[정보처리기사 실기 기출문제] 9장. 소프트웨어 개발 보안 구축 - 2

[정보처리기사 실기 기출문제] 9장. 소프트웨어 개발 보안 구축 - 2

9장. 소프트웨어 개발 보안 구축

▶포인터에 NULL이 저장되어 있을 때 이를 참조할 경우 발생하며, 주로 함수의 반환 값을 참조하도록 코딩한 경우 함수가 오류로 인해 NULL을 반환하면서 발생하는 보안 약점은?
[ 널 포인터 역참조 ]


▶다음은 Secure SDLC의 수행과정 중 어느 단계에서의 보안 활동인가?
- 식별된 보안 요구사항들을 소프트웨어 설계서에 반영하고, 보안 설계서를 작성한다.
- 소프트웨어에서 발생할 수 있는 위협을 식별하여 보안대책, 소요예산, 사고 발생 시 영향 범위와 대응책 등을 수립한다.
[ 설계 단계 ]


▶방화벽과 침입 탐지 시스템을 결합한 것으로, 비정상적인 트래픽을 능동적으로 차단하고 격리하는 등의 방어 조치를 취하는 보안 설루션은?
[ 침입 방지 시스템 IPS; Intrusion Prevention System ]


▶다음 설명에 해당하는 보안 요소는?
- 시스템 내의 정보와 자원은 인가된 사용자에게만 접근이 허용된다.
[ 기밀성 ; Confidentiality ]


▶네트워크를 통한 컴퓨터 보안 공격의 하나로, 웹 페이지의 내용을 사용자 브라우저에 표현하기 위해 사용되는 스크립트 취약점을 악용한 해킹 기법은?
[ 크로스 사이트 스크립팅 ; XSS, Crosssite Scripting ]


▶전문 스캐너 프로그램 혹은 봇넷 등을 이용해 웹사이트를 무차별적으로 공격하는 과정에서 취약한 사이트가 발견되면 데이터베이스 등의 데이터를 조작하는 일련의 공격 방식은?
[ SQL 삽입 공격 ]


▶다양한 IT 기술과 방식들을 이용해 조직적으로 특정 기업이나 조직 네트워크에 침투해 활동 거점을 마련한 뒤 때를 기다리면서 보안을 무력화시키고 정보를 수집한 다음 외부로 빼돌리는 형태의 네트워크 침해 공격은?
[ APT; Advanced Persistent Threats, 지능형 지속 위협 ]


▶마이크로소프트 사에서 안전한 소프트웨어 개발을 위해 기존의 SDLC를 개선한 개발 보안 생명주기 방법론은?
[ SDL ]


▶다음 설명에 해당하는 보안 요소는?
- 데이터를 송/수신한 자가 송/수신 사실을 부인할 수 없도록 송/수신 증거를 제공한다.
[ 부인 방지 ; NonRepudiation ]

▶Offset값을 변경시켜 수신 측에서 패킷을 재조립할 때 오류로 인한 과부하를 발생시킴으로써 시스템이 다운되도록 하는 공격 방법은?
[ 티어드롭 공격 ; Teardrop Attack ]


▶2004년 국가정보원과 산학연협회가 개발한 블록 암호화 알고리즘은?
[ ARIA ; Academy, Research Institute, Agency ]


▶보안상 안전한 소프트웨어를 개발하기 위해 SDLC에 보안 강화를 위한 프로세스를 포함한 것을 의미하는 용어는?
[ Secure SDLC ]


▶스니핑에 대한 개념을 간략히 서술하시오.
[ 스니핑은 네트워크의 중간에서 남의 패킷 정보를 도청하는 해킹 유형이다. ]


▶다음 보기 중 Java에서 사용하는 접근 제어자에 해당하는 예약어를 모두 고르시오.
ⓐ public
ⓑ cascade
ⓒ protected
ⓓ abstract
ⓔ interface
[ ⓐ public / ⓒ protected ]


▶( )은 보안 취약점이 발견되었을 때 발견된 취약점의 존재 자체가 널리 공표되기도 전에 해당 취약점을 통하여 이루어지는 보안 공격으로, 공격의 신속성을 의미한다.
[ 제로 데이 공격 ; Zero Day Attack ]

[정보처리기사 실기 기출문제] 9장. 소프트웨어 개발 보안 구축 - 2

▶다음 설명에 해당하는 인증의 유형은?
- 인증을 시도하는 위치의 적절성을 통해 인증을 수행하는 것이다.
[ 위치 기반 인증 ; Somewhere You Are ]


▶( )은 다양한 장비에서 발생하는 로그 및 보안 이벤트를 통합하여 관리하는 보안 설루션으로, 방화벽, IDS, IPS, 웹 방화벽, VPN 등에서 발생한 로그 및 보안 이벤트를 통합하여 관리함으로써 비용 및 자원을 절약할 수 있다.
[ ESM ; Enterprise Security Management ]


▶128비트의 블록 크기를 갖는 128비트 및 256비트 수준의 국산 대칭키 블록 암호화 알고리즘으로, 2000년까지 미국이 자국 기술보호 등을 이유로 해외로 수출되는 암호 기술의 보안 수준을 40비트로 제한하자 1999년 한국정보보호진흥원에서 국내 보안 수준 향상을 위해 개발한 암호화 알고리즘은?
[ SEED ]


▶( )는 1975년 미국 표준 기술 연구소(NBS)에서 발표한 개인키 암호화 알고리즘으로, 64비트의 블록 크기와 56비트의 키 길이를 갖는다. 이 알고리즘이 발표될 당시에 비해 현재의 컴퓨터는 성능이 향상되어 해독이 쉬워졌고, 3번을 반복해서 사용하는 알고리즘 또한 발표되었다.
[ DES; Data Encryption Standard ]



▶IP나 ICMP의 특성을 악용하여 엄청난 양의 데이터를 한 사이트에 집중적으로 보냄으로써 네트워크를 불능 상태로 만드는 서비스 거부 공격 기법은?
[ 스머핑 ; SMURFING ]


▶다음 설명에 해당하는 보안 요소는?
- 시스템 내의 정보와 자원을 사용하려는 사용자가 합법적인 사용자인지를 확인하는 모든 행위이다.
[ 인증 ; Authentication ]


▶다음 설명에 해당하는 보안 기능의 보안 약점은?
- 암호화된 환경설정 파일을 해독하여 비밀번호 등의 중요정보를 탈취할 수 있다.
[ 취약한 암호화 알고리즘 사용 ]

 

▶( )은 다중 사용자 컴퓨터 시스템 또는 네트워크 시스템에서 로그인을 요청한 사용자의 정보를 확인하고 접근 권한을 검증하는 보안 절차로, 망(Network)을 경유해서 컴퓨터에 접속해 오는 사용자가 등록된 사용자인지 확인하는 것과 전송된 메시지가 변조되거나 의미가 그릇되지 않고 송신자가 보낸 그대로의 것인지를 확인하는 것이 있다.
[ 인증 ; Authentication ]


▶할당된 메모리의 범위를 벗어난 위치에서 자료를 읽거나 쓰는 등 메모리를 다루는데 오류가 발생하여 잘못된 동작을 하는 프로그램 취약점은?
[ 메모리 버퍼 오버플로 ]


▶데이터베이스 보안에서 가용성에 대해 간략히 서술하시오.
[ 가용성은 인가받은 사용자는 시스템 내의 정보와 자원을 언제라도 사용할 수 있음을 의미한다. ]


▶다음 설명에 해당하는 인증의 유형은?
- 사용자의 행동 정보를 이용해 인증을 수행하는 것이다.
[ 행위 기반 인증 ; Something You Do ]


▶QR코드(Quick Response Code)를 통해 악성 앱의 다운로드를 유도하거나 악성 프로그램을 설치하도록 하는 금융사기 기법은?
[ 큐싱 ;Qshing ]


▶다음 설명의 괄호에 공통으로 들어갈 용어는?
- 임의의 길이의 입력 데이터나 메시지를 고정된 길이의 값이나 키로 변환하는 것을 의미하며, 이 변환 방법을 ( ) 알고리즘 또는 ( ) 함수라고 부른다. 대표적인 ( ) 함수의 종류에는 SHA시리즈, MD5, N-NASH, SNEFRU 등이 있다.
[ 해시 ; Hash ]


▶( )는 여러 곳에 분산된 공격 지점에서 한 곳의 서버에 대해 분산 서비스 공격을 수행하는 네트워크 공격 유형으로, 네트워크에서 취약점이 있는 호스트들을 탐색한 후 이들 호스트들에 분산 서비스 공격용 툴을 설치하여 에이전트로 만든 후 공격에 이용한다.
[ DDoS ; Distributed Denial of Service, 분산 서비스 거부 공격 ]

▶Windows 이벤트 뷰어의 로그 중 다른 컴퓨터와의 상호 작용으로 발생하는 이벤트가 기록되는 로그는?
[ Forwarded Events ]


▶SDLC 초기 단계에서 보안을 강화하기 위해 개발된 개발 보안 생명 주기 방법론은?
[ CLASP ]


▶( )은 기업이나 조직 내부의 네트워크와 인터넷 간에 전송되는 정보를 선별하여 수용/ 거부/ 수정하는 기능을 가진 침입 차단 시스템으로, 내부 네트워크에서 외부로 나가는 패킷은 그대로 통과시키고, 외부에서 내부 네트워크로 들어오는 패킷은 내용을 엄밀히 체크하여 인증된 패킷만 통과시키는 구조이다.
[ 방화벽 ; Firewall ]


▶다음 보기 중 Java에서 사용하는 접근 제어자에 해당하는 예약어를 모두 고르시오.
ⓐ internal
ⓑ private
ⓒ default
ⓓ restrict
[ ⓑ private / ⓒ default ]


▶1991년 R.rivest가 MD4를 개선한 암호화 알고리즘으로, 각각의 512비트짜리 입력 메시지 블록에 대해 차례로 동작한다. 각 512비트 입력 메시지 블록을 처리하고 나면 128비트 스테이트(State)의 값이 변하는 암호화 알고리즘은?
[ MD5 ; Message - Digest algorithm ]


▶다음 설명에 해당하는 용어는?
- 세션의 연결과 연결로 인해 발생하는 정보를 관리하는 것을 의미한다.
- 소프트웨어 개발 과정 중 요구사항 분석 및 설계 단계에서 진단해야 하는 보안 점검 내용이다.
- 보안 약점에는 불충분한 세션 관리, 잘못된 세션에 의한 정보 노출이 있다.
[ 세션 통제 ]


▶인터넷 사용자의 컴퓨터의 침입해 내부 문서 파일 등을 암호화해 사용자가 열지 못하게 하고, 암호 해독용 프로그램의 전달을 조건으로 사용자에게 돈을 요구하기도 하는 정보보안 침해 공격 관련 용어는?
[ 랜섬웨어 ; Ransomware ]

▶제거되지 않고 남은 디버그 코드나 시스템 메시지, 잘못된 접근 제어자의 활용으로 인해 시스템의 내부 정보가 노출되는 등의 보안 약점을 예방하기 위해 점검해야 하는 보안 점검 항목은?
[ 캡슐화 ; Encapsulation ]


▶보안 요소는 소프트웨어 개발에 있어 충족시켜야 할 요소 및 요건을 의미한다. 시스템 내의 정보는 오직 인가된 사용자만 수정할 수 있는 것을 의미하는 보안 요소는?
[ 무결성 ; Integrity ]


▶리눅스에서 로그 정보를 관리하는 데몬이 로그 관련 파일들의 위피를 파악하는데 이 파일을 사용하며, 사용자는 이 파일에서 로그 관련 파일들의 저장 위치와 파일명을 변경할 수 있다. 이 파일의 이름은?
[ syslog.conf ]

▶다음 설명에 해당하는 보안 요소는?
- 인가받은 사용자는 언제라도 사용할 수 있다.
[ 가용성 ; Availability ]


▶소프트웨어의 구현 단계에서 발생할 수 있는 보안 취약점들을 최소화하기 위해 보안 요소들을 고려하며 코드를 구현하는 것으로, 보안 취약점을 사전에 대응하여 안전성과 신뢰성을 확보하기 위해 사용되는 것은?
[ 시큐어 코딩 ; Secure Coding ]


▶Ping 명령을 전송할 때 패킷의 크기를 인터넷 프로토콜 허용 범위 이상으로 전송하여 공격 대상의 네트워크를 마비시키는 서비스 거부 공격 방법은?
[ 죽음의 핑 ; Ping of Death ]


▶웹페이지에 악의적인 스크립트를 포함시켜 사용자 측에서 실행되게 유도함으로써, 정보 유출 등의 공격을 유발할 수 있는 보안 취약점은?
[ 크로스 사이트 스크립팅 ; XSS ]


▶다음 보기에서 백도어 탐지 방법에 속하는 것만 모두 고르시오.
ⓐ 세션 ID 검사
ⓑ 로그 분석
ⓒ SetUID 파일 검사
ⓓ Offset 값 검사
[ ⓑ 로그 분석 / ⓒ SetUID 파일 검사 ]

[정보처리기사 실기 기출문제] 9장. 소프트웨어 개발 보안 구축 - 2

▶( )는 정상적인 기능을 하는 프로그램으로 위장하여 프로그램 내에 숨어있다가 해당 프로그램이 동작할 때 활성화되어 부작용을 일으키는 것으로, 자기 복제 능력은 없다.
[ 트로이 목마 ; Trojan Horse ]



[정보처리기사 실기 기출문제] 9장. 소프트웨어 개발 보안 구축 -
▶사회 공학의 한 기법으로, 특정 대상을 선정한 후 그 대상에게 일반적인 이메일로 위장한 메일을 지속적으로 발송하여, 발송 메일의 본문 링크나 첨부된 파일을 클릭하도록 유도해 사용자의 개인 정보를 탈취하는 네트워크 침해 공격은?
[ 스피어 피싱 ; Spear Phishing ]

 

▶소프트웨어 개발 보안에 있어 충족시켜야 할 보안의 3대 요소는?
[ 기밀성, 무결성, 가용성 ]


▶포인터에 NULL이 저장되어 있을 때 이를 참조할 경우 발생하며, 주로 함수의 반환 값을 참조하도록 코딩한 경우 함수가 오류로 인해 NULL을 반환하면서 발생하는 보안 약점은?
[ 널 포인터 역참조 ]


▶메모리상에서 프로그램의 복귀 주소와 변수 사이에 특정 값을 저장해두었다가 그 값이 변경되었을 경우 오버플로우 상태로 가정하여 프로그램 실행을 중단하는 기술은?
[ 스택 가드 ; Stack Guard ]


▶네트워크에 접속하는 내부 PC의 MAC 주소를 IP 관리 시스템에 등록한 후 일관된 보안 관리 기능을 제공하는 보안 설루션으로, 내부 PC의 소프트웨어 사용 현황을 관리하여 불법적인 소프트웨어 설치를 방지하는 것은?
[ NAC; Network Access Control ]

[정보처리기사 실기 기출문제] 9장. 소프트웨어 개발 보안 구축 - 2

정보처리기사 실기 답안 작성 요령

[정보처리기사 실기] 정보처리기사 실기 시험 답안 작성 팁