보안 트렌드를 읽기 전, 꼭 알아야 할 용어들

최신 보안 용어 6선 ​

 

 

진화하는 악성코드만큼이나 보안 용어도 복잡하고 어렵다. 특히 많은 보안 용어들이 약자로 표현되고 있어, 이를 알지 못하면 대화의 내용을 파악하기 힘들 정도이다. 그렇다면 최근 이슈가 되고 있는 보안 용어에는 어떤 것들이 있을까? 어떤 용어들이 새롭게 생겨났으며, 어떤 용어가 보안 업계의 상황을 반영하고 있을까? 수많은 보안 ​​​​용어 가운데 보안 트렌드를 이해하기 위해 꼭 알아야 할 몇 가지 용어를 소개하고자 한다. 이 용어를 익혀두면 빠르게 변화하고 있는 보안 트렌드에 대해 좀더 나은 정보를 얻게 될 것이다.​

​​​​

 

 

​위협 인텔리전스(TI, Threat Intelligence)

“RSA Conference 2015의 주요 핵심 테마는 TI이며, 키노트 주제로는 TI, Data Analytics, Cloud 등이 공통적인 내용이다. 대다수의 글로벌 벤더들이 APT와 같은 보안 위협에 대응하기 위해서 GTI가 중요하며, 이를 위해서는 벤더간 정보 공유가 필요하다는 것에 공감대를 형성하고 있다.

 

이에 따라 TIP와의 연동을 고려해 CPE, STIX, TAXII, CybOX를 준비해야 한다. 또한 지난해와 달리 EDR 벤더 40여 개사 참가하는 등 관련 분야가 각광받고 있는 것을 확인할 수 있었다."

 

RSA 콘퍼런스 2015에 다녀온 동료가 이렇게 얘기해준다면 얼마나 이해할 수 있을까? 실제로 RSA 콘퍼런스 2015의 주제는 TI였으며, 최근 몇 년간 보안 관련 콘퍼런스에서 가장 많이 언급되는 단어 역시 TI이다.

 

여기서 말하는 TI는 위협 인텔리전스(Threat Intelligence)의 약자이며, 관련하여 GTI(Global Threat Intelligence), TIP(Threat Intelligence Platform), TISS(Threat Intelligence Security Service) 등과 같은 표현도 많이 사용된다.

 

시장조사 기관 가트너에서는 위협 인텔리전스(Threat Intelligence)에 대해 ‘증거를 기반하는 지식으로, 기업의 IT나 정보자산에 위협이 될 수 있는 부분에 실행 가능한 조언을 콘텍스트나 메커니즘, 지표 등으로 제시하는 정보’로 정의하고 있다. 

 

또한 IDC에서는 위협 인텔리전스란 ‘기업 내부의 과거 보안 사건 정보뿐만 아니라 기업 커뮤니티, 관련 안티바이러스나 취약점 관련 정보를 가진 벤더와의 커뮤니티, 국가 보안 커뮤니티의 정보를 보안 위협의 대응에 활용하는 것’을 의미하며, 이를 인터랙티브 인텔리전스(interactive Intelligence)라고도 표현한다. 

 

위협 인텔리전스와 관련한 메타데이터 표준 포맷 프로젝트의 약자는 다음과 같다. 

 

√ STIX(Structure Threat Information eXpression): 사이버 위협 정보 관련 표준 √​ TAXII (Trusted Automated eXchange of Indicator Information): 사이버 위협 정보 전송 규격 √​ CVE(Common Vulnerabilities and Exposures): 공격 취약점 관련 표준 √​ CPE(Common Platform Enumeration): 공격 타깃 플랫폼 관련 표준 √​ MAEC(Malware Attribute Enumeration and Characterization): 악성코드 속성 정보 관련 표준 √​ CybOX(Cyber Observables eXpression): 사이버 운영 오브젝트 관련 표준 √​ MMDEF(Malware Metadata Exchange Format): 악성코드 정보 공유 관련 표준

 

참고로 가트너에서는 EDR(Endpoint Detection & Response)이란 엔드포인트 레벨에서 지속적인 모니터링과 대응을 제공하는 보안 솔루션으로 정의하고 있다.

 

 

 

사이버 킬 체인(Cyber Kill Chain)

APT(Advanced Persistent Threat)라고 불리는 지능형 위협 공격을 설명하는데 주로 사용되는 용어 중 하나가 ‘사이버 킬 체인(Cyber Kill Chain)’이다. 킬 체인(Kill Chain)은 세계적인 군수업체 록히드마틴의 등록상표로, 적의 미사일을 실시간으로 탐지하고 공격으로 잇는 일련의 공격형 방위시스템을 일컫는 시사 용어이다. 이 용어가 IT 보안 업계에서는 공격자가 조직을 공격할 때 쓰는 방법을 7개의 단계로 정의한 모델로서 사이버 킬 체인으로 표현되고 있는 것이다.  사이버 킬 체인의 7단계는 ▲정찰(Reconnaissance) ▲공격코드 제작(Weaponization) ▲전달(Delivery) ▲취약점 공격(Exploitation) ▲설치(Installation) ▲명령 및 제어(Command and Control) ▲목표시스템 장악(Actions on objectives) 등이다.

 

 

 

머신 러닝(Machine Learning)

머신 러닝은 인공 지능의 한 분야로, 컴퓨터가 주어진 데이터의 패턴을 검증하고 컴퓨터 스스로​가 학습하는 것을 말한다. 가령, 머신 러닝을 통해서 수신한 이메일이 스팸인지 아닌지를 구분할 수 있도록 훈련할 수 있다.

 

 

 

익스플로잇(Exploit)

TTA(한국정보통신기술협회) 용어 사전에 따르면 익스플로잇(Exploit)은 컴퓨터나 컴퓨터 관련 전자제품의 보안 취약점을 이용한 공격 방법으로 정의하고 있다. 취약점 공격은 주로 공격 대상 컴퓨터의 제어 권한 획득이나 서비스 거부 공격(DoS) 등을 목적으로 한다. 취약점 공격에는 보안 취약점의 종류에 따라 BOF 취약점 공격, CSRF 취약점 공격, XSS 취약점 공격 등이 있다.

 

 

 

멀버타이징(Malvertising)

멀버타이징은 멀웨어(Malware)와 애드버타이징(Advertising)의 합성어로, 온라인 인터넷 광고에 악성코드를 포함해 사용자들을 공격하는 형태를 일컫는다.

 

 

 

워터링 홀 공격(Watering Hole Attack)

‘워터링 홀 공격’이라는 명칭은 사자가 먹이를 습격하기 위해 물웅덩이(watering hole) 근처에서 매복하고 있는 형상을 빗댄 것으로, 표적 공격이라고도 한다. 공격자는 공격 대상이 주로 방문하는 웹사이트에 대한 정보를 사전에 파악한 후 제로데이 취약점 등을 이용해 해당 사이트에 악성코드를 심어둔다. 사용자는 해당 웹사이트에 접속하기만 해도 악성코드에 감염될 수 있다