2021 제17회 정보보안기사 기출문제

총 20문제가 검색되었습니다.

1
다음 지문에서 설명하는 DRM 기술은 무엇인가?

디지털 저작권 보호 관리를 위한 정보보호 기술의 하나로서 디지털 이미지, 오디오, 비디오 등 디지털 형식으로 되어 있는 지적재산의 저작권 보호를 위해 자료에 삽입한 비트 패턴을 말한다. 동일한 자료에 삽입되는 비트 패턴은 항상 동일하다.
1. 1
  DOI
2. 2
  핑거프린팅
3. 3
  안티탬퍼링 기술
4. 4
  워터마킹
해설
∘ 탬퍼링 방지(Tamperproofing)란 악의적 목적의 의도적인 오작동을 방지하는 기술이다.

<오답피하기>④ 워터마킹은 데이터의 불법복제를 방지하고 소유자의 저작권과 소유권을 보호하기 위해 디지털 콘텐츠에 사용자만이 알 수 있는 아이디(ID) 또는 정보 등의 부호를 삽입하거나, 영상·음성 등의 신호에 특정한 코드나 유형 등을 삽입하는 기술이다.
2
서버를 점검하던 중 다음과 같은 문장이 포함된 ASP 스크립트가 존재하는 것을 알게 되었다. 의심되는 공격은 무엇인가?

<% eval request(“cmd”) %>
1. 1
  Buffer Overflow
2. 2
  CSRF
3. 3
  웹셸(WebShell)
4. 4
  DoS/DDoS
해설
<오답피하기>③ ASP 웹셸 중 eval, execute 메소드를 이용하여 공격자로부터 웹셸 코드를 전달 받아 실행하는 짧은 소스 코드들이 있다. 이같이 짧은 소스코드가 정상적인 소스에 삽입되어 실행되는 경우도 있으므로 관리자들의 각별한 주의가 필요하다.
- eval (expression): eval 함수는 expression으로 정의된 코드를 평가하여 결과(True, False)를 알려준다.
- execute (expression): execute 함수는 expression으로 정의된 코드를 실행하여 결과를 알려준다.
3
다음 지문에서 설명하고 있는 DNS 구성요소는?

인터넷상에 산재하여 존재하고 있는 네임서버들 가운데에서 특정한 도메인 이름에 대해서 원하는 유형의 리소스 레코드 데이터를 조회하는 기능을 수행하는 역할을 한다.
1. 1
  whois 클라이언트
2. 2
  리소스 레코드 에이전트
3. 3
  도메인 제어기
4. 4
  리졸버
해설
리졸버(해석기, resolver)
∘ 리졸버는 인터넷 상에 산재하여 존재하고 있는 네임서버들 가운데에서 특정한 도메인 이름에 대하여 원하는 유형의 리소스 레코드 데이터를 조회하는 기능을 수행한다.
∘ 네임서버에 대하여 클라이언트의 역할을 수행한다. ISP와 각 회사 및 기관에서 사용하고 있는 캐시 네임서버(Cache Name Server)가 리졸버이다.
∘ 리졸버는 스스로 리소스 레코드 데이터에 대한 질의동작을 개시하는 것이 아니라, 응용 애플리케이션의 요청에 의해 질의절차를 개시한다. 즉, 리졸버는 응용 애플리케이션을 대신하여 DNS 질의응답을 수행하고 파악된 데이터를 응용 애플리케이션에 반환한다. 리졸버와 응용 애플리케이션 사이의 인터페이스는 응용 프로그램 인터페이스(API, Application Programming Interface)의 형태를 가진다.
∘ DNS는 계층구조의 네임체계를 가지고 있으므로, 리졸버는 대상 도메인이름이 어느 네임서버에 그 리소스 레코드 데이터가 존재하는지를 파악하기 위해, 전체 도메인 네임의 뿌리에 해당하는 루트 도메인의 네임서버로부터 조회를 시작한다.
∘ 루트 네임서버는 질의하는 도메인 이름이 속하는 위임된 하위 도메인에 대한 네임서버 정보를 리졸버에게 알려준다. 이는 루트 네임서버의 존(Zone)에 설정된 자식 도메인의 위임을 표시하는 NS 리소스 레코드 정보에 의해 리졸버에게 알려진다.
∘ 리졸버는 계층구조를 따라서 최종 네임서버까지 파악하게 되고, 최종 네임서버는 리졸버에게 질의된 리소스 레코드 정보를 응답한다.

<오답피하기>④ whois 명령어는 도메인의 등록정보(소유정보), 네트워크 할당 정보 등을 조회하기 위한 명령어이다. 리졸버(resolver)는 네임서버로 질의를 수행하여 그 결과를 응용 프로그램에 반환해주는 소프트웨어 모듈/라이브러리를 말한다.
4
HTTP 요청 방식은 무엇인가?

이 요청 방식은 게시판 등에 파일 업로드를 위해 주로 사용하는 방식으로서 URL에 요청 데이터를 기록하지 않고, HTTP 바디에 데이터를 전송한다. 따라서 인수값을 URL을 통해 직접 전송하지 않기 때문에 다른 사람이 링크를 통해 해당 페이지를 볼 수 없다.
1. 1
  GET 방식
2. 2
  POST 방식
3. 3
  HEAD 방식
4. 4
  CONNECT 방식
해설
<오답피하기>② POST는 리소스를 생성/변경하기 위해 설계되었기 때문에 GET과 달리 전송해야 될 데이터를 HTTP 메시지의 Body에 담아서 전송한다. HTTP 메시지의 Body는 길이의 제한 없이 데이터를 전송할 수 있다. 그래서 POST 요청은 GET과 달리 대용량 데이터를 전송할 수 있다. 이처럼 POST는 데이터가 Body로 전송되고 내용이 눈에 보이지 않아 GET보다 보안적인 면에서 안전하다고 생각할 수 있지만, POST 요청도 크롬 개발자 도구, Fiddler와 같은 툴로 요청 내용을 확인할 수 있기 때문에 민감한 데이터의 경우에는 반드시 암호화해 전송해야 한다. 그리고 POST로 요청을 보낼 때는 요청 헤더의 Content-Type에 요청 데이터의 타입을 표시해야 한다.
5
FTP 공격 유형 중 어떤 공격 유형인지 고르면?

FTP 서버가 데이터를 데이터 포트(20/TCP)로 전송할 때 목적지가 어딘지 검사하지 않는 프로토콜의 구조적 문제점을 이용하는 공격 유형이다. 익명 FTP 서버를 이용해 공격자가 자신을 숨기고 PORT 명령을 조작하여 공격대상의 네트워크 및 포트스캔, Fake Mail 전송, 데이터 전송이 가능하며, 또한 방화벽 내부에 FTP 서버가 있으면 방화벽 패킷 필터링을 무시하고 여러 공격이 가능하다.
1. 1
  FTP 무차별 대입 공격
2. 2
  FTP 바운스 공격
3. 3
  익명 FTP 공격
4. 4
  TFTP 공격
해설
Bounce Attack의 특징
∘ FTP 프로토콜 구조의 허점을 이용한 공격 방법이다.
∘ FTP 서버는 클라이언트가 지시한 곳으로 자료를 전송할 때 그 목적지가 어떤 곳인지는 검사하지 않는다.
∘ FTP 클라이언트가 실행되는 호스트가 아닌 다른 호스트를 지정하더라도 서버는 충실하게 지정된 곳으로 정보를 보낸다.
∘ 클라이언트는 FTP 서버를 거쳐 간접적으로 임의의 IP에 있는 임의의 포트에 접근할 수 있으며 또한 임의의 메시지를 보낼 수도 있다.
∘ FTP 바운스 공격을 이용하면 근원지(source)를 알 수 없는 전자 메일(fake mail)을 보낼 수 있다.

<오답피하기>② Bounce attack은 FTP 서버가 데이터를 전송할 때 목적지를 검사하지 않는 문제점을 이용하고, 네트워크를 포트 스캐닝하는 데 사용하는 공격이다.
6
다음 빈칸 ㉠에 들어갈 내용으로 알맞은 것은?

웹 세션 동작 메커니즘 중 클라이언트가 세션 토큰을 포함하지 않은 HTTP 요청 메시지를 전송했을 때, 서버는 클라이언트로 응답 메시지를 보내는 경우에 헤더에 ( ㉠ )값을 설정하면 클라이언트에 쿠키를 만들 수 있다.
1. 1
  Cookie
2. 2
  Set-Cookie
3. 3
  Session
4. 4
  Keep-alive
해설
<오답피하기>② Set-Cookie HTTP 응답 헤더는 서버로부터 사용자 에이전트로 전송된다. 이 서버 헤더는 클라이언트에게 쿠키를 저장하라고 전달한다. 서버로 전송되는 모든 요청과 함께 브라우저는 Cookie 헤더를 사용하여 서버로 이전에 저장했던 모든 쿠키들을 회신한다.
7
전자서명(Digital Signature) 메커니즘에서 제공되는 기능과 가장 거리가 먼 것은?
1. 1
  메시지 송신자에 대한 인증
2. 2
  전자서명 메시지에 대한 부인방지
3. 3
  전자서명 검증 과정을 통한 메시지 무결성 ④ 송수신 메시지에 대한 비밀성
4. 4
  송수신 메시지에 대한 비밀성
해설
<오답피하기>④ 전자서명은 무결성, 인증, 부인방지를 제공하지만 기밀성(비밀성) 기능을 제공하는 것은 아니다.
8
다음 지문에서 설명하는 서명 방식은?

SET에서 도입된 기술로 상점이 카드 사용자의 계좌번호와 같은 지불정보를 모르게 하는 동시에 상점에 대금을 지불하는 은행은 카드 사용자가 상점에서 산 물건을 모르지만 상점이 요구한 결제 대금이 정확한지 확인할 수 있게 한다.
1. 1
  이중 서명
2. 2
  은닉 서명
3. 3
  비밀 서명
4. 4
  지불 서명
해설
<오답피하기>① 이중 서명은 SET에서 도입된 기술로 고객의 구매 정보는 은행이 모르게 하고 지불 정보는 상점이 모르게 하기 위해 사용하는 서명 방식이다.
9
TFTP에 대한 설명으로 옳지 않은 것은?
1. 1
  RRQ와 WRQ 메시지는 클라이언트가 서버에게 전송하는 요청이다.
2. 2
  DATA 메시지는 클라이언트와 서버가 모두 사용한다.
3. 3
  ACK 메시지는 클라이언트와 서버가 모두 사용한다.
4. 4
  TCP 69번 포트를 통해 데이터를 전송한다.
해설
TFTP 메시지
∘ 읽기 요구(RRQ): 클라이언트가 서버로부터 데이터를 읽기 위한 연결을 설정하는 데 사용한다.
∘ 쓰기 요구(WRQ): 클라이언트가 서버로부터 데이터를 쓰기 위한 연결을 설정하는 데 사용한다.
∘ 데이터(DATA): 클라이언트 또는 서버가 데이터 블록을 전송하기 위하여 사용한다.
∘ 확인응답(ACK): 클라이언트 또는 서버가 데이터 블록을 수신하였다고 응답하기 위하여 사용한다.
∘ ERROR 메시지: 클라이언트 또는 서버가 연결을 설정하지 못하거나 데이터 전송 중에 문제가 발생할 때 사용한다.

<오답피하기>④ FTP는 TCP를 사용하지만 TFTP는 UDP(69번 포트)를 사용한다.
10
PGP는 전자우편 보안 시스템이다. PGP가 제공하지 않는 기능은?
1. 1
  전자서명
2. 2
  압축
3. 3
  수신 부인방지
4. 4
  단편화와 재조립
해설
∘ PGP의 보안 지원기능: 기밀성, 메시지 인증, 사용자 인증, 송신 부인방지, 단편화와 재조립

<오답피하기>③ PGP는 송신 부인방지를 제공하지만, 수신 부인방지는 지원하지 않는다.

문제은행

2021 제17회 정보보안기사 기출문제