Vaulted

보안 및 암호화 용어집

Vaulted의 보안 개념을 쉬운 언어로 설명합니다.

AES-256-GCM

AES-256-GCM은 256비트 키를 사용하는 Advanced Encryption Standard와 Galois/Counter Mode를 결합한 대칭 암호화 알고리즘으로, 단일 연산으로 데이터 기밀성과 무결성 검증을 동시에 제공한다.

bcrypt

bcrypt는 Blowfish 블록 암호를 기반으로 한 비밀번호 해싱 함수로, 내장된 솔트와 조절 가능한 비용 인자를 포함한다. GPU와 전용 하드웨어에 의한 가속에 특히 저항하는 방식으로 계산 비용이 크도록 설계됐다.

GDPR

GDPR(General Data Protection Regulation, 일반 개인정보 보호법)은 조직이 EU와 유럽 경제 지역 내 개인의 개인정보를 어떻게 수집·처리·저장·공유하는지를 규율하는 유럽연합의 포괄적 데이터 보호법이다.

HIPAA

HIPAA(Health Insurance Portability and Accountability Act)는 보호 대상 건강 정보(PHI)로 알려진, 개인을 식별할 수 있는 건강 정보의 프라이버시와 보안을 보호하기 위한 국가 표준을 정하는 미국 연방법이다.

HMAC

HMAC(Hash-Based Message Authentication Code)은 암호화 해시 함수와 비밀 키를 결합하여 고정 크기 인증 코드를 생성하는 암호화 메커니즘으로, 수신자가 메시지의 무결성과 진본성을 모두 검증할 수 있게 한다.

JSON 웹 토큰

JSON 웹 토큰(JWT)은 RFC 7519에 정의된 간결하고 URL 안전한 토큰 형식으로, 두 당사자 간의 클레임을 디지털 서명된 JSON 객체로 표현하여 무상태 인증과 정보 교환을 가능하게 한다.

Nonce

Nonce(number used once)는 동일한 입력이 다른 출력을 생성하도록 보장하고 재생 공격과 패턴 분석을 방지하기 위해 암호화 연산에서 정확히 한 번만 사용되는 고유하고 일반적으로 무작위 또는 순차적인 값이다.

OAuth

OAuth 2.0은 사용자가 비밀번호를 제3자와 공유하지 않고도, 제3자 애플리케이션이 프로필이나 데이터 같은 다른 서비스의 사용자 리소스에 제한적으로 접근할 수 있게 하는 개방형 권한 부여 프레임워크다.

PBKDF2

PBKDF2(Password-Based Key Derivation Function 2)는 RFC 8018에 정의된 키 파생 알고리즘으로, 유사 무작위 함수(일반적으로 HMAC-SHA-256)를 패스워드와 솔트에 반복 적용해 무차별 대입으로 깨기 계산적으로 비싼 파생 키를 생성한다.

PCI-DSS

PCI-DSS(Payment Card Industry Data Security Standard)는 카드 소지자 데이터를 보호하고 신용카드 정보를 처리·저장·전송하는 모든 조직이 안전한 환경을 유지하도록 하기 위해 PCI Security Standards Council이 정한 보안 요구사항 집합이다.

RSA

RSA(Rivest-Shamir-Adleman)는 두 큰 소수의 곱을 인수분해하는 계산적 어려움에서 보안을 도출하는 비대칭 암호화 알고리즘으로, 암호화, 디지털 서명, 안전한 키 교환에 사용된다.

SHA-256

SHA-256(Secure Hash Algorithm 256-bit)은 SHA-2 패밀리의 암호화 해시 함수로, 임의 길이의 입력을 받아 출력이 입력에 대해 아무것도 드러내지 않도록 설계된 단방향 함수인 고정 256비트(32바이트) 다이제스트를 생성한다.

SOC 2

SOC 2(System and Organization Controls 2)는 AICPA가 개발한 감사 프레임워크로, 서비스 조직의 통제를 보안, 가용성, 처리 무결성, 기밀성, 프라이버시(이른바 Trust Services Criteria)에 대해 평가한다.

TLS/SSL

TLS(Transport Layer Security)는 네트워크를 통한 두 당사자 간 통신에 프라이버시, 데이터 무결성, 인증을 제공하는 암호화 프로토콜이다. SSL(Secure Sockets Layer)은 그 폐기된 전신으로, 현대의 "SSL" 언급은 거의 항상 TLS를 의미한다.

URL 프래그먼트

URL 프래그먼트는 해시 기호(#) 뒤에 나타나는 URL 부분이다. RFC 3986에 따라 브라우저는 프래그먼트를 클라이언트 측에서만 처리하며 서버로 보내는 HTTP 요청에는 절대 포함하지 않는다.

Web Crypto API

Web Crypto API는 암호화, 복호화, 키 생성, 해싱, 서명 등 브라우저에 네이티브로 구현된 암호화 프리미티브 모음에 JavaScript 인터페이스를 제공하는 W3C 표준이다.

감사 로그

감사 로그는 사용자 행위, 접근 시도, 구성 변경, 보안 이벤트를 포함한 시스템 이벤트와 활동의 시간순·변조 방지 기록으로, 책임성, 규제 준수, 포렌식 분석을 위해 유지된다.

공개 키 기반 구조

공개 키 기반 구조(PKI)는 디지털 인증서와 그에 연결된 공개·개인 키 쌍을 생성·관리·배포·저장·폐기하기 위한 역할, 정책, 하드웨어, 소프트웨어, 절차로 이루어진 포괄적 체계다.

권한 상승

권한 상승은 공격자가 취약점, 잘못된 구성, 또는 도난당한 자격 증명을 악용하여 원래 허가된 것보다 높은 권한을 얻는 공격 기법으로, 보통 일반 사용자에서 관리자나 루트 계정으로 올라간다.

다중 인증

다중 인증(MFA)은 접근을 허용하기 전에 사용자가 서로 다른 범주의 둘 이상의 독립적인 자격 증명, 즉 아는 것, 가진 것, 본인인 것 중에서 제시하도록 요구하는 인증 방법이다.

대칭 암호화

대칭 암호화는 암호화와 복호화 모두에 동일한 비밀 키를 사용하는 암호화 방법이다. 발신자와 수신자 모두 데이터를 암복호화하기 위해 동일한 키를 보유해야 한다.

데이터 손실 방지

데이터 손실 방지(DLP)는 의도적이든 우발적이든 조직에서 민감 데이터가 무단으로 전송·손실·탈취되는 것을 탐지하고 방지하기 위해 설계된 전략, 도구, 프로세스의 집합이다.

데이터 유출(탈취)

데이터 탈취는 네트워크 기반 기법, 물리적 매체, 또는 유출된 계정을 통해 조직의 시스템에서 공격자가 통제하는 외부 위치로 데이터를 무단 전송하는 것이다.

데이터 침해

데이터 침해는 해킹, 내부자 위협, 잘못된 설정, 우발적 노출 등을 통해 민감하거나 보호받거나 기밀인 데이터를 무단 당사자가 접근, 공개, 또는 도난하는 보안 사고다.

디지털 서명

디지털 서명은 개인 키를 사용하여 메시지나 문서에 대한 서명을 생성하는 암호화 방식으로, 대응하는 공개 키를 가진 누구나 데이터의 진본성과 무결성을 확인하기 위해 서명을 검증할 수 있다.

랜섬웨어

랜섬웨어는 피해자의 파일을 암호화하거나 시스템에서 잠가낸 뒤, 복호화 키나 접근 복구의 대가로 보통 암호화폐 형태의 지불을 요구하는 악성 소프트웨어다.

무차별 대입 공격

무차별 대입 공격은 올바른 값을 찾을 때까지 가능한 모든 조합을 체계적으로 시도하여 비밀번호, 암호화 키, 또는 기타 비밀을 알아내려는 암호 분석 방법이다.

비대칭 암호화

비대칭 암호화는 수학적으로 관련된 키 쌍을 사용하는 암호화 시스템으로, 누구나 데이터 암호화에 사용할 수 있는 공개 키와 소유자만 복호화에 사용하는 개인 키로 구성되어 비밀 키를 사전에 공유할 필요가 없다.

비밀 공유

비밀 공유는 자격 증명 관리의 맥락에서, 패스워드·API 키·개인 키 같은 민감한 정보를 노출을 최소화하고 영속성을 제한하며 무단 접근을 방지하도록 설계된 채널을 통해 당사자 간에 전달하는 관행이다.

비밀 관리

비밀 관리는 애플리케이션, 인프라, 팀 전반에 걸쳐 API 키, 패스워드, 토큰, 인증서, 암호화 키 같은 민감한 자격 증명을 안전하게 저장, 배포, 순환, 감사하는 분야다.

비밀번호 해싱

비밀번호 해싱은 계산 비용이 큰 단방향 암호 함수를 고유한 솔트와 함께 비밀번호에 적용하여, 복원 가능한 형태로 저장하지 않고도 비밀번호를 검증할 수 있는 고정 길이 다이제스트를 생성하는 관행이다.

사회공학

사회공학은 신뢰, 두려움, 긴급성, 도움을 주려는 마음 같은 인간 심리를 조작하여, 사람이 기밀 정보를 누설하거나 무단 접근을 허용하거나 보안을 해치는 행동을 하도록 만드는 일군의 공격 기법이다.

솔트 (암호화)

암호화 솔트는 해시 함수나 키 파생 함수가 처리하기 전에 패스워드나 다른 입력과 결합하는 무작위 값으로, 동일한 입력이 다른 출력을 생성하도록 보장하고 사전 계산된 공격 테이블을 무력화한다.

싱글 사인온

싱글 사인온(SSO)은 사용자가 중앙 신원 제공자에서 한 번 인증한 뒤, 자격 증명을 다시 요구받지 않고 여러 독립 애플리케이션과 서비스에 접근할 수 있게 하는 인증 방식이다.

암호문

암호문은 암호화 알고리즘의 암호화된 출력으로, 대응하는 복호화 키 없이는 읽을 수 없는 원본 데이터의 뒤섞인 표현이다.

역할 기반 접근 제어

역할 기반 접근 제어(RBAC)는 관리자, 편집자, 열람자 같은 역할에 권한을 부여하고, 사용자는 개별 계정에서 직접 권한을 관리하는 대신 그 역할에 배정됨으로써 권한을 얻는 접근 제어 모델이다.

인증 기관

인증 기관(CA)은 공개 키 기반 구조 내에서 웹사이트, 조직, 기기 같은 주체의 신원을 검증하기 위해 디지털 인증서를 발급·서명·관리하는, 외부에서 신뢰되는 조직이다.

일시적 비밀

일시적 비밀은 패스워드, 토큰, 키 같은 민감한 데이터 항목으로, 제한된 기간 또는 접근 횟수 후에 영구적으로 복구 불가능하게 파기되도록 의도적으로 설계된다.

자격 증명 관리

자격 증명 관리는 생성, 안전한 저장, 통제된 공유, 정기적 순환, 시의적절한 폐기를 포함한 접근 자격 증명의 전체 생명 주기를 안전하게 처리하는 데 사용되는 정책, 프로세스, 도구의 집합이다.

자기 소멸 메시지

자기 소멸 메시지는 지정된 횟수로 접근되거나 정해진 기간이 만료되면 자동으로 영구 삭제되도록 설계된 메시지 또는 공유 데이터다.

저장 중 암호화

저장 중 암호화는 디스크, 데이터베이스, 백업 미디어 같은 영구 저장소에 데이터를 암호화된 형태로 저장하는 관행으로, 저장 매체가 침해되더라도 데이터가 보호된 상태를 유지하도록 한다.

전송 중 암호화

전송 중 암호화는 데이터가 네트워크를 통해 두 시스템 사이를 이동할 때 암호화하는 관행으로, 도청과 변조를 방지하기 위해 일반적으로 TLS(Transport Layer Security) 또는 그 전신인 SSL을 통해 구현된다.

접근 제어

접근 제어는 어떤 사용자, 시스템, 프로세스가 특정 리소스에 접근하고 그 리소스에 어떤 작업을 수행할 수 있는지를 규율하는 보안 메커니즘과 정책의 집합이다.

제로 지식 아키텍처

제로 지식 아키텍처는 모든 암호화·복호화 연산이 클라이언트 측에서 이루어지기 때문에 서비스 제공자가 사용자를 대신해 저장한 데이터를 읽거나 복호화할 능력이 전혀 없는 시스템 설계다.

제로 트러스트

제로 트러스트는 네트워크 위치에 기반한 암묵적 신뢰를 없애고, 대신 모든 리소스에 대한 모든 접근 요청마다 신원, 기기 상태, 권한을 지속적으로 검증하도록 요구하는 보안 아키텍처다.

종단 간 암호화

종단 간 암호화(E2EE)는 발신자의 기기에서 데이터를 암호화하고 수신자의 기기에서만 복호화할 수 있는 통신 방식으로, 서비스 제공자를 포함한 어떤 중간자도 평문 내용에 접근할 수 없도록 보장한다.

중간자 공격

중간자 공격(MITM)은 공격자가 서로 직접 통신한다고 믿는 두 당사자 간의 통신을 은밀히 가로채고 잠재적으로 변경하는 사이버 공격이다.

초기화 벡터

초기화 벡터(IV)는 연산 전반에 걸쳐 동일한 평문이 동일한 키로 암호화되어도 서로 다른 암호문이 생성되도록 키와 함께 암호화 알고리즘에 추가 입력으로 사용되는 무작위 또는 유사 무작위 값이다.

최소 권한 원칙

최소 권한 원칙은 모든 사용자, 프로세스, 시스템이 승인된 기능을 수행하는 데 필요한 최소 수준의 접근 권한만을, 최소한의 시간 동안 부여받아야 한다는 보안 개념이다.

클라이언트 측 암호화

클라이언트 측 암호화는 데이터를 서버로 전송하기 전에 사용자 기기(보통 브라우저나 네이티브 앱)에서 암호화하는 방식으로, 서버가 항상 암호화된 데이터만 받고 저장하도록 보장하는 관행이다.

키 래핑

키 래핑은 하나의 키(페이로드 키)를 다른 키(래핑 키 또는 키 암호화 키)로 암호화하는 암호 연산으로, 키 자료가 저장되거나 전송되는 동안 기밀성과 무결성을 제공한다.

키 파생

키 파생은 패스워드, 패스프레이즈, 공유 비밀 같은 소스 값을 결정론적 알고리즘을 사용해 높은 엔트로피의 암호화 키로 변환하는 과정이다.

키 회전

키 회전은 활성 상태의 암호화 키나 자격 증명을 정기적으로 새로 생성한 것으로 교체하고 기존 키를 폐기하거나 무효화하여, 유출 시 노출 시간 창을 제한하는 보안 관행이다.

평문

평문은 원본의 암호화되지 않은 사람이 읽을 수 있는 형태의 데이터다. 암호학에서 암호화 알고리즘의 입력 또는 복호화 알고리즘의 출력을 가리킨다.

피싱

피싱은 공격자가 신뢰할 수 있는 주체로 위장한 사기성 통신(보통 이메일, SMS, 인스턴트 메시지)을 보내, 수신자가 민감 정보를 누설하거나 악성 링크를 클릭하거나 멀웨어를 설치하도록 속이는 사회공학 공격이다.