제 2회 정보보안기사 실기 후기

[류병규]

카페 소개 : 정보보안기사 카페(다음 정보보안기사 대표 카페)

카페 주소 :http://cafe.daum.net/Security-no1클릭

교재 소개 : 알·기·사(알기쉬운 정보보안기사.산업기사(필기편,실기편))

안녕하세요. 류병규 입니다.

저도 1회 때 떨어져서 2회 때 다시 재 도전을 했는데요.

문제 난이도는 1회때보다는 확실히 쉬워졌지만

저는 서술형에서 좀.. 답답했네요. 그래도 1회보단 합격할 수 있는 확률이 많이 올라갔네요.

이번엔 쪼끔 넉넉하게 합격할 수도 있을거라 생각을 해 봅니다.

제가 적어온 문제를 알려드리겠습니다.

여러분들의 답과 비교해보고 싶습니다. 틀린 거 있으면 지적 부탁드리겠습니다.

1. 용어기술

ingress filtering, egress filtering, blackhole routing

2. 정성적 위험분석 방법론

델파이기법, 시나리오법, 순위결정법

3. 공격 기술

tftp attack ?, anonymous ftp attack, ftp bounce attack

tftp attack이라는 용어가 있는지 모르겠습니다...

udp 69 포트를 사용하고 인증없이 파일전송 서비스를 할 수 있는 대상에 대한 공격

4. 용어기술

정보보호정책에는 최소한 중요한 정보자산이 무엇인지 식별하고 정보의 어떤 특성이 만족되어야 하는지를

선언하는 정보보호정책의 (1)가 제시되어야 하고, 조직에 미치는 영향을 고려하여 중요한 업무, 서비스, 조직, 사람,

자산 등을 포함할 수 있도록 정보보호 정책의 (2)를 설정하여야 한다.

정보보호정책 수행에 필요한 경영진, 정보보호조직, 일반직원 등의 (3)을 명확히 정의해야 하며

정보보호정책은 조직의 최고경영자의 의지를 확인할 수 있도록 (4)로 승인되어야 한다.

가이드라인, 범위, 직무(역할), 임원

5. 용어기술

무결성, SAINT

(  )는 미국 Tenable 사가 개발, 무료 배포하고 있으며 알려진 취약점에 대한 점검도구

text, html, latex 등 다양한 형태로 결과 보고서 제공

SAINT가 맞는지요?...

-> 무결성, nessus

6. 용어기술

tcp wrapper, /etc/hosts.deny, /etc/hosts.allow

7. 용어기술

(1)은 정보유출측면, (2)는 정보변조, (3)은 정보상실 측면에서 자산에 보장되어야 하는 특성

보안의 3요소라고 한다.

기밀성, 무결성, 가용성

8. 용어기술

Smurf attack, broadcast, icmp (echo reply)

9. 공격기술

Switch jamming

10. 용어기술

자산, 위협, 취약점

-> 자산, 위협, 취약성

<서술형>

11. 소프트웨어 개발자가 반드시 진단, 제거해야 할 소스코드 보안 취약점을

7가지 유형으로 분류하고 각 유형에 대해 간략히 설명하시오

injection, xss, 에러페이지 노출, 버퍼오버플로우, 포맷스트링버그, HTTP 응답분할(CRLF), 웹 서버에서 사용중인 메서드 확인에

대하여 한줄씩 적었습니다.

안전행정부에서 배포한 개발보안가이드 항목으로 적었는데.. 맞겠죠?

12. Snort 탐지 룰에 대한 문제

alert tcp any any -> any any (msg : "Get Flooding";content:"GET / HTTP 1." ; no case ; depth:13 ;

threshold:type threshold, track by_dst, count 10, second 1; sid:1000999;)

(1) 룰 이벤트 명은?

Get Flooding

(2) nocase의 의미?

모르겠음..

(3) content="GET / HTTP1." 가 의미하는 것은?

웹에서 GET 방식으로 접근하는 경우 (일종의 헤더값 확인)

(4) threshold:type threshold, track by_dst, count 10, second 1 가 의미하는 것은?

목적지에 1초당 10번이상 웹 접속을 요구하는 경우

13. 정보자산 그룹핑 개념과 그룹핑 수행 후 위험분석 수행시 장점은?

개념 : 정보자산들을 업무별, 역할별로 연관성이 있는 것끼리 묶어놓은 것

장점 : 그룹핑된 정보자산 중 어디서 위험이 발생할 수 있는지, 위험이 존재한다면 어떤 정보자산을 거쳐

이용될 수 있는지 빠른 파악이 가능

<작업형>

14. WEP 관련문제... 프로토콜 구성도 펼쳐놓고 초기 메시지의 이진비트열, 코드 다항식의 비트열 제시 후 문제출제..

(1) 6비트 평문 프레임 데이터를 CRC-2로 계산한 결과값을 이진비트열로 표현

(2) 8비트 RC4 키 스트림의 이진 비트열?

(3) 암호문을 복호화한 6비트 평문메시지는?

.........14번 안풀었습니다.

15. 망법에서 개인정보 관련하여.. 핵심적인 기술적 관리적 조치방법을 5개이상 약술하시오.

개인정보의 안전한 저장, 관리를 위하여 암호화 조치를 취한다.

접속기록의 위, 변조를 방지할 수 있는 대책을 마련한다.

불법적인 침입을 방지하기 위해 내부 접근통제시스템을 구축한다

개인정보의 안전한 관리를 위하여 내부관리계획을 수립 및 시행한다.

내부 임직원들을 대상으로 개인정보보호 교육 계획을 수립 및 시행한다.

16. IIS 웹 로그와 조작된 URL(공격코드)를 제시하면서 문제 출제

(1) 무슨 공격인가?

SQL Injection

(2) ...php?passwd=' or userid=' admin'; -- 의 결과는?

userid 필드가 admin인 계정으로 로그인 할 수 있다.

(3) (1)에 대한 보안대책 1가지를 기술

공격자가 특수문자나 SQL Injection에 자주 이용되는 or, and 등의 논리연산자 같은 불필요한 값을

입력 했을때 이를 처리하는 서버측 파일의 소스에 replace 등의 치환 구문을 삽입하는 방법을 통해

조치할수 있다.

---------------------------------------------------------------------------------------------

어떤가요.. 이번엔 합격을 기대할 수 있을까요?

단답형이 24점에서 26점, 서술형 최소 14점 이상, 작업형 26점을 기대하고 있습니다.

실기 치르시느라 모두 고생많으셨고, 답안에 대한 공유 부탁드립니다.

이번에 합격 딱 하고 이제 제 공부좀 하고싶네요.

이상입니다!

[슬픈건달]

와..님대박이시네요..꽤 높은점수로 통과 하싨 ㅠㅠ 부럽습니다.

[겜플홧팅]

4번 답이 맞나요??

[겜플홧팅]

1번에 inbound 정책 outbound 정책이라고 해도 틀리나요 ??

[고무신]

서술11번은 owasp 문제가 아니 였는데요 소스코드 보안 취약점 정보를 찿아 보시면 될듯 딱 7가지 나와 있음

[류병규]

서술형 11번의 경우 Gartner를 기준으로 했기 때문에 Gartner 로 적겠습니다.

1. Buffer overflows
2. Error handling
3. Command injection
4. Unnecessary code
5. Malicious code
6. Broken threads
7. Invalidated parameters
8. Cross-site scripting
9. Caching, pooling and reuse errors

# 출처 : Now Is the Time for Security at the Application Level (Theresa Lanowitz, Gartner)

[보안기사Q&A]

병규님 고생하셨어요 1회때 합격하신줄 알았는데 ㅎ 폰이라 다 못보겠네요 ㅎㅎ이번에는 어찌 될것같나요?

[류병규]

1회때는 산업기사만 붙어서.. 기사실기를 재도전했습니다.
여러 카페에서 답을 비교해보고 있으나.. 그래도 1회때보단 합격
가능성이 조금 높아진 듯 합니다.

[류병규]

결과는 27일이 되봐야 알겠지만... 키워드와 문제의 요구사항을 좀 더 정확하게 파악해야하며 공공데이터 자료를 많이 참고해야될 것 같다는 생각을 합니다... 기출문제나 sis가이드라인은 글쎄요.. 서술형이랑 작업형을 대비하기엔 그닥 도움이 되지는 않았던 것 같네요...

[보안기사Q&A]

네 잘됐네요 ^^ 이제 진짜 공부하시면 되겠네요

[류병규]

결과발표날까지 조금은 기대해도 될 것 같습니다.. 감사합니다.