일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 | 31 |
- vulnhub
- kibana
- NTFS
- Suninatas
- CTF-d
- frida
- beebox
- Docker
- 파이썬
- diva
- 인시큐어뱅크
- foremost
- ctf
- MFT
- Strings
- Reflected XSS
- Openstack
- logstash
- base64
- InsecureBank
- XSS
- otter
- SQL Injection
- Volatility
- 2018
- igoat
- 안드로이드
- ESXi
- lord of sql injection
- elasticsearch
- Today
- Total
Information Security
정보보안기사 19회 실기 본문
[단답형]
1. 위험관리와 관련하여 ( )에 들어갈 용어를 기술하시오.
( A ) : ( B )로 부터 보호해야 할 대상
( B ) : ( A ) 에 손실을 발생시키는 원인이나 행위
( C ) : ( B ) 에 의하여 손실이 발생하게 되는 ( A )에 내재된 약점
(답) 자산, 위협, 취약점
* 위험 관리의 3요소는 기출문제와 교재에서 많이 다루어진 내용이고, 제가 오프라인 강의에서 매번 강조하는 토픽입니다. 직전 회차에도 출제된 바 있어, 반드시 맞춰야 합니다.
2. 네트워크 진입 시 단말과 사용자를 인증하고, 단말에 대한 지속적인 보안 취약점 점검과 통제를 통해 내부 시스템을 보호하는 솔루션을 무엇이라고 하나?
(답) NAC(Network Access Control)
* 교재와 기출문제에서 자주 다루어진 토픽이라, 반드시 맞춰야 합니다.
3. 여러 개의 프로세스가 공유자원에 동시에 접근할 때 접근하는 순서에 따라 비정상적인 결과가 발생하는 상황을 악용하는 공격기법을 무엇이라고 하나?
(답) Race Condition 공격
* 교재에서 기본적으로 다루어지는 공격 기법입니다. 점수를 주기 위한 문제이므로 반드시 맞춰야 합니다.
4. Victim의 MAC 주소를 위조하여 해당 IP로 전달되는 데이터를 중간에서 가로채기 하는 공격 기법을 무엇이라고 하나?
(답) ARP 스푸핑
* 13회 기출문제와 동일하게 출제되었습니다. 점수를 주기 위한 문제이므로 반드시 맞춰야 합니다. ARP 리다이렉션(Gateway의 MAC주소로 위조)과 ARP 스푸핑(Victim의 MAC 주소로 위조)의 차이점을 헷갈리면 안 됩니다.
5. IDS와 관련하여 ( )에 들어갈 용어를 기술하시오.
IDS는 네트워크의 패킷만 보고 공격을 탐지하는 ( A ) IDS와 서버에 직접 설치되어 관리자 권한 탈취 등으로 인해 발생되는 공격을 탐지하는 ( B ) IDS로 구분된다.
(답) 네트워크, 호스트
* IDS의 유형은 교재와 기출문제에서 자주 다루어진 토픽이라 반드시 맞춰야 합니다.
6. BCP(업무연속성 계획) 수립 시 장애나 재해 발생으로 업무 프로세스가 중단되는 경우 예상되는 재무적 손실, 외부 규제 요건 등을 고려하여 업무 중요도를 평가하고 이에 따른 RTO(목표 복구 시간), RPO(목표 복구 지점)를 결정하는 절차를 무엇이라고 하나?
(답) BIA(Business Impact Analysis, 업무영향도 분석)
* 문제가 명확하지 않아 BIA를 답으로 가정하고 문제를 복원했습니다. BIA는 BCP의 핵심 절차이며, 업무의 중요도와 이에 따른 목표 복구 기준(RTO, RPO)이 결정되게 됩니다.
7. Apache 로그와 관련하여 ( ) 에 들어갈 용어를 기술하시오.
Apache 서버의 로그파일은 정상적인 접속 로그가 기록되는 ( A ) 로그, 접속 에러가 기록되는 ( B ) 로그가 존재한다. 로그 파일의 경로를 확인할 수 있는 파일은 ( C ) 이다.
(답) Access, Error, httpd.conf
* 교재에서 다루어지는 토픽이므로 반드시 맞춰야 합니다. (C) 의 경우 문제에서 로그가 생성되는 경로가 아니라, 로그 파일의 경로 정보를 확인할 수 있는 파일을 물어봤다면 httpd.conf가 맞습니다. 문제에 대한 집중력을 잃지 않는 것은 아무리 반복해서 강조해도 지나치지 않습니다.
8. 필 짐머만에 의해 개발되었으며 PEM에 비해 보안성은 떨어지나, 이것을 실장한 프로그램이 공개되어 있어서 현재 가장 많이 사용되고 있는 이메일 보안 기술을 무엇이라 하나?
(답) PGP(Pretty Good Privacy)
* 교재에 있는 기본 토픽이므로 반드시 맞춰야 합니다.
9. ( ) 에 들어갈 용어를 기술하시오.
위험 평가 수행 시 자산을 식별하고, 식별된 자산의 가치를 평가하는 기준으로 CIA(기밀성, 무결성, 가용성) 측면을 고려하여 자산의 ( ) 를 산정한다.
(답) 중요도
* 문제가 명확하지 않아, 중요도가 정답인 것으로 가정하고 문제를 복원했습니다. 위험 평가 수행 시 자산의 중요도 산정은 아주 기본적이면서도 중요한 절차입니다. 자산의 중요도(등급)는 보안 통제의 우선순위를 정하는 Baseline이 되기 때문입니다.
10. 공격 대상이 이미 시스템에 접속되어 세션이 연결되어 있는 상태를 가로채는 공격 기법을 무엇이라고 하나?
(답) 세션 하이재킹
* 교재와 기출문제에서 자주 다루어진 공격 기법이므로, 반드시 맞춰야 합니다. 문제에서 TCP 연결 설정 과정이라는 문구가 나왔다면 TCP 세션
하이재킹, 웹 세션이라는 문구가 나왔다면 웹 세션 하이재킹이라고 쓰시면 됩니다..
[서술형]
11. 특수비트와 관련하여 다음 각 항목에 설정된 접근권한의 의미를 설명하시오.
1) -r-sr-xr-x root sys /etc/chk/passwd
2) -r-xr-sr-x root mail /etc/chk/mail
3) drwxrwxrwt sys sys /tmp
(답)
(1)/etc/chk/passwd 파일은 Owner의 실행권한이 s이므로 setuid 설정이 되어 있다. 따라서, 일반 사용자 계정으로 해당 파일을 실행하더라도 소유자인 root의 권한으로 실행된다.
(2) /etc/chk/mail 파일은 Group의 실행권한이 s 이므로, setgid 설정이 되어 있다. 따라서, 일반 사용자 계정으로 해당 파일을 실행하더라도 mail 그룹의 권한으로 실행된다.
(3) /tmp 디렉토리에는 모든 사용자가 읽기,쓰기, 실행이 가능하도록 777로 권한 설정이 되어 있으며, 추가적으로 Others의 실행 권한이 t이므로 sticky bit가 설정되어 있다. 따라서 /tmp 디렉토리에는 누구나 파일을 생성, 수정 및 읽기가 가능하나, 파일의 소유자 및 root 계정 외에는 삭제가 불가하다.
* 특수비트에 대하여 최대한 성의 있고 자세하게 설명을 해야 합니다. 교재에 있는 내용이며, 기출문제로도 자주 다루어졌기 때문에 12점 이상 획득해야 합니다.
12. 공공기관에서 개인정보처리 방침 수립 시 포함해야 할 사항을 4가지 이상 기술하고, 수립된 개인정보처리방침을 알리는 방법을 3가지 이상 기술하시오.
(답)
개인정보처리 방침 수립시 포함해야할 사항 4가지 이상
1. 개인정보의 처리목적
2. 개인정보의 처리 및 보유기간
3. 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만)
3의2. 개인정보의 파기절차 및 파기 방법
4. 개인정보처리의 위탁에 관한 사항(해당되는 경우에만)
5. 정보주체 및 법정 대리인의 권리, 의무 행사방법에 관한 사항
6. 개인정보보호책임자의 성명 또는 개인정보보호 업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처
7. 인터넷 접속파일 등 개인정보를 자동으로 수집하는 장치의 설치 운영 및 그 거부에 관한사항(해당되는 경우에만)
8. 그 밖에 개인정보의 처리에 대하여 대통령령으로 정한 사항
1) 처리하는 개인정보의 항목
2) 개인정보보호법 시행령 제30조 또는 제48조의 2에 따른 개인정보의 안전성 확보 조치에 대한 사항
알리는방법 3가지 이상
1. 개인정보처리자의 인터넷 홈페이지
2. 개인정보처리자의 사업장등의 보기 쉬운 장소에 게시하는 방법
3. 관보(개인정보처리자가 공공기관인 경우만 해당한다)나 개인정보처리자의 사업장등이 있는 시ㆍ도 이상의 지역을 주된 보급지역으로 하는 「신문 등의 진흥에 관한 법률」 제2조제1호가목ㆍ다목 및 같은 조 제2호에 따른 일반일간신문, 일반주간신문 또는 인터넷신문에 싣는 방법
4. 같은 제목으로 연 2회 이상 발행하여 정보주체에게 배포하는 간행물ㆍ소식지ㆍ홍보지 또는 청구서 등에 지속적으로 싣는 방법
5. 재화나 용역을 제공하기 위하여 개인정보처리자와 정보주체가 작성한 계약서 등에 실어 정보주체에게 발급하는 방법
* 개인정보보호법의 조항을 물어보는 문제로 정확하게 기술하기는 어려웠으리라 판단됩니다. 7점 정도의 부분점수를 획득할 수 있다면 선방한 것이라고 생각됩니다.
13. 아래의 로그와 관련하여 물음에 답하시오.
device eth0 entered Promiscuous mode
1) Promiscuous mode의 의미는?
2) 해당 모드로 진입 시 수행 가능한 공격은?
3) 공격에 대응할 수 있는 방법을 1가지 이상 설명하시오?
(답)
1) 네트워크 카드의 eth0 인터페이스로 들어오는 모든 패킷을 수신하게 됨(수신자가 eth0로 설정된 패킷이 아니더라도 Drop하지 않고 모두 읽게 됨)
2) 패킷 스니핑 공격
3-1) 통신 시 SSH, HTTPS 같은 암호화 통신 수행
3-2) ifconfig [인터페이스 명] -promisc 설정으로 무차별 모드 해제 (악의적인 목적을 가진 단말 소유자가 자신의 NIC을 무차별 모드로 설정했다면 유효한 대응 방법이 아님. )
3-3) 허브가 아닌 지능형 스위치 운용을 통하여 불필요한 브로드캐스팅 최소화
* 단순하게 무차별 모드를 해제하는 것만으로는 완벽한 대응방법이라고 볼 수 없습니다. 능동적 대응 방법인 암호화, 지능형 스위치 운용도 함께 고려되어야 합니다.
[실무형]
14.정보 자산의 구성도와 자산목록을 보고, 1) 자산 식별의 문제점 1개와 2) 보안 취약 문제점 1개를 설명하시오.
[구성도]
-인터넷과 내부망 사이에 방화벽을 통하여 DMZ zone을 구성하고 web서버, mail서버가 배치되어 있음
-web 서버 앞단에는 추가적으로 웹방화벽이 배치되어 있음.
-내부망 내에서도 방화벽을 통하여 업무망, VDI망, 서버망으로 Farm이 분리되어 있음
-서버망 내에 dns서버, db서버, was 서버, 개발 서버가 위치하고 있음
[자산목록]
- db서버 : OS(AIX 6.4), 호스트명(krserver1), 관리책임자(홍과장)
- was 서버 : OS(AIX 8.0), 호스트명(krserver1), 관리책임자(김부장)
- dns 서버 : OS(AIX 6.4), 호스트명(dns_srv), 관리책임자(홍대리)
- web 서버 : OS(Widnow 2003), 호스트명(web1), 관리책임자(김부장)
- mail 서버 : OS(Centos 7), 호스트명(krmail01), 관리책임자(김사원)
(답)
1) 자산식별 문제점 : 개발 서버가 자산 목록에서 누락되어 있음
- 자산 식별이 안된 호스트는 자산 중요도 산정, 위험 평가를 통한 보안 통제 적용의 사각지대에 놓이게 되므로 보안 위협에 쉽게 노출될 가능성이 높음.
2) 보안 취약 문제점 : db서버, dns서버, web서버가 EOS된 버전의 OS를 사용하고 있음.
- 취약점에 대한 패치가 불가하고, 이슈 발생 시 기술 지원이 불가하므로 업무 연속성에 문제가 발생할 가능성이 높음.
[참고: 기타 추가 문제점]
기타 #1) 개발서버와 운영서버가 동일한 서버망내에 위치함
- 관련 취약점 : 1) 개발서버에 존재하는 취약점(악성코드)이 운영서버로 쉽게 전파 가능, 2) 호스트내에서 tcp wrapper와 같은 ACL 통제 미적용 시, 개발서버와 운영서버간 jump host 를 통해 코드 무단 배포, 정보 유출 위험이 높아짐
기타 #2) DB서버와 WAS서버의 호스트명이 동일함
- 로그 모니터링 및 취약점 스캔 결과 확인 시 정확히 어떤 호스트에서 발생한 이벤트/취약점인지 식별하기 어려우므로 신속한 대응 및 조치가 불가함
* 문제 지문에 자산 식별의 문제점을 명시적으로 쓰라고 하지 않았다면 모르겠으나, 자산 식별의 문제점이 소문항 1이었고, 보안 취약점이 소문항 2였으면 답안도 동일한 순서로 기재되어야 합니다.
** 보안 취약문제점 관련하여 관리책임자가 성과 직급만 기술되어 있어 명확한 책임 소재 확인이 어려운 부분, IPS가 웹서버 앞 단에 배치되어 있지 않아 웹 공격에 취약한 부분도 언급해 주신 분들이 있었습니다. 사실 관계가 맞는다면 충분히 답안으로서 인정될 수 있는 부분이라고 생각됩니다.
*** 이번 시험에서 문제에 오타가 있었는데, 고사장마다 다르게 알려주어 혼선을 빚었던 것으로 알고 있습니다. 따라서, 답안 채점 시 이러한 사항을 고려하여 점수를 부여할 것으로 예상됩니다.
15. 파일 업로드 취약점 대응을 위한 .htaccess 파일 설정의 의미에 대하여 답하시오.
1) <FilesMatch \.(ph|lib|sh|)
Order Allow DENY
Deny From ALL
</FilesMatch>
2) AddType text/html .php .php1.php2.php3 .php4 .phtml
(답)
1) FilesMatch 지시자를 이용, .ph, .lib, .sh 등의 Server Side Script 파일에 대해서 직접 URL 호출 금지 (업로드된 스크립트(웹쉘)의 실행을 방지하기 위한 목적임)
2) AddType 지시자를 이용 Server Side Script 확장자를 실행불가한 text/html MIME Type으로 재조정하여 업로드된 스크립트 실행 방지
* 13회 실기와 동일하게 출제된 것으로 보이는데, 최대한 상세하게 답하는 것이 중요합니다. (1)의 경우 설정된 3개 확장자를 가진 파일은 직접 URL 호출을 금지한다는 말이 들어가야 합니다. (2) 는 해당 확장자의 MIME type을 실행 불가한 text/html로 변경한다는 말이 들어가야 합니다.
16. 다음 위험평가서 양식과 관련하여 물음에 답하시오.
[위험 평가서 양식]
자산명 | 자산 중요도(C, I, A) | 우려사항 | 가능성 | 위험도(C,I,A)
1)ERP데이터 | H, H, M | DB의 접근 통제 위반이나 위반 시도를 적시에 발견하여 처리할 수 없다| H | H, H, M
2)워드문서 | L, L, L | 적절한 보안 규정이 부족하여 자산이 제대로 보호되지 않을 수 있음 | M | L, L, L
1) 자산 중요도 평가의 목적은?
2) 해당 표내 우려사항이란 무엇인가?
3) 해당 표내 가능성이란 무엇인가?
4) 아래의 자산 평가 테이블을 보고, 응시자 입장에서 나름대로 위험분석기법을 적용하여 위험분석을 수행하시오.
자산명 | 설명 | 소유자 | 자산 중요도(C,I,A)
1)ERP데이터 | ERP에서 사용하는 DB데이터 | 관리팀장 | H,H,M
2)ERP서버 | ERP 프로그램이 탑재된 시스템 | 관리팀장 | H,H,M
3)워드문서 | 문서작성을 위한 임시문서 | 관리팀자/생산부장 | L, L, L
(답)
1) CIA 측면에서 자산의 가치를 평가하여 중요도를 산정함으로써 정보보호의 우선순위를 결정할 수 있는 기준을 마련하기 위함
2) 자산에 발생할 수 있는 위협과 취약성을 하나의 통합된 고려요소로 평가하도록 하고 이를 ‘우려사항’이라는 용어로 표현함
3) 기존에 설치된 보호대책을 고려하여 현재 시점에서 이러한 위협과 취약성이 발생하여 영향을 미칠 가능성을 의미함
4) 복합접근방법(Combined approach) 적용
- 자산 중요도 값을 기준으로 고위험군(ERP)과 저위험군(워드문서)을 식별하여, 고위험군은 상세 위험분석을 수행하고, 저위험군은 베이스라인 접근법을 사용하여 위험분석을 수행한다.
4-1) 고위험군에 대한 상세 위험분석 수행
- 자산식별 및 자산 중요도 평가가 이미 되어 있으므로, 해당 자산에 발생가능한 우려사항(위협과 취약성)을 분석하고, 그 가능성을 가늠하는 위험 평가를 수행한다.
- 위험 평가는 정성정, 정량적 방법을 사용할 수 있다. 재무적 손실과 같이 정량적 측정이 가능한 경우 연간 예상 손실액(ALE)을 자산가치, 노출계수, 연간발생율을 기반으로 계산한다. 단 이경우 과거 사건 발생 데이터가 없는 경우 정확한 계산이 어려운 단점이 있어 완전한 정량적 평가는 어렵다.
- 따라서 주로 정성적인 방법을 사용하는데, 이 경우 실제 위험도는 우려사항의 심각도 X 우려사항의 발생 가능성을 매트릭스로 구성하여 산정한다.
> 먼저, 우려사항은 자산별로 발생할 수 있는 위협과 취약성을 특정한 상황에 대한 설명으로 묘사한다. 이때, 글로벌 표준 & 베스트 프랙티스(ISO 27001, ISMS) 등을 참조하고 해당 영역의 전문가 의견을 기반으로 상세화할 수 있다. (예: "DB 접근통제 위반을 적시에 발견할 수 없다", "적절한 보안 규정이 부족하여 자산이 제대로 보호되지 않을 수 있다.", "ERP 서버의 취약점에 대하여 보안 패치가 적시에 적용되지 않아 허가되지 않은 자가 접근할 수 있다."). 우려사항의 심각도는 3단계(H, M, L) ~ 5단계(VH, H, M, L, VL)로 분류한다.
> 그리고, 우려사항의 발생 가능성을 3단계~5단계로 평가한다.
> 즉, 우려사항이 실제 발생했을때의 심각도와 발생가능성을 매트릭스로 구성하여 실제 위험도를 산정하게 된다. 3 x 3 matrix를 사용하는 경우 심각도가 3(H), 발생가능성이 3(H)인 경우 위험도는 High로, 심각도가 2(M), 발생가능성이 1(L)인 경우, 위험도를 Low로 평가하게 된다. 이때, 기존에 적용된 보호대책을 고려하여 실질적인 심각도와 발생가능성을 평가하도록 한다.(보호 대책이 강하게 적용되어 있다면 실제 위험도는 낮아지게 됨)
> 위험도 산정 매트릭스는 재무적 측면(비용 손실), 규제 측면(법적인 제제), 고객 측면(고객 불만 및 이탈) 등으로 세분화하여 작성하고 평가할 수 있다. 평가 결과에 대해서는 보안 통제 전문가, 리스크 전문가 등이 상호 협의하여 편향된 결정이 되지 않도록 하는 것이 좋다.
4-2) 저위험군에 대하여 베이스라인 접근법 사용하여 위험분석 수행
- 반드시 적용해야 할 보안 통제 항목을 체크리스트로 만들고, 각 항목별 준수 여부를 점검하는 방식으로 간단하게 위험 분석을 수행할 수 있다. 그러나, 이 경우 시간 절약이 가능한 장점이 있는 반면, 과보호 또는 부족한 보호가 될 가능성이 상존하게 된다. 따라서, 해당 조직의 상황이 고려된 맞춤형 체크리스트가 존재하지 않는다면 위험분석을 하지 않은 것과 유사하게 된다.
- 그러므로, 자산변동이 적거나 보안환경의 변화에 크게 영향을 받지 않는 자산에 한정하여 사용하는 것이 권장된다.
* 16번 문제는 리스크 평가 관련 업무 경험이 없다면 대응하기 어려운 완전 실무형 문제입니다. 오프라인 강의 때 금융권에서의 리스크 관리 매트릭스에 대하여 언급해 드렸었는데, 해당 내용을 잘 숙지하신 분이라면 부분 점수 획득에 유리하셨으리라 판단됩니다. 리스크 관리는 현업에서 갈수록 중요도가 높아지고 있는 업무 영역입니다. 제 설명을 읽어보시고, 교재의 내용도 다시 한번 숙지하시기 바랍니다.
'보안기사 실기' 카테고리의 다른 글
정보보안기사 20회 실기 (0) | 2022.10.18 |
---|---|
정보보안기사 18회 실기 (0) | 2022.10.18 |
정보보안기사 16회 실기 (0) | 2022.02.11 |
정보보안기사 17회 실기 (0) | 2021.09.23 |
정보보안기사 실기 15회 (0) | 2020.11.09 |