보안, 위협, 공격 / 약점, 취약점

시큐리티(보안) : 위험(위협, 리스크, 취약점)이 없는 상태

컴퓨터 시큐리티 : 허용되지 않은 접근(read, write, append, execute), 사용, 중단(분열, 혼란, 붕괴), 파괴(삭제), 변조로부터 정보를 지키는 것

 

자산(Asset) : 지키고자 하는 무언가. 하드웨어, 소프트웨어, 정보, 데이터 등

혹은 조직에서 가치있는 무언가

 

자산의 식별:

IP와 포트. 랜 환경에서는 맥 어드레스, 데이터베이스에서는 프라이머리 키

 

Threat (위협)

공격하고는 다르게, 가능성만 있어도 위협이다.

그냥 위협으로 끝날 수도 있음

- 위협 소스가 특정 정보 시스템 취약점을 성공적으로 악용할 가능성

 

Attack (Cyber Attack)

실제로 발생한 경우

- 위협을 이행/완수하기 위해 취약점을 악용하는 행동/행위/조치

 

Control

- 위험을 관리하는 수단

기술적인 수단만 포함하지 않고 행정적, 법적인 특성을 가지는 정책이나 절차, 관행 등 다 포함

 

Security Control

-  정보의 기밀성, 무결성 및 가용성을 보호하고 일련의 정의된 보안 요구 사항을 충족하도록 설계된 정보 시스템 또는 조직에 대해 규정된 안전장치 또는 대책

---

Weakness (약점)

- 소프트웨어, 펌웨어, 하드웨어, 서비스 컴포넌트에 존재하는 어떤 상황에서 취약점으로 연결될 수 있는 조건(condition)

원하지 않는 행동을 초래할 수 있는 결함, 특성. 예) 스팸 메일을 거르지 않는 이메일 서버

 

CWE (Common Weakness Enumeration)

취약점이 될 수 있는 약점들의 목록

Mitre에서 매년 탑 25 발표

 

Vulnerability (취약점)

- 공격자가 악용할 수 있는 약점

약점이 악용되어 CIA에 악영향을 끼치는 소프트웨어, 펌웨어, 하드웨어, 또는 서비스 컴포넌트에서의 결함

디자인 단계부터 결함이 있거나 코딩 이상하게 하면 공격자가 악의적인 목적으로 소프트웨어를 악용 가능