CHAPTER 03 - 소프트웨어 개발 보안 구현(기출문제, 예상문제)

2024년도 수제비 실기책(6판) 내용 정리

---

1. 기출문제

1) 정보시스템 운영 중 서버가 다운되거나 자연재해나 시스템 장애 등의 이유로 고객에게 서비스가 불가능한 경우가 종종 발생한다. 이와 같은 상황에서 비상사태 또는 업무 중단 시점부터 업무가 복구되어 다시 정상 가동될 때까지의 시간을 의미하는 용어가 무엇인지 쓰시오

정답

RTO

---

2) 다음은 분석 도구에 대한 설명의 각 항목에 해당하는 도구를 보기에서 골라서 작성

1. 실행하지 않고 원시 코드 분석
2. 프로그램 동작이나 반응을 추적하고 보고함. 프로그램 모니터, 스냅샷 생성

ㄱ. Static Analysis

ㄴ. Running Analysis

ㄷ. Requirements Analysis

ㄹ. Dynamic Analysis

ㅁ. React Analysis

 

정답

1: Static Analysis

2: Dynamic Analysis

---

3) 정보보호 관리체계의 영문 약자는?

정답

ISMS(Information Security Management System)

---

4) 임시 키 무결성 프로토콜의 약자는?

정답

TKIP (Temporal Key Integrity Protocol)

---

5) 공격대상이 방문할 가능성이 있는 합법적 웹사이트를 미리 감염시켜놓고 피해자가 방문했을 때 피해자의 컴퓨터에 악성 프로그램을 배포하는 공격 기법을 보기에서 골라 쓰시오

ㄱ. Phaming

ㄴ. Drive by Download

ㄷ. Watering Hole

ㄹ. Business SCAM

ㅁ. Phishing

ㅂ. Cyber kill Chain

ㅅ. ransomware

 

정답

ㄷ. Watering Hole

---

6) 다음에서 설명하는 보안장비는?

• 다양한 보안 장비와 서버, 네트워크 장비 등으로부터 보안로그와 이벤트정보를 수집한 후 정보 간의 연관성을 분석하여 위협 상황을 인지하고, 침해사고에 신속하게 대응하는 보안 관제 솔루션
• 특히, 기업에서 생성되는 테라바이트 급의 정형/비정형 데이터와 방화벽, 안티바이러스 시스템, 서버, 네트워크 장비 등으로부터 수집한 다양한 데이터 등을 빅데이터 기반의 로그를 분석을 통하여 보안의 위협 징후를 빠르게 판단/대응할 수도 있도록 해줌

정답

SIEM (Security Information and Event Management)

---

7) 괄호(  ) 안에 공통으로 들어갈 용어를 작성

• 여러 공중 인터넷 망을 하나의 사설망 처럼 사용할 수 있는 기술로 공중망과 사설망의 중간단계이고 방식으로는 SSL (     ) 방식과 IPSec 방식이 있음
• SSL (    ) 방식은/는 4계층에서 소프트웨어적으로 동작하므로 별도의 장치가 필요 없으며 가격이 저렴함
• IPSec (    )은/는 3계층에서 동작하므로 IP 헤더를 조작해야해서 별도의 하드웨어 장치가 필요하나 보안성이 뛰어남

정답

VPN(Virtual Private Network)

---

8) 괄호 (    )안에 들어갈 용어를 작성

• (   1   ) 은/는 사람들의 심리와 행동 양식을 교모하게 이용해서 원하는 정보를 얻는 공격 기법
• (   2   ) 은/는 정보를 수집한 후, 저장만 하고 분석에 활용하고 있지 않은 다량의 데이터

정답

1. 사회공학

2. 다크 데이터(실기 3강 - 데이터 입출력 구현)

---

9) 다음 주요 IT 기술에 대한 용어 설명의 괄호(   )안에 들어갈 용어를 보기에서 골라서 작성

• (   1   ) 은/는 프로세서(Processor) 안에 독립적인 보안 구역을 따로 두어 중요한 정보를 보호하는 ARM 사에서 개발한 하드웨어 기반의 보안 기술
• (   2   ) 은/는 네티즌들이 사이트에 접속할 때 주소를 잘못 입력하거나 철자를 빠트리는 실수를 이용하기 위해 이와 유사한 유명 도메인을 미리 등록하는 일로, URL 하이재킹(Hijacking) 이라고도 부름

정답

1: 트러스트존 

2: 타이포스쿼팅

---

10) 괄호에 들어갈 용어를 보기에서 찾아 기호로 작성

• (   1   ) 은/는 인터넷 또는 네트워크를 통해 컴퓨터에서 컴퓨터로 스스로 전파되는 악성 프로그램이다. 위도우의 취약점 또는 응용 프로그램의 취약점을 이용하거나 이메일 또는 공유 폴더를 통해 전파되며, 최근에는 공유 프로그램(P2P)을 이용하여 전파되기도 한다. 가장 큰 특징은 자신을 복제하여 네트워크 연결을 통해서 다른 컴퓨터로 스스로 전파되고 확산된다는 것이다.
• (   2   ) 은/는 악성 루틴이 숨어 있는 프로그램으로 겉보기에는 정상적인 프로그램으로 보이지만 실행하면 악성 코드를 실행하는 프로그램이다. 자기 복제를 하지 않으며 다른 파일을 감염시키거나 변경시키지 않지만, 해당 프로그램이 포함된 프로그램이 실행되는 순간, 시스템은 공격자에게 시스템을 통제할 수 있는 권한을 부여하게 된다
• (   3   ) 은/는 사용자 컴퓨터(네트워크로 공유된 컴퓨터 포함) 내에서 프로그램이나 실행 가능한 부분을 변형해서 감염(Infect)시키는 프로그램이다. 그리고 자신 또는 자신의 변형을 복사하는 프로그램으로 가장 큰 특성은 다른 네트워크의 컴퓨터로 스스로 전파되지는 않는다

보기 - ㄱ: 바이러스(Virus) ㄴ: 웜(Worm) ㄷ:트로이목마(Trojan Horse)

 

정답

1: ㄴ

2: ㄷ

3: ㄱ

---

2. 예상문제

1) 보안 공격기법 중 사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위를 특정 웹사이트에 요청하게 하는 공격기법은?

정답

CSRF

---

2) 아래는 XSS 공격 유형에 대한 설명이다. 괄호(   ) 안에 들어갈 가장 올바른 유형을 작성

• (   1   ) : 방문자들이 악성 스크립트가 포함된 페이지를 읽어 봄과 동시에 악성 스크립트가 브라우저에서 실행되면서 감염되는 기법
• (   2   ) : 공격용 악성 URL을 생성한 후 이메일로 사용자에게 전송하면 사용자가 URL 클릭시 즉시 공격 스크립트가 피해자로 반사되어 접속 사이트에 민감정보를 공격자에게 전송하는 기법

정답

1: Stored XSS

2: Reflected XSS

---

3) SQL 삽입 공격 유형에 대한 설명의 괄호(   ) 안에 들어갈 가장 올바른 SQL 삽입 공격 유형을 작성

• (   1   ) : 기존 SQL Injection의 확장된 개념으로 한 번의 공격으로 대량의 DB값이 변조되어 홈페이지에 치명적인 영향을 미치는 공격기법
• (   2   ) : DB쿼리 결과의 참과 거짓을 통해 의도하지 않은 SQL 문을 실행함으로써 데이터베이스를 비정상적으로 공격하는 기법

정답

1: Mass SQL Injection

2: Blind SQL Injection

Form SQL Injection	HTML Form 기반 인증을 담당하는 애플리케이션의 취약점이 있는 경우 사용자 인증을 위한 쿼리 문의 조건을 임의로 조작하여 인증을 우회하는 방법
Union SQL Injection	쿼리의 UNION 연산자를 이용하여 한 쿼리의 결과를 다른 쿼리의 결과에 결합하여 공격하는 기법
Stored Procedure SQL Injection	저장 프로시저(Stored Procedure)를 이용하여 공격하는 기법
Mass SQL Injection	기존 SQL Injection의 확장된 개념으로 한 번의 공격으로 대량의 DB 값이 변조되어 홈페이지에 치명적인 영향을 미치는 공격기법
Error - Based SQL Injection	DB쿼리에 대한 에러값을 기반으로 한 단계씩 점진적으로 DB정보를 획득할 수 있는 공격기법
Blind SQL Injection	DB쿼리에 대한 오류 메세지를 반환하지 않으면 공격을 할 수 없는 Error-Based SQL Injection과 달리 오류 메세지가 아닌 쿼리 결과의 참과 거짓을 통해 의도하지 않은 SQL 문을 실행함으로써 데이터베이스를 비정삭적으로 공격하는 기법

---

4) 보안 점검 내용 중(          ) 으로 발생할 수 있는 보안 약점으로는 잘못된 세션에 의한 데이터 정보 노출, 제거되지 않고 남은 디버그 코드, 민감한 데이터를 가진 내부 클래스 사용, 시스템 데이터 정보 노출 등이 있다.

정답

캡슐화 취약점

---

5) 보안 점검 내용 중 널 포인터 역참조, 정수를 문자로 변환, 부적절한 자원 해제, 초기화 되지 않은 변수 사용으로 발생할 수 있는 보안 취약점은?

정답

코드 오류 취약점

---

6) 리눅스 주요 로그 파일에 대한 설명 중 괄호 (     )안에 들어갈 가장 올바른 용어를 작성

• (    1    ) 명령어: 사용자 로그인/로그아웃 정보, 시스템 shutdown/reboot 정보를 확인할 수 있는 wtmp 로그의 내용을 확인할 수 있는 명령어
• (    2    ) : 현재 시스템에 로그인한 사용자 정보를 확인할 수 있는 로그로 who, w, users, finger 명령어를 통해서 확인할 수 있음

 정답

1. last

2. utmp

---

7) 로그인에 실패한 정보를 저장하고 있는 리눅스 로그 파일명은?

정답

btmp

---

8) 네트워크 보안 솔루션 중에서 (    1    )은/는 기업 내부, 외부 간 트래픽을 모니터링 하여 시스템의 접근을 허용하거나 차단하는 시스템이다. 또한 (    2    ) 은/는 네트워크에서 발생하는 이벤트를 모니터링하고 비인가 사용자에 의한 자원접근과 보안정책 위반 행위(침입)을 실시간으로 탐지하는 시스템이다. 괄호(   ) 안에 들어갈 네트워크 보안 솔루션을 작성

정답

1. 방화벽(Firewall)

2. 침입 탐지 시스템(IDS; Intrusion Detection System)

---

9) 단말기가 내부 네트워크에 접속을 시도할 때 이를 제어하고 통제하는 기능을 제공하는 솔루션으로 바이러스나 웜 등의 보안 위협뿐만 아니라 불법 사용자에 대한 네트워크 제어 통제 기능을 수행하는 장비를 무엇이라하는가?

정답

NAC(네트워크 접근 제어; Network Access Control)

---

10) 가상사설망(VPN; Virtual Private Newtork)란 무엇인지 서술

정답

인터넷과 같은 공중망에 인증, 터널링, 암호화 기술을 활용하여 전용망을 사용하는 효과를 가지는 보안 솔루션

(여러 공중 인터넷망을 사설망처럼 사용할 수 있는 기술) - SSL/TLS 방식과 IPSec 방식이 있음

---

11) 아래에서 설명하는 보안 솔루션은?

• 운영체제에 내재된 결함으로 인해 발생할 수 있는 각종 해킹으로부터 시스템을 보호하기 위해 보안 기능이 통합된 보안 커널을 추가한 운영체제

정답

Secure OS(보안 운영체제)

---

12) 조직 내부의 중요 자료가 외부로 빠져나가는 것을 탐지 및 차단하고, 정보 유출 방지를 위해 정보의 흐름에 대한 모니터링과 실시간 차단 기능을 제공하는 솔루션은?

정답

DLP(Data Loss Prevention)

---

13) 비즈니스 연속성 계획과 관련한 주요 용어 중 괄호(    )안에 들어갈 가장 올바른 용어를 작성

• (    1    ) : 업무중단 시점부터 업무가 복구되어 다시 가동될 때까지의 시간으로 재해 시 복구 목표 시간의 선정에 활용
• (    2    ) : 업무중단 시점부터 데이터가 복구되어 다시 정상가동될 때 데이터의 손실 허용 시점으로 재해 시 복구 목표 지점의 선정에 활용

정답

1. RTO(Recovery Time Objective)

2. RPO(Recovery Point Objective)

---

14) 비즈니스 연속성 계획과 관련된 용어 중에서 BIA(Business Impact Analysis)란 무엇인지 약술

정답

장애나 재해로 인해 운영상의 주요 손실을 볼 것을 가정하여 시간 흐름에 따른 영향도 및 손실평가를 조사하는 BCP를 구축하기 위한 비즈니스 영향 분석

---

15) DRS의 유형에 대한 설명 중 괄호(       ) 안에 들어갈 올바른 용어를 작성

• Mirror Site : 주 센터와 데이터복구센터 모두 운영 상태로 실시간 동시 서비스가 가능한 재해복구센터로 재해 발생시 복구까지의 소요 시간(RTO)은 즉시 (이론적으로 0)
• Hot Site: 주 센터와 동일한 수준의 자원을 대기 상태로 원격지에 보유하면서 동기, 비동기 방식의 미러링을 통하여 데이터의 최신 상태를 유지하고 있는 재해복구센터로 재해 발생 시 복구까지의 소요 시간(RTO)은 4시간 이내
• (     ) : Hot Site와 유사하나 재해복구센터에 주 센터와 동일한 수준의 자원을 보유하는 대신 중요성이 높은 자원만 부분적으로 재해복구센터에 보유하고 있는 센터로 데이터 백업 주기가 수시간 ~ 1일
• Cold Site : 데이터만 원격지에 보관하고, 재해 시 데이터를 근간으로 필요 자원을 조달하여 복구 할 수 있는 재해 복구 센터로 재해 발생 시 복구까지의 소요 시간(RTO)은 수주 ~ 수개월

정답

Warm site

---

16) 악의적인 해커카 불특정 웹 서버와 웹 페이지에 악성 스크립트를 설치하고, 불특정 사용자 접속 시 사용자 동의 없이 실행되어 의도된 서버(멀웨어 서버)로 연결하여 감염시키는 공격기법은?

정답

드라이브 바이 다운로드(Drive By Download)

---

17) OpenSSL 암호화 라이브러리의 하트비트(Heartbeat)라는 확장 모듈에서 클라이언트 요청 메세지를 처리할 때 데이터 길이에 대한 검증을 수행하지 않는 취약점을 이용하여 시스템 메모리에 저장된 64KB크기의 데이터를 외부에서 아무런 제한 없이 탈취할 수 있도록 하는 취약점은?

정답

하트블리드(HeartBleed)

---

18) 독일 지멘스사의 SCADA 시스템을 공격 목표로 제작된 악성코드로 원자력, 전기, 철강, 반도체 화학 등 주요 산업 기반 시설의 제어 시스템에서 침투해서 오작동을 일으키는 악성코드 공격은?

정답

스턱스넷 공격(Stuxnet)

---

19) 보안 관련 용어 중(      )은/는 미국 비 영리회사인 MITRE 사에서 공개적으로 알려진 소프트웨어의 보안취약점을 표준화한 식별자 목록이다. 괄호(    )안에 들어갈 가장 올바른 용어를 작성

정답

CVE(Common Vulnerabilites and Exposures)