2024년 기출문제 정리 (25회)

참고한 블로그 : https://blog.naver.com/stereok2/223481498564

 

 

[단답형]

윈도우 OS의 계정 그룹 5가지 유형
Administrators : 도메인 또는 로컬 컴퓨터에 대한 모든 권한 보유
Power Users : 일반 사용자보다 많은 권한을 가지나, Administrators보다 제한적
Backup Operators : 시스템 백업 목적으로 모든 파일과 디렉터리 접근 가능
Users : 도메인 및 로컬 컴퓨터를 일반적으로 사용하는 그룹
Guests : 제한된 권한을 가지며 일시적으로 시스템을 사용하는 사용자들

전자기기에서 발생되는 불필요한 전자 방사를 통해 민감한 정보를 도청하거나 유출하는 것을 방지하기 위한 일련의 표준과 기술
: TEMPEST

IPSec이 제공하는 보안 기능
접근제어, 비연결형 무결성, 데이터 근원지 인증, 재전송 방지

공격자가 사용자와 서버간의 활성화된 세션을 가로채어 사용자의 신원으로 서버와 통신을 시도하는 공격 기법
: 세션 하이재킹

예방통제 : 발생 가능한 잠재적 문제들을 식별하여 사전에 대처하는 능동적 개념의 통제
물리적 접근 통제 : 관계자 이외의 사람이 특정 시설이나 설비에 접근할 수 없게 하는 각종 통제
논리적 접근 통제 : 승인을 받지 못한 사람이 정보통신망을 통해 자산에 대한 접근을 막기 위한 통제

메일 보안 릴레이 설정
(보기)
kca.or.kr 도메인의 메일은 릴레이를 허용한다.
spam.com 도메인의 메일은 폐기한다.
(/etc/mail/access 설정)
kca.or.kr  (   A   )
spam.com  (  B  )

A) RELAY
B) DISCARD

( 폐기는 DISCARD, 오류메시지 발송은 REJECT )


사용자가 웹 사이트와 주고받는 HTTP/HTTPS 요청과 응답을 중간에서 가로채어, 수정하거나 분석할 수 있게 해주는 도구. Paros, Burp Suite 등이 대표적이며 해킹 공격에도 사용되고 웹 사이트 보안 취약점 테스트 목적으로도 사용
: 웹 프락시

IP주소가 200.100.50.25 이고 서브넷 마스크가 255.255.255.192 일 때 서브넷 마스크 (2진수)
: 11111111.11111111.11111111.11000000

프로그램에 의도적으로 잘못된 형식의 데이터 또는 무작위 데이터를 입력하여 프로그램의 취약점이나 버그를 찾는 SW 테스트 기법
: 퍼징

SSRF는 공격자가 서버가 신뢰하는 특정 서버나 네트워크 리소스에 대해 임의의 요청을 보내도록 서버를 속이는 웹 보안 취약점이다.
[공격 대응 기법]
사용자 입력을 기반으로 요청을 생성할 때는 허용된 도메인이나 IP 주소에 대하여 (  A  )  리스트를 사용하여 필터링한다.
만일, 무작위의 입력값을 사용해야 한다면 (  B   ) 리스트 방식으로 필터링한다. 

A) 화이트
B) 블랙


위험 평가 이후 위험 처리 방안

위험감소 : 잠재적 위험에 대해 정보보호 대책을 구현하여 자산, 취약점, 위협 중 하나의 수준을 낮춤
위험수용 : 현재의 위험을 받아들이고 잠재적 손실 비용 감수
위험회피 : 위험이 존재하는 프로세스나 사업을 수행하지 않고 포기
위험전가 : 보험이나 외주등으로 잠재적 비용을 제3자에게 전가


2015년 가트너에서 처음 제시되었고, 인공지능이 적용되어 지능형 탐지가 가능하고 빅데이터 기반 솔루션보다 진보된 형태의 보안 관제 솔루션이다. 자동화 및 대응 강조.
: SOAR

( + SIEM : 수많은 소스에서 데이터를 집계하고 분석하는 모니터링 도구. 기계학습기술이 통합되어 새로운 패턴을 적응인식. 데이터 분석에 초점. )

 

[서술형]

SW 보안 약점 진단원이 분석 단계 진단 시 검토해야 할 산출물 4가지와 내용
1) 요구사항 정의서 : 개발에 필요한 기능, 비기능 요구사항을 도출하여 발주사와 내용을 합의후 체계적으로 작성한 문서
2) 요구사항 추적표 : 도출된 요구사항을 기반으로 개발 각 단계별 산출물들이 일관성있게 작성되었는지 추적하기 위한 문서
3) 유즈케이스 다이어그램 : 사용자가 사용할 수 있는 기능과, 시스템이 제공하는 기능을 도식화하여 보여주는 문서
4) 유즈케이스 명세서 : 유즈케이스 다이어그램에 담긴 사용자와 유즈케이스간 상호작용과 내부업무 흐름을 상세하게 설명하는 문서

(+ 해당 산출물 4개는 CBD 개발 방법론을 기반으로 한다)



네트워크 스니핑을 탐지하는 방법 중 Ping 명령을 이용한 방법 기술
스니핑이 의심스러운 호스트에 네트워크에 존재하지 않은 mac주소로 위조된 PING 메시지를 보낸다. icmp echo reply가 돌아온다면, 해당 호스트는 무차별 모드로 스니핑 중인 것으로 판단할 수 있다.


정보자산의 중요도
H (상) 등급 : 기밀성이 매우 높은 민감한 정보를 저장, 처리하므로 업무상 반드시 필요한 책임자에 한하여 제한적으로 접근 가능
M (중) 등급 : 기밀성이 중간 정도인 민감 정보를 저장, 처리하므로 업무 담당자 및 관리자 등 허가된 직원만 접근 가능 
L (하) 등급 : 기밀성이 낮은 민감하지 않은 정보를 저장, 처리하므로 내부의 일반 직원도 접근 가능하며, 공개된 정보인 경우 일반 대중도 접근 가능


공격이 탐지되었을 때, 침입탐지 시스템IDS가 할 수 있는 행위 (4가지 이상)
1. 이메일, SMS 등을 통하여 보안 관제 담당자에게 알림
2. 탐지된 침입 시도를 로그로 남긴다
3. 공격이 진행중인 세션을 강제로 종료하여 침입차단 (IPS 기능이 탑재된 경우)
4. 향후 유사공격이 들어올 경우를 대비하여 IDS의 보안 정책 업데이트
5. 호스트 기반 IDS의 경우 침입이 감지된 특정 프로세스를 종료하거나 파일 접근을 차단하는 등 보호조치

[실무형]

 

(ARP 캐시 테이블 상태)
인터넷 주소             물리적 주소                유형
192.168.100.1         01-00-5e-00-00-02     동적
192.168.100.5         01-00-5e-00-00-02     동적
192.168.100.20       b0-e4-5c-7c-37-6e     동적
192.168.100.21       00-07-89-72-3d-04     동적
192.168.100.22       01-00-5e-7f-ff-fa         동적

1) 위 리스트를 출력하기 위한 명령
arp -a
2) 어떤 공격이 일어난 것으로 판단할 수 있나?
192.168.100.1이 게이트웨이일 경우 arp 리다이렉트, 호스트일 경우 arp 스푸핑
3) 해당 공격이라고 판단한 이유는?
192.168.100.1의 mac주소가 192.168.100.5의 mac 주소로 변조되었기 때문.
이 경우 192.168.100.1로 전송되는 메시지가 192.168.100.5를 경유하게 되어 도청, 메시지 위변조등이 가능해진다.
4) 192.168.100.1의 실제 MAC 주소는 00-0a-00-62-c6-09 이다. 공격에 대응하기 위해서 입력해야 할 명령어는?
arp -s 192.168.100.1 00-0a-00-62-c6-09

정적 라우팅을 설정한다.

 

 

 

윈도우 PE 파일은 윈도우 7과 같이 NT계열 운영체제에서 실행 가능한 파일 포맷이다. PE 파일은 실행 코드, 데이터, 리소스 및 메타데이터를 포함하는 구조를 가지며, 일반적으로 .exe, .dll, .sys 확장자를 가진 파일들을 포함한다. 악성파일의 경우에도 윈도우 OS에서 실행되기 위해 PE 포맷을 사용하는데, 악성코드 작성자는 PE파일을 난독화하거나 PE헤더와 섹션정보를 변형하여 디버깅 및 분석을 어렵게 만든다. 이러한 악성파일을 분석하는 아래 3가지 방법 기술

1) 자동화 분석
악성파일 분석 과정에서 수작업을 최소화하고 효율성을 극대화하기 위해 자동화된 도구와 기술을 사용하는 방법.
2) 반자동화 분석
자동화된 도구를 사용하여 초기 분석을 수행하고, 분석가가 추가적으로 세부 사항을 수동으로 조사하여 정확성을 높이는 방법
3) 수동 분석
분석가의 전문지식과 경험을 바탕으로 파일을 직접 분석하는 방법. 깊이있는 조사와 상세한 이해를 필요로 하는 복잡한 악성코드 분석에 유용함

 

(해당 실무형 문제는 답이 너무 길어서, 부분점수 획득을 위한 최소한만 기재함)