정보보안기사 실기 - 25회 기출문제

정보보안기사 실기 25회 기출문제

• 2024년 4월 27일 시행된 정보보안기사 실기 25회 기출문제입니다.
• 단답형 12문제, 서술형 4문제, 실무형 2문제입니다.

[단답형]

1. 다음은 윈도우 OS의 계정 그룹 5가지 유형에 대한 설명이다. ( ) 에 들어갈 그룹명을 기술하시오.

Administrators : 도메인 또는 로컬 컴퓨터에 대한 모든 권한 보유

( A ) : 일반 사용자보다는 많은 권한을 가지나, Administrators 그룹보다는 제한적인 권한 보유

( B ) : 시스템 백업을 목적으로 모든 파일과 디렉터리 접근 가능

( C ) : 도메인 및 로컬 컴퓨터를 일반적으로 사용하는 그룹

Guests : 제한된 권한을 가지며 일시적으로 시스템을 사용하는 사용자를 위해 설계됨

 

(답) Power Users, Backup Operators, Users

​

2. 전자기기에서 발생되는 불필요한 전자 방사를 통해 민감한 정보를 도청하거나 유출하는 것을 방지하기 위한 일련의 표준과 기술을 무엇이라 하나?

(답) TEMPEST (Telecommunications Electronics Material Protected from Emanating Spurious Transmissions

* 수험서에 없는 내용이나, 보기가 제시되었기에 유추하여 맞춰볼 수 있는 문제였습니다.

* TEMPEST 기술을 통해 정부, 군사 및 민간 기관은 전자기 방사로 인한 도청 및 정보 유출의 위험을 최소화할 수 있습니다. 다양한 물리적 및 기술적 방법(차폐, 필터링, 거리 유지, 장비 인증)을 사용하여 전자기 방사를 차단하고, 정보 보안을 강화합니다.

* 참고로, EMP(ElectroMagnetic Pulse)는 전자기 방사를 이용하여 전자기기를 파괴하거나 기능을 방해하기 위한 목적으로 행해지는 공격 기술입니다. 즉, TEMPEST는 정보 유출(기밀성)을 방지하기 위한 보호 기술이고, EMP는 전자기기의 가용성을 손상시키기 위한 공격 기술입니다.

​

3. IPSec이 제공하는 보안 기능 3가지를 기술하시오.

(답) 접근제어, 비연결형 무결성, 데이터 근원지 인증, 재전송 방지, 기밀성, 제한적 트래픽 흐름의 기밀성

​* 수험서에 있는 내용이고, 기출문제로도 자주 출제되는 문제입니다. 3점 모두 얻어야 합니다.

​

4. 공격자가 사용자와 서버 간의 활성화된 세션을 가로채어 사용자의 신원으로 서버와 통신을 시도하는 공격 기법을 무엇이라 하나?

(답) 세션 하이재킹(Session Hijacking)

* 수험서와 기출에서 모두 다루어진 문제입니다. 3점 모두 얻어야 합니다.

​

5. 정보보호대책은 안전대책, 통제 혹은 위협을 감소시키기 위한 정보보호조치를 의미하며, 크게 다음과 같이 3가지로 구분된다.

( A ) 은/는 발생 가능한 잠재적인 문제들을 식별하여 사전에 대처하는 능동적인 개념의 통제로 2가지로 나눌 수 있다.

( B ) 란 관계자 이외의 사람이 특정 시설이나 설비에 접근할 수 없게 하는 각종의 통제를 의미하며, ( C )란 승인을 받지 못한 사람이 정보통신망을 통하여 자산에 대한 접근을 막기 위한 통제방법이다.

(답) 예방 통제, 물리적 접근 통제, 논리적 접근 통제

* 수험서와 기출에서 모두 다루어진 문제입니다. 3점 모두 얻어야 합니다.​

​

​6. 메일 보안을 위하여 릴레이 설정을 하려고 한다. 다음 보기에 기술된 요구사항을 충족시키기 위하여 /etc/mail/access 에 설정해야할 옵션값( )을 기술하시오.

(보기)

kca.or.kr 도메인의 메일은 릴레이를 허용한다.

spam.com 도메인의 메일은 폐기한다.

(/etc/mail/access 설정)

kca.or.kr ( A )

spam.com ( B )

(답) RELAY, DISCARD

* 수험서와 기출에서 모두 다루어진 문제입니다. 3점 모두 얻어야 합니다.

* B의 경우, 문제에서 spam.com 도메인의 메일을 거부한다고 되어 있었다면 REJECT도 정답이 될 수 있으나, 폐기한다고 했다면 DISCARD가 맞습니다. REJECT은 발신자에게 해당 메일이 거부되었다는 오류 메시지를 보내지만, DISCARD는 삭제 처리하고, 아무런 오류 메시지를 보내지 않기 때문입니다.

​

7. 다음 기능을 제공하는 도구를 무엇이라 하나?

- 사용자가 웹 사이트와 주고받는 HTTP/HTTPS 요청과 응답을 중간에서 가로채어, 수정하거나 분석할 수 있게 해주는 도구이다.

- Paros, Burp Suite, ZAP(Zed Attack Proxy) 가 대표적이며, 해킹 공격에도 사용되고, 웹 사이트의 보안 취약점 테스트 목적으로도 사용된다.

(답) 웹 프락시(Web Proxy)

* 수험서와 기출에서 모두 다루어진 문제입니다. 3점 모두 얻어야 합니다.

​

8. IP 주소가 200.100.50.25 (C 클래스)이고, 서브넷 마스크가 255.255.255.192 일 때, 서브넷 마스크를 2진수로 작성하시오.

(답) 11111111.11111111.11111111.11000000

* 수험서에 있는 내용이며 기본 토픽입니다. 3점 모두 얻어야 합니다.

​

9. 프로그램에 의도적으로 잘못된 형식의 데이터 또는 무작위 데이터를 입력하여 프로그램의 취약점이나 버그를 찾는 SW 테스트 기법을 무엇이라고 하나?

(답) Fuzzing(퍼징)

* 수험서에 포함된 내용입니다. 또한, 보기가 제시되어 있었기에 유추해서 맞출 수 있는 문제였습니다.

* 퍼징 기법을 이용하면, 프로그램의 예외 처리 능력, 안정성, 보안 취약성을 검증하는 데 유용합니다. 참고로, Burp Suite나 ZAP과 같은 웹 프락시 도구는 웹 애플리케이션 보안 테스트를 위한 Fuzzing 기능을 포함하고 있어서, 다양한 HTTP 요청을 변형하여 웹 애플리케이션의 취약점을 찾을 수 있습니다.

​

10. SSRF(Server Side Request Forgery)는 공격자가 서버가 신뢰하는 특정 서버나 네트워크 리소스에 대해 임의의 요청을 보내도록 서버를 속이는 웹 보안 취약점이다. 주로 서버가 외부 입력을 기반으로 HTTP 요청을 생성하는 기능을 가지고 있을 때 발생한다. SSRF 공격 대응 기법에 대하여 ( )에 들어갈 용어를 기술하시오.

[공격 대응 기법]

• 사용자 입력을 기반으로 요청을 생성할 때는 허용된 도메인이나 IP 주소에 대하여 ( A ) 리스트를 사용하여 필터링한다.
• 만일, 무작위의 입력값을 사용해야 한다면 ( B ) 리스트 방식으로 필터링한다.

(답) 화이트, 블랙

* 수험서에도 포함되어 있는 내용입니다. B의 경우 사용자의 입력값을 특정할 수 없기 때문에, 잘 알려진 악의적인 입력값을 블랙리스트로 관리하여 필터링을 해야 합니다. 하지만 블랙리스트의 유지, 관리가 어렵고 우회 가능성이 높기 때문에 가능하면 입력값을 특정 지어 사용하고, 화이트리스트로 필터링하는 것이 안전합니다.

​

11. 위험 평가 이후 위험의 중요도에 따라 위험 처리 방안을 결정한다. ( )에 들어갈 위험 처리 방안을 기술하시오.

위험 감소 : 잠재적인 위험에 대해 정보보호 대책을 구현하여 자산, 취약점, 위협 중 하나의 수준을 낮춤

( A ) : 현재의 위험을 받아들이고 잠재적 손실 비용을 감수

( B ) : 위험이 존재하는 프로세스나 사업을 수행하지 않고 포기

( C ) : 보험이나 외주 등으로 잠재적 비용을 제3자에게 이전

(답) 위험 수용, 위험 회피, 위험 전가

* 수험서와 기출에서 모두 다루어진 문제입니다. 3점 모두 얻어야 합니다.

​

12. 다음 설명에 해당하는 보안 솔루션 명칭을 기술하시오.

[설명]

• 2015년 가트너에서 처음 제시하였음
• 인공지능이 적용되어 지능형 탐지가 가능하고 빅데이터 기반 솔루션보다 진보된 형태의 보안 관제 솔루션

(답) SOAR

* SOAR는 수험서에 포함된 내용이며, 오프라인 수업 시 연습 문제로도 많이 출제된 바 있습니다.

* 그러나, 본 문제에서 SOAR를 설명하는 지문은 SOAR의 본질이 빠져있고, 2015년이라는 시점을 제외하면 오히려 SIEM에 가까운 설명입니다. 따라서, 많은 응시자분들이 SIEM으로 기술하셨을 것으로 보입니다.

* SIEM의 경우 2005년에 가트너에서 만든 용어이지만, 실질적으로 현업에서는 ESM이라는 솔루션을 사용해 왔고, SIEM이 본격적으로 사용되기 시작한 시점은 2015년 이후입니다. SIEM에 인공지능을 적용하여 지능형 탐지 기능을 강화하려는 시도는 최근에 일어나고 있습니다.

* SOAR는 지능형 탐지 솔루션이라기 보다는 SIEM과 연계하여 보안 오케스트레이션(여러 보안도구와 통합하여 연계), 자동화(사람의 수작업 자동 처리), 대응(Playbook 기반 대응 조치(차단, 격리) 자동화) 의 효율성을 높이기 위한 솔루션 입니다.

* 실제 시험문제에는 다른 설명이 포함되어 있었을 수도 있었겠지만, 만약에 문제 지문에 자동화, 대응이라는 용어만 추가되었더라도 많은 수험생분들(특히 실무를 아시는 분들)이 억울하게 3점이 깎이는 상황은 발생하지 않았을 것 같습니다. 향후 문제를 출제할 때 조금 더 신중을 기해 주셨으면 합니다.

반응형

[서술형]

13. SW 보안 약점 진단원이 CBD기반 SW 개발 공정 중 분석 단계 진단 시 검토해야 할 산출물 4가지와 그 내용을 간략히 설명하시오.

(답)

1) 요구사항 정의서(or 명세서) : SW개발에 필요한 기능, 비기능 요구사항을 도출하여 발주사와 내용을 합의 후 체계적으로 작성한 문서

2) 요구사항 추적표(or 추적매트릭스) : 도출된 요구사항을 기반으로 개발 각 단계별 산출물들이 일관성 있게 작성되었는지 추적하기 위한 문서

3) 유즈케이스 다이어그램 : 액터(사용자)가 사용할 수 있는 기능과, 시스템이 제공하는 기능을 도식화하여 보여주는 문서

4) 유즈케이스 명세서 : 유즈케이스 다이어그램에 담긴 액터와 유즈케이스간 상호작용과 내부업무 흐름을 상세하게 설명하는 문서

 

* 수험서에는 포함되지 않은 신규 문제로, SW보안약점 진단 가이드에서 출제된 것으로 보입니다. 다만, 문제 지문을 좀 더 명확하게 명시해 주었으면 하는 아쉬움이 있습니다. 왜냐면, 가이드 문서에 샘플로 언급된 분석 단계 산출물 4개는 CBD(Component Based Developmemet) 개발 방법론으로 개발하는 경우에 해당하기 때문입니다. 다른 개발 방법론 산출물(비즈니스 요구사항 문서(BRD), 기능명세서(FSD) 등)을 기재하신 경우, 채점 시 적절히 고려하셨으리라 믿습니다.

* 참고로, 문제 복원 시 CBD 기반 개발 공정이라는 문구를 제가 임의로 추가했습니다.

* 본 문제의 경우, 요구사항 정의서와 요구사항 추적표는 공통된 산출물이므로, 부분 점수 2~3점이라도 포기하지 말고 얻어내셔야 합니다.

​

14. 네트워크 스니핑을 탐지하는 다양한 방법(ping, arp, dns, decoy) 중 Ping 명령을 이용한 방법을 설명하시오.

(답) 스니핑이 의심스러운 호스트에 NW에 존재하지 않은 MAC주소로 위조된 PING 메시지(ICMP Echo Request) 를 보낸다. ICMP Echo Reply가 돌아온다면, 해당 호스트는 무차별 모드로 스니핑 중인 것으로 판단할 수 있다.

* 서술형 4문제 중 수험서에 포함되어 있는 유일한 문제입니다. 이번 시험 당락을 결정짓는 문제로 12점 만점을 받아야 하는 문제였습니다.

* 참고로, MAC 주소를 위조한 ping 메시지를 보내는 경우 scapy 와 같은 툴을 이용하면, ICMP 메시지 앞단의 이더넷 헤더부, IP 헤더부의 MAC주소와 IP 주소를 위조하여 전송할 수 있습니다.

* 다만, 이 문제의 경우도 향후에 재 출제 시 문제 지문을 Ping 명령이라고 하기보다는 ICMP 메시지를 이용한 방식이라고 명확히 기술해 주면 좋을 것 같습니다. 물론 수험서 및 일반 보안 서적에도 ping 을 이용한 탐지 방법이라고 되어 있지만, ping 명령을 NW에 존재하지 않는 IP를 향해 보냈을 때 스니퍼 모드로 동작 중인 호스트가 이론상 응답할 수 있기 때문입니다.

​

15. 위험관리를 위하여 정보자산의 중요도는 기밀성, 무결성, 가용성 등급을 기준으로 산정할 수 있다. 이 중 기밀성 등급에 대하여 ( )에 적절한 설명을 기술하시오.

1) H (상) 등급 : 기밀성이 매우 높은 민감한 정보를 저장/처리하므로, 업무상 반드시 필요한 책임자(예:고위 관리자)에 한하여 제한적으로 접근 가능

2) M (중) 등급 : ( A )

3) L (하) 등급 : ( B )

(답)

A : 기밀성이 중간 정도인 민감 정보를 저장/처리하므로, 업무 담당자 및 관리자 등 허가된 직원만 접근 가능(예: 인사 정보, 내부 재무 정보 등)

B : 기밀성이 낮은 민감하지 않은 정보를 저장/처리하므로, 내부의 일반 직원도 접근 가능하며, 공개된 정보인 경우 일반 대중도 접근 가능(예: 마케팅 자료, 공시 정보, 웹사이트 콘텐츠 등)

​* 수험서에는 포함되지 않은 신규 문제입니다. 기밀성 등급은 조직의 특성에 따라 다양한 기준으로 정의할 수 있기 때문에, 객관적인 기준으로 채점하기 상당히 어려운 문제입니다.

* 예를 들어, H 등급의 경우 극비(Restricted) 정보, M 등급은 기밀(Confidential) 정보, L 등급은 내부(Internal or Public) 정보로 분류할 수도 있고, H 등급을 기밀 정보, M을 내부 정보, L을 Public 정보로 분류할 수도 있습니다.

*또한, 리스크를 체계적으로 관리하는 대규모 기업의 경우, 5단계로 세분화(Very High, H, M, L, Very Low)하여 구분하기도 합니다.

* 이러한 문제는 당황하지 말고, H등급 설명을 참조하여, M등급, L등급을 설득력 있게 기술하는 것이 중요하며, 합격을 위해서는 부분 점수 6점 이상을 얻어야 합니다.

​

16. 공격이 탐지되었을 때, 침입탐지시스템(IDS)가 할 수 있는 행위를 4가지 기술하시오.

(답)

1) 이메일, SMS, 관리 콘솔 내 메시지 출력 등을 통하여 보안 관제 담당자에게 알린다.

2) 탐지된 침입 시도를 로그로 남긴다.(이후 분석 및 포렌식 조사를 위한 기초 자료로 사용)

3) 공격이 진행 중인 세션을 강제로 종료하여 침입을 차단한다. (IPS 기능이 포함된 IDS의 경우)

4) 다른 시스템(예: SIEM, 방화벽, 스위치, 라우터)와 통합되어 효과적인 대응 수행(예: 종합 분석, 차단 정책 설정 등)

추가-1) 향후 유사 공격이 들어오는 경우 예방이 가능하도록 IDS의 보안 정책 업데이트

추가-2) 호스트 기반 IDS의 경우, 탐지된 침입에 대해 특정 프로세스를 종료하거나, 파일 접근을 차단하는 등의 보호 조치 수행

* 수험서에는 포함되지 않은 신규 문제입니다. 다양한 답이 나올 수 있는 정답을 특정 지을 수 없는 문제이기도 합니다. IDS에 대한 실무 지식이 없는 경우 SNORT의 Action 유형(Alert, Log, Pass, Activate, Dynamic, Drop, Reject, SDrop)을 떠올려 답을 적어도 무방합니다. 이 경우 틀렸다고 할 수 없으며, 부분 점수 최소 6점 이상은 주어져야 한다고 생각합니다.

728x90

​[실무형]

17. 홍길동은 인터넷 접속이 갑자기 느려져, PC내 ARP 캐시 테이블 상태를 조회해 보았더니 다음과 같이 출력되었다. 각 물음에 답하시오.

(ARP 캐시 테이블 상태)

인터넷 주소 물리적 주소 유형

192.168.100.1 01-00-5e-00-00-02 동적

192.168.100.5 01-00-5e-00-00-02 동적

192.168.100.20 b0-e4-5c-7c-37-6e 동적

192.168.100.21 00-07-89-72-3d-04 동적

192.168.100.22 01-00-5e-7f-ff-fa 동적

1) 위 리스트를 출력하기 위한 명령은?

2) 어떤 공격이 일어난 것으로 판단할 수 있나?

3) 해당 공격이라고 판단한 이유는?

4) 192.168.100.1 의 실제 MAC 주소는 00-0a-00-62-c6-09 이다. 공격에 대응하기 위해서 입력해야 할 명령어는?

(답)

1) arp -a

2) ARP Redirect (192.168.100.1 이 GW 라고 가정함). 만일 해당 IP가 GW가 아니라면 공격명은 ARP Spoofing 임

3) Gateway 에 해당하는 IP(192.168.100.1)의 MAC 주소가 192.168.100.5를 사용하는 PC의 MAC주소로 변조되었기 때문임(이 경우 Gateway로 향하는 모든 패킷은 192.168.100.5를 경유하게 되어, 메세지 내용 훔쳐보기, 메시지 위변조 등 공격이 가능하게 됨)

4) arp -s 192.168.100.1 00-0a-00-62-c6-09

* 수험서에 포함되어 있는 내용으로, 실무형 18번이 신규 문제라 대부분 이 17번 문제를 선택하셨으리라 보입니다. 합격을 위해서는, 최소한 부분 점수 8점 이상을 얻어야 합니다.

* ARP Spoofing은 희생자 IP의 MAC를 변조하는 일반적인 공격을 지칭하며, Gateway 주소를 변조한 경우 정확한 공격명은 ARP Redirect 가 맞습니다.

​

18. 윈도우 PE(Portable Executable) 파일은 윈도우 7과 같이 NT계열 운영체제에서 실행 가능한 파일 포맷이다. PE 파일은 실행 코드, 데이터, 리소스 및 메타데이터를 포함하는 구조를 가지며, 일반적으로 .exe(executable), .dll(dynamic link library), .sys(driver) 확장자를 가진 파일들을 포함한다. 악성파일의 경우에도 윈도우 OS에서 실행되기 위해 PE포맷을 사용하는데, 악성코드 작성자는 PE파일을 난독화하거나, PE헤더와 섹션 정보를 변형하여 디버깅 및 분석을 어렵게 만든다. 이러한 악성파일을 분석하는 아래 3가지 방법에 대하여 설명 하시오.

1) 자동화 분석

2) 반자동화 분석

3) 수동 분석

(답)

1) 자동 분석은 악성 파일 분석 과정에서 수작업을 최소화하고 효율성을 극대화하기 위해 자동화된 도구와 기술을 사용하는 방법임.

• PEiD, IDA Pro, YARA와 같은 정적 분석 도구를 이용하면 파일 헤더, 섹션, 코드 패턴 등을 자동으로 분석하여 악성 여부 판별이 가능함
• Cuckoo Sandbox, Any.Run 과 같은 동적 분석 도구를 이용하면, 악성 파일을 격리된 환경에서 실행하여, 파일의 행위, 네트워크 활동, 시스템 변경 사항을 자동으로 기록하고 분석 가능함.

2) 반자동화 분석은 자동화된 도구를 사용하여 초기 분석을 수행하고, 분석가가 추가적으로 세부 사항을 수동으로 조사하여 정확성을 높이는 방법임.

• Cuckoo Sandbox, Any.Run 과 같은 자동화 도구를 이용하여 파일을 격리된 환경에서 실행하고 초기 행동 분석을 자동으로 수행함. 분석가는 이 결과를 바탕으로 추가 조사 대상을 선정함.
• 디스어셈블러(예: IDA Pro, Ghidra)를 사용하여 자동화 도구가 식별한 의심스러운 코드나 행동을 중심으로 코드의 특정 부분을 수동으로 분석함.

3) 수동 분석은 주로 분석가의 전문 지식과 경험을 바탕으로 파일을 직접 분석하는 방법임. 깊이 있는 조사와 상세한 이해를 필요로 하는 복잡한 악성코드 분석에 유용함.

• 초기 조사 : 파일의 기본 속성(예: 파일 크기, 해시 값, 타임스탬프 등)을 확인하고, PE 헤더 등을 분석하여 실행 파일인지, 스크립트인지, 다른 형식인지 확인하는 초기 조사를 수행함.
• 정적 분석 : PE 파일의 경우, DOS 헤더, PE 헤더, 섹션 헤더 등을 검사하여 파일 구조를 이해하고, IDA Pro, Ghidra, Radare2 등의 디스어셈블러를 사용하여 파일의 기계어 코드를 어셈블리 코드로 변환하고 분석함. 이를 통해 주요 함수, 진입점, 코드 흐름 등을 파악함.

동적 분석 : OllyDbg, x64dbg 같은 디버거를 사용하여 악성코드를 단계별로 실행하면서 코드의 동작을 추적함. 특정 행동을 유발하는 코드 부분을 식별하고 분석함.

[출처] 25회 정보보안기사 실기시험 문제분석(모범답안, 고득점 포인트)|작성자 온계절