문제11) 정보보호 제품 신속 확인 제도 답) 1. 신기술 신속 진입, 정보보호제품 신속확인 제도의 개요 가. 정보보호제품 신속확인 제도의 정의 신기술, 융·복합 제품에 대해 최소한의 절차와 인증 기준으로 보안 제품을 평가한 뒤 평가 기준이 마련될 때까지 공공부문에 제품을 적용할 수 있도록 하는 제도 나. 정보보호제품 신속확인 목적 신기술 신속 진입 기존 인증제도에서 평가기준이 없는 신기술 및 융·복합제품의 공공시장 진입 국가 역량 강화 정부·공공기관의 혁신 제품 도입을 통한 신규 보안 위협 대응 등 국가 사이버 위협 대응역량 강화 2. 정보보호제품 신속확인 제도 개념도와 기술요소 가. 정보보호제품 신속확인제도 개념도 나. 정보보호제품 신속확인제도의 핵심기술 구분 핵심기술 설명 대상검토 기존제도 검토 제..

문제4) 블록 암호화 알고리즘 답) 1. 블록 암호화 알고리즘의 개념 블록 암호화는 평문을 고정 길이의 블록단위로 나누어 각 블록마다 암호화를 수행하여 고정된 크기의 블록 단위암호문을 생성하는 암호화 기술 2. 블록 암호화 알고리즘의 종류 분류 종류 설명 특징 SPN 구조 AES DES를 대체하는 미국의 연방 표준 암호화 알고리즘으로 암호화 복호화 과정에서 동일한 키를 사용하는 대칭키 기반 암호화 알고리즘 입력 평문의 길이는128 비트로 고정되며 키의 길이는 선택 가능 ARIA 학계, 연구소, 정부기관에서 공동으로 개발한 ISPN 구조의 대칭키 암호 알고리즘으로 초경량 환경 및 하드웨어 구현에 최적으로 개발된 알고리즘 고정길이(128비트)의입력 및 출력, 가변 길이의 키 길이 지원 Feistel 구조 D..

문제10) 크리덴셜 스터핑(Credential Stuffing) 답) 1. 사용자 계정을 탈취하는 공격 유형, 크리덴셜 스터핑 개요 가. 크리덴셜 스터핑(Credential Stuffing)의 정의 공격자가 미리 확보한 로그인 자격증명(크리덴셜,Credential)을 다크웹 등을 통해 거래 후 다른 계정에 무작위로 대입(스터핑, Stuffing)해보며 사용 자의 계정을 탈취하는 공격 방식 나. 크리덴셜 스터핑(Credential Stuffing)의 특징 사용자 계정 탈취 무작위 대입을 통한 인터넷 사용자 계정 탈취 목적 계정 생성 패턴 이용 인터넷 사용자의 계정 생성 특징을 노린 공격 크리덴셜 스터핑은 인터넷 사용자들이 동일 로그인 정보를 여러 사이트에서 사용한다는 점을 노린 공격 2. 크리덴셜 스터핑(..

문제9) 포스트 양자 암호(Post-Quantum Crytography) 답) 1. 암호 체계 붕괴 대비하는, 포스트 양자 암호 개요 가. 포스트 양자 암호(Post-Quantum Cryptography) 양자 컴퓨터의 보안 위협에 대응할 수 있는 암호 기술로, 양자 컴퓨터의 연산능력으로도 풀 수 없는 수학적난제를 활용한 암호화 기술 나. 양자 알고리즘의 특징과 안전성 알고리즘 특징 암호 영향 Shor 인수분해 문제 해결 속도 감소 공개키 더 이상 안전하지 않음 Grover 정렬되지 않은 데이터베이스의 원소를검색하는 속도 향상 대칭키 키 사이즈 증가 필요 해시 암호 알고리즘의 출력 길이 증가 필요 2. 포스트 양자 암호 유형 유형 설명 알고리즘 다변수기반 (Multivariate-based) 암호 안전성..

문제4) 최근 정보통신의 발전으로 인해 도감청이 불가능한 양자암호 통신에 대한 관심이 높아지고 있다. 양자 암호 통신에 대하여 다음을 설명하시오. 가. 양자암호통신의 암호키 분배방식 나. 양자암호통신의 주요기술 다. 양자암호통신의 취약점 답) 1. 양자암호통신의 암호키 분배방식 가. 양자암호통신의 개념 개념 설명 개념 양자의 특성인 양자중첩, 얽힘, 불확정성 등 양자역학원리를 이용하여, 암호화키를 송/수신부에 분배하고, 이를 통해 암호화통신을 진행하는 암호통신기술 개념도 양자암호통신 프로토콜은 BB84, B92, EPR 등이 존재하며 BB84 프로토콜 통해 양자암호통신 암호키 분배방식 설명 나. 양자암호통신(BB84) 암호키 분배 방식 설명 No 분배방식 개념도 설명 ① 편광필터 선택 양자암호통신에 사용..

문제3) 정보윤리와 관련하여 다음에 대하여 설명하시오. 가. 정보윤리 정의 및 원칙 나. 컴퓨터(사이버) 범죄의 정의와 특징, 종류와 그 대응책 다. 컴퓨터(사이버) 중독의 정의, 종류와 그 문제점 답) 1. 사이버 공간의 윤리, 정보윤리의 정의 및 원칙 가. 정보윤리의 정의 사이버 공간에서 옮고 그름, 좋음과 나쁨 등 윤리적인 것과 그렇지 않은 것을 올바르게 판단하고 행동할 수있게 하는 규범 체계 나. 정보윤리의 원칙 원칙 설명 존중(respect) 나 자신이 존중받기 위해서는 상대방을 먼저 배려하고 존중하는 태도를 보여야 한다 정의( justice) 다른 사람의 기본적인 자유와 권리를 침해하지 말아야 하며, 자신이 제공하는 정보에대한 완전성, 공정성 등을 추구해야 한다. 책임 (responsibili..

문제5) EMP공격(ElectroMagnetic Pulse attack) 에 대하여 다음 물음에 답하시오 가. EMP 공격의 정의와 구분 나. HEMP(High atltitube EMP)의 원리 다. EMP 공격의 위협을 정의하고 위협별 방호방안 제시 답) 1. 전자기기 및 통신기기 마비, EMP 공격의 개요 가. EMP 공격(ElectroMagnetic Pulse attack)의 정의 정의 전자 장비를 물리적으로 파괴시킬 정도의 강력하고 순간적인 전자적 충격파(전자기파)를 이용한 공격 나. EMP 공격의 구분 구분 설명 고출력 비핵 전자파 (High Power Electro-Magnetic) 전기장치, 전자장치 파괴를 위해 신호발생기 등을 통해 의도적으로 발생시키는 고출력 전자기파 펄스 유지기간은 짧지..

문제3) 미라이 봇넷 Mirai Botnet) 에 대하여 설명하시오 가. 미라이 봇넷의 개념 나. I oT 서비스 생애주기별 보안위협 및 해결방안 다. IoT 공통보안 7 대 원칙 답) 1. IoT 기기 좀비화 통한 DDoS 공격, 미라이 봇넷(Mirai Botnet) 의 개념 개념도 개념 DDoS 공격을 수행하기 위해 IoT 기기들을 악성코드에 감염시켜 좀비 네트워크로 구성한 봇넷 특정 웹사이트에 DDoS 공격을 하기위해 보안에 취약한 IoT 기기들을 악성코드에 감염시킨 후좀비화 및 봇넷을 구성하여 공격하는 기법 특징 감염대상 IoT 장비 셋탑박스 공유기 CCTV, NAS, IP CAM 등 수백만개의 I oT 장비들 23 번 p ort ( t elnet ) 크로스 컴파일 IoT 장비마다 다양한 CPU ..

문제2) 웹서버의 안전한 운영을 위해 다양한 방안을 고려할 수 있다. 다음을 설명하시오. 가. 리버스 프록시(Reverse Proxy)의 개념, 동작원리, 설정방법 나. DDoS 사이버대피소 답) 1. DDoS 공격 방어개요 및 리버스 프록시(Reverse Proxy)의 개념 개념 클라이언트가 서버를 호출할 때 리버스 프록시를 호출하게 되고 프록시 서버가 서버를 요청하여 받은 응답을 클라이언트에게 전달하는 방식의 장비 특징 로드밸런싱 리버스 프록시 뒤에 여러 대 서버 배치 함으로써, 사용자 요청 분산 역할에 따라 서버의 트래픽을 분산 가능 성능향상 리버스 프록시의 캐싱 정보 활용 응답속도 향상 보안 내부 IP 노출 방지 운영서버에 직접 접근하는 것 방지 (DMZ 위치) 리버스 프록시가 운영서버를 은닉 시..

문제1) 인포스틸러(InfoStealer) 개념을 설명하고 공격 절차와 공격에 대한 대응방안을 조직의 정보보안 담당자 입장에서 설명하시오. 답) 1. 인포스틸러(InfoStealer) 개념 운영체제나 프로그램에 저장된 자격 증명과 각종 정보를 훔치는 악성코드 웹브라저의 자동로드인 정보를 탈취 2. 인포스틸러(InfoStealer) 공격 절차(웹 브라우저) 공격절차 설명 1 스팸 메일 등을 통한 악성코드 감염 2 웹 브라우저에 저장된 계정, 쿠키, 카드, 히스토리, 자동 완성 정보를 저장하고 있는 DB파일에 SQL 쿼리를 통해 필요한 데이터를 추출 3 AES 키등의 복호화하여 암호화된 데이터의 평문화된 정보를 수집 3. 인포스틸러(InfoStealer) 공격에 대한 대응방안(조직의 정보보안 담당자 입장) ..