Information Security

1. 다음은 CVE 취약점 표기 방식이다. 다음의 질문에 답하시오CVE-2014-6628 1) 2014가 의미하는 것은?정답: 해당년도2) 6628가 의미하는 것은?정답: 취약점 번호 2. OWASP는 오픈소스 웹 애플리케이션 보안프로젝트 기구다. 주로 웹에 관한 정보노출, 악성 파일 및 스크립트, 보안 취약점 등을 연구하며 3년 마다 10대 웹 애플리케이션의 취약점 발표한다. 다음에서 언급하고 잇는 내용은 어떤 취약점을 설명하고 있는 것인가? 1) 신뢰할 수 없는 데이터가 명령어나 질의문의 일부분으로서 인터프리터로 보내질 때 발생한다. 공격자의 악의적인 데이터는 예상하지 못하는 명령을 실행하거나 적절한 권한 없이 데이터에 접근하도록 인터프리터를 속일 수 있다.정답: Injection 2) 신뢰할 수 없..

1. 다음은 Diffie-Hellman 알고리즘을 통한 키 교환 과정이다. (A), (B),(C)에 대해서 각각 기술하시오. 정답: A B^a mod p, B A^b mod p C 비밀키 2. 다음은 HeartBleed 취약점에 대한 설명이다. 다음 질문에 답하시오.CVE-2014-0160로 명명된 이 취약점은 통신 구간 암호화를 위해 사용하는 OpenSSL 암호화 라이브러리의 하트비트라는 확장 모듈에서 클라이언트 요청 메시지를 처리할 때 데이터 길이 검증을 수행하지 않아 시스템 메모리에 저장된 64KB 크기의 데이터를 외부에서 아무런 제한 없이 탈취할 수 있는 취약점이다. 1) 어떤 프로토콜의 취약점인가정답: OpenSSL2) 취약점 영향받는 버전은?정답: OpenSSL 1.0.1 ~ OpenSSL 1..

1. 다음의 (A), (B)에 대해서 각각 기술하시오.소스 IP주소가 정당한 IP주소 범위 안에 있다면 네트워크에 들어가고 나가는 트래픽을 허락하는 것이다.(가)은/는 로컬 네트워크로 들어가는 트래픽을 필터링하는 것을 의미한다.(나)은/는 로컬 네트워크에서 나가는 트래픽을 필터링하는 것을 의미한다.(다)은/는 특정한 IP 또는 IP 대역을 가상의 인터페이스로 보내어 필터링하는 기법이다. 정답: 가 Ingress 필터링 나 Egress 필터링 다 Blackhole 필터링 (Null Routing) 2. 다음 (A), (B), (C) 설명에 알맞은 방법론에 대해서 답하시오.A: 시스템에 관한 전문적인 지식을 가진 전문가의 집단을 구성하고 위험을 분석 및 평가하여 정보시스템이 직면한 다양한 위험과 취약성을 토..

1. 다음의 (A), (B), (C)에 대해서 각각 기술하시오.정보나 정보처리 기기에 대한 위협의 종류, 위협의 영향, 위협의 발생 가능성 등을 평가하는 과정을 (A)라고 한다. 이 과정의 결과를 통해 정보보호의 위협을 인식하고, 적절한 비용 이내에서 필요한 통제 방안을 선택함으로써 위협을 적절히 통제 하는 과정을 (B)라고 한다. 또한 선택된 통제의 목적과 통제방안이 무엇인지, 그리고 선택한 이유 등을 문서로 정리한 것은 (C)라고 하며, 여기에는 선택된 통제방안들을 누가, 언제, 어디서, 무엇에게, 어떻게 적용할 것인지를 언급하게 된다. 정답: A 위험평가 B 위험관리 C 위험관리계획 2. 다음 (A), (B), (C)에 대해서 각각 기술하시오.NMS서버는 (A) 방식으로 네트워크 장비의 상태정보 및..