시험 응시 후 공개된 답을 기준으로 문제를 AI에게 부탁해서 복원했습니다.
인쇄해서 편하게 보시라고 PDF 파일도 하단에 첨부했습니다.
[단답형]
1. 다음은 리눅스 시스템의 PAM(Pluggable Authentication Module) 모듈 유형(Module Type)에 대한 설명이다. 빈칸( )에 적절한 모듈 유형 이름을 쓰시오.
( A ) : 사용자에게 비밀번호(인증 정보)를 요청하고 입력받은 정보가
맞는지 검사하는 모듈 유형
( B ) : 명시된 계정이 현재 조건에서 유효한 인증 목표인지 검사하는 것으로
계정에 대한 접근 통제 및 정책을 관리하는 모듈 유형
password : 사용자가 비밀번호(인증 정보)를 변경할 수 있도록 비밀번호 갱신을
관장하는 모듈 유형
( C ) : 사용자가 인증을 받기 전/후에 수행해야 할 일을 정의하는 모듈 유형
정답 : (A) auth (B) account (C) session
2. Windows 운영체제에서 사용하는 대표적인 파일 시스템으로, 파일 권한 설정과 보안 기능, 대용량 파일 지원을 특징으로 하는 것은 무엇인가요?
정답 :NTFS
3. 메시지가 송신자로부터 수신자까지 중간에 어떤 서버나 제3자가 암호화된 데이터를 복호화하지 못하도록 보호하는 통신 보안 방식은 무엇인가요?
정답 : 종단 간 암호화 (E2EE)
4. 다음과 같은 기능을 수행하는 정보보호 솔루션의 이름은 무엇인가?
- PC에 설치된 에이전트, 네트워크 센서를 통하여, 이동식 디스크, 이메일,
메신저, 웹사이트 파일 업로드를 이용한 내부 문서 이동 탐지
- HTTPS와 같은 암호화 통신에서도 중요 내부 문서 이동 탐지 가능
- 일부 솔루션에서는 파일 암호화, 파일 삭제와 같은 부가 기능 탑재
정답 : DLP (Data Loss Prevention)
5. C 언어에서 입력값의 크기 검증 없이 고정 크기 버퍼에 데이터를 복사할 때 발생하여, 메모리 손상이나 공격 가능성을 야기하는 ( A ) 취약점을 일으키기 쉬운 함수 중 하나로, 문자열을 복사할 때 버퍼 크기 제한이 없어 주의가 필요한 함수 이름은 ( B ) 이다.
정답 : 버퍼 오버플로우, strcpy()
6. 리눅스 시스템에서 사용자 계정의 비밀번호를 보호하기 위해 일반 사용자에게 직접 보이지 않도록 별도의 파일에 암호화하여 저장하는데, 이 파일의 이름은 무엇인가요?
정답 : shadow
7. DNS 서비스와 관련하여 ( )안에 들어갈 용어를 기술하시오.
1) DNS 서비스는 53번 포트를 사용하고 전승 계층 프로토콜로
( A ) 를 사용한다.
2) DNS 서버는 반복적인 질의로 상위 DNS에 가해지는 부하를 줄이기 위해
( B )를 사용하는데, 해당 정보가 유지되는 기간을 ( C ) 이라고 한다.
정답 : UDP, DNS캐싱, TTL
8. 웹 서버에 침입자가 업로드한 악성 스크립트를 통해 원격에서 서버 내 파일을 읽거나 명령을 실행할 수 있는 공격 수단 중 하나가 있습니다.
예를 들어, '../../b.php'와 같은 경로를 이용해 상위 디렉터리로 접근하여 임의의 파일을 실행하거나 조작하는 기능을 가진 이 공격 도구를 무엇이라고 하나요?
정답 :Web Shell
9. 다음은 위험 분석 접근방법(전략)에 대한 설명이다. 빈칸( )에 적절한 용어를 쓰시오
| ( A ) : 모든 시스템에 대하여 보호의 기본 수준을 정하고 이를 달성하기 위하여 일련의 보호 대책을 선택하는 방식으로 분석의 비용과 시간을 절약할 수 있는 장점이 있지만 조직의 특성을 고려하지 않기 때문에 과보호 또는 부족한 보호가 될 가능성이 있다. ( B ) : 자산의 가치를 측정하고 자산에 대한 위협의 정도와 취약성을 분석하여 위험의 정도를 결정하는데 전문적인 지식, 시간과 노력이 많이 소요되는 접근방식이다. ( C ) : 고위험 영역을 식별하여 상세 위험 분석을 수행하고 다른 영역은 기준선 접근법을 사용하는 방식으로 시간과 비용을 효율적으로 활용할 수 있지만 고위험 영역이 잘못 식별되면 위험 분석에 대한 시간과 비용의 낭비가 발생할 수 있다. |
정답 : 기준선(베이스라인) 접근법, 상세 위험 분석, 복합접근법
10. ( A )은/는 전기통신설비를 이용하거나 전기통신설비와 컴퓨터 및 컴퓨터의 이용 기술을 활용하여 정보를 수집·가공·저장·검색·송신 또는 수신하는 정보통신체계를 말한다.
정답 : 정보통신망
11. 다음 보기의 Apache 웹서버 설정 파일(http.conf)에서 디렉터리 리스팅(인덱싱) 취약점을 제거하기 위해 삭제해야 하는 구문을 쓰시오.
| (Directory /var/www〉 Options Indexes FollowSymLinks AllowOverride none Require all granted </Directory> |
정답 : Indexes
12. 리눅스 시스템에서 사용자가 실행한 명령어의 이력을 확인할 때 사용하는 명령어 중 하나로, 최근에 실행된 명령어들을 시간 순으로 보여주는 도구는 무엇인가요?
정답 : lastcomm
[서술형]
13. 인증서 고정이란, 핵심3가지,우회방법2가지
정답 :
(A) 인증서 고정이 무엇이고 어떤 취약점을 목적으로 하는가?
인증서 고정 기술은 모바일 앱이 특정 서버와 SSL/TLS 통신할 때 신뢰할 수 있는 특정 서버의 인증서(또는 공개키)를 앱에 고정하여 중간에 공격자에 의해 조작되는 중간자 공격(MITM)을 방지하는 기술이다.
(B) 인증서 고정 핵심요소 3가지
(1) 신뢰할 인증서(또는 공개키) : 앱에 하드코딩되거나 앱 내부 리소스에 포함되어 특정 서버의 인증서(또는 공개키)를 명시함
(2) 검증 로직 구현 : SSL/TLS 협상(핸드쉐이크) 과정에서 서버로부터 받은 인증서가 고정된 것과 일치하는지 검증하는 로직 구현
(3) 오류 처리 및 실패 대응 : 고정된 인증서와 불일치시 연결을 차단하거나 오류를 남기고 사용자에게 알리는 로직 구현
(C) 인증서 고정 우회 방법 2가지
(1) Frida/Objection 등으로 런타임 패치 : SSLContext, TrustManager, HostNameVerifier 등을 후킹하여 인증서 검증 로직을 우회함
(2) 앱 리패키징 및 재서명 : 앱의 인증서 핀 고정 로직을 수정 후 다시 패키징하여 검증을 우회함. 다만, 루팅된 환경이나 디버깅 허용된 앱에서만 효과적임
14. 파일 업로드 취약점 문제(우회방법)
정답 :
(A) 어떤 취약점이 존재하는가?
파일 업로드 취약점
(B) 우회 기법을 쓰시오.
취약한 PHP 게시판 코드를 살펴보면, 업로드 파일의 파일타입(MIME 타입)에 대해서만 유효성 검증을 수행하고 있다. 따라서 공격자는 웹쉘을 업로드하면서 요청 메시지의 파일타입(Content-Type 헤더 필드)을 허용하는 이미지 파일타입(e.g. image/gif 등)으로 변조하여 유효성 검증을 우회할 수 있다.
(C) 취약점을 이용한 공격 성공 조건
취약점을 이용하여 업로드된 웹쉘을 실행하기 위해서는 파일 업로드 디렉터리에 있는 웹쉘을 공격자가 외부에서 URL을 통해 호출할 수 있어야 하며 호출된 웹쉘(e.g. PHP 파일)이 서버 사이드 스크립트로 동작할 수 있도록 실행 권한이 있어야 한다.
15. 네트워크 보안관제 3가지 구성요소와 역할
정답 :
(1) 에이전트(Agent) : 각종 보안 장비 및 서버, 네트워크에 설치되어 해당 시스템에 적합한 설정에 따라 로그 정보를 실시간으로 중앙관제센터에 전송하는 역할을 한다.
(2) 정보수집 서버(Information Collection Server) : 각각의 에이전트에서 보낸 다량의 정보를 수집 및 처리하여 데이터베이스에 저장하는 역할을 수행한다
(3) 통합관제용 시스템(Security Monitoring System) : 각종 이벤트의 로그 분석을 수행한다. 또한 다양한 정보를 종합적으로 분석하는 것은 물론 상황에 따라 분석하여 관제 담당자들을 지원한다
16. ISMS-P 식별된 위험 처리 방법 4가지
정답 :
1) 위험 수용(Risk Acceptance)
- 현재의 위험을 받아들이고 잠재적 손실 비용을 감수하는 전략
- 위험을 완전히 제거할 수는 없으므로 일정 수준 이하의 위험은 감수하고 사업을 진행한다.
2) 위험 감소(Risk Reduction)
- 위험을 감소시킬 수 있는 대책을 채택하여 구현하는 전략
- 대책에 의한 비용과 감소하는 위험의 크기를 비교하는 비용 대비 효과 분석 통해 효과적인 대책을 선정한다.
3) 위험 전가(Risk Transfer)
- 위험의 잠재적 손실 비용을 보험이나 외주 등 제3자에게 이전시키는 전략
4) 위험 회피(Risk Avoidance)
- 위험이 존재하는 프로세스나 사업을 수행하지 않고 포기하는 전략
[실무형]
17. 윈도우 이벤트 로그 관련 문제
정답 :
가. 최대 이벤트 로그 크기 계산식 :
단일 이벤트 최대 크기( 500 바이트) x 하루 이벤트 발생량(1,000개) x 보관 기간(30일)
나. 최대 이벤트 로그 크기 계산값 : 15,000,000 바이트
다. 최대 이벤트 로그 크기 설정 경로
- 윈도우 이벤트 뷰어 > 해당 로그 선택 > 속성 > 일반 > 최대 로그 크기 항목 설정
- (또는) 시작 > 실행 > eventvwr.msc(윈도우 이벤트 뷰어 실행) > 해당 로그 선택 > 속성 > 일반 > 최대 로그 크기 항목 설정
18. CCTV 설치시 개인정보처리자가 할 일 2가지 관점에서 작성
(사내 복도 / 사내 외부)
정답 :
(A) 회사 사옥 외부 조치 사항
회사 사옥 외부와 같이 공개된 장소에서 CCTV(고정형 영상정보 처리기기)를 설치하고 운영할 경우에는 시설 안전 및 화재 예방 목적 등 개인정보보호법 제25조(고정형 영상정보처리기기의 설치/운영 제한)에서 정하는 사유에 해당하는 경우에만 가능하고 정보주체가 쉽게 인식할 수 있도록 다음 사항이 포함된 안내판을 설치하는 등 필요한 조치를 해야 한다.
설치 목적 및 장소
촬영 범위 및 시간
관리책임자의 연락처
그 밖에 대통령령으로 정하는 사항
(B) 회사 사옥 내부(출입 통제 구역) 내부 조치 사항
출입 통제 구역인 회사 사옥 내부는 비공개된 장소로 개인정보보호법 제25조(고정형 영상정보처리기기의 설치/운영 제한)가 적용되지 않고 CCTV를 통해 수집한 개인영상정보는 개인정보에 해당하므로 정보주체의 동의 등 개인정보보호법 제15조1항에 따른 경우 또는 법률에서 특별한 규정이 있는 경우에만 설치 운영이 가능하다. 따라서 비공개된 장소에 CCTV를 설치/운영하는 경우에는 촬영 범위에 포함된 모든 정보주체의 동의를 받는 것이 바람직하고 안내판 설치나 보호조치 등은 공개된 장소에 설치된 CCTV 규정을 준용하는 것을 권장한다.