보안 취약점

"오늘의AI위키"는 AI 기술로 일관성 있고 체계적인 최신 지식을 제공하는 혁신 플랫폼입니다.
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.

1. 개요
2. 정의
- 2.1. 국제 표준
- 2.2. 대한민국 관련 정의
3. 취약점과 위험
- 3.1. 위험 모델
- 3.2. OWASP 모델
4. 정보 보안 관리 시스템 (ISMS)
- 4.1. 보안 제어 및 서비스
5. 분류
6. 원인
7. 취약점 공개
8. 취약점 식별과 제거
9. 취약점 예시
참조

1. 개요

보안 취약점은 시스템의 보안 정책을 침해하기 위해 악용될 수 있는 시스템의 설계, 구현, 운영 또는 관리 상의 결함이나 약점을 의미한다. 국제 표준 및 대한민국 법률에서도 유사하게 정의하고 있으며, 자산의 기밀성, 무결성, 가용성을 위협할 수 있다. 취약점은 하드웨어, 소프트웨어, 네트워크, 인적 요소 등 다양한 원인으로 발생하며, 시스템 복잡성, 익숙함, 연결성, 비밀번호 관리 결함, 소프트웨어 버그 등이 주요 원인으로 작용한다. 이러한 취약점은 공격자에게 악용되어 정보 유출, 시스템 손상 등의 피해를 야기할 수 있으며, 책임 있는 공개 및 완전 공개 등 다양한 방식으로 공개 및 관리된다. 취약점 식별 및 제거를 위해 자동화된 도구와 수동 분석, 지속적인 관리가 중요하며, 하드웨어, 소프트웨어, 네트워크, 인적 요소 등 다양한 유형의 취약점이 존재한다.

더 읽어볼만한 페이지

위험성 - 취약성
위험성 - 스턴트 배우
스턴트 배우는 영화, 드라마 등 영상 매체에서 배우를 대신하여 위험한 연기를 하는 직업으로, 보디 스턴트와 카 스턴트로 나뉘며, 안전 문제와 권익 보호를 위한 단체들이 활동하고 있다.
웹 취약점 공격 - 인터넷 보안
인터넷 보안은 사이버 위협, 악성 소프트웨어, 서비스 거부 공격 등으로부터 정보와 시스템을 보호하기 위해 네트워크 계층 보안, 다단계 인증, 방화벽 등 다양한 기술과 방법을 포괄한다.
웹 취약점 공격 - HTTP 쿠키
HTTP 쿠키는 웹 서버가 사용자 브라우저에 저장하는 작은 텍스트 파일로, 웹 사이트가 방문 기록, 로그인 정보 등을 기억하여 HTTP의 상태 비저장성을 보완하고 세션 관리, 개인 설정, 사용자 추적 등에 활용되지만 개인 정보 보호 및 보안 문제에 대한 논란이 있다.
소프트웨어 테스트 - A/B 테스트
A/B 테스트는 두 가지 이상의 대안을 비교하여 더 나은 성과를 판단하는 방법으로, 웹사이트, 애플리케이션 등 다양한 분야에서 사용자 인터페이스 등을 테스트하며 통계적 가설 검정을 기반으로 한다.
소프트웨어 테스트 - 스트레스 테스트
스트레스 테스트는 시스템이나 기관이 극한 상황에서도 정상적으로 작동하는지 평가하는 방법이다.

보안 취약점
보안 취약점
버퍼 오버플로우 공격의 시각적 표현. 공격자는 의도적으로 프로그램의 버퍼에 너무 많은 데이터를 보내 인접한 메모리 위치를 덮어씁니다.
개요
유형	버퍼 오버플로 코드 주입 크로스 사이트 스크립팅 SQL 인젝션 권한 상승 서비스 거부
관련	보안 버그 악용 보안 패치 제로 데이 공격
세부 사항
설명	소프트웨어, 하드웨어 또는 절차의 약점으로 인해 공격자가 시스템의 무결성, 가용성 또는 기밀성을 손상시킬 수 있음.
일반적인 원인	설계 결함 구현 오류 구성 문제
영향	데이터 손실 시스템 손상 무단 액세스 서비스 중단
완화
전략	보안 코딩 관행 정기적인 보안 감사 침투 테스트 신속한 패치 적용
도구	정적 코드 분석 동적 코드 분석 퍼징
표준 및 지침
일반적인 취약점 및 노출 (Common Vulnerabilities and Exposures, CVE)	CVE
일반적인 약점 열거 (Common Weakness Enumeration, CWE)	CWE
일반적인 공격 패턴 열거 및 분류 (Common Attack Pattern Enumeration and Classification, CAPEC)	CAPEC
기타
관련 용어	취약점 공격, 악성 소프트웨어, 정보 보안

2. 정의

국제 표준화 기구(ISO) 27005와 국제 인터넷 표준화 기구(IETF) RFC 2828은 '''취약점'''(vulnerability)을 시스템의 보안 정책을 위반하게 만들 수 있는 시스템의 설계, 구현, 운영 및 관리 상의 결함이나 약점으로 정의한다.^[47]^[49]

보안 취약점은 프로그램이나 설정 오류, 설계상 고려 부족, 보수를 위해 고의로 만들어진 기능에 관한 기밀 누설 등 다양한 원인으로 발생한다. 소프트웨어뿐만 아니라 하드웨어 결함, 재해에 대한 취약성, 소셜 엔지니어링 등도 보안 취약점에 포함된다.

보안 취약점이 있으면, 권한이 없는 사용자가 권한을 초과한 조작을 하거나, 비공개 정보가 유출되는 등 정보 보안상의 결함이 발생할 수 있다.

보안 취약점은 컴퓨터 네트워크 발달로 인해 이전보다 위협도가 높아지고 있다.

반대어는 레질리언스(resilience)이며, '''강화'''라고 번역되기도 한다.

2. 1. 국제 표준

국제 표준화 기구(ISO) 27005는 취약점을 '하나 이상의 위협에 의해 익스플로잇될 수 있는 자산 또는 자산 그룹의 약점'으로 정의한다.^[47] 여기서 자산은 정보 자원을 포함하는 비즈니스 전략과 연속성, 조직의 임무를 지원하는 모든 것을 의미한다.^[48]

국제 인터넷 표준화 기구(IETF) RFC 2828는 취약점을 '시스템의 디자인, 구현 또는 작업 그리고 관리에서의 결함이나 약점으로서, 시스템의 보안 정책을 침해하기 위해 익스플로잇될 수 있는 것'으로 정의한다.^[49]

2. 2. 대한민국 관련 정의

대한민국에서는 정보통신망 이용촉진 및 정보보호 등에 관한 법률에서 취약점을 "컴퓨터 시스템, 소프트웨어, 네트워크 등 정보시스템의 보안상 결함이나 약점"으로 정의하고 있다.^[47]

3. 취약점과 위험

취약점은 시스템 보안 정책을 위반하는 데 악용될 수 있는 설계, 구현, 운영 및 관리상의 결함 또는 약점이다.^[5] 이는 프로그램이나 설정 오류, 설계상 고려 부족, 유지보수를 위해 고의로 만든 기능의 기밀 누설 등 다양한 원인으로 발생한다.^[51] 소프트웨어나 하드웨어 결함, 재해, 악의적인 관리자의 공격(소셜 엔지니어링) 등도 보안 취약점에 포함된다.^[51]

컴퓨터 네트워크 발달로 인해 많은 컴퓨터가 네트워크를 통한 공격에 노출되어 위협도가 높아지고 있다.^[51] 취약점이 있으면 권한 없는 사용자가 권한을 초과하는 조작을 하거나, 비공개 정보가 유출되는 등 정보 보안상 결함이 발생할 수 있다.^[51]

취약점의 영향은 매우 커질 수 있으며, IT 관리자가 취약점을 알고도 조치를 취하지 않으면 법적 책임을 질 수 있다. 개인 정보 보호법에 따라 관리자는 보안 위험을 줄이기 위해 조치를 취해야 하며, 정보 기술 보안 감사나 침투 테스트를 통해 보안 상태를 검증받을 수 있다.

정보 보안 강화를 위해 심층 방어 원칙을 적용하여 다층적인 방어 시스템을 구축해야 한다. 여기에는 악용 방지, 공격 탐지 및 차단, 위협 에이전트 추적 및 기소가 포함된다. 침입 탐지 시스템은 공격 탐지에 사용되는 시스템의 한 예이며, 물리적 보안은 정보 자산을 물리적으로 보호하는 조치이다.

3. 1. 위험 모델

자원은 하나 이상의 취약점을 가질 수 있으며, 이는 위협적인 행동에 의해 익스플로잇될 수 있다. 결과적으로 자원의 비밀성, 무결성, 가용성이 위협받을 수 있다.^[50]

공격은 시스템 자원이나 작동 방식을 변경하여 무결성이나 가용성을 위협할 때 활성화된다. "수동적인 공격"은 시스템 정보를 사용하거나 파악하려 하지만, 시스템 자원에 영향을 미치지 않고 비밀성을 위협한다.^[50]

OWASP는 약간 다른 용어를 사용하지만, 공격 매개체를 통한 위협 에이전트가 시스템과 관련된 보안 제어의 취약점을 익스플로잇하여 IT 자원에 기술적 영향을 미치고, 이는 비즈니스에 영향을 준다고 설명한다.

전체적인 그림은 위험 시나리오의 위험 요소들을 보여준다.^[51]

3. 2. OWASP 모델

OWASP는 공격 매개를 통해 위협 에이전트가 시스템의 취약점을 악용하여 비즈니스에 영향을 미치는 모델을 제시한다.^[51]

위 그림은 위험 시나리오의 위험 요소들을 나타낸다.^[18]

4. 정보 보안 관리 시스템 (ISMS)

정보 보안 관리 시스템(ISMS)은 위험 관리 원칙에 따라 보안 전략을 관리하기 위해 개발된 정책들의 집합이다. 이러한 대책들은 보안 제어라고도 부르지만, 정보 전송에 적용할 경우에는 보안 서비스라고 부른다.^[52] IT 리스크를 전문적으로 관리하는 적절한 방법은 ISO/IEC 27002나 Risk IT와 같은 정보 보안 관리 시스템을 채택하고, 상층부가 정한 보안 전략에 따라 이에 준수하는 것이다.^[32]

4. 1. 보안 제어 및 서비스

정보 보안 관리 시스템(ISMS)은 정보 보안 관리에 관련된 일련의 정책으로, 위험 관리 원칙에 따라 지정된 정책에 적용되는 규칙과 규정에 따라 보안 전략이 수립되었는지를 확인하기 위한 조치를 관리하기 위해 개발되었다. 이러한 조치는 보안 통제라고도 불리며, 정보 전송에 적용될 때는 보안 서비스라고 불린다.^[52]

5. 분류

취약점은 관련된 자산의 종류에 따라 분류될 수 있다.^[53] 주요 분류는 다음과 같다:

하드웨어
소프트웨어
네트워크
인적 자원
물리적 위치
관리 기관

ISO 27005는 취약점을 "하나 이상의 위협에 의해 악용될 수 있는 자산 또는 자산 그룹의 약점"으로 정의한다.^[3]^[4] 여기서 자산은 조직의 목표 달성을 지원하는 정보 자원 등 조직 운영 및 지속에 가치 있는 모든 것을 포함한다.^[4]

IETF의 RFC 4949는 취약점을 "시스템의 보안 정책을 위반하기 위해 악용될 수 있는 시스템 설계, 구현, 운영 및 관리상의 결함 또는 약점"으로 정의한다.^[5]

미국 국가 안보 시스템 위원회는 2010년 CNSS 명령 No. 4009에서 취약점을 "위협 발생원에 의해 악용될 수 있는 정보 시스템, 시스템 보안 절차, 내부 통제 또는 구현의 취약성"으로 정의했다.^[6]

5. 1. 하드웨어 취약점

보안 취약점은 관련된 자산 클래스에 따라 분류된다.^[53]

하드웨어
습도에 대한 민감성
먼지에 대한 민감성
오염에 대한 민감성
보호되지 않은 저장소에 대한 취약성

5. 2. 소프트웨어 취약점

감사 추적의 부족, 불충분한 테스팅, 설계 결함 등은 소프트웨어 보안 취약점의 원인이 된다.^[53] 이러한 취약점은 시스템 보안 정책을 위반하는 데 악용될 수 있다.^[5]

5. 3. 네트워크 취약점

보호되지 않은 통신 회선, 안전하지 않은 네트워크 구조 등이 네트워크 취약점에 해당한다.^[20]

5. 4. 인적 취약점

직원은 부적절한 채용 과정이나 보안 인식 부족으로 인해 보안 취약점을 야기할 수 있다.^[20] 이러한 인적 취약점은 조직의 보안에 심각한 위협이 될 수 있다.

5. 5. 물리적 위치 취약점

Vulnerability^영어는 관련된 자원 클래스에 따라 분류되는데, 그 중 위치와 관련된 취약점은 다음과 같다.^[53]

홍수 위험 지역^[20]
불안정한 전력 공급^[20]

5. 6. 관리 기관 취약점

ISO 27005는 취약점을 "하나 이상의 위협에 의해 악용될 수 있는 자산 또는 자산 그룹의 약점"으로 정의한다.^[3]^[4] 관리 기관의 주요 취약점은 다음과 같다.^[53]

취약점
정기적인 감사의 부족
지속적인 계획의 부족
보안의 부족

6. 원인

보안 취약점은 다양한 원인으로 인해 발생할 수 있다. 주요 원인은 다음과 같다.

사람: 대부분의 취약점은 사용자, 운영자, 설계자 등 사람에 의해 발생한다.^[62] 사회공학은 점차 중요해지는 보안 고려 사항이다.
프로그램 및 설정 오류: 프로그램이나 설정의 오류, 설계상 고려 부족, 보수를 위해 고의로 만들어진 기능에 관한 기밀 누설 등이 보안 취약점을 야기할 수 있다.
기타 결함: 소프트웨어뿐만 아니라 하드웨어 결함, 재해에 대한 취약성, 악의적인 관리자의 소셜 엔지니어링 등도 보안 취약점에 포함될 수 있다.

2001년 코드레드 및 님다 웜, 2003년 Slammer, MS블래스터 등 주로 마이크로소프트사 소프트웨어의 보안 취약점을 이용한 바이러스 및 웜이 나타났다.

6. 1. 시스템 복잡성

크고 복잡한 시스템은 결함과 의도되지 않은 접근점의 가능성을 높인다.^[56]

6. 2. 익숙함

흔하고 잘 알려진 코드, 소프트웨어, 운영 체제, 하드웨어를 사용하는 것은 공격자가 취약점을 악용할 정보를 얻기 쉽게 만든다.^[54]

6. 3. 연결성

물리적 접속, 권한, 포트, 프로토콜, 서비스 및 각각에 접근할 수 있는 시간이 늘어날수록 취약점은 증가한다.^[55] 더 많은 연결은 더 많은 취약점을 의미한다.

6. 4. 비밀번호 관리 결함

컴퓨터 사용자가 무차별 대입 공격에 취약한 비밀번호를 사용하는 경우가 있다.^[56]^[22] 또한, 프로그램이 접근할 수 있는 컴퓨터에 비밀번호를 저장하거나, 여러 프로그램과 사이트에서 같은 비밀번호를 재사용하는 것도 보안 취약점을 유발한다.^[56]^[23]

6. 5. 운영체제 설계 결함

운영체제 설계자는 사용자/프로그램 관리에 차선의 정책을 선택하기도 한다. 예를 들어 기본 권한을 허용하는 정책을 가진 운영체제는 모든 프로그램과 사용자에게 컴퓨터 전체에 접근할 수 있는 권한을 부여한다.^[56] 이러한 운영체제 권한은 바이러스와 악성코드가 관리자를 대신하여 명령어를 실행할 수 있게 한다.^[57]

6. 6. 인터넷 웹사이트 검색

일부 인터넷 웹사이트는 컴퓨터에 자동으로 설치될 수 있는 스파이웨어나 애드웨어를 포함한다. 이러한 웹사이트를 방문한 후, 컴퓨터 시스템이 감염되어 개인 정보가 수집되고 다른 사람에게 보내질 수 있다.^[58]

6. 7. 소프트웨어 버그

프로그래머는 소프트웨어 프로그램에 악용될 수 있는 버그를 남기기도 한다. 이러한 소프트웨어 버그는 공격자가 애플리케이션을 악용할 수 있게 한다.^[56]

6. 8. 확인되지 않은 사용자 입력

프로그램은 모든 사용자 입력이 안전하다고 가정한다. 사용자 입력이 확인되지 않은 프로그램은 의도하지 않은 명령어 실행을 허용할 수 있다.^[56] 이러한 취약점은 버퍼 오버런, SQL 삽입 등 다양한 형태로 나타날 수 있다.

6. 9. 과거 실수 반복

과거에 발견된 취약점이 새로운 시스템에 다시 나타나는 경우가 있다.^[59]^[60] 예를 들면 IPv4 프로토콜 소프트웨어에서 발견된 취약점들이 새로운 IPv6 구현에도 나타날 수 있다.^[61]

7. 취약점 공개

취약점 공개는 보안 커뮤니티에서 논쟁적인 주제이다.

존경받는 저자는 취약성과 그것들을 악용하는 방법에 대한 책을 출판하고 있는데, "해킹: 악용의 예술 제2판"이 좋은 예이다.

사이버 전쟁 또는 사이버 범죄 업계의 요구에 부응하는 보안 연구자들은, 이러한 공개 방식이 그들의 노력에 충분한 수입을 제공하지 않는다고 말하며, 제로데이 공격을 가능하게 하는 익스플로잇을 비공개로 제공하기도 한다.^[34]

새로운 취약점을 찾아 수정하는 끝없는 노력은 컴퓨터 보안이라고 불린다.

7. 1. 책임 있는 공개

취약점 공개에 대한 책임은 많은 논란을 불러일으키는 주제이다. 2010년 8월 테크 헤럴드에 따르면, 구글, 마이크로소프트 등은 최근 이러한 공개를 다루는 가이드라인과 선언을 발표했다.^[64]

'''조정된 공개''' ("책임 있는 공개"라고도 하지만, 편향된 단어라고 생각하는 사람도 있다)는 큰 논쟁의 대상이 되고 있다. 예를 들어, 2010년 8월에 Tech Herald는 "구글, 마이크로소프트, TippingPointTippingPoint|英語版^영어, 및 메타스플로잇은 최근, 향후 공개에 어떻게 대처할지 설명하는 가이드라인과 성명을 발표했다."라고 보도했다.^[33]

책임 있는 공개에서는 처음에 영향을 받는 벤더에게 은밀하게 경고하고, 그 후 2주 후에 CERT 조정 센터에 경고한다. 이를 통해 보안 권고를 공개하기 전에 45일간의 유예 기간이 벤더에게 주어진다.

다른 방법으로, 취약성의 모든 세부 사항을 공개하는 풀 디스크로저가 행해지는 경우도 있다. 이는 소프트웨어 또는 절차의 작성자에게 수정을 신속하게 찾도록 압력을 가하기 위해 행해지기도 한다.

2014년 1월에 마이크로소프트가 수정 프로그램을 출시하기 전에 구글이 마이크로소프트의 취약성을 밝혔을 때, 마이크로소프트의 대표는 소프트웨어 회사 간의 공개를 밝히기 위한 조정된 관행을 요구했다.^[35]

7. 2. 완전 공개

다른 한편으로는, 취약점 정보를 즉시 공개하여 개발자가 신속하게 대응하도록 압박하는 "완전 공개" 방식을 지지한다. 이는 소프트웨어나 절차의 작성자가 수정 사항을 빠르게 찾도록 하기 위해 사용되기도 한다.^[64]^[33]

7. 3. 대한민국 현황

한국인터넷진흥원(KISA)은 대한민국의 취약점 신고포상제를 운영하여 취약점 발견 및 대응을 장려하고 있다.

8. 취약점 식별과 제거

컴퓨터 시스템의 취약점을 발견하고 제거하는 데 도움이 되는 다양한 도구와 방법들이 존재한다. 이러한 도구들은 감사자에게 취약점에 대한 개요를 제공하지만, 사람의 판단을 완전히 대체할 수는 없다. 스캐너에만 의존하면 오탐이 발생하거나 시스템 문제의 전체 범위를 파악하기 어려울 수 있다.

윈도우, macOS, 다양한 Unix 및 Linux 배포판, OpenVMS 등 주요 운영 체제에서 취약점이 발견되고 있다.^[37] 이러한 시스템에서 취약점이 악용될 가능성을 줄이기 위해서는 지속적인 주의가 필요하다. 여기에는 신중한 시스템 관리 (예: 소프트웨어 패치 적용), 운영상의 모범 사례 (예: 방화벽 및 접근 통제 사용), 개발 및 운영 중 감사가 포함된다.

8. 1. 취약점 스캐너

자동화된 도구를 사용하여 시스템의 알려진 취약점을 스캔할 수 있다. 컴퓨터 시스템에서 취약점들을 발견할 수 있게 도와주는 많은 소프트웨어 툴들이 존재한다. 비록 이러한 툴들이 감시관에게 현재 존재할 수 있는 취약점들에 대한 좋은 개요를 제공할 수 있지만, 인간의 판단을 대체하지는 못한다. 단지 스캐너에만 의존하는 것은 현재 시스템에 존재하는 문제들에 대한 제한된 관점과 긍정 오류를 만들 수 있다.^[36]

8. 2. 수동 분석

자동화 도구가 놓칠 수 있는 취약점을 발견하기 위해서는 전문가의 수동 분석이 중요하다. 컴퓨터 시스템의 취약점을 발견하는 데 도움을 주는 많은 소프트웨어 도구들이 있지만, 이러한 도구들은 인간의 판단을 대체할 수 없다. 스캐너에만 의존하면 시스템에 존재하는 문제에 대한 제한적인 관점과 긍정 오류를 초래할 수 있다.

8. 3. 지속적인 관리

취약점은 시스템 운영 및 관리 과정에서 지속적으로 관리되어야 한다. 컴퓨터 시스템의 취약점을 발견하고 제거하는 데 도움이 되는 소프트웨어 도구가 많이 있지만, 이러한 도구는 사람의 판단을 대체할 수 없다. 스캐너에만 의존하면 오탐이 발생하고 시스템 문제의 전체 범위를 파악하기 어렵다.

윈도우, macOS, Unix, Linux, OpenVMS 등 주요 운영 체제에서 취약점이 발견되고 있다.^[37] 시스템의 취약점 악용 가능성을 줄이는 유일한 방법은 지속적인 주의를 기울이는 것이다. 여기에는 신중한 시스템 유지보수 (예: 소프트웨어 패치 적용), 운영 모범 사례 활용 (예: 방화벽 및 접근 통제 사용), 개발 및 운영 중 감사가 포함된다.

9. 취약점 예시

취약점은 다양한 시스템 구성 요소에서 발견될 수 있다. 여기에는 다음이 포함된다.

시스템 구성 요소
시스템의 물리적 환경
직원
관리
조직 내 관리 절차 및 보안 방식
경영 활동 및 서비스 전달
하드웨어
소프트웨어
통신 장비 및 시설
주변 장치

순수한 기술적 접근만으로는 물리적 자산조차 보호할 수 없다는 것은 분명하다.

다음은 취약점 악용의 몇 가지 예시이다.

공격자가 오버플로우 취약점을 찾아 악용하여, 멀웨어를 설치하고 기밀 데이터를 내보내는 경우.
공격자가 사회 공학적 기법을 사용하여 멀웨어가 첨부된 이메일 메시지를 열도록 사용자를 유도하는 경우.
내부자가 강화된 암호화 프로그램을 USB 플래시 드라이브에 복사하여 집에서 이를 크래킹하는 경우.

9. 1. 하드웨어

물리적 장비의 손상, 도난 등은 보안 취약점에 해당한다. 순수한 기술적 접근만으로는 물리적 자산을 보호할 수 없다.^[38]^[39] 예를 들어, 홍수로 인해 1층에 설치된 컴퓨터 시스템이 손상될 수 있다.

9. 2. 소프트웨어

다음은 소프트웨어 취약점으로 이어지는 일반적인 결함 유형이다.

메모리 안전성 위반
버퍼 오버플로 및 오버리드^[17]
허상 포인터^[17]
입력 유효성 검사 오류:
코드 인젝션^[17]
웹 애플리케이션의 사이트 간 스크립팅^[17]
디렉터리 트래버설^[17]
이메일 인젝션^[17]
포맷 스트링 버그^[17]
HTTP 헤더 인젝션^[17]
HTTP 응답 스플리팅^[17]
SQL 삽입^[17]
경쟁 상태^[17]
검사 시점 대 사용 시점 버그^[17]
심볼릭 링크 경쟁^[17]
권한 혼동 버그:
웹 애플리케이션의 사이트 간 요청 위조^[17]
클릭재킹^[17]
FTP 바운스 공격^[17]
권한 확대^[17]
사이드 채널 공격^[17]
타이밍 공격^[17]
사용자 인터페이스의 장애^[17]
피해자 비난 및 사용자에게 응답하는 데 충분한 정보를 제공하지 않고 사용자에게 보안 결정을 유도^[40]
경쟁 조건^[41]^[42]
경고 피로^[43] 또는 사용자에 의한 조정

몇몇 코딩 가이드라인들이 개발되어 왔으며, 코드가 가이드라인을 따르는지 확인하는 수많은 정적 코드 분석기들이 사용된다.^[17]

9. 3. 네트워크

CIA 삼원칙은 정보 보안의 기반이다. 공격은 시스템 자원을 변경하거나, 조작에 영향을 주어 무결성이나 가용성을 손상시킬 때 '액티브'해질 수 있다. '패시브 공격'은 시스템에서 정보를 학습하거나 이용하려 하지만, 시스템 자원에는 영향을 주지 않고 기밀성이 손상된다.^[17]

OWASP(그림 참조)는 동일한 현상을 약간 다른 용어로 나타내고 있다. 공격 벡터를 통한 위협 에이전트는 시스템의 약점(취약성)과 관련된 보안 컨트롤을 악용하여 비즈니스에 영향을 미친다.

9. 4. 인적 요소

사회 공학 공격이나 내부자 위협과 같이 사람과 관련된 보안 취약점을 의미한다. 순수한 기술적 접근만으로는 물리적 자산조차 보호할 수 없다. 적절한 주의를 기울여 따르도록 동기를 부여하고, 시설 및 절차를 충분히 이해하도록 관리 절차가 필요하다.^[18]

취약점 악용의 예시는 다음과 같다.

공격자가 사용자가 악성코드가 들어있는 이메일 메시지를 열게 만든다.^[17]
내부자가 보호되고 암호화된 프로그램을 USB 플래시 드라이브에 담아와서 집에서 크랙한다.^[17]

참조

_[1] 웹사이트 基礎知識　セキュリティホールとは？ https://www.soumu.go[...] 2020-09-19
_[2] 웹사이트 脆弱性（ぜいじゃくせい）とは？｜どんな危険があるの？｜基礎知識｜国民のための情報セキュリティサイト https://www.soumu.go[...] 2020-09-19
_[3] 간행물 Information technology -- Security techniques-Information security risk management ISO/IEC
_[4] 간행물 Information technology -- Security techniques -- Management of information and communications technology security -- Part 1: Concepts and models for information and communications technology security management British Standard Institute
_[5] 표준 Internet Security Glossary, Version 2 Internet Engineering Task Force
_[6] 웹사이트 CNSS Instruction No. 4009 http://www.cnss.gov/[...] 2020-12-21
_[7] 웹사이트 FISMApedia http://fismapedia.or[...] 2020-12-21
_[8] 웹사이트 Term:Vulnerability http://fismapedia.or[...] 2020-12-21
_[9] 문서 NIST SP 800-30 Risk Management Guide for Information Technology Systems http://csrc.nist.gov[...]
_[10] 웹사이트 Glossary http://www.enisa.eur[...] 2020-12-21
_[11] 간행물 Technical Standard Risk Taxonomy The Open Group 2009-01
_[12] 문서 An Introduction to Factor Analysis of Information Risk (FAIR) http://www.riskmanag[...] Risk Management Insight LLC 2020-12-21
_[13] 서적 Data & Computer Security: Dictionary of standards concepts and terms Stockton Press
_[14] 보고서 A Critical Analysis of Vulnerability Taxonomies Department of Computer Science at the University of California at Davis 1996-09
_[15] 서적 Handbook of INFOSEC Terms, Version 2.0 Idaho State University & Information Systems Security Organization 1996
_[16] 웹사이트 NIATEC Glossary http://niatec.info/G[...]
_[17] 표준 Internet Security Glossary, Version 2 Internet Engineering Task Force
_[18] 문서 ISACA THE RISK IT FRAMEWORK http://www.isaca.org[...] ISACA
_[19] 서적 Computer and Information Security Handbook Elsevier Inc
_[20] 간행물 Information technology -- Security techniques-Information security risk management ISO/IEC
_[21] 보고서 Technical Report CSD-TR-97-026 The COAST Laboratory Department of Computer Sciences, Purdue University 1997-04-15
_[22] 뉴스 Just give up: 123456 is still the world's most popular password https://www.theregis[...] The Register 2017-01-17
_[23] 서적 Computer and Information Security Handbook Elsevier Inc
_[24] 서적 Computer and Information Security Handbook Elsevier Inc
_[25] 웹사이트 The Six Dumbest Ideas in Computer Security http://www.ranum.com[...] 2020-12-21
_[26] 웹사이트 The Web Application Security Consortium / Web Application Security Statistics http://projects.weba[...] 2020-12-21
_[27] 보고서 Why Cryptosystems Fail University Computer Laboratory, Cambridge 1994-01
_[28] 서적 When Technology Fails: Significant Technological Disasters, Accidents, and Failures of the Twentieth Century Gale Research Inc. 1994
_[29] 서적 Hacking: The Art of Exploitation Second Edition
_[30] 서적 Information systems security: facing the information society of the 21st century Chapman & Hall
_[31] 서적 Computer and Information Security Handbook Elsevier Inc
_[32] 서적 Computer and Information Security Handbook Elsevier Inc
_[33] 웹사이트 The new era of vulnerability disclosure - a brief chat with HD Moore http://www.thetechhe[...] 2010-08-24
_[34] 웹사이트 Browse - Content - SecurityStreet http://blog.rapid7.c[...] 2020-12-21
_[35] 웹사이트 A Call for Better Coordinated Vulnerability Disclosure - MSRC - Site Home - TechNet Blogs http://blogs.technet[...] 2015-01-12
_[36] 웹사이트 Category:Vulnerability http://www.owasp.org[...] 2020-12-21
_[37] 웹사이트 Operating System Vulnerabilities, Exploits and Insecurity https://www.welivese[...] 2015-03-10
_[38] 웹사이트 Most laptops vulnerable to attack via peripheral devices http://www.scienceda[...] University of Cambridge
_[39] 간행물 Exploiting Network Printers https://oaklandsok.g[...] Institute for IT-Security, Ruhr University Bochum
_[40] 웹사이트 blaming the victim http://blog.mozilla.[...] 2007-10-21
_[41] 웹사이트 Jesse Ruderman » Race conditions in security dialogs http://www.squarefre[...] 2020-12-21
_[42] 웹사이트 lcamtuf's blog http://lcamtuf.blogs[...] 2020-12-21
_[43] 웹사이트 Warning Fatigue http://www.freedom-t[...] 2020-12-21
_[44] 웹사이트 ネットワークセキュリティ関連用語集（アルファベット順）：IPA 独立行政法人情報処理推進機構 https://www.ipa.go.j[...] 2020-09-19
_[45] 웹인용 The Three Tenets of Cyber Security https://web.archive.[...] U.S. Air Force Software Protection Initiative 2009-12-15
_[46] 문서 Vulnerability Management
_[47] 간행물 Information technology -- Security techniques-Information security risk management ISO/IEC
_[48] 간행물 Information technology -- Security techniques -- Management of information and communications technology security -- Part 1: Concepts and models for information and communications technology security management British Standard Institute
_[49] 간행물 Internet Security Glossary Internet Engineering Task Force
_[50] 간행물 Internet Security Glossary Internet Engineering Task Force
_[51] 웹인용 ISACA THE RISK IT FRAMEWORK (registration required) http://www.isaca.org[...] 2015-11-09
_[52] 서적 Computer and Information Security Handbook https://archive.org/[...] Elsevier Inc
_[53] 간행물 Information technology -- Security techniques-Information security risk management ISO/IEC
_[54] 웹인용 Technical Report CSD-TR-97-026 The COAST Laboratory Department of Computer Sciences, Purdue University 1997-04-15
_[55] 웹사이트 An Introduction to Factor Analysis of Information Risk (FAIR) http://www.riskmanag[...] Risk Management Insight LLC 2006-11
_[56] 서적 Computer and Information Security Handbook https://archive.org/[...] Elsevier Inc
_[57] 웹인용 The Six Dumbest Ideas in Computer Security http://www.ranum.com[...]
_[58] 웹인용 The Web Application Security Consortium / Web Application Security Statistics http://projects.weba[...]
_[59] 문서 Ross Anderson
_[60] 문서 Neil Schlager
_[61] 서적 Hacking: The Art of Exploitation Second Edition
_[62] 서적 Information systems security: facing the information society of the 21st century Chapman & Hall, Ltd
_[63] 서적 Computer and Information Security Handbook https://archive.org/[...] Elsevier Inc
_[64] 웹인용 The new era of vulnerability disclosure - a brief chat with HD Moore https://web.archive.[...] 2015-11-09

본 사이트는 AI가 위키백과와 뉴스 기사,정부 간행물,학술 논문등을 바탕으로 정보를 가공하여 제공하는 백과사전형 서비스입니다.
모든 문서는 AI에 의해 자동 생성되며, CC BY-SA 4.0 라이선스에 따라 이용할 수 있습니다.
하지만, 위키백과나 뉴스 기사 자체에 오류, 부정확한 정보, 또는 가짜 뉴스가 포함될 수 있으며, AI는 이러한 내용을 완벽하게 걸러내지 못할 수 있습니다.
따라서 제공되는 정보에 일부 오류나 편향이 있을 수 있으므로, 중요한 정보는 반드시 다른 출처를 통해 교차 검증하시기 바랍니다.

문의하기 : help@durumis.com