용어사전

Supply Chain Attack. 소프트웨어 공급 과정에 침투하여 정상 업데이트에 악성코드를 삽입하는 공격 기법.

Privilege Escalation. 일반 사용자 권한에서 관리자 권한으로 접근 수준을 높이는 공격 기법.

Obfuscation. 코드의 기능은 유지하면서 분석을 어렵게 만드는 기법. 공격자는 탐지 우회에, 방어자는 지적재산 보호에 사용한다.

Ransomware. 파일을 암호화하고 복호화 대가로 금전을 요구하는 악성코드.

Loader. 추가 악성코드를 다운로드하여 실행하는 1차 악성코드. 최종 페이로드 배포 전 정찰과 환경 확인 역할을 수행한다.

Rootkit. 시스템에 깊숙이 숨어 탐지를 회피하면서 지속적인 접근 권한을 유지하는 악성코드.

Firewall. 네트워크 트래픽을 모니터링하고 보안 규칙에 따라 허용 또는 차단하는 네트워크 보안 장치.

Backdoor. 정상적인 인증을 우회하여 시스템에 접근할 수 있는 비밀 통로.

Botnet. 악성코드에 감염된 다수의 컴퓨터가 공격자의 명령을 받아 동작하는 좀비 네트워크.

Beacon. C2 서버와 주기적으로 통신하여 명령을 수신하는 악성코드 모듈. Cobalt Strike 비콘이 대표적이다.

Social Engineering. 기술적 공격이 아닌 심리적 조작을 통해 사람을 속여 정보를 탈취하는 공격 기법.

Spoofing. IP, MAC, DNS 등의 정보를 위조하여 다른 시스템이나 사용자로 위장하는 네트워크 공격 기법.

Spear Phishing. 특정 개인이나 조직을 표적으로 맞춤형으로 제작된 피싱 공격.

Endpoint. 네트워크에 연결된 개별 장치(PC, 서버, 모바일). 공격자의 최종 침투 대상이자 EDR의 보호 범위.

Watering Hole. 타깃이 자주 방문하는 웹사이트를 감염시켜 접속 시 악성코드를 배포하는 공격 기법.

Worm. 자가 복제하여 네트워크를 통해 스스로 전파되는 악성코드.

Exploit. 소프트웨어의 취약점을 이용하여 의도하지 않은 동작을 유발하는 코드 또는 기법.

Zero Trust. 네트워크 내부라도 신뢰하지 않고 모든 접근에 지속적 검증을 요구하는 보안 아키텍처.

Keylogger. 사용자의 키보드 입력을 몰래 기록하여 비밀번호 등 민감 정보를 탈취하는 악성코드.

Cyber Kill Chain. 록히드마틴이 정의한 사이버 공격의 7단계 모델. 정찰부터 목표 달성까지의 공격 흐름을 체계화한다.

Trojan Horse. 정상 프로그램으로 위장하여 악성 기능을 수행하는 악성코드.

Fileless. 디스크에 파일을 남기지 않고 메모리에서만 실행되는 공격 기법. 전통적 안티바이러스의 파일 스캔을 우회한다.

Payload. 악성코드에서 실제 악의적 행위를 수행하는 핵심 코드 부분.

Digital Forensics. 침해사고 발생 후 디지털 증거를 수집, 분석하여 공격 경로와 피해 범위를 규명하는 조사 기법.

Prompt Injection. LLM에 악의적 지시를 삽입하여 의도하지 않은 동작을 유발하는 AI 보안 위협.

Phishing. 신뢰할 수 있는 기관을 사칭하여 개인정보나 자격증명을 탈취하는 사회공학 공격.

Hash. 임의 길이의 데이터를 고정 길이 값으로 변환하는 일방향 함수. 무결성 검증과 비밀번호 저장에 사용된다.

Lateral Movement. 초기 침투 후 내부 네트워크에서 다른 시스템으로 이동하며 접근 범위를 확대하는 공격 단계.

Microsoft의 디렉터리 서비스. 도메인 내 사용자, 그룹, 컴퓨터, 정책을 중앙 관리하며, Fortune 1000 기업의 95%가 사용한다.

Advanced Encryption Standard. 128/192/256비트 키를 사용하는 대칭 암호화 알고리즘. Kerberos에서 RC4를 대체하는 권장 암호화 방식.

Adversary-in-the-Middle. 공격자가 클라이언트와 서버 사이에 프록시를 배치하여 인증 토큰을 실시간으로 탈취하는 공격. MFA를 우회할 수 있다.

Antimalware Scan Interface. Windows의 악성코드 방지 스캔 인터페이스로, 스크립트 기반 공격 탐지에 사용된다.

Application Programming Interface. 소프트웨어 간 데이터를 교환하는 인터페이스. OWASP API Security Top 10이 주요 취약점을 정의한다.

Advanced Persistent Threat. 특정 대상을 목표로 장기간 은밀하게 진행되는 지능형 지속 공격.

Active Directory 공격 경로 분석 도구. LDAP과 Kerberos를 열거하여 도메인 내 권한 상승 경로를 그래프로 시각화한다.

Command and Control. 공격자가 감염된 시스템을 원격으로 제어하기 위한 통신 인프라.

Cloud Access Security Broker. 클라우드 서비스와 사용자 사이에서 보안 정책을 적용하는 중개 보안 솔루션.

Computer Emergency Response Team. 사이버 침해사고에 대응하는 전문 조직. 한국에서는 KrCERT/CC가 운영된다.

Cybersecurity and Infrastructure Security Agency. 미국 사이버보안 및 인프라 보안국. 취약점 경고와 보안 가이드를 발행한다.

상용 침투 테스트 프레임워크. 비콘 기반 C2 통신을 제공하며, 크랙 버전이 실제 공격에 광범위하게 악용된다.

클라우드 기반 엔드포인트 보안 플랫폼. Falcon 센서를 통한 위협 탐지와 글로벌 위협 인텔리전스 보고서(GTR)로 알려져 있다.

Cross-Site Request Forgery. 사용자가 인증된 상태에서 공격자가 의도한 요청을 모르게 실행하게 만드는 웹 취약점.

Common Vulnerabilities and Exposures. 공개된 보안 취약점에 부여되는 고유 식별 번호 체계.

Common Vulnerability Scoring System. 취약점의 심각도를 0~10 점수로 평가하는 국제 표준 체계.

도메인 컨트롤러의 복제 프로토콜을 악용하여 AD 데이터베이스의 비밀번호 해시를 원격으로 추출하는 공격 기법.

Distributed Denial of Service. 다수의 시스템에서 동시에 대량의 트래픽을 보내 서비스를 마비시키는 공격.

Digital Forensics and Incident Response. 디지털 포렌식과 침해사고 대응을 통합한 분야. 증거 수집부터 원인 규명까지 수행한다.

Dynamic Link Library. Windows에서 프로그램 간 코드를 공유하는 라이브러리 파일. DLL Sideloading, Injection 등 악성코드 로딩에 악용된다.

Demilitarized Zone. 비무장지대. 외부 인터넷과 내부 네트워크 사이에 위치한 완충 네트워크 영역.

Domain Name System. 도메인 이름을 IP 주소로 변환하는 시스템. 공격자들이 C2 통신이나 데이터 유출에 악용하기도 한다.

컨테이너 기반 애플리케이션 배포 플랫폼. 컨테이너 탈출, 노출된 Docker API, 악성 이미지 등이 주요 공격 벡터.

Data Protection API. Windows에서 자격증명, 쿠키, 인증서 등을 암호화하는 시스템 API. 마스터 키를 탈취하면 저장된 비밀번호를 복호화할 수 있다.

Endpoint Detection and Response. 엔드포인트에서 위협을 탐지하고 대응하는 보안 솔루션.

Event Tracing for Windows. Windows의 고성능 이벤트 추적 메커니즘으로, 보안 모니터링과 포렌식에 활용된다.

File Transfer Protocol. 파일 전송 프로토콜. 평문 통신으로 보안에 취약하여 SFTP 사용이 권장된다.

Kerberos 인증에서 KRBTGT 계정의 해시로 위조한 TGT. 도메인 내 모든 자원에 무제한 접근이 가능해진다.

Group Policy Object. Active Directory에서 사용자와 컴퓨터에 정책을 일괄 적용하는 메커니즘. 공격자가 GPO를 수정하면 도메인 전체에 악성코드를 배포할 수 있다.

Hash-based Message Authentication Code. 해시 함수와 비밀 키를 결합하여 메시지의 무결성과 인증을 동시에 검증하는 방식.

HyperText Transfer Protocol. 웹 통신의 기반 프로토콜. 무상태(stateless) 특성으로 인해 세션 관리와 인증에 별도 메커니즘이 필요하다.

HTTP에 TLS 암호화를 적용한 프로토콜. 전송 중 데이터를 보호하지만, 악성 트래픽도 암호화하기 때문에 보안 도구의 가시성을 제한한다.

Identity and Access Management. 사용자 신원 확인과 접근 권한 관리 체계. 클라우드 환경에서 과도한 권한이 침해 사고의 주요 원인.

Industrial Control System. 산업제어시스템. 발전소, 수처리장 등 핵심 인프라를 운영하는 시스템으로 사이버 공격의 고가치 표적이다.

Intrusion Detection System. 네트워크나 시스템의 침입을 탐지하는 보안 시스템.

Windows 네트워크 프로토콜(SMB, MSRPC, LDAP, Kerberos 등) 조작을 위한 Python 라이브러리. DCSync, NTLM Relay 등 AD 공격에 널리 사용된다.

브라우저 비밀번호, 쿠키, 세션 토큰, 암호화폐 지갑 등을 탈취하는 악성코드. 초기 접근 브로커(IAB)가 수집 데이터를 판매한다.

Indicator of Compromise. 침해 지표. 시스템이 공격당했음을 나타내는 증거로, IP, 해시, 도메인 등이 포함된다.

Intrusion Prevention System. 침입 탐지뿐 아니라 실시간으로 악성 트래픽을 차단하는 보안 시스템.

JSON Web Token. 당사자 간 정보를 안전하게 전달하기 위한 JSON 기반 토큰 표준. 인증과 권한 부여에 널리 사용된다.

AD 환경에서 서비스 계정의 Kerberos 티켓을 요청한 뒤 오프라인으로 비밀번호를 크래킹하는 공격 기법.

네트워크 인증 프로토콜. 티켓 기반으로 사용자와 서비스 간 안전한 인증을 제공하며, Active Directory의 기본 인증 방식.

컨테이너 오케스트레이션 플랫폼. RBAC 미설정, 노출된 API 서버, Secret 관리 미흡이 주요 보안 위협.

Lightweight Directory Access Protocol. 디렉터리 서비스에 접근하기 위한 프로토콜로, Active Directory에서 사용자·그룹·컴퓨터 객체를 조회하고 수정하는 데 사용된다.

Large Language Model. 대규모 언어 모델. 방대한 텍스트로 학습한 AI 모델로, 프롬프트 인젝션 등 새로운 보안 위협의 대상이다.

Local Security Authority. Windows 보안 정책을 관리하고 사용자 인증을 처리하는 핵심 보안 서브시스템.

Local Security Authority Subsystem Service. LSA의 실행 프로세스로, 메모리에 인증 정보를 보유하여 공격자의 주요 타겟이 된다.

Master Boot Record. 하드디스크의 첫 번째 섹터에 위치한 부트 레코드로, 운영체제 부팅에 필수적인 정보를 담고 있다.

Managed Detection and Response. 외부 보안 전문가가 탐지·분석·대응을 대행하는 매니지드 서비스. SOC 인력 부족 시 대안.

오픈소스 침투 테스트 프레임워크. 익스플로잇 모듈과 페이로드 생성 기능을 제공하여 취약점 검증에 사용된다.

Multi-Factor Authentication. 2개 이상의 인증 요소를 결합한 인증 방식. AiTM 프록시나 세션 토큰 탈취로 우회될 수 있다.

Windows 자격증명 추출 도구. LSASS 메모리에서 평문 비밀번호와 해시를 덤프하며, AD 환경 침투의 대표적 도구.

MITRE가 개발한 사이버 공격자의 전술과 기법을 체계적으로 분류한 지식 기반 프레임워크.

Network Address Translation. 사설 IP를 공인 IP로 변환하는 네트워크 기술. 내부 네트워크 구조를 외부로부터 은닉한다.

Network Detection and Response. 네트워크 트래픽을 분석하여 위협을 탐지하고 대응하는 솔루션. EDR의 네트워크 버전.

National Institute of Standards and Technology. 미국 국립표준기술연구소. 사이버보안 프레임워크(CSF)와 각종 보안 표준을 발행한다.

Network Mapper. 네트워크 스캐닝 도구. 포트 상태, 서비스 버전, OS 탐지 등 네트워크 정찰의 기본 도구.

Active Directory 도메인 컨트롤러에서 사용자 계정, 그룹, 비밀번호 해시 등 모든 AD 데이터를 저장하는 데이터베이스 파일.

NT LAN Manager. Windows의 레거시 인증 프로토콜로, 보안 취약점으로 인해 Kerberos 사용이 권장된다.

Open Authorization. 제3자 애플리케이션에 제한된 리소스 접근 권한을 부여하는 인증 프레임워크. 토큰 탈취와 동의 피싱 공격의 대상.

Open Source Intelligence. 공개된 정보원(SNS, 도메인 정보, 검색엔진 등)에서 정보를 수집하는 정보 수집 기법.

Open Worldwide Application Security Project. 웹 애플리케이션 보안을 위한 비영리 재단. OWASP Top 10 취약점 목록으로 유명하다.

Privilege Attribute Certificate. Kerberos 티켓에 포함된 권한 정보로, 사용자 SID와 그룹 멤버십을 담고 있다. Golden Ticket 공격에서 위조 대상.

PtH. 비밀번호 원문 대신 해시 값을 사용하여 인증을 통과하는 횡적 이동 기법. NTLM 인증의 구조적 취약점을 악용한다.

FIDO2 기반 비밀번호 없는 인증 방식. 공개키 암호학을 사용하여 피싱에 구조적으로 저항하는 차세대 인증 표준.

Microsoft의 명령줄 셸 및 스크립팅 언어. 시스템 관리에 강력하지만 공격자들도 악용하는 도구.

Ransomware as a Service. 랜섬웨어를 구독형 서비스로 제공하는 사이버 범죄 비즈니스 모델. 개발자와 운영자(Affiliate)가 수익을 분배한다.

Remote Access Trojan. 원격 접근 트로이목마. 공격자가 감염된 시스템을 원격으로 완전히 제어할 수 있게 해주는 악성코드.

스트림 암호화 알고리즘. 빠른 속도가 장점이나 여러 취약점이 발견되어 현재는 사용이 권장되지 않는다.

Remote Code Execution. 원격에서 임의의 코드를 실행할 수 있는 심각한 보안 취약점.

Remote Desktop Protocol. Windows 원격 데스크톱 프로토콜. 무차별 대입 공격과 취약점 공격의 주요 대상.

공개키 암호화 알고리즘. 두 개의 큰 소수를 이용한 비대칭 암호화 방식으로, 전자서명과 키 교환에 널리 사용된다.

Kerberos 공격 도구. Kerberoasting, AS-REP Roasting, 티켓 위조, S4U 남용 등 다양한 Kerberos 공격을 지원하는 C# 도구.

Security Account Manager. Windows에서 로컬 사용자 계정과 비밀번호 해시를 저장하는 데이터베이스.

Security Assertion Markup Language. SSO 구현에 사용되는 XML 기반 인증 표준. Golden SAML 공격으로 인증 토큰을 위조할 수 있다.

Security Identifier. Windows에서 사용자, 그룹, 컴퓨터 계정을 고유하게 식별하는 값. Golden Ticket 공격에서 도메인 SID가 필요하다.

Security Information and Event Management. 보안 이벤트를 수집, 분석하여 위협을 탐지하는 통합 보안 관리 시스템.

벤더 독립적인 탐지 룰 형식. YAML로 작성되어 Splunk, Elastic, Sentinel 등 다양한 SIEM으로 변환 가능한 오픈소스 표준.

서비스 계정의 해시로 위조한 Kerberos 서비스 티켓. KDC를 거치지 않고 특정 서비스에 직접 접근할 수 있어 탐지가 어렵다.

Server Message Block. Windows 파일 공유 프로토콜. EternalBlue 등 주요 취약점의 대상이 되어왔다.

Simple Mail Transfer Protocol. 이메일 전송에 사용되는 프로토콜로, 스피어피싱과 BEC(Business Email Compromise) 공격의 주요 벡터.

Security Orchestration, Automation and Response. 보안 도구 간 연동과 대응 자동화를 위한 플랫폼.

Security Operations Center. 조직의 보안 이벤트를 24시간 모니터링하고 대응하는 보안 운영 센터.

로그 수집·분석·시각화 플랫폼. SPL(Search Processing Language)로 보안 이벤트를 쿼리하며, SOC의 핵심 SIEM 도구.

Service Principal Name. Kerberos에서 서비스를 식별하는 고유 이름. SPN이 설정된 서비스 계정은 Kerberoasting 공격 대상이 될 수 있다.

SQL Injection. 입력값에 SQL 구문을 삽입하여 데이터베이스를 조작하는 공격. OWASP Top 10의 대표적 웹 취약점.

Secure Shell. 암호화된 원격 접속 프로토콜. 안전한 원격 관리를 위해 사용된다.

Single Sign-On. 하나의 인증으로 여러 서비스에 접근할 수 있는 통합 인증 방식. 편의성과 보안성을 동시에 제공한다.

Server-Side Request Forgery. 서버가 공격자가 지정한 내부 리소스에 요청을 보내도록 유도하는 취약점. 클라우드 메타데이터 탈취에 악용된다.

Structured Threat Information eXpression. 위협 인텔리전스 정보를 표준화된 형식으로 교환하기 위한 구조화된 언어.

기존 탐지 룰에 걸리지 않는 위협을 능동적으로 탐색하는 활동. 가설 기반으로 로그와 텔레메트리를 분석한다.

Transport Layer Security. 네트워크 통신을 암호화하여 데이터의 기밀성과 무결성을 보장하는 프로토콜.

Tactics, Techniques, and Procedures. 공격자의 전술, 기법, 절차를 체계화한 개념으로, MITRE ATT&CK 프레임워크의 핵심 요소.

Virtual LAN. 물리적 네트워크를 논리적으로 분리하는 기술. 네트워크 세분화를 통해 횡적 이동을 제한한다.

메모리 포렌식 분석 프레임워크. 메모리 덤프에서 프로세스, 네트워크 연결, 악성코드 흔적을 추출하는 오픈소스 도구.

Virtual Private Network. 공용 네트워크를 통해 안전한 암호화된 연결을 제공하는 기술.

Web Application Firewall. 웹 애플리케이션 앞단에서 악성 요청을 필터링하는 보안 장비. SQL 인젝션, XSS 등을 차단한다.

데이터 파괴를 목적으로 하는 악성코드. 랜섬웨어와 달리 복구를 허용하지 않으며, 국가 지원 공격에서 주로 사용된다.

오픈소스 네트워크 패킷 분석 도구. 네트워크 트래픽을 캡처하고 프로토콜을 분석하여 보안 조사와 문제 해결에 사용된다.

Windows Management Instrumentation. Windows 시스템 관리를 위한 인프라로, 원격 명령 실행에 악용될 수 있다.

Extended Detection and Response. 엔드포인트, 네트워크, 클라우드, 이메일 등 다양한 텔레메트리를 통합 분석하는 탐지·대응 플랫폼.

Cross-Site Scripting. 웹 애플리케이션에 악성 스크립트를 삽입하여 사용자 정보를 탈취하는 공격.

패턴 기반 악성코드 식별 룰. 바이너리 패턴과 문자열 조합으로 악성코드 패밀리를 분류하며, 위협 인텔리전스에 필수 도구.

제로데이. 소프트웨어 벤더가 인지하지 못한 취약점 또는 패치가 배포되기 전의 취약점을 이용한 공격.

Zero Trust Network Access. 제로트러스트 원칙에 기반한 네트워크 접근 방식. VPN을 대체하여 애플리케이션 단위 접근 제어를 제공한다.