[정보보안기사 실기 공부] week 5

틀린 부분이 있다면 언제든지 댓글 남겨주세요! 

---

11.11  (day 29) 네트워크 보안

 

단답형 1. 암호통신을 이용해 원격 접속한 PC에 명령을 실행하거나 파일을 조작하는 프로토콜

답: SSH (secure shell)

 

* SSH는 key를 이용해 클라이언트와 서버가 서로를 인증하고 데이터를 주고 받음. key 생성 시에는 대칭키/비대칭키 방식을 사용

* 리눅스 보안은 iptable 등을 이용한 접근제어. 허용된 IP나 네트워크만 SSH에 접속해 데이터를 주고 받을 수 있게 함

 

 

서술형 1. DoS 대응 방안 

답: 라우터의 ingress/egress 필터링 활성화, direct broadcast와 redirect 차단, Rate-Limit이용, uRPF, anti-DoS/DDoS 장비 도입 및 사용하고 있는 장비 보안 패치 최신으로 유지

 

* 라우터 필터링 ingress=사설IP 패킷 유입 차단, egress=source ip의 관리 대역이 아닌 패킷은 나가지 못하게 drop

* DoS 공격이 주로 direct broadcast 패킷을 이용해 네트워크 대역폭 소진 공격을 진행하므로 해당 패킷 차단

* rate-limit=특정 서비스 및 패턴을 가진 패킷이 단위 시간동안 일정량 이상 들어올 경우 차단

* uRPF(unicast Reverse Path Forwarding)은 라우터가 패킷을 확인해 source IP로 갈 수 있는 역경로가 존재하는지 확인하여 source IP가 없는 경우 스푸핑 된 것

 

 

법률 1. 괄호 안에 적절한 단어 쓰기

개인정보의 안전성 확보조치 기준 제 8조 - (  )의 보관 및 점검

개인정보처리자는 개인정보 취급자가 개인정보처리시스템에 접속한 기록을 (  )년 이상 보관.

(  )명 이상의 개인정보나 고유식별정보 및 민감정보를 처리하는 경우 (  )년 이상 보관.

(  )는 개인정보처리시스템의 접속기록을 (  )회 이상 점검.

다운로드 기록이 발견되면 (  )에 따라 사유 확인.

답: 접속기록, 1년, 5만명, 2년, 개인정보처리자, 월 1회, 내부관리계획

 

* 접속기록

- 개인정보의 안전성 확보조치 기준 = 개인정보 취급자 계정, 접속 일시, 접속지 정보, 처리한 정보주체 정보, 수행업무 등

- 기술적 관리적 확보조치 기준 = 식별자, 접속 일시, 접속지를 알 수 있는 정보, 수행업무 등

---

11.12  (day 30) 네트워크 보안

 

단답형 2. IoT 기기들을 위해 사용되는 프로토콜. 저전력 기기를 위해 간단하게 UDP 프로토콜(port 5683)을 이용.

이를 이용한 증폭/반사 공격은 피해자 IP로 스푸핑한 source IP에서 외부에 노출된 IoT기기 및 모바일 장치들을 대상으로 변조된 GET request를 보내 증폭된 응답이 가게 만드는 공격.

 

답: CoAP(Constrained Application Protocol)프로토콜

 

서술형 2. ARP cache poisoning 공격 기법에 대해 설명

답: 공격자가 특정 호스트의 주소 대신 자신의 MAC주소로 위조한 ARP  reply 패킷(IP는 특정 호스트의 것 유지)을 만들어 희생자에게 지속적으로 보내면 희생자의 MAC cache table에 특정 호스트의 MAC 주소가 공격자의 주소로 바뀜. 그러면 희생자가 특정 호스트에게 패킷을 보내고자 할 때 그 패킷은 공격자에게 전송될 것.

 

* switch jamming = 스위치의 MAC cache table을 오버플로우(변조된 MAC 주소를 가진 ARP reply 계속 전송)시켜 스위치가 허브처럼 동작

 

* 스위치와 허브의 차이: 스위치는 MAC cache table을 참조하여 목적지 MAC 주소로만 패킷을 전달. 허브는 모든 포트에 연결된 노드로 패킷 전달. 따라서 스위치가 네트워크 스니핑 공격에 좀 더 안전함.

 

법률 2. 위험관리 계획의 과정으로 괄호에 적절한 단어 쓰기

위험관리 전략 및 계획 수정 → (  ) → 위험 평가 → (  ) → 정보보호 계획 수립 →대책 설정

답: 위험 분석, 정보보호 대책 수립

 

* 위험 관리 = 위험을 평가하고 피해자가 수용할 수 있는 수준까지 위험부담을 줄이기 위한 조치를 강구하며, 위험을 용인할 수 있는 수준으로 유지하는 것, 즉 전체적인 보안 관리의 핵심.

 

* 위험 분석 = 위험의 종류와 규모 설정

* 위험 평가 = 우선순위 결정

 

---

11.13  (day 31) 정보보안 일반

단답형 3. 각 설명에 적절한 용어 쓰기

(1) 자체 인증 방식을 배제시켜 서명 검증 시 반드시 서명자의 도움이 있어야만 검증 가능한 방식

(2) D.chaum에 의해 제안된 방식으로 전자회폐가 되기 위한 요구조건 중 프라이버시 보장을 위해 사용되는 특수 전자서명 기법. 서명하고자 하는 메시지의 내용을 공개하지 않고 메시지에 대한 서명을 받고자 할 때 사용

(3) 고객의 결제 정보가 판매자를 통해 지급정보중계기관으로 전송됨에 따라 고객의 결제정보는 판매자에게 노출되지 않고, 판매자에 의한 결제 정보의 위변조 가능성을 없앤 방식

답: (1) 부인방지 전자서명 (2) 은닉 서명 (3) 이중 서명

 

* 전자화폐 요구조건: 독립성, 프라이버시 보장, 안전성, 오프라인, 양도성

 

서술형 3. DRM과 DLP의 차이

답: DRM은 소유자가 디지털 콘텐츠를 보호하기 위한 방안으로 암호화 및 식별 기술을 이용해 유출시 저작권을 보호받기 위해 사용하며, DLP는 데이터가 유출되는 것을 막기 위해 경로나 매체를 차단하는 솔루션으로 포괄적인 보호가 가능하지만 유출된 데이터에 대한 보호는 불가능.

 

 

법률 3. 정보보호 정책이 공식 문서로 인정받으려면 필요한 3가지

답: 이해관계자의 검토, 최고 경영자의 승인, 모든 임직원에게 이해하기 쉬운 형태로 전달 (최신성 유지)

 

* 정보보호 정책 = 기업의 내외부 환경과 업무 성격에 맞는 효과적인 정보보호 활동을 위해 기본적으로 무엇이 수행되어야 하는 지를 기술한 지침 및 규약. 즉 정보보호 목적과 활동에 관한 사항을 정의하는 최상위 문서

---

11.14  (day 32) 네트워크 보안

단답형 4. PC나 서버를 네트워크에 연결시키기 위한 장치로 자신의 주소(MAC)을 목적지로 하는 패킷만을 수신하고 나머지는 폐기한다. wifi같은 무선 네트워크 뿐만 아니라 이더넷과 같은 유선 네트워크도 데스크탑에서 사용할 수 있도록 하드웨어 인터페이스를 제공하는 장치는?

답: NIC(Network Interface Card)

 

서술형 4. ICMP redirect 공격에 대해 설명하고 예방 방안

답: 공격자가 ICMP redirection message(Type 5, 라우팅 경로를 재설정)를 이용해 패킷 경로를 악의적으로 설정. 

예방 방안으로 ICMP redirection message로 라우팅 테이블 정보가 변경되지 않도록 ICMP redirect 옵션 해제

 

* ICMP redirect 옵션 해제 명령어

- sysctl 이용: sysctl -w net.ipv4.conf.all.accept_redirects=0

- ndd 이용: ndd -set /dev/ip ip_ignore_redirect 1

 

* ICMP redirect / ARP redirect 공격 차이

: ICMP redirect은 희생자의 routing table 정보를 변조한 후에 스니핑, ARP redirect은 희생자의 ARP cache table 정보를 변조한 후에 스니핑.

 

법률 4. 정보보호 거버넌스란 무엇인지, 3대 목표는

답: 조직 정보의 무결성, 서비스의 연속성, 정보 자산의 보호를 위한 전략적 행동이 명시된 문서

책임성(이해관계자 요구 충족, 이사회와 최고 경영자 역할 명시), 

비즈니스 연계성(비즈니스 목표/전략과 연계),

준거성(조직 내부 요구사항과 외부의 관련 법 및 규정 준수, 이에 대한 평가)

---

11.15  (day 33) 침해사고 분석 및 대응

단답형 5. Amplification/Reflection 공격의 일종으로 1900/UDP 포트를 사용하여 공개된 IoT 기기 검색 요청을 조작해 기기로부터 발생하는 상대적으로 큰 응답 패킷이 희생자 호스트에게 전달되어 서비스 거부 공격을 일으키는 공격

답: SSDP DRDoS

 

* Simple Service Discovery Protocol: 네트워크 상의 서비스나 정보를 검색하는 프로토콜.

- 1900/UDP 포트를 이용해 프린터, 스캐너, IP카메라 등 IoT기기 네트워크 탐색용으로 쓰임. 

- 요청 대비 응답이 매우 크기 때문에 DRDoS 공격에 사용되기도 함.

 

서술형 5. iptables에 대해 설명하고, -j 옵션에 DROP과 REJECT 설정의 차이 및 보안상에서의 관점에 대해 설명

답: iptables는 리눅스 커널에 내장된 netfilter 기능을 관리하기 위한 툴. 즉 rule 기반으로 packet filtering 기능 제공.

DROP과 REJECT 모두 패킷을 차단하는 옵션. DROP은 매칭된 패킷 차단 후 아무런 메시지를 남기지 않지만 REJECT는 ICMP에러 메시지를 남겨 공격자에게 정보를 노출하거나 DoS 공격에 이용될 수 있음.

 

법률 5. 정보시스템 공통평가기준 (Common Criteria)의 내용 중 알맞은 단어

1) (  ): 특정 제품군이나 시스템에 적용할 수 있는 공통적인 보안 기능 요구사항을 정의한 것, 평가 대상 범주를 위한 특정 소비자의 요구에 부합하는 구현에 독립적인 보안요구사항

2) (  ): 보호프로파일에서 정의된 요구사항이 실제 제품으로 평가되기 위한 기능명세서

3) (  ): 평가 대상이 되는 제품 및 시스템

4) (  ): 공통평가기준에서 미리 정의된 보증수준을 가지는 보증 컴포넌트의 집합으로 구성된 패키지

답: 보호프로파일(Protect Profile), 보안목표명세서(Security Target), 평가 대상(Target Of Evaluation), 평가보증등급(Evaluation Assurance Level)

 

* 평가보증등급(EAL)은 보안성이 낮은 EAL1 부터 EAL7까지 있음

---

11.16  (day 34) 침해사고 분석 및 대응

단답형 6. 방화벽 구축 형태 중 적절한 것

1) 네트워크 카드가 하나인 방화벽. 접근제어, 프록시, 인증, 로깅 등 방화벽의 기본적인 기능을 수행하며 방화벽이 손상되면 내부 네트워크에 무조건적인 접속이 허용될 수 있음.

2) 네트워크 카드가 두개 이상인 방화벽으로 내/외부 네트워크 카드가 구별되어 운용. 단일과 달리 패킷이 지날 수밖에 없는 구조이므로 더 효율적인 트래픽 관리가 가능 

답: 1)단일 홈 게이트 웨이 (=배스천 호스트)  2) 듀얼 홈 게이트웨이

 

서술형 6. iptables 룰 작성

1) 서버로 향하는 목적지 포트가 80/tcp인 패킷을 차단하는 정책

2) 서버로 향하는 목적지 포트가 1~1023인 tcp패킷 모두 허용하는 정책

3) iptable에 변경된 정책(룰)을 저장하고 종료할 수 있는 명령어

답: 1) iptables -A INPUT -p tcp --dport 80 -j DROP (REJECT)

2) iptables -A INPUT -p tcp --dport 1:1023-j ACCEPT

3) iptables-save > "저장할 파일명"

 

* iptables에 설정된 rule set을 효율적으로 관리하기 위해 설정된 룰셋을 저장 = iptables-save / 복원 = iptables-restore

* iptables는 위에서 아래로 순서대로 적용. 위에서 먼저 차단되었으면 아래에 허용하는 명령어가 있어도 차단.

 

법률 6. 위험분석 방법 중 복합적 접근 방법(기준 접근과 상세 위험 분석을 혼합 사용하는 방식)의 장단점

답:

장점=복합적 접근방법은 고위험 영역을 식별하여 해당 영역은 상세 위험 분석을 수행하고, 다른 영역은 기준선 접근 방법을 사용하는 방식. 이는 비용과 자원을 효율적으로 이용할 수 있고 고위험 영역을 빠르게 식별 및 적절하게 처리할 수 있음

단점=고위험 영역이 잘못 식별된 경우 위험 분석 비용이 낭비되거나 부적절하게 대응될 수 있음.

---

11.17  (day 35) 애플리케이션 보안

단답형 7. 네트워크 장비는 NMS(Network Management System)을 이용해 관리하는데, NMS 서버는 (  )방식으로 NMS 클라이언트는 (  )방식으로 장비의 특정 이벤트를 실시간으로 클라이언트로 전달해 장비의 상태 변경을 전달한다. 이러한 실시간 전송방식과 유사하게 장비에서 발생되는 실시간 (  ) 방식으로도 네트워크 장비 상태 및 보안 상태정보를 전달함.

답: polling / event reporting / syslog

 

* NMS = 네트워크상의 자원들을 모니터링하고 제어하기 위한 도구. 

- Magager-Agent 구조 = 전체 시스템에서 관리하는 네트워크 요소의 각 지점과 특정한 속성에 주소와 이름을 지정하고, 주기적으로 각 요소가 가진 정보를 중앙 제어 센터에 제공하는 구조

- polling 방식 = request-response 방식. 매니저가 에이전트에게 원하는 정보를 request하면 에이전트는 매니저가 원하는 정보를 찾아 response함. 

- event reporting 방식 = 에이전트가 매니저의 요구 없이도 정보를 보내는 방법. 특별한 이벤트 발생시 주로 사용.

(SNMP에서는 trap이라고 함)

- syslog = 이벤트 정보를 서버로 전송하는 방식 

 

서술형 7. 웹서버 패킷이 의미하는 바를 쓰고 이 패킷이 어떤 경로로 공격하는지, 어떤 영향을 주는 지

GET /abc.asp HTTP/1.1

Host: 192.168.159.131

User-Agent: Mozilla/5.0

1) Referer: hxxp://www.attacker[.]co.kr/default.jsp

2) Cache-Cotrol: max-age=0

답: 1) 링크를 클릭해 다른 페이지로 가는 경우, 해당 링크를 가지고 있는 페이지

2) 캐시서버의 캐시된 entry에 대해 원본서버로 유효성 검증을 다시 하라는 의미

공격 경로는 타겟 웹서버인 host(192.168.159.131)의 abc.asp페이지에 대한 요청은 referer의 url(공격자 웹서버의 페이지)를 경유해서 들어옴

어떤 영향을 주는지는 cache-control 헤더에 max-age=0 지시자를 설정해 무조건 원본 웹서버에 abc.asp페이지에 대한 유효성 검증을 하도록 하여 캐시 서버를 무력화시키고 원본서버에 부하를 일으킴

 

* 유효성 검증을 다시 하는 것(max-age=0) = 캐시에 저장되어 있는 파일이 fresh한 상태여도 원본 서버에 있는 파일과의 동일성 유무를 무조건 체크

* Cache-Control: no-cache = 캐시서버의 캐시된 entry가 fresh한 상태여도 원본 서버로 부터 무조건 다시 읽어서 응답

 

법률 7. OECD 프라이버시 보호 8원칙에 해당하는 원칙명은

1) (  ): 개인정보의 수집은 합법적이고 공정한 절차에 의해 가능한 한 정보주체에게 알리거나 동의를 얻은 후 수집해야 함

2) (  ): 개인정보는 그 이용 목적에 부합해야 하며, 이용 목적에 필요한 범위 내에서 정확하고 완전하며 최신의 상태로 유지해야 함.

3) (  ): 개인정보는 정보주체의 동의가 있는 경우나 법률의 규정에 의한 경우를 제외하고는 명확화된 목적 이외의 용도로 공개되거나 이용되어서는 안됨.

답: 1) 수집 제한의 원칙  2) 정보 정확성의 원칙  3) 이용 제한의 원칙