2021 제18회 정보보안산업기사 기출문제

총 20문제가 검색되었습니다.

1
DRM(Digital Rights Management)에서 사용되는 주요 기술과 거리가 먼 것은?
1. 1
  변조 방지(Anti-Tampering)
2. 2
  복제 제한(Copy Restriction)
3. 3
  암호화(Encryption)
4. 4
  SSO(Single Sign On)
해설
∘ 디지털 저작권 관리(DRM, Digital Rights Management)는 허가된 사용자만이 디지털 콘텐츠에 접근할 수 있도록 만드는 제한 기술 또는 디지털 콘텐츠가 무분별하게 복제될 수 없도록 하는 보안 기술을 뜻한다. 넓게 보면 콘텐츠 불법복제 방지 기술, 사용료 부과를 통한 유통 및 관리를 지원하는 서비스, 기업 내 문서보안과 저작권 관리 기술이 포함되는 방대한 개념이다.
<오답피하기> ④ DRM은 한 번의 시스템 인증을 통하여 접근하고자 하는 다양한 정보시스템에 재인증 절차 없이 접근할 수 있도록 한 SSO 기술과는 거리가 멀다.
2
다음은 DNS에 대해 알려진 보안 취약점을 이용한 공격에 대한 설명이다. 다음 중 가장 적절한 것은?
1. 1
  BIND DNS 서비스 취약점 공격
2. 2
  DNS 블랙홀 공격
3. 3
  DNS Cache Poisoning 공격
4. 4
  파밍 공격
해설
<오답피하기>③ DNS 서버의 캐시정보를 조작하는 공격을 DNS Cache Poisoning 공격이라 한다. 공격자는 공격 대상 DNS 서버(Recursive DNS 서버)에 조작할 도메인 질의를 다수 보낸다.
3
다음 지문에서 설명하는 것은 무엇인가?

상점이 신용카드 사용자의 계좌번호와 같은 지불정보를 모르게 하는 동시에, 상점에 대금을 지불하는 은행은 신용카드 사용자가 구입한 물건을 모르지만 상점이 요구한 결제 대금이 정확한지 확인할 수 있게 한다.
1. 1
  영지식 증명
2. 2
  전자 서명
3. 3
  전자 봉투
4. 4
  이중 서명
해설
<오답피하기>④ 이중 서명은 SET에서 도입된 기술로 고객의 구매 정보는 은행이 모르게 하고, 지불 정보는 상점이 모르게 하기 위해 사용하는 서명 방식이다.
4
다음 지문에서 설명하는 공격 기법은 무엇인가?

홈페이지의 로그인 창에 ID 항목에는 임의의 텍스트를 Password 항목에는 ‘ or ’ 1 ‘ = ’ 1을 입력하였더니 로그인이 되었다.
1. 1
  이중해시
2. 2
  CSRF
3. 3
  PCI-DSS
4. 4
  SQL Injection
해설
∘ PCI-DSS(Payment Card Industry-Data Security Standard): 카드정보 해킹 및 도난, 분실사고로부터 고객의 신용카드 정보를 보호하기 위하여 국제브랜드사(VISA, Mastercard 등)가 공동으로 마련하여 운영하는 카드산업 보안 표준이다.

<오답피하기> ④ SQL문에서는 where로 입력되는 조건문을 항상 참으로 만들 수 있는 방법이 있다. 패스워드 항목에 보기와 같이 특수문자를 입력하면 SQL 삽입 공격을 할 수 있다.
5
사용자 인증, 접근제한 등의 보안기능을 제공하지 않는 파일 전송 프로그램은?
1. 1
  vsftp
2. 2
  tftp
3. 3
  proftp
4. 4
  IIS ftp
해설
<오답피하기>② TFTP는 보안에 대한 고려가 없다. 심지어 사용자 확인이나 비밀번호도 없다. 그러므로 오늘날 해커로부터 파일을 보호하기 위해 예방조치가 취해져야 한다. 이를 수행하는 하나의 방법은 TFTP가 중요하지 않은 파일들에만 접근할 수 있도록 제한하는 것이다. 최소한의 보안성을 얻기 위한 한 가지 방법은 TFTP 서버 근처에 있는 라우터에 보안을 구현하여, 특정한 호스트들만 서버에 접근할 수 있도록 하는 것이다.(tftp가 필요한 경우 secure mode로 운영)
6
다음 중 SSL 프로토콜에 대한 설명으로 옳지 않은 것은?
1. 1
  공개키 암호를 사용하여 전송되는 응용 계층 데이터에 전자서명을 제공할 수 있다.
2. 2
  전자상거래 보안에 많이 사용된다.
3. 3
  SSL을 IETF에서 개선시켜 표준화한 보안프로토콜이 TLS이다.
4. 4
  ActiveX 컨트롤을 설치하지 않고도 PC에서 이용할 수 있다.
해설
<오답피하기>② 전자상거래 보안에 많이 사용되는 프로토콜은 SET이다.
7
다음 공격 중 웹 서버의 보안 설정이 취약한 점을 이용한 것으로서 파일 목록을 볼 수 있는 공격 기법은?
1. 1
  SQL Injection 공격
2. 2
  디렉터리 리스팅
3. 3
  XSS 공격
4. 4
  직접 객체 참조
해설
<오답피하기>② 보안 설정 취약점으로 발생하는 디렉터리 리스팅(Directory Listing)은 웹 브라우저에서 웹 서버의 특정 디렉터리를 열면 그 디렉터리에 있는 파일과 목록이 모두 나열되는 것이다.
8
DB(Database) 보안의 요구사항과 가장 거리가 먼 것은?
1. 1
  추론 가능
2. 2
  DB 무결성 보장
3. 3
  데이터의 논리적 일관성 보장
4. 4
  감사 기능
해설
<오답피하기>① 데이터베이스 보안 요구사항은 추론 가능이 아니고, 추론 방지이다.
9
다음 중 일반적인 홍보용 홈페이지 서비스 제공 시 발생할 수 있는 홈페이지 변조 공격의 원인 및 대응 방안과 가장 거리가 먼 것은?
1. 1
  서버 운영자의 잘못된 보안 설정으로 홈페이지 디렉터리에 쓰기 권한이 부여된 경우 공격이 가능해진다.
2. 2
  허용 확장자, 쓰기 권한, 첨부파일 기능 등을 제한하여 파일 업로드를 제한하도록 한다.
3. 3
  Get이나 POST 메소드를 통한 홈페이지 접근을 제한한다.
4. 4
  업로드 파일에 대한 실행 권한을 제거한다.
해설
∘ 잘못된 보안 설정으로 홈페이지 디렉터리에 쓰기 권한이 있으면 공격에 노출된다.

<오답피하기> ③ 웹 서비스 제공 시 필요한 GET, POST 이외 사용되지 않는 Method 사용을 제한하는 것이 좋다. 예를 들어 홈페이지 운영에 불필요한 Method(PUT, DELETE, OPTIONS 등)를 비활성화 시키는 것이 바람직하다.
10
DNS 서버를 운영하는 경우, zone-transfer에 대한 설명으로 옳지 않은 것은?
1. 1
  DNS 서버를 한 대만 운영하는 경우 zone 파일 전송은 필요하지 않다.
2. 2
  master와 slave 간 상호 zone 파일 전송이 가능하도록 양쪽의 named.conf 파일에서 allow-transfer를 설정한다.
3. 3
  zone-transfer 방식을 대체할 수 있는 zone 파일 동기화 방식이 존재한다.
4. 4
  BIND 9.X 이상으로 패치하는 경우 IP 기반의 접근통제보다 강화된 접근통제 방식을 활용할 수 있다.
해설
∘ 1대의 DNS만 운영할 경우에 zone-transfer는 필요 없다.
∘master/slave 형태로 2대 이상의 DNS를 운영한다 하더라도 자동 zone-transfer가 아닌 수작업으로 동기화하거나 rsync 등 다른 방식으로 동기화한다면 zone-transfer는 필요 없다.
∘BIND 9.X이상은 TSIG(Transaction Signature) 기반의 접근 통제를 이용할 수 있다. 이는 IP 기반의 접근 통제 대신 더욱 강화된 접근 통제를 구성할 수 있다.

<오답피하기> ② master/slave로 서비스할 경우 master에서 slave로의 zone-transfer만 허용하도록 하고, slave에서는 다른 slave가 없는 한 zone-transfer를 모두 거부하여야 한다. slave에서는 zone-transfer를 모두 허용하면 공격자들이 이를 악용해 기업 정보에 쉽게 접근할 수 있다.

문제은행

2021 제18회 정보보안산업기사 기출문제