[정보보안기사 필기] 2021년 3월 27일 기출

1과목 시스템 보안

보안 솔루션

- DLP(Data Loss Prevention): USB, 특정 사이트, SNS, 웹메일 차단, 기업의 중요 데이터를 인가된 사용자에게 계속 제공하면서 동시에 이 데이터가 승인되지 않은 사용자와 공유되거나 무단 사용자에게 제공되지 않도록 하는 과정과 제품
- IDS(Instrusion Detect System): 시스템에 원치 않는 조작을 탐지, snort(스노트)
- SPI: 세션 추적

NTFS 파일 시스템

- MBR: 기본 파일 시스템 정보, BIOS에 의해 POST 과정을 마친 후 MBR 부트 코드를 호출, 액티브 파티션 찾아서 해당 파티션의 VBR 부트코드를 호출
- MFT: NTFS의 메타정보, 파일 및 디렉터리 등의 정보, 파일 위치, 속성, 시간정보, 파일명, 크기
- VBR(Volume Boot Record): NTFS 파일시스템 제일 처음에 위치, 부트 섹터, 부트 코드, NTLDR 위치 정보
- 가변 클러스터, 기본값:4KB, 윈도우NT 이상에서 지원, 4GB이상의 볼륨, EFS사용으로 대칭키로 파일 암호화, FAT->NTFS 변환 가능

보안 도구

- iptables: 리눅스용 방화벽
- tripwire: 무결성 검사 도구
- snort: C언어, 룰 기반 탐지, 싱글 쓰레드로 동작
- hydra: 무작위 공격도구

접근 통제 기법

- DAC: 자율적 접근 통제, 융통성, 사용자의 신분에 따른 제어, 객체의 소유자가 권한 부여(자신의 것을 자기가 부여)
- MAC: 강제적 접근 통제, 정해진 룰, 관리자에 의한 권한 할당 및 해제, 비밀 취급 인가 레이블, 객체의 민감도 레이블
- RBAC: 역할 기반 접근 통제, 관리 수월, 보안 관리 단순화, 최소 권한, 직무 분리

쿠키

- 4KB 이하로 저장, 클라이언트에 저장, 주기적 삭제, Key와 Value형태
- HttpOnly를 설정하면 XSS공격 방지를 위해 자바스크립트(웹서버X, 프론트O)에서 document.cookie(번호표, 세션) API접근을 차단
- Secure를 설정하면 HTTPS에서 암호화된 요청일 경우만 전송
- 세션 쿠키는 웹 브라우저를 종료하면 쿠키 정보가 삭제됨(!=지속 쿠키)
- 여러 개의 도메인에서 도메인 별로 세션 쿠키의 도메인 값을 추가해야 함

umask

- 666에서 뺀다.
- ex) 소유자만 읽기, 쓰기 가능하고 그룹과 다른 사용자는 아무런 권한x -> 666 - 600 = 066

시스템 로그파일

- last명령어: wtmp 로그파일 읽어줌, 로그인, 로그아웃, 재부팅, 콘솔 로그인 정보
- w명령어: utmp 로그파일 읽어줌, 로그인 사용자 ID, 사용 터미널, 로그인 시간
- lastb명령어: btmp 로그파일 읽어줌, 리눅스 로그인 시 실패한 정보, 바이너리로 작성됨
- syslog: /etc/syslogd.conf, 로그를 기록하는 수준 결정

설정파일

- hosts: 임의의 IP와 호스트명을 등록하여 DNS를 우회
- .rhosts, hosts.equiv: 인증없이 명령어를 실행할 수 있는 R-command 관련 설정 파일

웹 비콘

- 쿠키와 결합되어 사용자가 웹 사이트를 이용 or 이메일 보내는 등 행동을 모니터링
- 1픽셀 * 1픽셀 이하의 임베디드된 이미지
- 웹 페이지나 이메일에 포함되는 오브젝트, 사용자에게 보이지않고 이메일 수신 확인 기능이 있음

아파치 웹 서버의 로그파일

- referer.log: 웹 사이트의 방문 경로 확인
- access.log: 방문자IP, 요청 정보, 파일 이름, 파일 크기, 처리 결과
- agent.log: 웹 브라우저명, 버전, 운영체제
- error.log: 요청한 웹 페이지가 없어간 잘못된 링크의 오류

setuid

- setuid 설정 파일 검색 명령어: find / type f -perm -4000

PAM 인증의 타입

- account: 사용자가 해당 서비스에 접근이 허용되는지, 패스워드 기간 만료가 되었는지
- auth: 주로 패스워드를 사용, 생체인증과 같은 방법으로 사용자 확인
- password: 사용자가 인증을 변경하도록 방법 제공
- session: 사용자가 인증하기 전과 후에 해야할 것을 포함

TCB

- Trusted Computing Base: 운영체제 보안을 위해 하드웨어 및 소프트웨어로 탑재, HSM

보안 취약점

멜트다운: 인텔 CPU에서 사용자 레벨과 커널 레벨 간 발생, 사용자 공간에서 운영체제 영역을 훔쳐봄, 비순차적 명령어 실행과 추측 실행에서 발생
스펙터: 모든 CPU에서 실행되는 애플리케이션 간 발생하는 취약점, 한 프로그램이 다른 프로그램의 메모리를 훔쳐봄

시스템 로그

- 윈도우 운영체제가 시작될 때 장치 드라이버 로드에 관한 정보를 기록 -> 이벤트 뷰어에서 확인

윈도우 포트번호

- netbios: TCP, UDP 137
- netbios name: UDP 137
- netbios datagram: UDP 138
- netbios session: TCP 139
- SMB: TCP 스택 상단 445

shadow 파일

- 리눅스 계정의 암호화된 패스워드 저장
- salt값(난수)을 추가해서 암호화
- SHA-512 함수를 사용해서 암호화
- 패스워드 사용 기간 및 만료 시 경고일 수 등록

소유자 권한에서 rwS의 S의 의미

- setuid(권한 4000)는 설정되어 있지만 실행 권한이 부여되지 않은 것

2과목 네트워크 보안

WEP

- WEP에 적용된 RC4 스트림 암호화 방식은 미리 정의된 40Bit 길이의 WEP Key와 IV(초기화 벡터)를 사용해서 연속된 Key Stream을 생성하고 평문과 XOR 연산을 수행해서 암호문을 생성. 즉, 키 생성 순서를 방지하기 위해 랜덤하게 IV를 생성

SNMP -> 네트워크 모니터링

- UDP, 모니터링 대상: MIB, SNMP 커뮤니티: public, private이면 보안에 취약

4차 산업혁명을 위한 정보보호기술

SDN(Software Defined Networking)
- 네트워크 장치의 제어부와 전송부를 분리, 중앙에서 여러 네트워크를 효율적으로 관리. 즉, 소프트웨어를 사용해서 네트워크를 논리적으로 관리
NFV(Network Function Virtualization)
- 물리적 네트워크 장치에서 소프트웨어인 네트워크 기능 분리. 네트워크 기능(방화벽, 로드밸런싱, 포워딩)을 가상화 기술로 제공
CDR(Content Disarm & Reconstruction)
- 매크로 바이러스 탐지, 제거

APT(지능형 지속 공격)

- 특정 타겟 대상으로 개인정보나 중요 데이터를 유출, 방어가 어려움

스위치(스니핑)

- 무차별 모드는 자신에게 오는 (MAC주소) 뿐만 아니라 다른 주소까지 모두 수신하기 때문에 방어를 위해서는 (암호화)를 해야 한다.

OSI 7 계층 - 전송 계층

- End-to-End 구간에서 신뢰성 있는 데이터 송수신을 하고 흐름 제어와 혼잡 제어를 수행
- TCP와 UDP가 있으며 TCP는 플로우 컨트롤(흐름 제어) 기능이 있음

SNMP Version 3.0

- 강한 인증을 제공, 이터널 블루로 볼티모어시에 대해 랜섬웨어 수행(로빈후드)
- 로빈후드: 최근 정상적으로 서명된 드라이버들을 사용해 보안 도구를 삭제, 파일을 암호화

SOAR

- 보안 오케스트레이션, 위협 인텔리전스, 보안사고 대응 플랫폼

Slow HTTP Post

- 처음 패킷은 Content_Length를 크게 해서 전송하고 다음 패킷부터 Content_Length를 1바이트씩 작게 만들어 천천히 전송하는 공격기법, 천천히 데이터를 전송해서 시스템에 더 많은 부하 유발

NMAP 포트 스캐닝

- TCP connect Scan: 열려있으면 SYN+ACK, 3-way 핸드쉐이킹, 쉽게 탐지 가능
- TCP SYN Scan: 열려있으면 SYN+ACK, 닫혀있으면 RST+ACK
- TCP FIN Scan: FIN 패킷 전송, 열려있으면 무시, 닫혀있으면 RST
- TCP Null: 열려있으면 무시, 닫혀있으면 RST
- TCP X-MAS Tree Scan: FIN, URG, PSH 패킷 전송, 열려있으면 무시, 닫혀있으면 RST

Spoofing의 종류

- ARP Spoofing: ARP 요청에 대해 가짜 MAC주소 전송
- DNS Spoofing: DNS 요청에 대해 변조된 IP주소 전송, 사용자가 입력한 URL에 대해 가짜 IP 주소 전송->공격자가 웹 사이트로 연결
- IP Spoofing: 자신의 IP 주소를 사용자와 신뢰 관계가 있는 IP로 속여서 접속
- Watchdog Spoofing: 서버에 와치독 스푸핑 라우터를 설치하여 클라이언트 대신 응답
- E-Mail Spoofing: 이메일 전송 시 발신자의 주소를 위조해서 전송

응용 계층에 수행되는 서비스 거부 공격(DDoS)

- HTTP Get Flooding

IDS의 오용탐지

- 공격 패턴을 Rule로 저장하고 탐지하는 것으로 변경된 공격에 대해 탐지가 어렵고 다양한 우회 공격 가능
- 오용탐지 최소화하기 위해서는 세밀한 패턴 정의가 필요
- 잘못된 탐지 가능성이 낮다.

DNS 증폭 공격

- 모든 요청의 UDP 패킷을 전송할 때 ANY 인수를 전달하고 응답자의 IP를 피해자의 IP로 변조하여 응답 메시지가 피해자에게 전송되게 함

VPN

- 터널링 모드와 전송 모드 지원
- 각 지점마다 VPN 장비가 필요해 초기 높은 비용, 인증 및 암호화 지원, 네트워크 계층에서 동작

Proxy

- 웹 브라우저와 웹 서버 사이에서 요청을 먼저 수신받아 전송되는 데이터를 훔쳐보거나 변조할 수 있는 도구
- Paros, Burp Suite

허니팟

- 비정상 행위 탐지하기 위해 만들어 둔 함정
- 허니넷은 다수의 허니팟으로 구성된 네트워크
- 제로데이 어택을 탐지하고 대응

3과목 애플리케이션 보안

워터마킹

- 저작권 보호를 위해 원저작자 정보를 삽입하는 디지털 콘텐츠 보호 기술

웹셸

- 공격자가 원격에서 대상 웹 서버에 웹 스크립트 파일을 전송하여 관리자 권한 획득 후 데이터베이스에 접근
- 종류: ASP, PHP, JSP
- 운영체제의 명령어 실행(ex. cmd)

DNSSEC

- 보안 안정성의 범위: 권한 DNS 서버와 캐시 DNS 서버

POST

- HTTP Request 메시지 전송 시 전송하려는 데이터를 HTTP Body에 넣어서 전송하는 방법
- 반드시 콘텐츠 타입을 명시("multipart/form-data")

FTP 공격 방법

- FTP 바운스 Attack: 익명의 FTP 사용자를 이용해서 공격자 자신의 위치를 감추고 공격 대상의 네트워크인 내부시스템의 포트를 스캔한 후 Port 명령어를 사용해서 FTP 서버로 하여금 메일의 헤더부분을 조작, 공격자가 원하는 곳으로 Fake 메일 같은 데이터를 만들어 전송할 수 있는 행위

전자서명

전자서명의 조건: 위조 불가, 서명자 인증, 부인방지, 변경 불가, 재사용 불가
전자서명의 목적: 무결성, 인증, 부인방지

SET 서명 방식

- 이중서명: 주문정보와 지불정보에 대해서 각각 메시지 다이제스트를 생성, 두개의 메시지 다이제스트를 합하여 새로운 메시지 다이제스트를 구하고 그것을 개인키를 사용해서 서명

TFTP

- UDP, 데이터와 명령어 전송에 69번 포트만 사용, 빠른 전송 속도
- 인증 절차가 없음, 파이 디렉터리 볼 수 없음

PGP의 기능

- 기밀성, 무결성, 사용자 인증, 송신자 부인방지, 압축, 전자우편 호환성

FTP

- Passive Mode는 명령어 전송을 위해 21번 포트를 사용
- 데이터 전송을 위해 서버가 1024 포트 이후 값으로 결정

전자우편 프로토콜 - SMTP의 구성 요소

- MTA: 인터넷상에서 어떤 컴퓨터에서 다른 컴퓨터로 전자메일을 발송하는 서버 프로그램(메일서버)
- MDA: 수신한 메시지를 사용자의 전자우편에 쓰기 위한 프로그램(메일서버->메일서버)
- MUA: 사용자가 전자메일을 송수신할 때 사용하는 클라이언트 프로그램(아웃룩)

웹 방화벽

- SQL Injection 및 XSS와 같은 웹 공격 탐지, 차단
- 응용 계층에 해당
- 파일 업로드 제어 기능, 파일 검사 기능 지원

디지털 포렌식의 원칙

- 정당성, 무결성, 재현의 원칙, 신속성, 절차 연속성(연계 보관성)
- 절차 연속성(연계 보관성): 각 단계에서 담당자 및 책임자가 명확, 물리적 손상이 발생했다면 적절한 조치가 취해지도록 함

CSRF와 XSS

- CSRF: 클라이언트가 아니라 웹 서버가 공격 대상임
- XSS: 클라이언트(웹 브라우저)가 공격 대상
XSS의 예시 코드
String id = request.getParameter("id");
Name : <%=id%>

OTP

- 응용 계층에서 동작, 사용할 때마다 새로운 난수 발생
- 비동기 방식: 서버에서 질의 값을 수신 받아 응답
- 동기식 방식: 시간 동기식, 이벤트 동기식
- 생성 및 인증 방식: 이벤트 동기 방식, 시간 동기 방식, 질의-응답 방식

SSO의 보안 위협

- 불특정 다수를 대상으로 하는 네트워크상에서 위장에 대한 위협 발생
- 익명의 로그인을 허용하지 않음
- 사용자 인증 및 서버 인증을 위해 인증을 수행할 때 인증정보, 인증토큰, 토큰ID 등의 다양한 인증정보가 저장되고 전송됨. 이때 인증정보 노출 보안 위협 존재
- 통합인증서버, 보안서버역할

4과목 정보보안일반

BLP(Bell-LaPadula) : 접근 통제를 어떻게 할 건지(기밀성)

- 정부 및 군방 응용 시스템의 접근 제어를 위해 Bell과 Lapadula에 의해 제한된 접근 통제 모델
- 단순 보안 속성: No Read Up으로 주어진 보안 수준에 위치하는 주체보다 높은 수준의 데이터 읽을 수 없음
- 스타 보안 규칙: No Write Down으로 주어진 보안 수준에 위치하는 주체보다 낮은 수준으로 데이터를 쓸 수 없음
- 강한 스타 보안 규칙: 주어진 보안 수준에 위치하는 주체와 동일 수준에서만 데이터를 쓸 수 있음

해시함수

- 강한 충돌 회피성: 해시함수의 입력 값으로 서로 다른 문장을 사용할 때 같은 결과가 나오는 현상(a입력->z, b입력->z)
- 약한 충돌 회피성: 입력 값과 해시 값을 알고 있을 때 동일한 해시 값을 가지는 다른 입력 값을 찾는 것이 불가능해야 함(a입력->z가 나오는 것을 알고있을때 z를 입력하면 a가 나오면 안된다는 것)
- 해시함수는 메시지로부터 h(Message)를 구하는데 많은 자원과 노력이 소요되지 않아야 함
- 선 이미지 회피성: 해시함수는 역방향으로 계산이 불가능해야 하는 것으로, 입력되는 메시지에 대해 해시 값을 구하는 것은 쉽지만 해시 값으로부터 메시지를 구하는 것은 어려워야 함(메시지->해시=쉬움, 해시->메시지=어려움)
- SHA-512: 512비트 출력
- SHA는 미국 NSA에서 개발, 160비트의 값 생성
- SHA는 MD5보다 속도는 느리지만 좀 더 안전
- HAS-160은 MD5와 SHA-1의 장점을 결합한 해시함수로 512비트 입력에 160비트 출력

X.509 인증서의 기본 필드

- 버전, 시리얼 번호, 인증서 서명 알고리즘 식별자, 발행자, 유효기간, 소유자, 소유자 공개키 정보, 공개키 알고리즘

국내 암호화 알고리즘

- LEA: 빅데이터, 클라우드 등 고속 및 모바일 기기 등 경량화된 환경을 위해서 개발한 128비트 블록 암호화 알고리즘, AES보다 약 1.5~2배 빠른 성능, 저전력 암호화 모듈로 사용
- SEED: 전자상거래, 금융, 무선통신 등에서 전송되는 개인정보같은 중요한 정보를 보호하기 위해 1999년 2월 한국인터넷진흥원과 국내 암호전문가들이 순수 국내기술로 개발한 128비트 블록 암호 알고리즘
- ARIA: Academy(학계), Research Institute(연구소), Agency(정부기관)의 첫 글자를 딴 것. 128비트 평문 블록을 처리, 128, 192, 256비트 암호화 키를 사용
- HIGHT: RFID, USN 등과 같이 저전력·경량화 요구하는 컴퓨팅 환경에서 기밀성을 제공하기 위해 2005년 KISA, ETRI 부설 연구소 및 고려대가 공동 개발한 64비트 블록 암호 알고리즘

메시지 인증순서

- 1. 송신자 A와 수신자 B는 사전에 키를 공유한다
- 2. 송신자 A는 송금 의뢰 메시지를 기초로 해서 MAC 값을 계산한다
- 3. 송신자 A는 수신자 B에게 송금 의뢰 메시지와 MAC 값을 보낸다
- 4. 수신자 B는 수신한 송금 의뢰 메시지를 사용해서 MAC 값을 계산한다
- 5. 수신자 B는 송신자 A로부터 수신한 MAC 값과 계산으로 얻어진 MAC 값을 비교한다
- MAC(Message Authentication Code): 데이터가 변조 되었는지 검증할 수 있도록 데이터에 덧붙이는 코드(비밀키를 사용)
- 메시지 인증코드에 순서번호, 타임스탬프 등의 값을 추가해서 재생 공격(Replay Attack)을 막을 수 있음
- 메시지 인증코드는 제3자 증명과 부인방지를 할 수 없음
- HMAC는 일방향 해시함수를 사용해 메시지 인증코드를 구성하는 것

암호 공격의 종류

- 선택 암호문 공격(Chosen Ciphertext Attack, CCA): 암호문을 선택하면 대응되는 평문을 알 수 있을 때 사용하는 공격 기법
- 선택 평문 공격(Chosen Plaintext Attack, CPA): 평문을 선택하면 대응하는 암호문을 얻을 수 있는 상황에서 사용하는 공격 기법, 공격자가 한꺼번에 선택한 평문들에 대한 암호문이 주어진다는 가정 하에 복호화 키를 찾는 공격 기법
- 기지 평문 공격(Known Plaintext Attack, KPA): 암호문과 평문 쌍을 가지고 암호문과 평문간의 관계를 이용하여 키나 평문을 추정하면서 해독하는 공격 기법
- 암호문 단독 공격(COA: Ciphertext Only Attack): 암호문만 가지고 평문과 키를 찾아내는 공격 기법

커버로스 키 배분 프로토콜(커버로스=티켓)

- 1. 사용자는 KDC(Key Distribution Center)로 사용자 인증티켓 TGT(Ticket Granting Ticket)를 요청
- 2. KDC는 사용자를 확인하고 비밀키로 암호화한 인증티켓 TGT와 세션키를 전달
- 3. 사용자가 응용 시스템을 사용할 때 KDC에 인증티켓 TGT를 제시하고 응용 시스템에 접근할 수 있는 서비스티켓(Service Ticket)을 요청
- 4. 응용 시스템 접근을 위해서 KDC는 비밀키로 암호화한 서비스 티켓과 세션키를 전달
- 5. KDC에서 받은 서비스 티켓을 응용 시스템에 제출하고 응용 시스템은 TGT를 확인하고 접근 권한을 허용

디피-헬먼 키 교환

- 완성된 암호화 키를 교환하지 않고 두 사람이 암호화되지 않은 통신망을 사용해서 공통의 비밀키를 공유할 수 있는 방법

블록 암호화 운영 모드

- ECB: 운영 모드 중 가장 간단, 패딩이 필요, 각각 블록을 암호화 혹은 복호화하기 위해 사용되는 키는 동일
- CBC: 초기화 값을 암호화한 값과 평문 블록을 XOR 하여 암호화 블록을 생성하고 그 암호문을 다시 암호화 한 값과 평문 블록을 XOR 하여 암호화 블록을 반복적으로 생성
- OFB: 암호기의 출력과 평문을 XOR하여 암호문을 생성, 오류 전파 발생X,
- CFB: 어떤 블록 암호도 스트림 암호로 바꿀 수 있음, 패딩필요없고 실시간 사용, 한 문자를 전송하는 경우 문자 중심 스트림 암호를 이용하여 각 문자가 암호화되는 즉시 전송할 수 있음

공개키 암호화 기법

- 키 분배 및 키 관리가 용이
- 전자서명, 공인인증서 등으로 다양하게 이용
- 기밀성, 인증, 무결성, 부인방지
- 키의 길이 길고 연산속도가 대칭키 암호화 기법에 비해 느림
- 암호화할 수 있는 평문 길이에 제한이 있음

위협, 취약점, 위험

- 위협: 손실이나 손상의 원이 될 가능성을 제공하는 환경, 보안에 해를 끼치는 행동이나 사건, 위험을 발생시킬 수 있는 요소
- 위험: 위협에 의한 자산에 발생 가능성이 있는 손실의 기대치, 취약점을 악용하여 자산 손실 및 파괴 가능성, 위험=자산X위협X취약점
- 취약점: 위협을 악용해서 실제 공격을 수행할 가능성, 기능 명세, 설계, 구현단계 오류나 시동, 설치 또는 운용상의 문제점으로 정보시스템의 취약점, 실제 공격 구현이 가능한 오류

생체인증

- FRR(False Reject Rate): 정상적인 사람을 거부
- FAR(False Acceptance Rate): 비인가자를 정상 인가자로 승인
- CER(Crossover Error Rate): FRR과 FAR의 교차지점, 생체인증의 척도

중간자 공격(MITM)

- 해결방법: 공인된 인증서를 사용하여 상호인증
- 송신자와 수신자 사이 중간에 공격자가 개입하여 공격
- 메시지를 도청, 변조

스테가노그래피

- 테러와 국방의 용도로 쓴 워터마킹 기법