[정보보안기사/산업기사] 실기 문제풀이 및 총정리 요약본 2탄

* 다음은 유닉스(솔라리스) 커널 보안 설정에 관한 문제이다. 커널 컴파일 용도로 활용하는 아래 ndd 명령어와 관련된 공격명과 명령의 의미를 쓰시오.

(1) ndd -set /dev/ip ip_forward_directed_broadcasts 0
(2) ndd -set /dev/tcp tcp_conn_req_max_q0 1024


1) 스머프 공격에 대응하기 위한 커널 파라미터 설정
Directed broadcasts IP 패킷이 포워딩되는것을 허용하지 않는다
2) TCP Syn Flooding 공격에 대응하기 위한 파라미터 설정
TCP 연결요청대기큐(Backlog Queue)의 크기를 1024로 늘린다

 

* 개인정보 보호법령 및 하위 고시에 의거해 다음의 빈칸을 채우시오.
ㅇ 접근권한 부여·말소 등의 기록을 최소 ( A )간 보관
ㅇ 접속기록은 최소 ( B ) 이상 보관
ㅇ 단, 고유식별정보 또는 민감정보를 처리하는 경우 최소 ( C ) 이상 보관
ㅇ 접속기록의 위·변조 방지를 위해 ( D ) 이상 점검

A: 3년
B: 1년
C: 2년
D: 월 1회

 

 

* 개인정보처리방침에 포함되어야 하는 내용을 5가지 이상 작성하시오.
1. 개인정보의 처리 목적
2. 개인정보의 처리 및 보유 기간
3. 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다)
4. 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다)
5. 정보주체와 법정대리인의 권리ㆍ의무 및 그 행사방법에 관한 사항
6. 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처
7. 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치ㆍ운영 및 그 거부에 관한 사항(해당하는 경우에만 정한다)
8. 처리하는 개인정보의 항목(시행령)
9. 개인정보의 파기에 관한 사항(시행령)
10. 개인정보의 안전성 확보 조치에 관한 사항(시행령)

 

* 취약점 및 침해요인과 그 대응방안에 관한 정보 제공하며 침해사고가 발생하는 경우 실시간 경보ㆍ분석체계 운영하며 금융ㆍ통신 등 분야별 정보통신기반시설을 보호하기 위하여 다음 각호의 업무를 수행하는 곳은?                      정보공유분석센터(ISAC)

1. 취약점 및 침해요인과 그 대응방안에 관한 정보 제공
2. 침해사고가 발생하는 경우 실시간 경보/분석체계 운영

 

* 개인정보보호법 제17조에 따르면 개인정보 제3자 제공 시 동의를 받을 때 5가지 사항을 정보주체에게 알려야 한다. 다음 5가지 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다. 5가지 사항을 적으시오.
1. 개인정보를 제공받는 자
2. 개인정보를 제공받는 자의 개인정보 이용 목적
3. 제공하는 개인정보의 항목
4. 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간
5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용

 

 

* 정보통신망 이용촉진 및 정보보호 등에 관한 법률에 따라 개인 정보 유출 사실을 안 때에는 지체없이 이용자에게 알려야 한다. 이때 알려야 할 사항 5가지를 기술하시오.
1.유출된 개인정보 항목
2.유츨이 발생한 시점
3. 이용자가 취할 수 있는 조치
4. 정보통신서비스 제공자 등의 대응조치
5. 이용자가 상담 등을 접수할 수 있는 부서 및 연락처






<정보보안기사-14회>
 
기업 또는 조직의 정보보호에 대한 방향, 전략, 주요내용들을 문서화 시켜놓은 것을 (정보보호정책)라고 한다. (정보보호정책) 중 정보에 대한 정당한 사용자의 접근 여부를 관리하는 것을 접근통제정책이라한다.

한국인터넷진흥원에서 발령하는 사이버 위협정보 경보단계 5가지 (정 관 주 경 심)
정상 -> 관심 -> 주의 -> 경계 -> 심각

Apache 웹서버의 설정파일인 httpd.conf에서 전송 가능한 최대사이즈를 제한하고자 한다. 어떤 옵션을 변경해야 하는가?  LimitRequestBody

* 설정법 위치 : /etc/conf/httpd/httpd.conf
-기본 설정

Listen 1120
ServerName webadmin.example.com:1120
DocumentRoot "/var/www/html/webadmin"
ServerAdmin webadmin@example.com
DirectoryIndex index.php index.html index.htm

Listen : 사용할 포트를 지정한다.
ServerName : 서버의 도메인을 입력한다.
DocumentRoot : 웹 문서가 위치하는 디렉터리를 지정한다.
ServerRoot "/var/www/html", DocumentRoot "/webadmin" 으로 나눌 수도 있다.
ServerAdmin : 서버 관리자 이메일을 입력한다.
DirectoryIndex : 클라이언트가 디렉토리를 요청할때 먼저 읽히는 파일들을 지정한다.

-접근 제어
<Directory "/www/ihd/admin">
  Order Deny,Allow
  Deny from All
  Allow from 192.168.2.0/24
</Directory>

Order : Deny와 Allow의 순서를 정한다.(Allow - Deny 순서) 블랙리스트 방식
Allow,Deny 또는 Deny,Allow 둘중에 하나를 적는다.
최종적으로 읽히는 정책이 동작한다.
위 예제의 경우 기본적으로 다 막고, 192.168.2 대역만 오픈한다.

-접속 유지
KeepAlive On
MaxKeepAliveRequests 100
KeepAliveTimeout 100

HTTP는 기본적으로 Stateless 프로토콜로, 페이지를 로드할때마다 새로 접속을 수립
KeepAlive는 이러한 특성 때문에 발생하는 부하와 속도 저하를 줄이고자 일정 시간동안 접속 유지
KeepAlive를 사용하면 더 빠르지만, 동시 접속량은 줄어들 수 있다.
KeepAliveTimeout은 언제까지 접속을 유지할지(초단위),
MaxKeepAliveRequests는 클라이언트와 서버 프로세스 간에 연결을 지속시키는 동안에 허용할 최대 요청 건수를 지(해당 요청 건수를 초과하면 연결을 종료)

-기타
LimitRequestBody: 전송 가능한 최대 사이즈를 제한한다.

1) 정보통신 망, 즉 인터넷이나 네트워크 상에서의 정보보호를 다루는 법률이다.
정보통신망 이용 촉진 및 정보보호등에 관한 법률

2) 민간, 공공 시설을 불문하고 침해사고 등이 발생할 경우 국가안정보장과 경제사회에 미치는 피해규모 및 범위가 큰 시설의 보호에 대해 다루는 법률이다.
정보통신기반 보호법

3) 사업자가 이용자의 위치정보를 추적하여 사용하고자 할 때 안전한 사용을 도모하기 위한 법률이다.
위치정보의 보호 및 이용 등에 관한 법률

국내 ISMS-P 인증 기준에 관한 설명
1. 조직의 업무특성에 따라 정보자산 분류기준을 수립하여 관리체계 범위 내 모든 정보자산을 식별 · 분류하고, (중요도)를 산정한 후 그 목록을 최신으로 관리하여야 한다.  
2. 조직의 대내외 환경분석을 통해 유형별 (위험 정보)를 수집하고 조직에 적합한 위험 평가 방법을 선정하여 관리체계 전 영역에 대하여 연 1회 이상 위험을 평가하며, 수용할 수 있는 위험은 (경영진)의 승인을 받아 관리하여야 한다.





<정보보안기사-13회>
취약점 및 침해요인과 그 대응방안에 관한 정보 제공하며 침해사고가 발생하는 경우 실시간 경보ㆍ분석체계 운영하며 금융ㆍ통신 등 분야별 정보통신기반시설을 보호하기 위하여 다음 각호의 업무를 수행하는 곳은?  정보공유분석센터(ISAC)
1. 취약점 및 침해요인과 그 대응방안에 관한 정보 제공
2. 침해사고가 발생하는 경우 실시간 경보/분석체계 운영

멤캐시드 : 메인 메모리에 데이터 및 오브젝트를 캐시함으로써 데이터베이스 및 API에서 읽어와야 하는 횟수를 줄일 수 있는 분산 메모리 캐시 시스템

최근 Github은 (멤캐시드 서버)를 통한 DDoS 공격을 받았다. (멤캐시드 서버)는 스토리지나 DB같은 대규모 데이터저장소의 부하를 줄이기 위해 캐시를 저장해 두는 툴이다. 통상 캐시가 필요한 시스템에만 사용되고, 인터넷에 노출되지 않기 때문에, 별도 권한설정을 요구하지 않는다. 하지만 현실은 인터넷에 노출된 (멤캐시드 서버)가 적지 않고, 이들은 DDoS 공격 수단으로 전락할 수 있다.

 

<정보보안기사-12회>
HTTP 응답 분할 공격 :
HTTP Request에 있는 파라미터가 HTTP Response의 응답헤더로 다시 전달되는 경우 파라미터 내 개행문자 CR(Carriage Return, %0D) 혹은 LF(Line Feed %0A)가 존재하면 HTTP 여러개로 나누어질 수 있다.
이러한 취약점을 통해 응답 메시지에 악의적인 코드를 주입함으로써 XSS 및 캐시를 훼손하는 취약점


- IaaS
서버, 저장장치, 네트워크 등의 인프라 제공
- SaaS
응용프로그램 등 소프트웨어 제공
- PaaS
응용프로그램 등 소프트웨어의 개발, 배포, 운영, 관리 등을 위한 환경 제공 (Platform as a Service)

-그 외
BaaS : 블록체인 인프라 제공
SECass : 보안 서비스 제공

(접속기록)이란 개인정보취급자 등이 개인정보처리시스템에 접속하여 수행한 업무내역에 대하여 개인정보취급자 등의 계정, 접속일시, 접속지 정보, 처리한 정보주체 정보, (수행업무) 등을 (전자적)으로 기록한 것을 말한다. 이 경우 "접속"이란 개인정보처리시스템과 연결되어 데이터 송신 또는 수신이 가능한 상태를 말한다
 

위험의 구성요소 3가지
위험 = (자산) × (취약점) × (위협) – 정보보호대책

 

<정보보안기사-11회>
리눅스 named.conf
-개요
리눅스 DNS 서버 프로그램인 bind (데몬명 named)의 메인 설정 파일
글로벌 설정은 named.conf 에서 하고 세부 설정은 각 도메인별 zone파일에서 한다.

-주요 설정 항목
directory  : zone 파일이 위치하는 디렉토리 명
forwarders {네임서버 주소; 네임서버 주소; ...;};  : 도메인에 대한 질의를 다른 서버로 넘긴다.
forward (only|first);
forwarder와 함께 사용되어야 한다.
only : 다른 서버가 응답이 없을 경우 자신도 응답하지 않는다.
first : 다른 서버에서 응답이 없으면 자신이 응답 한다.
datasize 1024M    :캐시 메모리 최대 용량을 제한한다.
allow-query { 192.168.64/24; };   :네임서버에 질의할 수 있는 호스트를 지정한다.

-설정 예시
options {
  directory "/var/named";
  forward only;
  forwarders { 8.8.8.8; };
  datasize 1024M;
  allow-query { 192.168.64/24; };
};
-조건
서버로 들어온 도메인 질의 요청은 8.8.8.8 IP주소를 가진 호스트로 넘기고, 해당 서버에서 응답이 없어도 질의에 응답하지 않는다.
DNS 관련정보 캐싱을 하는데 사용하는 메모리를 1024M로 제한한다.
네임 서버에 질의할 수 있는 호스트를 192.168.64.0 네트워크 주소 대역에 속한 호스트만 질의할 수 있게 설정한다.

영상정보처리장비를 이용하기 위해 안내문과 함께 설치를 진행하려고 한다. 영상정보처리기기 관련 법규에 따라 다음 괄호 안에 들어가야 할 내용은? ( 목 범 관 대 )
1) (설치 목적 및 장소)
2) 촬영 범위 및 시간
3) 관리책임자 성명 및 연락처
4) 그 밖에 대통령령으로 정하는 사항

 


개인정보 보호법령 및 하위 고시에 의거해 다음의 빈칸을 채우시오.
ㅇ 접근권한 부여·말소 등의 기록을 최소 ( 3년 )간 보관
ㅇ 접속기록은 최소 ( 1년 ) 이상 보관
ㅇ 단, 고유식별정보 또는 민감정보를 처리하는 경우 최소 ( 2년 ) 이상 보관
ㅇ 접속기록의 위·변조 방지를 위해 ( 월 1회 ) 이상 점검
 

쇼핑몰 사이트를 운영하는 정보통신 서비스 제공업체의 개인정보 취급자에게 적용되어야 하는 비밀번호 작성 규칙 3가지를 기술하시오.
1. 영문, 숫자, 특수문자 중 2종류 이상을 조합하여 최소 10자리 이상 또는 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성
2. 연속적인 숫자나 생일, 전화번호 등 추측하기 쉬운 개인정보 및 아이디와 비슷한 비밀번호는 사용하지 않는 것을 권고
3. 비밀번호에 유효기간을 설정하여 반기별 1회 이상 변경

Blind SQL Injection
SQL 인젝션을 통해 단순히 참 거짓을 판단할 수 있는 상황에서 실제 값을 파악하기 위한 공격
일반적인 SQL 인젝션에 대해 방어가 잘 되어 있는 경우라도 블라인드 SQL이 동작하는 경우가 많다.
ex)
SELECT * FROM users where id='admin' and ascii(substr(select pw from users where id = 'admin', 1, 1)) < 100 -- and pw='nomatter'
-본 SQL 인젝션을 통해 admin 계정 비밀번호의 첫번째 글자 아스키 코드가 100 이하인지 알 수 있다.
-이런 공격을 반복하면 한글자 한글자 파악 가능하다.

 

 

<정보보안기사-10회>
주요정보통신기반시설의 지정 및 취약점 분석에 관한 기준이다. 빈 칸을 채우시오.
제8조(주요정보통신기반시설의 지정 등) ①중앙행정기관의 장은 소관분야의 정보통신기반시설중 다음 각호의 사항을 고려하여 전자적 침해행위로부터의 보호가 필요하다고 인정되는 정보통신기반시설을 주요정보통신기반시설로 지정할 수 있다.
(중 의 상 범 용)
1. 당해 정보통신기반시설을 관리하는 기관이 수행하는 업무의 국가사회적 중요성
2. 기관이 수행하는 업무의 정보통신기반시설에 대한 ( 의존도 )
3. 다른 정보통신기반시설과의 ( 상호연계성 )
4. 침해사고가 발생할 경우 국가안전보장과 경제사회에 미치는 피해규모 및 범위
5. 침해사고의 발생가능성 또는 그 복구의 ( 용이성 )

개인정보 안전성 확보조치를 기준으로 다음 빈칸에 들어갈 말을 적으시오.
ㅇ (개인정보처리시스템)이란 데이터베이스시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 시스템을 말한다.
ㅇ (비밀번호)란 정보주체 또는 개인정보취급자 등이 개인정보처리시스템, 업무용 컴퓨터 또는 정보통신망 등에 접속할 때 식별자와 함께 입력하여 정당한 접속 권한을 가진 자라는 것을 식별할 수 있도록 시스템에 전달해야 하는 고유의 문자열로서 타인에게 공개되지 않는 정보를 말한다.
ㅇ 개인정보처리자는 인터넷 구간 및 인터넷 구간과 (내부망)의 중간 지점(DMZ : Demilitarized Zone)에 고유식별정보를 저장하는 경우에는 이를 암호화하여야 한다

 

1) 카나리 단어 기법 동작방식 : 스택가드(Stack Guard) 라고도 함, 메모리 상에서 프로그램의 복귀 주소(Return Address)와 변수/버퍼 사이에 특정 값(Canary)을 저장해두는 기법을 말한다.
2) 카나리 단어 기법 공격 차단 원리 : 버퍼오버플로우 발생 시 특정 값(Canary)의 변조가 발생하므로 이를 탐지하여 차단한다.
3) ASLR 기법 동작방식 : 메모리 공격을 방어하기 위해 주소 공간 배치를 난수화하는 기법을 말한다.
4) ASLR 기법 공격 차단 원리 : 실행 시 마다 메모리 주소를 변경시켜 버퍼 오버플로우를 통한 특정 주소 호출을 방지한다.

 

기업담당자는 정보보호에 관한법률에 의거하여 연1회 이용자들에게 메일을 통보해야한다. 메일에 들어가야할 정보를 나열하시오.
1) 개인정보의 수집.이용 및 수집한 개인정보의 항목
2) 개인정보를 제공받는 자와 그 제공 목적 및 제공한 개인정보의 항목
3) 개인정보 처리위탁을 받은 자 및 그 처리위탁을 하는 업무의 내용

1) 공격명 : Smurf 공격
2) 공격원리 : Smurf 공격은 출발지 IP를 희생자 IP로 위조한 후 증폭 네트워크로 ICMP Echo Request를 브로드캐스트 함으로써 다수의 ICMP Echo Reply가 희생자에게 전달되어 서비스 거부를 유발시킨다.
3) 대응방법
- 증폭 네트워크로 사용되는 것을 막기 위해 다른 네트워크로부터 자신의 네트워크로 들어오는 Directed Broadcast 패킷을 허용하지 않도록 라우터 설정을 한다.
- 브로드캐스트 주소로 전송된 ICMP Echo Request 메시지에 대해 응답하지 않도록 시스템 설정을 한다.

[root@qfran ~] ifconfig eth0
eth0: flags=12345 < UP, BROADCAST, RUNNING, PROMISC, SIMPLEX, MULTICAST > metric 0 mtu 1500 options=80009 ...
1) 예상되는 공격명 및 이유 : 스니핑(Sniffing) 공격, 화면에 표시된 인터페이스가 무차별 모드(PROMISC)로 동작하고 있기 때문에 해당 컴퓨터가 목적지가 아닌 패킷들도 모두 수신이 가능하기 때문에 스니핑(Sniffing) 공격이 발생한 것으로 예상됨.
2) 위 문제를 해결하기 위한 명령어 : ifconfig eth0 ( -promisc )
3) 현상태의 발생 시점을 찾기 위한 로그의 경로(파일명 포함) : /var/log/messages

 

 

<정보보안기사-7회>
Portable Executable
윈도우에서 실행파일의 구조를 정의한 포맷이다. 윈도우에서 실행 가능한 EXE, SCR, DLL, OCX, SYS, OBJ 등의 확장자들은 모두 PE 포맷으로 작성된 것이다.
-구성
Dos Header
Dos Stub
PE Header
Section
.text
프로그램 실행을 위한 코드를 저장하고 있는 섹션
.data
읽기 쓰기가 가능한 영역으로 전역변수와 정적 변수 등이 위치하는 섹션
.rdata
읽기 전용 데이터 섹션으로 상수형 변수, 문자열 상수 등이 위치하는 섹션
.idata
임포트(import) 할 DLL과 그 API/함수에 대한 정보를 담고 있는 섹션

* .edata
Export할 데이터를 저장하고 있는 섹션(주로 dll파일들이 가지고 있다.)
.rsrc
아이콘, 커서 등 윈도우 APP 리소스 관련 데이터를 저장하고 있는 섹션
.bss
초기화 되지 않은 전역변수가 위치하는 섹션

IAT(Import Address Table)
응용 프로그램이 다른 모듈의 기능을 호출할 때 조회 테이블



익스플로잇과 관련된 다음 보기에 알맞은 용어를 넣으시오.
1) 실제로 기계어로 구성되어 Exploit의 본체에 해당하는 프로그램의 명칭은 무엇인가? 셸코드
2) x86계열에서 NOP(No Operation) code를 hex로 표현한 어느값인가?                 0x90
3) x86계열에서 ESP에 들어있는 값을 EIP로 이동하는 어셈블리 코드를 적으시오.    jump esp

윈도우 DNS 서버에서 DNS 설정 시 두 가지 절차를 거친다. 보기에서 설명하는 절차를 적으시오.
1) 도메인 DNS서버를 등록하는 절차              zone 영역등록
2) DNS 서버에 서비스정보를 입력하는 절차 호스트 등록

키로거는 사용자가 키보드로 PC에 입력하는 내용을 몰래 낚아채어 기록하는 행위를 말한다. 하드웨어, 소프트웨어를 활용한 방법에서부터 전자적, 음향기술을 활용한 기법까지 다양한 키로깅 방법이 존재한다. 다음은 사용자 몰래 키로거를 설치할 수 있는 방법들이다. 어떤 방법들인가?

1) 사용자가 접속한 웹페이지에서 팝업, iframe, 리다이렉트 등을 통해 사용자가 인식하지 못하게 악성코드를 다운로드 시키는 침해유형을 말한다.       드라이브바이다운로드
2) 정상 애플리케이션인 것처럼 배포된 뒤 자신의 내부에 압축해서 가지고 있던 코드를 이용하여 새로운 악성코드를 생성하여 시스템을 감염시킨다.      드롭퍼

네트워크 패킷을 분석할 수 있는 Wireshark에선 캡처된 파일에서 원하는 내용을 필터링하기 위한 디스플레이 필터(Display Filter)가 있다. 질의에 대한 응답 패킷만을 보기 위한 필터링 구문은?
dns.flags.response==1    
dns.flags.response==0 은 질의만을 보기 위한 옵션
dns.flags.response==1 은 질의 응답을 보기 위한 옵션