정보보안기사 필기 2023년3월11일 필기 기출 1과목: 시스템보안

2023년3월11일 필기 기출 풀이

1과목: 시스템보안

2과목: 네트워크보안

3과목: 애플리케이션 보안

4과목: 정보보호일반

5과목: 정보보호관리 및 법규

1과목: 시스템보안
01 윈도우 시스템의 사용자 계정 및 패스워드를 암호화하여 보관하고 있는 SAM(Security Account Manager)에 대한 설명으로 틀린 것은?
1 HKEY_LOCAL_MACHINE\SAM에 저장된 키는 일반계정도 확인할 수 있다.
2 크래킹을 통해 패스워드를 얻을 수 있다.
3 운영체제가 작동하는 한 접근할 수 없도록 잠겨져 있다.
4 레지스트리 HKEY_LOCAL_MACHINE\SAM에 구체화된 자료들을 실제로 저장한다.

답: 1번
이유: 
1 HKEY_LOCAL_MACHINEWSAM에 저장된 키는 일반계정도 확인할 수 있다. (X)
→ SAM 레지스트리 키는 시스템 권한이 있는 관리자 계정이나 SYSTEM 권한이 있어야 접근 가능합니다. 일반 사용자 계정은 직접 접근할 수 없습니다.

2 크래킹을 통해 패스워드를 얻을 수 있다. (O)

→ SAM에 저장된 패스워드는 해시 형태로 저장되는데, 해시를 크래킹(무차별 대입 공격, 레인보우 테이블 등)해서 원래 패스워드를 추출할 수 있습니다

3 운영체제가 작동하는 한 접근할 수 없도록 잠겨져 있다.(O)

→ 운영체제가 동작하는 동안 SAM 파일과 레지스트리 키는 잠겨 있어서 일반 프로세스가 직접 접근할 수 없도록 보호됩니다.

4 레지스트리 HKEY_LOCAL_MACHINEWSAM에 구체화된 자료들을 실제로 저장한다.(O)

→ SAM 정보가 레지스트리 내 HKEY_LOCAL_MACHINE\SAM 경로에 실제로 저장되어 있습니다.

<오늘의 잔소리>

본 문제의 경우도 깊이를 더하면 끝이 없어요. 하지만, 문제를 풀 수 있는 수준만큼의 이해를 하기로 결정을 해야 해요. 너무 많은 이해도 시험 합격에 마이너스 요소. 공부하다 보면 재미있어서, 더 깊이 이해하고 싶은 마음이 생기는데, 그런 마음은 시험이후로 남겨놓으셔야 합니다.

02 디스크 스케줄링 알고리즘 중 엘리베이터 알고리즘이라고 불리는 기법은?

1 SCAN

2 SSTF

3 C-SCAN

4 FCFS

 

• 엘리베이터 알고리즘은 한쪽으로 진행 후 끝에 도달 시 반대 방향으로 전환하는 디스크 스케줄링 기법 SCAN이다. à 1층부터 10층까지 끝에서 끝으로(7층에서 픽업 끝나도)

• 에센바흐 알고리즘은 탐색시간과 회전시간을 최적을 위해서 C-SCAN과 유사하게 트랙을 한 바퀴 회전할 동안 요청을 재배열 처리하는 방법이다. à 1층부터 7층 그리고 1층으로 (7층 에서 픽업하고 2층 작업있으면 방향 전환)

정답 1번

 

03 윈도우에서 제공하는 BitLocker에 대한 설명으로 틀린 것은?

1 윈도우 7에서도 가능하다.

2 exFAT 파일 시스템은 지원하지 않는다.

3 USB 저장매체도 지원 가능하다.

4 텍스트 파일 형태의 복구키를 제공한다.

 

 

 

파일 시스템	출시 연도	최대 파일 크기	최대 볼륨 크기	주요 특징	성능 및 용도
exFAT	2006년 (Windows XP SP2)	16EB (이론상)	128PB (이론상)	FAT32의 단점 개선, 플래시 저장장치 최적화	높은 성능, SD 카드 및 USB 드라이브 등에 사용
FAT32	1996년 (Windows 95 OSR2)	4GB	2TB	FAT16의 확장 버전, 대부분의 OS에서 지원	속도가 빠르지만 큰 파일(4GB 이상) 저장 불가
NTFS	1993년 (Windows NT 3.1)	16EB (이론상)	8PB (이론상)	보안(파일 권한), 저널링, 압축, 암호화 지원	성능이 뛰어나고 Windows 기본 파일 시스템
FAT16	1984년 (MS-DOS)	2GB (Windows에서는 4GB)	4GB	단순한 구조, 저용량 저장 장치용	성능이 낮고, 제한이 많아 현대 OS에서는 거의 사용하지 않음

 

 

BitLocker는 Windows Vista, 7, 8, 8.1, 10, 11 호환을 지원하며 NTFS, FAT16, FAT32, exFAT 파일 시스템 외에 USB 플래시 드라이브, SD카드, 외부 하드디스크 드라이브에 대한 암호화를 지원한다. BitLocker에서 사용하는 TPM 하드웨어

* BitLocker는 암호화키를 TPM에 저장

* EFS는 암호화 키를 OS에 저장

정답 2번

 

04 EDR(Endpoint Detection Response) 솔루션의 주요 기능으로 옳지 않은 것은?

1 보안사고 탐지 영역

2 보안사고 통제 영역

3 보안사고 확산 영역

4 보안사고 치료 영역

 

* endpoint 보안기술 두가지:

1 .EDR(Endpoint Detection Response)

    cf) xDR(Detection 기준을 인터넷에서 참고함)

2. NAC(Network Access Control)

정답 3번

 

05 Windows 서버의 보안 옵션 설정 중 보안 강화를 위한 설정으로 옳지 않은 것은?

1 "로그온하지 않고 시스템 종료 허용"을 "사용 안 함"으로 설정하였다.

2 원격 관리를 위해 "원격 시스템에서 강제로 종료" 정책의 "Administrators" 외 서버에 등록

된 계정을 모두 등록하였다.

3 "이동식 미디어 포맛 및 꺼내기 허용" 정책이 "Administrators"로 되어있다.

4 "SAM 계정과 공유의 익명 열거 허용 안 함" 정책을 설정하였다.

 

 

 

 

정답 2번

 

X

06 웹사이트의 쿠키(cookie)에 대한 설명으로 틀린 것은?

1 Set-Cookie 헤더를 통해 쿠키값을 설정

2 여러 개의 값을 추가 시 "/"특수문자를 사용

3 쿠키의 구조는 이름=값 형태로 구성

4 사용자 PC에 저장

 

* 쿠기는 보안에서 매우 중요함

* 쿠키는 크게 두가지:

1. 세션쿠키: 연결이 끊어지면 사라짐 (중요 X)

2. 연속쿠키: os에 저장됨(pc에 저장) à 요청시 서버로 전송

                        à 중요한거 저장하면 안됨

                        à 중요한건 암호화

                         à setMaxAge  (유지기간)

                          à setPath (경로)

정답 2번

 

O

07 다음 문장에서 설명하는 공격으로 올바르게 짝지어진 것은?

 

•(ㄱ) : 시스템 또는 서비스의 ID, 패스워드에 대해서 도구를 이용하여 ID, 패스워드를 자동 조합하여 크랙하는 공격

•(ㄴ) : 시스템 또는 서비스의 ID, 패스워드에 대해서 도구를 이용하여 ID, 패스워드를 크랙하기 위해서 ID와 패스워드가 될 가능성이 있는 단어를 사전파일로 만들어놓고 사전파일의 단어를 대입하여 크랙하는 공격

1 ㄱ Warwalking           ㄴ  Evil Twin                                       2 ㄱ 사전 공격              ㄴ 무차별 공격

3 ㄱ 무차별 공격          ㄴ 사전 공격                                     4 ㄱ Evil Twin                    ㄴ Warwalking

 

 

• 이블트윈(Evil Twin)은 패스워드 혹은 신용카드 정보를 훔치기 위해서 합법적인 네트워크인 것처럼 속이는 무선 네트워크를 의미한다.

à 가짜 AP만들어서 그쪽으로 wifi 정보를 거치게 하는 것 (나쁜 쌍둥이)

• 무차별 공격(Brute-force attack)은 조합 가능한 모든 문자열을 하나씩 입력해서 패스워드를 공격하는 방법이다.

• 사전 공격(Dictionary attack)은 비밀번호로 사용될 가능성이 있는 문자열 패턴을 모아 사전 파일을 만들어 두고 사전의 내용을 조합하여 입력해서 패스워드를 공격하는 방법이다.

정답 3번

 

 

 

 

 

 

 

O

08 내부 정보 유출 차단용 보안솔루션에 대한 설명으로 틀린 것은?

 

1 문서암호화 솔루션 : PC에 저장되는 파일을 암호화하고 외부로 유출시 복호화 가능

2 내부정보 유출 방지 솔루션 : 메일, 메신저, 웹 등을 통해 발생할 수 있는 중요정보 유출을 탐

지, 차단

3 문서중앙화 시스템 : 문서 작업의 결과가 원천적으로 PC에 남지 않으므로 파일 유출을 차단

4 네트워크 방화벽 : PC 메신저나 웹 메일 등 내부정보유출 수단으로 쓰이는 프로그램을 네트

워크 방화벽에서 도메인 기준으로 차단

 

DLP (Data Loss Prevention) 데이터의 이동경로를 분석해서 기업 내부정보 유출을 감사, 차단한다

à 비인가 접근, 유출등을 막는 일련의 전략이나 툴을 의미(network dlp, endpoint dlp, cloud dlp)

DRM 문서를 암호화하고 특정 사용자만 접근할 수 있게 한다. (실제로 5분이면 깰수 있다던데)

à Digital Right Management

 

정답 1번

 

O

09 리눅스 환경에서 로그에 대한 설명으로 틀린 것은?

 

1 secure 로그 : 사용자의 원격 로그인 정보를 저장

2 dmesg 로그 : 시스템 부팅 관련 시스템 메시지 저장

3 lastlog 로그 : 사용자가 로그인한 마지막 로그를 저장

4 wtmp 로그 : 사용자의 루트 접속 기록 저장

 

* wtmp 로그인 로그아웃 정보 ※ wtmp는 command가 아니라 파일임 wtmp는 last(command)로 조회 가능

정답 4번

 

O

10 윈도우 시스템 암호화에 대한 설명으로 틀린 것은?

1 BitLocker는 윈도우 운영체제에서 제공하는 볼륨 단위의 암호화 기능이다.

2 BitLocker는 컴퓨터를 시작하는데 필요한 시스템 파티션 부분도 암호화한다.

3 EFS(Encrypted File Service)는 사용자 단위 데이터 암호화 기능을 제공한다.

4 EFS(Encrypted File service)는 컴퓨터 단일 또는 복수 사용자에 대한 파일 및 폴더 단위 암호화를 지원한다.

 

📌 EFS는 "파일 단위 암호화"이지만, 사용자(계정)별 접근 제한이 적용됩니다.

✔ BitLocker는 볼륨 단위로 파일 시스템을 암호화하고 TPM을 사용해서 암호화 키를 관리한다. 하지만 부팅에 필요한 최소한의 영역까지 암호화를 하지는 않는다. à 시스템이 정상적으로 부팅될 수 있도록 이 파티션은 암호화 대상에서 제외됩니다.

✔ 리눅스에서는 root가 모든 파일을 읽을 수 있지만, Windows에서는 관리자(Administrator)도 EFS로 암호화된 파일을 열 수 없습니다.
✔ Windows에서는 파일이 EFS로 암호화되면 해당 사용자의 암호화 키(인증서)가 있어야만 파일 내용을 볼 수 있음.

정답 2번

 

X

11 AI나 머신러닝의 이미지 인식에 있어서 이미지 속에 인간이 감지할 수 없는 노이즈나 작은 변화를 주어 AI 알고리즘의 특성을 악용하여 잘못된 판단을 유도하는 공격은?

 

1 Membership inference 공격

2 Adversarial 공격

3 Poisoning 공격

4 Model inversion 공격

 

Adversarial 공격은 딥러닝에서 노이즈를 추가하여 컴퓨터가 오분류를 일으키게 하는 것으로 머신러닝의 GAN(GenerativeAdversarial Network)에 의해 나타날 수 있다. 머신러닝에서 GAN은 학습을 위한 이미지가 부족할 때 유사한 이미지를 머신러닝으로 생성하여 샘플링을 확보하는 방법이다. 본 문제에서는 GAN을 공격기법으로 해석했다고 볼 수 있다.

악성코드 스크립트 이미지 변환

 

O

12 다음은 포맷스트링의 종류를 설명하고 있다. 각 형식에 대한 매개변수는?

 

포맷팅 스트링으로 가능한 공격 3가지?

메모리 열람 / 메모리 변조 / 쉘코드 실행

정답 2번

 

 

 

X

13 netstat 명령어를 통해 확인할 수 없는 정보는?

1 소켓을 열고 있는 프로세스 ID, 프로세스 이름

2 라우팅 테이블 정보

3 열린 포트 정보

4 데이터 패킷

 

netstat은 네트워크 연결 정보를 확인하는 명령어이다. 그중에서 관리자 권한으로 실행할 수 있는 netstat -b는 프로세스 이름과 ID 등도 확인할 수 있지만, 데이터 패킷을 확인할 수는 없다. 데이터 패킷을 확인하기 위해서 wireshark 혹은 tcpdump와 같은 스니핑 프로그램을 사용해야 한다.

netstat -b 옵션

정답 4번

 

O

14 리눅스에서 제공하는 Cron 기능에 대한 설명으로 틀린 것은?

1 crontab -r 명령어로 등록된 데이터를 삭제할 수 있다.

2 루트 권한으로 실행은 불가능하다.

3 특정 시간에 작업해야 하는 명령어 실행이 가능하다.

4 파이썬, 펄 등의 스크립트 언어도 실행이 가능하다.

 

리눅스의 root 권한은 시스템 관리자 권한으로, cron 및 모든 기능을 실행하고 설정할 수 있다.

정답 2번

 

 

 

X

15 Visual Basic 스크립트를 이용한 악성코드에 대한 설명으로 옳은 것은?

1 웹브라우저에시 실행될 경우 스크립트가 브라우저에 내장되므로 파일의 내용을 확인하기 어

렵다.

2 독립형으로 개발할 경우 파일 생성에 제한을 받아 웜형 악성코드를 만들지 못한다.

3 확장자는 VBA이다.

4 러브버그라고 불리는 이메일에 첨부되어 전파된 바이러스가 Visual Basic 스크립트로 개발되

었다.

 

러브버그(러브바이러스)는 이메일을 통해서 감염되며 "LOVE-LETTER-FOR-YOU.TXT.vbs"라는 파일을 첨부하고 수신자가 이를 실행하면 감염된다. 파일명에서 확인할 수 있듯, 러브버그는 VBS. Visual Basic 스크립트로 개발되었다.

 

·  웹 브라우저에서 실행될 경우 스크립트가 브라우저에 내장되므로 파일의 내용을 확인하기 어렵다.
→ 틀림. Visual Basic Script(VBScript)는 주로 Internet Explorer에서 실행되며, 파일의 내용을 확인하는 것은 텍스트 편집기로 가능하다. 다만, 실행되었을 때 악성 행위가 이루어질 수 있다.

à 브라우저에 내장된다는 것은 실행되면서, ram에 상주시킨다는 뜻

·  독립형으로 개발할 경우 파일 생성에 제한을 받아 웜형 악성코드를 만들지 못한다.
→ 틀림. VBScript는 파일 생성과 시스템 변경 등의 기능을 제공하며, 이를 이용해 웜이나 바이러스 형태의 악성코드를 만들 수 있다.

·  확장자는 VBA이다.
→ 틀림. Visual Basic Script의 확장자는 .vbs이다. VBA는 "Visual Basic for Applications"의 약자로, Microsoft Office 매크로를 위해 사용되는 언어다.

·  러브버그라고 불리는 이메일에 첨부되어 전파된 바이러스가 Visual Basic 스크립트로 개발되었다.
→ 맞음. 러브버그(Love Bug) 또는 "ILOVEYOU" 바이러스는 2000년에 발견된 악성코드로, VBScript를 이용해 개발되었고, 이메일 첨부파일로 전파되었다.

 

정답 4번

 

X

16 다음은 sudo 설정파일(/etc/sudoers)의 내용이다. sudo를 통한 명령 사용이 불가능한 사용자는?

 

%admin ALL=(ALL) ALL

%sudo ALL=(ALL:ALL) ALL

root ALL=(ALL:ALL) ALL

guest3 ALL=(ALL:ALL) ALL

 

1 uid=(10)guest1,gid=(10)guest1,groups=(10)guest1,3(admin)

2 uid=(11)guest2, gid=(11)guest2, groups=(11)guest2,4(sudo)

3 uid=(12)guest3,gid=(12)guest3, groups(12)guest3,5(adm)

4 uid=(13)guest4, gid=(13)guest4, groups=(13)guest4,5(adm)

 

sudo 명령어는 승인된 사용자가 root 계정 혹은 다른 사용자 계정으로 명령어를 실행할 수 있게 한다. 단, sudo 명령어를 사용하기 위해서는 /etc/sudoers에 등록해야 한다.

 

 

정답 4번

 

O

17 랜섬웨어에 대한 설명으로 틀린 것은?

 

1 단방향 암호화 방식을 주로 사용한다.

2 파일 확장자를 임의 변경한다.

3 안티바이러스 프로그램을 강제 종료한다.

4 윈도우 복원 시점을 제거한다.

 

랜섬웨어는 파일을 암호화하고 금품을 요구하는 악성코드이다. 따라서 암호키를 사용해서 파일을 암호화하는 양방향 암호화를 한다. 단방향 암호화를 하면 공격자도 암호화된 파일을 복구할 수 없기 때문에 파일의 복호화를 인질로 삼아 금품을 요구할 수가 없다.

 

정답 1번

 

 

 

 

 

O

18 리버스엔지니어링 분석 방법 중 소스코드를 이해하고 분석하는 방법으로 소프트웨어의 프로그래밍오류와 구현 오류를 찾을 때 유용한 분석 방법은?

 

1 블랙박스 분석

2 화이트박스 분석

3 그레이박스 분석

4 그린박스 분석

 

화이트박스 테스트에서는 소스코드를 직접 관찰하고 그 구조를 이해하며 소스코드 단계별로 프로그래밍의 오류를 찾는다. 블랙박스 테스트에서는 소스코드에 대한 지식 없이 실행 중인 프로그램에 입력값과 출력값을 기준으로 오류를 찾는다. 그레이박스 테스트는 화이트박스 테스트와 블랙박스 테스트를 결합한 것으로, 알고 있는 일부 소스코드 정보를 이용하여 테스트를 설계하며 블랙박스 테스트 형태로 분석한다.

* OllyDbg(Olly Debugger)는 32bit 어셈블 레벨 디버거로 역공학, malware 분석에 사용한다. 소스코드 없이 역공학이 가능하다.

정답 2번

 

X

19 침해당한 리눅스 서버의 하드 디스크를 umount 명령을 통해 분리하는 과정에서 "Device is busy"라는 문구 때문에 분리하지 못하고 있은 상황이다. 디바이스를 사용 중인 프로세스를 찾기 위해 사용할 수 있는 명령어로 옳은 것은?

 

1 mount

2 lsof

3 ps

4 netstat

 

Isof(LiSt Open Files) 명령어는 실행 중인 프로세스가 열고 있는 파일을 출력한다. Isof -p(PID 형태로 사용하면 〈PID>에 해당하는 실행 중인 프로세스가 어떤 파일을 사용 중인지 확인할 수 있다.

Apache 웹서버에 대해서 Isof 명령어 실행(Isof -p <PID>)

정답 2번

 

X

20 다음 중 파일 시스템의 무결성 보장을 위해 점검해야 할 사항으로 옳지 않은 것은?

1 파일의 소유자, 소유그룹 등의 변경 여부 점검

2 파일의 크기 변경 점검

3 최근에 파일에 접근한 시간 점검

4 파일의 symbolic link의 수 점검

 

리눅스에서 사용하는 심볼릭 링크는 Windows의 바로가기와 같은 역할을 하는 링크로, 무결성 보장과는 관계가 없다. 단, 심볼릭 링크를 악용해서 경쟁조건 공격을 할 수는 있다.

 

정답 4번