[보안용어] 보안 약점, 취약점, 위협, 위험

보안 약점(Weakness)

결함이 될 수 있는 논리적인 오류나 버그, 실수 등 이후 취약점으로 발생될 수 있는 근본적인 원인으로 공격에 활용될 여지가 있는 오류

 

→ 소프트웨어의 보안사고를 대비하기 위해서는 원천적인 소프트웨어 보안약점을 제거하는 것이 필요

→ 행정안전부에서 '행정기관 및 공공기관의 정보시스템 구축.운영 지침' 을 통해 개발자가 구현(개발)단계에서 확인해야 하는 47개의 보안약점을 정의

 

보안 취약점(Vulnerability)

정보시스템(소프트웨어)에 실제로 내재되어있는 위험요소들로, 공격자가 이를 악용해서 해당 시스템의 정상적인 작동을 방해하거나 정보유출, 권한 상승 등을 일으킬 수 있는 것으로 실제로 공격 구현이 가능한 오류

 

위협(Threat)

위험을 일으킬 소지가 다분한 요소, 위협은 보통 제어가 되지 않는다는 게 가장 큰 특징

ex) 강도가 칼로 위협

 

위험(Risk)

위협 요소가 일으킬 수 있는 피해, 피해를 줄이는 노력이 위험을 줄이는 것(관리가 가능)

 

 

 

https://jwprogramming.tistory.com/261

소프트웨어 보안약점, 보안취약점이란?

https://www.boannews.com/media/view.asp?idx=51129&kind=1 

[용어로 푸는 보안이야기] 약점? 취약점? 위협? 위험? 뭐가 다르지?

- 자산(Asset) : 조직의 데이터 또는 조직의 소유자가 가치를 부여한 대상
- 위협(Threat) : 조직이나 기업의 자산에 악영향을 끼칠 수 있는 사건이나 행위
- 취약점(Vulnerability) : 위협이 발생하기 위한 사전 조건으로 시스템의 정보 보증을 낮추는데 사용되는 약점
- 위험(Risk) : 위협이 취약점을 이용하여 조직의 자산 손실 피해를 가져올 가능성

SW 개발 보안의 3대 요소
- 기밀성(Confidentiallity) : 인가되지 않은 개인 혹은 시스템 접근에 따른 정보 공개 및 노출을 차단하는 특성
- 무결성(Integrity) : 정당한 방법을 따르지 않고선 데이터가 변경될 수 없으며, 데이터의 정확성 및 완전성과 고의/악의로 변경되거나 훼손 또는 파괴되지 않음을 보장하는 특성
- 가용성(Availability) : 권한을 가진 사용자나 애플리케이션이 원하는 서비스를 지속 사용할 수 있도록 보장하는 특성