[정보보안기사 대비] 용어 정리 8

정보보안기사 및 정보보안산업기사를 취득하기 위해서 알아두면 좋은 용어 모음이다.

매니지 가상 사설망 (Manage VPN [Manage Virtual Private Network])

VPN 장비를 외주사에서 관리하는 것으로 초기 장비 도입 비용이 없지만 보안, 암호화 수준이 미비 될수 있다는 문제점이 있다.

매크로 바이러스 (Macro Virus)

사용자가 알지 못하는 상태에서 실행할 수 있으며, 그 결과 손상을 야기하거나 자체를 복제하는 매크로이다. 

매크로 바이러스는 전달 과정만 제외하면 모든 면에서 표준 바이러스와 유사하다. 프로그래밍 언어로 코드가 작성되어 실행 파일에 첨부된 형태가 아닌 매크로 언어로 코드가 기록되어 문서에 첨부된다. 그래서 매크로 바이러스는 자체에 매크로 언어를 갖고 있는 모든 응용 프로그램과 연관될 수 있다. 말할 필요도 없지만 매크로 언어의 기능이 강력하면 할수록 매크로 바이러스의 잠재적인 위험은 더 커진다. 

매크로 바이러스의 대부분은 MS Word 바이러스이다. 그 이유는 다음과 같다. 

- Word의 매크로 바이러스는 매우 강력하고 다양하며, 사용하기 쉽다. 

- Word는 멀티 플랫폼에서 작동되며 광범위하게 사용된다. 따라서 바이러스 작성자가 쉽게 악용할 수 있는 대규모의 '대상'을 만들어 준다. 

Word 바이러스는 다음의 두가지 이유 때문에 각별한 주의가 필요하다. 

- 바이러스는 문서 자체가 아니라 문서에 첨부된 템플릿에 있다. 

- 감염된 문서가 첨부된 전자 우편을 받는다고 해서 곧바로 바이러스에 감염되는 것은 아니다. 문서를 Word에서 열어야만 바이러스에 감염된다. 

이러한 정보를 아는 것만으로도 약간의 방어를 취할 수 있으며, 먼저 어떤 전자 우편 첨부물도 허용하지 않는다는 보안 정책을 채택할 수도 있다. 이러한 전자 우편을 받으면 문서를 열지 않고 단지 삭제만 하면 되기 때문이다. 

두 번째 옵션은 Microsoft의 free Word 뷰어로만 첨부된 문서를 여는 방법이다. 이러면 어떠한 관련 매크로도 활성화하지 않고 Word 문서의 내용을 볼 수 있다. 이러한 방식으로 내용을 안전하게 읽을 수 있으면서, 해당 문서를 어떻게 처리해야 할지를 결정할 수 있다. 하지만 어떤 방식을 채택하든 간에 주요 바이러스 방지 제품의 사용과 함께 보안 정책을 강화하는 것이 중요하다.

맨트랩 (ManTrap)

공격자가 시스템에 침입할 때에 침입 전 가짜 호스트 주소로 유도 및 제어하여 실제 시스템을 보호하는 것을 말한다.

머신 러닝 (Machine Learning)

머신 러닝은 인공 지능의 한 분야로, 컴퓨터가 주어진 데이터의 패턴을 검증하고 컴퓨터 스스로가 학습하는 것을 말한다. 가령, 머신 러닝을 통해서 수신한 이메일이 스팸인지 아닌지를 구분할 수 있도록 훈련할 수 있다. 

멀버타이징 (Malvertising)

멀버타이징은 멀웨어(Malware)와 애드버타이징(Advertising)의 합성어로, 온라인 인터넷 광고에 악성코드를 포함해 사용자들을 공격하는 형태를 일컫는다. 

멀웨어 (Malware)

컴퓨터에 악영향을 끼칠 수 있는 모든 소프트웨어의 총칭이다. 예를 들어 바이러스, 웜, 트로이 목마 등

멀티 프로토콜 라벨 스위칭 가상 사설망 (MPLS VPN [Multiprotocol Label Switching Virtual Private Network])

패킷 스위칭 기술인 MPLS 환경을 통해 VPN을 구현하는 것으로 시간에 민감한 어플리케이션 운영 환경에 적합하다.(음성, 동영상)

멀티시그니처 (Multi-Signature)

멀티시그니처는 여러 개의 개인키를 발행하고, 이들이 모두 있어야만 가상계좌에 저장된 비트코인을 사용할 수 있도록 했다. 한 개의 금고에 여러 개 자물쇠를 걸어놓고, 모든 자물쇠를 열어야만 금고를 열 수 있는 것과 같은 원리다.

메모리 상주 프로그램 (Memory Resident Program)

다른 프로그램이 실행되는 동안 컴퓨터의 활성 RAM에 상주하는 프로그램을 말한다.

메모리 조작

게임이 실행 중일때 게임의 메모리에 있는 데이타, 실행코드를 조작하는 해킹을 말한다. 경험치/능력치와 같은 데이터를 마음대로 조작하거나 실행코드를 조작해서 특정 행동을 마음대로 할 수 있게 한다.

메시지 다이제스트 (Message Digest)

메시지 다이제스트는 고정된 크기의 메시지로, 해쉬함수를 이용해서 생성되는데 해쉬는 많은 양의 메시지를 128비트나 160비트의 다이제스트로 압축한다. 

서명된 메시지를 보내기 위해 메시지 작성자의 컴퓨터는 해당 메시지에 대한 다이제스트를 생성하고 다이제스트와 작성자의 개인 키로 전자 서명을 계산하여, 메시지와 전자 서명을 모두 보낸다. 수신인은 작성자의 공개키를 사용하여 수신된 메시지에 대한 다이제스트를 생성하고, 수신된 전자 서명을 사용하여 작성자를 확인한다. 

해쉬함수가 안전성이 보장된다는 가정하에서, 메시지 다이제스트 서명은 메시지 자체에 서명을 하는 것과 동일한 보안 서비스를 제공하게 된다.

메일 폭탄 (Mail bomb)

메일 폭탄은 한 사용자의 이메일 계정에 수많은 이메일을 동시에 전송하거나, 사용자를 수많은 이메일 그룹에 가입시키는 등의 방법으로 한꺼번에 스팸 메일을 받도록 하거나, 혹은 엄청난 양의 메일을 다수의 사용자들에게 보내 불편을 초래하거나 메일 서버를 다운되게 함으로써 업무를 마비시키는 경우를 일컫는 말이다. 

메일 폭탄을 사전 방지하려면, 특정 인터넷 주소나 이메일 주소, 또는 메일 제목이나 내용에 특정한 단어들이 들어가 있는 이메일을 자동으로 필터링하여 수신을 차단하는 방법이 동원된다. 현재 이메일 폭탄 및 스팸 메일을 방어해주는 제품이나 도구들이 많이 나와 있다.

모바일 디바이스 포렌식 (Mobile device Forensics)

PDA, 전자수첩, 휴대폰 등에 대한 증거물을 획득 하고 분석 하는 것이다.

몸캠피싱

‘몸캠피싱’은 영상채팅으로 음란한 행위를 하는 것을 뜻하는 ‘몸캠’과 개인정보를 낚는 것을 뜻하는 ‘피싱’의 합성어다. 공격자는 스마트폰 채팅 애플리케이션으로 음란 영상채팅을 하며 사용자의 얼굴과 알몸을 동영상으로 녹화하고, 악성 앱 설치를 유도해 스마트폰 내 주소록을 탈취한다. 이후 공격자는 수집한 주소록에 있는 사용자의 지인에게 몸캠 동영상을 전송한다고 협박하며 금전을 요구한다. 

무결성 (Integrity)

정보 보안의 네 가지 근본 요구 사항중 하나인 무결성은 데이터나 리소스를 인증되지 않은 변경으로부터 보호하는 것을 의미하며, 무결성에 실패한 데이터는 손상되었다고 말한다.

무선 응용 프로토콜 (WAP [Wireless Application Protocol])

WAP은 휴대폰이나 PDA 등의 무선망에서 인터넷 서비스를 효율적으로 제공하기 위해 정의된 응용 프로토콜로서 무선망에 적합한 정보 제공 및 무선망 서비스 제어 등에 사용되는 표준 지침을 말한다. 

초기에 무선 인터넷을 위한 기술 표준은 날로 늘어가는 무선 인터넷 기술을 갈망하던 개별 기업들에 의해 발전되어 오다가 공식적이고 세계적인 표준이 필요하다는 인식하에 Ericsson, Motorola, Nokia 등이 공통된 표준 개발을 위해 1997년 12월 WAP 포럼을 출발시켰다. 

WAP은 기존 서비스에 대한 채널 제공과 하루 24시간 언제든지 고객에게 다가갈 수 있는 완전한 가능성을 제공함으로써, 은행과 전자상거래 업체들에게 새로운 e-Banking·e-Commerce 비즈니스를 창조할 수 있는 기회를 부여하게 되었다. 

또한 WAP은 무선 메시징에 대한 오픈 프로토콜이기 때문에 네트워크 시스템에 관계없이 모든 벤더들에게 동일한 기술을 제공하는 뛰어난 장점을 가지고 있고 서버 기술도 열려 있어 오퍼레이터들과 기업들에게 광범위한 제품을 제공할 수 있다.

무선 전송 계층 보안 프로토콜 인증서 (WTLS certificate [Wireless Transport Layer Security certificate])

무선 환경의 특성을 고려하여 유선 PKI환경의 X.509v3의 인증서를 단순화 시킨 인증서를 말한다.

WAP에서 정의한 인증서 규격으로, 주로 무선에서 사용되는 인증서(WPKI) 형태이다.

무작위 공격 (Brute Force Attack)

정확한 키를 찾을 때까지 각각의 가능한 키를 시도하는 공격 유형을 말한다. 암호문을 알아볼 수 있는 평문을 찾기 전까지는 다른 키로 그 뜻을 파악한다. 평균적으로 이 공격은 키스페이스에 있는 키의 절반만 시도하면 된다.

물리적 보안 (Physical Security)

계획적 및 우연적 위협에 대해 자원을 물리적으로 보호하기 위해 사용되는 대책을 말한다.물리적 장벽 및 제어 절차에 대한 응용은 자원 및 기밀 정보에 대한 예방 조치 또는 대책으로 적용된다.

미국 국립 컴퓨터 보안 센터 (NCSC [National Computer Security Center] )

원래 이름은 DoD이다. 컴퓨터 보안 센터인 NCSC는 연방 정부 내의 신뢰된 컴퓨터 시스템의 폭넓은 가용성을 확장하기 위한 책임을 가진다. 

사용자들이 막대한 양의 정보를 사용할 수 있도록 국가 전반에 거쳐 통신 네트워크, 컴퓨터 데이터베이스, 및 소비 전자제품 등을 상호 연결한다.

출처 - 안랩