Security glossary
Key email & general security terms in one place. Tap any item for the CEO/CISO takeaway.
공격 유형 · Attack types
피싱 (Phishing)▾신뢰받는 주체를 사칭해 자격증명·금전·민감정보를 빼내려는 기만적 메시지.
A deceptive message impersonating a trusted party to steal credentials, money, or sensitive data.
침해의 대다수가 이메일 한 통에서 시작하지만, 많은 조직이 "스팸 필터가 막아주겠지"라고 과신합니다. 기술 탐지와 임직원 훈련은 어느 한쪽만으로는 부족합니다. 놓치기 쉬운 것: 직원이 의심해도 "신고 버튼"과 그 뒤의 트리아지 프로세스가 없으면 행동할 곳이 없습니다 — 신고→분류→피드백 루프를 반드시 갖추세요.
Most breaches start with a single email, yet many orgs over-trust the spam filter. Technical detection and user training each fail alone. Commonly missed: without a report button and a triage process behind it, a suspicious employee has nowhere to act — build the report→triage→feedback loop.
Read more →스피어 피싱 (Spear phishing)▾특정 개인·조직을 겨냥해 맞춤 정보로 정교하게 꾸민 표적형 피싱.
Targeted phishing tailored to a specific person or organization using researched details.
임원·재무·인사처럼 권한이 큰 소수가 표적이라, 전사 평균 탐지율 지표로는 위험이 가려집니다. 공격자는 SNS·홈페이지의 공개 정보로 맥락을 정교화합니다. 놓치기 쉬운 것: VIP·재무 담당자에 대한 별도 보호 정책과, 외부에 노출된 임원 정보(이메일·직함)의 최소화를 함께 챙기세요.
A small set of high-privilege people (execs, finance, HR) are the targets, so org-average detection metrics hide the real risk. Attackers enrich context from public web/SNS data. Commonly missed: pair a dedicated protection policy for VIP/finance roles with minimizing exposed exec details (emails, titles).
Read more →비즈니스 이메일 침해BEC▾임원·거래처를 사칭해 송금·계좌변경·정보유출을 유도하는 사회공학 공격. 첨부·링크 없이 권한·긴급성·신뢰를 악용.
Social-engineering fraud impersonating execs/vendors to trigger wires or data leaks — often with no link or attachment.
단일 최대 금전 손실 벡터입니다(건당 수천만~수억 원). 악성코드가 없어 백신·샌드박스가 무력하고, "사람의 절차"가 마지막 방어선입니다. 놓치기 쉬운 것: 기술만으로는 못 막습니다 — 일정 금액 이상 송금·계좌변경은 반드시 별도 채널 이중승인을 거치도록 재무 프로세스에 못 박고, "긴급·비밀" 요청일수록 의심하도록 훈련하세요.
The single largest financial-loss vector (tens of thousands to millions per incident). With no malware, AV/sandbox are useless and human process is the last line. Commonly missed: tech alone cannot stop it — hard-code dual-channel approval for payments/bank-detail changes above a threshold, and train staff that "urgent & confidential" is itself a red flag.
Read more →공급망 이메일 침해VEC▾신뢰하던 거래처 계정이 탈취돼 청구서의 결제 계좌를 바꿔치기하는 공급망형 BEC.
A supply-chain BEC where a trusted vendor's account is hijacked to swap payment details on invoices.
우리 보안이 완벽해도, 거래처 계정이 뚫리면 "진짜 거래처"에서 위조 청구서가 옵니다. 기존 메일 스레드에 자연스럽게 끼어들어 탐지가 어렵습니다. 놓치기 쉬운 것: 계좌번호 변경 통보는 메일 회신이 아니라 사전에 등록된 전화번호로 역검증하고, 거래처 결제정보 변경 이력을 별도 관리하세요.
Even with perfect internal security, a breached vendor sends forged invoices from the real account, often slipping into an existing thread. Commonly missed: verify any bank-detail change by calling a pre-registered number (never by email reply), and keep an audit trail of vendor payment-detail changes.
Read more →큐싱 (Quishing)▾QR 코드 뒤에 악성 링크를 숨겨 URL 필터를 우회하는 피싱.
Phishing that hides a malicious link behind a QR code to bypass URL filters.
QR은 이미지라 기존 URL/링크 검사가 그대로 통과시킵니다. 게다가 사용자는 보안이 약한 개인 휴대폰으로 스캔해 회사 통제 밖으로 나갑니다. 놓치기 쉬운 것: 도입하려는 솔루션이 QR 이미지를 실제로 "디코딩해서" 그 안의 URL까지 검사하는지 반드시 확인하세요(많은 제품이 못 합니다).
A QR is an image, so URL/link scanners pass it straight through — and users scan with a less-protected personal phone, outside corporate controls. Commonly missed: confirm your solution actually decodes the QR image and inspects the URL inside it (many products do not).
Read more →스미싱 / 비싱 (Smishing / Vishing)▾문자(SMS)·음성(전화)을 이용한 피싱. 이메일 공격과 결합되기도 함.
Phishing via SMS (smishing) or voice calls (vishing), often combined with email attacks.
공격은 채널을 넘나듭니다(이메일 → 문자 → 전화로 신뢰 쌓기). 이메일만 지키면 우회당합니다. 놓치기 쉬운 것: 헬프데스크·콜센터의 본인확인 절차가 약하면 전화 한 통으로 비밀번호·MFA가 리셋됩니다 — 사람 대상 사회공학 대비 절차를 점검하세요.
Attacks cross channels (email → SMS → a trust-building call); defending email alone gets bypassed. Commonly missed: weak identity checks at the help desk/call center let one phone call reset a password or MFA — harden human-facing social-engineering procedures.
Read more →스푸핑 (Spoofing)▾발신자 주소·표시이름을 위조해 정상 발신자처럼 보이게 하는 기법.
Forging the sender address or display name to appear as a legitimate sender.
우리 도메인이 사칭되면 고객·파트너가 피해를 입고 그 책임은 우리 브랜드로 돌아옵니다. 기술적 방어가 없으면 누구나 우리 이름으로 메일을 보낼 수 있습니다. 놓치기 쉬운 것: DMARC를 "모니터(p=none)"로만 두고 방치하는 경우가 많습니다 — 실제로 차단되는 reject 정책까지 단계적으로 올리세요.
When your domain is spoofed, customers/partners get hurt and the blame lands on your brand; with no defense, anyone can send as you. Commonly missed: many leave DMARC at monitor (p=none) forever — step the policy up to enforcing (p=reject) so it actually blocks.
Read more →표시이름 사칭 (Display-name spoofing)▾실제 주소는 다른데 표시이름만 임원/브랜드로 위장하는 사칭.
Faking only the display name (e.g., an exec or brand) while the real address differs.
DMARC로도 못 막습니다 — 실제 도메인은 정상이고 "표시이름"만 위조하기 때문입니다. 주소가 가려지는 모바일에서 특히 잘 속습니다. 놓치기 쉬운 것: 인증(SPF/DKIM/DMARC)만 믿지 말고, 임원 이름·브랜드를 사칭하는 표시이름 탐지가 솔루션에 포함됐는지 확인하세요.
DMARC won't stop it — the real domain is fine and only the display name is faked, and it's especially convincing on mobile where the address is hidden. Commonly missed: don't rely on auth (SPF/DKIM/DMARC) alone — verify your solution detects display names impersonating execs/brands.
Read more →유사 도메인 (Lookalike / Homoglyph)▾정상 도메인과 비슷하게 보이는 위장 도메인(예: rn↔m, 0↔o).
A near-identical impostor domain (e.g., rn vs m, 0 vs o) used to fool the eye.
눈으로는 구분이 거의 불가능하고, 공격자는 공격 직전 도메인을 갓 등록해 평판 기반 차단도 피합니다. 놓치기 쉬운 것: 사후 탐지만으로는 늦습니다 — 우리 브랜드의 유사 도메인을 선제적으로 모니터링·등록·테이크다운하는 절차를 두세요.
Nearly indistinguishable by eye, and attackers register the domain just before use to dodge reputation blocks. Commonly missed: after-the-fact detection is too late — run a process to proactively monitor, register, and take down lookalikes of your brand.
Read more →계정 탈취ATO▾탈취한 자격증명으로 실제 계정을 장악해 내부에서 공격하는 것.
Seizing a real account with stolen credentials to attack from the inside.
일단 정상 계정에서 보내는 메일이라 인증·평판을 모두 통과하고, 내부 확산·VEC로 번집니다. 가장 위험한 "신뢰받는 발신자" 공격입니다. 놓치기 쉬운 것: 로그인 보호(MFA)만 보지 말고, 이미 탈취된 계정의 비정상 행위(불가능한 위치 이동·대량 전송·자동전달 규칙 생성) 탐지까지 챙기세요.
Mail now comes from a real account, so it passes auth and reputation, then spreads internally and into VEC — the most dangerous "trusted sender" attack. Commonly missed: beyond login protection (MFA), detect post-takeover anomalies (impossible travel, mass sends, new auto-forward rules).
Read more →자격증명 탈취 (Credential harvesting)▾가짜 로그인 페이지 등으로 아이디·비밀번호를 수집하는 행위.
Collecting usernames/passwords, typically via fake login pages.
직원이 회사·개인 사이트에 같은 비밀번호를 재사용하면, 어디서든 유출된 자격증명이 회사 계정 열쇠가 됩니다. 놓치기 쉬운 것: 비밀번호 정책만으로는 부족합니다 — MFA를 전사 의무화하고, 다크웹 유출 자격증명 모니터링으로 이미 새어나간 계정을 선제 차단하세요.
If staff reuse passwords across work and personal sites, a leak anywhere becomes the key to your accounts. Commonly missed: password policy is not enough — mandate MFA org-wide and monitor dark-web credential dumps to pre-emptively lock already-exposed accounts.
Read more →제로데이 (Zero-day)▾아직 패치·시그니처가 없는 신종 취약점/공격.
A brand-new vulnerability or attack with no patch or signature yet.
정의상 시그니처·평판으로는 못 막습니다. "알려진 나쁜 것"만 차단하는 방어는 첫 피해자가 됩니다. 놓치기 쉬운 것: 알려지지 않은 위협에 대비한 행위·맥락 기반 탐지와, 패치 적용까지 걸리는 시간(노출 창)을 줄이는 신속 패치 운영을 함께 챙기세요.
By definition signatures/reputation cannot catch it — defenses that only block "known bad" become the first victim. Commonly missed: combine behavior/context-based detection for the unknown with fast patch operations that shrink the exposure window.
Read more →AI 생성 피싱 (AI-Generated Phishing)▾대규모 언어모델을 이용해 문법 오류 없이 매우 자연스럽고 개인화된 피싱 메일을 대량 생성하는 공격이다.
An attack that uses large language models to mass-produce highly natural, personalized phishing emails free of grammatical errors.
앵글러 피싱 (Angler Phishing)▾소셜미디어에서 가짜 고객지원 계정을 만들어 불만을 제기한 사용자에게 접근해 정보를 탈취하는 피싱 기법이다.
A phishing technique using fake customer-support accounts on social media to approach complaining users and steal their information.
베이팅 (Baiting)▾호기심이나 욕심을 자극하는 미끼(감염된 USB, 무료 다운로드 등)로 피해자가 스스로 악성코드를 실행하게 유도하는 기법이다.
A technique that lures victims into running malware themselves using enticing bait such as infected USB drives or free downloads.
브랜드 사칭 (Brand Impersonation)▾유명 브랜드의 로고·디자인·도메인을 모방해 정품처럼 보이는 이메일이나 사이트로 사용자를 속이는 기법이다.
A technique that mimics a well-known brand's logo, design, and domain to deceive users with emails or sites that look authentic.
CEO 사기 (CEO Fraud)▾공격자가 CEO 등 최고경영진을 사칭해 재무 담당자에게 긴급 송금을 지시하는 BEC의 대표적 변종이다.
A common BEC variant in which an attacker impersonates a CEO or top executive to instruct finance staff to make urgent wire transfers.
클론 피싱 (Clone Phishing)▾정상적으로 수신된 기존 이메일을 복제해 첨부파일이나 링크만 악성으로 바꿔 재발송하는 피싱 기법이다.
A phishing technique that copies a legitimate previously delivered email and resends it with attachments or links swapped for malicious ones.
동의 피싱 (Consent Phishing)▾악성 OAuth 앱을 통해 사용자가 계정 권한을 부여하도록 유도해 비밀번호 없이도 데이터에 접근하는 피싱 기법이다.
A phishing technique that tricks users into granting permissions to a malicious OAuth app, enabling data access without stealing passwords.
대화 가로채기 (Conversation Hijacking)▾공격자가 진행 중인 비즈니스 이메일 대화를 모니터링하다 끼어들어 송금 정보를 변경하는 등 사기를 시도하는 공격이다.
An attack where adversaries monitor an ongoing business email conversation and inject themselves to alter payment details or commit fraud.
딥페이크 피싱 (Deepfake Phishing)▾AI로 생성한 가짜 음성·영상으로 임원 등을 사칭해 영상통화나 음성메시지로 송금·정보유출을 유도하는 공격이다.
An attack using AI-generated fake audio or video to impersonate executives in calls or voice messages to induce wire transfers or data leaks.
이메일 계정 탈취 (Email Account Takeover)ATO▾공격자가 자격증명을 탈취해 합법적인 이메일 계정을 장악하고 내부 사칭·사기에 악용하는 공격이다.
An attack where adversaries steal credentials to seize a legitimate email account and abuse it for internal impersonation or fraud.
기프트카드 사기 (Gift Card Scam)▾임원을 사칭해 직원에게 기프트카드 구매와 코드 전송을 긴급히 요청하는 흔한 BEC 사회공학 사기다.
A common BEC social-engineering scam that impersonates an executive to urgently ask an employee to buy gift cards and send the codes.
호모그래프 공격 (Homograph Attack)IDN homograph▾유니코드의 시각적으로 동일한 문자(예: 키릴 'а' vs 라틴 'a')를 이용해 정상 도메인처럼 보이는 가짜 도메인을 만드는 공격이다.
An attack using visually identical Unicode characters (e.g., Cyrillic 'a' vs Latin 'a') to create fraudulent domains that look legitimate.
사칭 공격 (Impersonation Attack)▾신뢰받는 사람·브랜드·기관을 가장해 피해자가 요청을 정당한 것으로 믿게 만드는 공격의 총칭이다.
A general class of attacks that masquerade as trusted persons, brands, or organizations so victims believe requests are legitimate.
송장 사기 (Invoice Fraud)▾가짜 또는 변조된 송장을 보내 결제 계좌를 공격자 계좌로 바꾸도록 유도하는 BEC 유형의 금융 사기다.
A BEC-style financial fraud that sends fake or altered invoices to redirect payments to attacker-controlled accounts.
악성 첨부파일 (Malicious Attachment)▾문서·압축파일 등에 악성코드나 매크로를 숨겨 이메일로 전달, 열람 시 감염을 유발하는 공격 수단이다.
An attack vector delivering malware or malicious macros hidden in email attachments such as documents or archives that infect upon opening.
악성 스팸 (Malspam)▾악성코드를 첨부하거나 악성 링크를 포함해 대량 발송하는 스팸 이메일로, 멀웨어 감염의 주요 경로다.
Spam email carrying malicious attachments or links, sent in bulk and serving as a primary vector for malware infections.
급여 가로채기 (Payroll Diversion)▾직원을 사칭해 인사·급여 부서에 직접입금 계좌 변경을 요청, 급여를 공격자 계좌로 빼돌리는 BEC 사기다.
A BEC scam that impersonates an employee to ask HR or payroll to change direct-deposit details, diverting wages to an attacker's account.
파밍 (Pharming)▾DNS 변조나 호스트 파일 조작으로 사용자가 정상 주소를 입력해도 가짜 사이트로 리디렉션시켜 정보를 탈취하는 공격이다.
An attack that redirects users to fraudulent websites via DNS poisoning or host-file manipulation even when they enter a legitimate address.
PhaaS (Phishing-as-a-Service)PhaaS▾피싱 인프라·킷·호스팅을 구독형 서비스로 판매해 공격 진입 장벽을 낮추는 사이버범죄 비즈니스 모델이다.
A cybercrime business model that sells phishing infrastructure, kits, and hosting as a subscription service, lowering the barrier to attacks.
피싱 킷 (Phishing Kit)▾가짜 로그인 페이지와 수집 스크립트를 묶어 비전문가도 쉽게 피싱 사이트를 구축하게 해주는 사전 제작 패키지다.
A pre-built package bundling fake login pages and collection scripts so non-experts can quickly deploy phishing sites.
프리텍스팅 (Pretexting)▾공격자가 그럴듯한 시나리오나 거짓 신분을 꾸며내 피해자의 신뢰를 얻고 정보를 빼내는 사회공학 기법이다.
A social-engineering technique where an attacker fabricates a plausible scenario or false identity to gain a victim's trust and extract information.
퀴드 프로 쿠오 (Quid Pro Quo)▾기술지원 등 도움이나 대가를 제공하는 척하며 그 대가로 자격증명이나 접근권을 요구하는 사회공학 기법이다.
A social-engineering technique that offers a service or benefit, such as fake tech support, in exchange for credentials or access.
리플라이 체인 공격 (Reply-Chain Attack)▾탈취한 계정의 기존 답장 사슬에 악성 링크나 첨부를 끼워 넣어 수신자가 의심 없이 열게 만드는 이메일 공격이다.
An email attack that inserts malicious links or attachments into an existing reply chain from a compromised account so recipients open them without suspicion.
섹스토션 이메일 (Sextortion Email)▾피해자의 음란물 영상이나 정보를 확보했다고 협박하며 비트코인 등 금전을 요구하는 협박성 사기 이메일이다.
An extortion scam email that threatens to release supposed compromising sexual material unless the victim pays money such as Bitcoin.
스미싱 (Smishing)▾SMS 문자메시지를 이용해 악성 링크나 가짜 안내로 사용자를 속이는 피싱 공격이다.
A phishing attack delivered via SMS text messages using malicious links or fraudulent prompts to deceive users.
사회공학 (Social Engineering)▾기술적 취약점이 아닌 인간의 심리와 신뢰를 조작해 정보 유출이나 보안 우회를 유도하는 공격 기법이다.
The manipulation of human psychology and trust, rather than technical vulnerabilities, to induce information disclosure or security bypass.
스팸 (Spam)▾수신자의 동의 없이 대량으로 발송되는 원치 않는 이메일로, 종종 피싱·악성코드 배포 수단으로 악용된다.
Unsolicited bulk email sent without recipient consent, often abused as a vector for phishing or malware distribution.
스팸 폭탄 (Spam Bombing)email bombing▾피해자의 메일함을 짧은 시간에 대량 메일로 가득 채워 정작 중요한 보안 경고나 사기 확인 알림을 가리는 공격으로, 종종 후속 사기의 사전 작업으로 쓰인다.
An attack that floods a victim's inbox with massive email volume in a short time to bury legitimate security or fraud-alert notifications, often as a precursor to follow-on scams.
테일게이팅 (Tailgating)▾권한 있는 사람을 뒤따라 출입통제 구역에 무단으로 진입하는 물리적 사회공학 기법으로 피기배킹이라고도 한다.
A physical social-engineering technique of following an authorized person into a restricted area without credentials, also known as piggybacking.
스레드 하이재킹 (Thread Hijacking)▾탈취한 메일함의 기존 대화 스레드에 답장해 악성 콘텐츠를 자연스럽게 끼워 넣어 신뢰를 악용하는 공격이다.
An attack that replies into an existing conversation thread from a compromised mailbox to insert malicious content while exploiting established trust.
타이포스쿼팅 (Typosquatting)▾사용자가 흔히 잘못 입력하는 도메인 철자를 미리 등록해 오타로 접속한 사용자를 악성 사이트로 유도하는 기법이다.
Registering misspelled variants of popular domains to capture users who make typing errors and redirect them to malicious sites.
URL 리디렉션 피싱 (Open Redirect Phishing)▾신뢰할 수 있는 사이트의 개방형 리디렉트 취약점을 악용해 정상 도메인 링크처럼 보이게 한 뒤 악성 사이트로 보내는 기법이다.
A technique abusing open-redirect vulnerabilities on trusted sites so links appear legitimate but forward victims to malicious destinations.
보이스 피싱 (Vishing)▾전화나 음성 통화를 이용해 피해자를 속여 개인·금융정보를 탈취하는 사회공학 공격이다.
A social-engineering attack that uses phone or voice calls to deceive victims into divulging personal or financial information.
음성 복제 사기 (Voice Cloning Fraud)▾짧은 음성 샘플로 AI가 특정 인물의 목소리를 복제해 가족·상사를 사칭, 긴급 송금을 요구하는 사기 기법이다.
A fraud technique where AI clones a target's voice from short samples to impersonate family or superiors and demand urgent money transfers.
워터링 홀 공격 (Watering Hole Attack)▾표적 집단이 자주 방문하는 웹사이트를 미리 감염시켜 방문자를 노리는 표적형 공격 기법이다.
A targeted attack that compromises websites frequently visited by a target group to infect their visitors.
무기화된 문서 (Weaponized Document)▾매크로·익스플로잇·임베디드 객체를 삽입해 열람만으로 악성코드를 실행시키도록 조작된 오피스/PDF 문서다.
An Office or PDF document manipulated with macros, exploits, or embedded objects to execute malware merely upon opening.
웨일링 (Whaling)▾CEO·CFO 등 고위 임원을 표적으로 삼는 스피어 피싱의 한 형태로, 큰 권한과 자금 접근권을 노린다.
A form of spear phishing that targets high-profile executives such as CEOs or CFOs to exploit their authority and access to funds.
이메일 인증 · Email authentication
SPF▾발신 도메인이 어떤 메일서버에서 보낼 수 있는지 DNS로 선언하는 인증.
DNS record declaring which mail servers may send for a domain.
없으면 누구나 우리 도메인으로 메일을 보낼 수 있고, 정상 메일조차 스팸 처리됩니다. DMARC의 전제 조건입니다. 놓치기 쉬운 것: SPF에는 조회 10회 제한이 있어 SaaS 도구가 늘면 조용히 깨집니다 — 발송 도구를 추가할 때마다 SPF 레코드를 점검하세요.
Without it anyone can send as your domain and even your real mail gets flagged; it is a prerequisite for DMARC. Commonly missed: SPF has a 10-lookup limit that silently breaks as you add SaaS senders — review the record every time you add a sending tool.
Read more →DKIM▾메일에 암호 서명을 붙여 위·변조 여부를 검증하는 인증.
Cryptographic signature on a message that verifies it was not altered.
메일 도달성과 위변조 방지의 핵심이며, 미서명 메일은 수신측에서 의심받습니다. 놓치기 쉬운 것: 짧은(1024비트) 키를 오래 쓰거나 로테이션을 안 하는 경우가 많습니다 — 2048비트 키와 주기적 교체를 운영 항목으로 정하세요.
Core to deliverability and tamper-proofing; unsigned mail is treated with suspicion by receivers. Commonly missed: short (1024-bit) keys and no rotation are common — standardize on 2048-bit keys with periodic rotation.
Read more →DMARC▾SPF/DKIM 결과를 정책(거부/격리)으로 강제하고 리포트를 받는 표준.
Policy layer that enforces SPF/DKIM results (reject/quarantine) and reports.
도메인 사칭을 막는 가장 효과적인 단일 조치이고, 갈수록 거래·메일 발송의 사실상 필수 요건이 되고 있습니다. 놓치기 쉬운 것: 대부분 p=none(모니터)에 머물러 실제론 아무것도 안 막습니다 — 리포트로 정상 발송을 정리한 뒤 quarantine→reject까지 반드시 올리세요.
The most effective single step against domain spoofing, and increasingly a de-facto requirement for sending/partnering. Commonly missed: most stay at p=none (monitor) and block nothing — use the reports to fix legitimate senders, then move to quarantine→reject.
Read more →ARC▾메일이 중계서버를 거칠 때 인증 결과를 보존·서명해 전달하는 체인.
Chain that preserves and re-signs authentication results across relays/forwarders.
메일링리스트·포워딩을 거치면 SPF/DKIM이 깨져 정상 메일이 차단되는데, ARC가 이 오탐을 줄여 업무 마찰을 낮춥니다. 놓치기 쉬운 것: DMARC를 reject로 올릴 때 포워딩 시나리오를 검증하지 않으면 정상 협업 메일이 대량 차단될 수 있습니다 — 시행 전 포워딩 경로를 테스트하세요.
Forwarding/lists break SPF/DKIM and bounce legitimate mail; ARC reduces those false positives and the friction they cause. Commonly missed: moving DMARC to reject without testing forwarding paths can mass-block real collaboration mail — test those flows first.
Read more →MX 레코드 (MX record)▾도메인의 수신 메일서버를 가리키는 DNS 레코드. 인라인 게이트웨이는 이걸 바꿈.
DNS record pointing to a domain's inbound mail servers; inline gateways change it.
인라인(게이트웨이) 보안을 도입하면 메일 흐름이 그 보안 시스템을 거치게 되어, 그 시스템이 곧 단일 장애점이 됩니다. 놓치기 쉬운 것: 가용성(이중화)·장애 시 메일 큐잉 정책을 계약·설계 단계에서 확인하세요 — 보안 시스템이 멈추면 전사 메일이 멈출 수 있습니다.
Adopting inline (gateway) security routes mail through that system, which then becomes a single point of failure. Commonly missed: verify availability (redundancy) and fail-open/queue behavior at contract/design time — if the security system stalls, company mail can stall.
Read more →BIMI (Brand Indicators for Message Identification)BIMI▾DMARC를 통과한 도메인의 브랜드 로고를 수신함에 표시하도록 하는 표준으로, 로고는 DNS와 VMC 인증서로 검증된다.
A standard that displays a brand's verified logo next to authenticated messages in the inbox for domains passing DMARC, with the logo validated via DNS and a Verified Mark Certificate.
DANE (DNS-based Authentication of Named Entities)DANE▾DNSSEC로 보호되는 TLSA 레코드를 이용해 TLS 인증서나 공개키를 DNS에 바인딩함으로써, SMTP 등에서 서버 인증서의 신뢰성을 검증하는 프로토콜이다.
A protocol that binds TLS certificates or public keys to DNS names using DNSSEC-protected TLSA records, enabling verification of server certificates for protocols such as SMTP without relying solely on CAs.
DKIM 셀렉터 (DKIM Selector)▾한 도메인에서 여러 DKIM 키를 구분하기 위한 식별자로, 셀렉터._domainkey.도메인 형식의 DNS 위치에서 해당 공개키를 조회한다.
An identifier used to distinguish among multiple DKIM keys for a domain; the corresponding public key is published at the DNS location selector._domainkey.domain.
DMARC 집계 리포트 (DMARC Aggregate Report / RUA)RUA▾수신 서버가 도메인 소유자에게 주기적으로 보내는 XML 형식 보고서로, 해당 도메인 메일의 SPF·DKIM·DMARC 인증 결과 통계를 담는다.
A periodic XML report sent by receiving servers to a domain owner, summarizing statistics on SPF, DKIM, and DMARC authentication results for the domain's mail.
DMARC 정렬 (DMARC Alignment)▾DMARC에서 SPF·DKIM이 인증한 도메인이 메시지의 From 헤더 도메인과 일치(strict 또는 relaxed)하는지 확인하는 핵심 검증 요건이다.
The core DMARC requirement that the domain authenticated by SPF or DKIM match the domain in the message's From header, evaluated in strict or relaxed mode.
DNSSEC (Domain Name System Security Extensions)DNSSEC▾DNS 응답에 디지털 서명을 추가해 데이터의 무결성과 출처 인증을 제공하는 확장 규격으로, DNS 스푸핑·캐시 포이즈닝을 방지하며 DANE의 기반이 된다.
Extensions that add digital signatures to DNS responses to provide data integrity and origin authentication, preventing DNS spoofing and cache poisoning and underpinning DANE.
순방향 비밀성 (Forward Secrecy)PFS▾세션마다 일시적인 키를 사용해, 장기 개인키가 향후 유출되더라도 과거에 기록된 암호화 트래픽을 복호화할 수 없게 하는 TLS 속성이다.
A TLS property using ephemeral per-session keys so that even if a long-term private key is later compromised, previously recorded encrypted traffic cannot be decrypted.
MTA-STS (SMTP MTA Strict Transport Security)MTA-STS▾메일 서버 간 SMTP 연결에 TLS 암호화를 강제하고 인증서 검증을 요구하도록 도메인이 HTTPS로 게시하는 정책 메커니즘으로, 다운그레이드 및 중간자 공격을 막는다.
A mechanism letting a domain publish, over HTTPS, a policy requiring TLS encryption and certificate validation for inbound SMTP connections, defending against downgrade and man-in-the-middle attacks.
OpenPGP▾PGP에서 파생된 개방형 이메일 암호화 표준(RFC 4880 등)으로, GnuPG 등 여러 구현체가 상호운용성을 갖도록 메시지·키 형식을 규정한다.
An open standard for email encryption derived from PGP (RFC 4880 and successors) that defines message and key formats so implementations like GnuPG can interoperate.
PGP (Pretty Good Privacy)PGP▾이메일과 파일을 암호화·서명하기 위한 공개키 암호 프로그램으로, 신뢰의 웹(web of trust) 모델을 사용해 키를 검증한다.
A public-key cryptography program for encrypting and signing email and files, using a web-of-trust model to validate keys.
리턴 패스 (Return-Path)▾메일의 봉투 발신자(envelope sender, MAIL FROM) 주소로, 반송 메시지가 보내지는 곳이며 SPF 검증과 DMARC 정렬의 기준이 되는 도메인을 담는다.
The envelope sender (MAIL FROM) address of an email, where bounce messages are returned, and whose domain is the basis for SPF verification and DMARC alignment.
S/MIME (Secure/Multipurpose Internet Mail Extensions)S/MIME▾X.509 인증서 기반의 공개키 암호로 이메일 메시지를 종단 간 서명·암호화하는 표준으로, 메시지 무결성·인증·기밀성을 제공한다.
A standard for end-to-end signing and encryption of email messages using X.509 certificate-based public-key cryptography, providing message integrity, authentication, and confidentiality.
SMTP (Simple Mail Transfer Protocol)SMTP▾메일 서버 간 및 클라이언트에서 서버로 이메일을 전송하는 표준 인터넷 프로토콜로, 기본적으로 평문이라 STARTTLS나 SMTPS로 암호화한다.
The standard internet protocol for transmitting email between mail servers and from clients to servers; plaintext by default, it is secured with STARTTLS or SMTPS.
SMTPS (SMTP over TLS)SMTPS▾연결 시작부터 TLS로 SMTP 전체를 암호화하는 방식(주로 포트 465의 암시적 TLS)으로, STARTTLS의 기회적 업그레이드와 달리 처음부터 암호화된다.
A method of encrypting SMTP with TLS from the start of the connection (implicit TLS, typically port 465), encrypting from the outset rather than via the opportunistic upgrade of STARTTLS.
SPF 레코드 (SPF Record)▾도메인의 승인된 발신 메일 서버를 나열하는 DNS TXT 레코드로, v=spf1 로 시작하며 include·a·mx·ip4 같은 메커니즘과 -all 등 한정자로 구성된다.
A DNS TXT record listing a domain's authorized sending mail servers, beginning with v=spf1 and composed of mechanisms like include, a, mx, ip4 and qualifiers such as -all.
STARTTLS▾평문 프로토콜 연결을 기회적으로 TLS 암호화로 승격(upgrade)시키는 명령으로, SMTP·IMAP·POP3에서 기존 포트를 유지하며 전송 구간을 암호화한다.
A command that opportunistically upgrades an existing plaintext protocol connection to a TLS-encrypted one, used in SMTP, IMAP, and POP3 to secure the transport while keeping standard ports.
TLS-RPT (SMTP TLS Reporting)TLS-RPT▾MTA-STS나 DANE를 사용하는 도메인이 발신 메일 서버로부터 TLS 협상 성공/실패에 관한 일별 집계 보고서를 받도록 하는 표준이다.
A standard that lets domains using MTA-STS or DANE receive daily aggregate reports from sending mail servers about TLS negotiation successes and failures.
VMC (Verified Mark Certificate)VMC▾BIMI에서 브랜드 로고의 상표 권리를 인증기관이 검증해 발급하는 디지털 인증서로, 수신함에 검증된 로고를 표시하는 데 사용된다.
A digital certificate issued by an authority that verifies a brand's trademark rights to a logo, used in BIMI to display a validated logo in the inbox.
아키텍처 · 배포 · Architecture & deployment
보안 이메일 게이트웨이SEG▾MX 앞단에서 배달 전 메일을 필터링하는 전통적 인라인 방식.
Traditional inline filter that sits in front of MX, scanning mail before delivery.
배달 전 차단은 강력하지만 침습적이고, 이미 받은편지함에 있는(내부→내부) 메일이나 탈취 계정 공격은 못 봅니다. 놓치기 쉬운 것: SEG가 있다고 안심하기 쉽지만 BEC·내부 확산은 사각지대입니다 — API 기반(ICES) 가시성으로 보완하는지 점검하세요.
Blocking pre-delivery is powerful but invasive, and it is blind to already-delivered internal mail and account-takeover attacks. Commonly missed: a SEG breeds false comfort while BEC and internal spread sit in its blind spot — check whether API-based (ICES) visibility complements it.
Read more →통합 클라우드 이메일 보안ICES▾M365/Workspace에 API로 붙어 배달 후 스캔·교정하는 현대적 방식(MX 변경 불필요).
Modern API-based approach that scans/remediates post-delivery on M365/Workspace — no MX change.
MX 변경 없이 5분에 배포되고 무중단이라 가치 실현이 빠르며, 내부 메일까지 봅니다. 시장의 현 표준 방향입니다. 놓치기 쉬운 것: "배달 후" 방식이라 사용자가 먼저 열어볼 수 있는 짧은 창이 있습니다 — 클로백(자동 회수) 속도와 고위험 건의 차단 정책을 확인하세요.
Five-minute, no-MX, non-disruptive deployment means fast time-to-value, and it sees internal mail too — the market’s current direction. Commonly missed: being post-delivery, there is a brief window where a user may open it first — check claw-back speed and blocking policy for high-risk cases.
Read more →저널링 (Journaling)▾모든 메일의 사본을 보안 시스템에 전달해 무중단으로 모니터링·감사.
Sending a copy of every message to the security system for non-disruptive monitoring/audit.
메일 흐름에 전혀 영향을 주지 않아 도입 리스크가 거의 없어, 가치 증명(PoC)·감사 진입점으로 이상적입니다. 놓치기 쉬운 것: 저널링은 "보기"만 하고 "차단"은 못 합니다 — 모니터링으로 끝내지 말고, 가치 검증 후 인라인 차단으로 전환하는 계획을 함께 세우세요.
Zero impact on mail flow makes it near-risk-free — ideal as a PoC / audit entry point. Commonly missed: journaling only observes, it does not block — plan the move to inline blocking after value is proven, rather than stopping at monitoring.
Read more →샌드박스 (Sandbox)▾의심 첨부·링크를 격리 환경에서 실행해 악성 행위를 관찰하는 동적 분석.
Isolated environment that detonates suspicious files/links to observe malicious behavior.
알려지지 않은 악성 첨부에 효과적이지만, 분석에 시간이 걸리고 정교한 악성코드는 샌드박스를 인지해 행동을 숨깁니다. 놓치기 쉬운 것: 샌드박스는 첨부·링크 중심이라 첨부 없는 BEC엔 무력합니다 — 샌드박스만으로 이메일 보안을 다 했다고 여기지 마세요.
Effective against unknown malicious attachments, but analysis takes time and advanced malware detects the sandbox and hides. Commonly missed: sandboxes focus on files/links and are useless against attachment-less BEC — do not treat one as complete email security.
Read more →콘텐츠 무해화·재구성CDR▾첨부에서 능동 요소(매크로 등)를 제거하고 안전하게 재구성해 전달.
Strips active content (e.g., macros) from attachments and rebuilds a safe version.
"분석해서 판단"이 아니라 "위험요소를 아예 제거"하므로 제로데이 첨부에도 강합니다. 놓치기 쉬운 것: 매크로·임베디드 기능이 제거되면 업무용 문서가 깨질 수 있습니다 — 재무·설계 등 매크로 의존 부서의 영향과 예외 정책을 사전에 합의하세요.
It removes risk rather than judging it, so it holds up even against zero-day attachments. Commonly missed: stripping macros/embedded features can break business documents — pre-agree the impact and exceptions with macro-dependent teams (finance, engineering).
Read more →데이터 주권 (Data sovereignty)▾데이터가 해당 관할의 법·통제 아래 머무르게 하는 것. 온프레미스·in-region 배포로 달성.
Keeping data under the laws/control of its jurisdiction — achieved via on-prem / in-region deployment.
규제(PIPA 등) 준수와 고객 신뢰의 핵심이며, 공공·금융 거래에서는 계약 성사 여부를 가릅니다. 놓치기 쉬운 것: "클라우드 보안"이라는 제품도 메일 본문을 외부 LLM/타국 리전으로 보낼 수 있습니다 — 데이터가 실제로 어디서 처리·저장되는지(특히 AI 추론) 반드시 확인하세요.
Central to compliance (e.g., PIPA) and customer trust, and often decisive in public-sector/financial deals. Commonly missed: even a "cloud security" product may send message bodies to an external LLM or foreign region — verify where data is actually processed/stored (especially AI inference).
Read more →백스캐터 (Backscatter)▾위조된 발신자 주소로 보내진 스팸에 대한 반송·자동응답이 무고한 제3자에게 쏟아지는 부수적 스팸 현상이다.
Collateral spam in which bounce messages or auto-replies to spam with forged sender addresses flood innocent third parties.
외부 발신 배너 경고 (External Sender Banner)▾조직 외부에서 온 이메일임을 알리는 경고 배너를 본문 상단에 삽입해 사용자의 경각심을 높이는 보안 통제다.
A security control that inserts a warning banner at the top of messages from outside the organization to raise user awareness.
사후 회수·교정 (Post-Delivery Remediation)▾이미 받은편지함에 배달된 후 악성으로 판명된 메일을 API로 자동 회수·삭제하는 ICES의 핵심 기능이다.
A core ICES capability that automatically retracts or removes messages already delivered to inboxes once they are found malicious, via API (clawback).
연결 제한 (Connection Throttling)▾발신 IP나 도메인별 SMTP 연결·전송 속도를 제한해 스팸·남용·과부하를 완화하는 메일 서버 통제다.
A mail server control that limits SMTP connection or send rates per source IP or domain to mitigate spam, abuse, and overload.
이메일 연속성 (Email Continuity)▾주 메일 시스템 장애 시에도 사용자가 메일을 송수신할 수 있도록 보장하는 가용성·재해복구 기능이다.
An availability and disaster-recovery capability ensuring users can send and receive email even during a primary mail system outage.
이메일 데이터 유출 방지 (Email Data Loss Prevention)DLP▾발신 이메일의 콘텐츠를 검사해 민감정보의 무단 외부 전송을 탐지·차단·암호화하는 기술이다.
A technology that inspects outbound email content to detect, block, or encrypt unauthorized transmission of sensitive data.
이메일 암호화 게이트웨이 (Email Encryption Gateway)▾정책에 따라 발신 이메일을 자동으로 암호화해 민감정보를 보호하는 게이트웨이 솔루션이다.
A gateway solution that automatically encrypts outbound email according to policy to protect sensitive information.
이메일 격리 (Email Quarantine)▾스팸·멀웨어·피싱으로 의심되는 메일을 받은편지함 대신 별도 격리 영역에 보관해 관리자나 사용자가 검토하게 하는 기능이다.
A feature that holds suspected spam, malware, or phishing email in a separate quarantine area instead of the inbox for admin or user review.
이메일 샌드박스 (Email Sandbox)▾의심스러운 첨부파일이나 URL을 격리된 가상 환경에서 실행해 악성 행위를 동적으로 분석하는 기술이다.
A technology that detonates suspicious attachments or URLs in an isolated virtual environment to dynamically analyze malicious behavior.
이메일 스풀링 (Email Spooling)▾수신 서버가 다운되었을 때 메일을 백업 서버에 임시 저장했다가 복구 후 재전달해 메일 손실을 막는 기능이다.
A capability that temporarily stores mail on a backup server when the destination is down and re-delivers it after recovery to prevent loss.
그레이리스팅 (Greylisting)▾처음 보는 발신자의 메일을 일시적으로 거부하고 정상 MTA의 재전송을 유도해 스팸봇을 걸러내는 기법이다.
A technique that temporarily rejects email from unknown senders, relying on legitimate MTAs to retry, thereby filtering out spambots.
인터넷 메시지 접근 프로토콜 (Internet Message Access Protocol)IMAP▾메일을 서버에 보관한 채 여러 기기에서 동기화하며 접근하도록 하는 이메일 수신 프로토콜이다.
An email retrieval protocol that keeps messages on the server and allows synchronized access across multiple devices.
인라인 대 API 배포 (Inline vs API Deployment)▾이메일 보안을 메일 흐름에 직접 끼워 차단하는 인라인 방식과 메일박스 API로 연동해 배달 후 처리하는 방식의 두 배포 모델을 가리킨다.
The two email security deployment models: inline, which sits in the mail flow to block in transit, versus API-based, which integrates with mailbox APIs to act post-delivery.
메일 큐 (Mail Queue)▾즉시 배달되지 못한 이메일을 임시 보관하며 재시도를 관리하는 MTA 내부의 대기열이다.
A queue within an MTA that temporarily holds email that cannot be delivered immediately and manages retries.
메일 배달 에이전트 (Mail Delivery Agent)MDA▾MTA로부터 받은 메일을 수신자의 메일박스에 최종 배달하는 소프트웨어다.
Software that delivers email received from an MTA into the recipient's mailbox.
메일 제출 에이전트 (Mail Submission Agent)MSA▾메일 클라이언트로부터 보낸 메일을 받아 인증·정책 검사 후 MTA로 전달하는 서버로, 보통 587 포트를 사용한다.
A server that receives outgoing mail from clients, applies authentication and policy checks, and hands it to an MTA, typically over port 587.
메일 전송 에이전트 (Mail Transfer Agent)MTA▾SMTP를 사용해 메일 서버 간 이메일을 전송·라우팅하는 소프트웨어다.
Software that transfers and routes email between mail servers using SMTP.
메일 사용자 에이전트 (Mail User Agent)MUA▾사용자가 이메일을 작성·읽기·관리하는 클라이언트 소프트웨어로 흔히 이메일 클라이언트라 불린다.
Client software that lets users compose, read, and manage email, commonly known as an email client.
포스트 오피스 프로토콜 3 (Post Office Protocol 3)POP3▾메일 서버에서 메시지를 로컬 클라이언트로 다운로드하는 이메일 수신 프로토콜로, 보통 서버에서 메일을 삭제한다.
An email retrieval protocol that downloads messages from the server to a local client, typically removing them from the server.
실시간 블랙홀 목록 (Realtime Blackhole List)RBL▾스팸 발신으로 알려진 IP 주소 목록을 DNS로 조회해 메일을 차단하는 평판 기반 차단 목록이다.
A reputation-based blocklist of IP addresses known to send spam, queried via DNS to reject mail.
평판 필터링 (Reputation Filtering)▾발신 IP·도메인의 과거 행동 기반 평판 점수를 활용해 메일을 차단하거나 허용하는 필터링 기법이다.
A filtering technique that uses reputation scores based on the historical behavior of sending IPs or domains to block or allow mail.
스마트호스트 (Smarthost)▾메일 서버가 직접 목적지로 전송하지 않고 모든 발신 메일을 위탁해 중계하도록 지정한 외부 릴레이 서버다.
A designated external relay server through which a mail server routes all outbound email instead of delivering directly to destinations.
SMTP 릴레이 (SMTP Relay)▾한 메일 서버가 다른 서버를 통해 이메일을 중계·전달하는 과정으로, 잘못 구성되면 오픈 릴레이 악용 위험이 있다.
The process by which one mail server forwards email through another, which if misconfigured can be abused as an open relay.
SMTP 스머글링 (SMTP Smuggling)▾발신·수신 서버가 메시지 종료 시퀀스를 다르게 해석하는 점을 악용해 위조 이메일을 몰래 주입하는 공격 기법이다.
An attack technique that exploits differing interpretations of message-end sequences between sending and receiving servers to inject spoofed email.
SMTP TLS (STARTTLS)TLS▾STARTTLS 명령으로 SMTP 연결을 암호화해 전송 중 메일 내용을 보호하는 기법이다.
Encrypting an SMTP connection via the STARTTLS command to protect message content in transit.
SMTPS 포트 465 (Implicit TLS SMTP)SMTPS▾연결 시작부터 TLS 암호화가 적용되는 암묵적 TLS 방식의 SMTP 제출 포트다.
An SMTP submission port using implicit TLS where encryption applies from the start of the connection.
제출 포트 587 (Submission Port 587)▾인증된 메일 클라이언트가 메일을 제출할 때 사용하는 표준 SMTP 제출 포트로, 릴레이용 25번 포트와 구분된다.
The standard SMTP submission port used by authenticated clients to submit mail, distinct from port 25 used for relaying.
클릭 시점 보호 (Time-of-Click Protection)▾사용자가 이메일 링크를 클릭하는 순간 대상 URL의 안전성을 재평가해 배달 후 무기화된 링크까지 차단하는 보호 기능이다.
A protection that re-evaluates a link's safety at the moment a user clicks it, catching URLs weaponized after delivery.
전송 규칙 (Mail Flow/Transport Rule)▾이메일의 조건을 평가해 차단·리디렉션·헤더 추가·암호화 등 동작을 자동 적용하는 메일 흐름 정책 규칙이다.
A mail flow policy rule that evaluates conditions on email and automatically applies actions such as blocking, redirecting, adding headers, or encryption.
URL 재작성 (URL Rewriting)▾이메일 내 링크를 보안 프록시 주소로 치환해 클릭 시점에 실시간으로 안전성을 검사하는 기술이다.
A technique that rewrites links in email to point to a security proxy so their safety is checked in real time at click time.
운영 · SOC · Operations & SOC
SIEM▾보안 이벤트·로그를 집계·상관분석하는 플랫폼(Splunk, Sentinel 등).
Platform that aggregates and correlates security events/logs (Splunk, Sentinel, etc.).
보안 가시성과 규제 대응(감사 로그)의 중심이며, 이메일 판정을 흘려보내면 공격 전체 그림이 한곳에 모입니다. 놓치기 쉬운 것: 로그만 쌓고 안 보면 비용만 듭니다 — 어떤 경보에 누가 어떻게 대응하는지(룰·담당·SLA)까지 정의해야 SIEM이 일합니다.
The hub for security visibility and compliance (audit logs); streaming email verdicts in pulls the whole attack picture together. Commonly missed: collecting logs nobody reviews just burns budget — define which alerts trigger which response (rules, owner, SLA) for the SIEM to actually pay off.
Read more →SOAR▾경보에 대한 대응을 자동화·오케스트레이션하는 체계.
Automated orchestration of incident response actions.
경보가 폭증하는 환경에서 사람을 대신해 반복 대응을 자동화하므로 인력 절감·대응속도 ROI가 큽니다. 놓치기 쉬운 것: 정제되지 않은 경보를 자동화하면 오류도 자동화됩니다 — 신뢰도 높은 시나리오부터 단계적으로, 사람 확인 단계(휴먼 인 더 루프)를 남겨 시작하세요.
It automates repetitive response in high-alert environments, with strong ROI in headcount and speed. Commonly missed: automating noisy alerts automates the mistakes too — start with high-confidence playbooks and keep a human-in-the-loop checkpoint.
Read more →침해 지표IOC▾침해를 시사하는 흔적(악성 IP·도메인·해시 등).
Forensic artifact that signals compromise (malicious IP, domain, file hash, …).
위협 공유·차단의 기본 단위이지만, IOC는 "이미 알려진 과거"라 새 공격엔 한 발 늦습니다. 놓치기 쉬운 것: IOC 차단에만 의존하지 말고, 행위·의도 기반 탐지(TTP)를 함께 갖춰 처음 보는 공격도 잡도록 하세요.
The basic unit of threat sharing/blocking, but IOCs describe the known past and lag new attacks. Commonly missed: do not rely on IOC blocking alone — pair it with behavior/intent (TTP) detection to catch first-seen attacks.
Read more →격리 (Quarantine)▾위험 판정 메일을 받은편지함에서 격리(이동/차단)하는 교정 조치.
Remediation that moves/holds a risky message out of the inbox.
실질적 방어 행동이지만, 오탐으로 정상 메일이 격리되면 업무 마찰과 보안팀 불신으로 이어집니다. 놓치기 쉬운 것: 사용자 셀프 해제·검토 큐·해제 SLA 같은 운영 정책이 없으면 격리는 곧 "메일이 사라진다"는 불만이 됩니다 — 운영 프로세스를 함께 설계하세요.
A real defensive action, but false positives that quarantine legitimate mail breed friction and distrust of the security team. Commonly missed: without self-release, a review queue, and a release SLA, quarantine becomes "my mail vanished" complaints — design the operational process alongside it.
Read more →다중요소 인증MFA▾비밀번호 외 추가 인증요소를 요구해 계정 탈취를 완화.
Requires an extra authentication factor beyond a password, mitigating takeover.
비용 대비 효과가 가장 큰 단일 통제로, 전사 적용을 최우선 과제로 두어야 합니다. 놓치기 쉬운 것: SMS·푸시 MFA는 AiTM·MFA 피로 공격에 뚫립니다 — 고위험 계정부터 피싱 저항 MFA(패스키/FIDO2)로 업그레이드하세요.
The highest-ROI single control — org-wide rollout should be a top priority. Commonly missed: SMS/push MFA falls to AiTM and MFA-fatigue attacks — upgrade high-risk accounts to phishing-resistant MFA (passkeys/FIDO2).
Read more →지능형 지속 위협 (Advanced Persistent Threat)APT▾고도화된 기법으로 장기간 은밀히 침투를 유지하는 표적 공격 그룹이다. 주로 국가 후원 행위자와 연관된다.
A targeted adversary that uses sophisticated techniques to maintain stealthy, long-term access. It is often associated with nation-state actors.
경보 피로 (Alert Fatigue)▾과도한 경보로 인해 분석가가 둔감해지고 중요한 위협을 놓치는 현상이다. SOC 운영의 주요 과제다.
The desensitization of analysts caused by an overwhelming volume of alerts, leading to missed critical threats. It is a major challenge in SOC operations.
감사 로그 (Audit Log)▾시스템 내 활동과 변경 사항을 시간순으로 기록한 로그다. 책임 추적성과 사후 조사에 필수적이다.
A chronological record of activities and changes within a system. It is essential for accountability and post-incident investigation.
블루팀 (Blue Team)▾조직의 자산을 방어하고 공격을 탐지·대응하는 방어 팀이다. SOC 운영의 핵심 인력이다.
A defensive team responsible for protecting assets and detecting and responding to attacks. They are the core staff of SOC operations.
침해 통지 (Breach Notification)▾개인정보 유출 사고 발생 시 규제기관과 정보주체에게 의무적으로 알리는 절차다. GDPR, 개인정보보호법 등에서 요구된다.
The mandatory process of informing regulators and affected individuals when a data breach occurs. It is required under regulations such as GDPR and data protection laws.
증거 연속성 (Chain of Custody)▾디지털 증거의 수집부터 처리까지 이력을 문서화해 무결성을 보장하는 절차다. 법적 증거 능력 확보에 필수적이다.
The documented chronological handling of digital evidence to ensure its integrity. It is essential for legal admissibility.
명령제어 (Command and Control)C2▾공격자가 감염된 시스템을 원격으로 제어하기 위한 통신 채널과 인프라다. 데이터 유출과 추가 명령 전달에 사용된다.
The communication channel and infrastructure attackers use to remotely control compromised systems. It is used for data exfiltration and issuing further commands.
침해사고대응팀 (Computer Emergency Response Team)CERT▾보안 사고를 접수·조정·대응하는 전문 조직이다. 국가, 산업, 기업 단위로 운영된다.
A specialized organization that receives, coordinates, and responds to security incidents. They operate at national, sector, and organizational levels.
컴퓨터보안사고대응팀 (Computer Security Incident Response Team)CSIRT▾조직 내 보안 사고를 처리하는 전담 대응팀이다. 탐지, 분석, 복구, 사후 활동을 수행한다.
A dedicated team responsible for handling security incidents within an organization. It performs detection, analysis, recovery, and post-incident activities.
사이버 킬 체인 (Cyber Kill Chain)▾록히드마틴이 정의한 사이버 공격의 단계별 모델이다. 정찰부터 목표 달성까지 7단계로 공격 흐름을 분석한다.
A model defined by Lockheed Martin describing the stages of a cyberattack. It breaks an attack into seven phases from reconnaissance to actions on objectives.
데이터 유출 (Data Exfiltration)▾권한 없이 조직 내부의 데이터를 외부로 빼내는 행위다. 공격의 최종 목표가 되는 경우가 많다.
The unauthorized transfer of data from inside an organization to an external destination. It is often the ultimate goal of an attack.
디지털 포렌식·사고대응 (Digital Forensics and Incident Response)DFIR▾포렌식 조사와 사고대응을 결합한 활동 영역이다. 침해 원인 규명과 신속한 대응을 동시에 수행한다.
A field combining forensic investigation with incident response. It simultaneously determines root cause and drives rapid remediation.
디지털 포렌식 (Digital Forensics)▾디지털 증거를 수집·보존·분석해 사고 원인과 경위를 규명하는 분야다. 법적 증거 능력 확보를 중시한다.
The discipline of collecting, preserving, and analyzing digital evidence to determine the cause and course of an incident. It emphasizes legal admissibility.
엔드포인트 탐지·대응 (Endpoint Detection and Response)EDR▾엔드포인트의 활동을 지속 모니터링해 위협을 탐지·조사·대응하는 솔루션이다. 행위 기반 분석으로 고급 공격을 식별한다.
A solution that continuously monitors endpoint activity to detect, investigate, and respond to threats. It uses behavioral analysis to identify advanced attacks.
오탐 (False Positive)FP▾정상 행위를 위협으로 잘못 탐지한 경보다. 과도하면 분석가 피로와 경보 무시를 유발한다.
An alert that incorrectly flags benign activity as a threat. Excessive false positives cause analyst fatigue and alert dismissal.
일반 개인정보보호법 (General Data Protection Regulation)GDPR▾EU의 개인정보 보호 및 처리에 관한 규정이다. 침해 통지 의무와 강력한 제재를 포함한다.
The European Union's regulation on personal data protection and processing. It includes breach notification obligations and strong penalties.
거버넌스·위험·컴플라이언스 (Governance, Risk and Compliance)GRC▾조직의 거버넌스, 위험 관리, 규정 준수를 통합적으로 관리하는 체계다. 보안 의사결정을 비즈니스 목표와 정렬한다.
An integrated approach to managing an organization's governance, risk management, and regulatory compliance. It aligns security decisions with business objectives.
사고대응 (Incident Response)IR▾보안 침해 사고를 탐지·격리·제거·복구하는 체계적 프로세스다. 피해를 최소화하고 정상 운영을 회복하는 것을 목표로 한다.
The structured process of detecting, containing, eradicating, and recovering from security incidents. Its goal is to minimize damage and restore normal operations.
공격지표 (Indicator of Attack)IOA▾공격자의 의도와 행위 패턴을 나타내는 지표다. 침해가 완료되기 전 진행 중인 공격을 탐지하는 데 초점을 둔다.
Indicators that reveal an attacker's intent and behavioral patterns. They focus on detecting an attack in progress before compromise completes.
ISO/IEC 27001ISO 27001▾정보보안 관리체계(ISMS)에 대한 국제 표준이다. 위험 기반 통제 수립과 지속적 개선을 요구한다.
An international standard for information security management systems (ISMS). It requires risk-based controls and continual improvement.
횡적 이동 (Lateral Movement)▾공격자가 침투한 시스템에서 다른 시스템으로 권한과 접근을 확장하는 기법이다. 목표 자산 도달을 위해 사용된다.
A technique where an attacker expands access from a compromised system to others within the network. It is used to reach target assets.
로그 관리 (Log Management)▾시스템·애플리케이션 로그를 수집·저장·분석·보존하는 활동이다. 탐지, 포렌식, 규정준수의 기반이다.
The practice of collecting, storing, analyzing, and retaining system and application logs. It underpins detection, forensics, and compliance.
평균 탐지 시간 (Mean Time to Detect)MTTD▾보안 사고가 발생한 후 탐지될 때까지 걸린 평균 시간이다. SOC 탐지 성능의 핵심 지표다.
The average time taken to detect a security incident after it occurs. It is a key metric for SOC detection performance.
평균 대응 시간 (Mean Time to Respond)MTTR▾사고 탐지 후 대응·복구를 완료하기까지 걸린 평균 시간이다. 대응 효율성을 측정한다.
The average time taken to respond to and remediate an incident after detection. It measures response efficiency.
MITRE ATT&CKATT&CK▾실제 공격자의 전술·기법·절차(TTP)를 체계적으로 정리한 지식 베이스다. 탐지·방어·위협 분석의 공통 프레임워크로 쓰인다.
A globally accessible knowledge base of adversary tactics, techniques, and procedures (TTPs) based on real-world observations. It serves as a common framework for detection and defense.
네트워크 탐지·대응 (Network Detection and Response)NDR▾네트워크 트래픽을 분석해 비정상 행위와 위협을 탐지·대응하는 솔루션이다. 횡적 이동과 은닉 공격 식별에 강하다.
A solution that analyzes network traffic to detect and respond to anomalous behavior and threats. It excels at identifying lateral movement and stealthy attacks.
NIST 사이버보안 프레임워크 (NIST Cybersecurity Framework)NIST CSF▾식별·보호·탐지·대응·복구 기능으로 구성된 미국 NIST의 사이버보안 관리 프레임워크다. 위험 관리의 공통 언어를 제공한다.
A cybersecurity management framework from the U.S. NIST organized around Identify, Protect, Detect, Respond, and Recover functions. It provides a common language for risk management.
PCI DSSPCI DSS▾카드 결제 데이터를 다루는 조직이 준수해야 하는 보안 표준이다. 카드 정보의 저장·전송·처리를 통제한다.
A security standard that organizations handling payment card data must comply with. It governs the storage, transmission, and processing of cardholder data.
지속성 (Persistence)▾재부팅이나 자격증명 변경 후에도 공격자가 접근을 유지하는 기법이다. MITRE ATT&CK의 주요 전술 중 하나다.
Techniques that allow an attacker to maintain access across reboots or credential changes. It is one of the key tactics in MITRE ATT&CK.
플레이북 (Playbook)▾특정 사고 유형에 대한 표준화된 대응 절차 문서다. SOAR 자동화의 기반이 된다.
A standardized set of procedures for responding to a specific type of incident. It forms the basis for SOAR automation.
권한 상승 (Privilege Escalation)▾낮은 권한에서 더 높은 권한을 획득하는 공격 기법이다. 시스템 장악과 지속성 확보의 핵심 단계다.
An attack technique for gaining higher privileges from a lower-privileged context. It is a key step toward system control and persistence.
퍼플팀 (Purple Team)▾공격(레드팀)과 방어(블루팀)를 협업시켜 탐지·대응 역량을 개선하는 활동이다. 양측 피드백을 통합한다.
An exercise that has offensive (red team) and defensive (blue team) collaborate to improve detection and response. It integrates feedback from both sides.
레드팀 (Red Team)▾실제 공격자를 모사해 조직의 방어를 시험하는 공격 시뮬레이션 팀이다. 탐지·대응 체계의 허점을 드러낸다.
An offensive team that emulates real adversaries to test an organization's defenses. It exposes gaps in detection and response.
런북 (Runbook)▾운영 작업이나 대응 절차를 단계별로 정리한 실행 지침서다. 일관성과 반복 가능성을 보장한다.
A step-by-step guide documenting operational tasks or response procedures. It ensures consistency and repeatability.
보안관제센터 (Security Operations Center)SOC▾조직의 보안 이벤트를 24시간 모니터링·탐지·대응하는 전담 조직 또는 시설이다. 분석가, 프로세스, 기술을 통합해 위협을 관리한다.
A centralized team and facility that continuously monitors, detects, and responds to security events. It combines analysts, processes, and technology to manage threats.
시그마 룰 (Sigma Rule)▾SIEM에 종속되지 않는 범용 로그 탐지 규칙 포맷이다. 한 번 작성해 여러 플랫폼으로 변환할 수 있다.
A generic, vendor-agnostic format for log-based detection rules. It allows a rule to be written once and converted for multiple SIEM platforms.
SOC 2SOC 2▾AICPA가 정의한 서비스 조직의 보안·가용성·기밀성 등 신뢰 원칙 준수 감사 보고서다. SaaS 기업의 보안 신뢰성 입증에 널리 쓰인다.
An AICPA audit report attesting to a service organization's adherence to trust principles such as security, availability, and confidentiality. It is widely used by SaaS firms to demonstrate trustworthiness.
STIXSTIX▾위협 인텔리전스를 구조화해 표현하는 표준 언어다. 위협 정보의 일관된 공유를 지원한다.
A standardized language for representing structured cyber threat intelligence. It supports consistent sharing of threat information.
시스로그 (Syslog)▾네트워크 장비와 시스템이 로그 메시지를 전송하는 표준 프로토콜이다. 중앙 로그 수집에 널리 쓰인다.
A standard protocol used by network devices and systems to send log messages. It is widely used for centralized log collection.
테이블탑 훈련 (Tabletop Exercise)▾가상의 사고 시나리오를 토론 형식으로 점검하는 대응 훈련이다. 절차와 의사소통의 허점을 사전에 발견한다.
A discussion-based exercise that walks through a hypothetical incident scenario. It surfaces gaps in procedures and communication beforehand.
전술·기법·절차 (Tactics, Techniques and Procedures)TTP▾공격자의 행동 양식을 전술·기법·절차 수준으로 기술한 개념이다. 위협 분석과 탐지의 기준이 된다.
A concept describing adversary behavior at the levels of tactics, techniques, and procedures. It serves as the basis for threat analysis and detection.
TAXIITAXII▾STIX 기반 위협 인텔리전스를 교환하기 위한 전송 프로토콜이다. 자동화된 정보 공유를 가능하게 한다.
A transport protocol for exchanging STIX-based threat intelligence. It enables automated sharing of threat information.
위협 행위자 (Threat Actor)▾보안 사고를 일으키는 개인이나 집단을 가리킨다. 동기, 능력, 자원에 따라 분류된다.
An individual or group responsible for causing a security incident. They are classified by motivation, capability, and resources.
탐지 룰 (Detection Rule)▾특정 악성 패턴이나 조건을 정의해 경보를 발생시키는 규칙이다. SIEM·EDR 탐지 로직의 기본 단위다.
A rule defining specific malicious patterns or conditions that trigger alerts. It is the basic unit of SIEM and EDR detection logic.
위협 헌팅 (Threat Hunting)▾기존 탐지 도구가 놓친 위협을 가설 기반으로 능동적으로 탐색하는 활동이다. 분석가가 선제적으로 침해 흔적을 찾는다.
The proactive, hypothesis-driven search for threats that evade existing detection tools. Analysts actively look for signs of compromise.
위협 인텔리전스 (Threat Intelligence)CTI▾위협 행위자와 공격에 대한 수집·분석된 정보다. 방어 의사결정과 선제 대응을 지원한다.
Collected and analyzed information about threat actors and attacks. It supports defensive decision-making and proactive response.
사용자·엔티티 행위 분석 (User and Entity Behavior Analytics)UEBA▾사용자와 엔티티의 정상 행위 기준선을 학습해 이상 행위를 탐지하는 기술이다. 내부 위협과 계정 탈취 탐지에 효과적이다.
Technology that learns baselines of normal user and entity behavior to detect anomalies. It is effective at spotting insider threats and account takeover.
확장 탐지·대응 (Extended Detection and Response)XDR▾엔드포인트, 네트워크, 클라우드, 이메일 등 여러 계층의 데이터를 통합해 탐지·대응하는 솔루션이다. 사일로를 넘어 전체 가시성을 제공한다.
A solution that unifies detection and response across endpoints, network, cloud, and email layers. It provides visibility beyond isolated security silos.
YARA▾악성코드를 패턴 기반 규칙으로 식별·분류하는 도구이자 룰 언어다. 멀웨어 헌팅과 포렌식에 널리 쓰인다.
A tool and rule language for identifying and classifying malware based on patterns. It is widely used in malware hunting and forensics.
AI · 탐지 엔진 · AI & detection engine
LLM / sLLM▾대형 언어모델(LLM)과 자체호스팅 가능한 소형 모델(sLLM). 의도 분류에 사용.
Large language models and self-hostable small models (sLLM), used for intent classification.
자연어의 미묘한 의도(사칭·송금 압박)를 잡는 데 강력하지만, 호스팅 LLM은 메일 본문을 외부로 보내는 셈이 됩니다. 놓치기 쉬운 것: "AI 탑재"라는 말보다 데이터가 어디로 가는지가 중요합니다 — 주권이 필요하면 sLLM/온프레미스 옵션과 비용 통제(티어링)를 확인하세요.
Powerful at catching subtle intent (impersonation, payment pressure), but a hosted LLM effectively sends message bodies outside. Commonly missed: "has AI" matters less than where data goes — if sovereignty matters, confirm an sLLM/on-prem option and cost control (tiering).
Read more →인공신경망 (ANN)▾연속값·밀집연산 기반 표준 신경망. 트랜스포머 LLM이 여기 속함(현재 탐지 엔진).
Standard neural network (dense, continuous) — transformers/LLMs belong here (our shipped engine).
현재 주류 기술이며 정확도가 높지만 GPU·추론 비용·전력이 운영의 핵심 변수입니다. 놓치기 쉬운 것: 모든 메일을 모델에 태우면 비용이 폭증합니다 — 규칙으로 먼저 거르고 애매한 것만 모델로 보내는 비용 티어링 설계가 있는지 확인하세요.
Today's mainstream with high accuracy, but GPU/inference cost and power are the key operational variables. Commonly missed: running every email through the model explodes cost — verify there is cost-tiering (rules first, model only for ambiguous cases).
Read more →스파이킹 신경망 (SNN)▾이산 스파이크로 동작하는 3세대 신경망. 초저전력·스트리밍에 강함(연구 단계).
Third-generation, event-driven spiking network — ultra-low-power and streaming-friendly (research).
저전력·엣지 추론에서 미래 잠재력이 크지만, 아직 연구 단계라 당장의 구매 결정 요인은 아닙니다. 놓치기 쉬운 것: 벤더가 "SNN/뉴로모픽 탑재"를 마케팅하면 실제 제품 적용인지 연구·로드맵인지 구분해서 검증하세요(과장 주의).
Strong future potential for low-power/edge inference, but still research — not a buying factor today. Commonly missed: if a vendor markets "SNN/neuromorphic," verify whether it is shipping or merely roadmap/research (watch for overclaiming).
Read more →검색증강생성 (RAG)▾외부 지식(위협 인텔)을 검색해 모델 판단에 근거로 보강하는 기법.
Retrieves external knowledge (threat intel) to ground the model’s judgment.
모델 판단에 최신 위협 정보와 근거를 더해 설명가능성·신뢰를 높입니다. 놓치기 쉬운 것: 검색되는 지식(위협 인텔)이 낡으면 RAG도 낡습니다 — 인텔 갱신 주기와 출처 신뢰도를 함께 점검하세요.
Adds fresh threat knowledge and grounding to model decisions, improving explainability and trust. Commonly missed: if the retrieved knowledge is stale, so is the RAG — check the intel update cadence and source quality.
Read more →에이전트형 AI (Agentic AI)▾여러 전문 에이전트가 단서를 묶어 의도를 판단하는, 분석가 같은 자동화.
Analyst-like automation where specialist agents combine clues to judge intent.
부족한 보안 인력을 보완하고, 사람 분석가처럼 여러 단서를 종합해 표적형 공격을 잡습니다. 놓치기 쉬운 것: 도입 신뢰의 핵심은 "왜 그렇게 판단했는가"의 설명가능성입니다 — 블랙박스 점수만 주는 제품인지, 근거를 추적해 주는지 확인하세요.
Augments scarce security staff and, like a human analyst, combines clues to catch targeted attacks. Commonly missed: trust hinges on explainability of "why it decided that" — check whether the product traces its reasoning or just emits a black-box score.
Read more →적대적 예제 (Adversarial Example)▾사람 눈에는 정상이지만 모델이 오분류하도록 미세하게 변형된 입력이다. ML 보안의 핵심 위협이다.
An input subtly perturbed to be misclassified by a model while appearing normal to humans. A core threat in ML security.
적대적 머신러닝 (Adversarial Machine Learning)AML▾머신러닝 모델을 속이거나 무력화하려는 공격과 그에 대한 방어를 연구하는 분야다.
The study of attacks that deceive or subvert machine learning models, and the defenses against them.
AI 에이전트 (AI Agent)▾목표 달성을 위해 도구를 호출하고 다단계로 추론·행동하는 LLM 기반 자율 시스템이다.
An autonomous LLM-based system that invokes tools and reasons over multiple steps to accomplish goals.
AI 정렬 (AI Alignment)▾AI 시스템의 목표와 행동을 인간의 의도·가치에 맞추는 연구 분야다. 안전한 LLM 운용의 핵심이다.
The research field of steering AI systems' goals and behavior toward human intent and values. Central to safe LLM operation.
이상 탐지 (Anomaly Detection)▾정상 패턴에서 벗어난 데이터나 행동을 식별하는 기법이다. 침입·사기 탐지에 핵심적이다.
A technique for identifying data or behavior that deviates from normal patterns. Central to intrusion and fraud detection.
어텐션 메커니즘 (Attention Mechanism)▾입력 시퀀스에서 관련성 높은 부분에 가중치를 부여하는 신경망 기법이다. 트랜스포머의 핵심 구성 요소다.
A neural network technique that weights the most relevant parts of an input sequence. A key component of the Transformer.
백도어 공격 (Backdoor Attack)▾특정 트리거가 입력될 때만 악의적으로 동작하도록 모델에 은닉 기능을 심는 공격이다.
An attack that implants a hidden function in a model so it behaves maliciously only when a specific trigger is present.
분류기 (Classifier)▾입력을 사전 정의된 범주 중 하나로 할당하는 모델이다. 스팸/정상, 악성/정상 판별에 쓰인다.
A model that assigns inputs to one of a set of predefined categories. Used for spam/ham and malicious/benign decisions.
혼동 행렬 (Confusion Matrix)▾분류 모델의 예측과 실제 라벨을 교차표로 정리해 TP·FP·TN·FN을 보여주는 평가 도구다.
An evaluation table that cross-tabulates a classifier's predictions versus true labels, showing TP, FP, TN, and FN.
데이터 포이즈닝 (Data Poisoning)▾학습 데이터에 악의적 샘플을 주입해 모델 성능이나 행동을 조작하는 공격이다.
An attack that injects malicious samples into training data to manipulate a model's performance or behavior.
딥러닝 (Deep Learning)DL▾다층 인공신경망을 이용해 복잡한 표현을 학습하는 머신러닝의 한 분야다. 이미지·텍스트 기반 위협 탐지에 활용된다.
A subfield of machine learning using multi-layer neural networks to learn complex representations. Applied to image- and text-based threat detection.
임베딩 (Embedding)▾단어·문서 등을 의미를 보존한 고밀도 벡터로 변환한 표현이다. 유사도 검색과 RAG의 기반이 된다.
A dense vector representation that captures the semantic meaning of words or documents. Forms the basis of similarity search and RAG.
설명 가능한 AI (Explainable AI)XAI▾AI 모델의 예측 근거를 사람이 이해할 수 있게 설명하는 기법과 분야다. 탐지 결과 신뢰성 확보에 중요하다.
Techniques and a field for making AI model predictions interpretable to humans. Important for trusting detection outcomes.
F1 점수 (F1 Score)▾정밀도와 재현율의 조화 평균으로 분류 성능을 단일 값으로 요약하는 지표다.
The harmonic mean of precision and recall, summarizing classification performance in a single value.
거짓양성률 (False Positive Rate)FPR▾실제 음성을 양성으로 잘못 분류한 비율이다. 탐지 시스템의 알람 피로와 직결된다.
The rate at which actual negatives are incorrectly classified as positive. Directly linked to alert fatigue in detection systems.
특징 공학 (Feature Engineering)▾원시 데이터를 모델이 학습하기 좋은 특징으로 변환·선택하는 과정이다. 탐지 성능에 큰 영향을 준다.
The process of transforming and selecting raw data into features suitable for a model. Greatly impacts detection performance.
파인튜닝 (Fine-tuning)▾사전학습된 모델을 특정 작업·도메인 데이터로 추가 학습시키는 과정이다. 보안 분류기 특화에 활용된다.
The process of further training a pre-trained model on task- or domain-specific data. Used to specialize security classifiers.
생성적 적대 신경망 (Generative Adversarial Network)GAN▾생성자와 판별자가 경쟁하며 학습하는 신경망 구조다. 딥페이크 및 합성 공격 데이터 생성에 쓰인다.
A neural architecture where a generator and discriminator compete during training. Used to create deepfakes and synthetic attack data.
그래디언트 부스팅 (Gradient Boosting)▾약한 학습기를 순차적으로 결합해 오차를 줄이는 앙상블 기법이다. XGBoost 등 탐지 모델에 활용된다.
An ensemble technique that sequentially combines weak learners to reduce error. Used in detection models such as XGBoost.
가드레일 (Guardrails)▾LLM 입출력을 검사·제한해 유해하거나 정책 위반 콘텐츠를 차단하는 안전 장치다.
Safety controls that inspect and constrain LLM inputs/outputs to block harmful or policy-violating content.
환각 (Hallucination)▾LLM이 사실과 다르거나 근거 없는 내용을 그럴듯하게 생성하는 현상이다. 신뢰성 위협으로 다뤄진다.
The phenomenon where an LLM plausibly generates false or unsupported content. Treated as a reliability threat.
탈옥 (Jailbreak)▾안전 가드레일을 우회해 LLM이 금지된 콘텐츠를 생성하도록 유도하는 기법이다. 프롬프트 조작으로 수행된다.
A technique that bypasses safety guardrails to make an LLM produce prohibited content. Carried out through prompt manipulation.
머신러닝 (Machine Learning)ML▾명시적 프로그래밍 없이 데이터로부터 패턴을 학습해 예측·분류를 수행하는 인공지능 기법이다. 스팸·악성코드 탐지 등 보안 분야에 널리 쓰인다.
A branch of AI where systems learn patterns from data to make predictions or classifications without explicit programming. Widely used in security for spam and malware detection.
멤버십 추론 공격 (Membership Inference Attack)MIA▾특정 데이터가 모델 학습에 사용되었는지 추론하는 프라이버시 공격이다.
A privacy attack that infers whether a specific data point was part of a model's training set.
모델 컨텍스트 프로토콜 (Model Context Protocol)MCP▾LLM 애플리케이션이 외부 도구·데이터 소스에 표준화된 방식으로 연결되도록 하는 개방형 프로토콜이다.
An open protocol that standardizes how LLM applications connect to external tools and data sources.
회피 공격 (Evasion Attack)▾추론 단계에서 입력을 조작해 탐지 모델을 우회하는 공격이다. 악성코드 탐지 회피에 흔히 쓰인다.
An attack that manipulates inputs at inference time to evade a detection model. Common in malware detection bypass.
모델 추출 공격 (Model Extraction Attack)▾질의-응답을 반복해 대상 모델의 기능이나 파라미터를 복제하는 공격이다.
An attack that replicates a target model's functionality or parameters through repeated query-response probing.
모델 역전 공격 (Model Inversion Attack)▾모델의 출력을 분석해 학습에 쓰인 민감한 입력 데이터를 복원하는 프라이버시 공격이다.
A privacy attack that reconstructs sensitive training inputs by analyzing a model's outputs.
나이브 베이즈 (Naive Bayes)▾특징 간 독립을 가정한 베이즈 정리 기반 확률 분류기다. 초기 스팸 필터링의 표준이었다.
A probabilistic classifier based on Bayes' theorem assuming feature independence. A standard for early spam filtering.
자연어 처리 (Natural Language Processing)NLP▾컴퓨터가 인간 언어를 이해·생성하도록 하는 AI 분야다. 피싱 텍스트 분석에 활용된다.
The AI field enabling computers to understand and generate human language. Applied to phishing text analysis.
인공신경망 (Neural Network)NN▾생물 뉴런에서 영감을 받은 연결 노드 계층으로 구성된 계산 모델이다. 패턴 인식과 이상 탐지의 기반이 된다.
A computational model of interconnected nodes inspired by biological neurons. Forms the basis of pattern recognition and anomaly detection.
과적합 (Overfitting)▾모델이 학습 데이터에 지나치게 맞춰져 새로운 데이터에 일반화하지 못하는 현상이다.
When a model fits the training data too closely and fails to generalize to new data.
OWASP LLM Top 10▾대규모 언어 모델 애플리케이션의 가장 중대한 보안 위험 10가지를 정리한 OWASP의 목록이다.
An OWASP list cataloging the ten most critical security risks for large language model applications.
정밀도와 재현율 (Precision and Recall)▾정밀도는 양성 예측 중 실제 양성 비율, 재현율은 실제 양성 중 탐지된 비율을 나타내는 평가지표다.
Precision is the fraction of positive predictions that are correct; recall is the fraction of actual positives detected. Key evaluation metrics.
랜덤 포레스트 (Random Forest)▾다수의 결정 트리를 앙상블해 예측하는 머신러닝 알고리즘이다. 악성 트래픽 분류 등에 자주 쓰인다.
A machine learning algorithm that ensembles many decision trees for prediction. Frequently used for malicious traffic classification.
AI 레드팀 (AI Red Teaming)▾공격자 관점에서 AI 모델의 취약점과 유해 출력을 의도적으로 유도·탐색하는 평가 활동이다.
An adversarial evaluation that deliberately probes an AI model for vulnerabilities and harmful outputs.
강화 학습 (Reinforcement Learning)RL▾보상 신호를 통해 행동 정책을 최적화하는 학습 방식이다. 자동화 방어 및 침투 시뮬레이션에 연구된다.
Learning an action policy by optimizing for reward signals. Researched for automated defense and penetration simulation.
인간 피드백 강화학습 (RLHF)RLHF▾인간의 선호 평가를 보상으로 삼아 모델을 정렬시키는 강화학습 기법이다. LLM의 유해 출력 억제에 쓰인다.
A reinforcement learning method that aligns models using human preference feedback as reward. Used to suppress harmful LLM outputs.
ROC AUCAUC▾여러 임계값에서의 참양성률 대 거짓양성률 곡선 아래 면적으로 분류기 성능을 측정하는 지표다.
The area under the true-positive-rate vs false-positive-rate curve across thresholds, measuring classifier performance.
지도 학습 (Supervised Learning)▾레이블이 있는 데이터로 입력-출력 매핑을 학습하는 방식이다. 스팸/정상 분류 등 라벨 기반 탐지에 쓰인다.
Learning an input-output mapping from labeled data. Used for label-based detection such as spam/ham classification.
서포트 벡터 머신 (Support Vector Machine)SVM▾클래스 간 마진을 최대화하는 초평면을 찾는 분류 알고리즘이다. 전통적 스팸 필터에 사용되었다.
A classification algorithm that finds a hyperplane maximizing the margin between classes. Used in classic spam filters.
토큰화 (Tokenization)▾텍스트를 토큰이라는 작은 단위로 분할해 모델 입력으로 만드는 전처리 과정이다.
The preprocessing step of splitting text into smaller units called tokens for model input.
전이 학습 (Transfer Learning)▾한 작업에서 학습한 지식을 관련 작업에 재사용하는 머신러닝 기법이다. 데이터가 적은 보안 도메인에 유용하다.
A machine learning approach that reuses knowledge learned on one task for a related task. Useful in data-scarce security domains.
트랜스포머 (Transformer)▾셀프 어텐션 메커니즘을 기반으로 한 신경망 구조로 현대 LLM의 핵심이다. 시퀀스 데이터 처리에 뛰어나다.
A neural network architecture based on the self-attention mechanism, the core of modern LLMs. Excels at processing sequential data.
비지도 학습 (Unsupervised Learning)▾레이블 없는 데이터에서 구조나 패턴을 발견하는 학습 방식이다. 클러스터링 기반 이상 탐지에 활용된다.
Learning structure or patterns from unlabeled data. Used in clustering-based anomaly detection.
벡터 데이터베이스 (Vector Database)▾임베딩 벡터를 저장하고 근사 최근접 이웃 검색을 수행하는 데이터베이스다. RAG와 의미 검색에 쓰인다.
A database that stores embedding vectors and performs approximate nearest-neighbor search. Used in RAG and semantic search.
일반 보안 · 최신 트렌드 · General security & latest trends
랜섬웨어 / RaaS▾데이터를 암호화해 몸값을 요구하는 악성코드. RaaS는 이를 구독형으로 파는 범죄 생태계.
Malware that encrypts data for ransom; RaaS sells it as a subscription criminal service.
대부분 피싱·자격증명 탈취에서 시작하므로 이메일 보안이 곧 1차 예방선입니다. RaaS로 진입장벽이 낮아져 표적이 대기업에 국한되지 않습니다. 놓치기 쉬운 것: 백업이 있어도 함께 암호화·삭제되면 무용지물입니다 — 오프라인/불변(immutable) 백업과 실제 복구 훈련, 데이터 유출 협박(이중 갈취) 대비를 챙기세요.
It mostly starts with phishing/credential theft, so email security is the first line of prevention; RaaS lowers the barrier so targets are not just large firms. Commonly missed: backups that get encrypted/deleted too are useless — ensure offline/immutable backups, real recovery drills, and a plan for data-leak extortion (double extortion).
Read more →중간자 피싱 (AiTM)AiTM▾실시간 프록시로 로그인 세션 토큰을 가로채 MFA까지 우회하는 피싱 기법(급증 중).
Real-time proxy phishing that steals session tokens to bypass even MFA (rapidly rising).
"MFA 켰으니 안전"이라는 통념을 깨는 공격으로, 빠르게 늘고 있습니다. 토큰을 탈취하면 비밀번호·MFA가 멀쩡해도 계정이 열립니다. 놓치기 쉬운 것: 일반 MFA로는 못 막습니다 — 피싱 저항 MFA(패스키/FIDO2)와, 비정상 세션·디바이스 탐지를 반드시 추가하세요.
It breaks the "MFA means safe" assumption and is rising fast — stealing the token opens the account even with password and MFA intact. Commonly missed: ordinary MFA will not stop it — add phishing-resistant MFA (passkeys/FIDO2) and anomalous-session/device detection.
Read more →MFA 피로 공격 (MFA fatigue)▾MFA 승인 푸시를 반복 발송해 사용자가 무심코 승인하게 만드는 공격.
Flooding a user with MFA push prompts until they approve one by accident.
기술이 아니라 사람의 피로·실수를 노리는 공격이라, MFA를 켰다고 끝이 아닙니다. 놓치기 쉬운 것: 번호 매칭(숫자 입력)·피싱 저항 MFA로 전환하고, "예상치 못한 MFA 알림은 거부하고 신고"하도록 직원 교육을 챙기세요.
It targets human fatigue, not technology — enabling MFA is not the end. Commonly missed: switch to number-matching / phishing-resistant MFA and train staff to "deny and report any unexpected MFA prompt."
Read more →딥페이크 (Deepfake)▾AI로 합성한 음성·영상. 임원 목소리/얼굴을 위조해 BEC·비싱을 고도화.
AI-synthesized voice/video used to impersonate execs, supercharging BEC and vishing.
"전화 목소리·영상 통화도 못 믿는" 시대로, 실제 거액 송금 사기 사례가 보고되고 있습니다. 신뢰의 마지막 보루였던 음성·얼굴이 무너집니다. 놓치기 쉬운 것: 고액 거래는 "직접 통화로 확인"이 더 이상 안전하지 않습니다 — 사전 약속한 암구호·콜백 번호·다중 승인 등 채널·요소를 분리한 검증 절차를 만드세요.
In an era where even a phone voice or video call can be faked — with real large-wire-fraud cases reported — voice and face, the last trust anchors, fall. Commonly missed: "just call to confirm" is no longer safe for big transactions — build verification that separates channels/factors (pre-agreed code words, callback numbers, multi-party approval).
Read more →프롬프트 인젝션 (Prompt injection)▾AI 모델에 숨긴 지시를 주입해 의도와 다른 행동을 유발하는 공격(LLM 시대의 신종 위협).
Injecting hidden instructions into an AI model to make it act against intent (an LLM-era threat).
AI를 업무·제품에 도입할수록 완전히 새로운 공격면이 생깁니다(예: 메일·문서 속 숨은 지시로 AI 비서를 조종). 놓치기 쉬운 것: 기존 보안 점검 항목엔 없습니다 — AI 입력의 신뢰경계, 출력 가드레일, AI가 가진 권한 최소화를 보안 검토에 새로 포함하세요.
Adopting AI in workflows/products creates an entirely new attack surface (e.g., hidden instructions in mail/docs hijacking an AI assistant). Commonly missed: it is absent from legacy checklists — add AI input trust-boundaries, output guardrails, and least-privilege for the AI’s permissions to your security review.
Read more →섀도 AI (Shadow AI)▾승인되지 않은 AI 도구에 임직원이 민감정보를 입력해 생기는 데이터 유출 리스크.
Data-leak risk from staff feeding sensitive info into unsanctioned AI tools.
생산성 욕구 때문에 직원들이 이미 비공인 AI에 코드·고객정보·계약서를 붙여넣고 있을 가능성이 높습니다. 놓치기 쉬운 것: 전면 금지는 음성화될 뿐입니다 — 안전한 사내 대안 제공 + 명확한 AI 사용 정책 + DLP로 민감정보 유출을 함께 막으세요.
Driven by productivity, staff are likely already pasting code, customer data, and contracts into unsanctioned AI. Commonly missed: an outright ban just drives it underground — combine a safe sanctioned alternative, a clear AI-use policy, and DLP to stop sensitive-data leakage.
Read more →제로 트러스트 (Zero Trust)▾"절대 신뢰하지 말고 항상 검증한다" — 네트워크 위치가 아니라 신원·맥락으로 접근을 통제하는 모델.
"Never trust, always verify" — access governed by identity/context, not network location.
원격·클라우드 시대에 "사내망=안전"이라는 전제가 깨지면서 사실상의 보안 기준선이 됐습니다. 놓치기 쉬운 것: 제로 트러스트는 제품이 아니라 여정입니다 — 한 번에 사려 하지 말고 MFA·최소권한·세분화·디바이스 신뢰부터 단계적으로 적용하세요.
As "inside the network = safe" collapses in the remote/cloud era, it has become the de-facto baseline. Commonly missed: Zero Trust is a journey, not a product — do not try to buy it at once; roll out incrementally starting with MFA, least privilege, segmentation, and device trust.
Read more →공급망 공격 (Supply chain attack)▾신뢰하는 협력사·소프트웨어·업데이트 경로를 침해해 다수를 한 번에 노리는 공격.
Compromising a trusted vendor, software, or update channel to hit many at once.
우리 내부 보안이 완벽해도 신뢰하는 외부(협력사·오픈소스·업데이트)가 침해되면 그대로 뚫립니다. 놓치기 쉬운 것: 보안 범위를 우리 울타리 안으로만 보기 쉽습니다 — 협력사 보안 실사, 소프트웨어 구성요소 명세(SBOM), 최소권한 연동을 정책화하세요.
Even with perfect internal security, a compromised trusted third party (vendor, open source, update) breaches you anyway. Commonly missed: scoping security to your own perimeter — formalize vendor due-diligence, software bills of materials (SBOM), and least-privilege integrations.
Read more →EDR / XDR▾엔드포인트(EDR) 및 이메일·클라우드·네트워크까지 확장(XDR)한 탐지·대응 솔루션.
Detection & response on endpoints (EDR), extended across email/cloud/network (XDR).
이메일·엔드포인트·클라우드를 잇는 가시성으로 공격의 전체 경로(메일 클릭→단말 감염→확산)를 추적할 수 있습니다. 놓치기 쉬운 것: 도구를 깔아도 24/7 모니터링·대응 인력이 없으면 경보만 쌓입니다 — 내부 운영 역량 또는 MDR(관제 위탁) 계획을 함께 확인하세요.
Visibility linking email, endpoint, and cloud lets you trace the full path (mail click → device infection → spread). Commonly missed: installing the tool without 24/7 monitoring/response staff just piles up alerts — confirm in-house capacity or an MDR (managed response) plan.
Read more →데이터 유출 방지DLP▾민감정보의 외부 유출(이메일·업로드 등)을 탐지·차단하는 통제.
Controls that detect and block sensitive data from leaving (email, uploads, etc.).
규제·영업기밀 보호의 핵심이며, 아웃바운드 이메일이 가장 흔한 유출 경로입니다. 놓치기 쉬운 것: 규칙이 과하면 업무가 막히고, 느슨하면 새어나갑니다 — 분류 기준과 예외·교육을 함께 설계하고, 실수에 의한 유출(오발송)까지 범위에 넣으세요.
Core to compliance and trade-secret protection, with outbound email the most common leak path. Commonly missed: too-strict rules block work, too-loose rules leak — design classification, exceptions, and training together, and include accidental leaks (misdirected mail).
Read more →내부자 위협 (Insider threat)▾내부자(악의적 또는 부주의)에 의한 정보유출·피해. 계정 탈취도 내부자처럼 행동.
Harm from insiders (malicious or careless); a hijacked account also behaves like one.
외부 방어에 집중하다 보면 가장 큰 접근권을 가진 내부를 간과하기 쉽습니다. 탈취된 계정도 결국 "정상 내부자"처럼 행동합니다. 놓치기 쉬운 것: 최소권한·행위 모니터링뿐 아니라, 퇴직·부서이동 시 접근권 즉시 회수 절차(오프보딩)를 반드시 챙기세요 — 여기서 가장 많이 뚫립니다.
Focusing on external defense, orgs overlook insiders who hold the most access — and a hijacked account ultimately behaves like a normal insider. Commonly missed: beyond least privilege and behavior monitoring, enforce immediate access revocation on departure/role-change (offboarding) — a frequent failure point.
Read more →피싱 저항 MFA (Passkey / FIDO2)▾피싱·중간자 공격에 견디는 인증(패스키, FIDO2 보안키). 비밀번호 없는 방향.
Authentication resistant to phishing/AiTM (passkeys, FIDO2 keys); the passwordless direction.
AiTM·자격증명 탈취에 대한 현존 최강의 대응으로, 토큰 가로채기 자체가 작동하지 않습니다. 놓치기 쉬운 것: 전사 전환은 시간이 걸리므로, 임원·관리자·재무 등 고위험 계정부터 우선 적용하고 분실·복구 절차를 함께 마련하세요.
The strongest available answer to AiTM/credential theft — token interception simply stops working. Commonly missed: org-wide rollout takes time, so start with high-risk accounts (execs, admins, finance) and set up loss/recovery procedures alongside.
Read more →초기 침투 브로커IAB▾침투해 얻은 접근 권한을 다른 공격자(랜섬웨어 등)에게 파는 범죄 전문화 계층.
Criminals who breach orgs and sell the access to others (e.g., ransomware crews).
사이버 범죄가 분업화됐다는 신호입니다 — 한 그룹이 침투해 "열쇠"를 팔면, 다른 그룹이 랜섬웨어로 수익화합니다. 즉 작은 침해가 큰 사고로 이어집니다. 놓치기 쉬운 것: "별일 아닌" 피싱·자격증명 유출을 가볍게 보기 쉽습니다 — 초기 침투 차단과 신속한 자격증명 무효화가 곧 랜섬웨어 예방임을 잊지 마세요.
A sign cybercrime has specialized — one group breaches and sells the "key," another monetizes it with ransomware, so a small breach becomes a big incident. Commonly missed: treating "minor" phishing/credential leaks as harmless — blocking initial access and fast credential revocation IS ransomware prevention.
Read more →공격 표면 관리ASM▾외부에 노출된 자산·도메인·서비스를 지속 발견·관리해 공격 경로를 줄이는 활동.
Continuously discovering/managing exposed assets, domains, and services to shrink attack paths.
모르는 자산은 지킬 수 없는데, 잊힌 서버·테스트 도메인·방치된 SaaS 계정이 가장 흔한 침투구입니다. 놓치기 쉬운 것: 자산 목록을 한 번 만들고 끝내면 곧 낡습니다 — 지속적 자동 발견과, 우리 브랜드 유사도메인·노출 서비스 모니터링을 운영에 포함하세요.
You cannot protect assets you do not know about, and forgotten servers, test domains, and stale SaaS accounts are the most common entry points. Commonly missed: a one-time asset inventory goes stale fast — include continuous automated discovery plus monitoring of lookalike domains and exposed services.
Read more →