121번
문제
정보보호관리체계(ISMS) 인증에 따라 정보보호 정책 공표 및 승인을 어떻게 해야 하는지 서술하시오.
답
정보보호정책의 승인은 이해관계자의 검토와 최고경영자의 승인을 받아야 하며, 정책의 공표는 정보보호정책 문서를 모든 임직원 및 관계자에게 이해하기 쉬운 형태로 전달하여야 한다.
122번
문제
아래는 xinetd.conf 설정 값을 보고 각 설정 값들의 의미를 쓰시오. (가) cps = 10 5 (나) instances = 50 (다) per_source = 10
답
(가) 초당 연결 갯수를 10 개로 제한하고 10 개 초과 시 5 초간 서비스를 제한한다. (나) 동시에 서비스할 수 있는 서버를 50 개로 제한 (다) 동일한 호스트에서 서비스 동시 접속 수를 10 개로 제한
123번
문제
ASLR(Address Space Layout Randomization) 기법과 스택 버퍼 오버 플로 시 카나리아 단어(canaria word) 기법의 동작방식을 설명하고 원리를 설명하시오.
답
(1) ASLR 기법
-
메모리 공격을 방어하기 위해 주소 공간 배치를 난수화하는 기법을 말한다.
-
실행 시 마다 메모리 주소를 변경시켜 버퍼 오버플로우를 통한 특정 주소 호출을 방지한다.
(2) 카나리아 단어 기법
-
메모리 상에서 프로그램의 복귀 주소(Return Address) 와 변수/버퍼 사이에 특정 값(Canary)을 저장해두는 기법을 말한다.
-
버퍼오버플로로 발생 시 특정 값(Canary)의 변조가 발생하므로 이를 탐지하여 차단한다.
124번
문제
다음 이미지를 보고 질문에 답하시오.
(1) 다음 FTP 동작 모드는 무엇인가?
(2) 서버의 20, 21 포트의 역할은 무엇인가?
(3) 클라이언트에서 서버의 파일이 보이지 않는 이유는 무엇인가?
(4) 3 번과 같은 경우 클라이언트 단에서 해주어야 할 조치는 무엇인가?
답
(1) Active Mode
(2) 21 번 포트로 초기 접속 후 클라이언트가 사용할 포트를 서버 측에 알려준다. 서버측 20 번 포트가 클라이언트의 포트에 접속한다.
(3) 서버측 20 번 포트와의 통신이 차단되어서 파일리스트를 볼 수 없다.
(4) FTP 서버(20/tcp)가 FTP 클라이언트(1024/tcp)로 데이터채널을 생성하기 위한 연결을 허용하거나(방화벽 허용 등) 수동모드(Passive Mode)로 FTP 연결을 생성한다.
125번
문제
아래 이미지를 보고 법률 위반사항과 개선방안 2 가지를 쓰시오.
답
1-1) 위반사항: 개인의 질병(건강)과 같은 민감정보의 수집 1-2) 개선방안: 개인의 민감정보는 원칙적으로 수집을 금지하고 있으며 이를 처리하기 위해서는 다른 개인정보와는 처리와 분리하여 정보주체의 별도 동의를 구한다.
2-1) 위반사항: 법정 대리인의 동의 없이 만 14 세 미만의 아동의 개인정보 수집 2-2) 개선방안: 만 14 세 미만 아동의 개인정보 수집 시에는 법정대리인의 동의를 구한다.
126번
문제
제 20 조의 2(개인정보 이용ㆍ제공 내역의 통지)에 따라 대통령령으로 정하는 기준에 해당하는 개인정보처리자는 이 법에 따라 수집한 개인정보의 이용ㆍ제공 내역이나 이용ㆍ제공 내역을 확인할 수 있는 정보시스템에 접속하는 방법을 주기적으로 정보주체에게 통지하여야 한다. 이때 통지해야 하는 정보를 쓰시오.
답
-
개인정보의 수집ㆍ이용 목적 및 수집한 개인정보의 항목
-
개인정보를 제공받은 제 3 자와 그 제공 목적 및 제공한 개인정보의 항목. 다만, 「통신비밀보호법」 제13조, 제13조의2, 제13조의4 및 「전기통신사업법」 제83조제3항에 따라 제공한 정보는 제외한다.
127번
문제
iptables 에서 -j 옵션중에 drop 과 reject 가 있다. 각각을 설명하고 보안관점에서
어떤 걸 써야 하는지 고르고 그 이유를 설명하시오.
(1) drop
(2) reject
(3) 둘중에 어떤걸 쓰는게 보안관점에서 좋은지 설명
답
(1) drop 은 응답 없음, reject 는 상대에게 RST 패킷을 보낸다.
(2) reject 했을 경우 OS 에서 그 포트가 닫혀있음을 ICMP 메시지로 응답해준다.
(3) 보안 관점에서는 ICMP 응답 메시지에 많은 정보가 포함되어 있기 때문에 drop 을 쓰는 것이 좋다.
128번
문제
아래는 하나의 발신지에서 브로드캐스트로 ICMP echo Request 요청을 보내는 패킷 캡쳐 화면이다. 해당 공격명과 원리 및 대응방법에 대한 설명을 쓰시오.
답
(1) 공격명: Smurf 공격
(2) 원리: 한 클라이언트에서 서버로 ICMP_echo_request 를 보내면 서버에서 클라이언트로 ICMP_echo_reply 를 보내는데 ICMP_echo_request 패킷이 네트워크의 Broadcast 로 보내지는 경우 네트워크상의 모든 호스트가 echo_reply 를 보내게 되어 네트워크 트래픽을 증가시켜 정상적인 서비스가 이루어지지 않도록 하는 공격 기법이다.
(3) 대응방법: 다른 네트워크로부터 자신의 네트워크로 들어오는 Directed Broadcast 패킷을 허용하지 않도록 라우터 설정을 한다. 브로드캐스트 주소로 전송된 ICMP Echo Request 메시지에 대해 응답하지 않도록 시스템 설정을 한다.
129번
문제
CENT OS 6.5 에서 무차별 모드(PROMISCUOUS MODE) 로 동작하고 있는 인터페이스 정보를 보고, 예상되는 공격명과 이유를 쓰시오. 또한, 해당 공격을 해결하려면 어떤 명령어를 써야 하는지, 해당 공격의 발생 시점을 찾기 위한 정확한 경로를 쓰시오.
답
(1) 공격명: 스니핑 공격
(2) 명령어: ifconfig eth0 -promisc
(3) 경로명: /var/log/messages
130번
문제
개인정보의 안전성 확보조치 기준 제 5 조(접근 권한의 권리) 중 3 가지 내용을 쓰시오.
답
① 개인정보처리자는 개인정보처리시스템에 대한 접근 권한을 개인정보취급자에게만 업무 수행에 필요한 최소한의 범위로 차등 부여하여야 한다. ② 개인정보처리자는 개인정보취급자 또는 개인정보취급자의 업무가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근 권한을 변경 또는 말소하여야 한다. ③ 개인정보처리자는 제 1 항 및 제 2 항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3 년간 보관하여야 한다. ④ 개인정보처리자는 개인정보처리시스템에 접근할 수 있는 계정을 발급하는 경우 정당한 사유가 없는 한 개인정보취급자 별로 계정을 발급하고 다른 개인정보취급자와 공유되지 않도록 하여야 한다. ⑤ 개인정보처리자는 개인정보취급자 또는 정보주체의 인증수단을 안전하게 적용하고 관리하여야 한다. ⑥ 개인정보처리자는 정당한 권한을 가진 개인정보취급자 또는 정보주체만이 개인정보처리시스템에 접근할 수 있도록 일정 횟수 이상 인증에 실패한 경우 개인정보처리시스템에 대한 접근을 제한하는 등 필요한 조치를 하여야 한다.
131번
문제
아래 그림의 포트스캔의 과정을 보고 물음에 답하시오. 가) A ——– (TCP 25) SYN ——–> B A <——– (TCP 25) SYN/ACK ——– B A ——– (TCP 25) RST ——–> B
나) A ——– (TCP 443) SYN ——–> B A <——– (TCP 443) RST ——– B
다) A ——– (TCP 110) SYN ——–> B
(1) 어떠한 포트 스캔 방식인가?
(2) 스캔하는 각 포트에 대한 서비스 명을 쓰시오.
(3) 각 포트 스캔의 결과를 적고 그 근거를 적으시오.
답
(1) TCP Half Open Scan
(2) SMTP, HTTPS, POP3
(3) 가) 요청을 받은 B 가 SYN/ACK 을 보내왔으므로 해당 포트는 열려 있고 접근 가능한 상태임. A 가 B 에게 RST 를 보내 내 연결을 끊었으므로 이는 스캔 흔적을 숨기기 위한 Stealth 포트 스캔 기법인 TCP Half-open 포트 스캔 방식임.
나) 요청을 받은 B 가 RST 를 보내왔으므로 해당 포트는 닫혀 있는 상태
다) 요청을 받은 B 가 응답이 없으므로 이는 포트는 사용 중이거나 방화벽으로 막혀 있는 상태임
132번
문제
여행사 업체의 개인정보 이용 약관 동의에 대한 동의서 내용을 보고 정보보안 법규에 어긋나는 부분 세 가지를 찾아서 기술하시오.
-
수집·이용 목적: 여행자 멤버십 등록 및 이벤트 업체 정보 제공
-
보유·이용기간: 멤버십 등록일로부터 탈퇴 시까지
-
수집항목: 성명, 생년월일, 주민등록번호, 주소, 이메일, 전화번호 ※ 정보의 수집·이용에 관한 동의는 거부하실 수 있습니다. 개인정보 수집·이용에 동의하십니까? 동의함, 동의하지 않음
답
-
이벤트 업체에 제공한다는 것에 대해 제 3 자 제공에 관한 동의를 별도로 받아야 하며, 제공하는 항목, 제공 기간 등에 대해 안내해야 함
-
멤버십 등록을 위해 주민등록번호를 수집하는 것은 과도하며, 수집근거가 드러나 있지 않음. 정당한 근거에 의해 수집하더라도 별도로 동의 받아야 함
-
동의에 거부할 수 있다는 내용과 안내 시 동의 거부에 대한 불이익도 같이 안내해야 함
133번
문제
보안 관리자는 모든 텔넷 접속 패킷들을 검사하는 스노트 룰을 작성하려고 한다. 다음 조건을 만족하는 룰을 작성하시오.
-
텔넷 서비스 포트는 기본 포트(well-known port)를 사용한다.
-
탐지 시 alert 를 발생시키고 이벤트 명으로 Dangerous 를 사용한다.
-
첫 번째 바이트부터 14 번째 바이트 범위 내에 anonymous 문자열 패턴이 있는지 검사한다.
답
alert tcp any any -> any 23 (msg: "dangerous"; content:"anonymous"; depth: 14;)
134번
문제
보기 A 는 공격자에 의해 웹사이트가 공격당하고 있는 상황이다. 공격 상황과 관련하여 물음에 답변하시오.
(1) 공격자가 브라우저에 아래와 같은 URL 을 입력하자 화면에 ‘1’이라는 숫자가 출력되었다. 아래 내용을 보고 어떤 공격인지 쓰시오. http://q.fran.kr/view.php?no=1 union select(substr(database(), 0, 1)) = ‘t’
(2) 위의 경로를 통해 공격자가 취할 수 있는 정보를 쓰시오.
(3) 관리자가 HTML 코드를 수정하여 ‘1’이 출력되지 않도록 조치하였다. 이 조치의 문제점을 서술하고 대응방안을 제시하시오.
답
(1) Blind SQL Injection
(2) 데이터베이스 명을 파악할 수 있다. 위 경로를 통해 데이터베이스의 첫 글자가 t 라는 것을 알 수 있으며, 유사한 공격을 반복하여 전체 데이터베이스 명을 알아낼 수 있다.
(3) 관리자 HTML 수정을 통해 특정 출력패턴을 숨기더라도 SQL Injection 이 동작하는 한 내부에서는 동작하고 있는 가능성을 배제할 수 없다. HTML 이 완벽히 차단되었더라도 내부적으로 악영향을 주는 쿼리문을 실행하는 것은 여전히 가능하다. HTML 을 변경하는 것보다는 prepared statement 를 이용하여 SQL Injection 공격을 원천 차단해야 한다.
135번
문제
논리적 망분리 시 인터넷망 가상화, 업무망, 가상화 비교 서버기반 논리적 망분리 기술 중 인터넷망 가상화와 업무망 가상화의 장점 각각 2 가지 이상 서술하시오.
답
(1) 인터넷망 가상화
-
가상화된 인터넷 환경 제공으로 인한 악성코드 감염을 최소화
-
인터넷 환경이 악성코드에 감염되거나 해킹을 당해도 업무 환경은 안전하게 유지 가능
(2) 업무망 가상화
-
가상화 서버 내 환경에 업무정보가 저장됨에 따라 업무 데이터의 중앙 관리 및 백업이 용이하고 내부정보 유출 방지 효과
-
사용자 통제 및 관리 정책의 일괄 적용 가능
136번
문제
사이트 보안 담당자는 신규 도입된 보안장비(방화벽, IPS/IDS, VPN 등)에 대해 취약점 분석 평가를 실시하고자 한다. 보안장비의 계정관리 취약점 측면에서 조치해야 할 사항을 4 가지 이상 서술하시오.
답
(1) 관리자 계정 - 보안장비에 기본적으로 설정되어 있는 관리자 계정을 변경한다.
(2) 관리자 계정의 패스워드 - 보안장비에 기본적으로 설정되어 있는 관리자 계정의 패스워드를 변경한다.
(3) 계정별 권한 설정 - 보안장비에 등록된 계정별 권한을 설정한다.
(4) 계정 관리 - 보안장비에 등록되어 있는 계정을 사용하지 않는 계정을 제거 또는 관리한다.
137번
문제
최근 알려진 NTP 취약점을 이용한 분산 서비스 거부 공격은 공격 대상 IP로 출발지 IP 를 변경한 monlist 요청을 다수의 NTP 서버로 전달하여 대량의 monlist 응답 패킷이 공격 대상으로 향하도록 하는 공격이다. 다음과 같은 보안 권고안에 대하여 그 의미를 설명하시오.
[NTP 취약점 대응방안]
1) ntp -version
2) disable monlist
3) ntpdc -c monlist “점검 대상 NTP 서버 IP”
4) iptables -A OUT -p udp –sport 123 -m length –length 100 -j DROP
답
(1) NTP 데몬의 버전을 확인하여 monlist 기능이 해제된 최신 버전으로 업그레이드한다.
(2) NTP 데몬의 monlist 기능을 해제한다.
(3) 점검 대상 NTP 서버가 monlist 명령을 허용하는 지 여부를 점검한다.
(4) NTP 서버의 iptables 를 이용하여 100byte 이상의 NTP 응답을 차단한다.
138번
문제
다음은 HTTP GET Flooding 공격에 대한 스노트 탐지이다. 다음 각각의 질문에 답하시오.
[보기]
alert tcp any any -> any 80 (msg:"HTTP Get Flooding Detect"; content:"GET /
HTTP/1.1";
nocase; threshold:type threshold, track by_src, count 10, seconds 1; sid:10000999)
(1) 스노트 룰이 매치된 이후 패킷이 탐지되었을 때의 처리방식을 의미한다. 탐지된 패킷을 차단하고 로그를 남기는 action 유형 2 가지를 쓰시오.
(2) 스노트 룰의 content 옵션은 패킷의 페이로드에서 검사할 문자열을 지정하기 위한 옵션이다. [보기]의 룰에서 content 옵션으로 지정한 문자열은 페이로드의 첫 번째 바이트로부터 13 번째 바이트 범위 내에서 검사하고자 할 때 다음과 같이 들어갈 옵션을 문법에 맞게 정확히 기술하시오.
(3) 스노트의 threshold 옵션은 이벤트 발생을 제어하는 옵션이다. 같은 룰에서 발생하는 이벤트 수를 제어하여 과도하게 많은 이벤트가 발생하는 것을 방지하기 위한 옵션이다.
[보기]의 룰에서 alert 이벤트 발생 수를 제한하는 기준과 방식을 정확히 기술하시오.
답
(1) drop, reject
(2) depth:13
(3) 출발지를 기준으로 매 1 초 동안 10 번째 이벤트마다 alert action 을 수행
139번
문제
정보통신서비스를 제공하는 사이트의 개인정보 관리 실태를 점검한 결과 개인정보파일에 다음 항목이 모두 암호화되지 않은 것을 확인하였다. 이 중 최소한 암호화가 필요한 항목 (A)과 대상별 안정성 기준 및 암호 알고리즘 (B)에 대해 서술하시오.
[보기] 이름, 성별, 전화번호, 비밀번호, 주민등록번호, 여권번호, 신용카드번호
답
(A) 비밀번호, 주민등록번호, 여권번호, 신용카드번호
(B)
-
비밀번호는 복호화되지 않도록 안전한 일방향 암호화 알고리즘.
-
SHA-224/256/384/512 등이 있으며 암호화한 값에 salt 를 추가하여 암호 강도를 높여야 함.
-
주민등록번호, 신용카드번호 등은 AES(256), SEED, ARIA -128/192/256, AES - 128/192/256 등으로 암호화.
-
RSA 등 공개키 암호화 알고리즘은 키 길이 2048bit 이상 권장.
140번
문제
파일 업로드 취약점 대응을 위한 .htaccess 파일 설정의 의미에 대하여 답하시오.
| (1) <FilesMatch .(ph | lib | sh | ) |
Order Allow DENY
Deny From ALL
</FilesMatch>
(2) AddType text/html .php .php1.php2.php3 .php4 .phtml
답
(1) FilesMatch 지시자를 이용, .ph, .lib, .sh 등의 Server Side Script 파일에 대해서 직접 URL 호출 금지 (업로드된 스크립트(웹쉘)의 실행을 방지하기 위한 목적임)
(2) AddType 지시자를 이용 Server Side Script 확장자를 text/html MIME Type 으로 재조정하여 업로드된 스크립트 실행 방지