정보 보안 용어 총정리

🔐 정보 보안 핵심 용어 총정리

정보 보안은 현대 IT 환경에서 가장 중요한 요소 중 하나입니다. 이 문서는 보안의 기본 원칙부터 주요 공격 기법까지, 반드시 알아야 할 핵심 보안 용어들을 체계적으로 정리합니다.

---

1. 보안 기본 개념 및 원칙

정보 보안의 3대 목표 (CIA Triad)

기밀성 (Confidentiality)

인가된 사용자만 정보에 접근할 수 있도록 보장하는 원칙입니다. 정보가 비인가자에게 노출되는 것을 막습니다. (예: 암호화)

무결성 (Integrity)

정보가 전송되거나 저장되는 과정에서 인가되지 않은 방법으로 변경되지 않았음을 보장하는 원칙입니다. (예: 해시, 디지털 서명)

가용성 (Availability)

인가된 사용자가 정보나 자원을 필요로 할 때 언제든지 접근하고 사용할 수 있도록 보장하는 원칙입니다. (예: DDoS 방어, 백업)

보안의 추가 원칙

인증 (Authentication)

사용자가 정말로 자기 자신이라고 주장하는 그 사람이 맞는지 신원을 확인하는 절차입니다. (예: 아이디/패스워드, 생체 인증)

인가 (Authorization)

인증된 사용자가 특정 자원이나 기능에 접근할 수 있는 권한을 부여하고 관리하는 절차입니다. (예: 관리자/일반 사용자 권한 구분)

부인 방지 (Non-repudiation)

어떤 행위를 한 주체가 나중에 그 행위를 했다는 사실을 부인할 수 없도록 증거를 제공하는 원칙입니다. (예: 디지털 서명, 로그 기록)

---

2. 암호화 관련 🔑

대칭키 암호 (Symmetric-key Cryptography)

암호화할 때 사용하는 키와 복호화할 때 사용하는 키가 동일한 암호화 방식입니다. 속도가 빠르지만, 키를 안전하게 배송해야 하는 문제가 있습니다. (예: AES, DES)

비대칭키 암호 (Asymmetric-key Cryptography) / 공개키 암호

암호화 키와 복호화 키가 서로 다른 한 쌍의 키(공개키, 개인키)로 구성된 방식입니다. 공개키로 암호화한 데이터는 쌍을 이루는 개인키로만 복호화할 수 있습니다. 키 관리가 용이하지만 속도가 느립니다. (예: RSA, ECC)

해시 (Hash)

임의의 길이의 데이터를 고정된 길이의 고유한 값(해시 값)으로 변환하는 함수입니다. 출력 값으로 입력 값을 추론할 수 없는 단방향성을 가지며, 데이터의 무결성 검증(비밀번호 저장 등)에 사용됩니다. (예: SHA-256)

디지털 서명 (Digital Signature)

비대칭키 암호 기술을 이용하여 메시지의 무결성과 부인 방지를 보장하는 기술입니다. 메시지를 보낸 사람의 개인키로 암호화(서명)하고, 해당 사람의 공개키로 복호화하여 신원을 확인합니다.

SSL/TLS (Secure Sockets Layer / Transport Layer Security)

네트워크 통신에서 데이터를 암호화하여 기밀성과 무결성을 제공하는 표준 보안 프로토콜입니다. 웹사이트 주소가 http:// 대신 https://로 시작하면 SSL/TLS가 적용된 것입니다.

---

3. 네트워크 보안 🛡️

방화벽 (Firewall)

미리 정의된 보안 규칙에 기반하여, 외부 네트워크로부터 내부 네트워크로 들어오거나 나가는 트래픽을 감시하고 제어하는 시스템입니다. 네트워크 보안의 가장 기본적인 요소입니다.

IDS / IPS (Intrusion Detection System / Intrusion Prevention System)

IDS는 네트워크나 시스템의 비정상적인 사용이나 악의적인 공격을 탐지하여 관리자에게 경고하는 시스템입니다. IPS는 탐지 기능을 넘어, 해당 공격을 능동적으로 차단하고 방어하는 시스템입니다.

VPN (Virtual Private Network)

공용 네트워크(인터넷)를 통해 사설 네트워크처럼 안전하게 통신할 수 있도록 만드는 가상 사설망입니다. 데이터를 암호화하여 터널링(Tunneling) 방식으로 전송합니다.

허니팟 (Honeypot)

공격자를 유인하기 위해 의도적으로 설치해 둔 가짜 시스템이나 네트워크입니다. 공격자의 공격 패턴, 사용 도구, 목적 등을 분석하여 실제 시스템을 방어하는 데 활용합니다.

---

4. 웹 보안 (주요 공격) 🕸️

SQL Injection (SQL 삽입)

공격자가 웹 애플리케이션의 입력 값에 악의적인 SQL 쿼리문을 삽입하여 데이터베이스를 비정상적으로 조작하는 공격입니다. 이를 통해 데이터를 탈취, 변조, 삭제할 수 있습니다.

XSS (Cross-Site Scripting)

공격자가 웹사이트에 악성 스크립트를 삽입하여, 해당 사이트를 방문하는 다른 사용자의 웹 브라우저에서 스크립트가 실행되도록 하는 공격입니다. 사용자의 세션 쿠키 탈취, 개인정보 유출 등에 악용됩니다.

CSRF (Cross-Site Request Forgery)

사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위(글 작성, 비밀번호 변경 등)를 특정 웹사이트에 요청하게 만드는 공격입니다. 사용자가 로그인된 상태를 악용합니다.

DDoS (Distributed Denial of Service) / 분산 서비스 거부 공격

여러 대의 감염된 PC(좀비 PC)를 이용하여 특정 서버나 네트워크에 대량의 트래픽을 집중적으로 보내 정상적인 서비스를 마비시키는 공격입니다.

---

5. 시스템 보안 및 악성코드 🦠

악성코드 (Malware) 종류

바이러스 (Virus)

정상적인 파일이나 프로그램에 기생하여 실행 시 자신을 복제하고 다른 파일을 감염시키는 악성코드입니다.

웜 (Worm)

독자적으로 존재하며, 네트워크를 통해 스스로를 복제하여 전파되는 악성코드입니다. 시스템 부하를 유발하여 네트워크를 마비시킬 수 있습니다.

트로이 목마 (Trojan Horse)

정상적인 프로그램으로 위장하여 시스템에 침투한 뒤, 특정 시점에 악성 행위를 수행하는 코드입니다. 자기 복제 능력은 없습니다.

랜섬웨어 (Ransomware)

사용자의 컴퓨터에 있는 문서, 사진 등 중요 파일을 암호화한 후, 이를 복호화해주는 대가로 금전(Ransom)을 요구하는 악성코드입니다.

스파이웨어 (Spyware)

사용자 동의 없이 컴퓨터에 설치되어 개인정보, 금융정보, 키보드 입력 기록 등을 몰래 수집하여 외부로 전송하는 악성코드입니다.

시스템 보안 관리

패치 관리 (Patch Management)

소프트웨어의 보안 취약점이나 버그를 해결하기 위해 개발사가 배포하는 수정 프로그램(패치)을 시스템에 신속하게 설치하고 관리하는 활동입니다.

접근 통제 (Access Control)

시스템 자원에 대해 주체(사용자, 프로세스)의 접근을 정책과 규칙에 따라 제한하는 것입니다. '최소 권한 원칙'에 따라 꼭 필요한 접근만 허용하는 것이 중요합니다.

---

6. 기타 중요 용어

사회 공학 (Social Engineering)

기술적인 방법이 아닌, 사람의 심리나 신뢰를 이용하여 비공개 정보를 얻어내는 공격 기법입니다. (예: 전화 통화나 이메일로 비밀번호를 물어보는 행위)

피싱 (Phishing)

유명 기업이나 금융 기관을 사칭한 가짜 이메일, 웹사이트 등을 통해 사용자를 속여 개인정보나 금융정보를 빼내는 사기 수법입니다. 사회 공학의 일종입니다.

제로데이 공격 (Zero-day Attack)

소프트웨어의 보안 취약점이 발견되어 개발사의 공식적인 패치가 나오기 전에, 해당 취약점을 이용한 공격이 이루어지는 것을 말합니다. 방어가 매우 어렵습니다.

APT (Advanced Persistent Threat) / 지능형 지속 위협

특정 조직이나 기업을 목표로 하여, 다양한 수단을 동원해 장기간에 걸쳐 지속적으로 정보를 빼내거나 시스템을 파괴하는 고도화된 해킹 공격입니다.