정보시스템 감리 기출해설/보안 해설

(제 24회) 보안 / (111)~(112) 해설

아이티신비 2024. 8. 26. 09:00

111. 다음 중 웹서버의 보안을 강화하기 위한 조치로 가장 적절하지 않은 것은?

① IIS의 WebDAV 서비스는 인터넷 상에서 원격 사용자들간에 파일을 공동으로 사용하게 하므로 비활성화하도록 설정한다.

② 웹 서버를 실행시키는 운영체제의 사용자에게 충분한 서비스를 제공하기 위하여 최대한 많은 권한을 허용한다.

③ 웹 브라우저가 웹 서버로 디렉토리의 정보를 요청했을 때 디렉토리를 검색해 파일 목록을 보여 주는 기능은 불가능하도록 설정한다.

④ 파일 업로드 및 다운로드 시 허용 가능한 최대 크기를 설정한다.

 

▣ 기반시설 취약점 점검 항목 > 윈도우즈 서버 취약점 분석·평가 항목

점검항목
중요도
점검항목
중요도
공유 권한 및 사용자 그룹 설정
W-07
FTP 접근 제어 설정
W-28
하드디스크 기본 공유 제거
W-08
DNS Zone Transfer 설정
W-29
불필요한 서비스 제거
W-09
RDS(Remorte Data Services)제거
W-30
IIS 서비스 구동 점검
W-10
최신 서비스팩 적용
W-31
IIS 디렉토리 리스팅 제거
W-11
터미널 서비스 암호화 수준 설정
W-58
IIS CGI 실행 제한
W-12
IIS 웹 서비스 정보 숨김
W-59
IIS 상위 디렉터리 접근 금지
W-13
SNMP 서비스 구동 점검
W-60
IIS 불필요한 파일 제거
W-14
SNMP 서비스 커유니티스티링의 복잡성 설정
W-61
IIS 웹프로세스 권한 제한
W-15
SNMP Access control 설정
W-62
IIS 링크 사용 금지
W-16
DNS 서비스 구동 점검
W-63
IIS 파일 업로드 및 다운로드 제한
W-17
HTTP/FTP/SMTP 배너 차단
W-64
IIS DB 연결 취약점 점검
W-18
Telnet 보안 설정
W-65
IIS 가상 디렉토리 삭제
W-19
불필요한 ODBC/OLE-DB 데이터 소스와 드라이브 제거
W-66
IIS 데이터파일 ACL 적용
W-20
원격터미널 접속 타임아웃 설정
W-67
IIS 미사용 스크립트 매핑 제거
W-21
예약된 작업에 의심스러운 명령이 등록되어 있는지 점검
W-68
IIS Exec 명령어 쉘 호출 진단
W-22
  • WebDAV(Web Distributed Authoring and Versioning)
- 사용자가 원격 Web 서버를 이용하여 파일을 수정하거나 처리할 수 있도록 하는 HTTP 의 확장 서비스
- 웹상의 공동개발을 지원하기 위한 IETF 표준안(RFC 2518)으로써, 원격자 사용자들간에 인터넷상에서 파일을 공동 편집하고 관리할 수 있도록 함
IIS WebDAV 비활성화
W-23
NetBIOS 바인딩 서비스 구동 점검
W-24
FTP 서비스 구동 점검
W-25
FTP 디렉토리 접근 권한 설정
W-26
Anonymous FTP 금지
W-27

정답 : ②

 

 

112. 인공지능에 수많은 쿼리를 수행한 후 산출된 결과를 분석하여 인공지능에서 사용된 데이터를 추출하는 공격으로 가장 적절한 것은?

 

① Poisoning Attack ② Inversion Attack

③ Evasion Attack ④ Replay Attack

 

▣ AI 보안 취약점

공격
설명
데이터 변조 공격
(회피 공격, Evasion attack)
  • 학습 과정에서 데이터에 무작위의 오류가 존재하는 노이즈를 고의적으로 추가하면 인공지능은 다른 이미지로 판다
  • 기존 해킹 방법은 유무선 네트워크나 단말기의 취약점을 이용하나, 인공지능에 대한 해킹은 인공지능 자체의 취약점을 이용
  • 대응 : 데이터가 변조되었다면 변조 공격을 학습 데이터에 포함에 훈련 시킴
악의적인 데이터 주입 공격
(중독 공격, Poisoning attack)
  • 악의적인 데이터를 이용해 인공지능 시스템이 오작동을 일으키도록 하는 공격
  • 대응 : 부정적인 데이터에 대한 사전 학습
데이터 추출 공격
(전도 공격, Inversion attack)
  • 인공지능에서 사용하는 데이터 자체를 탈취하는 공격
  • 인공지능에 수많은 쿼리를 한 후, 산출된 결과를 분석해 인공지능에서 사용된 데이터를 추출하는 공격
  • 대응 : 질의 횟수를 조정하는 방법으로 대응

정답 : ②






 

공감과 댓글은 아이티신비에게 큰 힘이 됩니다.

블로그 글이 유용하다면 블로그를 구독해주세요.♥