정보보안 용어 정리 (1)

웹 보안

 1. OWASP TOP 10 (웹 취약점)

1	Broken Access Control (취약한 접근 제어)	사용자 권한 관리가 부실하여 비인가된 데이터나 기능에 접근 가능한 취약점
2	Cryptographic Failures (암호화 실패)	민감 데이터 보호를 위한 암호화가 미흡하거나 취약해 정보가 노출될 수 있는 위험
3	Injection (주입)	사용자 입력값이 명령어·쿼리의 일부로 해석되어 임의의 코드가 실행될 수 있는 취약점
4	Insecure Design (안전하지 않은 설계)	개발초기 단게부터 보안이 충분히 고려되지 않아 발생하는 근본적인 설계상 결함
5	Security Misconfiguration (보안 설정 오류)	서버, 애플리케이션 등 시스템의 보안 설정이 잘못되거나 취약한 상태로 유지되는 문제
6	Vulnerable & Outdated Components (취약하고 오래된 구성 요소)	사용 중인 서드파티 라이브러리나 구성 요소에 알려진 취약점이나 최신 업데이트가 안 된 상태
7	Identification & Authentication Failures (식별 및 인증 실패)	사용자 식별 및 인증 프로세스에 결함이 있어 계정 탈취나 권한 도용이 가능한 취약점
8	Software & Data Integrity Failures (소프트웨어 및 데이터 무결성 오류)	코드나 데이터의 무결성 검증이 미흡하여 신뢰할 수 없는 정보가 주입, 변조될 수 있는 문제
9	Security Logging & Monitoring Failures (보안 로깅 및 모니터링 실패)	보안 이벤트 로깅 및 모니터링이 부족하여 공격 탐지 및 대응이 지연되는 취약점
10	Server-Side Request Forgery (SSRF, 서버 측 요청 위조)	공격자가 서버에서 임의의 URL로 요청을 보내도록 조작하여 내부 자원에 접근하거나 외부 서비스를 공격하는 취약점

 

2. 하드코딩

• 민감한 정보(비밀번호, API 키, DB 접속 정보)를 코드내부에 직접 저장하는 행위
• 소스 코드 유출 시 정보가 노출되고, 관리·변경이 어렵거나 보안 규제를 위반할 수 있음
• 보안 대책: 
  • 환경변수 : OS 레벨에서 민감 정보 관리 후 코드에서는 참조만 수행
  • 설정 파일 : 코 드와 분리된 암호화된 설정 파일 사용
  • 암호화 저장 : 데이터베이스/설정 파일에 저장 시 반드시 암호화 적용

 3. SQLi (SQL Injection)

• 사용자 입력값이 SQL 쿼리에 그대로 삽입되어 의도하지 않은 SQL 명령을 실행하게 하는 공격
• 방어 :
  • 입력값 검증 : 화이트리스트 기반 검증, 특수문자 필터링
  • Prepared Statement : 값이 들어갈 위치를 미리 정해두고, 실제 값은 별도로 전달하는 방식

 4. XSS (Cross Site Scripting)

• 공격자가 악성 스크립트를 Web Application에 삽입하고 사용자의 브라우저에서 실행되도록 유도하는 공격
• 특징 : 쿠키·세션 탈취, 페이지 변조 등 다른 공격과 연계될 수 있음

 5. CSRF (Cross Site Request Forgery)

• 사용자의 인증된 상태를 악용해, 공격자가 위조한 요청을 서버로 보내 의도하지 않은 동작을 수행하게 만드는 공격 

 6. 권한 상승 공격

• 공격자가 자신이 가진 권한보다 높은 권한을 얻어 시스템·애플리케이션을 제어하는 공격
• 방어 : 최소 권한, 패치, 권한 점검

 7. Buffer Overflow

• 프로그램이 할당된 메모리 공간(버퍼) 보다 더 큰 데이터를 입력받거나 처리 시 발생하는 취약점
• 방어: 
  • 스택 가드 : 스택 변조를 감지하고 차단
  • 안전 함수 사용 : strncpy, snprintf와 같은 버퍼 크기 제한이 있는 함수 사용 

 8. 로컬 ·원격 코드 실행 (RCE)

• 공격자가 시스템에서 임의의 명령이나 코드를 직접 실행할 수 있는 취약점

 9. 쿠키 & 세션

• 쿠키 : 클라이언트에 저장되는 작은 데이터로, 주로 로그인 정보나 사용자 설정을 기억할 때 사용
• 세션 : 서버 측에서 관리하는 사용자 상태 정보로, 서버에 저장되므로 보안성이 높음 

 10. 스니핑 & 스푸핑

• 스니핑 : 네트워크 상의 패킷을 몰래 훔쳐보는 행위
• 스푸핑 : 공격자가 마치 자신을 정상 사용자인 것처럼 속여, 정보를 가로채는 행위  

---

침해사고 & 악성코드 대응

 1. APT 공격

• 특정 대상을 목표로 장기간에 걸친 지속적이고 은밀한 공격
• 방어: 패치·취약점 관리, 최소 권한, EDR·SIEM 행위 기반 탐지, Threat Intelligence

 2. 제로데이(Zero-Day) 취약점

• 아직 공개되지 않았거나, 패치가 배포되기 전에 공격자가 악용하는 보안 취약점으로, 탐지·차단이 어렵고 피해 규모가 큼

 3. C2(C&C, Command and Control)

• 공격자가 이미 감염시킨 호스트를 원격으로 조종하고 제어해 원하는 행동을 수행하도록 만드는 기법으로, 주로 호스트를 강제로 c2서버와 통신하게 만든다.
  • Reverse Shell : 방화벽 우회를 위해 호스트에서 공격자에게 강제로 접속하게 하여 원격 명령 실행을 위한 쉘 권한을 획득하게 만드는 기법

 4. 랜섬웨어

• 파일/시스템을 암호화 후 복호화의 대가로 금전을 요구하는 공격
• 방어 : 주요 파일 백업, 네트워크 분리
• 메타데이터 :
  • 파일 끝에 삽입되어 암호화 구조/키/IV(초기화 벡터) 등 정보를 포함
  • 분석 시 공격 패턴 파악 및 복호화 단서로 활용 가능

 5. 메타데이터

• 원문 데이터 자체가 아닌, 해당 데이터의 속성,구조,암호화 관련 정보 등 부가 정보를 담고 있어
  이를 통해 원문 유추 혹은 시스템 및 암호화 취약점 분석이 가능한 부가 데이터

 6. 측면 이동 (Lateral Movement)

• 공격자가 내부 네트워크에 침투하고, 다른 시스템·계정으로 이동하여 권한 상승·정보 탈취 시도
• 방어 : EDR 행위 분석, 패킷 모니터링, 이상 징후 탐지

 7. 크리덴셜 스터핑 

• 유출된 계정정보를 악용해 대량 로그인 시도로 계정을 탈취하는 공격
• 특징 비교 (Credentail Stuffing vs Brute Force)
  • Credential Stuffing : 실제로 사용된 유출된 ID/PW 쌍을 그대로 재사용해서 공격
  • Brute Force : 공격자가 가능한 모든 ID/PW 조합을 시도, 무차별 대입 공격
• 방어 : 다단계 인증(MFA), 로그인 시도 제한, 유출 계정 차단, 비밀번호 재사용 방지 정책

---

보안 운영 & 관제 (SOC 관련)

1. EDR

• 엔드포인트에서 발생하는 위협을 실시간으로 탐지하고 분석해 자동 대응하는 보안 솔루션
• 특징 : 행위 기반 탐지를 통해 알려지지 않은 공격이나 의심행동도 탐지할 수 있다. (사고 초기 대응, 내부 침해 확산 방지) 

2. 위협 헌팅 (Threat Hunting)

• 사고 징후가 없어도 가설과 데이터 분석으로 환경에 숨어있는 위협을 선제적으로 찾아내는 활동 

3. SIEM & SOAR

• SIEM : 보안 시스템에서 발생하는 정보와 이벤트 데이터를 수집하고 분석해 보안 위협을 탐지하고 경고를 생성
• SOAR : SIEM 이나 다른 보안 솔루션에서 발생한 경고를 기반으로, 사전 정의된 플레이북에 따라 분석 및 자동 대응 

4. 플레이북 & 워크플로우

• 플레이북: 보안 위협이 탐지되었을 때 자동으로 실행되는 일련의 대응 절차를 정리하는 문서 혹은 자동화된 워크플로우
• 워크플로우 : 플레이북 기반으로 발생한 경고를 처리하고 대응하는 과정·흐름

5. MITRE ATT&CK

• 공격자의 전술·기술을 표준화한 프레임워크로, 위협을 공통 언어로 정의하고 탐지·완화를 설계하는 데 사용

6. SOC (Security Operation Center)

• 관제, 탐지 컨텐츠 운영, 대응·격리 실행, 위협 헌팅, 인사이트 관리, SOAR 자동화, 플랫폼 운영까지 총괄하는 보안 운영 센터
• 특징 : 조직 전체 보안 모니터링과 대응을 통합 관리하며, 사고 탐지부터 회복까지 전 과정 책임