1. 다음은 스캔 도구로 유명한 Nmap의 스캔 타입을 설명한 내용이다. 보기에서 설명하는 스캔 타입은 무엇인가?
정상적인 3Way 핸드쉐이킹을 하지 않고 끊기 때문에 Half-Open 스캐닝이라고도 한다. 접속이 이루어 지지 않는 상태에서 접속을 끊었기 때문에 로그가 남지 않는 경우가 많다.
① -sX ② -sS ③ -sU ④ -sP
2. 다음 중 원격 서버의 /etc/hosts/equiv 파일에 정확한 설정이 있어야만 정상적으로 실행이 되어 신뢰받는 로그인을 할 수 있는
명령어는 무엇인가?
① telnet ② login ③ rlogin ④ talkd
3. 다음 중 비밀번호 앞 또는 뒤에 문자열을 추가하여 동일 비밀번호에 대하여 동일 다이제스트를 생성하는 해시 함수의
문제점을 보완해 주는 기술은 무엇인가?
① 0TP ② 솔트 ③ HMAC ④ 스트레칭
4. 다음 중 응용 프로그램 로그에 해당되지 않는 것은?
① UNIX Syslog ② DB 로그 ③ 웹 로그 ④ FTP 로그
5. 다음의 취약성 점검 도구 중 NESSUS 도구로 탐지할 수 없는 것은?
① 사용할 때만 열리는 닫힌 포트 ② 쿠키값 ③ 운영 체제 종류 ④ 웹 서버 취약점
6. 다음에서 설명하고 있는 접근 제어 정책으로 올바른 것은?
- 자원에 대한 접근은 사용자에게 할당된 역할에 기반한다.
- 관리자는 사용자에게 특정한 권리와 권한이 정의된 역할을 할당한다.
- 사용자와 할당된 역할의 연관성으로 인하여 자원들에 접근할 수 있고, 특정한 작업들을 수행 할 수 있다.
① MAC ② DAC ③ RBAC ④ HMAC
접근통제 정책 Access Control Policy
어떤 주체(who)가 언제(when) 어디서(where), 어떤 객체(what)에 대해서, 어떠한 행위(how)를 하도록 허용 또는 거부 할 것인지 정의한 것
임의적 접근통제 (DAC : Discretionary Access Control)
- 접근 주체 신분기반 접근권한 부여
- 데이터의 소유자가 접근을 요청하는 사용자의 신분 즉 식별자에 기초하여 객체에 대해 접근을 제한하는 접근통제 방법
■ DAC의 특징
1. 접근 권한을 객체의 소유자가 임의로 지정하는 자율적 정책
2. 접근통제 목록(ACL) 등을 사용
3. 허가된 주체에 의하여 변경 가능한 하나의 주체와 객체간의 관계를 정의
4. 오렌지북 C 레벨의 요구사항이다
5. 상업적 용도로 사용된다
6. 신분 도용시 통제 방법이 없다
강제적 접근통제 (MAC : Mandatory Access Control)
- 주체, 객체 등급 기반 접근 권한 부여
- 강제적인 접근 제한, 정보시스템 내에서 어떤 주체가 객체에 접근하려 할 때 양자의 보안 등급을 비교하여 높은 보안을
요하는 정보가 낮은 보안수준의 주체에게 노출되지 않도록 접근을 제한하는 접근 통제 방법이다
■ MAC의 특징
1. 규칙이 단순해 관리가 용이
2. 개인, 데이터별로 명확한 보안등급을 가진다
3. 접근 승인은 보안레벨과 카테고리로 구성된 보안레이블에 의해 제한됨
4. 접근 정책은 시스템에 의해서 강제적으로 정의됨
5. 오렌지북 B 레벨의 요구사항으로 DAC보다 안전
6. 매우 엄격하여 군대같은 민감한 정보의 기밀성을 보장하는데 사용됨
7. 모든 접근에 대해 보안등급을 정의하고 확인해야 하기 때문에 개발, 구현이 어려움
역할기반 접근 통제 (RBAC : Rule-Based Access Control)
- 주체, 객체 역할기반 권한 부여
- 주체가 적절한 역할에 할당되고 그에 맞는 접근권한이 할당된 경우만 객체에 접근할 수 있는 비임의적 접근제어
■ RBAC의 특징
1. 주체의 역할이나 임무에 따라 객체의 접근 권한을 제어하는 방식
2. 조직의 기능 변화나 인사 이동에 따른 관리적 업무의 효율성을 높일 수 있다
3. 역할에 따라 설정된 권한만 할당되기에 보안 관리가 단순하고 편리
4. 최소 권한의 원칙, 직무 분리 원칙이 지켜진다
5. 금융 기관, 정부, 공공기관에서 효과적으로 사용
6. 오렌지북 C 레벨의 요구사항으로 MAC 보다는 보안 안전성이 낮다
7. 퇴사자가 많은 경우 역할기반 접근 통제가 유리하다
7. UNIX 시스템에서는 일반 계정의 비밀번호를 저장할 때 암호화하여 저장한다. 다음 중 어떤 알고리즘을 이용하여 저장하는가?
① DES ② RSA ③ MD5 ④ SHA
8. 다음의 일반적인 보안 원칙 중〈보기〉에 알맞은 것은?
사용자나 관리자에게 작업을 수행하는데 필요한 권한을 최소화하는 원칙
① 소프트웨어 최신 유지 ② 중요 서비스에 대한 액세스 제한 ③ 시스템 작업 모니터링 ④ 최소 권한 원칙 준수
9. 다음 중 PAM(Pluggable Authentication Module) 에 대한 설명으로 옳지 않은 것은?
① 사용자를 인증하고 그 사용자 서비스에 대한 액세스를 제어하는 모듈화 방법이다.
② 응용 프로그램의 재컴파일이 필요하다.
③ 관리자가 응용 프로그램들의 사용자 인증 방 법을 선택하도록 해 준다.
④ 권한을 부여하는 소프트웨어의 개발과 안전하고, 적정한 인증의 개발을 분리하려는데 있다.
10. 다음 중 7.7 DDoS 공격과 3.20 DDoS 공격의 공통점은 무엇인가?
① 대역폭 과부하 ② 리소스 고갈 ③ MBR 파괴 ④ 금융 정보 유출
11. 다음의 리눅스 파일 시스템에서 SetUID, SetGID, Sticky bit 설명으로 옳은 것은?
① 파일에 SetUID가 걸려 있어도 겉으로는 알 수 없다.
② 파일에 대한 접근 권한이 7777’이면 문자로 는 ‘rwsrwgrwt’로 표시된다
③ SetUID 비트가 세트된 파일을 실행하면 파 일 소유자 권한으로 수행된다.
④ SetUID 비트가 세트되어 있어도 루트 권한 으로 실행되는 경우는 없다.
12. 다음 중 HTTP 프로토콜의 상태 코드로 올바르지 못한 것은?
① 200 : HTTP 요청에 대해 에러 없이 성공
② 300 : 클라이언트가 선택할 수 있는 리소스에 대한 다중 옵션 표시
③ 403 : 유효한 요청에 대한 클라이 언트가 응답 거부
④ 404 : 현재 요청한 리소스를 찾을 수 없으나 향후 요청에 대해서는 유효할 수 있음
13. 다음 중 루트킷에 대한 특징으로 올바르지 못한 것은?
① 트래픽이나 키스트로크 감시 ② 커널 패치 ③ 로그 파일 수정 ④ 시스템 흔적 제거
루트킷(Rootkit)
■ 개요
- 루트킷은 자신의 존재가 탐지되지 않도록 숨기면서 관리자 권한의 획득과 백도어 등의 기능을 수행하는 코드와 프로그램의
집합을 의미
- chkrootkit을 실행하여 INFECTED로 표시되면 해당 파일이 감염 변조된 것
■ 루트킷의 hidden process 탐지 원리
- 일반적으로 루트킷은 공격자가 숨기고자 하는 프로세스가 출력되는 부분만 제거하고 출력하도록 ps 프로그램을 만들어 타겟
시스템에 있는 정상 ps 프로그램과 바꿔치기하는 방식으로 동작함
- 루트킷 탐지 프로그램은 "ps" 실행결과와 "/proc" 디렉터리에 있는 프로세스 정보를 비교하여 /proc 디렉터리에는
프로세스가 있지만 ps 실행 시 보이지 않는 프로세스를 히든 프로세스로 탐지
■ /proc 파일시스템
- 유닉스/리눅스 커널이 메모리상에 사용하고 있는 모든 자원들에 대한 정보들을 파일 형식으로 보관하는 파일시스템
- 커널이 관리하는 "프로세스" 등의 자원, 커널 파라미터 등에 대한 상태정보를 파일명으로 보관하고 있음
- 물리적 디스크 영역이 아닌 메모리 영역에 존재하는 파일 시스템으로 매 부팅시마다 새롭게 생성됨
- /proc 파일시스템을 보면 현재 실행중인 개별 프로세스의 PID를 의미하는 다수의 숫자형식의 디렉토리가 생성되어 있음
- exe는 실행파일에 대한 심볼릭 링크 파일로 해당 프로세스의 실행 이미지를 확인할 수 있음
- fd는 nc 프로세스가 오픈한 파일 디스크립터 정보를 담고 있는 디렉터리
■ 루트킷 대응방법
- RPM(Redhat Package Manager) 명령을 이용하여 변조된 파일 확인 후 패키지 재설치
- 레드햇 계열 리눅스에서 윈도우의 setup 프로그램처럼 프로그램 설치를 손쉽게 하기 위해 만든 설치파일을 package 라고
하고, 이러한 패키지를 관리하는 명령어를 rpm(Redhat Package Manager)라고 함
- rpm -V 패키지이름 : V옵션은 Verify를 의미. 해당 패키지를 통해 설치된 파일의 무결성을 검사함
- 실행 예시
# rpm -qf /bin/netstat
net-tools-1.60.95.fc11.i586 → rpm -qf 명령을 통해 netstat 실행파일이 net-tools 패키지에 속해 있는 것을 확인
# rpm -V net-tools
S.5….T. /bin/netstat → rpm -V 실행결과, 최초 설치시점과 비교하여 파일크기(S), MD5 체크섬(5), 파일 수정시간(T)가
변경된 것을 확인할 수 있음
S : 파일 크기
M : 파일 커미션 변경
5 : MD5 체크섬 변경
T : 파일 수정시간 변경
U : 소유자 변경,
G : 소유그룹 변경,
D : 장치정보 변경,
L : 심볼릭링크정보 변경
- 주요 실행파일이 변조/감염되었다는 것은 이미 해킹을 당하여 root 권한 탈취 및 루트킷 설치가 의심됨.
- 다양한 파일 변조 가능성 높음. 따라서 변조/감염된 파일만 교체하는 것은 임시방편이고 해당 시스템을 재설치하는 것이
최선임
14. 다음 시나리오의 빈칸 (가)에 알맞은 명령어는?
중국발 해킹을 통하여 웹 서버를 공격하고 있다는 사실을 알았다.
찾아낸 IP는 10.10.11 ~ 10.10.1.255, 10.10.2.3, 10.10.3.5와 같으며 접근 통제 정책을 통하여 위의 IP에 대하여
web 접속을 거부하라.
단, 10.10.1.11 IP는 web 접속을 허락하여야 한다.
/sbin/iptables -A INPUT -s 10.10.1.33 -p tcpI -dporl 80 -j ACCEPT
/sbin/iptables -A INPUT -s 10.10.1.1/10.10.1.255 -p tcp -dport 80 -j DROP
(가) |
/sbin/iptables -A INPUT -s 10.10.3.5 -p tcp j -dport 80 -j DROP
① /sbin/iptables -A INPUT -s 10.10.2.1 -p tcp -dport 80 -j DROP
② /sbin/iptables -A INPUT -s 10.10.2.2 -p tcp -dport 80 -j ACCEPT
③ /sbin/iptables -A INPUT -s 10.10.2.3 -p tcp -dport 80 -j DROP
④ /sbin/iptables -A INPUT -s 10.10.3.5 -p tcp -dport 80 -j ACCEPT
15. 다음 중 시스템에서 FTP로 어떤 파일을 주고 받았는지를 기록하는 로그는 무엇인가?
① xferlog ② last ③ lastlog ④ secure
16. 다음 중 윈도우의 패스워드 복구 시 관련이 있는 파일명은?
① Password ② SAM ③ PAM ④ Kernel
17. 다음의 보기에서 빈칸에 알맞은 용어는 무엇인가?
( )는 /etc/hosts.deny와 /etc/hosts.allow 파일을 통하여 접근 통제를 강력히 구현할 수 있다.
① tcp_wrapper ② tripwire ③ SARA ④ NESSUS
18. 다음 중 윈도우의 암호 정책에 포함되지 않는 것은?
① 최근 암호 기억 ② 최소 암호 사용 기간 ③ 암호의 복잡성 ④ 암호 알고리즘 종류
19. 다음 중 취약성 점검 도구가 아닌 것은?
① 버퍼오버플로우공격 ② 스니핑 공격 ③ 포맷스트링공격 ④ 세션하이젝킹 공격
20. 다음 중 포트 스캐닝에 대한 설명으로 올바르지 못한 것은?
① UDP 패킷을 보내어 포트가 열려 있으면 아무런 응답이 없다. ② 포트가 열려 있지 않으면 아무런 응답이 없다.
③ 인가되지 않는 포트 스캐닝은 하지 말아야한다. ④ 포트 정보를 수집함으로 인하여 취약점 서비스를 찾아낸다