CHAPTER 01 - 소프트웨어 개발 보안 설계(기출문제)

2024년도 수제비 실기책(6판) 내용 정리

---

1) 공격자가 패킷의 출발지 주소나 포트를 임의로 변경해서 출발지와 목적지 주소를 동일하게 함으로써 공격 대상 컴퓨터의 실행 속도를 느리게 하거나 동작을 마비시켜 서비스 거부 상태에 빠지도록 하는 공격 방법은?

정답

랜드어택(Land Attack)

---

2) RFC 1321로 지정되어 있으며, 주로 프로그램이나 파일이 원본 그대로인지를 확인하는 무결성 검사 등에 사용된다. 1991년 로널드 라이베스트(Ronald Rivest)가 예전에 쓰이던 MD4를 대체하기 위해 고안된 128비트 암호화 해시 함수는?

정답

MD5

---

3) 스니핑에 대해 서술

정답

공격대상에게 직접 공격을 하지 않고 데이터만 몰래 들여다 보는 수동적 공격 기법

---

4) 무결성과 인증을 보장하는 인증헤더(AH)와 기밀성을 보장하는 암호화(ESP)를 이용한 프로토콜로 네트워크 계층(Network Layer)인 인터넷 프로토콜(IP)에서 보안성을 제공해주는 표준화된 기술에 대해 작성

정답

IPSec

---

5) SQL Injection에 대해 서술

정답

응용 프로그램의 보안 취약점을 이용해서 악의적인 SQL구문을 삽입, 실행시켜 데이터베이스의 접근을 통해 정보를 탈취하거나 조작하는 행위를 하는 공격기법

---

6) 정보보안에서 가용성(Availability)에 대해 서술

정답

권한을 가진 사용자나 애플리케이션이 원하는 서비스를 지속 사용할 수 있도록 보장하는 특성

---

7) 시스템 객체의 접근을 개인 또는 그룹의 식별자에 기반을 둔 방법으로, 어떤 종류의 접근 권한을 가진 사용자가 다른 사용자에게 자신의 판단에 따라 권한을 허용하는 접근제어방식은?

정답

임의적접근통제(DAC; Disrectionary Access Control)

---

8) 괄호 안에 공통으로 들어갈 공격기법을 작성

• (      ) 은/는 '세션을 가로채다'라는 의미로 정상적 연결을 RST패킷을 통해 종료시킨 후 재연결 시 희생자가 아닌 공격자에게 연결함
• (      ) 은/는 세션 관리 취약점을 이용한 공격 기법

정답

세션하이재킹(Session Hijacking)

---

9) 미국 표준 기술 연구소(NIST)에서 발표한 블록 암호화 알고리즘으로 DES의 성능문제를 극복하기 위해 개발된 128bit의 블록 크기를 갖는 보안 알고리즘은?

정답

AES

---

10) IBM에서 개발한 블록 암호화 알고리즘으로 블록의 크기는 64비트, 키 길이는 56비트, 16라운드 암호화 알고리즘은?

정답

DES

---

11) 각각이 설명하는 3A의 구성요소를 작성

1. 접근을 시도하는 가입자 또는 단말에 대한 식별 및 검증
2. 검증된 가입자나 단말에게 어떤 수준의 권한과 서비스를 허용
3. 리소스 사용에 대한 정보를 수집하고 관리하는 서비스

정답

1. Authentication

2. Authorization

3. Accounting

---

12) 특정 호스트의 MAC 주소를 자신의 MAC 주소로 변경, 희생자로부터 특정 호스트로 나가는 패킷을 공격자가 가로채는 공격기법은 (      ) Spoofing이다. 괄호(  ) 안에 들어갈 용어를 작성

정답

ARP

---

13) 다음 블록 암호화 알고리즘에 대한 설명 중 괄호(    )안에 들어갈 암호화 알고리즘을 작성

• Xueja Lai와 James Messey가 초기에 제시한 블록 암호화 알고리즘으로 PES, IPES를 거쳐 (    1    )로 명명되었다, (     1     )은/는 128bit의 키를 사용하여 64bit의 평문을 8라운드에 거쳐 64bit의 암호문을 만듦
• (    2    )은/는 미 국가안보국(NSA, National Security Agency)에서 개발한 Clipper 칩에 내장된 블록 알고리즘으로 소프트웨어로 구현되는 것을 Fortezza Card에 칩 형태로 구현되었으며 전화기와 같이 음성을 암호화 하는데 주로 사용된다. 64비트의 입출력, 80비트의 키, 총 32 라운드를 가짐

정답

1. IDEA

2. Skipjack

---

14) 다음에서 설명하는 용어를 작성

• 커버로스에서 사용되는 기술로 한 번의 인증 과정으로 여러 컴퓨터상의 자원을 이용할 수 있도록 해주는 인증기술

정답

SSO

 

---

15) (      )은/는 임의의 길이를 갖는 임의의 데이터를 고정된 길이의 데이터로 매핑하는 단방향 함수를 말한다. 아무리 큰 숫자를 넣더라도 정해진 크기의 숫자가 나오는 함수이다 (    )안에 들어갈 용어를 작성 

정답

해시 함수 or 해싱함수 or 해싱

---

16) VPN(Virtual Private Network)에서 사용되는 프로토콜 중 하나로, L2F(Layer 2 Forwarding Protocol)와 PPTP(Point-to-Point Tunnel Protocol)의 기능을 결합하여 인터넷상에서 두 지점 간에 가상의 터널을 만들어 통신을 안전하게 전송하는 기술은?

정답

L2TP

---

17) 다음 1, 2가 설명하는 암호화 방식의 종류들을 보기에서 골라서 작성

• (   1   ) : 암호화와 복호화에 같은 암호 키를 쓰는 방식으로 비밀키 전달을 위한 키 교환이 필요하고 암호화 및 복호화의 속도가 빠른 특징이 있는 암호화 방식
• (   2  ) : 공개키와 개인 키가 존재하며, 공개키는 누구나 알 수 있지만 그에 대응하는 개인키는 키의 소유자만이 알 수 있는 암호화 방식
• 보기 : RSA, DES, AES, ECC, ARIA, SEED

정답

1: DES, AES, ARIA, SEED 

2: RSA, ECC

---

18) 다음 서버 접근통제의 유형의 괄호 (     )안에 들어갈 용어를 작성(단, 영어 약어로 작성)

• (     1     )은/는 규칙 기반(Rule-Based) 접근통제 정책으로, 객체에 포함된 정보의 허용 등급과 접근 정보에 대하여 주체가 갖는 접근 허가 권한에 근거하여 객체에 대한 접근을 제한하는 방법
• (     2     )은/는 중앙 관리자가 사용자와 시스템의 상호 관계를 통제하여 조직 내 맡은 역할(Role)에 기초하여 자원에 대한 접근을 제한하는 방법
• (     3     )은/는 신분 기반(Identity-Based)접근통제 정책으로, 주체나 그룹의 신분에 근거하여 객체에 대한 접근을 제한하는 방법

정답

1: MAC

2: RBAC

3: DAC

---

19) 다음 설명하는 용어를 작성

• 사용자가 비밀번호를 제공하지 않고 다른 웹사이트나 애플리케이션의 접근 권한을 부여할 수 있게 하는 개방형 표준 기술
• 구글, 페이스북 등의 외부 계정을 기반으로 토큰을 이용하여 간편하게 회원가입 및 로그인할 수 있는 기술

정답

OAuth