정보보안기사 실기 기출 분석 및 출제 범위

 

단답형ㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡ

도메인

sam

액티브 디렉터리

보안 로그

application.evtx, system evtx, security.evtx

보안, 시스템, 응용프로그램

시스템 이벤트, 계정 로그온 이벤트, 프로세스 추적

비트로커

net user algisa2 /ADD, net localgroup administrators /ADD

널세션 취약점

사전공격/사전 대입 공격, 무차별공격, 혼합 공격

논리적 분리, 암호적 분리, 시간적 분리

참조모니터

인터럽트, 스택

PC레지스터, 인터럽트 서비스 루틴

커널

쉘

로더

2>>

프로세스

문맥

프로세스 제어블록

준비 실행 대기 교착상태 PCB

준비상태

 

2019년 13회

1. victim의 MAC주소를 위조한 스니핑 공격은?

=[ARP 스푸핑]

2. 침해사고 발생시 실시간 경보, 분석체계를 운영하며 금융,통신 분야별 정보통신 기반 시설을 보호하기 위한 업무를 수행하는 기관은?

 = [ISAC(Information Sharing Analysis Center), 정보공유분석센터]

CERT는 침해 사고 사전 예방, 침해 사고 발생 시 조직적, 체계적 긴급 대응 및 복구 목적

3. IDS의 침입 탐지 정책 설명

(1) 미리 등록된 패턴을 기반으로 이상행위를 탐지하는 기법은?

= [오용탐지 or 지식기반 탐지]

(2) 정상행위와 이상행위를 프로파일링하여 통계적인 방법으로 이상행위를 탐지하는 기법은?

 = [이상탐지 or 행위기반 탐지]

(3) 정상행위를 이상행위로 판단하거나 이상행위를 탐지하지 못하는 상황은?

= [오탐(False Positive), 미탐(False Negative)]

4. Github의 DDoS 공격에 악용된 캐시 솔루션은?

= [Memcached]

 -> 스토리지나 DB같은 대규모 데이터저장소의 부하를 줄이기 위해 캐시를 저장해 두는 툴

5. 리눅스의 /etc아래에 위치하고 있으며 패스워드의 사용기간 만료, 최대 사용기간, 최소 변경 기간 등의 패스워드 정책을 설정할 수 있는 파일은?

 = [login.defs]

주통기 16page

6. 웹 애플리케이션의 소스 코드를 보지 않고 외부 인터페이스나 구조를 분석하여 취약점을 발견하는 방식을 (1)라고 하고 개발된 소스코드를 살펴봄으로써 코딩 상의 취약점을 찾는 방식을 (2)라고 한다.

 = [블랙박스 테스트, 화이트 박스 테스트]

7. 정성적 위험분석 방법론 2가지에 대해 답하시오.

(1) 어떤 사건도 기대대로 발생하지 않는다는 사실에 근거하여 일정 조건하에서 위험에 대한 발생 가능한 결과들을 추정하는 방법

(2) 시스템에 관한 전문적인 지식을 가진 전문가의 집단을 구성하고 위험을 분석 및 평가하여 정보시스템이 직면한 다양한 위험과 취약성을 토론을 통해 분석하는 방법

 = [시나리오법, 델파이법]

8. 자산에 대해 보험을 들어 손실에 대비하는 등 조직의 자산에 대한 위협, 위험, 취약점 등을 제3자에게 전가하는 위험관리 방식은?

 = [위험전가]

9. 모든 시스템에 대하여 보호의 기본 수준을 정하고 이를 달성하기 위하여 일련의 보호대책을 선택하는 방식은?

 = [기준접근법]

10. 비즈니스 연속성을 보장하기 위한 계획을 무엇이라 하는가?

=[BCP(Business Continuity Plan)]

2019년 14회

1. 접근통제 정책 모델에 대하여 다음 물음에 답하시오.

(A) : 모든 객체는 정보의 비밀 수준에 근거하여 보안 레벨이 주어지고 허가된 사용자만 접근 가능토록 제어하는 모델

(B) : 사용자나 사용자 그룹에 근거한 사용자 중심의 접근 제어 모델

(C) : 사용자와 객체의 상호 관계를 역할로 구분하여 접근 제어하는 모델

 = [MAC, DAC, RBAC]

2. ARP 프로토콜에서 목적지의 물리 주소를 얻기 위해 프레임에 실어 보내는 목적지 주소를 주소 형식에 맞게 기술.

=[ff:ff:ff:ff:ff:ff]

 

3. IPSec 프로토콜에 대하여 다음()안에 들어갈 용어를 기술하시오.

(1) 어느 계층에서 사용되는 프로토콜인가?

(2) 무결성을 보장하는 IPSec 세부 프로토콜은?

(3) 기밀성을 보장하는 IPSec 세부 프로토콜은?

 = [네트워크 계층, AH, ESP]

4. MS 오피스와 애플리케이션 사이에서 데이터를 전달하는데 사용되는 프로토콜로 외부로 데이터 등을 전달할 수 있으며, 엑셀에서 이 기능이 활성화될 경우 악용될 수 있다. 이 프로토콜은?

=[DDE(Dynamic Data Exchange)]

5. 사이버 위기 경보 단계에 대하여 다음 빈칸에 알맞는 것?

정상 -> (A) -> 주의 -> (b) -> (C)

=[관심, 경계, 심각]

6. 리눅스 시스템 로그 파일에 대해 다음 빈칸에 적절한 명칭을 기술하시오.

(A) : 현재 시스템에 로그인한 사용자의 상태가 출력되는 로그

(B) : 사용자의 로그인, 로그아웃, 시스템 재부팅 정보가 출력되는 로그

(C) : 5번이상 로그인 실패 시 로그인 실패 정보가 기록되는 로그

 = [utmp, wtmp, btmp]

7. 정보보호제품에 대한 국제 표준(ISO-15504)인증의 명칭은?

=[CC인증]

8. Httpd.conf파일에서 디렉터리에 업로드 가능한 최대 파일 사이즈를 제한하는 명령어는?

=[LimitRequestBody]

9. 다음의 정보보호 관련 법률의 명칭을 기술

(A) : 정보통신망에 관한 법률의 명칭

(B) : 주요 정보통신 기반 시설에 관한 법률의 명칭

(C) : 위치정보에 관한 법률의 명칭

=[정보통신망(정보통신망 이용 촉진 및 정보보호 등에 관한 법률), 정보통신 기반 보호법, 위치정보법(위치정보의 이용 및 보호 등에 관한 법률)]

10. ISMS-P인증 평가 항목에 대한 설명으로 ()안에 들어갈 명칭 기술.

1.2.1 (정보자산 식별) : 조직의 업무특성에 따라 정보자산 분류 기준을 수립하여 관리체계 범위 내 모든 정보자산을 식별/분류하고, (A)를 산정한 후 그 목록을 최신으로 관리해야 한다.

1.2.3(위험평가) : 조직의 대내외 환경분석을 통해 유형별 (B)를 수집하고, 조직에 적합한 위험평가 방법을 선정하여 관리체계 전 영역에 대해 연 1회 이상 위험을 평가하여, 수용할 수 있는 위험은 (C)의 승인을 받아 관리해야 한다.

=[중요도, 위협 정보, 경영진]

2020년 15회

1. 웹관련 취약점에 대해 (A), (B)에 들어갈 용어를 기술하시오.

(A)는 게시판, 웹 메일 등에 삽입된 악의적인 스크립트에 의해 페이지가 깨지거나 다른 사용자의 사용을 방해하거나 쿠키 및 기타 개인 정보를 특정 사이트로 전송시키는 공격이다. 점검을 위하여 다음과 같은 스크립트를 사용할 수 있다.

<script>(B)(document.cookie)</script>

=[XSS, Alert]

2. 웹 사이트에 로봇 Agent가 접근하여 크롤링 하는 것을 제한하는 파일명은 무엇인가?

=[robtots.txt]

3. DoS 공격 관련 ()에 들어갈 공격 기법 기술.

() : 출발지와 목적지의 IP 주소를 공격대상의 IP 주소와 동일하게 설정하여 보내는 공격

() : 공격 대상자의 IP로 스푸핑된 IP를 소스로 하여 브로드캐스트 도메인으로 ICMP 메시지를 전송하는 공격

() : 다수의 SYN 패킷을 전송하는 공격

=[Land attack, Smurf attack, TCP Syn Flooding]

4. Reflection 공격의 일종으로 1900번 포트를 사용하여 IOT 시스템을 공격하는 기법은?

=[SSDP DRDoS]

 : (Simple Service Discovery Protocol)은 홈네트워크 미들웨어 표준인 uPnP에서 사용하는 프로토콜이다. UDP 1900포트를 사용하며 디바이스가 제공하는 서비스를 Advertisement, search 하는 용도로 사용된다.

5. 다음 ()에 들어갈 용어를 기술하시오.

(A)는 오픈소스 IDS/IPS로 기존의 (B)의 장점을 수용하고, 대용량 트래픽을 실시간으로 처리하는데 특화된 소프트웨어이다.

 =[스리카타, 스노트]

6. 개인정보의 안전성 확보조치 기준에 대하여 ()에 들어갈 용어를 기술하시오.

 제 8조 (접속기록의 보관 및 점검)

① 개인정보처리자는 개인정보취급자가 개인정보처리시스템에 접속한 기록을 1년 이상 보관/관리해야 한다. 다만, 5만명 이상의 정보주체에 관하여 개인정보를 처리하거나, (A)또는 (B)를 처리하는 개인정보처리시스템의 경우에는 2년 이상 보관/관리하여야 한다.

② 개인정보처리자는 개인정보의 오/남용, 분실/도난/유출/위조/변조 또는 훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 월 1회 이상 점검해야 한다. 특히 개인정보를 다운로드한 것이 발견되었을 경우에는 (C)으로 정하는 바에 따라 그 사유를 반드시 확인해야 한다.

=[고유식별정보, 민감정보, 내부관리 계획]

7. TLS 연결을 SSL 3.0으로 낮춰 SSL 3.0취약점을 이용하여 암호문을 해독하는 공격 기법을 무엇이라하는가?

=[POODLE(Padding Oracle on Downgraded Legacy Encryption) 공격]

8. ISMS-P 인증 체계에 대하여 ()안에 들어갈 명칭을 기술하시오.

(A) : 과학기술정보통신부, 행정안전부와 함께 정책 협의회를 구성하는 기관으로 법, 제도 개선 및 정책 결정, 인증기관 및 심사기관 지정 업무를 수행

(B) : 인증서 발급, 인증심사원 양성 및 자격관리 업무를 수행하는 기관

(C) : 인증심사 결과에 대한 심의/의결을 수행하는 조직

=[방송통신위원회, KISA , 인증위원회]

9. 자산 및 시스템의 위험을 평가하여, 수용 가능한 수준으로 위험을 완화하기 위한 대응책을 수립하는 일련의 과정을 무엇이라 하는가?

=[위험관리]

10. VPN 관련 프로토콜에 대하여 다음()에 들어갈 프로토콜 명을 기술하시오.

(A) : 시스코사에서 개발한 터널링 프로토콜

(B) : MS, 3Com 등 여러 회사가 공동 개발한 프로토콜

(C) : OSI 3계층에서 보안성을 제공해주는 표준 프로토콜

 = [L2F(Layer 2 Forwarding), PPTP, IPSec]

2020년 16회

1. /etc/shadow 파일에서 암호화된 패스워드 값의 맨 첫 번째 항목이 무어을 의미하는지 기술하시오.

 = [패스워드에 사용된 해시 알고리즘]

2. 다음 각 호의 업무를 총괄하는 사람은 누구인가?

1) 정보보호관리체계의 수립 및 관리/운영

2) 정보보호 취약점 분석/평가 및 개선

3) 침해사고의 예방 및 대응

4) 사전 정보보호대책 마련 및 보안조치 설계/구현
 = [정보보호최고책임자(CISO)]

3. 기업의 정보보호에 대한 방향(목적, 활동 등)을 기술 및 솔루션과 독립적으로 가장 상위 개념으로 정의한 문서는 무엇인가?

= [정보보호정책(policy)]

4. 다음의 무선랜 보안 표준에서 사용하는 주요 암호화 알고리즘을 기술하시오.

1) WEP : [A]

2) WPA : [B]

3) WPA2 : [C]

 = [RC4, TKIP , AES(CCMP)]

5. 엔드포인트 영역에 대한 지속적인 모니터링을 통해 행위 기반 위협 탐지 및 분석, 대응 기능을 제공하는 솔루션은 무엇인가?

 = [EDR(Endpoint Detection * Response)]

6. TLS 1.3에 추가된 기능으로 세션키를 합의하는 핸드셰이크 과정을 간소화하여 암호화 시간을 줄여주는 기능을 무엇이라고 하는가?

 = [최초 세션 연결 시 1-RTT(Round Trip Time), 세션 재개 시 0-RTT]

7. 프로그램에서 실행하는 시스템 콜을 추적할 수 있으며, 바이너리 파일에 포함된 컴파일 경로 정보를 통하여 프로그램을 진단하거나 디버깅할 수 있는 명령어는 무엇인가? 이 명령어를 통해 트로이 목마가 걸린 파일과 정상 파일을 구분할 수 있다.

(A) -e trace=open ps | more

 = [strace]

8. 다음이 설명하는 보안 솔루션(A)의 이름을 기술하시오.

(A)는 전사적 IT인프라에 대한 위협정보들을 수집/분석/경보/관리하는 정보보호 통합관리 시스템이며 실시간으로 공신력 있는 대외 정보보호기관의 위협정보들을 수집/분석하여 정보보호관리자에게 제공함으로써 각종 보안위협으로부터 사전 대응 및 예/경보 체계를 구축하고 이를 통해 APT 등 알려지지 않은 공격들에 대한 조기 대응을 유도한다.

 - SIEM에서 위협 식별 후 (A)에 쿼리를 요청하여 공격주체 식별이 가능하다.

 = [TMS(Threat Management System)]

9. iso/iec에서 정의한 위험 관리 모델은 위험 구성 요소들 간의 관계를 도표로 표현하고 있다. 괄호 안에 들어갈 용어?

                        증가 -- 취약성 - 노출

                          ↓                         ↓

(A) -- 증가 → 위험 ← 증가 --- (B)

                           ↑

보안대책 ----- (C)

=[위협, 자산, 감소]

10. 전송 계층 프로토콜인 UDP 기반으로 통신을 수행하는 경우 SSL/TLS와 유사한 보안 기능을 제공하는 프로토콜 명을 기술하시오.

 = [DTLS(Datagram Transport Layer Security)]

#COAP(Constrained Application Protocol) : 제약이 있는 장치들을 위한 특수한 프로토콜로 http로 쉽게 변환되도록 설계되어 http대체가능

2021년 17회

1. mimikaz와 같은 툴로 메모리에 저장된 NTLM, LanMan 해시를 탈취하여 원격 서버 인증을 시도하는 공격 기법명을 기술하시오.

= [pass the hash]

2. DNS의 캐시 정보를 조작하여 가짜 사이트로 접속을 유도하는 공격 기법명을 기술하시오.

 = [DNS 캐시 포이즈닝]

3. 사이버 공격의 흐름을 분류하는 기준으로 사이버 킬 체인의 7단계를 확장하여 14단계로 구성된 모델명을 기술하시오.

 = [MITRE ATT&CK]

4. 공격자가 미리 확보해 놓은 로그인 자격증명(ID, 패스워드)을 이용하여 사용자가 이용할만한 다른 사이트에 무작위로 대입하여 비인가 접속을 시도하는 공격기법명을 기술하시오.

 = [크리덴셜 스터핑]

5. 취약점의 여러 가지 요소(코드베이스, 시간성, 악영향, 환경적 요소)를 고려하여 공격의 난이도와 피해 규모를 평가하고 점수화하는 보안취약점 평가 기준을 무엇이라 하는가? 

 = [CVSS(Common Vulnerability Scoring System)]

6. 침해삭 대응7단계에서 다음()에 들어갈 절차를 기술하시오.

사고전 준비단계 > 사고 탐지 > (초기대응) > 대응전략 체게화 > 사고 조사 > 보고서 작성 > 해결

7. 정보보호 관련 법령과 관련하여 ()에 들어갈 용어를 기술하시오.

(내부관리계획) : 정보통신서비스 제공자등이 개인정보의 안전한 처리를 위하여 개인정보보호 조직의 구성, 개인정보취급자의 교육, 개인정보 보호조치 등을 규정한 계획

(전자적 침해행위) : 정상적인 보호, 인증 절차를 우회항 정보통신기반시설에 설치하는 방법으로 정보통신망 또는 이와 관련된 정보시스템을 공격하는 행위

(정보보호사전점검) : 정보통신망 구축 또는 정보통신서비스의 제공 이전에 계획 또는 설계 등의 과정에서 정보보호를 고려하여 필요한 조치를 하거나 계획을 마련하는 것

8. 정보보호 관련법령과 관련하여 ()에 들어갈 용어를 기술하시오.

(정보통신망) : 전기통신설비를 이용하거나 전기통신설비와 컴퓨터 및 컴픁의 이용기술을 활용하여 정보를 수집/가공/저장/검색/송신 또는 수신하는 정보통신체제

(정보보호시스템) : 정보의 수집/저장/검색/송신/수신 시 정보의 유출, 위/변조, 훼손 등을 방지하기 위한 하드웨어 및 소프트웨어 일체

(정보통신기반시설) : 국가안전보장/행정/국방/치안/금융/통신/운송/에너지 등의 업무와 관련된 전자적 제어/관리시스템

9. ISO27005에 포함된 위험평가(Risk Assessment)절차와 관련하여 ()에 들어갈 절차명을 기술하시오.

(위험식별) : 잠재적인 손해 발생의 근원을 밝혀내기 위하여, 자산, 위협, 현 통제 현황, 취약점을 식별하는 단계

(위험분석 Risk Analysis) : 시나리오별 영향 및 발생 가능성을 객관성, 주관적인 방법으로 분석하는 단계

(위험수준평가Risk Evaluation) : 사전에 마련된 기준에 따라 분석된 위험 목록의 우선순위를 산정하는 단계

10. 개인정보의 안전성 확보조치 기준과 관련하여 다음()에 들어갈 용어를 기술하시오.

제2조정의

접속기록이란, 개인정보취급자 등이 개인정보처처리시스템에 접속하여 수행한 업무내역에 대하여 개인정보취급자 등의 계정, (접속일시), 접속지 정보, (처리한 정보주체 정보), 수행업무 등을 전자적으로 기록한 것을 말한다.

제8조(접속 기록의 보관 및 점검)

개인정보처리자는 개인정보의 오남용, 분실, 도난, 유출, 위조, 변조 또는 훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 월 1회 이상 점검해야 한다. 특히 개인정보를 다운로드한 것이 발견되었을 경우에는  (내부관리계획)으로 정하는 바에 따라 그 사유를 반드시 확인해야 한다.

 

2021년 18회

1. EAP를 통해 인증을 수행하고 AES-CCMP 기반 암호화를 지원하는 무선랜 보안 표준은? = [WAP2]

2. 바이러스 토탈에서 제작하였고, 악성코드의 특성과 행위에 포함된 패턴을 이용하여 악성코드를 분류하는 툴의 이름은? = [YARA]

3. SW 개발 보안과 관련하여 ()에 들어갈 취약점명을 기술하시오.

{SQL 인젝션} : DB와 연결되어 있는 애플리케이션의 입력값을 조작하여 의도하지 않은 결과를 반환하도록 하는 공격 기법

{XSS} : 게시판, 웹, 메일 등에 삽입된 악의적인 스크립트에 의해 쿠키 및 기타 개인정보를 특정 사이트로 전송시키는 공격 기법.

{운영체제 명령어 삽입} : 적절한 검증 절차를 수행하지 않은 사용자 입력값이 운영체제 명령어의 일부로 전달되어 의도하지 않은 시스템 명령어가 실행되도록 하는 공격 기법

4. 마이크로소프트 오피스와 애플리케이션 사이 데이터를 전달하는 프로토콜로 엑셀에서 이 기능이 활성화될 시 악용될 수 있다. 해당 프로토콜의 이름을 기술하시오. = [DDE(Dynamic Data Exchange)]

5. 위험관리와 관련하여 ()에 들어갈 용어를 기술하시오.

{자산} : 위협으로부터 보호해야 할 대상

{위협} : 자산에 손실을 발생시키는 원인이나 행위

{취약점} : 위협에 의해 손실이 발생하게 되는 자산에 내재된 약점

6. 정보의 무결성, 서비스의 연속성, 정보자산의 보호를 위한 것으로 기업 거버넌스의 부분집합으로서 전략적 방향을 제시하며 목적 달성, 적절한 위험관리, 조직 자산의 책임 있는 사용, 기업 보안 프로그램의 성공과 실패가 모니터링됨을 보장하는 것을 무엇이라 하는가?

 = [정보보안 거버넌스]

7. DDoS, APT 등 공격 수행 시 C&C 서버와 접속하기 위한 도메인명을 지속적으로 변경하여 보안장비의 탐지를 우회하기 위한 기법을 무엇이라 하는가? = [DGA(Domain Generation Algorithm)]

 DGA는 공격 대상 시스템에 설치된 악성코드가 C&C 서버와 통신하는 과정에서 특정한 규칙에 따라 도메인명을 임의로 생성하는 알고리즘으로 C&C서버로 접속하는 도메인명을 지속적으로 변경하기 때문에 보안장비의 Domain Reputation 기반 탐지 및 차단을 우회할 수 있다.

 - Domain Shadowing의 경우 적법한 절차로 도메인을 소유하고 있는 도메인 관리자의 개인 정보를 탈취하여, 도메인 소유자 몰래, 많은 서브도메인을 등록시켜 놓고 사용하는 기법이다.

8. 위험분석절차 중 다음 () 안에 들어갈 절차명을 기술하시오.

1) [자산식별]

2) [자산 가치 및 의존도 평가]

3) 기존 보안대책 평가

4) 취약성 평가

5) 위험평가

9. HTTP 관련 공격 중 헤더의 CRLF(개행문자) 필드 부분을 조작함으로써 웹서버로 조작된 HTTP 헤더를 지속적으로 보내 서비스의 가용성을 떨어뜨리는 공격은? = [Slow HTTP Header DoS 공격(Slowloris)]

10. 모바일 앱의 특정화면으로 바로 이동할 수 있도록 지원하는 기능으로 공격자에 의하여 악용되는 경우 앱내 민감한 개인정보(카드정보, 주소)가 노출될 수 있는 취약점이 있다. 이 기능의 이름은? = [모바일 딥링크]

 

2022년 19회

1. 위험관리와 관련하여 ()에 들어갈 용어를 기술하시오

[자산]으로부터 보호해야 할 대상

[위협]에 손실을 발생시키는 윈인이나 행위

[취약점]에 의해 손실이 발생하게 되는 자산에 내재된 약점

2. 네트워크 진입 시 단말과 사용자를 인증하고, 단말에 대한 지속적인 보안 취약점 점검과 통제를 통해 내부 시스템을 보호하는 솔루션을 무엇이라고 하는가?

=[NAC]

3. 여러 개의 프로세스가 공유자원에 동시에 접근할 때 접근하는 순서에 따라 비정상적인 결과가 발생하는 상황을 악용하는 공격기법을 무엇이라고 하는가?

=[Race Condition 공격]

4. 희생자의 MAC 주소를 위조하여 해당 IP로 전달되는 데이터를 중간에서 가로채기하는 공격 기법을 무엇이라고 하는가?

= [ARP 스푸핑]

5. IDS와 관련하여()에 들어갈 용어를 기술하시오.

 IDS는 네트워크의 패킷만 보고 공격을 탐지하는 [네트워크] IDS와 서버에 직접 설치되어 관리가 권한 탈취 등으로 인해 발생되는 공격을 탐지되는 [호스트] IDS로 구분된다.

6. BCP 수립 시 장애나 재해 발생으로 업무 프로세스가 중단되는 경우 예상되는 재무적 손실, 외부 규제 요건 등을 고려하여 업무 중요도를 평가하고 이에 따른 RTO(목표 복구 시간), RPO(목표 복구 지점)를 결정하는 절차를 무엇이라고 하는가?

= [BIA 업무 영향도 분석]

7. Apache 로그와 관련하여 ()에 들어갈 용어를 기술하시오.

Apache 서버의 로그파일은 정상적인 접속 로그가 기록되는 [Access] 로그, 접속에러가 기록되는 [Error] 로그가 존재한다. 로그파일의 경로를 확인할 수 있는 파일은 [ httpd.conf]이다.

8. 필 짐머만에 의해 개발되었으며 PEM에 비해 보안성은 떨어지나 이것을 실장한 프로그램이 공개되어 있어서 현재 가장 많이 사용되고 있는 이메일 보안 기술을 무엇이라 하나?

 = [pgp]

9. []에 들어갈 용어를 기술하시오.

위험 평가 수행 시 자산을 식별하고, 식별된 자산의 가치를 평가하는 기준으로 CIA측면을 고려하여 자산의 [중요도]를 산정한다.

10. 공격 대상이 이미 시스템에 접속되어 연결되어 잇는 상태를 가로채는 공격 기법을 무엇이라 하는가?

 = [세션 하이재킹]

2022년 20회

1. 다음은 특정 명령어를 수행한 결과이다. ()에 들어갈 명령어를 기술하시오.

#telnet webserver.com 80

Trying 192.168.1.2..

connect to webserver.com

escape character is '^]'.

(  )*HTTP/1.0

 

HTTP/1.1 200ok

Date: Sat,6 Aug 2022 09:01:01 KST

Server: Microsoft-IIS/5.0

Allow:GET, HEAD, POST, OPTIONS, TRACE

Content-Length:0

Connection:close

Content-Type:text/plain;

...
= [OPTIONS]
2. 위험분석과 관련하여 ()안에 들어갈 명칭을 기술하시오. 

() : 시스템에 관한 전문적인 지식을 가진 전문가의 집단을 구성하고 위험을 분석 및 평가하여 정보시스템이 직면한 다양한 위험과 취약성을 토론을 통해 분석하는 방법

() : 어떤 사건도 기대대로 발생하지 않는 다는 사실에 근거하여 일정 조건하에서 위험에 대한 발생가능한 결과들을 추정하는 방법

() : 비교 우위 순위결정표에 따라 위험 항목들의 서술적 순위를 결정하는 방법

=[ 델파이법, 시나리오법, 순위결정법]
3. 위험분석 접근법과 관련하여 ()안에 들어갈 명칭을 기술하시오.

() : 모든 시스템에 대하여 보호의 기본 수준을 정하고 이를 달성하기 위하여 일련의 보호대책을 표준화된 체크리스트를 기반으로 선택하는 방식

() : 정립된 모델에 기초하여 체크리스트를 기반으로 선택하는 방식

() : 고위험 영역을 식별하여 상세 위험분석을 수행하고 다른 영역은 베이스라인 접근법을 사용하는 방식

=[베이스라인(기준선) 접근법, 상세 위험 분석, 복합(통합) 접근법]
4. 접근통제 정책에 대하여 다음()에 들어갈 용어를 기술하시오.

() : 사용자나 사용자 그룹에 근거한 사용자 중심의 접근 제어를 수행하는 방법

() : 모든 객체는 정보의 비밀수준에 근거하여 보안 레벨이 주어지고 허가된 사용자만 접근 가능토록 제어하는 방법

() : 사용자와 객체 상호관계를 역할을 기반으로 접근권한을 부여하는 방법
=[DAC, MAC, RBAC]
5. IDS와 관련하여 ()에 들어갈 용어 기술.

() : 정상적인 행위를 이상행위로 판단하여 탐지하는 상황

() : 이생행위를 탐지하지 못하는 상황
= [오탐(FALSE POSITIVE), 미탐(FALSE NEGATIVE)]
6. IPsec에서 지원하는 기능(서비스) 3가지 기술.

기밀성, 제한된 트래픽 흐름의 기밀성, 데이터 근원지 인증, 접근제어, 비연결형 무결성, 재전송 공격 방지..
= [기밀성, 비연결형 무결성, 재전송 공격방지]
7. 다음에 설명에 들어갈 용어 기술.

(A)는 사토시 나카모토가 개발한 가상화폐로, 거래 데이터를 기록하는 저장소로 (B)를 이용한다. Hash연산을 수행하여 발생된 거래작업을 증명한 대가로 (A)를 획득하는 행위를 (C)이라 한다.

= [비트코인, 블록체인, 채굴]
8. 다음 설정 파일에서 디렉터리 인덱싱 취약점을 대응하기 위하여 삭제해야 하는 지시자를 기술하시오.

<Directory /var/www>

Options indexes

FollowSymLinks

AllowOverride none

Require all granted

 = </Directory>
= [INDEXES]
9. 클라우드 서비스 이용을 위해 서브 도메인에 CNAME을 설정하여 사용중, 서비스 이용을 중지했지만 DNS의 CNAME 설정은 삭제하지 않아 공격자가 피싱 사이트로 악용하는 공격을 무엇이라고 하는가?

 =[서브도메인 테이크오버]
10. 정보보호 및 개인정보관리체계 인증 기준 중 '물리적 정보보호 대책'에 해당하는 사항을 3가지 기술하시오.
 = [보호구역 지정(통제구역, 제한구역 등), 출입통제(출입 이력 검토), 정보시스템 보호(중요도 고려한 배치, 케이블 손상 방지 등), 보호설비 운영(UPS, 화재감지 등), 보호구역내 작업(작업 기록 검토), 반출입 기기 통제(정보시스템, 모바일 기기, 저장매체 등), 업무환경 보안(클린데스크)]

 

2022년 21회

1. sendmail에서 스팸메일 릴레이 제한 설정 후 access db를 생성하려고 한다.()에 들어갈 명령어를 기술하시오.

# () () etc/mail/access.db < etc/mail/access

= [makemap, hash]

2. 라우터에서 snmp프로토콜을 비활성화 하려고 한다.()에 들어갈 명령어를 기술하시오.

router # configure terminal

router(config)# () ()

=[no, snmp-server]

3. 위험분석 관련하여 다음 물음에 답하시오.

1) 위험을 모두 제거하는 것은 현실적을 불가능하므로 수용가능한 수준으로 경감시키기 위한 보호대책을 마련하는 것이 중요하다. 이 경우 수용가능한 수준의 위험을 지칭하는 용어를 기술하시오.

 = [DOA(Degree of Assurance, 위험 허용 수준)]

2) 위험이 낮으면 원칙적으로 비용절감을 위해 그냥 두는 것이 맞나? 

 = [X:보호대책의 효과성을 주기적으로 평가하여, 위험수준을 지속적으로 모니터링 해야한다.]

4. 업무 연속성 계획(BCP) 5단계 중 2~4단계의 명칭을 기술하시오.

= [BIA(Business Impac Analysis, 사업영향평가), 복구전략개발, 복구계획 수립]

5. 특정 대상을 겨냥해 다양한 공격 기법을 동원하여 장기간 지속적으로 공격하는 기법을 무엇이라고 하나?

= [APT지능형 지속위협]

6. 불완전한 암호화 저장 취약점이 있는 웹 애플리케이션은 데이터와 자격 증명을 적절히 보호하기 위한 암호화 기능을 거의 사용하지 않아서, 보호되지 않은 데이터를 이용하여 신원 도용이나 신용카드 사기와 같은 범죄가 이뤄질 수 있다. 해당 취약점을 점검하는 방법에 대해 ()에 들어갈 용어를 설명하시오.

1) DB에 저장된 중요정보가 (SQL Query)로 열람가능한지 확인한다.

2) (세션 ID) 또는 암호화된 쿠키값이 명백하게 랜덤으로 생성되는지 확인한다.
3) 적절한 (암호화 알고리즘)이 제대로 적용되었는지 검증한다.

7. TCP/IP의 인터넷 계층에서 동작하는 프로토콜에 대해 ()에 들어갈 용어를 기술하시오.

1) (IPSEC) : 인터넷 계층에서 동작하는 대표적인 VPN 프로토콜

2) (AH) : IPSEC의 세부 프로토콜로 무결성 보장, 메시지 인증 가능
3) (ESP) : IPSec의 세부 프로토콜로도 암호화를 통한 기밀성 유지 가능

8. 위험분석 방법과 관련하여 ()안에 들어갈 명칭을 기술하시오.

(델파이법) : 시스템에 관한 전문적인 지식을 가진 전문가의 집단을 구성하고 위험을 분석 및 평가하여 정보시스템이 직면한 다양한 위험과 취약성을 토론을 통해 분석하는 방법

(시나리오법) : 어떤 사건도 기대대로 발생하지 않는다는 사실에 근거하여 일정 조건하에서 위험에 대한 발생가능한 결과들을 추정하는 방법

(퍼지행렬법) : 자산, 위협, 보안체계 등 위험분석 요인들을 정성적 언어로 표현된 값을 사용하여 기대손실을 평가하는 방법

9. 익스플로잇 코드와 관련되어 ()에 들어갈 용어를 기술하시오.

(Shell Code) 어셈블리어/기계어로 구성되어 있는 익스플로잇 코드의 본체에 해당하는 프로그램

(0x90) NOP(no operation)에 해당하는 x86 Hex Code

(RET EIP ESP or JUMP ESP) ESP(Extended Stack Pointer) 레지스터에 있는 값을 EIP(Extended Instruction Pointer)레지스터로 옮기는 어셈블리 명령

10. httpd.conf 파일에서 디렉터리에 업로드 가능한 최대파일사이즈를 제한하는 명령어는?

= [LimitRequestbody]

 

서술형ㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡ

 

2019년 13회

11. 파일 업로드 취약점 대응을 위한 .htaccess 파일 설정의 의미에 대하여 답하시오.

(1) <FilesMatch \.(ph|lib|sh)

Order allow DENY

Deny From ALL

</FilesMatch>

  -> [FilesMatch 지시자를 이용, .ph, .lib, .sh 등의 Server Side Script 파일에 대해 직접 URL 호출 금지(업로드된 스크립트의 실행을 막기 위한 목적)]

(2) AddType text/html .php .php1 .php2 .php3 .php4 .phtml

  -> [AddType 지시자를 이용 SSScript 확장자를 text/html MIME Type으로 재조정하여 업로드된 스크립트 실행 방지]

 

12. IDS는 내부 트래픽에 대해 미러 방식으로 사용하고, IPS는 인라인 방식으로 외부와 내부 접점에 배치하여 사용하는 이유는? 

IPS는 실시간 차단을 목적으로 하기 때문에 인라인 방식으로 구성되어야 하며, 외부에서의 악의적인 침입 시도를 차단하는데 포커스를 두어 내부와 외부의 접점에 배치하는 것이 좋다. IPS를 내부망에 배치하여 운영하는 경우 오탐으로 인해 네트워크에 문제가 발생할 수 있으므로 내부망에는 침입탐지를 목적으로 하는 IDS를 배치하는 것이 좋다.

UDS는 포트 미러링 방식으로 업무 데이터 흐름에 영향을 주지 않고 패킷을 분석하여 침입 여부를 탐지할 수 있기 때문

IPS는 장애 시 업무에 영향을 줄 수 있으므로 bypass기능을 지원해야 한다.

 

13. IPSec의 AH, ESP 보안 헤더에 대해 전송/터널 모드로 운영 시 인증구간, 암호화 구간을 설명하고, 키 교환 프로토콜명을 기술하시오.

(1) AH 전송모드

 

(2) AH 터널모드

 

(3)ESP 전송 모드

 

(4)ESP 터널모드

 

(5) 키교환 프로토콜명 : 

 

 

 

2019년 14회

11. 유닉스 계정 패스워드 임계값 설정에서 다음 옵션의 의미는?

(deny=5, unlock_time=120, no_magic_root, reset)

=[

deny = 5 : 인증 실패 임계값을 5회로 설정(실패 시 잠김)

unlock_time = 120 : 계정 잠금 후 마지막 인증 실패 시작으로부터 120초가 지나면 자동으로 계정 잠금 해제

no_magic_root : root계정은 잠김 설정 예외

reset : 접속 시도 성공 시 실패 회수를 초기화

]

12. /etc/shadow 파일에 대한 답

1) x:a$b$c:에서 a,b,c의 의미는?

 1-a : 암호화 알고리즘(1은 md5, 5는sha256, 6은 sha512로 암호화)

 1-b : salt값

 1-c : 해시값(salt + 암호를 입력으로 하여 산출된 해시값)

2) b가 레인보우테이블 공격에 대응할 수 있는 이유는?

해시 연산 수행 시 salt 값을 추가 입력값으로 사용하는 경우 동일한 암호에 대하여 해시값이 달라지므로, 해시 목록을 이용한 레인보우테이블 공격에 대응 가능하다.

3) pwunconv 명령의 기능은?

/etc/shadow의 패스워드 값이 /etc/passwd 파일의 패스워드 항목으로 들어가게 되며 shadow 파일은 비활성화된다.

 

13. 강제적 접근제어 모델에 대한 답

1) 정보의 불법적 파괴나 변조보다는 기밀성 유지에 초점을 둔 모델의 명칭은?

 - BLP(벨라파둘라) 모델

2) no-read-up의 의미는?

 - 보안 수준이 낮은 주체는 보안 수준이 높은 객체를 읽지 못하도록 하여 기밀성을 보장

3) no-write-down의 의미와 보안적 관점에서의 의의는?

 - 보안 수준이 높은 주체는 보안 수준이 낮은 객체에 기록할 수 없다.(보안적 관점에서 높은 수준의 주체가 낮은 수준의 주체엑 정보를 전달할 수 있는 경로를 차단하여 기밀성을 보장하기 위한 목적에서 의의가 있다.)

4) 비바 모델의 write 정책은?

No write up(정보 수준이 낮은 주체가 높은 수준의 객체에 Blind 업데이트를 하지 못하도록 차단함으로써, BLP의 무결성 문제를 해결하기 위한 정책이다)

 

2022년 15회

11. 다음 패킷을 ESP 터널모드로 전송하는 경우 다음 물음에 답하시오.

[IP 헤더][TCP 헤더][데이터]

(1) ESP 터널 모드로 전송 시 추가되는 필드를 그림으로 도식화 하시오.

 [New IP 헤더][ESP헤더][IP헤더][TCP헤더][데이터][ESP Trailer][ESP Auth]

(2) 암호화되는 필드의 범위를 설명하시오.

[IP헤더][TCP헤더][데이터][ESP Trailer]

(3) 인증되는 필드의 범위를 설명하시오.

[ESP헤더][IP헤더][TCP헤더][데이터][ESP Trailer]

12. 백도어가 설치되어 있는 것을 아래 보기로 확인하였으나, 해당 파일 경로로 가보니 파일이 존재하지 않았다.

[보기]

ls -al/proc/5900

exe -> 백도어경로 (delete)

(1) 백도어 파일 경로로 접속 시 해당 프로세스가 보이지 않는 이유는?

 - 공격자가 백도어 프로세스를 실행 후 해당 파일을 삭제했기 때문

(2) 삭제된 백도어 프로세스를 /tmp/backdoor로 복원하는 명령어는?

 - cp /proc/5900/exe/tmp/backdoor

(3) 공격자가 사용한 명령어를 확인하는 방법은 무엇인가?

  3-1

history : 공격자가 로그인 후 입력했던 명령어들과 명령어 뒤에 입력한 parameter까지 확인 가능

  3-2

 cat /proc/5900/cmdline : 공격자가 백도어 프로세스를 실행 시 사용한 명령어 확인 가능

13. 정보통신망법에 적용을 받는 신생회사에서 비밀번호 작성 규칙을 수립하려고 한다. 개인정보의 기술적, 관리적 보호조치 기준에 따른 비밀번호 작성 규칙 3가지를 설명하시오.

(1) 패스워드 복잡도 및 길이

 : 영문, 숫자, 특수 문자 중 2종류 이상 조합시 10자리 이상, 3종류 이상 조합시 8자리 이상의 길이로 구성

(2) 유추하기 어려운 비밀번호 사용

연속적인 숫자나 생일, 전화번호 등 추측하기 쉬운 개인정보 및 아이디와 비슷한 비밀번호는 사용하지 않을 것을 권고

(3) 패스워드 유효기간 설정

 비밀번호에 유효기간을 설정하여 최소 반기별 1회 이상 변경

2020년 16회

11. 쿠키에 설정되는 보안 기능과 관련하여 다음 각 물음에 답하시오.

(1) Secure 속성의 기능{보완}

 - [Secure 통신(SSL/TLS)을 수행하는 경우에만 클라이언트에서 해당 쿠키 전송(쿠키의 기밀성 보장)]

(2) Secure 속성으로 대응 가능한 공격

 - [스니핑을 통한 쿠키 정보 탈취 대응 가능]

(3) HttpOnly 속성 설정 시 쿠키 값

 - [HttpOnly = yes?]

(4) HttpOnly 속성의 기능

 - [웹브라우저에서 자바스크립트(document.cookie) 등을 통한 해당 쿠키 접근을 차단]

(5) HttpOnly 속성으로 대응 가능한 공격

12. 디지털 포렌식 5대원칙중 3가지 설명

[ 다시

1) 정당성의 원칙

입수한 증거는 적법한 절차에 따라 수집된 것이어야 한다. 위법한 절차(스니핑, 도청 등)를 거쳐 획득한 증거로 효력이 없음

2) 재현성의 원칙

획득한 증거는 동일한 조건에서 동일한 

3) 신속성의 원칙

 

4) 연계보관성의 원칙

 

5) 무결성의 원칙

 

]

 + 

#포렌식 수사과정

(수사준비 -> 증거물 획득 -> 보관 및 이송 -> 분석 및 조사->보고서 작성)

13. 스팸 메일 방지를 위한 기술에 대한 것

1) SPF 적용 시 수신자 측에서 확인할 수 있는 항목

 - 메일에 포함된 발송자 정보(IP, 호스트명)가 실제 메일 발신 서버의 정보와 일치하는지 확인 가능(SPF에선 Mail Header가 아닌 Mail Envelop상의 발송자 주소만 검증)

2) SPF 적용 시 수신받은 메일의 정당성을 검증하는 방법

 - 발송자의 DNS에 TXT 타입으로 등록된 SPF 레코드를 확인하여, 메일 발신자 IP가 SPF레코드에 포함되어 있는지 대조한다.

    일치하지 않는 경우 발송자 주소가 조작된 것이므로, 수신 메일서버의 SPF인증 정책에 따라 해당 메일 수신 여부를 결정한다.

3-1) DKIM에서 전자서명 주체

 - 발신메일 서버

3-2) DKIM에서 키 공유 방법

 - 공개키 암호화 방식을 사용하여 암호화 키를 교환한다.

    발신 서버에서 DKIM 키쌍(개인키, 공개키)을 생성한 후 공개키는 발신 도메인을 관리하는 DNS서버에 TXT 타입으로 등록함

     발신 서버의 개인키로 암호화한 전자서명 값이 메일 헤더에 포함되며, 수신 서버에서는 발송자의 DNS의 질의하여 등록된 공개키 값을 획득한 후 전자서명 값을 복호화하여 메시지 무결성 및 발신자 조작 여부 검증.

4) SPF와 DKIM을 혼합한 기법의 명칭

 - DMARC(Domain-based Message Authentication, Reporting & conformance)

2021년 17회

11. 개인정보보호법에 규정된 가명정보와 관련하여 다음 물음에 답하시오.

(1) 가명처리의 정의

 - [개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법을 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것]

(2) 가명처리 4단계 중 3번째 단계의 이름

 - [적정성 검토 및 추가가명처리]

(3) 가명처리를 할 때 정보주체 동의 없이도 가능한 경우

 3-1

 [통계작성 : 특정 집단이나 대상 등에 관하여 작성한 수량적인 정보를 의미하며 시장조사와 같은 상업적 목적의 통계 처리도 포함]

 3-2

 [과학적 연구 : 기술의 개발과 실증, 기초연구, 응용 연구뿐만 아니라 새로운 기술/제품/서비스 개발 등 산업적 목적을 위해서도 수행이 가능하며, 민간 투자 연구, 기업 등이 수행하는 연구도 가능]

 3-3

 [공익적 기록보존: 공공의 이익을 위하여 지속적으로 열람할 가치가 있는 정보를 기록하여 보존하는 것을 의미하며, 공공기관뿐먼 아니라 민간기업, 단체 등이 일반적인 공익을 위하여 기록을 보존하는 경우도 공익적 기록보존 목적이 인정]

(4) 가명정보를 사용할 필요가 없을 때 개인정보보호법에 해당되지 않는 ()를 사용해야 한다.

 - [익명정보]

 

12. NAC의 물리적 구성 방법 두가지와 특징을 설명하시오.

1) 인라인 방식

 - 구성방식 : Traffic이 흘러가는 경로(주로 NW edge 스위치와 Distribution 계층사이)에 배치

 - 특징 : NW의 물리적 재구성이 필요하고, 실시간 탐지 및 차단에 유리하다. 장비의 고속 패킷 처리 능력이 중요하고 장애 발생 시 서비스에 영향을 미칠 수 있는 위험(SPOF : Single Point of Failure)이 있다.

2) 아웃오브밴드방식

 - 구성방식 : 스위치의 일반 Port 혹은 Mirroring Port를 통해 NAC 솔루션 연결

 - 특징 : NW의 물리적 재구성이 필요 없어 구축이 용이함. 장애 발생 및 성능 이슈로 인한 서비스 영향은 없으나, 탐지 및 차단의 실시간성은 떨어짐.

13. 정보보호최고책임자의 역할 및 책임을 4가지 이상 기술하시오.

1) 정보보호관리체계의 수립 및 관리/운영

2) 정보보호 취약점 분석/평가 및 개선

3) 침해사고의 예방 및 대응

4) 사전 정보보호대책 마련 및 보안조치 설계/구현 등

5) 정보보호 사전 보안성 검토

6) 중요 정보의 암호화 및 보안서버 적합성 검토

7) 그 밖에 정보통신망법 또는 관계 법령에 따라 정보호호를 위하여 필요한 조치의 이행

2021년 18회

11. SQL Injection을 예방하기 위해 prepared statement에 대해 다음 물음에 답하시오.

(1) prepared statement 개념

 - [최초에 한번 쿼리를 분석해 최적화 수행 후 메모리에 저장해 두고, 다음 요청부터는 저장된 결과를 재사용하여 쿼리를 수행하는 방식이다. 성능 측면의 효율이 높고, SQL 인젝션 방지가 가능하다. 참고로 일반 statement 방식은 실행시마다 쿼리를 분석해 최적화 수행후 실행하는 방식이라 효율이 낮고 SQL Injection 공격에 취약하다.]

(2) prepared statement가 SQL injection 공격을 막을 수 있는 이유

 - [사용자가 입력한 값이 SQL 명령의 일부가 아닌 매개 변수로 처리되기 때문에 SQL 인젝션 공격을 막을 수 있다.

예) statement 방식

String query = "INSERT into student values('" + user + "')";

Statement stmt = conn.createStatement();

stmt.executeQuery(query);]

 

12. DRDoS에 대하여 다음을 설명하시오.

 1) DRDoS의 공격 원리

 - [공격자는 소스 IP로 위조하여 다수의 반사서버로 요청을 보내고, 공격대상 서버는 반사서버로부터 다수의 응답을 받아 서비스 거부 상태에 빠짐]

 2) 기존 DoS와의 차이점

 - [출발지 IP주소가 위조되고, 반사서버를 통해 공격이 수행되므로 공격의 출처를 파악하기 어려움

    다수의 좀비 PC를 동원하지 않더라도 대량의 공격 패킷을 만들어 낼 수 있어 효율이 높음]

 3) Unicast RPF

 - [인터페이스를 통해 들어오는 패킷의 IP에 대해 라우팅 테이블을 확인하여 들어온 인터페이스로 나갈 수 있는 Reverse path가 존재하면 통과시키고, 존재하지 않으면 IP가 위조된 것으로 판단하고 차단 시킴]

13. 패킷 필터링 방화벽과 관련하여 다음 물음에 답하시오.

1) 존재하지 않는 외부 IP를 이용한 Spoofing 공격에 대응하기 위한 패킷필터링 방화벽 기술의 이름과 원리

 -[Ingress 필터링 : 인터넷 상에서 사용되지 않는 IP대역은 들어오지 못하게 차단한다.]

2) 공격자가 패킷을 소형 단편화하여 tiny fragment 공격을 수행하는 이유

 - [쪼개진 패킷을 재조합하는 기능을 제공하지 않는 방화벽의 경우 이렇게 다수로 쪼개진 패킷을 탐지하거나 차단할 수 없는 약점이 있기 때문]

3) Tiny fragment 공격 대응 방법

 3-1 [단편화된 패킷을 재조합하는 기능이 있는 방화벽을 사용]

 3-2 [Port번호가 포함되어 있지 않을 정도로 분할된 패킷은 필터랑 장비(IDS, IPS)에서 탐지 or 차단] 

4) stateful 패킷 필터링과 일반 패킷 필터링 방화벽의 차이점

 4-1 [일반 패킷 필터링 방화벽은 지나가는 패킷 헤더안의 IP주소와 Port 주소만을 단순검색하여 통제함. Tiny fragment와 같은 공격에 취약하나 처리 속도는 빠름]

 4-2 [Stateful 패킷 필터링 방화벽은 동일한 출발지 IP주소, 출발지 포트 번호, 목적지 IP 주소, 목적지 포트 번호 상태 등을 갖는 패킷들의 상태를 저장하고 그룹으로 필터링 함으로써 일반 패킷 필터링 방식보다 신뢰성 높고 정교하게 공격을 막을 수 있음.

예를 들어,  SYN 요청을 통해 Establish가 되지 않은 상태에서 Establish 된 것처럼 조작된 패킷은 차단 가능함]

2022년 19회

11. 특수비트와 관련하여 다음 각 항목에 설정된 접근권한의 의미를 설명하시오.

  1) -r-sx-xr-x root sys /etc/chk/passwd

 - /etc/chk/passwd 파일은 owner의 실행권한이 s이므로 setuid 설정이 되어있다. 따라서, 일반 사용자 계정으로 해당 파일을 실행하더라도 소유자인 root의 권한으로 실행된다.

  2) -r-xr-sr-x root mail /etc/chk/mail

 - /etc/chk/mail 파일은 group의 실행권한이 s이므로, setgid 설정이 되어있다. 따라서, 일반 사용자 계정으로 해당 파일을 실행하더라도 mail 그룹의 권한으로 실행된다.

  3) drwxrwxrwt sys sys /tmp

 - /tmp 디렉터리는 모든 사용자가 읽기, 쓰기, 실행이 가능하도록 777로 권한설정이 되어있으며 추가적으로 Others의 실행 권한이 t이므로 sticky bit가 설정되어 있다. 따라서 /tmp 디렉터리에는 누구나 파일을 생성, 수정 및 읽기가 가능하나 파일의 소유자 및 root 계정 외에는 삭제가 불가하다.

12. 공공기관에서 개인정보처리방침 수립 시 포함해야 할 사항을 4가지 이상 기술하고, 수립된 개인정보처리방침을 알리는 방법을 3가지 이상 기술하시오.

 - 4가지

1. 개인정보의 처리목적

2. 개인정보의 처리 및 보유기간

3. 개인정보의 제3자 제공에 관한 사항

 - 개인정보의 파기절차 및 파기 방법

4. 개인정보처리의 위탁에 관한 사항

5. 정보주체 및 법정 대리인의 권리, 의무 행사방법에 관한 사항

6. 개인정보보호책임자의 성명 또는 개인정보보호 업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처

7. 인터넷 접속파일 등 개인정보를 자동으로 수집하는 장치의 설치 운영 및 그 거부에 관한 사항

8. 그 밖에 개인정보의 처리에 대하여 대통령령을 정한 사항

      처리하는 개인정보의 항목, 개//

 

 - 3가지

1. 개인정보처리자의 인터넷 홈페이지

2. 개인정보처리자의 사업장 등의 보기 쉬운 장소에 게시하는 방법

3. 관보나 개인정보처리자의 사업장 등이 있는 시, 도 이상의 지역을 주된 보급지역으로 하는 ...

 

13. 아래의 로그와 관련하여 물음에 답하시오.

device eth0 entered Promiscuous mode

프로미스큐어스 모드 뜻?

 - 네트워크 카드의 eth0 인터페이스로 들어오는 모든 패킷을 수신하게 된다.

해당 모드로 진입 시 수행 가능한 공격은?

 - 패킷 스니핑 공격

공격에 대응할 수 있는 방법을 설명

 - 통신 시 SSH, HTTPS 같은 암호화 통신 수행

 - ifconfig [인터페이스명] -promisc 설정으로 무차별 모드 해제(악의적인 목적을 가진 단말 소유자가 자신의 NIC를 무차별 모드로 설정했다면 유효한 대응 방법이 아님)

 - 허브가 아닌 지능형 스위치 운용을 통하여 불필요한 브로드캐스팅 최소화

 

2022년 20회

11. 개인정보 최소수집 원칙에 의거하여 개인정보 수집이 가능한 4가지 기술.

 =[

1. 정보주체의 동의를 받은 경우
2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
3. 공공기관이 법령 등에서 정하는 소관업무의 수행을 위하여 불가피한 경우
4. 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우
5. 정보주체 또는 그 법정대리인이 의사 표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
6. 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다.
]
12. 스위칭 허브의 기능 및 동작 원리
정답 :

  12-1 기능
스위칭 허브 기능 : 패킷의 목적지 주소(MAC, IP, Port 등)를 확인하여, 목적지가 연결된 스위치의 포트로만 패킷을 전송하는 장치로 패킷의 고속 전송, 로드 밸런싱, QoS 기능을 수행

물리적 주소를 구분하여 해당 주소가 있는 포트로 데이터를 보내주는 장비
장점 : 콜리전 도메인을 나눠줌, 속도가 빠름
단점 : 테이블에 없는 목적지를 가진 패킷이 오면 모든 포트에 플러딩 하므로 트래픽이 많아짐

  12-2 동작원리
1) Learning

2) Flooding

3) Fowarding

4) Filtering

5) Aging

13. snort룰로 탐지된 패킷을 보고 어떤 공격이 수행됐는지 설명하시오.

[스노트 룰]

alert tcp 
정답 : anonymous ftp
alert tcp any any -> any 21 {content:"anonymous"; nocase; msg:"Anonymous FTP attempt"; sid:1000012}
{content:”anonymous”; nocase; msg:”Anonymous FTP 꿍시렁 꿍시렁”;}

[탐지 패킷]

TCP TTL:64 TOS:0x10 ID:5450 IPLen:20 DgmLen: 68 DF

***AP*** Seq: 0xE95B8593 Ack: 0x7D3F3893 Win:0x1D TcpLen:32

TCP options (3) => NOP NOP TS: 45113 1572881

55 53 45 52 20 41 6E 4F 6E 59 6D 4F 75 53 0D 0A USER AnOnYmOuS..

 

=[Anonymous FTP 공격이 수행됐다.]

[ - 공격자는 열려있는 ftp 서비스에 접속한 후, 보안시스템의 탐지를 우회하기 위해 계정명에 대소문자를 혼합한 AnOnYmOuS..를 입력하여로그인을 시도

 - snort rule에서 nocase로 대소문자를 구분해서 탐지하지 않았기 때문에 공격 시도 탐지가 가능했다.

 - Anonymous FTP 서비스가 enable된 경우, 서버에 계정이 없는 사용자도 접근이 가능하므로 서버 내 권한 관리가 적절히 이뤄지지 않을 경우 악성코드를 업로드 하거나 중요 파일에 접근 가능한 리스크가 있다. 따라서 꼭 필요한 경우가 아닌 경우 anonymous ftp 서비스는 disable 해야 한다.]
저거로 탐지되는 거는 ftp포트(tcp21)로 들어오는 패킷 중 패킷페이로드에 대소문자 구분 없이 anonymous가 있냐 없냐를 보는 거기 때문에 탐지된 패킷에서 보면 USER 계정에 대소문자 섞어서 AnOnYmOuS 가 있었기 때문에 alert action이 수행된 거라고 봅니다.

2022년 21회

11. IDS에서 사용하는 침입탐지 방시겡 대해 다음 물음에 답하시오.

1) 오용 탐지의 정의

 - 잘 알려져 있는 공격(오용, misuse) 패턴을 룰로 등록 후, 패턴과 일치여부를 비교하여 침입여부를 판단하는 방식

2) 이상 탐지의 정의

정상행위와 이상행위를 프로파일링 후 통계적 분석을 통해 침입여부를 판단하는 방식

3) 오용 탐지의 장점

등록된 공격패턴에 의해 탐지되므로 오탐률이 낮다.

4) 오용 탐지의 단점

패턴에 없는 새로운 공격은 탐지가 불가하며, 새로운 공격 탐지를 위해 지속적으로 패턴 업데이트를 해야 ㅎ나다.

12. 미러사이트 정의, 장단점, RTO

1) 미러 사이트의 정의

 - 주센터와 동일한 수준의 시스템을 백업센터에 구축하고, 액티브-액티브 상태로 실시간 동시 서비스를 제공하는 방식

2) 미러 사이트의 장단점 각 2개씩 설명

  장점 - 신속한 업무재개 가능(RTO:즉시),데이터의 최시성 보장(RPO:0)

  단점 - 초기 투자 및 유지 보수 비용이 높다, 데이터 업데이트가 많은 경우 과부하를 초래한다.

3) RTO가 가장 오래 걸리는 방식은 무엇? 이유는?

COLD 사이트, 데이터만 원격지에 보관하고 서비스를 위한 정보자원은 최소한으로 확보되어 있어, 재해 시 필요한 자원을 조달하여 복구하는데 오랜 시간이 소요된다.

13. 개인정보 기술적, 관리적 보호조치 기준에 포함된 개인정보취급자의 비밀번호 작성규칙 3가지를 기술하시오.

 1) 패스워드 복잡도 및 길이 : 영문, 숫자, 특수 문자 중 2종류 이상 조합시는 10자리 이상, 3종류 이상 조합시는 최소 8자리 이상의 길이로 구성한다.

 2) 유추하기 어려운 비밀번호 사용 : 연속적인 숫자나 생일, 전화번호 등 추측하기 쉬운 개인정보 및 아이디와 비슷한 비밀번호는 사용하지 않을 것을 권고

 3) 패스워드 유효기간 설정 : 비밀번호에 유효기간을 설정하여 최소 반기별 1회 이상 변경

 

실무형ㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡ

 

2019년 13회

14. HeartBleed 취약점을 탐지하기 위한 snort Rule 설정 의미를 설명하시오.

alert tcp any any < > (1)[443, 465, 523] ((2)content:"||18 03 00"; depth: 3; (3)content:"|01|"; distance:2;within: 1;

(4) content:"|00|"; within: 1;

(5) msg: "SSLv3 Malicious Heartbleed Request V2";

(6) sid: 1;)

1)

2)

3)

4)

5)

6)

15. 요청 헤더와 응답 헤더를 보여 주며 공격에 대해 질문에 답하시오.

(1) 

(2) 

(3) 

16. Robot.txt 파일에 대해 다음 물음에 답하시오.

(1)

(2)

 

 

2019년 14회

14. A시스템에서 B시스템으로 ack 2012~2018포트까지 패킷을 전송하여 2017 포트에서 reset응답이 도착했다.이에 대한 답

1) 무슨 스캔인가?

 - TCP ACK 스캔

2) 스캔의 목적은?

 - 포트의 오픈 여부 판단이 아닌 방화벽과 같은 보안 장비의 필터링 수행 여부를 판별하기 위한 목적이다.(필터링 되고 있으면 응답이 없거나 )

3) 본 스캔을 통하여 무엇을 알 수 있는가?

 - 2017 포트는 방화벽에서 필터링을 하지 않고 있음을 알 수 있다.

   2012~2016은 무응답이므로 방화벽에 의해 필터링 되고 있다.

15. 아파치 설정에서 다음 옵션들의 의미에 대해 설명

1) timeout 300

클라이언트와 서버간에 300초 동안 아무런 메시지가 발생하지 않으면 타임아웃을 시키고 연결을 끊는다.

2) maxkeepaliverequests 100

 keepalive 값이 On인 경우 클라이언트와 연결된 작업의 최대 개수를 100개로 제한한다. 해당 회수를 초과하면 현재 프로세스는 종료하고 다른 프로세스가 처리한다.

3) Directoryindex index.htm, index.html, index.php

 웹 디렉터리 접근 시 인식되는 인덱스 파일의 순서를 index.htm, index.html, index.php 순으로 지정한다

4) ErrorLog "경로"

  error 발생 시 로그 파일의 위치를 지정한다.

16. XSS공격을 탐지하기 위한 다음의 Snort rule에 대해 물음에 답

alert any any -> any 80 (msg :"XSS";content: "GET";offset:1;depth:3;content:"/login.php<script>XSS";distance:1;)

 

1) content: "GET"; offset:1 depth:3의 의미는?

  - 전송된 패킷의 처음 1바이트를 띄고 3바이트를 검사해서 GET을 찾으라는 뜻이다.

2) content:"/login.php<script>XSS"; distance 1;의 의미는?

  - 이전 메시지(GET)를 찾은 위치에서 1바이트를 띄고 content안에 기술된 문자열을 찾아라

3) 바이너리로 전송된 패킷을 참고하여 위의 룰로 탐지가 안될 경우 어떻게 수정해야 하는지 기술.

   offset:1을 oofset:0으로 변경하거나 offset옵션을 삭제.

   그리고 nocase옵션을 추가하거나 login을 Login으로 변경

2022년 15회

14. 백업 스크립트 파일과 백업 결과 파일은 다음과 같다. 아래의 질문에 답하시오.

[백업 스크립트 파일]

#/bin/sh

tar -cvzf /data/backup/etc_$dat.tgz /etc/*

tar -cvzf /data/backup/home_$dat.tgz /home/*

[백업 결과 파일 권한]

rw-r--r-- root root /data/backup/etc_YYYYMMDD.tgz

rw-r--r-- root root /data/backup/home_YYYYMMDD.tgz

 

1) 백업 경과 파일의 권한을 검토하여 어떤 문제가 있는지 설명하시오.

root가 아닌 다른 계정들도 백업 파일을 읽을 수가 있다. /etc 밑에는 /etc/passwd, /etc/shadow와 같은 중요한 파일이 있어 기밀성이 보장되어야 한다.

추가적으로 백업 파일은 소유자도 기본적으로 변경이 불가하게 읽기 권한으로 설정 권고함

2) 백업 스크립트 파일에서 umask 변경 후 백업 파일을 생성하고, umask를 원래대로 만드는 스크립트를 작성하시오.

 - umask 266

tar -cvzf /data/backup/etc_$dat.tgz /etc/*

tar -cvzf /data/backup/home_$dat.tgz /home/*

umask022

3) operator 사용자만 백업 스크립트(/usr/local/bin/backup)를 사용하도록 만드는 명령어를 기술하고, 해당 명령어에 대해 간단히 설명하시오.

chown operator /usr/local/bin/backup : 소유주를 operator로 변경

chmod 700 /usr/local/bin/backup : 소유주만 스크립트에 대한 rwx가 가능하도록 권한 변경

 

15. 다음은 http request 메시지를 패킷 분석 tool로 캡쳐한 화면이다. 다음 물음에 답하라

[패킷 캡쳐 화면#1]

POST /HTTP/1.1

...

content-length : 1000000

[패킷 캡쳐 화면#2]

...

TCP segment data(1byte)

 

1) 어떤 공격이 시도 되고 있는가?

  - Slow HTTP post DoS (Rudy)

2) 해당 공격이라고 판단한 근거를 구체적으로 설명하시오.

  - 첫번째 화면에서 POST request에 대해 콘텐츠 길이가 1000000이라는 큰 값으로 설정되어 있다.

    GET과 달리 POST는 클라이언트가 서버로 전송할 데이터의 크기를 설정할 수 있으며, 서버는 콘텐츠 길이만큼의 데이터가 수신될 때까지 연결을 유지하고 대기하게 된다.

   두번째 화면에서 Post data를 1바이트씩 쪼개서 분할 전송하고 있으므로 서버는 1000000바이트의 데이터가 모두 도착할 때까지 연결을 장시간 유지하므로 가용량을 소진하게 되어 다른 클라이언트로부터의 정상적인 서비스 요청을 처리 불가능한 상태로 빠지게 된다.

3) 공격에 대한 서버측 대응방안 2가지를 설명하시오.

  3-1

  연결 타임아웃 설정 : 클라이언트와 서버간 세션 유지 시간 초과 시 연결 종료 

  3-2

   읽기 타임아웃 설정 : 지정한 시간 내에 body 정보가 모두 수신되지 않으면 오류코드 반환

  3-3

   iptables와 같은 서버 방화벽 설정 : 동일한 소스 IP에서 동시 연결가능한 개수의 임계치를 설정하여 초과시 차단

16. 000 시의 어르신 교통카드 신청서 안내문에서 개인정보보호법에 위반되는 사항 4가지를 찾아서 설명하시오.

1) 개인정보 수집 및 이용 내역(필수) : 수집항목(주민번호 포함), 목적(본인확인), 기간(영구보관)

*동의를 거부할 권리가 있다는 사실 및 동의 거부 시 불이익 명시

2) 제3자 제공 : 제공기관(유관기관), 제공 내역(주민등록번호 포함), 제공목적, 기간(교통카드 만료시까지)

3) 위탁 : 위탁기관(00신용카드), 위탁업무(교통카드발급업무)

4) 위 3가지 항목에 대하여 동의하는지 확인 요청

 

1. 주민번호 수집 및 3자제공불가 (개보법 24조의2)

2. 개인정보 보관 기관이 영구로 설정

3. 제3자 제공 시 동의를 거부할 권리가 있다는 사실 및 거부에 따른 불이익에 대한 설명 누락

4. 제3자 제공 기관의 명칭이 불분명하게 기술

 

2020년 16회

14. 다음 2개의 취약한 코드와 관련하여 다음 물음에 답하시오.

[코드1]

<?xml version="1.0" encoding="ISO8859-1"?>

<!DOCTYPE foo

<!ELEMENT foo ANY

<!ENTITY xxe SYSTEM "file:///etc/passwd" >]>

 

<foo> &xxe ;</foo>

[코드2]

<?xml version="1.0" encoding="ISO8859-1"?>

<!DOCTYPE lols

<!ENTITY lol "lol">

<!ENTITY lol2 "&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;">

<!ENTITY lol3 "&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;">

.....

<!ENTITY lol9 "&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;">

]>

<lols>&lol9;</lols>

1) 코드1은 어떤 공격이 이뤄진 것인가?

 - XXE(XML  eXternal Entity) Injection(XML 외부개체 주입 공격)

2) 코드1의 공격 원리는?

 - XML 문서에서 동적으로 외부 URI의 리소스를 포함시킬 수 있도록 외부 엔티티 참조가 허용되어 있는 경우, 주요 시스템 파일(/etc/passwd)에 접근하도록 URI 경로를 조작하여 중요 정보가 노출될 수 있다.

3) 코드 2를 통한 공격 실행 결과는?

 - Entity에 다른 Entity를 계속 참조하도록 하여 "lol"문자열 처리에 많은 부하를 발생시켜 서비스 거부 공격이 이뤄진다.

15. 정보보호 위험평가 관련하여 다음 물음에 답하시오.

1) 2가지 (A,B) 정보보호 대책 적용 시 위험 평가 결과표의 빈칸을 채우시오.

[A 적용시]

- AV(자산가치) = 100,000, EF(노출계수) = 0.2

- ARO (연간 발생 빈도) = 0.5

- SLE = ( 1 )

- ALE = ( 3 )

- 보호대책적용으로 감소한 ALE = 30,000

- 정보보호대책 운영 비용 : 17,000

- 정보보호대책 효과(가치) = ( 5 )

[B 적용시]

- AV(자산가치) = 100,000, EF(노출계수) = 0.8

- SLE = ( 2 )

- ALE = ( 4 )

- ARO (연간 발생 빈도) = 0.25

- 보호대책적용으로 감소한 ALE = 20,000

- 정보보호대책 운영 비용 : 4,000

- 정보보호대책 효과(가치) = ( 6 )

2) 위험평가 결과를 참고하여 2가지 정보보호 대책 중 적절한 대책을 선정하고, 선정 사유를 설명하시오.

 

 

1) 계산 결과

  (1) 20000 : AV(100000) * EF(0.2)

  (2) 80000 : AV(100000) * EF(0.8)

  (3) 10000 : SLE(20000) * ARO(0.5)

  (4) 20000 : SLE(80000) * ARO(0.25)

  (5) 13000 :  감소한 ALE(30000) - 보호대책 운영 비용(17000)

  (6) 16000 : 감소한 ALE(20000) - 보호대책 운영 비용(4000)

 

2) B가 상대적으로 효과적인 보호대책이다.

 정보보호대책의 효과는 보호대책 적용에 따라 감소한 ALE(적용적 ALE - 적용 후 ALE)에서 보호 대책 운영 비용을 뺸 금액으로 + 값이 될수록 효과적이라고 볼 수 있다.

B의 효과가 16000으로 A의 효과인 13000보다 3000이 높기 때문에 B가 타당

 

16. 000공공기관의 개인정보흐름표에서 문제가 되는 사항 4가지를 찾아서 설명하시오.

[개인정보 흐름표 주요 내용]

1) 수집

 - 수집항목 : 성명, 주민번호, 전화번호, 이메일

 - 주민번호 수집 근거 : 정보주체의 동의

2) 저장

 - 저장항목 : 성명, 주민번호, 전화번호, 이메일

 - 암호화 항목 : 주민번호

 - 암호화 알고리즘 : MD5

3) 제공 및 파기

 - 제공항목 : 주민번호

 - 제공방법 : DB 실시간 연동

 - 암호화적용 여부 : 평문 전송

 - 파기주기 : 영구보관

답

1) 주민번호 수집 근거 법령이 명시되어 있지 않고, 단순히 정보주체의 동의만 언급되어 있다.

2) 비밀번호 암호화에 안전하지 않은 알고리즘 사용(SHA2 이상 필요)

3) 주민번호 제3자 전송 시 평문으로 전송(암호화 전송 필요)

4) 개인정보 영구 보관(파기 주기 명시 필요)

 

2021년 17회

14. 다음 웹 로그와 관련하여 다음 물음에 답하시오.

[웹로그]

192.168.0.10--[30/May/2021:10:10:10 +0900] "Get /script/..%c1$1c../winnt/system32/cmd.exe?/c+dir+c:\

1) 어떤 취약점을 이용한 공격인가?

 - [유니코드 취약점을 이용한 원격코드 실행 공격]

2) 공격 성공 유무 및 판단 근거는?

 - 실패했다.

   http response 값으로 404(page not found)에러가 발생했기 때문에

3) 대응방안 2가지?

  웹서버 패치적용

  IIS서버를 OS가 설치된 드라이브(C:)와 다른 곳(D: or E:)에 설치

입력값 필터링

 화이트리스트 명령어 설정

 IPS탐지/차단 룰 설정 

 

15. 다음 Snort 룰에 대해 각 정책의 의미를 설명하시오.

[snort rule]

Alert any any -> any 80 (msg:"GET Flooding"; content:"GET/HTTP1."; content:"USER";content:!"anonymous";content:"|00|";depth:1;nocase;sid1;)

1) msg: "GEt Flooding"의 의미는?

 - 설정된 2~4의 탐지 정책에 모두 일치하는 경우 로그에 "GET Flooding"으로 기록한다.

2) content: "Get/HTTP1."의 의미는?

 - HTTP request에 "Get /HTTP1." 문자열이 포함되어 있는지 검사

3) content: "USER"; content:!"anonymous"의 의미는?

 - 2번이 끝난 위치에서 "USER" 문자열이 포함되어 있고, 그 뒤에 바로 "anonymous"가 포함되지 않은 문자열 검사

4) content: "|00|"; depth:1의 의미는?

 - 3번이 끝난 위치에서 1바이트를 확인하여 바이너리 값 00이 포함되어 있는지 검사

 

16. Apache 웹서버 설정 관련하여 다음 물음에 답하시오.

[Apache 설정]

<Directory/>

Options FollowSymLinks

AllowOverride none

Require all granted

</Directory>

 

<Directory /var/www>

Options indexes FollowSymLinks

AllowOverride none

Require all granted

</Directory>

 

1) 위와 같이 설정했을 때 발생 가능한 두 가지 문제점은?

 1-1

 디렉터리 인덱싱 : 모든 디렉터리 및 파일에 대한 인덱싱이 가능하여 주요 웹서버의 주요 정보가 노출됨

 1-2

 심볼릭 링크를 통한 디렉터리 접근 : 웹에서 허용하는 디렉터리 외에 심볼링 링크가 걸린 다른 디렉터리에 접근 가능함

 1-3

 상위 디렉터리 접근: ..와 같은 문자를 사용하여 상위 디렉터리로 이동함으로써 중요 파일 및 데이터에 접근 가능함

2) 두 가지 문제점에 대한 대응 방안은?

 2-1

 indexes 제거 또는 - indexes

 2-2

 followSymlinks 제거 또는 -FollowSymLinks

 2-3

 AllowOverride authconfig or AllowOverride all

2021년 18회

14. 다음은 email 관련 로그이다. 이에 대하여 다음 물음에 답하시오.

[email로그]

1 Delivered-To : hbiden@rosemonteseneca.com

2 Received: by 10.36.47.149 with SMTP id j143csp13601itj;

3 Fri, 17 Apr 2015 06:00:53 -0700 (PDT)

4 X-Received: by 10.55.27.42 with SMTP id b42mr5166039qkb.53.1429275653296;

5 Fri, 17 Apr 2015 06:00:53 -0700 (PDT)

6 Return-Path: <v.pozharskyi.urkaine@gmail.com>

7 Received: from mail-qc0-x232.google.com(mail-qc0-x232.google.com.[2607:f8b0:400d:c01::232])

8 by mx.google.com with ESMTPS id u123si11512941qhd.83.2015.04.17.06.00.52

9 for <hbiden@rosemontseneca.com>

10 (version=TLSv1.2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);

11 Fri, 17 Apr 2015 06:00:53 -0700(PDT)

12 Received-SPF: pass (google.com:domain of v.pozharskyi.ukraine@gmail.com designates 2607:f8b0:400d:c01::232 as permitted sender) client-ip=2607:f8b0:400d:c01::232;

13 Authentication-Results: mx.google.com;

14 spf=pass()(google.com:domain of v.pozharskyi.ukraine@gmail.com designates 2607:f8b0:400d:c01::232 as permitted sender) 

smtp.mail=v.pozharskyi.ukraine@gmail.com;

15 dkim=pass header.i=@gmail.com;

 

1) 10번째 줄에서 RSA의 용도는?

 1-1

[인증서(서버 공개키) 검증을 위하여 사용된다. TLS로 암호화통신을 하기 위하여 ECDHE로 키교환을 하는 과정에서 생성되는 변수를 송신자의 개인키로 서명하고 공개키로 검증하도록 함으로써 송신자의 정당성을 인증하기 위함. 이를 통하여 키교환 과정에서의 중간자 공격을 막을 수 있다.]

# ECDHE는 키교환, RSA는 인증, AES128로 암호화, GCM(Galois/Counter Mode)으로 블록암호화 운용방식 선택, SHA256으로 메시지 인증(무결성 검증)을 의미한다.

2) 이메일 로그에서 확인할 수 있는 스팸메일 대응 기법명과 동작원리를 설명하시오.

 2-1

[SPF : 이메일 발송도메인의 DNS에 txt레코드로 등록된 IP주소와 실제 메일의 송신 IP를 비교하여 메일 도메인의 정당성을 검증]

 2-2

[DKIM : 이메일 서버의 개인키로 이메일 헤더를 전자서명하고, 메일 도메인 서버의 txt레코드로 등록된 공개키로 검증하도록 함으로써, 메일 헤더가 변조되지 않았고 실제 해당 도메인에서 발송된 것을 확인 가능]

15. 리눅스의 보안 설정과 관련하여 다음 물음에 답하시오.

1) 계정임계값을 설정하는 파일명{A}과 {B}에 들어갈 설정값을 기술하시오.

auth required /lib/security/pam_tally.so {B} = 5 unlock_time=120 no_magic root reset

 1-A

[/etc/pam.d/system-auth or /etc/pam.d/common-auth]

 1-B

[deny]

2) IPTable에 신규 정책 등록하려고 한다. 패킷을 차단하기 위해 (C)에 들어갈 옵션은 무엇인가?

#iptables -A INPUT -p tcp -s 172.30.1.55 --dport 21 -j (C)

 2-C

DROP

3) /etc/shadow 파일의 소유자를 root로 변경하고 (D), 소유자에게만 읽기 권한을 부여(E)하기 위한 명령어를 기술하시오.

3-D

[chown root /etc/shadow]

3-E

[chmod 400 /etc/shadow]

4) 다음 아파치 설정에서 Limitrequestbody 5000000의 의미(F)를 설명하시오.

<Directory "var/www/html/uploads">

Limitrequestbody 5000000

</Directory>

 4-F

[아파치 웹서버에 업로드 가능한 파일의 크기를 5,000,000 바이트(약 5M 바이트)로 제한함으로써 악의적인 웹 쉘 업로드를 방지하기 위한 설정이다.]

 

16. 특정 공격과 관련된 로그를 보고 다음 물음에 답하시오.

[로그]

DNS standard query 0x2872 ANY cpsc.gov United states Korea, Republic of

DNS standard query 0x2872 ANY cpsc.gov United states Korea, Republic of

DNS standard query 0x2872 ANY cpsc.gov United states Korea, Republic of

DNS standard query 0x2872 ANY cpsc.gov United states Korea, Republic of

 

1) 어떤 공격이 수행된 것인가?

  [DNS 증폭 DoS 공격]

2) 해당 공격이 수행된 것으로 판단한 이유는?

  [DNS query 수행 시 ANYT 타입으로 질의를 다수 수행하였음]

3) 해당 공격의 원리는?

  [출발지 IP를 공격 대상 서버의 IP로 위조 후 DNS 쿼리 타입을 ANY로 지정하여 request를 대량으로 수행하면, 다양한 TYPE의 레코드들이 모두 Response되므로 응답이 증폭되어 공격 대상 서버에 부하를 주게 된다.]

4) 공격자들이 이 기법을 사용하는 이유 두 가지는?

 4-1

[출발지 IP가 위조되고, 반사 서버를 통해 공격이 수행되므로 공격의 출처를 파악하기 어려움. 특히 UDP는 별도의 인증 별도의 인증 절차가 없으므로 공격 수행이 용이]

 4-2

[다수의 좀비 PC를 동원하지 않더라도 대량의 공격 패킷을 만들어 낼 수 있어 효율이 높다. 특히 쿼리 타입을 any나 txt로 하면 response 사이즈가 증폭되어 작은 사이즈의 DNS 질의에 대해 큰 사이즈의 DNS 응답 메시지 발생되어 증폭 효과가 크다. 90바이트 질의, 3370바이트 응답(37.4배 증폭효과)]

2022년 19회

14. 정보 자산의 구성도와 자산목록을 보고, 1) 자산 식별의 문제점 1개와 2) 보안 취약 문제점 1개를 설명하시오.

 

 

15. 파일 업로드 취약점 대응을 위한 .htaccess 파일 설정의 의미에 대하여 답하시오.

1) <FilesMatch \. (ph|lib|sh|)>
Order Allow DENY
Deny From ALL
</FilesMatch>
2) AddType text/html .php .php1 .php2 .php3 .php4 .phtml

  1) FileMatch 지시자를 이용, .ph, .lib, .sh 등의 Server Side Script 파일에 대해서 직접 URL 호출 금지(업로드된 스크립트[웹쉘]의 실행을 방지하기 위한 목적)

  2) AddType 지시자를 이용 Server Side Script 확장자를 실행불가한 text/html MIME Type으로 재조정하여 업로드된 스크립트 실행 방지

 

16. 다음 위험평가서 양식과 관련하여 물음에 답하시오.

자산명	자산 중요도(C, I, A)	우려사항	가능성	위험도(C, I, A)
1) ERP 데이터	H, H, M	DB의 접근 통제 위반이나 위반 시도를 적시에 발견하여 처리할 수 없다.	H	H, H, M
2) 워드문서	L, L, L	적절한 보안 규정이 부족하여 자산이 제대로 보호되지 않을 수 있음	M	L, L, L

1) 자산 중요도 평가의 목적은?

 - CIA 측면에서 자산의 가치를 평가하여 중요도를 산정함으로써 정보보호의 우선순위를 결정할 수 있는 기준을 마련하기 위함

2) 해당표내 우려사항이란 무엇인가?

 - 자산에 발생할 수 있는 위협과 취약성을 하나의 통합된 고려요소로 평가하도록 하고 이를 '우려사항'이라는 용어로 표현함

3) 해당표내 가능성이란 무엇인가?

 - 기존에 설치된 보호대책을 고려하여 현재 시점에서 이러한 위협과 취약성이 발생하여 영향을 미칠 가능성을 의미함.

4) 아래 자산 평가 테이블을 보고, 응시자 입장에서 나름대로 위험분석기법을 적용하여 위험분석을 수행하시오.

자산명	설명	소유자	자산 중요도(C,I,A)
1) ERP 데이터	ERP에서 사용하는 DB 데이터	관리팀장	H, H, M
2) ERP 서버	ERP 프로그램이 탑재된 시스템	관리팀장	H, H, M
3) 워드 문서	문서 작성을 위한 임시문서	관리팀장/생산부장	L, L, L

 - 복합접근 방법 적용, 자산 중요도 값을 기준으로 고위험군(ERP)과 저위험군(워드문서)을 식별하여, 고위험군을 상세 위험분석을 수행하고, 저위험군은 베이스라인 접근법을 사용하여 위험 분석을 수행한다.

2022년 20회

14. 스펨메일 릴레이 제한 설정과 관련하여 다음()에 들어갈 명칭을 기술하시오.

#cat /etc/mail/ (1) | grep "R$\*" | grep " Relaying denied"

R$\*    $#error $@5.7.1 $ : "550 Relaying denied"

 

#cat /etc/mail/access

localhost.localdomain RELAY

localhost     RELAY

127.0.0.1      RELAY

spam.com   (2) #Relay를 허용하지 않음

 

# (3) hash etc/mail/ (4) < etc/mail/access

답

(1) sendmail.cf

(2) REJECT(or DISCARD)

(3) makemap

(4) access.db(or access)

15. smurf attck 방지하기 위해 신뢰 할 수 있는 네트워크 범위(192.168.1.0/24)에서 시작하는 UDP 패킷으로 IP directed broadcast를 제한 설정하는 라우터 명령어를 기술하시오.

(config)# (A)

(config)# (B)

(config-if)# (C)

^z

Router#

답

(A) access-list 100 permit udp 192.168.1.0 0.0.0.0.255 any

(B) interface FastEthernet 0/0

(C) ip directed-broadcast 100
16. 위험 대응 기법과 관련하여 다음 물음에 답하시오.

1) 위험수용의 의미?

 - 위헙의 정도가 수용 가능한 수준이라 판단하고 프로세스를 그대로 유지하거나 사업을 추진
2) 위험감소는 보안대책을 구성하는데,특정 보안대책의 평가기준을 결정하는 정량적인 방법?

 - 정보보호 대책의 효과는 보호대책 적용으로 감소한 연간손실 예상액(ALE)에서 정보보호 대책 운영 비용을 뺀 금액을 계산하여 값이 높을수록 상대적으로 효과적인 정보보호 대책이다.

 * 계산 공식 = 

3) 위험회피시 위험이있는 프로세스나 사업은 어떻게 대처하는가?

위험이 있는 프로세스나 사업은 축소 또는 포기하는 방향으로 추진한다.
4) 위험인가 방법 2가지?

 보험 가입 또는 외주 위탁(위탁업체)

 

2022년 21회

14. 동일한 출발지 IP에서 2초동안 80번 포트로 30개 이상 SYN요청이 들어오는 경우 차단하는 IPtables 룰을 작성 하시오.(룰 옵션을 5개로 구분하여 설명하시오)

iptables -A INPUT -p TCP --syn --dport 80 -m recent --update --seconds 2 --hitcount 30 --name SYN_DROP -J DROP

-A INPUT : inbound 요청에 대해

-p tcp --syn : tcp syn 패킷이 들어오는 경우

--dport 80 : 목적지 포트가 80인 경우

-m recent --update --seconds 2 --hitcount30 --name SYN_DROP : 동일IP에서 2초동안 30번 이상 요청오는 경우

-j DROP : 차단한다

15. 정량적 위험평가 방법인 ALE와 관련하여 다음 물음에 답하시오.

1) SLE의 정의

 - 한번의 사건으로 발생 가능한 손실액

2) SLE 계산 공식

 - AV(Asset Value, 자산 가치) * EF(Exposure Factor, 노출 계수)

3) ALE 계산을 위해 필요한 정보는 무엇인가?

 - SLE에 ARO(Annual Rate of Occurrence)를 곱하여 계산

4) 연간 손실이 완전 제거되는데 투입된 비용이 x라 할 때, 문제에서 언급된 변수만으로 ROI(%)를 구하는 계산식은?

 - (ALE-X) / X* 100

16. MASTER와 SLAVE DNS 서버의 존파일 설정과 관련하여 다음 물음에 답하시오.

 - master name 서버 : ns1.korea.co.kr(192.168.1.1)

 - slav name 서버 : ns2.korea.co.kr(192.168.1.2)

1) Master DNS 서버의 zone 파일 설정을 위하여 다음()에 들어갈  설정 값을 쓰시오.

/etc/named.conf

zone "korea.co.kr" IN {

  type(A);

  file "korea.co.kr.db";

  allow-update {(B)}'

};

 

/var/named/kirea.co.kr.db

$TTL 1000

 @ IN SOA ns1.korea.co.kr master.korea.co.kr (

  2022113001 ; serial

  21600; refresh

  3600; retry

  604800; exprire

  3600); minimum

 IN NS ns1.korea.co.kr

 IN NS ns2.korea.co.kr

ns1 IN A (C)

ns1 IN A (D)

 

2) Slave DNS 서버의 zone파일 설정을 위하여 다음()에 들어갈 설정값을 쓰시오.

/etc/named.conf

zone "korea.co.kr" IN {

 type (E);

  file "slave/korea.co.kr.db";

  masters{(F)}'

}

A : master

B : 192.168.1.2

C : 192.168.1.1
D : 192.168.1.2
E : slave
F : 192.168.1.1

 

 - 참고

https://blog.naver.com/PostView.naver?blogId=stereok2&logNo=222587717690&parentCategoryNo=&categoryNo=28&viewDate=&isShowPopularPosts=true&from=search