사회공학 공격에 대한 핵심 대응 수단입니다.

데이터 손실에 대비하여 중요한 데이터의 사본을 별도의 저장소에 보관하는 것입니다. 전체 백업, 증분 백업, 차등 백업 등의 방식이 있으며, 3-2-1 규칙(3개 사본, 2종류 매체, 1개 오프사이트)이 권장됩니다. 랜섬웨어 등 데이터 파괴 공격에 대한 최후의 방어선입니다.

개인을 식별할 수 있는 정보의 수집, 이용, 제공, 파기 과정에서 정보주체의 권리를 보호하는 것입니다. 개인정보보호법, GDPR 등 관련 법규를 준수해야 합니다. 개인정보 최소 수집, 목적 외 이용 금지, 안전한 관리 등이 핵심 원칙입니다.