사이버 보안 분야에는 전문 용어가 매우 많습니다. 용어 자체는 직관적으로 보일 수 있지만, 실제로 어떻게 사용되는지, 경계가 어디까지인지에 대해서는 직관적이지 않거나 해석의 여지가 있는 경우가 많습니다.
VulnCheck는 서비스의 핵심 영역에서 이러한 용어에 대한 VulnCheck 고유의 사용례와 정의를 설명하기 위해 아래에 용어집을 제공합니다.
활성 C2 서버는 명령 및 제어(Command & Control, C2)에 사용되는 공격자 인프라 가운데, 최근 탐지되었고 실제로 요청에 응답하는 서버를 의미합니다.
특정 명칭(예: “Comment Crew”)이나 고유 식별자(MITRE 식별자 “G0006”, MISP 식별자 “1cb7e1cc-d695-42b1-92f4-fd0112a3c9be” 등)로 식별되는 위협 행위자 유형입니다.
공격자가 공격을 수행하고 접근을 유지하기 위해 사용하는 다양한 소프트웨어 구성 요소를 의미합니다. 예: C2 서버, 릴레이, 프록시 등.
공격자에 의해 감염되어 공통된 제어 하에 있는 다수의 컴퓨터 집합.
공격자가 사용하는 네트워크 인프라로, 일반적으로 이전에 침해된 인프라(서버·애플리케이션)를 악용하여 하위 인프라를 명령·제어합니다.
소프트웨어 취약점의 심각도를 평가하는 표준으로, 취약점의 특성에 따라 0.0에서 10.0까지의 점수가 부여됩니다.
NIST SP 800-161에서 정의한 바에 따르면, “공급망 전반에서의 사이버보안 위험 노출을 관리하고 적절한 대응 전략, 정책, 프로세스, 절차를 수립하는 체계적 과정”을 의미합니다. 예로는, 소프트웨어 제품에 대한 SBOM 생성, 결과 데이터에 대한 보안 분석 수행, 발견된 취약점의 시정 조치, 그리고 시정 조치가 SSDLC 과정의 일부로 이루어졌음을 검증하기 위한 반복 수행이 포함됩니다.
OWASP가 주도하는 보안 중심의 자재명세(BOM) 표준으로, 소프트웨어·하드웨어·머신러닝·운영 등 다양한 BOM 유형을 포함할 수 있으며, VDR·VEX 데이터 등 추가 정보를 포함하여 시스템 구성요소 간의 내용과 관계를 이해하는 데 도움을 줍니다. 직렬화 형식으로 JSON과 XML을 지원합니다.
특정 패키지 또는 소프트웨어 구성요소의 의존 관계 계층을 도식화한 그래프.
특정 취약점에 대한 익스플로잇이 공개(Public)·상용(Commercial)·비공개(Private) 중 어느 형태로 이용 가능한지 표시하는 필드입니다.
두 개 이상의 취약점을 결합하여, 각 취약점을 개별적으로 악용했을 때보다 더 높은 수준의 권한 또는 접근을 달성하는 기법.
특정 익스플로잇의 성숙도를 구분하는 필드입니다. 값은 (알려진 공개 익스플로잇 없음)부터 PoC(개념증명), 무기화된 익스플로잇까지로 구분됩니다.
대부분의 대상에 대해 안정적으로 동작하지 않을 수 있으며, 취약점 트리거를 시연하기 위한 일회성 형태로 배포되는 익스플로잇을 의미합니다.
특정 익스플로잇의 성숙도를 구분하는 필드입니다. 값은 (알려진 공개 익스플로잇 없음)부터 PoC(개념증명), 무기화된 익스플로잇까지로 구분됩니다.
지속성 유지, 파일·프로세스 은폐, 네트워크 통신 난독화 등 고급 기능을 제공하는 악성 소프트웨어.
네트워크 바인딩 애플리케이션/포트를 통해 대상 시스템에서 원격 코드 실행(RCE)을 입증하는 PoC 익스플로잇.
특정 익스플로잇의 성숙도를 구분하는 필드입니다. 값은 (알려진 공개 익스플로잇 없음)부터 PoC(개념증명), 무기화된 익스플로잇까지로 구분됩니다.
원격에서 악용 가능하며 코드 실행으로 이어지는 취약점을 의미합니다. 시간이 흐르며 RCE 취약점은 클라이언트 사이드 취약점까지 포함하는 개념으로 확장되었지만, 초기 침투 취약점은 사용자 상호작용 없이 네트워크 경유로 원격에서 악용되는 경우가 대부분입니다.
IPv4/IPv6 네트워크에서 C2 인프라를 식별·탐지하는 기법.
이름이나 식별자로 특정되는 위협 행위자입니다. ‘실제 환경 악용(ITW) 보고’처럼 일반적 악용 보고와 구분하기 위한 개념입니다. 관련 항목: 지능형 지속 위협(APT), 실제 환경 악용(ITW) 보고.
디렉터리 목록 열람이 허용되도록 설정된 HTTP 서버로, 공격자가 악성코드를 호스팅하는 데 사용되기도 합니다.
소프트웨어 패키지와 그 버전, 출처를 인코딩하는 방법(예: “pkg:pypi/aioxmpp@0.6.0”).
둘 이상의 컴퓨터 사이에서 중개자 역할을 하는 컴퓨터.
알려진 취약점(N‑day)에 취약할 가능성을 시사하는 징후를 보이는 서버 또는 네트워크 노출 애플리케이션. 다만 직접 상호 작용해 보면 실제로는 취약하지 않을 수도 있습니다.
공격자의 C2 인프라 앞단에 배치되어 C2 통신의 실제 종단을 숨기기 위한 프록시를 의미합니다.
대상 시스템에서 원격 코드 실행을 입증하는 PoC 익스플로잇.
원격에서 악용 가능하며 코드 실행으로 이어지는 취약점입니다. 원래는 포트에 바인딩된 애플리케이션을 통해 네트워크 경유로 악용되는 형태를 지칭했으나, 시간이 지나면서 문서 등을 전송해 클라이언트 측에서 악용되는 형태까지 포함하는 개념으로 확장되었습니다.
다음 예시 중 하나 이상에 해당하면 true로 설정되는 불리언 값: CISA 경보에서 해당 취약점의 ITW 악용이 보고된 경우, Google Project Zero의 0‑day ITW 목록에 악용 보고가 있는 경우, 명명된 위협 행위자가 해당 취약점을 ITW에서 악용한 사실이 공개적으로 보고된 경우.
하나 이상의 특정 위협 행위자(명시적으로 식별되는 행위자)가 해당 취약점을 실제 환경에서 악용했다고 업계 공개 자료가 보고한 경우 true로 설정되는 불리언 값.
전체 SDLC의 일부로, 안전한 소프트웨어 개발을 위한 방법과 프로세스의 집합입니다. 반복적인 보안 취약점 스캐닝, 발견 취약점의 시정 조치, 그리고 시정 여부를 확인하기 위한 재검사 등이 포함됩니다.
소프트웨어 자산·정보보안 관리 지원을 위해 ISO/IEC 19770‑2에서 정의한 구조화된 메타데이터 형식입니다. 소프트웨어 생애주기의 특정 상태를 나타내는 태그 유형이 있으며, 유형에 따라 제공되는 정보가 달라집니다. 일반적으로 제품명, 버전, (프록시) 태그 식별자 등이 포함됩니다. 태그 문서는 XML 형식입니다.
보안, 라이선스 컴플라이언스, 기타 소프트웨어 공급망 활용사례를 지원하기 위해 SBOM 정보를 교환하는 국제 공개 표준(ISO/IEC 5962:2021)입니다. 직렬화 형식으로 JSON, RDF/XML, 태그‑값(tag‑value), YAML을 지원합니다.
일반적으로 JSON 또는 XML 파일 형태의 산출물로, CycloneDX 또는 SPDX 형식을 사용하여 제공됩니다. 배포된 소프트웨어와 그 안에 포함된 종속성에 관한 메타데이터를 담고 있습니다.
특정 패키지 또는 소프트웨어 구성요소의 의존 관계 계층을 도식화한 그래프입니다.
소프트웨어 공급망을 보호하기 위한 방법과 프로세스의 집합으로, SSDLC, SBOM, 취약점 관리 등을 포함합니다.
현재 이름·식별자·국가와 연계되지 않은 비특정 위협 행위자입니다. 관련 항목: 지능형 지속 위협(APT).
Log4Shell, URGENT/11과 같이 벤더나 보안 연구자가 특정 취약점에 부여한 이름.
벤더가 자사 제품·서비스의 취약점을 공개하는 문서를 말합니다. 국제 표준 ISO/IEC 29147:2018과 NIST SP 800‑161은 취약점 신고 접수, 시정 조치 공개, 책임 있는 취약점 처리 등 이용자 위험을 줄이기 위한 여러 측면을 안내합니다.
미국 NTIA가 개발한 형식으로, 제품에 포함된 구성요소가 특정 취약점의 영향을 받는지 여부와 그 근거를 사용자에게 제공하기 위한 것입니다. 또한, 가능한 경우 권장 시정 조치도 포함할 수 있습니다. 주된 활용 사례는 SBOM에 포함하여 비악용 취약점에 불필요한 시간을 쓰지 않도록 돕는 것이지만, 그 외의 활용도 가능합니다.
악성 코드에 포함되어 있거나(예: 악성 Microsoft Word 문서), 실제 환경에서 악용되었다고 보고되었거나, 또는 “원클릭(Point‑and‑Click)” 수준의 손쉬운 악용을 가능하게 하는 경우(예: 대부분 또는 모든 대상에서 안정적으로 동작하는 MetaSploit, CANVAS, Core Impact 등의 익스플로잇)를 의미합니다. 또한, 무기화된 익스플로잇은 보통 2차 페이로드, 드로퍼, 임플란트를 포함합니다.
피해자 HTTP 서버에 업로드된 악성 파일로, 해당 파일에 접근하면 공격자가 피해 서버에서 임의 코드를 실행할 수 있습니다.