정보보안기사 실기 문제

정보보안기사 실기 문제

출처 - http://kkn1220.tistory.com/110

정보보안기사 실기는 총 15문제 (단답형 10개 30점, 서술형 3문제 각 14점, 실무형 3문제 중 택 2 각 14점)으로 이루어져있다. 

단답형 1번부터 난 스킵을 하였고 서술형에 디지털 포렌식이 나오면서 아 이번 시험은 끝이구나 라고 느낄 수 있었다.

(인쇄가 제대로 되었는지 확인하는 시간에 난 벌써 직감하였음..)

순서는 모르겠다만 우선 생각나는대로 적어보고자 한다.

기억나는 것 포함하여 http://wonylogs.tistory.com/40 글의 내용을 참고하였다. 이 분도 같이 합격했으면 좋겠다.

(우선 제가 쓴 답을 적을 것이며, 틀렸으면 댓글창에 달아주시면 반영토록 하겠습니다.)

단답형

1번. mysql 외부 접근자 막기 위한 명령어

-> 그냥 이 문제는 보자마자 스킵하였다. 왜냐하면 난 알지 못하기 때문이다.......

2. WEP 괄호 문제- 24bit(IV), 암호화 기법(RC4)- RC4는 취약하다고 지문에 나와있었던 거 같음

->IV, RC4

3. TCP 3Way handshake Syn-Ack 문제

->클라이언트가 1이라고 syn을 보내면 server가 2로 ack를 보내고 10이라고 Syn를 보내면

클라이언트는 Syn을 다시 2와 ack를 11이라고 보내는 형식으로 빈칸이 3개였던 거 같음

4. setuid 관련 문제 (real UID, Effective UID, Saved UID)

-> EUID, SUID를 처음 보았음. 그냥 첫 uid가 1000이라서 그 옆에는 1000으로 채우고 

   UID를 600으로 바꾸니까 real을 600 나머지는 0이라고 찍었음..

5. DNS 괄호 문제 (1)protocol() (2)저장하기 위한?() (3)유효시간()

-> UDP 프로토콜, 저장하기 위한 것에 zone이라고 적었는데 cache인거 같음. 유효시간은 TTL이라고 적음

6. ISMS 13개 도메인 

-> 빈칸으로 제출함 답은 2(정보보호 조직) 3(외부자 보안)  10(접근 통제) 임

7. 리눅스에서 Host 기반 침입탐지 시스템 작동 시 디렉토리가 어디인지(), ps가 지문으로 나옴

-> /proc 적으려다가 안드로이드 루팅하면 /sbin에 su파일이 생성되어서 /sbin이라고 했는데 ps면 /proc 인거같은데 왜 시험에는 안했는지 모르겠음..

8. 개인정보 지침 관련 안전성 확보 조치 ()는 연()회, ()를 해야함

-> 고유식별정보, 1회, ()        고유식별번호가 생각이 안나 민감정보라고 하였음. 1회는 맞은거같고 마지막 ()을 나는 안전성 확보라고 했는데 위의 링크분은 유출/변조/훼손이라고 하셔서 뭐가 뭔지는 잘 모르겠음..

9. 보안의 목표 

기밀성, 무결성 (가용성), (인증), (부인방지) 이건 워낙 기본이라 다들 맞았을 거 같다.

10. 위험 처리 방안

(수용), 감소, (회피), (전가) 이 또한 단골 문제이기 때문에.. 회피 전가는 빈칸 맞는거 같고 수용 감소는 어떤게 빈칸이었는지는 기억이 잘 안남

서술형

11. IPSEC

(1)동작 모드 차이점 적기(ESP 기준으로 하라고 했음)

-> 전송 모드와 터널 모드 그림 그렸음

전송 모드(ip header, esp header, ip payload, esp trailer, esp 인증)

터널 모드(new ip header, esp header, ip header, ip payload, esp trailer, esp 인증)

암호화 하는 부분이 다르다고 적었음. 예를 들면 터널모드에는 ip header까지 감싸기 때문에

종단 정보만 new ip header에 나온다고

(2)End To End, Host To Host

-> 그림이 나왔음. 하나는 공인 ip를 사용하는 host와 즉, 그냥 Host To Host 방식이고

나머지 하나는 G/w to G/w였음. 각각에 대해 위에서 언급한 동작 모드를 어디에 적용하는 것이 맞는지에 대한 선택과 선택한 이유에 대해 적는거

H-T-H는 전송, G-T-G는 터널 모드로 선택하고 이유는 그냥 아는대로 적었음

12. 게시판 업로드 가능시 공격방법에 아는 방법(?) 및 해결 방안(2가지)

-> 뭐 아는 방법(?)은 이것 저것 적었고 해결방안에는 .js와 같은 확장자는 못올리게, 즉 확장자 검사랑

나머지 하나는 파일을 올릴 때 실행 권한을 주면 안된다라고 적었던 거 같음

13. 디지털 포렌식 (chain of Custody) 5단계

-> 후.... 이 문제에서 당락 여부와 많은 사람들이 당황했을 거 같다.

증거물 보관의 연속성이라는 것은 보지도 않았다.

대충 찾아보니 무결성에 대한 것이고 5단계로는 정보수집-전송-분석-보관-보고서 작성

의 형태인거 같은데 나는 수집-계획 수립-분석-보고서-복구  라고 적었다...

지금 생각해보면 복구는 진짜 어처구니 없는 답변이었다. 그냥 복구를 안썼으면 대충 수집 분석 보고서 형식은 맞아서 약간의(?) 가산점을 기대해보겠다만 복구를 적는 바람에 0점이 아닐까 싶다...

14. snort

(1) 무슨 취약성

-> 로그형식이 alert any any <> any [443, 450, xxx,xxx,xxx] 이 있었고 content[xx,xx,xx] 이런식으로 로그를 보여주었다. 난 로그 분석은 이해가 안갔지만 14년도에 발생한 것이었다고 하고 443이 ssl이기 때문에 openssl 취약성이라고 생각하여 heart bleed(openssl 취약점) 이라고 적었다. 14년도에는 크게 허트블리드와 쉘쇼크(bash 버그 취약성)가 있었는데 맞았으면 좋겠다.

(2) 보안 장비를 사용하지 않고 해결방안(2가지)

-> 장비를 사용하지 않기 때문에 가장 필요한 것은 최신 패치 버전의 유지라고 적었다.

 나머지 하나는  난 openssl 취약점 즉 허트블리드라고 생각하였기에 허트블리드는 결국 오버플로우를 발생시키는 문제가 있었기 때문에 입력값 검증 및 오버플로우 대책에 대해 몇가지를 적었다.

15. Crontab

(1) 리스트 보는법

-> crontab -l    (-l옵션은 list 출력)

(2) 어떤 이름 주고 얘(xxx)를 수정하는 방법

-> crontab -e <xxx>    (-e은 edit)  

(3) 매주 일요일 3시 rm -rf <directory> 표준 출력은 /dev/null 로 보내고 표준 에러는 표준 처리로 redirect

-> 0 3 * * 0 rm -rf <directory> 

뒤에 명령은 틀린 거 같음 (쉘까지 나오다니..) rm -rf <directory> /dev/null 2 > 1

이라고 그냥 대충 적었던 거 같음. 이 부분은 모르기 때문에 패스

16. ISMS 인증 단계?

-> 실무형은 택2 이기 때문에 ISMS 라는 글자가 보이자마자 스킵처리

출처 - http://blog.naver.com/funny303

문제에 대한 직접적인 상세한 언급은 저작권에 위배되니, 느낌으로 말씀드리겠습니다.

단답형을 전부 다 맞는다는 것은 상당히 어려운 것 같습니다.

파일구조에 대해 나왔고, 처음으로 리버싱에 대한 지식을 물어보는 것도 나왔습니다.

누구나 예상하는 현재 동향인 APT 공격에 대해서도 나왔으나, 정답은 APT공격의 별칭을 물어보았으며, 답은 킬 체인이었습니다.

그냥 APT공격이 어떻게 이루어지는 지로는, 맞추기가 어려운 문제였습니다.

DNS와 Snort 옵션의 의미, 바이러스의 종류, 통제의 종류, 내부관리계획, Wireshark의 캡쳐화면을 보고, DNS Query response만 보이게 하는 필터옵션.

문제만 봐도 여기저기 나왔고, 예상하기 어려운 문제들로 구성되어 있습니다.

정보보안기사는 필기 때도 느꼈지만, 그런 느낌이 있습니다. 이게 무엇인지 아는데, 한끝차이로 어렵다..라는 점입니다.

Wireshark의 경우 요즘 아주 많이 보고 있고, 각종 필터옵션도 걸어봤습니다.

다만, DNS의 response 쿼리에 대해서는 걸어본 적이 없습니다. 주로 DNS라는 필터를 걸어서 관련 패킷을 확인하지.. 해당 쿼리만 필터는 걸다니.

유추할 수 밖에 없는 문제였습니다.

놀랐던 점은. 법규 문제들이 상당히 쉬웠습니다.

내부관리계획은 몇번이고 출제되어, 설마 또 나올까 싶었는데 또 나와서 제가 잘못 읽었나 한참 고민했습니다.

각종 통제 방법인 예방, 교정, 탐지 통제도 제가 알기론 기출문제에 있습니다.

공부하시는 분들은 최소 이전에 출제된 문제들은 기사든, 산업기사든 다 풀어보시고 가야합니다.

서술형으로는, 먼저 smurf 공격의 방법과 방화벽이나 IDS를 사용하지 않고 막는 방법을 물어보았습니다.

저는 필기 시험때부터, 정보보안기사가 상당히 문제를 잘 꼬아서 나온다고 생각했고 문제에 대한 출제의도가 항상 포함되어 있다고 생각했습니다.

이번 문제도 smurf 공격에 대해서는 필기 때도 나왔고 어렵지 않았습니다.

다만, 어려웠던 점들은 속 문제 2번인 방화벽이나 IDS를 쓰지 않고 막는다는 점입니다.

해당 패킷 필터링 시스템들로 간단하게 임계치든, 포트를 막거나하면 아주 쉽게 정답을 쓸 수 있으나, 사용하지 말라고 합니다.

이 말은, KISA가 우리가 smurf 공격의 큰 특징을 잘 알고있는지 물어보는 것 같습니다.

smurf 공격은 directed broadcast를 이용해서 상대방을 공격하는 기법입니다. 이 명령은 라우터를 통해서 전달되고요, 아마도 이 방법을 알면 라우터를 통해서 해당 명령을 막는다라고, 쓸 수 있고 아니면 어려웠다고 생각합니다. 그냥, 해당 공격의 방식만을 알아서는 쓰기 어려운 문제였습니다.

다음으로는, SLE/ALE 즉, 단일 예상손실액과 연간 예상손실액을 구하는 식과 필요한 지수를 물어봤습니다.

그것만으로는 쉬운 문제였습니다. 다만, 속문제 4번이 아주 당황스럽게 했습니다. 맞은 사람이 있을까 싶습니다.

ROI를 구하는 문제였습니다. 아마 책으로만 공부하신 분들은 생소한 단어입니다. 바로 투자대비 수익률입니다.

저도 얼마 전에 뉴스에서 공격을 막을 때 ROI를 갖고 방안을 정한다..라고 하길래 넘어가듯 기억해두었는데 이렇게 나올지 몰랐습니다.

하지만 틀렸습니다.. 하하 저는 답을 연간예상손실액 - 손실을 100%막는 비용으로 했습니다.

생각을 해본 결과 손실액이 100억인데 손실을 막는데 30억이 든다면, 30억을 사용하여 70억을 버는 것이니. 70억이 투자대비 수익이 아닐까...싶었는데

문제는 "수익률"이었습니다. 퍼센트로 나타나야 한다는 것이지요.. 답은 (연간예상손실액/손실을 100%막는 비용) * 100 인 것 같습니다.

그럼 (100억/30억) * 100 = 333%정도 되지요.. 즉 30억으로 333%인 100억을 막을 수 있으니.. 이게 맞는 답 같습니다.

이처럼 책으로 배우지 않은 것들도 생각해보고 유추해서 적어야 합니다.

3번 째는 법규에서 개인정보가 누출되었을 때 정보통신 서비스 제공자가 제공해야할 것들 5가지였습니다.

법규를 외웠으면 쉽게 풀 수 있는 문제였습니다.

실무형은, 서술형보단 더 어렵습니다.

첫번째로, 정기적인 프로세스 작업인 crontab을 이용한 패스워드 파일 복사였는데, 문제가 아주 대단합니다.

어렵지 않았으나 어려운 문제였습니다.

중점은 파일 복사를 어떻게 하냐가 문제였습니다.

어렵지 않은 복사 명령어인 cp로 두 개의 패스워드 파일을 복사합니다.

흔히들 생각하시지 않나요. 저도 그렇게 배웠고요. 보통 해커가 패스워드 파일을 복사해서 빼가겠지요.

그런데 문제는 cp passwd1 passwd라고 적혀있었습니다.

저는 헷갈렸습니다. 제가 아는 cp 명령어는 분명히 원본 파일이 앞에 오고 복사될 파일이 뒤로 오는데....

거꾸로 써도 되나..? 아니면 혹시 덮어쓰기인가.

답은 덮어쓰기 였습니다. 해커가 조작한 패스워드 파일을 기존 파일로 덮어쓰는 것이었지요.

고민하지 않던가, 잘 모르면 헷갈리기 너무도 쉬운 문제였습니다. 많은 분들이 꺼꾸로 적으신 분들도 많습니다.

두 번째로는 http의 GET 메세지를 만들어놓고 프로토콜 오류가 발생하였는데 문제점을 찾으라는 것 이었습니다.

문제를 잘 읽어보셔야합니다. 프로토콜 오류입니다. 취약점이 아니고요. 문제에는 보안상 취약점으로 보이는 점들도 많았습니다.

저도 몇개 맞고 몇개 틀렸지만, 프로토콜의 오류라는 것은 예를 들면 문제에서는 GET 메세지였는데, Body에 내용이 있었습니다.

GET은 Body가 없지요, Post가 있고, GET은 파라미터를 URL로 전달합니다.

이런 류의 보안상 취약점하고는 관련 없는 순수 HTTP 프로토콜의 구성에 대해서 물어봤습니다.

알기 어려운 내용입니다. 와이어샤크로 HTTP 패킷을 자주봐도, 그 모든 내용에 대해서 관심있게 분석하지는 않으니까요.

기초이지만, 너무 기초적인 내용이라 어려웠고 프로토콜 오류를 생각 못하고 그저 취약점만 적으신 분들도 보이는데 과연 부분점수는 어떻게 줄지 모르겠습니다.

마지막 문제는 쉘 쇼크에 대해 물어보는 것이라고 하는데.... 저는 아예 처음 듣는 얘기였습니다. 실무형으로 나와서 다행이지, 서술로 나왔으면 큰일날 뻔 했습니다.

문제를 보고 느낌이 오시나요.

정말 많은 부분에 대해서 물어보았습니다.

다만. 이것도 다 나온 것은 아닙니다.

작년에는 포렌식에 대해서도 물어보았고, 암호학 파트인 공개키 교환방법인 디피헬만의 식을 물어보는 문제도 나왔었습니다.

정말 보안에 대한 공부 범위는 방대한 것 같습니다.

---

http://www.diano.kr/index.php?document_srl=34899&mid=beluxe_UAct87

http://blog.naver.com/PostView.nhn?blogId=yundongcheol&logNo=220599664312&parentCategoryNo=&categoryNo=72&viewDate=&isShowPopularPosts=true&from=search

http://jmoon1601.tistory.com/category/정보보안%20기사,산업기사

https://www.lyzeum.com/board/board_view.asp?Seq=34033&Now_Page=1&Page_Size=20&Sear_Key=Title&Sear_Word=&Clas_Code=&Cate_Code=&Boar_Code=MP1153

http://infosecguide.tistory.com/62

http://whitecode.tistory.com/76