보안·AI 프레임워크 기술사 답안

보안·AI 프레임워크 기술사 답안 — 세트 A

TTPs · MITRE ATT&CK · MITRE ATLAS · 네트워크 스캐닝 · 전자봉투 · OT 제로트러스트 · SIEM · SOAR · BB84 · CSAP · 4C 보안 · TCP Wrapper · 베이지안 네트워크 · MCTS · 뉴로모픽 · SNN | 정보관리기술사 대비

TTPs (Tactics, Techniques, and Procedures)

공격자 행동 분류 체계 · 고통의 피라미드 최상위 · 위협 인텔리전스 핵심

개념

정의: 사이버 공격자의 행동 패턴을 전술(Tactics)·기술(Techniques)·절차(Procedures) 3계층으로 체계화한 분류 프레임워크

T: Tactics — 공격자의 전술적 목표 (왜: 초기접근·실행·지속성·권한상승·방어우회·자격증명접근·발견·횡이동·수집·유출)
T: Techniques — 목표 달성 구체적 방법 (어떻게: 스피어피싱·Pass-the-Hash·DLL 인젝션)
P: Procedures — 특정 그룹의 구체적 실행 절차 (누가 어떤 도구로: APT28의 X-Agent 활용)

개념도 — TTP 3계층 구조

Tactics
전술 목표
"왜 하는가"
14개 카테고리

→

Techniques
공격 기법
"어떻게 하는가"
200+ 기법

→

Procedures
실행 절차
"누가 무엇으로"
그룹별 특화

주요 구성 요소 — "전기절탐탐"

두문자	요소	핵심 내용	예시
전	전술(Tactics)	공격자의 전략적 목표. MITRE ATT&CK의 14개 전술 카테고리로 분류	초기접근(TA0001), 실행(TA0002), 지속성(TA0003)
기	기술(Techniques)	전술을 달성하는 구체적 공격 방법. 하위 기술(Sub-technique) 포함	T1566 피싱, T1078 유효계정 사용
절	절차(Procedures)	특정 공격 그룹이 특정 도구로 기술을 실행하는 상세 방법	APT29가 Cobalt Strike로 T1059 실행
탐	탐지 규칙	TTP를 Sigma·YARA·SNORT 규칙으로 변환하여 SIEM 탐지에 활용	ATT&CK ID → Sigma Rule 매핑
탐	탐지 격차 분석	현재 탐지 커버리지와 알려진 TTP 간 격차 식별 → 보안 투자 우선순위	ATT&CK Navigator로 커버리지 히트맵

고통의 피라미드 최상위 및 활용

TTPs가 방어의 핵심인 이유

해시·IP: 공격자가 수 분~수 시간 내 변경 가능 — 낮은 방어 효과
TTPs: 변경 시 공격 방식 자체를 재설계해야 — 가장 높은 고통
행위 기반 탐지: TTP를 탐지하면 도구·IP 바꿔도 탐지됨
위협 헌팅: 알려진 TTP 패턴으로 잠복 위협 능동 탐색

CTI 활용 연계

위협 인텔리전스: ISAC·다크웹에서 TTP 정보 수집
레드팀: APT 그룹 TTP 모방 → 방어력 검증
BAS: TTP 기반 자동화 공격 시뮬레이션
MITRE ATT&CK: TTP의 표준화된 언어·지식베이스

💡 킬러 문장: "TTPs는 공격자의 지문(Fingerprint)이다. 도구와 IP는 바꿀 수 있어도 싸우는 방식은 쉽게 바꾸지 못한다. TTPs를 알면 공격자의 다음 수를 예측할 수 있다."

MITRE ATT&CK

공격자 TTP 지식 베이스 · 14개 전술·200+ 기법 · 탐지·레드팀·SOC 표준 언어

개념

정의: MITRE Corporation이 실제 사이버 공격 관찰 데이터를 기반으로 구축한 공격자 TTP(전술·기술·절차) 지식 베이스(Knowledge Base). 전 세계 보안 커뮤니티의 공통 언어로 자리잡음

ATT&CK: Adversarial Tactics, Techniques & Common Knowledge. Enterprise·Mobile·ICS 세 매트릭스 제공

개념도 — ATT&CK 매트릭스 구조

초기접근
TA0001

실행
TA0002

지속성
TA0003

권한상승
TA0004

방어우회
TA0005

횡이동
TA0008

유출
TA0010

각 전술 아래 Techniques(T####) → Sub-techniques(T####.###) 계층 구조

주요 구성 요소 — "전기그그네"

두문자	구성	핵심 내용	활용
전	전술(14개)	공격 목표 단계: 정찰→자원개발→초기접근→실행→지속성→권한상승→방어우회→자격증명→발견→횡이동→수집→C&C→유출→영향	공격 킬체인 매핑
기	기법(200+)	각 전술을 달성하는 구체적 방법. Sub-technique으로 세분화	탐지 규칙 작성 기준
그	그룹 정보	APT28·Lazarus 등 위협 행위자 그룹의 사용 TTP 매핑	APT 귀속(Attribution) 분석
그	그(소프트웨어)	악성코드·공격 도구별 사용 기법 정보	IOC 연계 분석
네	Navigator	ATT&CK 매트릭스 시각화·커버리지 분석 도구. 탐지 격차 히트맵	SOC 커버리지 측정

활용 분야 및 D3FEND 연계

주요 활용 분야

SOC 탐지: SIEM 규칙을 ATT&CK ID로 매핑 → 커버리지 측정
레드팀: APT TTP 모방 공격으로 방어력 검증
위협 인텔리전스: CTI 보고서를 ATT&CK 언어로 표준화
BAS: ATT&CK 기법 자동 시뮬레이션

ATT&CK 패밀리

ATT&CK for Enterprise: Windows·Linux·macOS·클라우드
ATT&CK for ICS: 산업제어시스템 공격 TTP
MITRE ATLAS: AI 시스템 공격 TTP (별도)
D3FEND: ATT&CK 공격 기법에 대응하는 방어 기법 온톨로지

💡 킬러 문장: "MITRE ATT&CK는 보안의 공통 언어다. 공격자·방어자·연구자가 같은 단어로 대화할 수 있게 함으로써, 보안 커뮤니티 전체의 집단 지성을 활성화한다."

MITRE ATLAS (Adversarial Threat Landscape for AI Systems)

AI 시스템 공격 TTP 지식 베이스 · ATT&CK의 AI 확장 · 2021 MITRE 제안

개념

정의: AI·ML 시스템을 표적으로 하는 적대적 공격 전술·기술·절차를 체계화한 지식 베이스. MITRE ATT&CK의 AI 전용 확장판

등장 배경: LLM·자율주행·의료 AI 등 고위험 AI 시스템이 확산되며 AI 특유 공격(적대적 예제·데이터 중독·모델 역공학)이 기존 ATT&CK 범주를 벗어남

개념도 — ATLAS 공격 수명주기

정찰
모델·데이터 정보 수집

→

ML 공격
적대적 예제·데이터 중독

→

모델 탈취
역공학·멤버십 추론

→

영향
오분류·서비스 중단

주요 구성 요소 — AI 특화 공격 유형 "적데모멤프"

두문자	공격 유형	핵심 내용	ATLAS ID
적	적대적 예제	입력에 인간이 감지 불가한 미세 노이즈를 추가 → 모델 오분류 유도. 자율주행 표지판 공격	AML.T0015
데	데이터 중독	훈련 데이터에 악성 샘플 삽입 → 백도어 심기. 특정 트리거에 반응하도록 모델 조작	AML.T0020
모	모델 역공학	API 쿼리만으로 모델 내부 구조·파라미터 복원. 지적재산 탈취	AML.T0005
멤	멤버십 추론	특정 데이터가 훈련셋에 포함됐는지 추론. 개인정보 노출	AML.T0024
프	프롬프트 인젝션	LLM에 악성 지시를 삽입하여 의도치 않은 행동 유도. 가드레일 우회	AML.T0051

ATT&CK vs ATLAS 비교 및 AI 보안 연계

ATT&CK vs ATLAS

ATT&CK: 전통 IT 시스템 공격 TTP — OS·네트워크·앱
ATLAS: AI·ML 시스템 공격 TTP — 모델·데이터·추론 API
보완 관계: AI 시스템은 IT 인프라 위에서 동작하므로 양쪽 모두 적용
실무: AI 레드팀에서 ATLAS 기반 공격 시나리오 설계

방어 연계

DSLM 보안: 프롬프트 인젝션 방어 — 입력 검증·Constitutional AI
ISO 24028: 견고성(Robustness) 속성이 ATLAS 공격 방어와 직결
ISO 8800: AI 도로 안전 — 자율주행 적대적 예제 방어
AISC: AI Security Center — ATLAS 기반 평가 프레임워크

💡 킬러 문장: "MITRE ATLAS는 AI가 단순히 버그가 있는 소프트웨어가 아니라, 학습 데이터와 모델 자체가 공격 표면임을 선언한다. AI 시대의 사이버보안은 코드뿐 아니라 데이터도 지켜야 한다."

네트워크 스캐닝 (Network Scanning)

공격자 정찰·방어자 취약점 발견 양면 기술 · Nmap·Masscan 대표

개념

정의: 네트워크 상의 호스트·서비스·취약점을 식별하기 위해 패킷을 전송하고 응답을 분석하는 기술. 공격자는 정찰에, 방어자는 취약점 관리에 활용

MITRE ATT&CK 연계: TA0043(정찰) → T1046(네트워크 서비스 스캐닝)

주요 구성 요소 — TCP 스캔 유형 "신풀스핀"

두문자	스캔 유형	동작 방식	특징
신	SYN 스캔 (Half-open)	SYN 전송 → SYN/ACK 수신 → RST 전송 (3-Way 미완료)	로그 미기록. 가장 널리 사용. 스텔스 스캔
풀	Full Connect 스캔	완전한 3-Way Handshake 완료 후 RST	OS 로그에 기록됨. 탐지 쉬움
스	Stealth 스캔	FIN·NULL·XMAS 패킷 전송. RFC 비정상 패킷	방화벽 우회. 오래된 시스템에서 효과적
핀	Ping 스캔	ICMP Echo Request로 호스트 생존 확인	포트 스캔 전 단계. ICMP 차단 시 우회 필요

방어 기법 및 주요 도구

스캐닝 탐지·방어

IDS/IPS: 포트 스캔 패턴 탐지 (짧은 시간 내 다수 포트 접근)
방화벽: SYN Flood 방지, Rate Limiting
허니팟: 가짜 서비스로 스캐너 탐지
ASM: 공격자 관점에서 아군 자산 스캔 → 노출 면적 관리

주요 도구

Nmap: 가장 범용적. NSE 스크립트로 취약점 점검
Masscan: 초고속 대규모 인터넷 스캔
Shodan: 인터넷 연결 장치 검색엔진
Nessus·OpenVAS: 취약점 스캐너 (CVE 기반)

💡 킬러 문장: "네트워크 스캐닝은 양날의 검이다. 공격자는 표적을 찾는 데, 방어자는 자신의 노출 면적을 파악하는 데 같은 기술을 사용한다. 먼저 스캔하는 자가 유리하다."

전자봉투 (Digital Envelope)

대칭키·비대칭키 암호의 결합 · 기밀성·효율성 동시 달성

개념

정의: 대칭키 암호(빠른 속도)로 데이터를 암호화하고, 해당 대칭키를 수신자의 공개키(비대칭 암호)로 암호화하여 함께 전송하는 방식. 두 암호 방식의 장점을 결합

원리: 세션키(대칭) → 데이터 암호화 + 세션키를 공개키로 암호화 → 수신자가 개인키로 세션키 복호화 → 데이터 복호화

개념도 — 전자봉투 송수신 과정

송신자

① 세션키(K)
무작위 생성

→

② 데이터를 K로
암호화(AES 등)

→

③ K를 수신자
공개키로 암호화

→

④ [암호데이터
+암호화K] 전송

수신자

⑤ 개인키로 K 복호화

→

⑥ K로 데이터 복호화

→

⑦ 원본 데이터 획득

주요 구성 요소 — "세공대효기"

두문자	요소	핵심 내용	알고리즘
세	세션키(대칭키)	데이터 암호화용. 매 세션마다 새로 생성. 빠른 속도가 장점	AES-256, ChaCha20
공	공개키 암호화	세션키를 수신자 공개키로 암호화. 키 교환 문제 해결	RSA-2048, ECC
대	대칭키 암호화	실제 데이터 암호화에 사용. 비대칭 대비 수천 배 빠름	AES-128/256, 3DES
효	효율성	대용량 데이터는 대칭키로, 키 교환만 비대칭으로 → 속도와 보안 양립	TLS 핸드셰이크도 동일 원리
기	기밀성 보장	세션키가 수신자 개인키로만 복호화 가능 → 제3자 탈취 불가	PKI 인프라와 결합

전자봉투 vs 전자서명 및 활용

실제 적용 사례

TLS/HTTPS: 전자봉투 원리로 세션키 교환 (TLS Handshake)
PGP 이메일: 전자봉투로 이메일 기밀성 보장
S/MIME: 기업 이메일 보안
AWS KMS: 클라우드 봉투 암호화(Envelope Encryption)

전자봉투 vs 전자서명

전자봉투: 기밀성 목적. 수신자 공개키로 세션키 암호화
전자서명: 무결성·인증 목적. 송신자 개인키로 해시 서명
결합: PGP는 전자봉투(기밀) + 전자서명(인증) 동시 제공
PKI: 두 방식 모두 공개키 기반구조에 의존

💡 킬러 문장: "전자봉투는 '빠른 자물쇠'와 '안전한 열쇠 상자'를 결합한 아이디어다. 데이터는 빠른 대칭키로 잠그고, 그 열쇠를 안전한 비대칭키 상자에 넣어 보낸다."

OT 특화 제로 트러스트 (Zero Trust for OT)

산업제어시스템 보안 · IT-OT 융합 환경 · IEC 62443 연계

개념

정의: 발전소·공장·수처리 등 운영기술(OT: Operational Technology) 환경에 제로 트러스트(Never Trust, Always Verify) 원칙을 적용한 보안 아키텍처. IT 환경과 달리 가용성(Availability) 최우선, 레거시 장비, 실시간 제어 제약을 반영

주요 구성 요소 — OT 특화 적용 "가레마단에"

두문자	요소	핵심 내용	IT vs OT 차이
가	가용성 우선	OT는 CIA 중 가용성(A)이 최우선. 인증 실패 시에도 제어 유지 필요	IT: CIA 균형 / OT: A>C>I
레	레거시 장비 대응	20~30년 된 PLC·RTU는 에이전트 설치 불가 → 네트워크 레벨 제어	IT는 에이전트 설치 가능
마	마이크로 세그멘테이션	Purdue 모델 기반 구역 분리. VLAN·방화벽으로 lateral movement 차단	OT는 Purdue Model 준수 필수
단	단방향 통신	데이터 다이오드로 OT→IT 단방향만 허용. 역방향 공격 차단	IT는 양방향 통신 일반적
에	에어갭 모니터링	USB·무선 등 에어갭 우회 경로 탐지. Dragos·Claroty로 OT 자산 가시성 확보	OT 전용 탐지 도구 필요

IEC 62443 연계 및 실제 사고 사례

IEC 62443 연계

IEC 62443: 산업 사이버보안 국제표준
보안 레벨(SL) 1~4: 자산 중요도에 따른 보안 요구사항
존(Zone)·통로(Conduit): 62443의 구역 분리 = OT 제로트러스트 마이크로 세그멘테이션
연계: 62443 + NIST ZTA = OT 제로트러스트 기준

실제 사고 사례

우크라이나 전력망 해킹 (2015): BlackEnergy → SCADA 조작 → 정전
미국 수처리 시설 (2021): TeamViewer 원격 접속 → NaOH 농도 조작 시도
Colonial Pipeline (2021): OT 망 에어갭 부재로 IT 침해 → OT 가동 중단
교훈: IT-OT 경계 붕괴 시 OT 제로트러스트 필수

💡 킬러 문장: "OT 제로트러스트는 '신뢰하지 않되, 멈추지 않는다'가 핵심이다. 발전소 터빈이 인증 실패로 멈춘다면 제로트러스트가 아닌 재앙이다."

SIEM (Security Information and Event Management)

보안 로그 수집·상관분석·위협 탐지 · SOC 핵심 플랫폼

개념

정의: 조직 전체 IT 인프라에서 보안 이벤트·로그를 중앙 수집하고 상관 분석(Correlation)으로 위협을 탐지·경보·대응하는 통합 보안 관리 플랫폼

SIM + SEM: SIM(Security Information Management: 로그 저장·분석) + SEM(Security Event Management: 실시간 이벤트 상관분석)의 결합

개념도 — SIEM 아키텍처

로그 수집
방화벽·IDS·서버·앱

→

정규화
CEF·LEEF 변환

→

상관 분석
규칙·ML 탐지

→

경보·대응
티켓·SOAR 연동

주요 구성 요소 — "수정상경보저"

두문자	기능	핵심 내용	기술·표준
수	수집(Collection)	Syslog·SNMP·API·에이전트로 전체 인프라 로그 수집. 정규화·파싱	Syslog RFC 5424, CEF, LEEF
정	정규화(Normalization)	다양한 포맷의 로그를 공통 스키마로 변환. 상관 분석 전제 조건	ECS(Elastic Common Schema)
상	상관 분석	단일 이벤트 탐지 한계 → 여러 소스의 이벤트를 연결하여 공격 패턴 탐지	Sigma Rules, ATT&CK 기반 규칙
경	경보(Alerting)	임계값·규칙·ML 기반 이상 탐지 후 우선순위별 경보 발령	UEBA(User Entity Behavior Analytics)
보	보고·컴플라이언스	규정 준수(GDPR·ISO 27001) 보고서 자동 생성. 감사 추적	PCI-DSS, HIPAA 컴플라이언스
저	저장·검색	장기 로그 보관(6개월~7년). 침해 사고 조사를 위한 신속 검색	Elasticsearch, S3 콜드스토리지

SIEM vs SOAR vs XDR 및 주요 제품

SIEM 한계

경보 피로: 대량 False Positive → SOC 분석가 번아웃
규칙 의존: 알려진 패턴만 탐지. 제로데이 미탐지
수동 대응: 탐지 후 대응은 사람이 직접 수행
대안: SOAR로 자동화 + XDR로 탐지 확장

주요 제품 비교

Splunk: 가장 강력한 검색·분석. 비용 高
Microsoft Sentinel: Azure 네이티브. 클라우드 친화적
IBM QRadar: 엔터프라이즈 특화. 규정 준수 강점
Elastic SIEM: 오픈소스 기반. 유연한 커스터마이징

💡 킬러 문장: "SIEM은 조직의 보안 신경계다. 수천 개의 센서가 보내는 신호를 하나의 뇌에서 분석하여 위협을 감지한다. 단, 뇌가 지치지 않으려면 SOAR로 자동화가 필수다."

SOAR (Security Orchestration, Automation and Response)

보안 대응 자동화 · 플레이북 기반 인시던트 대응 · SIEM 보완

개념

정의: 보안 도구들을 오케스트레이션(연동)하고, 반복적 보안 작업을 자동화(Automation)하며, 인시던트에 일관된 대응(Response)을 제공하는 플랫폼

등장 배경: SIEM이 대량 경보를 생성하지만 분석가가 일일이 수동 대응 → 평균 탐지-대응 시간(MTTD·MTTR) 단축 필요

개념도 — SOAR 플레이북 자동화 흐름

트리거
SIEM 경보·티켓

→

자동 조사
IOC 조회·VirusTotal

→

판단
True/False 분류

→

자동 대응
IP 차단·격리·패치

주요 구성 요소 — "오자플케협"

두문자	기능	핵심 내용	예시
오	오케스트레이션	SIEM·방화벽·EDR·티켓 시스템 등 이기종 보안 도구를 API로 통합 연동	Splunk SOAR ↔ Palo Alto ↔ Jira
자	자동화	반복 작업(IOC 조회·IP 차단·보고서 생성) 자동 처리. MTTD·MTTR 단축	피싱 이메일 자동 분석·차단 플레이북
플	플레이북	인시던트 유형별 대응 절차를 코드화. 조건 분기·반복 포함	랜섬웨어 대응: 격리→분석→복구
케	케이스 관리	인시던트 추적·이력 관리·근거 문서화. 규제 준수 감사 지원	SOAR Case Timeline, ATT&CK 매핑
협	협업·보고	분석가 간 협업 기능. 경영진용 자동 보고서 생성	Slack 연동 알림, 주간 인시던트 보고서

SIEM vs SOAR vs XDR 비교

구분	SIEM	SOAR	XDR
주 기능	로그 수집·상관분석·탐지	대응 자동화·오케스트레이션	탐지+대응 통합 (EDR 확장)
강점	가시성·컴플라이언스	MTTR 단축·반복 자동화	EDR 중심 엔드포인트 탐지
대표 제품	Splunk, Sentinel	Palo Alto XSOAR, IBM SOAR	CrowdStrike, SentinelOne

💡 킬러 문장: "SOAR는 SOC 분석가의 손발을 자동화한다. 반복적인 작업을 기계에 맡기고 분석가는 진짜 위협 판단에 집중할 수 있게 한다."

BB84 프로토콜 (Quantum Key Distribution)

양자 키 분배의 첫 번째 프로토콜 · 1984 Bennett·Brassard · 도청 원천 불가

개념

정의: 양자역학의 관측 불가침 원리(No-Cloning Theorem)를 이용하여 두 당사자 간 비밀 키를 안전하게 교환하는 양자 키 분배(QKD) 프로토콜

핵심 원리: 양자 상태를 측정하면 상태가 변한다 → 도청자가 광자를 가로채면 반드시 오류가 발생 → 도청 감지 가능

주요 구성 요소 — "광기오비양"

두문자	요소	핵심 내용	양자역학 원리
광	광자(Qubit)	단일 광자의 편광 방향으로 비트(0·1) 표현. 복사 불가(No-Cloning)	양자 중첩·불확정성 원리
기	기저(Basis)	직선(+: 0°/90°) 또는 대각선(×: 45°/135°) 기저 무작위 선택	측정 기저가 다르면 결과 무작위
오	오류율 검사	일부 비트를 공개하여 QBER(Quantum Bit Error Rate) 측정. QBER >11%면 도청	측정이 상태를 변화시킴
비	비밀 증폭	오류 정정 + Privacy Amplification으로 도청자의 정보를 통계적으로 제거	정보 이론적 보안
양	양자 채널	단일 광자를 전송하는 광섬유·자유공간 채널 필요	현재 상용 거리: 수십~수백km

BB84 한계 및 PQC 비교

BB84 한계 및 발전

거리 한계: 광자 손실로 수백km 이상 어려움 → 양자 중계기 연구
전용 인프라: 광섬유 양자 채널 필요 → 비용 高
E91: 얽힘(Entanglement) 기반 QKD 프로토콜 (1991 Ekert)

QKD vs PQC 비교

BB84(QKD): 양자 채널 필요. 정보이론적 보안(수학적 가정 불필요)
PQC(격자암호 등): 기존 인터넷 인프라 사용. 수학적 어려움에 기반
NIST PQC: 2024년 CRYSTALS-Kyber 등 표준화
한국: ETRI·SKT 양자암호통신 실증 사업

💡 킬러 문장: "BB84는 물리 법칙으로 보안을 보장하는 최초의 프로토콜이다. 수학의 어려움이 아닌 '보면 변한다'는 양자역학의 법칙이 도청을 원천 차단한다."

A10

CSAP (Cloud Security Assurance Program)

국내 클라우드 보안 인증 · 과기정통부 고시 · 2023 상·중·하 등급제 개편

개념

정의: 한국인터넷진흥원(KISA)이 클라우드 서비스의 보안 안전성을 평가하고 인증하는 제도. 공공기관이 클라우드를 도입할 때 CSAP 인증 서비스 우선 적용 의무

근거: 클라우드컴퓨팅법 제23조 + 과학기술정보통신부 고시. 2023년 등급제(상·중·하) 개편

개념도 — CSAP 등급별 적용 범위 (2023 개편)

상 등급: 국가안보·개인정보 등 중요 정보 처리. 물리적 망분리 (국방·경찰)

중 등급: 민감 정보 처리 공공 시스템. 논리적 망분리. 대부분의 공공기관

하 등급: 공개 정보·비중요 업무. 기본 보안 요건. 민간 클라우드와 유사

평가 항목 "관기보물운" 및 유사 인증 비교

두문자	평가 영역	핵심 내용	주요 점검 항목
관	관리적 보안	정보보호 정책·조직·위험관리 체계	ISMS-P 연계, 정보보호 책임자 지정
기	기술적 보안	접근 제어·암호화·취약점 관리	다중 인증, 데이터 암호화
보	보안 사고 대응	침해 탐지·대응·복구 절차	SIEM 구축, 인시던트 대응 절차
물	물리적 보안	데이터센터 물리 접근 통제	생체인증 출입, CCTV, UPS
운	운영 보안	변경 관리·백업·업무 연속성	BCP/DR, 정기 백업 검증

💡 킬러 문장: "CSAP는 한국 공공 클라우드의 보안 여권이다. 등급제 도입으로 '모든 공공 업무에 최고 보안'이라는 경직성을 깨고, 위험 수준에 맞는 합리적 보안을 가능하게 했다."

A11

4C 보안 계층별 기술요소

Cloud·Cluster·Container·Code · 쿠버네티스 클라우드 네이티브 보안 모델

개념

정의: 클라우드 네이티브 환경의 보안을 Cloud → Cluster → Container → Code 4개 계층으로 분류하는 보안 모델. CNCF 및 쿠버네티스 공식 보안 가이드에서 채택

원칙: 각 계층이 독립적으로 보안을 갖춰야 하며, 하위 계층이 침해되면 상위 계층 보안도 무의미 — 심층 방어(Defense in Depth)

개념도 — 4C 계층 구조 (양파 껍질)

Code — 소스코드·종속성·시크릿 보안 (최내부)

Container — 이미지·런타임·레지스트리 보안

Cluster — 쿠버네티스 API·RBAC·네트워크 정책

Cloud — CSP 인프라·IAM·네트워크 (최외부)

계층별 핵심 보안 기술

계층	주요 위협	핵심 보안 기술	대표 도구
Cloud	IAM 권한 과다, 스토리지 공개 노출	최소 권한 IAM, CSPM, VPC 보안	AWS Security Hub, Prisma Cloud
Cluster	K8s API 서버 노출, RBAC 과도 권한	RBAC 최소 권한, Network Policy, etcd 암호화	OPA/Gatekeeper, Falco
Container	취약한 베이스 이미지, 루트 실행	이미지 스캔, Non-root 실행, Admission Controller	Trivy, Snyk, Harbor
Code	소프트웨어 취약점, 하드코딩 시크릿	SAST/DAST, SBOM, 시크릿 스캔, SCA	SonarQube, Vault, Dependabot

💡 킬러 문장: "4C 보안은 클라우드 네이티브 환경의 양파 껍질이다. 가장 바깥 Cloud부터 가장 안쪽 Code까지 모든 층이 보안을 갖춰야 진정한 심층 방어가 완성된다."

A12

TCP Wrapper

호스트 기반 접근 제어 · /etc/hosts.allow → /etc/hosts.deny 순서

개념

정의: 리눅스/유닉스 시스템에서 네트워크 서비스 접근을 호스트 레벨에서 제어하는 접근 제어 메커니즘. /etc/hosts.allow와 /etc/hosts.deny 파일을 이용해 특정 IP·도메인의 서비스 접근을 허용 또는 거부

순서: hosts.allow 먼저 검사 → 매칭 시 즉시 허용 → hosts.deny 검사 → 매칭 시 거부 → 미매칭 시 허용(기본값)

개념도 — TCP Wrapper 동작 흐름

클라이언트
연결 요청

→

tcpd
연결 가로채기

→

hosts.allow
허용 목록 확인
→ 허용 시 전달

→

hosts.deny
거부 목록 확인
→ 거부 시 차단

설정 문법 및 방화벽 비교

구성요소	설명	예시
hosts.allow	허용 규칙. 먼저 검사. 매칭 시 즉시 허용	sshd: 192.168.1.0/24 (내부 네트워크만 SSH 허용)
hosts.deny	거부 규칙. hosts.allow 미매칭 시 검사	ALL: ALL (모든 외부 접근 거부)
spawn 옵션	접근 시 명령어 실행. 로깅·알림에 활용	spawn /bin/echo ... \| mail root

방화벽 vs TCP Wrapper

방화벽(iptables): 커널 수준 패킷 필터링. IP·포트·프로토콜 기반
TCP Wrapper: 응용 수준 접근 제어. 서비스명·호스트명 기반. 로깅 강함
결합: 방화벽은 포트 차단, TCP Wrapper는 서비스별 세분화 제어

현대적 맥락

레거시: 현대 Linux는 systemd 전환으로 TCP Wrapper 사용 감소
대안: nftables, firewalld, PAM 모듈 기반 접근 제어
시험 출제 이유: 네트워크·호스트 보안 개념 기반으로 여전히 출제
핵심 암기: hosts.allow 우선 → hosts.deny 순서

💡 킬러 문장: "TCP Wrapper는 방화벽이 못 보는 서비스 이름을 본다. IP를 통과한 패킷이 어떤 서비스에 닿는지를 서비스 이름으로 다시 한번 걸러내는 2단계 필터다."

A13

베이지안 네트워크 (Bayesian Network)

확률적 인과관계 그래프 모델 · 불확실성 추론 · 의사결정 지원

개념

정의: 확률 변수들 간의 조건부 독립 관계를 방향성 비순환 그래프(DAG)로 표현하는 확률 그래픽 모델. 각 노드는 확률 변수, 간선은 인과관계, 각 노드는 부모 노드 조건 하의 조건부 확률표(CPT)를 보유

핵심: 베이즈 정리(P(A|B) = P(B|A)·P(A)/P(B))를 구조화하여 복잡한 추론을 효율화

주요 구성 요소 — "노간조추학"

두문자	요소	핵심 내용	활용
노	노드(확률 변수)	이산·연속 확률 변수. 관측 가능한 증거 노드 + 숨겨진 원인 노드	질병·증상·검사 결과
간	간선(인과관계)	방향성 간선으로 인과 방향 표현. 순환 없는 DAG 구조 필수	원인→결과 방향 명시
조	조건부 확률표(CPT)	각 노드의 부모 상태 조건 하의 확률 분포. 네트워크의 핵심 파라미터	전문가 지식 또는 데이터 학습
추	추론(Inference)	증거 관찰 → 미지 변수의 사후 확률 계산. 정방향(예측)·역방향(진단) 추론	변수 소거법, MCMC 근사 추론
학	구조 학습	데이터로부터 DAG 구조와 CPT를 자동 학습. 전문가 지식과 결합 가능	BIC 점수, EM 알고리즘

활용 사례 및 다른 확률 모델 비교

주요 적용 분야

의료 진단: 증상 → 질병 확률 추론. IBM Watson 의료 AI 기반
사이버보안: 네트워크 이상 징후 → 공격 확률 평가
자율주행: 센서 불확실성 처리 → 장애물 존재 확률
리스크 평가: 프로젝트 위험 요소 확률적 분석

다른 확률 모델과 비교

나이브 베이즈: 모든 특성 독립 가정 — 단순하지만 강력
베이지안 네트워크: 조건부 독립 — 인과관계 명시적 표현
HMM: 시계열·순차 데이터 특화
MRF: 무방향 그래프 — 이미지 분할

💡 킬러 문장: "베이지안 네트워크는 불확실한 세계에서 '그럴 가능성'을 구조적으로 계산한다. 증거가 쌓일수록 믿음이 업데이트되는 것이 인간 추론과 가장 닮은 AI다."

A14

몬테카를로 트리 탐색 (MCTS: Monte Carlo Tree Search)

게임 AI의 핵심 · AlphaGo 기반 · 탐색-활용 균형

개념

정의: 게임·의사결정 트리에서 무작위 시뮬레이션(몬테카를로 방법)을 반복하여 유망한 수를 탐색하는 알고리즘. 완전 탐색이 불가능한 복잡한 문제에서 탐색(Exploration)과 활용(Exploitation)을 균형있게 수행

핵심: AlphaGo·AlphaZero의 핵심 구성 요소. 바둑(복잡도 10^170)에서 인간 수준 달성의 열쇠

개념도 — MCTS 4단계 사이클

① 선택
UCB1으로
유망 노드 선택

→

② 확장
미방문 자식
노드 추가

→

③ 시뮬레이션
무작위 게임
끝까지 진행

→

④ 역전파
결과를 경로
노드에 반영

주요 구성 요소 — "선확시역균"

두문자	단계	핵심 내용	수식·알고리즘
선	선택(Selection)	현재 트리에서 UCB1 공식으로 탐색/활용 균형 있게 노드 선택	UCB1 = Q/N + C·√(lnN_parent/N)
확	확장(Expansion)	선택된 리프 노드에서 미탐색 자식 노드 하나 이상 추가	무작위 또는 정책 네트워크 기반
시	시뮬레이션(Rollout)	추가된 노드에서 게임 종료까지 무작위 플레이. 승패 결과 획득	AlphaGo: 가치 네트워크로 대체
역	역전파(Backprop)	시뮬레이션 결과를 경로 상 모든 노드에 누적	Q += result, N += 1
균	탐색-활용 균형	UCB1의 C 파라미터로 탐색(미개척 수)과 활용(승률 높은 수) 비율 조절	C=√2 이론값, 실제는 튜닝 필요

AlphaGo 적용 및 확장 활용

AlphaGo에서의 MCTS

기존 MCTS: 무작위 롤아웃 → 바둑 복잡도에서 느림
AlphaGo: 롤아웃을 정책 네트워크(Policy Network)로 대체. 가치 네트워크로 평가
AlphaZero: 자기 대국(Self-play)으로 네트워크 학습

게임 외 적용 분야

로봇 계획: 실시간 경로 계획
약물 개발: 분자 구조 탐색
LLM 추론: o1 모델의 Tree-of-Thought + MCTS
보안: 자동 침투 테스트 경로 탐색

💡 킬러 문장: "MCTS는 '현명한 도박꾼'의 전략이다. 모든 수를 다 두어보는 대신, 유망한 수에 더 많이 투자하고 실망스러운 수는 빨리 포기하는 현실적 탐색이다."

A15

뉴로모픽 컴퓨팅 (Neuromorphic Computing)

뇌의 신경 구조를 모방한 칩 · Intel Loihi · IBM TrueNorth · 초저전력 AI

개념

정의: 인간 뇌의 신경세포(뉴런)·시냅스 구조를 하드웨어로 모방하여 정보를 처리하는 컴퓨팅 패러다임. 기존 폰 노이만 구조와 달리 연산과 메모리를 통합하고 스파이크(Spike) 이벤트 기반으로 동작

핵심 장점: 일반 딥러닝 대비 100~1000배 에너지 효율. 이벤트 기반 → 유휴 시 전력 0

주요 구성 요소 — "뉴시스스학"

두문자	요소	핵심 내용	생물학적 대응
뉴	뉴런 코어	통합-발화(Integrate-and-Fire) 모델. 입력 스파이크 누적 → 임계값 초과 시 출력 스파이크 발생	생물 뉴런의 활동전위
시	시냅스 가중치	뉴런 간 연결 강도. 가소성(Plasticity)으로 학습 시 변화	시냅스 강도 변화
스	스파이크 통신	0/1 이진 스파이크 이벤트로 정보 전달. 타이밍이 정보 포함	신경 활동전위 전파
스	STDP 학습	Spike-Timing Dependent Plasticity. 스파이크 시간 차이로 시냅스 강도 조절	헵 학습(Hebbian Learning)
학	하드웨어 칩	Intel Loihi 2: 100만+ 뉴런, 1억 시냅스. IBM TrueNorth: 4096 뉴로모픽 코어	피질 컬럼 구조

GPU vs NPU vs 뉴로모픽 비교 및 적용

GPU vs NPU vs 뉴로모픽

GPU: 병렬 부동소수점 연산. 딥러닝 학습·추론. 고전력 (300~700W)
NPU: 행렬 연산 특화. 추론 가속. 중간 전력
뉴로모픽: 스파이크 기반 이벤트 처리. 에지 AI. 초저전력 (수mW)
전력 비교: GPU 대비 1000배+ 효율

적용 사례 및 한계

엣지 AI: 배터리 기기·웨어러블·IoT 센서
로봇: 실시간 센서 처리·반사 행동
뇌-컴퓨터 인터페이스: 신경 신호 직접 처리
한계: 프로그래밍 복잡, 범용 SW 생태계 부족
표준화: Intel의 Lava 프레임워크 등장

💡 킬러 문장: "뉴로모픽 컴퓨팅은 '뇌를 칩으로 만드는' 시도다. 20W로 작동하는 인간 뇌를 모방함으로써, AI 에너지 위기의 근본적 해법을 제시한다."

A16

Spiking Neural Network (SNN)

3세대 신경망 · 스파이크 기반 시간 정보 처리 · 뉴로모픽 칩의 소프트웨어 대응

개념

정의: 생물학적 뉴런의 스파이크(Action Potential) 발화 메커니즘을 모방한 신경망. 기존 ANN(연속 활성화 함수)과 달리 이산 이진 스파이크와 시간 정보를 함께 활용

세대 분류: 1세대(퍼셉트론) → 2세대(DNN/ReLU) → 3세대(SNN/스파이크). SNN이 뉴로모픽 하드웨어와 결합하면 초저전력 AI 구현

주요 구성 요소 — "스발시희학"

두문자	특성	핵심 내용	구현 방법
스	스파이크 인코딩	연속 값을 스파이크 시퀀스로 변환. Rate Coding(발화 빈도)·Temporal Coding(발화 시간)	Poisson 과정 Rate Coding
발	발화 모델	LIF(Leaky Integrate-and-Fire): 전압 누적 → 임계값 도달 시 스파이크 발화 후 리셋	LIF, Hodgkin-Huxley 모델
시	시간 정보 처리	스파이크 발화 타이밍이 정보를 담음. 연속 신호보다 적은 데이터로 표현	이벤트 카메라(DVS) 연계
희	희소성(Sparsity)	대부분의 뉴런이 침묵 → 활성 뉴런만 연산 → 에너지 효율	동적 소비 전력: 입력 의존적
학	학습 알고리즘	STDP(비지도), Surrogate Gradient(역전파 근사), ANN→SNN 변환	SpikeProp, e-prop 알고리즘

DNN vs SNN 비교 및 미래 전망

DNN vs SNN 실용 비교

DNN 강점: 학습 용이, 성숙한 생태계, 높은 정확도
SNN 강점: 초저전력, 시간 정보 처리, 이벤트 기반
현재: DNN이 대부분 실용화. SNN은 연구·엣지 특화
전망: 뉴로모픽 칩 + SNN = 에너지 효율 AI의 미래

적용 사례

이벤트 카메라: 픽셀 변화 시에만 스파이크 → 자율주행
청각 처리: 음성 인식 초저전력 구현
Intel Loihi + SNN: 후각 인식, 이상 탐지 실증
SW 탄소집약도 연계: SNN이 AI 탄소 감축 핵심

💡 킬러 문장: "SNN은 AI가 뇌를 닮아가는 여정의 최전선이다. '항상 켜져 있는 GPU'에서 '필요할 때만 발화하는 뉴런'으로의 전환이 AI 에너지 문제의 해답이다."