정보시스템감리사, 정보관리기술사

2020년 105번 정답 : 4번 쿠키(Cookie)는 사용자가 브라우저로 웹 사이트에 방문할 때, 사이트 내 사용자의 활동을 추적하기 위해 생성되는 작은 파일입니다. (가)에서 설명하는 내용은 서버의 Session정보를 생성하고 해당 Session의 랜덤하게 생성된 Key를 웹 브라우저의 쿠키로 저장하는 절차를 설명하고 있음. 브라우저가 다시 접속 시 쿠키에 저장된 Session key값을 서버로 전송하고, 서버에서는 해당 정보를 이용하여 클라이언트를 식별함 웹 캐시(Cache)는 웹 문서(HTML Page, 이미지 등)을 캐시 서버에 미리 저장(Caching)하여, 원본 서버 대신 전송 해주는 기술임

▣ 보안시스템 개발 원칙_최소 권한, 기본 실패, 매커니즘의 효율성, 완벽한 조율, 열린 설계, 권한 분리, 최소한의 공통 메카니즘, 사용의 편리함 구분 설명 최소 권한 (Least Privilege) 사용자는 필요한 작업에 대한 최소한의 권한만을 가지고 있어야 하며 더 이상 필요없는 경우 해당 권한을 회수해야 한다. 기본 실패 (Fail-Safe Defaults) 명시적으로 "허가"되지 않은 모든 자원에 대한 접근은 "거부"를 기본으로 한다. 매커니즘의 효율성 (Economy of Mechanism) 설계는 가능한 단순하게 해야 한다. 완벽한 조율 (Complete Mediation) 모든 접근 시도를 검사하는 설계가 적용되어야 한다. 열린 설계 (Open Design) 보호 매커니즘은 공격자의 무지에..

▣ 네트워크 보안_SSL(Secure Socket Layer) 프로토콜, TLS, MAC(메시지 인증코드), HTTPS, 프록시 서버, WTLS - 암호화 요소들을 컴퓨터 네트워크 통신에 적용하여, 비 보안적인 공개 통신 라인에 보안 서비스(기밀성, 무결성, 인증)를 제공해 줄 수 있는 보안 프로토콜 * 부인방지기능은 없음 - 트랜스포트 계층의 Socket Library로서 응용 프로그램과 독립적이고, 통신경로 전체를 암호화하는 방식 - Netscape에서 처음 개발, 이후 마이크로소프트사 PCT 발표 IETF(Internet Engineering Task Force)에 의해 TLS(Transport Layer Security)로 표준화 - SSL은 공개키 인증서에 기반을 둔 인증 방법을 사용 - 익명모..

▣ 해시 알고리즘, 해시 함수, SHA(Secure Hash Algorithm), DES, AES, 블록체인 ■ 해시 알고리즘(Hash Algorithm) 임의의 크기를 가진 데이터(Key)를 고정된 크기의 데이터(Value)로 변화시켜 저장하는 것 키에 대한 해시값을 사용하여 값을 저장하고 키-값 쌍의 갯수에 따라 동적으로 크기가 증가하는 associate array 해시값 자체를 index로 사용하기 때문에 평군 시간복잡도가 O(1) 로 매우 빠름 ■ 해시함수를 활용하여 제공하는 대표적인 서비스 해시기반 메시지 인증 코드 (HMAC)구현 무결성 검증을 통해 데이터 변경/변조 여부 검출(MIC) 단방향 암호화 알고리즘을 통한 패스워드 암호화(MD5, SHA256 등) ■ 해시 함수 특징 메시지의 압축(..

▣ 블록 암호 운용 모드_ECB(Electronic CodeBook), CBC(Cipher Block Chaining), CFB(Cipher FeedBack), OFB(Output FeedBack), CTR(CounTeR) 모드 특징 장점 단점 ECB (Electronic CodeBook) 모든 블록이 독립적으로 암호화, 복호화를 수행하므로 오류 발생이 다른 블록에 전파되지 않음 암호화하려는 메시지를 여러 블록으로 나누어 각각 암호화 모든 블록이 동일키를 사용하기 때문에 보안에 취약 마지막 블록에는 다른 블록들과 동일한 크기로 만들기 위하여 패딩필요 구현이 간단함 고속 암호화, 복호화 병렬처리가 가능 평문 속의 반복이 암호문에 반복됨 비트단위의 에러가 있는 암호문을 복호화하면, 대응하는 블록이 에러가 됨..

▣ 악성코드_루트킷(rootkit), 윔(worm), 논리폭탄(logic bomb), 스파이웨어(spyware) 종류 내용 루트킷 (rootkit) 공격자가 설치한 악성 프로그램의 존재를 탐지하기 어렵도록 은닉화 하는 기법의 총칭임 일반적으로 펌웨어, 가상화 계층, 부트로더, 커널, 라이브러리 등 다양한 시스템영역에서 작동하며 운영체제의 시스템콜을 해킹하여 악성코드의 실행여부를 숨겨 안티바이러스의 탐지를 우회함 웜 (worm) 인터넷(또는 네트워크)을 통하여 시스템에서 시스템으로 자기복제를 하는 프로그램 논리폭탄 (logic bomb) 특정한 조건이 만족되면 사전에 지정한 공격행위를 수행하는 프로그램 스파이웨어 (spyware) 공개 또는 쉐어웨어 등의 무료 프로그램에 포함되어 정보를 유출시키는 프로그램..

▣ 공격기법_프로토콜 취약점_Slowloris, TCP SYN flooding, smurf, ARP spoofing, DNS 스푸핑, Sniffing, Replay, 세션 하이재킹, 중간자 , WireShark, 살라미, icmp ping, DDoS, tripwire, 패킷 ■ 공격의 분류 구분 설명 수동적 공격 (Passive Attack) 공격 대상 시스템에 실제적인 악의적 행위를 하지 않음 주로 도청이나 트래픽 분석을 통한 비밀 자료 취득이 목적(기밀성 해침) 탐지가 어려움(몰래 하는 것이기 때문) Sniffing, Traffic Analysis, Port Scan 능동적 공격 (Active Attack) 공격 대상 시스템에 실제로 악의적 행위를 하여 무결성, 가용성 해침 탐지가 가능함(공격 결과가..

▣ 응용시스템, 웹서비스 위협, 공격_레이스 컨디션, 트랩도어, 포맷스트링, 버퍼오버플로우, 리버스 엔지니어링, 크로스사이트스크립팅, SQL 인젝션, CSRF, 시큐어코딩, OWASP, 보안 가이드 공격기법 설명 레이스 컨디션 (race condition) 멀티 프로세스 상에서 자원을 검사하는 시점과 사용하는 시점 차이를 활용하는 공격기법 권한 수준이 다른 두 프로세스의 경쟁 관계를 이용한 공격으로, 관리자의 권한으로 실행되는 프로그램 중간에 끼어들어 자신이 원하는 작업을 수행하는 것 대응 방법 : 임시파일에 대한 심볼릭 링크 설정 여부와 권한에 대한 검사 umask를 최소 022정도로 유지 트랩도어 or 백도어 (trap door) 접근 통제를 우회해 시스템에 직접 접근하는 공격방법으로 백도어(Back..

▣ 개인정보의 기술적 관리적 보호조치 기준_접속통제, 접속기록의 위변조방지, 내부 관리계획 (개인정보보호위원회) 개인정보의 기술적·관리적 보호조치 기준 [시행 2020. 8. 11.] [개인정보보호위원회고시 제2020-5호, 2020. 8. 11., 제정] 개인정보보호위원회(신기술개인정보과), 02-2100-3067, 3068 제4조(접근통제) ① 정보통신서비스 제공자등은 개인정보처리시스템에 대한 접근권한을 서비스 제공을 위하여 필요한 개인정보 보호책임자 또는 개인정보취급자에게만 부여한다. ② 정보통신서비스 제공자등은 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근권한을 변경 또는 말소한다. ③ 정보통신서비스 제공자등은 제1항 및 제2항에 의한 ..

▣ 개인정보보호법_개인정보 영향평가, 고유식별정보, 수집, 이용, 제공, 유출 통지, 열람 개인정보 보호법 [시행 2020. 8. 5.] [법률 제16930호, 2020. 2. 4., 일부개정] 제3조(개인정보 보호 원칙) ① 개인정보처리자는 개인정보의 처리 목적을 명확하게 하여야 하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집하여야 한다. ② 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 적합하게 개인정보를 처리하여야 하며, 그 목적 외의 용도로 활용하여서는 아니 된다. ③ 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 개인정보의 정확성, 완전성 및 최신성이 보장되도록 하여야 한다. ④ 개인정보처리자는 개인정보의 처리 방법 및 종류 등에 따라 정보주체의 권..