17회 정보보안기사 실기시험 문제 분석
[단답형]
1. mimikaz 와 같은 툴로 메모리에 저장된 NTLM, LanMan 해시를 탈취하여 원격 서버 인증을 시도하는 공격 기법명을 기술하시오.
(답) pass the hash
* 시중 수험서에 없는 내용으로, 정답을 맞힌 분이 거의 없을 거라 예상됩니다.
* 참고 : https://two2sh.tistory.com/m/16
https://blog.naver.com/noorol/221243953797
2. DNS의 캐시 정보를 조작하여 가짜 사이트로 접속을 유도하는 공격 기법명을 기술하시오.
(답) DNS 캐시 포이즈닝
* 점수를 주기 위한 문제이므로 반드시 맞춰야 합니다.
3. 사이버 공격의 흐름을 분류하는 기준으로 사이버 킬 체인의 7단계를 확장하여 14단계로 구성된 모델명을 기술하시오.
(답) MITRE ATT&CK
* 록히드 마틴사에서 발표한 사이버 킬 체인은 시중 수험서에도 포함되어 있기 때문에 익히 알고 있겠으나, MITRE ATT&CK을 아시는 분은 거의 없을 거라 예상됩니다.
* 참고 : https://cafe.naver.com/goldbigdragon/91760
https://www.dailysecu.com/news/articleView.html?idxno=107032
4. 공격자가 미리 확보해 놓은 로그인 자격증명(*ID, 패스워드)을 이용하여 사용자가 이용할만한 다른 사이트에 무작위로 대입하여 비인가 접속을 시도하는 공격기법명을 기술하시오.
(답) 크리덴셜 스터핑(Credential Stuffing)
* 신규로 출제된 문제이나, 미디어에 많이 알려진 공격 기법입니다. 오프라인 과정 진행시 소개해 드린 공격 기법이기도 합니다.
* 참고로, 딕셔너리 공격 기법은 비밀번호로 많이 사용되는 리스트를 만들어 그 안에 있는 패스워드를 모두 입력하는 방식입니다.
*참고 : https://blog.naver.com/adtkorea77/222287989872
5. 취약점의 여러 가지 요소(코드베이스, 시간성(유효성), 악영향, 환경적 요소)를 고려하여 공격의 난이도와 피해 규모를 평가하고 점수화하는 보안 취약점 평가 기준을 무엇이라 하는가?
(답) CVSS(Common Vulnerability Scoring System)
* CVE, CWE와 더불어 반드시 알고 있어야 하는 용어로, Offline 강의 때 말씀드린바 있습니다. CVSS 점수는 취약점에 대한 패치 우선순위를 정하는 기준이 됩니다. 클라우드 컴퓨팅 보안 설정 관련된 CCE(Common Configuration Enumeration)도 참조하시기 바랍니다.
*참고 : https://www.boannews.com/media/view.asp?idx=88045&kind=
http://m.boannews.com/html/detail.html?idx=93640
6. 침해사고 대응 7단계에서 다음 ( )에 들어갈 절차를 기술하시오.
* 사고 전 준비과정 > 사고 탐지 > ( ) > 대응 전략 체계화 > 사고 조사 > 보고서 작성 > 해결
(답) 초기 대응
* 수험서에도 있는 내용이고, Offline 강의 때 강조해서 설명드린 내용입니다.
7. 정보보호 관련 법령과 관련하여 ( )에 들어갈 용어를 기술하시오.
( A ) : 정보통신서비스 제공자등이 개인정보의 안전한 처리를 위하여 개인정보보호 조직의 구성, 개인정보취급자의 교육, 개인정보 보호조치 등을 규정한 계획
( B ) : 정상적인 보호,인증 절차를 우회하여 정보통신기반시설에 접근할 수 있도록 하는 프로그램이나 기술적 장치 등을 정보통신기반시설에 설치하는 방법으로 정보통신망 또는 이와 관련된 정보시스템을 공격하는 행위
( C ) : 정보통신망의 구축 또는 정보통신서비스의 제공 이전에 계획 또는 설계 등의 과정에서 정보보호를 고려하여 필요한 조치를 하거나 계획을 마련하는 것
(답)
( A ) : 내부관리계획
( B ) : 전자적 침해행위
( C ) : 정보보호사전점검
* 개인정보의 기술적관리적보호조치기준, 정보통신기반보호법, 정보통신망법에 담긴 용어의 정의를 물어보는 문제입니다. 3개를 모두 맞추기는 어려웠으리라 보입니다. 최소 1개(내부관리계획) 이상 맞춰 부분 점수를 1점이라도 획득해야 합니다.
8. 정보보호 관련 법령과 관련하여 ( )에 들어갈 용어를 기술하시오.
( A ): 전기통신설비를 이용하거나 전기통신설비와 컴퓨터 및 컴퓨터의 이용기술을 활용하여 정보를 수집ㆍ가공ㆍ저장ㆍ검색ㆍ송신 또는 수신하는 정보통신체제
( B ): 정보의 수집․저장․검색․송신․수신시 정보의 유출, 위․변조, 훼손 등을 방지하기 위한 하드웨어 및 소프트웨어 일체
( C ): 국가안전보장ㆍ행정ㆍ국방ㆍ치안ㆍ금융ㆍ통신ㆍ운송ㆍ에너지 등의 업무와 관련된 전자적 제어ㆍ관리시스템
(답)
( A ) : 정보통신망
( B ) : 정보보호시스템
( C ) : 정보통신기반시설
* 정보통신기반보호법, 정보통신망법에 담긴 용어의 정의를 물어보는 문제입니다. 3개를 모두 맞추기는 어려웠으리라 보입니다. 최소 2개(정보통신망, 정보통신기반시설) 이상 맞춰 부분 점수 2점을 획득해야 합니다.
9. ISO 27005에 포함된 위험평가(Risk Assessment) 절차와 관련하여 ( ) 에 들어갈 절차명을 기술하시오.
( A ): 잠재적인 손해 발생의 근원을 밝혀내기 위하여, 자산, 위협, 현 통제 현황, 취약점을 식별하는 단계
( B ): 시나리오별 영향 및 발생 가능성을 객관적, 주관적인 방법으로 분석하는 단계
( C ): 사전에 마련된 기준에 따라 분석된 위험 목록의 우선순위를 산정하는 단계
(답)
( A ) : 위험식별(Risk identification)
( B ) : 위험분석(Risk Analysis)
( C ) : 위험수준평가(Risk Evaluation)
* 위험관리는 실기시험 단골 출제 문제입니다. 그러나, 이번에 출제된 ISO 27005의 경우 수험서에 포함된 내용이 아니므로, 3개를 모두 맞춘 분은 드물 것으로 예상됩니다. 최소 1개(위험분석) 이상 맞춰 부분 점수를 1점이라도 획득해야 합니다.
*참고 : https://blog.naver.com/6yujin6/221455777972
https://m.blog.naver.com/PostView.naver?isHttpsRedirect=true&blogId=yohsw&logNo=220923759870
10. 개인정보의 안전성 확보조치 기준과 관련하여 다음 ( )에 들어갈 용어를 기술하시오.
제2조(정의)
19. "접속기록"이란, 개인정보취급자 등이 개인정보처리시스템에 접속하여 수행한 업무내역에 대하여 개인정보취급자 등의 계정, (A), 접속지 정보, (B), 수행업무 등을 전자적으로 기록한 것을 말한다.
제8조(접속기록의 보관 및 점검)
(2) 개인정보처리자는 개인정보의 오남용, 분실, 도난, 유출, 위조, 변조 또는 훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 월 1회 이상 점검하여야 한다. 특히 개인정보를 다운로드한 것이 발견되었을 경우에는 ( C ) 으로 정하는 바에 따라 그 사유를 반드시 확인하여야 한다.
(답)
( A ) : 접속일시
( B ) : 처리한 정보주체 정보
( C ) : 내부관리계획
* 접속 기록은 출제가 예상된 문제였습니다. 내부관리계획의 경우 15회 실기와 동일하게 출제되었습니다. 최소 2개(접속일시, 내부관리계획) 이상 맞춰 부분 점수 2점 확보가 필요합니다.
[서술형]
11. 개인정보보호법에 규정된 가명정보와 관련하여 다음 물음에 답하시오.
(1) 가명처리의 정의
(2) 가명처리 4단계 중 3번째 단계의 이름
(3) 가명처리를 할 때 정보주체 동의 없이도 가능한 경우
(4) 가명정보를 사용할 필요가 없을 때 개인정보보호법에 해당되지 않는 ( ) 를 사용해야 함.
(답)
(1) 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것
(2) 적정성 검토 및 추가가명처리
(3-1) 통계작성: 특정 집단이나 대상 등에 관하여 작성한 수량적인 정보를 의미하며 시장조사와 같은 상업적 목적의 통계 처리도 포함
(3-2) 과학적 연구: 기술의 개발과 실증, 기초 연구, 응용 연구뿐만 아니라 새로운 기술·제품·서비스 개발 등 산업적 목적을 위해서도 수행이 가능하며, 민간 투자 연구, 기업 등이 수행하는 연구도 가능
(3-3) 공익적 기록보존: 공공의 이익을 위하여 지속적으로 열람할 가치가 있는 정보를 기록하여 보존하는 것을 의미하며, 공공기관뿐만 아니라 민간기업, 단체 등이 일반적인 공익을 위하여 기록을 보존하는 경우도 공익적 기록보존 목적이 인정됨.
(4) 익명정보
* 익명정보는 시간ㆍ비용ㆍ기술 등을 합리적으로 고려할 때 다른 정보를 사용하여도 더 이상 개인을 알아볼 수 없는 정보입니다. 데이터 3법이 개정된 지 1년이 지났고, MyData 사업이 본격화되면서 관련 법령을 물어보는 문제가 출제가 되었습니다. 정확히 알고 쓰신 분들은 거의 없을 것으로 판단됩니다. 최대한 아는 범위에서 답안을 작성하여 부분 점수 3~4점을 획득하려는 집중력이 중요한 문제입니다.
*참고 : https://blog.naver.com/n_privacy/222123148339
12. NAC의 물리적 구성 방법 두 가지와 특징을 설명하시오.
(답)
1) 인라인(In-Line) 방식
- 구성 방식 : Traffic이 흘러가는 경로(주로 NW edge 스위치와 Distribution 계층 사이)에 배치
- 특징 : NW의 물리적 재구성이 필요하고, 실시간 탐지 및 차단에 유리함. 장비의 고속 패킷 처리 능력이 중요하고 장애 발생 시 서비스에 영향을 미칠 수 있는 위험(SPOF:Single Point of Failure)이 있음
2) 아웃오브밴드(Out-of-band) 방식
- 구성 방식 : 스위치의 일반 Port 혹은 Mirroing Port를 통해 NAC 솔루션 연결
- 특징 : NW의 물리적 재구성이 필요 없어 구축이 용이함. 장애 발생 및 성능 이슈로 인한 서비스 영향은 없으나, 탐지 및 차단의 실시간성은 떨어짐.
* 교재에는 NAC 솔루션에 대한 물리적 구성 방식은 설명되어 있지 않지만, DB 접근제어 시스템 구성 방식은 설명되어 있습니다. 응용능력이 필요한 문제로 합격을 위하여 부분 점수 7~8점 획득이 필요합니다.
*참고 : http://www.mlsoft.com/pdf/51-6.pdf
https://www.boannews.com/media/view.asp?idx=66403
13. 정보보호최고책임자의 역할 및 책임을 4가지 이상 기술하시오.
(답)
1) 정보보호관리체계의 수립 및 관리ㆍ운영
2) 정보보호 취약점 분석ㆍ평가 및 개선
3) 침해사고의 예방 및 대응
4) 사전 정보보호대책 마련 및 보안조치 설계ㆍ구현 등
5) 정보보호 사전 보안성 검토
6) 중요 정보의 암호화 및 보안서버 적합성 검토
7) 그 밖에 정보통신망법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행
* 정보통신망법 제45조의 3(정보보호최고책임자의 지정 등)에 명시되어 있으며, 16회 실기시험 단답형에 나왔던 문제가 서술형으로 그대로 재출제 되었습니다. 8점 이상 획득이 필요하며, 기출문제 학습의 중요성을 다시 한번 일깨워준 문제입니다.
[실무형]
14. 다음 웹로그와 관련하여 다음 물음에 답하시오.
[웹로그]
192.168.0.10 - - [30/May/2021:10:10:10 +0900] "GET /script/..%c1%1c../winnt/system32/cmd.exe?/c+dir+c:\ HTTP/1.1" 404 180
1) 어떤 취약점을 이용한 공격인가?
2) 공격 성공 유무 및 판단 근거는?
3) 대응 방안 2가지는?
(답)
1) 유니코드 취약점을 이용한 원격코드실행 공격
2) 실패하였음. http response 값으로 404(Page not found)에러가 발생하였기 때문임.
3-1) 웹서버 패치 적용
3-2) IIS서버를 OS가 설치된 드라이브(C:)와 다른 곳(D: or E:)에 설치
3-3) 입력값 필터링
3-4) 화이트리스트 명령어 설정
3-5) IPS 탐지/차단 룰 설정
* 유니코드 취약점을 이용한 원격명령실행 공격입니다. 웹 취약점 관련하여 운영체제 명령 실행은 교재에도 포함되어 있으므로, 1번 문항을 정확히 맞추진 못하더라도 2번, 3번 문항에서 부분 점수 획득(7~8점)은 가능해야 합니다.
15. 다음 Snort 룰에 대하여 각 정책의 의미를 설명하시오.
[Snort Rule]
Alert any anry -> any 80 (msg:"GET Flooding";content:"GET /HTTP1.";content:"USER";content:!"anonymous";content:"|00|";depth:1;nocase;sid:1;)
1) msg: "GET Flooding" 의 의미는?
2) content: "GET /HTTP1." 의 의미는?
3) content:"USER";content:!"anonymous" 의 의미는?
4) content:"|00|";depth:1 의 의미는?
(답)
1) 설정된 2)~4)의 탐지 정책에 모두 일치하는 경우 로그에 "Get Flooding" 으로 기록
2) HTTP request에 "GET /HTTP1." 문자열이 포함되어 있는지 검사
3) 2)번이 끝난 위치에서 "USER" 문자열이 포함되어 있고, 그 뒤에 바로 "anonymous"가 포함되지 않은 문자열 검사
4) 3)번이 끝난 위치에서 1바이트를 확인하여 바이너리 값 00이 포함되어 있는지 검사
* 점수를 주기 위한 문제입니다. 특히, 탐지 정책에 !와 같은 부정 구문이 있는 경우 Not을 의미하므로, 유의해야 합니다. 14점 만점 획득이 필요합니다.
16. Apache 웹서버 설정 관련하여 다음 물음에 답하시오.
[Apache 설정]
<Directory />
Options FollowSymLinks
AllowOverride none
Require all granted
</Directory>
<Directory /var/www>
Options indexes FollowSymLinks
AllowOverride none
Require all granted
</Directory>
1) 위와 같이 설정했을 때 발생 가능한 두 가지 문제점은?
2) 두 가지 문제점에 대한 대응 방안은?
(답)
1-1) 디렉터리 인덱싱: 모든 디렉터리 및 파일에 대한 인덱싱이 가능하여 주요 웹서버의 주요 정보가 노출됨
1-2) 심볼릭 링크를 통한 디렉터리 접근: 웹에서 허용하는 디렉터리 외에 심볼릭 링크가 걸린 다른 디렉터리에 접근 가능함.
1-3) 상위 디렉터리 접근: ..와 같은 문자를 사용하여 상위 디렉터리로 이동함으로써 중요 파일 및 데이터에 접근 가능함
2-1) indexes 제거 또는 -indexes
2-2) FollowSymlinks 제거 또는 -FollowSymLinks
2-3) AllowOverride authconfig or AllowOverride all
* 교재 및 주요정보통신기반시설 기술적 취약점 분석평가방법 상세 가이드에 포함된 내용입니다. 10점 이상 획득이 필요합니다.
[출처] 17회 정보보안기사 실기시험 문제 분석(모범 답안, 고득점 포인트)|작성자 온계절
16회 정보보안기사 실기시험 문제 분석
[단답형]
1. /etc/shadow 파일에서 암호화된 패스워드 값의 맨 첫 번째 항목이 무엇을 의미하는지 기술하시오.
(답) 패스워드 암호화에 사용된 해시 알고리즘 (예: 1은 MD5, 5는 SHA256, 6은 SHA512)
* 점수를 주기 위한 문제이므로 반드시 맞춰야 합니다.
* 참고 : https://blog.naver.com/stereok2/221676302504
2. 다음 각 호의 업무를 총괄하는 사람은 누구인가?
1) 정보보호관리체계의 수립 및 관리/운영
2) 정보보호 취약점 분석/평가 및 개선
3) 침해사고의 에방 및 대응
4) 사전 정보보호대책 마련 및 보안조치 설계/구현
(답) 정보보호최고책임자(CISO)
* 점수를 주기 위한 문제이므로 반드시 맞춰야 합니다.
3. 기업의 정보호호에 대한 방향(목적, 활동 등)을 기술 및 솔루션과 독립적으로 가장 상위 개념으로 정의한 문서는 무엇인가?
(답) 정보보호정책(Policy)
* 점수를 주기 위한 문제이므로 반드시 맞춰야 합니다.
4. 다음의 무선랜 보안 표준에서 사용하는 주요 암호화 알고리즘을 기술하시오.
1) WEP : ( A )
2) WPA : ( B )
3) WPA2 : ( C )
(답) RC4, TKIP, AES(CCMP)
* 점수를 주기 위한 문제이므로 반드시 맞춰야 합니다.
5. 엔드포인트 영역에 대한 지속적인 모니터링을 통해 행위 기반 위협 탐지 및 분석, 대응 기능을 제공하는 솔루션은 무엇인가?
(답) EDR(Endpoint Detection & Response)
* 문제가 명확하지 않아 EDR을 염두에 두고 작성했습니다. EDR의 경우 교재에도 포함되어 있으며, APT와 같은 지능형 지속 공격을 방어하기 위해 중요도가 높아지고 있는 솔루션 입니다. 화이트리스트 기반 프로세스 실행 관리, 취약점 스캔, USB 차단 등 다양한 기능을 가진 EDR 솔루션이 도입, 확산되고 있습니다.
6. TLS 1.3에 추가된 기능으로 세션키를 합의하는 핸드 셰이크 과정을 간소화하여 암호화 시간을 줄여주는 기능을 무엇이라고 하는가?
(답) 최초 세션 연결 시 1-RTT(Round Trip Time), 세션 재개 시 0-RTT
* SSL/TLS 관련 문제는 매회 출제되고 있습니다. 그러나, TLS 1.3은 교재에 포함되어 있지 않은 내용이며, TLS 1.2이 보편적으로 사용되는 상황에서 이 문제를 알고 대응 가능한 분들은 거의 없을 것으로 판단됩니다.
*참고 : https://blog.naver.com/n_privacy/221412043898
7. 프로그램에서 실행하는 시스템 콜을 추적할 수 있으며, 바이너리 파일에 포함된 컴파일 경로 정보를 통하여 프로그램을 진단하거나 디버깅할 수 있는 명령어는 무엇인가? 이 명령어를 통하여 트로이목마가 걸린 파일과 정상 파일을 구분할 수 있다.
( A ) -e trace=open ps |more
(답) strace
* 교재에 없는 내용이므로, 정답을 맞힌 분들이 거의 없을 것으로 판단됩니다. 실습환경에서 직접 명령어를 수행해 보시기 바랍니다.
*참고 : https://terms.naver.com/entry.nhn?docId=4125837&cid=59321&categoryId=59321
8. 다음이 설명하는 보안 솔루션(A)의 이름을 기술하시오.
- ( A ) 는 전사적 IT인프라에 대한 위협정보 들을 수집·분석·경보·관리하는 정보보호 통합관리 시스템이며 실시간으로 공신력 있는 대외 정보보호기관의 위협정보들을 수집·분석하여 정보보호관리자에게 제공함으로써 각종 보안위협으로 부터 사전 대응 및 예·경보 체계를 구축하고 이를 통해 APT 등 알려지지 않은 공격들에 대한 조기 대응을 유도한다.
- SIEM에서 위협 식별 후 ( A )에 쿼리를 요청하여 공격주체 식별이 가능하다.
(답) TMS(Threat Management System)
* 솔루션 명칭을 묻는 문제였다면 TMS, 방법론을 묻는 문제였다면 TI 가 정답이 아닐까 생각됩니다. 지능형 공격 기법이 진화하면서 TI(Threat Intelligence, 위협 인텔리전스) 가 주목받고 있습니다. TI를 전문적인 서비스로 제공하는 기업이 등장하고 있으며, 수집된 정보로 상황을 분석하여 관련된 위협에 선제적으로 대응하는 전략이 중요해지고 있습니다.
9. ISO/IEC에서 정의한 위험 관리 모델은 위험 구성 요소들 간의 관계를 도표로 표현하고 있다. 괄호 안에 들어갈 용어를 기술하시오.
증가 -- 취약성 - 노출
↓ ↓
(A) -- 증가 → 위험 ← 증가 --- (B)
↑
보안대책 ----- (C)
(답) 위협, 자산, 감소
* 위험관리는 실기시험 단골 출제 문제이므로, 반드시 맞춰야 합니다.
10. 전송 계층 프로토콜인 UDP 기반으로 통신을 수행하는 경우 SSL/TLS와 유사한 보안 기능을 제공하는 프로토콜 명을 기술하시오.
(답) DTLS(Datagram Transport Layer Security)
* IoT 환경에서 사용되는 전송계층 경량 보안 프로토콜입니다. HTTP를 대체하는 COAP(Constrained Application Protocol)도 함께 알아두시기 바랍니다. 보안기사 교재에는 포함되어 있지 않은 내용이라, 대다수의 수험생분들이 맞추기 어려운 문제였습니다.
[서술형]
11. 쿠키에 설정되는 보안 기능과 관련하여 다음 각 물음에 답하시오.
(1) Secure 속성의 기능
(2) Secure 속성으로 대응 가능한 공격
(3) HttpOnly 속성 설정 시 쿠키 값
(4) HttpOnly 속성의 기능
(5) HttpOnly 속성으로 대응 가능한 공격
(답)
(1) Secure 통신(SSL/TLS)을 수행하는 경우에만 클라이언트에서 해당 쿠키 전송(쿠키의 기밀성 보장)
(2) 스니핑 공격을 통한 쿠키 정보 탈취에 대응 가능
(3) HttpOnly
(4) 웹브라우저에서 자바스크립트(document.cookie) 등을 통한 해당 쿠키 접근을 차단함
(5) 쿠키 탈취를 위한 XSS(Cross Site Scripting) 공격에 대응 가능
* 기사 시험에는 처음 출제된 것으로 보이나, 시중 수험서에 포함된 내용이며, 과거 산업기사에 출제된 적이 있는 문제입니다. 따라서, 본 문제에서 7점 이상 부분 점수를 획득하는 것이 당락에 중요한 영향을 줄 것으로 보입니다.
*참고1 : https://www.boannews.com/media/view.asp?idx=89842&kind=
*참고2 : https://owasp.org/www-community/HttpOnly
12. 디지털 포렌식 5대 원칙 중 3가지를 설명하시오.
(답)
1) 정당성 : 입수한 증거는 적법한 절차에 따라 수집된 것이어야 함. 위법한 절차(스니핑, 도청 등)를 거쳐 획득한 증거는 증거로서의 효력이 없음.
2) 재현성 : 획득한 증거는 동일한 조건에서 동일한 결과가 나와야 함. 수행할 때마다 다른 결과가 나온다면 증거로서의 효력이 없음(예: 시스템에서 삭제된 파일을 복구하는 경우)
3) 신속성 : 사건 발생 시 즉각적으로 신속히 대응 및 진행되어야 함. 특히 메모리에만 남아 있는 휘발성 정보(예:실행 중인 프로세스)는 대응이 지연되는 경우 적시에 확보하지 못할 가능성이 높아짐.
4) 연계보관성 : 증거의 수집, 이동, 분석, 보관, 제출의 각 단계가 명확한 책임하에 연계되어야 함. 각 단계별로 관여한 담당자, 책임자를 명시하는 것이 중요하며, 이를 통하여 포렌식 과정에서 문제 발생 시 추적이 가능함.
5) 무결성 : 수집한 증거가 위/변조되지 않고, 원본과 동일함을 증명할 수 있어야 함(예: 하드디스크 이미지 Hash 값). 포렌식 각 단계별로 무결성이 유지되고 있는지 매번 확인하는 것이 중요함.
* 교재에 포함된 내용이며, "정재신연무"로 암기가 필요한 필수 주제입니다. 포렌식 과정(수사준비-> 증거물 획득->보관 및 이송 -> 분석 및 조사 -> 보고서 작성)에서 포렌식 원칙이 지켜져야 합니다.
* 5가지 중 3가지를 선택하여 상세하게 설명해야 하며, 합격을 위해선 12점 이상 획득이 필요합니다.
13. 스팸 메일 방지를 위한 기술에 대하여 다음 물음에 답하시오.
1) SPF 적용 시 수신자 측에서 확인할 수 있는 항목
2) SPF 적용 시 수신 받은 메일의 정당성을 검증하는 방법
3-1) DKIM 에서 전자서명 주체
3-2) DKIM 에서 키 공유 방법
4) SPF와 DKIM을 혼합한 기법의 명칭
(답)
1) 메일에 포함된 발송자 정보(IP, 호스트명)가 실제 메일 발신 서버의 정보와 일치하는지 확인 가능(SPF에선 Mail Header가 아닌 Mail Envelop상의 발송자 주소만 검증. 2개 주소의 차이는 참고1 링크 참조)
2) 발송자의 DNS에 TXT 타입으로 등록된 SPF 레코드를 확인하여, 메일 발신자 IP가 SPF레코드에 포함되어 있는지 대조한다. 일치하지 않는 경우 발송자 주소가 조작된 것이므로, 수신 메일서버의 SPF 인증 정책에 따라 해당 메일 수신 여부를 결정한다.
3-1) 발신메일 서버
3-2) 공개키 암호화 방식을 사용하여 암호화 키를 교환함.
- 발신 서버에서 DKIM 키쌍(개인키, 공개키)을 생성한 후 공개키는 발신 도메인을 관리하는 DNS서버에 TXT 타입으로 등록함.
- 발신 서버의 개인키로 암호화한 전자서명 값이 메일 헤더에 포함되며, 수신 서버에서는 발송자의 DNS에 질의하여 등록된 공개키 값을 획득한 후 전자서명값을 복호화 하여 메시지 무결성 및 발신자 조작 여부 검증.
4) DMARC(Domain-based Message Authentication, Reporting & Conformance)
* SPF(Sender Policy Framework)와 DKIM(Domain Keys Identified Mail)의 경우 교재에 포함되어 있으나, DMARC(Domain-based Message Authentication, Reporting & Conformance)는 교재에 없는 내용입니다. DMARC는 실무 경험이 없는 경우 대응이 어려운 문항이었습니다. 아는 범위 내에서 7점 정도의 부분 점수를 획득할 수 있다면, 합격 점수 획득에 유리한 고지를 점령할 수 있는 문제였습니다.
*참고1 : https://blog.naver.com/netnsecu/221664657524
*참고2 : https://blog.naver.com/mailhoycom/221620299809
*참고3 : https://support.google.com/a/answer/2466580?hl=ko&ref_topic=2759254
[실무형]
14. 다음 2개의 취약한 코드와 관련하여 다음 물음에 답하시오.
[코드1]
<?xml version="1.0" encoding="ISO8859-1"?>
<!DOCTYPE foo
<!ELEMENT foo ANY
<!ENTITY xxe SYSTEM "file:///etc/passwd" >]>
<foo> &xxe ;</foo>
[코드2]
<?xml version="1.0" encoding="ISO8859-1"?>
<!DOCTYPE lols
<!ENTITY lol "lol">
<!ENTITY lol2 "&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;">
<!ENTITY lol3 "&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;">
.....
<!ENTITY lol9 "&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;">
]>
<lols>&lol9;</lols>
1) 코드1은 어떤 공격이 이루어진 것인가?
2) 코드1의 공격 원리는?
3) 코드2를 통한 공격 실행 결과는?
(답)
1) XXE(Xml eXternal Entity) Injection (XML 외부개체 주입 공격)
2) XML 문서에서 동적으로 외부 URI의 리소스를 포함시킬 수 있도록 외부 엔티티 참조가 허용되어 있는 경우, 주요 시스템 파일(/etc/passwd)에 접근하도록 URI 경로를 조작하여 중요 정보가 노출될 수 있다.
3) Entity에 다른 Entity를 계속 참조하도록 하여 "lol"문자열 처리에 많은 부하를 발생시켜 서비스 거부 공격(DOS)이 이루어지게 된다.
* OWASP Top 10 취약점에 포함된 XXE(XML eXternal Entity) 관련 문제입니다. 해당 취약점은 교재에 언급은 되어 있으나, 2가지 공격 타입에 대하여 정확하게 알고 있는 분들은 거의 없을 것으로 판단됩니다. 명확히 모르는 경우 15, 16번 문제를 선택하는 것이 점수 획득에 유리했을 것으로 보입니다.
15. 정보보호 위험평가 관련하여 다음 물음에 답하시오.
1) 2가지(A,B) 정보보호 대책 적용 시 위험 평가 결과표의 빈칸을 채우시오.
[A 적용시]
- AV(자산가치) = 100,000, EF(노출계수) = 0.2
- ARO (연간 발생 빈도) = 0.5
- SLE = ( 1 )
- ALE = ( 3 )
- 보호대책적용으로 감소한 ALE = 30,000
- 정보보호대책 운영 비용 : 17,000
- 정보보호대책 효과(가치) = ( 5 )
[B 적용시]
- AV(자산가치) = 100,000, EF(노출계수) = 0.8
- SLE = ( 2 )
- ALE = ( 4 )
- ARO (연간 발생 빈도) = 0.25
- 보호대책적용으로 감소한 ALE = 20,000
- 정보보호대책 운영 비용 : 4,000
- 정보보호대책 효과(가치) = ( 6 )
2) 위험 평가 결과를 참고하여, 2가지 정보보호 대책 중 적절한 대책을 선정하고, 선정 사유를 설명하시오.
(답)
1) 계산 결과
(1) 20,000 : AV(100,000) * EF(0.2)
(2) 80,000 : AV(100,000) * EF(0.8)
(3) 10,000 : SLE(20,000) * ARO(0.5)
(4) 20,000 : SLE(80,000) * ARO(0.25)
(5) 13,000 : 감소한 ALE(30,000) - 보호대책 운영 비용(17,000)
(6) 16,000 : 감소한 ALE(20,000) - 보호대책 운영 비용(4,000)
2) B가 상대적으로 효과적인 보호 대책임. 정보보호대책의 효과는 보호대책 적용에 따라 감소한 ALE(적용전 ALE - 적용후 ALE) 에서 보호 대책 운영 비용을 뺀 금액으로, +값이 될수록 효과적이라고 볼 수 있음. B의 효과가 16,000으로 A의 효과인 13,000보다 3,000이 높기 때문에, B를 선정하는 것이 타당함.
* 교재에도 포함되어 있고, 기출문제에서도 다루어진 문제입니다. 안정적인 합격을 위하여 최소 12점 이상 획득이 필요합니다.
16. OOO 공공기관의 개인정보흐름표에서 문제가 되는 사항 4가지를 찾아서 설명하시오.
[개인정보 흐름표 주요 내용]
1) 수집
- 수집항목 : 성명, 주민등록번호, 전화번호, 이메일
- 주민등록번호 수집 근거 : 정보주체의 동의
2) 저장
- 저장항목 : 성명, 주민등록번호, 전화번호, 이메일
- 암호화항목 : 주민등록번호
- 암호화알고리즘 : MD5
3) 제공 및 파기
- 제공항목 : 주민등록번호
- 제공방법 : DB 실시간 연동
- 암호화적용여부 : 평문전송
- 파기주기 : 영구보관
(답)
1) 주민등록번호 수집 근거 법령이 명시되어 있지 않고, 단순히 정보주체의 동의만 언급되어 있음.
2) 비밀번호 암호화에 안전하지 않은 알고리즘 사용(SHA2 이상 필요)
3) 주민번호 제3자 전송 시 평문으로 전송(암호화 전송 필요)
4) 개인정보 영구 보관(파기 주기 명시 필요)
* 신규로 출제된 문제이지만 문제를 꼼꼼히 읽어보면 그동안 학습한 내용에 의거하여 대부분 골라낼 수 있습니다. 이런 문제일수록 침착하게 지문을 읽고 충분한 시간을 갖고 문제를 푸는 것이 중요합니다. 안정적인 합격을 위하여 10점 이상 획득이 필요합니다.
15회 정보보안기사 실기시험 문제 분석
[출처] 15회 정보보안기사 실기시험 문제 분석(모범 답안, 고득점 포인트)|작성자 온계절
[단답형]
1. 웹 관련 취약점에 대하여 ( A), (B)에 들어갈 용어를 기술하시오.
( A ) 는 게시판, 웹 메일 등에 삽입된 악의적인 스크립트에 의해 페이지가 깨지거나 다른 사용자의 사용을 방해하거나 쿠키 및 기타 개인 정보를 특정 사이트로 전송시키는 공격이다. 점검을 위하여 다음과 같은 스크립트를 사용할 수 있다.
<script> ( B ) (document.cookie) </script>
(답) XSS, Alert
* 점수를 주기 위한 문제이므로 반드시 맞춰야 합니다.
2. 웹 사이트에 로봇 Agent가 접근하여 크롤링 하는 것을 제한하는 파일명은 무엇인가?
(답) Robots.txt
* 점수를 주기 위한 문제이므로 반드시 맞춰야 합니다.
3. 서비스 거부 공격 관련하여 ( )에 들어갈 공격 기법을 기술하시오.
( A ) : 출발지와 목적지의 IP 주소를 공격대상의 IP주소와 동일하게 설정하여 보내는 공격
( B ) : 공격 대상자의 IP로 스푸핑된 IP를 소스로 하여 브로드캐스트 도메인으로 ICMP 메세지를 전송하는 공격
( C ) : 다수의 SYN 패킷을 전송하는 공격
(답) Land Attack, Smurf Attack, TCP SYN Flooding
* 점수를 주기 위한 문제이므로 반드시 맞춰야 합니다.
4. Reflection 공격의 일종으로 1900번 포트를 사용하여 IoT 시스템을 공격하는 기법은?
(답) SSDP DRDoS
* SSDP(Simple Service Discovery Protocol)은 홈네트워크 미들웨어 표준인 UPnP에서 사용하는 프로토콜 입니다. UDP 1900 포트를 사용하며, 디바이스가 제공하는 서비스를 Advertisement(광고), Search(검색) 하는 용도로 사용됩니다. SSDP 프로토콜을 분산 반사 공격에 악용하는 경우 IoT 디바이스가 반사체가 되어 IoT 네트워크에 심각한 타격을 주게 됩니다.
* 교재에 없는 내용이므로, 쉽게 맞추기 어려운 문제였습니다.(추가적인 내용은 다음 보안뉴스 링크를 참조 : https://www.boannews.com/media/view.asp?idx=86974&kind=)
5. 다음 ( )에 들어갈 용어를 기술하시오.
( A )는 오픈소스 IDS/IPS로 기존의 ( B )의 장점을 수용하고, 대용량 트래픽을 실시간으로 처리하는데 특화된 소프트웨어 이다.
(답) 수리카타(Suricata), 스노트(Snort)
* 멀티 쓰레딩, 하드웨어 가속 기능을 지원하므로 스노트보다 더 효율적이라는 평을 받고 있는 오픈소스 침입탐지소프트웨어 입니다. OISF(Open Information Security Foundatation) 재단에서 개발했습니다. (상세 내용은 수리카타 홈페이지 참조 : http://suricata-ids.org)
* 수리카타의 경우 교재에는 없는 내용으로 쉽게 맞추기 어려운 문제 였습니다.
6. 개인정보의 안전성 확보조치 기준에 대하여 ( )에 들어갈 용어를
기술하시오.
제8조(접속기록의 보관 및 점검)
① 개인정보처리자는 개인정보취급자가 개인정보처리시스템에 접속한 기록을 1년 이상 보관·관리하여야 한다. 다만, 5만명 이상의 정보주체에 관하여 개인정보를 처리하거나, ( A ) 또는 ( B ) 를 처리하는 개인정보처리시스템의 경우에는 2년 이상 보관·관리하여야 한다.
② 개인정보처리자는 개인정보의 오·남용, 분실·도난·유출·위조·변조 또는 훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 월 1회 이상 점검하여야 한다. 특히 개인정보를 다운로드한 것이 발견되었을 경우에는 ( C )으로 정하는 바에 따라 그 사유를 반드시 확인하여야 한다.
(답) 고유식별정보, 민감정보, 내부관리계획
* 법 조문을 꼼꼼하게 읽어보지 않았다면, 3개 항목을 모두 맞추기는 어려웠을 것으로 보입니다. 2개 항목은 맞춰서 부분점수 2점은 획득해야 합니다.
7. TLS 연결을 SSL 3.0으로 낮춰 SSL 3.0 취약점을 이용하여 암호문을 해독하는 공격 기법을 무엇이라 하는가?
(답) POODLE(Padding Oracle on Downgraded Legacy Encryption) 공격
* 점수를 주기 위한 문제이므로 반드시 맞춰야 합니다.
8. ISMS-P 인증 체계에 대하여 ( )안에 들어갈 명칭을 기술하시오.
(인증 체계 그림을 보여주고 괄호 채우기 https://isms-p.kisa.or.kr/main/ispims/intro/)
( A ) : 과학기술정보통신부, 행정안전부와 함께 정책 협의회를 구성하는 기관으로 법, 제도 개선 및 정책 결정, 인증기관 및 심사기관 지정 업무를 수행
( B ) : 인증서 발급, 인증심사원 양성 및 자격관리 업무를 수행하는 기관
( C ) : 인증심사 결과에 대한 심의/의결을 수행하는 조직
(답) 방송통신위원회, KISA, 인증위원회
* 점수를 주기 위한 문제이므로 반드시 맞춰야 합니다.
9. 자산 및 시스템의 위험을 평가하여, 수용 가능한 수준으로 위험을 완화하기 위한 대응책을 수립하는 일련의 과정을 무엇이라고 하는가?
(답) 위험관리
* 위험관리는 실기시험 단골 출제 문제이므로, 반드시 맞춰야 합니다.
10. VPN 관련 프로토콜에 대하여 다음 ( )에 들어갈 프로토콜 명을 기술하시오.
( A) : 시스코사에서 개발한 터널링 프로토콜(데이터 링크층에서 캡슐화 가능)
( B) : MS, 3Com 등 여러 회사가 공동개발한 프로토콜
( C) : OSI 3계층에서 보안성을 제공해주는 표준 프로토콜
(답) L2F(Layer 2 Forwarding), PPTP, IPSec
* 시중의 수험서에 포함된 내용으로, 꼼꼼하게 학습을 하지 않았다면 3개를 모두 맞추기는 어려운 문제 였습니다.
[서술형]
11. 다음 패킷을 ESP 터널모드로 전송하는 경우 다음 물음에 답하시오.
[IP 헤더] [TCP 헤더] [데이터]
(1) ESP 터널모드로 전송시 추가되는 필드를 그림으로 도식화 하시오.
(2) 암호화되는 필드의 범위를 설명하시오.
(3) 인증되는 필드의 범위를 설명하시오.
(답)
(1) [New IP 헤더][ESP헤더][IP헤더][TCP헤더][데이터][ESP Trailer][ESP Auth]
(2) [IP헤더][TCP헤더][데이터][ESP Trailer]
(3) [ESP헤더][IP헤더][TCP헤더][데이터][ESP Trailer]
* IPSec은 실기 시험에 매회차 출제되는 단골 문제입니다. 문제에서 요구한 대로 추가되는 필드를 그림으로 도식화하고, 암호화 및 인증되는 필드를 명확하게 설명하면 14점 획득이 가능합니다.
12. 백도어가 설치되어 있는 것을 아래 보기로 확인하였으나, 해당 파일 경로로 가보니 파일이 존재하지 않았다.
[보기]
ls -al /proc/5900
exe -> 백도어경로(delete)
1) 백도어 파일 경로로 접속시 해당 프로세스가 보이지 않는 이유는?
2) 삭제된 백도어 프로세스를 /tmp/backdoor로 복원하는 명령어는?
3) 공격자가 사용한 명령어를 확인하는 방법은 무엇인가?(단, ps는 변조되어 사용 불가함)
(답)
1) 공격자가 백도어 프로세스를 실행 후 해당 파일을 삭제 했기 때문임.
2) cp /proc/5900/exe /tmp/backdoor
3-1) history : 공격자가 로그인 후 입력했던 명령어들과 명령어 뒤에 입력한 parameter까지 확인 가능
3-2) cat /proc/5900/cmdline : 공격자가 백도어 프로세스를 실행시 사용한 명령어 확인 가능
* 최대한 상세하게 각 질문에 대한 답변을 기술하는 것이 고득점의 포인트입니다. 공격자가 사용한 명령어를 확인하는 방법이라고 했기 때문에, lsof는 정답이 아닙니다. 물론 lsof를 이용하면 ps가 변조된 경우 숨겨진 프로세스를 확인할 수 있습니다만 명령어 확인은 불가합니다. lastcomm 의 경우 명령어 뒤의 parameter까지 확인은 불가하기 때문에, history명령이 좀 더 정답에 가깝지 않을까 판단됩니다.
* 추가적으로, cat /proc/5900/cmdline 을 실행하면 백도어 프로세스를 수행하기 위해 입력한 명령어 확인이 가능합니다. 공격자가 History 파일을 삭제했을 경우 참조합니다.
13. 정보통신망법에 적용을 받는 신생회사에서 비밀번호 작성 규칙을 수립하려고 한다. 개인정보의 기술적, 관리적 보호조치 기준에 따른 비밀번호 작성 규칙 3가지를 설명하시오.
(답)
1) 패스워드 복잡도 및 길이 : 영문, 숫자,특수 문자 중 2종류 이상 조합시는 10자리 이상, 3종류 이상 조합시는 최소 8자리 이상의 길이로 구성
2) 유추하기 어려운 비밀번호 사용 : 연속적인 숫자나 생일, 전화번호 등 추측하기 쉬운 개인정보 및 아이디와 비슷한 비밀번호는 사용하지 않을 것을 권고
3) 패스워드 유효기간 설정 : 비밀번호에 유효기간을 설정하여 최소 반기별 1회 이상 변경
* 11회 실기시험에 출제된 문제와 동일한 문제 입니다. 3가지를 정확하게 기술하는 것이 고득점의 포인트 입니다.
[실무형]
14. 백업 스크립트 파일과 백업 결과 파일은 다음과 같다. 아래의 질문에 답하시오.
[백업 스크립트 파일]
#/bin/sh
tar -cvzf /data/backup/etc_$dat.tgz /etc/*
tar -cvzf /data/backup/home_$dat.tgz /home/*
[백업 결과 파일 권한]
rw-r--r-- root root /data/backup/etc_YYYYMMDD.tgz
rw-r--r-- root root /data/backup/home_YYYYMMDD.tgz
1) 백업 결과 파일의 권한을 검토하여 어떤 문제가 있는지 설명하시오.
2) 백업 스크립트 파일에서 umask 변경 후 백업 파일을 생성하고, umask를 원래대로 만드는 스크립트를 작성하시오.
3) operator 사용자만 백업 스크립트(/usr/local/bin/backup)를 사용하도록만드는 명령어를 기술하고, 해당 명령어에 대해 간단히 설명하시오.
(답)
1) root가 아닌 다른 계정들도 백업 파일을 읽을 수가 있음(특히, /etc 밑에는 /etc/passwd, /etc/shadow 와 같은 중요한 파일이 있어 기밀성이 보장되어야 함). 추가적으로, 백업 파일은 소유자도 기본적으로 변경이 불가하게 읽기 권한으로 설정 권고.
2) umask 266
tar -cvzf /data/backup/etc_$dat.tgz /etc/*
tar -cvzf /data/backup/home_$dat.tgz /home/*
umask 022
3) chown operator /usr/local/bin/backup : 소유주를 operator로 변경
chmod 700 /usr/local/bin/backup : 소유주만 스크립트에 대한 rwx가 가능하도록 권한 변경
* 문제를 꼼꼼하게 읽고 침착하게 답안을 작성하는 것이 중요합니다.
15. 다음은 http request 메시지를 패킷 분석 tool로 캡쳐한 화면이다. 다음 물음에 답하시오.
[패킷 캡쳐 화면 #1]
POST / HTTP/1.1
.....
content-length : 1000000
[패킷 캡쳐 화면 #2]
......
TCP segment data (1 byte)
1) 어떤 공격이 시도 되고 있는가?
2) 해당 공격이라고 판단한 근거를 구체적으로 설명하시오.
3) 공격에 대한 서버측 대응 방안 2가지를 설명하시오.
(답)
1) Slow HTTP Post DOS (Rudy)
2) 첫번째 화면에서 POST request에 대하여 콘텐츠 길이가 1000000이라는 큰 값으로 설정되어 있음. GET 방식과 달리 POST는 클라이언트가 서버로 전송할 데이터의 크기를 설정할 수 있으며, 서버는 콘텐츠 길이만큼의 데이타가 수신될때까지 연결을 유지하고 대기하게 됨.
두번째 화면에서 Post data를 1바이트씩 쪼개서 분할 전송하고 있으므로, 서버는 1000000바이트의 데이터가 모두 도착할 때까지 연결을 장시간 유지하므로 가용량을 소진하게 되어 다른 클라이언트로부터의 정상적인 서비스 요청을 처리 불가능한 상태로 빠지게 됨.
3-1) 연결 타임아웃(Connection Timeout) 설정 : 클라이언트와 서버간 세션 유지시간 초과시 연결 종료
3-2) 읽기 타임아웃(Read Timeout) 설정 : 지정한 시간내에 body 정보가 모두 수신되지 않으면 오류코드 반환
3-3) IPtables와 같은 서버 방화벽 설정 : 동일한 소스 IP에서 동시 연결가능한 개수의 임계치를 설정하여 초과시 차단
* 최대한 상세하게 각 질문에 대한 답변을 기술해야 합니다. 특히 2)번째 질문의 경우 Slow HTTP Post 라고 판단한 근거를 각 화면에서 확인되는 값을 가지고 상세하게 설명을 해야 합니다.
16. OOO 시의 어르신 교통카드 신청서 안내문에서 개인정보보호법에 위반되는 사항 4가지를 찾아서 설명하시오.
1) 개인정보 수집 및 이용 내역(필수) : 수집항목(주민등록번호 포함), 목적(본인확인), 기간(영구보관)
* 동의를 거부할 권리가 있다는 사실 및 동의 거부 시 불이익 명시함.
2) 제3자 제공 : 제공기관(유관기관), 제공내역(주민등록번호 포함), 제공목적, 기간(교통카드 만료시까지)
3) 위탁 : 위탁기관(OO신용카드), 위탁업무(교통카드발급업무)
4) 위 3가지 항목에 대하여 동의하는지 확인 요청
(답)
1) 주민등록번호 수집 및 3자 제공 불가(개인정보보호법 제24조의 2)
2) 개인정보 보관 기간이 영구로 설정
3) 제3자 제공 시 동의를 거부할 권리가 있다는 사실 및 거부에 따른 불이익에 대한 설명이 누락됨
4) 제3자 제공 기관의 명칭이 불분명하게 기술
[출처] 15회 정보보안기사 실기시험 문제 분석(모범 답안, 고득점 포인트)|작성자 온계절
14회 정보보안기사 실기시험 문제 분석
[출처] 14회 정보보안기사 실기시험 문제 분석(모범 답안, 고득점 포인트 포함)|작성자 온계절
[단답형]
1. 접근통제 정책 모델에 대하여 다음 물음에 답하시오.
( A ) : 모든 객체는 정보의 비밀 수준에 근거하여 보안 레벨이 주어지고 허가된 사용자만 접근 가능토록 제어하는 모델
( B ) : 사용자나 사용자 그룹에 근거한 사용자 중심의 접근 제어 모델
( C ) : 사용자와 객체의 상호 관계를 역할로 구분하여 접근 제어하는 모델
(답) MAC, DAC, RBAC
* 점수를 주기 위한 문제이므로 반드시 맞춰야 합니다.
2. ARP 프로토콜에서 목적지의 물리 주소를 얻기 위해 프레임에 실어 보내는 목적지 주소를 주소 형식에 맞게 기술하시오.
(답) ff:ff:ff:ff:ff:ff
* ARP 프로토콜은 목적지의 IP 주소에 대응되는 Data link 주소(MAC)을 얻기 위하여 사용됩니다. 이를 위해 ARP Request를 브로드캐스트 도메인으로 요청하고, 해당하는 IP를 가진 호스트는 유니캐스로 자신의 MAC주소를 실어 ARP Reply 응답을 합니다. 즉, ARP request 요청 시 목적지의 MAC주소는 브로드캐스트 주소 형식(ff:ff:ff:ff:ff:ff)으로 보내야 합니다.
* 이 문제는 평상시 ARP 프레임을 wireshark와 같은 tool로 분석해 보지 않았다면 쉽게 맞출 수 없는 문제였습니다.
3. IPSec 프로토콜에 대하여 다음 () 안에 들어갈 용어를 기술하시오.
(1) 어느 계층에서 사용되는 프로토콜인가? ( A )
(2) 무결성을 보장하는 IPSec의 세부 프로토콜은? ( B )
(3) 기밀성을 보장하는 IPSec의 세부 프로토콜은? ( C )
(답) 네트워크 계층, AH, ESP
* 점수를 주기 위한 문제이므로 반드시 맞춰야 합니다.
4. MS오피스와 애플리케이션 사이에서 데이터를 전달하는데 사용되는 프로토콜로 외부로 데이터 등을 전달할 수 있으며, 엑셀에서 이 기능이 활성화될 경우 악용될 수 있다. 해당 프로토콜의 이름을 기술하시오.
(답) DDE(Dynamic Data Exchange)
* VBA 매크로 기능을 이용해 악성 행위를 수행하는 것이 일반적인데, 2017년 하반기부터 매크로가 아닌 DDE 기능을 악용한 악성 문서 파일이 유포되기 시작했습니다. 엑셀이 클라이언트가 되고 cmd가 서버가 되어 데이터 전달 과정에서 cmd 커맨드가 실행되며 악성 행위가 수행되게 됩니다. (상세 내용은 다음 보안뉴스 링크를 참조 : https://www.boannews.com/media/view.asp?idx=75635&kind=1)
* 이 문제 역시 교재에는 없는 내용으로 평상시 보안뉴스 등을 꾸준히 읽지 않았다면 맞추기 어려운 문제였습니다.
5. 사이버위기 경보 단계에 대하여 다음 빈칸에 알맞은 단계별 명칭을 기술하시오.
정상 -> ( A ) -> 주의 -> ( B ) -> ( C )
(답) 관심, 경계, 심각
* 점수를 주기 위한 문제이므로 반드시 맞춰야 합니다.
6. 리눅스 시스템 로그 파일에 대하여 다음 빈칸에 적절한 명칭을 기술하시오.
( A ) : 현재 시스템에 로그인한 사용자의 상태가 출력되는 로그
( B ) : 사용자의 로그인, 로그아웃, 시스템 재부팅 정보가 출력되는 로그
( C ) : 5번 이상 로그인 실패 시 로그인 실패 정보가 기록되는 로그
(답) utmp, wtmp, btmp
* 점수를 주기 위한 문제이므로 반드시 맞춰야 합니다.
* 참고로 유닉스에서는 utmp(x), wtmp(x), loginlog로 파일명에 차이가 있습니다.
7. 정보보호제품에 대한 국제 표준(ISO-15504) 인증의 명칭은?
(답) CC 인증
* 점수를 주기 위한 문제이므로 반드시 맞춰야 합니다.
8. Httpd.conf 파일에서 디렉터리에 업로드 가능한 최대 파일 사이즈를 제한하는 명령어는?
(답) LimitRequestBody 파일사이즈 <--- 단위는 바이트
* 원칙적으로 파일 업로드 및 다운로드는 제한되어야 하지만, 불가피하게 필요시 용량 사이즈를 제한함으로써 불필요한 업로드와 다운로드를 방지하여 서버의 과부하를 예방하고 자원을 효율적으로 관리하기 위하여 필요한 설정입니다.
* 시중의 수험서 및 KISA 자료실의 주요정보통신기반시설 기술적 취약점 분석 평가 방법 가이드에도 포함되어 있는 내용입니다.
9. 다음의 정보보호 관련 법률의 명칭(약칭)을 기술하시오.
( A) : 정보통신망에 관한 법률의 명칭
( B) : 주요 정보통신 기반 시설에 관한 법률의 명칭
( C) : 위치정보에 관한 관한 법률의 명칭
(답) 정보통신망법(정보통신망 이용 촉진 및 정보보호 등에 관한 법률), 정보통신 기반보호법, 위치정보법(위치정보의 이용 및 보호 등에 관한 법률)
* 점수를 주기 위한 문제이므로 반드시 맞춰야 합니다.
10. ISMS-P 인증 평가 항목에 대한 설명이다. ( ) 안에 들어갈 적절한 명칭을 기술하시오.
1.2.1(정보자산 식별) : 조직의 업무특성에 따라 정보자산 분류 기준을 수립하여 관리체계 범위 내 모든 정보자산을 식별/분류하고, ( A)를 산정한 후 그 목록을 최신으로 관리하여야 한다.
1.2.3 (위험평가) : 조직의 대내외 환경분석을 통해 유형별 ( B)를 수집하고, 조직에 적합한 위험 평가 방법을 선정하여 관리체계 전 영역에 대하여 연 1회 이상 위험을 평가하여, 수용할 수 있는 위험은 ( C)의 승인을 받아 관리하여야 한다.
(답) 중요도, 위협 정보, 경영진
* 위험평가와 관련된 ISMS-P 인증 평가 항목의 전문 내용이 그대로 문제로 출제되었습니다. 위험관리는 지난 회차에서도 3문제나 출제되었으며, 정보 보안 통제를 효과적으로 적용하기 위하여 현장에서도 매우 중요하게 다루어지는 토픽이기도 합니다.
[서술형]
11. 유닉스 계정 패스워드 임곗값 설정에서 다음 옵션의 의미를 설명하시오.
( deny=5, unlock_time=120, no_magic_root, reset)
(답)
deny= 5 : 인증 실패 임곗값을 5회로 설정(5회 실패 시 계정 잠김)
unlock_time =120 : 계정 잠김 후 마지막 인증 실패 시작으로부터 120초가 지나면 자동으로 계정 잠금 해제
no_magic_root : root 계정은 잠김 설정 예외
reset : 접속 시도 성공 시 실패 회수를 초기화함.
* 각 설정별 의미를 최대한 자세하고 정확하게 기술해야 합니다.
12. /etc/shadow 파일에 대하여 다음 물음에 답하시오.
1) x:a$b$c: 에서 a,b,c의 의미는?
2) b가 레인보우테이블 공격에 대응할 수 있는 이유는?
3) pwunconv 명령의 기능은?
(답)
1) a : 암호화 알고리즘(1은 md5, 5는 sha256, 6은 sha512로 암호화) , b : Salt 값 , c : 해시값(salt+암호를 입력으로 하여 산출된 해시값)
2) 해시 연산 수행 시 salt 값을 추가 입력값으로 사용하는 경우 동일한 암호에 대하여 해시값이 달라지므로, 해시 목록을 이용한 레인보우테이블 공격에 대응 가능
3) /etc/shadow의 패스워드 값이 /etc/passwd 파일의 패스워드 항목으로 들어가게 되며 shadow 파일은 비활성화됨
* 최대한 상세하게 각 질문에 대한 답변을 기술하는 것이 고득점의 포인트입니다. shadow 파일에 대한 상세한 내용은 제 블로그의 다음 포스팅을 참조하시기 바랍니다.(https://blog.naver.com/stereok2/221676302504)
13. 강제적 접근제어 모델에 대하여 다음 물음에 답하시오.
1) 정보의 불법적 파괴나 변조보다는 기밀성 유지에 초점을 둔 모델의 명칭은?
2) no-read-up의 의미는?
3) no-write-down의 의미와 보안적 관점에서의 의의는?
4) 비바 모델의 write 정책은?
(답)
1) BLP(벨라파둘라) 모델
2) 보안 수준이 낮은 주체는 보안 수준이 높은 객체를 읽지 못하도록 하여 기밀성을 보장하도록 함(주체는 객체와 동일하거나, 높은 등급일 때만 읽을 수 있음)
3) 보안 수준이 높은 주체는 보안 수준이 낮은 객체에 기록해서는 안 됨. (보안적 관점에서는 높은 수준의 주체가 낮은 수준의 주체에게 정보를 전달할 수 있는 경로를 차단하여 기밀성을 보장하기 위한 목적에서 의의가 있음.)
4) No write up (정보수준이 낮은 주체가 높은 수준의 객체에 Blind 업데이트를 하지 못하도록 차단함으로써, BLP의 무결성 문제를 해결하기 위한 정책임)
* 최대한 상세하게 각 질문에 대한 답변을 기술해야 합니다. 특히 BLP의 no-write-down의 보안적 관점에서의 의의는 기밀성 보장을 위한 목적을 명확하게 기술하지 않으면 감점의 대상이 될 수 있습니다.
[실무형]
14. A 시스템에서 B 시스템으로 ack 2012~2018 포트까지 패킷을 전송하여 2017 포트에서 reset 응답이 도착하였다. 이에 대하여 다음 물음에 답하시오.
1) 무슨 스캔인가?
2) 스캔의 목적은?
3) 본 스캔을 통하여 무엇을 알 수 있는가?
(답)
1) TCP ACK 스캔
2) 포트의 오픈 여부 판단이 아닌 방화벽과 같은 보안 장비의 필터링 수행 여부를 판별하기 위한 목적임(방화벽에서 필터링 되고 있으면 응답이 없거나 ICMP 메시지를 받고, 필터링 되고 있지 않다면 RST 응답을 받음)
3) 2017 포트는 방화벽에서 필터링을 하지 않고 있음을 알 수 있음.
(2012~2016은 무응답이므로, 방화벽에 의해 필터링 되고 있음.
2017은 RST 응답이 온 것으로 보아 방화벽에서 필터링 되고 있지 않음.
* 최대한 상세하게 각 질문에 대한 답변을 기술해야 합니다. 특히 TCP ack 스캔은 포트의 오픈 여부 판별이 아닌 방화벽의 룰셋 검증을 위한 목적임을 명확하게 설명해 주어야 합니다. 자칫 포트의 오픈 여부 판단이 가능하다고 기술하는 경우 감점이 될 수 있기 때문에 주의해야 합니다.
15. 아파치 설정에서 다음 옵션들의 의미에 대하여 설명하시오.
1) timeout 300
2) maxkeepaliverequest 100
3) Directoryindex index.htm, index.html, index.php
4) ErrorLog "경로"
(답)
1) 클라이언트와 서버 간에 300초(5분) 동안 아무런 메시지가 발생하지 않으면 타임아웃을 시키고 연결을 끊음
2) Keepalive 값이 On인 경우 클라이언트와 연결된 작업의 최대 개수를 100개로 제한함. 해당 회수를 초과하면 현재 프로세스는 종료하고 다른 프로세스가 처리함
3) 웹 디렉토리 접근 시 인식되는 인덱스 파일의 순서를 index.htm, index.html, index.php 순으로 지정함.
4) Error 발생 시 로그 파일의 위치를 지정함.
* 최대한 상세하게 각 질문에 대한 답변을 기술해야 합니다.
16. XSS 공격을 탐지하기 위한 다음의 Snort rule 에 대하여 다음 물음에 답하시오.
Alert any anry -> any 80 (msg "XSS";content "GET";offset:1;depth:3;content:"/login.php<script>XSS";distance 1;)
1) content:"GET";offset:1 depth:3 의 의미는?
2) content:"/login.php<script>XSS";distance 1; 의 의미는?
3) 바이너리로 전송된 패킷(L이 대문자임)을 참고하여 위의 룰로 탐지 안될 경우 어떻게 수정해야 하는지 기술하시오.
(답)
1) 전송된 패킷의 처음 1바이트를 띄고 3바이트를 검사해서 GET을 찾으라는 의미
2) 이전 메시지(GET)를 찾은 위치에서 1바이트를 띄고 content안에 기술된 문자열을 찾으라는 의미
3) offset:1을 offset:0으로 변경하거나 offset 옵션을 삭제.
그리고, nocase 옵션을 추가하거나 login을 Login으로 변경
* 최대한 상세하게 각 질문에 대한 답변을 기술해야
[출처] 14회 정보보안기사 실기시험 문제 분석(모범 답안, 고득점 포인트 포함)|작성자 온계절
13회 정보보안기사 실기
[단답형]
1. Victim의 MAC 주소를 위조한 스니핑 공격은?
(답) ARP 스푸핑
* ARP 리다이렉션(Gateway의 MAC주소로 위조)과 ARP 스푸핑(Victim의 MAC 주소로 위조)의 차이점도 이번 기회에 명확히 하세요.
2. 침해사고 발생시 실시간 경보,분석체계를 운영하며 금융,통신 분야별 정보통신 기반 시설을 보호하기 위한 업무를 수행하는 기관은?
(답) ISAC(Information Sharing Analysis Center), 정보공유분석센터
* CERT와 혼동하기 쉬운데, CERT는 침해 사고 사전 예방, 침해 사고 발생 시 조직적, 체계적 긴급 대응 및 복구가 주목적입니다.
3. 침입탐지시스템(IDS)의 침입탐지 정책에 대하여 설명하시오.
(1) 미리 등록된 패턴을 기반으로 이상행위를 탐지하는 기법은?
(답) 오용탐지(Misuse) or 지식기반 탐지
(2) 정상행위와 이상행위를 프로파일링 하여 통계적인 방법으로 이상행위를 탐지하는 기법은?
(답) 이상탐지(Anormaly) or 행위기반 탐지
(3) 정상행위를 이상행위로 판단하거나 이상행위를 탐지하지 못하는 상황은?
(답) 오탐(False Positive), 미탐(False Negative)
4. Github의 DDoS 공격에 악용된 캐시솔루션은?
(답) Memcached
* Memcached 는 스토리지나 DB같은 대규모 데이터저장소의 부하를 줄이기 위해 캐시를 저장해 두는 툴입니다. 통상 캐시가 필요한 시스템에만 사용되고, 인터넷에 노출되지 않기 때문에, 별도 권한 설정을 요구하지 않지만 인터넷에 노출된 Memcached 서버가 적지 않아, DDoS 공격 수단으로 악용된 Case입니다. (페이스북, 트위터, 유튜브 등에서 사용)
5. 리눅스의 /etc 아래에 위치하고 있으며 패스워드의 사용기간 만료, 최대 사용기간, 최소 변경 기간 등의 패스워드 정책을 설정할 수 있는 파일은?
(답) login.defs
* 리눅스라는 단서와 위의 3가지 패스워드 정책을 설정할 수 있다는 단서를 주었기 때문에, password or shadow 파일은 정답이 아닙니다.(주요 기반 시설 취약점 분석 평가 가이드 16page를 참조 바랍니다.)
6. 웹 애플리케이션의 소스 코드를 보지 않고 외부 인터페이스나 구조를 분석하여 취약적을 발견하는 방식을 (1)이라 하고, 개발된 소스 코드를 살펴봄으로써 코딩 상의 취약점을 찾는 방식을 (2)라고 한다.
(답) (1) 블랙박스 테스트, (2) 화이트 박스 테스트
* 논란이 많았던 문제였습니다. 실행을 하느냐 하지 않느냐로 물어봤다면 정적분석, 동적분석이 맞지만 위와 같이 소스코드를 보느냐 보지 않느냐고 물어봤을 땐 블랙박스, 화이트박스가 맞습니다.
7. 정성적 위험분석 방법론 2가지에 대해 답하시오.
(1)어떤 사건도 기대대로 발생하지 않는다는 사실에 근거하여 일정 조건하에서 위험에 대한 발생 가능한 결과들을 추정하는 방법
(2)시스템에 관한 전문적인 지식을 가진 전문가의 집단을 구성하고 위험을 분석 및 평가하여 정보시스템이 직면한 다양한 위험과 취약성을 토론을 통해 분석하는 방법
(답) (1)시나리오법 (2) 델파이법
* 점수를 주기 위한 문제이므로 반드시 맞춰야 합니다.
8. 자산에 대해 보험을 들어 손실에 대비하는 등 조직의 자산에 대한 위협, 위험, 취약점 등을 제3자에게 전가하는 위험관리 방식은?
(답) 위험전가
* 점수를 주기 위한 문제이므로 반드시 맞춰야 합니다.
9.모든 시스템에 대하여 보호의 기본 수준을 정하고 이를 달성하기 위하여 일련의 보호대책을 선택하는 방식은?
(답) 기준접근법 (Baseline 접근법)
* 점수를 주기 위한 문제이므로 반드시 맞춰야 합니다.
10. 비즈니스 연속성을 보장하기 위한 계획을 무엇이라 하는가?
(답) BCP(Business Continuity Plan)
* 점수를 주기 위한 문제이므로 반드시 맞춰야 합니다.
[서술형]
11. 파일 업로드 취약점 대응을 위한 .htaccess 파일 설정의 의미에 대하여 답하시오.
(1) <FilesMatch \.(ph|lib|sh|)
Order Allow DENY
Deny From ALL
</FilesMatch>
(2) AddType text/html .php .php1.php2.php3 .php4 .phtml
(답) (1) FilesMatch 지시자를 이용, .ph, .lib, .sh 등의 Server Side Script 파일에 대해서 직접 URL 호출 금지 (업로드된 스크립트(웹쉘)의 실행을 방지하기 위한 목적임)
(2) AddType 지시자를 이용 Server Side Script 확장자를 text/html MIME Type으로 재조정하여 업로드된 스크립트 실행 방지
* 최대한 상세하게 답하는 것이 중요합니다. (1)의 경우 설정된 3개 확장자를 가진 파일은 직접 URL 호출을 금지한다는 말이 들어가야 합니다. (2) 는 해당 확장자의 MIME type을 실행불가한 text/html로 변경한다는 말이 들어가야 합니다.
12. IDS는 내부 트래픽에 대하여 미러 방식으로 사용하고, IPS는 인라인 방식으로 외부와 내부 접점에 배치하여 사용하는 이유는?
(답) IPS는 실시간 차단을 목적으로 하기 때문에 인라인 방식으로 구성되어야 하며, 외부에서의 악의적인 침입 시도를 차단하는 데 포커스를 두어 내부와 외부의 접점에 배치하는 것이 좋다. IPS를 내부망에 배치하여 운영하는 경우 오탐으로 인하여 네트워크에 문제가 발생할 수 있으므로, 내부망에는 침입 탐지를 목적으로 하는 IDS를 배치하는 것이 좋다. IDS는 포트 미러링 방식으로 업무 데이터 흐름에 영향을 주지 않고 패킷을 분석하여 침입 여부를 탐지할 수 있기 때문이다. 참고로, IPS는 장애 시 업무에 영향을 줄 수 있으므로 bypass 기능을 지원해야 한다.
* IDS와 IPS의 패킷 탐지/차단 방식과 배치에 대하여 물어보고 있으므로, 물어본 사항에 집중하여 답변을 충실하게 기술해야 합니다.
13. IPSec의 AH, ESP 보안 헤더에 대하여 전송모드/터널 모드로 운영 시 인증 구간, 암호화 구간을 설명하고, 키 교환 프로토콜명을 기술하시오.
(답)
(1) AH 전송모드
- 인증구간 : IP 헤더에서 전송 중 변경가능 필드(TTL, Checksum 등)를 제외한 IP패킷 전체를 인증
- 암호화 구간 : (암호화 미지원)
(2) AH 터널모드
- 인증구간 : New IP 헤더에서 전송 중 변경가능 필드를 제외한 New IP 패킷 전체를 인증
- 암호화 구간 : (암호화 미지원)
(3) ESP 전송모드
- 인증구간 : ESP 헤더와 암호화된 데이터(IP Payload + ESP 트레일러)를 인증
- 암호화 구간 : IP Payload와 ESP 트레일러를 암호화
(4) ESP 터널모드
- 인증구간 : ESP 헤더와 암호화된 데이터(Original IP 헤드 + IP Payload + ESP 트레일러)를 인증
- 암호화 구간 : Original IP 패킷 전체(Original IP 헤드 + IP Payload) + ESP 트레일러를 암호화
(5) 키교환 프로토콜명 : IKE(Internet Key Exchange) 프로토콜
* 실제 문제에서는 AH, ESP의 헤더 구조를 명확하게 보여 주었기 때문에, 각각에 대하여 인증구간, 암호화 구간을 최대한 상세하게 기술해 주어야 합니다. IKE는 반드시 맞춰야 합니다.
[실무형]
14. HeartBleed 취약점 탐지위한 Snort Rule 설정 의미를 설명하시오.
alert tcp any any < > any (1)[443,465,523] ((2)content:"|18 03 00|"; depth: 3; (3)content:"|01|"; distance: 2; within: 1;
(4) content:!"|00|"; within: 1; (5)msg: "SSLv3 Malicious Heartbleed Request V2”;
(6) sid: 1;)
(답)
(1) 탐지 대상 포트 번호를 443, 465, 523으로 지정
(2) Content에서 첫 3바이트를 검사하여 바이너리 값으로 "18 03 00"
이 있는지 검사
(3) (2)번이 끝난 위치에서 2바이트 떨어진 위치에서 1바이트를 검사하여 바이너리 값으로 "01"이 있는지 검사
(4) (3)번이 끝난 위치에서 바로 1바이트를 검사하여 바이너리 값으로 "00"이 포함되지 않은지 여부를 검사
(5) (1)~(4)의 탐지룰에 모두 매칭이 되는 경우 로그에 "SSLv3 Malicious Heartbleed Request V2"로 기록
(6) 해당 룰의 식별자를 1로 지정
* 본 문제 역시 최대한 각 설정의 의미를 상세하게 풀어서 기술해야 합니다. 특히 (4)번의 경우처럼 !가 있는 경우는 Not이기 때문에 주의깊게 봐야 합니다. 문제를 두 눈을 부릅뜨고 최소 3번은 반복해서 읽도록 합니다. 서술형 문제에서 실수 하나는 당락을 결정할 수 있기 때문입니다.
15. 요청 헤더와 응답 헤더를 보여 주며 공격에 대하여 질문에 답하시오.
(답)
(1) 공격의 이름은? 디렉터리 인덱싱
(2) 공격이 성공했다는 근거는? 응답값이 200 OK이고 index of /cgi/bin 페이지가 성공적으로 조회되었기 때문임
(3) apache.conf 파일에서 보안 조치 방법은? Options 지시자에 있는 indexes 값 삭제
16. Robot.txt 파일에 대하여 다음 물음에 답하시오.
(1) Robot.txt 파일의 용도
(2) 아래 설정값의 의미
useragent : yeti
useragent : googlebot
(가) allow : /
useragent : googlebot-image
(나) disallow : /admin/
(다) disallow : /*.pdf$
(답)
(1) 검색엔진에서 자동 크롤링 도구에 대하여 접근 허용 여부를 제어하기 위한 파일
(2-가) 검색 엔진 로봇(yeti, googlebot)에 대하여 root 디렉토리(/) 밑의 모든 파일 및 디렉토리의 크롤링을 허용
(2-나) 검색 엔진 로봇(googlebot-image)에 대하여 /admin 폴더 크롤링을 허용하지 않음.
(2-다) 검색 엔진 로봇(googlebot-image)에 대하여 pdf 확장자를 가진 파일에 대하여 크롤링을 허용하지 않음
* 최대한 자세하게 설정값의 의미를 설명하도록 합니다.
[출처] 13회 정보보안기사 실기 합격자 발표(모범 답안 가이드 포함)|작성자 온계절
https://blog.naver.com/stereok2
온계절의 IT전문가를 꿈꾸는 이를 위한 성공 나침반 : 네이버 블로그
IT스페셜 리스트(기술사, 금융보안전문가, 정보보안기사, ISMS-P인증심사원) / 자기계발, 동기부여, 멘토링, 코칭 전문가 / 독서와 열정이 만드는 나비효과를 신봉하며, 인문과 기술이 균형잡힌 융
blog.naver.com
'Tech > 정보보안 요약노트' 카테고리의 다른 글
| 정보보안기사 실기 출제기준 (0) | 2023.04.04 |
|---|---|
| 단답형 문제 유형 (0) | 2022.08.09 |
| 보안 용어 (0) | 2022.08.09 |
| 리버스 VNC 악성코드 ( TightVNC ) (0) | 2022.03.04 |
| 정보보안기사 ( 블로그 ) (0) | 2021.07.13 |
