자격증/정보처리기사 실기

정처기 실기 보안 정리, 헷갈리는 용어 4쌍

공감(공부하는감자) 2026. 6. 23. 13:52

안녕하세요, 공부하는 감자입니다 🥔

보안 파트를 처음 펼쳤을 때는 외울 게 산더미처럼 보였는데, 기출을 돌려보니 결국 묻는 건 하나였어요. "비슷해 보이는 두 개를 구분할 수 있는가?" 대칭과 비대칭, 인증과 인가, IDS와 IPS, 바이러스와 웜.

이 네 쌍이 흔들리지 않으면 보안 단답은 거의 커버됩니다. 그 쌍들부터 정리하고 나머지를 붙일게요.

쌍 1 — 대칭키 vs 비대칭키

가장 출제 빈도가 높은 쌍이라 표로 통째로 잡는 게 빠릅니다.

구분 대칭키 비대칭키
암·복호화 키 동일 공개키·개인키 분리
속도 빠름 느림
키 관리 키 교환이 어려움 상대적으로 쉬움
대표 알고리즘 DES, 3DES, AES, SEED, ARIA, IDEA RSA, ECC, ElGamal, Diffie-Hellman
용도 대용량 데이터 암호화 키 교환, 전자 서명

"AES는 어느 쪽?"이 단답으로 그대로 나옵니다. AES는 대칭, RSA는 비대칭이에요.

실무에선 둘을 섞어 쓰는데 — 비대칭키로 세션키를 교환하고 본 통신은 빠른 대칭키로 암호화하는 하이브리드 방식이 TLS(SSL)입니다.

쌍 2 — 인증 vs 인가

이 쌍은 두 줄짜리 표면 충분해요.

구분 인증 (Authentication) 인가 (Authorization)
의미 누구인지 확인 무엇을 할 수 있는지
로그인 (ID/PW, OTP) 관리자 페이지 접근 권한

영어 철자가 비슷해서 뒤바꾸기 쉬운데, "인증은 신원, 인가는 권한"으로 끊어 외우면 안 헷갈려요.

쌍 3 — IDS vs IPS

IDS는 침입을 탐지만 하고 알려주는 장비, IPS는 탐지하고 차단까지 하는 장비입니다. 한 줄 답으로 끝나는 단골 문제예요.

같은 표에 묶이는 보안 솔루션도 같이 보면:

용어 역할
Firewall 네트워크 경계 트래픽 필터링
WAF 웹 트래픽 전용 방화벽 (XSS·SQLi 차단 특화)
VPN 암호화 터널 기반 가상 사설망
DLP 데이터 유출 방지
SIEM 보안 이벤트 통합 수집·분석

여기는 깊이 들어갈 필요 없이 이름과 역할만 매칭되면 충분합니다.

쌍 4 — 바이러스 vs 웜

핵심은 자기 복제 여부입니다. 바이러스는 숙주 파일에 기생해서 실행돼야 퍼지고, 웜은 숙주 없이 스스로 복제·전파돼요.

트로이목마(정상 프로그램으로 위장)와 랜섬웨어(파일 암호화 후 금전 요구)까지가 악성 코드 기본 세트입니다.

기반 개념 — CIA와 해시

정보보안 3요소는 기밀성(인가된 사용자만 접근), 무결성(변조되지 않음), 가용성(필요할 때 접근 가능)이고, 여기에 부인 방지와 인증을 더해 5대 요소로도 출제됩니다.

해시 함수는 단방향이라는 게 본질이에요. 해시값으로 원본을 역산할 수 없고(일방향성), 같은 해시를 만드는 다른 입력을 찾기 어렵고(충돌 저항성), 입력 길이와 무관하게 출력 길이가 고정입니다.

알고리즘 출력 상태
MD5 128bit 충돌 발견 — 사용 권장 안 함
SHA-1 160bit 충돌 발견 — 단계적 폐기
SHA-2 (SHA-256 등) 256/384/512bit 현재 표준
SHA-3 가변 차세대 표준

"MD5의 문제점은?" → 충돌 취약. 비밀번호 저장에는 단순 해시 대신 salt + stretching(bcrypt, scrypt, Argon2)을 씁니다.

전자 서명 — 기밀성은 제공하지 않습니다

송신자가 개인키로 서명하고, 수신자가 송신자의 공개키로 검증하는 구조예요. 원본을 해시한 값을 개인키로 암호화해 붙이면, 수신 측에서 공개키로 풀어 해시값을 비교합니다.

이 구조가 보장하는 건 무결성·인증·부인 방지 세 가지고, 기밀성은 포함되지 않는다는 게 함정 포인트입니다. 내용을 숨기려면 별도 암호화가 필요해요.

OAuth와 JWT

OAuth 2.0은 비밀번호를 공유하지 않고 제3자에게 권한을 위임하는 프로토콜로, 구글·카카오 소셜 로그인이 대표 사례입니다. 역할은 Resource Owner(사용자), Client(앱), Authorization Server(인증 처리), Resource Server(리소스 제공) 네 가지.

JWT는 Header.Payload.Signature 구조의 토큰이고 서버가 세션을 저장하지 않는 Stateless 방식이에요. 여기서 시험이 노리는 건 이겁니다.

JWT는 서명된 것이지 암호화된 것이 아닙니다. Payload는 Base64Url 인코딩일 뿐 누구나 디코딩해서 볼 수 있어요. 민감 정보를 넣으면 안 됩니다.

공격 기법 — SQLi와 XSS 구분이 절반

웹 3대 공격은 설명과 대응을 짝으로 외워야 합니다.

공격 설명 대응
SQL Injection 입력값에 SQL 구문 삽입 Prepared Statement, 입력 검증
XSS 스크립트를 주입해 다른 사용자 브라우저에서 실행 HTML 이스케이프, CSP
CSRF 인증된 사용자 권한으로 위조 요청 CSRF 토큰, SameSite 쿠키

SQLi는 DB를 노리는 공격, XSS는 브라우저를 노리는 공격 — 이 한 줄로 구분됩니다. 네트워크 쪽은 DDoS(트래픽 폭주), Sniffing(패킷 도청), Spoofing(주소 위조), MITM(중간자 감청), Buffer Overflow(메모리 훼손), Brute Force(전수 대입), Rainbow Table(사전 계산 해시표) 정도가 이름-설명 매칭으로 나와요.

접근 통제 모델

DAC은 자원 소유자가 직접 권한을 주는 임의적 방식, MAC은 시스템이 정책으로 강제하는 방식(군사·정부), RBAC은 역할에 권한을 부여하고 사용자에게 역할을 주는 방식입니다. 실무 표준은 RBAC이고, 시험은 DAC/MAC 구분을 주로 묻습니다.

셀프 점검 7문제

  • AES는? → 대칭키
  • RSA는? → 비대칭키
  • 인증과 인가의 차이는? → 신원 확인 vs 권한 부여
  • JWT Payload는 암호화돼 있나? → 아니요, 디코딩 가능
  • 바이러스와 웜의 차이는? → 자기 복제 여부
  • IDS와 IPS의 차이는? → 탐지만 vs 탐지+차단
  • MD5는 안전한가? → 아니요, 충돌 취약

일곱 개가 막힘없이 나오면 보안 파트는 준비된 거예요. 저는 이 표를 외운 뒤에 문어CBT 무료 모의고사에서 보안 문제만 골라 확인했는데, 쌍 구분이 잡힌 상태라 오답이 거의 안 나오더라고요.

 

SQLD·정처기·컴활·ADsP 무료 CBT 모의고사

기출 변형 문제, 자동 채점, 회차별 실력 추적까지 가입 없이 바로 풀어보세요.

sqldpass.com

보안은 양이 아니라 구분 싸움입니다.