관리 메뉴

Information Security

정보보안기사 17회 실기 본문

보안기사 실기

정보보안기사 17회 실기

HackingPractice 2021. 9. 23. 17:26
[단답형]
1. mimikaz 와 같은 툴로 메모리에 저장된 NTLM, LanMan 해시를 탈취하여 원격 서버 인증을 시도하는 공격 기법명을 기술하시오.
(답) pass the hash
* 시중 수험서에 없는 내용으로, 정답을 맞힌 분이 거의 없을 거라 예상됩니다.
2. DNS의 캐시 정보를 조작하여 가짜 사이트로 접속을 유도하는 공격 기법명을 기술하시오.
(답) DNS 캐시 포이즈닝
* 점수를 주기 위한 문제이므로 반드시 맞춰야 합니다.
3. 사이버 공격의 흐름을 분류하는 기준으로 사이버 킬 체인의 7단계를 확장하여 14단계로 구성된 모델명을 기술하시오.
(답) MITRE ATT&CK
* 록히드 마틴사에서 발표한 사이버 킬 체인은 시중 수험서에도 포함되어 있기 때문에 익히 알고 있겠으나, MITRE ATT&CK을 아시는 분은 거의 없을 거라 예상됩니다.
4. 공격자가 미리 확보해 놓은 로그인 자격증명(*ID, 패스워드)을 이용하여 사용자가 이용할만한 다른 사이트에 무작위로 대입하여 비인가 접속을 시도하는 공격기법명을 기술하시오.
(답) 크리덴셜 스터핑(Credential Stuffing)
* 신규로 출제된 문제이나, 미디어에 많이 알려진 공격 기법입니다. 오프라인 과정 진행시 소개해 드린 공격 기법이기도 합니다.
* 참고로, 딕셔너리 공격 기법은 비밀번호로 많이 사용되는 리스트를 만들어 그 안에 있는 패스워드를 모두 입력하는 방식입니다.
5. 취약점의 여러 가지 요소(코드베이스, 시간성(유효성), 악영향, 환경적 요소)를 고려하여 공격의 난이도와 피해 규모를 평가하고 점수화하는 보안 취약점 평가 기준을 무엇이라 하는가?
(답) CVSS(Common Vulnerability Scoring System)
* CVE, CWE와 더불어 반드시 알고 있어야 하는 용어로, Offline 강의 때 말씀드린바 있습니다. CVSS 점수는 취약점에 대한 패치 우선순위를 정하는 기준이 됩니다. 클라우드 컴퓨팅 보안 설정 관련된 CCE(Common Configuration Enumeration)도 참조하시기 바랍니다.
6. 침해사고 대응 7단계에서 다음 ( )에 들어갈 절차를 기술하시오.
* 사고 전 준비과정 > 사고 탐지 > ( ) > 대응 전략 체계화 > 사고 조사 > 보고서 작성 > 해결
(답) 초기 대응
* 수험서에도 있는 내용이고, Offline 강의 때 강조해서 설명드린 내용입니다.
7. 정보보호 관련 법령과 관련하여 ( )에 들어갈 용어를 기술하시오.
( A ) : 정보통신서비스 제공자등이 개인정보의 안전한 처리를 위하여 개인정보보호 조직의 구성, 개인정보취급자의 교육, 개인정보 보호조치 등을 규정한 계획
( B ) : 정상적인 보호,인증 절차를 우회하여 정보통신기반시설에 접근할 수 있도록 하는 프로그램이나 기술적 장치 등을 정보통신기반시설에 설치하는 방법으로 정보통신망 또는 이와 관련된 정보시스템을 공격하는 행위
( C ) : 정보통신망의 구축 또는 정보통신서비스의 제공 이전에 계획 또는 설계 등의 과정에서 정보보호를 고려하여 필요한 조치를 하거나 계획을 마련하는 것
(답)
( A ) : 내부관리계획
( B ) : 전자적 침해행위
( C ) : 정보보호사전점검
* 개인정보의 기술적관리적보호조치기준, 정보통신기반보호법, 정보통신망법에 담긴 용어의 정의를 물어보는 문제입니다. 3개를 모두 맞추기는 어려웠으리라 보입니다. 최소 1개(내부관리계획) 이상 맞춰 부분 점수를 1점이라도 획득해야 합니다.
8. 정보보호 관련 법령과 관련하여 ( )에 들어갈 용어를 기술하시오.
( A ): 전기통신설비를 이용하거나 전기통신설비와 컴퓨터 및 컴퓨터의 이용기술을 활용하여 정보를 수집ㆍ가공ㆍ저장ㆍ검색ㆍ송신 또는 수신하는 정보통신체제
( B ): 정보의 수집․저장․검색․송신․수신시 정보의 유출, 위․변조, 훼손 등을 방지하기 위한 하드웨어 및 소프트웨어 일체
( C ): 국가안전보장ㆍ행정ㆍ국방ㆍ치안ㆍ금융ㆍ통신ㆍ운송ㆍ에너지 등의 업무와 관련된 전자적 제어ㆍ관리시스템
(답)
( A ) : 정보통신망
( B ) : 정보보호시스템
( C ) : 정보통신기반시설
* 정보통신기반보호법, 정보통신망법에 담긴 용어의 정의를 물어보는 문제입니다. 3개를 모두 맞추기는 어려웠으리라 보입니다. 최소 2개(정보통신망, 정보통신기반시설) 이상 맞춰 부분 점수 2점을 획득해야 합니다.
9. ISO 27005에 포함된 위험평가(Risk Assessment) 절차와 관련하여 ( ) 에 들어갈 절차명을 기술하시오.
( A ): 잠재적인 손해 발생의 근원을 밝혀내기 위하여, 자산, 위협, 현 통제 현황, 취약점을 식별하는 단계
( B ): 시나리오별 영향 및 발생 가능성을 객관적, 주관적인 방법으로 분석하는 단계
( C ): 사전에 마련된 기준에 따라 분석된 위험 목록의 우선순위를 산정하는 단계
(답)
( A ) : 위험식별(Risk identification)
( B ) : 위험분석(Risk Analysis)
( C ) : 위험수준평가(Risk Evaluation)
* 위험관리는 실기시험 단골 출제 문제입니다. 그러나, 이번에 출제된 ISO 27005의 경우 수험서에 포함된 내용이 아니므로, 3개를 모두 맞춘 분은 드물 것으로 예상됩니다. 최소 1개(위험분석) 이상 맞춰 부분 점수를 1점이라도 획득해야 합니다.
10. 개인정보의 안전성 확보조치 기준과 관련하여 다음 ( )에 들어갈 용어를 기술하시오.
제2조(정의)
19. "접속기록"이란, 개인정보취급자 등이 개인정보처리시스템에 접속하여 수행한 업무내역에 대하여 개인정보취급자 등의 계정, (A), 접속지 정보, (B), 수행업무 등을 전자적으로 기록한 것을 말한다.
제8조(접속기록의 보관 및 점검)
(2) 개인정보처리자는 개인정보의 오남용, 분실, 도난, 유출, 위조, 변조 또는 훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 월 1회 이상 점검하여야 한다. 특히 개인정보를 다운로드한 것이 발견되었을 경우에는 ( C ) 으로 정하는 바에 따라 그 사유를 반드시 확인하여야 한다.
(답)
( A ) : 접속일시
( B ) : 처리한 정보주체 정보
( C ) : 내부관리계획
* 접속 기록은 출제가 예상된 문제였습니다. 내부관리계획의 경우 15회 실기와 동일하게 출제되었습니다. 최소 2개(접속일시, 내부관리계획) 이상 맞춰 부분 점수 2점 확보가 필요합니다.
[서술형]
11. 개인정보보호법에 규정된 가명정보와 관련하여 다음 물음에 답하시오.
(1) 가명처리의 정의
(2) 가명처리 4단계 중 3번째 단계의 이름
(3) 가명처리를 할 때 정보주체 동의 없이도 가능한 경우
(4) 가명정보를 사용할 필요가 없을 때 개인정보보호법에 해당되지 않는 ( ) 를 사용해야 함.
(답)
(1) 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것
(2) 적정성 검토 및 추가가명처리
(3-1) 통계작성: 특정 집단이나 대상 등에 관하여 작성한 수량적인 정보를 의미하며 시장조사와 같은 상업적 목적의 통계 처리도 포함
(3-2) 과학적 연구: 기술의 개발과 실증, 기초 연구, 응용 연구뿐만 아니라 새로운 기술·제품·서비스 개발 등 산업적 목적을 위해서도 수행이 가능하며, 민간 투자 연구, 기업 등이 수행하는 연구도 가능
(3-3) 공익적 기록보존: 공공의 이익을 위하여 지속적으로 열람할 가치가 있는 정보를 기록하여 보존하는 것을 의미하며, 공공기관뿐만 아니라 민간기업, 단체 등이 일반적인 공익을 위하여 기록을 보존하는 경우도 공익적 기록보존 목적이 인정됨.
(4) 익명정보
* 익명정보는 시간ㆍ비용ㆍ기술 등을 합리적으로 고려할 때 다른 정보를 사용하여도 더 이상 개인을 알아볼 수 없는 정보입니다. 데이터 3법이 개정된 지 1년이 지났고, MyData 사업이 본격화되면서 관련 법령을 물어보는 문제가 출제가 되었습니다. 정확히 알고 쓰신 분들은 거의 없을 것으로 판단됩니다. 최대한 아는 범위에서 답안을 작성하여 부분 점수 3~4점을 획득하려는 집중력이 중요한 문제입니다.
12. NAC의 물리적 구성 방법 두 가지와 특징을 설명하시오.
(답)
1) 인라인(In-Line) 방식
- 구성 방식 : Traffic이 흘러가는 경로(주로 NW edge 스위치와 Distribution 계층 사이)에 배치
- 특징 : NW의 물리적 재구성이 필요하고, 실시간 탐지 및 차단에 유리함. 장비의 고속 패킷 처리 능력이 중요하고 장애 발생 시 서비스에 영향을 미칠 수 있는 위험(SPOF:Single Point of Failure)이 있음
2) 아웃오브밴드(Out-of-band) 방식
- 구성 방식 : 스위치의 일반 Port 혹은 Mirroing Port를 통해 NAC 솔루션 연결
- 특징 : NW의 물리적 재구성이 필요 없어 구축이 용이함. 장애 발생 및 성능 이슈로 인한 서비스 영향은 없으나, 탐지 및 차단의 실시간성은 떨어짐.
* 교재에는 NAC 솔루션에 대한 물리적 구성 방식은 설명되어 있지 않지만, DB 접근제어 시스템 구성 방식은 설명되어 있습니다. 응용능력이 필요한 문제로 합격을 위하여 부분 점수 7~8점 획득이 필요합니다.
13. 정보보호최고책임자의 역할 및 책임을 4가지 이상 기술하시오.
(답)
1) 정보보호관리체계의 수립 및 관리ㆍ운영
2) 정보보호 취약점 분석ㆍ평가 및 개선
3) 침해사고의 예방 및 대응
4) 사전 정보보호대책 마련 및 보안조치 설계ㆍ구현 등
5) 정보보호 사전 보안성 검토
6) 중요 정보의 암호화 및 보안서버 적합성 검토
7) 그 밖에 정보통신망법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행
* 정보통신망법 제45조의 3(정보보호최고책임자의 지정 등)에 명시되어 있으며, 16회 실기시험 단답형에 나왔던 문제가 서술형으로 그대로 재출제 되었습니다. 8점 이상 획득이 필요하며, 기출문제 학습의 중요성을 다시 한번 일깨워준 문제입니다.
[실무형]
14. 다음 웹로그와 관련하여 다음 물음에 답하시오.
[웹로그]
192.168.0.10 - - [30/May/2021:10:10:10 +0900] "GET /script/..%c1%1c../winnt/system32/cmd.exe?/c+dir+c:\ HTTP/1.1" 404 180
1) 어떤 취약점을 이용한 공격인가?
2) 공격 성공 유무 및 판단 근거는?
3) 대응 방안 2가지는?
(답)
1) 유니코드 취약점을 이용한 원격코드실행 공격
2) 실패하였음. http response 값으로 404(Page not found)에러가 발생하였기 때문임.
3-1) 웹서버 패치 적용
3-2) IIS서버를 OS가 설치된 드라이브(C:)와 다른 곳(D: or E:)에 설치
3-3) 입력값 필터링
3-4) 화이트리스트 명령어 설정
3-5) IPS 탐지/차단 룰 설정
* 유니코드 취약점을 이용한 원격명령실행 공격입니다. 웹 취약점 관련하여 운영체제 명령 실행은 교재에도 포함되어 있으므로, 1번 문항을 정확히 맞추진 못하더라도 2번, 3번 문항에서 부분 점수 획득(7~8점)은 가능해야 합니다.
15. 다음 Snort 룰에 대하여 각 정책의 의미를 설명하시오.
[Snort Rule]
Alert any anry -> any 80 (msg:"GET Flooding";content:"GET /HTTP1.";content:"USER";content:!"anonymous";content:"|00|";depth:1;nocase;sid:1;)
1) msg: "GET Flooding" 의 의미는?
2) content: "GET /HTTP1." 의 의미는?
3) content:"USER";content:!"anonymous" 의 의미는?
4) content:"|00|";depth:1 의 의미는?
(답)
1) 설정된 2)~4)의 탐지 정책에 모두 일치하는 경우 로그에 "Get Flooding" 으로 기록
2) HTTP request에 "GET /HTTP1." 문자열이 포함되어 있는지 검사
3) 2)번이 끝난 위치에서 "USER" 문자열이 포함되어 있고, 그 뒤에 바로 "anonymous"가 포함되지 않은 문자열 검사
4) 3)번이 끝난 위치에서 1바이트를 확인하여 바이너리 값 00이 포함되어 있는지 검사
* 점수를 주기 위한 문제입니다. 특히, 탐지 정책에 !와 같은 부정 구문이 있는 경우 Not을 의미하므로, 유의해야 합니다. 14점 만점 획득이 필요합니다.
16. Apache 웹서버 설정 관련하여 다음 물음에 답하시오.
[Apache 설정]
<Directory />
Options FollowSymLinks
AllowOverride none
Require all granted
</Directory>
<Directory /var/www>
Options indexes FollowSymLinks
AllowOverride none
Require all granted
</Directory>
1) 위와 같이 설정했을 때 발생 가능한 두 가지 문제점은?
2) 두 가지 문제점에 대한 대응 방안은?
(답)
1-1) 디렉터리 인덱싱: 모든 디렉터리 및 파일에 대한 인덱싱이 가능하여 주요 웹서버의 주요 정보가 노출됨
1-2) 심볼릭 링크를 통한 디렉터리 접근: 웹에서 허용하는 디렉터리 외에 심볼릭 링크가 걸린 다른 디렉터리에 접근 가능함.
1-3) 상위 디렉터리 접근: ..와 같은 문자를 사용하여 상위 디렉터리로 이동함으로써 중요 파일 및 데이터에 접근 가능함
2-1) indexes 제거 또는 -indexes
2-2) FollowSymlinks 제거 또는 -FollowSymLinks
2-3) AllowOverride authconfig or AllowOverride all

'보안기사 실기' 카테고리의 다른 글

정보보안기사 18회 실기  (0) 2022.10.18
정보보안기사 16회 실기  (0) 2022.02.11
정보보안기사 실기 15회  (0) 2020.11.09
정보보안기사 실기 14회  (0) 2020.11.09
정보보안기사 실기 13회  (0) 2020.11.09