RedMeta

실무자가 사용하는 보안용어 63가지 정리 (보안 전문가를 위한 필수 개념)

Coding/정보, 용어
2024. 8. 22. 21:54

안녕하세요 오늘은 정보 보안 담당자가 필수로 알아야하는 용어 63가지를 준비해보았습니다.

정보보안 쪽으로 취업을 준비하시거나 이직을 준비, 또는 학생들이 알면 좋을 용어들로 준비해봤습니다.

 

추가적으로 정보보호관리체계의 이해도 설명해 드리겠습니다.

 

보안용어 63가지

 

1. 루트킷 (Rootkit)

  • 설명: 시스템 내부에서 운영체제의 핵심 부분을 제어하는 악성 소프트웨어입니다. 시스템 보안에 대한 깊은 이해를 원한다면, 루트킷을 직접 만들어보는 것이 기술적 발전에 도움이 될 수 있습니다. 고난이도의 작업이므로 시스템 관련 전반적인 이해가 필요합니다.

2. 패치 (Patch)

  • 설명: 운영체제나 소프트웨어의 결함을 수정하는 과정입니다. 패치는 업그레이드가 아닌, 기존 문제를 해결하는 데 초점을 맞춥니다.

3. 해싱 (Hashing)

  • 설명: 데이터를 고정된 크기의 암호화된 문자열로 변환하는 과정입니다. 비밀번호 저장 및 데이터 무결성 검증에 주로 사용됩니다.

4. 보안과 보호의 차이

  • 설명: 보안(Security)은 정적이며 시스템을 외부로부터 보호하는 것을 의미합니다. 반면, 보호(Protection)는 동적이며 물리적 보안을 포함하여 시스템의 안전을 관리합니다.

5. 보호대책 (Safe Guard)

  • 설명: 시스템을 외부 위협으로부터 보호하기 위한 구체적인 방안입니다. 물리적, 논리적, 관리적 대책이 모두 포함됩니다.

6. 보안 평가 (Security Assessment)

  • 설명: 특정 상황을 고려하여 시스템이나 네트워크의 보안 상태를 평가합니다. 보안 취약점이나 위협을 분석하고 개선 방안을 도출합니다.

7. 보안정책 컨설팅

  • 설명: 기업의 보안 정책을 수립하고, 효과적으로 관리할 수 있도록 컨설팅을 제공하는 과정입니다. 실습을 통해 경험을 쌓는 것이 중요합니다.

8. 부인방지 (Non-repudiation)

  • 설명: 송신자가 나중에 자신의 행위를 부인할 수 없도록 하는 보안 기법입니다. 예를 들어, WPA 프로토콜을 사용해 와이파이 해킹을 방지하는 과정에서 중요한 역할을 합니다.

9. 백업센터 (Disaster Recovery, DR)

  • 설명: 재난 상황에서 데이터를 복구하기 위한 예비 시스템입니다. 기업들은 다른 지역에 DR을 준비하여 비상 상황에서 신속히 대응할 수 있도록 준비합니다.

10. 비용-위험 분석 (Cost-Risk Analysis)

  • 설명: 보안 조치에 드는 비용과 그로 인해 감소되는 위험을 비교하는 분석입니다. 회사마다 다른 기준을 적용하며, 시간이 많이 소요됩니다.

 

 

 

11. 사용자와 이용자

  • 설명: 보안에서 '사용자'는 시스템의 관리자, '이용자'는 시스템을 사용하는 사람을 의미합니다. 이 구분은 보안 정책에서 매우 중요합니다.

12. 스니핑 (Sniffing)과 스푸핑 (Spoofing)

  • 설명: 스니핑은 네트워크에서 데이터를 몰래 엿듣는 행위이며, 스푸핑은 데이터를 변조하여 전송하는 행위입니다. 두 기술 모두 네트워크 보안에서 중요한 위협으로 간주됩니다.

13. 시간 동기화 (Time Synchronization)

  • 설명: 시스템 간 시간 동기화는 연계 공격인지 동시 공격인지 판별하는 데 중요합니다. NTP(Network Time Protocol)를 사용해 시간 동기화를 관리합니다.

14. 식별 (Identification)

  • 설명: 사용자나 시스템을 고유하게 인식하여 접근 통제를 수행하기 위한 중요한 과정입니다.

15. 아웃소싱 (Outsourcing)

  • 설명: 외부 업체에 보안 업무를 위임하는 것을 의미합니다. 보안을 잘 관리하기 위해서는 책임의 전가를 명확히 하고, 빠른 초안을 마련하는 것이 중요합니다.

16. 악의적인 소프트웨어 (Malicious Software)

  • 설명: 시스템을 손상시키거나 정보 유출을 목적으로 하는 소프트웨어를 의미합니다. 예로는 바이러스, 트로이 목마, 랜섬웨어 등이 있습니다.

17. 암호 알고리즘 (Encryption Algorithm)

  • 설명: 데이터를 암호화하여 보안을 강화하는 알고리즘입니다. 보안의 시작과 끝을 담당하며, 특정 시점에서는 깊이 공부할 필요성이 있습니다.

18. 암호키 관리 (Encryption Key Management)

  • 설명: 암호키를 정기적으로 교체하고 안전하게 관리하는 과정입니다. 이를 쉽게 하기 위해 암호키 관리 솔루션이 등장합니다.

19. 업무 프로세스 (Business Process)

  • 설명: 기업 내에서 업무를 처리하는 절차나 흐름을 의미합니다. 보안 관점에서 업무 프로세스를 보호하는 것은 매우 중요합니다.

20. 영향 (Impact)

  • 설명: 보안 사고가 발생했을 때, 시스템이나 조직에 미치는 영향을 의미합니다.

 

 

21. 예방점검 (Preventive Maintenance)

  • 설명: 시스템이나 네트워크의 보안을 유지하기 위해 정기적으로 점검하는 과정을 의미합니다. 감사의 목적과는 구별됩니다.

22. 위험 (Risk)

  • 설명: 발생할 가능성이 있는 사건을 의미합니다. 위험은 자산, 취약점, 위협의 세 가지 요소로 구성되며, 이 중 하나라도 빠지면 위험은 존재하지 않게 됩니다.

23. 위험 평가 (Risk Assessment)

  • 설명: 위험을 수치화하여 평가하는 과정입니다. 자산, 취약점, 위협 요소를 기반으로 평가합니다.

24. 위협 (Threat)

  • 설명: 시스템이나 네트워크에 해를 끼칠 수 있는 잠재적인 위험 요소입니다. 예로는 OWASP Top 10에서 제시하는 웹 애플리케이션 위협이 있습니다.

25. 이동식 매체 (Removable Media)

  • 설명: USB, 외장 하드 디스크 등 쉽게 이동이 가능한 저장 장치를 의미합니다. 보안 사고의 중요한 원인이 될 수 있습니다.

26. 인가 (Authorization)

  • 설명: 시스템에 접근할 수 있는 권한을 부여하는 과정입니다.

27. 인증 (Authentication)

  • 설명: 사용자가 자신이 주장하는 신원을 증명하는 과정입니다. 비밀번호, OTP, 생체인식 등이 사용됩니다.

28. 인증서 및 인증도구 (Certificates & Authentication Tools)

  • 설명: 신원을 증명하기 위해 사용하는 디지털 인증서와 관련 도구를 의미합니다.

29. 정보보호 활동 (Information Security Activities)

  • 설명: 조직의 정보 자산을 보호하기 위한 일련의 보안 활동을 의미합니다.

30. 정보자산 (Information Assets)

  • 설명: 기업이나 조직이 보유하고 있는 중요한 정보로, 가치를 가지고 있는 데이터를 의미합니다.

31. 재난 (Disaster)

  • 설명: 시스템이나 네트워크가 큰 손실을 입게 되는 예기치 못한 사건을 의미합니다. 재난 대비 계획(BCP)과 복구 계획(DRP)이 중요합니다.

32. 접근 권한 (Access Rights)

  • 설명: 시스템이나 네트워크에 접근할 수 있는 권한을 의미합니다. 위험과 위협을 줄이기 위해 접근 권한을 철저히 관리해야 합니다.

33. 접근 통제 (Access Control)

  • 설명: 시스템이나 네트워크에 대한 접근을 제한하는 보안 조치입니다.

34. 정보보호 감사 (Information Security Audit)

  • 설명: 정보보호 활동이 적절하게 이루어지고 있는지를 확인하는 과정입니다.

35. 정보보호 시스템 (Information Security System)

  • 설명: 조직의 전체 정보를 다루고 있는 보안 시스템을 의미하며, 회사마다 구축된 형태가 다를 수 있습니다.

36. 클라이언트 (Client)

  • 설명: 서버에 요청을 보내는 장치나 프로그램을 의미합니다.

37. 정보시스템 (Information System)

  • 설명: 조직의 모든 정보를 처리하는 시스템을 의미합니다.

38. 통제구역 (Controlled Area)

  • 설명: 서버실처럼 접근이 엄격히 통제되는 구역을 의미합니다.

39. 제한구역 (Restricted Area)

  • 설명: 회사 사무실처럼 특정 사람들만 접근할 수 있는 구역을 의미합니다.

40. 취급 (Handling)

  • 설명: 정보를 다루고, 만들고, 전송하는 등의 행위를 의미합니다.

41. 처리 (Processing)

  • 설명: 정보를 수집, 저장, 가공, 폐기하는 일련의 과정을 의미합니다.

42. 취약점 (Vulnerability)

  • 설명: 시스템의 약점이나 결함을 의미합니다. 예를 들어, 소프트웨어의 보안 결함이 취약점에 해당합니다.

43. 취약점 분석 (Vulnerability Analysis)

  • 설명: 시스템이나 네트워크에서 존재하는 취약점을 찾아내고 분석하는 과정입니다.

44. 취약점 평가 (Vulnerability Assessment)

  • 설명: 발견된 취약점의 심각도를 평가하는 과정입니다.

45. 침입 방지 시스템 (Intrusion Prevention System, IPS)

  • 설명: 네트워크 침입을 실시간으로 탐지하고 차단하는 시스템입니다.

46. 침입 차단 시스템 (Firewall)

  • 설명: 외부로부터의 불법적인 접근을 차단하는 보안 시스템입니다.

47. 침입 탐지 시스템 (Intrusion Detection System, IDS)

  • 설명: 네트워크나 시스템에서 비정상적인 활동을 탐지하는 시스템입니다.

48. 크랙 (Crack)

  • 설명: 소프트웨어나 시스템의 보안을 무력화하는 행위를 의미합니다.

49. 터널링 (Tunneling)

  • 설명: 네트워크 통신을 보호하기 위해 데이터를 암호화하여 전송하는 방법입니다. VPN 구축에 사용됩니다.

 

 

50. OTP (One-Time Password)

  • 설명: 1회성 비밀번호를 의미하며, 사용자 인증 시 보안을 강화하는 데 사용됩니다.

51. DBMS (Database Management System)

  • 설명: 데이터를 체계적으로 관리하기 위한 소프트웨어 시스템입니다.

52. DRM (Digital Rights Management)

  • 설명: 디지털 콘텐츠의 저작권을 보호하기 위한 기술입니다.

53. EAM (Enterprise Access Management)

  • 설명: 조직의 자원에 대한 접근 권한을 통합 관리하는 시스템입니다.

54. ESM (Enterprise Security Management)

  • 설명: 조직의 보안 솔루션을 통합 관리하는 시스템입니다.

55. SSH (Secure Shell)

  • 설명: 네트워크 통신을 암호화하여 안전한 접속을 제공하는 프로토콜입니다.

56. Stereography

  • 설명: 이미지 안에 텍스트나 데이터를 숨기는 기법입니다. 주로 정보 은닉에 사용됩니다.

57. IPsec (Internet Protocol Security)

  • 설명: IP 계층에서 보안을 제공하는 프로토콜 모음입니다.

58. TLS (Transport Layer Security)

  • 설명: SSL의 후속 프로토콜로, 데이터 전송 시 보안을 강화합니다.

59. Trap Door

  • 설명: 백도어와 유사하며, 시스템에 비밀 출입구를 만들어 공격자가 접근할 수 있도록 하는 기법입니다.

60. UPS (Uninterruptible Power Supply)

  • 설명: 서버에 전원이 끊겼을 때 일시적으로 전력을 공급해주는 장치입니다.

61. Zero-Day Attack

  • 설명: 소프트웨어의 보안 취약점이 패치되기 전에 이루어지는 공격입니다.

62. Replay Attack

  • 설명: 네트워크에서 전송된 데이터를 가로채서 재전송하여 인증을 우회하는 공격 기법입니다.

63. SSL (Secure Sockets Layer)

  • 설명: 데이터 전송 시 보안을 제공하는 프로토콜로, 주로 HTTPS에 사용됩니다.

 

기업보안 전문가 경력개발 체계도

보안 전문가로서 경력을 개발하려면, 다음과 같은 체계를 따라가는 것이 중요합니다:

  • 초기 단계: 신입 보안 담당자는 보안 장비 운용을 담당합니다. 이는 보안 기술의 기초를 다지는 중요한 단계입니다.
  • 중간 단계: 가상의 회사 분석 및 발표, ISMS 기반 평가를 통해 실무 능력을 강화합니다.
  • 고급 단계: 관리보안, 물리보안, 개인정보보호 등 다양한 보안 영역에서 전문성을 발휘합니다.

 

정보보호관리체계의 이해

  • 관리체계는 조직의 보안 관리의 틀입니다.
  • CIA 평가: 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability)의 세 가지 요소를 평가합니다.
  • 자산의 관리: 자산의 시간가치를 고려하여 정보 관리 전략을 수립해야 합니다.
  • 문제와 문제점의 차이: 문제는 발생한 현상이며, 문제점은 그 현상의 원인입니다.
  • PDCA 사이클: 계획(Plan), 실행(Do), 검토(Check), 조치(Act) 단계로 관리체계를 수립합니다.
저작자표시 비영리 변경금지

공유하기

facebook twitter kakaoTalk kakaostory naver band

'Coding/정보, 용어' 의 관련글

티스토리툴바