[정보처리기사 실기] 2022년 3회 08 - 용어

 

 

 

08 다음 설명에서 괄호(①, ②)에 들어갈 알맞은 용어를 쓰시오.

ㆍ(   ①   )은 컴퓨터 보안에 있어서, 인간 상호 작용의 깊은 신뢰를 바탕으로 사람들을 속여 정상 보안 절차를 깨트리기 위한 비기술적 시스템 침입을 의미한다. ㆍ(   ②   )는 특정 목적을 가지고 데이터를 수집하였으나, 이후 활용되지 않고 저장만 되어있는 대량의 데이터를 의미한다. 미래에 사용될 가능성을 고려하여 저장 공간에서 삭제되지 않고 보관되어 있으나, 이는 저장 공간의 낭비뿐만 아니라 보안 위험을 초래할 수도 있다.

 

 

 

답

① 사회공학, Social Engineering

② 다크데이터, Dark Data

 

 

 

해설

 

사회공학

: 인간적인 수준에서의 보안
- 스피어 피싱(Spear Phishing): 사회 공학의 한 기법으로, 특정 대상을 선정한 후 그 대상에게 일반적인 이메일로 위장한 메일을 지속적으로 발송하여, 발송 메일의 본문 링크나 첨부된 파일을 클릭하도록 유도해 사용자의 개인정보를 탈취함

다크데이터

: 저장되어 있으나 관리하지 않는 분석이나 활용되지 않는 방치된 데이터

세션 하이재킹(Session Hijacking)
: 상호 인증 과정을 거친 후 접속해 있는 서버와 서로 접속되어 클라이언트 사이의 세션 정보를 가로채는 공격 기법

- 접속을 위한 인증 정보 없이도 가로챈 세션을 이용해 공격자가 원래의 클라이언트인 것처럼 위장하여 서버의 자원이나 데이터를 무단으로 사용함
- TCP 3-Way-Handshake 과정에 끼어듦으로써 클라이언트와 서버 간의 동기화된 시퀀스 번호를 가로채 서버에 무단으로 접근하는 TCP 세션 하이재킹이 대표적

ARP Soofing
: ARP의 취약점을 이용한 공격 기법으로, 자신의 물리적 주소(MAC)를 공격대상의 것으로 변조하여 공격대상에게 도달해야 하는 데이터 패킷을 가로채거나 방해함

스미싱(Smishing)

: 문자 메시지(SMS)를 이용해 사용자의 개인 신용 정보를 빼내는 수법

타이포스쿼팅(Typosquatting)

: 네티즌들이 사이트에 접속할 때 주소를 잘못 입력하거나 철자를 빠뜨리는 실수를 이용하기 위해 이와 유사한 유명 도메인을 미리 등록하는 일로, URL 하이재킹(Hijacking)이라고도 함

APT(Advanced Persistent Threats, 지능형 지속 위협)
: 다양한 IT 기술과 방식들을 이용해 조직적으로 특정 기업이나 조직 네트워크에 침투해 활동 거점을 마련한 뒤 때를 기다리면서 보안을 무력화시키고 정보를 수집한 다음 외부로 빼돌리는 형태의 공격

무작위 대입 공격(Brute Force Attack)
: 암호화된 문서의 암호키를 찾아내기 위해 적용 가능한 모든 값을 대입하여 공격하는 방식

큐싱(Qshing)
: QR코드를 통해 악성 앱의 다운로드를 유도하거나 악성 프로그램을 설치하도록 하는 금융사기 기법

SQL 삽입(Injection) 공격
: 전문 스캐너 프로그램 혹은 봇넷 등을 이용해 웹사이트를 무차별적으로 공격하는 과정에서 취약한 사이트가 발견되면 데이터베이스 등의 데이터를 조작하는 일련의 공격 방식

크로스 사이트 스크립팅(XSS: Cross Site Scripting)
: 네트워크를 통한 컴퓨터 보안 공격의 하나로, 웹 페이지의 내용을 사용자 브라우저에 표현하기 위해 사용되는 스크립트의 취약점을 악용한 해킹 기법

스니핑(Sniffing)
: 네트워크의 중간에서 남의 패킷 정보를 도청하는 해킹 유형의 하나로 수동적 공격에 해당함