[정보처리기사 실기] 9. 소프트웨어 개발 보안구축

이번 시간은 정보처리기사 실기에서 다루는 9장 소프트웨어 개발 보안구축에 대해서 정리를 해보았습니다.

 

* 이 글은 정보처리기사 공부 목적으로 쓴 글입니다. 그러다 보니 혹시 제가 잘못 작성한 부분이 있거나 수정이 필요하다면 댓글로 알려주시면 감사하겠습니다. 

 

SW개발 보안 3대 요소	기무가 기밀성, 무결성, 가용성
기밀성	인가되지 않은 접근에 정보 노출을 차단하는 특성
무결성	정당한 방법으로만 데이터를 변경할 수 있으며, 데이터의 정확성을 보장하는 특성
가용성	권한을 가지고 있으면 서비스를 지속해서 사용할 수 있도록 하는 특성
SW개발 보안 용어	자위취위 자산, 위협, 취약점, 위험
DoS 공격	시스템의 자원을 고갈시켜 서비스 거부를 유발하는 공격
SYN 플러딩	ACK를 발송하지 않고 SYN 패킷만 보내 점유하여 자원을 고갈시키는 공격
UDP 플러딩	대량의 UDP 패키지를 임의의 포트번호로 전송하지만, 응답 메시지는 공격자에 전달되지 않아 자원을 고갈시키는 공격
스머프/스머핑	출발지 IP를 공격 대상의 IP로 변조하여, 브로드캐스팅으로 ICMP Echo 패킷 요청을 보내 과부하시키는 공격
죽음의 핑	ICMP 패킷(핑)을 아주 크게 만들어 과부하시키는 공격
랜드 어택	출발지 IP와 도착지 IP를 같은 주소로 만들어, 자기 자신에게 응답을 보내도록 하는 공격
티어 드롭	조작된 IP 패킷 조각을 보내 재조립 과정에서 오류를 발생시키는 공격
봉크/보잉크	IP 패킷의 재전송, 재조합 과정에서 오류를 발생시키는 공격 (봉크: 같은 시퀀스 번호 / 보잉크: 시퀀스 번호에 빈 공간)
DDos 공격	여러 대의 공격자를 분산 배치 후 동시에 동작시키는 DoS 공격 (대역폭 소진 공격 & 서비스 마비 공격)
DDos 공격 구성요소	1) 공격자 : 해커 컴퓨터 2) 마스터 (Master) : 공격자의 명령을 받고 에이전트를 관리하는 시스템 3) 핸들러 (Handler) : 마스터 시스템의 프로그램 4) 에이전트 (Agent) : 직접 공격하는 시스템 5) 데몬 (Daemon) : 에이전트 시스템의 프로그램
Trinoo	UDP 플러딩 공격 도구
TFN	UDP 플러딩, SYN 플러딩, 스머프 등등 여러 DDos 공격이 가능한 도구
Stacheldraht	DDos의 에이전트 역할을 하는 도구
DRDos 공격	공격대상이 반사 서버로부터 다량의 응답을 받도록 하는 공격
HTTP GET 플러딩	과도한 GET 메시지를 통해 과부하시키는 공격 (캐싱서버가 아닌 웹 서버가 직접 처리하도록 유도)
Slow HTTP Header DoS	=Slowloris. 헤더 정보를 조작하여, 웹 서버가 온전한 헤더정보가 올 때까지 기다리게 하는 공격
Slow HTTP Post DoS	=RUDY. 헤더의 Cotnent-Length를 아주 크게 만들고, 데이터를 아주 소량으로 보내 연결을 유지하게 하는 공격
Slow HTTP Read Dos	TCP 윈도 크기와 데이터 처리율을 감소시킨 뒤, 다량의 HTTP 요청을 보내는 공격
Hulk DoS	공격자가 공격대상의 URL을 계속 변경하면서(=차단 정책 우회) 다량의 GET 요청을 보내는 공격
Hash DoS	웹 서버의 해시 테이블에 해시 충돌을 일으켜 자원을 소모시키는 공격
스니핑	공격대상에 직접 공격을 가하지 않고, 몰래 정보를 들여다보는 수동적인 공격 기법
네트워크 스캐너 / 스니퍼	공격자가 취약점을 탐색하는 도구
패스워드 크래킹	사무패레 1) 사전 크래킹 Dictionary Cracking 2) 무차별 크래킹 Brute Force Cracking 3) 패스워드 하이브리드 공격 Password Hybrid Attack 4) 레인보우 테이블 공격 Rainbow Table Attack
사전 크래킹	ID/PW가 될 가능성이 있는 단어를 대입하는 공격
무차별 크래킹	PW로 사용될 수 있는 문자를 무작위로 대입하는 공격
패스워드 하이브리드 공격	사전+무차별을 결합하여 공격
레인보우 테이블 공격	크래킹하려는 해시값을 테이블에서 검색하는 공격
트로이 목마	겉으로는 정상적이나 실행하면 악성코드가 실행되는 프로그램
버퍼 오버플로우 공격	메모리의 버퍼 크기를 초과하는 데이터를 입력해 프로세스 흐름을 변경시키는 공격 기법
스택 버퍼 오버플로우 공격	스택 영역(지역변수, 매개변수가 저장되는 영역)의 버퍼에 오버플로우를 일으켜서 복귀주소를 바꾸는 공격 기법
힙 버퍼 오버플로우 공격	힙 영역(사용자가 직접 관리 가능한 메모리 영역)의 버퍼에 오버플로우를 일으켜서 데이터를 오염시키는 공격 기법
버퍼 오버플로우 공격 대응	1) 스택가드 2) 스택쉴드 3) ASLR 4) 안전한 함수 사용 : 버퍼오버플로우에 취약한 scanf() 대신 fscanf() 등을 사용 5) 실행 제한 : 스택에서의 쓰기 권한 제한 등
스택가드 활용	👼 카나리(무결성 체크용 값)를 미리 삽입해두고, 버퍼 오버플로우 발생 시 카나리값을 체크해 변한 경우 복귀 주소 호출하지 않음
스택쉴드 활용	👼 함수 시작 시 복귀주소를 특수 스택에 저장해 두고, 함수 종료시 스택 값을 비교해 다를 경우 오버플로우로 간주하고 중단
ASLR 활용	👼 Address Space Layout Randomization; 주소 공간 배치 난수화 주소 공간 배치를 난수화하여, 실행 시마다 메모리 주소를 변경시키는 것
백도어	👿 정상적인 인증절차를 우회하는 기법
포맷 스트링 공격	👿 포맷 스트링을 인자로 하는 함수의 취약점을 이용한 공격
레이스 컨디션 공격	👿 프로세스가 임시 파일을 만들 때, 실행 중에 끼어들어 임시파일을 심볼릭 링크하는 공격
키로거 공격	👿 키보드 움직임을 탐지해 주요정보를 빼가는 공격
루트킷	👿 불법 해킹에 사용되는 기능을 제공하는 프로그램 모음
스피어피싱	👿 특정 대상 선정 후, 일반적인 메일로 위장한 메일을 발송해 개인정보를 탈취하는 공격
스미싱	👿 SMS+피싱. 문자메시지를 통해 개인정보를 탈취하거나 소액결제를 유도하는 공격
ARP 스푸핑	MAC 주소를 위장하여 패킷을 스니핑하는 공격
IP 스푸핑	IP를 위조하여 인증된 시스템인 것처럼 IP를 위조하여 목표 시스템의 정보를 빼내는 공격
ICMP Redirect 공격	ICMP Redirect 메시지를 공격자가 원하는 형태로 위조해 패킷을 스니핑하는 공격
큐싱	👿 QR코드+피싱. QR을 이용한 피싱 공격
봇넷	👿 악성 프로그램에 감염된 컴퓨터들이 네트워크로 연결된 형태
APT 공격	👿 특정 대상을 목표로 한 지능적/지속적인 공격
공급망 공격	👿 SW 개발사의 코드를 수정하거나 배포 서버에 접근해 파일을 변경하는 공격
제로데이 공격	👿 보안 취약점이 공표되기 전 신속히 이뤄지는 공격
웜	👿 스스로를 복제하여 전파하는 악성 프로그램
악성 봇	👿 해커의 명령에 의해 원격으로 제어되는 프로그램 (DDos 등에 악용)
랜섬웨어	👿 암호화 후 복호화를 위해 돈을 요구하는 악성 소프트웨어
이블 트윈 공격	👿 합법적인 Wifi 제공자처럼 행세하며 연결된 사용자 정보를 탈취하는 공격
Tcpdump	👿 스니핑 도구 (패킷 내용을 출력하는 프로그램)
사이버 킬체인	👼 공격형 방위 시스템. APT 공격의 방어 모델
난독화	👼 코드의 가독성을 낮춰 역공학에 대비
Tripwire	👼 백도어가 생기거나 설정 파일 변화가 있을 때 이를 감지할 수 있게 돕는 도구
Ping	👼 접속하려는 원격 호스트가 정상 운영 중인지 확인하는 명령어
인증 기술의 유형	지소생특 1. 지식기반 ex. ID/PW 2. 소지기반 ex. 공인인증서 3. 생체기반 ex. 지문, 홍채 4. 특징기반 ex. 서명, 발걸음
접근 통제 유형	식인인책 1. 식별 : "내가 바로 나나다!" (주체가 객체에게 정보 제공) 2. 인증(Authentication) : "당신이 나나로군요" (객체가 주체의 신원을 인정) 3. 인가(Authorization): "들어가십시오~" (인증된 주체에게 접근을 허용) 4. 책임추적성: "흠.. 나나님이 이런 걸 보고 있군" (주체의 접근과 행동을 추적 및 기록)
서버 접근 통제 유형	댁맥알백 1. DAC (임의적 접근 통제) 2. MAC (강제적 접근 통제) 3. RBAC (역할기반 접근 통제)
DAC	- 접근 결정 : 신분 - 권한 부여 : 데이터 소유자 * ACL (Access Control List) 로 자원에 대한 권한 부여
MAC	- 접근 결정 : 권한 (등급) - 권한 부여 : 시스템
RBAC	- 접근 결정 : 역할 - 권한 부여 : 중앙관리자
암호화 알고리즘 방식	대비해 1. 대칭 키 암호 방식 2. 비대칭 키 암호 방식 3. 해시 암호 방식
대칭 키 암호화 종류	- 블록 암호 (DES, 3DES, AES, SEED, ARIA, IDEA) - 스트림 암호 (LFSR, RC4)
비대칭 키 암호화 종류	디피-헬만, RSA, ECC, Elgamal
블록 암호	고정 길이의 블록을 암호화하는 대칭 키 암호 방식
스트림 암호	매우 긴 주기의 난수열을 발생시켜 암호화하는 대칭 키 암호 방식
일방향 암호	임의의 길이의 정보를 입력받아 고정된 길이의 암호문을 출력하는 암호 방식 (복호화 불가)
MAC	Message Authentication Code 키를 사용하는 메시지 인증 코드로 무결성을 보장하는 암호 알고리즘
MDC	Modification Detection Code 키를 사용하지 않는 변경 감지 코드로 무결성을 보장하는 암호 알고리즘
DES	대칭키(블록) 미 연방표준국(NIST)에서 발표. 키 길이는 56bit, 블록크기는 64bit
AES	대칭키(블록) =Advanced Encryption Standard. 3DES의 문제점을 극복하기 위해 개발. 라운드 수는 10, 12, 14로 분류되고, 한 라운드는 빼고(SubBytes)+이동하고(ShiftRows)+섞고(MixColumns)+더하는(AddRoundkey) 4계층으로 구성됨
SEED	대칭키(블록) KISA가 개발. 16라운드를 거쳐 128비트 블록으로 암호화
ARIA	대칭키(블록) 학계(Academy) + 연구기관(Research Institute) + 정부(Agency) 국정원과 산학연구협회가 개발함
IDEA	대칭키(블록) DES를 개체하기 위해 개발
LFSR	대칭키(스트림) 선형 되먹임 시프트 레지스터
RC4	대칭키(스트림) 셔플링 기법을 이용해 평문과 XOR 연산해 암호화
디피-헬만	비대칭키 최초의 비밀키 교환 프로토콜. 이산대수 계산의 어려움을 근거로 함
RSA	비대칭키 수학교수 3명의 앞글자를 땄음 (리베스트, 샤미르, 아들만). 소인수 분해 문제의 어려움을 근거로 함
ECC	비대칭키 타원 곡선 암호. RSA의 대안
ElGamal	비대칭키 이산대수의 어려움을 근거로 함. 전자서명에 사용 가능
MD5	해시 암호화 MD4를 개선한 알고리즘
SHA-1	해시 암호화 NSA에서 미 정부 표준으로 지정. DSA(디지털 서명 알고리즘)에서 사용
SHA-256/384/512	해시 암호화 256비트의 해시값을 생성하는 함수 (128+128=256, 256+128=384, 384+128=512)로 출력 길이를 늘린 해시 알고리즘
HAS-160	해시 암호화 국내 표준 디지털 서명 알고리즘(KCDSA)를 위해 개발된 알고리즘 (MD5의 장점 + SHA-1의 장점)
IPSec	네트워크 계층(3계층)에서 사용하는 보안 프로토콜. 인증 헤더(AH) + 암호화(ESP)를 이용 - AH(인증) 프로토콜: MAC를 통해 인증 제공 - ESP(암호화) 프로토콜 : MAC+암호화를 통해 인증+기밀성 제공 - IKE(키관리) 프로토콜 : Key를 주고받는 알고리즘
SSL/TLS	전송계층(4계층)과 응용계층(7계층) 사이에서 안전한 데이터 전송을 보장하는 보안 프로토콜 구성요소 카흐르 CAHHR 1. Change Ciper Spec Protocol : 협상된 Ciper Spec을 상대에게 알리는 프로토콜 2. Alert Protocol : 경고 메시지 전달 3. Heartbeat Protocol : 클라/서버가 정상 상태인지 확인 4. Handshake Protocol : 클라/서버가 서로 인증하고 암호화 키를 협상 5. Record Protocl : 협상된 Ciper Spec
S-HTTP	클라/서버 간 메시지를 암호화하는 보안 기술 (HTTP를 사용한 경우에만 가능)
개인정보보호 관련 법령	개망신 1. 개인정보보호법 (주여운외 분도유변훼)   - 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호와 같은 고유 식별 번호는 분실, 도난, 유출, 변조, 훼손에 주의해야 함 2. 정보통신망법 3. 신용정보법
BSIMM	보안 활동의 성숙도 수준을 측정하는 개발 프레임워크
Open SAMM	확대가 가능한 개방형 프레임워크. 설계 리뷰, 코드 리뷰, 보안 테스팅 3개를 주요 검증 활동으로 함 * 비용평가모델인 SAAM과는 다르다! (SAMM=소프트웨어 보증 성숙도 모델)
Seven TouchPoints	검증된 모범 보안 사례를 SDLC에 통합한 방법론
MS SDL	=MS Secure Development Lifecycle. 마소가 자사 SW개발에 의무 적용시킨 프레임워크. 동일제품을 pre-SDL, post-SDL 버전으로 나눠 테스트
OWASP CLASP	개역평구취 개념 관점, 역할 관점, 평가 관점, 구현 관점, 취약성 관점 등의 프로세스로 구성된 프레임워크. 이미 운영 중인 시스템에 적용이 쉬움. OWASP; Open Web Application Security Project CLASP; Comprehensive Lightweight Application Security Process
시큐어 코딩 가이드	입보시에코캡아 1. 입력데이터 검증 및 표현 2. 보안 기능 3. 시간 및 상태 4. 에러 처리 5. 코드 오류 6. 캡슐화 7. API 오용
XSS	검증되지 않은 입력데이터가 포함된 웹페이지를 열람할 때, 웹페이지에 포함된 부적절한 스크립트가 실행되는 공격
Stored XSS	악성 스크립트가 포함된 웹페이지를 읽을 때 감염되는 기법
Reflected XSS	악성 URL 클릭 시 공격 스크립트가 반사되는 기법
DOM XSS	DOM 기반 XSS 취약점이 있는 브라우저를 대상으로 한 기법
CSRF	=Cross Site Request Forgery (사이트 간 요청 위조) 사용자가 자신의 의지와 무관하게, 공격자가 의도한 행위를 요청하게 하는 공격
SQL Injection	악의적인 SQL 구문을 삽입∙실행시켜 DB 정보를 탈취하거나 조작하는 공격
Form SQL Injection	HTML Form 기반 인증의 취약점을 이용한 공격
Union SQL Injection	UNION 연산자를 이용해 쿼리 결과를 결합해 공격
Stored Procedure SQL Injection	저장 프로시저를 이용해 공격
Mass SQL Injection	한 번의 공격으로 대량의 DB값을 변조하는 공격
Error-Based SQL Injection	에러값을 기반으로 한 단계씩 점진적으로 정보를 캐내는 공격
Blind SQL Injection	쿼리 결과의 참/거짓을 통해 공격
시간 및 상태 취약점	세션 통제 취약점 (세션 정보에 읽고 쓰기가 가능한 변수 미사용) 병렬 시스템 (공유 자원의 접근 직렬화, 블록문 내에서만 재귀함수 호출)
에러 처리 취약점	취약한 패스워드 조건 미사용 오류 메시지에 정보 노출 하지 않음 예외 처리 구문 작성
코드 오류 취약점	NULL이 될 수 있는 레퍼런스는 참조 전 NULL 값인지 검사 정수를 문자로 변환할 때, 잘려나가지 않도록 크기 확인 자원 사용 후에는 반드시 해제 변수 선언 시 초기화 (이전에 사용한 내용이 남지 않도록)
캡슐화 취약점	디버그 코드는 꼭 제거 민감한 데이터를 가진 클래스 사용에 주의
API 오용 취약점	DNS Lookup에 의존하지 않기 (DNS 엔트리를 속일 수 있음) 보안에 취약한 함수 사용하지 않기 널 매개변수 검사하기 (자바에서 매개변수가 NULL이면 반환오류 있을 수 있음)
wtmp(x)	로그인, 로그아웃, shutdown, reboot 정보 명령어: last
utmp(x)	현재 로그인한 사용자 정보 명령어: who, w, users, finger
btmp(x)	로그인에 실패한 정보 명령어: lastb
lastlog	사용자별 최근 로그인 시간 명령어: lastlog
acct/pacct	사용자별 실행한 모든 명령어 명령어: lastcomm
sulog	su(switch user) 명령어 결과 정보 명령어: (그냥 텍스트 파일임)
xferlog	FTP 전송 기록 명령어: (그냥 텍스트 파일임)
messages	운영에 대한 전반적 메시지 명령어: (그냥 텍스트 파일임)
secure	보안 및 인증과 관련된 로그 명령어: (그냥 텍스트 파일임)
방화벽 (FireWall)	내부∙외부 트래픽을 모니터링하여 접근을 허용/차단하는 시스템
웹 방화벽 (WAF)	웹 애플리케이션에 특화되어, XSS나 SQL Injection 등을 탐지하고 차단하는 시스템
네트워크 접근 제어 (NAC)	내부 네트워크에 접속을 시도할 때 통제하는 솔루션
침입 탐지 시스템 (IDS)	비인가 사용자의 침입을 실시간으로 탐지하는 시스템
침입 방지 시스템 (IPS)	공격 및 침입을 실시간으로 차단하는 시스템
무선 침입 방지 시스템 (WIPS)	비인가 무선 단말기의 접속을 차단하는 시스템
통합 보안 시스템 (UTM)	방화벽, IDS, IPS, VPN 등 다양한 보안 장비 기능을 통합 제공하는 시스템
가상사설망 (VPN)	공중망을 사용할 때 마치 전용망을 사용하는 것과 같은 보안 효과를 주는 솔루션
Secure OS	OS 커널에 보안 기능을 추가한 솔루션
Anti-Spam Solution	메일 서버 앞단에 바이러스 검사, 정보 유출 방지 등의 기능을 제공하는 솔루션
DLP	Data Loss Prevention; 주요 자료가 외부로 유출되는 것을 차단하는 솔루션
DRM	Digital Right Management; 디지털 저작물에 암호를 걸어, 권한이 없는 사용자의 사용을 막는 솔루션
보안 취약점 분석 절차	자진제진결 1. 자산 조사 2. 진단 대상 선정 (전수조사 vs. 샘플링) 3. 제약사항 확인 4. 진단 수행 (기술 진단, 인터뷰, 내부 실사 등) 5. 결과 보고서 작성
BCP	비즈니스 연속성 계획 (Business Continuity Plan) - 위기관리를 기반으로 비상 시 비즈니스 연속성을 보장하는 체계 - BIA가 선행되어야 함
BIA	비즈니스 영향 평가 (Business Impact Analysis) - 장애나 재해에 따른 영향도 조사
RTO	복구 시간 목표 (Recovery Time Object) - 재해 시 업무중단 시점 ~ 업무복구 시점까지 걸린 시간
RPO	복구 지점 목표 (Recovery Point Object) - 재해 시 업무중단 시점 ~ 정상가동까지 허용하는 손실
DRP	재해 복구 계획 (Disaster Recovery Plan) - 재해로 장기간 운영이 불가한 경우를 대비한 계획
DRS	재해 복구 시스템 (Disaster Recovery System) - DRP를 위한 관리체제
DRS의 유형	1) Mirror Site 2) Hot Site 3) Warm Site 4) Cold Site
Mirror Site	주 센터 & 복구센터 모두 운영 상태. (RTO는 0)
Hot Stie	주 센터와 동일한 수준의 자원을 대기 상태로 보유하며 데이터를 최신 상태로 유지 (RTO는 4시간 이내)
Warm Site	중요성이 높은 자원만 주 센터와 동일한 수준으로 보유 (RTO는 수일~수주)
Cold Site	데이터만 원격지에 보관하고, 재해 시 이를 근간으로 복구 (RTO는 수주~수개월)
부 채널 공격 (Side Channel Attack)	👿 전력 소비와 같은 물리적 특성을 측정해 비밀 정보를 알아내는 공격
드라이브 바이 다운로드 (Drive By Download)	👿 악성 스크립트를 웹 서버에 설치 후, 사용자를 멀웨어 서버로 연결해 감염시키는 공격
워터링 홀 (Watering Hole)	👿 특정인을 표적으로 삼아, 특정인이 자주 방문하는 웹사이트에 악성코드를 심어 공격
하트 블리드 (Heart Bleed)	👿 하트비트(암호화 라이브러리)의 확장 모듈 취약점을 이용해 데이터를 탈취하는 공격
스캠 공격 (SCAM)	👿 기업 이메일을 도용해 거래 대금을 가로채는 공격
크라임웨어 (Crimeware)	👿 금융∙인증 정보를 탈취해 금전적 이익을 취하는 악성 코드
IoT-SSDP	👿 SSDP(단순 서비스 검색 프로토콜)의 특성을 이용해, IoT 디바이스를 좀비 PC로 이용해 DDoS 공격
MIMT (Man in the Middle)	👿 통신 연결 중간에 침입해 통신 내용을 도청하는 공격
스펙터 (Specter)	👿 실패한 분기 예측으로 메모리 영역을 훔쳐보는 취약점
윈드토커 (WindTalker)	👿 터치, 타이핑 등의 패턴을 스니핑하여 해킹
DNS 스푸핑	👿 DNS 서버 캐시를 조작해 의도치 않은 주소로 접속하게 하는 공격 (=DNS 캐시 포이즈닝)
포트 스캐닝 (Port Scanning)	👿 침입 전 어떤 포트가 활성화되어 있는지 확인하는 기법
디렉토리 리스팅 취약점 (Directory Listing)	👿 웹 서버의 인덱싱 기능이 활성화된 경우, 서버 내 모든 디렉토리를 볼 수 있는 취약점
리버스 쉘 공격 (Reverse Shell)	👿 타깃 서버(피해자)가 클라이언트로 접속하게 하고, 클라이언트에서 서버의 쉘을 획득하는 공격
익스플로잇 (Exploit)	👿 SW/HW의 버그나 취약점을 악용해 공격하는 행위
스턱스넷 공격 (Stuxnet)	👿 독일 지멘스사의 SCADA 시스템을 목표로 제작된 악성코드 (주요 산업 기반 시설의 제어 시스템에 침투하는 공격)
크리덴셜 스터핑 (Credential Stuffing)	👿 다른 곳에서 유출된 로그인 정보를 다른 곳에 무작위 대입하는 공격
토르 네트워크 (Tor Network)	👿 암호화 기법으로 데이터를 전송해 익명으로 사용 가능한 네트워크
멜트다운 (Meltdown)	👿 인텔 아키텍처의 버그를 이용해 시스템 메모리에 접근하는 취약점
허니팟 (HoneyPot)	👼 일부러 허술하게 만들어 해커에게 노출하는 유인시스템
OWASP Top 10	👼 웹 애플리케이션의 10가지 보안 취약점에 대한 방안을 제공하는 가이드
핑거프린팅 (Finger Printing)	👼 저작권 정보와 구매자 정보를 콘텐츠에 삽입해 불법 배포자를 추적할 수 있는 기술
워터 마킹 (Water Marking)	👼 디지털 콘텐츠에 저작자 정보를 삽입해, 불법 복제 시 원소유자를 증명하는 기술
CPTED	👼 범죄 예방 환경 설계 (Crime Privent Through Environment Design) 학문 간 연계를 통해 범죄를 최소화할 수 있는 환경을 설계하는 전략
CC (Common Criteria)	👼 컴퓨터 보안을 위한 국제 평가 기준
C-TAS (사이버 위협정보 분석 공유 시스템)	👼 사이버 위협정보를 체계적으로 수립해 관계 기관과 자동화된 정보공유를 할 수 있는 시스템 (KISA 주관)
CVE (Common Vulnerabilities and Exposures)	👼 소프트웨어의 공통 취약점(CV)을 식별화(E)한 것 (CVE-연도-순서)
CWE (Common Weakness Enumeration)	👼 소프트웨어의 공통 약점(CW)을 식별화(E)한 것
CVSS (Common Vulnerability Scoring System)	👼 공통 취약점(CV)에 등급(S)을 매긴 시스템(S). 위험도 계산 가능