[정보보안기사 4회] 실기 기출문제

1. [침해사고 분석 및 대응/CVE] 다음은 CVE 취약점 표기 방식이다. 다음의 질문에 답하시오
CVE-2014-6628
1) 2014가 의미하는 것은?
2) 6628가 의미하는 것은?
 

1) 해당 취약점 리포팅 연도

2) 취약점 번호

CVE는 공개되어 있는 정보보안 취약점 및 노출에 대한 식별 정보를 제공함. 과거 각 업체별 또는 소프트웨어별로 각각 관리되던 보안버그나 취약점들을 통합해서 관리한다는 의미가 있으면 미국의 비영리단체인 MITRE사에 의해 시스템이 관리되고 있다.

 
2. [어플리케이션 보안/OWASP] OWASP는 오픈소스 웹 애플리케이션 보안프로젝트 기구다. 주로 웹에 관한 정보노출, 악성 파일 및 스크립트, 보안 취약점등을 연구하며 3년 마다 10대 웹 애플리케이션의 취약점을 발표한다. 다음에서 언급하고 있는 내용은 어떤 취약점을 설명하고 있는 것인가?

1) 신뢰할 수 없는 데이터가 명령어나 질의문의 일부분으로서 인터프리터로 보내질 때 발생한다. 공격자의 악의적인 데이터는 예상하지 못하는 명령을 실행하거나 적절한 권한 없이 데이터에 접근하도록 인터프리터를 속일 수 있다. 2) 신뢰할 수 없는 데이터를 가져와 적절한 검증이나 제한 없이 웹 브라우저로 보낼 때 발생한다. 공격자가 피해자의 브라우저에 스크립트를 실행하여 사용자 세션 탈취, 웹 사이트 변조, 악의적인 사이트로 이동할 수 있다. 3) 로그온 된 피해자의 취약한 웹 애플리케이션에 피해자의 세션 쿠키와 기타 다른 인증정보를 자동으로 포함하여 위조된 HTTP 요청을 강제로 보내도록 하는 것이다. 이것은 공격자가 취약한 애플리케이션이 피해자로부터의 정당한 요청이라고 오해할 수 있는 요청들을 강제로 만들 수 있다.

 

1) Injection, 2) XSS, 3) CSRF

XSS는 악성 스크립트가 삽입된 컨텐츠(게시판 등)에 사용자 접근 시 해당 스크립트가 사용자 측(웹 브라우저)에서 실행되어 사용자 정보(개인정보 등)가 공격자에게 노출되거나 악성코드에 감염되는 등의 취약점

CSRF는 악의적으로 조작된 서비스 요청정보(비밀번호 변경 등)를 담은 스크립트가 삽입된 컨텐츠에 사용자가 접근 시 해당 사용자의 권한으로 의도하지 않은 조작된 요청을 서버에 전송하도록 하는 취약점

 
3. [정보보안법규/개인정보보호법] 다음 빈칸의 (A),(B),(C) 각각에 적절한 내용을 기술하시오.
개인정보보호법 제17조(개인정보의 제공)에 의하면 개인정보처리자는 정보주체의 개인정보를 제3자에게 제공할 때는 다음의 사항을 정보주체에게 알리고 동의를 받도록 하고 있다.

1. (A) 2. 개인정보를 제공받는 자의 개인정보 이용 목적 3. (B) 4. 개인정보를 제공받는 자의 개인정보 보유 및 이용기간 5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 (C) 이/가 있는 경우에는 그 (C)의 내용

(A) 개인정보를 제공받는 자

(B) 제공하는 개인정보의 항목

(C) 불이익

 
4. [정보보안법규/위험분석의 종류] 위험분석 및 평가 수행 시 대상 조직의 보안요구사항, 가용자원, 규모 등을 고려하여 적절한 접근방식을 선택해야 한다. 다음의 빈칸 각각에 적절한 용어를 기술하시오.
 
(A) :  모든 시스템에 대해 보호의 기본 수준을 정하고 이를 달성하기 위해 일련의 보호대책을 선택하는 방식, 시간과 비용이 많이 들지 않고 모든 조직에서 기본적으로 필요한 보호대책의 선택이 가능한 접근방식
(B) : 정형화된 방법을 사용하지 않고 전문가의 지식과 경험에 따라서 위험을 분석하고 작은 조직에 적합한 비용 효과적인 접근 방식
(C) : 자산의 가치를 측정하고 자산에 대한 위협의 정도와 취약성을 분석하여 위험의 정도를 결정하는데 전문적인 지식, 시간과 노력이 많이 소요되는 접근 방식
(D) : 보안전략을 빠르게 구축할 수 있고 상대적으로 시간과 노력을 효율적으로 활용할 수 있지만 적용대상을 명확하게 설정하지 못함으로써 자원의 낭비가 발생할 수 있는 접근 방식
 

(A) 기준선 접근법(Baseline Approach) : 기준 문서, 실무 규약, 업계 최선 실무를 이용하여 시스템에 대한 가장 기본적이고 일반적인 수준에서의 보안 통제 사항들을 구현하는 것을 목표로 한다.

(B) 비정형화된 접근법(Informal Approach) : 정형화되고 구조화된 프로세스를 사용하는 대신에, 분석을 수행하는 개개인들의 지식과 전문성을 활용한다. 이 들 각각은 전문가일 수도 있고 외부 컨설턴트일 수도 있다.

(C) 상세 위험 분석(Detailed risk analysis) : 모든 중요한 위험들이 식별되고, 그로 인한 영향이 고려되는 것을 보장한다. 단점은 시간, 자원, 분석 수행에 필요한 전문성 측면에서 비용이 많이 든다. 분석에 소요되는 시간 때문에 시스템에 따라서는 적절한 수준의 보안을 제공하는데 시간 지연이 발생할 수 있다.

(D) 통합된 접근법(Combined Approach) : 고위험 영역을 식별하여 고위험 영역은 상세 위험분석을 수행하고, 다른 영역은 기준선 접근법을 사용하는 방식. 비용과 자원을 효과적으로 사용할 수 있으며 고위험 영역을 빠르게 식별하고 적절하게 처리할 수 있다는 장점이 있어 많이 사용된다. 그러나 고위험 영역이 잘못 식별된 경우 위험분석 비용이 낭비될 수 있다.

5. [정보보호일반/위험관리] 다음 빈칸에 알맞은 단어를 적으시오
( A ) : 조직의 자산에 대한 위험을 수용할 수 있는 수준으로 유지하기 위하여 자산에 대한 위험을 분석하고 이러한 위험으로부터 자산을 보호하기 위해 비용대비 효과적인 보호대책을 마련하는 일련의 과정
( B ) : 조직은 정보자산의 식별 후에 식별된 정보자산에 영향을 줄 수 있는 모든 위협과 취약성, 위험을 식별하고 분류하여야 하며, 이 정보자산의 가치와 위험을 고려하여 잠재적 손실에 대한 영향을 식별 분석해야 한다.
( C ) : 위협에 대응하여 자산을 보호하기 위한 물리적, 기술적, 관리적 대응책을 말한다.
 

(A) 위험관리 (B) 위험분석 (C) 위험대응

 
6. [어플리케이션 보안/Web proxy] 다음에서 설명하고 있는 것은 무엇인가?
(A) 툴은 웹을 이용한 해킹 공격에 가장 활발히 사용되는 도구로 클라이언트가 요청한 HTTP Request, Response 정보를 중간에서 가로채 필터링을 우회하거나 서버에 전송되는 데이터를 조작해 허가되지 않은 곳에 정보를 훔쳐보거나 변경, 삽입 등을 가능하게 한다.  대표적인 툴로는 ‘paros’ 와 ‘burp suite’등이 있다.

(A) Web proxy

 
7. [침해사고분석 및 대응/IDS] 다음은 어떤 보안시스템에 대한 설명이다 빈칸 각각에 적절한 용어를 기술하시오.
(A)는 공격자로부터 침입을 자동으로 탐지하므로 보안관제를 위해 필수적인 시스템이다. 그러나 (A)의 탐지 오류로 인해 네트워크의 감시체계가 무너질 수 있다는 우려도 있다. 탐지오류는 (B)와 (C)로 구분되는데, 시그니처 기반의 시스템에서는 (B)가 높은 것이 문제가 되며, 행위 기반 시스템에서는 (C)가 높은 것이 문제가 된다.

(A) IDS(침입탐지시스템) (B) 미탐(False negative) (C) 오탐(False positive)

▶미탐 : 공격행위를 탐지하지 못하는 것으로, 시그니처 기반 탐지 시스템의 경우 알려진 시그니처 외의 공격에 대해서는 탐지를 못하는 "미탐"이 문제가 된다.

▶오탐 : 공격행위가 아닌 것을 공격으로 잘못 탐지하는 것을 의미한다. 행위 기반 탐지 시스템의 경우 충분한 통계적인 임계치가 설정되지 않으면 "오탐"이 다수 발생하여 문제가 된다.

 
8. [네트워크보안/TCP Scan] 다음 5개의 스캔 방법 중 포트가 닫혀있을 때만 응답이 오는 스캔 방식만을 고르시오.

SYN Scan, FIN Scan, XMAS Scan, NULL Scan, Decoy Scan.

FIN, XMAS, NULL

▷ SYN 스캔의 경우 포트가 닫힌 경우 RST 응답이 오지만, 포트가 열린 경우에도 SYN+ACK 응답이 온다.

▷ Decoy Scan은 스캔을 당하는 타켓 호스트에서 스캐너가 주소를 식별하기 어렵도록 실제 스캐너 주소 외 다양한 위조된 주소로 스캐닝하는 방식을 말함.

 
 
9. 다음은 Telnet으로 웹 서버를 호출하는 방법이다. 아래와 같은 결과가 나오려면 빈칸 (A)에 적절한 명령어를 쓰시오.

$telnet 127.0.0.1 80 Trying 127.0.0.1... Connected to. 27.0.0.1. Escape character is '^]'. ( A ) *  HTTP/1.0 HTTP/1.1 200 OK Date: Tue, 31 Oct 2006 08:00:29 GMT Server: Microsoft-IIS/5.0 Content-Length: 0 Allow: GET, HEAD, POST, TRACE, OPTIONS Connection: close

(A) OPTIONS

HTTP요청에 대한 응답 헤더를 보면 Allow 헤더가 포함되어 있다. Allow 헤더는 서버에서 지원해 주는 메소드 리스트를 담고 있는 헤더로 HTTP 메소드 중 OPTIONS 메소드를 이용해 요청 시 응답으로 내려준다. 보안상 해당 서버에서 지원 가능한 HTTP 메소드 정보 자체가 취약점이 될 수 있으므로 OPTIONS 메소드는 허용하지 않도록 설정한다.

 
 
10. [시스템보안/BOF] 다음은 BOF(버퍼오버플로우) 공격이가능한 소스 중 일부분이다. BOF를 방지하기 위한 소스로 수정하시오.

1 2 3 4 5 int main(int argc, char *argv[]){ char buff[1024]; if(argc > 1) { strcpy(buff, argv[1]); } printf( "buffer %s\n" , buffer); }

입력값의 크기를 체크하지 않는 strcpy() 함수를 사용하여 스택 버퍼 오버플로우 취약점이 있다. 취약점 제거를 위해서는 입력값 크기를 제한하는 strncpy() 함수를 사용하거나 코딩 시 입력값 크기를 검사해야 한다.

▶strcpy(char *dst, const char *src) : src 문자열을 dst 버퍼에 저장한다. src 문자열의 길이를 체크하지 않기 때문에 버퍼 오버플로우가 발생할 수 있다.

▶strncpy(char *dst, const char *src, size_t len) : src 문자열의 len 만큼을 dst 버퍼에 저장한다. src 문자열의 길이를 제한하기 때문에 버퍼 오버플로우에 안전하다.

<다른 방법>

1 2 3 4 5 int main(int argc, char *argv[]){ char buff[1024]; if(argc > 1) {   if(strlen(argv[1]) >= sizeof(buffer) {    fprintf(stderr, "bad \n");    exit(1); } strcpy(buff, argv[1]); } printf( "buffer %s\n" , buffer); }

▶argv [] 매개변수 : C 언어에서 main 함수를 통해 전달되는 매개변수는 argv 포인터배열틀 통해 받음.
                               argv [0]은 프로그램명, argv [1]은 첫 번째 매개변수
▶sizeof(피연산자) : 피연산자의 크기를 반환한다.

 
 
 

서술형

 
11. [네트워크보안/VPN] VPN을 구성할 때 사용하는 프로토콜 중 (1) 2계층에서 사용하는 프로토콜, (2) 3계층에서 사용하는 프로토콜, (3) 3계층에서 사용하는 2가지 방식과 각 방식의 연결 구간 및 보호하는 영역에 대하여 서술하시오.

(1) PPTP , L2TP , L2F

(2) IPsec

(3)

Transport Mode(전송 모드)

- 송수신을 수행하는 양 종단 간에 연결된다.

- 전송계층의 데이터(IP Payload)를 보호한다.

Tunnel Mode(터널 모드)

- IPsec을 지원하는 보안/터널 게이트웨이(라우터, VPN장비 등) 간에 연결된다.

- IP패킷 전체(IP header + IP Payload)를 보호한다.

 
12. [네트워크보안/WPA] 공격자가 WPA 해킹 시 사용했던 명령어이다. 다음의 각 질문에 답하시오

airodump-ng –c 0 –bssid E8:00:43:47:A1:AB:CD –w wpa mon0 ------ (가) aireplay-ng -0 –a E8:00:43:47:A1:AB:CD –c 00:CD:53:A1:80:CA:E0 mon0 ------ (나) aircrack-ng –w pw.lst –b [( A )] *.cap -----(다)

 
1) 구문 (가)에서 bssid "E8:00:43:47:A1:AB:CD"는 어떤 장비를 가리키나?
2) 구문 (나)에서 "-c" 옵션의 의미에 대해 설명하시오
3) 구문 (다)에서 "pw.lst"는 무엇인가?
4) 구문 (다)의 빈칸 (A)에 들어갈 내용은 무엇인가?

1) 타겟 무선 AP의 MAC주소

2) 타겟 무선 AP에 연결되어 있는 스테이션의 MAC주소

3) 패스워드 크래킹을 하기 위한 사전파일

4) 타겟 무선 AP의 MAC주소, E8:00:43:47:A1:AB:CD

 
13. [어플리케이션보안/Blind SQL Injection] 다음 로그에서 나타나는 공격을 보고 물음에 답하시오.

mysql> select table_schema, table_name, column_name from information_schema.columns where table_name='download';

table_schema	table_name	column_name
alpha_db	download	number
alpha_db	download	name

mysql> select substr(( select column name from information_schema.columns where table_name='download' limit 0,1),1,1); n l row in set(0.00 sec)

 
1) 어떤 공격 기법이 사용되었는가?
2) 해당 공격 기법의 특징 대해서 설명하시오
3) 공격의 결과에 대해 설명하시오
 

1) Blind SQL Injection

2) 조건절의 참/거짓 결과에 따른 응답 차이점을 이용한 공격기법으로 참/거짓 결과에 따른 웹서버의 응답을 통해 원하는 DB 데이터를 추출하는 원리

3) 공격자는 limit를 통해 출력행을 하나씩 증가시키켜 사용자가 만든 테이블 타입의 테이블 정보 row를 하나씩 추출하고 한 row에 대해 그 테이블명을 알기 위해 테이블명 컬럼을 substring하여 한 글자씩 비교하면서 테이블을 완성해나간다. 결과적으로 공격자는 information_schema.tables에 저장되어 있는 사용자가 만든 테이블 타입의 테이블명을 알아낼 수 있다. 해당 공격의 수행 결과

사용자가 만든 download 테이블의 column을 substring하여 "number"의 "n"이 추출되었다.

▷ substr(문자열, pos, len) : 문자열을 pos부터 len 만큼 잘라낸다.(pos는 1부터 시작)

▷ limit off, len : 출력 레코드 개수를 제한하는 함수, off는 0부터 시작, len은 개수를 의미한다. 즉 limit 0,1은 첫 번째부터 1개의 레코드를 의미한다.

▷ information_schema.tables : 데이터베이스에 있는 모든 테이블정보를 가지고 있는 테이블

실무형

 
14. [정보보안법규/개인정보 안전성 확보 조치 기준] 조직의 정보보호계획 수립을 위해서는 국가의 정보보호 관련 법률 및 규정을 준수하기 위한 법령검토가 필요하다. 개인정보와 관련한 개인정보보호법 및 시행령을 살펴보면 업무를 목적으로 개인정보파일을 운용하는 개인정보처리자의 경우, 개인정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 필요한 기술적·관리적 및 물리적 조치를 취하도록 규정하고 있다. 개인정보처리자가 취해야 할 개인정보 안전성 확보 조치 기준에 대해 기술적, 관리적, 물리적 조치로 구분하여 기술하시오
 

1. 관리적 조치

개인정보의 안전한 처리를 위한 내부 관리계획의 수립·시행

2. 기술적 조치
개인정보에 대한 접근 통제 및 접근 권한의 제한 조치개인정보를 안전하게 저장·전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치개인정보에 대한 악성프로그램 방지 프로그램 설치 및 갱신개인정보 유출 등 개인정보 침해사고 방지를 위한 관리용 단말기의 안전조치개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위조·변조 방지를 위한 조치

3. 물리적 조치
개인정보의 안전한 보관을 위한 시설 또는 잠금장치 설치 등 물리적 조치 및 위기대응 절차수립개인정보처리자는 개인정보를 파기할 경우 규정에 따라 조치하여야 한다.

15. [침해사고 분석 및 대응] 다음 보기는 시그니처 기반의 보안 장비 대부분이 적용하고 있는 PCRE(Perl Compatible Regular Expression) 적용 문법이다. 아래의 보기 표현은 장비에 부하를 발생시킬 수 있다. 다음 물음에 답하시오

alert tcp any any -> any any (pcre:"/POST. *Content\x2dLength\x3a\x20evilstring/";)

1) 해당 Rule은 어떤 문제점을 가지고 있는가?
2) 해결방안은 무엇인가?
 

1) 시그니처의 목적지 주소 및 포트를 보면 any , any로 설정되어 있다. 모든 주소 및 포트를 목적지로 하는 패킷 즉, 모든 패킷을 검사하겠다는 의미이므로 장비에 많은 부하를 발생시킨다.

2) 시그니처를 보면 HTTP POST 요청에 대한 헤더정보를 검사하고 있다. HTTP 서비스를 제공하는 IP주소 및 PORT 정보를 파악해서 해당 IP주소 및 PORT 정보를 시그니처의 목적지 IP주소 및 PORT에 설정하도록 하여 장비의 부하를 줄일 수 있다.

 
16. [정보보안법규/자산가치] 컨설턴트 사는 정량적 위험분석 방법을 통해 다음 회사의 연간예상손실액 등을 산정해야 한다. 다음 내용을 참고하여 각각의 질문에 답하시오

이 회사의 위험분석 대상 위협 요인은 화재다. 통계적으로 이 회사는 5년에 한번씩 화재가 발생하여, 전체 회사 자산인 40억의 30%에 해당하는 손해가 발생한다고 한다. 이에 대해 5천만원을 상당의 비용을 들여서 소방 방재 시설을 설치 하고, 화재 발생시 10억원을 지급하는 연간 수수료 1억원의 보험에 가입하였다.

1) 자산 가치, 노출 계수, 단일예상손실액, 연간 발생율 및 연간예상손실액을 계산하시오
2) 이 회사의 대책은 위험처리 방안 중 어떤 유형인지 두 가지를 기술하시오

1)

1. 자산 가치(AV) : 40억

2. 노출 계수(EF) : 30%(0.3)

3. 단일예상손실액(SLE) : AV * EF (40억 * 0.3) = 12억

4. 연간발생률(ARO) : 1/5 = 0.2

5. 연간예상손실액(ALE) : SLE * ARO (12억 * 0.2) = 2.4억

▶ 자산가치(AV:Asset Value) : 정량적 방식에서 자신의 가치는 금액으로 평가된다.

▶ 노출계수(Exposure Factor) : 특정 자산에 특정 위협이 발생했을 때 자산에 끼칠 수 있는 손실 비율로 백분율로 표시함

▶ 단일예상손실액(SLE:Single Loss Expectancy) : 특정 자산에 위협이 발생하여 자산에 끼칠 수 있는 예상 손실액(1회 손실액)을 말한다.

▶ 연간예상손실액(ALE:Annual Loss Expectancy) : 특정 자산에 위협이 발생할 확률을 고려하여 예상할 수 있는 연간 손실액을 말한다.

▶ 연간발생률(ARO:Annual Rate of Occurrence) : 1년 동안 특정 자산에 특정 위협이 발생할 수 있는 예상 빈도수를 말한다.

▷ROI(Return On Investment)는 일정 기간의 투자금으로 발생하는 이익의 비율로 나타내는 것으로 프로젝트 우선순위를 결정하는 지표 중 하나다.  [연간 ROI = ( 영업이익 / 투자금) * 100]

 

2)

1. 5천만원 상당의 소방 방재 시설을 설치한 것은 위험을 감소시키는 대책이므로 위험 감소(Risk Reduction)에 해당된다.

2. 화재 발생 시 10억 원을 지급하는 연간 수수료 1억 원의 보험에 가입하기로 결정한 것은 위험의 잠재적 비용을 제3자에게 전가하는 위험 전가(Risk Transfer)에 해당된다.