가용성 (Availability)정당한 사용자가 정보시스템의 데이터 또는 자원을 필요로 할 때 부당한 지체없이 원하는 객체 또는 자원을 접근 및 사용할 수 있는 성질
감사 (Audit)정보시스템이 수립된 사용정책 및 보안정책에 준하여 안전하게 운용되고 있는지 확인하기 위하여 정보시스템 내에 기록·저장되어 있는 각종 사용자 행위에 대한 상세 내용을 조사·분석하는 방법
감사기록 (Logging)정보시스템 사용자의 행위에 대한 증거가 되는 데이터를 시간 순으로 기록·저장하는 방법
감사추적 (Audit trail)정보시스템 내에 저장된 감사기록 데이터를 이용하여 사용자의 비인가된 행위, 사용자 행위의 처리과정, 정보시스템 활용현황 등에 대한 정보를 조사하는 방법
강제적 접근통제 (MAC, Mandatory Access Control)정보시스템 내에서 어떤 주체가 어떤 객체에 접근하려 할 때 양자의 보안레이블 정보에 기초하여 높은 보안을 요하는 정보가 낮은 보안수준의 주체에게 노출되지 않도록 접근을 제한하는 접근통제 방법
개발자 보안 (Developer Security)시스템을 개발하는 개인에 대한 보안
개발환경 보안 (Development environment security)정보시스템을 개발함에 있어서 개발과정의 안전성을 보장하고 개발관련 정보의 비밀을 보장하기 위하여 개발자가 유지하여야 하는 물리적, 절차적 및 인적 보안 대책
개방 보안 환경 (Open security environment)다음과 같은 환경 중 최소 하나를 포함하는 경우 1) 어플리케이션 개발자가 악의적인 프로그램을 침투시키지 않는다고 생각되는 충분한 신원 비밀 등급과 허가권을 갖지 못하는 경우 2) 형상관리는 시스템의 수행 중에 어플리케이션이나 장비가 악의적 프로그램으로부터 보호된다는 충분한 보증성을 제공하지 못하는 경우
개인식별 번호 (PIN, Personal Identification Number)1) 신분을 확인하기 위하여 각 개인에게 유일하게 부여되는 번호로 숫자 및 문자의 조합으로 이루어짐 2) 정보시스템을 사용하기 전 또는 정보를 전달할 때, 사용자를 확인하기 위해 부여된 보안 번호
개체 인증 (Entity authentication)어떤 개체가 개체라고 주장하는 합작
경로 제어 (Routing control)특별한 네트워크나, 링크, 릴레이 등을 선택하거나 거부하기 위하여 경로를 처리하는 동안 해당 규칙을 적용하는 것
공개키 (Public key)공개키 암호시스템에서 사용되는 한 실체의 비대칭 키 쌍중에서 공개되는 키를 말하며 이를 이용한 서명시스템에서 서명의 진위를 판단하는 데 사용되는 키. 검증키라고도 함
공개키 암호시스템 (Public key cryptographic system)두 개의 수학적 관련성을 갖는 키를 사용한 암호화 방법으로 공개키는 동일 그룹 사람들에게는 알려져 있고 비밀키는 소유자만이 알고 있음
공개키 인증서 (Public key certificate)공개키 암호시스템에서 어떤 공개키가 실제로 누구의 것인지를 확인하기 위하여 한 실체와 그 실체의 공개키를 인증기관의 비밀키로 서명한 데이터를 말함. 인증기관의 공개키로 공개키 인증서를 검증함으로써 실체와 공개키 간의 연관에 대한 인증기관의 보증을 확인할 수 있음
공개키 함수 (Public key function)서명자의 정체성을 서명자의 공개 증명키로 변환시켜 주는 공개 함수
공격 (Attack)정보시스템과 그 안의 정보를 불법적으로 접근하거나 그 기능을 마비시키기 위하여 정보시스템의 보안 기능을 우회하거나 파괴 또는 무력화시키고자 하는 각종의 행위
공증 (Notarization)내용, 시작 시간, 전송 등과 같은 특성의 정확성에 대한 차후 보증을 위하여 믿을 수 있는 제 3자와 등록을 하는 것
관리자 (Administrator)운영상의 성능을 유지 보수할 책임이 있는 사람으로 평가 목표에 대해 중요 역할을 할 수 있는 사람
관리적 보안 (Administrative security)정보시스템과 데이터를 보호하기 위하여 수립하는 각종의 관리 절차나 규정으로 절차적 보안(procedural security)이라고도 함
권한 (Privilege)사용자, 프로그램, 프로세서에 부여된 권한으로 시스템의 접근통제보다 우선함
내부 보안 통제 (Internal Security Controls)정보시스템을 보호하려고 제공한 하드웨어, 펌웨어 및 소프트웨어 안에서 구현된 메카니즘
내용은닉 서명 (Blind Signature)기본적으로 임의의 전자서명을 만들 수 있는 서명자와 서명 받을 메시지를 제공하는 제공자로 구성되어 있는 서명방식으로, 제공자의 신원과 (메시지, 서명) 쌍을 연결시킬 수 없는 특성을 유지할 수 있는 서명
네트워크 (Network)1) 다수의 시스템들과 장치들이 서로 통신할 수 있게 해주는 데이터 통신 시스템 2) 데이터통신 시스템에서 단말기와 접속하기 위해 사용되는 기기 및 선로 등으로 구성되는 전송 매체들의 연결망
네트워크 계층 (Network-Level) 침입차단시스템통신이 네트워크 프로토콜 패킷 레벨에서 검사하여 접근의 허가 및 제어를 하는 침입차단시스템
네트워크 보안 (Network security)인가되지 않은 노출, 변경, 파괴로부터 네트워크, 네트워크 서비스 및 네트워크 상의 정보를 보호하는 것. 네트워크의 중요한 기능이 정확히 수행되는지, 해로운 효과가 존재하는지, 정보가 정확한 지를 보증하기 위한 방법
논리 폭탄 (Logic Bomb)특정조건이 만족되면 특정형태의 '공격'을 하는 코드이다. 예를 들어, 12월 5일에 모든 파일을 지워버리는 논리폭탄이 있을 수 있다. 바이러스와 달리 논리폭탄은 자신을 복제할 수 없음
능동적 위협 (Active threat)능동적 위협이라는 것은 단순히 정보를 가로채는 것 이외에 그 정보를 훼손, 변조하는 행위
단대단 암호화 (End-to-end encryption)암호화 방법 중의 하나로 메시지를 암호화해서 전송하고 최초 도착하는 노드에서 복호화한 다음 다시 암호화해서 전송하는 방식. 즉 모든 중간 노드를 통과할 때는 복호화 암호화 과정을 거친다. 이를 온라인 암호화라고도 함
대등 개체 인증 (Peer-entity authentication)통신 당사자간의 신분확인과 자격유무의 점검을 의미함, 그리고 통신 당사자간의 신뢰성 있는 연결의 확립 또는 데이터 전송의 과정에 적용되는 서비스를 의미함
대책 (Countermeasure)정보시스템의 취약성을 감소시키는 조치, 장치, 과정, 기술 또는 다른 수단
대칭형 암호 알고리즘 (Symmetric encipherment algorithm)암호화와 복호화에 동일한 키를 사용하는 암호 알고리즘. 비밀키를 모르면 암호화된 데이터를 복호화하는 것은 계산적으로 불가능하여야 함
덧붙이기 (Padding)데이터 문자열에 부가적인 비트들을 덧붙이는 것
데이터 무결성 (Data integrity)데이터를 인가되지 않은 방법으로 변경할 수 없도록 보호하는 성질
데이터베이스 보안 (Database security)데이터베이스 및 데이터베이스 내에 저장된 데이터를 비인가된 변경, 파괴, 노출 및 비일관성을 발생시키는 사건으로부터 보호하는 방법
데이터 보안 (Data security)하드웨어나 소프트웨어의 잘못으로 인한 자료의 손실을 방지하고, 나아가 천재지변이나 도난 또는 고의적인 자료의 유출로부터 자료를 보호하는 것
데이터주도 공격 (Data driven attack)불법프로그램을 이식하는 경우로서 만약 포스트스크립트 파일을 전자우편으로 보냈다면 수신자가 만약 이를 인식시 불법명령 들이 실행될 수 있고, 침입차단 (Firewall)시스템을 이용한 서비스의 제한 등이 요구
도청 (Eavesdropping)정보의 불법적인 가로채기로 정보의 변경을 포함하지 않는 정보의 수신만을 의미
되풀이 공격 (Replay attack)이전에 전송된 메시지를 다시 사용하는 위장
뒷문 (Back door)1) 시스템의 정상적인 보호 수단을 우회할 수 있는 숨겨진 메커니즘으로 시스템 개발자들이 만들어 놓는 경우가 많음 2) 접근 인증의 정상적인 방법이 아닌 접근을 허가 받기 위하여 사용되어지는 프로그램에 들어가는 비밀 입구
라운드 함수 (Round function)함수(...)는 길이가 L1이고 L2인 두 이진스트링을 길이가 L2인 이진 스트링으로 변환한다. 이것이 해쉬함수의 일부로써 반복해서 사용되면 길이 L1인 데이터 블록과 길이 L2인 이전의 출력을 결합
래티스 모델 (Lattice model)D. E. Denning이 개발한 컴퓨터 보안 모델로 정보 흐름을 안전하게 통제하기 위한 보안 모델임
레이블 (Label)주체 혹은 객체내의 데이터에 대한 비밀성을 정확하고 완전하게 나타내는 정보
링크 암호화 (Link encryption)암호화의 한 방법으로 데이터가 송신될 때 암호화되고 최종 수신시에 복호화
메시지 인증 (Message authentication)네트워크 상에서 송신한 메시지와 수신된 메시지의 동일성을 확인하기 위한 검사 방법
메시지 인증 코드 (Message authentication code)1) 데이터 무결성 메카니즘에서 쓰이는 암호적 검사값 2) 암호화 과정에서 계산되어 메시지에 첨가되는 코드. 만약 복호화 과정에서 계산된 신분인증 코드가 첨가된 코드와 일치된다면 메시지가 전송되는 과정에서 변경되지 않았음을 보장할 수 있음
메시지 함수 (Message function)메시지와 선택된 데이터 객체를 입력으로 하고, 그것들을 증거와 할당 함수에 대한 입력으로 준비해 두는 공개된 함수
무결성 (Integrity)정보 및 자원을 불법적인 변경으로부터 보호하는 성질
무결성 정책 (Integrity policy)승인 받지 못한 사용자가 민감한 정보에 대한 수정(쓰기)을 막기 위한 보안 정책
물리적 보안 (Physical security)정보시스템 자산을 절도, 파괴, 화재 등과 같은 각종의 물리적인 위협으로부터 보호하는 방법
바이러스 (Virus)자기 자신을 스스로 복제할 수 있는 기능을 가지고 있으며 컴퓨터 프로그램이나 실행가능한 부분을 변형시키고 그곳에 자신 또는 자신의 변형을 복사해 넣는 명령어들의 조합
바이러스 스캐너 (Virus scanner)바이러스 검색기라고 불린다. 알려진 바이러스를 파일, 메모리, 디스크의 마스터 부트, 부트 섹터에서 검색하는 프로그램. 다형성 또는 스텔스 바이러스들에게는 별로 효과적이지 못하다. 또한 새로운 바이러스는 인식을 하지 못함
발신처 부인 방지 (Non-repudiation of origin)객체가 어떤 메시지를 처음 생성했을 때, 그 사실을 부인하지 못하도록 하는 것
방사 보안 (Emission security)시스템에서 나오는 유해한 방사물의 분석으로부터 유도되어질 수 있고 가로채기로 유도될 수 있는 가치 있는 정보에 대해 인정받지 못한 사람을 부인하는 모든 수단의 기인이 되는 보호
방어용 라우터 (Screening router)패킷 필터링 기능을 가지고 있어, 이에 대한 접근 조건에 의해 트래픽의 통과가 허가 또는 거부되도록 설정할 수 있는 라우터
방어용 호스트 (Screened host)방어용 라우터 뒤에 있는 호스트. 방어용 호스트에 대한 접근 빈도는 라우터의 접속 규칙에 좌우
백업 (Backup)1) 시스템 내의 데이터가 파괴 또는 변형되었을 경우를 위해서 기록 매체에 복사해 두는 것. 완전 백업은 데이터 전체를 완전히 복사하는 것이나 부분 백업은 최종 완전 백업으로부터 변경된 부분만 복사해 두는 것 2) 중요 데이터를 보조의 하드디스크나 플로피 디스켓 또는 테이프로 전송한다. 이것은 시스템 장애시 중요 파일이나 데이터의 손상을 막아주는 매우 유용한 방법으로 널리 사용
백업 계획 (Backup plan)위급한 상황에서 중요한 자원들의 가용성을 보증하고 동작의 지속성을 용이하게 할 보호프로그램으로 유지보수되는 긴급 응답, 백업 운용, 재앙후 회복 등에 대한 계획
보안관련 기능 (Security relevant function)보안 기능은 아니지만 정보시스템이 보안기능을 시행하기 위해 필요한 것으로 정확한 실행이 요구되는 기능
보안관련 사건 (Security relevant event)시스템의 보안상태를 변화시키려고 시도하는 사건(예를 들면, 접근제어 변화, 사용자 보안등급의 변화, 사용자 비밀번호의 변화). 시스템의 보안 정책을 위반하는 시도를 하는 사건으로 예를 들면 로그인의 시도, 제한된 장치에 강제적 접근통제를 위반, 파일의 다운로드
보안 관리 (Security management)정보시스템 내의 중요 데이터(예, 인증 데이터, 신분, 접근권한, 보안레이블, 감사기록 파일 및 레코드 등)를 보호하기 위하여 필요한 관리적 기능
보안 등급 (Security level)정보의 중요도 표현으로 중요도 단계와 중요도 범주로 이루어짐
보안레이블 (Security label, Sensitivity label)정보시스템 내의 어떤 객체에 대해 필요한 보안의 수준을 나타내는 정보로 이 정보에 기초하여 강제적 접근통제 규칙을 적용하기 위한 기반이 됨
보안 메카니즘 (Security mechanism)보안 기능을 소프트웨어나 하드웨어 상에 구현하기 위한 논리 또는 알고리즘.
보안모델 (Security model)1) 시스템의 정보보호 규칙을 정의한 것 2) 보안정책에 대한 정형화된 모델
보안 목적 (Security objective)정보보호시스템을 통하여 궁극적으로 달성하고자 하는 최종 보안 요구사항
보안 정책 (Security policy)조직의 관리 및 보호 방법과 중요 정보의 분배 방법을 규정한 법, 규칙, 관습 의 집합
보안 커널 (Security kernel)참조 모니터 개념을 구현한 TCB의 하드웨어, 소프트웨어, 펌웨어 요소로 이는 변형으로부터 보호되어야 하고 시스템에서 발생하는 모든 접근 요구를 조정하여야 함
복구 (Recovery)시스템 오류 이후에 시스템과 시스템 내의 데이터 파일을 재 저장하는 행위
복호 (Decipherment)암호화의 역과정으로 암호 알고리즘에 의하여 암호문을 평문으로 바꾸는 과정
복호화 (Decryption)1) 암호화된 문장을 평문으로 변경 2) 대응되는 암호화 과정의 역과정으로 암호적 알고리즘에 의하여 암호문을 평문으로 대응시키는 변환
부인 (Repudiation)1) 통신의 모든 부분 또는 일부에 관여하는 통신에 있어서 관련된 개체들 중 하나에 의한 거부 2) 메시지의 송수신자가 송수신 사실을 부인하는 행위
부인방지 (Non-Repudiation)메시지의 송수신자가 송수신 사실을 부인하지 못하도록 하는 방법
부인방지 인증서 (Non-repudiation certificate)어떤 행위 또는 사건에 관련된 개체의 자료로서 그 행위 또는 사건과 연관하여 반증할 수 없는 증거로 사용할 수 있으며 그 증거는 변조가 불가능하다. 이 인증서를 제 3의 신뢰 기관이 비밀키를 사용하여 안전한 문서 형태로 개체들에게 제공하기도 하며, 부인 방지 회원들은 각자의 공개 키 인증서와 연관시켜 자기의 고유 키 인증서와 연관시켜 자기의 고유키로 전자 서명을 할 수 있음
불추적성 (Untraceability)지불자외의 다른 모든 사람들이 결탁하더라도, 지불자가 구매한 정보에 대해서 알 수 없는 지불자 불추적성(Payer Untraceability)과 수취인 외의 다른 모든 사람들이 결탁하더라도 수취인이 어디로부터 받은 전자화폐인지에 대해서 알 수 없는 수취인 불추적성(Payee Untraceability)이 있음
비대칭형 암호 시스템 (Asymmetric cryptographic system)암호화와 복호화에 쓰이는 키가 서로 다르다는 의미로 공개키 암호시스템을 의미함
비대칭형 키 쌍 (Asymmetric key pair)비밀 함수를 정의하는 비밀키와 공개 함수를 정의하는 공개 키들의 쌍
비밀 서명 지수 (Private signature exponent)인증 기관만이 알고 있는 값으로서, 요구자의 고유 인증 정보를 생성할 때 쓰임
비밀 서명키 (Secret signature key)비밀 서명 함수를 정의하는 개체의 비대칭 키 쌍
비밀성 (Confidentiality)1) 정보를 인가되지 않은 방식으로 획득할 수 없도록 보호하는 방법 2) 비밀을 요하는 정보나, 중요한 정보에 대해 허가받지 못한 접근을 금지하는 보호 장치의 믿을만한 정도
비밀키 (Private key)한 개체의 비대칭 키 쌍중에서 그 개체만이 사용하는 공개되지 않은 키
비밀키 (Secret key)대칭키 암호화 방식에서 사용되는 키
비밀키 암호화 (Private key encryption)단일키를 이용하여 정보를 암복호화하는 방식
비상계획 (Contingency plan)1) 시스템이 비상 사태에 처했을 때 대처하기 위한 계획으로 백업, 비상 사태에서 운영이 유지되도록 하는 중요 기능의 준비, 복구 등이 포함됨 2) 홍수나 지진 같은 자연 재해 또는 전산 시스템 장애 등의 재난으로부터 조직의 주요 업무 기능에 대한 일의 연속성을 보장하고 또 그 피해를 최소화하기 위한 사전 계획 및 준비를 말함
비용-위험 분석 (Cost-risk analysis)시스템을 위한 데이터 보호 비용 대 데이터 손실과 훼손에 대한 손실 비용의 비교 평가
사용자 식별자 (User ID)시스템이 사용자를 구별할 수 있는 유일한 코드 또는 문자열
상호 인증 (Mutual authentication)두 개체에게 서로 상대방의 신분을 확인시켜주는 실체 인증 방법
서명 (Signature)서명 과정으로부터 생긴 비트들의 문자열
서명 과정 (Signature process)서명할 메시지, 서명키, 시스템 매개 변수와 자료들을 입력으로 하고, 서명된 메시지를 결과값으로 하는 과정
서명된 메시지 (Signed message)메시지, 서명, 그리고 선택적으로 택한 자료들을 연접시켜 만든 비트들의 문자열
서명자 (Signer)전자서명을 한 개체
서명키 (Signature key)어떤 한 개체에 한정된 데이터 원소로서 정해진 그 개체만이 서명 과정에서 사용 가능
서명 함수 (Signature function)서명키와 시스템 매개 변수들로 결정되고 서명 과정에서 쓰이는 함수를 말한다. 서명 함수는 할당, 그리고 가능하다면 실행을 입력으로 하고 서명을 출력으로 함
서비스 거부 (Denial of service)정보시스템의 데이터나 자원을 정당한 사용자가 적절한 대기시간 내에 사용하는 것을 방해하는 행위. 주로 시스템에 과도한 부하를 일으켜 정보시스템의 사용을 방해하는 공격의 방식
서비스 거부 공격 (Denial of service attack)시스템의 정상적인 동작을 방해하는 공격 수법으로서 대량의 데이터 패킷을 네트워크로 보낸다던가 전자우편으로 보내는 식의 공격
세션키 (Session key)통신을 하는 상대방끼리 하나의 통신 세션 동안에만 사용하는 암호화 키. 하나의 키를 사용한 암호문이 많을 경우 이를 분석하여 키를 계산할 가능성이 있으므로 이를 막기 위하여 사용하는 임시적인 키
수동적 위협 (Passive threat)수동적 위협이라는 것은 단순히 정보를 가로채는 것으로 정보를 훼손, 변조하는 행위를 포함하지 않음
수신처 부인방지 (Non-repudiation of receipt)수신자가 메시지를 수신했음을 거짓 부인하지 못하도록 하는 것
쉐도우 패스워드 (Shadow password)보안 시스템으로서 암호화된 /etc/passwd의 패스워드 필드가 특별한 문자로 치환되어 있으며, 실제의 패스워드는 정상적인 사용자가 읽을 수 없는 파일에 저장
스마트카드 (Smart card)종래의 기억 기능을 가진 자기카드에 마이크로 프로세서, 메모리를 내장하여 자체 연산기능을 추가하고 저장기능을 강화시킨 카드
시도 응답 (Challenge-response)사용자가 어떤 것을 선택하느냐의 여부로 신분인증을 하는 방법으로 여기서 선택은 주로 계산에 의해서 이루어짐
식별 (Identification)시스템에게 주체의 식별자를 알리는 작업으로 대부분 이름을 입력함
신분확인 (Identification and authentication)정보시스템이 실체의 신분을 인식하고 그 실체가 주장하는 신분의 정당성을 증명하는 과정
안전한 경로 (Trusted path)터미널을 사용하는 사람이 안전한 컴퓨팅 베이스(TCB)와 직접적으로 통신할 수 있는 메카니즘. 이 메카니즘은 다만 사람이나 TCB에 의해 활성화 될 수 있으며 불안전한 소프트웨어로 흉내낼 수 없음
안전한 분배 (Trusted distribution)안전한 시스템을 개발자로부터 사용자에게 배포하는 절차
안전한 시스템 (Trusted system)정해진 정보보호 정책에 맞도록 설계되어 구현 동작하는 시스템
암호 (Encipherment, Cipher)암호문을 만들기 위한, 즉 데이터의 내용을 숨기기 위해 암호적 알고리즘에 의한 데이터 변환을 말함
암호문 (Ciphertext, Cryptography)제3자의 불법적 획득을 방지하기 위해 평문을 암호화함으로서 생성되는 해독할 수 없는 문장. 복호화 알고리즘을 이용하여 평문으로 변환할 수 있음
암호 알고리즘 (Cryptographic algorithm)하나 이상의 비밀 매개 변수를 사용하여 데이터의 정보 내용을 해독할 수 없도록 변환하거나, 그렇게 변환된 내용을 다시 원문으로 환원시키기 위해 데이터를 변형시키는 알고리즘
암호키 (Encryption key)1) 암호학적 변환 (즉, 암호화, 복호화, 암호학적 검사 함수 계산, 서명 계산, 서명 검증 등)의 작동을 조절하는 기호의 열 2) 메시지를 암호화 복호화하는데 사용되는 값
암호학 (Cryptology)암호화된 정보의 보호, 암호뿐만아니라 키의 인지없이 정보의 원상 복귀, 암호 해독법을 포함하는 과학의 한 분야
암호화 (Encryption)비밀성을 보장하기 위하여 암호 알고리즘에 의하여 평문을 암호문으로 바꾸는 과정
엿보기 (Sniffing)네트워크 상에 전송되는 패킷 정보를 읽어보는 것
오용분석 (Misuse analysis)정보시스템을 평가하기 위해 필요한 보증 요구사항 중의 하나로써 정보시스템이 안전하지 않는 상태로 구성 및 설치되거나 사용될 수 있는지의 여부를 평가하는 것
외부 보안 통제 (External security controls)물리적, 인적, 절차적 및 관리적 보안 요구사항을 포함하는 조치사항들 그리고 정보시스템의 물리적 접근을 통제하는 증명과 인정의 분리된 과정
위장 (Impersonation)시스템에 접근하기 위해서 허가 받은 사용자로 위장하는 것
위장 (Masquerade)1) 시스템에 접근하기 위해서 허가 받은 사용자로 위장하는 것 2) 한 개체가 다른 개체처럼 흉내내는 것
위장하기 (Spoofing)승인 받은 사용자인체 하여 시스템에 접근을 하려는 시도
위험 (Risk)예상되는 위협에 의하여 자산에 발생할 가능성이 있는 손실의 기대치. 이러한 위험은 자산의 가치 및 취약성과 위협요소의 능력, 보호대책의 효과 등에 의해 영향을 받음
위험관리 (Risk management)정보시스템 자산에 피해를 끼칠 수 있는 위협의 영향을 확인, 통제, 제거, 최소화하는 전체과정. 위험관리는 위험분석, 위험의 처리에 대한 결정, 보호대책의 선정 및 구현, 잔여 위험 분석 등을 포함하는 순환적 과정으로 이루어짐
위험분석 (Risk analysis)보안 위험을 확인하고 그것들의 중요도를 결정하며 보호수단을 요하는 부분을 확인하는 과정. 위험분석은 위험관리의 일부분
위험지표 (Risk index)시스템 사용자의 최소 신원인가 또는 승인권과 시스템에서 처리되는 데이터의 최대 민감성 사이의 불균형성
위험평가 (Risk assessment)위험분석 참조
위협 (Threat)1) 자산에 손실을 발생시키는 원인이나 행위. 2) 보안에 해를 끼치는 행동이나 사건.
유효성 (Effectiveness)정보시스템에서 요구된 대로 보안 동작을 하고 요구한 위협을 막는가에 대한 판단
응용계층 침입차단시스템(Application-level firewall system) 완전한 TCP 연결상태와 순서화를 관리하는 프로세스에 의해 제공되는 서비스를 지원하는 침입차단시스템. 응용계층 침입차단시스템은 종종 통신중 주소를 다시 지정하여 외부로 나가는 통신이 내부 호스트에서 시작되는 것이 아니라 침입차단시스템에서 시작되는 것으로 보이게 함
인가된 사용자 (Authorized user)보안정책에 기술된 어떤 일을 하기 위해 특정한 권리나 허가권을 가진 사용자
인적 보안 (Personnel security)민감한 정보에 접근하는 모든 개개인은 적당한 신원인가 같은 요구된 권한을 가지는가에 대한 보증을 만드는 과정
인증 (Authentication)1) 임의 정보에 접근할 수 있는 주체의 능력이나 주체의 자격을 검증하는데 사용되는 수단이다. 이는 시스템의 부당한 사용이나 정보의 부당한 전송 등을 방어할 수 있음 2) 전송, 메시지, 혹은 발신자를 증명하기 위한 보안대책 혹은 특정 범주를 가진 정보를 수신할 자격이 있는지를 검증하는 수단
인증서 (Certificate)인증 기관의 고유 키 또는 비밀키를 사용하여 변조를 불가능하게 한 개체의 데이터
인증 토큰 (Authentication token)사용자를 인증하는데 사용되는 휴대용 기기. 인증토큰은 시도 응답 방식이나 time-based code sequences 방식으로 작용한다. 종이에 기록한 일회용 패스워드도 인증토큰이라 할 수 있음
일방향 인증 (Unilateral authentication)다른 개체의 정체성에 대한 확신을 한 개체에게 제공하는 개체 인증이며, 반대로 상대 개체에게는 그 개체의 정체성에 대한 확신을 제공하지 않음
일방향 함수 (One-way function)함수값 계산은 쉬우나, 함수값으로부터 역상을 찾아내기가 계산상 불가능한 함수
일회용 암호 (One-time cipher)암호화의 한 방법으로 패드를 두 개 복사하여 하나는 송신자에게 보내고 하나는 수신자에게 보낸다. 패드는 원본 메시지의 각 문자마다 난수를 포함하고 있다. 이 패드는 사용후 폐기
임무 분할 (Separation of duty)몇 명의 개인에게 중요도 관련 임무를 할당하는 것으로 이들은 맡겨진 임무를 수행하는데 필요한 최소한의 권한만을 가짐
임의적 접근통제 (DAC, Discretionary Access Control)1) 접근통제 정책의 하나로 시스템 객체에 대한 접근을 사용자 개인 또는 그룹의 식별자를 기반으로 제한하는 방법. 여기서 임의적이라는 말은 어떤 종류의 접근 권한을 갖는 사용자는 다른 사용자에게 자신의 판단에 의해서 권한을 줄 수 있다는 것임 2) 주체 및 객체의 신분 및 임의적 접근통제 규칙에 기초하여 객체에 대한 주체의 접근을 통제하는 기능
자장제거 (Degauss)기록 매체에 자기 잔류 량을 극소화하게 하여 기록 매체에 저장된 정보를 삭제하는 것으로 테이프의 삭제 시에 사용
재난 복구 계획 (Disaster recovery plan)비상 계획 참조
전자서명 (Digital signature)일반 문서에 대한 도장이나 서명과 같은 특성을 전자문서에 전자적으로 기록하는 것. 문서의 내용이나 그 요약을 서명자의 비밀키로 암호화하면 타인이 사용자의 공개키로 복호화하여 문서의 서명자 및 내용을 확인하는 방법. 전자문서의 위조, 변조, 및 서명자 확인을 위해 사용됨
전자파 (Emanations)각종 정보처리 장치로부터 방출되고 공기나 전도체 등을 통해 전달되는 전자적 신호를 발한다. 이러한 전자파에 의해서 중요정보가 누출될 수 있음
접근 (Access)주체와 객체사이에서 일어나는 특정 형태의 상호작용으로 주체에서 객체 또는 객체에서 주체로의 정보흐름을 유발함
접근 권한 (Access right)1) 정보시스템의 자원에 대해 권한을 가진 사용자나 프로그램, 프로세스, 시스템 또는 다른 정보시스템 등의 제한적인 접근 처리 2) 다른 주체와 통신하거나 컴퓨터 시스템이나 네트워크 상에서의 기능이나 서비스를 이용하는 주체의 권한과 성능의 제한 3) 객체에 대한 주체의 접근을 통제하는 제약
접근 기간 (Access period)접근 권한이 유효한 기간동안 일반적으로 하루나 일주일 단위로 표현되는 시간의 구분
접근 유형 (Access type)특별한 장치, 프로그램 또는 파일 (예를 들면 읽기, 쓰기, 수행, 첨가, 수정, 삭제, 또는 생성)에 대한 접근 권한의 특성
접근 중재 (Access mediation)정보시스템의 자원에 대한 접근을 감시하고 통제하는 처리. 승인하지 않은 접근이나 적당하지 않은 접근 등의 방어뿐만 아니라 접근하는 동안 정책 특성에 대한 감시나 갱신하는데 에도 제한을 두지 않는 것을 포함
접근통제 (Access control)사용자, 프로그램, 프로세스, 시스템 등의 인가된 주체만이 정보시스템의 자원에 접근할 수 있도록 제한하는 것
접근통제 메카니즘 (Access control mechanism)1) 정보시스템으로의 인증 받지 못한 접근을 검출하여 막고 인증 받은 접근을 허락하도록 설계된 보안 보호조치 2) 하드웨어나 소프트웨어의 특성, 운영 절차, 관리 절차 및 자동화된 시스템 상에서 인증 받지 못한 접근의 검출하여 막고 인증 받은 접근의 허가를 하도록 설계된 이들의 결합
접근통제 목록 (Access control list)객체에 대한 접근이 허가된 주체들과 이들 주체가 허가 받은 접근 종류들이 기록된 목록
접근 포트 (Access port)컴퓨터가 서로 다른 단말기의 입출력 데이터를 구별하는데 사용하는 논리적 또는 물리적 식별자
정밀성 (Accuracy)여러 원인으로 인한 데이터의 변조나 훼손을 방지하여야 한다는 정보보호원칙으로 다른 용어로는 무결성이 사용
정보보호 (Information security)정보의 수집·가공·저장·검색·송신·수신 중에 정보의 훼손·변조·유출 등을 방지하기 위한 관리적·기술적 수단 또는 그러한 수단으로 이루어지는 행위
정보전 (Information warfare)현대적인 정보전의 개념 및 주요 대상은 적군의 첨단장비 내부에서, 컴퓨터바이러스나 소프트웨어 해킹을 통한 적 컴퓨터의 기능마비 내지는 파괴와 정보획득 등으로 범위가 확대됐으며, 적국에 배치된 컴퓨터나 이에 침투시킨 바이러스에 의한 적국의 전산망 등을 공격하는 것을 의미한다. 논리폭탄(logic bomb, 원격으로 조정하여 폭파 가능한 코드장치), 전자자기펄스 (Electromagnetic Pulses)와 컴퓨터 시스템에 압도적인 영향을 주는 고품위 라디오주파수 무기(high emission radio frequency guns) 등을 사용
정형화된 보안정책 모델 (Formal security policy model)1) 보안정책을 수학적으로 명확하게 기술하는 것. 명확하게 하기 위해서는 이러한 모델은 시스템의 초기상태, 한 상태에서 다른 상태로의 시스템 진행 방법 및 시스템의 안전한 상태의 정의를 반드시 표현해야 한다. TCB의 토대로써 받아들이기 위해서 모델은 시스템의 초기상태가 안전한 상태의 정의를 만족하고 모델이 요구하는 모든 가정을 유지한다면 시스템의 모든 후속 단계는 안전할 것이라는 것에 대한 정형화 증명이 되어야 한다. 일부의 정형화 모델링 기법은 상태천이 모델, 표시 의미 모델(denotational semantics model) 및 대수명세 모델을 포함 2) 정보보호 정책을 수학적으로 엄격하게 정의한 것이다. 모델은 시스템의 최초 상태와 한 상태에서 다른 상태로의 변경을 표현해야 하고, 시스템의 안전한 상태를 정의하여야한다. TCB의 기반으로 사용되기 위해서는 시스템의 최초 상태가 안전하다는 것과 최초 상태에서 변경된 모든 상태들 역시 안전한 상태임을 정형화 증명을 통해서 보여야함 3) 정보시스템 개발에 적용된 보안정책을 애매모호하지 않고 보안에 위배되지 않음을 보이기 위하여 수학적 개념을 기반으로 하는 정형화 표기법으로 기술한 검증된 모델
제 3자 신뢰 기관 (TTP, Trusted Third Party)정보보호 관련 및 인증 활동에 있어 다른 실체들이 신뢰할 수 있는 보호 기관 또는 그것의 대행 기관
중요도 (Sensitivity)가치나 중요도를 의미하는 자원의 특성, 여기에는 자원의 취약성도 포함될 수 있음
중요 정보 (Sensitive information)누출이나 훼손되었을 때 정보의 소유자에게 부정적 영향이 발생하고, 시스템의 계속적인 운영이 불가능해 지고, 상당한 양의 자원을 다시 생성해야하는 상황을 유발시키는 정보를 말한다. 미국 정부(NTISSP 2)의 정의에 따르면 어떤 정보의 누출, 변형, 파괴에 의해서 국가 안보나 지방 정부에 위해가 되는 상황이 발생하면 이를 중요 정보라고 함
지능형 침입자 (Ubecracker)해커와 침입자를 합친 용어로서 스스로 시스템의 보안 문제점을 파악하거나 불법침입 프로그램 등을 분석 작성할 수 있는 능력의 소유자
지문확인시스템 (Fingerprint system)사람들의 지문을 기록해 놓고 이의 비교 결과를 신분인증의 수단으로 사용하는 시스템
책임추적성 (Accountability)시스템 내의 각 개인은 유일하게 식별 되야 한다는 정보보호 원칙으로 이 원칙에 의해서 정보 처리 시스템은 정보보호 규칙을 위반한 개인을 추적할 수 있고, 각 개인은 그의 행위에 대해서 책임을 짐
체크섬 (Checksum)1) 특정 계산 규칙에 의해서 합계된 수로 이는 전송된 데이터가 전달 도중에 변형되지 않았는지를 검사하는데 사용 2) 해쉬 알고리즘 혹은 다른 수단을 통하여 계산된 값으로 해쉬워드의 동의어
최소 권한 (Least privilege)정보보호 원칙으로 사용자 또는 프로세서는 특정 임무를 수행하는데 필요한 최소한 제한적인 권한만을 할당받아야 하고 이들 권한은 특정 임무를 수행하는 동안에만 할당되어야 한다. 이러한 최소 권한 법칙은 시스템 공격이나 사고에 의한 시스템의 위협을 감소시킴
충돌회피 해쉬함수 (Collision-resistant hash-function)같은 출력을 내는 서로 다른 두 입력을 찾기가 계산적으로 불가능한 성질을 갖는 해쉬함수
취약성 (Vulnerability)1) 위협에 의하여 손실이 발생하게 되는 자산의 약점 2) 기능명세, 설계 또는 구현단계의 오류나 시동, 설치 또는 운용상의 문제점으로 인하여 정보시스템이 지니게 되는 보안 취약점
취약성 분석 (Vulnerability analysis)정보시스템 내의 보안을 손상시키는 취약성이 존재하는지의 여부를 확인하는 것
취약성 평가 (Vulnerability assessment)평가 목표의 효율성에 대한 평가 관점, 즉 평가 목표 안에 있는 알려진 취약성들이 보안 목표에 명세된 대로 평가 목표의 보안과 실제 타협하여 해결할 수 있는지를 평가
침입자 (Intruder)다른 기관의 컴퓨터에 전산망 등을 이용하여 불법으로 침입하여 자료를 유출 변조 파괴하는 등의 범죄적 행위를 하는 사람
침입차단시스템 (Firewall system)내부망과 외부망 사이의 상호접속이나 데이터 전송을 안전하게 통제하기 위한 보안기능을 제공하는 정보시스템
침입탐지 (Intrusion detection)정보시스템의 보안을 위협하는 침입행위가 발생할 경우 이를 탐지하는 기능
침투 (Penetration)정보시스템에 대한 불법 접근
침투 시험 (Penetration test)1) 정보시스템에 취약성이 존재하여 실제로 악용될 수 있는지를 확인하기 위해 평가자가 직접 침투를 실시하는 시험 2) 시스템의 정보보호 기능 취약점을 찾아내기 위하여 시도하는 시험
컴퓨터 남용 (Computer abuse)데이터 처리 자원들의 오용, 변조, 붕괴, 파괴
컴퓨터 보안 (Computer security)인가되지 않은 노출, 변경, 파괴로부터 정보시스템에서 처리 보관되는 정보를 보호하는 방법
컴퓨터 사기 (Computer fraud)이익을 목적으로 데이터를 변경, 노출하는 컴퓨터와 관련된 범죄
키 관리 (Key management)보안 정책에 의해 키의 생성, 등록, 인가, 등록취소, 분배, 설치, 저장, 압축, 폐지, 유도와 파괴를 감독하는 것
키 분배 센터 (KDC, Key Distribution Center)KDC와 키를 나누는 각 개체에게 키를 생성 혹은 취득, 그리고 분배하는 신뢰되는 개체
키 생성 함수 (Key generating function)적어도 한 개는 비밀로 할 수 있는 몇 개의 변수들을 입력으로 하고, 의도한 알고리즘과 응용에 적합한 키를 출력으로 갖는 함수. 이 함수는 비밀 입력에 대한 사전 지식이 없이 출력을 추측해 내는 것이 계산상 불가능한 성질을 가짐
키 전송 (Key transport)한 개체가 다른 개체에게 키를 적절히 보호한 상태로 보내는 과정
키 토큰 (Key token)키 관리 메카니즘을 실행하는 동안 한 개체가 다른 개체에게 보내는 키 관리 메시지
통신 보안 (Communication security)1) 정보가 전송되는 동안 인가되지 않은 노출, 변경, 파괴로부터 보호하는 것 2) 암호시스템를 이용하여 불안전한 자료 채널상에서 통신망 내의 두 지점 사이에 안전하게 정보를 송수신하는 것
트래픽 분석 (Traffic analysis)출현, 부재, 양, 방향, 빈도 등 트래픽 흐름을 관찰함으로써 정보를 추측하는 것
트로이 목마 (Trojan horse)1) 정상적인 기능을 하는 프로그램처럼 나타나지만 실제로는 불법적인 일을 수행하는 프로그램 2) 사용자가 알지 못하게 프로그램 내에 사용자가 모르는 다른 기능을 포함시킨 프로그램으로, 해당 프로그램의 수행시 허가되지 않은 기능을 수행하는 프로그램이다. 자신이 해야할 것이 아닌 다른 것, 대개는 악의에 찬 어떤 것을 하거나, 프로그래머가 의도했던 것이 아닌 것을 행하는 프로그램
파괴자 (Cracker)허가되지 않은 시스템에 접근해서 데이터를 파손하거나 시스템의 비정상적인 동작을 유발시키는 사람. 소프트웨어 복사방지 기능을 없애는 사람을 지칭하기도 함
파일 보안 (File security)파일의 삭제, 변형, 불법 접근 등을 방지하기 위해 설계된 컴퓨터 시스템 내의 모든 절차와 과정
파일 보호 (File protection)파일 혹은 파일내의 임의의 내용에 대한 불법적인 접근, 훼손(오염), 제거, 수정, 혹은 파괴를 방지하기 위하여 시스템 내에 설계된 모든 처리 및 절차의 총체
패스워드 (Password)사용자의 신분인증을 위해 사용되는 문자열. 정보시스템 내에서는 암호화되어 저장되며 제시된 신분과 비밀번호가 정보시스템 내에 저장된 신분과 비밀번호와 동일할 경우 해당 신분으로 인증됨
평문 (Plaintext, Cleartext)1) 암호화 대상이 되는 문자열. 2) 암호문을 복호화한 본래의 문자열
프라이버시 (Privacy)관련된 개인이나 조직을 피해로부터 보호하기 위하여 개인이나 조직에 대한 정보를 저장, 수집, 유포하는 과정 및 그러한 정보와 정보가 저장된 시스템에 대하여 적절한 보안을 요구할 권리. 또는 보안을 유지해야 한다는 정보보호 원칙
해쉬 (Hash)가변 길이 데이터 블록이나 메시지를 해쉬코드라는 고정 길이 및 유일한 값으로 대응시키는 것
해쉬 코드 (Hash code)해쉬함수의 출력 비트 문자열
해쉬함수 (Hash function)임의의 비트 문자열을 고정된 비트 문자열로 출력하는 함수로서 다음 두 가지 성질을 만족한다. ① 주어진 출력에 대해 그 입력값을 찾아내기가 계산상 불가능. ② 주어진 입력에 대해 같은 출력값을 갖는 또 다른 입력값을 찾기가 계산상 불가능. ③ 같은 출력을 내는 임의의 다른 두 입력을 찾기가 계산상 불가능.
해커 (Hacker)1) 컴퓨터에 대해서 해박한 지식이나 기술을 가지고 컴퓨터를 자유 자재로 조작하는 사람 2) 컴퓨터에 대한 해박한 지식이나 기술을 사용하여 장난이나 범죄를 저지르는 사람. 주로 컴퓨터에 대한 지식이나 기술을 과시하고자 행위 자체를 목적으로 하는 사람을 일컬음
해킹 (Hacking)1) 정보시스템의 취약성을 이용하거나, 기존에 알려진 공격 방법을 활용하여 정보시스템에 해를 끼치는 새로운 기능을 만들어 내는 행위 2) 접근을 허가받지 않은 정보시스템에 불법적으로 침투하거나 허가되지 않은 권한을 불법적으로 갖는 행위
허가 (Authorization)사용자, 프로그램, 프로세스에게 허가한 권한을 의미한다. 예를 들어 임의의 사용자가 시스템 내의 임의의 파일에 접근할 수 있도록 부여된 권한 등을 의미
형상관리 (Configuration management)1) 시스템의 운영과 개발 과정에서 발생하는 하드웨어, 소프트웨어, 펌웨어, 문서, 테스트 계획, 테스트 결과 등에 대한 모든 변경 사항을 감사, 제어 확인하는 과정 2) 정보시스템의 개발, 생산 및 유지보수동안에 생산되는 형상항목의 변화를 통제 및 관리하기 위한 방법
형상통제 (Configuration control)평가 대상에 대해 개발, 생산, 유지 등의 처리를 하는 동안 만들어진 조정된 객체들을 바꾸도록 통제하는 시스템