(제 22회) 보안 / (113)~(114) 해설

113. 다음 SW 개발과정에서 발생할 수 있는 취약점 설명에 대한 내용으로 가장 적절한 것은?  악성 스크립트가 포함된 URL을 공격자가 클라이언트에게 노출시켜 클릭을 유도하고, 쿠키 정보를 탈취하거나 피싱 사이트, 불법 광고 사이트로 이동하게 만든다. ① Stored XSS ② Reflective XSS③ SQL Injection ④ Command Injection ▣ Reflective XSS외부에서 입력된 값이나, DB에 저장되어 있는 값을 사용하여 동적인 웹페이지를 생성하는 애플리케이션이 입력 값에 대한 충분한 검증작업 없이 입력값을 사용하는 경우 발생 ● Stored XSS 정답 : ②  114. 다음 중 개인정보 비식별화 방법(조치)으로 가장 적절하지 않은 것은? ① 데이터 합성(data s..

(제 22회) 보안 / (111)~(112) 해설

111. TCP 세션 하이재킹 공격을 탐지하는 방법으로 가장 적절하지 않은 것은? ① 서버와 시퀀스 넘버를 주기적으로 체크하여 비동기화 상태에 빠지는지 탐지한다.② 공격자가 중간에 끼어 작동하므로 패킷의 유실 및 재전송이 증가하는지 탐지한다.③ SYN 패킷의 비율이 급격히 늘어나는 현상인 SYN Storm이 발생하는지 탐지한다.④ 세션을 빼앗기거나 공격에 실패하는 경우 세션이 리셋되므로 예상치 못한 접속의 리셋을 탐지한다. ▣ TCP 세션 하이재킹TCP 세션 하이재킹은 TCO 의 고유한 취약점을 이용해 정상적인 접속을 빼았는 방법서버와 클라이언트 통신 시 TCP 의 시퀀스 넘버를 제어하는 데 발생하는 문제를 공격시퀀스 넘버가 잘못되면 이를 바로잡기 위한 작업을 하는데, TCP 세션 하이재킹은 서버와 클라..

(제 22회) 보안 / (109)~(110) 해설

109. 모바일 운영체제의 보안 위협에 대한 설명으로 가장 적절하지 않은 것은? ① iOS는 기본적으로 유닉스에 바탕을 두고 있으나, 원격지에서 iOS를 구동하는 단말기에 명령어 입력이 가능한 응용 프로그램을 허용하지 않는다.② iOS와 안드로이드 모두 샌드박스(sandbox)를 활용하고 있으나, 안드로이드가 iOS에 비해 상대적으로 애플리케이션 간 통신과 데이터 전달이 자유롭다.③ 안드로이드는 모든 앱에 대해서 코드 서명(code signature)을 등록하도록 하고 있으며, CA를 통해 각 응용 프로그램을 서명하여 배포한다.④ 안드로이드는 설치된 모든 응용 프로그램이 일반 사용자 권한으로 실행되며, 사용자의 데이터에 접근할 때 모든 사항을 응용 프로그램 사양에 명시한다. ▣ iOS 와 안드로이드의 보..

107. 다음 중 데이터베이스 보안 요구사항으로 가장 적절하지 않은 것은? ① 데이터에 대한 허용 값을 통제함으로써, 변경 데이터의 논리적 일관성을 보장한다.② 중요 데이터에 대한 기밀성을 보호하고, 인가된 사용자만 접근을 허용해야 한다.③ 사용자가 통계 집합적 데이터로부터 개별적인 데이터 항목에 대한 정보를 추적할 수 있어야 한다.④ 트랜잭션의 병행처리시 데이터에 대한 논리적 일관성이 보장되어야 한다. ▣ DB 보안 요구사항 요구 특성내용인증(Authentication)데이터베이스에 접근하는 사용자가 정당한 사용자임을 확인정당한 인증절차를 통하지 않고 데이터베이스 접근 불가무결성(Integrity)데이터베이스 내 정보의 부적절한 변경을 방지 및 감지정당한 사용자라 할지라도 본인의 정보 이외에 다른 사람..

105. 다음 중 무선 통신 암호화 기술에 대한 설명으로 가장 적절하지 않은 것은? ① WPA2는 CCMP 알고리즘을 사용하여 암호화한다.② WPA2는 Access Point에 접속하는 단말기마다 지정된 암호화 키를 재사용한다.③ WPA-EAP는 사용자가 입력하는 아이디, 패스워드를 사용하는 사용자 인증 방식이다.④ WPA-EAP는 사용자별 무선랜 연결 세션마다 지정된 암호화 키를 재사용한다. ▣ 개인 모드와 비교하여 엔터프라이즈 모드에서 인증 측면에서 추가된 사항사용자 인증 수행사용 권한을 중앙에서 관리인증서, 스마트 카드 등 다양한 인증 제공세션별 암호화 키 제공 정답 : ④  106. SHA-2를 대체하기 위해서 발표한 해시함수인 SHA-3에 대한 설명으로 가장 적절하지 않은 것은? ① SHA-3의..

103. 다음 중 전자서명에 대한 설명으로 가장 적절하지 않은 것은?① 서명자가 서명한 후에 원본 메시지와 전자서명의 내용을 수정할 수 없다.② 개인키를 가진 사용자만이 생성할 수 있는 정보로 서명자를 인증할 수 있다.③ 개인키를 아는 사용자만이 생성할 수 있는 정보 이므로 부인 방지 기능을 제공한다.④ 디지털 정보이므로 한 문서의 전자서명을 복사하여 다른 문서의 서명으로 사용할 수 있다. ▣ 전자서명 전자문서를 작성한 작성자의 신원과 당해 전자문서가 그 작성자에 의해 작성되었음을 나타내는 전자형태의 서명 ● 전자서명의 조건 조건설명위조불가(Unforgeable)합법적인 서명자만이 전자문서에 대한 전자서명을 생성할 수 있음서명자 인증(Authentic)전자서명의 서명자를 누구든지 검증할 수 있음부인방지(..

101. 다음에서 설명하는 것으로 가장 적절한 것은? 장치나 시스템 구조를 분석하여 원리를 발견하는 과정을 의미하며, 이미 만든 프로그램의 동작원리를 이해하여 유사한 프로그램을 만드는 데 사용하기도 하고 프로그램의 보안 문제, 동작 문제, 오류 등을 제거/검토하는데 사용하기도 한다.① 백도어(backdoor)② 포맷 스트링(format string)③ 문맥교환(context switching)④ 리버스 엔지니어링(reverse engineering) ▣ 리버스 엔지니어링(reverse engineering)1) 리버스 엔지니어링 공격공격자는 공격대상 시스템 또는 응용프로그램에 대한 분석을 수행분석 후 해당 시스템이나 응용프로그램이 갖고 있는 취약점을 찾을 수 있으며 이 취약점을 공격할 수 있는 코드를 생..

98. 다음 중 여러 분류기를 하나의 메타 분류기로 연결하여 개별 분류기보다 더 좋은 성능을 달성하는 머신러닝 기법으로 가장 적절한 것은? ① 다변량 선형회귀(multivariate linear regression)② 앙상블 학습(ensemble learning)③ K-평균(K-means) 알고리즘④ LSTM(Long Short-Term Memory) ▣ 해설기법개념다변량 선형회귀(multicariate linear regression)선형회귀모델의 경우, 출력변수 Y 를 입력변수 X 들의 선형결합(변수들을 덧셈과 뺄셈만으로 결합)으로 표현기울기(β0)와 Y절편(β0)으로 표현(미래 Y값 예측)다수의 X로부터 Y를 예측하는 모델이 다변량 선형 회귀앙상블 학습(ensemble learning)학습 알고리즘..

96. 하이퍼바이저에 대한 설명으로 가장 적절하지 않은 것은?  ① 반가상화 방식은 가상화를 위해 하이퍼바이저가 특권모드를 차지한다.② Type1 기법은 하이퍼바이저가 직접 하드웨어를 제어하는 방식이다.③ Type1 기법은 Type2 기법보다 동작과정에 오버헤드가 있지만 하이퍼바이저가 가볍다는 장점이 있다.④ Type2 기법에는 VirtualBox, Virtual PC 등이 있다. ▣ 해설구분Type1(Native Hypervisor)Type2(Hosted Hypervisor)컨테이너 기반 가상화개념도방식반가상화(Bare0Metal 방식)일부를 가상화하고 일부는 가상화 없이 실제 하드웨어 그대로 사용특권모드 명령어를 hypercall 로 변환하여 실행전가상화하드웨어를 완전히 가상화Application 이..

94. 다음 중 스위치(switch)에 대한 설명으로 가장 올바른 것은?  ① L2 스위치는 MAC이 수집 가능한 로컬 네트워크 구간에서 스위칭이 가능하고 특정 IP주소에 대해 내부 네트워크 혹은 라우터 중 어디로 보낼지를 판단할 수 있다.② L3 스위치는 3계층인 네트워크에서 사용하는 목적지 주소인 IP에 대한 스위칭이 가능하다. 이는 라우터와 유사한 기능이나 라우터가 훨씬 더 다양한 기능을 수행한다.③ L4 스위치는 IP 주소를 기반으로 스위칭 할 수 있으며, 특정 IP의 포트 번호로 들어온 프레임을 여러 서버의 특정 포트 번호로 재분배하는 것이 가능해서 부하분산에 많이 사용된다.④ L7 스위치는 애플리케이션 계층을 인식할 수 있으며, HTTP의 URL이나 FTP의 파일명, UDP의 주소 등을 인식할..