(제 22회) 보안 / (111)~(112) 해설

111. TCP 세션 하이재킹 공격을 탐지하는 방법으로 가장 적절하지 않은 것은? ① 서버와 시퀀스 넘버를 주기적으로 체크하여 비동기화 상태에 빠지는지 탐지한다.② 공격자가 중간에 끼어 작동하므로 패킷의 유실 및 재전송이 증가하는지 탐지한다.③ SYN 패킷의 비율이 급격히 늘어나는 현상인 SYN Storm이 발생하는지 탐지한다.④ 세션을 빼앗기거나 공격에 실패하는 경우 세션이 리셋되므로 예상치 못한 접속의 리셋을 탐지한다. ▣ TCP 세션 하이재킹TCP 세션 하이재킹은 TCO 의 고유한 취약점을 이용해 정상적인 접속을 빼았는 방법서버와 클라이언트 통신 시 TCP 의 시퀀스 넘버를 제어하는 데 발생하는 문제를 공격시퀀스 넘버가 잘못되면 이를 바로잡기 위한 작업을 하는데, TCP 세션 하이재킹은 서버와 클라..

(제 22회) 보안 / (109)~(110) 해설

109. 모바일 운영체제의 보안 위협에 대한 설명으로 가장 적절하지 않은 것은? ① iOS는 기본적으로 유닉스에 바탕을 두고 있으나, 원격지에서 iOS를 구동하는 단말기에 명령어 입력이 가능한 응용 프로그램을 허용하지 않는다.② iOS와 안드로이드 모두 샌드박스(sandbox)를 활용하고 있으나, 안드로이드가 iOS에 비해 상대적으로 애플리케이션 간 통신과 데이터 전달이 자유롭다.③ 안드로이드는 모든 앱에 대해서 코드 서명(code signature)을 등록하도록 하고 있으며, CA를 통해 각 응용 프로그램을 서명하여 배포한다.④ 안드로이드는 설치된 모든 응용 프로그램이 일반 사용자 권한으로 실행되며, 사용자의 데이터에 접근할 때 모든 사항을 응용 프로그램 사양에 명시한다. ▣ iOS 와 안드로이드의 보..

(제 22회) 보안 / (107)~(108) 해설

107. 다음 중 데이터베이스 보안 요구사항으로 가장 적절하지 않은 것은? ① 데이터에 대한 허용 값을 통제함으로써, 변경 데이터의 논리적 일관성을 보장한다.② 중요 데이터에 대한 기밀성을 보호하고, 인가된 사용자만 접근을 허용해야 한다.③ 사용자가 통계 집합적 데이터로부터 개별적인 데이터 항목에 대한 정보를 추적할 수 있어야 한다.④ 트랜잭션의 병행처리시 데이터에 대한 논리적 일관성이 보장되어야 한다. ▣ DB 보안 요구사항 요구 특성내용인증(Authentication)데이터베이스에 접근하는 사용자가 정당한 사용자임을 확인정당한 인증절차를 통하지 않고 데이터베이스 접근 불가무결성(Integrity)데이터베이스 내 정보의 부적절한 변경을 방지 및 감지정당한 사용자라 할지라도 본인의 정보 이외에 다른 사람..

105. 다음 중 무선 통신 암호화 기술에 대한 설명으로 가장 적절하지 않은 것은? ① WPA2는 CCMP 알고리즘을 사용하여 암호화한다.② WPA2는 Access Point에 접속하는 단말기마다 지정된 암호화 키를 재사용한다.③ WPA-EAP는 사용자가 입력하는 아이디, 패스워드를 사용하는 사용자 인증 방식이다.④ WPA-EAP는 사용자별 무선랜 연결 세션마다 지정된 암호화 키를 재사용한다. ▣ 개인 모드와 비교하여 엔터프라이즈 모드에서 인증 측면에서 추가된 사항사용자 인증 수행사용 권한을 중앙에서 관리인증서, 스마트 카드 등 다양한 인증 제공세션별 암호화 키 제공 정답 : ④  106. SHA-2를 대체하기 위해서 발표한 해시함수인 SHA-3에 대한 설명으로 가장 적절하지 않은 것은? ① SHA-3의..

103. 다음 중 전자서명에 대한 설명으로 가장 적절하지 않은 것은?① 서명자가 서명한 후에 원본 메시지와 전자서명의 내용을 수정할 수 없다.② 개인키를 가진 사용자만이 생성할 수 있는 정보로 서명자를 인증할 수 있다.③ 개인키를 아는 사용자만이 생성할 수 있는 정보 이므로 부인 방지 기능을 제공한다.④ 디지털 정보이므로 한 문서의 전자서명을 복사하여 다른 문서의 서명으로 사용할 수 있다. ▣ 전자서명 전자문서를 작성한 작성자의 신원과 당해 전자문서가 그 작성자에 의해 작성되었음을 나타내는 전자형태의 서명 ● 전자서명의 조건 조건설명위조불가(Unforgeable)합법적인 서명자만이 전자문서에 대한 전자서명을 생성할 수 있음서명자 인증(Authentic)전자서명의 서명자를 누구든지 검증할 수 있음부인방지(..

101. 다음에서 설명하는 것으로 가장 적절한 것은? 장치나 시스템 구조를 분석하여 원리를 발견하는 과정을 의미하며, 이미 만든 프로그램의 동작원리를 이해하여 유사한 프로그램을 만드는 데 사용하기도 하고 프로그램의 보안 문제, 동작 문제, 오류 등을 제거/검토하는데 사용하기도 한다.① 백도어(backdoor)② 포맷 스트링(format string)③ 문맥교환(context switching)④ 리버스 엔지니어링(reverse engineering) ▣ 리버스 엔지니어링(reverse engineering)1) 리버스 엔지니어링 공격공격자는 공격대상 시스템 또는 응용프로그램에 대한 분석을 수행분석 후 해당 시스템이나 응용프로그램이 갖고 있는 취약점을 찾을 수 있으며 이 취약점을 공격할 수 있는 코드를 생..

119. 다음 설명에 해당하는 것으로 가장 적절한 것은? - 내부 정보보호를 목적으로 하는 보안 솔루션으로 중요 자료가 외부로 유출되는 것을 탐지하여 통제하는 기술이다.- 솔루션 종류에 따라 내용 기반 통제를 통해 중요 정보를 식별하고 정보 유출을 통제할 수 있으며, 이밖에도 블루투스 통신, 테더링 등의 통신채널에 대한 차단 기능을 제공한다.① 디지털 권리 관리(Digital Rights Management)② 정보 유출 방지 솔루션(Data Leakage Prevention)③ 디지털 워터마킹(Digital Watermarking)④ 전자서명(Digital Signature) ▣ DLP(Data Loss Prevention)다양한 데이터 전송 인터페이스를 제어하여 사용자 수준에서 정보가 유출되는 것을 ..

117. 블록체인(Blockchain)은 P2P 방식을 기반으로 생성된 체인 형태의 연결고리 기반 분산 데이터 저장 환경이다. 다음 중 블록체인에 대한 설명으로 가장 적절하지 않은 것은? ① 블록체인의 블록 내 헤더에는 해시 값과 거래별 트랜잭션의 원본 값이 저장된다.② 블록체인 기반 시스템은 거래기록이 구성원들에게 공개되기 때문에 거래의 투명성을 보장한다.③ 블록체인은 참여한 구성원이 네트워크를 통해 서로 데이터를 검증함으로써 임의적인 조작이 어렵도록 설계되었다.④ 퍼블릭 블록체인(Public Blockchain)은 모든 구성원들이 참여 가능하나, 비교적 네트워크 확장이 어렵고 거래 속도가 느리다. ▣ 블록체인 개념가치(value) 를 전달하기 위한 분산화된(decentralized) 시스템공유되고 분..

115. 다음 설명에 해당하는 레지스터로 가장 적절한 것은?  스택 오버플로우 공격을 실행하는데 있어서 활용되는 정보를 보유하고 있는 CPU의 레지스터로서, 해당 레지스터는 현재 실행 중인 스택에서 argument 및 지역변수의 위치를 참조하기 위한 기준 주소값 을 가지고 있다.① EAX ② ESP③ EDX ④ EBP ▣ 스택 버퍼 오버플로우 공격연속된 메모리 공간을 사용하는 프로그램에서 할당된 메모리의 범위를 넘어선 위치에 자료를 읽거나 쓰려고 할 때 발생● 스택과 레지시터 사용 예● 시스템 메모리 구조 - 레지스터 범주80386레지스터이름비트용도범용레지스터EAX누산기(accumulator)32산출 연산에 사용(함수의 결과 값 저장)EBX베이스 레지스터(base register)32특정 주소 저장(주소..

113. 위험관리(Risk management) 과정을 순서대로 나열한 것으로 가장 적절한 것은? 가. 위험 모니터링 및 통제나. 위험 식별다. 위험 분석라. 위험 대응 계획① (다) - (가) - (나) - (라)② (나) - (다) - (라) - (가)③ (나) - (다) - (가) - (라)④ (다) - (나) - (라) - (가) ▣ 위험관리 절차 정답 : ②  114. 가명정보의 안전한 관리를 위한 기술적 보호조치로 가장 적절하지 않은 것은? ① 개인정보처리자는 추가정보와 가명정보를 반드시 물리적으로 분리하여 별도로 저장·관리해야 한다.② 추가정보가 가명정보와 불법적으로 결합되어 재식별에 악용되지 않도록 접근권한을 최소화하고 접근통제를 강화해야 한다.③ 개인정보처리자는 가명정보의 처리목적, 가명..