정보보안기사 16회 실기

[단답형]

1. /etc/shadow 파일에서 암호화된 패스워드 값의 맨 첫 번째 항목이 무엇을 의미하는지 기술하시오.

(답) 패스워드 암호화에 사용된 해시 알고리즘 (예: 1은 MD5, 5는 SHA256, 6은 SHA512)

* 점수를 주기 위한 문제이므로 반드시 맞춰야 합니다.

* 참고 : https://blog.naver.com/stereok2/221676302504

​

2. 다음 각 호의 업무를 총괄하는 사람은 누구인가?

1) 정보보호관리체계의 수립 및 관리/운영

2) 정보보호 취약점 분석/평가 및 개선

3) 침해사고의 에방 및 대응

4) 사전 정보보호대책 마련 및 보안조치 설계/구현

(답) 정보보호최고책임자(CISO)

* 점수를 주기 위한 문제이므로 반드시 맞춰야 합니다.

​

3. 기업의 정보호호에 대한 방향(목적, 활동 등)을 기술 및 솔루션과 독립적으로 가장 상위 개념으로 정의한 문서는 무엇인가?

(답) 정보보호정책(Policy)

​* 점수를 주기 위한 문제이므로 반드시 맞춰야 합니다.

​

4. 다음의 무선랜 보안 표준에서 사용하는 주요 암호화 알고리즘을 기술하시오.

1) WEP : ( A )

2) WPA : ( B )

3) WPA2 : ( C )

(답) RC4, TKIP, AES(CCMP)

* 점수를 주기 위한 문제이므로 반드시 맞춰야 합니다.

​

5. 엔드포인트 영역에 대한 지속적인 모니터링을 통해 행위 기반 위협 탐지 및 분석, 대응 기능을 제공하는 솔루션은 무엇인가?

(답) EDR(Endpoint Detection & Response)

* 문제가 명확하지 않아 EDR을 염두에 두고 작성했습니다. EDR의 경우 교재에도 포함되어 있으며, APT와 같은 지능형 지속 공격을 방어하기 위해 중요도가 높아지고 있는 솔루션 입니다. 화이트리스트 기반 프로세스 실행 관리, 취약점 스캔, USB 차단 등 다양한 기능을 가진 EDR 솔루션이 도입, 확산되고 있습니다.

​

6. TLS 1.3에 추가된 기능으로 세션키를 합의하는 핸드 셰이크 과정을 간소화하여 암호화 시간을 줄여주는 기능을 무엇이라고 하는가?

(답) 최초 세션 연결 시 1-RTT(Round Trip Time), 세션 재개 시 0-RTT

* SSL/TLS 관련 문제는 매회 출제되고 있습니다. 그러나, TLS 1.3은 교재에 포함되어 있지 않은 내용이며, TLS 1.2이 보편적으로 사용되는 상황에서 이 문제를 알고 대응 가능한 분들은 거의 없을 것으로 판단됩니다.

*참고 : https://blog.naver.com/n_privacy/221412043898

​

7. 프로그램에서 실행하는 시스템 콜을 추적할 수 있으며, 바이너리 파일에 포함된 컴파일 경로 정보를 통하여 프로그램을 진단하거나 디버깅할 수 있는 명령어는 무엇인가? 이 명령어를 통하여 트로이목마가 걸린 파일과 정상 파일을 구분할 수 있다.

( A ) -e trace=open ps |more

(답) strace

* 교재에 없는 내용이므로, 정답을 맞힌 분들이 거의 없을 것으로 판단됩니다. 실습환경에서 직접 명령어를 수행해 보시기 바랍니다.

*참고 : https://terms.naver.com/entry.nhn?docId=4125837&cid=59321&categoryId=59321

​

8. 다음이 설명하는 보안 솔루션(A)의 이름을 기술하시오.

- ( A ) 는 전사적 IT인프라에 대한 위협정보 들을 수집·분석·경보·관리하는 정보보호 통합관리 시스템이며 실시간으로 공신력 있는 대외 정보보호기관의 위협정보들을 수집·분석하여 정보보호관리자에게 제공함으로써 각종 보안위협으로 부터 사전 대응 및 예·경보 체계를 구축하고 이를 통해 APT 등 알려지지 않은 공격들에 대한 조기 대응을 유도한다.

- SIEM에서 위협 식별 후 ( A )에 쿼리를 요청하여 공격주체 식별이 가능하다.

​(답) TMS(Threat Management System)

* 솔루션 명칭을 묻는 문제였다면 TMS, 방법론을 묻는 문제였다면 TI 가 정답이 아닐까 생각됩니다. 지능형 공격 기법이 진화하면서 TI(Threat Intelligence, 위협 인텔리전스) 가 주목받고 있습니다. TI를 전문적인 서비스로 제공하는 기업이 등장하고 있으며, 수집된 정보로 상황을 분석하여 관련된 위협에 선제적으로 대응하는 전략이 중요해지고 있습니다.

​

9. ISO/IEC에서 정의한 위험 관리 모델은 위험 구성 요소들 간의 관계를 도표로 표현하고 있다. 괄호 안에 들어갈 용어를 기술하시오.

​

증가 -- 취약성 - 노출

↓ ↓

(A) -- 증가 → 위험 ← 증가 --- (B)

↑

보안대책 ----- (C)

(답) 위협, 자산, 감소

* 위험관리는 실기시험 단골 출제 문제이므로, 반드시 맞춰야 합니다.

​

10. 전송 계층 프로토콜인 UDP 기반으로 통신을 수행하는 경우 SSL/TLS와 유사한 보안 기능을 제공하는 프로토콜 명을 기술하시오.

(답) DTLS(Datagram Transport Layer Security)

* IoT 환경에서 사용되는 전송계층 경량 보안 프로토콜입니다. HTTP를 대체하는 COAP(Constrained Application Protocol)도 함께 알아두시기 바랍니다. 보안기사 교재에는 포함되어 있지 않은 내용이라, 대다수의 수험생분들이 맞추기 어려운 문제였습니다.

​

[서술형]

11. 쿠키에 설정되는 보안 기능과 관련하여 다음 각 물음에 답하시오.

(1) Secure 속성의 기능

(2) Secure 속성으로 대응 가능한 공격

(3) HttpOnly 속성 설정 시 쿠키 값

(4) HttpOnly 속성의 기능

(5) HttpOnly 속성으로 대응 가능한 공격

(답)

(1) Secure 통신(SSL/TLS)을 수행하는 경우에만 클라이언트에서 해당 쿠키 전송(쿠키의 기밀성 보장)

(2) 스니핑 공격을 통한 쿠키 정보 탈취에 대응 가능

(3) HttpOnly

(4) 웹브라우저에서 자바스크립트(document.cookie) 등을 통한 해당 쿠키 접근을 차단함

(5) 쿠키 탈취를 위한 XSS(Cross Site Scripting) 공격에 대응 가능

* 기사 시험에는 처음 출제된 것으로 보이나, 시중 수험서에 포함된 내용이며, 과거 산업기사에 출제된 적이 있는 문제입니다. 따라서, 본 문제에서 7점 이상 부분 점수를 획득하는 것이 당락에 중요한 영향을 줄 것으로 보입니다.

*참고1 : https://www.boannews.com/media/view.asp?idx=89842&kind=

*참고2 : https://owasp.org/www-community/HttpOnly

​

12. 디지털 포렌식 5대 원칙 중 3가지를 설명하시오.

(답)

1) 정당성 : 입수한 증거는 적법한 절차에 따라 수집된 것이어야 함. 위법한 절차(스니핑, 도청 등)를 거쳐 획득한 증거는 증거로서의 효력이 없음.

2) 재현성 : 획득한 증거는 동일한 조건에서 동일한 결과가 나와야 함. 수행할 때마다 다른 결과가 나온다면 증거로서의 효력이 없음(예: 시스템에서 삭제된 파일을 복구하는 경우)

3) 신속성 : 사건 발생 시 즉각적으로 신속히 대응 및 진행되어야 함. 특히 메모리에만 남아 있는 휘발성 정보(예:실행 중인 프로세스)는 대응이 지연되는 경우 적시에 확보하지 못할 가능성이 높아짐.

4) 연계보관성 : 증거의 수집, 이동, 분석, 보관, 제출의 각 단계가 명확한 책임하에 연계되어야 함. 각 단계별로 관여한 담당자, 책임자를 명시하는 것이 중요하며, 이를 통하여 포렌식 과정에서 문제 발생 시 추적이 가능함.

5) 무결성 : 수집한 증거가 위/변조되지 않고, 원본과 동일함을 증명할 수 있어야 함(예: 하드디스크 이미지 Hash 값). 포렌식 각 단계별로 무결성이 유지되고 있는지 매번 확인하는 것이 중요함.

* 교재에 포함된 내용이며, "정재신연무"로 암기가 필요한 필수 주제입니다. 포렌식 과정(수사준비-> 증거물 획득->보관 및 이송 -> 분석 및 조사 -> 보고서 작성)에서 포렌식 원칙이 지켜져야 합니다.

* 5가지 중 3가지를 선택하여 상세하게 설명해야 하며, 합격을 위해선 12점 이상 획득이 필요합니다.

​

13. 스팸 메일 방지를 위한 기술에 대하여 다음 물음에 답하시오.

1) SPF 적용 시 수신자 측에서 확인할 수 있는 항목

2) SPF 적용 시 수신 받은 메일의 정당성을 검증하는 방법

3-1) DKIM 에서 전자서명 주체

3-2) DKIM 에서 키 공유 방법

4) SPF와 DKIM을 혼합한 기법의 명칭

(답)

1) 메일에 포함된 발송자 정보(IP, 호스트명)가 실제 메일 발신 서버의 정보와 일치하는지 확인 가능(SPF에선 Mail Header가 아닌 Mail Envelop상의 발송자 주소만 검증. 2개 주소의 차이는 참고1 링크 참조)

2) 발송자의 DNS에 TXT 타입으로 등록된 SPF 레코드를 확인하여, 메일 발신자 IP가 SPF레코드에 포함되어 있는지 대조한다. 일치하지 않는 경우 발송자 주소가 조작된 것이므로, 수신 메일서버의 SPF 인증 정책에 따라 해당 메일 수신 여부를 결정한다.

3-1) 발신메일 서버

3-2) 공개키 암호화 방식을 사용하여 암호화 키를 교환함.

- 발신 서버에서 DKIM 키쌍(개인키, 공개키)을 생성한 후 공개키는 발신 도메인을 관리하는 DNS서버에 TXT 타입으로 등록함.

- 발신 서버의 개인키로 암호화한 전자서명 값이 메일 헤더에 포함되며, 수신 서버에서는 발송자의 DNS에 질의하여 등록된 공개키 값을 획득한 후 전자서명값을 복호화 하여 메시지 무결성 및 발신자 조작 여부 검증.

4) DMARC(Domain-based Message Authentication, Reporting & Conformance)

* SPF(Sender Policy Framework)와 DKIM(Domain Keys Identified Mail)의 경우 교재에 포함되어 있으나, DMARC(Domain-based Message Authentication, Reporting & Conformance)는 교재에 없는 내용입니다. DMARC는 실무 경험이 없는 경우 대응이 어려운 문항이었습니다. 아는 범위 내에서 7점 정도의 부분 점수를 획득할 수 있다면, 합격 점수 획득에 유리한 고지를 점령할 수 있는 문제였습니다.

*참고1 : https://blog.naver.com/netnsecu/221664657524

*참고2 : https://blog.naver.com/mailhoycom/221620299809

*참고3 : https://support.google.com/a/answer/2466580?hl=ko&ref_topic=2759254

​

[실무형]

14. 다음 2개의 취약한 코드와 관련하여 다음 물음에 답하시오.

[코드1]

<?xml version="1.0" encoding="ISO8859-1"?>

<!DOCTYPE foo

<!ELEMENT foo ANY

<!ENTITY xxe SYSTEM "file:///etc/passwd" >]>

<foo> &xxe ;</foo>

​

[코드2]

<?xml version="1.0" encoding="ISO8859-1"?>

<!DOCTYPE lols

<!ENTITY lol "lol">

<!ENTITY lol2 "&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;">

<!ENTITY lol3 "&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;">

.....

<!ENTITY lol9 "&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;">

]>

<lols>&lol9;</lols>

​

1) 코드1은 어떤 공격이 이루어진 것인가?

2) 코드1의 공격 원리는?

3) 코드2를 통한 공격 실행 결과는?

​

(답)

1) XXE(Xml eXternal Entity) Injection (XML 외부개체 주입 공격)

2) XML 문서에서 동적으로 외부 URI의 리소스를 포함시킬 수 있도록 외부 엔티티 참조가 허용되어 있는 경우, 주요 시스템 파일(/etc/passwd)에 접근하도록 URI 경로를 조작하여 중요 정보가 노출될 수 있다.

3) Entity에 다른 Entity를 계속 참조하도록 하여 "lol"문자열 처리에 많은 부하를 발생시켜 서비스 거부 공격(DOS)이 이루어지게 된다.

* OWASP Top 10 취약점에 포함된 XXE(XML eXternal Entity) 관련 문제입니다. 해당 취약점은 교재에 언급은 되어 있으나, 2가지 공격 타입에 대하여 정확하게 알고 있는 분들은 거의 없을 것으로 판단됩니다. 명확히 모르는 경우 15, 16번 문제를 선택하는 것이 점수 획득에 유리했을 것으로 보입니다.

​

15. 정보보호 위험평가 관련하여 다음 물음에 답하시오.

1) 2가지(A,B) 정보보호 대책 적용 시 위험 평가 결과표의 빈칸을 채우시오.

[A 적용시]

- AV(자산가치) = 100,000, EF(노출계수) = 0.2

- ARO (연간 발생 빈도) = 0.5

- SLE = ( 1 )

- ALE = ( 3 )

- 보호대책적용으로 감소한 ALE = 30,000

- 정보보호대책 운영 비용 : 17,000

- 정보보호대책 효과(가치) = ( 5 )

[B 적용시]

- AV(자산가치) = 100,000, EF(노출계수) = 0.8

- SLE = ( 2 )

- ALE = ( 4 )

- ARO (연간 발생 빈도) = 0.25

- 보호대책적용으로 감소한 ALE = 20,000

- 정보보호대책 운영 비용 : 4,000

- 정보보호대책 효과(가치) = ( 6 )

​

2) 위험 평가 결과를 참고하여, 2가지 정보보호 대책 중 적절한 대책을 선정하고, 선정 사유를 설명하시오.

​

(답)

1) 계산 결과

(1) 20,000 : AV(100,000) * EF(0.2)

(2) 80,000 : AV(100,000) * EF(0.8)

(3) 10,000 : SLE(20,000) * ARO(0.5)

(4) 20,000 : SLE(80,000) * ARO(0.25)

(5) 13,000 : 감소한 ALE(30,000) - 보호대책 운영 비용(17,000)

(6) 16,000 : 감소한 ALE(20,000) - 보호대책 운영 비용(4,000)

​

2) B가 상대적으로 효과적인 보호 대책임. 정보보호대책의 효과는 보호대책 적용에 따라 감소한 ALE(적용전 ALE - 적용후 ALE) 에서 보호 대책 운영 비용을 뺀 금액으로, +값이 될수록 효과적이라고 볼 수 있음. B의 효과가 16,000으로 A의 효과인 13,000보다 3,000이 높기 때문에, B를 선정하는 것이 타당함.

​

* 교재에도 포함되어 있고, 기출문제에서도 다루어진 문제입니다. 안정적인 합격을 위하여 최소 12점 이상 획득이 필요합니다.

​

16. OOO 공공기관의 개인정보흐름표에서 문제가 되는 사항 4가지를 찾아서 설명하시오.

[개인정보 흐름표 주요 내용]

1) 수집

- 수집항목 : 성명, 주민등록번호, 전화번호, 이메일

- 주민등록번호 수집 근거 : 정보주체의 동의

2) 저장

- 저장항목 : 성명, 주민등록번호, 전화번호, 이메일

- 암호화항목 : 주민등록번호

- 암호화알고리즘 : MD5

3) 제공 및 파기

- 제공항목 : 주민등록번호

- 제공방법 : DB 실시간 연동

- 암호화적용여부 : 평문전송

- 파기주기 : 영구보관

​

(답)

1) 주민등록번호 수집 근거 법령이 명시되어 있지 않고, 단순히 정보주체의 동의만 언급되어 있음.

2) 비밀번호 암호화에 안전하지 않은 알고리즘 사용(SHA2 이상 필요)

3) 주민번호 제3자 전송 시 평문으로 전송(암호화 전송 필요)

4) 개인정보 영구 보관(파기 주기 명시 필요)

[출처] 16회 정보보안기사 실기시험 문제 분석(모범 답안, 고득점 포인트)|작성자 온계절