토픽 228 / 234·비교표
사이버 공격 및 위협
DoS vs DDoS vs DRDoS
| 항목 | DoS | DDoS | DRDoS |
|---|---|---|---|
| 정의 | 단일 출처 서비스 거부 | 분산 다중 출처 서비스 거부 | 반사/증폭 분산 서비스 거부 |
| 공격 규모 | 소규모 | 대규모(봇넷) | 초대규모(증폭) |
| 출처 | 단일 | 다수(봇넷) | 다수(반사 서버) |
| IP 추적 | 가능 | 어려움 | 매우 어려움(스푸핑) |
| 대응 | IP 차단 | CDN, 스크러빙 | 증폭 프로토콜 제한 |
APT vs 랜섬웨어
| 항목 | APT | 랜섬웨어 |
|---|---|---|
| 정의 | 지능형 지속 위협 공격 | 파일 암호화 후 금전 요구 |
| 목적 | 정보 탈취, 파괴 | 금전적 이익 |
| 기간 | 장기(수개월~수년) | 단기(즉각 영향) |
| 대상 | 특정 조직/국가 | 무차별/타겟 모두 |
| 대응 | 위협 인텔리전스, EDR | 백업, 복호화 도구, MFA |
피싱 vs 스피어피싱 vs 웨일링
| 항목 | 피싱 | 스피어피싱 | 웨일링 |
|---|---|---|---|
| 정의 | 불특정 다수 대상 사기 | 특정 개인/조직 맞춤 공격 | 고위 경영진 타겟 공격 |
| 대상 | 불특정 다수 | 특정 개인/그룹 | CEO, CFO, 임원 |
| 맞춤도 | 낮음(범용) | 높음(개인 정보 활용) | 매우 높음(비즈니스 맥락) |
| 성공률 | 낮음 | 높음 | 매우 높음 |
| 예시 | 은행 사칭 메일 | 동료 사칭 메일 | CEO 사칭 송금 요청 |
Cyber Kill Chain vs MITRE ATT&CK vs Diamond Model
| 항목 | Cyber Kill Chain | MITRE ATT&CK | Diamond Model |
|---|---|---|---|
| 정의 | 7단계 공격 과정 모델 | 공격 전술·기법 지식 체계 | 4요소 침입 분석 모델 |
| 구조 | 선형 7단계 | 매트릭스(14전술×수백기법) | 다이아몬드(적·인프라·피해자·기법) |
| 용도 | 공격 차단 전략 | 탐지·방어 매핑 | 인텔리전스 분석 |
| 한계 | 내부자 위협 미흡 | 복잡/방대 | 실시간 방어 부적합 |
| 적용 | 보안 교육, 방어 전략 | SOC 탐지 규칙, 레드팀 | 위협 인텔리전스 분석 |
L3/L4 대응 vs L7 대응 (DDoS)
| 구분 | L3/L4 대응 | L7 대응 |
|---|---|---|
| 차단 방식 | IP/포트 기반 필터링 | 요청 패턴/행위 분석 |
| 주요 기술 | Blackhole Routing, ACL | Rate Limiting, CAPTCHA |
| 인프라 | Scrubbing Center, Anycast | CDN/WAF, 오토스케일링 |
| 탐지 난이도 | 쉬움(비정상 트래픽량) | 어려움(정상 요청과 유사) |
| 방어 서비스 | ISP 협조, Anti-DDoS | 클라우드 WAF, Bot 관리 |
악성코드 유형 비교
| 항목 | 바이러스 | 웜 | 트로이목마 | 루트킷 | 파일리스 |
|---|---|---|---|---|---|
| 자가 복제 | O(숙주 감염) | O(독자 전파) | X | X | X |
| 숙주 필요 | O | X | X(위장) | X | X(정상도구) |
| 전파 방식 | 파일 감염 | 네트워크 취약점 | 사용자 실행 | 권한 상승 | 스크립트 실행 |
| 주요 목적 | 파괴·감염 | 확산·자원소진 | 원격제어·탈취 | 은폐·지속 | 탐지 회피 |
| 탐지 난이도 | 낮음 | 낮음 | 중간 | 매우 높음 | 높음 |
정적 분석 vs 동적 분석 vs 행위 분석 (악성코드)
| 항목 | 정적 분석 | 동적 분석 | 행위 분석 |
|---|---|---|---|
| 정의 | 실행 없이 코드 분석 | 샌드박스 실행 후 행위 관찰 | 실행 시 시스템 변경 추적 |
| 도구 | IDA Pro, Ghidra | Cuckoo Sandbox, Any.Run | API 모니터링 |
| 장점 | 전체 코드 분석 가능 | 실제 행위 확인 | C2 패턴 분석 |
| 단점 | 난독화·패킹 시 한계 | 분석 회피(VM 감지) | 환경 의존적 |
| 적용 | 해시 확인, PE 분석 | 악성코드 행위 파악 | 위협 인텔리전스 |
Data Poisoning vs Adversarial Example vs Model Extraction
| 구분 | Data Poisoning | Adversarial Example | Model Extraction |
|---|---|---|---|
| 공격 단계 | 학습(Training) | 추론(Inference) | 추론(Inference) |
| 대상 | 학습 데이터 | 입력 데이터 | 모델 파라미터 |
| 목표 | 모델 자체 오염 | 단일 입력 오분류 | 모델 복제/탈취 |
| 지속성 | 영구적(재학습 전까지) | 일회성 | 복제 모델 생성 |
Backdoor Attack vs Trojan Attack vs Data Poisoning
| 구분 | Backdoor Attack | Trojan Attack | Data Poisoning |
|---|---|---|---|
| 범위 | 특정 트리거만 반응 | 모델에 악성 기능 삽입 | 전체 모델 성능 저하 |
| 활성화 | 트리거 패턴 필요 | 특정 조건 충족 시 | 항상(학습 후 즉시) |
| 탐지 | 트리거 미사용 시 불가 | 코드/모델 분석 필요 | 성능 저하로 의심 가능 |