[정보보안 기사/산업기사 - 애플리케이션 보안] 오답노트

 

오답노트를 적을 생각을 하게 된건 단순히 저번 시험에서 떨어지고 나서 다시 공부하면서가 아니다.

반년전에 풀었던 문제임에도 불구하고 또 정답이 기억이 안나고 다시 틀리는 것을 반복하고 여러 회차를 풀어도 기억안나는 문제는 여전히 틀리는 내 자신을 보며 다시한번 기억력 ㅆㅎㅌㅊ의 금붕어를 빙의한 내 인생에 감탄하며 글을 적어 남기기로 작심했다.

 

1 ~ 3 회차 문제는 이미 풀어서 여기에 포함되어 있지 않습니다.

 

 

FTP (4회 43번, 8회 48번, 14회 45번)

제어 연결은 세션동안 유지되지만 데이터 전송 연결은 데이터가 전송될때 마다 새로 연결/해제 된다.

STOR : 원격지 파일 저장

 

 

 

 

 

 

전자투표 (4회 44번, 6회 47번)

PSEV : 이미 정해져있는 기존 투표소에서 투표기를 이용하여 투표를 실시한 후 전자식 투표기록장치를 개표소로 옮겨와 컴퓨터로 집계

Kiosk : 정해지지 않은 임의 투표소에서 전자투표, 투표소와 개표소를 온라인으로 연결하여 투표결과는 자동적으로 개표소로 전송되어 자동적으로 집계

REV : 가정이나 직장에서 인터넷을 통하여 투표, 투표 결과가 개표소나 중앙관리센터로 보내져 자동적으로 집계

요구사항

• 정확성 : 시스템이 투표용지를 수정, 삭제할 수 없고 유효한 투표용지가 투표 기록에 올바로 카운트 되며 투포 집계 결과에 있어 정확해야함
• 비밀성 : 시스템이 투표권을 행사하는 투표자에게 연결되어 있지 않고 어떠한 방법으로도 투표자가 누구에게 투표를 했는지 증명할 수 없어야함
• 위조 불가능성 : 선거관리센터로부터 인증을 받은 투표권은 제3자에 의해 위조가 불가능해야한다. 
• 단일성 : 합법적인 투표자는 단지 한 번의 투표권만 행사 해야한다. 
• 합법성 : 합법적인 절차를 통해 투표권을 얻은 사람만이 투표 할 수 있다. 
• 공정성 : 투표 진행과정에서 다른 사람의 투표권 행사에 의해 자신의 투표권 행사가 전체 투표에 영향을 줄 수 없어야함. 
• 확인성 : 투표자가 올바르게 자신의 투표용지가 카운트 되었는지 확인할 수 있어야함
• 투표권 매매방지 : 투표권을 타인에게 매매할 수 없다. 
• 완전성 : 투표자들이나 집계자의 부정에 의해 투표시스템의 모든 투표 진행이 중단되거나 불완전한 결과를 초래하면 안된다.

 

 

SMTP (4회 45번)

AUTH : 송신자 인증 서비스

ESMTP : SASL을 이용한 보안 연결

MIME : Non-Ascii 데이터 전송 포맷

 

 

S/MIME (6회 54번)

제공 서비스 : 메시지 무결성, 메시지 기밀성, 부인 방지

 

 

PGP (4회 48번, 5회 51번, 7회 46번)

 

48. 다음 중 PGP에 대한 설명으로 올바르지 못한 것은?

① PGP는 메시지인증 기능도 지원한다.

② IDEA암호알고리즘을 이용하여 암호화 한다.

③ 세션 키 로서 128비트 랜덤 키를 사용한다.

④ 수신자는 세션 키를 자신이 생성한다.

답: 4번 (PGP - IDEA / 송신자가 세션키 생성)

 

51. 다음 중 PGP에 대한 설명으로 올바르지 못한 것은?

① 이메일 어플리케이션에 플러그인으로 사용이 가능하다.

② 키분배센터와 연결되어 공개키 취득이 어렵다.

③ 메뉴 방식을 통한 기능 등에 쉽게 접근이 가능하다.

④ 필 짐버만이 독자적으로 개발하였다.

답: 2번

 

46. 다음 중 PGP(Pretty Good Privacy)의 기능과 거리가 먼 것은?

① 전자서명

② 권한 관리

③ 압축

④ 단편화와 재조립

답 : 2번

해설 : PGP는 전자우편 소프트웨어 패키지이다. 이메일 콘텐츠 보안을 위한 기술이 적용되었다. 인증 기능은 제공하나 별도의 권한 관리 기능은 포함되지 않는다.

 

 

전자화페 (4회 50번, 4회 52번)

아래 단계가 순환되므로 순서는 없다.

인출 단계(withdrawal phase;) : 사용자 - 금융기관

지불 단계(payment phase) : 상점서버 - 사용자

예치 단계(deposit phase) :상점서버 - 금융기관

 

안전성(Security) : 물리적 안전성으로 위조의 어려움이 있어야하고 논리적으로도 안정적이어야 함

프라이버시(Privacy) : 사용자의 거래 내용은 상점은 물론 은행에서도 추적 할 수 없어야 함

                                 (불추적성(Untraceability), 불연계성(Unlinkability))

이중사용방지 : 부정한 사용자가 전자화폐를 불법적으로 복사하여 여러번 반복적으로 사용 할 수 없어야 함

양도성(Transferability): 타인에게 즉시 양도할 수 있어야 한다.

분할성(Divisibility): 큰 단위 화폐를 작은 단위의 화폐로 분할할 수 있어야 함

 

 

41. 다음 중 DNSSEC로 방어가 가능한 최신 보안 이슈는 무엇인가? (5회 41번)

① 피싱

② 파밍

③ 스미싱

④ 큐싱

답: 2번

 

 

SSL (5회 43번, 6회 44번, 6회 46번)

ㅇ 1994년네스케이프사의웹브라우저를위한보안프로토콜이다.

ㅇ 1999년 TLS(Transparent Layer fecurity) 라는 이름으로 표준화되었다.

ㅇ TCP 계층과 응용 계층 사이에서 동작한다.

ㅇ SSL/TLS의 가장 하위 단은 Record Protocol 이다.

ㅇ SSL/TLS를 시작하기 위한 최초의 교신은 암호화와 MAC 없이 시작한다.

ㅇ SSL은 SSL Handshake Protocol, SSL Change Cipher Spec, SSL Alert Protocol 부분과 실질적인 보안 서비스를 제공하는 SSL Record Protocol 부분으로 나누어져 있다.

ㅇ SSL에서는 RSA, 디피헬만 알고리즘을 이용한다.

Abbreviated Handshake : 한동안 통신을 하지 않다가 재통신할 때 보내는 메시지

Record Protocol : 

• 기밀성을 위한 데이터 암호화를 수행한다.
• 무결성을 위한 MAC을 생성한다.
• 아래 3개의 프로토콜 하위에 위치하며 실질적인 보안을 수행한다.
• 동작 순서
  • 단편화 → 압축 → MAC추가 → 암호화

 

 

SCT 프로토콜 (5회 45번)

- 전자상거래 사기를 방지한다.

- 기존 신용 카드 기반 그대로 활용이 가능하다.

- 상점에 대한 인증을 할 수 있다.

 

 

전자입찰 (5회 54번)

전자 입찰 요구사항 : 비밀성, 무결성, 독립성

 

 

SET (5회 55번, 7회 49번)

구성요소 : 상점, 고객, 매입사

단점 : 별도의 소프트웨어, 하드웨어가 필요한 것이 SET의 주요 단점 중 하나이다.

 

 

패키져 (5회 56번)

보호 대상인콘텐츠를메타 데이터와 함께 시큐어 콘테이너 포맷 구조로 패키징하는 모듈이다.

 

 

이메일 전달 시스템 (5회 58번)

• MTA : MUA로 의해서 전달 받은 메세지를 다른 메일 서버로 전달해 주는 프로그램(Qmail, Sendmail)
• MUA : 사용자가 메일을 보내기 위해 사용하는 프로그램 (Outlook, Mozilla Thunderbird 등등)
• MDA : MTA가 수신한 메시지를 사용자의 우편함(계정에 맞는 폴더로 메일을 저장)에 쓰기 위한 프로그램
• MRA : 리모트 서버에 있는 우편함으로부터 사용자의 MUA로 메시지를 가져오는 프로그램

 

eCash (6회 45번)

ㅇ 기존 지급결제 방식이 프라이버시를 보호하지 못한다는 문제의식 속에서 개발되었다.

ㅇ 은닉 서명 기술을 이용하여 정당한 지불임을 입증하면서 사용자의 거래기록은 익명처리 된다

ㅇ 데이비드 차움이 1990년에 개발한, 은닉 서명을 이용한 네트워크형 전자화폐

ㅇ 중앙집중식 전자 화폐

ㅇ 신용카드 활성화와 맞물려 활성화되지 않음

 

 

PEM (6회 55번)

ㅇ IETF 이메일 보안 표준

ㅇ 중앙 집중화된 키 인증

ㅇ 구현의 어려움

ㅇ 군사용, 은행용 시스템에 주로 사용

 

 

Mod_Security (6회 58번)

기능 : Request Filtering, Audit Logging, HTTPS Filtering

 

 

Unified Threat Management(UTM, 6회 58번)

• 통합보안시스템, 통합위협관리시스템 등으로 해석되며, 주로 영문 약자인 UTM으로 부른다.
• 방화벽, 침입 탐지·방지 시스템, 백신, 가상사설망 등 다양한 보안 장비를 하나의 장비로 통합한 것을 말한다.
• 실무적으로 흔히 IDS·IDS와 방화벽이 결합된 형태를 말한다.
• 경제성이 있고 보안 관리가 편해지지만 장애 발생시 보안기능에 심각한 영향을 미친다.

 

웹 방화벽 (6회 59번)

• KISA의 CASTLE
• ATRONIX의 WebKnight: 윈도우의 대표적인 웹 방화벽
• TrustWave의 ModSecurity: 리눅스의 대표적인 웹 방화벽

 

 

데이터베이스 복구를 위해 만들어지는 체크포인트 (7회 47번)

일정 시간 간격으로 만들어지는 DBMS의 현재 상태에 대한 기록

 

 

DB 보안 요구 사항 (7회 48번)
-부적절한 접근 방지 : 인가된 사용자에게만 접근이 허락 / 모든 접근 요청은 DBMS가 검사 

-추론 방지 : 기밀이 아닌 데이터로부터 기밀 정보를 얻어내는 가능성을 막는 것 

-데이터 무결성 : 의도치 않은 데이터 변경이나 삭제, 시스템 오류, 고장으로부터 DB를 보호 
-감사 기능 : DB에 대한 모든 접근에 대해 감사 기록으 생성되어야 함 
-사용자 인증 : 별도의 엄격한 사용자 인증 방식이 필요 
-다단계 보호 : 데이터를 등급으로 분류함을 통해 기밀성과 무결성을 보장

 

 

Mail Bomb (8회 51번)

메일 서비스를 대상으로 할 수 있는 공격 기법

 

 

 

포맷 스트링 취약점 점검 툴 (8회 55번)

gdb, objdump, ltrace

 

 

스니핑 도구 (8회 55번)

tcpdump

 

 

 

SSO (Single Sign On, 8회 57번)

장점 : 운영 비용 감소, 사용자 편의성 증가, 중앙 집중 관리를 통한 효율성 증대

단점 : Single Point of Failure에 대한 안전성

 

 

 

프로토타입 모델 (8회 60번)

사용자 요구사항의 정확한 파악

 

 

Receive (9회 43번)

전자메일의 실제 발송자를 추적하기 위해 사용되는 메일헤더의 항목

 

 

index.dat (9회 55번)

Internet Explorer의 History 로그가 저장되는 파일

 

 

IMAP (9회 56번)

- IMAP은 사용자에게 원격지 서버에 있는 e-mail을 제공 해 주는 프로토콜 중의 하나이다.
- IMAP으로 접속하여 메일을 읽으면 메일 서버에는 메일이 계속 존재한다.
- 프로토콜에서 지원하는 단순한 암호인증 이외에 암호화 된 채널을 SSH 클라이언트를 통해 구현할 수 있다.

 

 

WPA2 (9회 59번)

이 무선 랜 보안 표준은 IEEE 802. 11i(2004년)을 준수하며, 별도의 인증 서버를 이용하는 EAP 안중 프로토콜을 사용하고. 암호 키를 동적으로 변경 가능하며, AES 등 강력한 블록 임호 알고리즘을 사용한다.

 

 

HTTP (10회 42번)

GET은 요청 받은 정보를 다운로드하는 메소드이다.
POST는 서버가 전송된 정보를 받아들이고 서버에서 동작하도록 하는 메소드이다. 
PUT은 내용이 주어진 리소스에 저장되기를 원하는 요청과 관련된 메소드이다.

 

 

46. 다음 중 암호 키 보호에 하드웨어를 사용하는 기술과 가장 거리가 먼 것은? (10회 46번)
① 스마트카드
② HSM
③ TPM
④ SIM

답 : 4번

 

 

49. 다음은 전자상거래 보안 프로토콜에 대한 설명이다. 설명으로 옳지 않은 것은?

① SET : 공개키 기반 구조를 바탕으로 사용자 인증
② SSL : 제어 프로토콜과 레코드 프로토콜의 2계증으로 구성
③ SET : 트랜잭션 정보의 비밀성 보장을 위하여 공개키, 비밀키 암호방식을 혼합하여 사용
④ SSL : 하이퍼링크 앵커는 서버 식별, 요구되는 암호 매개변수 등을 지시

답 :4번

 

 

PGP의 기능 (10회 50번)
기밀성, 전자서명, 단편화와 재조립

 

58. Spam Assain 스팸 필터링 분류 기준이 아닌 것은? (10회 58번)
① 헤더
② 본문 내용
③ MAC 주소
④ 첨부파일

답 : 3번

 

 

Trojan Horse 공격 (10회 59번)

E-mail의 첨부파일을 열었을 대 악성코드가 실행되거나 특정파일을 선택했을 때 바이러스가 확산되는 공격유형

 

 

SYN Flooding (14회 42번)

웹서버 운영체제 자원을 고갈시키는 DoS

1. 공격자가 SYN만 보내고 아무런 동작을 하지 않는다.

2. 서버에서 연결 요청이 TCP Connection Timeout 시간 동안 계속 SYN Backlog Queue에 남는다.

3. 다수의 클라이언트가 고의로 서버의 SYN Backlog Queue를 가득 채운다.

4. Queue가 가득차면 더이상의 연결요청을 받아 들일 수가 없어서 정상적인 client의 가용성을 해치게 된다.

 

rc.d/rc.local (14회 46번)

백도어 프로그램을 이용하여 시스템이 재시작되어도 본인이 설치한 프로그램이 실행되도록 할 때 쓰이는 파일

 

 

51. 다음 사항들 중 웹 서비스에 대한 취약점의 조치사항과 가장 거리가 먼 것은? (14회 51번)

① 폐쇄형 사이트로 운영

② 해외 IP차단

③ 쿠키의 활용

④ 세션 정당성 검증

답 : 3번

 

 

오용 탐지 방법, Misuse Detection (14회 53번)

- 이미 알려진 패턴을 기반으로 하므로 오탐률이 낮다.

- 새로운 공격에 대응이 어려운 단점이 있다.

 

 

BOF에 취약한 함수 (14회 59번)

strcpy, getbyhostname scanf