119. 다음의 C 코드가 갖는 문제점으로 가장 적절하지 않은 것은? int CheckLogin() { char* _username = (char*) malloc(32); char username[32]; scanf("%s", _username); strcpy(username, _username); ... } ① 스택 오버플로우(stack overflow)② 힙 오버플로우(heap overflow)③ 메모리 접근 위반(memory access violation)④ 정수 오버플로우(integer overflow) ▣ 정수형 오버플로우사용자 입력값을 정부형으로 사용할 때 입력값의 크기를 검증하지 않을 경우 발생정수값이 허용된 가장 큰 값보다 더 커져서 실제 저장되는 값은 아주 작은 수 이거나 음수로 되는 현..

117. 패스워드 기반 암호(PBE : Password Based Encryption) 방식에 대한 설명으로 가장 적절하지 않은 것은? ① PBE는 Java의 java.crypto 패키지에 내장되어 있으며, PGP에서 키를 관리할 때도 사용되고 있다.② 키를 암호화하는데 사용하는 키(KEK : Key Encryption Key)와 메시지를 암호화하는데 사용하는 키 (CEK : Contents Encryption Key)가 필요하다.③ KEK를 생성하는데 솔트(salt) 값을 이용하면 중간자 공격(man-in-the-middle attack)을 방지할 수 있다.④ KEK를 생성하기 위해 패스워드와 의사난수 생성기로 만들어진 솔트(salt)를 입력으로 사용한다. ▣ 암호화 키 용어용어설명세션키(Session..

115. HTTP 프록시 서버를 이용하는 브라우저가 HTTPS를 적용하는 상황에 대한 설명으로 가장 적절한 것은? ① 가, 나 ② 가, 라③ 나, 다 ④ 다, 라 ▣ Proxy Server 를 통한 SSL 터널링1) HTTP CONNECT 메소드HTTP 프로토콜 상에 다른 프로토콜의 패킷을 흘릴 수 있게 함프록시 서버를 거쳐, 대상 서버에 접속하는 것을 목적으로 함주로 HTTPS 통신을 중계하는 용도로 사용됨HTTPS 지원이 없는 클라이언트도 Proxy Server 의 HTTPS 프록시 기능을 사용하여 HTTPS 문서에 엑세스 할 수 있음 2) 터널링 구성 프로세스클라이언트에서 Proxy 서버로 connect 명령 수행(CONNECT test.abc.com:443 HTTP/1.0)프록시 서버에서 접속 응..

113. 다음 SW 개발과정에서 발생할 수 있는 취약점 설명에 대한 내용으로 가장 적절한 것은?  악성 스크립트가 포함된 URL을 공격자가 클라이언트에게 노출시켜 클릭을 유도하고, 쿠키 정보를 탈취하거나 피싱 사이트, 불법 광고 사이트로 이동하게 만든다. ① Stored XSS ② Reflective XSS③ SQL Injection ④ Command Injection ▣ Reflective XSS외부에서 입력된 값이나, DB에 저장되어 있는 값을 사용하여 동적인 웹페이지를 생성하는 애플리케이션이 입력 값에 대한 충분한 검증작업 없이 입력값을 사용하는 경우 발생 ● Stored XSS 정답 : ②  114. 다음 중 개인정보 비식별화 방법(조치)으로 가장 적절하지 않은 것은? ① 데이터 합성(data s..

111. TCP 세션 하이재킹 공격을 탐지하는 방법으로 가장 적절하지 않은 것은? ① 서버와 시퀀스 넘버를 주기적으로 체크하여 비동기화 상태에 빠지는지 탐지한다.② 공격자가 중간에 끼어 작동하므로 패킷의 유실 및 재전송이 증가하는지 탐지한다.③ SYN 패킷의 비율이 급격히 늘어나는 현상인 SYN Storm이 발생하는지 탐지한다.④ 세션을 빼앗기거나 공격에 실패하는 경우 세션이 리셋되므로 예상치 못한 접속의 리셋을 탐지한다. ▣ TCP 세션 하이재킹TCP 세션 하이재킹은 TCO 의 고유한 취약점을 이용해 정상적인 접속을 빼았는 방법서버와 클라이언트 통신 시 TCP 의 시퀀스 넘버를 제어하는 데 발생하는 문제를 공격시퀀스 넘버가 잘못되면 이를 바로잡기 위한 작업을 하는데, TCP 세션 하이재킹은 서버와 클라..

109. 모바일 운영체제의 보안 위협에 대한 설명으로 가장 적절하지 않은 것은? ① iOS는 기본적으로 유닉스에 바탕을 두고 있으나, 원격지에서 iOS를 구동하는 단말기에 명령어 입력이 가능한 응용 프로그램을 허용하지 않는다.② iOS와 안드로이드 모두 샌드박스(sandbox)를 활용하고 있으나, 안드로이드가 iOS에 비해 상대적으로 애플리케이션 간 통신과 데이터 전달이 자유롭다.③ 안드로이드는 모든 앱에 대해서 코드 서명(code signature)을 등록하도록 하고 있으며, CA를 통해 각 응용 프로그램을 서명하여 배포한다.④ 안드로이드는 설치된 모든 응용 프로그램이 일반 사용자 권한으로 실행되며, 사용자의 데이터에 접근할 때 모든 사항을 응용 프로그램 사양에 명시한다. ▣ iOS 와 안드로이드의 보..

107. 다음 중 데이터베이스 보안 요구사항으로 가장 적절하지 않은 것은? ① 데이터에 대한 허용 값을 통제함으로써, 변경 데이터의 논리적 일관성을 보장한다.② 중요 데이터에 대한 기밀성을 보호하고, 인가된 사용자만 접근을 허용해야 한다.③ 사용자가 통계 집합적 데이터로부터 개별적인 데이터 항목에 대한 정보를 추적할 수 있어야 한다.④ 트랜잭션의 병행처리시 데이터에 대한 논리적 일관성이 보장되어야 한다. ▣ DB 보안 요구사항 요구 특성내용인증(Authentication)데이터베이스에 접근하는 사용자가 정당한 사용자임을 확인정당한 인증절차를 통하지 않고 데이터베이스 접근 불가무결성(Integrity)데이터베이스 내 정보의 부적절한 변경을 방지 및 감지정당한 사용자라 할지라도 본인의 정보 이외에 다른 사람..

105. 다음 중 무선 통신 암호화 기술에 대한 설명으로 가장 적절하지 않은 것은? ① WPA2는 CCMP 알고리즘을 사용하여 암호화한다.② WPA2는 Access Point에 접속하는 단말기마다 지정된 암호화 키를 재사용한다.③ WPA-EAP는 사용자가 입력하는 아이디, 패스워드를 사용하는 사용자 인증 방식이다.④ WPA-EAP는 사용자별 무선랜 연결 세션마다 지정된 암호화 키를 재사용한다. ▣ 개인 모드와 비교하여 엔터프라이즈 모드에서 인증 측면에서 추가된 사항사용자 인증 수행사용 권한을 중앙에서 관리인증서, 스마트 카드 등 다양한 인증 제공세션별 암호화 키 제공 정답 : ④  106. SHA-2를 대체하기 위해서 발표한 해시함수인 SHA-3에 대한 설명으로 가장 적절하지 않은 것은? ① SHA-3의..

103. 다음 중 전자서명에 대한 설명으로 가장 적절하지 않은 것은?① 서명자가 서명한 후에 원본 메시지와 전자서명의 내용을 수정할 수 없다.② 개인키를 가진 사용자만이 생성할 수 있는 정보로 서명자를 인증할 수 있다.③ 개인키를 아는 사용자만이 생성할 수 있는 정보 이므로 부인 방지 기능을 제공한다.④ 디지털 정보이므로 한 문서의 전자서명을 복사하여 다른 문서의 서명으로 사용할 수 있다. ▣ 전자서명 전자문서를 작성한 작성자의 신원과 당해 전자문서가 그 작성자에 의해 작성되었음을 나타내는 전자형태의 서명 ● 전자서명의 조건 조건설명위조불가(Unforgeable)합법적인 서명자만이 전자문서에 대한 전자서명을 생성할 수 있음서명자 인증(Authentic)전자서명의 서명자를 누구든지 검증할 수 있음부인방지(..

101. 다음에서 설명하는 것으로 가장 적절한 것은? 장치나 시스템 구조를 분석하여 원리를 발견하는 과정을 의미하며, 이미 만든 프로그램의 동작원리를 이해하여 유사한 프로그램을 만드는 데 사용하기도 하고 프로그램의 보안 문제, 동작 문제, 오류 등을 제거/검토하는데 사용하기도 한다.① 백도어(backdoor)② 포맷 스트링(format string)③ 문맥교환(context switching)④ 리버스 엔지니어링(reverse engineering) ▣ 리버스 엔지니어링(reverse engineering)1) 리버스 엔지니어링 공격공격자는 공격대상 시스템 또는 응용프로그램에 대한 분석을 수행분석 후 해당 시스템이나 응용프로그램이 갖고 있는 취약점을 찾을 수 있으며 이 취약점을 공격할 수 있는 코드를 생..