2021 제17회 정보보안산업기사 기출문제

총 20문제가 검색되었습니다.

1
다음 지문에서 설명하는 용어는 무엇인가?

암호화, 복호화, 전자서명 등의 암호 관련 연산을 빠르게 수행하고, 암호키의 생성 및 안전한 보관을 할 수 있는 하드웨어 장치를 의미한다.
1. 1
  HSM(Hardware Security Module)
2. 2
  비트라커(BitLocker)
3. 3
  OTP(One Time Password)
4. 4
  TCB(Trusted Computing Base)
해설
<오답피하기>① 보안토큰(HSM, Hardware Security Module)은 전자서명 생성키 등 비밀 정보를 안전하게 저장 및 보관할 수 있고 기기 내부에 프로세스 및 암호 연산 장치가 있어 전자서명 키 생성, 전자 서명 생성 및 검증 등이 가능한 하드웨어 장치로 기기 내부에 저장된 전자서명 생성키 등 비밀 정보는 장치 외부로 복사 또는 재생성되지 않으며 스마트 카드, USB 토큰 등 다양한 형태로 제작 및 구현한 것이다.
2
다음 지문에서 설명하고 있는 E-mail 공격 방법은 무엇인가?

메일 열람 시 HTML 기능이 있는 E-mail 클라이언트나 웹 브라우저를 이용하는 사용자를 대상으로 하는 E-mail 공격기법으로 스크립트 기능을 이용하여 피해자 컴퓨터의 정보를 유출하거나 악성프로그램을 실행시키는 공격 방법이다.
1. 1
  트로이목마 공격
2. 2
  액티브콘텐츠 공격
3. 3
  버퍼오버플로우 공격
4. 4
  스팸 메일 공격
해설
액티브 콘텐츠 공격
∘ 메일 열람 시 HTML 기능이 있는 E-mail 클라이언트나 웹 브라우저를 사용하는 이용자를 대상으로 하는 공격기법이다. 주로 "자바스크립트"나 "비주얼베이직 스크립트"등과 같은 HTML 또는 E-mail 클라이언트의 스크립팅 기능을 이용하여 피해자의 컴퓨터에서 정보를 유출하거나 악성 프로그램을 실행시킨다.
∘ 이러한 공격의 간단한 예로는 사용자가 메시지를 열어볼 때 음란사이트나 광고 사이트를 보여주는 형태나 또는 시스템을 마비시키는 서비스거부 공격 형태가 있다. 최근에 발견되는 VBS 웜을 예로 들 수 있다.
∘ 이런 공격은 E-mail 클라이언트 프로그램의 버그나 시스템의 버그를 이용하는 것이 아니기 때문에 보안 패치로써 해결하지 못한다. 때문에 E-mail 클라이언트의 스크립팅 기능을 사용하지 않도록 설정하는 것이 중요하다.

<오답피하기> ② 액티브 콘텐츠 공격은 HTML 또는 E-mail 클라이언트의 스크립팅 기능을 이용하여 피해자의 컴퓨터에서 정보를 유출하거나 악성 프로그램을 실행시킨다.
3
다음 중 HTTP(Hypertext Transfer Protocol) 상태코드의 정의가 틀린 것은?
1. 1
  200: OK
2. 2
  304: Not Modified
3. 3
  400: Not Found
4. 4
  408: Request Timeout
해설
∘ Not modified(304): 브라우저가 서버에 요청한 자료에 대해 서버는 클라이언트 내에 복사된 캐시를 사용하면 된다는 것을 의미한다.
<오답피하기> ③ Bad request(400): 요청 메시지의 문법 오류이다.
4
게시판 또는 자료실 등에 웹셸과 같은 악성 스크립트 파일을 침투시키는 보안 취약점은?
1. 1
  디렉터리 리스팅
2. 2
  파일 업로드
3. 3
  인증 및 세션 관리
4. 4
  Application Error 메시지 출력
해설
<오답피하기>② 파일 업로드 취약점은 서버측에서 실행될 수 있는 스크립트 파일(asp, jsp, php파일 등)을 업로드하고, 이 파일을 공격자가 웹을 통해 직접 실행시킬 수 있는 경우 시스템 내부명령어를 실행하거나 외부와 연결하여 시스템을 제어할 수 있는 보안약점이다.
5
다음 중 파일을 안전하게 전송하기 위하여 SSH(Secure Shell)를 사용하는 프로토콜은?
1. 1
  SFTP(Secure FTP)
2. 2
  TFTP(Trivial FTP)
3. 3
  FTPS(FTP-SSL)
4. 4
  HTTPS(HTTP-Secure)
해설
∘ SFTP(Secure File Transfer Protocol 혹은 SSH File Transfer Protocol)는 암호화 통신 프로토콜을 사용하기 때문에 스니핑을 통해서도 ID와 비밀번호가 유출될 가능성이 아주 낮다.
<오답피하기> ① SSH는 TCP 22번 포트를 사용한다. SFTP는 SSH를 기반으로 하고 FTPS, HTTPS는 SSL을 기반으로 한다.
6
생체인식 기술이 가지고 있어야 할 보안 요구조건이 아닌 것은?
1. 1
  보편성(Universality)
2. 2
  구별성(Uniqueness)
3. 3
  일시성(Temporality)
4. 4
  획득성(Collectability)
해설
<오답피하기>③ 생체인증은 시간에 따른 변화가 없는 지속성(Permanence)을 만족해야 한다.
7
FTP를 연결하는 방법에는 능동 모드(Active Mode)와 수동 모드(Passive Mode)가 있다. 다음 중 수동 모드에 대한 설명으로 틀린 것은?
1. 1
  제어 채널은 21번 포트를 사용한다.
2. 2
  FTP 서버는 20번과 21번 포트를 사용한다.
3. 3
  클라이언트가 FTP 서버 측에서 알려준 포트로 접속한다.
4. 4
  데이터 전송을 위해 1024 이후 포트를 사용한다.
해설
Active 모드
∘ 서버가 21, 20번 포트 사용
∘ 서버에서는 두 개의 포트만 열면 서비스 가능
∘ 두 번째 connection은 서버에서 클라이언트로 접속
∘ 클라이언트에 방화벽 설치 시 접속 불가

Passive 모드
∘ 서버가 21, 1024번 이후 포트 사용
∘ 데이터 전송 위해 1024번 이후 포트 사용
∘ 서버에서 클라이언트로 접속해야 하는 모순을 해결하기 위해 고안된 방식
∘ 서버에서는 21번 포트와 1024번 이후의 모든 포트 오픈
∘ 보안을 위해 서버에서 passive모드로 사용할 포트 제한

<오답피하기> ② 수동 모드에서 FTP 서버는 21번과 1024번 이후 포트를 사용한다.
8
다음 지문에서 설명하고 있는 웹 공격 방식의 명칭은 무엇인가?

이 공격은 URL 요청 또는 웹 요청에 포함되는 파라미터 값에 시스템 명령을 삽입하는 형태로 공격이 진행된다.
1. 1
  XSS(Cross Site Scripting)
2. 2
  SSI(Server Side Includes) 인젝션
3. 3
  CSRF(Cross-Site Request Forgery)
4. 4
  쿠키 포이즈닝(Cookie Poisoning)
해설
<오답피하기>② SSI 인젝션은 HTML 문서 내 입력받은 변수값을 서버측에서 처리할 때 부적절한 명령문이 포함되거나 실행되어 서버의 데이터가 유출되는 취약점이다.
9
다음은 HTTP/2에 관한 설명이다. 잘못된 것은?
1. 1
  기존의 HTTP/1.1에 비해 성능이 개선되고 요청 우선순위 지정, 흐름 제어, 서버 푸시와 같은 새로운 기능들이 제공된다.
2. 2
  최신 버전의 Chrome, IE, Firefox 등 대부분의 브라우저에서 이미 지원하고 있다.
3. 3
  기존의 HTTP Method(메소드) 및 HTTP 상태코드(Status code)등은 그대로 사용한다.
4. 4
  기존 HTTP/1.1에 비해 보안 수준도 개선됨으로써 프로토콜 수준에서 XSS나 SQLi의 위험성을 줄여준다.
해설
HTTP/2
∘ HTTP/2의 주요 특징은 전체 요청을 통해 지연 시간을 줄이고, 응답 다중화를 지원한다는 것이다. HTTP 헤더 필드의 효율적 압축을 통해 프로토콜 오버헤드를 최소화하고 요청 우선순위 지정을 추가하며, 서버 푸시를 지원한다.
∘ HTTP/2는 이전 HTTP 표준의 대체가 아니라 확장이다. HTTP의 애플리케이션 의미 체계는 동일하게 유지되며 제공되는 기능이나 핵심 개념(예: HTTP 메소드, 상태 코드, URI 및 헤더 필드)은 변경되지 않는다.
∘ HTTP/2는 기존 HTTP와는 달리 암호화 통신을 통해서만 사용자가 쓰는 웹브라우저와 웹사이트(웹서버) 사이에 데이터를 송수신할 수 있도록 했다.

<오답피하기> ④ HTTP/2는 기존 프로토콜의 성능 상의 단점을 새롭고 효율적인 메커니즘으로 해결한다. 하지만 새롭게 선보이는 HTTP/2는 공격자에게 오히려 새로운 공격의 기회를 제공할 수도 있다. 즉 HTTP/2 도입으로 프로토콜 수준에서 입력값 검증 부족으로 발생하는 XSS나 SQLi(SQL Injection)의 위험성을 줄여준다고 볼 수는 없다.
10
다음 지문의 빈칸 ㉠, ㉡에 들어갈 서버 측 포트 번호로 올바르게 나열된 것은?

(가) 이메일 송수신 프로토콜(SMTP)은 TCP ( ㉠ )번 포트를 사용한다.

(나) 메일 서버에서 메일 클라이언트로 메시지를 받아오는 프로토콜(POP3)은 TCP ( ㉡ )번 포트를 사용한다.
1. 1
  ㉠ 25 ㉡ 143
2. 2
  ㉠ 25 ㉡ 110
3. 3
  ㉠ 143 ㉡ 25
4. 4
  ㉠ 110 ㉡ 25
해설
<오답피하기>② 이메일과 관련된 프로토콜 포트 번호는 110(POP3), 143(IMAP), 25(SMTP), 22(SSH)이다.

문제은행

2021 제17회 정보보안산업기사 기출문제