실기_4과목 1장 시스템 관리 및 보안 - JuNijen/Industrial-Engineer-Information-Processing GitHub Wiki
실기 4과목 페이지 IT 신기술 동향 및 시스템 관리, 전산 영어
보안이란 컴퓨터 시스템 및 컴퓨터에 저장된 정보들을 일부분 또는 전체에 대하여 권한이 없는 외부의 불법적인 침입이나 변경, 파괴로부터 보호하는 것을 의미한다.
동일한 키로 데이터를 암호화하고 복호화한다. 평분의 정보 M을 암호화 알고리즘 E와 개인키 K를 이용하여 암호문 C로 바꾸어 저장시켜 놓으면 사용자는 그 데이터베이스에 접근하기 위해 복호화 알고리즘 D와 개인키 K를 이용하여 다시 평문의 정보 M으로 이용하는 방법.
M > E(K:M)=C > C > D(K:C)=M > M
- 전위, 대체, 대수, 합성 기법 등이 있으며, 대표적으로는 DES(Data Encryption Standard) 기법이 있다.
Public Key는 데이터베이스 사용자에게 공개하고, 복호화 할 때의 Secret Key는 관리자가 비밀리에 관리한다.
M > E(P:M)=C > C > D(S:C)=M > M
대표적인 비밀키 암호화 기법. 56비트의 암/복호 키를 이용하여 64비트의 평문을 암, 복호화 하는 방식. IBM사에서 개발, 미국 국방성에 의해 채택되었다. 암호화 키와 복호화 키가 동일한 특징을 가진다. 3개의 키를 연속해 놓은 트리플 DES가 많이 사용된다.
암호화된 수치 데이터들이 원본과 동일한 순서로 정렬될 수 있도록 해주는 암호화 기술. 검색 속도 저하를 극복하기 위하여 쓰이나, 순서 자체가 정보가 될 수 있어 정보 노출 위험성이 있다.
ITU-T의 X.509(인증서 기반) 방식과 비X.509(국가별, 지역별) 방식으로 구분됨.
양자 통신을 위해 비밀키를 분배하고 관리하는 기술. 얽힘(Entanglement) 상태 광자 또는 단일 광자를 이용하는 방법을 사용한다.
게시판이나 웹 메일 등에 삽입된 악의적인 목적의 스크립트를 통해 스크립트에서 악용될 수 있는 취약점이나 해킹 기법을 말한다.
고정된 길이의 값이나 키로 변환하는 것. 무결성을 검증하기 위한 방법으로 사용된다.
디지털 정보를 수집하는 수사 과정
RFID 태그가 부착된 제품을 리더로 읽으면 사물에 관한 구체적인 정보가 저장되어 있는 서버의 위치를 알려주는 서비스. 정보는 RFID 태그에 내장되어 있는 제품의 고유 번호 표준인 EPC(Electronic Product Code)를 통해 저장된다.
라디오 주파수 인식 기술. IC칩과 무선을 통해 다양한 개체의 정보를 관리할 수 있는 차세대 인식 기술.
저작물의 사용과 배포에 있어 일반적으로 제한된 시간 동안 배타적 권리를 인정하는 법적인 권리. 배타적 권리는 저작권법에서 정한 제한 및 예외 사항에 의해 제한되므로 절대적인 권리는 아니다.
Copyright의 반대 개념. 이를 주장하는 살람들은 일부에 의해 지식이나 정보가 독점되어서는 안되며 누구나 지식이나 정보에 접근할 수 있도록 열려 있어야 한다고 주장한다.
내부정보 유출 방지 솔루션. 사내 직원이 사용하는 PC와 네트워크상의 모든 정보를 검색하고 사용자의 행위를 탐지·통제해 외부로의 유출을 사전에 막는다.
1999년 6월 8일 ISO 15408 표준으로 채택된 정보 보호 제품 평가 기준. 정보화 순기능 역할을 보장하기 위해 정보화 제품의 정보보호 기능과 이에 대한 사용 환경 등급을 정한 기준이다. 1998년에 미국, 캐나다, 영국, 프랑스, 독일 간에 상호 인정 협정이 체결되었다. 공통 평가 기준은 제1부 시스템의 평가 원칙과 평가 모델, 제부 시스템 보안 기능 요구 사항(11개), 제3부 시스템의 7등급 평가를 위한 보증 요구 사항(8개)으로 되어 있다.
데이터를 송·수신하는 두 컴퓨터 사이, 종단 간 즉 TCP/IP 계층과 애플리케이션 계층(HTTP, TELNET, FTP 등) 사이에 위치하여 인증, 암호화, 무결성을 보장하는 업계 표준 프로토콜이다. 미국 넷스케이프 커뮤니케이션스사가 개발하였고, 마이크로소프트사 등 주요 웹 제품 업체가 채택하고 있다. SSL은 기본적으로 SSL을 통해 접속하는 경우, 전송되는 데이터는 모두 암호화되어 전송하기 때문에 전송 도중 유출되어도 안전하다. SSl을 사용하기 위해서는 SSL용 인증서가 필요하다.
PC 사용자와 인터넷 사이에서 중개자 역할을 하는 서버로 크게 방화벽 기능과 캐시 기능을 수행한다.
디지털 비주얼 인터페이스(DVI) 송·수신간 고대역폭의 비디오 암호화 전송을 보호하기 위한 규격. 모든 장비는 컨텐츠 보호 기관으로부터 고유의 비밀 장비 키를 부여받는다. 컨텐츠 전송 전에 수신측 ㅣ가 인지되고 양측 장비가 공유 비밀 키를 생성하는 인증 절차를 거친 후에 콘텐츠가 암호화되어 수신측에 전송된다.
빅 데이터를 효과적으로 분석함으로써 미래를 예측해 최적의 대응 방안을 찾고, 이를 수익으로 연결하여 새로운 가치를 창출하기 때문에 주목받고 있다.
기업마케팅에 보다 효율적인 다양한 정보이다. 전에 사용하지 않았거나 몰랐던 새로운 데이터, 기존 데이터에 새로운 가치를 더하는 데이터 등을 의미한다. (SNS 활동, 위치 정보 등)
저작권자가 자신의 저작물에 대한 이용방법 및 조건을 표기하는 저작물 이용 약관. 저작자표시(BY), 비영리($), 변경금지(=), 동일조건변경허락(⊃)의 4가지로 분류된다.
개인 정보를 활용하는 새로운 정보시스템의 도입 및 기존 정보시스템의 중요한 변경 시 사생활에 미칠 영향에 대해 미리 조사·분석·평가하는 제도. 개인정보보호법에 의하여 공공기관은 의무화되어 있다.
IT 시스템이 마비되었을 때 각 업무에 필요한 데이터를 여러 백업 수단을 활용하여 복구할 수 있는 기준점을 말한다.
비상사태 또는 업무 중단 시점부터 업무를 복귀하기 위한 목표 시간을 말한다.
TCP/IP 기반의 인터넷 통신 서비스에서 인터넷 프로토콜(IP)과 조합하여 통신 중에 발생하는 오류의 처리와 전송 경로의 변경 등을 위한 제어 메시지를 취급하는 프로토콜이다. ICMP는 OSI 기본 참조 모델의 네트워크층에 해당한다.
보안과 프라이버시 수준이 제공되는 무선 랜(WLAN)의 보안 프로토콜. 유선 랜은 물리적 보안 체계가 되어있으나, 무선 랜에서는 전파의 공간 전달 특성으로 인하여 별 효과가 없기 때문에 유선망의 보안 수준에 맞추어 유사한 보안 대책으로 데이터를 암호화한 것이다. WEP의 기술 표준은 IEEE WI-FI 표준 802.11에 기술되어 있다.
Wi-Fi에서 제정한 무선 랜(WLAN) 인증 및 암호화 관련 표준. 암호화는 웹 방식을 보완한 IEEE 8.2.11i 표준의 임시 키 무결성 프로토콜(TKIP)을 기반으로 하며, 인증 부문에서도 802.1x 및 확장 가능 인증 프로토콜(EAP)을 기반으로 상호 인증을 도입해 성능을 높였다. 특히 패킷 당 키 할당 기능, 키 값 재설정 등 다양한 기능이 있기 때문에 해킹이 불가능하고 네트워크에 접근할 때 인증 절차를 요구한다.
인터넷상에 전용 회선과 같이 이용 가능한 가상적인 전용 회선을 구축하여 데이터가 도청당하는 등의 행위를 방지하기 위한 통신 규약. 이 통신 규약은 사용자 측 단말기에 탑재할 수 있으며ㅑ, 인터넷을 거쳐 특정 클라이언트와 서버만이 IPsec로 데이터를 주고받을 수 있다.
단방향 암호 기반의 해시(Hash)라는 패스워드를 사용하며, 그 세션이 끝나면 폐기된다.
한 번의 로그인으로 개인이 가입한 모든 사이트를 이용할 수 있게 해주는 시스템. 개인의 불편함 해소 및 기업의 마케팅을 극대화시킬 수 있다는 장점이 있다.
전자 서명법에 의한 공인 인증 기관이 발행한 신원 확인 수단으로 사용되는 인증서이다.
측정 장치는 스캐너, 소프트웨어, 데이터베이스로 구성되어 있다. 입력 데이터의 정합점을 비교하여 알고리즘으로 처리한다.
i-PIN에서는 이용자가 유출이 의심되면 언제든지 새로운 i-PIN으로 변경할 수 있어서 개인정보의 오용과 추적을 원천적으로 막을 수 있다.
정상적인 운용이 어려운 상황에 처했을 때 데이터 백업과 같은 단순 복구뿐만 아니라 고객 서비스의 지속성 보장, 핵심 업무 기능을 지속하는 환경을 조성하고 연속성을 유지해 기업 가치를 극대화하기 위한 계획.
폐기된 인증서를 이용자들이 확인할 수 있도록 그 목록을 배포, 공표하기 위한 매커니즘. 주로 인증기관에서 관리하며 메시지를 전달할 때 인증서와 함께 전달된다. CRL에는 취소된 인증서들의 일련번호가 들어 있으며 이를 받은 당사자는 목록을 참조하여 취소된 인증서를 사용하지 않도록 해야 한다.
EPCglobal에서 정의하는 RFID 태그의 종류. Class 1은 태그 제조업체에서 고유한 인식번호가 제작단계에서 부여되어 물체에 부착된 뒤에 리더로 읽기만을 제공하는 읽기 전용 수동형 태그이고, Class 2는 읽기/쓰기가 가능하고 암호화를 적용할 수 있는 보다 발전된 형태의 수동형 태그이며, Class 3은 배터리를 내장하여 리더로부터 오는 전력을 태그정보 전송에만 활용하도록 하여 인식 거리를 증가시킨 반 능동형 태그이다. Class 4는 태그끼리 통신이 가능하며, 애드 혹 네트워크 구성이 진화된 형태의 태그이다.
보안기능을 제공하는 인증서에 대한 검증 업무를 수행한다. 국내에서는 루트 인증기관으로 한국인터넷진흥원(구 한국정보보호진흥원)을, 하위 인증 기관으로 금융결제원, 한국정보인증, 코스콤 등을, 인증서 발급 관련 등록업무 및 신분확인 업무를 담당하는 기관으로 등록대행기관(RA, 은행 등)을 두어 운영하고 있다.
카드 판독기 내부에 장착되어 카드와 단말기의 유효성을 인증하고 통신 데이터를 암호화하며, 카드에서 이전된 전자적인 가치를 저장하기도 한다. 일반적으로 하드웨어의 형태로 존재하지만 소프트웨어적인 형태로도 존재하며, 프로그램 안에 카드 인증용 SAM을 내장하기도 한다.
정부가 디지털 저작물에 대한 체계적인 관리를 위해 추진하고 있는 시스템. 저작권의 이용계약 체결과 사용 내역 등 통합적인 관리를 목표로 하고있으며, 적용 분야를 확대해 가고 있다.
정부가 추진하는 주민등록번호의 대체 수단. i-PIN과 G-PIN을 연계하여 사용할 수 있다.
공개키 암호 알고리즘에 사용되는 개인키와 공개키 쌍을 말한다. 암·복호화에 이용된다.
전송되는 정보를 선별하여 수용·거부·수정하는 능력을 가진 보안 시스템.
- 전체 백업
- 증분 백업(Incremental Backup) : 변경되거나 증가된 데이터만을 대상으로 백업을 수행하는 방식. ▶ 차별 증분(Differential) : 전체 백업 이후 변화가 있는 데이터만을 대상으로 백업을 수행하는 방식. ▶ 누적 증분(Cumulative) : 전체 백업 이후 변경분을 누적하여 백업을 수행하는 방식.
칩 설계회사인 ARM(Advanced RISC Machine)에서 개발한 기술로, 하나의 프로세서 내에 일반 애플리케이션을 처리하는 일반 구역과 보안이 필요한 애플리케이션을 처리하는 보안 구역(secure world)으로 분할하여 관리하는 하드웨어 기반의 보안 기술. 이를 사용하면 OS 수준에서 안전하게 보호하는 것이 가능하다.
해커를 잡기위한 목적으로 구축된 시스템. 가짜 정보를 보관하는 서버와 추적 탐지 기능을 가진 소프트웨어로 구성된다.
문서를 떨어트리다(dropping docs)에서 파생된 용어. 해킹하여 빼낸 정보를 온라인에 공개/ 타인에게 누설하는 행위를 의미한다.
독싱과 랜섬웨어가 결합된 악성코드.
도난당한 스마트폰의 작동을 웹사이트를 통해 정지할 수 있도록 하는 기능. 원격 잠김, 개인 정보 삭제 기능 등이 있으며 단말기의 펌웨어나 운영체제에 탑재된다.
일반 영역과 다른 보안 영역을 제공함으로서, 보안 관련 애플리케이션이 다른 애플리케이션의 영향을 받지 않고 안전하게 실행될 수 있도록 조성된 환경을 의미한다. 비영리 표준화 기구인 글로벌플랫폼(GlobalPlatform)에서 2010년 국제 표준을 제정하였다. ARM사에서 개발한 트러스트존이 대표적인 TEE로 꼽힌다.
국제산업표준단체인 TCG(Computing Group)에서 소프트웨어만으로 운영되는 보안 기술의 한계점을 인식하고 이를 해결하기 위하여 하드웨어적으로 분리된 안전한 공간에 저장하여 키의 관리나 암호화 처리 등을 내부에서만 처리하도록 환경을 제공하는 표준 규격 모듈.
만리장성과 방화벽의 합성어. 1998년 중국의 '황금방패 프로젝트'의 하나로 제시된 인터넷 감시·검열 시스템이다. 2003년에 구축되었으며, 주 목적은 외부로부터 유입되는 트래픽을 차단하는 것이다. 해외 사이트에 접속하기 위해서는 VPN을 사용해야 하며, 2017년 3월 중국 충칭에서는 VPN 이용자에게 접속금지 명령과 경고 처분을 내렸다.
인도 전체 국민의 지문과 홍채 정보를 디지털화하는 국가 프로젝트이며, 세계 최대 규모의 생체 인식 인증용 디지털 정보 수집이다. 이는 인도 금융기술산업 활성화를 목표로 한다. 이와 같이 대규모로 수집하면서 민간기업이 상업적으로 활용할 수 있게 한 예는 없다. 국제 금융기관인 크레딧 스위스(Credit Suisse)는 인디아 스택으로 인해 인도 금융기술 산업의 규모가 2026년에는 6,000억 달러까지 커질 것으로 내다본바 있다.
클라우드에 인증서를 저장하므로 개별 기기에 인증서를 저장해 다닐 필요가 없어진다. 암호화 키 생성이 하드웨어적으로 구현되기 때문에 소프트웨어적으로 구현된 암호 기술이 가지는 보안 취약점을 무시할 수 있다. 구글이 대표적인 HSM 서비스 제공자이며, 한국전자인증의 파이도2(FIDO2), 이니텍(Initech)의 이니패스(INIPASS)가 있다.
음성 패킷을 불법으로 수집 및 조합해 통화 내용을 재생하고 도청(Sniffing)하는 위협이다. 서비스 관련 시스템 자원 고갈 및 비정상 패킷의 다량 발송을 통한 회선 마비 등의 서비스거부(DoS) 공격이 있으며, 사용자의 등록정보를 조작하거나 추가해 비 인가된 서비스를 이용하는 서비스 오용공격, 호 설정 또는 회원가입 과정에 개입해 사용자의 세션 제어권한 등을 획득하는 세션 가로채기, 인터넷 회선을 공유해 발송하는 VoIP 스팸이 있다.
포식자가 사냥을 위해 물 웅덩이(Watering Hole)에서 매복하고 있는 것을 빗댄 용어. 표적으로 삼은 집단이 주로 방문하는 웹 사이트를 감염시켜, 피해 대상이 해당 사이트를 방문하는 것을 기다리는 방식이다. 해당 웹사이트에 방문하는 모든 사용자들이 악성 코드에 감염되어 전염성이 높아지는 것이 특징이다.
대규모의 응용 프로그램이나 OS를 개발할 때는 프로그램 보수의 용이성을 위해 코드 중간 중간에 Trap Door라는 중단 부분을 설정하는데, 최종 단계에서 이 부분을 삭제하지 않고 남겨두면 컴퓨터 범죄에 악용되기도 한다.
보안 취약점의 존재 자체가 널리 공표되기 전에 해당 취약점을 악용하여 이루어지는 보안 공격. 신속성을 의미한다. 대응책이 공표되기도 전에 공격이 이루어지기 때문에 대처 방법이 없다.
IP나 ICMP의 특성을 아가용하여 엄청난 양의 데이터를 한 사이트에 집중적으로 보냄으로써 네트워크의 일부를 불능상태로 만드는 공격 방법. 이를 무력화하는 방법 중 하나는 각 네트워크 라우터에서 IP 브로드캐스트 주소를 사용할 수 없게 미리 설정해 놓는 것이다.
주소를 잘못 입력하는 실수를 이용하기 위해 유명 도메인과 비슷한 것을 미리 등록하는 것으로, URL 하이재킹(Hijacking)이라고도 한다.
해커와 행동주의(Activism)의 합성어. 자신들의 정치적 목적을 달성하기 위한 수단으로 해킹하는 일체의 활동을 말한다.
스마트TV에 악성 소프트웨어를 설치해 최고 접근 권한을 획득하는 해킹 기법. 시청자의 사생활을 몰래 촬영하여 유출하거나 해정방송을 송출하여 금전적인 피해를 입힐 수 있다.
미리 침투해 활동 거점을 확보하여 보안을 무력화시키고 정보를 수집한 후 외부로 빼돌리는 형태의 공격. 스턱스넷(Stuxnet)과 같이 악성 코드가 담긴 USB 등으로 전파하는 형태와 감염된 P2P 사이트에 접속으로 전파하는 형태 등이 있다.
도메인을 탈취하거나 DNS 이름을 속여 사용자들을 유도하고 개인 정보를 훔치는 인터넷 사기 수법.
인간 상호 작용의 깊은 신뢰를 바탕으로 사람들을 속여 정상 보안 절차를 깨트리기 위한 비기술적 시스템 침입 수단. 접근 권한이 있는 담당자와 신뢰를 쌓고 상대방의 권한을 이용하는 것. 보안을 소홀히 하는 무능에 의존하는 것과 도청 등이 일반적인 Social Engineering적 기술이다.
사용자의 온라인 뱅킹 계정 정보를 탈취하기 위해 개발된 상용 멀웨어. 2007년 러시아에서 개발된 것으로 추정되는 Zeus는 주로 이메일 등을 통해 전파되며, 감염된 컴퓨터는 사용자의 모든 키보드 입력 정보를 지정된 곳으로 보낸다.
악석 프로그램에 감염되어 향후에 악의적인 의도로 사용될 수 있는 다수의 컴퓨터들이 네트워크로 연결된 형태를 말한다. 해킹 또는 악성 프로그램에 감염된 컴퓨터를 네트워크로 연결하고, 해커는 이를 원격 조종해 악의적인 행위를 한다.
C&C(Command & Control) 서버의 제어를 받아 주로 DDoS 공격 등에 이용된다.
지적 재산권을 통해 로열티 수입만으로 이익을 창출하는 특허 관리 전문 기업. 실제로 제품을 만드는 회사가 아니므로 자신들이 보유한 특허로 다른 회사를 공격할 수는 있지만 다른 회사가 이들을 공격하여 피해를 줄 수 있는 방법이 없다는 점을 악용하여 수익을 창출한다.
광범위한 개념. 프로그램, 매크로, 스크립트뿐만 아니라 취약점을 이용한 데이터 형태도 포함된다. 자기 복제 능력과 감염 대상 유무에 따라 바이러스, 웜, 트로이 목마, 스파이웨어 등으로 분류된다. 최근의 악성 소프트웨어는 링크나 이미지를 클릭하기만 해도 시스템이 하이재킹 당할 수 있어 주의를 요한다.
독일 지맨스사의 원격 감시 제어 시스템(SCADA)의 제어 소프트웨어에 침투하여 시스템을 마비하게 할 목표로 제작된 악성코드. 산업기반 시설에 사용되는 제어 시스템에 침투하여 오동작을 유도하는 명령 코드를 입력해서 시스템을 마비시킨다.
네트워크에 공격된 컴퓨터를 공격하기 위해 악성 코드 프로그램을 모아 놓은 것이다. 제우스(Zeus)와 스파이아이(Spyeye) 등이 있으며, 둘은 온라인 금융 계정 정보 등을 탈취할 목적으로 개발한 공격용 툴킷이다.
인터넷 프로토콜 허용 범위(65,536 바이트) 이상의 큰 패킷을 고의로 전송하여 발생한 서비스 거부 공격이다. 공격자의 식별 위장이 용이하고 인터넷 주소 하나만으로도 공격이 가능하다. jolt, sPING, ICMP bug, IceNewk 등의 변종 공격에 대비하여 방화벽을 사용해 인터넷 제어 메시지 프로토콜(ICMP) 핑 메시지를 차단하는 기술이 개발되었다.
스팸과 블로거의 합성어. 다른 사람의 콘텐츠를 무산으로 복사해 자신의 블로그에 게재하는 블로거 또는 광고성 블로거를 의미한다.
네트워크의 중간에서 남의 패킷 정보를 도청하는 수동적 해킹 유형의 하나. 네트워크 내의 패킷들은 대부분 암호화되어 있지 않아 이용당하기 쉽기 때문에 이를 보완하는 여러 기법이 개발되고 있다.
위조도니 MAC 주소를 네트워크 상으로 지속적으로 흘려보내 스위칭 허브의 주소 테이블 기능을 마비시키는 것이다. 주소 테이블이 오버플로 되면 재설정하기 위해 네트워크 상의 컴퓨터들에게 MAC 주소를 확인하여 새롭게 생성하게 된다. 이 과정에서 해커의 MAC 주소도 포함시킨다.
인터넷 상에서 다수의 수신인에게 무작위로 송신된/ 관계가 없는 수신자에게 발신된 이메일 메시지. 정크 메일이라고도 한다.
- 직접 스팸 스패머가 직접 자신이 이용하는 ISP의 메일 서버를 통해 불특정 다수의 사용자에게 메일을 직접 보내는 것.
- 중계 스팸 스패머가 임의의 다른 메일 서버를 중계 서버로 이용해 마치 중계 서버의 사용자가 메일을 보내는 것처럼 위장하여 필터링 차단을 피하는 방식.
통상적인 판단력을 가진 사람이라면 누구나 자신 또는 가족의 생명이나 신체의 안전에 위협을 느낄만한 내용이 있어야 한다.
낚시라는 뜻의 은어. 허위 웹 사이트를 내세워 사용자의 개인 신용 정보를 빼내는 수법을 의미한다.
다수가 참여할 수 있도록 공개된 문서의 내용을 훼손하거나 변경하는 일을 말한다. 불쾌감을 주는 스팸, 왜곡, 선전 광고, 욕설, 비방 등을 한다. 유럽 중세시대의 민족이동 당시에 악평이 자자하던 반달족의 무자비한 로마문화 파괴 및 약탈 행위를 비유하는 말이다.
많은 대상으로부터 눈치 채지 못할 만큼의 적은 금액이나 양을 빼내는 컴퓨터 사기 기법.
전문 스캐너 프로그램 혹은 봇넷 등을 이용해 웹사이트를 무차별적으로 공격하는 과정에서 취약한 사이트가 발견되면 데이터베이스 등의 데이터를 조작하는 일련의 공격 방식. 임의의 사용자가 공격당한 웹사이트에 접속하면 조작된 웹페이지에 의해 악성코드에 감염되며, 감염된 악성코드는 시간이 지나면서 변형되는 등 지능적으로 발전하고 있다. 자동화 프로그램으로 인해 불특정 다수의 웹사이트에서 피해가 도시다발적으로 발생할 수 있기 때문에 공격 시점 예측이 쉽지 않다.
암호화된 문서의 암호키를 찾아내기 위해 적용 가능한 모든 값을 대입하여 공격하는 방법. 암호문에 대한 암호키를 찾아내는 용도로 사용하던 공격 방법이었는데, 최근에는 사용자의 ID나 비밀번호를 찾아내기 윟 ㅐ반복 대입하는 공격의 행태로 사용되고 있다.
QR코드와 피싱의 합성 신조어이다. QR코드(Quick Response Code)를 통해 악성 앱의 다운로드를 유도하거나 악성 프로그램을 설치하도록 하는 금융사기 기법의 하나.
수집된 후 저장은 되어 있지만 분석에 활용되지는 않는 다량의 데이터를 의미한다. 다크 데이터는 향후 사용될 가능성이 있다는 이유로 삭제되지 않아 공간만 차지하고 있으며, 보안 위협을 초래하기도 한다.
P2P 네트워크를 이용하여 온라인 금융 거래 정보를 온라인 네트워크 참여자(peer)의 디지털 장비에 분산 저장하는 기술을 의미한다. P2P 네트워크 환경을 기반으로 일정 시간 동안 반수 이상의 디지털 장비에 저장된 거래 내역을 서로 교환·확인·승인하는 과정을 거쳐, 디지털 서명으로 동의한 금융 거래 내역만 하나의 블록으로 만든다. 이렇게 생성된 블록은 기존의 블록체인에 연결되고, 다시 복사되어 각 사용자의 디지털 장비에 분산 저장된다. 이로 인해 블록체인은 기존 금융 회사들이 사용하고 있는 중앙 집중형 서버에 거래 정보를 저장할 필요가 없어 관리 비용이 절감되고, 분산 저장으로 인해 해킹이 난해해짐에 따라 보안 및 거래 안전성도 향상된다. 비트 코인이 블록체인의 가장 대표적인 예이며, 주식·부동산 거래 등 다양한 금융거래에 사용이 가능하고, 현관 키 등의 보안과 관련된 분야에도 활용될 수 있어 크게 주목받고 있다.
인공지능을 기반으로 하는 딥 러닝 기술로, 이미지를 합성하는 기술이다.
웹 정보 노출이나 악성 코드, 스크립트, 보안이 취약한 부분을 연구하는 비영리 단체. 2001년 9월 9일 Mark Curphey에 의해 설립되었으며, 2004년을 시작으로 2007, 2010, 2013, 2017년에 각각 10대 웹 애플리케이션의 취약점을 'Top Ten'이라는 이름으로 발표하였고 문서도 공개하였다. 10대 웹 애플리케이션의 취약점은 보안이 취약한 부분 중에서도 빈도가 잦고, 보안에 미치는 영향이 큰 것을 기준으로 선정한 것이다.
제공하는 입장에서는 그렇지 않을 수 있으나, 사용자 입장에서는 유용 할 수도 있고 악의적일 수도 있는 애드웨어, 트랙웨어, 기타 악성 코드나 악성 공유웨어를 말한다.
중앙 관리자나 중앙 데이터 저장소가 존재하지 않고, P2P 망 내의 참여자들에게 모든 거래 목록이 분산 저장되어, 거래가 발생할 때마다 지속적으로 갱신되는 디지털 원장을 의미한다. 블록체인또한 이 기술을 사용하며, 2016년부터 많은 투자를 받고 있다. 기존의 중앙 서버와 같이 집중화된 시스템을 유지 및 관리할 필요가 없어지고, 해킹 및 위변조의 위험도도 낮기 때문에 효율성과 보안성 면에서 크게 유리하다.
온라인 거래에서 안전하게 사용될 수 있도록 해시함수를 이용한 암호화 기술이 적용된 전자 화폐를 의미한다. 암호 화폐는 중앙 관리자나 서버가 없이 P2P 네트워크에서 각 peer들이 거래 내역을 분산 저장하여 관리하고 있기 때문에 거래 내역의 위·변조가 불가능하고, 익명성이 보장되는 장점이 있다. 비트코인은 해시캐시(Hashcash)라고 불리는 SHA-256(Secure Hash Algorithm256) 기반의 작업 증명(POW; Proof-Of-Work) 방식을 암호화 기술로 사용한다.
유럽 중앙은행은 가상 화폐를 '가상화폐 발행자가 발행·관리하고, 특정 가상 커뮤니티의 구성원들 사이에서 이용되며 대부분 법적 규제를 받지 않느 디지털 화폐'라고 정의내린 바 있다.
암호화폐를 발행하여 자금을 조달하는 초기코인공개(ICO)는 자금 확보만을 위해 초기 사업으로 또는 기존 사업과 별개로 암호화폐를 발행하는 자금확보형 ICO와 기존 시행되고 있는 서비스에 암호화폐를 합치는 리버스 ICO로 구분된다. 리버스 ICO는 이미 상용화되고 있는 플랫폼 또는 서비스를 기반으로 암호화폐를 발행하기 때문에 투자 안정성이 더 높은 것으로 평가된다. 다만 암호화폐와 블록체인이 탈중앙화를 기치로 탄생했다는 점에서 살펴보았을 때, 리버스 ICO는 중앙 집중화 성격ㅇ을 갖고 있어 기존의 독·과점 기업이 암호화폐마저 독·과점할 수 있을 것이라는 우려가 있다. 리버스 ICO를 실시한 대표적인 업체에는 텔레그램, 라쿠텐이 있다.
클라우드를 통해 블록체인 기반 소프트웨어ㅏ의 개발 환경을 제공하는 서비스. 블록체인 네트워크에 노드의 추가·제거가 용이해진다. 블록체인 애플리케이션을 제작할 수 있는 프로그래밍 모델을 제공할 뿐만 아니라, 어느 곳에 있더라도 서버 자원을 할당하는 프로비저닝(Provisioning)이 가능하다. 2015년부터 마이크로소프트, IBM, 리눅스 재단, AWS 등에서 Baas을 제공하고 있다.
라우터나 NAS와 같은 IoT 기기를 해킹해 좀비PC로 만들어 다른 네트워크를 공격하거나 심한 장애를 유발하는 악성코드를 말한다. 2017년 초에는 IoT 기기 기능을 사용하지 못하도록 하는 악성코드인 브리커봇이 발표되기도 했다. 국제적인 네트워킹 하드웨어 및 보안 서비스 전문 업체인 시스코(Cisco)의 2018년 5월 발표에 따르면, 세계 54개국 라우터와 NAS 50만 대 이상을 감염시킨 가상사설망(VPN) 필터 악성코드를 확인했다고 한다.