용어 500선 404 ~ 500

404. 배포되는 실행파일이 정당한 제작자에 의해 제작되었고 위변조되지 않았는지 확인하는 방법. 안드로이드의 경우 개발자가 서명하고 ios은 CA를 통해 서명한다. 객체서명이라고도 함.
 - 코드 서명

405. 정보 기술의 보안 및 통제 지침에 관한 표준 프레임워크를 제공하는 실무 지침서. ISACA에 의해 발표되었다. 업무 영역, 비즈니스 요구사항, IT 자원으로 구성.
 - 코빗CobiT

406. 음악, 동영상 등 디지털 콘텐츠의 불법 복제 및 유통 방지를 위한 기술적, 관리적 수단.
 - 콘텐츠 보안

407. 사물통신M2M, 사물인터넷IoT과 같은 대역폭이 제한된 통신 환경에 최적화되어 개발된 레스트REST 기반의 경량 메시지 전송 프로토콜. 기본의 HTTP 웹 프로토콜과도 쉽게 변환, 연동된다

- 코앱CoAP

+ 교재에는 콘텐츠 보안과 코앱 순서가 뒤바뀐 듯. 검색해보니 이게 코앱 맞다

408. 웹 서버가 웹 브라우저에게 보내 저장했다가, 서버의 요청이 있을 때 다시 보내주는 문자열 정보.
 - 쿠키

409. 웹 브라우저의 쿠키를 훔치거나 엿보거나 하는 해킹 기법. 쿠키에는 보안상 민감한 정보도 들어있다.
 - 쿠키 스니핑

410. 큐알코드 + 피싱의 합성어. QR 코드를 통해 악성 링크로 접속 유도. 스마트폰의 금융정보를 주로 노린다.
 - 큐싱

411. 흑백 격자 무늬 패턴. 매트릭스 형식의 이차원 바코드.
 - 큐알코드

412. 불법 활동을 조장하기 위해 만들어진 컴퓨터 프로그램들. 스파이웨어, 브라우저 하이젝커, 키로거 등등. 피싱킷.
 - 크라임웨어

413. 허가받지 않은 시스템에 침입하여 정보를 훔치거나 프로그램을 훼손하는 등 불법 행위를 하는 사람. 레드 해커.
 - 크래커

414. 게시물에 입력값 규제가 없는 경우, 이를 악용하여 게시물을 열람한 타 사용자의 pc로부터 정보를 유출할 수 있는 보안 취약점.
 - 크로스사이트 스크립팅 취약점CSS(XSS)

415. 가상통화와 탈취의 합성어. 타겟의 PC자원을 이용해 가상통화를 채굴하는 공격기법.
 - 크립토재킹

416. 클라우드 서비스 제공자가 아웃소싱 형태로 가상화된 데스크톱 환경을 사용자에게 제공하는 서비스 모델.
 - 클라우드 데스크톱 서비스

417. 마우스 클릭과 하이잭킹의 합성어. 아이프레임 태그를 쓴 눈속임 공격 기법. 알아채지 못하게 어떤 것을 클릭하도록 속이는 것. 스크립트 기능과 플러그인 기능을 무효화하거나 아이프레임을 활성화하지 않는 대응책이 있음
 - 클릭잭킹
+ 브라우저 하이재킹 : 브라우저 설정을 변경하는 악성 소프트웨어

418. 주제, 프로그램, 객체의 세 부분 관계를 사용한 무결성 보호 모델. 프로그램을 통하여 객체에 접근하도록 한다. 또 중대한 기능을 둘 이상의 부분으로 분리하여 서로 다른 주체가 각 부분을 완수하게 한다.
 - 클락윌슨 모델

419. 암호화 기준이 되는 숫자나 문자로 된 기호.
 - 키

420. 키의 생성, 등록, 인가, 취소, 분배, 설치, 저장, 압축 등을 감독하는 것.
 - 키 관리

421. 고유한 키를 생성하고 분배해주는 신뢰할 수 있는 센터. 키를 나누는 각 객체에게 리스크가 적다.
 - 키 분배센터

422. Key space. 또는 Key Domain. 암호키에 대한 가능한 값들의 범위.
 - 키 영역

423. 사용자에 의한 모든 키 입력을 기록하고 컴퓨터가 반환하는 응답의 모든 문자를 기록한다.
 - 키 입력 감시

424. 암호키를 저장하는 파일. 키 파일 도난 여부를 확인할 수 있고 공격자에게 제약적 요인이 된다. 별도의 디스크에 저장하는 것이 좋다.
 - 키 파일

425. 공개키 암호 알고리즘에 사용되는 개인키와 공개키 쌍.
 - 키 페어

426. 사용자 키보드 움직임을 탐지해 ID나 패스워드, 계좌번호 등 중요 정보를 몰래 빼 가는 해킹 공격. (트로이목마 공격 형태)
 - 키로거 공격

427. 고객 편의를 위해 공공장소에 설치된 컴퓨터 자동화 시스템.
 - 키오스크

+ 전자투표: PSEV(오프라인 투표기), 키오스크(온라인 집계), REV(원격)

428. 분실한 정보기기를 원격으로 저작해 데이터를 삭제하고 사용을 막는 일종의 자폭 기능.
 - 킬 스위치

429. 이산대수 문제의 어려움을 이용하는 암호시스템. 비교적 짧은 키 길이, 빠른 연산속도, 동일한 수준의 보안강도를 제공한다. (ECC 160 비트 = RSA 1024 비트)
 - 타원곡선 암호ECC

430. 컴퓨터 산업에서 새로 출시될 소프트웨어의 에러나 보안상의 허점, 보안이 깨지는 원인을 찾아내기 위해 만든 특수팀. 해킹 전문가팀.
 - 타이거 팀

431. 유명 도메인과 비슷한 도메인을 미리 등록하는 일 URL 하이재킹. naver의 경우 never 같은 도메인을 선점.
 - 타이포스쿼팅

432. 아이폰 잠금장치를 해제해 설치된 OS의 관리자 권한을 획득하는 것.
 - 탈옥
+ 안드로이드 : 루팅

433. 장비나 시스템의 기능, 보안을 저하시키는 방식. 변경하는 인가를 받지 않은 수정(=부당  변경)
 - 탬퍼링
+ 탬퍼 프로프 : 부당변경 방지

434. 개방된 인터넷 망을 안전한 네트워크의 일부로 사용하는 방법. 데이터 패킷을 특정 사용자들끼리만 유효한 패킷으로 변환해 논리적인 터널을 만드는 것. VPN에 필수적.
 - 터널링

435. 시험검증을 위해 실제 환경과 유사하게 구축된 시험공간. 재현가능한 테스트를 수행하기 위함.
 - 테스트베드

436. 전 세계에서 자발적으로 제공되는 가상 컴퓨터와 네트워크를 여러 차례 경유하면서 사용자 인터넷 접속 흔적을 추적할수 없게 하는 서비스. 인터넷의 지하공간. 차단된 사이트를 익명으로 방문가능. 범죄의 온상. 경로를 알 수 없도록 암호화 기법을 사용한다. 자유 소프트웨어. 토르 브라우저를 사용
 - 토르 네트워크

437. 사용자를 인증하기 위해 송수신되는 하드웨어 또는 소프트웨어의 한 종류.
 - 토큰

438. 구내정보통신망LAN 방식의 하나. 토큰 통과 방식을 채용한 고리형 통신망. 항상 한 개의 토큰 신호가 고리에 연결된 각 단말을 포착한다.
 - 토큰링 네트워크

439. 다양한 보안 솔루션 기능을 하나로 통합한 보안 솔루션. 방화벽IDS, 침입방지시스템IPS, 가상사설망VPN, 데이터베이스DB 보안 등등. 보안기능간 시너지를 내면서 보다 쉽게 관리 운영.
 - 통합위협관리UTM

440. 암호화된 메시지 내용을 파악하는 것은 불가능하더라도, 메시지 송신자와 수신자의 신원에 대한 정보나 메시지 존재 자체에 대한 정보를 획득할 수 있다.
 - 트래픽 분석

441. 트래픽 분석을 방지하기 위해서 본래 데이터 흐름에 임의의 암호문 등 방해 데이터를 흘려서 정보 유출을 막는 방법
 - 트래픽 패딩

442. 시스템 설계자나 유지보수자가 편의상 고의로 컴퓨터 보안에 구멍을 남겨놓은 것. 백도어와 유사함. 해킹에 악용될 수 있다.
 - 트랩도어

443. 인터넷을 통해 목직저를 찾아가면서 거치는 구간의 정보를 기록하는 유틸리티.
 - 트레이스 라우트 trace route

444. 정상 프로그램으로 가장해 다른 프로그램 안에 숨어있다가, 실행될 때 악성 프로그램을 활성화한다. 자기복사X
 - 트로이목마

445. 합법적 사용자의 도메인을 탈취하거나 DNS 또는 프록시 서버의 주소를 변조함으로써, 피싱사이트로 접속하도록 유도하여 정보를 탈취하는 공격기법
 - 파밍
+ 피싱(피싱사이트), 파밍(도메인/DNS 변조), 스미싱(문자메시지), 스피어 피싱(특정타겟), 큐싱(큐알) 구분

446. 다운로드 파일의 위치에 제한조건을 부여하지 않아, 지정된 파일 외의 위치에 접근하거나 다운로드 할 수 있는 취약점. 다운로드 기능을 제공하면서 제한조건을 부여하지 않았을 경우 URL칸의 인수값에 ../ 등을 입력하여 접근한다.
 - 파일 다운로드 취약점

447. 기억 장소에만 존재하며, 취약점을 이용해 네트워크로 전파되는 웜. 파일형태가 아니라서 파일검사 기반 백신 프로그램으로 한계가 있다
 - 파일리스 웜

448. 파일 업로드에 대한 규제가 없을 경우, 악성 스크립트를 업로드하여 수행될 수 있는 보안 취약점. (시스템 운영 명령어를 실행시켜 공격)
 - 파일 업로드 취약점

449. 응용층에서 응용 프로세스간 특정 응용 업무의 통신 목적 달성을 위한 기능을 제공하는 요소ASE 중 하나. 이기종 컴퓨터간 파일 전체 전송, 다른 컴퓨터 시스템의 파일에 접근 하는 등.
 - 파일 전송 접근 및 관리 FTAM

450. TCP/IP 프로토콜을 사용해 파일 전송 인터넷 프로토콜. 암호화X. 제어채널은 21, 데이터 채널은 20 PORT 사용
 - 파일 전송 프로토콜 FTP

451. 파일이 저장된 클러스터들의 위치를 제공하는 파일 배치표
 - 파일할당표FAT

452. 디스크 드라이브 등 기억장치를 여러 논리적 영역으로 나누는 것. 하나의 디스크를 여러 논리 디스크로 사용하거나, 여러 디스크를 하나의 장치처럼 합쳐 사용.
 - 파티션

453. 패킷 도착 시간이 조금씩 다른 것. 음성이나 동영상 패킷이 전달될 때 고르지 않게 전달되는 것. 동영상 품질이 고르지 않게 된다.
 - 파형 난조

454. 허가없이 접속하는 것을 방지하기 위한 안전 대책의 한 가지. 정당한 사용자임을 식별하기 위한 고유의 문자열. 
 - 패스워드

455. 합법적 사용자의 패스워드 키를 입수하거나 복호화하려는 시도.
 - 패스워드 공격

456. 보안취약점을 보완하기 위해 배포되는 보안 패치 파일을 원격으로 자동 설치, 관리해주는 시스템. 패치 준비단계, 패치 분배단계로 나뉜다. 인터넷과 분리하여 운영하지 않으면 공격자가 악성코드를 침투시킬 수 있다.
 - 패치관리 시스템PMS

457. 컴퓨터들 간을 이동하는 데이터를 감시하는 장치, 프로그램.
 - 패킷 스니퍼

458. 특정 주소나 발신원 주소 등을 가진 패킷의 통과를 제한하는 것. 라우터나 브리지, 침입차단시스템(방화벽) 등에서 사용하는 기술. 포트번호를 근거로 필터링.
 - 패킷 필터링

459. 네트워크에서 한 번에 보낼 수 있는 크기만큼 쪼개서 패킷을 발송하고, 수신자가 쪼개진 패킷 정보를 바탕으로 재조합하여 데이터를 처리하는 개념.
 - 패킷 단편화

460. 자동화 또는 반자동화된 소프트웨어 테스트 기법. 유효한, 예상치 않은 또는 무작위 데이터를 입력하는 것. 이후 충돌이나 예외 등에 대한 감시가 이루어진다. 무작위 테스팅 형식.
 - 퍼징

461. 전자 우편함에 접근하기 위해 사용하는 프로토콜. 가장 일반적으로 POP3 사용. 110 PORT 사용. 발신 프로토콜은 SMTP(25 포트)이다.
 - 포스트 오피스 프로토콜POP

462. 이식 가능한 운영체제 인터페이스.
 - 포직스POSIX

463. 스위치 포트를 통과하는 패킷들을 감시 또는 관찰하기 위해 패킷들을 다른 스위치 포트로 복사하는 행위. IDS 또는 IPS에서 사용
 - 포트 미러링

464. 잘 알려진 접속구 번호(포트 번호)와 연계하여 어느 컴퓨터가 어느 서비스를 제공하는지 알기 위해 일련의 메시지를 보내 침입을 시도하는 것.
 - 포트 스캔

465. 특정 통신 포트를 개방하여 통신이 되도록 하는 것.
 - 포트 포워딩

466. Fork복제. 논리폭탄코드로 알려져 있다. 한 줄의 코드로 작성될 수 있으며, 자체를 반복적으로 계속 복사하도록 하여 모든 프로세스 표 엔트리를 장악하고 시스템을 폭발시킨다.
 - 포크 폭탄

467. 여러 단말 장치에 대해 순차적으로 송신 요구 유무를 문의하고 요구가 있을 때 단말 장치에 송신을 시작하도록 명령한다. 없을 때는 문의하도록 하는 전송 제어 방식.
 - 폴링

468. 일반 검색 엔진으로 검색이 가능한 인터넷 환경.
 - 표면 웹

469. 해킹 시도 대상의 관련 정보를 수집하는 사전 작업(구글 검색 등). 침입탐지 시스템 설치 여부, 사용자 목록, 하드웨어 사양 등등 정보 수집.
 - 풋프린팅

470. 개인의 사적인 영역을 침해받지 않을 권리.
 - 프라이버시

471. 인터넷에서 사용되는 전자 우편 보안 시스템의 하나.
 - 프라이버시 개선 메일PEM

472. 대리로 통신을 수행하는 장치나 기능. 보안을 위해 방화벽 시스템으로 사용되거나 캐시 저장 장치로 사용됨.
 - 프락시

473. 두 개 이상의 시스템 사이에 전송 타이밍을 동기화시키기 위해 사용하는 신호.
 - 프리앰블

474. 인증되지 않은 사용자를 특정 시스템 안에 포함시키고 고립시킨 후 감독하여 해당 사용자의 정보를 얻는 것
 - 피시볼

475. 개인정보 + 낚시의 합성어. 불특정 다수의 사용자에게 스팸등을 발송해 피싱 사이트로 유인하여 정보를 빼내는 공격 기법.
 - 피싱

476. 금융 + 기술. 금융 서비스 및 산업의 변화 통칭. 기술기반 금융서비스 혁신. ex) 모바일뱅킹, 앱카드
 - 핀테크

477. 지정한 IP 주소 통신 장비의 접속성을 확인하기 위한 명령. 통신 규약으로 ICMP 사용
 - 핑

478. 특정 컴퓨터의 사용자 정보를 볼 수 있는 유닉스 명령어. 로그인중인지 아닌지 등을 알 수 있다.
 - 핑거Finger

479. 디지털 콘텐츠를 구매할 때 구매자 정보를 삽입하여, 불법 배포 발견시 최초 배포자를 추적할 수 있는 기술. 공모 공격 가능. 유사한 기술로 워터마킹(저작권자 정보 삽입, 모든 콘텐츠에 동일)이 있다. 
 - 핑거프린팅

480. 드라이버 개발자와 하드웨어 개발자가 따라야 하는 윈도우 기본 표준
 - 하드웨어 추상화 계층 HAL

481. 사용자 입력이 요구되는 정보를 프로그램 소스에 기록하여 고정시키는 형태. 노출시 보안취약.
 - 하드 코딩

482. 인터넷 웹 페이지의 하이퍼 텍스트 문서를 만들기 위해 사용되는 기본 언어.
 - 하이퍼텍스트 생성언어HTML

483. 인터넷의 월드와이드웹WWW 서버와 WWW 브라우저가 파일 등의 정보를 송수신하는 데 사용되는 클라이언트/서버 규약. URL을 지정하는데 사용된다.
 - 하이퍼 텍스트 전송 프로토콜 HTTP

484. 오픈소스 암호화 라이브러리인 OpenSSL 소프트웨어 버그. OpenSSL은 데이터 송수신 암호화 프로토콜인데, 클라이언트와 웹서버간 암호화 통신이 제대로 되는지 확인할 때 사용하는 하트비트 프로토콜에서 취약점이 발견됨. 데이터 길이 검증을 제대로 수행하지 않는 점 때문. 시스템 메모리에 저장된 64kb 크기의 데이터를 외부에서 탈취할 수 있었다 
 - 하트블리드

485. 임의의 길이 문자열을 고정된 길이의 이진 문자열로 매핑하여 주는 함수.
 - 해시함수

486. 타인의 컴퓨터에 불법으로 접속하여 고장을 일으키거나 정보를 변조, 파괴하는 사람. 크래커.
 - 해커

487. 취약점을 이용하거나 알려진 공격 방법을 활용하여 시스템에 해를 끼치는 행위. 인가받지 않은 시스템에 불법으로 침투하거나 비인가 권한을 불법으로 갖는 행위.
 - 해킹

488. 정치적, 이념적 방향에 목적을 둔 해킹 활동. 해킹 + 액티비즘(정치적 행동주의)
 - 핵티비즘

489. 컴퓨터 침입자를 속이는 침입탐지기법 중 하나. 공격당하는 것처럼 보이게 하여 침입자를 추적하고 정보를 수집하는 역할. 꿀단지에 비유.
 - 허니팟

490. 보안 취약점이나 허점.
 - 허점

491. 호스트에서 감사 기록이나 들어오는 패킷 등을 검사해 침입을 탐지 및 감염 차단을 수행하는 시스템.
 - 호스트 기반 IPS (HIPS)

492. 안전한 IP 주소, 이메일 등을 리스트로 만드는 것
 - 화이트리스트

493. 선의의 해커. 취약한 보안시스템을 발견해 관리자에게 제보함으로써 블랙해커(크래커)의 공격을 예방하거나 퇴치한다.
 - 화이트해커

494. XML 문서의 일부분, 혹은 전체에 대한 암호화를 제공하여 기밀성 제공.
 - 확장성 생성언어XML 암호화

495. 디지털 콘텐츠에 대한 전자서명을 XML 문법을 사용하여 표현하고 연산, 검증하는 절차.
 - 확장성 생성언어XML 전자서명

496. PKI 기능을 XML 기반 애플리케이션에 용이하게 지원할 수 있는 공개키 관리 프로토콜.
 - 확장성 생성언어XML 키관리 명세서KMS

497. 공유된 자원 및 시스템에 대한 사용자의 접근권한을 명시하는 접근제어정책에 대한 표준화된 언어 제공을 위한 XML 기반 접근제어 언어.
 - 확장성 접근제어 생성언어XACML

498. 점대점 통신 규약PPP에서 규정된 인증 방식. 헤더에 인증방식 종류를 명시함으로써 NAS는 인증 방식에 관계없이 확장이 용이해진다.
 - 확장형 인증 프로토콜 EAP

499. 트랜스포드(전송) 레벨로 제어하는 침입 차단 시스템. 접속구 번호(포트)와 주소만으로 제어할 수 있다. 애플리케이션 형식의 게이트웨이를 전용 (개별) 게이트웨이로 개별 proxy를 사용 한다. 회로레벨(서킷) 게이트웨이는 범용 게이트웨이로 하나의 porxy를 사용한다.
 - 회로 레벨 게이트웨이CLG

500. Heap 메모리 영역에 뿌리듯이 쉘 코드를 채우는 방식. 공격자가 원하는 명령(쉘 코드)를 수행하기 위해 사용되는 기법. 자바스크립트를 이용한다.
 - 힙 스프레이 기법

+

해커의 공격 : 버퍼 오버플로우
→  대응책 : ASLR
→ 해커 : Nop Sled 또는 힙 스프레이