정보처리기사 신기술 보안 용어 정리

-ROP

메모리에 적재되어 있는 코드 조각들에 Return 명령을 사용하여 공격자가 원하는 흐름대로 명령을 실행하도록 하는 공격 기법,

스택 오버플로우나 버퍼 오버플로우와 같은 취약점을 이용하여 프로그램의 실행 흐름을 조작

 

-BCP
재난 발생 시 비즈니스 연속성을 유지하기 위한 계획. 재해, 재난으로 인해 정상 운용이 어려울 때 서비스 지속성 보장 환경을 조성해 기업 가치를 극대화하는 것을 의미.
 

-하이퍼레저

프라이빗 블록체인(허가된 사용자만 가능)으로 자리잡은 리눅스 재단 오픈소스 블록체인 프로젝트,

필요한 구성 요소만 선택하여 사용할 수 있는 모듈화된 구성 요소를 가지고 있고 Go, Java, JavaScript 등 다양한 언어로 개발 가능

 

-키 페어
공개키 암호 알고리즘에 사용되는 개인키와 공개키 쌍을 말한다. 수학적인 방법에 의해 평문을 추출할 수 있다.
 
-방화벽
미리 정의된 보안 규칙을 기반으로 외부로부터 불법 침입과 내부 불법 정보 유출을 방지하고 내/외부 네트워크의 상호간 영향을 차단하기 위한 보안 시스템
 
-트러스트존 기술
칩 설계회사인 ARM에서 개발한 기술로 하나의 프로세서 내에 일반 애플리케이션을 처리하는 일반 구역과 보안이 필요한 애플리케이션을 처리하는 보안 구역으로 분할하여 관리하는 하드웨어 기반 보안 기술
 
-킬 스위치
스마트폰 이용자가 도난당한 스마트폰 작동을 웹사이트를 통해 정지할 수 있도록 하는 일종의 자폭 기능. 이 기능을 통해 스마트폰 불법 요통, 도난이나 분실을 어느 정도 막을 수 있다.
 
-DDoS
분산 서비스 거부 공격은 여러 대의 장비를 이용하여 대량의 데이터를 한 곳의 서버에 집중적으로 전송함으로써 특정 서버의 정상적인 기능을 방해하는 것을 말한다.
 
-디지털 발자국
사람들이 온라인 활동을 하면서 남긴 로그인 정보, 결제 정보, 결제 방법, 구매 이력 등 다양한 디지털 기록 또는 흔적을 말함.
 
-워터링 홀
포식자가 사냥을 위해 물 웅덩이에서 매복하고 있는 것을 빗댄 용어로 특정인에 대한 표적 공격을 목적으로 특정인이 자주 방문하는 웹 사이트에 악성 코드를 심거나 악성 코드를 배포하는 URL로 자동으로 유인하여 감염시키는 공격 기법
 
-백도어
시스템 보안이 제거된 비밀 통로로 서비스 기술자나 유지 보수 프로그램 작성자의 액세스 편의를 위해 시스템 설계자가 고의로 만들어 놓은 것.
 
-제로데이 공격
보안 취약점이 발견되었을 때 그 문제의 존재 자체가 널리 공표되기도 전에 해당 취약점을 이용하여 이루어지는 보안 공격으로, 공격의 신속성을 의미한다.
 
-스머핑
IP나 ICMP 특성을 악용하여 엄청난 양의 데이터를 한 사이트에 집중적으로 보냄으로써 네트워크 일부를 불능 상태로 만드는 공격 방법
 
-스니핑
네트워크 중간에서 남의 패킷 정보를 도청하는 해킹 유형의 하나로 수동적 공격에 해당.
 
-타이포스쿼팅
네티즌들이 사이트에 접속할 때 주소를 잘못 입력하거나 철자를 빠뜨리는 실수를 이용하기 위해 이와 유사한 유명 도메인을 미리 등록하는 것으로 URL 하이재킹이라고도 한다.
 
-APT
다양한 IT 기술 방식을 이용해 조직적으로 네트워크에 침투해 활동 거점을 마련한 뒤 때를 기다리면서 보안을 무력화시키고 정보를 수집한 다음 외부로 빼돌리는 형태의 공격을 말함
 
-사회공학
컴퓨터 보안에 있어서 인간의 상호작용의 깊은 신뢰를 바탕으로 사람들을 속여 정상 보안 절차를 깨트리기 위한 비기술적 시스템 침입 수단
 
-봇넷
악성 프로그램에 감염되어 향후 악의적인 의도로 사용될 수 있는 다수의 컴퓨터들이 네트워크로 연결된 형태
 
-스턱스넷
독일 지멘스사의 원격 감시 제어 시스템의 제어 소프트웨어에 침투하여 시스템을 마비하게 할 목표로 제작된 악성 코드 원자력 발전소, 화학 공장, 가스 공장 등에 오동작 명령을 내린다.
 
-죽음의 핑
인터넷 프로토콜 허용 범위 이상의 큰 패킷을 고의적으로 전송하여 공격 대상의 네트워크를 마비시키는 서비스 거부 공격 방법
 
-다크데이터
수집된 후 저장은 되어 있지만 분석에 활용되지 않는 다량의 데이터를 의미.
 
-블록체인
P2P 네트워크를 이용하여 온라인 금융 거래 정보를 온라인 네트워크 참여자의 디지털 장비에 분산 저장하는 기술을 의미.
 
-웜
네트워크를 통해 연속적으로 자신을 복제하여 시스템의 부하를 높임으로써 결국 시스템을 다운시키는 바이러스 일종.
 
-OWASP
웹 정보 노출이나 악성코드, 스크립트, 보안이 취약한 부분을 연구하는 비영리 단체
 
-그레이웨어
제공하는 입장에서는 악의적이지 않은 유용한 소프트웨어라고 주장할 수 있지만 사용자 입장에서는 유용할 수도 있고 악의적일 수도 있는 애드웨어, 트랙웨어 등 악성 공유웨어를 의미.
 
-VPN
가상 사설 네트워크로서 인터넷 등 통신 사업자의 공중 네트워크를 사용자가 마치 자신의 전용 회선처럼 사용할 수 있게 해주는 서비스.
 
-SSID
무선 랜을 통해 전송되는 모든 패킷의 헤더에 존재하는 고유 식별자.
 
-UWB
짧은 거리에서 많은 양의 디지털 데이터를 낮은 전력으로 전송하기 위한 무선 기술로 무선 디지털 펄스라고도 하며 블루투스와 비교되는 기술이다.
 
-피코넷
여러 개의 독립된 통신 장치가 블루투스 기술이나 UWB 통신 기술을 사용하여 통신망을 형성하는 무선 네트워크 기술
 
-지그비
저속 전송 속도를 갖는 홈오토메이션 및 데이터 네트워크를 위한 표준 기술
 
-메시업
웹에서 제공하는 정보 및 서비스를 이용하여 새로운 소프트웨어나 서비스 데이터 베이스 등을 만드는 기술
 
-시맨틱 웹
컴퓨터가 사람을 대신하여 정보를 읽고 이해하고 가공하여 새로운 정보를 만들어 낼 수 있도록 이해하기 쉬운 의미를 가진 차세대 지능형 웹.
 

-텐서플로

구글의 구글 브레인 팀이 제작하여 공개한 기계학습을 위한 오픈 소스 소프트웨어 라이브러리

-DLP (데이터 유출, 손실 방지)
조직 내부에서 외부로 정보 유출을 예방하기 위한 정보 보호 대책
*DLP 기능 : 암호화, 접근 통제, 필터링, 감시
 
-DRP (재난 복구 계획)
지진, 화재, 홍수 등 재난에 대비하여 H/W, S/W에 대하여 계획을 미리 마련하는 것
 
-허니팟
해킹, 악성코드 감염을 유도하고 특성 행위를 분석하며 이에 따른 예방책을 마련하는 시스템

 

-RUDY (Slow HTTP POST DoS)

요청 헤더 Content-Length를 비정상적으로 크게 설정하여 메시지 바디 부분을 매우 소량으로 보내 계속 연결 상태를 유지시키는 공격

 

-Credential Stuffing

사용자 계정을 탈취해서 공격하는 유형 중 하나로, 다른 곳에서 유출된 아이디와 비밀번호 등의 로그인 정보를 다른 웹 사이트나 앱에 무작위로 대입해서 로그인이 이루어지면 타인의 정보를 유출시키는 기법
 
 -TKIP

임시키 무결성 프로토콜, RC4 암호 알고리즘

 

-CCMP

AES 기반, 헤더의 무결성 보장, 재전송 공격 방지 프로토콜