[2022.08.13 시행] 제20회 정보보안 기사 실기 가답안

[단답형]
1. 텔넷으로 HTTP METHOD를 확인하는 방법
정답 : OPTIONS
2. 정량적 위험분석방법
정답 : 델파이법, 시나리오법, 순위결정법
3. 위험분석 접근법
정답 : 베이스라인(기준선) 접근법, 상세 위험 분석, 복합(통합) 접근법
4. 접근통제 방법
정답 : DAC, MAC, RBAC
5. 빈칸 집어넣기
정답 : 오탐(FALSE POSITIVE), 미탐(FALSE NEGATIVE)
6. IPSEC에서 지원하는 기능(서비스) 3가지
정답 : 기밀성, 비연결형 무결성, 재전송 공격방지
7. 비트코인
정답 : 비트코인, 블록체인, 채굴
8. 디렉터리 리스팅 취약점 옵션제거
정답 : INDEXES
9. ns 서브도메인에 cname할당 후 서브도메인 사용하지않는데 cname을 삭제하지 않는경우 서브도메인 피싱 등 사이트로 이용될수 있다. 이 취약점은 무엇인가
정답 : 서브도메인 테이크오버
10. 물리적 정보보호 대책
정답 : ① 각종 잠금장치
② 방문자 기록 및 동행
③ 직원의 신원 보증 및 신분증 배지(badge)
④ 경비원 및 감시카메라
⑤ 방문자 접근의 통제
⑥ 중요 구역의 이중 출입문 설치
⑦ 민감한 시설의 위치
⑧ 컴퓨터 단말기 잠금장치
⑨ 단일 출입구 및 경보시스템

[서술형]
11. 개인정보 수집 이용 가능한 4가지
정답 : 1. 정보주체의 동의를 받은 경우
2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
3. 공공기관이 법령 등에서 정하는 소관업무의 수행을 위하여 불가피한 경우
4. 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우
5. 정보주체 또는 그 법정대리인이 의사 표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
6. 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다.

12. 스위칭 허브의 기능 및 동작 원리
정답 :
스위칭 허브 기능 : 물리적 주소를 구분하여 해당 주소가 있는 포트로 데이터를 보내주는 장비
장점 : 콜리전 도메인을 나눠줌, 속도가 빠름
단점 : 테이블에 없는 목적지를 가진 패킷이 오면 모든 포트에 플러딩 하므로 트래픽이 많아짐
스위칭 허브 동작원리
1) Learning - Mac 주소 기반 MacAddress Table 학습
2) Flooding - Mac 주소가 MacAddress Table에 없을 경우 들어온 포트를 제외한 모든포트에 Broadcast
3) Fowarding - 목적지 주소에만 프레임을 전달
4) Filtering - 확인된 포트를 제외한 나머지 포트로 프레임 전달 방지
5) Aging - MacAddress Table의 효율적인 관리를 위해 일정시간 후 삭제

13. ids 룰 + 탐지결과 주고 공격자가 어떤 원리 이용해서 공격했는지
정답 : anonymous ftp
alert tcp any any -> any 21
{content:”anonymous”; nocase; msg:”Anonymous FTP 꿍시렁 꿍시렁”;}
snort룰 입니다.
저거로 탐지되는 거는 ftp포트(tcp21)로 들어오는 패킷 중 패킷페이로드에 대소문자 구분 없이 anonymous가 있냐 없냐를 보는 거기 때문에 탐지된 패킷에서 보면 USER 계정에 대소문자 섞어서 AnOnYmOuS 가 있었기 때문에 alert action이 수행된 거라고 봅니다.

[실무형]
14. mtp 릴레잉 deny관련.
smtp 릴레잉 deny관련
1./etc/mail/() | grep r*s$ | relaying denied
2. cat /etc/mail/access
span.com ()
3. () hash etc/mail/() < etc/mail/access
정답 :
1. access
2. reject
3. makemap
4. access.db
15. smurf attck 방지를 위한 라우터 설정을 순서대로 쓰시오
정답 :
conf t
int fa0/0 (인터페이스 예시)
no ip directed-broadcast 순입니다.
16.
1.위험수용의 의미
2.위험감소는 보안대책을 구성하는데,특정 보안대책의 평가기준을 결정하는 정량적인 방법
3.위험회피시 위험이있는 프로세스나 사업은 어떻게 대처하는지
4.위험인가 방법 2가지
1. 위험수용 이란 감수할만한 위험이라 판단하고 프로세스 및 사업을 진행하는 것
2. 재산가치x노출계수 (아닌듯)
3. 위험회피시 위험이 있는 프로세스나 사업은 포기 및 다른 프로세스, 사업으로 대체한다.
4. 보험가입, 위탁업체 선정

 

[단답형]

1. 다음은 특정 명령어를 수행한 결과이다. ( )에 들어갈 명령어를 기술하시오.

root@kali:~#Telent webserver.com 80

Trying 192.168.1.2…

Connect to webserver.com.

Escape character is '^]'.

( ) * HTTP/1.0

​

HTTP/1.1 200 OK

Date: Sat, 6 Aug 2022 09:01:01 KST

Server: Microsoft-IIS/5.0

Allow: GET,HEAD,POST,OPTIONS,TRACE

Content-Length:0

Connection: close

Content-Type: text/plain; charset-euc-kr

​

Connection closed by foreign host.

(답) OPTIONS

* 웹서버가 지원하는 HTTP Method 를 확인하는 명령어 입니다. 교재에있는 토픽이므로 반드시 맞춰야 합니다.

​

2. 위험분석과 관련하여 ( )안에 들어갈 명칭을 기술하시오.​

( A ) : 시스템에 관한 전문적인 지식을 가진 전문가의 집단을 구성하고 위험을 분석 및 평가하여 정보시스템이 직면한 다양한 위험과 취약성을 토론을 통해 분석하는 방법

( B ) : 어떤 사건도 기대대로 발생하지 않는다는 사실에 근거하여 일정 조건하에서 위험에 대한 발생가능한 결과들을 추정하는 방법

( C ) : 비교 우위 순위결정표에 따라 위험 항목들의 서술적 순위를 결정하는 방법

(답) 델파이법, 시나리오법, 순위결정법

* 교재와 기출문제에서 자주 다루어진 토픽이라, 반드시 맞춰야 합니다.

​

3. 위험분석 접근법과 관련하여 ( )안에 들어갈 명칭을 기술하시오

( A ) : 모든 시스템에 대하여 보호의 기본 수준을 정하고 이를 달성하기 위하여 일련의 보호대책을 표준화된 체크리스트를 기반으로 선택하는 방식

( B ) : 정립된 모델에 기초하여 자산 분석, 위협 분석, 취약성 분석의 각 단계를 수행하여 위험을 평가하는 방식

( C ) : 고위험(high risk) 영역을 식별하여 상세 위험분석을 수행하고 다른 영역은 베이스라인 접근법을 사용하는 방식

(답) 베이스라인(기준) 접근법, 상세 위험 분석, 복합 접근법

​* 교재와 기출문제에서 자주 다루어진 토픽이라, 반드시 맞춰야 합니다.

​

4. 접근통제 정책에 대하여 다음 ( ) 에 들어갈 용어를 기술하시오.

( A ) : 사용자나 사용자 그룹에 근거한 사용자 중심의 접근 제어를 수행하는 방법

( B ) : 모든 객체는 정보의 비밀수준에 근거하여 보안 레벨이 주어지고 허가된 사용자만 접근 가능토록 제어하는 방법

( C ) : 사용자와 객체 상호관계를 역할을 기반으로 접근 권한을 부여하는 방법

(답) DAC, MAC, RBAC

* 14회 기출문제와 동일하게 출제되었습니다. 점수를 주기 위한 문제이므로 반드시 맞춰야 합니다.

​

5. 침입탐지시스템(IDS)과 관련하여 ( )에 들어갈 용어를 기술하시오.​

( A ) : 정상적인 행위를 이상행위로 판단하여 탐지하는 상황

( B ) : 이상행위를 탐지하지 못하는 상황

(답) 오탐(False Positive), 미탐(False Negative)

* IDS의 탐지 정책은 교재와 기출문제에서 자주 다루어진 토픽이라 반드시 맞춰야 합니다.

​

​6. IPSec에서 지원하는 기능(서비스)을 3가지만 기술하시오.​

(답) 기밀성, 제한된 트래픽 흐름의 기밀성, 데이터 근원지 인증, 접근제어, 비연결형 무결성, 재전송 공격 방지​

* 교재와 기출문제(11회, 12회)에서 자주 다루어진 토픽입니다. 3가지만 기술하면 됩니다.

​

7. 다음의 설명에서 ( )에 들어갈 용어를 기술하시오.​

( A )는 사토시 나카모토가 개발한 가상화폐로, 거래 데이터를 기록하는 저장소(DB)로 ( B )를 이용한다. Hash 연산을 수행하여 발생된 거래(작업)을 증명한 대가로 ( A )를 획득하는 행위를 ( C )이라 한다.

(답) 비트코인, 블록체인, 채굴(마이닝)

* 교재에서 다루어지는 토픽은 아니지만, 상식선에서 접근이 가능한 문제 입니다. 오프라인 과정에서 크립토재킹관련하여 설명드린바 있는 토픽이기도 합니다.

​

8. 다음 설정 파일에서 디렉터리 인덱싱 취약점을 대응하기 위하여 삭제해야 하는 지시자를 기술하시오.​

<Directory /var/www>

Options indexes FollowSymLinks

AllowOverride none

Require all granted

</Directory>

(답) indexes

* 교재와 기출문제(13회, 17회)에서 자주 다루어지는 토픽이므로 반드시 맞춰야 합니다.

​

9.클라우드 서비스 이용을 위해 서브 도메인에 CNAME 을 설정하여 사용 중, 서비스 이용을 중지 했지만 DNS의 CNAME 설정은 삭제하지 않아 공격자가 피싱 사이트로 악용하는 공격을 무엇이라고 하나?​

(답) 서브도메인 하이재킹 or 서브도메인 테이크오버(Takeover)

* 정답을 맞추신 분이 거의 없을 것으로 예상됩니다. 클라우드 서비스 사용이 증가하면서, 연관된 취약점이 출제되었네요.

(참조) https://www.dailysecu.com/news/articleView.html?idxno=65894

​

10. 정보보호 및 개인정보관리체계 인증 기준 중 '물리적 정보보호 대책' 에 해당하는 사항을 3가지 기술하시오.​

(답) 보호구역 지정(통제구역,제한구역 등), 출입통제(출입 이력 검토), 정보시스템 보호(중요도 고려한 배치, 케이블 손상 방지 등), 보호설비 운영(UPS, 화재감지 등), 보호구역내 작업(작업 기록 검토), 반출입 기기 통제(정보시스템, 모바일 기기, 저장 매체 등), 업무환경 보안(클린데스크 등)

* ISMS-P 인증 기준 2.4.물리 보안과 관련된 질문 입니다. 정확하게 알지 못하더라도, 상식적인 범위내에서 물리적 보호대책(출입 통제, 반출입 기기 통제 등)을 기술한다면 1~2점 부분 점수 획득이 가능합니다.

​

[서술형]

11. 개인정보 최소수집 원칙에 의거하여 개인정보 수집이 가능한 경우 4가지를 기술하시오

(답) 아래 6개 항목 중 4개를 선택하여 기술하면 됩니다.

1. 정보주체의 동의를 받은 경우

2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우

3. 공공기관이 법령 등에서 정하는 소관업무의 수행을 위하여 불가피한 경우

4. 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우

5. 정보주체 또는 그 법정대리인이 의사 표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우

6. 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다.

​* 개인정보 보호법 제15조(개인정보의 수집 및 이용) 1항과 관련된 문제 입니다. 법 조항을 정확하게 기억하지 못하더라도 최대한 비슷하게 작성하면 부분 점수 획득이 가능 합니다. 최소 7점 이상은 획득해야 합니다.

​

12. 스위칭 허브의 기능 및 동작 원리에 대하여 서술하시오.​

(답)

1. 스위칭 허브의 기능 : 패킷의 목적지 주소(MAC, IP, Port 등)를 확인하여, 목적지가 연결된 스위치의 포트로만 패킷을 전송하는 장치로 패킷의 고속 전송, 로드 밸런싱, QoS 기능을 수행

​

2. 동작 원리(L2 예시)

1) Learning : 출발지의 Mac 주소를 확인하여 수신된 포트번호와의 매핑 정보를 스위치의 MacAddress Table에 저장(MAC주소 + 스위치 포트번호)

2) Fowarding : 목적지 Mac 주소가 스위치의 MacAddress Table에 있는 경우, 목적지 주소에만 프레임을 전달

3) Filtering : 출발지와 목적지가 같은 세그먼트(인터페이스)에 존재하는 경우 다른 세그먼트와 연결된 포트로 넘어가지 않도록 제어

4) Flooding : 목적지 Mac 주소가 스위치의 MacAddress Table에 없는 경우 수신된 포트를 제외한 모든포트로 Broadcast 수행

5) Aging : 설정된 Timer 시간(예:300초)동안 저장된 MAC 주소를 가진 프레임이 들어오지 않으면 MacAddress Table에 저장된 정보를 삭제

* 동작 원리를 정확하게 기술하긴 어려웠으리라 보입니다. 최대한 알고 있는 지식을 총동원하여, 7점 정도의 부분점수를 획득할 수 있다면 선방한 것이라고 생각됩니다. 스위치 데이터 전달 모드(Cut-Through, Store and forward)를 기술하신 분들도, 부분 점수 획득이 가능하지 않을까 생각합니다.

​

13. 다음과 같은 Snort 룰로 탐지된 패킷을 보고, 어떤 공격이 수행되었는지 설명하시오.

[Snort Rule]

alert tcp any any -> any 21 {content:”anonymous”; nocase; msg:”Anonymous FTP attempt”;sid:1000012}

[탐지 패킷]

TCP TTL:64 TOS:0x10 ID:5450 IpLen:20 DgmLen:68 DF

***AP*** Seq: 0xE95B8593 Ack: 0x7D3F3893 Win:0x1D TcpLen:32

TCP options (3) => NOP NOP TS: 45113 1572881

55 53 45 52 20 41 6E 4F 6E 59 6D 4F 75 53 0D 0A USER AnOnYmOuS..

(답)

Anonymous FTP 공격이 수행 되었음.

- 공격자는 열려있는 ftp 서비스(포트21)에 접속 후, 보안시스템의 탐지를 우회하기 위하여 계정명에 대소문자를 혼합한 AnOnYmOuS 를 입력하여 로그인을 시도하였음.

- Snort rule에서 nocase로 대소문자를 구분하지 않았기 때문에, 공격시도에 대한 탐지가 가능하였음

- Anonymous FTP 서비스가 enable된 경우, 서버에 계정이 없는 사용자도 접근이 가능하므로 서버내 권한 관리가 적절히 이루어지지 않을 경우 악성코드를 업로드 하거나 중요 파일에 접근 가능한 리스크가 있음. 따라서 꼭 필요한 경우가 아닌 경우 anonymous ftp 서비스는 disable 해야 함.

* 문제에서 어떤 공격이 수행되었는지 설명하라고 했지만, 서술형 문제이므로 단순히 공격명만 기술해서는 14점 획득이 불가 합니다. 공격의 원리, 예상되는 피해 그리고 공격자가 대소문자를 섞어서 입력한 사유도 함께 설명이 되어야 합니다. 이 문제에서 10점 이상 획득을 해야 전체적으로 합격 점수 획득이 가능할 것으로 판단 됩니다.

​

[실무형]

14.스팸메일 릴레이 제한 설정과 관련하여 다음 ( )에 들어갈 명칭을 기술하시오.​

# cat /etc/mail/( 1 ) | grep "R$\*" | grep "Relaying denied"

R$* $#error $@ 5.7.1 $ : "550 Relaying denied"

​

# cat /etc/mail/access

localhost.localdomain RELAY

localhost RELAY

127.0.0.1 RELAY

spam.com ( 2 ) # Relay를 허용하지 않음

​

# ( 3 ) hash etc/mail/( 4 ) < etc/mail/access

(답)

(1) sendmail.cf

(2) REJECT (or DISCARD)

(3) makemap

(4) access.db (or access)

​

* 주요정보통신기반시설 기술적분야 취약점 진단 상세가이드에 있는 항목 ( U-31 스팸메일릴레이제한) 입니다. 모든 문항을 정확하게 기술하기는 어려운 문제 였습니다. 최소한 (2), (4)번 문항은 맞춰서 7점 정도의 부분 점수 획득이 필요 합니다.

​

15. Smurf attack을 방지하기 위하여, 신뢰 할 수 있는 네트워크 범위(192.168.1.0/24)를 제외하고 ip directed broadcast 를 제한 설정하는 라우터 명령어를 기술하시오.​

(config)# ( A )

(config)# ( B )

(config-if)# ( C )

^z

Router#

​(답)

(A) : access-list 100 permit udp 192.168.1.0/24

(B) : interface FastEthernet 0/0

(C) : ip directed-broadcast 100

​* 논란이 있었던 문제 입니다. 수험서에는 whitelist된 대역 없이 ip directed-broadcast를 무조건 차단하는 명령인 "no ip directed-broadcast" 만 나와 있습니다. 실제 문제에서 신뢰할 수 있는 네트워크 범위를 제외하라고 했다면, 부분 점수 획득에 큰 어려움이 예상 됩니다.

​

16.위험 대응 기법과 관련하여 다음 물음에 답하시오.

1) 위험수용의 의미는?

2) 위험감소를 위한 보안 대책 선정시, 특정 보안대책의 평가기준을 결정하는 정량적인 방법은?

3) 위험회피시 위험이 있는 프로세스나 사업은 어떻게 대처하는가?

4) 위험전가를 위한 2가지 방법은?

​

(답)

1. 위험의 정도가 수용 가능한 수준이라 판단하고 프로세스를 그대로 유지하거나 사업을 추진

2. 정보보호 대책의 효과(가치) 는 보호대책 적용으로 감소한 연간손실예상액(ALE)에서 정보보호 대책 운영 비용을 뺀 금액을 계산하여 값이 높을수록 상대적으로 효과적인 정보보호 대책임.

* 계산 공식 : (3)번 값이 높은 보호대책을 선정하는 것이 효과적임

(1) 적용후 SLE(단일 손실예상액 ) = AV(자산가치) * EF(노출계수)

(2) 적용후 ALE(연간 손실예상액) = SLE * ARO(연간발생률)

(3) 보호대책의 효과(가치) = 감소한 ALE(적용전 ALE - 적용후 ALE) - 보호대책 운영 비용

3. 위험이 있는 프로세스나 사업은 축소 또는 포기하는 방향으로 추진한다.

4. 보험 가입 또는 외주(보안, 소방 업체) 위탁

[출처] 20회 정보보안기사 실기시험 문제 분석(모범답안, 고득점 포인트)|작성자 온계절