IX. 소프트웨어 개발 보안 구축_02. 소프트웨어 개발 보안 구현

1) 소프트웨어 개발 보안 구현

시큐어코딩 : 설계 및 구현 단계에서 해킹 등의 공격을 유발할 가능성이 있는 잠재적인 보안 취약점을 사전에 제거하고 외부 공격으로부터 안전한 소프트웨어를 개발하는 기법

입력데이터 검증 및 표현	프로그램 입력값에 대한 검증 누락, 부적절한 검증, 잘못된 형식 지정	사용자, 프로그램 입력데이터에 대한 유효성 검증체계를 수립하고 실패시 처리 설계 및 구현
보안 기능	보안 기능(인증, 접근제어, 기밀성, 암호화, 권한 관리 등)의 부적절한 구현	인증, 접근통제, 권한관리, 비밀번호 등의 정책이 적절하게 반영되도록 설계 및 구현
시간 및 상태	거의 동시에 수행 지원하는 병행시스템 또는 하나 이상의 프로세스가 동작하는 환경에서 시간 및 상태의 부적절한 관리	공유 자원의 접근 직렬화, 병렬 실행 가능 프레임워크 사용, 블록문 내에서만 재취함수 호출
에러처리	에러 미처리, 불충분한 처리 등으로 에러메시지에 중요정보가 포함	에러 또는 오류 상황을 처리하지 않거나 불충분하게 처리되어 중요정보 유출 등 보안 약점이 발생하지 않도록 시스템 설계 및 구현
코드 오류	개발자가 범할 수 있는 코딩 오류로 인해 유발	코딩 규칙 도출 후 거믕 가능한 스크립트 구서오가 경고 순위의 최상향 조정 후 경고 메시지 코드 제거
캡슐화	기능성이 불충분한 캡슐화로 인해 인가되지 않은 사용자에게 데이터 누출	디버그 코드 제거와 필수 정보 외의 클래스 내 프라이빗 접근자 지정
API오류	의도된 사용에 반하는 방식으로 API를 사용하거나 보안에 취약한 API의 사용	개발언어 취약 API확보 및 취약 API 검출 프로그램 사용

 

입력데이터 검증 및 표현 : 입력 데이터 검증 및 표현은 입력 데이터로 인해 발생하는 문제들을 예방하기 위해 구현단계에서 검증해야 하는 보안 점검 항목들

XSS(Cross Site Script) 취약점 : 검증되지 않은 외부 입력 데이터가 포함된 웹페이지가 전송되는 경우 사용자가 해당 웹페이지를 열람함으로써 웹페이지에 포함된 부적절한 스크립트가 실행되는 공격

XSS 취약점 대책 : 특수문자 등록을 방지하기 위해 특수문자 필터링, HTML태그 사용금지(특히 < 문자사용시 &lt로 변환처리), 자바스크립트로 시작하는 문자열은 모두 문자열 변환처리  

XSS 공격 유형

Stored XSS	방문자드링 악성 스크립트가 포함된 페이지를 읽어 봄과 동시에 악성 스크립트가 브라우저에서 실행되면서 감염되는 기법
Reflected XSS	공격용 악성 URL을 생성한 후 이메일로 사용자에게 전송하면 사용자가 URL클릭시 즉시 공격 스크립트가 피해자로 반사되어 접속 사이트에 민감정보를 공격자에게 전송하는 기법
DOM XSS	공격하는 DOM기반 XSS취약점이 있는 브라우저를 대상으로 조작된 URL을 이메일을 통해 발송하가 피해자가 URL클릭시 공격 피해를 당하는 기법

 

SQL 삽입 : 응용 프로그램의 보안 취약점을 이용해서 악의적인 SQL구문을 삽입, 실행시켜서 데이터베이스(DB)의 접근을 통해 정보를 탈취하거나 조작 등의 행위를 하는 공격기법

SQL 삽입 대책 : 바인딩 매개변수 방식을 적용하여 사전에 변수 타입을 명시적으로 지정, 사용자로부터 입력될 수 있는 모든 값을 체크하여 필터링, Servlet Filter기능 적용(Java에서만 적용)

CSRF : Cross-Site Request Forgery, 사용자가 자신의 의자와는 무관하게 공격자가 의도한 행위를 특정 웹사이트에 요청하게 하는 공격 

CSRF 대책 : 입력화면 폼 작성시 GET방식보다 POST방식 사용, 입력폼과 입력처리 프로그램에서 세션별 CSRF토큰을 사용하여 점검, 중요기능의 경우 재인증을 통해 안전하게 실제 요청 여부를 확인하도록 구현

 

보안기능 : 소프트웨어 개발 단계에서 인증, 접근제어, 기밀성, 암호화, 권한 관리 등을 적절하게 구현하기 위한 보안 점검 항목으로 각 보안기능들은 서비스 환경이나 취급 데이터에 맞게 처리될 수 있도록 구현

보안기능 취약점 : 보안 기능에 대한 점검을 수행하여 적절한 인증없이 중요기능 허용, 부적절한 인가, 취약한 암호화 알고리즘 사용, 중요정보의 평문 저장 및 전송, 하드 코드 된 비밀번호 등의 보안 취약점을 방지해야함

적절한 인증없이 중요기능 허용	보안 검사를 우회하여 인증과정없이 중요정보 또는 기능에 접근 및 변경 가능	중요정보나 기능을 수행하는 페이지에서는 재인증 기능을 통해 방지
부적절한 인가	접근제어 기능이 없는 실행경로를 통해 정보 또는 권한 탈취	모든 실행결로에 대해 접근제어 검사를 수행하고 사용자에게는 반드시 필요한 접근권한 부여하여 방지
취약한 암호화 알고리즘 사용	암호화된 환경설정 파일을 해독하여 비밀번호 등의 중요정보 탈취	안전한 암호화 알고리즘, 안정성이 인증된 암호 모듈을 이용하여 방지
중요 정보 평문 저장 및 전송	암호화되지 않은 평문 데이터를 탈취하여 중요정보 획득 가능	중요한 정보 저장 및 전송시 반드시 암호화 과정을 거치도록하고 HTTP, SSL/TLS등의 보안 채널을 이용하여 방지
하드 코드된 비밀번호	프로그램 코드 내부에 패스워드 포함시 관리자 정보가 노출될 수 있는 보안 취약점	패스워드는 암호화하여 별도 파일에 저장 소프트웨어 설치시 직접 패스워드나 키를 입력하도록 설계하여 방지
취약한 패스워드 요구조건	취약한 사용자 패스어드 조합 규칙에 따른 사용자 계정 보안 취약점	패스워드 생성시 강한 조건 검증 필요

 

에러처리 : 프로그램 실행시 발생하는 에러를 예외 처리하지 못하거나 에러정보에 중요한 정보(프로그램 정보, 상세한 에러내역 등)가 포함될때 발생할 수 있는 취약점을 예방하기 위한 보안 점검항목, 각 츠로그래밍 언어의 예외처리 구문을 통해 오류에 대한 사항을 정의하지 않으면 중요정보를 노출시키거나 소프트웨어의 실행이 중단되는 등 예기치 못한 문제를 발생시킴

오류메시지에 대한 정보 노출	프로그램 실행환경, 사용자, 관련 데이터에 대한 민감한 정보를 포함하는 오류메시지를 생성하여 공격자의 악성 행위를 도아주는 보안 취약점	에러메시지는 정해진 사용자에게 유용한 최소한의 정보만 표현 예외사항을 내부적으로 처리하고 사용자에게 민감한 정보를 포함하는 오류 출력금지
오류 상황 대응 부재	오류가 발생할 수 있는 부분을 확인하였으나 이러안 오류에 대해 예외 처리를 하지 않았거나 미비로 인해 발생하는 보안 약점	오류가 발생할 수 있는 부분에 예외처리 구문을 작서하고 제어문을 활용하여 오류를 악용하지 않도록 코딩
적절하지 않은 예외처리	프로그램 수행중에 함수의 결괏값에 대한 적절한 처리 또는 예외상황에 대한 조건을 적절하게 검사하지 않을 경우 예기치 않은 문제를 일으킬 수 있는 보안 약점	값을 반환하는 모든 함수의 결괏값을 검사하여 그 값에 기대한 값인지 검사하고 예외처리를 사용하는 경우 광범위한 예외처리 대신 구체적인 예외처리를 통해 방지

 

세션통제 : 다른 세선견 데이터 공유 금지 등 세션을 안전하게 관리하도록 설계, 이미 연결종료된 클라이언트의 정보가 사용가능한 상태로 방치되는 경우 허가되지않은 사용자가 시스템에 접근할 수 있는 보안약점이 있음, 안전한 세션 통제 정책이 적용되기 위해 세션 정보를 안전하게 관리해야함

세션통제 취약점

불충분한 세션 관리

인증시 일정한 규칙이 존재하는 세션 ID를 발급 세션 타임아웃을 길게 설정한 경우 공격자에 의해 사용자 권한이 도용

클래스 변수는 세션간 공유되는 데이터가 되므로 클래스 설계시 세션 정보를 읽고 쓰기가 가능한 변수를 사용하지 않도록 설계

 

코드오류 : 소프트웨어 구현단계에서 프로그램 변환시 오류, 서버의 리소스 자원(메모리 등)의 부적절한 반환(버퍼 오버플로우)등 개발자가 흔하게 실수하는 프로그램 오류를 예방하기 위한 보안점검 항목

코드오류 취약점

널포인터 역참조	'일반적으로 그 객체가 NULL이 될수 없다'라고 하는 가정을 위반했을 때 대부분 운영체제에서 널 포인터는 메모리의 첫 주소를 가리키며 해당 주소를 참조할 경우 소프트웨어가 비정상적으로 종료 공격자가 의도적으로 Null포인터 역참조를 실행하는 경우 그 결과 발생하는 예외사항을 추후에 공격자가 악용할 수 있음	Null이 될 수 있는 래퍼런스는 참조하기 전에 Null값인지를 검사하여 안전한 경우에만 사용
정수를 문자로 변환	정수를 문자로 변환하면서 표한할 수 없는 범위의 값이 잘려나가 문자에 대한 저장값이 올바르지 않은 보안 취약점	정수를 문자로 변환할 경우 변환값의 크기가 변환값이 저장되는 변수의 크기보다 크지 않도록 함
부적절한 자원 해제	힙 메모리, 소켓 등 프로그램 자원 사용후 프로그램 오류로 인해 종료된 자원을 반환하지 못했을 때 발생할 수 있는 보안 취약점	자원을 획득하여 사용한 다음에는 Finally 블록에서 반드시 자원이 반환되도록 코딩함으로써 방지
초기화되지 않은 변수 사용	최기화되지 않은 변수사용은 변수 선언 후 값이 부여되지 않은 변수를 사용할 때 발생할 수 있는 보안취약점 변수가 선언되어 메모리가 할당되면 해당 메모리에 이전에 사용하던 내용이 계속 남아있어 변수가 외부에 노출되는 경우 중요정보가 악용될 수 있음	변수 선언시 할당된 메모리를 초기화함으로써 방지

 

캡슐화 : 외부에 은닉이 필요한 중요한 데이터와 필요한 기능성을 불충분하게 캡슐화했을때 인가되지 않은 사용자에게 데이터 유출, 권한 문제 등이 발생할 수 있는 보안 취약점 예방을 위한 보안 검증 항목

캡슐화 취약점

잘못된 세선에 의한 데이터 정보 노출	다중 스레드 환경에서 싱글톤 객체필드에서 경쟁조건으로 인해 동기화오류가 발생하거나 멤버 변수의 정보가 노출되는 보안취약점	싱글톤 패턴을 사용하는 경우 변수범위에 주의하고 멤버 변수보다 지역변수를 활용하여 변수의 범위를 제안함으로써 방지
제거되지 않고 남은 디버그 코드	디버깅 목적으로 삽입된 코드가 제거되지 않음으로 인해 공격자에게 의도하지 않은 정보와 제어 정보가 누출될 수 있는 보안 취약점	디버거 코드는 개발완료 후 삭제 처리
민감한 데이터를 가진 내부 클래스 사용	권한이 없는 클래스를 사용하고자할 때 발생	내부 클래스 사용시 외부 클래스의 접근 금지
시스템 데이터 정보 노출	시스템, 관리자 DB 정보 등 시스템의 내부 데이터를 시스템 메시지 등을 통해 외부로 출력하도록 코딩했을 때 발생하는 보안 취약점	시스템 메시지를 통해 노출되는 메시지는 최소한의 정보만 제공함으로써 방지

 

API 오용 : 서비스에서 제공되는 이용에 반하는 방법으로 API를 이용하거나 보안에 취약한 API를 오용하여 발생할 수 있는 보안 취약점 예방을 위한 보안 검증 항목들

API 오용 취약점

DNS Lookup에 의존한 보안 결정	도메인명에 의존하여 인증이나 접근 통제 등의 보안 결정을 내리는 경우 발생하는 보안약점 DNS 엔트리를 속여 동일한 도메인에 속한 서버인것처럼 위장하거나 사용자와 서버간의네트워크 트래픽을 유도하여 악성사이트를 경유하도록 조작할 수 있음	보안 결정에서 도메인명을 이용한 DNS Lookup을 하지 않도록 함 DNS 이름 검색 함수를 사용한 후 조건문에서 인증여부를 수행하는 것보다 IP주소를 이용하는것이 DNS이름을 직접 사용하는 것보다 안전
위험하다고 알려진 함수 사용	보안 취약점을 고려하지 않고 개발되어 사용자체가 취약한 함수들의 보안 취약점	안전한 함수 사용
널(Null)매개변수 미검사	자바(Java)표준에서 특정 메서드 사용시 매개변수가 널(Null)인 경우 지정된 값을 반환하지 못해 발생하는 예기치 못한 동작에 대한 보안 취약점	널(Null) 여부를 점검하는 과정을 거친후 사용해야함

 

2) 시스템 보안구현

유닉스/리눅스 주요 로그파일 : 유닉스의 경우 Nar/adm, 리눅스의 경우 Nar/log 디렉토리에 주로 저장됨, 시스템의 /etc/syslog.conf파일에서 시스템 로그 파일들의 위치를 지정, 다양한 로그를 바탕으로 해커를 추적하는 것이 가능함

wtmp	사용자 로그인/로그아웃 정보 시스템 shutdown/reboot 정보	last
utmp	현재 시스템에 로그인한 사용자 정보	who, w, users, finger
btmp	로그인에 실패한 정보	lastb
lastlog	사용자별 최근 로그인 시간 및 접근한 소스 호스트에 대한 정보	lastlog
sulog	su(Switch user) 명령어 실행 성공/실패 결과에 대한 정보	텍스트 파일
acct/pacct	사용자별로 실행되는 모든 명령어에 대한 로그	lastcomm, acctcom
xferlog	FTP서비스 데이터 전송 기록 로그	텍스트 파일이라서 별도 명령어 없음
messages	부트 메시지 등 시스템의 가장 기본적인 시스템 로그파일로 운영에 대한 전반적인 메시지 저장
secure	보안과 관련된 주요 로그를 기록, 사용자 인증과 관련된 로그 기록

 

네트워크 보안 솔루션

방화벽	기업 내부, 외부간 트래픽을 모니터링하여 시스템의 접근을 허용하거나 차단하는 시스템
웹 방화벽	일반적인 네트워크 방화벽과는 달리 웹 애플리케이션 보안에 특화된 보안장비 SQL인젝션, XSS 등과 같은 웹 공격을 탐지하고 차단하는 기능
네트워크 접근제어 NAC	단말기가 내부 네트워크에 접속을 시도할 때 이를 제어하고 통제하는 기능을 제공하는 솔루션 바이러스나 웜 등의 보안위협으로부터 네트워크 제어 및 통제 기능 수행
침입탐지 시스템 IDS	네트워크에서 발생하는 이벤트를 모니터링하고 비인가 사용자에 의한 자원접근과 보안정책 위반 행위(침입)을 신시간으로 탐지하는 시스템
침입방지 시스템 IPS	네트워크에 대한 공격이나 침입을 실시간으로 차단하고 유해트래픽에 대한 조치를 능동적으로 처리하는 시스템
무선침임방지시스템 WIPS	인가되지 않은 무선 단말기의 접속을 자동으로 탐지 및 차단하고 보안에 취약한 무선 공유기를 탐지하는 시스템
통합보안시스템 UTM	방화벽, 침입 탐지 시스템(IDS), 침입방지 시스템(IPS), VPN, 안티 바이러스, 이메일 필터링 등 다양한 보안 장비의 기능을 하나의 장비로 통합하여 제공하는 시스템
가상사설망 VPN	인터넷과 같은 공중망에 인증, 암호화, 터널링 기술을 활용하여 전용망을 사용하는 효과를 가지는 보안솔루션

 

네트워크 보안 솔루션

ESM (Enterprise Security Management)	방화벽(Firewall), 침입탐지시스템(IDS), UTM, 가상 사설망 등의 여러 보안 시스템으로부터 발생한 각종 이벤트 및 로그를 통합해서 관리, 분석, 대응하는 전사적 통합 보안 관리 시스템 서로 다른 기종의 보안 장비들을 통합 관리하는 기능과 네트워크 자원 현황의보안 모니터링 기능이 있고 주로 이벤트 위주의 단시간 위협 분석 및 DBMS 기반의 보안 관리 솔루션
SIEM (Security Information Event Management)	다양한 보안 장비와 서버, 네트워크 장비 등으로부터 보안 로그와 이벤트 정보를 수집한 후 정보 간의 연관성을 분석하여 위협 상황을 인지하고 침해사고에 신속하게 대응하는 보안 관제 솔루션 기업에서 생성되는 테라바이트급의 정형, 비정형 데이터와 방화벽, 안티바이러스 시스템, 서버, 네트워크 장비 등으로부터 수집한 다양한 데이터 등을 빅데이터 기반의 로그 분석을 통해 보안의 위협 징후를 빠르게 판단, 대응할 수 있도록 해주는 보안 관제 솔루션
스팸차단솔루션 ANTI-SPAM	메일 서버 앞단에 위치하여 프록시메일 서버로 동작 메일 바이러스 검사, 내부->외부 본문 검색 기능을 통한 재부 정보 유출 방지
보안운여엧제 Secure OS	컴퓨터 운영체저의 커널에 보안 기능을 추가한 솔루션 운영체제에 내재된 결함으로 인해 발생할 수 있는 각종 해킹 공격으로부터 시스템을 보호하기 위해 보안 기능이 통합된 보안 커널을 추가한 운영체제

 

콘텐츠 유출방지 솔루션

보안 USB	정보 유출 방지 등의 보안 기능을 갖춘 USB 메모리 사용자 식별/인증, 데이터 암/복호화, 임의복제 방지, 분실시 데이터 삭제 기능
데이터 유출방지 DLP	조직 내부의 중요자료가 외부로 빠져나가는 것을 탐지하고 차단하는 솔루션 정보 유출 방지를 위해 정보의 흐름에 대한 모니터링과 실시간 차단 기능 제공
디지털 저작권 관리 DRM	MP3, E-Book과 같은 디지털 저작물에 대한 보호와 관리를 위한 솔루션 파일자체에 암호를 걸어 권한없는 사용자는 사용하지 못함 문서 보안 솔루션으로도 사용할 수 있고 문서 저장시 암호화 저장하여 권한이 없는 사용자가 문서를 읽지 못하도록 함

취약점 분석 : 자산이 가진 보안상의 결점 또는 취약한 속성을 파악하여 위험을 낮추는 활동

취약점 분석 대상

환경 및 시설	문, 창문 등 물리적 보호 결여 불안정한 전원 설비 재해를 입기쉬운 입지 조건	도난 정전/오작동 천재지변
하드웨어	온/습도의 변화 기억매체의 유지보수 부족	고장/오작동 데이터 유실
소프트웨어	명세서의 미준비 부적절한 패스워드 백업 부족	소프트웨어 장애 정보유출 데이터 소실

취약점 분석 절차

1. 자산 조사 및 분석	어떤 자산에 대해 수행할지 선정
2. 진단 대상 선정	자산규모가 작으면 전수 조사 수행, 자산규모가 크면 샘플링 수행
3. 제약 사항 확인	진단 수행하는 시간의 제약사항 확인 및 일정분배
4. 진단 수행	체크리스트 이용 취약점 진단수행
5. 결과분석/보고서 작성	점검 항목에 대해 취약점 점수 지정 및 결과값 산출, 결과 분석 및 보고서 작성을 통한 진단

 

3) SW 개발 보안 테스트와 결함관리

소프트웨어 개발보안 테스트 : 보안 요구사항이 반영되어있음을 보증하고 취약점 발견, 개선하여 안전한 소프트웨어 개발

정적 분석	SW를 실행하지 않고 보안 약점 분석 SW개발 단계에서 주로 사용	취약점 초기 발견으로 수정비용 절감 컴포넌트 간 발생할 수 있는 통합된 취약점 발견에 제한적 설계, 구조 관점의 취약점 식별 불가
동적 분석	SW 실행환경에서 보안 약점 분석 SW 시험 단계에서 주로 사용	소스 코드 필요없음 정확도와 커버리지 향상 구조 관점의 보안 약점식별 불가

 

4) 비즈니스 연속성 계획(BCP) : 각종 재해, 장애, 재난으로부터 위기관리는 기반으로 재해복구, 업무복구 및 재개, 비상계획 등을 통해 비즈니스 연속성을 보장하는 체계, BCP를 위한 비즈니스 영향 평가(BIA)가 선행되어야 함

BIA	장애나 재해로 인해 운영상의 주요 손실을 볼것을 가정하여 시간 흐름에 따른 영향도 및 손실평가를 조사하는 BCP를 구축하기 위한 비즈니스 영향 분석
RTO Revocery Time Objective	업무중단 시점부터 업무가 복구되어 다시 가동될때까지의 시간, 재해시 복구 목표 시간의 선정 실시간 : RTO=0
RPO Recovery Point Objective	업무중단 시점부터 데이터가 복구되어 다시 정상가동될때 데이터의 손실 허용 시점 ex) 1시간내 데이터 복구
DRP	재난으로 장기간에 걸쳐 시설의 운영이 불가능한 경우를 대비한 재난 복구 계획
DRS Disaster Recovery System	재해복구계획의 원활한 수행을 지원하기 위해 평상시에 확보해두는 인적, 물적 자원 및 이들에 대한 지속적인 관리체계가 통합된 재해복구센터

DRS 유형

Mirror site	주 센터와 데이터복구센터 모두 운영 상태로 실시간 동시 서비스가 가능한 재해복구센터 재해 발생시 복구까지의 소요 시간(RTO)는 즉시(이론적으로 0), 운영비용이 많이듦
Hot site	주 센터와 동일한 수준의 자원을 대기상태로 원격지에 보유하면서 동기, 비동기 방식의 미러링을 통하여 데이터의 최신 상태를 유지하고 있는 재해복구센터 재해 발생시 복구까지의 소요시간(RTO)는 4시간 이내
Warm site	Hot site와 유사하나 재해복구센터에 주 센터와 동일한 수준의 자원을 보유하는 대신 중요성이 높은 자원만 부분적으로 재해복구센터에 보유하는 센터 데이터 백업주기가 수시간~1일 재해 발생시 복구까지의 소요시간(RTO)은 수일~수주
Cold site	데이터만 원격지에 보관하고 재해시 데이터를 근간으로 필요자원을 조달하여 복구할 수 있는 재해복구센터 재해 발생시 복구까지의 소요시간(RTO)는 수주~수개월 구축 비용이 저렴하나 복구 소요시가닝 길고 신뢰성이 낮음

 

5) 보안 중요 용어

부채널 공격 Side Channel Attack	암호화 알고리즘의 실행 시기의 전력 소비, 전자기파 방사 등의 물리적 특성을 측정하여 암호키 등 내부 비밀 정보를 부 채널에서 획득하는 공격기법
드라이브 바이다운로드 DBD	악의적인 해커가 불특정 웹 서버와 웹 페이지에 악성 스크립트를 설치하고 불특정 사용자 접속시 사용자 동의없이 실행되어 의도된 서버(멀웨어 서버)로 연결하여 감염시키는 공격기법
워터링홀	특정인에 대한 표적 공격을 목적으로 특정인이 잘 방문하는 웹 사이트에 악성코드를 심거나 악성코드를 배포하는 URL로 자동유인하여 감염시키는 공격기법
스캠공격	기업 이메일 계정을 도용하여 무역 거래 대금을 가로채는 사이버 범죄
하트블리드	OpenSSL 암호화 라이브러리의 하트비트라는 확장모듈에서 클라이언트 요청 메시지 처리시 데이터 길이에 대한 검증을 수행하지 않는 취약점을 이용하여 시스템 메모리에 저장된 64KB크기의 데이터를 외부에서 아무 제한없이 탈취할 수 있도록하는 취약점
크라임웨어	중요한 금융정보 또는 인증정보를 탈취하거나 유출을 유도하여 금전적인 이익 등의 범죄행위를 목적으로 하는 악성코드
토르네트워크	네트워크 경로를 알수 없도록 암호화 기법을 사용하여 데이터를 전송하며 익명으로 인터넷을 사용할 수 있는 가상 네트워크
MITM	네트워크 통신을 조작하여 통신 내용을 도청 및 조작하는 공격기법 통신을 연결하는 두 사람사이에 침입하여 두 사람의 정보를 탈취하는 중간자 공격
DNS 스푸핑 (변조, 위조)	공격 대상에게 전달되는 DNS 응답(IP주소)를 조작하거나 DNS서버의 캐시(Cache)정보를 조작하여 희생자가 의도하지 않은 주소로 접속하게 만드는 공격기법 DNS 캐시 포이즈닝(Cache Poisoning)이라고도 함
포트스캐닝	공격자가 침입전 대상 호스트에 어떤 포트(서비스)가 활성화되어 있는지 확인하는 기법으로 침임전 취약점을 분석하기 위한 사전작업
디렉토리 리스팅 취약점	웹 애플리케이션을 사용하는 서버의 미흡한 설정으로 인해 인덱싱 기능이 활성화된 경우 공격자가 가제 브라우징을 통해 서버 내 모든 디렉토리 및 파일 목록을 볼 수 있는 취약점
리버스 쉘 공격	타깃 서버가 클라이언트(공격자)로 접속해서 클라이언트가 타깃 서버의 쉘을 획득해 공격하는 기법
익스플로잇	소프트웨어나 하드웨어의 버그 또는 취약점을 이용하여 공격자가 의도한 동작이나 명령을 실행하도록 하는 코드나 행위
스턱스넷	독일 지멘스사의 SCADA 시스템 공격을 목적으로 제작된 악성코드로 원자력, 전기, 철강, 반도체, 화학 등 주요 산업 기반 시설의 제어 시스템에 침투해 오작동을 일으키는 악성코드 공격기법
크리덴셜 스터핑	사용자 계정을 탈취하여 공격하는 유형으로 다른 곳에서 유출된 아이디/비밀번호 등의 로그인 정보를 다른 웹 사이트나 앱에 무작위로 대입하여 로그인이 이루어지면 타인의 정보를 유출시키는 기법
허니팟	비정상적인 접근을 탐지하기 위해 의도적으로 설치ㅐ 둔 시스템으로 일부러 허술하게 만들어서 해커에게 노출하는 유인시스템
OWASP Top10	웹 어플리케이션 취약점 중 공격빈도가 높으며 보안상 큰 영향을 줄 수 있는 10가지 취약점에 대한 대응방안을 공격하는 웹 보안 기술 가이드
핑거프린팅	멀티미디어 콘텐츠에 저작권 정보와 구매한 사용자 정보를 삽입하여 콘텐츠 불법 배포자에 대한 위치추적이 가능한 기술(저작권 정보구매자 정보)
워터마킹	디지털 콘텐츠에 저작권자 정보를 삽입하여 불법 복제시 워터마크를 추출, 원소유자를 증명할 수 있는 컨텐츠 보호 기술
FDS	전자금융거래에 사용되는 단말기정보, 접속정보, 거래 정보 등을 종합적으로 분석하여 의심 거래를 탐지하고 이상거래를 차단하는 시스템
CC Common Criteria	정보기술의 보안기능과 보증에 대한 평가기준(등급), 정보보호시스템의 보안 기능 요구사항과 보증 요구사항 평가를 위해 공통으로 제공되는 국제 평가기준
C-TAS	사이버 위협정보를 체계적으로 수립해서 인터넷진행원(KISA)주관으로 관계기관과 자동화된 정보공유를 할 수 있는 침해예방 대응 시스템
PAM	리눅스 시스템 내에서 사용되는 각종 애플리케이션 인증을 위해 제공되는 다양한 인증용 라이브러리
CVE	미국 비 영리회사인 MITRE사에서 공개적으로 알려진 SW의 보안취약점을 표준화환 식별자 목록 규칙 : CVE-(연도)-(순서)
CWE	미국 비 영리회사인 MITRE사가 중심이 되어 SW에서 공통적으로 발생하는 약점을 체계적으로 분류한 목록, 소스코드 취약점을 정의한 데이터베이스 SW약점은 SDLC과정에서 발생할수 있으므로 설계, 아키텍처, 코드 단계 등에 대한 취약점 목록을 포함함