CHAPTER 01 - 소프트웨어 개발 보안 설계(예상문제)

2024년도 수제비 실기책(6판) 내용 정리

---

1) 다음 SW 개발 보안의 3대 요소에 대한 설명의 괄호(     ) 안에 들어갈 용어를 작성

• 기밀성(Confidentiality) : 인가되지 않은 개인 혹은 시스템 접근에 따른 정보 공개 및 노출을 차단하는 특성
• (      1      )  : 권한을 가진 사용자나 애플리케이션이 원하는 서비스를 지속 사용할 수 있도록 보장하는 특성
• (      2      )  : 정당한 방법을 따르지 않고선 데이터가 변경될 수 없으며, 데이터의 정확성 및 완전성과 고의,악의로 변경되거나 훼손 또는 파괴되지 않음을 보장하는 특성

정답

1: 가용성(Availability)

2: 무결성(Integrity)

---

2) 조직이나 기업의 자산에 악영향을 끼칠 수 있는 사건이나 행위는 (   1   )이라 하고, (     1    )이/가 발생하기 위한 사전 조건으로 시스템의 정보 보증을 낮추는 데 사용되는 약점은 (    2   ) 이라고 한다. 괄호(   ) 안에 들어갈 가장 정확한 용어는?

정답

1: 위협

2: 취약점

---

3) TCP 프로토콜의 구조적인 문제를 이용한 공격으로 서버의 동시 가용 사용자 수를 SYN 패킷만 보내 점유하여 다른 사용자가 서버를 사용 불가능하게 하는 공격은?

정답

SYN Flooding

---

4) 다음 DoS 공격에 대한 설명의 괄호(    )안에 들어갈 용어를 작성

• (    1    ) 공격 : 대량의 UDP 패킷을 만들어 임의의 포트 번호로 전송하여 응답 메세지(ICMP Destination Unreachable)를 생성하게 하여 지속해서 자원을 고갈시키는 공격
• (    2    ) 공격 : ICMP 패킷(Ping)을 정상적인 크기보다 아주 크게 만들어서 전송하면 다수의 IP 단편화가 발생하고, 수신 측에서는 단편화된 패킷을 처리(재조합)하는 과정에서 많은 부하가 발생하거나, 재조합 버퍼의 오버플로가 발생하여 정상적인 서비스를 하지 못하도록 하는 공격기법

정답

1: UDP Flooding

2: Ping of Death

---

5) 아래 그림처럼 출발지 주소를 공격 대상의 IP로 설정하여 네트워크 전체에게ICMP Echo 패킷을 직접 브로드 캐스팅(Direct Broadcasting) 하여 타겟 시스템을 마비 시키는 공격은?

정답

스머핑

---

6) 출발지(Source) IP와 목적지(Destination) IP를 같은 패킷 주소로 만들어 보냄으로써 수신자가 자기 자신에게 응답을 보내게 하여 시스템의 가용성을 침해하는 공격 기법은?

정답

랜드 어택

---

7) 공격자는 출발지 IP를 공격대상의 IP로 위조하여 다수의 반사 서버로 요청 정보를 전송, 공격 대상자는 반사 서버로부터 다량의 응답을 받아서 서비스 거부(DoS)가 되는 공격은?

정답

DRDOS

---

8) 아래와 같은 방식으로 공격하는 기법은?

• Content-Length: 99999999 설정 이후 1바이트 씩 전송하여 지속적인 연결 유지를 통해 가용 자원을 소진시키는 공격

정답

RUDY

---

9) 다음 애플리케이션을 마비시키는 DDoS 공격에 대한 설명의 괄호(    )안에 들어갈 용어를 작성

• (    1    ) 공격: TCP 윈도 크기(Windows Size)를 낮게 설정하여 서버로 전달하고, 해당 Size를 기준으로 통신하면서 데이터 전송이 완료 될 때까지 연결을 유지하게 만들어 서버의 연결 자원을 고갈시키는 공격
• (    2    ) 공격: 공격자가 공격대상 웹 사이트 웹 페이지 주소(URL)를 지속적으로 변경하면서 다량으로 GET 요청을 발생시키는 서비스 거부 공격

정답

1. Slow Read Attack

2. Hulk Dos

---

10) 악성 루틴이 숨어 있는 프로그램으로 겉보기에는 정상 적인 프로그램으로 보이지만 실행하면 악성 코드를 실행하는 프로그램은?

정답

트로이목마

---

11) 패스워드 크래킹(Password Cracking) 중에서 (   1  )은/는 시스템 또는 서비스 ID와 패스워드를 크랙하기 위해서 ID와 패스워드가 될 가능성이 있는 단어를 파일로 만들어 놓고 이 파일의 단어를 대입하여 크랙 하는 공격기법이고, (   2   )은/는 패스워드로 사용될 수 있는 영문자(대소문자), 숫자, 특수문자 등을 무작위로 패스워드 자리에 대입하여 패스워드를 알아내는 공격기법이다.  괄호 (   ) 안에 들어갈 가장 올바른 용어를 작성

정답

1. 사전 크래핑

2. 무차별 크래핑

---

12) 메모리에 할당된 버퍼 크기를 초과하는 양의 데이터를 입력하여 이로 인해 프로세스의 흐름을 변경시켜서 악성 코드를 실행시키는 공격기법은?

정답

버퍼오버플로 공격

---

13) 아래 인증 기술의 예시의 괄호 (    )안에 들어갈 가장 올바른 인증 기술의 유형을 작성

• 인증 기술은 지식 기반, (   1   ) 기반, 생체 기반, (    2    ) 기반 인증이 있음
• 비밀번호와 같이 사용자가 기억하고 있는 지식은 지식 기반 인증이라고 함
• 공인인증서, OTP와 같이 사용자가 가지고 있는 것을 기반으로 인증하는 방식을 (    1    ) 기반 인증 이라고 함
• 홍채, 정맥, 지문과 같이 고유한 사용자의 생체 정보는 생체 기반 인증이라고 함
• 서명, 발걸음, 몸짓과 같이 사용자의 행동을 이용하는 방식은 (    2   ) 기반 인증이라고 함

정답

1. 소지

2. 특징

---

14) 접근통제 유형 중 객체에 포함된 정보의 허용등급과 접근 정보에 대하여 주체가 갖는 접근 허가 권한에 근거하여 객체에 대한 접근을 제한하는 방법은?

정답

1. MAC(강제적 접근 통제)

---

15) 접근통제 보호 모델 중 기밀성을 강조하고 보안 수준이 낮은 주체는 보안 수준이 높은 객체를 읽어서는 안되며, 보안수준이 높은 주체는 보안 수준이 낮은 객체에 기록하면 안되는 속성을 가지고 있는 모델은?

정답

벨 라파둘라 모델

---

16) 암호화 복호화에 같은 암호 키를 쓰는 알고리즘으로 유형에는 블록 암호화 알고리즘과 스트림 암호화 알고리즘이 있는 암호 방식은

정답

대칭키 암호 방식

---

17) 비대칭 키 암호 방식에서는 공개키와 (    )가 존재 하며, 공개키는 누구나 알 수 있지만, 그에 대응하는 (    )은/는 키의 소유자만이 알 수 있어야 한다. 괄호 (   )안에 들어갈 용어는?

정답

개인키 or 비밀키

---

18) 대칭 키 암호화 알고리즘에 대한 설명 중 괄호 (     )안에 들어갈 가장 올바른 종류를 작성

• (  1  ) : 1999년 국내 한국인터넷 진흥원(KISA)이 개발한 블록 암호화 알고리즘으로 128 비트 비밀키로부터 생성된 16개의 64비트 라운드 키를 사용하여 총 16회의 라운드를 거쳐 128 비트의 평문 블록을 128비트 암호문 블록으로 암호화 하여 출력하는 방식
• (  2  ) : 2004년 국가정보원과 산학연구협회가 개발한 블록 암호화 알고리즘으로 블록 크기는 128비트이며, 키 길이에 따라 128비트 192비트 256비트로 분류되고 경량 환경 및 하드웨어에서의 효율성 향상을 위해 개발된 암호화 알고리즘

정답

1: SEED

2. ARIA

---

19) 2001년 미국 표준 기술 연구소(NIST)에서 발표한 블록 암호화 알고리즘으로 블록 크기는 128비트이며, 키 길이에 따라 128비트, 192비트, 256비트로 나눠지고 라운드 수는 10, 12, 14 라운드로 분류되며 한 라운드는 SubBytes, ShitfRows, MixColumns, AddRoundKey의 4가지 계층으로 구성되는 대칭 키 암호화 알고리즘은?

정답

AES

---

20) 1977명의 MIT 수학 교수가 고안한 큰 인수의 곱을 소인수 분해하는 수학적 알고리즘을 이용하는 공개키 암호화 알고리즘은?

정답

RSA

---

21) 비대칭 키 암호화 알고리즘으로 (   1   )은/는 유한체 위에서 정의된 타원곡선 군에서의 이산대수의 문제에 기초한 공개키 암호화 알고리즘이고, (   2   )은/는 이산대수의 계산이 어려운 문제를 기본 원리로 하고 있으며 RSA와 유사하게 전자서명과 데이터 암/복호화에 함께 사용 가능한 알고리즘이자다. 괄호(     ) 안에 들어갈 가장 올바른 용어를 작성

정답

1. ECC

2. ElGamal

---

22) IP 계층(3계층)에서 무결성과 인증을 보장하는 인증 헤더 (AH)와 기밀성을 보장하는 암호화(ESP)를 이용한 IP 보안 프로토콜은?

정답

IPSec

---

23) 아래의 IPSec 프로토콜에 대한 설명 중 괄호(      ) 안에 들어갈 가장 올바른 용어를 작성

• (    1    ) 프로토콜 : 메세지 인증 코드(MAC)와 암호화를 이용하여 인증과 송신처 인증과 기밀성을 제공하는 프로토콜로 기밀성, 무결성 인증 제공
• (    2   ) 프로토콜 : Key를 주고받는 알고리즘으로 공개된 네트워크를 통하여 Key를 어떻게 할 것인가를 정의, IKE 교환을 위한 메세지를 전달하는 프로토콜

정답

1. 암호화

2. 키관리

---

24) 전송계층(4계층)과 응용계층(7계층) 사이에서 클라이언트와 서버간의 웹 데이터 암호화(기밀성), 상호 인증 및 전송 시 데이터 무결성을 보장하는 보안 프로토콜은?

정답

SSL/TLS

---

25) (       )은/는 웹상에서 네트워크 트래픽을 암호화 하는 주요 방법 중 하나로 클라이언트와 서버 간에 전송되는 모든 메세지를 각각 암호화하여 전송하는 기술이다. (      )에서 메세지 보호는 HTTP를 사용한 애플리케이션에 대해서만 가능하다. 괄호(    )안에 들어갈 가장 공통된 용어를 작성

정답

S-HTTP

---

26) 실무적으로 검증된 개발 보안 방법론 중 하나로써 SW 보안의 모범 사례를 SDLC(Software Development Life Cycle)에 통합한 소프트웨어 개발 보안 생명주기 방법론은?

정답

Seven Touch-Points