정보보안기사 실기 6회

1. TCP 스캔을 수행 중이다. 각 경우에 알맞은 Flag 를 기술하시오.

1) TCP Open Scan 시 포트가 닫힌 경우 공격자가 (A) flag를 송신하면 수신 호스트는(B) flag를 응답한다. ​2) TCP Half-Open Scan 시 포트가 열린 경우 공격자가 (C)flag를 송신하면 수신 호스트는 (D) 를 응답하고, 공격자는 다시 (E) flag를 송신하여 연결을 끊는다.

정답:

(A) SYN

(B) RST + ACK

(C) SYN

(D) SYN + ACK

(E) RST

 

2. SNMPv3 에서 다음 보안 매개변수(msgSecurityParameters) 설정을 통해 방지 가능한 공격에 대해서 답하시 오.

보안설정 파라미터	방지 가능한 공격
msgAuthoritativeEngineID	(A)
msgAuthoritativeEngineBoots
msgAuthoritativeEngineTime
msgUserName	(B)
msgAuthenticationParameters
msgPrivacyParameters	(C)

정답: (A) 재전송 공격 방지 (B) 메시지 위변조 공격 방지 (C) 도청/스니핑 공격 방지

 

3. 다음은 아래 DNS 관련 로그에 나타난 이 공격을 막기 위한 라우터 ACL 설정 명령어이다. (A), (B) 를 기술하시오.

10-Feb-2016 13:21:41.757 queries: info: client 10.10.100.27#12451: view external: query: test.com IN ANY + (10.10.100.1) 10-Feb-2016 13:21:41.897 queries: info: client 10.10.100.27#32282: view external: query: test.com IN ANY + (10.10.100.1) 10-Feb-2016 13:21:42.054 queries: info: client 10.10.100.27#18676: view external: query: test.com IN ANY + (10.10.100.1) 10-Feb-2016 13:21:42.059 queries: info: client 10.10.100.27#20630: view external: query: test.com IN ANY + (10.10.100.1) 10-Feb-2016 13:21:42.193 queries: info: client 10.10.100.27#14893: view external: query: test.com IN ANY + (10.10.100.1) 10-Feb-2016 13:21:42.204 queries: info: client 10.10.100.27#14893: view external: query: test.com IN ANY + (10.10.100.1)

# access-list 1 deny ( A ) any any eq ( B )

​

정답: (A) udp (B) 53

​

[해설] 동일 IP (10.10.100.27) 에서 포트를 바꾸어가며 지속적으로 DNS 질의를 하고 있다. 레코드 타입이 모든 정보를 출력하도록 하는 ANY 인 것으로 보아 트래픽 부하를 고의적으로 유발시키는 공격임을 알 수 있다.

---

4. 다음은 netstat -rn 명령을 수행한 결과이다. (A), (B), (C) 호스트로 ping 명령을 수행 시 라우팅 되는 게이트웨이 아이피는 무엇인가?

 

 

(A) 10.0.160.100

(B) 10.0.122.64

(C) 10.0.192.100

​

정답:

(A) 10.0.160.1

(B) 10.0.160.2

(C) 10.0.160.5

​

[해설] 라우팅 테이블의 각 행을 아래와 같이 계산하여, 해당 Gateway 로 보낼 IP 주소의 범위를 구한다.

1) 라우팅 테이블 첫 번째 라인 : Genmask 가 255.255.255.255 이므로, 목적지 주소가 10.0.160.100 인 경우에만 Gateway 10.0.160.1 로 보낸다.

​

2) 라우팅 테이블 두 번째 라인 계산

목적지 주소 10.0.160.0 와 Genmask 255.255.255.0 를 각각 2진수로 변환

0000 1010 . 0000 0000 . 1010 0000 ​. 0000 0000

1111 1111 . 1111 1111 . 1111 1111 . 0000 0000

​

Genmask 가 1인 부분 → 네트워크 ID로 사용하는 비트

Genmask 가 0인 부분 → 호스트 ID로 사용하는 비트이므로,

​

구하고자 하는 IP 주소의 범위는,

0000 1010 . 0000 0000 . 1010 0000 . 0000 0000 부터

0000 1010 . 0000 0000 . 1010 0000 . 1111 1111 까지이다.

​

십진수로 변환하면, 10.0.160.0 ~ 10.0.160.255 이다.

​

3) 라우팅 테이블 세 번째 라인 계산

목적지 주소 10.0.64.101 와 Genmask 255.255.192.0 를 각각 2진수로 변환

0000 1010 . 0000 0000 . 0100 0000 . 0110 0101

1111 1111 . 1111 1111 . 1100 0000 . 0000 0000

​

구하고자 하는 IP 주소의 범위는,

0000 1010 . 0000 0000 . 0100 0000 . 0000 0000 부터

0000 1010 . 0000 0000 . 0111 1111 . 1111 1111 까지이다.

​

십진수로 변환하면, 10.0.64.0 ~ 10.0.127.255 이다.

​

4) 라우팅 테이블 네 번째 라인 계산

목적지 주소 10.0.128.100 과 Genmask 255.255.192.0 를 각각 2진수로 변환

0000 1010 . 0000 0000 . 1000 0000 . 0110 0100

1111 1111 . 1111 1111 . 1100 0000 . 0000 0000

​

구하고자 하는 IP 주소의 범위는,

0000 1010 . 0000 0000 . 1000 0000 . 0000 0000 부터

0000 1010 . 0000 0000 . 1011 1111 . 1111 1111 까지이다.

​

십진수로 변환하면, 10.0.128.0 ~ 10.0.191.255

​

5) 라우팅 테이블 다섯 번째 라인 계산

목적지 주소 10.0.63.1 과 Genmask 255.255.254.0 를 각각 2진수로 변환

0000 1010 . 0000 0000 . 0011 1111 . 0000 0001

1111 1111 . 1111 1111 . 1111 1110 . 0000 0000

​

구하고자 하는 IP 주소의 범위는,

0000 1010 . 0000 0000 . 0011 1110 . 0000 0000 부터

0000 1010 . 0000 0000 . 0011 1111 . 1111 1111 까지이다.

​

십진수로 변환하면, 10.0.62.0 ~ 10.0.63.255

​

6) 라우팅 테이블 여섯 번째 라인 : Default Gateway 가 10.0.160.5 임을 나타낸다. (C) 10.0.192.100 는 위 어느 경우에도 해당되지 않으므로, Default Gateway 인 10.0.160.5 로 내보내어진다.

 

5. UNIX시스템에서 (A) who, (B) last, (C) lastcomm 명령어를 수행 시 참조되는 로그파일명을 답하시 오.

​

정답: (A) utmp (B) wtmp (C) acct/pacct

 

6. root 원격 접속 제한하기 위한 (A) Solaris, (B) AIX, (C) Linux 각각 운영체제의 설정파일을 기술하시오.

정답: (A) /etc/default/login (B) /etc/security/user (C) /etc/securetty

 

7. 정보보호관리체계(ISMS)의 라이프사이클 4단계 (A), (B), (C)에 알맞은 용어를 작성하시오.

(A) (B) (C) 조치단계(Act)

정답: (A) 계획단계 (Plan) (B) 실행단계 (Do) (C) 점검단계 (Check)

 

8. 위험분석과 관련하여 (A), (B), (C)에 알맞은 용어를 작성하시오.

( A ) : 조직이 보호해야 할 대상으로써, 정보, 하드웨어, 소프트웨어, 시설 등을 말하며 관련 인력, 기업 이미지 등의 무형자산을 포함한다. ( B ) : 자산에 손실을 초래할 수 있는 원치 않는 사건의 잠재적 원인(Source)이나 행위자(Agent) ( C ) : 자산의 잠재적 속성이나 처한 환경으로 위협의 이용 대상으로 관리적, 물리적, 기술적 약점

정답: (A) 자산(Asset) (B) 위협(Threat) (C) 취약점(Vulnerability)

 

9. 다음 개인정보의 기술적, 관리적 보호조치 항목을 포함하는 것은 무엇인가?

1. 개인정보관리책임자의 자격요건 및 지정에 관한 사항 2. 개인정보관리책임자와 개인정보취급자의 역할 및 책임에 관한 사항 3. 개인정보 내부관리계획의 수립 및 승인에 관한 사항 4. 개인정보의 기술적·관리적 보호조치 이행 여부의 내부 점검에 관한 사항 5. 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항 6. 개인정보의 분실·도난·누출·변조·훼손 등이 발생한 경우의 대응절차 및 방법에 관한 사항

정답: 내부관리계획

​

[참고] 현재는 개인정보의 안전성 확보조치 기준이 바뀌어 아래와 같다.

제4조(내부 관리계획의 수립·시행) ① 개인정보처리자는 개인정보의 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 내부 의사결정 절차를 통하여 다음 각 호의 사항을 포함하는 내부 관리계획을 수립·시행하여야 한다.

1. 개인정보 보호책임자의 지정에 관한 사항

2. 개인정보 보호책임자 및 개인정보취급자의 역할 및 책임에 관한 사항

3. 개인정보취급자에 대한 교육에 관한 사항

4. 접근 권한의 관리에 관한 사항

5. 접근 통제에 관한 사항

6. 개인정보의 암호화 조치에 관한 사항

7. 접속기록 보관 및 점검에 관한 사항

8. 악성프로그램 등 방지에 관한 사항

9. 물리적 안전조치에 관한 사항

10. 개인정보 보호조직에 관한 구성 및 운영에 관한 사항

11.개인정보 유출사고 대응 계획 수립·시행에 관한 사항

12. 위험도 분석 및 대응방안 마련에 관한 사항

13. 재해 및 재난 대비 개인정보처리시스템의 물리적 안전조치에 관한 사항

14. 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항

15. 그 밖에 개인정보 보호를 위하여 필요한 사항

출처 : 개인정보의 안전성 확보조치 기준 [시행 2017. 7. 26.] [행정안전부고시 제2017-1호, 2017. 7. 26., 타법개정]

---

10. 다음에서 설명하고 있는 통제를 기술하시오.

( A )는 오류나 부정이 발생하는 것을 예방할 목적으로 행사하는 통제이다. 발생 가능한 잠재적인 문제들을 식별하여 사전에 대처하는 능동적인 개념의 통제이며, ( B ), ( C ) 등으로 나눌 수 있다. ( B )란 관계자 이외의 사람이 특정 시설이나 설비에 접근할 수 없게 하는 각종의 통제를 뜻하며, ( C )란 승인을 받지 못한 사람이 정보통신망을 통하여 자산에 대한 접근을 막기 위한 통제 방법이다.

정답: (A) 예방 통제 (B) 물리적 접근 통제 (C) 논리적 접근 통제

 

11. IPSec의 기능을 4가지 이상 기술하시오.

정답

데이터 기밀성: ESP 프로토콜의 payload 암호화를 통해 메시지가 제3자에 의해 도청되어도 그 내용이 노출되지 않음을 보장

비연결형 무결성: AH정보를 통해 비연결형 통신 데이터의 무결성 보장.

데이터 근원지 인증: 송신자와 수신자만 공유한 키를 통해 메시지 발송자가 송신자인지 식별및 인증 가능

재생공격보호: IPSec헤더의 Sequence Number 필드를 통해 재생 공격 방어

제한된 트래픽 흐름의 비밀성: 원본 IP 헤더 값을 암호화 시키는 경우 출발지/목적지 주소 은닉 가능

 

12. 위험분석모델 중 복합적 모델 접근방법의 장단점을 기술하시오.

정답

장점 : 비용과 자원을 효율적으로 사용할 수 있음. 고위험 영역을 빠르게 식별이 가능
단점 : 고위험 영역이 잘못 식별되었을 경우, 위험분석 비용이 낭비되거나 부적절하게 대응될 수 있음

 

13.  DNS 증폭 공격(DNS Amplification DDoS Attack) 중 IP기반 공격에 대해 설명하고 IP기반 공격을 사용하는 이유와 사용하는 레코드 type을 기술하시오.

정답

IP 기반 DNS 증폭 공격기법 : IP Spoofing 을 사용하여 출발지(Source) IP를 공격하고자 하는 희생자(victim)서버의 IP로 위조한 후 다수의 DNS 질의를 수행한다
공격기법 이유 : 공격자의 DNS 질의에 대한 응답 패킷을 IP Spoofing 된 희생자 서버가 수신하게되므로 서비스거부 공격 가능
DNS쿼리 타입 : ANY 혹은 TXT 레코드 타입
해당 레코드 타입 사용 이유 : any 또는 txt type의 경우 요청하는 패킷의 크기와 응답 패킷 크기가 비대칭적으로 응답 패킷 사이즈가 크기 때문에 적은 컴퓨팅 리소스로 효율적인 공격이 가능

 

14.  웹 서버에서 다음과 같은 SQL SELECT 문이 수행된다고 할 때 아래의 항목에 대해서 설명하시오.

SELECT password FROM user WHERE username='qfrankr'

1) 쿼리의 결과는 무엇인가?

2) 모든 사용자의 정보를 획득하기 위해 'qfrankr' 부분에 들어갈 예시를 작성하시오.

3) 위 예시가 가능한 이유는 무엇인가?

정답

qfrankr 사용자에 대한 패스워드 정보를 확인한다.
' or 'a'='a 또는 ' or '1'='1 등 조건절을 참으로 만드는 다양한 조건값이 가능.
조건절이 WHERE username='' or '1'='1'이 되므로 항상 결과가 참이 된다.

 

15. 다음은 공격상황의 패킷을 캡쳐한 결과이다. 그림을 보고 다음 물음에 답하시오.

 

 

1) 어떤 공격인가? 2) 어떤 현상이 발생하며, 그 이유는 무엇인가? 3) 대응 방법은 무엇인가?

정답

1) Slow HTTP Header DoS(Slowloris) 공격
2) 서비스가 느려지고 새로운 정상 접속요청이 거부된다.
요청 헤더 부분을 비정상적으로 조작, 불필요한 헤더정보를 천천히 지속적으로 전달하여 웹서버가 헤더 정보를 완전히 수신할 때까지 연결을 장시간 유지한다. 웹서버가 동시에 연결상태(HTTP 연결상태)를 유지할 수 있는 자원은 제한적이다. 즉 공격자에 의해 다수의 연결상태가 비정상적으로 지속되면 연결자원이 부족하여 정상적인 사용자의 서비스 접속이 어려워진다.
3) 공격자가 동시에 많은 연결상태(세션)을 유지하므로 이를 차단하기 위해 서버방화벽 등을 이용하여 동시 연결에 대한 임계치 제한을 설정한다.

 

16. 게이트웨이의 IP주소가 172.111.11.1이고 MAC주소가 11-22-33-44-55-66인 환경에서 다음 커맨드에 출력된 내용을 참고하여 어떤 유형의 공격인지 판단하고 판단 근거 및 대응방안을 서술하시오.

172.111.11.1 11-22-33-44-55-66 Dynamic

172.111.11.2 aa-bb-cc-dd-ee-ff Dynamic

172.111.11.3 11-22-33-44-55-66 Dynamic

172.111.22.2 xx-yy-zz-11-22-33 Dynamic

 

정답

공격유형 : ARP Spoofing
판단근거 : 172.111.11.3이 172.111.11.1과 같은 MAC 주소를 가지고 있다.
대응방안 : ARP cache Table 정보를 정적(static)으로 설정하여 ARP 프로토콜을 통한 변조가 발생하지 않도록 함.
ARP –s [게이트웨이IP] [게이트웨이MAC주소]