[정보보안기사 3회] 실기 기출문제

단답형

 

1. [정보보안일반/Diffie-Hellman] 다음은 Diffie-Hellman 알고리즘을 통한 키 교환 과정이다. (A), (B), (C), (D)에 대해서 각각 기술하시오.

1. 엘리스와 밥이 사용할 소수 p와 원시근 q를 결정한다. 2. 엘리스는 a를 선택하고, q^a mod p를 계산하여 공개, 밥은 b를 선택하고 q^b mod p를 계산하여 공개한다. 3.엘리스는 밥이 공개키 q^b mod p와 자신의 개인키 a를 이용하여 (A)를 계산하고 밥은 엘리스의 공개키 q^a mod p와 자신의 개인키 b를 이용하여 (B)를 계산하여 공통 비밀키로 사용한다. 4. Diffie-Hellman 키 교환 기법은 유한체의 (C) 문제의 어려움에 근거하므로, p로부터 a, b를 얻을 수 없고 결국 (D)를 구할 수 없기 때문에 안전하다.

 

(A) : q^ba mod p, (B) : q^ab mod p, (C) : 이산대수 (D) : 개인키

 

2.[침해사고분석 및 대응/HeartBleed] 다음은 HeartBleed 취약점에 대한 설명이다. 다음 질문에 답하시오

해당 취약점은 HeartBleed로 명명되고 있으며, 해당 취약점을 악용할 경우 웹서버로 전송된 개인정보, 비밀번호 등은 물론 웹서버의 암호키도 탈취될 수 있다. 공격자는 취약점이 발견된 (A)버전이 설치된 서버에서 인증 정보 등이 저장된 64Kbyte 크기의 메모리 데이터를 외부에서 아무런 제한 없이 탈취할 수 있다. 해당 취약점은 HeartBeat라는 (B) 확장 프로토콜을 구현하는 과정에서 발생한다.

1) 어떤 프로토콜의 취약점인가?

2) 취약점 영향받는 버전은?

1) OpenSSL

2)  SSL/TLS

▶HeartBleed : OpenSSL 1.0.1 버전에서 발견된 매우 위험한 취약점입니다. OpenSSL을 구성하고 있는 TLS/DTLS의 HeartBeat 확장규격에서 발견된 취약점으로, 해당 취약점을 이용하면 서버와 클라이언트 사이에 주고받는 정보들을 탈취할 수 있습니다.

 

OpenSSL 취약점 하트블리드(HeartBleed), 왜 위험한가? (alyac.co.kr)

 

3. [네트워크보안/TCP SYN Flooding] 다음은 특정 서버로 유입되는 트래픽을 패킷분석용 프로그램을 이용해 캡처한 결과이다. 어떤 공격의 결과인가?

Time	Source	Destination	Protocol	Infomation
56.166845 56.270023 56.270157 56.270302 56.372329 56.372452 56.374298 56.374521	195.xxx.xxx.125 202.xxx.xxx.107 192.xxx.xxx.143 202.xxx.xxx.107 242.xxx.xxx.0 192.xxx.xxx.143 195.xxx.xxx.43 192.xxx.xxx.143	192.xxx.xxx.143 192.xxx.xxx.143 202.xxx.xxx.107 195.xxx.xxx.125 192.xxx.xxx.143 242.xxx.xxx.0 192.xxx.xxx.143 195.xxx.xxx.43	TCP TCP TCP TCP TCP TCP TCP TCP	2678 > 23 [RST] 2679 > 23 [SYN] 23 > 2679 [SYN, ACK] 2679 > 23 [RST] 2680 > 23 [SYN] 23 > 2680 [SYN, ACK] 2681 > 23 [SYN] 23 > 2681 [SYN, ACK]

 

TCP SYN Flooding

: 서버 측 패킷 캡쳐 결과를 보면 SYN 요청에 대한 SYN+ACK 응답 이후 해당 클라이언트로부터 ACK응답이 없는 것을 알 수 있다.

이는 공격자가 소스 IP를 스푸핑 해서 SYN Flooding 공격을 하고 있음을 알 수 있다.

▷ RST응답의 경우는 스푸핑된 Source IP가 실제로 존재하는 IP인 경우 발생할 수 있다.

 

▶ TCP SYN Flooding : TCP 연결 설정 과정(3-Way Handshake)의 취약점을 이용한 공격으로 공격대상 시스템의 TCP 연결 자원을 소진시켜 외부로부터 TCP 연결 요청을 받을 수 없는 상태로 만드는 서비스 거부 공격(DoS)이다.

즉, 클라이언트가 서버로 SYN Packet을 보내면 서버는 SYN+ACK로 응답하고, 해당 연결설정이 완료될 때까지 Backlog Queue에 담아두는데 정상적인 연결이라면 클라이언트로부터 SYN+ACK응답에 대한 ACK응답을 받아 연결설정이 완료되지만 SYN Flooding 공격을 당했을 경우에는 ACK응답이 오지 않기 때문에 Backlog Queue에 연결정보가 계속 쌓이게 되고, Backlog Queue가 꽉 찬 상태라면 더 이상 연결요청을 받을 수 없기 때문에 정상적인 서비스 제공이 불가능한 상태가 된다.

<대응책>

1) SYN Cookie 설정을 통해 완전한 3-Way Handshaking이 이루어지지 않으면 Backlog Queue가 소비되지 않도록 설정

2) 방화벽 또는 서비스거부공격 대응 장비를 통해 동일 클라이언트의 SYN 요청에 대해 임계치(Threshold) 설정으로 과도한 연결 요청을 차단한다.

3) First SYN Drop설정을 통해 클라이언트로 부터 전송된 첫 번째 SYN 요청은 DROP하여 재요청 패킷이 도착하는지 확인하는 방법으로 대부분의 공격이 다량의 SYN요청만 할 뿐 재전송을 수행하지 않는 점을 이용한다.

4) Backlog queue의 크기를 늘린다 (X) 임시적인 조치일뿐 대규모 공격 발생 시에는 순식간에 Backlog queue가 꽉 차기 때문에 추천하지 않는 방법.

5) SYN+ACK에 대한 대기 시간을 줄인다. (X) 대기 시간을 너무 줄일 경우에는 정상요청에 대해서도 문제가 발생할 여지가 있다.

 

4.[정보보안일반/접근권한] 다음의 접근통제 정책에 대해 빈칸 (A), (B), (C) 각각에 알맞은 용어를 기술하시오.

( A ) : 객체의 소유자가 권한을 부여한다. 접근하는 사용자에게 권한을 추가. 삭제 할 수 있다.

( B ) : 객체에 대한 접근은 주체의 보안등급에 기반하여 접근을 제한한다.

( C ) : 주체에게 할당된 역할에 기반하여 객체에 접근을 제한한다.

 

(A) : DAC, (B) : MAC, (C) : RBAC

▶DAC : 주체가 속해 있는 그룹의 신원에 근거하여 객체에 대한 접근을 제한하는 방법으로 객체의 소유자가 접근여부를 결정한다. 구현이 쉽고 권한 변경의 유연함이 있다. 하나의 주체마다 객체에 대한 접근권한을 부여해야하는 불편함

▶MAC : 비밀성을 갖는 객체에 대하여 주체가 갖는 권한에 근거하여 객체에 대한 접근을 제어하는 방법으로 관리자만이 정보자원의 분류를 설정하고 변경하는 방법

▶RBAC : 주체와 객체의 상호관계를 통제하기 위하여 역할을 설정하고 관리자는 주체를 역할에 할당한 뒤 그 역할에 대한 접근 권한을 부여하는 방식

 

 

5.[침해사고분석 및 대응/Snort] “/administrator” 라는 문자열이 포함되어 있는 경우 “Web Scan Detected”란 메시지 로깅을 위한 Snort rule은 각각 무엇인가?

alert tcp any any -> 192.168.0.1 ( A ) ( ( B ) :  “/administrator; ( C ): “Web Scan Detected”;)

 

(A) 80 (B) content (C) msg

(A)는 목적지 포트를 의미함

(B)는 데이터부 검색할 문자열 지정하는 옵션

(C)는 메시지 로깅시 이벤트 명을 지정하는 옵션

Snort 규칙 헤더 및 옵션 정보 (Snort Rule Header & Option Information) - KOROMOON

 

6.[정보보안법규/ISMS] 다음 보기에서 설명하는 용어는 무엇인가?

(    )는 정보보호의 목적인 정보자산의 기밀성, 무결성, 가용성을 실현하기 위한 절차와 과정을 체계적으로 수립, 문서화 하고 지속적으로 관리 운영하는 시스템이다. 조직에 적합한 정보보호를 위해 정책 및 조직수립, 위험관리, 대책구현, 사후관리 등의 관리과정을 정리하고 이를 통해 구현된 여러 정보보호 대책들을 유기적으로 통합한다.

각 조직은 조직이 가지고 있는 취약점을 찾아내고 이를 보완하기 위하여 정보보호 요구사항에 따라 필요한 통제방안들을 적절히 선정하여 효율적인 (    )를 구현한다.

 

정보보호관리체계 ISMS( Information Security Management System) 

정보 통신 서비스 제공자가 정보 통신망의 안정성 및 신뢰성을 확보하여 정보 자산의 기밀성, 무결성, 가용성을 실현하기 위한 관리적, 기술적 수단과 절차 및 과정을 체계적으로 관리, 운영하는 체계

 

7. [어플리케이션보안/XSS] 다음은 OWASP TOP10 2013 중에서 어떤 공격을 설명하고 있는가?

(   )는 어플리케이션이 신뢰할 수 없는 데이터를 가져와 적절한 검증이나 제한 없이 웹 브라우저로 보낼 때 발생한다. (   )는 공격자가 피해자의 브라우저에 스크립트를 실행하여 사용자 세션 탈취, 웹 사이트 변조, 악의적인 사이트로 이동할 수 있다.

 

크로스 사이트 스크립트 (XSS)

 

8.[정보보안법규/정보보호 5단계 과정] 정보보호관리체계에서 관리적 요구사항 절차에 맞게 순서를 배열하시오.

조직에 적합한 정보보호를 위해 정책 및 조직수립, 위험관리, 대책구현, 사후관리 등의 정보보호관리과정을 정리하고 이를 통해 구현된 여러 정보대책들이 유기적으로 통합된 체계(정보보호관리체계)를 갖추었는지 제 3자의 인증기관(한국인터넷진흥원 등)을 통해 객관적이고 독립적으로 평가하여 인증기준에 대한 적합 여부를 보증해 주는 제도이다. 정보보호관리체계 인증의 인증심사기준은 정보보호 5단계 관리과정 요구사항 12개 통제사항, 정보보호대책 13개 분야 92개 통제사항 등 총 104개의 통제사항으로 구성되어 있다.

① 사후관리

② 위험관리

③ 경영진 책임 및 조직구성

④ 정보보호정책 수립 및 범위설정

⑤ 정보보호대책 구현

④ 정보보호정책 수립 및 범위설정 - ③ 경영진 책임 및 조직구성 – ② 위험관리 - ⑤ 정보보호대책 구현 – ① 사후관리

 

9. [네트워크보안/TearDrop]다음은 어떤 공격기법에 대한 설명인가?

헤더가 조작되어 일련의 IP 패킷조각(Fragment)들을 전송함으로써 공격이 시작된다. 공격자가 패킷을 Fragment할 때 정상적으로 하지 않고 데이터 일부가 겹치거나 일부 데이터를 포함하지 않고 다음 패킷으로 Fragment하여 전송하면 수신자는 패킷 재조합을 수행할 때 부하가 발생하게 된다. 이 공격이 성공할 수 있는 원인은 윈도우 및 Linux 시스템의 IP 패킷 재조합 코드 버그에 있었으나 현재 대부분의 시스템에서는 IP 패킷의 재조합 시 0보다 작은 패킷에 대한 처리 루틴이 포함되어 있어 이러한 공격에 대해 방어하고 있다.

 

TearDrop 공격

1) IP 패킷의 재조합 과정에서 잘못된 Fragment offset정보로 인해 수신시스템에 문제가 발생하도록 하는 DoS 공격

2) 공격자는 IP Fragmetn offset값을 서로 중첩되도록 조작하여 전송한다. 그리고 이를 수신한 시스템이 재조합하는 과정에서 오류가 발생하며 시스템 기능이 마비되는 공격 패턴이다.

<대응책>

OS의 보안패치를 적용하여 OS 취약점을 해소한다.

<참고>

▷Tiny Fragment : IP헤더 보다 작은 Fragment를 만들어 방화벽 등을 우회하여 내부 시스템에 침입하는 공격(DoS공격이 아닌 패킷필터링 장비를 우회하는 공격이다.)

▷Fragment Overlap : IP Fragment의 offset값을 조작해 서비스 포트 필드를 중첩시켜서 재조합이 되고 나면 방화벽 등에서 허용하지 않는 서비스에 접근 가능하게 만드는 공격(DoS공격이 아닌 패킷필터링 장비를 우회하는 공격이다.)

 

10. [정보보안일반/위험관리] 다음에서 설명하고 있는 보호대책은 무엇인가?

① 사업의 목적을 달성하기 위하여 위험을 낮추는 것을 의미한다.

② 위험이 존재하는 프로세스나 사업을 수행하지 않고 포기한다.

③ 보험이나 외주 등으로 잠재적 위험은 제3자에게 이전하거나 할당하는 것을 말한다.

※ 보안기사 1회는 실무형 문제로 출제

①: 위험감소, ②: 위험회피, ③: 위험전가

▷ 위험수용 : 현재의 위험을 받아들이고 잠재적 손실 비용을 감수하는 것을 말한다. 어떠한 대책을 도입하더라도 위험을 완전히 제거할 수는 없으므로, 일정 수준 이하의 위험은 어쩔 수 없는 것으로 인정하고 사업을 진행하는 것이다.

 

서술형

 

11. [네트워크보안/무선랜 보안] 무선랜 보안에 대한 기능이다. 다음 지문에 답하시오.

① MAC주소는 크게 두 부분으로 나누어진다. 두 부분을 구분하여 설명하시오.

② 무선랜에서 사용하는 MAC address Filtering 기법을 설명하고 장단점을 설명하시오

③ MAC address Filtering을 우회하는 공격기법을 설명하시오.

 

① 상위 24bit는 제조사(Vendor) 식별자로 사용되고, 하위 24bit는 해당 제조사에서 부여한 일련번호로 사용된다. 상위, 하위를 합쳐서 고유한 식별 주소가 된다.

② MAC 주소 필터링은 무선랜 접속을 허용할 단말의 MAC 주소를 무선 AP에 사전 등록하여 등록된 단말에 대해서만 접속을 허용해주는 인증방식이다.

장점 : 접근제어 방식이 간단하고, 기본적인 공격을 효과적으로 방어할 수 있다.

단점 : 공격자가 정상 단말 MAC 주소로 위조하여 쉽게 무력화가 가능하다.

③ 공격자는 자신의 접속 요청이 제한되고 있는 것을 확인하고 정상사용자와 무선AP 사이 트래픽을 분석하여 정상 사용자의 MAC 주소를 알아낸다. MAC 주소를 알아냈으면, 자신의 MAC주소를 정상 사용자의 MAC주소로 위조하여 접속을 재요청하게 되고 무선 AP는 정상 사용자의 접속 요청으로 인식하고 접속을 허용한다.

 

12. [어플리케이션보안/캐쉬서버] 관리자는 웹쇼핑몰 시스템 관리자로 캐시서버와 웹서버를 관리하는 업무를 수행하고 있는데, 패킷저장로그 분석하다가 다음과 같이 네트워크 패킷이 초당 수 천 개씩 서버에 전송되는 것을 확인했다. 다음을 보고 각 질문에 답하시오.

GET /test.jsp Host 10.10.10.25 User Agent : chrome Referer : http://www.test.com/index.jsp  -----① Cache-control : max-age = 0   -----②

1) ①, ②의 HTTP 헤더 값이 의미하는 바를 기술하시오

2) 이를 응용한 공격 경로와 영향을 기술하시오

1) ① : Referer 헤더는 링크를 통해 페이지에 접근할 경우 해당 링크를 가지고 있는 페이지의 URL을 의미함.

(EX A라는 페이지에서 링크 클릭 후 B라는 페이지에 접근하면 A라는 페이지가 Referer가 된다.)

② : Cache-Control 헤더의 max-age = 0의 의미는 캐시서버의 캐시 된 entry에 대해서 원본서버로 유효성 검증을 다시 하라는 의미다. 유효성 검증을 다시 한다는 것은 캐시에 저장되어 있는 파일이 fresh한 상태라 해도 원본서버에 있는 파일과 동일성 유무를 무조건 체크하라는 의미이다.

2) 타깃 호스트(192.168.159.131)의 abc.asp 페이지에 대한 요청은 공격자 웹서버의 페이지(Referer인 http://www.test.com/index.jsp)를  들어왔고, Cache-Control 헤더에 max-age = 0 지시자를 설정하여 무조건 원본서버에 abc.asp페이지에 대한 유효성을 검증하도록 하여 캐시서버를 무력화시키고 원본서버에 부하를 발생시키는 공격이다. 

 

<참고>

Cache-Control : no-cache

웹서버 요청 시 Cache-Control 헤더에 no-cache 지시자를 지정하면 캐시서버의 캐시 된 entry가 fresh 한 상태라도 원본서버로부터 무조건 다시 읽어서 응답하라는 의미이다.

max-age = 0는 웹서버(원본서버)에 있는 파일과 캐시에 저장되어 있는 파일의 동일성 유무를 체크하는 것이고, no-cache의 경우에는 무조건 웹서버(원본서버)에서 읽어 응답한다는 차이점이 있다.

https://withbundo.blogspot.com/2017/08/http-19-http-i-cache-control-connection.html

 

 

13. [침해분석사고 및 대응/재난복구서비스] 재난복구서비스의 분류를 5가지 이상 나열하고 특징을 설명하시오.

 

Mirror Site - 주센터와 동일한 수준의 정보기술 자원을 원격지에 구축

- Active-Active 상태로 실시간 동시 서비스 제공

Hot Site - 주센터와 동일한 수준의 정보기술 자원을 원격지에 구축하여 Standby 상태로 유지 ( Active-Standby )

- 주센터 재해시 원격지 시스템을 Active 상태로 전환하여 서비스 제공

- 데이터는 동기적 또는 비동기적 방식의 실시간 미러링을 통하여 최신상태로 유지

Warm Site - 중요도 높은 정보시스템만 부분적으로 재해복구센터에 보유

- 데이터는 주기적 (약 수시간~1일) 으로 백업

Cold Site - 데이터만 원격지에 보관하고, 이의 서비스를 위한 정보자원은 확보하지 않거나 장소 등 최소한으로만 확보

- 재해시 데이터를  근간으로 필요한 정보자원을 조달하여 정보 시스템의 복구 개시

- 주센터의 데이터는 주기적(수일~수주)으로 원격지에 백업

자체운영 기관 자체의 인력으로 재해복구 시스템을 운영

공동운영 두 개 이상의 기관이 재해복구 시스템의 운영인력을 상호 공유

위탁운영 재해복구시스템의 운영을 민단 IDC 운영자 등 외부의 다른 기관에 위탁

 

실무형

14.[네트워크보안/VPN] 다음 주어진 상황을 참조하여 질문에 답하시오.

사내 보안담당자는 예산문제로 인하여 과거에 사용했던 VPN장비를 재사용하기로 하였다. 구축 후 다음과 같은 증상이 있었다. - IPsec의 ESP모드로 연결하면 이상이 없지만 AH모드로 사용 시에만 연결에 문제가 발생되었다. - 사내 네트워크는 NAT를 통하여 사설 IP가 사용되고 있었다. -이후 IPSEC 모듈 업그레이드 후 문제가 발생하지 않았다.

1) 현재 상황에 비추어 볼 때 문제점은 무엇인가?

2) 이 상황에서 pre_shared key를 사용하여 다른 장비와 연결하고자 한다. 이에 대한 장점과 단점을 기술하시오.

1) ESP모드와 달리 AH모드에서는 IP헤더정보(immutable한 헤더)까지 포함해서 인증을 수행하는데, 사내 네트워크가 NAT환경이라 송신시점의 IP정보가 NAT가 되어 수신시점에는 변경된 IP정보를 담고 있는 IP헤더를 검증하게 된다. 즉 송신시점의 인증값과 수신시점의 인증값이 달라져서 연결에 문제가 발생했다. 구버전의 IPsec모듈의 경우 이러한 헤더의 변경되는 필드에 대한 인증값 예외처리가 정상적으로 이루어지지 않아서 문제가 발생한 것이며 버전 업데이트 이후에는 이런 부분에 대한 처리가 적절히 이루어져 문제가 발생되지 않았다.

2) PSK는 상대방을 인증하기 위하여 사전에 공유하는 비밀키로 IKE 단계에서 사용된다. 양 당사자 간에 동일한 키를 가지고 인증을 함으로써 간단하게 상호인증을 수행할 수 있지만 통신의 대상이 많을 경우 키 관리의 어려움이 존재하며 악의적인 공격자가 키 파일을 가로채면 보안상 심각한 문제가 발생할 수 있다.

 

15.[네트워크보안/Slowloris공격] 다음은 HTTP 웹서버에 로그인 접속이 안 된다는 연락을 받고 보안관리자가 HTTP 관련 네트워크 패킷을 캡처한 내용이다. 이 패킷은 동일한 출발지를 가진 IP로부터 지속적으로 발생되고 있었고, 네트워크 관리 도구를 모니터링 한 결과 많은 양의 트래픽을 짧은 시간에 전송한 것은 아니다.

 

(해당 패킷)

GET / HTTP1.1

Host:www.admin.com

User-agent : Mozila/4.0 (compatible; MSIE 7.0; window NT 5.1; Trident/4.0; .NET CLR 3.5.30729; MSOffice 12)

Content-length : 42

Hacker : 19432

Hacker : 27532

Hacker : 31250

Hacker : 29258

Hacker : 28225

1) 어떤 유형의 공격인가? 

2) 해당 공격으로 어떤 영향을 받는가? 

 

1) Slow HTTP Header DoS(Slowloris) 공격

2) Slowloris공격은 서버로 전달할 HTTP Header 정보를 비정상적으로 조작한 다수의 요청을 주기적으로 발생시켜 웹서버가 헤더 정보를 완전히 수신할 때까지 다수 연결을 유지하도록 하여 웹서버의 연결자원을 소진시켜 다른 클라이언트의 정상적인 연결(서비스)을 방해하는 서비스 거부 공격이다.

HTTP 프로토콜의 경우 헤더부의 끝을 표시하기 위해 마지막 헤더 필드 다음 라인에 Empty Line(개행문자)을 추가하는데, 위 패킷을 보면 의미 없는 Hacker 헤더 필드만을 계속 전송하면서 Empty Line을 추가하지 않아 웹서버가 요청헤더정보를 완료되지 않아서 연결을 계속 유지하게 된다. 서버가 연결 상태를 유지할 수 있는 가용량은 한계가 있어서 임계치를 벗어나면 더 이상의 연결요청을 받을 수 없다.

 

16.[정보보안법규/개인정보보호법] 개인정보보호법에 따르면 공공기관의 장은 대통령령으로 정하는 기준에 해당하는 개인정보파일의 운용으로 인하여 정보주체의 개인정보 침해가 우려되는 경우에는 그 위험요인의 분석과 개선사항 도출을 위한 영향평가를 수행하고, 그 결과를 보호위원회에 제출하도록 되어 있다. 개인정보 영향평가의 대상에 관해 대통령으로 정한 기준을 서술하시오.

 

개인정보보호법 시행령

법 제33조제1항 "대통령령으로 정하는 기준에 해당하는 개인정보파일"이란 개인정보를 전자적으로 처리할 수 있는 개인정보파일로 다음 각 호의 어느 하나에 해당하는 개인정보파일을 일컫는다.

1. 구축 • 운용 또는 변경하려는 개인정보파일로서 5만명 이상의 정보주체에 관한 민감정보 또는 고유식별정보의 처리가 수반되는 개인정보파일

2. 구축 • 운용 또는 변경하려는 개인정보파일로서 100만명 이상의 정보주체에 관한 개인정보파일

3. 구축 • 운용하고 있는 개인정보파일을 해당 공공기관 내부 또는 외부에서 구축 • 운용하고 있는 다른 개인정보파일과 연계하려는 경우로서 연계 결과 50만명 이상의 정보주체에 관한 개인정보가 포함되는 개인정보파일

4. 법 제33조제1항에 따른 개인정보 영향평가를 받은 후에 개인정보 검색체계 등 개인정보파일의 운용체계를 변경하려는 경우 그 개인정보파일. 이 경우 영향평가 대상은 변경된 부분으로 한정한다.