[정보보안기사 필기] 2021년 9월 4일 기출

1과목 시스템 보안

NTFS파일 시스템

- 보안을 위해 파일의 보안 속성을 관장하는 보안 서술자를 가짐

- 중요한 파일 시스템 데이터를 보존하기 위해 중복 저장 장치를 사용

- 다른 운영체제의 컴퓨터와 호환성을 위해 FAT32로 플래시 드라이브나 외장 하드디스크를 포맷

- NTFS 파일 시스템에서 메타 데이터 파일: NTFS가 볼륨을 관리하기 위해 사용하는 시스템 파일을 의미. 종류: MFT, MFTMirr, LogFile, Volume, AttrDef, Bitmap, Boot, BadClus

 

공격 기법

레이스 컨디션(경쟁 조건): 다중 프로세스 환경에서 두 개 이상의 프로세스가 동시에 수행될 때 발생되는 비정상적인 상태를 의미한다. 즉, 임의의 공유 자원을 여러 개의 프로세스가 경쟁하기 때문에 발생.

워터링 홀: 특정 대상을 타겟으로 하는 사회공학적 해킹 기법으로, 대상이 자주 방문하는 웹 사이트 같은 곳을 미리 감염시킨 후, 대상이 방문하면 공격 대상의 컴퓨터에 추가로 악성코드를 설치하여 공격(정보 탈취 목적)

드라이브 바이 다운로드: 사용자가 특정 웹사이트에 접속하였을 때 사용자도 모르게, 악성 SW가 사용자의 디바이스에 다운로드 되도록 하는 해킹 기법

RCE(Remote Code Execution): 응용 프로그램이 적절한 입력 이스케이프 유효성 검사없이 셸 명령을 실행할 때 발생, 시스템에 존재하는 다양하고 유익한 명령어들을 이용해서 시스템에 악성 스크립트나 파일들을 업로드할 수 있음

포맷팅 스트링: printf() 함수의 취약점을 이용하여 RET의 위치에 셸 코드의 주소를 읽어 셸을 획득하는 해킹 공격(기존에 널리 사용되던 버퍼 오버플로우 공격 기법에 비교되는 강력한 해킹 기법).

미라이(Mirai): 2016년 등장, 전 세계 무수히 많은 IoT 기기를 감염, 악성봇넷을 사용해서 대규모 분산 서비스 거부 공격을 수행(DDoS)

트로이목마(Trojan): 악성 루틴이 숨어 있는 프로그램, 겉보기에는 정상적인 프로그램으로 보이지만 실행하면 악성 코드를 실행함, 백도어로서 많이 활용됨

파일리스: 파일이 존재하진 않지만 악성코드나 랜섬웨어에 감염되게 하는 공격, 악의적인 기능을 수행하는 코드를 메모리에서만 실행시키면서 시스템에 피해를 입히는 유형의 공격

ARP Spoofing: LAN에서 사용하는 ARP 프로토콜의 보안 약점을 악용한 공격 기법으로 MAC 주소를 다른 컴퓨터의 MAC 주소로 속이는 공격 기법

Switch Jamming: 스위치의 기능을 마비시키는 공격으로, 스위치가 가지고 있는 MAC 주소 테이블의 저장공간이 가득차게 되면 네트워크 패킷을 브로드캐스트하는 특성을 악용하여 더미 허브로 동작시켜 전송되는 모든 패킷을 스니핑 하는 공격

DNS Spoofing: DNS 서버로 보내는 질문을 가로채서 변조된 결과를 보내주는 것, 중간자 공격

ICMP 리다이렉트 공격: ICMP Redirection 메시지를 이용해서 위조한 메시지를 만들어서 호스트 패킷의 라우팅 경로를 악의적으로 변조하는 것

랜섬웨어: 컴퓨터 시스템을 감염시켜 접근을 제한하고 일종의 몸값을 요구하는 공격, 종류로는 워너크라이, 크립토월, 크립토락커, 비트락커, 록키, 페티야 등

 

EFS(Encryption File System): 마이크로소프트 윈도우의 NTFS 버전 3.0에 추가된 암호화 기법으로 보안과 성능상의 이유로 대칭키 및 비대칭키 암호화 기법을 모두 사용, cipher.exe는 EFS를 사용해서 암호화된 파일을 관리, 직접 컴퓨터에 접근하는 공격자로부터 간단하게 기밀 파일을 암호화해서 보호함

 

윈도우 AD(Active Directory): IT시스템 사용자 인증과 권한 관리에 사용, 본인 인증을 위해 ID와 패스워드를 사용해서 사용자를 인가, 계정 정보와 컴퓨터 정보, 회사 보안 정책을 강제화할 수 있음

 

유닉스 로그파일

lastlog: /var/log/lastlog 로그파일을 출력, 마지막 로그인 시간과 호스트명을 확인할 수 있음

utmp: 현재 로그인한 사용자 정보를 저장

wtmp: 로그인, 로그아웃, 시스템 부팅 정보를 저장

sulog: su(switch user) 명령을 실행한 정보를 저장

messages: /var/log/messages에 위치, 시스템 변경 사항, 인증, 메일 등에 관한 내용을 저장, 보안 사고가 발생하는 경우 가장 먼저 분석되는 로그로 버퍼 오버플로우 같은 문제가 발생되면 가장 먼저 확인함

 

보안 기술

TPM(Trusted Platform Module): 하드웨어적인 보안 장치로 내부적으로 지원되는 컴퓨터 시스템보다 강력한 보안 기능을 제공, 전체 시스템 보안, 파일 보호 등을 제공, 암호화 작업을 실행할 수 있도록 설계된 보안 암호화 프로세서

Fuzzing: 자동화 테스트로 자동화/반자동화된 무작위 데이터를 주입하여 소프트웨어 버그를 찾는 블랙박스 테스팅 기술

cipher: 파일 시스템 암호화

PAM(Pluggable Authentication Modules): 리눅스 시스템에 사용하는 인증 모듈로 사용자의 권한을 제어, PAM 모듈을 사용하면 응용 프로그램은 /etc/passwd 파일을 열람하지 않고 PAM 모듈이 사용자 정보를 가지고 인증하게 됨

CrossCertBase64: 웹표준인증모듈

TSA(Time-Stamping Authority): 타임스탬프를 발행하는 기관을 의미, 전자서명의 일부, 서명한 시점을 증명할 수 있는 기술

 

가용성: uptime, downtime, MTBF(Mean Time Between Failure), MTTR(Mean Time To Repair), MTTF(Mean Time To Failure) - 주로 시간과 관련

 

IoT보안

- IoT 장치들이 위치 정보를 전송하는 경우, 전송되는 데이터 구간을 암호화 해야함

- 센서와 IoT 미들웨어 간에 상호인증을 위한 인증 방법을 제공해야 함

- 센서들이 수집한 데이터를 안전하게 저장하기 위해서 저장 공간에 대해서 대칭키 암호화를 수행해야 함

- IoT에서 각 센서들이 전송하는 데이터를 안전하게 보호하기 위해 SHA-256 이상의 해시함수 사용해야 함

 

쉐도우 패스워드 보호

- 새로운 유닉스 계정 생성 시에 사용자의 유닉스 계정과 패스워드를 하나의 파일에 함께 저장하지 않고 패스워드는 다른 파일에 저장하여 관리(/etc/passwd가 아닌 /etc/shadow에 암호화하여 따로 저장)

 

find 명령어의 옵션

-atime: access time으로 파일을 열거나 접근한 시간을 기준으로 검색

-mtime: modify time으로 파일이 변경된 시간으로 검색

-ctime: change time으로 파일 속성이 변경된 시간을 기준으로 검색

 

R-Command

- 인증 없이 rlogin, rsh, rcp 등의 명령어를 실행

- /etc/hosts.equiv, .rhosts 파일을 사용해서 설정