취약점 및 성능 테스트, 보안, 취약점 용어정리

1. 성능 테스트

 

1.1.Test : 테스트란 시스템의 성능을 시험하는 것을 말한다. 단위 테스트, 통합 테스트, 사용자 인수 테스트가 있다. 단위 테스트는 개별 시스템의 기능을 테스트하는 것이고, 통합 테스트는 전체 시스템의 상호 작용을 테스트하는 것이고, 사용자 인수 테스트(UAT)는 수요기관 담당자가 개발 결과물을 인수하기 전에 최종 테스트하는 것을 말한다.

1.2. UAT : User Acceptance Test의 약자로서, 사용자 인수 테스트를 말한다. 시스템 개발 시 개발업체가 단위 테스트와 통합 테스트를 마친 후 검수를 요청하면, 수요기관 담당자가 사용자 인수 테스트를 진행한다.

1.3.JMeter : 제이미터는 아파치재단에서 만든 공개형 웹서비스 부하 테스트툴이다. Apache JMeter라고 한다. 웹 애플리케이션 등 다양한 서비스의 성능을 분석하고 측정하기 위한 GUI 기반의 오픈소스 무료 테스트 도구이다.

1.4.GTMetrix : 지티메트릭스는 캐나다 밴쿠버에 있는 Gossamer Threads 회사가 개발한 웹사이트 무료 성능 테스트툴이다. gtmetrix.com 사이트에 접속하여 테스트하고자 하는 웹페이지의 주소를 입력하면, 실시간으로 속도 등 성능을 테스트하여 결과를 출력해 준다.

1.5.LoadRunner : 로드러너는 응용 프로그램의 성능 테스트툴이다. 특정 응용 프로그램에 대해 수천 명의 사용자들이 한꺼번에 몰리는 경우 발생할 수 있는 부하를 테스트해 준다. 2006년 미국 HP 회사가 Mercury Interactive 회사로부터 이 제품을 인수하여, HP LoadRunner라고 불린다.

1.6.Validator : 밸리데이터는 HTML 문서의 타당성이나 문법적 정확성을 체크하기 위해 사용하는 컴퓨터 프로그램이다. W3C가 제공하는 W3C Markup Validation Service가 있다. W3C HTML Validator는 HTML 문법 준수 여부를 체크하고, W3C CSS Validator는 CSS 표준 문법 준수 여부를 체크한다.

1.7.APM : Application Performance Management의 약자로서, 애플리케이션의 성능 관리 설루션을 말한다. APM 제품에는 ㈜제니퍼소프트의 Jennifer, ㈜티맥스소프트의 SysMaster 등이 있다.

1.8.Jennifer : 제니퍼는 복잡하고 다양한 시스템을 효율적으로 관리하는 애플리케이션 성능 관리(APM) 솔루션이다. 2005년 한국의 ㈜제니퍼소프트가 개발했다. APM 설루션 분야에서 한국 시장점유율 1위이다. 경쟁 제품에는 ㈜티맥스소프트가 개발한 SysMaster 등이 있다.

1.9.SysMaster : 시스마스터는 ㈜티맥스소프트가 개발한 애플리케이션 성능 관리(APM) 솔루션이다. 실시간 상태 모니터링, 장애 원인 분석 및 대응 등의 기능을 수행한다. 2014년 GS 인증을 획득했다. 경쟁 제품에는 ㈜제니퍼소프트가 개발한 Jennifer가 있다.

 

취약점

 

2. 보안

 

2.1.Security : 보안(保安)이란 정보에 대한 접근 권한이 없는 사람이 해당 정보를 열람, 복사, 수정할 수 없도록 필요한 조치를 취함으로써 정보를 안전하게 보호하는 것을 말한다. 기밀보안(機密保安)이라고도 한다. 관리적 보안, 물리적 보안, 기술적 보안이 있다. 관리적 보안이란 정보 접근 권한이 있는 사람에게 보안서약서를 징구하고 보안교육을 실시하는 등 정보를 안전하게 보호하도록 관리, 감독감독, 교육하는. 물리적 보안이란 출입 통제 장치, CCTV, 잠금장치(=시건장치) 등을 설치하여 정보 접근 권한이 없는 사람이 해당 정보가 있는 공간에 접근하는 것을 물리적으로 차단하는 것을 말한다. 기술적 보안이란 개인정보 등 민감한 정보를 암호화하여 저장하고, 웹취약점 점검과 시큐어코딩을 통해 소스코드에 대한 보안 조치를 취하며, 네트워크를 통한 해킹을 막는 등 각종 기술적 조치를 취함으로써 정보를 안전하게 보호하는 것을 말한다.

2.2.Hacking : 해킹이란 컴퓨터나 네트워크에 접속할 권한이 없는 사람이 보안 취약점을 이용하여 침입한 후 파일 열람, 복사, 변조 등의 행위를 하는 것을 말한다.

2.3.Secure Coding : 시큐어코딩이란 인터넷 홈페이지나 소프트웨어 개발 시 보안 취약점을 악용한 해킹 등 내외부 공격으로부터 시스템을 안전하게 방어할 수 있도록 코딩하는 것을 말한다. ‘소프트웨어 개발 보안’이라고 한다.

 

 

3. 취약점

 

3.1.Vulnerability : 취약점(脆弱點)이란 해킹 등의 공격에 의해 시스템의 정보 신뢰도가 저하될 수 있는 약점을 말한다. ‘보안 취약점’이라고 한다. 예를 들어, SQL Injection, XSS, RFI, CSRF, APT 등의 해킹 공격에 의해 시스템 보안이 뚫리지 않도록 해야 한다. OWASP 10대 웹 보안 취약점, 국가정보원 8대 웹 보안 취약점, 전자정부 보안 취약점 등이 있다. 웹 보안 취약점을 체크하기 위한 툴에는 ZAP, Yasca, BigLook WASS, Sparrow, N-Stalker 등이 있다. 시큐어코딩(Secure Coding), 모의해킹, 보안패치 등을 통해 웹 보안 취약점을 감소 또는 제거할 수 있다.

3.2.OWASP : The Open Web Application Security Project의 약자로서, 오픈소스 웹 애플리케이션 보안 프로젝트를 말한다. 웹사이트의 정보노출, 악성 파일 및 스크립트, 보안 취약점 등을 연구한다. OWASP TOP 10은 웹 애플리케이션 취약점 중에서 빈도가 많이 발생하고, 보안상 영향을 크게 줄 수 있는 것 10가지를 선정하여 발표하는데, 2004년, 2007년, 2010년, 2013년, 2017년을 기준으로 10대 보안 취약점을 선정하여 발표했다. 오픈소스 기반의 웹 보안 취약점 점검 툴인 OWASP ZAP을 개발하여 무료로 배포하고 있다.

3.3.SQL Injection : 에스큐엘 인젝션은 웹브라우저 주소 창 또는 사용자 ID 및 패스워드 입력 화면에서 데이터베이스 SQL 문에 사용되는 문자기호(‘ 및 “)를 사용하여 SQL 문으로 해석될 수 있도록 조작하는 해킹 기법이다. 가장 대표적인 웹 보안 취약점으로서, iBatis나 MyBatis 같은 표준 프레임워크에는 기본적으로 SQL Injection 공격을 방어하는 기능을 가지고 있다.

3.4.XSS : Cross-Site Scripting의 약자로서, 웹사이트 관리자가 아닌 사람이 웹페이지에 악성 스크립트를 삽입할 수 있는 웹 보안 취약점을 말한다. ‘크로스 사이트 스크립트’ 또는 ‘사이트 간 스크립트’라고 한다.

3.5.RFI : Remote File Inclusion의 약자로서, 공격자가 웹서버의 취약점을 이용하여 원격에서 악성 파일을 실행함으로써 시스템을 공격하는 해킹을 말한다.

3.6.CSRF : Cross-Site Request Forgery의 약자로서, 사이트 간 요청 위조 공격을 말한다. 웹 보안 취약점의 일종이다. 신뢰할 수 있는 사용자가 로그인을 한 후 CSRF 공격 코드가 삽입된 웹페이지를 열면, 공격 대상이 된 사이트는 해당 사용자를 신뢰하여 그 명령을 수행함으로써 결과적으로 공격에 노출된다. CSRF 해킹 공격을 통해 실제로 2008년 옥션(Auction) 사이트에서 1,863만 건의 개인정보가 유출되었다.

3.7.APT : Advanced Persistent Threat의 약자로서, 지능형 지속 공격을 말한다. 웹 보안 취약점의 일종이다. 해커가 특정 개인에게 이메일을 보내 해당 PC에 몰래 악성코드를 설치한 뒤, 평균 1년, 길게는 5년 이상의 긴 시간 동안 지속적으로 해당 PC를 이용하여 그 개인이 소속된 기관이나 기업의 기밀정보를 복사하거나 파괴하는 등의 공격을 하는 해킹 기법이다. 2013년 3월 20일 APT 공격에 의해 대한민국의 주요 방송사와 금융사의 전산망이 일제히 마비되는 ‘전산대란’ 사건이 발생했다.

 

 

4. 보안 설루션

 

4.1.Security Solution : 보안 설루션이란 정보에 대한 접근 권한이 없는 사용자로부터 정보를 안전하게 보호하기 위해 각종 기술적 방어 조치를 취한 설루션을 말한다. 웹 보안 취약점 점검 설루션에는OWASP가 만든 ZAP, 무료 소스코드 진단 도구인 Yasca, 오픈소스로 배포되는 소스코드 분석기인 PMD와 SonarCube, 미국 스탠퍼드 대학교가 개발한 LAPSE+, ㈜이븐스타가 개발한 BigLook, BigLook WASS, BigLook Fuzzer, ㈜파수닷컴의 개발한 Sparrow 등의 제품이 있다. PC 보안 솔루션에는 내PC지키미, nProtect 등이 있고, 서버 보안 설루션으로Red Castle과 Wapples 등이 있고, DB 암호화 솔루션으로 D’Amo 등이 있다.

4.2.ZAP : Zed Attack Proxy의 약자로서, OWASP가 만든 무료 오픈소스 기반의 웹 취약점 점검 툴이다. 정식 이름은 OWASP ZAP이다. 자바 언어로 개발되었고, Linux, Windows, OS X 등 다양한 운영체제(OS)에서 작동한다. 플러그인 방식으로 다양한 기능을 추가할 수 있다. 전 세계 25개 언어로 번역되어 있다.

4.3.Yasca : 야스카는 웹 보안 취약점 점검을 위해 무료로 사용할 수 있는 소스코드 진단 도구이다. Yasca는 Yet Another Source Code Analyzer의 약자이다. 2007년 Michael Scovetta가 개발했고, 2010년 2.2 버전이 출시되었다. 무료 오픈소스라는 장점은 있지만, 점검 결과 각 항목에 대한 자세한 설명이 부족하다는 단점이 있다. Java, JavaScript, PHP,. NET, ASP, C/C++, Perl, Python, VB, CSS, HTML 등 다양한 프로그래밍 언어로 작성한 소스코드의 취약점을 진단할 수 있다.

4.4.PMD : 자바 프로그램의 오류나 비효율적인 코드를 찾아주는 소스코드 분석기이다. 기본적으로 제공되는 탐색 규칙 이외에 사용자가 직접 원하는 규칙을 정하여 자바 소스코드의 오류나 비효율적인 부분을 찾아낼 수 있다. 공식적으로는 어떤 것의 약자도 아니지만, 비공식적으로는 Programming Mistake Detector의 약자로 알려져 있다. Apache License 등을 따르는 오픈소스 무료 소프트웨어이다.

4.5.SonarQube : 소나큐브는 프로그램 코드의 품질을 체크해 주는 오픈소스 툴이다. Eclipse에서 사용할 수 있는 SonarQube 플러그인이 무료로 제공되고 있다.

4.6.LAPSE+ : 랩스 플러스는 미국 스탠퍼드 대학교에서 개발한 보안 취약점 탐지 및 분석 툴이다. 자바 응용 프로그램을 개발하기 위한 통합개발환경(IDE)인 이클립스(Eclipse)에 플러그인 방식으로 추가하여 사용한다.

4.7.N-Stalker : 엔스토커는 웹 취약점 점검 툴이다. SQL injection, XSS 등 다양한 웹 보안 취약점을 점검해 준다. 모든 기능을 제공하는 기업용 Enterprise Edition과 가격 대비 성능이 좋은 Infrastructure Edition 및 제한된 기능을 가진 무료 제품인 Free Edition이 있다.

 

 

5. 버그 

 

5.1.Bug : 버그란 컴퓨터 프로그램의 코딩 오류를 말한다. 1946년 미국 하버드 대학교(Harvard University)의 그레이스 호퍼(Grace Hopper)는 당시 Mark II 컴퓨터에 나방 한 마리가 들어가 오류를 일으킨 사건을 소개하면서, ‘벌레’라는 뜻을 가진 버그(bug)라는 용어를 처음 사용했다. 이러한 버그를 찾아서 수정하는 것을 디버깅(debugging)이라고 한다.

5.2.Debugging : 디버깅이란 컴퓨터 프로그램의 코딩 오류인 버그(bug)를 찾아서 수정하는 것을 말한다.

5.3.Patch : 패치란 기존 프로그램의 버그나 보안 취약점을 수정하거나 기능 개선을 위해 만든 업데이트 프로그램을 말한다.

5.4.Bugzilla : 버그질라는 1998년 테리 와이스만(Terry Weissman)이 개발한 오픈소스 기반의 버그 추적 및 테스트 프로그램이다. 모질라 재단에서 관리하고 있다. Mozilla Public License를 따른다. 마스코트는 버기(Buggie)이다. 경쟁 제품은 지라(JIRA)이다.

5.5.JIRA : 지라는 2002년 호주의 아틀라시안(Atlassian) 회사가 개발한 버그 및 이슈 추적 프로그램이다. 지라는 일본의 괴물 영화인 고질라(ゴジラ, Godzilla)에서 따온 이름으로, JIRA라고 대문자로 쓴다. 경쟁 제품은 버그질라(Bugzilla)이다.

5.6.FindBugs : 파인드벅스는 자바 프로그램의 버그를 찾아주는 오픈소스 기반의 코드 분석기이다. 자바의 소스코드가 아니라 바이트코드(bytecode)를 분석하여 버그 패턴을 탐지한다. 단독 실행형도 있고, Eclipse나 Jenkins 등에 플러그인 방식으로 삽입하여 사용하는 것도 있다.

 

 

6. PC 보안

 

6.1.My PC Keeper : 내PC내 PC지킴이는 개인 PC의 보안상태를 점검하기 위한 보안점검 툴이다. 2009년 국가정보원과 국가보안기술연구소에서 배포하였다. 안랩 내PC지키미, 이스트소프트의 알약 내 PC지킴이PC 등의 제품이 있다. 내PC내 PC지킴이는 개인 PC의 메모리에 상주하면서, 로그인 패스워드 변경 여부 체크, 화면 보호기 설정 여부 체크, 공유 폴더 체크, USB 허용 여부 체크, 바이러스 백신 설치 여부 체크, 최신 보안 패치 설치 여부 체크 등을 수행한다. 정부 및 공공기관 PC에 주로 설치되어 있다. 일단 개인 PC에 설치되면, 관리자의 승인이 없이는 삭제가 불가능하다.

6.2.nProtect : 엔프로텍트는 ㈜잉카인터넷이 개발한 PC 보안 설루션이다.PC에 몰래 설치된 바이러스 및 스파이웨어 등 악성코드를 탐지하고 치료해 준다. 2015년 11월 출시된 nProtect AVS 4.0 제품의 경우 행위기반탐지 기능과 하드디스크의 MBR 보호 기능이 추가되었다.

6.3.XecureWeb : 제큐어웹은 ㈜한컴시큐어(구 소프트포럼㈜)가 개발한 웹 보안 설루션이다.PC에 설치된다.

6.4.V3 : ㈜안랩(AhnLab)이 개발한 컴퓨터 바이러스 치료용 백신 프로그램이다. ‘브이쓰리’라고 읽는다. PC 및 서버용 보안 설루션 제품이 있다. 1988년 서울대 의대 박사과정 학생이었던 안철수가 개발했다. V3의 인기가 높아지자 1995년 회사를 설립하고, V3 Pro, V3 Lite 등 다양한 제품을 개발했다.

 

 

7. 서버 보안

 

7.1.Red Castle : 레드캐슬은 SGA솔루션즈㈜가 개발한 서버 보안 설루션이다., 서버 로그인 인증, 파일 위변조 탐지 및 차단 등의 기능을 가지고 있다.

7.2.Secuve TOS : 시큐브토스는 ㈜시큐브가 개발한 보안 운영체제 설루션이다.. 보안 설루션의 일종이다. 한국의 보안 운영체제(Secure OS) 시장점유율 1위 제품이다. CC 인증을 받았다.

7.3.Wapples : 와플즈는 펜타시큐리티시스템㈜가 만든 웹 방화벽 제품이다. 보안 설루션의 일종이다.

7.4.SpamSniper : 스팸스나이퍼는 ㈜지란지교시큐리티가 개발한 스팸 메일 및 바이러스 차단 기능을 가진 보안 설루션이다.

7.5.WebFilter : 웹필터는 지란지교소프트가 개발한 개인정보 유출방지 필터링 설루션이다..

 

 

8. DB 암호화

 

8.1.DB Encryption : DB 암호화란 데이터베이스의 내용을 암호화하는 것을 말한다. 주민등록번호, 신용카드번호 등 민감한 개인정보를 데이터베이스에 저장한 경우, 해킹 등으로 유출될 것에 대비하여 DB 내용을 암호화하는 것이 필요하다. DB 암호화 설루션에는펜타시큐리티시스템㈜의 디아모(D’Amo), ㈜한컴시큐어의 제 큐어 디비(XecureDB), ㈜케이사인의 시큐어디비(SecureDB) 등이 있다.

8.2.D’Amo : 디아모는 한국의 펜타시큐리티시스템㈜가 개발한 DB 암호화 솔루션이다. 보안 설루션의 일종이다.

8.3.XecureDB : 제 큐어 디비는 ㈜한컴시큐어가 제작한 DB 암호화 솔루션이다. 보안 설루션의 일종이다. 2015년 12월 기존 소프트포럼㈜에서 ㈜한컴시큐어로 회사명을 변경하였다.

8.4.SecureDB : 시큐어디비는 ㈜케이사인이 개발한 DB 암호화 솔루션이다.

8.5.Chakra : 샤크라는 한국의 ㈜웨어밸리가 개발한 데이터베이스 보안 설루션 제품이다.

 

 

9. 인증

 

9.1.GS 인증 : Good Software 품질 인증을 말한다. 인증 기관은 한국정보통신기술협회(TTA)이다. ISO 국제표준을 기준으로 SW의 기능성, 신뢰성, 효율성, 사용성, 유지보수성, 이식성, 성능, 상호운용성, 연동성, 적합성 등을 테스트하여 인증을 부여한다.

9.2.CC 인증 : Common Criteria for Information Technology Security Evaluation의 약자로서, 국제공통평가기준 인증을 말한다. 각 국가마다 상이한 평가 기준을 연동시키고 평가 결과를 상호 인증하기 위해 제정된 국제 공통 평가 기준을 말한다.

9.3.ePrivacy : 이프라이 버시란 개인정보보호 우수 사이트에 부여하는 인증마크를 말한다. 개인정보보호협회가 주관하고 있다. 개인정보보호 인증마크를 획득하기 위해서는 개인정보의 수집, 개인정보의 이용 및 관리, 이용자의 권리, 공개 및 책임, 만 14세 미만 아동에 대한 특별조치, 이용자 권리구제 등의 심사항목을 통과해야 한다. 유사한 마크로 i-Safe 안전마크가 있다.

9.4.i-Safe : 아이세이프는 인터넷 사이트 안전마크이다. 개인정보보호, 시스템 보안, 소비자 보호에 대해 평가하여 일정한 기준을 통과하는 경우 마크를 부여한다. 1999년 인터넷 모범 상점 인증제도로 시작되어, 2002년 인터넷 사이트 안전마크로 변경되었다. 한국정보통신산업협회가 주관하다가 2012년부터 개인정보보호협회(OPA)가 주관하고 있다. 일반 인터넷 사이트에 대한 안전마크는 녹색 마크이지만, 금융이나 의료 등 고도의 보안이 필요한 웹사이트에는 노란색 마크를 부여한다. 유사한 마크로 ePrivacy 인증마크가 있다. (*)