2019 제14회 정보보안기사 기출문제

총 20문제가 검색되었습니다.

1
다음 지문에서 설명하고 있는 DB 보안 요구사항으로 적절한 것은?
- 데이터베이스 내에 있는 자료값들이 정확하도록 보장하는 관리 작업
- 잘못된 갱신으로부터의 보호나 불법적인 조작에 대한 보호를 통한 정확성 유지
1. 1
  감사 기능
2. 2
  추론 방지
3. 3
  데이터 무결성
4. 4
  접근 통제
해설
<오답피하기>③ 잘못된 갱신이나 불법적인 조작으로부터 자료 값들의 정확성을 유지하는 것은 데이터 무결성과 밀접하게 관련되어 있다.
2
디지털포렌식 과정 중 수집된 디지털 증거를 이송, 분석, 보관, 법정 제출 등 각 단계에서 담당자 및 책임자를 명확히 함으로써 증거물의 진정성을 판단하는 중요한 기준을 지칭하는 원칙은?
1. 1
  관리 연속성
2. 2
  독수독과성
3. 3
  전문 배제성
4. 4
  증거 무결성
해설
∘ 위법수집증거배제의 원칙 또는 독수독과이론은, 수사기관에서 위법적으로 증거를 수집하려는 시도를 원천봉쇄하기 위해 만들어진 법학 개념으로, 정당한 법적 절차를 거쳐서 수집한 증거라고 해도 그 증거를 얻게 된 실마리가 위법하게 얻은 증거에 있었다면, 그 증거를 통해서 정당한 절차를 거쳐서 얻은 증거의 증거능력까지 모두 무효화시킨다는 개념으로 위법수집증거, 위법수집증거배제의 원칙으로 불린다.
<오답피하기> ① 연계 보관성의 원칙(관리 연속성)은 증거는 획득되고 난 뒤 이송/분석/보관/법정 제출이라는 일련의 과정이 명확해야 하며, 이러한 과정에 대한 추적이 가능해야 한다는 원칙이다. 연계 보관성(Chain of Custody)을 만족하려면 증거를 전달하고 전달받는 데 관여한 담당자와 책임자를 명시해야 한다.
3
전자상거래 환경에서 구매자의 신용카드 정보 등 중요 지불정보를 이용하여 판매자 대신 신용카드사 등 금융기관에 결제를 요청하고 처리하는 기관의 명칭은?
1. 1
  CA(Certification Authority)
2. 2
  PG(Payment Gateway)
3. 3
  TGS(Ticket Granting Service)
4. 4
  KDC(Key Distribution Center)
해설
지불 게이트웨이(Payment Gateway)
∘ 지불처리 은행 또는 제3자에 의해 운영되는 장치로서 상점이 요청한 카드소지자의 지급정보를 이용하여 해당 금융기관에 승인 및 결제를 요청하는 기존의 카드 지불 네트워크로의 통로이다.(네트워크 간에 거래 인가와 지불 기능을 위한 가교 역할 수행)
∘ 인터넷으로 SET 네트워크에 연결되어야 하고, 기존 지불 네트워크에 연결된 지불 은행(acquirer)에도 연결되어야 한다.

<오답피하기> ② CA는 SET 참여자에게 공개키 인증서를 발행하는 기관이고, TGS와 KDC는 커버로스의 구성요소이다. 구매자의 신용카드 정보 등 중요 지불정보를 이용하여 판매자 대신 신용카드사 등 금융기관에 결제를 요청하고 처리하는 기관은 Payment Gateway이다.
4
웹에서 보안 문제 발생 시 아파치 로그를 분석하여 문제를 해결하는 방법으로 가장 부적절한 것은?
1. 1
  클라이언트의 IP 주소, 클라이언트의 접속시간 정보에 대한 로그 내용을 분석한다.
2. 2
  클라이언트의 요청방식(GET, POST) 및 요청 내용(URL)에 대한 로그 내용을 분석한다.
3. 3
  특정 파일에 대한 연속적인 요청이 있을 시 로그 패턴을 분석한다.
4. 4
  웹서버에서 특정 웹페이지(파일)의 요청이 많은 경우에 대한 로그 패턴을 분석한다.
해설
보안 관점의 로그 분석
∘ 홈페이지 취약점 공격 시 로그 패턴 분석
- 특정 파일에 대한 연속적인 요청
∘ 취약점 분석 프로그램에 의한 로그 패턴
- 짧은 시간 동안 많은 페이지가 요청될 경우
- 해당 서버와 관련 없는 파일들의 요청이 많을 경우

<오답피하기> ④ 웹서버에서 짧은 시간 동안 많은 페이지가 요청되는 경우나 해당 서버와 관련 없는 파일들의 요청이 많을 경우에 로그 패턴을 분석한다.
5
FTP bounce 공격과 거리가 먼 것은?
1. 1
  익명 FTP 서버를 이용해 그 FTP 서버를 경유해서 호스트를 스캔
2. 2
  FTP 서버를 통해 임의의 네트워크 접속을 릴레이함으로써 수행
3. 3
  네트워크에 대한 포트 스캐닝에 이용
4. 4
  익명 사용자가 서버에 쓰기 권한이 있을 때 악성코드 생성
해설
Anonymous FTP 취약점
∘ 보안 절차를 거치지 않은 익명의 사용자에게 FTP 서버로의 접근을 허용한다.
∘ 익명 사용자가 서버에 쓰기 권한이 있을 때 악성 코드 생성이 가능하다.

<오답피하기> ④ Anonymous FTP 취약점에 대한 설명이고, 나머지는 FTP 설계의 구조적 취약점을 이용하여 네트워크를 스캔하는 FTP bounce 공격에 대한 설명이다.
6
다음 중 DB 보안 강화를 위한 지침으로 가장 부적절한 것은?
1. 1
  노출 및 기능 최소화
2. 2
  관리자 최소화
3. 3
  로컬 계정 사용 금지
4. 4
  Guest 계정 사용 금지
해설
데이터베이스 보안 관리
∘ 정기적으로 모든 데이터를 백업하고, 복사본을 조직 외부의 안전한 위치에 보관
∘ 노출 및 기능 최소화
∘ 데이터베이스 관리자 최소화
∘ guest 계정 사용 금지
∘ 방화벽 구축/운영(다른 중요한 서비스와 마찬가지로 데이터베이스 서버는 방화벽 뒤에 설치하여야 한다.)

<오답피하기> ③ DB 보안 강화를 위해 로컬 계정을 사용한다.
7
KISA에서 발표한 생체인식기반 간편 공인인증 가이드라인의 보안 요구사항으로 부적합한 사항들은?

ⓐ 루팅 및 탈옥 등 스마트폰이 불법 변경되면 모든 저장소에 접근이 가능하여 안전한 하드웨어 저장소를 활용할 것을 권고한다.

ⓑ 생체정보 등의 로컬인증 실패 횟수는 제한하지 않되 비밀번호 등은 실패 횟수를 제한하여야 한다.

ⓒ 장치의 오인식률(FAR)은 5%미만이어야 한다.

ⓓ 스마트폰 내 지문인식 장치의 취약점이 발견되는 즉시 보안조치가 이루어져야 한다.
1. 1
  ⓐ, ⓓ
2. 2
  ⓐ, ⓒ
3. 3
  ⓑ, ⓒ
4. 4
  ⓑ, ⓓ
해설
생체인식기반 간편 공인인증 가이드라인의 보안 요구사항
∘ 루팅(Rooting)⋅탈옥(Jail-Break) 등 스마트폰이 불법 변경된 환경에서는 모든 저장소에 접근이 가능하기 때문에, 물리적으로 독립된 안전한 하드웨어 저장소를 활용하는 것을 권고한다.
∘ 비밀번호, 생체정보 등 전자서명생성정보 접근을 위한 로컬인증 실패 시 횟수를 제한하여야 한다.
∘ 스마트폰 내 지문인식 장치의 FAR(오인식률)은 1/50,000을 지원하여야 하며, FRR(오거부율)은 2~3% 이하를 지원하여야 한다.
∘ 위조지문 등 스마트폰 내 지문인식 장치의 취약점이 발견되는 즉시 보안조치가 이루어져야 한다.
∘ TEE(Trusted Execution Environment, 신뢰된 실행 환경) 클라이언트와 TA(Trusted Application, 신뢰된 애플리케이션)는 신뢰된 상호인증을 수행하는 것을 권고한다.

<오답피하기> ③ ⓑ 비밀번호, 생체정보 등 전자서명생성정보 접근을 위한 로컬인증 실패 시 횟수를 제한하여야 한다. ⓒ 스마트폰 내 지문인식 장치의 FAR(오인식률)은 1/50,000을 지원하여야 한다.
8
DRM에 대한 설명 중 적절하지 못한 것은?
1. 1
  커널에 삽입된 DRM 모듈은 응용 프로그램이 작성한 문서를 암호화하여 하드디스크에 저장한다.
2. 2
  문서보안 기술의 하나로서 문서의 열람, 편집, 인쇄에 접근권한을 설정하여 통제한다.
3. 3
  관리자는 각 개인의 DRM 인증서에 권한을 설정하여 각 개인의 문서에 대한 접근권한을 관리할 수 있다.
4. 4
  DRM은 과거 IP 관리 시스템이 발전한 형태의 솔루션으로서, MAC 주소를 기반으로 접근제어 및 인증을 수행한다.
해설
∘ NAC(Network Access Control): 과거 IP 관리 시스템에서 발전한 솔루션을 말한다. 이 기술은 클라이언트가 네트워크에 접근하는 것을 통제할 뿐만 아니라, IP가 무질서하게 사용되는 것을 막아 가용 IP를 쉽게 확인할 수 있게 하고 IP 충돌로 인한 문제를 막는다.

<오답피하기> ④ DRM이 아닌 NAC에 대한 설명이다.
9
서버 측 스크립트 언어가 아닌 것은?
1. 1
  JSP
2. 2
  ASP
3. 3
  HTML
4. 4
  PHP
해설
SSS
∘ ASP나 JSP와 같이 동적인 페이지를 제공하는 스크립트를 SSS(Server Side Script)라 한다. 스크립트를 사용하여 동적 문서를 생성하는 기술에는 몇 가지 방법이 있다. 가장 일반적인 것으로 Perl 언어를 사용하는 Hypertext Preprocessor(PHP)와 Java Server Pages(JSP), Active Server Pages(ASP) 그리고 HTML 문서에 SQL 데이터베이스 질의를 내장한 ColdFusion 등이 있다.

<오답피하기> ③ HTML은 인터넷 웹 페이지를 만들 때 사용하는 표준 마크업 언어로 SSS(Server Side Script)와는 관련이 없다.
10
OWASP TOP 10 – 2017과 거리가 먼 것은?
1. 1
  DDoS : UDP 등 사용하지 않는 프로토콜 차단 및 모니터링 체계 구성이 필요함
2. 2
  민감한 데이터 노출 : 중요한 데이터를 저장 및 전송할 때 암호화 같은 추가적인 보호 조치가 요구됨
3. 3
  취약한 인증 : 인증 및 세션 관리와 관련된 애플리케이션 기능이 잘못 구현되어 있는 상황에서 발생
4. 4
  불충분한 로깅 & 모니터링 : 로깅과 모니터링을 적절히 수행하지 않을 경우 사고에 대한 적절한 대응이 불가
해설

문제은행

2019 제14회 정보보안기사 기출문제