[정보처리기사 실기 기출문제] 9장. 소프트웨어 개발 보안 구축 - 1

[정보처리기사 실기 기출문제] 9장. 소프트웨어 개발 보안 구축 - 1

9장. 소프트웨어 개발 보안 구축-1

▶소프트웨어 개발의 구현 단계에서 도메인명에 의존하여 보안 결정을 내리거나 보안상 취약한 API를 사용했을 때 발생하는 보안 약점을 예방하기 위해서 확인하는 보안 점검 항목은?
[ API 오용 ]


▶( )는 정보 시스템의 무결성, 가용성, 기밀성을 확보하기 위해 보안 요소 및 보안 체계를 식별하고 이들 간의 관계를 정의한 구조이다.
[ 보안 아키텍처 ; Security Architecture ]

▶( )는 악성코드에 감염되어 다른 프로그램이나 컴퓨터를 조종하도록 만들어진 컴퓨터로, C&C(Command & Control) 서버의 제어를 받아, 주로 DDoS 공격 등에 이용된다.
[ 좀비 PC ]


▶다음 설명에 해당하는 보안 기능의 보안 약점은?
- 암호화되지 않은 평문 데이터를 탈취하여 중요한 정보를 획득할 수 있다.
[ 중요정보 평문 저장 및 전송 ]


▶정부의 '개인정보의 기술적/ 관리적 보호조치 기준'에 따라 SSL 인증서 또는 암호화 응용 프로그램을 설치하여 전송 정보를 암호화하여 송/수신하는 서버를 가리키는 용어는?
[ 보안 서버 ]


▶실무적으로 검증된 개발 보안 방법론 중 하나로, SW 보안의 모범 사례를 SDLC에 통합한 소프트웨어 개발 보안 생명주기 방법론은?
[ Seven Touchpoints ]

▶다음의 취약점 분석 및 평가 절차를 순서대로 나열하시오.
ⓐ 취약점 분석 수행
ⓑ 취약점 분석/ 평가 대상 선별
ⓒ 취약점 분석/ 평가 계획 수립
ⓓ 취약점 평가 수행
[ ⓒ 취약점 분석/ 평가 계획 수립 → ⓑ 취약점 분석/ 평가 대상 선별 → ⓐ 취약점 분석 수행 → ⓓ 취약점 평가 수행 ]


▶( )는 시스템 설계자가 서비스 기술자나 유지 보수 프로그램 작성자의 액세스 편의를 위해 시스템 보안을 제거하여 만들어 놓은 비밀 통로로, 컴퓨터 범죄에 악용되기도 한다.
[ 백도어; Back Door , Trap Door ]


▶웹 응용 프로그램에 SQL을 삽입하여 내부 데이터베이스 서버의 데이터를 유출 및 변조하고 관리자 인증을 우회하는 공격 기법은?
[ SQL 삽입(injection) ]


▶다음 보기에서 백도어 탐지 방법에 속하는 것만 모두 고르시오.
ⓐ 무결성 검사
ⓑ 열린 포트 확인
ⓒ 닫힌 포트 확인
ⓓ Offset 값 검사
[ ⓐ 무결성 검사 / ⓑ 열린 포트 확인 ]


▶다음 보기에서 DDoS 공격과 연관이 있는 공격 방법을 모두 고르시오.
ⓐ Nimda
ⓑ Trin00
ⓒ TFN2 K
ⓓ Deadlock
[ ⓑ Trin00 / ⓒ TFN2 K ]

 

▶다음 설명에 해당하는 인증의 유형은?
- 사용자의 고유한 생체 정보를 기반으로 인증을 수행하는 것으로, 사용이 쉽고 도난의 위험도 적으며 위조가 어렵다.
[ 생체 기반 인증 Something You Are ]


▶( )는 2001년 미국 표준 기술 연구서(NIST)에서 발표한 개인키 암호화 알고리즘으로, 블록 크기는 128비트이며, 키 길이에 따라 128, 192, 256으로 분류된다.
[ AES ; Advanced Encyption Standard ]


▶( )은 네트워크를 통해 연속적으로 자신을 복제하여 시스템의 부하를 높임으로써 결국 시스템을 다운시키는 바이러스의 일종으로, 분산 서비스 거부 공격, 버퍼 오퍼 플로 공격, 슬래머 등이 이 공격의 한 형태이다.
[ 웜 ; Worm ]


▶( )은 검사 시점과 사용 시점을 고려하지 않고 코딩하는 경우 발생하는 보안 약점으로, 프로세스가 가진 자원 정보와 실제 자원 상태가 일치하지 않는 동기화 오류나 교착 상태 등이 발생할 수 있다.
[ TOCTOU 경쟁 조건 ]


▶( )는 1978년에 제안된 공개키 암호화 알고리즘으로, 큰 숫자는 소인수 분해하기 어렵다는 것을 기반으로 만들어졌으며, 공개키와 비밀키를 사용하는데, 여기서 키란 메시지를 열고 잠그는 상수(Constant)를 의미한다.
[ RSA ; Rivest Shamir Adleman ]


▶다음 보기에서 DDoS 공격과 연관이 있는 공격 방법을 모두 고르시오.
ⓐ Secure shell
ⓑ Tribe Flood Network
ⓒ Nimda
ⓓ Stacheldraht
[ ⓑ Tribe Flood Network / ⓓ Stacheldraht ]


▶다음 설명에 해당하는 인증의 유형은?
- 사용자가 소유하고 있는 것을 기반으로 인증을 수행하는 것으로, 소유물이 쉽게 도용될 수 있으므로 지식 기반 인증 방식이나 생체 기반 인증 방식과 함께 사용된다.
[ 소유 기반 인증 ; Something You Have ]


▶아래의 패킷 로그와 같이 공격자가 패킷의 출발지 주소 또는 포트를 임의로 변경하여 송신 측 IP주소 또는 포트를 동일하게 함으로써 송신 IP 주소가 자신이므로 자신에게 응답을 수행하게 되는데, 이러한 패킷을 계속 전송하여 자신에 대해 무한히 응답하게 하여 컴퓨터의 실행 속도를 느리게 하거나 동작을 마비시켜 서비스 거부 상태에 빠지도록 하는 공격 방법은?
- Source : 192.168.1.200
- destination : 192.168.1.200
- protocol : 6
- src port : 21845
- dst port : 21845
[ LAND Attack ; Local Area Network Denial Attack ]

[정보처리기사 실기 기출문제] 9장. 소프트웨어 개발 보안 구축 - 1

▶다음 설명에 해당하는 보안 기능의 보안 약점은?
- 접근제어 기능이 없는 실행 경로를 통해 정보 또는 권한을 탈취할 수 있다.
[ 부적절한 인가 ]


▶해커 침입 패턴에 대한 추적과 유해 정보를 감시를 위해 컴퓨터 시스템의 비정상적인 사용, 오용, 남용 등을 실시간으로 탐지하는 시스템으로, 오용 탐지, 이상 탐지 등의 기능을 수행하는 보안 설루션은?
[ 침입 탐지 시스템 ; IDS, Intrusion Detection System ]


▶이용자가 인터넷과 같은 공중망에 사설망을 구축하여 마치 전용망을 사용하는 효과를 가지는 보안 솔루션은?
[ VPN ; Virual Pricate Network, 가상 사설 통신망 ]

▶다음 JAVA 코드에서 밑줄로 표시된 부분에는 어떤 보안 약점이 존재하는가? ( 단, key는 암호화 키를 저장하는 변수임 )
import
javax.crypto.KeyGenerator;
import
javax.crypto.spec.ScretKeySpec;
import javax.crypto.Cipher;
... 생략
public String encripString(String usr) {
String key = "22 df3023 sf~2;asn!@#/> as"
if (key! =null)
byte [ ] bToEncrypt = usr.getBytes("UTF-8");
... 생략
[ 하드코드 된 암호화 키 ]


▶데이터를 암호화할 때 두 개의 키를 이용하여 암호화하는 기법으로, 하나의 키는 데이터베이스 사용자에게 공개하고, 다른 하나의 키는 관리자가 관리한다. 비대칭 암호 기법이라고도 하며, 키의 분배가 용이하고 관리해야 할 키의 수가 적다는 특징을 갖고 있는 암호화 기법은?
[ 공개키 암호화 기법 ; Public Key Encrption ]


▶일반 방화벽이 탐지하지 못하는 SQL 삽입 공격, XSS 등의 웹 기반 공격을 방어할 목적으로 만들어진 웹 서버에 특화된 방화벽으로 웹 관련 공격을 감시하고 공격이 웹 서버에 도달하기 전에 이를 차단해주는 보안 솔루션은?
[ 웹 방화벽 ; Web Firewall ]


▶동일한 키로 데이터를 암호화하고 복호화하는 기법으로, 암호화/ 복호화 속도가 빠르지만, 관리해야 할 키의 수가 많은 암호화 기법은?
[ 개인키 암호화 기법 ; Private Key Encryption ]


▶서비스 거부(DoS) 공격 기법 중 TCP가 신뢰성 있는 전송을 위해 사용하는 3-way-handshake 과정을 의도적으로 중단시킴으로써 공격 대상지인 서버가 대기 상태에 놓여 정상적인 서비스를 수행하지 못하게 하는 공격 방법은?
[ SYN Flooding ]


▶( )는 안전한 정보 시스템 환경을 유지하고 보안 수준을 향상하기 위한 체계로, 대표적인 국제 표준으로 ISO 27001이 있다.
[ 보안 프레임워크 ; Security Framework ]


▶컴퓨터 사용자의 키보드 움직임을 탐지해 ID, 패스워드 등 개인의 중요한 정보를 몰래 빼가는 해킹 공격 방법은?
[ 키로거 공격 ; Key Logger Attack ]


▶( )는 시스템 사용에 대한 모든 내역을 기록해 놓은 것으로, 이를 이용하면 시스템 침해 사고 발생 시 해킹 흔적이나 공격 기법을 파악할 수 있다.
[ 로그 log ]

 

▶다음의 SDLC 단계별 보안 활동 단계에서 괄호에 들어갈 알맞은 용어는?
- 요구사항 분석 단계 → ( ① ) 단계 → ( ② ) 단계 → ( ③ ) 단계 → 유지보수 단계
[ ① 설계 / ② 구현 / ③ 테스트 ]


▶보안 약점 중 오류 상황 대응 부재는 소프트웨어 개발 중 ( )를 하지 않았거나 미비로 인해 발생하는 보안 약점으로, 이를 하지 않은 오류들로 인해 소프트웨어의 실행이 중단되거나 의도를 벗어난 동작이 유도될 수 있다.
[ 에러 처리 ]


▶암호화된 문서의 암호키를 찾아내기 위해 적용 가능한 모든 값을 대입하여 공격하는 네트워크 침해 공격은?
[ 무작위 대입 공격 ; Brute Force Attack ]


▶( )는 내부 정보의 외부 유출을 방지하는 보안 솔루션으로, 사내 직원이 사용하는 PC와 네트워크 상의 모든 정보를 검색하고 메일, 메신저, 웹하드, 네트워크 프린터 등의 사용자 행위를 탐지/ 통제해 외부로의 유출을 사전에 막는다.
[ 데이터 유출 방지 ; DLP, Data Leakage/ LossPrevention ]

[정보처리기사 실기 기출문제] 9장. 소프트웨어 개발 보안 구축 - 1

▶다음 설명에 해당하는 인증의 유형은?
- 사용자가 기억하고 있는 정보를 기반으로 인증을 수행하는 것으로, 관리 비용이 저렴하나, 사용자가 인증 정보를 기억하지 못하면 본인이라도 인증받지 못한다.
[ 지식 기반 인증 ; Something You know ]


▶문자 메시지를 이용해 사용자의 개인 신용 정보를 빼내는 네트워크 침해 공격은?
[ 스미싱 ; Smishing ]


▶해커가 원격지에서 감염된 좀비 PC에 명령을 내리고 악성코드를 제어하기 위한 용도로 사용하는 서버는?
[ C&C 서버 ]


▶( )은 악성 프로그램에 감염되어 악의적인 의도로 사용될 수 있는 다수의 컴퓨터들이 네트워크로 연결된 형태를 의미한다.
[ 봇넷; Botnet ]

[정보처리기사 실기 기출문제] 9장. 소프트웨어 개발 보안 구축 - 1

정보처리기사 실기 기출문제 10장이 더 알고 싶다면?


정보처리기사 실기 답안 작성 요령?

[정보처리기사 실기] 정보처리기사 실기 시험 답안 작성 팁