AIR [ advanced incident response ] / 보안 오케스트레이션 및 자동화 대응 플랫폼
API (Application Program Interface)
운영체제와 응용프로그램 사이의 통신에 사용되는 언어나 메시지 형식
ARP 스푸핑 (Address Resolution Protocol Spoofing)
동일 네트워크에 존재하는 공격 대상 PC의 IP 주소를 공격자 자신의 랜카드 주소와 연결해 다른 PC에 전달돼야 하는 정보를 가로채는 공격을 말합니다. 어떤 PC에 ARP 스푸핑 기능을 가진 악성코드가 설치되면 약간의 조작으로 동일 구역 내의 다른 PC에 쉽게 악성코드를 설치할 수 있습니다. 즉, 동일 네트워크 하의 PC가 외부 네트워크로 접속을 시도할 경우 악성코드에 감염된 PC를 경유해서 접속 함으로써 해당 악성코드에 자동으로 감염되게 되는 것입니다. 또한 동일 네트워크 하의 모든 PC가 감염된 PC를 게이트웨이로 인식해 내부 네트워크와 통신하기 위해 발생하는 모든 패킷을 해당 PC에 전송하므로 네트워크 속도가 크게 느려집니다.
CPP [ cloud protection platform ] / 클라우드 서버 워크로드 보호 플랫폼
DES (Data Encryption Standard) / 데이터 암호 표준
일종의 개인키(대칭키) 암호화 알고리즘입니다. 송신자와 수신자가 동일한 키로 데이터를 암호화/복호화 합니다. 이때 길이가 충분히 긴 키를 사용하면 상당히 안전한 것으로 알려져 있습니다. DES는 원래 IBM에서 개발되었습니다. 이후 FIPS 46에서 발행되었고, 정부 및 공공 사용에 대해 NIST에서 승인되었습니다. 기술적으로 DES는 56비트의 키가 16회의 작업으로서 조직된 64비트 블록 암호문입니다.
DNA Scan
악성코드가 갖고 있는 고유한 특성, 이른바 DNA를 추출해 악성코드 진단에 이용하는 안랩의 악성코드 진단 기술 입니다. 이를 기반으로 다양한 악성코드 변형에 대한 사전 방역 기능을 극대화하고 오진 가능성을 최소화합니다.
EDR [ endpont detection & response ] / 엔드포인트 위협 탐지 및 대응 솔루션
EPP [ endpoint protection platform ] / 엔드포인트 보안 플랫폼
EPS [ endpoint protection system ] / 엔드포인트 보안 시스템
사전에 정의된 프로세스를 수행하고 한정된 애플리케이션만 사용해야 하는 특수목적 시스템 환경에 최적화된 보안 솔루션이다.
IPS [ intrusion prevention system ] / 침입 방지 시스템
능동형 보안 솔루션이라고도 불린다. 인터넷 웜, 악성코드 및 해킹 등에 기인한 유해 트래픽을 한다.
네트워크 보안 기술 중 예방적 차원의 시스템에 해당한다. 악의적인 공격에 대한 공격 탐지를 한다.
설정해 놓은 규칙에 기반한 즉각적인 대응이 가능한 시스템이다. 전송된 특정 패킷을 점검하여 부적절한 패킷이라고 판단되면 해당 포트 및 IP에 대한 연결을 봉쇄한다. 그리고 적절한 패킷에 대해서는 지연 없이 바로 전달한다.
탐지 기법으로는 주소 대조, HTTP 스트링과 서브 스트링 대조, 일반 패턴 대조, TCP 접속 분석, 변칙적인 패킷 탐지, 비정상적인 트래픽 탐지 및 TCP/UDP 포트 대조 등이 있다.
MAC (Mandatory Access Control) / 강제적 접근 제어
비밀성을 갖는 객체에 대하여 주체가 갖는 권한에 근거하여 객체에 대한 접근을 제어하는 방법으로 관리자만이 정보자원의 분류를 설정하고 변경 가능합니다.
MALWARE / 멀웨어
컴퓨터에 악영향을 끼칠 수 있는 모든 소프트웨어의 총칭이다. 예를 들어 바이러스, 웜, 트로이 목마 등이 있다.
MDS [ malware defense system ] / 지능형 위협 대응 솔루션
MSS [ managed security services ] / 보안관제서비스
Pharming / 파밍
합법적인 사용자의 도메인을 탈취하거나 도메인 네임 시스템(DNS) 또는 프록시 서버의 주소를 변조함으로써 사용자들로 하여금 진짜 사이트로 오인하여 접속하도록 유도한 뒤 개인정보를 탈취하는 공격 기법입니다.
Phishing / 피싱
금융기관 등의 웹사이트나 신뢰할만한 기관에서 보내온 메일로 위장하여 개인의 인증번호나 신용카드번호, 계좌번호 등을 빼내 이를 불법적으로 이용하는 사기수법입니다.
PUP (Potentially Unwanted Program) / 불필요한 프로그램
PUP의 기능이 잠재적으로 사용자가 불편을 느낄 수 있어 이에 대해 부여되는 진단명입니다. 안랩의 PUP 정책에 따라 악성 여부와 상관없이 PUP 조건에 해당하면 부여됩니다.
1) 사용자가 불필요하게 생각하는 프로그램 2) 사용자 동의 절차는 있지만 사용자가 인지하지 못하고 설치하는 프로그램(주로 번들 프로그램, 스폰서 프로그램 등) 3) 다수의 사용자가 불편함을 느껴 제거를 원하는 프로그램 4) 사용자가 의도한 기능 이외의 비정상적인 동작을 수행하는 프로그램 등
Qshing / 큐싱
QR코드와 피싱(Fishing)의 합성어, QR코드를 통해 악성 링크로 접속을 유도하거나 직접 악성코드를 심는 방법입니다. 파밍(Pamming)은 PC의 금융정보를, 큐싱은 스마트폰 금융정보를 노린다는 것이 특징입니다.
SSL (Secure Sockets Layer) / 시큐어 소켓 레이어
SSL은 인터넷 상에서 비밀 문서를 전송하기 위해 넷스케이프에서 최초로 개발한 프로토콜입니다. SSL은 비밀 키를 사용하여 SSL 연결을 통해 전송되는 데이터를 암호화합니다. SSL은 신용 카드 번호 등 기밀 사용자 정보를 입수하기 위해 사용할 수도 있습니다.
SSL 연결을 필요로 하는 웹 페이지는 https:로 시작합니다. 더욱 새로운 보안 프로토콜은 TLS (트랜젝션 레이어 보안)은 때때로 SSL 응용 프로그램과 통합되어 결과적으로 인터넷 보안의 표준으로 자리 잡을 것입니다. TLS는 복잡한 삼중 DES 암호화를 사용하여 클라이언트와 호스 간의 터널을 생성함으로써 전자상거래를 위한 메일 암호화 및 인증을 제공합니다.
TCP [ transmission control protocol ] / 전송 제어 프로토콜
인터넷의 기본적인 프로토콜이다. 실제로 컴퓨터와 네트워크에 접속하기 위해 이용되는 100가지 이상의 프로토콜을 모아놓은 규약집이기도 하다.
TLS (Transport Layer Security) / 전송계층 보안
네트워크 상에서 통신하는 어플리케이션과 사용자들 간에 보안을 위한 프로토콜입니다. 서버/클라이언트가 통신 시 도청, 간섭, 위조를 방지하고 전송계층 종단 간 보안 및 데이터 무결성을 확보해줍니다.
TMS [ threat management system ] / 통합 위협 관리 플랫폼
다수의 장비를 관리하며 다양한 위협 정보를 종합적으로 모니터링하고 분석한다. 연동된 장비들과 유기적으로 대응하는 네트워크 통합 위협 관리 플랫폼이다.
TS Engine Suite [ total security engine suite ] / 토털 파일 트랜잭션 보안 솔루션
기업의 서비스에 손쉽게 연동 및 융합되어 파일 이동 시 악성코드의 탐지 및 제거, 확산을 차단하는 콘텐츠 보안 솔루션이다.
UDP [ user datagram protocol ] / 사용자 데이터그램 프로토콜
TCP/IP 네트워크에서 사용하는 상위 프로토콜의 하나이다. IP를 사용하는 네트워크 내에서 컴퓨터들 간에 메시지 전송 시 제한된 서비스만을 제공하는 통신 프로토콜이다.
TCP와 마찬가지로 UDP도 한 컴퓨터에서 다른 컴퓨터의 실제 데이터 단위(데이터그램)를 받기 위해 IP를 사용한다.
그러나 UDP는 TCP와는 달리, 메시지를 패킷으로 나누고, 반대편에서 재조립하는 등의 서비스를 제공하지 않는다.
특히 도착하는 데이터 패킷들의 순서를 제공하지 않는다. UDP를 사용하는 응용프로그램은 전체 메시지가 올바른 순서로 도착했는지에 대해 확인할 수 있어야 한다는 것을 의미한다.
교환해야 할 데이터가 매우 적은 네트워크 응용 프로그램들은 처리시간 단축을 위해 TCP보다 UDP가 더 효과적일 수 있다. 일례로 TFTP는 TCP 대신에 UDP를 사용한다.
VDI [ virtual desktop infrastructure ] / 가상 데스크톱 인프라
중앙에서 가상화로 동작하는 서버의 자원을 활용한다. 사용자별로 가상의 데스크톱과 데이터 저장공간을 제공하는 솔루션이다. 특히 해킹의 위험으로부터 안전하다. 또한 데이터 유출을 원천 봉쇄할 수 있다.
생활 주변에 산재하고(유비쿼터스), 실재 설비를 갖추지 않은 채 여러 정보 자산을 인터넷으로 빌려 쓰는 클라우드 컴퓨팅 체계가 발달한 덕에 구현할 수 있게 됐다. 정보통신기술이 실현한 업무 편의 시설이다.
특정 컴퓨팅 기기에 얽매이지 않고 스마트폰.태블릿PC.노트북PC 등 인터넷에 접속할 수 있는 모든 단말기로 일할 수 있다.
랜섬웨어 (Ransomware)
ransom(몸값)과 ware(제품)의 합성어로 컴퓨터 사용자의 문서를 '인질'로 잡고 돈을 요구한다고 해서 붙여진 명칭입니다. 최근 출현한 랜섬웨어는 적절한 사용자 동의 절차 없이 사용자 PC에 설치되어 PC의 동영상 파일을 한 곳의 폴더에 수집한 후 그 폴더를 루트킷(Root Kit) 기능으로 감춰 사용자들이 접근할 수 없도록 한 뒤에 동영상을 보기 위한 결제를 유도합니다.
방화벽 (Firewall)
방화벽은 인터넷과 특정 조직의 개별 네트워크 사이의 정보 흐름을 관리하는 하드웨어/소프트웨어 체제입니다. 방확벽은 인증되지 않은 인터넷 사용자가 인터넷, 특히 인트라넷에 연결된 사설 네트워크에 접근하는 것을 방지할 수 있습니다. 인터넷으로부터 유입되는 바이러스의 공격도 차단할 수 있습니다. 방화벽은 부서 간의 데이터 교환을 제어하기 위해 지역 네트워크의 두 개 이상의 부분을 분리하기 위해 사용될 수도 있습니다. 방화벽의 구성 요소는 필터와 스크린이 있는데 이들은 각기 특정 범위의 트래픽 전송을 제어합니다. 방화벽은 사설 정보 보호를 위한 첫 방어선을 제공합니다. 하지만, 포괄적인 보안 시스템은 암호화와 내용 필터링, 침입 탐지 등과 같은 다른 보완 서비스와 방화벽을 조합합니다. 방확벽은 인터넷과 같은 외부 통신 체제로부터 기업의 네트워크를 보호해주는 메커니즘입니다.
방확벽은 대개 PC와 두 개의 네트워크 인터페이스 카드(NIC)가 있으며, 특수한 방화벽 프로그램을 수행하는 Unix 컴퓨터로 구성됩니다. 한 개의 네트워크 카드는 회사의 사설 LAN에 연결되며, 다른 하나는 인터넷에 연결됩니다. 이 컴퓨터는 두 네트워크 사이를 통과하는 모든 정보가 거쳐야만 하는 방어벽과 같은 역할을 합니다. 방화벽 소프트웨어는 두 네트워크 사이를 통과하는 각각의 정보 패킷을 분석하여 미리 구성된 규칙에 맞지 않는 패킷이 있으면 이를 거부합니다.
시그니처 (Signature)
악성코드를 진단/치료하기 위해 사용되는 진단값, 패턴이라고도 합니다.
악성코드 (Malicious Code)
인증되지 않은 목적을 위해 시스템에 의도적으로 포함된 하드웨어, 소프트웨어, 또는 펌웨어를 말합니다. 예를 들어 트로이 목마가 있습니다.
펌웨어(Firmware)
특정 하드웨어에 포함된 소프트웨어로 소프트웨어를 읽어 실행하거나 수정이 가능한 장치를 뜻합니다.
해킹 (Hacking)
정보 시스템이나 네트워크의 보안 매카니즘을 우회하려 시도하거나 인증되지 않은 상태로 사용하는 행위를 말합니다.
제로데이 공역 (Zero-Day Attack)
해킹에 악용될 수 있는 시스템 취약점에 대한 보안 패치가 발표되기 전에, 이 취약점을 악용해 악성코드를 유포하거나 해킹을 시도하는 것을 말합니다. 보안패치가 나오기 전까지는 이를 근본적으로 막을 수 없다는 점에서 가장 우려하는 공격 형태입니다.
클라우드 컴퓨팅 (Cloud Computing)
클라우드 컴퓨팅은 인터넷 기반의 컴퓨팅 기술을 말합니다. 인터넷 상의 유틸리티 데이터 서버에 프로그램을 두고 PC나 스마트폰 등에 불러와서 사용할 수 있는 웹 기반 소프트웨어 서비스입니다. 클라우드 컴퓨팅에는 핵심적인 인프라면 빌려 쓰는 IaaS(Infrastructure as a Service), 사용자가 이용하는 애플리케이션까지 클라우드에서 제공해 주는 SaaS(Software as s Service), 하드웨어 인프라 외에 사용자가 애플리케이션을 개발하는데 필요한 솔루션까지 함께 제공해주는 개념의 PaaS(Platform as a Software)가 있습니다.
토로이 목마 (Trojan Horse)
옛 오디세우스 소설에서 이름을 가져왔습니다. 트로이 목마는 컴퓨터 시스템에서 정상적인 기능을 하는 프로그램으로 가장해 다른 프로그램 안에 숨어 있다가 그 프로그램이 실행 도리 때 자신이 활성화하는 악성 프로그램을 말합니다.
컴퓨터 바이러스와 달리 자기 복사 능력은 없습니다. 하지만 자기 자신이 실행되는 순간 시스템에 직접적인 피해를 가하는 특징을 가지고 있습니다. 트로이 목마 프로그램은 고의적으로 포함되었다는 점에서 프로그래머의 실수인 일명 버그(Bug)와는 다릅니다. 자기 자신을 다른 파일에 복사하지 않는다는 점에서 컴퓨터 바이러스와 다릅니다. 따라서 어떤 프로그램을 실행 시켰을 때 하드 디스크의 파일을 지우되 다른 프로그램에 복사되지 않으면, 이것은 컴퓨터 바이러스가 아니라 트로이 목마 프로그램이라 할 수 있습니다. 현재까지 수많은 트로이 목마들이 발견되었습니다. 가장 대표적인 것이 백오리피스(Back Orifice)입니다. 종래의 트로이 목마 프로그램은 실행시 하드 디스크를 포맷해 버리는 등 그 자체로 피해를 주는 형태가 주종을 이루었습니다. 하지만, 최근의 백오리피스와 같은 프로그램은 여기서 나아가 백도어(Back door) 방식으로 시스템이나 사용자 정보를 몰래 빼오는 형태가 많아지는 추세입니다. 트로이 목마 프로그램은 일반적인 백신 프로그램에 그에 해당하는 진단/삭제 기능을 추가함으로써 퇴치가 가능합니다. 하지만, 그 대처 방법은 컴퓨터 바이러스와는 차이가 있습니다. 컴퓨터 바이러스는 다른 프로그램에도 감염될 수 있기 때문에 한 프로그램에서 컴퓨터 바이러스가 발견되면 다른 프로그램도 모두 검사해 봐야 합니다. 이에 반해 트로이 목마 프로그램은 자기 복사 능력이 없어 한 프로그램 내에서만 존재하기 때문에 백신으로 검사해도 치료가 불가능합니다. 그러나 그 프로그램만 지워버리면 문제가 간단히 해결됩니다.