2021 정보보안기사 17회 실기 시험 후기 / 기출문제 + 답 복원

2021년 17회 실기 시험을 치뤘습니다.

신분증(주민등록증, 여권, 면허증), 검정색 볼펜 필수 지참입니다. 수험표는 지참하지 않아도 시험에 응시 가능하다는 공지가 있어 별도로 프린트해가지 않았습니다. 정문에서 수험번호로 고사장을 확인하고, 칠판에 붙어있는 좌석배치표로 자리를 찾아갑니다.

9시까지 입실, 책상 정리
9시 20분 문제지 배부
9시 30분 시험 시작
11시부터 퇴실 가능
12시 30분 시험 종료

순서로 시험이 진행됐습니다.

17회 실기 시험 총평
법 위주로 공부를 했다면 고득점 가능

늘 생각하는 건데 정보보안기사 시험을 끝낸 뒤 드는 생각은 ...
내가 공부를 덜 했구나. 다음엔 열심히해야지 -> X
이런 문제를 낸다고? 이걸 어떻게 알고 맞추지. 실무자도 모를듯 -> O

17회는 법 용어 위주로 문제가 출제되었습니다.
그리고 그 간 자주 출제되었던 리눅스 보안과 IPSec 분야에서는 한 문제도 나오지 않았네요.

---

1. 공격 명칭을 쓰시오.

mimikatz를 활용해 윈도우의 NTLM 및 LANMAN 해시값을 탈취하여 원격으로 로그인하는 공격 기법이다.

Pass the Hash

공격자는 mimikatz 툴을 이용해 자격증명을 훔친 뒤 다음 방법을 이용해 원격 엑세스를 시도할 수 있습니다.
Pass the Hash : 공격자가 탈취한 NTLM 또는 LANMAN 해시를 이용해 원격 서버/서비스에 인증하는 공격 기법입니다.
Pass the Ticket : NT 해시 대신 Kerberos 티켓을 사용해 원격 서버/서비스에 인증하는 공격 기법입니다.

 

2. 공격 명칭을 쓰시오.

1. 사용자는 www.abc.com 사이트에 접속을 시도한다.
2. 공격자는 캐시 DNS 서버가 DNS 서버로부터 정상 DNS 응답을 받기 전 조작된 DNS 응답을 보낸다.
3. 캐시 DNS 서버에 조작된 주소 정보가 저장된다.
4. 사용자는 조작된 주소의 사이트로 접속하게 된다.

DNS Cache Poisoning

DNS Spoofing : 공격 대상에게 전달되는 DNS 응답을 조작하거나 DNS 서버의 캐시 정보를 조작하여 의도하지 않은 주소로 접속하게 만드는 공격
- 스니핑 기반의 DNS Spoofing 공격 : 공격 대상이 DNS 질의를 수행하면 공격자가 스니핑하고 있다가 정상 응답보다 빠르게 조작된 DNS 응답을 보내 조작된 주소로 접속하게 만드는 공격 기법
- DNS Cache Poisoning : DNS 서버의 캐시 정보를 조작하는 공격 기법

 

3. 다음 빈 칸에 알맞은 단어를 쓰시오.

MITRE는 사이버 공격 전술 및 기술에 대한 정보를 기반으로 하는 (A) 프레임워크를 제공한다.
킬체인을 확장하여 구체적인 기술에 의해 지원되는 다양한 전술을 포함하며 14단계로 구성된다.

(A) ATT&CK

ATT&CK는 최신 공격 방법과 대응방식, 관련 솔루션을 총망라한 '사이버공격 킬체인 보고서'입니다.
이 프레임워크를 사용해 예측과 탐지, 대응이 가능해집니다.
ATT&CK Matrix for Enterprise
1. Rconnaissance(정찰)
2. Resource Development(자원 개발)
3. Initial Access(초기 접속)
4. Execution(실행)
5. Persistence(지속)
6. Privilege Escalation(권한 상승)
7. Defense Evasion(방어 회피)
8. Credential Access(접속 자격 증명)
9. Discovery(탐색)
10. Lateral Movement(내부 확산)
11. Collection(수집)
12. Command and Control(명령 및 제어)
13. Exfiltration(유출)
14. Impact(임팩트)

 

4. 다음 빈 칸에 알맞은 단어를 쓰시오.

(A) 공격은 무차별 대입 공격의 일종으로 공격자가 미리 확보해놓은 로그인 자격증명을 다른 계정에 무작위로 대입해 사용자 계정을 탈취하는 공격 방식이다.

(A) 크리덴셜 스터핑

Credential Stuffing 공격 순서
1. 공격자는 웹사이트 위반 또는 비밀번호 덤프 사이트에서 유출된 사용자 이름과 비밀번호를 획득합니다.
2. 공격자는 계정 검사기를 사용하여 많은 웹 사이트(예 : 소셜 미디어 사이트 또는 온라인 마켓 플레이스)에 대해 도난된 자격 증명을 테스트합니다.
3. 성공적인 로그인(일반적으로 총 로그인 시도의 0.1-0.2 %)을 통해 공격자는 훔친 자격 증명과 일치하는 계정을 탈취 할 수 있습니다.
4. 공격자는 저장 가치, 신용 카드 번호 및 기타 개인 식별 정보의 도난 계정을 유출합니다.
5. 공격자는 다른 악의적인 목적(예 : 스팸 전송 또는 추가 거래 생성)을 위해 앞으로 계정 정보를 사용할 수도 있습니다.

 

5. 다음 빈 칸에 알맞은 단어를 쓰시오.

(A)는 MITRE에서 만든 보안 취약점 분석 기준으로 CVE(Common Vulnerabilities Exposures)의 구성 요소중 하나다.

(A) CVSS

CVE(Common Vulnerabilities Exposures) : 공개적으로 알려진 보안취약점에 대한 공통 식별자 목록입니다.
CVSS(Common Vulnerability Scoring System) : 공통 취약점 등급 시스템으로, 취약점에 점수를 계산해 심각도를 객관적으로 판단할 수 있습니다. 점수 계산 사이트는 NIST에서 관리하고 있는 NVD에서 제공하고 있습니다.
CWE (Common Weakness Enumeration) : 소프트웨어 취약점 목록으로 소스코드 취약점을 정의한 데이터베이스입니다.
CCE(Common Configuration Enumeration) : 시스템의 취약한 설정에 대한 점검입니다.

 

6. 다음 빈 칸에 알맞은 단어를 쓰시오.

CERT(침해사고대응팀)의 대응 방법 7단계
사고 전 준비 과정 -> 사고 탐지 -> (A) -> 대응 전략 체계화 -> 사고 조사 -> 보고서 작성 -> 해결

(A) 초기 대응

CERT 대응 방법 7단계
1. 사고 전 준비 과정 : 사고가 발생하기 전 침해사고대응팀과 조직적인 대응을 준비
2. 사고 탐지 : 정보보호 및 네트워크 장비에 의한 이상 징후 탐지. 관리자에 의한 침해 사고의 식별
3. 초기 대응 : 초기 조사 수행, 사고 정황에 대한 기본적인 세부사항 기록, 사고대 응팀 신고 및 소집, 침해사고 관련 부서에 통지
4. 대응 전략 체계화 : 최적의 전략을 결정하고 관리자 승인을 획득. 초기 조사결과 를 참고해 소송이 필요한 사항인지를 결정하여 사고 조사과정 시 수사기관 공조 여부를 판단
5. 사고 조사 : 데이터 수집 및 분석을 통하여 수행. 언제, 누가, 어떻게 사고가 일 어났는지, 피해 확산 및 사고 재발을 어떻게 방지할 것인지를 결정
6. 보고서 작성 : 의사 결정자가 쉽게 이해할 수 있는 형태로 사고에 대한 정확한 보고서를 작성
7. 해결 : 차기 유사 공격을 식별 및 예방하기 위한 보안 정책의 수립, 절차 변경, 사건의 기록, 장기 보안 정책 수립, 기술 수정 계획수립 등을 결정

 

7. 다음 빈 칸에 알맞은 단어를 쓰시오.

(A)란 정보통신서비스 제공자등이 개인정보의 안전한 처리를 위하여 개인정보보호 조직의 구성, 개인정보취급자의 교육, 개인정보 보호조치 등을 규정한 계획을 말한다.
(B)란 정상적인 보호ㆍ인증 절차를 우회하여 정보통신기반시설에 접근할 수 있도록 하는 프로그램이나 기술적 장치 등을 정보통신기반시설에 설치하는 방법으로 정보통신망 또는 이와 관련된 정보시스템을 공격하는 행위를 말한다.
(C)란 정보통신망의 구축 또는 정보통신서비스의 제공 이전에 계획 또는 설계 등의 과정에서 정보보호를 고려하여 필요한 조치를 하거나 계획을 마련하는 것을 말한다.

(A) 내부관리계획 (B) 침해사고 (C) 정보보호 사전점검

(A)는 개인정보의 기술적·관리적 보호조치 기준에 명시되어 있습니다.
(B)는 정보통신망법 제2조 정의에 명시되어 있습니다.
(C)는 정보통신망법 제45조의2 내용입니다.

 

8. 다음 빈 칸에 알맞은 단어를 쓰시오.

(A)란 전기통신설비를 이용하거나 전기통신설비와 컴퓨터 및 컴퓨터의 이용기술을 활용하여 정보를 수집ㆍ가공ㆍ저장ㆍ검색ㆍ송신 또는 수신하는 정보통신체제를 말한다.
(B)란 정보의 수집․저장․검색․송신․수신시 정보의 유출, 위․변조, 훼손 등을 방지하기 위한 하드웨어 및 소프트웨어 일체를 말한다.
(C)란 국가안전보장ㆍ행정ㆍ국방ㆍ치안ㆍ금융ㆍ통신ㆍ운송ㆍ에너지 등의 업무와 관련된 전자적 제어ㆍ관리시스템

(A)정보통신망 (B)정보보호시스템 (C)정보통신기반시설

(A)는 정보통신망법 제2조 정의에 명시되어 있습니다.
(B)는 소방청 정보보안업무 규정 제3조 용어의 정의에 명시되어 있습니다.
(C)는 정보통신기반 보호법 제2조 정의에 명시되어 있습니다.

 

9. 다음 빈 칸에 알맞은 단어를 쓰시오.

ISO 27005 Risk Assessment
(A) 위험식별 (B) 위험분석 (C) 위험평가

 

10. 다음 빈 칸에 알맞은 단어를 쓰시오.

개인정보취급자 등이 개인정보처리시스템에 접속하여 수행한 업무내역에 대하여
개인정보취급자 등의 계정 (A), 접속지 정보, (B), 수행업무 등을 전자적으로 기록한 것을 말한다.
그리고 개인정보를 다운로드한 것이 발견되었을 경우에는 (C)으로 정하는 바에 따라 그 사유를 반드시 확인해야한다.

개인정보보호법 시행령 제 30조 개인정보 안정성 확보 조치 방안의 접속기록 보관 및 위변조 방지 조치
(A) 접속일시 (B)처리한 정보주체 정보 (C) 내부관리계획
내가 보려고 정리하는 개인정보보호법 (1) - 개인정보 안정성 확보 조치

내가 보려고 정리하는 개인정보보호법 (1) - 개인정보 안정성 확보 조치

 

11. 알맞은 내용을 쓰시오.

(1) 가명정보의 정의와 가명처리 3번째 단계를 쓰시오.

가명정보 : 개인정보를 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용 · 결합 없이는 특정 개인을 알아볼 수 없는 정보
(A) 적정성 검토 및 추가처리

(2) 가명처리를 할 때 정보주체 동의할 수 없이도 수집 가능한 경우를 3가지 쓰시오.

개인정보보호법 제28조의2 가명정보의 처리 등
(1) 통계작성 (2) 과학적 연구 (3) 공익적 기록보존

(3) 가명정보를 사용할 필요가 없을 때 개인정보보호법에 해당되지 않는 (B)를 사용해야 한다. (B) 용어와 정의를 쓰시오.

(B) 익명정보 : 시간ㆍ비용ㆍ기술 등을 합리적으로 고려할 때 다른 정보를 사용하여도 더 이상 개인을 알아볼 수 없는 정보

 

12. NAC(Network Access Control)의 물리적 구성 방법 두가지를 설명하고 특징을 쓰시오.

Inline / Out of band
Agent / Agentless
...
여러 방식이 나오는 것 같아 답을 복원하기 어렵습니다. Wiki Security NAC 문서를 참고하세요.

 

13. 정보보호 최고책임자의 역할 및 책임(R&R) 4가지를 쓰시오.

정보통신망법 제45조의3 정보보호 최고책임자의 지정 등
1. 정보보호관리체계의 수립 및 관리ㆍ운영
2. 정보보호 취약점 분석ㆍ평가 및 개선
3. 침해사고의 예방 및 대응
4. 사전 정보보호대책 마련 및 보안조치 설계ㆍ구현 등
5. 정보보호 사전 보안성 검토
6. 중요 정보의 암호화 및 보안서버 적합성 검토
7. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행

 

14. 다음 웹 로그를 보고 알맞은 내용을 쓰시오.

시간 192.168.0.11 192.168.0.30 get /script/..%c0%80%ef../winnt/system32/cmd.exe?/c+dir 404 420 324 HTTP 1.0
1. 어떤 취약점을 이용한 공격 시도인가?
2. 공격 성공 유무 및 이유를 쓰시오.
3. 대응 방안을 2가지 쓰시오.

CVE-2000-0884 내용으로 웹서버 폴더 통과(Web Server Folder Traversal) 취약점입니다.
자세한 설명이 없어 IIS 서버를 패치하는 것 이외에 대응 방안을 찾지 못했습니다.

 

15. 각각의 Snort Rule 설정의 의미를 작성하시오.

(1) msg:"GET Flooding"

alert 발생 시 GET Flooding이 이벤트 이름으로 사용된다.

(2) content:"GET / HTTP1."

GET / HTTP1. 문자열을 검사한다.

(3) content:"USER"; content:!"anonymous"

문자열이 USER을 포함하고 anonymous를 포함하지 않는지 검사한다.

(4) content:"|00|";depth:1

1바이트의 바이너리 값이 00인지 검사한다.

 

16. 다음과 같이 Apache 설정 시 발생할 수 있는 문제점 두가지를 작성하고 대응 방안을 쓰시오.

<Directory />
Options FollowSymLinks
AllowOverride none
Require all granted
</Directory>

<Directory /var/www>
Options indexes FollowSymLinks
AllowOverride none
Require all granted
</Directory>

(1) 발생하는 두가지 문제점

1. 디렉터리 리스팅으로 웹 서버 구조 및 중요 파일 노출됨.
2. 상위 디렉터리로 이동하여 악의적인 접근 가능함.

(2) 두가지 문제점에 대한 대응방안

1. /var/www 디렉터리의 Options 지시자에서 Indexes 옵션 제거
2. AllowOverride 옵션을 None -> AuthConfig로 변경

---

문제와 정답을 제공하지 않기 때문에 복원에 한계가 있습니다. 포스팅하는 시간도 굉장히 오래걸렸네요. 😭
틀린 부분이 있다면 코멘트 남겨주세요~ 

참고

• Pass the Hash
• CVE CVSS CCE CWE
• OWASP Credential stuffing
• MITRE ATT&CK 소만사 ATT&CK
• CERT 구축 운영 안내서
• 개인정보보호법 정보통신망법
• cisp 가명처리 가이드라인
• 네이버 카페 - 알기사

 

불펌 금지입니다.