제2회 정보보안기사 실기시험 예상답안입니다. 참고하세요

[알기사멘토]

알기사 회원님들 잘 쉬고 계신가요^^ 실기시험이 끝난지 벌써 2틀이 지났네요. 합격자 발표까지는 아직 시간이 많이 남았구요. 1차때 생각해보면 무슨 채점을 이리도 오래 하는지 결과가 나오는 그날까지 무척 지루했던 기억이 나네요^^ 

이틀동안에 어느정도 시험문제들을 분석해 보았구요. 물론 각자 정답이 무엇인지 찾아보면서 고민들 하셨겠지만 혹 바빠서 못하신 분들을 위해 제가 예상(가) 답안을 정리해 보았습니다. 말그대로 제가 정리한 답안입니다. 정답이 아닌 예상답안입니다.

1번) 라우터를 활용한 보안기능에 대한 질문으로 실기교재에 충분히 나왔던 내용으로 판단됩니다.

(A) Ingress 필터링

(B) Egress 필터링

(C) 블랙홀(Blackhole) 필터링 or Null 라우팅

2번) 정성적 위험분석 방법론에 대한 부분으로 필기교재에 포함된 내용으로 판단됩니다.

(A) 델파이법

(B) 시나리오법

(C) 순위결정법

3번) 파일전송서비스관련 공격유형에 대한 문제입니다. 실기교재에 관련지식으로 동일하게 설명된 부분으로 판단됩니다.

(A) TFTP 공격

(B) Anonymous FTP 공격

(C) FTP Bounce Attack 공격

4번) 정보보호정책에 관련한 개념을 물어보는 질문으로 필기교재에 포함된 내용으로 판단됩니다.

(A) 목적

(B) 적용범위

(C) 책임

(D) 문서

5번) 보안취약점 점검도구에 관한 질문으로 실기 및 필기교제에 포함된 내용으로 판단됩니다. 다만 Nessus부분에 대한 상세한 설명이 없어서 다소 어려움이 있었을 것으로 생각됩니다.

(A)무결성

(B) Nessus

6번) Linux시스템관련 네트워크.서비스보안 설정을 위한 도구를 묻는 질문으로 실기교재에 충분히 나왔던 내용으로 판단됩니다. 다만 (A)질문의 경우에 방화벽등의 표현으로 인해 iptables로 오인할 소지가 있는데 전체적인 맥락을 보면 tcpwrapper라는 것을 알 수 있습니다.

(A) tcpwrapper

(B) hosts.allow

(C) hosts.deny

7번) 보안의 3요소를 물어보는 질문으로 실기 및 필기책에서 고르게 언급된 내용으로 판단됩니다.

(A) 기밀성

(B) 무결성

(C) 가용성

8번) 스머프공격에 대한 질문으로 실기교재 이론편에서 동일한 내용으로 다루고 있는 것으로 판단됩니다.

(A) 스머프(Smurf)

(B) Directed Broadcast 또는 Broadcast만 적어도 정답으로 인정될 것으로 보임

(C) ICMP Echo Request 또는 ping이라고 해도 어느정도 인정이 될 것으로 보이긴 합니다.

9번) 스위칭환경에서의 스니핑 공격으로 실기교재 이론편에서 동일한 내용으로 다루고 있는 것으로 판단됩니다.

(A) 스위치 재밍(Switch Jamming)

10번) 위험 평가 요소에 대한 부분으로 실기 및 필기교재에 다루고 있는 내용으로 판단됩니다.

(A) 자산

(B) 위협

(C) 취약성

이상 답답형 답안을 정리해 보았습니다. 실기교재 및 필기교재 이론부분을 열심히 보았다면 큰 무리없이 답안을 작성할 수 있었을 것으로 생각됩니다. 그럼 서술형과 실기형도 살펴보겠습니다.

11번) 소프트웨어 개발 보안 취약점 7가지 유형에 대한 문제입니다. 이 문제는 일단 만점을 차단하기 위한(?) 문제로 판단이 되구요 새삼 보안기사실기의 넓은 범위와 그에 맞지 않은 섬세한 문제라 생각이 됩니다. 향후 알기사책에 보강이 되어야 할 부분으로 판단이 됩니다. 향후에 KISA 및 안행부의 secure coding가이드와 owasp 모두 종합해서 정리하도록 해야겠습니다. 그리고 부분점수 부분이 다들 궁금하실텐데 상당히 짜게 준다고 보시면 됩니다. 대략 반개 정도 비슷하게 썻으니 반점은 주겠지 생각할 수도 있는데 1차를 보면 그렇지 않은 듯해요 거의 부분점수가 없거나 매우 작은 듯 합니다.

(정답)

1) 입력 데이터 검증 및 표현

사용자가 입력한 값에 대한 검증과정 및 데이터 자료형에 대한 오용으로 인한 보안 취약점

2) API 악용

표준 API의 잘못된 사용으로 인한 보안 취약점

3) 보안기능

인증, 접근제어, 권한관리, 암호화등 기본적 보안기능과 관련된 보안 취약점

4) 시간 및 상태

멀티 프로세스/스레드 프로그래밍에서 발생할 수 있는 보안 취약점

5) 에러처리

어플리케이션 사용시 발생할 수 잇는 에러처리와 관련된 보안 취약점

6) 코드품질

어플리케이션 안전성, 신뢰성을 확보하기 위한 소스코드 품질관련된 보안 취약점

7) 캡슐화

어플리케이션이 다른 값을 참조할 때 발생하는 보안 취약점

12번) HTTP Flooding관련 Snort룰 관련 문제로 실제로 룰 문법에 대한 정확한 이해가 없어도 90프로 이상은 답을 구할 수 있는 문제로 판단됩니다. 알기사 실기교재에도 차후에 보강되어야 할 부분으로 생각됩니다.

(정답)

1) 룰명

Get Flooding

2) nocase의미

content내용을 패킷 페이로드와 매칭할때 대소문자를 구별하지 않는다는 의미이다.

3) content~의미

패킷 페이로드에 "GET / HTTP1."문자열을 포함하는지 여부를 검색하겠다는 의미이다. 이는 HTTP요청라인(Request Line)의 정보를 의미하는 것으로 각각의 의미는 살펴보면 GET은 GET방식의 요청을 의미하여, /는 해당 호스트의 default page를 의미하며, HTTP1.은 HTTP버전이 1.대임을 의미한다.

4) threshold:type threshold~~

목적지IP(by_dst)를 기준으로 1초동안 매칭건수가 10회 이상일경우 해당 이벤트를 계속 발생시킨다는 의미이다. 즉 초당 10회이상의 요청이 default page로 들어온다면 이를 Get Flooding이벤트로 판단하고 이벤트를 계속 발생시킨다는 의미이다. <-4번 문제에서 걱정스러운 부분이 type이 threshold라서 limit와 달리 한번의 이벤트가 아닌 계속 발생을 언급해야 정답으로 인정이 될지 그냥 이벤트발생이라고만 해도 인정이 되는지 좀 걱정스럽네요

13번) 위험분석의 정보자산 그룹핑과 장점에 대한 문제입니다.

(정답)

1. 정보자산 그룹핑의 개념

조사된 자산을 기밀성, 무결성, 가용성 평가 결과에 기초하여 자산 유형, 보안특성, 중요도가 같은 것들을 묶어서 공통 자산 그룹으로 명시하는 것을 말한다.

2. 장점

위험분석을 수행할 때 3가지 특성 즉, 기밀성, 무결성, 가용성 특성에 근거하여 결과가 달라지므로 같은 결과가 나오는 자산에 대하여 그룹핑을 함으로서 동일한 작업을 여러번 반복하지 않을 수 있다.

14번) WEB관련하여 비트열 계산하는 문제로 CRC계산법을 아시는 분은 정말 쉽게 풀수 있는 문제이고 이를 모를 경우 그냥 패스해야 하는 문제로 판단됩니다. 이런 부분까지 문제로 나온다는 것을 예상하기가 쉽지가 않네요.

1) CRC-2로 계산한 결과값 : 01

10110000 , 코드다항식의 최고차항이 2차이므로 뒤에 00을 붙인다.

101 코드다항식과 연산을 하게 되면 그 결과는 10110001

10110000

101 (XOR)

-----------------

     100

     101

-----------------

        100

        101

-----------------

           1

2) RC-4 키스트림의 이진비트열 : 01101101

10110001 XOR x = 11011100 이므로

x = 11011100 XOR 10110001 (XOR를 두 번 연산하면 원래의 값으로 돌아온다)

x = 01101101

3) 암호화된 프레임 데이터 =10011101. 이 암호문을 복호화한 원래의 6비트의 평문 : 111100

원본6bit의CRC값 = x

이전 암호문과 동일한 IV를 사용하고 비밀키가 고정이므로 RC-4키스트림은 2번 문제와 동일 : 01101101

x XOR 01101101 = 10011101

x = 10011101 XOR 01101101

x = 11110000

x에서 CRC값 뒤 2비트를 제거하면 111100, 원래의 6비트는 111100

15. 망법의 기술적/관리적 조치를 5개이상 답하는 문제로 정보통신망법을 보면 아래와 같이 명시되어 있습니다. 필기교재의 법률부분을 충실히 공부하셨다면 어려운 문제는 아닌 것으로 판단이 됩니다. 다만 이걸 모두 적으신 분이 있다면 정말 대단하신것 같구요 아마 일부 작성에 의한 부분점수를 기대해 볼 수 있는 문제로 생각이 됩니다.

1. 개인정보를 안전하게 취급하기 위한 내부관리계획의 수립·시행

2. 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의 설치·운영

3. 접속기록의 위조·변조 방지를 위한 조치

4. 개인정보를 안전하게 저장·전송할 수 있는 암호화기술 등을 이용한 보안조치

5. 백신 소프트웨어의 설치·운영 등 컴퓨터바이러스에 의한 침해 방지조치

6. 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치

16. IIS웹로그와 공격URL을 통해 분석하는 문제로 전형적인 SQL Injection공격로그를 보여주고 있습니다. 실기교재에도 많이 언급된 부분으로 문제해결에 큰 어려움이 없을 것으로 판단됩니다.

1) 공격이름 : SQL Injection공격

2) 실행결과

해당 사이트가 SQL Injection공격에 취약하므로 공격자는 passwd필드의 입력값을 조작해서 injection공격을 수행하고 있다. 해당 공격을 수행하게 되면 userid가 admin(일반적으로 사용하는 관리자 계정이다)인 계정으로 로그인이 가능하게 된다. 그 이유는 실제 서버의 sql구문을 추측해 볼 때 조건 절에 passwd가 빈값이 전달되어 불일치가 되지만 or구문이 삽입됨으로서 userid조건에 일치하는 항목에 의한 결과값이 추출되게 된다.

(이 문제는 사실 정상코드부분이 passwd=test&userid=test 이런 형식으로 되어야 더 맞지 않을까 생각이 듭니다. 딸랑 패스워드만 물어보는 로그인화면이 무척 익숙하지가 않네요!!)

3) 조치방법

해당 사이트의 가장 큰 문제는 입력값의 유효성에 대한 적절한 체크가 이루어지지 않는 점이다. 따라서 데이터베이스와 연동하는 서버스크립트(.asp파일 등)의 모든 입력 파라미터들을 점검하여 사용자가 입력한 값에 SQL쿼리문이 삽입되지 않도록 특수문자(',",;,space,--,# 등등)를 필터링하거나 접근을 제한하도록 조치한다.

이상으로 2차 정보보안기사 실기시험 예상답안을 작성해 보았습니다. 참고만 하시구요 이번 시험을 통해서 문제유형, 특히 KISA발행 각종 문서들에 대한 분석이 많이 필요하다는 생각이 들었구요 다음 개정시에는 더 많은 부분을 보강해서 보안기사실기를 준비하시는 많은 분들에게 큰 도움이 될 수 있도록 노력하겠습니다.

알기사 회원님들 모두 수고하셨습니다.~

카페 소개 : 정보보안기사 카페(다음 정보보안기사 대표 카페)

카페 주소 :http://cafe.daum.net/Security-no1클릭

교재 소개 : 알·기·사(알기쉬운 정보보안기사.산업기사(필기편,실기편))

[찌나눼]

감사 합니다

[박상현]

감사합니다 내년을 기약해야할듯ㅠㅠ

[그래할수있을거야]

감사합니다

[푸른이]

감사합니다. (..)(..) 내년 시험은 미리미리 준비해야겠네요 ㅎㅎ 수고 많으셨습니다

[류병규]

참고 하도록 하겠습니다.. 어찌됐든.. 27일까지 기다려봐야겠군요.. 불안불안합니다.

[슬픈건달]

병규님은 합격하시지 않을까 합니다 ㅎㅎ

[마티니]

1,2차 실기 다떨어졌네요. 이제 좀 지겨워집니다.^^

[흰떡]

감사합니다....

[Beejoo]

단답 부분점수 없다 생각하고 6문제 18점에 서술실무형 부분점수 없이 3문제 42점 확보했네요.
하지만 1차 때 멘붕 생각하면 마음을 놓을 수가 없네요.

[슬픈건달]

주어진 상황에 최선을 다하긴 했는데 참 결과를 보면 한숨만 나오네요..
부분점수에 따라 조금 틀려지긴 하겠지만..전 내년을 기약해야 할것 같습니다.
출제 경향을 보니 실기를 통과할수 있으려나 두렵기도 하네요.
다들 수고하셨습니다 ㅠㅠ

[김삿갓]

감사합니다 .. 서술형문제가 너무 광범위하게 나와서 쉽지 않았던것 같습니다..

[알기사멘토]

서술형문제가 결코 쉬운 문제가 아니라고 생각해요. 다만 이 시험이 100점을 맞는 시험이 아니고 60점을 넘으면 합격하는 시험으로 봤을 때, 이번 시험은 상대적으로 단답형이 쉬웠기 때문에 서술형에서는 3문제 또는 3문제에 준하는 점수와 단답형에서 6-7문제 정도를 맞췄다면 합격가능할 것으로 생각합니다. 앞으로 실기시험도 항상 이런식으로 점수 조절을 할 것 같습니다. 1회시험을 생각해보면 단답형이 많이 어려웠는데 상대적으로 서술(실기)형 문제가 좀 쉽게 나와서 60~70점대의 합격점수를 만들었던것 같아요. 결론은 틀릴 문제는 틀리고 확실히 맞춰야 할 문제는 실수 없이 정확히 답을 작성하면 합격점수는 통과할 수 있는 시험이라

[알기사멘토]

는 생각이 들고요. 늘 느끼는 거지만 하나를 알더라고 정확하게 깊이있게 공부하는 것이 이런 시험에 대비하는 가장 효율적인 방법이 아닐까 합니다. 두리뭉실 넓게만 알아서는 서술형 대비가 많이 어렵구요..

[개념탈출]

또보기 겁나네 ㅠㅠ

[어떻게할래]

ㅎㅎ..왜 고쳐서 틀렸을까라는 후회와 함깨~~~시험보면서 저의 지식이 참 얇다는것을 뼈저리게 느낀 시험이었습니다.
내년엔 더 잘 볼 수 있겠죠. 시험 보신 분들 다 화이팅입니다.

[RHRHRHRHRH]

ㅠㅠ 제발제발.....비슷하다면....맞다고 해주세요.....합격하게 해주세요...