2020 제15회 정보보안기사 기출문제

총 20문제가 검색되었습니다.

1
SSH의 기능과 가장 거리가 먼 것은?
1. 1
  원격 접속 보호
2. 2
  파일 전송 보호
3. 3
  패킷 필터링
4. 4
  사용자 인증
해설
SSH 주요 기능
∘ 인증(Authentication)
∘ 기밀성 유지: 암호화(Encryption)
∘ 무결성(Integrity): MAC
∘ 압축(Compression)
∘ 포트 포워딩(일종의 터널링)
∘ 다중화

<오답피하기> ③ 패킷 필터링은 방화벽(firewall)의 기능이다.
2
DB 보안 위협 요소인 추론으로부터 정보 유출을 막기 위한 기술은?
1. 1
  집성
2. 2
  DAC
3. 3
  암호화
4. 4
  다중 인스턴스화
해설
추론(inference)
∘ 일반적인 데이터로부터 비밀정보를 획득할 수 있는 가능성을 의미.
∘ 사용자가 통계적인 데이터 값으로부터 개별적인 데이터 항목에 대한 정보를 추적하지 못하도록 하여야 함.(통제하기 가장 어려운 위협)
∘ 추론 대응책: Polyinstantiation, Partition, Cell suppression, Noise, Perturbation

<오답피하기> ④ 다중사례화(Polyinstantiation)는 낮은 등급자가 레코드 입력 시 높은 등급자가 존재하고 있다는 것을 입력오류를 통해 확인하는 것을 방지하기 위한 방법이다. Polyinstantiation은 두 가지 버전의 동일 객체를 생성함으로써 낮은 수준의 주체가 실제 정보를 알지 못하게 하며, 보안 수준을 갖지 않은 엔티티에게 거짓 정보(Cover Story)를 제공하는 방법으로, 추론에 대한 대응책이다.
3
다음 지문의 설명에 가장 알맞은 기술은?

보안 토큰이라고도 이야기하며, 전자 서명 생성 키 등 비밀정보를 안전하게 저장, 보관할 수 있고, 기기 내부에 암호 연산 장치가 있어 전자서명 키 생성 및 서명 생성 등이 가능한 하드웨어 장치를 말한다.
1. 1
  HSM
2. 2
  OTP
3. 3
  SSO
4. 4
  DRM
해설
<오답피하기>① HSM(Hardware Security Module)은 하드웨어 보안 모듈. 전자서명 생성키 등 비밀정보를 안전하게 저장하기 위한 장치. 기기 내부에 프로세스와 암호연산 장치가 있어 전자서명 키 생성이나 전자서명 생성, 검증이 가능하다. 스마트카드, USB 토큰 등 다양한 형태로 제작될 수 있다.
4
DNS 서버에 대한 질의 시 사용되는 type 옵션에 대한 설명으로 틀린 것은?
1. 1
  MX : 도메인의 메일서버 질의
2. 2
  NS : 도메인의 네임서버 질의
3. 3
  A : 도메인에 대한 IP 주소 질의
4. 4
  SOA : IP에 대한 도메인 정보 질의
해설
DNS의 Record Type
∘ SOA(Start of Authority): zone의 등록정보 제공
∘ NS(Name Server): 네임 서버 리소스 레코드로 DNS Server 나열
∘ A(Address): 도메인에 IP 주소를 부여해 주는 레코드
∘ MX(Mail Exchange): 메일 익스체인저로 메일서버를 설정하는 데 매우 중요한 역할의 레코드
∘ CNAME(Canonical Name): 하나의 IP에 여러 개의 별칭을 가질 수 있게 해주는 레코드
∘ PTR(Pointer): IP Address → hostname

<오답피하기> ④ IP에 대한 도메인 정보 질의는 PTR을 사용한다. SOA는 DNS 존의 시작을 표시하는데 사용하며 DNS 존에 대한 중요한 정보를 제공한다. 모든 존은 정확히 하나의 SOA 레코드를 가져야 한다. 이 레코드는 존의 네임, 1차(마스터) 권한 서버의 네임뿐만 아니라 관리자의 이메일 주소, 슬레이브(2차) 네임 서버를 갱신하는 대기 시간 등과 같은 기술적 세부사항까지 포함한다.
5
다음 중 HTML 문서 내 입력받은 변수값을 서버측에서 처리할 때 부적절한 명령문이 포함되거나 실행되어 서버의 데이터가 유출되는 취약점은?
1. 1
  SSI 인젝션
2. 2
  LDAP 인젝션
3. 3
  XPATH 인젝션
4. 4
  SQL 인젝션
해설
∘ LDAP(Lightweight Directory Access Protocol) injection은 LDAP 쿼리를 주입함으로써 개인정보 등의 내용이 유출될 수 있는 문제를 이용하는 취약점이다. ∘ XPath 삽입은 외부 입력값을 적절한 검사과정 없이 XPath 쿼리문 생성을 위한 문자열로 사용하면, 공격자는 프로그래머가 의도하지 않았던 문자열을 전달하여 쿼리문의 의미를 왜곡시키거나 그 구조를 변경하고 임의의 쿼리를 실행하여 인가되지 않은 데이터를 열람할 수 있다.

<오답피하기> ① SSI(Server Side Includes)는 HTML에서 페이지의 전체코드를 수정하지 않고 공통 모듈 파일로 관리하며 동적인 내용을 추가하기 위해서 만들어진 기능이다. 주로 값이 자주 변동하는 방문자수를 세거나 새로운 기능을 추가할 때 사용한다. SSI 인젝션 취약점이 있는 경우 페이지에 악의적인 코드를 주입하는 공격이 가능하다.
6
다음 보안 프로토콜 중 작동 레이어가 OSI 7 Layer 중 가장 낮은 것은?
1. 1
  S/MIME
2. 2
  IPSec
3. 3
  SSH
4. 4
  SSL
해설
<오답피하기>② IPSec은 네트워크 계층에 속하고, SSL은 전송계층, SSH, S/MIME은 응용계층에 속한다.
7
웹 서비스를 주요 대상으로 하는 공격 유형이 아닌 것은?
1. 1
  CSRF
2. 2
  XSS
3. 3
  RFI
4. 4
  Format String
해설
∘ RFI(Remote File Inclusion) 취약점을 이용한 공격은 공격자가 악성 스크립트를 서비스 서버에 전달하고 해당 페이지를 통하여 전달한 악성코드가 실행되도록 하는 것이다. 즉, 웹 애플리케이션에 공격자 자신의 코드를 원격으로 삽입한다.

<오답피하기> ④ Format String 공격은 printf(), fprintf(), sprintf()와 같이 포맷스트링을 사용하는 함수를 사용하는 경우, 외부로부터 입력된 값을 검증하지 않고 입출력 함수의 포맷 문자열을 그대로 사용하는 경우 발생할 수 있는 취약점으로 웹 서비스를 주요 대상으로 하는 공격유형과는 거리가 멀다.
8
TLS handshake 과정을 순서에 맞게 나열한 것은?

가. Server Key Exchange

나. Server Hello

다. Client Hello

라. Client Key Exchange

마. Change Cipher Spec
1. 1
  다 → 라 → 나 → 가 → 마
2. 2
  다 → 나 → 가 → 라 → 마
3. 3
  다 → 라 → 가 → 나 → 마
4. 4
  다 → 나 → 라 → 마 → 가
해설
9
다음 중 SQL injection에서 사용되는 여러 종류의 특수문자 용도에 대한 설명으로 가장 적합하지 않은 것은?
1. 1
  -- 및 # 은 앞의 출력값을 받아 두 번째 입력값으로 사용한다.
2. 2
  ; 은 쿼리 구분 기호이다.
3. 3
  ‘ 은 문자 데이터 구분기호이다.
4. 4
  /* */은 구문 주석 처리 기호이다.
해설
주석처리
ㆍ대개 패스워드 인증 부분을 무력화하려고 사용되곤 한다.
ㆍ주석(코멘트)은 DBMS 종류에 따라 차이가 있다.
MSSQL: --
ORACLE: --
MySQL: #
MS Access: %00

<오답피하기> ① -- 및 # 은 주석처리에 사용된다.
10
디지털포렌식의 일반원칙으로 적합하지 않은 것은?
1. 1
  증거분석은 원본을 사용하여 분석하여야 한다.
2. 2
  디지털 증거는 신뢰성이 검증된 분석 도구(HW, SW)를 사용해야 한다.
3. 3
  디지털 증거는 추출, 분석된 데이터가 무결성, 동일성이 보장되어야 증거능력을 인정받을 수 있다.
4. 4
  증거분석의 전 과정을 기록하여야 한다.
해설
디지털 증거 복제본(digital evidence copy)
∘ 디지털 증거 원본의 복제본으로서 생성 과정에서 신뢰성이 보장되고 디지털 증거 원본과 독립적인 환경에서 원본성을 검증할 수 있는 데이터이다. 디지털 증거 분석을 위해 획득한 최초의 디지털 증거 복제본을 복제원본이라 한다.

<오답피하기> ① 디지털 증거 분석은 복제본에서 이루어져야 한다.

문제은행

2020 제15회 정보보안기사 기출문제