정보보안기사 실기 15회

[단답형]

1. 웹 관련 취약점에 대하여 ( A), (B)에 들어갈 용어를 기술하시오.

( A ) 는 게시판, 웹 메일 등에 삽입된 악의적인 스크립트에 의해 페이지가 깨지거나 다른 사용자의 사용을 방해하거나 쿠키 및 기타 개인 정보를 특정 사이트로 전송시키는 공격이다. 점검을 위하여 다음과 같은 스크립트를 사용할 수 있다.

<script> ( B ) (document.cookie) </script>

(답) XSS, Alert

​

2. 웹 사이트에 로봇 Agent가 접근하여 크롤링 하는 것을 제한하는 파일명은 무엇인가?

(답) robots.txt

​

3. 서비스 거부 공격 관련하여 ( )에 들어갈 공격 기법을 기술하시오.

( A ) : 출발지와 목적지의 IP 주소를 공격대상의 IP주소와 동일하게 설정하여 보내는 공격

( B ) : 공격 대상자의 IP로 스푸핑된 IP를 소스로 하여 브로드캐스트 도메인으로 ICMP 메세지를 전송하는 공격

( C ) : 다수의 SYN 패킷을 전송하는 공격

(답) Land Attack, Smurf Attack, TCP SYN Flooding

​

4. Reflection 공격의 일종으로 1900번 포트를 사용하여 IoT 시스템을 공격하는 기법은?

(답) SSDP DRDoS

* SSDP(Simple Service Discovery Protocol)은 홈네트워크 미들웨어 표준인 UPnP에서 사용하는 프로토콜 입니다. UDP 1900 포트를 사용하며, 디바이스가 제공하는 서비스를 Advertisement(광고), Search(검색) 하는 용도로 사용됩니다. SSDP 프로토콜을 분산 반사 공격에 악용하는 경우 IoT 디바이스가 반사체가 되어 IoT 네트워크에 심각한 타격을 주게 됩니다.

​

5. 다음 ( )에 들어갈 용어를 기술하시오.

( A )는 오픈소스 IDS/IPS로 기존의 ( B )의 장점을 수용하고, 대용량 트래픽을 실시간으로 처리하는데 특화된 소프트웨어 이다.

(답) 수리카타(Suricata), 스노트(Snort)

* 멀티 쓰레딩, 하드웨어 가속 기능을 지원하므로 스노트보다 더 효율적이라는 평을 받고 있는 오픈소스 침입탐지소프트웨어 입니다. OISF(Open Information Security Foundatation) 재단에서 개발했습니다.

 

6. 개인정보의 안전성 확보조치 기준에 대하여 ( )에 들어갈 용어를기술하시오.

제8조(접속기록의 보관 및 점검)

① 개인정보처리자는 개인정보취급자가 개인정보처리시스템에 접속한 기록을 1년 이상 보관·관리하여야 한다. 다만, 5만명 이상의 정보주체에 관하여 개인정보를 처리하거나, ( A ) 또는 ( B ) 를 처리하는 개인정보처리시스템의 경우에는 2년 이상 보관·관리하여야 한다.

② 개인정보처리자는 개인정보의 오·남용, 분실·도난·유출·위조·변조 또는 훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 월 1회 이상 점검하여야 한다. 특히 개인정보를 다운로드한 것이 발견되었을 경우에는 ( C )으로 정하는 바에 따라 그 사유를 반드시 확인하여야 한다.

(답) 고유식별정보, 민감정보, 내부관리계획

​

7. TLS 연결을 SSL 3.0으로 낮춰 SSL 3.0 취약점을 이용하여 암호문을 해독하는 공격 기법을 무엇이라 하는가?

( ) 취약점은 SSL/TLS 협상 시 버전을 다운그레이드 시켜 SSLv30을 사용하게 한 후 중간자 공격을 통해 정보를 탈취하는 공격이다. CBC 모드를 사용하는 경우 패딩된 암호 블록이 MAC에 의해 보호되지 않는 취약점이다.

(답) POODLE(Padding Oracle on Downgraded Legacy Encryption) 공격

​

8. ISMS-P 인증 체계에 대하여 ( )안에 들어갈 명칭을 기술하시오.

 

 

( A ) : 과학기술정보통신부, 행정안전부와 함께 정책 협의회를 구성하는 기관으로 법, 제도 개선 및 정책 결정, 인증기관 및 심사기관 지정 업무를 수행

( B ) : 인증서 발급, 인증심사원 양성 및 자격관리 업무를 수행하는 기관

( C ) : 인증심사 결과에 대한 심의/의결을 수행하는 조직

(답) 방송통신위원회, KISA, 인증위원회

​

9. 자산 및 시스템의 위험을 평가하여, 수용 가능한 수준으로 위험을 완화하기 위한 대응책을 수립하는 일련의 과정을 무엇이라고 하는가?

(답) 위험관리

​

10. VPN 관련 프로토콜에 대하여 다음 ( )에 들어갈 프로토콜 명을 기술하시오.

( A) : 시스코사에서 개발한 터널링 프로토콜(데이터 링크층에서 캡슐화 가능)

( B) : MS, 3Com 등 여러 회사가 공동개발한 프로토콜

( C) : OSI 3계층에서 보안성을 제공해주는 표준 프로토콜

(답) L2F(Layer 2 Forwarding), PPTP, IPSec

​

[서술형]

11. 다음 패킷을 ESP 터널모드로 전송하는 경우 다음 물음에 답하시오.

[IP 헤더] [TCP 헤더] [데이터]

(1) ESP 터널모드로 전송시 추가되는 필드를 그림으로 도식화 하시오.

(2) 암호화되는 필드의 범위를 설명하시오.

(3) 인증되는 필드의 범위를 설명하시오.

(답)

(1) [New IP 헤더][ESP헤더][IP헤더][TCP헤더][데이터][ESP Trailer][ESP Auth]

(2) [IP헤더][TCP헤더][데이터][ESP Trailer]

(3) [ESP헤더][IP헤더][TCP헤더][데이터][ESP Trailer]

* IPSec은 실기 시험에 매회차 출제되는 단골 문제입니다. 문제에서 요구한 대로 추가되는 필드를 그림으로 도식화하고, 암호화 및 인증되는 필드를 명확하게 설명하면 14점 획득이 가능합니다.

​

12. 백도어가 설치되어 있는 것을 아래 보기로 확인하였으나, 해당 파일 경로로 가보니 파일이 존재하지 않았다.

[보기]

ls -al /proc/5900

exe -> 백도어경로(delete)

1) 백도어 파일 경로로 접속시 해당 프로세스가 보이지 않는 이유는?

2) 삭제된 백도어 프로세스를 /tmp/backdoor로 복원하는 명령어는?

3) 공격자가 사용한 명령어를 확인하는 방법은 무엇인가?(단, ps는 변조되어 사용 불가함)

(답)

1) 공격자가 백도어 프로세스를 실행 후 해당 파일을 삭제 했기 때문임.

2) cp /proc/5900/exe /tmp/backdoor

3-1) history : 공격자가 로그인 후 입력했던 명령어들과 명령어 뒤에 입력한 parameter까지 확인 가능

3-2) cat /proc/5900/cmdline : 공격자가 백도어 프로세스를 실행시 사용한 명령어 확인 가능

* 최대한 상세하게 각 질문에 대한 답변을 기술하는 것이 고득점의 포인트입니다. 공격자가 사용한 명령어를 확인하는 방법이라고 했기 때문에, lsof는 정답이 아닙니다. 물론 lsof를 이용하면 ps가 변조된 경우 숨겨진 프로세스를 확인할 수 있습니다만 명령어 확인은 불가합니다. lastcomm 의 경우 명령어 뒤의 parameter까지 확인은 불가하기 때문에, history명령이 좀 더 정답에 가깝지 않을까 판단됩니다.

* 추가적으로, cat /proc/5900/cmdline 을 실행하면 백도어 프로세스를 수행하기 위해 입력한 명령어 확인이 가능합니다. 공격자가 History 파일을 삭제했을 경우 참조합니다.

​

13. 정보통신망법에 적용을 받는 신생회사에서 비밀번호 작성 규칙을 수립하려고 한다. 개인정보의 기술적, 관리적 보호조치 기준에 따른 비밀번호 작성 규칙 3가지를 설명하시오.

(답)

1) 패스워드 복잡도 및 길이 : 영문, 숫자,특수 문자 중 2종류 이상 조합시는 10자리 이상, 3종류 이상 조합시는 최소 8자리 이상의 길이로 구성

2) 유추하기 어려운 비밀번호 사용 : 연속적인 숫자나 생일, 전화번호 등 추측하기 쉬운 개인정보 및 아이디와 비슷한 비밀번호는 사용하지 않을 것을 권고

3) 패스워드 유효기간 설정 : 비밀번호에 유효기간을 설정하여 최소 반기별 1회 이상 변경

​

[실무형]

14. 백업 스크립트 파일과 백업 결과 파일은 다음과 같다. 아래의 질문에 답하시오.

[백업 스크립트 파일]

#/bin/sh

tar -cvzf /data/backup/etc_$dat.tgz /etc/*

tar -cvzf /data/backup/home_$dat.tgz /home/*

[백업 결과 파일 권한]

rw-r--r-- root root /data/backup/etc_YYYYMMDD.tgz

rw-r--r-- root root /data/backup/home_YYYYMMDD.tgz

​

1) 백업 결과 파일의 권한을 검토하여 어떤 문제가 있는지 설명하시오.

2) 백업 스크립트 파일에서 umask 변경 후 백업 파일을 생성하고, umask를 원래대로 만드는 스크립트를 작성하시오.

3) operator 사용자만 백업 스크립트(/usr/local/bin/backup)를 사용하도록만드는 명령어를 기술하고, 해당 명령어에 대해 간단히 설명하시오.

(답)

1) root가 아닌 다른 계정들도 백업 파일을 읽을 수가 있음(특히, /etc 밑에는 /etc/passwd, /etc/shadow 와 같은 중요한 파일이 있어 기밀성이 보장되어야 함). 추가적으로, 백업 파일은 소유자도 기본적으로 변경이 불가하게 읽기 권한으로 설정 권고.

2) umask 266

tar -cvzf /data/backup/etc_$dat.tgz /etc/*

tar -cvzf /data/backup/home_$dat.tgz /home/*

umask 022

3) chown operator /usr/local/bin/backup : 소유주를 operator로 변경

chmod 700 /usr/local/bin/backup : 소유주만 스크립트에 대한 rwx가 가능하도록 권한 변경

​

15. 다음은 http request 메시지를 패킷 분석 tool로 캡쳐한 화면이다. 다음 물음에 답하시오.

 

 

1) 어떤 공격이 시도 되고 있는가?

2) 해당 공격이라고 판단한 근거를 구체적으로 설명하시오.

3) 공격에 대한 서버측 대응 방안 2가지를 설명하시오.

(답)

1) Slow HTTP Post DOS (Rudy)

2) 첫번째 화면에서 POST request에 대하여 콘텐츠 길이가 1000000이라는 큰 값으로 설정되어 있음.

두번째 화면에서 Post data를 1바이트씩 쪼개서 분할 전송하고 있으므로, 서버는 1000000바이트의
데이터가 모두 도착할 때까지 연결을 장시간 유지하므로 가용량을 소진하게 되어 다른 클라이언트로부터의 정상적인 서비스 요청을 처리 불가능한 상태로 빠지게 됨.

3-1) 연결 타임아웃(Connection Timeout) 설정 : 클라이언트와 서버간 세션 유지시간 초과시 연결 종료

3-2) 읽기 타임아웃(Read Timeout) 설정 : 지정한 시간내에 body 정보가 모두 수신되지 않으면 오류코드 반환

3-3) IPtables와 같은 서버 방화벽 설정 : 동일한 소스 IP에서 동시 연결가능한 개수의 임계치를 설정하여 초과시 차단

​

16. OOO 시의 어르신 교통카드 신청서 안내문에서 개인정보보호법에 위반되는 사항 4가지를 찾아서 설명하시오.

 

 

1) 개인정보 수집 및 이용 내역(필수) : 수집항목(주민등록번호 포함), 목적(본인확인), 기간(영구보관)

* 동의를 거부할 권리가 있다는 사실 및 동의 거부 시 불이익 명시함.

2) 제3자 제공 : 제공기관(유관기관), 제공내역(주민등록번호 포함), 제공목적, 기간(교통카드 만료시까지)

3) 위탁 : 위탁기관(OO신용카드), 위탁업무(교통카드발급업무)

4) 위 3가지 항목에 대하여 동의하는지 확인 요청

​

(답)

1) 주민등록번호 수집 및 3자 제공 불가(개인정보보호법 제24조의 2)

2) 개인정보 보관 기간이 영구로 설정

3) 제3자 제공 시 동의를 거부할 권리가 있다는 사실 및 거부에 따른 불이익에 대한 설명이 누락됨

4) 제3자 제공 기관의 명칭이 불분명하게 기술