17회 정보보안기사 실기시험 문제 분석
1. mimikaz 와 같은 툴로 메모리에 저장된 NTLM, LanMan 해시를 탈취하여 원격 서버 인증을 시도하는 공격 기법명을 기술하시오.
(답) pass the hash
- 시중 수험서에 없는 내용으로, 정답을 맞힌 분이 거의 없을 거라 예상됩니다.
- 참고 : https://two2sh.tistory.com/m/16
- https://blog.naver.com/noorol/221243953797
2. DNS의 캐시 정보를 조작하여 가짜 사이트로 접속을 유도하는 공격 기법명을 기술하시오.
(답) DNS 캐시 포이즈닝
- 점수를 주기 위한 문제이므로 반드시 맞춰야 합니다.
3. 사이버 공격의 흐름을 분류하는 기준으로 사이버 킬 체인의 7단계를 확장하여 14단계로 구성된 모델명을 기술하시오.
(답) MITRE ATT&CK
- 록히드 마틴사에서 발표한 사이버 킬 체인은 시중 수험서에도 포함되어 있기 때문에 익히 알고 있겠으나, MITRE ATT&CK을 아시는 분은 거의 없을 거라 예상됩니다.
- 참고 : https://cafe.naver.com/goldbigdragon/91760
- https://www.dailysecu.com/news/articleView.html?idxno=107032
4. 공격자가 미리 확보해 놓은 로그인 자격증명(*ID, 패스워드)을 이용하여 사용자가 이용할만한 다른 사이트에 무작위로 대입하여 비인가 접속을 시도하는 공격기법명을 기술하시오.
(답) 크리덴셜 스터핑(Credential Stuffing)
- 신규로 출제된 문제이나, 미디어에 많이 알려진 공격 기법입니다. 오프라인 과정 진행시 소개해 드린 공격 기법이기도 합니다.
- 참고로, 딕셔너리 공격 기법은 비밀번호로 많이 사용되는 리스트를 만들어 그 안에 있는 패스워드를 모두 입력하는 방식입니다.
- 참고 : https://blog.naver.com/adtkorea77/222287989872
5. 취약점의 여러 가지 요소(코드베이스, 시간성(유효성), 악영향, 환경적 요소)를 고려하여 공격의 난이도와 피해 규모를 평가하고 점수화하는 보안 취약점 평가 기준을 무엇이라 하는가?
(답) CVSS(Common Vulnerability Scoring System)
- CVE, CWE와 더불어 반드시 알고 있어야 하는 용어로, Offline 강의 때 말씀드린바 있습니다. CVSS 점수는 취약점에 대한 패치 우선순위를 정하는 기준이 됩니다. 클라우드 컴퓨팅 보안 설정 관련된 CCE(Common Configuration Enumeration)도 참조하시기 바랍니다.
- 참고 : https://www.boannews.com/media/view.asp?idx=88045&kind=
- http://m.boannews.com/html/detail.html?idx=93640
6. 침해사고 대응 7단계에서 다음 ( )에 들어갈 절차를 기술하시오.
사고 전 준비과정 > 사고 탐지 > ( ) > 대응 전략 체계화 > 사고 조사 > 보고서 작성 > 해결
(답) 초기 대응
- 수험서에도 있는 내용이고, Offline 강의 때 강조해서 설명드린 내용입니다.
7. 정보보호 관련 법령과 관련하여 ( )에 들어갈 용어를 기술하시오.
( A ) : 정보통신서비스 제공자등이 개인정보의 안전한 처리를 위하여 개인정보보호 조직의 구성, 개인정보취급자의 교육, 개인정보 보호조치 등을 규정한 계획
( B ) : 정상적인 보호,인증 절차를 우회하여 정보통신기반시설에 접근할 수 있도록 하는 프로그램이나 기술적 장치 등을 정보통신기반시설에 설치하는 방법으로 정보통신망 또는 이와 관련된 정보시스템을 공격하는 행위
( C ) : 정보통신망의 구축 또는 정보통신서비스의 제공 이전에 계획 또는 설계 등의 과정에서 정보보호를 고려하여 필요한 조치를 하거나 계획을 마련하는 것
(답)
( A ) : 내부관리계획
( B ) : 전자적 침해행위
( C ) : 정보보호사전점검
- 개인정보의 기술적관리적보호조치기준, 정보통신기반보호법, 정보통신망법에 담긴 용어의 정의를 물어보는 문제입니다. 3개를 모두 맞추기는 어려웠으리라 보입니다. 최소 1개(내부관리계획) 이상 맞춰 부분 점수를 1점이라도 획득해야 합니다.
8. 정보보호 관련 법령과 관련하여 ( )에 들어갈 용어를 기술하시오.
( A ): 전기통신설비를 이용하거나 전기통신설비와 컴퓨터 및 컴퓨터의 이용기술을 활용하여 정보를 수집ㆍ가공ㆍ저장ㆍ검색ㆍ송신 또는 수신하는 정보통신체제
( B ): 정보의 수집․저장․검색․송신․수신시 정보의 유출, 위․변조, 훼손 등을 방지하기 위한 하드웨어 및 소프트웨어 일체
( C ): 국가안전보장ㆍ행정ㆍ국방ㆍ치안ㆍ금융ㆍ통신ㆍ운송ㆍ에너지 등의 업무와 관련된 전자적 제어ㆍ관리시스템
(답)
( A ) : 정보통신망
( B ) : 정보보호시스템
( C ) : 정보통신기반시설
- 정보통신기반보호법, 정보통신망법에 담긴 용어의 정의를 물어보는 문제입니다. 3개를 모두 맞추기는 어려웠으리라 보입니다. 최소 2개(정보통신망, 정보통신기반시설) 이상 맞춰 부분 점수 2점을 획득해야 합니다.
9. ISO 27005에 포함된 위험평가(Risk Assessment) 절차와 관련하여 ( ) 에 들어갈 절차명을 기술하시오.
( A ): 잠재적인 손해 발생의 근원을 밝혀내기 위하여, 자산, 위협, 현 통제 현황, 취약점을 식별하는 단계
( B ): 시나리오별 영향 및 발생 가능성을 객관적, 주관적인 방법으로 분석하는 단계
( C ): 사전에 마련된 기준에 따라 분석된 위험 목록의 우선순위를 산정하는 단계
(답)
( A ) : 위험식별(Risk identification)
( B ) : 위험분석(Risk Analysis)
( C ) : 위험수준평가(Risk Evaluation)
- 위험관리는 실기시험 단골 출제 문제입니다. 그러나, 이번에 출제된 ISO 27005의 경우 수험서에 포함된 내용이 아니므로, 3개를 모두 맞춘 분은 드물 것으로 예상됩니다. 최소 1개(위험분석) 이상 맞춰 부분 점수를 1점이라도 획득해야 합니다.
- 참고 : https://blog.naver.com/6yujin6/221455777972
- https://m.blog.naver.com/PostView.naver?isHttpsRedirect=true&blogId=yohsw&logNo=220923759870
10. 개인정보의 안전성 확보조치 기준과 관련하여 다음 ( )에 들어갈 용어를 기술하시오.
제2조(정의) 19."접속기록"이란, 개인정보취급자 등이 개인정보처리시스템에 접속하여 수행한 업무내역에 대하여 개인정보취급자 등의 계정, (A), 접속지 정보, (B), 수행업무 등을 전자적으로 기록한 것을 말한다. 제8조(접속기록의 보관 및 점검)
(2) 개인정보처리자는 개인정보의 오남용, 분실, 도난, 유출, 위조, 변조 또는 훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 월 1회 이상 점검하여야 한다. 특히 개인정보를 다운로드한 것이 발견되었을 경우에는 ( C ) 으로 정하는 바에 따라 그 사유를 반드시 확인하여야 한다.
(답)
( A ) : 접속일시
( B ) : 처리한 정보주체 정보
( C ) : 내부관리계획
- 접속 기록은 출제가 예상된 문제였습니다. 내부관리계획의 경우 15회 실기와 동일하게 출제되었습니다. 최소 2개(접속일시, 내부관리계획) 이상 맞춰 부분 점수 2점 확보가 필요합니다.
- [서술형]
11. 개인정보보호법에 규정된 가명정보와 관련하여 다음 물음에 답하시오.
(1) 가명처리의 정의
(2) 가명처리 4단계 중 3번째 단계의 이름
(3) 가명처리를 할 때 정보주체 동의 없이도 가능한 경우
(4) 가명정보를 사용할 필요가 없을 때 개인정보보호법에 해당되지 않는 ( ) 를 사용해야 함.
(답)
(1) 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것
(2) 적정성 검토 및 추가가명처리
(3-1) 통계작성: 특정 집단이나 대상 등에 관하여 작성한 수량적인 정보를 의미하며 시장조사와 같은 상업적 목적의 통계 처리도 포함
(3-2) 과학적 연구: 기술의 개발과 실증, 기초 연구, 응용 연구뿐만 아니라 새로운 기술·제품·서비스 개발 등 산업적 목적을 위해서도 수행이 가능하며, 민간 투자 연구, 기업 등이 수행하는 연구도 가능
(3-3) 공익적 기록보존: 공공의 이익을 위하여 지속적으로 열람할 가치가 있는 정보를 기록하여 보존하는 것을 의미하며, 공공기관뿐만 아니라 민간기업, 단체 등이 일반적인 공익을 위하여 기록을 보존하는 경우도 공익적 기록보존 목적이 인정됨.
(4) 익명정보
- 익명정보는 시간ㆍ비용ㆍ기술 등을 합리적으로 고려할 때 다른 정보를 사용하여도 더 이상 개인을 알아볼 수 없는 정보입니다. 데이터 3법이 개정된 지 1년이 지났고, MyData 사업이 본격화되면서 관련 법령을 물어보는 문제가 출제가 되었습니다. 정확히 알고 쓰신 분들은 거의 없을 것으로 판단됩니다. 최대한 아는 범위에서 답안을 작성하여 부분 점수 3~4점을 획득하려는 집중력이 중요한 문제입니다.
- 참고 : https://blog.naver.com/n_privacy/222123148339
12. NAC의 물리적 구성 방법 두 가지와 특징을 설명하시오.
(답)
1) 인라인(In-Line) 방식
- 구성 방식 : Traffic이 흘러가는 경로(주로 NW edge 스위치와 Distribution 계층 사이)에 배치
- 특징 : NW의 물리적 재구성이 필요하고, 실시간 탐지 및 차단에 유리함. 장비의 고속 패킷 처리 능력이 중요하고 장애 발생 시 서비스에 영향을 미칠 수 있는 위험(SPOF:Single Point of Failure)이 있음
2) 아웃오브밴드(Out-of-band) 방식
- 구성 방식 : 스위치의 일반 Port 혹은 Mirroing Port를 통해 NAC 솔루션 연결
- 특징 : NW의 물리적 재구성이 필요 없어 구축이 용이함. 장애 발생 및 성능 이슈로 인한 서비스 영향은 없으나, 탐지 및 차단의 실시간성은 떨어짐.
- 교재에는 NAC 솔루션에 대한 물리적 구성 방식은 설명되어 있지 않지만, DB 접근제어 시스템 구성 방식은 설명되어 있습니다. 응용능력이 필요한 문제로 합격을 위하여 부분 점수 7~8점 획득이 필요합니다.
- 참고 : http://www.mlsoft.com/pdf/51-6.pdf
- https://www.boannews.com/media/view.asp?idx=66403
13. 정보보호최고책임자의 역할 및 책임을 4가지 이상 기술하시오.
(답)
1) 정보보호관리체계의 수립 및 관리ㆍ운영
2) 정보보호 취약점 분석ㆍ평가 및 개선
3) 침해사고의 예방 및 대응
4) 사전 정보보호대책 마련 및 보안조치 설계ㆍ구현 등
5) 정보보호 사전 보안성 검토
6) 중요 정보의 암호화 및 보안서버 적합성 검토
7) 그 밖에 정보통신망법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행
- 정보통신망법 제45조의 3(정보보호최고책임자의 지정 등)에 명시되어 있으며, 16회 실기시험 단답형에 나왔던 문제가 서술형으로 그대로 재출제 되었습니다. 8점 이상 획득이 필요하며, 기출문제 학습의 중요성을 다시 한번 일깨워준 문제입니다.
- [실무형]
14. 다음 웹로그와 관련하여 다음 물음에 답하시오.
<웹로그>
192.168.0.10 - - [30/May/2021:10:10:10 +0900] "GET /script/..%c1%1c../winnt/system32/cmd.exe?/c+dir+c:\ HTTP/1.1" 404 180
1) 어떤 취약점을 이용한 공격인가?
2) 공격 성공 유무 및 판단 근거는?
3) 대응 방안 2가지는?
(답)
1) 유니코드 취약점을 이용한 원격코드실행 공격
2) 실패하였음. http response 값으로 404(Page not found)에러가 발생하였기 때문임.
3-1) 웹서버 패치 적용
3-2) IIS서버를 OS가 설치된 드라이브(C:)와 다른 곳(D: or E:)에 설치
3-3) 입력값 필터링
3-4) 화이트리스트 명령어 설정
3-5) IPS 탐지/차단 룰 설정
- 유니코드 취약점을 이용한 원격명령실행 공격입니다. 웹 취약점 관련하여 운영체제 명령 실행은 교재에도 포함되어 있으므로, 1번 문항을 정확히 맞추진 못하더라도 2번, 3번 문항에서 부분 점수 획득(7~8점)은 가능해야 합니다.
15. 다음 Snort 룰에 대하여 각 정책의 의미를 설명하시오.
<Snort Rule>
Alert any anry -> any 80 (msg:"GET Flooding";content:"GET /HTTP1.";content:"USER";content:!"anonymous";content:"|00|";depth:1;nocase;sid:1;)
1) msg: "GET Flooding" 의 의미는?
2) content: "GET /HTTP1." 의 의미는?
3) content:"USER";content:!"anonymous" 의 의미는?
4) content:"|00|";depth:1 의 의미는?
(답)
1) 설정된 2)~4)의 탐지 정책에 모두 일치하는 경우 로그에 "Get Flooding" 으로 기록
2) HTTP request에 "GET /HTTP1." 문자열이 포함되어 있는지 검사
3) 2)번이 끝난 위치에서 "USER" 문자열이 포함되어 있고, 그 뒤에 바로 "anonymous"가 포함되지 않은 문자열 검사
4) 3)번이 끝난 위치에서 1바이트를 확인하여 바이너리 값 00이 포함되어 있는지 검사
- 점수를 주기 위한 문제입니다. 특히, 탐지 정책에 !와 같은 부정 구문이 있는 경우 Not을 의미하므로, 유의해야 합니다. 14점 만점 획득이 필요합니다.
16. Apache 웹서버 설정 관련하여 다음 물음에 답하시오.
<Apache 설정>
<Directory />
Options FollowSymLinks
AllowOverride none
Require all granted
</Directory>
<Directory /var/www>
Options indexes FollowSymLinks
AllowOverride none
Require all granted
</Directory>
1) 위와 같이 설정했을 때 발생 가능한 두 가지 문제점은?
2) 두 가지 문제점에 대한 대응 방안은?
(답)
1-1) 디렉터리 인덱싱: 모든 디렉터리 및 파일에 대한 인덱싱이 가능하여 주요 웹서버의 주요 정보가 노출됨
1-2) 심볼릭 링크를 통한 디렉터리 접근: 웹에서 허용하는 디렉터리 외에 심볼릭 링크가 걸린 다른 디렉터리에 접근 가능함.
1-3) 상위 디렉터리 접근: ..와 같은 문자를 사용하여 상위 디렉터리로 이동함으로써 중요 파일 및 데이터에 접근 가능함
2-1) indexes 제거 또는 -indexes
2-2) FollowSymlinks 제거 또는 -FollowSymLinks
2-3) AllowOverride authconfig or AllowOverride all
- 교재 및 주요정보통신기반시설 기술적 취약점 분석평가방법 상세 가이드에 포함된 내용입니다. 10점 이상 획득이 필요합니다.
18회 정보보안기사 실기시험 문제 분석
1. EAP를 통해 인증을 수행하고 AES-CCMP 기반 암호화를 지원하는 무선랜 보안 표준은?
(답) WPA2
- 최근 기출문제에서도 지속적으로 출제된 문제입니다. 점수를 주기 위한 문제이므로 반드시 맞춰야 합니다.
2. 바이러스 토탈(Virustotal)에서 제작하였고, 악성코드의 특성과 행위에 포함된 패턴을 이용하여 악성코드를 분류하는 툴의 이름은?
(답) YARA
- 보안관제 실무를 수행하는 분들에게는 익숙한 용어이겠으나, 그렇지 않은 대다수 분들은 맞추기 어려운 문제였습니다.
3. SW 개발 보안과 관련하여 ( )에 들어갈 취약점명(공격기법)을 기술하시오.
( A ) : DB와 연결되어 있는 애플리케이션의 입력값을 조작하여 의도하지 않은 결과를 반환하도록 하는 공격 기법
( B ) : 게시판, 웹, 메일 등에 삽입된 악의적인 스크립트에 의해 쿠키 및 기타 개인정보를 특정 사이트로 전송시키는 공격 기법
( C ) : 적절한 검증 절차를 수행하지 않은 사용자 입력값이 운영체제 명령어의 일부로 전달되어 의도하지 않은 시스템 명령어가 실행되도록 하는 공격 기법
(답) SQL Injection, XSS, 운영체제 명령어 삽입
- 기출문제와 교재에 다수 등장했던 공격 기법입니다. 점수를 주기 위한 문제이므로 반드시 맞춰야 합니다.
4. 마이크로소프트 오피스와 애플리케이션 사이 데이터를 전달하는 프로토콜로 엑셀에서 이 기능이 활성화될 시 악용될 수 있다. 해당 프로토콜의 이름을 기술하시오.
(답) DDE(Dynamic Data Exchange)
- 기출문제와 동일하게 출제되었습니다. 점수를 주기 위한 문제이므로 반드시 맞춰야 합니다.
5. 위험관리와 관련하여 ( )에 들어갈 용어를 기술하시오.
( A ) : ( B )로 부터 보호해야 할 대상
( B ) : ( A ) 에 손실을 발생시키는 원인이나 행위
( C ) : ( B ) 에 의하여 손실이 발생하게 되는 ( A )에 내재된 약점
(답) 자산, 위협, 취약점
- 위험 관리의 3요소는 기출문제와 교재에서 많이 다루어진 내용입니다. 반드시 맞춰야 하는 문제입니다.
6. 정보의 무결성, 서비스의 연속성, 정보자산의 보호를 위한 것으로 기업 거버넌스의 부분집합으로서 전략적 방향을 제시하며 목적 달성, 적절한 위험관리, 조직 자산의 책임 있는 사용, 기업 보안 프로그램의 성공과 실패가 모니터링됨을 보장하는 것을 무엇이라고 하나?
(답) 정보보안 거버넌스
- 문제가 명확하지 않아 정보보안 거버넌스를 답으로 가정하고 문제를 복원했습니다. 정보보호관리체계는 정보자산의 무결성, 기밀성, 가용성을 보장하기 위한 절차와 과정을 체계적으로 수립, 문서화하고 지속적으로 관리 운영하는 체계입니다. 정보보안거버넌스는 정보보호관리체계 활동의 효과성을 보장하기 위하여 평가, 지시, 모니터링하는 상위 레벨에서의 프로세스 및 실행 체계입니다.
7. DDoS, APT 등 공격 수행 시 C&C 서버와 접속하기 위한 도메인명을 지속적으로 변경하여 보안장비의 탐지를 우회하기 위한 기법을 무엇이라고 하는가?
(답) DGA(Domain Generation Algorithm)
- 정답을 맞힌 분이 거의 없을 것으로 보이는 생소한 문제입니다.
- - DGA는 공격 대상 시스템에 설치된 악성코드가 C&C와 통신하는 과정에서 특정한 규칙에 따라 도메인명을 임의로 생성하는 알고리즘입니다. C&C 서버로 접속하는 도메인명을 지속적으로 변경하기 때문에 보안장비의 Domain Reputation 기반 탐지 및 차단을 우회할 수 있습니다.
- - Domain Shadowing의 경우 적법한 절차로 도메인을 소유하고 있는 도메인 관리자의 개인 정보를 탈취하여, 도메인 소유자 몰래, 많은 서브도메인을 등록시켜 놓고 사용하는 기법입니다. 문제에서 도메인명을 임시로 부여한다고 했다면 Domain Shadowing이 아닌 DGA가 정답에 가까운 것으로 판단됩니다.
- 참고 : https://p3ngdump.tistory.com/77
- https://hakawati.co.kr/340
8. 위험분석절차 중 다음 ( )안에 들어갈 절차명을 기술하시오.
1) ( A )
2) ( B )
3) 기존 보안대책 평가
4) 취약성 평가
5) 위험평가
(답)
( A ) : 자산식별
( B ) : 자산 가치 및 의존도 평가
- 교재에 있는 내용이나, 정확하게 절차명을 기술하기는 어려웠으리라 판단됩니다. 최소한 부분점수 1점(자산식별) 획득이 필요합니다.
9. HTTP 관련 공격 중 헤더의 CRLF(개행문자) 필드 부분을 조작함으로써 웹서버로 조작된 HTTP 헤더를 지속적으로 보내 서비스의 가용성을 떨어뜨리는 공격은?
(답) Slow HTTP Header DoS 공격(Slowloris)
- 교재와 기출문제로 많이 다루어진 문제로 반드시 맞춰야 합니다.
10. 모바일 앱의 특정화면으로 바로 이동할 수 있도록 지원하는 기능으로 공격자에 의하여 악용되는 경우 앱내 민감한 개인정보(카드정보, 주소 등)가 노출될 수 있는 취약점이 있다. 이 기능의 이름은 무엇인가?
(답) 모바일 딥링크
- 정답을 맞춘 분이 거의 없을 것으로 보이는 생소한 문제입니다.
- [서술형]
11. SQL Injection을 예방하기 위한 prepared statement 에 대하여 다음 물음에 답하시오.
(1) prepared statement 의 개념
(2) prepared statement가 SQL injection 공격을 막을 수 있는 이유
(답)
(1) 최초에 한번 쿼리를 분석해 최적화 수행 후 메모리에 저장해 두고, 다음 요청 부터는 저장된 결과를 재사용하여 쿼리를 수행하는 방식이다. 성능 측면의 효율이 높고, SQL 인젝션 방지가 가능하다. 참고로 일반 statement 방식은 실행시마다 쿼리를 분석해 최적화 수행후 실행하는 방식이라 효율이 낮고 SQL Injection 공격에 취약함.
(2) 사용자가 입력한 값이 SQL 명령의 일부가 아닌 매개 변수로 처리되기 때문에 SQL 인젝션 공격을 막을 수 있음.
예) statement 방식
String query = "INSERT into student VALUES('" + user + "')";
Statement stmt = conn.createStatement();
stmt.executeQuery(query);
user에 Robert');DROP table students;-- 값을 입력면 다음과 같이 SQL명령문의 일부로 처리되어 students 테이블이 drop되게 됨.
INSERT into student VALUES('Robert');DROP table students;--')
예) preparedstatement 방식
PreparedStatement stmt = conn.prepareStatement("INSERT into student VALUES(?)");
stmt.setString(1,user);
stmt.execute();
user에 Robert');DROP table students;-- 값을 입력하더라도 해당 값이 그대로 매개변수로 user 컬럼에 입력이 됨.
- Prepared Statement 문에 대한 이해가 없으면, 답변하기 까다로운 문제 입니다. 교재에 있는 예문을 최대한 끄집어 내어, statement 방식과 비교를 통해 설명을 한다면 좀 더 효과적인 답변이 될 수 있습니다. 부분점수 7점 이상 획득이 필요합니다.
12. DRDoS에 대하여 다음을 설명하시오.
1) DRDoS의 공격 원리
2) 기존 DoS와의 차이점
3) Unicast RPF
(답)
1) 공격자는 소스 IP를 공격대상의 IP로 위조하여 다수의 반사서버로 요청을 보내고, 공격대상 서버는 반사서버로 부터 다수의 응답을 받아 서비스 거부 상태에 빠짐
2) a) 출발지 IP가 위조되고, 반사서버를 통해 공격이 수행되므로 공격의 출처를 파악하기 어려움.
b) 다수의 좀비 PC를 동원하지 않더라도 대량의 공격 패킷을 만들어 낼수 있어 효율이 높음
3) 인터페이스를 통해 들어오는 패킷의 ip에 대하여 라우팅 테이블을 확인하여 들어온 인터페이스로 나갈 수 있는 Reverse path가 존재하면 통과시키고, 존재하지 않으면 IP가 위조된 것으로 판단하고 차단 시킴
- DRDoS, Unicast RPF는 교재에 있는 토픽이므로 10점 이상 획득이 필요 합니다.
13. 패킷 필터링 방화벽과 관련하여 다음 물음에 답하시오.
1) 존재하지 않는 외부 IP를 이용한 Spoofing 공격에 대응하기 위한 패킷필터링 방화벽 기술의 이름과 원리
2) 공격자가 패킷을 소형 단편화하여 tiny fragment 공격을 수행하는 이유
3) Tiny fragment 공격 대응 방법
4) stateful 패킷필터링과 일반 패킷 필터링 방화벽의 차이점
(답)
1) Ingress 필터링 : 인터넷 상에서 사용되지 않는 IP 대역은 들어오지 못하게 차단함.
2) 쪼개진 패킷을 재조합하는 기능을 제공하지 않는 방화벽의 경우 이렇게 다수로 쪼개진 패킷을 탐지하거나 차단할 수 없는 약점이 있기 때문임.
3-1) 단편화된 패킷을 재조합하는 기능이 있는 방화벽을 사용
3-2) Port 번호가 포함되어 있지 않을 정도로 분할된 패킷은 필터링 장비(IDS, IPS)에서 탐지 or 차단.
4-1) 일반 패킷 필터링 방화벽은 지나가는 패킷 헤더안의 IP주소와 Port 주소만을 단순검색하여 통제함. Tiny fragment 와 같은 공격에 취약하나 처리 속도는 빠름.
4-2) Stateful 패킷 필터링 방화벽은 동일한 출발지 IP주소, 출발지 포트 번호, 목적지 IP주소, 목적지 포트 번호 상태 등을 갖는 패킷들의 상태를 저장하고 그룹으로 필터링 함으로써 일반 패킷 필터링 방식보다 신뢰성 높고 정교하게 공격을 막을 수 있음. 예를 들어 SYN 요청을 통해 Establish가 되지 않은 상태에서 Establish된 것처럼 조작된 패킷은 차단 가능함.
- Stateful Inspection 기반 방화벽은 교재에 포함된 토픽 입니다. 물어본 4개의 문항을 정확히 맞추기는 어렵겠으나, stateful에 대하여 이해하고 있는 내용을 기반으로 최대한 성의있고 치열하게 답안을 작성하는 것이 중요합니다. 부분 점수 3~5점 획득이 필요합니다.
- [실무형]
14. 다음은 email 관련 로그이다. 이에 대하여 다음 물음에 답하시오.
<Email로그>
1 Delivered-To: hbiden@rosemontseneca.com
2 Received: by 10.36.47.149 with SMTP id j143csp13601itj;
3 Fri, 17 Apr 2015 06:00:53 -0700 (PDT)
4 X-Received: by 10.55.27.42 with SMTP id b42mr5166039qkb.53.1429275653296;
5 Fri, 17 Apr 2015 06:00:53 -0700 (PDT)
6 Return-Path: <v.pozharskyi.ukraine@gmail.com>
7 Received: from mail-qc0-x232.google.com (mail-qc0-x232.google.com. [2607:f8b0:400d:c01::232])
8 by mx.google.com with ESMTPS id u123si11512941qhd.83.2015.04.17.06.00.52
9 for <hbiden@rosemontseneca.com>
10 (version=TLSv1.2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
11 Fri, 17 Apr 2015 06:00:53 -0700 (PDT)
12 Received-SPF: pass (google.com: domain of v.pozharskyi.ukraine@gmail.com designates 2607:f8b0:400d:c01::232 as permitted sender) client-ip=2607:f8b0:400d:c01::232;
13 Authentication-Results: mx.google.com;
14 spf=pass (google.com: domain of v.pozharskyi.ukraine@gmail.com designates 2607:f8b0:400d:c01::232 as permitted sender) smtp.mail=v.pozharskyi.ukraine@gmail.com;
15 dkim=pass header.i=@gmail.com;
1) 10번째 줄에서 RSA의 용도는?
2) 이메일 로그에서 확인할 수 있는 스팸메일 대응 기법명과 동작원리를 설명하시오.
(답)
1) 인증서(서버 공개키) 검증을 위하여 사용됨. 즉, TLS 로 암호화통신을 하기 위하여 ECDHE로 키교환을 하는 과정에서 생성되는 변수를 송신자의 개인키로 서명하고 공개키로 검증하도록 함으로서 송신자의 정당성을 인증하기 위함. 이를 통하여 키교환 과정에서의 중간자 공격을 막을 수 있음.
참고로 cipher에서 ECDHE는 키교환, RSA는 인증, AES128로 암호화, GCM(Galois/Counter Mode)으로 블록암호화 운용방식 선택, SHA256으로 메시지 인증(무결성 검증)을 의미함.
2-1) SPF : 이메일 발송도메인의 DNS에 txt레코드로 등록된 IP주소와 실제 메일의 송신 IP를 비교하여 메일 도메인의 정당성을 검증.
2-2) DKIM : 이메일 서버의 개인키로 이메일 헤더를 전자서명하고, 메일 도메인서버의 txt레코드로 등록된 공개키로 검증하도록 함으로써, 메일 헤더가 변조되지 않았고 실제 해당 도메인에서 발송된 것을 확인 가능
- 실제 문제에서 제시된 로그에서 spf, dkim이 모두 나왔다고 가정하고 답안을 작성했습니다. SPF, DKIM은 기출문제이기 때문에 정확하게 이해하고 있어야 합니다. 그리고, RSA를 많은 분들이 암호화라고 하신 것 같은데, 인증이 맞습니다. 부분점수 7점 이상 획득이 필요한 문제입니다.
15. 리눅스의 보안 설정과 관련하여 다음 물음에 답하시오.
1) 계정임계값을 설정하는 파일명( A )과 ( B ) 에 들어갈 설정값을 기술하시오.
auth required /lib/security/pam_tally.so ( B ) =5 unlock_time=120 no_magic root reset
2) IPTable에 신규 정책을 등록하려고 한다. 패킷을 차단하기 위해 ( C )에 들어갈 옵션은 무엇인가?
#iptables -A INPUT -p tcp -s 172.30.1.55 --dport 21 -j ( C )
3) /etc/shadow 파일의 소유자를 root로 변경하고(D), 소유자에게만 읽기 권한을 부여(E)하기 위한 명령어를 기술하시오.
4) 다음 아파치 설정에서 Limitrequestbody 5000000 의 의미(F)를 설명하시오.
<Directory "var/www/html/uploads">
Limitrequestbody 5000000
</Directory>
(답)
(1-A) /etc/pam.d/system-auth or /etc/pam.d/common-auth
(1-B) deny
(2-C) DROP
(3-D) chown root /etc/shadow
(3-E) chmod 400 /etc/shadow
(4-F) 아파치 웹서버에 업로드 가능한 파일의 크기를 5,000,000 바이트(약 5M바이트)로 제한함으로써 악의적인 웹 쉘 업로드를 방지하기 위한 설정임.
- 리눅스 OS 보안과 관련하여 기출문제로 자주 출제되었던 항목이 통합되어 출제 되었습니다. 10점 이상 획득이 필요합니다.
16. 특정 공격과 관련된 로그를 보고 다음 물음에 답하시오.
<로그>
DNS standard query 0x2872 ANY cpsc.gov United states Korea, Republic of
DNS standard query 0x2872 ANY cpsc.gov United states Korea, Republic of
DNS standard query 0x2872 ANY cpsc.gov United states Korea, Republic of
DNS standard query 0x2872 ANY cpsc.gov United states Korea, Republic of
1) 어떤 공격이 수행된 것인가?
2) 해당 공격이 수행된 것으로 판단한 이유는?
3) 해당 공격의 원리는?
4) 공격자들이 이 기법을 사용하는 이유 두 가지는?
(답)
1) DNS 증폭 DRDoS 공격(DNS amplifcation DRDoS attack)
2) DNS query 수행시 ANY 타입으로 질의를 다수 수행하였음.
3) 출발지 IP를 공격 대상 서버의 IP로 위조 후 DNS 쿼리 타입을 ANY로 지정하여 request를 대량으로 수행하면, 다양한 TYPE의 레코드들이 모두 Response 되므로 응답이 증폭되어 공격 대상 서버에 부하를 주게됨
4-1) 출발지 IP가 위조되고, 반사 서버를 통해 공격이 수행되므로 공격의 출처를 파악하기 어려움. 특히 UDP는 별도의 인증 절차가 없으므로 공격 수행이 용이함
4-2) 다수의 좀비 PC를 동원하지 않더라도 대량의 공격 패킷을 만들어 낼 수 있어 효율이 높음. 특히 쿼리 타입을 any나 txt로 하면 reponse 사이즈가 증폭되어 작은 사이즈의 DNS 질의에 대해 큰 사이즈의 DNS 응답 메시지 발생되어 증폭 효과가 큼. 90바이트 질의, 3370바이트 응답(37.4배 증폭 효과)
- DNS 증폭 공격은 교재에 있는 내용이나, 정확하게 이해하고 답안을 작성하기는 어려웠을 것으로 판단됩니다. 부분 점수 7점 이상 획득이 필요합니다.
19회 정보보안기사 실기시험 문제 분석
1. 위험관리와 관련하여 ( )에 들어갈 용어를 기술하시오.
( A ) : ( B )로 부터 보호해야 할 대상
( B ) : ( A ) 에 손실을 발생시키는 원인이나 행위
( C ) : ( B ) 에 의하여 손실이 발생하게 되는 ( A )에 내재된 약점
(답) 자산, 위협, 취약점
- 위험 관리의 3요소는 기출문제와 교재에서 많이 다루어진 내용이고, 제가 오프라인 강의에서 매번 강조하는 토픽입니다. 직전 회차에도 출제된 바 있어, 반드시 맞춰야 합니다.
2. 네트워크 진입 시 단말과 사용자를 인증하고, 단말에 대한 지속적인 보안 취약점 점검과 통제를 통해 내부 시스템을 보호하는 솔루션을 무엇이라고 하나?
(답) NAC(Network Access Control)
- 교재와 기출문제에서 자주 다루어진 토픽이라, 반드시 맞춰야 합니다.
3. 여러 개의 프로세스가 공유자원에 동시에 접근할 때 접근하는 순서에 따라 비정상적인 결과가 발생하는 상황을 악용하는 공격기법을 무엇이라고 하나?
(답) Race Condition 공격
- 교재에서 기본적으로 다루어지는 공격 기법입니다. 점수를 주기 위한 문제이므로 반드시 맞춰야 합니다.
4. Victim의 MAC 주소를 위조하여 해당 IP로 전달되는 데이터를 중간에서 가로채기 하는 공격 기법을 무엇이라고 하나?
(답) ARP 스푸핑
- 13회 기출문제와 동일하게 출제되었습니다. 점수를 주기 위한 문제이므로 반드시 맞춰야 합니다. ARP 리다이렉션(Gateway의 MAC주소로 위조)과 ARP 스푸핑(Victim의 MAC 주소로 위조)의 차이점을 헷갈리면 안 됩니다.
5. IDS와 관련하여 ( )에 들어갈 용어를 기술하시오.
IDS는 네트워크의 패킷만 보고 공격을 탐지하는 ( A ) IDS와 서버에 직접 설치되어 관리자 권한 탈취 등으로 인해 발생되는 공격을 탐지하는 ( B ) IDS로 구분된다.
(답) 네트워크, 호스트
- IDS의 유형은 교재와 기출문제에서 자주 다루어진 토픽이라 반드시 맞춰야 합니다.
6. BCP(업무연속성 계획) 수립 시 장애나 재해 발생으로 업무 프로세스가 중단되는 경우 예상되는 재무적 손실, 외부 규제 요건 등을 고려하여 업무 중요도를 평가하고 이에 따른 RTO(목표 복구 시간), RPO(목표 복구 지점)를 결정하는 절차를 무엇이라고 하나?
(답) BIA(Business Impact Analysis, 업무영향도 분석)
- 문제가 명확하지 않아 BIA를 답으로 가정하고 문제를 복원했습니다. BIA는 BCP의 핵심 절차이며, 업무의 중요도와 이에 따른 목표 복구 기준(RTO, RPO)이 결정되게 됩니다.
7. Apache 로그와 관련하여 ( ) 에 들어갈 용어를 기술하시오.
Apache 서버의 로그파일은 정상적인 접속 로그가 기록되는 ( A ) 로그, 접속 에러가 기록되는 ( B ) 로그가 존재한다. 로그 파일의 경로를 확인할 수 있는 파일은 ( C ) 이다.
(답) Access, Error, httpd.conf
- 교재에서 다루어지는 토픽이므로 반드시 맞춰야 합니다. (C) 의 경우 문제에서 로그가 생성되는 경로가 아니라, 로그 파일의 경로 정보를 확인할 수 있는 파일을 물어봤다면 httpd.conf가 맞습니다. 문제에 대한 집중력을 잃지 않는 것은 아무리 반복해서 강조해도 지나치지 않습니다.
8. 필 짐머만에 의해 개발되었으며 PEM에 비해 보안성은 떨어지나, 이것을 실장한 프로그램이 공개되어 있어서 현재 가장 많이 사용되고 있는 이메일 보안 기술을 무엇이라 하나?
(답) PGP(Pretty Good Privacy)
- 교재에 있는 기본 토픽이므로 반드시 맞춰야 합니다.
9. ( ) 에 들어갈 용어를 기술하시오.
위험 평가 수행 시 자산을 식별하고, 식별된 자산의 가치를 평가하는 기준으로 CIA(기밀성, 무결성, 가용성) 측면을 고려하여 자산의 ( ) 를 산정한다.
(답) 중요도
- 문제가 명확하지 않아, 중요도가 정답인 것으로 가정하고 문제를 복원했습니다. 위험 평가 수행 시 자산의 중요도 산정은 아주 기본적이면서도 중요한 절차입니다. 자산의 중요도(등급)는 보안 통제의 우선순위를 정하는 Baseline이 되기 때문입니다.
10. 공격 대상이 이미 시스템에 접속되어 세션이 연결되어 있는 상태를 가로채는 공격 기법을 무엇이라고 하나?
(답) 세션 하이재킹
- 교재와 기출문제에서 자주 다루어진 공격 기법이므로, 반드시 맞춰야 합니다. 문제에서 TCP 연결 설정 과정이라는 문구가 나왔다면 TCP 세션
- 하이재킹, 웹 세션이라는 문구가 나왔다면 웹 세션 하이재킹이라고 쓰시면 됩니다..
- [서술형]
11. 특수비트와 관련하여 다음 각 항목에 설정된 접근권한의 의미를 설명하시오.
1) -r-sr-xr-x root sys /etc/chk/passwd
2) -r-xr-sr-x root mail /etc/chk/mail
3) drwxrwxrwt sys sys /tmp
(답)
(1)/etc/chk/passwd 파일은 Owner의 실행권한이 s이므로 setuid 설정이 되어 있다. 따라서, 일반 사용자 계정으로 해당 파일을 실행하더라도 소유자인 root의 권한으로 실행된다.
(2) /etc/chk/mail 파일은 Group의 실행권한이 s 이므로, setgid 설정이 되어 있다. 따라서, 일반 사용자 계정으로 해당 파일을 실행하더라도 mail 그룹의 권한으로 실행된다.
(3) /tmp 디렉토리에는 모든 사용자가 읽기,쓰기, 실행이 가능하도록 777로 권한 설정이 되어 있으며, 추가적으로 Others의 실행 권한이 t이므로 sticky bit가 설정되어 있다. 따라서 /tmp 디렉토리에는 누구나 파일을 생성, 수정 및 읽기가 가능하나, 파일의 소유자 및 root 계정 외에는 삭제가 불가하다.
- 특수비트에 대하여 최대한 성의 있고 자세하게 설명을 해야 합니다. 교재에 있는 내용이며, 기출문제로도 자주 다루어졌기 때문에 12점 이상 획득해야 합니다.
12. 공공기관에서 개인정보처리 방침 수립 시 포함해야 할 사항을 4가지 이상 기술하고, 수립된 개인정보처리방침을 알리는 방법을 3가지 이상 기술하시오.
(답)
개인정보처리 방침 수립시 포함해야할 사항 4가지 이상
1 - 개인정보의 처리목적
2 - 개인정보의 처리 및 보유기간
3 - 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만)
3의2. 개인정보의 파기절차 및 파기 방법
4 - 개인정보처리의 위탁에 관한 사항(해당되는 경우에만)
5 - 정보주체 및 법정 대리인의 권리, 의무 행사방법에 관한 사항
6 - 개인정보보호책임자의 성명 또는 개인정보보호 업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처
7 - 인터넷 접속파일 등 개인정보를 자동으로 수집하는 장치의 설치 운영 및 그 거부에 관한사항(해당되는 경우에만)
8 - 그 밖에 개인정보의 처리에 대하여 대통령령으로 정한 사항
1) 처리하는 개인정보의 항목
2) 개인정보보호법 시행령 제30조 또는 제48조의 2에 따른 개인정보의 안전성 확보 조치에 대한 사항
알리는방법 3가지 이상
1 - 개인정보처리자의 인터넷 홈페이지
2 - 개인정보처리자의 사업장등의 보기 쉬운 장소에 게시하는 방법
3 - 관보(개인정보처리자가 공공기관인 경우만 해당한다)나 개인정보처리자의 사업장등이 있는 시ㆍ도 이상의 지역을 주된 보급지역으로 하는 「신문 등의 진흥에 관한 법률」 제2조제1호가목ㆍ다목 및 같은 조 제2호에 따른 일반일간신문, 일반주간신문 또는 인터넷신문에 싣는 방법
4 - 같은 제목으로 연 2회 이상 발행하여 정보주체에게 배포하는 간행물ㆍ소식지ㆍ홍보지 또는 청구서 등에 지속적으로 싣는 방법
5 - 재화나 용역을 제공하기 위하여 개인정보처리자와 정보주체가 작성한 계약서 등에 실어 정보주체에게 발급하는 방법
- 개인정보보호법의 조항을 물어보는 문제로 정확하게 기술하기는 어려웠으리라 판단됩니다. 7점 정도의 부분점수를 획득할 수 있다면 선방한 것이라고 생각됩니다.
13. 아래의 로그와 관련하여 물음에 답하시오.
device eth0 entered Promiscuous mode
1) Promiscuous mode의 의미는?
2) 해당 모드로 진입 시 수행 가능한 공격은?
3) 공격에 대응할 수 있는 방법을 1가지 이상 설명하시오?
(답)
1) 네트워크 카드의 eth0 인터페이스로 들어오는 모든 패킷을 수신하게 됨(수신자가 eth0로 설정된 패킷이 아니더라도 Drop하지 않고 모두 읽게 됨)
2) 패킷 스니핑 공격
3-1) 통신 시 SSH, HTTPS 같은 암호화 통신 수행
3-2) ifconfig [인터페이스 명] -promisc 설정으로 무차별 모드 해제 (악의적인 목적을 가진 단말 소유자가 자신의 NIC을 무차별 모드로 설정했다면 유효한 대응 방법이 아님. )
3-3) 허브가 아닌 지능형 스위치 운용을 통하여 불필요한 브로드캐스팅 최소화
- 단순하게 무차별 모드를 해제하는 것만으로는 완벽한 대응방법이라고 볼 수 없습니다. 능동적 대응 방법인 암호화, 지능형 스위치 운용도 함께 고려되어야 합니다.
- [실무형]
14. 정보 자산의 구성도와 자산목록을 보고, 1) 자산 식별의 문제점 1개와 2) 보안 취약 문제점 1개를 설명하시오.
<구성도>
-인터넷과 내부망 사이에 방화벽을 통하여 DMZ zone을 구성하고 web서버, mail서버가 배치되어 있음
-web 서버 앞단에는 추가적으로 웹방화벽이 배치되어 있음.
-내부망 내에서도 방화벽을 통하여 업무망, VDI망, 서버망으로 Farm이 분리되어 있음
-서버망 내에 dns서버, db서버, was 서버, 개발 서버가 위치하고 있음
<자산목록>
- db서버 : OS(AIX 6.4), 호스트명(krserver1), 관리책임자(홍과장)
- was 서버 : OS(AIX 8.0), 호스트명(krserver1), 관리책임자(김부장)
- dns 서버 : OS(AIX 6.4), 호스트명(dns_srv), 관리책임자(홍대리)
- web 서버 : OS(Widnow 2003), 호스트명(web1), 관리책임자(김부장)
- mail 서버 : OS(Centos 7), 호스트명(krmail01), 관리책임자(김사원)
(답)
1) 자산식별 문제점 : 개발 서버가 자산 목록에서 누락되어 있음
- 자산 식별이 안된 호스트는 자산 중요도 산정, 위험 평가를 통한 보안 통제 적용의 사각지대에 놓이게 되므로 보안 위협에 쉽게 노출될 가능성이 높음.
2) 보안 취약 문제점 : db서버, dns서버, web서버가 EOS된 버전의 OS를 사용하고 있음.
- 취약점에 대한 패치가 불가하고, 이슈 발생 시 기술 지원이 불가하므로 업무 연속성에 문제가 발생할 가능성이 높음.
<참고: 기타 추가 문제점>
기타 #1) 개발서버와 운영서버가 동일한 서버망내에 위치함
- 관련 취약점 : 1) 개발서버에 존재하는 취약점(악성코드)이 운영서버로 쉽게 전파 가능, 2) 호스트내에서 tcp wrapper와 같은 ACL 통제 미적용 시, 개발서버와 운영서버간 jump host 를 통해 코드 무단 배포, 정보 유출 위험이 높아짐
기타 #2) DB서버와 WAS서버의 호스트명이 동일함
- 로그 모니터링 및 취약점 스캔 결과 확인 시 정확히 어떤 호스트에서 발생한 이벤트/취약점인지 식별하기 어려우므로 신속한 대응 및 조치가 불가함
- 문제 지문에 자산 식별의 문제점을 명시적으로 쓰라고 하지 않았다면 모르겠으나, 자산 식별의 문제점이 소문항 1이었고, 보안 취약점이 소문항 2였으면 답안도 동일한 순서로 기재되어야 합니다.
- 보안 취약문제점 관련하여 관리책임자가 성과 직급만 기술되어 있어 명확한 책임 소재 확인이 어려운 부분, IPS가 웹서버 앞 단에 배치되어 있지 않아 웹 공격에 취약한 부분도 언급해 주신 분들이 있었습니다. 사실 관계가 맞는다면 충분히 답안으로서 인정될 수 있는 부분이라고 생각됩니다.
- 이번 시험에서 문제에 오타가 있었는데, 고사장마다 다르게 알려주어 혼선을 빚었던 것으로 알고 있습니다. 따라서, 답안 채점 시 이러한 사항을 고려하여 점수를 부여할 것으로 예상됩니다.
15. 파일 업로드 취약점 대응을 위한 .htaccess 파일 설정의 의미에 대하여 답하시오.
1) <FilesMatch \.(ph|lib|sh|)
Order Allow DENY
Deny From ALL
</FilesMatch>
2) AddType text/html .php .php1.php2.php3 .php4 .phtml
(답)
1) FilesMatch 지시자를 이용, .ph, .lib, .sh 등의 Server Side Script 파일에 대해서 직접 URL 호출 금지 (업로드된 스크립트(웹쉘)의 실행을 방지하기 위한 목적임)
2) AddType 지시자를 이용 Server Side Script 확장자를 실행불가한 text/html MIME Type으로 재조정하여 업로드된 스크립트 실행 방지
- 13회 실기와 동일하게 출제된 것으로 보이는데, 최대한 상세하게 답하는 것이 중요합니다. (1)의 경우 설정된 3개 확장자를 가진 파일은 직접 URL 호출을 금지한다는 말이 들어가야 합니다. (2) 는 해당 확장자의 MIME type을 실행 불가한 text/html로 변경한다는 말이 들어가야 합니다.
16. 다음 위험평가서 양식과 관련하여 물음에 답하시오.
<위험 평가서 양식>
자산명 | 자산 중요도(C, I, A) | 우려사항 | 가능성 | 위험도(C,I,A)
1)ERP데이터 | H, H, M | DB의 접근 통제 위반이나 위반 시도를 적시에 발견하여 처리할 수 없다| H | H, H, M
2)워드문서 | L, L, L | 적절한 보안 규정이 부족하여 자산이 제대로 보호되지 않을 수 있음 | M | L, L, L
1) 자산 중요도 평가의 목적은?
2) 해당 표내 우려사항이란 무엇인가?
3) 해당 표내 가능성이란 무엇인가?
4) 아래의 자산 평가 테이블을 보고, 응시자 입장에서 나름대로 위험분석기법을 적용하여 위험분석을 수행하시오.
자산명 | 설명 | 소유자 | 자산 중요도(C,I,A)
1)ERP데이터 | ERP에서 사용하는 DB데이터 | 관리팀장 | H,H,M
2)ERP서버 | ERP 프로그램이 탑재된 시스템 | 관리팀장 | H,H,M
3)워드문서 | 문서작성을 위한 임시문서 | 관리팀자/생산부장 | L, L, L
(답)
1) CIA 측면에서 자산의 가치를 평가하여 중요도를 산정함으로써 정보보호의 우선순위를 결정할 수 있는 기준을 마련하기 위함
2) 자산에 발생할 수 있는 위협과 취약성을 하나의 통합된 고려요소로 평가하도록 하고 이를 ‘우려사항’이라는 용어로 표현함
3) 기존에 설치된 보호대책을 고려하여 현재 시점에서 이러한 위협과 취약성이 발생하여 영향을 미칠 가능성을 의미함
4) 복합접근방법(Combined approach) 적용
- 자산 중요도 값을 기준으로 고위험군(ERP)과 저위험군(워드문서)을 식별하여, 고위험군은 상세 위험분석을 수행하고, 저위험군은 베이스라인 접근법을 사용하여 위험분석을 수행한다.
4-1) 고위험군에 대한 상세 위험분석 수행
- 자산식별 및 자산 중요도 평가가 이미 되어 있으므로, 해당 자산에 발생가능한 우려사항(위협과 취약성)을 분석하고, 그 가능성을 가늠하는 위험 평가를 수행한다.
- 위험 평가는 정성정, 정량적 방법을 사용할 수 있다. 재무적 손실과 같이 정량적 측정이 가능한 경우 연간 예상 손실액(ALE)을 자산가치, 노출계수, 연간발생율을 기반으로 계산한다. 단 이경우 과거 사건 발생 데이터가 없는 경우 정확한 계산이 어려운 단점이 있어 완전한 정량적 평가는 어렵다.
- 따라서 주로 정성적인 방법을 사용하는데, 이 경우 실제 위험도는 우려사항의 심각도 X 우려사항의 발생 가능성을 매트릭스로 구성하여 산정한다.
> 먼저, 우려사항은 자산별로 발생할 수 있는 위협과 취약성을 특정한 상황에 대한 설명으로 묘사한다. 이때, 글로벌 표준 & 베스트 프랙티스(ISO 27001, ISMS) 등을 참조하고 해당 영역의 전문가 의견을 기반으로 상세화할 수 있다. (예: "DB 접근통제 위반을 적시에 발견할 수 없다", "적절한 보안 규정이 부족하여 자산이 제대로 보호되지 않을 수 있다.", "ERP 서버의 취약점에 대하여 보안 패치가 적시에 적용되지 않아 허가되지 않은 자가 접근할 수 있다."). 우려사항의 심각도는 3단계(H, M, L) ~ 5단계(VH, H, M, L, VL)로 분류한다.
> 그리고, 우려사항의 발생 가능성을 3단계~5단계로 평가한다.
> 즉, 우려사항이 실제 발생했을때의 심각도와 발생가능성을 매트릭스로 구성하여 실제 위험도를 산정하게 된다. 3 x 3 matrix를 사용하는 경우 심각도가 3(H), 발생가능성이 3(H)인 경우 위험도는 High로, 심각도가 2(M), 발생가능성이 1(L)인 경우, 위험도를 Low로 평가하게 된다. 이때, 기존에 적용된 보호대책을 고려하여 실질적인 심각도와 발생가능성을 평가하도록 한다.(보호 대책이 강하게 적용되어 있다면 실제 위험도는 낮아지게 됨)
> 위험도 산정 매트릭스는 재무적 측면(비용 손실), 규제 측면(법적인 제제), 고객 측면(고객 불만 및 이탈) 등으로 세분화하여 작성하고 평가할 수 있다. 평가 결과에 대해서는 보안 통제 전문가, 리스크 전문가 등이 상호 협의하여 편향된 결정이 되지 않도록 하는 것이 좋다.
4-2) 저위험군에 대하여 베이스라인 접근법 사용하여 위험분석 수행
- 반드시 적용해야 할 보안 통제 항목을 체크리스트로 만들고, 각 항목별 준수 여부를 점검하는 방식으로 간단하게 위험 분석을 수행할 수 있다. 그러나, 이 경우 시간 절약이 가능한 장점이 있는 반면, 과보호 또는 부족한 보호가 될 가능성이 상존하게 된다. 따라서, 해당 조직의 상황이 고려된 맞춤형 체크리스트가 존재하지 않는다면 위험분석을 하지 않은 것과 유사하게 된다.
- 그러므로, 자산변동이 적거나 보안환경의 변화에 크게 영향을 받지 않는 자산에 한정하여 사용하는 것이 권장된다.
- 16번 문제는 리스크 평가 관련 업무 경험이 없다면 대응하기 어려운 완전 실무형 문제입니다. 오프라인 강의 때 금융권에서의 리스크 관리 매트릭스에 대하여 언급해 드렸었는데, 해당 내용을 잘 숙지하신 분이라면 부분 점수 획득에 유리하셨으리라 판단됩니다. 리스크 관리는 현업에서 갈수록 중요도가 높아지고 있는 업무 영역입니다. 제 설명을 읽어보시고, 교재의 내용도 다시 한번 숙지하시기 바랍니다.
20회 정보보안기사 실기시험 문제 분석
1. 다음은 특정 명령어를 수행한 결과이다. ( )에 들어갈 명령어를 기술하시오.
root@kali:~#Telnet webserver.com 80
Trying 192.168.1.2…
Connect to webserver.com.
Escape character is '^]'.
( ) * HTTP/1.0
HTTP/1.1 200 OK
Date: Sat, 6 Aug 2022 09:01:01 KST
Server: Microsoft-IIS/5.0
Allow: GET,HEAD,POST,OPTIONS,TRACE
Content-Length:0
Connection: close
Content-Type: text/plain; charset-euc-kr
Connection closed by foreign host.
(답) OPTIONS
- 웹서버가 지원하는 HTTP Method 를 확인하는 명령어 입니다. 교재에있는 토픽이므로 반드시 맞춰야 합니다.
2. 위험분석과 관련하여 ( )안에 들어갈 명칭을 기술하시오.
( A ) : 시스템에 관한 전문적인 지식을 가진 전문가의 집단을 구성하고 위험을 분석 및 평가하여 정보시스템이 직면한 다양한 위험과 취약성을 토론을 통해 분석하는 방법
( B ) : 어떤 사건도 기대대로 발생하지 않는다는 사실에 근거하여 일정 조건하에서 위험에 대한 발생가능한 결과들을 추정하는 방법
( C ) : 비교 우위 순위결정표에 따라 위험 항목들의 서술적 순위를 결정하는 방법
(답) 델파이법, 시나리오법, 순위결정법
- 교재와 기출문제에서 자주 다루어진 토픽이라, 반드시 맞춰야 합니다.
3. 위험분석 접근법과 관련하여 ( )안에 들어갈 명칭을 기술하시오
( A ) : 모든 시스템에 대하여 보호의 기본 수준을 정하고 이를 달성하기 위하여 일련의 보호대책을 표준화된 체크리스트를 기반으로 선택하는 방식
( B ) : 정립된 모델에 기초하여 자산 분석, 위협 분석, 취약성 분석의 각 단계를 수행하여 위험을 평가하는 방식
( C ) : 고위험(high risk) 영역을 식별하여 상세 위험분석을 수행하고 다른 영역은 베이스라인 접근법을 사용하는 방식
(답) 베이스라인(기준) 접근법, 상세 위험 분석, 복합 접근법
- 교재와 기출문제에서 자주 다루어진 토픽이라, 반드시 맞춰야 합니다.
4. 접근통제 정책에 대하여 다음 ( ) 에 들어갈 용어를 기술하시오.
( A ) : 사용자나 사용자 그룹에 근거한 사용자 중심의 접근 제어를 수행하는 방법
( B ) : 모든 객체는 정보의 비밀수준에 근거하여 보안 레벨이 주어지고 허가된 사용자만 접근 가능토록 제어하는 방법
( C ) : 사용자와 객체 상호관계를 역할을 기반으로 접근 권한을 부여하는 방법
(답) DAC, MAC, RBAC
- 14회 기출문제와 동일하게 출제되었습니다. 점수를 주기 위한 문제이므로 반드시 맞춰야 합니다.
5. 침입탐지시스템(IDS)과 관련하여 ( )에 들어갈 용어를 기술하시오.
( A ) : 정상적인 행위를 이상행위로 판단하여 탐지하는 상황
( B ) : 이상행위를 탐지하지 못하는 상황
(답) 오탐(False Positive), 미탐(False Negative)
- IDS의 탐지 정책은 교재와 기출문제에서 자주 다루어진 토픽이라 반드시 맞춰야 합니다.
6. IPSec에서 지원하는 기능(서비스)을 3가지만 기술하시오.
(답) 기밀성, 제한된 트래픽 흐름의 기밀성, 데이터 근원지 인증, 접근제어, 비연결형 무결성, 재전송 공격 방지
- 교재와 기출문제(11회, 12회)에서 자주 다루어진 토픽입니다. 3가지만 기술하면 됩니다.
7. 다음의 설명에서 ( )에 들어갈 용어를 기술하시오.
( A )는 사토시 나카모토가 개발한 가상화폐로, 거래 데이터를 기록하는 저장소(DB)로 ( B )를 이용한다. Hash 연산을 수행하여 발생된 거래(작업)을 증명한 대가로 ( A )를 획득하는 행위를 ( C )이라 한다.
(답) 비트코인, 블록체인, 채굴(마이닝)
- 교재에서 다루어지는 토픽은 아니지만, 상식선에서 접근이 가능한 문제 입니다. 오프라인 과정에서 크립토재킹관련하여 설명드린바 있는 토픽이기도 합니다.
8. 다음 설정 파일에서 디렉터리 인덱싱 취약점을 대응하기 위하여 삭제해야 하는 지시자를 기술하시오.
<Directory /var/www>
Options indexes FollowSymLinks
AllowOverride none
Require all granted
</Directory>
(답) indexes
- 교재와 기출문제(13회, 17회)에서 자주 다루어지는 토픽이므로 반드시 맞춰야 합니다.
9. 클라우드 서비스 이용을 위해 서브 도메인에 CNAME 을 설정하여 사용 중, 서비스 이용을 중지 했지만 DNS의 CNAME 설정은 삭제하지 않아 공격자가 피싱 사이트로 악용하는 공격을 무엇이라고 하나?
(답) 서브도메인 하이재킹 or 서브도메인 테이크오버(Takeover)
- 정답을 맞추신 분이 거의 없을 것으로 예상됩니다. 클라우드 서비스 사용이 증가하면서, 연관된 취약점이 출제되었네요.
- (참조) https://www.dailysecu.com/news/articleView.html?idxno=65894
10. 정보보호 및 개인정보관리체계 인증 기준 중 '물리적 정보보호 대책' 에 해당하는 사항을 3가지 기술하시오.
(답) 보호구역 지정(통제구역,제한구역 등), 출입통제(출입 이력 검토), 정보시스템 보호(중요도 고려한 배치, 케이블 손상 방지 등), 보호설비 운영(UPS, 화재감지 등), 보호구역내 작업(작업 기록 검토), 반출입 기기 통제(정보시스템, 모바일 기기, 저장 매체 등), 업무환경 보안(클린데스크 등)
- ISMS-P 인증 기준 2.4.물리 보안과 관련된 질문 입니다. 정확하게 알지 못하더라도, 상식적인 범위내에서 물리적 보호대책(출입 통제, 반출입 기기 통제 등)을 기술한다면 1~2점 부분 점수 획득이 가능합니다.
- [서술형]
11. 개인정보 최소수집 원칙에 의거하여 개인정보 수집이 가능한 경우 4가지를 기술하시오
(답) 아래 6개 항목 중 4개를 선택하여 기술하면 됩니다.
1 - 정보주체의 동의를 받은 경우
2 - 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
3 - 공공기관이 법령 등에서 정하는 소관업무의 수행을 위하여 불가피한 경우
4 - 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우
5 - 정보주체 또는 그 법정대리인이 의사 표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
6 - 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다.
- 개인정보 보호법 제15조(개인정보의 수집 및 이용) 1항과 관련된 문제 입니다. 법 조항을 정확하게 기억하지 못하더라도 최대한 비슷하게 작성하면 부분 점수 획득이 가능 합니다. 최소 7점 이상은 획득해야 합니다.
12. 스위칭 허브의 기능 및 동작 원리에 대하여 서술하시오.
(답)
1 - 스위칭 허브의 기능 : 패킷의 목적지 주소(MAC, IP, Port 등)를 확인하여, 목적지가 연결된 스위치의 포트로만 패킷을 전송하는 장치로 패킷의 고속 전송, 로드 밸런싱, QoS 기능을 수행
2 - 동작 원리(L2 예시)
1) Learning : 출발지의 Mac 주소를 확인하여 수신된 포트번호와의 매핑 정보를 스위치의 MacAddress Table에 저장(MAC주소 + 스위치 포트번호)
2) Fowarding : 목적지 Mac 주소가 스위치의 MacAddress Table에 있는 경우, 목적지 주소에만 프레임을 전달
3) Filtering : 출발지와 목적지가 같은 세그먼트(인터페이스)에 존재하는 경우 다른 세그먼트와 연결된 포트로 넘어가지 않도록 제어
4) Flooding : 목적지 Mac 주소가 스위치의 MacAddress Table에 없는 경우 수신된 포트를 제외한 모든포트로 Broadcast 수행
5) Aging : 설정된 Timer 시간(예:300초)동안 저장된 MAC 주소를 가진 프레임이 들어오지 않으면 MacAddress Table에 저장된 정보를 삭제
- 동작 원리를 정확하게 기술하긴 어려웠으리라 보입니다. 최대한 알고 있는 지식을 총동원하여, 7점 정도의 부분점수를 획득할 수 있다면 선방한 것이라고 생각됩니다. 스위치 데이터 전달 모드(Cut-Through, Store and forward)를 기술하신 분들도, 부분 점수 획득이 가능하지 않을까 생각합니다.
13. 다음과 같은 Snort 룰로 탐지된 패킷을 보고, 어떤 공격이 수행되었는지 설명하시오.
<Snort Rule>
alert tcp any any -> any 21 {content:”anonymous”; nocase; msg:”Anonymous FTP attempt”;sid:1000012}
<탐지 패킷>
TCP TTL:64 TOS:0x10 ID:5450 IpLen:20 DgmLen:68 DF
(답)
Anonymous FTP 공격이 수행 되었음.
- 공격자는 열려있는 ftp 서비스(포트21)에 접속 후, 보안시스템의 탐지를 우회하기 위하여 계정명에 대소문자를 혼합한 AnOnYmOuS 를 입력하여 로그인을 시도하였음.
- Snort rule에서 nocase로 대소문자를 구분하지 않았기 때문에, 공격시도에 대한 탐지가 가능하였음
- Anonymous FTP 서비스가 enable된 경우, 서버에 계정이 없는 사용자도 접근이 가능하므로 서버내 권한 관리가 적절히 이루어지지 않을 경우 악성코드를 업로드 하거나 중요 파일에 접근 가능한 리스크가 있음. 따라서 꼭 필요한 경우가 아닌 경우 anonymous ftp 서비스는 disable 해야 함.
- AP*** Seq: 0xE95B8593 Ack: 0x7D3F3893 Win:0x1D TcpLen:32
- TCP options (3) => NOP NOP TS: 45113 1572881
- 55 53 45 52 20 41 6E 4F 6E 59 6D 4F 75 53 0D 0A USER AnOnYmOuS..
- 문제에서 어떤 공격이 수행되었는지 설명하라고 했지만, 서술형 문제이므로 단순히 공격명만 기술해서는 14점 획득이 불가 합니다. 공격의 원리, 예상되는 피해 그리고 공격자가 대소문자를 섞어서 입력한 사유도 함께 설명이 되어야 합니다. 이 문제에서 10점 이상 획득을 해야 전체적으로 합격 점수 획득이 가능할 것으로 판단 됩니다.
- [실무형]
14. 스팸메일 릴레이 제한 설정과 관련하여 다음 ( )에 들어갈 명칭을 기술하시오.
# cat /etc/mail/( 1 ) | grep "R$\*" | grep "Relaying denied"
R$* $#error $@ 5.7.1 $ : "550 Relaying denied"
# cat /etc/mail/access
localhost.localdomain RELAY
localhost RELAY
127.0.0.1 RELAY
spam.com ( 2 ) # Relay를 허용하지 않음
# ( 3 ) hash etc/mail/( 4 ) < etc/mail/access
(답)
(1) sendmail.cf
(2) REJECT (or DISCARD)
(3) makemap
(4) access.db (or access)
- 주요정보통신기반시설 기술적분야 취약점 진단 상세가이드에 있는 항목 ( U-31 스팸메일릴레이제한) 입니다. 모든 문항을 정확하게 기술하기는 어려운 문제 였습니다. 최소한 (2), (4)번 문항은 맞춰서 7점 정도의 부분 점수 획득이 필요 합니다.
15. Smurf attack을 방지하기 위하여, 신뢰 할 수 있는 네트워크 범위(192.168.1.0/24)에서 시작하는 UDP 패킷으로 ip directed broadcast 를 제한 설정하는 라우터 명령어를 기술하시오.
(config)# ( A )
(config)# ( B )
(config-if)# ( C )
^z
Router#
(답)
(A) : access-list 100 permit udp 192.168.1.0 0.0.0.255 any
(B) : interface FastEthernet 0/0
(C) : ip directed-broadcast 100
- 논란이 있었던 문제 입니다. 수험서에는 whitelist된 대역 없이 ip directed-broadcast를 무조건 차단하는 명령인 "no ip directed-broadcast" 만 나와 있습니다. 실제 문제에서 신뢰할 수 있는 네트워크 범위에 대해서만 directed broadcast를 활성화 하라고 했다면, 부분 점수 획득에 어려움이 예상 됩니다.
- 참고: https://www.cisco.com/c/ko_kr/support/docs/ip/access-lists/13608-21.html#anc103
16. 위험 대응 기법과 관련하여 다음 물음에 답하시오.
1) 위험수용의 의미는?
2) 위험감소를 위한 보안 대책 선정시, 특정 보안대책의 평가기준을 결정하는 정량적인 방법은?
3) 위험회피시 위험이 있는 프로세스나 사업은 어떻게 대처하는가?
4) 위험전가를 위한 2가지 방법은?
(답)
1 - 위험의 정도가 수용 가능한 수준이라 판단하고 프로세스를 그대로 유지하거나 사업을 추진
2 - 정보보호 대책의 효과(가치) 는 보호대책 적용으로 감소한 연간손실예상액(ALE)에서 정보보호 대책 운영 비용을 뺀 금액을 계산하여 값이 높을수록 상대적으로 효과적인 정보보호 대책임.
- 계산 공식 : (3)번 값이 높은 보호대책을 선정하는 것이 효과적임
- (1) 적용후 SLE(단일 손실예상액 ) = AV(자산가치) * EF(노출계수)
- (2) 적용후 ALE(연간 손실예상액) = SLE * ARO(연간발생률)
- (3) 보호대책의 효과(가치) = 감소한 ALE(적용전 ALE - 적용후 ALE) - 보호대책 운영 비용
- 3 - 위험이 있는 프로세스나 사업은 축소 또는 포기하는 방향으로 추진한다.
- 4 - 보험 가입 또는 외주(보안, 소방 업체) 위탁
- 16회 기출문제를 응용한 문제로, 해당 문제를 잘 이해했다면 대응하기는 그리 어렵지 않으셨을 것 입니다. 최소 10점 이상 획득이 필요합니다.
21회 정보보안기사 실기시험 문제 분석
1. Sendmail에서 스팸메일 릴레이 제한 설정 후 access db를 생성하려고 한다. ( )에 들어갈 명령어를 기술하시오.
# ( A ) ( B ) etc/mail/access.db < etc/mail/access
(답) makemap, hash
- 직전 회차 실무형으로 출제된 문제입니다. 반드시 맞춰야 합니다.
2. 라우터에서 snmp 프로토콜을 비활성화 하려고 한다. ( )에 들어갈 명령어를 기술하시오.
Router# configure terminal
Router(config)# ( A ) ( B )
(답) no, snmp-server
- 수험서에 있는 내용이나, 유심히 보지 않으셨다면 맞추기 쉽지 않은 문제 입니다.
3. 위험분석 관련하여 다음 물음에 답하시오.
1) 위험을 모두 제거하는 것은 현실적으로 불가능하므로, 수용가능한 수준으로 경감시키기 위한 보호대책을 마련하는 것이 중요하다. 이 경우, 수용가능한 수준의 위험을 지칭하는 용어를 기술하시오.
2) 위험이 낮으면 원칙적으로 비용절감을 위해 그냥 두는 것이 맞나? O, X로 답하시오.
(답)
1) DoA (Degree of Assurance, 위험 허용(수용) 수준)
2) X (보호대책의 효과성을 주기적으로 평가하여, 위험수준을 지속적으로 모니터링 해야 함)
- 문제를 억지로 만들어 낸 듯한 느낌입니다. 차라리 총 리스크, 보호대책의 효과성(통제 Gap), 잔여리스크의 개념을 물어보는 문제를 출제하면 좋지 않았을까 생각됩니다.
- (참고) 정보 보안 실무 02 정보보호 위험 관리 (tistory.com)
4. 업무 연속성 계획(BCP) 5단계 중 2~4단계의 명칭을 기술하시오.
(답) BIA(Business Impact Analysis, 사업영향평가), 복구전략개발, 복구계획 수립
- BCP는 보안기사 실기 시험에서 중요하게 다루어지는 핵심 토픽 입니다. BCP 5단계는 기출문제이기도 합니다.
- (참고)
- 1단계 : 범위 설정 및 기획
- 5단계 : 수행 테스트 및 유지보수
5. 특정 대상을 겨냥해 다양한 공격 기법(특히 알려지지 않은 취약점을 이용)을 동원하여 장기간 지속적으로 공격하는 기법을 무엇이라고 하나?
(답) APT(Advance Persistent Threat, 지능형지속위협)
- APT는 수험서에서 다루어지는 기본토픽이므로, 반드시 맞춰야 합니다.
6. 불완전한 암호화 저장 취약점이 있는 웹 어플리케이션은 데이터와 자격 증명을 적절히 보호하기 위한 암호화 기능을 거의 사용하지 않아서, 보호되지 않은 데이터를 이용하여 신원 도용이나 신용카드 사기와 같은 범죄가 이루어질 수 있다. 해당 취약점을 점검하는 방법에 대하여 ( ) 에 들어갈 용어를 설명하시오.
1) DB에 저장된 중요정보가 (A) 로 열람가능한지 확인한다
2) (B) 또는 암호화된 쿠키값이 명백하게 랜덤으로 생성되는지 확인한다
3) 적절한 (C) 이 제대로 적용되었는지 검증한다.
(답) SQL Query, 세션ID, 암호화알고리즘
- 문제의 출처와 관련하여 논란이 있었던 문제 입니다. 해당 자료를 보지 않은 분들이라면, 세션 ID를 제외한 나머지에 대하여 정확한 답을 기술하기 어려웠으리라 판단됩니다.
- (참고) 홈페이지 취약점 점검 가이드(published by 행안부)
- https://www.mois.go.kr/frt/bbs/type001/commonSelectBoardArticle.do?bbsId=BBSMSTR_000000000015&nttId=39862
7. TCP/IP 의 인터넷계층에서 동작하는 프로토콜에 대하여 ( )에 들어갈 용어를 기술하시오.
1) ( A ) : 인터넷 계층에서 동작하는 대표적인 VPN 프로토콜
2) ( B ) : ( A )의 세부 프로토콜로 무결성 보장, 메시지 인증 가능
3) ( C ) : ( A )의 세부 프토콜로도 암호화를 통한 기밀성 유지 가능
(답) IPSec, AH, ESP
- IPSec은 보안기사실기시험에서 매우 중요하게 다루어지는 토픽입니다. 반드시 맞춰야 합니다.
8. 위험분석 방법과 관련하여 ( )안에 들어갈 명칭을 기술하시오.
( A ) : 시스템에 관한 전문적인 지식을 가진 전문가의 집단을 구성하고 위험을 분석 및 평가하여 정보시스템이 직면한 다양한 위험과 취약성을 토론을 통해 분석하는 방법
( B ) : 어떤 사건도 기대대로 발생하지 않는다는 사실에 근거하여 일정 조건하에서 위험에 대한 발생가능한 결과들을 추정하는 방법
( C ) : 자산, 위협, 보안체계등 위험분석 요인들을 정성적 언어로 표현된 값을 사용하여 기대손실을 평가하는 방법
(답) 델파이법, 시나리오법, 퍼지행렬법
- 위험분석 방법론은 보안기사 실기 시험에서 단골로 출제되는 문제 입니다. 퍼지행렬법은 처음 출제되어 맞추지 못한 분들이 많으셨으리라 예상됩니다. 수험서에는 포함된 내용이므로, 이 기회에 명확히 숙지 하시면 좋겠습니다.
9. 익스플로잇 코드와 관련되어 ( )에 들어갈 용어를 기술하시오.
( A ) 어셈블리어/기계어로 구성되어 있는 익스플로잇 코드의 본체에 해당하는 프로그램
( B ) NOP(No Operation)에 해당하는 x86 Hex Code
( C ) ESP(Extended Stack Pointer) 레지스터에 있는 값을 EIP(Extended Istruction Pointer) 레지스터로 옮기는 어셈블리 명령
(답)
(A) : Shell Code
(B) : 0x90
(C) : RET EIP ESP or JUMP ESP
- (A), (B)는 수험서에서 다루어진 내용이나, 외워서 답을 쓰기는 어려우셨으리라 예상 됩니다. 100점 방지용 문제라 생각하고, 너무 많은 의미는 두지 않으셨으면 합니다^^
- (참고) https://devdori.tistory.com/12
10. httpd.conf 파일에서 디렉토리에 업로드 가능한 최대파일사이즈를 제한하는 명령어는?
(답) LimitRequestBody
- 기출문제(14회)가 그대로 재출제되었습니다. 반드시 맞춰야 합니다.
- [서술형]
11. IDS에서 사용하는 칩입탐지 방식에 대하여 다음 물음에 답하시오.
1) 오용 탐지의 정의
2) 이상 탐지의 정의
3) 오용 탐지의 장점
4) 오용 탐지의 단점
(답)
1) 잘 알려져 있는 공격(오용, misuse) 패턴을 룰로 등록 후, 패턴(시그니처)과 일치여부를 비교하여 칩입여부를 판단하는 방식
2) 정상 행위와 이상 행위(anomaly)를 프로파일링 후, 통계적 분석을 통하여 침입여부를 판단하는 방식
3) 등록된 공격패턴에 의하여 탐지 되므로 오탐률이 낮음
4) 패턴에 없는 새로운 공격은 탐지가 불가하며, 새로운 공격 탐지를 위하여 지속적으로 패턴 업데이트를 해야 함.
- 침입 탐지 방식은 기출문제와 교재에서 중요하게 다루어지는 토픽입니다. 최소 10점 이상 회득이 필요 합니다.
12. 재해복구시스템 유형에는 미러사이트, 핫사이트, 웜사이트, 콜드사이트가 있다. 다음 물음에 답하시오.
1) 미러 사이트의 정의
2) 미러사이트의 장단점 각 2개씩 설명
3) RTO가 가장 오래 걸리는 방식은 무엇이며, 이유는 무엇인가?
(답)
1) 주센터와 동일한 수준의 시스템을 백업센터에 구축하고, 액티브-액티브 상태로 실시간 동시 서비스를 제공하는 방식
2-장점) 신속한 업무재개 가능(RTO:즉시), 데이터의 최신성 보장(RPO:0)
2-단점) 초기 투자 및 유지 보수 비용이 높음, 데이터 업데이트가 많은 경우 과부하 초래
3) COLD 사이트. 데이터만 원격지에 보관하고 서비스를 위한 정보자원은 최소한으로 확보되어 있어, 재해 시 필요한 자원을 조달하여 복구하는데 오랜 시간이 소요됨.
- 재해 복구시스템의 유형은 보안기사 실기 시험에 자주 출제되는 토픽입니다. 최소 10점 이상 획득이 필요 합니다.
13. 개인정보 기술적,관리적 보호조치 기준에 포함된 개인정보취급자의 비밀번호 작성규칙 3가지를 기술하시오.
(답)
) 패스워드 복잡도 및 길이 : 영문, 숫자,특수 문자 중 2종류 이상 조합시는 10자리 이상, 3종류 이상 조합시는 최소 8자리 이상의 길이로 구성
2) 유추하기 어려운 비밀번호 사용 : 연속적인 숫자나 생일, 전화번호 등 추측하기 쉬운 개인정보 및 아이디와 비슷한 비밀번호는 사용하지 않을 것을 권고
3) 패스워드 유효기간 설정 : 비밀번호에 유효기간을 설정하여 최소 반기별 1회 이상 변경
- 11회, 15회 실기시험에 출제된 문제와 동일한 문제 입니다. 3가지를 정확하게 기술하는 것이 고득점의 포인트 입니다.
- [실무형]
14. 동일한 출발지 IP에서 2초동안 80번 포트로 30개 이상 SYN요청이 들어오는 경우 차단하는 IPtables 룰을 작성 하시오. (룰 옵션을 5개로 구분하여 설명하시오)
(답)
iptables -A INPUT -p TCP --syn --dport 80 -m recent --update --seconds 2 --hitcount 30 --name SYN_DROP -J DROP
1) -A INPUT : Inbound 요청에 대하여
2) -p tcp --syn : tcp syn 패킷이 들어오는 경우
3) --dport 80 : 목적지 포트가 80 인 경우
4) -m recent --update --seconds 2 --hitcount 30 --name SYN_DROP : 동일 IP에서 2초동안 30번 이상 요청오는 경우
5) -j DROP : 차단한다.
- iptables 룰 설정은 보안기사실기시험 출제 0순위 문제 입니다. seconds와 hitcount 옵션을 물어보는 문제는 이번에 처음 출제되었습니다. 준비하지 않은 경우 정확한 답을 기술하기는 어려웠으리라 판단됩니다. 수험서에는 내용이 포함되어 있으므로 이번 기회에 정확하게 숙지하시기 바랍니다.
15. 정량적 위험평가 방법인 ALE와 관련하여 다음 물음에 답하시오.
1) SLE의 정의
2) SLE 계산 공식
3) ALE 계산을 위해 필요한 정보는 무엇인가?
4) 연간 손실이 완전 제거되는데 투입된 비용이 X라 할 때, 문제에서 언급된 변수만으로 ROI (%)를 구하는 계산식은?
(답)
1) 한번의 사건으로 발생 가능한 손실액
2) AV(Asset Value, 자산 가치) * EF(Exposure Factor, 노출계수)
3) SLE에 ARO(Annual Rate of Occurrence)를 곱하여 계산
4) (ALE - X ) / X * 100
- 7회 실기 시험 문제가 그대로 재출제 되었습니다. ALE와 관련된 문제는 최근 연속해서 실무형으로 출제되고 있습니다. 명확한 이해가 필요하며 10점 이상 획득해야 합니다.
16. MASTER와 SLAVE DNS 서버의 존파일 설정과 관련하여 다음 물음에 답하시오.
- master name 서버 : ns1.korea.co.kr (192.168.1.1)
- slave name 서버 : ns2.korea.co.kr (192.168.1.2)
1) Master DNS 서버의 zone 파일 설정을 위하여 다음 ( )에 들어갈 설정 값을 쓰시오.
/etc/named.conf
zone "korea.co.kr" IN {
type ( A );
file "korea.co.kr.db";
allow-update { (B) }'
};
/var/named/korea.co.kr.db
$TTL 1000
@ IN SOA ns1.korea.co.kr master.korea.co.kr. (
2022113001 ; serial
21600 ; refresh
3600 ; retry
604800 ; expire
3600 ) ; minimum
IN NS ns1.korea.co.kr.
IN NS ns2.korea.co.kr.
ns1 IN A ( C )
ns2 IN A ( D )
2) Slave DNS 서버의 zone 파일 설정을 위하여, 다음 ( ) 에 들어갈 설정값을 쓰시오.
/etc/named.conf
zone "korea.co.kr" IN {
type ( E );
file "slave/korea.co.kr.db";
masters { ( F ) }'
};
(답)
( A ) : master
( B ) : 192.168.1.2;
( C ) : 192.168.1.1
( D ) : 192.168.1.2
( E ) : slave
( F ) : 192.168.1.1;
- DNS 설정 문제가 간만에 출제되었습니다. 문제가 불분명 하여 제가 임의로 만들어 내었습니다. 대부분 수험생 분들이 선택하지 않으셨으리라 예상 됩니다. 혹시라도 추가적인 정보를 알려주시면 반영토록 하겠습니다.
22회 정보보안기사 실기시험 문제분석
1. 라우팅 프로토콜에 대한 설명이다. ( )에 들어갈 프로토콜명을 기술하시오.
1) ( A ) : 거리 벡터 알고리즘을 사용하며, 가장 오래되고 널리 사용되는 내부 라우팅 프로토콜
2) ( B ) : 링크 상태 알고리즘을 사용하며, 링크 상태 변화시에만 라우팅 정보를 교환하는 내부 라우팅 프로토콜
3) ( C ) : 시스코에서 제안하였으며, 거리벡터와 링크 상태 알고리즘의 장점을 수용한 하이브리드 라우팅 프로토콜. 효율성과 수렴 속도가 개선되어 안정적인 라우팅을 지원함.
(답) RIP, OSPF, EIGRP
- 수험서에 있는 내용이나, 시스코의 라우팅 프로토콜(EIGRP, IGRP) 은 명확히 어떤 것을 묻는 질문인지 명확하지 않아, EIGRP를 답으로 가정하고 문제를 복원했습니다. 참고로, IGRP는 RIP을 개선하여 단순한 홉수가 아니라 5개의 파라미터를 이용하는 거리벡터 방식 알고리즘을 사용합니다. 최소 2점 확보가 필요합니다.
2. 다음 ( ) 에 들어갈 유닉스 로그 파일명을 기술하시오(경로는 생략해도 됨)
1) ( A ) : 사용자의 가장 최근 로그인 시각, 접근 호스트 정보 기록
2) ( B ) : SU(Swift User) 권한 변경(성공 or 실패) 로그 기록
3) ( C ) : 시스템에 로그인한 모든 사용자가 실행한 명령어 정보 기록
(답) lastlog, sulog, acct/pacct
- 로그 파일명은 킬러 토픽입니다. 3점 모두 획득해야 합니다.
3. 유닉스의 /etc/passwd에 등록된 정보이다. 밑줄 친 값의 의미를 설명하시오.
(정보) test01:x:100:1000:/home/exam:/bin/bash
1) 1000 : ( A )
2) /home/exam : ( B )
3) /bin/bash : ( C )
(답)
GID(그룹ID), 사용자 홈디렉토리, 로그인쉘
- /etc/passwd도 킬러 토픽입니다. 3점 모두 획득해야 합니다.
4. HTTP Request 입력값에 개행문자가 포함되면 HTTP 응답이 2개 이상으로 분리되어, 공격자는 첫 응답을 종료시킨 후 다음 응답에 악의적인 코드를 삽입/실행할 수 있는 HTTP 응답 분할 공격이 가능해진다. 위에서 언급한 개행 문자 2가지를 기술하시오.
(답) CR(Carriage Return, \r, %0D), LF(Line Feed, \n, %0A)
- 개행 문자를 어떤 형식으로 기술하라고 명시하지 않았다면, CR, \r, %0D, 0x0D 모두 정답이 되어야 한다고 생각합니다. 개행문자는 수험서와 기출문제로 출제된 이력이 있어, 3점 모두 획득해야 합니다.
5. 파일 삽입 취약점은 공격자가 악성 스크립트를 서버에 전달하여 해당 코드가 실행되도록 할 수 있다. PHP를 사용하는 경우 이에 대한 대응책에 대하여 ( )에 들어갈 값을 기술하시오.
1) PHP 소스 코드에 ( A ) 함수가 존재하는지 확인
2) PHP 설정 파일 ( B )에서 allow_url_fopen 값을 ( C )로 설정
(답) require or include , PHP.ini, Off
- 수험서에서 다루어지는 기본 토픽입니다. 2점 이상 획득 필요합니다.
6. Snort에서는 대량의 패킷에 대응하기 위하여 Threshold 옵션을 type(action 수행 유형), track(소스/목적지 IP), count(횟수), second(시간)으로 설정할 수 있다. 이 중 thresholod type 3가지를 기술하시오.
(예) threshold type <(1)|(2)|(3)>, track<by_src|by_dst>, count <c>, seconds <s>
(답) treshold, limit, both
- snort 룰은 킬러 토픽입니다. 3점 모두 획득이 필요합니다.
- (참고) threshold 3가지 type 설명
- • limit : 매 s 초 동안 c번째 이벤트까지 action을 수행한다.
- • threshold : 매 s초 동안 c번째 이벤트마다 action을 수행한다.
- • both : 매 s초 동안 c번째 이벤트시 한번 actiond을 수행한다.
7. ARP request 요청을 보내는 경우 목적지 주소를 형식에 맞춰서 기술하시오.
(답) FF:FF:FF:FF:FF:FF
- 기출문제(14회)가 그대로 출제되었습니다. 3점 모두 획득해야 합니다.
8. DNS 서비스와 관련하여 ( )안에 들어갈 용어를 기술하시오.
1) DNS 서비스는 53번 포트를 사용하고 전승 계층 프로토콜로 ( A ) 를 사용한다.
2) DNS 서버는 반복적인 질의로 상위 DNS에 가해지는 부하를 줄이기 위해 ( B )를 사용하는데, 해당 정보가 유지되는 기간을 ( C ) 이라고 한다.
(답) UDP/TCP, Cache(DNS캐시), TTL(Time To Live)
- DNS 프로토콜을 묻는 문제로, 수험서에 있는 내용입니다. 3점 모두 획득해야 합니다.
- 참고로, UDP 는 일반적인 경우(전송데이터가 512바이트 이하), TCP는 전송데이터가 512바이트 초과 또는 Zone Transfer시 사용됩니다.
- https://galid1.tistory.com/53
9. 애플리케이션의 소스 코드를 보지 않고 외부 인터페이스나 구조를 분석하여 취약점을 발견하는 방식을 ( A )라 하고, 개발된 소스 코드를 살펴봄으로써 코딩 상의 취약점을 찾는 방식을 ( B ) 라고 한다.
(답)
(A) : Blackbox 테스트
(B) : Whitebox 테스트
- 13회와 동일한 문제가 출제된 것으로 보입니다.실행을 하느냐 하지 않느냐로 물어봤다면 정적분석, 동적분석이 맞지만 위와 같이 소스코드를 보느냐 보지 않느냐고 물어봤을 땐 블랙박스, 화이트박스가 맞습니다.
10. SW 개발과정에서 DBMS 조회를 위한 질의문 생성 시 사용되는 입력값과 조회 결과에 대한 검증방법(필터링 등)을 설계하는 경우 고려해야 할 사항이다. ( ) 에 들어갈 용어를 기술하시오.
1) 애플리케이션에서 DB연결을 통해 데이터를 처리하는 경우 ( A )이 설정된 계정을 사용해야 한다.
2) 외부 입력값이 삽입되는 SQL 쿼리문을 ( B )으로 생성해서 실행하지 않도록 해야 한다.
3) 외부 입력값을 이용해 동적으로 SQL 쿼리문을 생성해야 하는 경우, ( C )에 대한 검증을 수행한 뒤 사용해야 한다.
(답) 최소권한, 동적, 입력값
- KISA 소프트웨어 개발 보안 가이드에 포함된 내용입니다. 1~2점 부분 점수 획득이 필요한 문제입니다.
- www.kisa.or.kr/2060204/form?postSeq=5
11. 개인정보의 안전성 확보조치 기준에 대하여 ( )에 들어갈 용어를 기술하시오.
<제8조(접속기록의 보관 및 점검)> ① 개인정보처리자는 개인정보취급자가 개인정보처리시스템에 접속한 기록을 ( A ) 년 이상 보관·관리하여야 한다. 다만, ( B ) 명 이상의 정보주체에 관하여 개인정보를 처리하거나, 고유식별정보 또는 ( C ) 를 처리하는 개인정보처리시스템의 경우에는 2년 이상 보관·관리하여야 한다.
(답) 1년, 5만명, 민감정보
- 가장 기본이 되는 법규 문제입니다. 3점 모두 획득해야 합니다.
12. 위험관리와 관련하여 ( )에 들어갈 용어를 기술하시오.
1) ( A ) : 내외부 위협과 취약점으로 인해 자산에서 발생 가능한 위험을 감소시키기 위한 관리적, 물리적, 기술적 대책
2) ( B ) : ( A )을 적용한 이후에 잔재하는 위험
3) ( C ) : 조직에서 수용 가능한 목표 위험 수준을 의미하며 경영진의 승인을 받아 관리해야 함
(답) 정보보호대책, 잔여 리스크(위험), DoA(수용 가능한 위험 수준)
- 위험 관리의 핵심 사항입니다. 3점 모두 획득해야 합니다.
- [서술형]
13. BYOD 환경에서 모바일 오피스 서비스를 하려고 한다. 관련된 다음의 3가지 보안 기술에 대하여 설명하시오.
1) MDM(Mobile Device Management)
2) 컨테이너화
3) 모바일 가상화
(답)
1) MDM : 모바일 기기를 도난, 분실, 악용 등으로부터 보호하기 위하여 강화된 보안 정책(인증, 앱 화이트 리스트, 원격 삭제, 탈옥 탐지, 스크린 캡처 방지, 카메라 제어 등)을 적용하여 관리하기 위한 기술
2) 컨테이너화 : 하나의 모바일 기기 내에 업무용과 개인용 영역을 컨테이너라는 별도의 공간으로 분리하여 프라이버시를 보호하기 위한 기술
3) 모바일 가상화 : 가상화 기술을 이용하여 하나의 모바일 기기에서 개인용 OS 영역과 업무용 OS 영역을 완전히 분리하는 기술. 평상시에는 개인용 OS 영역에서 모바일 기기를 이용하다가, 필요시 업무용 OS로 전환하여 사용.
- BYOD 관련 보안 기술은 수험서에 있는 내용으로, 최소 10점 이상 획득 필요합니다.
14. 다음의 위험 분석 방법에 대하여 개념과 장단점을 설명하시오.
1) 기준선 접근법
2) 상세 위험 분석법
(답)
1) 기준선 접근법
- 개념 : 모든 시스템에 대하여 보호의 기본 수준을 정하고 이를 달성하기 위한 일련의 보호대책을 표준화된 체크리스트를 기반으로 선택하는 방식
- 장점 : 체크리스트의 각 항목별 준수 여부를 점검하는 방식으로 간단하게 위험분석을 수행할 수 있어, 위험 분석 시간을 절약할 수 있음. 소규모 조직에 적합함.
- 단점 : 조직의 현황이 반영되지 않은 일률적인 기준으로 통제를 적용하는 경우 과보호 또는 부족한 보호가 될 가능성이 상존함. 체크리스트를 지속적으로 갱신하지 않으면 새로운 취약점과 같은 보안 환경의 변화를 적절하게 반영하기 어려움. 따라서, 자산 변동이 적거나 보안 환경의 변화에 크게 영향을 받지 않는 자산에 한정하여 사용하는 것이 권장됨.
2) 상세 위험 분석법
- 개념 : 정형화되고 구조화된 프로세스를 기반으로 자산 분석, 위협 분석, 취약성 분석의 각 단계를 수행하여 모든 정보자산에 대한 위험을 상세하게 분석하는 방식
- 장점 : 자산가치, 위협, 취약점의 평가에 기반하여 위험을 산정하므로 허용가능 수준까지 위험을 줄이는 근거를 명확히 할 수 있음. 계량적 수치화가 가능하며 평가의 완전성이 높음. 보안 환경의 변화에 따른 새로운 위험에 대한 분석도 용이에게 할 수 있음.
- 단점 : 위험 분석 방법론을 잘 이해하고 있는 인적 자원이 필요하며, 위험분석에 시간, 노력, 비용이 많이 소요됨.
- 위험 분석 접근법은 자주 출제되는 킬러 토픽입니다. 10점 이상 획득해야 합니다.
15. 다음의 쿠키 설정값의 의미를 보안 측면에서 설명하시오.
1) Secure
2) HttpOnly
3) Expires
(답)
1) Secure 통신(SSL/TLS)을 수해하는 경우에만 클라이언트에서 해당 쿠키를 전송함으로써 기밀성을 보장함. 스니핑 공격을 통한 쿠키 정보 탈취에 대응 가능.
2) 웹브라우저에서 자바스크립트(document.cookie) 등을 통한 해당 쿠키 접근을 차단함. 쿠키 탈취를 위한 XSS(Cross Site Scripting) 공격에 대응 가능.
3) 쿠키가 만료되는 날짜 및 시간을 설정함. 쿠키가 탈취당하여 재사용되는 리스크를 최소화할 수 있음.
- 쿠키 보안은 킬러 토픽이며, 16회 실기시험에서도 출제된 바 있습니다. 10점 이상 획득이 필요합니다.
16. DNS 증폭 공격에 사용되는 IP 공격 기법을 설명하고, 해당 공격 기법을 사용하는 이유를 설명하시오.
(답)
1) IP 공격 기법 : 출발지 IP를 공격 대상 서버의 IP로 위조하는 IP스푸핑을 수행 후, DNS 쿼리 타입을 ANY로 지정하여 request를 대량으로 수행하면, 다양한 TYPE의 레코드들이 Response 되므로 응답이 증폭되어 공격 대상 서버에 부하를 주게 됨
2) 해당 공격 기법 사용 이유
- 출발지 IP가 위조되고, 반사 서버를 통해 공격이 수행되므로 공격의 출처를 파악하기 어렵기 때문임. 특히 UDP는 별도의 인증 절차가 없으므로 공격 수행이 용이함.
- 다수의 좀비 PC를 동원하지 않더라도 대량의 공격 패킷을 공격 대상 서버로 향하도록 만들어 낼 수 있어 효율이 높기 때문임.
- DNS 증폭 공격은 18회 실기 시험에서도 동일하게 출제된 바 있습니다. 기출문제를 충실히 학습하신 분들은 10점 이상 획득 가능한 문제입니다.
- [실무형]
17. 다음의 HTTP Request 로그를 보고 물음에 답하시오.
<HTTP request>
GET /member/login.php?user_id=1' or '1' = '1'# &user_pw=foo HTTP/1.1
GET /member/login.php?user_id=1' or '1' = '1 &user_pw=foo HTTP/1.1
1) 해당 취약점은 무엇인가?
2) 그렇게 판단한 이유는?
3) 대응 방안은?
(답)
1) SQL Injection
2) user_id에 특수 문자를 포함한 1' or '1'='1'#을 넣어서 로그인 검증을 하기 위한 SQL 문을 참으로 만들어 인증 로직을 우회하려는 시도를 하고 있기 때문임.
3-1) 입력값에 특수 문자가 포함되지 않도록 필터링 로직을 구현(이 경우 클라이언트 단이 아닌 서버에 검증 로직을 반드시 넣어야 함. 자바스크립트로 클라이언트 단에서만 검증하는 경우 Paros, Burpsuite와 같은 proxy툴로 검증 로직을 우회할 수 있기 때문임)
3-2) 서버의 DB Connection 구문을 Prepared Statement 방식으로 변경(사용자가 입력한 값이 SQL 명령의 일부가 아닌 매개 변수로 처리되기 때문에 해당 컬럼에만 들어가고 SQL문 전체에 영향을 주지 않음)
- SQL Injection은 핵심 토픽이며 실기시험에서 많이 출제된 바 있습니다. Blind SQL Injection을 포함하여 공격 원리 및 대응 방법을 철저하게 학습해야 합니다. 14점 이상 획득해야 하는 문제입니다.
18. 개인 정보의 기술적, 관리적 보호 조치 기준에서 요구하고 있는 보호 조치 5가지를 기술하시오.
(답)
1) 접근통제
권한 부여, 변경 말소에 대한 내역을 기록하고 최소 5년 보관
외부에서 개인정보처리시스템 접속 시 안전한 인증 수단 적용
개인정보취급자를 대상으로 비밀번호 작성 규칙 수립 및 적용
개인정보취급자 컴퓨터에 대한 물리적 또는 논리적 망 분리
2) 접속기록의 위/변조 방지
개인정보취급자가 개인정보처리시스템에 접속한 기록 월 1회 점검, 6개월 이상 접속기록 보존
접속 기록 위변조 방지를 위해 정기적인 백업 수행
3) 개인정보의 암호화
비밀번호에 대한 일방향 암호화 저장
안전한 암호화 알고리즘으로 암호화 저장(주민등록번호 외 고유식별번호, 신용카드번호, 계좌번호, 바이오정보)
4) 악성프로그램 방지
백신 소프트웨어 등의 보안 프로그램 설치 및 운영
보안 프로그램 자동 업데이트 기능 사용 또는 일 1회 이상 업데이트
5) 물리적 접근 방지
개인정보를 보관하고 있는 물리적 장소에 대한 출입통제 절차 수립,운영
개인정보가 포함된 서류, 보조저장매체 등을 잠금장치가 있는 안전한 장소에 보관
23회 정보보안기사 실기시험 문제분석
1. 윈도우 OS 환경에서 특정 서비스의 로그 파일 저장 경로에 대한 문제이다. ( )에 들어갈 로그 파일 경로명을 기술하시오.
<IIS 로그>
C:\Windows\inetpub\logs\Logfiles\W3SVC1
C:\Windows\inetpub\logs\Logfiles\MSFTPSVC1
C:\Windows\System32\Logfiles\ ( A )
<DHCP 로그>
C:\Windows\System32\Logfiles\ ( B )
(답) HTTPERR, DHCP
- 수험서에 없는 내용입니다. 난이도 조절을 위해 틀리라고 낸 문제이므로, 의미를 둘 필요 없습니다.
2. 64비트 리눅스에서 아래 프로그램 코드를 실행하려고 한다. printf를 통해 함수가 호출될 때 A, B, C 각 파라미터가 저장되는 레지스터 명을 기술하시오.
int main()
{ printf ("%c, %c, %c\n", 'A','B','C'); }
(답) RDI, RSI, RDX
- 수험서에 없는 내용입니다. 난이도 조절용 문제이므로, 의미를 둘 필요 없습니다.
3. 리눅스 환경에서 컴파일 과정에 관한 설명이다. ( )에 들어갈 용어를 기술하시오.
- 리눅스 환경에서 ( A ) 방식으로 컴파일 하는 경우, 외부 라이브러리 함수를 사용할 수 있도록 주소를 프로그램에 연결시켜주는 테이블인 ( B ) 를 참조한다.
- ( B ) 는 실제 해당 함수의 주소가 들어 있는 ( C )를 참조하여 함수 주소를 얻어 온다.
(답)
Dynamic Linking, PLT(Procedure Linkage Table), GOT(Global Offset Table)
- 수험서에 없는 내용입니다. 난이도 조절용 문제이므로, 의미를 둘 필요 없습니다.
4. 정보보호 및 개인정보 관리체계 인증(ISMS-P)은 인증 기준이 3개 영역, 102개 항목으로 세분화되어 있다. 이 중 3개 영역을 기술하시오.
(답) 관리체계 수립 및 운영, 보호대책 요구사항, 개인정보 처리 단계별 요구사항
- ISMS-P 의 인증 기준 3대 영역은 가장 기본이 되는 사항이라, 반드시 맞춰야 합니다.
5. 유닉스의 /var/log/message 로그가 다음과 같이 기록되어 있다. 로그의 내용을 5개 항목으로 나누었을 때 ( ) 가 의미하는 바를 기술하시오.
</var/log/message 샘플>
Mar 29 14:23:57(로그생성일시) alex(로그가 생성된 호스트 명) kernel:(3) [295087,236116](4) Call Trace:(5)
Mar 29 14:23:57 alex kernel: [295087,236131] do_idle+0x83/0xf0
Mar 29 14:23:57 alex systemd [1] apt-daily-upgrade.service: Consumed 50.187s CPU time
(답) 로그를 생성한 프로세스명, 로그를 생성한 프로세스의 프로세스 번호, 상세 로그 메시지
- 수험서에는 message 로그 샘플이 실려 있습니다. 상식 수준에서 정답을 기술할 수 있는 문제입니다.
6. SQL Injection 취약점을 대응하는 방법에 대한 설명이다. ( ) 에 들어갈 용어를 설명하시오.
<공격 대상 SQL 구문>
string query = "select * from member a where gubun = '" + a.gubun "'"
<대응 방법>
외부로부터 입력받은 값을 검증하지 않고, SQL문을 생성하는데 그대로 사용하는 경우 문제가 발생할 수 있다. 즉, gubun 값으로 a' or 'a'='a 를 입력하는 경우 쿼리가 항상 참이 되므로 member 테이블의 모든 내용이 조회된다. 이에 대한 대응 방안으로 파라미터를 받는 ( ) 객체를 상수 스트링(?) 으로 정의하고, 파라미터를 setString 과 같은 메소드로 설정하면 외부의 입력이 쿼리문의 구조를 바꾸는 것을 예방할 수 있다.
(답) Prepared Statement
- 18회 서술형으로 출제된 prepared statement 가 단답형으로 변형되어 출제되었습니다. 반드시 맞춰야 합니다.
7. 리눅스의 PAM(Pluggable Authentication Module) 모듈의 종류에 대한 설명이다. ( )에 들어갈 모듈명을 기술하시오.
1) ( A ) : 실질적인 인증기능, 패스워드 확인을 담당하는 모듈
2) ( B ) : 사용자의 시스템 사용 권한을 확인하는 모듈
3) password : 패스워드를 설정하거나 확인하는 데 사용하는 모듈
3) ( C ) : 사용자가 인증 성공 시 세션을 맺어주는 모듈
(답) auth, account, session
- 수험서에 있는 내용입니다. 최소한 2점 이상 획득해야 합니다.
8. Salvatore Sanfilippo가 개발한 보안 테스트 툴로 ICMP, TCP, UDP 등과 같은 다양한 프로토콜을 지원한다. 다량의 공격용 패킷을 생성하여 DDoS 훈련 목적으로도 사용하는 이 툴의 이름은 무엇인가?
(답) hping3
- 오프라인 실기 과정에서 iptables로 DDoS 공격 탐지 정책을 등록하는 실습 진행시 syn 요청을 초당 10개 이상 발생시키기 위해 사용했던 바로 그 tool 입니다. 툴 개발자명까지 알고 있는 분은 거의 없을 것으로 생각되며, 정답을 맞힌 분도 적을 것으로 판단됩니다.
9. 보안 점검 도구에 대하여 ( )에 들어갈 명칭을 기술하시오.
- Tripwire은 ( A ) 을 점검하는 도구이다.
- ( B ) 는 미국 Tenable사가 개발하였고, 네트워크에 연결된 다양한 종류의 시스템에 대하여 자동화된 취약점 스캔을 지원하며 광범위한 취약점 DB를 가지고 있다.
(답) 무결성, NESSUS
- NESSUS의 경우 수험서에 툴 명은 기술되어 있으나, 개발사까지는 언급되어 있지 않아 정답을 맞히기는 어려웠으리라 생각됩니다. Tripwire무결성은 기본이 되는 토픽이므로 부분점수 1점은 획득해야 합니다.
10. CVE-2014-0160으로 알려진 오픈 SSL 취약점이다. 오픈 SSL의 하트비트 체크 로직의 취약점을 악용하여 시스템 메모리에서 중요 데이터를 탈취할 수 있는 이 취약점의 이름은 무엇인가?
(답) 하트블리드 (HeartBleed)
- 수험서에 있는 내용으로 반드시 맞춰야 합니다.
11. 위험관리 3단계에 대한 설명이다. ( )에 들어갈 단계명을 기술하시오.
( A ) : 자산의 위협과 취약점을 분석하여 보안 위험의 종류와 규모를 결정하는 과정
( B ) : 식별된 자산, 위협 및 취약점을 기준으로 위험도를 산출하여 기존의 보호대책을 파악하고 위험의 대응 여부와 우선 순위를 결정하기 위한 평가 과정
(대책 선정) : 허용가능 수준으로 위험을 줄이기 위해 적절하고 정당한 정보보호 대책을 선정하고 이행 계획을 수립하는 과정
(답) 위험분석, 위험 평가
- 수험서에 있는 내용으로 반드시 맞춰야 합니다.
12. 위험관리를 위한 정보자산 분석 절차에 대한 설명이다. ( )에 들어갈 단계명을 기술하시오.
( A ) : 보호받을 가치가 있는 자산을 식별하고, 이를 정보자산의 형태, 소유자, 관리자, 특성 등을 포함하여 자산 목록을 작성
(자산 관리자 지정) : 식별된 정보자산에 대하여 책임자 및 관리자 지정
( B ) : 식별된 자산에 대해 침해 사고가 발생할 경우 그 영향을 기밀성, 무결성, 가용성 측면에서 파악하여 자산의 중요도를 산정
(답) 정보자산 식별, 정보자산 중요도 평가
- 정보자산 분석 절차에 대한 상세 설명은 수험서에는 없는 내용이나, 정보자산을 식별하고 자산의 중요도를 산정하는 것은 위험관리에서 매우 중요합니다. 부분 점수 1점 이상 획득 필요합니다.
- [서술형]
13. PHP 로 작성된 게시판의 소스코드이다. 해당 게시판의 취약점명, 업로드 로직을 우회하는 기법, 공격이 성공하기 위한 조건을 설명하시오.
<게시판 소스 코드>
<?
// 파일 확장자 중 업로드를 허용할 확장자를 정의함
$full_filename = explode(".", $_FILES['userfile']['name']);
$extension = $full_filename[sizeof($full_filename)-1];
if (!( ereg($extension","hwp") || ereg($extension","pdf") || ereg($extension","jpg")) )
print "업로드 금지 파일 입니다";
exit;
If (($_FILES["file"]["type"] == "image/gif") || ($_FILES["file"]["type"] == "image/jpeg") ||
($_FILES["file"]["type"] == "image/JPG") || ($_FILES["file"]["type"] == "text/plain"))
{
echo "파일 업로드 성공"
}
else
{
echo "파일 업로드 실패. 허용된 파일의 형식이 아닙니다."
}
?>
(답)
1) 파일 업로드 취약점 : 실행 가능한 파일을 웹서버에 업로드 하여 중요정보 탈취, 시스템 명령어 수행 등과 같은 악의 적인 행위 가능
2) 우회 기법
2-1) 파일 타입 변조 : Proxy 툴을 이용하여 Request Message 헤더내에 파일 유형을 알려주는 Content-Type 속성을 image/jpeg 으로 변경
2-2) 파일 확장자 변조 : 파일 확장자를 대소문자를 섞거나(test.PhP), 이중 확장자(test.php.jpeg or test.jpeg.php) 사용
2-3) Null 바이트 삽입 : Null바이트(%00)와 .jpeg 확장자를 함께 접목하여 업로드(예: test.php%00.jpeg)하면 파일 확장자 검증 로직은 통과되고, 서버에 저장시에는 Null바이트를 문자의 끝으로 해석하여 test.php로 저장됨.
3) 공격 성공 조건
3-1) 파일 타입 또는 확장자 변조가 서버의 필터링 로직을 통과해야 함
3-2) 업로드 하는 파일이 서버에 설정된 업로드 제한 조건(예: 사이즈 제한(LimitRequestBody)에 걸리지 않아야 함
3-3) 업로드 된 파일이 서버에 설정된 아래와 같은 실행 제한 조건에 걸리지 않아야 함
- AddType 지시자에 따라 MIME type 이 text/html로 재조정(실행불가)
- FileMatch 지시자에 따라 직접 URL 호출 금지
- 파일 업로드 취약점은 수험서에서 중요하게 다루어지는 토픽 중 하나입니다. 특히 대응 방안에 대해서는 기출문제에서도 자주 출제되었기 때문에 공격이 성공하기 위한 조건은 대응 방안과 연계해서 기술하면 됩니다. 최소 8점이상 획득하기 위해 그동안 공부한 내용을 총동원해서 쥐어짜내야 합니다.
14. TCP 헤더에 포함되어 있는 6비트의 Flag 에 대한 설명이다. ( ) 에 적절한 설명을 기술하시오.
URG : 긴급하게 전송할 데이터가 있는 경우 사용하며, 순서에 상관없이 우선순위를 높여 처리됨
PSH : 버퍼링된 데이터를 버퍼가 찰 때까지 기다리지 않고 수신 즉시 애플리케이션 계층으로 전달
SYN : ( A )
ACK : ( B )
FIN : ( C )
RST : ( D )
(답)
1) 최초 연결 수립을 요청하고, 순서 번호를 동기화할 때 사용됨
2) 상대로부터 패킷을 받았다는 것을 알려주며, 일반적으로 받은 시퀀스 번호에 +1 하여 응답을 보냄
3) 송신 장비가 연결 종료를 요청 시 사용
4) 연결 상의 문제가 발생한 비정상 세션을 강제로 끊을 때 사용
- 수험서에 포함된 토픽으로, 최소 10점 이상 획득이 필요합니다.
15. 윈도우 OS에서 사용하는 NetBIOS 바인딩이 보안상 취약한 이유와 보안 설정하는 방법을 설명하시오.(보안 설정은 ncpa.cpl을 이용하여 설명)
(답)
1) 보안상 취약한 이유 : 인터넷에 직접 연결되어 있는 윈도우 시스템에 NetBIOS TCP/IP 바인딩이 활성화되어 있는 경우, 공격자가 원격에서 네트워크 공유자원을 사용할 우려가 존재하기 때문
2) 보안설정 방법 : 윈도우 OS에서 시작> 실행> ncpa.cpl> 로컬 영역 연결> 속성> TCP/IP> [일반] 탭에서 [고급] 클릭> [WINS]
탭에서 TCP/IP에서 “NetBIOS 사용 안 함” 또는, “NetBIOS over TCP/IP 사용 안 함” 선택
- 수험서에는 없는 토픽입니다. 주요정보통신기반시설 기술적 취약점 분석/평가 방법 상세 가이드(Page 214)에 있는 내용입니다. 보안 설정 방법은 모르더라도 취약한 이유에 대해서는 최대한 상식선에서 물고 늘어져야 합니다. 그래야 부분 점수를 단 2점이라도 획득할 수 있습니다.
16. 보안 이벤트 분석 결과 1초에 1000번 이상 다음과 같은 패킷이 유입되고 있는 것이 확인되었다. 패킷 헤더 중 a, b를 보고 어떤 공격인지 설명하시오.
<HTTP Request>
GET /test.jsp
Host : webserver.com
User-Agent : Mozilla/5.0
Referer : http://www.abc.com/default.jsp (a)
Cache-control : max age=0 (b)
(답)
1) 공격명 : HTTP Get Flooding with Cache Control (C&C Attack)
2) 공격명 판단 사유 : Cache-Control 요청 헤더에 max-age=0 옵션이 설정되었기 때문에 no cache 와 유사하게 동작함. 이에, 모든 요청은 캐시서버가 아닌 원본 웹서버로 향하게 되어 부하를 가중시킴. 또한 /test.jsp를 호출한 서버(Referer) 가 공격 대상 Host와 다르므로, 제3의 호스트(www.abc.com)에 존재하는 default.jsp 를 통해 대량의 자동화된 공격 패킷이 유입된 것으로 추정됨.
- Cache Control 공격은 수험서에 있는 토픽이고, 초기 실기 시험에 출제된 문제와 동일합니다.. 어떤 공격인지 설명하라고 했지만 공격명만 기술하면 안 되고, 패킷 헤더를 보고 Cache Control 공격이라고 판단한 사유도 추가로 설명해야 합니다.
- [실무형]
17. 코로나 극복 후 새로운 서비스를 재개하려는 소상공인이 있다.
기존에 보유하고 있던 1만 명 미만의 고객 정보를 프리미엄 서비스에 활용하는 경우 개인정보의 안전성 확보 조치 기준에 따라 개인정보처리시스템 접근권한 관리, 접근통제를 위해 준수해야 할 사항을 기술하시오.
(답)
1) 개인정보처리시스템 접근권한 관리
② 개인정보처리자는 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가
변경되었을 경우 지체없이 개인정보처리시스템의 접근 권한을 변경 또는 말소하여야 한다.
③ 개인정보처리자는 제1항 및 제2항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관하여야 한다.
④ 개인정보처리자는 개인정보처리시스템에 접속할 수 있는 사용자계정을 발급하는 경우 개인정보취급자 별로 사용자계정을 발급하여야 하며, 다른 개인정보취급자와 공유되지 않도록 하여야 한다.
⑤ 개인정보처리자는 개인정보취급자 또는 정보주체가 안전한 비밀번호를 설정하여 이행할 수 있도록 비밀번호 작성규칙을 수립하여 적용하여야 한다.
2) 개인정보처리시스템 접근 통제.
① 개인정보처리자는 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각 호의 기능을 포함한 조치를 하여야 한다.
1. 개인정보처리시스템에 대한 접속 권한을 IP(Internet Protocol)주소 등으로 제한하여 인가받지 않은 접근을 제한
2. 개인정보처리시스템에 접속한 IP(Internet Protocol)주소 등을 분석하여 불법적인 개인정보 유출 시도 탐지 및 대응
③ 개인정보처리자는 취급중인 개인정보가 인터넷 홈페이지, P2P, 공유설정, 공개된 무선망 이용 등을 통하여 열람권한이 없는 자에게 공개되거나 유출되지 않도록 개인정보처리시스템, 업무용 컴퓨터, 모바일 기기 및 관리용 단말기 등에 접근 통제 등에 관한 조치를 하여야 한다.
⑥ 개인정보처리자가 별도의 개인정보처리시스템을 이용하지 아니하고 업무용 컴퓨터 또는 모바일 기기를 이용하여 개인정보를 처리하는 경우에는 제1항을 적용하지 아니할 수 있으며, 이 경우 업무용 컴퓨터 또는 모바일 기기의 운영체제(OS : Operating System)나 보안프로그램 등에서 제공하는 접근 통제 기능을 이용할 수 있다.
⑦ 개인정보처리자는 업무용 모바일 기기의 분실․도난 등으로 개인정보가 유출되지 않도록 해당 모바일 기기에 비밀번호 설정 등의 보호조치를 하여야 한다.
- 1만명 미만 고객 정보를 보유한 소상공인의 경우 유형1(완화)에 해당하므로 필수 준수 항목은 아래와 같습니다. 법 조항의 요구 기준을 모두 외워서 쓰기는 어려웠으리라 판단됩니다. 따라서, 이 문제를 선택해서 푸신 분들은 거의 없었을 것으로 생각됩니다.
- <유형 1 필수 준수 항목>
- · 제5조 : 제2항부터 제5항까지
- · 제6조 : 제1항, 제3항, 제6항 및 제7항
18. Korea.co.kr 도메인의 존 파일을 설정하려고 한다. MASTER와 SLAVE DNS 서버의 named.conf 설정값을 각각 작성하시오. (zone 파일은 ns.korea.co.kr.zone 이다)
- master name 서버 : ns1.korea.co.kr (192.168.1.53)
- slave name 서버 : ns2.korea.co.kr (192.168.2.53)
(답)
1) Master DNS 서버의 zone 파일 설정
/etc/named.conf
zone "ns.korea.co.kr" IN {
type master;
file "ns.korea.co.kr.zone";
allow-update { 192.168.2.53; };
};
2) Slave DNS 서버의 zone 파일 설정
/etc/named.conf
zone "ns.korea.co.kr" IN {
type slave ;
file "slave/ns.korea.co.kr.zone";
masters { 192.168.1.53; };
allow-update { none; };
};
- 지난 회차에 이어 DNS zone 파일 설정 문제가 연속으로 출제되었습니다. ( ) 을 채우는 것이 아니라, 전체 설정을 모두 기술하라는 것으로 출제된 것이 맞다면 모든 내용을 정확하게 작성하기는 어려웠으리라 생각됩니다. 그래도, 최소한 부분 점수 10점 이상은 획득해야 합니다.
24회 정보보안기사 실기시험 문제분석
1. 개인정보보호위원회와 한국인터넷진흥원에서 발간한 "개인정보영향평가 수행 안내서"에 따르면 위험도 산정 공식을 다음과 같이 제시하고 있다. ( )에 들어갈 항목명을 기술하시오.
<위험도 산정 공식>
위험도 = 자산가치(영향도) + ((A) * (B)) * (C)
(답) 침해요인 발생 가능성, 법적 준거성, 2
- 해당 안내서를 보지 않았으면 맞추기 어려운 문제였습니다. 실무에 도움이 되는 사항이므로 아래 링크에서 안내서를 다운로드 받으신 후 112~114페이지 부분을 한번 읽어보시기 바랍니다. 최근에 개정된 신버전에서는 64페이지, 116페이지를 참조하시면 됩니다.
- 참조(구버전) https://www.privacy.go.kr/cmm/fms/FileDown.do?atchFileId=FILE_000000000841139&fileSn=1
- 참조(신버전: 2024년 4월 개정)
- https://www.privacy.go.kr/cmm/fms/FileDown.do?atchFileId=ATCH_000000000881356&fileSn=1
2. DB 암호화 기법에 대한 설명이다. ( )에 해당하는 기법의 명칭을 기술하시오.
( A ) : 암복호화 모듈이 API 라이브러리 형태로 각 애플리케이션 서버에 설치되고, 응용프로그램에서 암복화 모듈을 호출하는 방식
( B ) : 암복호화 모듈이 DB서버에 설치되고 DBMS에서 플러그인으로 연결된 암복화 모듈을 호출하는 방
( C ) : DBMS에 내장되어 있는 암호화 기능을 이용하여 암복호화 처리를 수행하는 방식
(답) API, Plug-in, TDE(Transparent Data Encryption)
- 수험서에 있는 내용이므로, 반드시 맞춰야 합니다.
- 참조 : http://wiki.hash.kr/index.php/%EB%8D%B0%EC%9D%B4%ED%84%B0%EB%B2%A0%EC%9D%B4%EC%8A%A4_%EC%95%94%ED%98%B8%ED%99%94
3. LAN 스위칭 기법에 대한 설명이다. ( )에 해당하는 기법의 명칭을 기술하시오.
( A ) : 프레임의 헤더(목적지 주소)만을 보고 경로를 결정해 주는 방식
( B ) : 프레임의 앞 64바이트만을 읽어 에러를 처리하고, 목적지 프트로 포워드 하는 방식
( C ) : 전체 프레임을 다 받은 다음에 경로를 결정하는 방식
(답) Cut through, Modified Cut through (Fragment Free), Store and Forward
- 수험서에 있는 내용입니다. 최소 2점 이상 획득이 필요합니다.
- 참조 : http://www.ktword.co.kr/test/view/view.php?no=2882
4. EAP를 통해 인증을 수행하고 AES-CCMP 기반 암호화를 지원하는 무선랜 보안 표준은?
(답) WPA2
- 수험서와 기출에서 모두 다루어진 문제입니다. 반드시 맞춰야 합니다.
5. VLAN(Virtual LAN) 의 주소 할당 방법에 대한 설명이다. ( ) 에 해당하는 방식명을 기술하시오.
( A ) : VLAN 할당을 관리자가 각 스위치에서 직접 할당하는 방식
( B ) : MAC주소 등을 기반으로 VLAN 할당이 자동으로 이루어지는 방식
(답) 정적 VLAN(포트 주소 기반), 동적 VLAN(MAC 주소 기반)
- 수험서에 VLAN은 포함되어 있으나, 주소 할당 방법에 대한 자세한 설명은 없으므로 정답을 맞히기 어려웠으리라 생각됩니다.
- 참조 : http://www.ktword.co.kr/test/view/view.php?nav=2&no=2022&sh=VLAN
6. 검색로봇에게 웹사이트의 페이지를 수집할 수 있도록 허용/제한하는 국제 권고안으로 웹사이트의 루트 디렉터리에 위치해야 하며, 로봇 배제 표준을 따르는 일반 텍스트 파일(text/plain)로 작성해야 하는 파일명은 무엇인가?
(답) robots.txt
- 13회, 15회에 출제된 문제이며, 수험서에도 포함되어 있으므로 반드시 맞춰야 합니다.
7. ISO 31000 위험평가 방법론에 따른 위험평가 절차에 대한 설명이다. ( )에 들어갈 위험평가 단계명을 기술하시오.
( A ) : 운영 실패, 공급망 중단 또는 인재 격차와 같은 외부 및 내부 위험을 고려하여 잠재된 위험 식별
( B ) : 확인된 위험이 조직의 목표 및 운영에 미칠 가능성과 잠재적 영향을 분석
( C ) : 조직의 위험 감수성(Risk Appetite), 수용 능력, 위험과 보상 간의 균형을 고려하여 위험 허용 수준(DoA) 결정하고, 위험의 중요성에 따라 위험 처리 필요성을 결정
(답) 위험식별, 위험분석, 위험평가
- 위험평가 절차는 17회에 출제된 바 있습니다. 최소 2점 이상 획득해야 합니다.
- 참고 : https://www.boannews.com/media/news_print.asp?idx=50393
8. 다음과 같은 기능을 수행하는 정보보호 솔루션의 이름은 무엇인가?
- PC에 설치된 에이전트, 네트워크 센서를 통하여, 이동식 디스크, 이메일, 메신저, 웹사이트 파일 업로드를 이용한 내부 문서 이동 탐지
- HTTPS와 같은 암호화 통신에서도 중요 내부 문서 이동 탐지 가능
- 일부 솔루션에서는 파일 암호화, 파일 삭제와 같은 부가 기능 탑재
(답) DLP(Data Loss Prevention)
- 수험서에 있는 내용으로 반드시 맞춰야 합니다.
9. 유닉스에서 현재 실행되고 있는 프로세스 정보가 기록되며, 숨겨진 프로세스를 찾기 위해 참조하는 경로는 /( A )이다.
(답) proc
- 기출문제와 수험서에 포함된 내용으로 반드시 맞춰야 합니다.
10. 다음 아파치 로그를 보고 물음에 답하시오
<아파치 로그>
200.3.1.4 - - [30/May/2023:01:20:01 +09:00] "(1) GET /bulletin/read.php?no=101&item=book (2) HTTP/1.1" 200 3549 (3) "http://test.co.kr/main.php" "Mozilla/5.0 (compatible;MSIE 10.0;Windows NT 6.1;WOW64;Trident/6.0)"
1) no=101&item=book 의 의미는?
2) http 상태코드는 무엇인가?
3) http://test.co.kr/main.php 의 의미는?
(답)
1) /bulletin/read.php 파일을 GET 방식으로 호출할 때 2개의 파라미터(no, item)에 값을 각각 할당하여(no=101 and item=book) 매칭되는 결과를 요청
2) 200 (웹서버가 요청을 정상적으로 처리했음을 의미)
3) 현재 URL을 호출한 referer URL을 의미(즉, test.co.kr/main.php에서 GET 방식으로 현재 URL(/bulletin/read.php)를 호출하였음)
- 수험서에도 포함되어 있고, 23회 기출문제에서도 다루어진 내용으로, 최소 2점 이상 획득해야 합니다.
11. 개인정보 가명처리 기법 중 수치 데이터를 임의의 수인 자리수, 실제 수 기준으로 올림 또는 내림 처리하는 기법의 명칭은 무엇인가?
(답) 랜덤 라운딩
- 수험서에 없는 신규 문제로 맞추신 분은 거의 없을 것으로 보입니다. 아래 가명정보 처리 가이드라인의 85~92 페이지를 참조하시기 바랍니다.
- 참조 : https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS217&mCode=D010030000&nttId=9900#LINK
12. 아파치 SW 재단에서 개발한 JAVA 기반의 오픈소스 프로그램으로 자바기반 프로그램을 개발할 때 로그를 쉽고 편하게 남기기 위한 목적으로 사용된다. 2021년말 이 프로그램의 JNDI Lookup 메소드를 호출할 때 입력값에 대한 검증 없이, 임의의 코드가 실행되는 취약점이 발견되어 전세계를 떠들썩하게 만들었던 프로그램의 이름은 무엇인가?
(답) Log4J
- 수험서에는 없는 내용이나, 오프라인 강의 시 OWASP Top 10 취약점 설명할 때 말씀드렸던 프로그램입니다. 보안 뉴스와 같이 최신 보안 동향도 관심을 가지고 보시면 좋겠습니다.
- [서술형]
13. 다음의 두 가지 조치가 필요한 이유를 설명하시오.
1) chmod -s {파일명}
2) find / -user root -type f \( -perm -4000 -o -perm -2000 \) |xargs ls -al
(답)
1. 두 가지 조치의 의미
1) 특정 파일에 설정된 특수 비트(SetUID, SetGID) 를 제거함.
2) / 경로 하위에 존재하는 root 가 소유주인 파일 중 특수비트(SetUID, SetGID)가 설정된 파일을 검색함.
2. 두가지 조치가 필요한 이유
- 특수비트가 설정된 파일을 실행하는 경우 파일의 소유주(SetUID 설정시), 또는 소유그룹(SetGID 설정시) 권한으로 실행됨. 특히 root 가 소유주 또는 소유 그룹인 파일에 특수비트가 설정되면, 일반 사용자 계정으로 실행하더라도 root 권한으로 실행되어 악의적인 행위가 가능하기 때문임.
- 특수비트는 매우 중요하며, 시험에 자주출제된 토픽입니다. chmod -s 명령의 경우 정확한 의미를 모르시는 분들이 많으셨을 것 같습니다. 그래도 s권한을 마이너스하는 것으로 유추할 수 있었을 거라 생각됩니다. 두 가지 조치가 필요한 이유를 물어봤습니다. 두 가지 명령의 정확한 의미를 쓰지 못했더라도, 이유에 집중해서 잘 쓰셨으면 문제에 배정된 점수를 가져가시는데 큰 어려움은 없었을 거라 판단됩니다.
14. rsh, rlogin, rexec 등은 인증 없이 관리자의 원격접속을 가능하게 하는 명령어들이므로 사용하지 않는 것이 안전하다. 불가피하게 사용하는 경우 /etc/hosts.equiv, $HOME/.rhosts 파일의 소유자, 권한, 파일 내 보안 설정을 어떻게 해야 안전한지 설명하시오.
(답)
1) /etc/hosts.equiv 및 $HOME/.rhosts 파일의 소유자를 root 또는, 해당 계정으로 변경
- chown root /etc/hosts.equiv
- chown <해당 계정명> $HOME/.rhosts
2) 두 개 파일의 권한을 600 이하로 변경
- chmod 600 /etc/hosts.equiv
- chmod 600 $HOME/.rhosts
3) 두 개 파일 내에서 "+"를 제거하고 허용할 호스트 및 계정만 등록
(설정 예시)
+ + # 모든 호스트의 모든 유저가 내 서버로 인증 없이 접속가능
hostA # 2번째 필드가 없다면 hostA의 현재 사용 중인 유저 접속가능
hostA + # hostA 의 모든 유저가 인증없이 접속 가능
hostA user01 # hostA 의 user01 사용자만 인증없이 접속가능.
- 수험서에 없는 신규 토픽이라 맞추기 어려웠으리라 생각됩니다. 주요정보통신기반시설 기술적 취약점 분석/평가 방법 상세 가이드(Page 34~35)에 있는 내용입니다. 잘 모르더라도 최대한 물고 늘어져야 합니다. 그래야 부분 점수를 4점~6점이라도 획득할 수 있습니다.
15. IPTables와 관련하여 다음 물음에 답하시오.
1) IPTables의 3가지 Chain 설명
2) 다음 IPTables 룰의 의미 설명
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "[Faked NEW request]"
(답)
1-1) INPUT Chain : 방화벽이 최종 목적지인 룰이 등록되는 체인
1-2) FORWARD Chain : 방화벽을 경유하는 룰이 등록되는 체인
1-3) OUTPUT Chain : 방화벽이 최초 출발지인 룰이 등록되는 체인
2) TCP 연결을 신규(NEW)로 맺는 패킷의 TCP Flag값이 SYN이 아닌 경우 "[Faked NEW request]"을 접두어로 하여 로그에 남기라는 의미
- IPTables는 기본 토픽이며 시험에도 자주 출제됩니다. 이번 회차 합격을 위해서는 12점 모두 획득해야 합니다.
16. SNMP 서비스 사용 시 적용되어야 하는 보안 설정 4가지를 설명하시오.
(답)
1) 커뮤니티 스트링을 default 값이 아닌 유추하기 어려운 값으로 변경한다.
2) 암호화가 지원되는 SNMP 버전 3을 사용한다
3) ACL을 적용하여 SNMP를 이용할 수 있는 호스트를 제한한다.
4) RW(Read-Write)모드는 삭제하고 가급적 RO(Read-Only)모드를 사용한다.
- SNMP는 수험서에 포함된 내용입니다. 4개를 모두 정확히 기억해 내긴 어려웠을 것으로 보입니다만 이번 회차 합격을 위해서는 부분점수 8점 이상(2개는 확실히 맞추고 나머지는 유사하게) 획득해야 합니다.
- [실무형]
17. A기업에서는 다양한 유닉스 계열 서버를 운영하고 있다. Solaris, Linux, AIX, HP-UX 서버에서 패스워드 최소 길이를 8자리 이상으로 강화하기 위한 설정 방법을 기술하시오.
(답)
1) Solaris
- 설정대상 파일 : /etc/default/passwd
- 설정값 : PASSLENGTH = 8
2) Linux
- 설정대상 파일 : /etc/login.defs
- 설정값 : PASS_MIN_LEN 8
3) AIX
- 설정대상 파일 : /etc/security/user
- 설정값 : minlen = 8
4) HP-UX
- 설정대상 파일 : /etc/default/security
- 설정값 : MIN_PASSWORD_LENGTH = 8
- 수험서에 있는 내용이나, 리눅스를 제외한 나머지 OS까지 외우고 준비하신 분은 많지 않으리라 생각됩니다. 주요정보통신기반시설 기술적 취약점 분석/평가 방법 상세 가이드에도 4개 OS에 대한 설정 방법이 담겨 있습니다.
18. xinetd 서비스에 대한 환경설정 파일에서 (1) ~(4)에 적절한 값을 기술하시오.
# cd /etc/xinetd.d/
# cat telnet
service telnet
{
flags = REUSE # 서비스 포트가 사용중인 경우 해당포트 재사용허용
socket_type = stream #TCP 프로토콜 선택
wait = no # 한번에 다중사용자에게 서비스 제공
user = root # root 권한으로 실행
server = /usr/sbin/in.telnetd #실행할 데몬 파일
log_on_failure += USERID #서버 접속 실패시 USERID를 로그에 기록
disable = no # 서비스 사용
( 1 ) = 10.0.0.0/8 # 10.0.0.0/8 대역은 서비스 미허용
( 2 ) = 192.168.10.0/24 # 192.168.10.0/24 대역은 서비스 허용
( 3 ) = 3 # 동시에 접속가능한 최대 세션 수 3개
access_time = ( 4 ) #접속을 허용할 시간 (9시 ~ 18시)
}
(답)
1) no_access
2) only_from
3) instances
4) 09:00-18:00
- 수험서에 있는 내용이나, 최근 3년 치 기출문제에선 출제된 이력이 없어 학습을 소홀히 하기 쉬운 토픽입니다. 수험서를 철저히 학습하는 것이 중요한 이유를 다시금 일깨워 주었습니다.
25회 정보보안기사 실기시험 문제분석
1. 다음은 윈도우 OS의 계정 그룹 5가지 유형에 대한 설명이다. ( ) 에 들어갈 그룹명을 기술하시오.
Administrators : 도메인 또는 로컬 컴퓨터에 대한 모든 권한 보유
( A ) : 일반 사용자보다는 많은 권한을 가지나, Administrators 그룹보다는 제한적인 권한 보유
( B ) : 시스템 백업을 목적으로 모든 파일과 디렉터리 접근 가능
( C ) : 도메인 및 로컬 컴퓨터를 일반적으로 사용하는 그룹
Guests : 제한된 권한을 가지며 일시적으로 시스템을 사용하는 사용자를 위해 설계됨
(답) Power Users, Backup Operators, Users
- 수험서에 포함되어 있는 기본 토픽입니다. 3점 모두 얻어야 합니다.
2. 전자기기에서 발생되는 불필요한 전자 방사를 통해 민감한 정보를 도청하거나 유출하는 것을 방지하기 위한 일련의 표준과 기술을 무엇이라 하나?
(답) TEMPEST (Telecommunications Electronics Material Protected from Emanating Spurious Transmissions
- 수험서에 없는 내용이나, 보기가 제시되었기에 유추하여 맞춰볼 수 있는 문제였습니다.
- TEMPEST 기술을 통해 정부, 군사 및 민간 기관은 전자기 방사로 인한 도청 및 정보 유출의 위험을 최소화할 수 있습니다. 다양한 물리적 및 기술적 방법(차폐, 필터링, 거리 유지, 장비 인증)을 사용하여 전자기 방사를 차단하고, 정보 보안을 강화합니다.
- 참고로, EMP(ElectroMagnetic Pulse)는 전자기 방사를 이용하여 전자기기를 파괴하거나 기능을 방해하기 위한 목적으로 행해지는 공격 기술입니다. 즉, TEMPEST는 정보 유출(기밀성)을 방지하기 위한 보호 기술이고, EMP는 전자기기의 가용성을 손상시키기 위한 공격 기술입니다.
- 참조 : 템페스트 (암호명) - 위키백과, 우리 모두의 백과사전 (wikipedia.org)
3. IPSec이 제공하는 보안 기능 3가지를 기술하시오.
(답) 접근제어, 비연결형 무결성, 데이터 근원지 인증, 재전송 방지, 기밀성, 제한적 트래픽 흐름의 기밀성
- 수험서에 있는 내용이고, 기출문제로도 자주 출제되는 문제입니다. 3점 모두 얻어야 합니다.
4. 공격자가 사용자와 서버 간의 활성화된 세션을 가로채어 사용자의 신원으로 서버와 통신을 시도하는 공격 기법을 무엇이라 하나?
(답) 세션 하이재킹(Session Hijacking)
- 수험서와 기출에서 모두 다루어진 문제입니다. 3점 모두 얻어야 합니다.
5. 정보보호대책은 안전대책, 통제 혹은 위협을 감소시키기 위한 정보보호조치를 의미하며, 크게 다음과 같이 3가지로 구분된다.
( A ) 은/는 발생 가능한 잠재적인 문제들을 식별하여 사전에 대처하는 능동적인 개념의 통제로 2가지로 나눌 수 있다.
( B ) 란 관계자 이외의 사람이 특정 시설이나 설비에 접근할 수 없게 하는 각종의 통제를 의미하며, ( C )란 승인을 받지 못한 사람이 정보통신망을 통하여 자산에 대한 접근을 막기 위한 통제방법이다.
(답) 예방 통제, 물리적 접근 통제, 논리적 접근 통제
- 수험서와 기출에서 모두 다루어진 문제입니다. 3점 모두 얻어야 합니다.
6. 메일 보안을 위하여 릴레이 설정을 하려고 한다. 다음 보기에 기술된 요구사항을 충족시키기 위하여 /etc/mail/access 에 설정해야할 옵션값( )을 기술하시오.
(보기)
kca.or.kr 도메인의 메일은 릴레이를 허용한다.
spam.com 도메인의 메일은 폐기한다.
(/etc/mail/access 설정)
kca.or.kr ( A )
spam.com ( B )
(답) RELAY, DISCARD
- 수험서와 기출에서 모두 다루어진 문제입니다. 3점 모두 얻어야 합니다.
- B의 경우, 문제에서 spam.com 도메인의 메일을 거부한다고 되어 있었다면 REJECT도 정답이 될 수 있으나, 폐기한다고 했다면 DISCARD가 맞습니다. REJECT은 발신자에게 해당 메일이 거부되었다는 오류 메시지를 보내지만, DISCARD는 삭제 처리하고, 아무런 오류 메시지를 보내지 않기 때문입니다.
7. 다음 기능을 제공하는 도구를 무엇이라 하나?
- 사용자가 웹 사이트와 주고받는 HTTP/HTTPS 요청과 응답을 중간에서 가로채어, 수정하거나 분석할 수 있게 해주는 도구이다.
- Paros, Burp Suite, ZAP(Zed Attack Proxy) 가 대표적이며, 해킹 공격에도 사용되고, 웹 사이트의 보안 취약점 테스트 목적으로도 사용된다.
(답) 웹 프락시(Web Proxy)
- 수험서와 기출에서 모두 다루어진 문제입니다. 3점 모두 얻어야 합니다.
8. IP 주소가 200.100.50.25 (C 클래스)이고, 서브넷 마스크가 255.255.255.192 일 때, 서브넷 마스크를 2진수로 작성하시오.
(답) 11111111.11111111.11111111.11000000
- 수험서에 있는 내용이며 기본 토픽입니다. 3점 모두 얻어야 합니다.
9. 프로그램에 의도적으로 잘못된 형식의 데이터 또는 무작위 데이터를 입력하여 프로그램의 취약점이나 버그를 찾는 SW 테스트 기법을 무엇이라고 하나?
(답) Fuzzing(퍼징)
- 수험서에 포함된 내용입니다. 또한, 보기가 제시되어 있었기에 유추해서 맞출 수 있는 문제였습니다.
- 퍼징 기법을 이용하면, 프로그램의 예외 처리 능력, 안정성, 보안 취약성을 검증하는 데 유용합니다. 참고로, Burp Suite나 ZAP과 같은 웹 프락시 도구는 웹 애플리케이션 보안 테스트를 위한 Fuzzing 기능을 포함하고 있어서, 다양한 HTTP 요청을 변형하여 웹 애플리케이션의 취약점을 찾을 수 있습니다.
10. SSRF(Server Side Request Forgery)는 공격자가 서버가 신뢰하는 특정 서버나 네트워크 리소스에 대해 임의의 요청을 보내도록 서버를 속이는 웹 보안 취약점이다. 주로 서버가 외부 입력을 기반으로 HTTP 요청을 생성하는 기능을 가지고 있을 때 발생한다. SSRF 공격 대응 기법에 대하여 ( )에 들어갈 용어를 기술하시오.
<공격 대응 기법>
• 사용자 입력을 기반으로 요청을 생성할 때는 허용된 도메인이나 IP 주소에 대하여 ( A ) 리스트를 사용하여 필터링한다.
• 만일, 무작위의 입력값을 사용해야 한다면 ( B ) 리스트 방식으로 필터링한다.
(답) 화이트, 블랙
- 수험서에도 포함되어 있는 내용입니다. B의 경우 사용자의 입력값을 특정할 수 없기 때문에, 잘 알려진 악의적인 입력값을 블랙리스트로 관리하여 필터링을 해야 합니다. 하지만 블랙리스트의 유지, 관리가 어렵고 우회 가능성이 높기 때문에 가능하면 입력값을 특정 지어 사용하고, 화이트리스트로 필터링하는 것이 안전합니다.
11. 위험 평가 이후 위험의 중요도에 따라 위험 처리 방안을 결정한다. ( )에 들어갈 위험 처리 방안을 기술하시오.
위험 감소 : 잠재적인 위험에 대해 정보보호 대책을 구현하여 자산, 취약점, 위협 중 하나의 수준을 낮춤
( A ) : 현재의 위험을 받아들이고 잠재적 손실 비용을 감수
( B ) : 위험이 존재하는 프로세스나 사업을 수행하지 않고 포기
( C ) : 보험이나 외주 등으로 잠재적 비용을 제3자에게 이전
(답) 위험 수용, 위험 회피, 위험 전가
- 수험서와 기출에서 모두 다루어진 문제입니다. 3점 모두 얻어야 합니다.
12. 다음 설명에 해당하는 보안 솔루션 명칭을 기술하시오.
<설명>
• 2015년 가트너에서 처음 제시하였음
• 인공지능이 적용되어 지능형 탐지가 가능하고 빅데이터 기반 솔루션보다 진보된 형태의 보안 관제 솔루션
(답) SOAR
- SOAR는 수험서에 포함된 내용이며, 오프라인 수업 시 연습 문제로도 많이 출제된 바 있습니다.
- 그러나, 본 문제에서 SOAR를 설명하는 지문은 SOAR의 본질이 빠져있고, 2015년이라는 시점을 제외하면 오히려 SIEM에 가까운 설명입니다. 따라서, 많은 응시자분들이 SIEM으로 기술하셨을 것으로 보입니다.
- SIEM의 경우 2005년에 가트너에서 만든 용어이지만, 실질적으로 현업에서는 ESM이라는 솔루션을 사용해 왔고, SIEM이 본격적으로 사용되기 시작한 시점은 2015년 이후입니다. SIEM에 인공지능을 적용하여 지능형 탐지 기능을 강화하려는 시도는 최근에 일어나고 있습니다.
- SOAR는 지능형 탐지 솔루션이라기 보다는 SIEM과 연계하여 보안 오케스트레이션(여러 보안도구와 통합하여 연계), 자동화(사람의 수작업 자동 처리), 대응(Playbook 기반 대응 조치(차단, 격리) 자동화) 의 효율성을 높이기 위한 솔루션 입니다.
- 실제 시험문제에는 다른 설명이 포함되어 있었을 수도 있었겠지만, 만약에 문제 지문에 자동화, 대응이라는 용어만 추가되었더라도 많은 수험생분들(특히 실무를 아시는 분들)이 억울하게 3점이 깎이는 상황은 발생하지 않았을 것 같습니다. 향후 문제를 출제할 때 조금 더 신중을 기해 주셨으면 합니다.
- [서술형]
13. SW 보안 약점 진단원이 CBD기반 SW 개발 공정 중 분석 단계 진단 시 검토해야 할 산출물 4가지와 그 내용을 간략히 설명하시오.
(답)
1) 요구사항 정의서(or 명세서) : SW개발에 필요한 기능, 비기능 요구사항을 도출하여 발주사와 내용을 합의 후 체계적으로 작성한 문서
2) 요구사항 추적표(or 추적매트릭스) : 도출된 요구사항을 기반으로 개발 각 단계별 산출물들이 일관성 있게 작성되었는지 추적하기 위한 문서
3) 유즈케이스 다이어그램 : 액터(사용자)가 사용할 수 있는 기능과, 시스템이 제공하는 기능을 도식화하여 보여주는 문서
4) 유즈케이스 명세서 : 유즈케이스 다이어그램에 담긴 액터와 유즈케이스간 상호작용과 내부업무 흐름을 상세하게 설명하는 문서
- 수험서에는 포함되지 않은 신규 문제로, SW보안약점 진단 가이드에서 출제된 것으로 보입니다. 다만, 문제 지문을 좀 더 명확하게 명시해 주었으면 하는 아쉬움이 있습니다. 왜냐면, 가이드 문서에 샘플로 언급된 분석 단계 산출물 4개는 CBD(Component Based Developmemet) 개발 방법론으로 개발하는 경우에 해당하기 때문입니다. 다른 개발 방법론 산출물(비즈니스 요구사항 문서(BRD), 기능명세서(FSD) 등)을 기재하신 경우, 채점 시 적절히 고려하셨으리라 믿습니다.
- 참고로, 문제 복원 시 CBD 기반 개발 공정이라는 문구를 제가 임의로 추가했습니다.
- 본 문제의 경우, 요구사항 정의서와 요구사항 추적표는 공통된 산출물이므로, 부분 점수 2~3점이라도 포기하지 말고 얻어내셔야 합니다.
14. 네트워크 스니핑을 탐지하는 다양한 방법(ping, arp, dns, decoy) 중 Ping 명령을 이용한 방법을 설명하시오.
(답) 스니핑이 의심스러운 호스트에 NW에 존재하지 않은 MAC주소로 위조된 PING 메시지(ICMP Echo Request) 를 보낸다. ICMP Echo Reply가 돌아온다면, 해당 호스트는 무차별 모드로 스니핑 중인 것으로 판단할 수 있다.
- 서술형 4문제 중 수험서에 포함되어 있는 유일한 문제입니다. 이번 시험 당락을 결정짓는 문제로 12점 만점을 받아야 하는 문제였습니다.
- 참고로, MAC 주소를 위조한 ping 메시지를 보내는 경우 scapy 와 같은 툴을 이용하면, ICMP 메시지 앞단의 이더넷 헤더부, IP 헤더부의 MAC주소와 IP 주소를 위조하여 전송할 수 있습니다.
- 다만, 이 문제의 경우도 향후에 재 출제 시 문제 지문을 Ping 명령이라고 하기보다는 ICMP 메시지를 이용한 방식이라고 명확히 기술해 주면 좋을 것 같습니다. 물론 수험서 및 일반 보안 서적에도 ping 을 이용한 탐지 방법이라고 되어 있지만, ping 명령을 NW에 존재하지 않는 IP를 향해 보냈을 때 스니퍼 모드로 동작 중인 호스트가 이론상 응답할 수 있기 때문입니다.
15. 위험관리를 위하여 정보자산의 중요도는 기밀성, 무결성, 가용성 등급을 기준으로 산정할 수 있다. 이 중 기밀성 등급에 대하여 ( )에 적절한 설명을 기술하시오.
1) H (상) 등급 : 기밀성이 매우 높은 민감한 정보를 저장/처리하므로, 업무상 반드시 필요한 책임자(예:고위 관리자)에 한하여 제한적으로 접근 가능
2) M (중) 등급 : ( A )
3) L (하) 등급 : ( B )
(답)
A : 기밀성이 중간 정도인 민감 정보를 저장/처리하므로, 업무 담당자 및 관리자 등 허가된 직원만 접근 가능(예: 인사 정보, 내부 재무 정보 등)
B : 기밀성이 낮은 민감하지 않은 정보를 저장/처리하므로, 내부의 일반 직원도 접근 가능하며, 공개된 정보인 경우 일반 대중도 접근 가능(예: 마케팅 자료, 공시 정보, 웹사이트 콘텐츠 등)
- 수험서에는 포함되지 않은 신규 문제입니다. 기밀성 등급은 조직의 특성에 따라 다양한 기준으로 정의할 수 있기 때문에, 객관적인 기준으로 채점하기 상당히 어려운 문제입니다.
- 예를 들어, H 등급의 경우 극비(Restricted) 정보, M 등급은 기밀(Confidential) 정보, L 등급은 내부(Internal or Public) 정보로 분류할 수도 있고, H 등급을 기밀 정보, M을 내부 정보, L을 Public 정보로 분류할 수도 있습니다.
- 또한, 리스크를 체계적으로 관리하는 대규모 기업의 경우, 5단계로 세분화(Very High, H, M, L, Very Low)하여 구분하기도 합니다.
- 이러한 문제는 당황하지 말고, H등급 설명을 참조하여, M등급, L등급을 설득력 있게 기술하는 것이 중요하며, 합격을 위해서는 부분 점수 6점 이상을 얻어야 합니다.
16. 공격이 탐지되었을 때, 침입탐지시스템(IDS)가 할 수 있는 행위를 4가지 기술하시오.
(답)
1) 이메일, SMS, 관리 콘솔 내 메시지 출력 등을 통하여 보안 관제 담당자에게 알린다.
2) 탐지된 침입 시도를 로그로 남긴다.(이후 분석 및 포렌식 조사를 위한 기초 자료로 사용)
3) 공격이 진행 중인 세션을 강제로 종료하여 침입을 차단한다. (IPS 기능이 포함된 IDS의 경우)
4) 다른 시스템(예: SIEM, 방화벽, 스위치, 라우터)와 통합되어 효과적인 대응 수행(예: 종합 분석, 차단 정책 설정 등)
추가-1) 향후 유사 공격이 들어오는 경우 예방이 가능하도록 IDS의 보안 정책 업데이트
추가-2) 호스트 기반 IDS의 경우, 탐지된 침입에 대해 특정 프로세스를 종료하거나, 파일 접근을 차단하는 등의 보호 조치 수행
- 수험서에는 포함되지 않은 신규 문제입니다. 다양한 답이 나올 수 있는 정답을 특정 지을 수 없는 문제이기도 합니다. IDS에 대한 실무 지식이 없는 경우 SNORT의 Action 유형(Alert, Log, Pass, Activate, Dynamic, Drop, Reject, SDrop)을 떠올려 답을 적어도 무방합니다. 이 경우 틀렸다고 할 수 없으며, 부분 점수 최소 6점 이상은 주어져야 한다고 생각합니다.
- [실무형]
17. 홍길동은 인터넷 접속이 갑자기 느려져, PC내 ARP 캐시 테이블 상태를 조회해 보았더니 다음과 같이 출력되었다. 각 물음에 답하시오.
(ARP 캐시 테이블 상태)
인터넷 주소 물리적 주소 유형
192.168.100.1 01-00-5e-00-00-02 동적
192.168.100.5 01-00-5e-00-00-02 동적
192.168.100.20 b0-e4-5c-7c-37-6e 동적
192.168.100.21 00-07-89-72-3d-04 동적
192.168.100.22 01-00-5e-7f-ff-fa 동적
1) 위 리스트를 출력하기 위한 명령은?
2) 어떤 공격이 일어난 것으로 판단할 수 있나?
3) 해당 공격이라고 판단한 이유는?
4) 192.168.100.1 의 실제 MAC 주소는 00-0a-00-62-c6-09 이다. 공격에 대응하기 위해서 입력해야 할 명령어는?
(답)
1) arp -a
2) ARP Redirect (192.168.100.1 이 GW 라고 가정함). 만일 해당 IP가 GW가 아니라면 공격명은 ARP Spoofing 임
3) Gateway 에 해당하는 IP(192.168.100.1)의 MAC 주소가 192.168.100.5를 사용하는 PC의 MAC주소로 변조되었기 때문임(이 경우 Gateway로 향하는 모든 패킷은 192.168.100.5를 경유하게 되어, 메세지 내용 훔쳐보기, 메시지 위변조 등 공격이 가능하게 됨)
4) arp -s 192.168.100.1 00-0a-00-62-c6-09
- 수험서에 포함되어 있는 내용으로, 실무형 18번이 신규 문제라 대부분 이 17번 문제를 선택하셨으리라 보입니다. 합격을 위해서는, 최소한 부분 점수 8점 이상을 얻어야 합니다.
- ARP Spoofing은 희생자 IP의 MAC를 변조하는 일반적인 공격을 지칭하며, Gateway 주소를 변조한 경우 정확한 공격명은 ARP Redirect 가 맞습니다.
18. 윈도우 PE(Portable Executable) 파일은 윈도우 7과 같이 NT계열 운영체제에서 실행 가능한 파일 포맷이다. PE 파일은 실행 코드, 데이터, 리소스 및 메타데이터를 포함하는 구조를 가지며, 일반적으로 .exe(executable), .dll(dynamic link library), .sys(driver) 확장자를 가진 파일들을 포함한다. 악성파일의 경우에도 윈도우 OS에서 실행되기 위해 PE포맷을 사용하는데, 악성코드 작성자는 PE파일을 난독화하거나, PE헤더와 섹션 정보를 변형하여 디버깅 및 분석을 어렵게 만든다. 이러한 악성파일을 분석하는 아래 3가지 방법에 대하여 설명 하시오.
1) 자동화 분석
2) 반자동화 분석
3) 수동 분석
(답)
1) 자동 분석은 악성 파일 분석 과정에서 수작업을 최소화하고 효율성을 극대화하기 위해 자동화된 도구와 기술을 사용하는 방법임.
• PEiD, IDA Pro, YARA와 같은 정적 분석 도구를 이용하면 파일 헤더, 섹션, 코드 패턴 등을 자동으로 분석하여 악성 여부 판별이 가능함
• Cuckoo Sandbox, Any.Run 과 같은 동적 분석 도구를 이용하면, 악성 파일을 격리된 환경에서 실행하여, 파일의 행위, 네트워크 활동, 시스템 변경 사항을 자동으로 기록하고 분석 가능함.
2) 반자동화 분석은 자동화된 도구를 사용하여 초기 분석을 수행하고, 분석가가 추가적으로 세부 사항을 수동으로 조사하여 정확성을 높이는 방법임.
• Cuckoo Sandbox, Any.Run 과 같은 자동화 도구를 이용하여 파일을 격리된 환경에서 실행하고 초기 행동 분석을 자동으로 수행함. 분석가는 이 결과를 바탕으로 추가 조사 대상을 선정함.
• 디스어셈블러(예: IDA Pro, Ghidra)를 사용하여 자동화 도구가 식별한 의심스러운 코드나 행동을 중심으로 코드의 특정 부분을 수동으로 분석함.
3) 수동 분석은 주로 분석가의 전문 지식과 경험을 바탕으로 파일을 직접 분석하는 방법임. 깊이 있는 조사와 상세한 이해를 필요로 하는 복잡한 악성코드 분석에 유용함.
• 초기 조사 : 파일의 기본 속성(예: 파일 크기, 해시 값, 타임스탬프 등)을 확인하고, PE 헤더 등을 분석하여 실행 파일인지, 스크립트인지, 다른 형식인지 확인하는 초기 조사를 수행함.
• 정적 분석 : PE 파일의 경우, DOS 헤더, PE 헤더, 섹션 헤더 등을 검사하여 파일 구조를 이해하고, IDA Pro, Ghidra, Radare2 등의 디스어셈블러를 사용하여 파일의 기계어 코드를 어셈블리 코드로 변환하고 분석함. 이를 통해 주요 함수, 진입점, 코드 흐름 등을 파악함.
• 동적 분석 : OllyDbg, x64dbg 같은 디버거를 사용하여 악성코드를 단계별로 실행하면서 코드의 동작을 추적함. 특정 행동을 유발하는 코드 부분을 식별하고 분석함.
- PE 파일 포맷을 포함한 악성코드 분석 방법은 수험서에 있는 내용입니다. 하지만, 문제에서 제시한 3가지 방법이 아니라 정적 분석, 동적 분석으로 분류되어 있습니다. 따라서, 본 문제를 선택한 분은 소수일 것이라 판단됩니다. 만일 본 문제를 반드시 풀어야 하는 상황이었다면, 수험서에 있는 내용을 기반으로 답안을 작성하실 수 있어야 합니다. 수험서 내용을 이해했다면, 8점 이상의 부분 점수는 충분히 얻을 수 있습니다.
26회 정보보안기사 실기시험 문제분석
1. 리눅스에서 패스워드 최소 길이를 8자리 이상으로 설정하려고 한다. 패스워드 설정을 위한 파일명(A)과 설정 내용(B,C)을 기술하시오.
#cat /etc/ ( A )
( B ) ( C )
(답) login.defs, PASS_MIN_LEN, 8
- 수험서에 포함되어 있는 기본 토픽이고 기출문제(24회)로도 출제된 바 있습니다. 3점 모두 얻어야 합니다.
2. 무선 네트워크에서는 다중 접속시 상호 충돌을 회피하기 위하여 CSMA/CA 프로토콜을 사용한다. 이 경우, 타임아웃 설정은 어느 신호에 포함되는지 보기에서 2개를 선택하여 답하시오.
(보기) CTS, DATA, RST, SYN, ACK, RTS
(답) RTS, CTS
- 수험서에는 CSMA/CA의 기본 개념만 포함되어 있어 맞추기 어려운 문제 였습니다. 하지만, 보기가 제시되었기에 유추하여 부분점수 1점 정도는 맞춰볼 수는 있는 문제였습니다.
- 참고로 CSMA(Carrier Sense Multiple Access)/CA(Collision Avoidance)은 무선 네트워크에서 충돌을 회피하기 위한 프로토콜입니다. 유선 네트워크는 프레임을 전송하고 나서 전위의 변화로 충돌을 감지(CSMA/CD:Collission Detection)할 수 있으나, 무선 네트워크는 공기중으로 전송하기 때문에 충돌을 감지할 수 없어, 상대노드에게 현재 수신 받을 수 있는 상황인지 물어보고(RTS:Request to Send), 수신받을 수 있으니 보내라는 응답(CTS:Clear To Send)을 받고 프레임을 전송함으로서 충돌을 회피(CA)하는 메카니즘으로 동작합니다.
- 참조 : CSMA/CA (ktword.co.kr)
3. Domain Name(URL) 에 대한 IP정보를 찾아주는 DNS는, 먼저 클라이언트 영역에 위치한 ( A ) DNS 서버에 질의하여 IP정보를 찾고, 없으면 ( B ) DNS서버에 추가로 요청하여 IP정보를 찾는다.
(답) Recursive (Cache), Authoritative (권한)
- 수험서에 있는 내용이나, 이 정도까지 깊게 공부하신 분들은 드물것으로 예상됩니다. DNS 스푸핑시 많이 언급되는 Cache DNS 는 답변하여 최소 1점 이상은 얻어야 하는 문제 입니다.
4. 공격자가 HTTP 패킷의 헤더(Content-Length, Transfer Encoding: Chunked 등)를 변조하여 일반 사용자가 접근할 수 없는 Back-end 서버로 직접 보내 중요 정보 획득, XSS 공격유도, 서버 웹 캐시 포이즈닝 등을 수행하는 공격 기법을 무엇이라 하나?
(보기) XSS, CSRF, SQL Injection, HTTP request smuggling
(답) HTTP request smuggling
- 신규로 출제되었고, 수험서에서도 다루어지지 않은 공격 기법입니다. 하지만, 보기에 제시된 나머지 기법들이 모두 정답이 아님을 쉽게 알 수 있기 때문에 3점 획득이 충분히 가능한 문제 입니다.
- 참조 : HTTP request smuggling 개념 정리 및 실제 공격 (velog.io)
5. 침입 탐지 시스템에서 공격이 아닌데 공격이라고 오판하는 것을 ( A )라 하고, 공격인데 공격이 아니라고 오판하는 것을 ( B ) 라고 한다.
(답) 오탐(False Positive), 미탐(False Negative)
- 수험서와 기출에서 모두 다루어진 문제입니다. 3점 모두 얻어야 합니다.
- 참고로 공격인데, 공격이라고 정확히 판정한 것을 True Positive라 하며, 공격이 아닌데, 공격이 아니라고 정확히 판정한 것을 True Negative라고 합니다.
6. XML 문서를 조회하는 기능을 구현해야 하는 경우 XML 쿼리에 사용되는 파라미터는 반드시 XML 쿼리를 조작할 수 없도록 필터링해서 사용하거나, 미리 작성된 쿼리문에 입력값을 자료형에 따라 바인딩해서 사용해야 한다. 관련하여 다음은 SW 설계시 고려해야할 사항이다. ( )에 들어갈 용어를 기술하시오.
(ㄱ) ( A ) 컴포넌트를 이용한 입력값 필터링 : 외부입력값에서 XML삽입 공격이 가능한 문자열들을 필터링하는 Validator 컴포넌트를 개발하여 XML조회를 수행하는 애플리케이션 작성시 입력값에 대한 검증 작업이 일괄 적용되도록 설계한다.
(ㄴ) 개별 코드에서 입력값 ( B ) 하도록 시큐어코딩 규칙 정의 : 각각의 컴포넌트에서 입력값에 대해 XML삽입을 발생시킬 수 있는 문자열(“, [, ], /, =, @ 등)을 제거 또는 안전하게 치환하여 사용할 수 있도록 시큐어코딩 규칙을 정의한다.
(ㄷ) 안전한 ( C ) 를 사용하도록 시큐어코딩 규칙 정의 : XML 조회를 수행하는 쿼리문 작성시 외부입력값이 쿼리문의 구조를 바꿀 수 없는 ( C ) (예. Java API‐ XQuery) 를 사용하도록 시큐어코딩 규칙을 정의한다.
(답) 공통 검증, 필터링, API
- 지난 회차에 이어 SW 보안 약점 진단 가이드에서 연속 출제되었습니다. 수험서에는 없는 내용이나, 문제 지문을 통해 유추하여 1~2점 획득은 가능한 문제 입니다.
7. 공격자들이 표적으로 삼은 조직 네트워크망에 침투한 후 오랜 기간 탐지를 회피하여 정보를 수집해 빼돌리는 고도의 지능형 표적 공격을 무엇이라 하나?
(답) APT(Advanced Persistent Threat)
- 수험서와 기출에서 모두 다루어진 문제입니다. 3점 모두 얻어야 합니다.
8. 공격자가 자신의 TCP 윈도우 사이즈를 0으로 설정한 후 다수의 HTTP 패킷을 송신하여 웹서버가 정상적으로 응답하지 못하도록 만드는 공격 기법을 무엇이라 하나?
(답) Slow Read Attack
- 수험서에는 Slow HTTP Read Dos로 설명된 내용이나 보기에는 Slow Read attack으로 제시되었습니다. 기본 토픽이므로, 3점 모두 얻어야 합니다.
9. XSS 취약점 유형에 대한 설명이다. ( )안에 들어갈 용어를 기술하시오.
(1) ( A ) : 공격자의 입력 값이 서버에 저장되지 않고 HTTP 응답에 그대로 포함되도록 허용되는 경우, 사용자가 공격자가 전달한 악의적인 링크에 접속할 때 발생
(2) ( B ) : 서버가 충분한 검증 없이 공격자로 부터 입력받은 값을 저장한 뒤 다른 사용자에게 표시해 줄 때 발생
(3) ( C ) : 스크립트(일반적으로 자바스크립트)가 DOM 을 제어하는 과정을 공격자가 조작 가능할 때 발생
(답) Reflected XSS, Stored XSS, DOM based XSS
- 수험서에 있는 내용이며 기본 토픽입니다. 3점 모두 얻어야 합니다.
10. 침입탐지 시스템에는 호스트 컴퓨터의 내부 상태 또는 저장된 로그를 분석하여 침입을 탐지하는 ( A ), 통신망을 통해 전송되는 패킷 데이터를 분석하여 침입 여부를 판정하는 ( B ) 가 있다.
(답) HIDS(호스트기반 IDS), NIDS(네트워크기반 IDS)
- 수험서와 기출에서 모두 다루어진 기본 토픽 입니다. 3점 모두 얻어야 합니다.
11. 위험을 구성하는 요소에 대한 설명이다. ( )에 들어갈 용어를 기술하시오.
( A ) : 조직 내에서 가치를 가지고 있는 모든 것으로 보호해야 할 대상
( B ) : 자산에 손실을 초래할 수 있는 원치 않는 사건의 잠재적인 원인 또는 행위자
( C ) : 위협의 이용 대상이 되는 자산의 잠재적인 약점
(답) 자산(Asset), 위협(Threat), 취약성 or 취약점(Vulnerability)
- 수험서와 기출에서 모두 다루어진 문제입니다. 3점 모두 얻어야 합니다.
12. ( A ) 는 조직의 자산에 대한 위험을 감수할 수 있는 수준으로 유지하기 위하여, 위험을 분석하고, 비용대비 효과적인 대책을 마련하는 일련의 과정이다. ( A )의 단계는 ( B ), 위험 평가, ( C ) 이다.
( B ) 는 잠재적으로 식별된 위험이 조직의 목표 및 운영에 미칠 가능성과 잠재적 영향을 분석하는 단계이다.
( C ) 는 식별된 위험을 완화, 이전, 수용 또는 방지하기 위한 위험 처리 방안을 결정하는 단계이다.
(답) 위험관리, 위험분석, 위험 처리(보호대책 선정)
- 정보보안 = 위험 관리라고 할 만큼 실무에서도 중요하게 다루어지고 있습니다. 기본토픽이자 기출문제이므로, 3점 모두 얻어야 합니다.
- [서술형]
13. 사용자가 윈도우 명령 처리기(cmd.exe)를 실행하려고 할 때 다음과 같이 사용자 계정 콘트롤(UAC) 팝업창이 표시되었다. 관련하여 질문에 답하시오.
<사용자 계정 콘트롤 팝업창>
-----------------------------------------------------------------------------------------
다음 프로그램이 이 컴퓨터를 변경할 수 있도록 허용하시겠습니까?
- 프로그램 이름 : Windows 명령 처리기
- 확인된 게시자 : Microsoft Windows
- 파일 일원본 : 이 컴퓨터의 하드 드라이드
-----------------------------------------------------------------------------------------
계속 하려면 관리자 암호를 입력하고 [예]를 클릭하십시오.
(답)
1) 윈도우 명령 처리기를 관리자 권한으로 실행하여, 사용자의 현재 권한으로 실행할 수 없는 명령어를 처리하기 위함이다.
2) 윈도우 관리자 계정이 정상이 아닌 경우(비활성화, 삭제) 또는 윈도우 시스템 파일이 손상된 경우
- [예 버튼]은 비활성화 상태이고 [아니오 버튼]만 활성화되어 있음 .
- 1) 사용자가 윈도우 명령 처리기를 실행한 의도는 무엇인가?
- 2) 사용자 계정 콘트롤 팝업창에서 [예 버튼]이 비활성화된 이유는 무엇인가?
- 수험서와 기출문제에서 다루어지지 않는 신규 문제입니다. 상식으로 접근이 필요한데, [예 버튼]이 비활성화된 이유를 정확히 기술하기는 어려웠을 것 같습니다. 문제의 정확한 출제 배경도 궁금하네요. 하지만, 5~6점 부분점수라도 얻어내겠다는 마음을 가져야 합니다.
- 참고로, UAC는 윈도우 보안의 핵심으로, 관리자 권한으로 실행되는 악성코드를 차단하여 컴퓨터를 보호하는 역할을 합니다.
14. 개인정보 처리가 수반되는 사업 추진 시 해당 사업이 개인정보에 미치는 영향을 사전에 분석하고 이에 대한 개선방안을 수립하여 개인정보 침해사고를 사전에 예방하기 위하여 개인정보 영향 평가를 수행한다. 개인정보 영향 평가 수행 시 고려해야 할 사항 5가지를 기술하시오.
(답)
1 - 처리하는 개인정보의 수 (개보법)
2 - 개인정보의 제3자 제공 여부 (개보법)
3 - 정보주체의 권리를 해할 가능성 및 그 위험 정도 (개보법)
4 - 민감정보 또는 고유식별정보의 처리 여부 (개보법 시행령)
5 - 개인정보 보유기간 (개보법 시행령)
- 개인정보보호법 제 33조(개인정보 영향평가) 및 개인정보 보호법 시행령 제37조(영향평가 시 고려사항)에 기술된 사항을 묻는 질문입니다. 수험서에서 다루어진 내용이고, 기출문제(필기)로도 출제된 바가 있어서 6~7점은 얻어야 하는 문제입니다.
15. 시스템 로그 점검 중 다음과 같은 로그가 발견되었다. 관련하여 다음 질문에 답하시오.
<로그>
device eth0 entered Promiscuous mode
1) Promiscuous mode의 의미는?
2) 해당 모드로 진입 시 수행 가능한 공격은?
3) 공격에 대응할 수 있는 방법은?
(답)
1) 네트워크 카드의 eth0 인터페이스로 들어오는 모든 패킷을 수신하게 됨(목적지가 해당 인터페이스로 설정된 패킷이 아니더라도 drop하지 않고 모두 읽게 됨)
2) 패킷의 내용을 훔쳐보는 스니핑 공격이 가능함
3-1) 통신 시 SSH, HTTPS와 같은 암호화 통신 수행
3-2) 허브가 아닌 지능형 스위치 운용을 통하여 불필요한 브로드캐스팅 최소화
3-3) ifconfig eth0 -promic 설정으로 무차별 모드 해제
3-4) 스니핑 탐지 도구(**)를 이용하여 스니핑 발생여부 지속 점검
- 19회 기출문제와 동일한 문제가 출제되었습니다f따라서, 12점 모두 획득할 수 있어야 합니다.
- 어떤 단말이 무차별 모드로 실행 중인지 확인할 수 있는 도구로는 MS의 PromqryUI 와 NMAP의 스크립트 엔진 등을 이용할 수 있습니다. 또한 스니핑을 탐지하는 방법(Ping, ARP, DNS 이용)은 계속 문제로 출제되고 있으니 이번 기회에 다시 한번 복습해 보시면 좋겠습니다.
16. XSS(Cross Site Script) 공격의 정의와 공격 기법 2가지를 설명하시오.
(답)
1) XSS 공격 정의 : 웹페이지에 악의적인 스크립트를 포함시켜 사용자 측에서 실행되도록 유도함으로써 이득을 취하는 공격
2) XSS 공격 기법 2가지
2-1) Reflected XSS : 검색 결과, 에러 메시지 등을 통해 서버가 외부에서 입력받은 악성 스크립트가 포함된 URL 파라미터 값을 사용자 브라우저에서 응답하도록 허용할 때 발생한다. 공격 스크립트가 삽입된 URL을 사용자가 쉽게 확인할 수 없도록 변형하여, 이메일, 메신저, 파일 등을 통해 실행을 유도하는 기법이다.
2-2) Stored XSS : 웹 사이트의 게시판, 코멘트 필드, 사용자 프로필 등의 입력 Form을 통해 악성 스크립트를 삽입하여 DB 저장한다. 이후 사용자가 사이트를 방문하여 저장된 페이지(예:게시글)를 열람할 때, 저장된 악성 스크립트가 로딩되어 사용자 브라우저에서 실행되도록 하는 기법이다.
2-3) DOM based XSS : 외부에서 입력받은 악성 스크립트가 포함된 URL 파라미터 값이 서버를 거치지 않고, DOM 생성의 일부로 실행되면서 공격이 이루어진다.
- 단답형 문제가 서술형으로 확장되어 출제되었습니다. 공격 기법은 3개 중 자신 있는 2개를 선택하여 답하면 됩니다. 단답형의 지문을 참조할 수 있고, 기본 토픽이므로 12점 모두 얻어야 합니다.
- [실무형]
17. 데이터 베이스 권한 관리가 미흡한 경우, 비인가자가 DB에 접근하여 정보 유출, 훼손, 파괴 등 악의적인 행위가 이루어질 수 있다. 1) DBA가 일반사용자 또는 원격 사용자에게 부여하면 안 되는 권한 3가지와 2) 접근권한을 최소화할 수 있는 방법 4가지를 기술하시오.
(답)
1) 일반 사용자 또는 원격 사용자에게 부여하면 안 되는 권한(오라클 예시)
1-1) CREATE USER : 사용자를 생성할 수 있는 권한
1-2) DROP USER : 사용자를 삭제할 할 수 있는 권한
1-3) DROP ANY TABLE : 모든 테이블을 삭제할 수 있는 권한
1-4) BACKUP ANY TABLE : Export 유틸리티를 사용해서 임의의 테이블을 백업할 수 있는 권한
2) 접근권한 최소화 방법
2-1) 원격에서 DB 서버로의 접속을 지정된 IP에서만 가능하도록 제한
2-2) DBA외에 인가되지 않은 사용자가 시스템 테이블에 접근할 수 없도록 설정
2-3) 응용프로그램 또는 DBA 계정의 Role 이 Public으로 설정되지 않도록 설정
2-4) OS_ROLES, REMOTE_OS_AUTHENTICATION, REMOTE_OS_ROLES를 FALSE로 설정
2-5) 데이터베이스에 대해 최신 보안패치와 벤더 권고사항을 모두 적용
- 신규 문제로 주요정보통신기반시설 기술적 취약점 분석 평가 방법 가이드에 답을 유추할 수 있는 내용들이 담겨 있습니다. 본 문제를 대비하여 학습하신 분들은 드물 것이라 판단되며, 대부분의 수험생분들은 18번 문제를 선택하셨을 것 같습니다.
18. 아래 취약점 점검 결과를 기반으로, 다음 물음에 답하시오.
<취약점 점검 결과>
# openssl version -a
OpenSSL 1.0.1 14 May 2012
#openssl s_client -connect domain.com:8443 -tlsextdebug -debug -state | grep -i heatbeat
SSL_connect:before SSL initialization
SSL_connect:SSLv3/TLS write client hello
SSL_connect:SSLv3/TLS read server hello
TLS server extension "heartbeat" (id=15), len=1
....................
1) 취약점 명은?
2) 시스템적으로 해당 취약점을 조치하는 방법은?
3) 서비스적으로 해당 취약점을 조치하는 방법은?
(답)
1) 하트블리드(Heart Bleed)
2-1) OpenSSL 버전을 취약점이 패치된 상위 버전(예:1.0.1g)으로 업데이트
2-2) 운영 환경의 특수성으로 인하여 패키지 형태의 업데이트가 어려운 경우, Heartbeat를 사용하지 않도록 컴파일 옵션을 설정하여 재컴파일
3-1) 서버측 SSL 비밀키가 유출되었을 가능성이 있으므로, 서버 인증서 재발급 검토
3-2) 취약점 조치 완료 후 사용자들의 비밀번호 재설정을 안내하여 탈취된 계정을 악용한 추가 피해 방지
- 수험서에 포함된 기본 토픽으로, 최소 10점 이상 얻을 수 있어야 합니다. 참고로 네트워크 보안 장비 측면 대응 방안으로 침임탐지시스템 및 침입차단 시스템에 패턴 업데이트(Snort Rule)를 하여 대응하는 방안도 있습니다. 하트 블리드를 탐지하는 Snort Rule 문제는 13회 실기 시험에서도 출제된 바 있습니다.
- 참조 : 세계 최고의 인터넷 전문기관 (kicassl.com)
27회 정보보안기사 실기시험 문제분석
1. 접근통제 정책에 대하여 다음 물음에 답하시오.
( A ) : 사용자나 사용자 그룹에 근거한 사용자 중심의 접근 제어 수행
( B ) : 모든 객체는 정보의 비밀수준에 근거하여 보안 레벨이 주어지고 허가된 사용자만 접근 가능토록 제어
( C ) : 사용자와 객체 상호관계를 역할에 따라 접근 제어 수행
(답) DAC, MAC, RBAC
- 수험서에 포함되어 있는 기본 토픽이고 기출문제(14회)로도 출제된 바 있습니다. 3점 모두 얻어야 합니다.
- 최근 제로트러스트 보안이 중요해지면서, ABAC(Attribute Based Access Control) 정책에 대해서도 학습하시면 좋을 것 같습니다. 주체 속성, 객체 속성, 환경 속성을 기준으로 사전에 정의된 정책에 따라 동적으로 접근 허용 또는 거부를 결졍하는 접근통제 모델입니다. 접근 요청시의 환경적 조건(시간, 위치, 네트워크 상태, 접속 장치)에 따라 주체에 대한 객체의 접속 허용 여부가 달라지는 것이 특징입니다.
2. MAC 주소(물리 주소)를 기반으로 IP 주소(논리 주소)를 할당받기 위해 사용되며, 디스크 없는 장치나 네트워크 부팅을 지원하는 장비에서 사용하는 TCP/IP 프로토콜은 무엇인가?
(답) RARP(Reverse Address Resolution Protocol)
- 수험서에 있는 기본 토픽이므로, 3점 모두 얻어야 합니다.
3. VLAN 구성 방식에 대하여 다음 ( )에 들어갈 명칭을 기술하시오.
( A ) 기반 VLAN : 스위치 포트를 각 VLAN에 할당. 같은 VLAN에 속한 호스트 간에만 통신 가능. 가장 일반적인 방식
( B ) 기반 VLAN : 호스트의 MAC주소를 VLAN에 등록. 모든 MAC을 등록하고 관리하는 어려움.
( C ) 기반 VLAN : 네트워크 주소별로 VLAN 구성.
( D ) 기반 VLAN : 같은 통신 프로토콜을 가진 호스트 간에는 통신가능토록 VLAN 설정
(답) 포트, MAC, 네트워크 주소, 프로토콜
- 수험서에 있는 내용입니다. 부분 점수 2점 이상은 얻어야 하는 문제입니다.
4. 전자금융거래법 제21조 2 제 4항에 기술된 다음 각호의 업무를 수행하는 사람을 무엇이라고 하나?
1) 전자금융거래의 안정성 확보 및 이용자 보호를 위한 전략 및 계획의 수립
2) 정보기술부문의 보호
3) 정보기술부문의 보안에 필요한 인력관리 및 예산편성
4) 전자금융거래의 사고 예방 및 조치
(답) CISO(Chief Information Security Officer)
- 전자금융거래법의 해당 조항은 신규로 출제되었습니다. 하지만, 보기가 제시되었고 또한 명확한 CISO의 역할이기에 3점 획득이 충분히 가능한 문제입니다.
5. 리눅스 시스템 로그 파일에 대하여 다음 빈칸에 적절한 파일을 기술하시오.
( A ) : 현재 시스템에 로그인한 사용자의 상태가 출력되는 로그
( B ) : 사용자의 로그인, 로그아웃, 시스템 재부팅 정보가 누적되어 출력되는 로그
( C ) : 마지막으로 성공한 로그인 정보가 출력되는 로그
(답) utmp, wtmp, lastlog
- 수험서와 기출에서 모두 다루어진 문제입니다. 3점 모두 얻어야 합니다.
6. 다음 스캔 방법 중 포트가 닫혀있을 때만 응답이 오는 스캔 방식을 고르시오
<보기> (SYN scan, FIN scan, XMAS scan, Null scan, Decoy scan)
(답) FIN scan, XMAS scan, Null scan
- 스텔스 스캔을 묻는 질문으로 수험서와 기출에서 모두 다루어진 문제입니다. 3점 모두 얻어야 합니다.
- 참고로 Decoy Scan은 공격자가 자신의 실제 IP를 숨기기 위해 여러 개의 가짜(Decoy) IP를 함께 사용하여 네트워크 스캔을 수행하는 기법입니다. 침입 탐지 시스템(IDS) 및 침입 방지 시스템(IPS)의 로그 분석을 우회하기 위해 사용됩니다.
- NMAP -D RND:10 {스캔대상 IP} 명령어를 통해 랜덤하게 10개의 Decoy IP를 생성하여 스캔할 수 있습니다.
7. SW 개발 보안과 관련하여 ( )에 들어갈 취약점명(공격기법)을 기술하시오.
( A ) : DB와 연결되어 있는 애플리케이션의 입력값을 조작하여 의도하지 않은 결과를 반환하도록 하는 공격 기법
( B ) : 게시판, 웹, 메일 등에 삽입된 악의적인 스크립트에 의해 쿠키 및 기타 개인정보를 특정 사이트로 전송시키는 공격 기법
( C ) : 적절한 검증 절차를 수행하지 않은 사용자 입력값이 운영체제 명령어의 일부로 전달되어 의도하지 않은 시스템 명령어가 실행되도록 하는 공격 기법
(답) SQL Injection, XSS, 운영체제 명령어 삽입
- 기출(18회)에서 그대로 출제되었습니다. 3점 모두 얻어야 합니다.
8. 다음은 특정 명령어를 수행한 결과이다. ( )에 들어갈 명령어를 기술하시오.
root@kali:~#Telnet webserver.com 80
Trying 192.168.1.2…
Connect to webserver.com.
Escape character is '^]'.
( ) * HTTP/1.0
HTTP/1.1 200 OK
Date: Sat, 6 Aug 2022 09:01:01 KST
Server: Microsoft-IIS/5.0
Allow: GET,HEAD,POST,OPTIONS,TRACE
Content-Length:0
Connection: close
Content-Type: text/plain; charset-euc-kr
Connection closed by foreign host.
(답) OPTIONS
- 웹서버가 지원하는 HTTP Method 를 확인하는 명령어로, 기출문제(20회)와 동일하게 출제되었습니다. 3점 모두 얻어야 합니다.
9. 소프트웨어 패치의 종류와 관련하여 ( )에 들어갈 용어를 기술하시오
( A ) : 즉시 교정되어야만 하는 주요한 취약점을 패치하기 위해 배포되는 프로그램으로 서비스팩이 발표된 이후 패치가 추가될 필요가 있을 때 별도로 발표됨.
( B ) : 문제를 예방 또는 해결하거나 컴퓨터 작동 방식을 향상시키거나,컴퓨터 경험을 향상시킬 수 있도록 추가되는 소프트웨어
(답) 핫픽스(Hot Fix), 업데이트(Update)
- 주요정보통신기반시설 취약점 분석 가이드에서 출제된 신규 문제입니다. 실제 IT 및 보안 업무에 종사하지 않는 분들은 맞추기 어려웠으리라 생각합니다.
10. 매니저와 에이전트 구조로 되어 있고, 네트워크 장비의 상태를 모니터링하고 관리하기 위해 사용되는 TCP/IP 기반 네트워크 프로토콜을 무엇이라고 하나?
(답) SNMP(Simple Network Management Protocol)
- 수험서와 기출에서 모두 다루어진 기본 토픽입니다. 3점 모두 얻어야 합니다.
- SNMP는 시험에 자주 출제되는 토픽이므로, 포트 번호(161, 162) 와 버전별 취약점(암호화가 지원되는 V3 권장)에 대해서는 상세한 학습이 필요합니다.
- 참고 : SNMP
11. 어떠한 대책을 도입하더라도 위험을 완전히 제거할 수 없으므로 일정 수준 이하의 위험은 받아들이고 사업을 진행하는 위험대응 방식을 무엇이라고 하나?
(답) 위험수용
- 수험서와 기출에서 모두 다루어진 문제입니다. 3점 모두 얻어야 합니다.
- 나머지 3가지 대응 방식(위험전가, 위험회피, 위험완화)도 자주 출제되므로 명확히 학습하시기 바랍니다.
12. 네트워크 논리 그룹을 구분하여 보안을 강화하고, 브로드캐스트도메인의 범위를 줄여 네트워크 성능 향상을 지원하는 LAN 기술을 무엇이라고 하나?
(답) VLAN(Virtual LAN)
- 수험서와 기출에서 모두 다루어진 문제입니다. 3점 모두 얻어야 합니다.
- [서술형]
13. 위험분석 접근법 중 복합접근법의 개념, 장점, 단점을 설명하시오
(답)
1) 개념 : 고위험(high risk) 영역을 식별하여 상세 위험분석을 수행하고 다른 영역은 베이스라인 접근법을 사용하는 방식
2) 장점 : 분석의 정확성과 속도의 균형을 유지함으로써 효율적인 보안 정책 적용이 가능함. 보안 수준이 높은 환경에서는 상세위험분석 비중을 높이고, 신속한 대응이 필요한 경우 베이스라인 접근법 중심으로 운용하는 등 기업 상황에 맞게 유연한 적용이 가능
3) 단점 : 두 가지 접근법을 조합하여 사용해야 하므로 명확한 기준이 필요하며 관리 정책이 복잡해질 수 있음. 자산 중요도를 잘못 판단하면 과도한 분석 비용이 들거나, 중요한 시스템의 보안이 부족할 수 있음
- 수험서에 있는 내용이고 기출문제에서도 자주 다루어지는 토픽입니다. 위험관리의 중요성이 계속 증가하고 있으므로, 철저한 학습이 필요합니다.
- 참고로, 19회 실무형 문제 16번 모범답안을 다시 한번 읽어보시기 바랍니다.
14. 정보보호조치에관한 지침은 정보통신망법 제45조 2항에 따라 정보통신서비스 제공자가 정보통신서비스를 제공하는데 사용되는 정보통신망의 안정성 및 정보의 신뢰성을 확보하기 위한 보호조치의 구체적인 내용에 대하여 정하는 것을 목적으로 한다. 해당 지침에서 규정하고 있는 보호조치의 구체적 내용 중 다음 항목에서 규정하고 있는 내용을 기술하시오.
1) 1.2.1.정보보호 방침의 수립 및 이행
2) 1.2.2.정보보호 실행 계획의 수립 및 이행
(답)
1.2.1.정보보호 방침의 수립·이행
- 정보보호 목표, 범위, 책임 등을 포함한 정보보호 방침(policy) 수립
- 정보통신서비스와 관련된 모든 법, 규제, 계약, 정책, 기술상의 요구사항을 문서화하고 시행
1.2.2. 정보보호 실행계획의수립·이행
- 정보보호 방침을 토대로 예산, 일정 등을 포함한 당해 연도의 정보보호 실행계획을 수립
- 최고경영층이 실행계획을 승인하고 정보보호 최고책임자가 추진 상황을 매 반기마다 점검
- 신규로 출제된 문제로 해당 지침의 세부 내용을 모두 숙지하고 답안을 작성하기 어려우셨으리라 생각됩니다. 부분 점수 4~5점 정도로 방어할 수 있다면 최선이었을 것 같습니다.
15. 유닉스 시스템에 저장된 파일에 다음과 같은 권한이 설정되었다. 권한의 상세한 의미를 설명하시오.
<설정된 권한> -rwxr-x--x
(답) 해당 파일의 소유자는 읽고, 쓰고, 실행이 모두 가능함. 해당 파일의 그룹에 속한 사용자들은 읽고, 실행은 가능하나 파일 쓰기(Write)는 불가함. 기타 다른 사용자들은 실행만 가능하며 파일을 읽고, 쓰기(Write)는 불가함.
- 유닉스에서 아주 기본이 되는 파일의 권한을 물어보는 문제가 출제되었습니다. 점수를 주기 위하 문제로 12점 모두 획득이 필요합니다.
16. 재해복구시스템 유형에는 미러사이트, 핫사이트, 웜사이트, 콜드사이트가 있다. 다음 물음에 답하시오.
1) 미러 사이트의 정의
2) 미러사이트의 장단점 각 2개씩 설명
3) RTO가 가장 오래 걸리는 방식은 무엇이며, 이유는 무엇인가?
(답)
1) 주센터와 동일한 수준의 시스템을 백업센터에 구축하고, 액티브-액티브 상태로 실시간 동시 서비스를 제공하는 방식
2-장점) 신속한 업무재개 가능(RTO:즉시), 데이터의 최신성 보장(RPO:0)
2-단점) 초기 투자 및 유지 보수 비용이 높음, 데이터 업데이트가 많은 경우 과부하 초래
3) COLD 사이트. 데이터만 원격지에 보관하고 서비스를 위한 정보자원은 최소한으로 확보되어 있어, 재해 시 필요한 자원을 조달하여 복구하는데 오랜 시간이 소요됨.
- 재해 복구시스템의 유형은 보안기사 실기 시험에 자주 출제되는 토픽입니다. 21회 기출문제에서 그대로 출제되었으므로, 12점 모두 얻어야 합니다.
- [실무형]
17. 다음 자바 프로그램은 SQL Injection 에 취약한 소스와 취약점을 해소한 소스코드 이다. ( )에 들어갈 코드를 작성하시오.
<취약한 소스코드>
1: //외부로부터 입력받은 값을 검증 없이 사용할 경우 안전하지 않다.
2: String gubun = request.getParameter("gubun");
3: ......
4: String sql = "SELECT * FROM board WHERE b_gubun = '" + gubun + "'";
5: Connection con = db.getConnection();
6: Statement stmt = con.createStatement();
7: //외부로부터 입력받은 값이 검증 또는 처리 없이 쿼리로 수행되어 안전하지 않다.
8: ResultSet rs = stmt.executeQuery(sql);
<취약점을 해소한 소스코드>
1: String gubun = request.getParameter("gubun");
2: ......
3: //1. 사용자에 의해 외부로부터 입력받은 값은 안전하지 않을 수 있으므로, PreparedStatement
사용을 위해 ?문자로 바인딩 변수를 사용한다.
4: String sql = "SELECT * FROM board WHERE b_gubun = ( A ) ";
5: Connection con = db.getConnection();
6: //2. PreparedStatement 사용한다.
7: PreparedStatement pstmt = con.( B )(sql);
8: //3.PreparedStatement 객체를 상수 스트링으로 생성하고, 파라미터 부분을 setString등의 메소드로
설정하여 안전하다.
9: pstmt.( C )(1, gubun);
10: ResultSet rs = pstmt.( D );
(답)
A) ?
B) prepareStatement
C) setString
D) executeQuery()
- SQL Injection 취약점을 예방하기 위한 PreparedStatement 방식의 SQL 쿼리문을 작성하는 문제입니다. 기출문제에서 다루어진 적이 있나 정확히 소스코드 구문을 기억하고 쓰기는 쉽지 않았을 것 같습니다. 하지만 16점 배점 중 10점 이상은 획득해야 합니다.
18. NTP서비스 취약점을 이용한 한 DDoS 공격 대응방안 4가지를 서술하시오.
(답)
1) 서버측면 대응 방안 2가지
1-1) NTP 서버 버전 업그레이드 : monlist 기능이 제거된 버전(4.2.8 이상) 으로 업그레이드 하기
1-2) NTP 서버 버전 업그레이드 불가시 monlist 기능 비활성화 : /etc/ntp.conf 파일에 "disable monitor" 설정
2) 네트워크 측면 대응 방안 2가지
2-1) 보안장비(예:방화벽)에서 인가되지 않은 외부 트래픽 유입 차단 : NTP 서비스 포트(udp 123) 접근 제한
2-2) 보안장비(예:방화벽)에서 비정상 NTP 패킷 차단 : 100 바이트 이상 NTP 응답 패킷 차단(정상 패킷은 40바이트 이하). 동일 IP에서 자주 쿼리 요청시 차단.
- 기타 참고 사항으로 monlist 쿼리 요청을 통해 취약점이 존재하는지 확인하는 명령어는 다음과 같습니다.
- ntpdc -c monlist <점검대상 ntp서버 ip>
- monlist 는 구버전(2.4.8 미만) NTP 서버에서 제공하는 명령어로, 최근 접속한 최대 600개의 접속 호스트 목록을 출력해 줍니다.
- DRDoS 공격시 악용되는 대표적인 취약점으로 수험서와 기출문제에서 다루어진 문제입니다. 하지만 정확하게 4가지 대응방안을 기술하기는 어려우셨으리라 생각됩니다.
- 참고로, 가장 효과적인 조치 방법은 취약하지 않은 버전으로 패치하는 것입니다. 하지만 패치를 즉시 적용하기 어려운 경우(테스트, 호환성 이슈)에는 임시 조치 방법으로 기능 비활성화, 보안장비에 차단 정책 설정을 통해 리스크를 완화하는 조치를 적용하는 것이 안전합니다.