3. 정보 보안 및 컴플라이언스 (Information Security & Compliance) 용어집

정보 보안 및 컴플라이언스 (Information Security & Compliance) 용어집

1. ISMS-P (Personal Information & Information Security Management System): 정보보호 및 개인정보보호 관리체계, 국가 공인 정보보호 통합 인증 제도
2. KCMVP (Korea Cryptographic Module Validation Program): 국가암호모듈검증, 공공기관 도입 보안 제품의 암호 모듈 안전성을 검증하는 제도
3. CC Certification (Common Criteria): 공통평가기준 인증, 보안 제품의 안전성을 국제 표준에 따라 평가하고 인증하는 제도
4. N2SF (National Network Security Framework): 국가 망 보안체계, 국정원 주도의 데이터 중요도 기반 차세대 망 보안 가이드라인
5. C/S/O Classification (Critical/Sensitive/Open): C/S/O 등급 분류, N2SF에서 데이터를 중요도에 따라 국가 중대(C), 민감(S), 공개(O) 정보로 구분하는 체계
6. Zero Trust (Zero Trust): 제로 트러스트, "아무도 믿지 마라"는 원칙하에 모든 접속 요청을 지속적으로 검증하는 보안 모델
7. NAC (Network Access Control): 네트워크 접근 제어, 단말기의 보안 상태를 검사하고 네트워크 접속 권한을 중앙에서 통제하는 시스템
8. PMS (Patch Management System): 패치 관리 시스템, 운영체제나 소프트웨어의 보안 업데이트를 중앙에서 강제로 배포하고 관리하는 시스템
9. DLP (Data Loss Prevention): 데이터 유출 방지, 중요 정보가 외부로 유출되는 것을 실시간으로 감시하고 차단하는 보안 기술
10. VDI (Virtual Desktop Infrastructure): 가상 데스크톱 인프라, 중앙 서버에서 구동되는 가상 PC 화면을 사용자 단말기로 전송하여 사용하는 망 분리 기술
11. FIDO (Fast IDentity Online): 신속 온라인 식별 인증, 비밀번호 대신 생체 정보를 이용하여 빠르고 안전하게 인증하는 국제 표준
12. mOTP (Mobile One-Time Password): 모바일 일회용 비밀번호, 스마트폰 앱을 통해 매번 생성되는 일회용 인증 번호를 사용하는 방식
13. PKI (Public Key Infrastructure): 공개키 기반 구조, 디지털 인증서의 발행과 관리를 통해 신원 확인과 암호화를 수행하는 체계
14. SSO (Single Sign-On): 단일 로그인, 한 번의 인증으로 연동된 여러 시스템을 추가 로그인 없이 이용할 수 있게 하는 기술
15. Multi-SSO (Multi-Single Sign-On): 다중 단일 인증, 서로 다른 네트워크나 운영 환경에 흩어진 여러 시스템을 통합하여 인증하는 방식
16. IAM (Identity and Access Management): 계정 및 접근 관리, 사용자의 신원을 확인하고 적절한 자원에 접근할 권한을 부여하고 관리하는 시스템
17. PQC (Post-Quantum Cryptography): 양자 내성 암호, 양자 컴퓨터의 연산 능력으로도 해독이 불가능하도록 설계된 차세대 암호 기술
18. MFA (Multi-Factor Authentication): 다요소 인증, 지식(비밀번호), 소지(OTP), 존재(생체 정보) 중 두 가지 이상을 조합하여 인증하는 방식
19. Encryption (Encryption): 암호화, 데이터를 승인되지 않은 자가 읽을 수 없도록 복잡한 알고리즘을 사용해 변환하는 과정
20. Decryption (Decryption): 복호화, 암호화된 데이터를 원래의 평문 상태로 다시 되돌리는 과정
21. AES (Advanced Encryption Standard): 고급 암호화 표준, 전 세계적으로 가장 널리 사용되는 대칭키 방식의 암호 알고리즘
22. KMS (Key Management System): 암호키 관리 시스템, 암호화에 사용되는 키의 생성, 저장, 배포, 폐기를 안전하게 관리하는 시스템
23. SIEM (Security Information and Event Management): 보안 정보 및 이벤트 관리, 다양한 보안 장비의 로그를 수집하고 분석하여 위협을 탐지하는 시스템
24. SOAR (Security Orchestration, Automation and Response): 보안 오케스트레이션 및 자동화 대응, 탐지된 위협에 대해 미리 설정된 절차에 따라 자동으로 대응하는 체계
25. EDR (Endpoint Detection and Response): 엔드포인트 탐지 및 대응, PC나 서버 등 개별 단말기에서 발생하는 의심스러운 활동을 감시하고 대응하는 솔루션
26. WAF (Web Application Firewall): 웹 방화벽, SQL 인젝션 등 웹 애플리케이션을 대상으로 하는 공격을 차단하는 전용 방화벽
27. DDoS Protection (Distributed Denial of Service Protection): 분산 서비스 거부 공격 방어, 수많은 좀비 PC를 동원한 과도한 트래픽 공격을 차단하는 기술
28. Penetration Testing (Penetration Testing): 침투 테스트, 실제 해킹 수법을 동원하여 시스템의 보안 취약점을 사전에 점검하는 모의 해킹 과정
29. Sandboxing (Sandboxing): 샌드박싱, 의심스러운 파일이나 코드를 격리된 가상 환경에서 실행하여 안전성을 확인하는 기술
30. SSL/TLS (Secure Sockets Layer / Transport Layer Security): 전송 계층 보안, 네트워크 통신 구간의 데이터를 암호화하여 기밀성을 보장하는 통신 표준
31. Hashing (Hashing): 해싱, 가변 길이의 데이터를 고정 길이의 고유한 값으로 변환하여 데이터의 무결성을 확인하는 기술
32. Phishing (Phishing): 피싱, 이메일이나 가짜 웹사이트를 통해 사용자의 개인정보나 금융 정보를 갈취하는 사기 수법
33. Ransomware (Ransomware): 랜섬웨어, 데이터를 무단으로 암호화한 뒤 이를 해제하는 조건으로 금전을 요구하는 악성 소프트웨어
34. Zero-day Attack (Zero-day Attack): 제로데이 공격, 보안 취약점이 발견된 후 패치가 배포되기 전의 짧은 시간을 틈타 수행하는 공격
35. Audit Log (Audit Log): 감사 로그, 시스템 내에서 발생한 주요 활동이나 접속 기록을 추적 가능하도록 남긴 데이터
36. Air-gap (Air-gap): 에어갭, 보안을 위해 중요 시스템을 물리적으로 인터넷이나 외부망으로부터 완전히 격리하는 방식
37. Malware (Malicious Software): 악성 소프트웨어, 시스템을 파괴하거나 정보를 유출할 목적으로 제작된 모든 형태의 유해 프로그램
38. Privileged Access Management (PAM): 권한 계정 관리, 관리자 권한을 가진 계정의 접속과 활동을 집중적으로 감시하고 통제하는 보안 솔루션