헷갈리는 보안 용어 정리

[ 약점과 취약점 ]

약점

- 개발 단계에서 발생하는 보안 관련 오류

- 공격에 활용될 여지가 있는 오류

- 이론상 존재하는 위험 요소

취약점

- 운영 단계에서 발생하는 보안 관련 오류

- 실제로 공격 구현이 가능한 오류

- 구현이 실제적으로 가능한 것

[ 위험과 위협과 취약성 ]

위험

- 예상되는 위협에 의한 자산에 발생할 가능성이 있는 손실의 기대치

- 자산의 가치 및 취약성과 위협 요소의 능력, 보호 대책 효과 등에 의한 영향을 받음

- 위협 요소가 일으킬 수 있는 피해

- 줄이는 것이 가능하며, 관리가 가능

위협

- 자산의 손실을 발생시키는 원인이나 행위

- 보안에 해를 끼치는 행동이나 사건

- 위험을 일으킬 소지가 다분한 요소

- 보통 제어가 되지 않는다는 것이 특징

취약성

- 위협에 의한 손실이 발생하게 되는 자산의 약점

- 기능 명세, 설계 또는 구현 단계 오류나 시동, 설치 또는 운용상의 문제

- 정보 시스템이 지니게 되는 보안 취약점

[ 위험, 위협, 취약점의 상관관계 ]

취약점(Vulnerability)이 존재하지 않으면, 위험(Risk)과 위협(Threat)이 될 수 없음

■ 위험(Risk)

- 도둑놈이 빈틈을 노려 보석을 훔침

- 위협이 취약점을 이용하여 보호할 대상을 훼손 또는 훔쳐갈 가능성

■ 위협(Threat)

- 도둑놈, 보호해야할 대상을 훼손 또는 훔쳐갈 잠재적인 요소

■ 취약점(Vulnerability)

- 빈틈, 대상을 보호하는 것이 가진 흠

[ 취약성과 취약점의 차이 ]

취약성(Vulnerable) 형용사 : (~에) 취약한, 연약한

to be vulnerable to attack : 공격에 취약하다.

脆 - 연할, 무를 취

弱 - 약할 약

性 - 성품 성

무르고 약한 성질 또는 특성으로 성격을 나타내는 단어

취약점(Vulnerability)는 ability라는 단어를 통한 '능력'이라는 성향을 나타냄

ex) SQL Injection 공격 사용이 가능한 취약성(X) -> 취약점(O)이 발견되었다.