(제 22회) 보안 / (101)~(102) 해설

101. 다음에서 설명하는 것으로 가장 적절한 것은?

 

장치나 시스템 구조를 분석하여 원리를 발견하는 과정을 의미하며, 이미 만든 프로그램의 동작원리를 이해하여 유사한 프로그램을 만드는 데 사용하기도 하고 프로그램의 보안 문제, 동작 문제, 오류 등을 제거/검토하는데 사용하기도 한다.

① 백도어(backdoor)

② 포맷 스트링(format string)

③ 문맥교환(context switching)

④ 리버스 엔지니어링(reverse engineering)

 

▣ 리버스 엔지니어링(reverse engineering)

1) 리버스 엔지니어링 공격

• 공격자는 공격대상 시스템 또는 응용프로그램에 대한 분석을 수행
• 분석 후 해당 시스템이나 응용프로그램이 갖고 있는 취약점을 찾을 수 있으며 이 취약점을 공격할 수 있는 코드를 생성 가능

 

2) 대응책

• 난독화 : 프로그램 코드를 읽기 어렵게 함(소스코드 난독화, 바이너리 난독화)

 

● 그 외 문제에서 제시괸 용어

• 백도어 : 인증되지 않은 사용자에 의해 컴퓨터의 기능이 무든으로 사용될 수 있도록 컴퓨터에 몰래 설치된 통신 연결 기능으로서, 정상적인 인증 절차를 거치치 않고 컴퓨터와 암호 시스템 등에 접근할 수 있도록 하는 방법

 

• 포맷 스트링 : 데이터의 형태와 길이에 대한 불명확한 정의로 인한 문제점, 포맷 스트링을 이용하여 버터 오버플로우와 같이 메모리에 셀을 띄워 놓고, ret 값을 변조하여 관리자 권한을 획득하는 것

 

• 문맥교환 : 하나의 프로세스가 사용 중인 상태에서 다른 프로세스사용하도록 하기 위해, 이전의 프로세스의 상태(문맥)를 보관하고 새로운 프로세스의 상태를 적재하는 작업

 

정답 : ④

 

 

102. OTP(One-Time Password)는 고정된 비밀번호 대신 일회용으로 생성되는 패스워드를 사용하는 사용자 인증 방식이다. 다음 설명에 해당하는 OTP 생성 방식으로 가장 적절한 것은?

 

서버에서 난수 생성 등을 통해 임의의 수를 생성하고 클라이언트에 임의의 수를 전송하게 된다. 클라이언트는 전송받은 임의의 수를 사용하여 OTP를 생성하여 사용한다.

 

① S/KEY 방식

② 시간 동기화 방식

③ 도전-응답 방식

④ 이벤트 동기화 방식

 

▣ OTP(One Time Password)

1) 기본 개념

• 일회용 비밀번호로 한 번 사용된 OTP 는 다시 사용할 수 없으며 같은 비밀번호가 생성되지 않는 인증 수단

 

2) 생성 및 인증 방식

 

구분		설명	장/단점
비동기식 (Async)	S/KEY 방식	벨 통신 연구소에서 개발한 OTP 생성 방식으로 유닉스 계열 운영체제에서 인증에 사용 해시 체인에 기반, 해시 함수의 역연산을 하기 어렵다는 점 이용	[장점] 안전성이 높음 사용자, 서버 양방향 인증 [단점] 복잡한 인증 절차로 속도 느림
	도전-응답 방식	서버에서 난수 생성 등을 통해 임의의 수를 생성하고 클라이언트에 그 값을 전송 클라이언트가 그 값으로 OTP 를 생성해 응답한 값으로 인증하는 방식
동기식 (Sync)	시간 동기화 방식	OTP 를 생성하기 위해 사용하는 입력 값으로 시각을 사용하는 방식	[장점] 간편, 속도 빠름 [단점] 사용자 → 서버 단방향 인증
	이벤트 동기화 방식	서버와 클라이언트가 카운트 값을 동일하게 증가시켜 가며, 해당 카운트 값을 입력값으로 OTP 를 생성해 인증하는 방식

 

정답 : ③

 

 

---

 

공감과 댓글은 아이티신비에게 큰 힘이 됩니다.

블로그 글이 유용하다면 블로그를 구독해주세요.♥