부록. 용어집
AI 보안·컴플라이언스 핸드북에서 사용하는 주요 용어와 약어 정리
이 문서는 본 핸드북 전체에서 사용하는 주요 용어, 약어, 지표를 정리합니다.
| 약어 | 영문 | 한국어 | 설명 | 관련 챕터 |
|---|
| ALE | Annual Loss Expectancy | 연간 예상 손실액 | 단일 사고 손실(SLE) × 연간 발생 빈도(ARO) | Ch8 |
| ARO | Annualized Rate of Occurrence | 연간 발생 빈도 | 특정 위협이 1년간 발생할 예상 횟수 | Ch8 |
| ASR | Attack Success Rate | 공격 성공률 | 공격 시도 대비 성공 비율 | Ch4 |
| KPI | Key Performance Indicator | 핵심 성과 지표 | 보안 운영 성과를 측정하는 정량 지표 | Ch7, Ch8 |
| KRI | Key Risk Indicator | 핵심 리스크 지표 | 리스크 수준 변화를 조기 감지하는 선행 지표 | Ch8 |
| MTTD | Mean Time To Detect | 평균 탐지 시간 | 사고 발생~탐지까지 평균 소요시간 | Ch7 |
| MTTR | Mean Time To Recover | 평균 복구 시간 | 사고 탐지~복구까지 평균 소요시간 | Ch7 |
| ROI | Return on Investment | 투자수익률 | 보안 투자 대비 리스크 감소 효과를 재무적으로 환산한 비율 | Ch8 |
| SLE | Single Loss Expectancy | 단일 사고 예상 손실 | 한 건의 사고로 인한 예상 손실액 | Ch8 |
| SPI | Security Posture Index | 보안 성숙도 지수 | 예방·탐지·대응·신뢰 가중 합산 지표 | Ch8 |
| 약어 | 영문 | 한국어 | 설명 | 관련 챕터 |
|---|
| ABAC | Attribute-Based Access Control | 속성 기반 접근제어 | 환경/시간/리스크 등 조건 기반 동적 제어 | Ch5 |
| JIT | Just-In-Time | 적시 승인 | 필요 시점에만 권한을 부여하고 자동 회수 | Ch5 |
| MFA | Multi-Factor Authentication | 다중 인증 | 2개 이상 인증 요소 조합 | Ch5 |
| mTLS | Mutual Transport Layer Security | 상호 TLS 인증 | 클라이언트와 서버가 서로의 인증서를 검증하는 양방향 인증 | Ch3, Ch5 |
| OAuth/OIDC | OAuth 2.0 / OpenID Connect | - | 인가(OAuth) 및 인증(OIDC) 표준 프로토콜 | Ch3 |
| RBAC | Role-Based Access Control | 역할 기반 접근제어 | 직무 역할에 따른 권한 부여 | Ch5 |
| SPIFFE | Secure Production Identity Framework for Everyone | - | 서비스 간 신원을 검증하는 표준 워크로드 아이덴티티 프레임워크 | Ch3, Ch5 |
| SSO | Single Sign-On | 통합 인증 | 한 번의 인증으로 여러 시스템 접근 | Ch5 |
| 약어 | 영문 | 한국어 | 설명 | 관련 챕터 |
|---|
| CAP | Corrective Action Plan | 시정 조치 계획 | 감사에서 발견된 미충족 항목에 대한 보완 계획 | Ch6 |
| 고영향 AI | High-impact AI | 고영향 인공지능 | 국내 AI 기본법상 사람의 생명·안전·권리 등에 중대한 영향을 줄 수 있는 AI | Ch1, Ch6, Ch7 |
| ISMS | Information Security Management System | 정보보호 관리체계 | 한국 정보보호 인증 체계 | Ch6 |
| PIA | Privacy Impact Assessment | 개인정보영향평가 | 개인정보 처리 영향을 사전 평가 | Ch2 |
| RACI | Responsible, Accountable, Consulted, Informed | 책임 매트릭스 | 역할별 의사결정 책임 구조 | Ch1 |
| RCA | Root Cause Analysis | 근본 원인 분석 | 사고의 근본 원인을 체계적으로 분석 | Ch7 |
| SOC 2 | System and Organization Controls 2 | - | AICPA 서비스 조직 통제 보고서 | Ch6 |
| 약어 | 영문 | 한국어 | 설명 | 관련 챕터 |
|---|
| DDoS | Distributed Denial of Service | 분산 서비스 거부 공격 | 대량의 트래픽으로 서비스 가용성을 마비시키는 공격 | Ch3 |
| DLP | Data Loss Prevention | 데이터 유출 방지 | 민감 데이터의 비인가 반출을 탐지·차단하는 시스템 | Ch3, Ch6 |
| KMS | Key Management Service | 키 관리 서비스 | 암호화 키의 생성·저장·교체·폐기 관리 | Ch2, Ch5 |
| OPA | Open Policy Agent | - | 정책을 코드로 관리하는 오픈소스 엔진 | Ch3 |
| PII | Personally Identifiable Information | 개인식별정보 | 개인을 식별할 수 있는 정보 | Ch2 |
| RAG | Retrieval-Augmented Generation | 검색 증강 생성 | 외부 문서 검색 기반 LLM 응답 생성 | Ch4 |
| SIEM | Security Information and Event Management | 보안 정보 및 이벤트 관리 | 보안 로그를 수집·분석·상관관계 분석하는 통합 플랫폼 | Ch6 |
| TTL | Time To Live | 유효 기간 | 데이터/토큰의 자동 만료 시간 | Ch2, Ch5 |
| WAF | Web Application Firewall | 웹 방화벽 | 웹 애플리케이션 레벨 공격 차단 | Ch3 |
| XAI | Explainable AI | 설명 가능한 AI | AI 의사결정 과정을 사람이 이해할 수 있게 설명하는 기술 | Ch6 |
| 약어 | 영문 | 한국어 | 설명 | 관련 챕터 |
|---|
| KISA | Korea Internet & Security Agency | 한국인터넷진흥원 | 사이버 침해사고 신고 접수 기관 | Ch7 |
| SEV | Severity | 심각도 | 사고 등급 (SEV-1 최고 ~ SEV-3) | Ch7 |
| SLA | Service Level Agreement | 서비스 수준 협약 | 서비스 품질 보장 기준과 대응 시한을 정의한 합의서 | Ch7 |
| 약어 | 영문 | 한국어 | 설명 | 관련 챕터 |
|---|
| ENISA | European Union Agency for Cybersecurity | EU 사이버보안청 | EU 사이버 보안 정책 기관 | 검증 리포트 |
| EU AI Act | EU Artificial Intelligence Act | EU 인공지능법 | EU의 AI 시스템 위험 등급별 규제 법률 | Ch1, Ch6 |
| 한국 AI 기본법 | AI Basic Act of Korea | 인공지능 기본법 | 국내 AI 발전과 신뢰 기반 조성을 위한 기본 법률 | Ch1, Ch6, Ch7 |
| ISO 27001 | ISO/IEC 27001 | - | 정보보안 관리체계 국제 표준 | Ch6 |
| NIST AI RMF | AI Risk Management Framework | AI 리스크 관리 프레임워크 | 미국 NIST AI 위험 관리 체계 | Ch1 |
| NIST CSF | Cybersecurity Framework | 사이버 보안 프레임워크 | 미국 NIST 사이버 보안 체계 | 검증 리포트 |
| OWASP | Open Worldwide Application Security Project | - | 웹/LLM 보안 위협 분류 프로젝트 | Ch4, Ch5 |
용어 갱신
이 용어집은 핸드북 개정 시 함께 갱신됩니다. 누락된 용어가 있으면 updates 페이지를 통해 추적합니다.