2023년 제 24회 정보시스템 감리사 기출문제 풀이 - 보안(111-115)

[저번에 이어서 기출문제 111-115를 풀어보겠습니다.]

 

문제 111

111. 다음 중 웹서버의 보안을 강화하기 위한 조치로 가장 적절하지 않은 것은? ① IIS의 WebDAV 서비스는 인터넷 상에서 원격 사용자들간에 파일을 공동으로 사용하게 하므로 비활성화하도록 설정한다. ② 웹 서버를 실행시키는 운영체제의 사용자에게 충분한 서비스를 제공하기 위하여 최대한 많은 권한을 허용한다. ③ 웹 브라우저가 웹 서버로 디렉토리의 정보를 요청했을 때 디렉토리를 검색해 파일 목록을 보여 주는 기능은 불가능하도록 설정한다. ④ 파일 업로드 및 다운로드 시 허용 가능한 최대 크기를 설정한다.

 

출제의도

이 질문은 웹 서버의 보안을 강화하는 방법에 대한 이해를 테스트하려는 것으로 보입니다.

 

각 항목에 대한 설명은 다음과 같습니다:

① IIS의 WebDAV 서비스는 인터넷상에서 원격 사용자들 간에 파일을 공동으로 사용하게 하므로 비활성화하도록 설정한다.

WebDAV는 웹 서버에서 파일을 생성, 변경, 이동 또는 삭제하는 것을 허용하는 프로토콜입니다. 이 기능이 활성화되어 있으면, 악의적인 사용자가 이를 이용하여 웹 서버를 공격할 수 있습니다. 따라서 보안을 강화하기 위해 이 기능을 비활성화하는 것이 좋습니다.

 

② 웹 서버를 실행시키는 운영체제의 사용자에게 충분한 서비스를 제공하기 위하여 최대한 많은 권한을 허용한다.

이 항목은 웹 서버의 보안을 강화하는 방법이 아닙니다. 실제로, 사용자에게 너무 많은 권한을 부여하면, 악의적인 사용자가 이를 이용하여 웹 서버를 공격할 수 있습니다. 따라서 웹 서버의 보안을 강화하기 위해서는 사용자의 권한을 최소한으로 제한하는 것이 중요합니다.

 

③ 웹 브라우저가 웹 서버로 디렉토리의 정보를 요청했을 때 디렉터리를 검색해 파일 목록을 보여 주는 기능은 불가능하도록 설정한다.

웹 서버가 디렉토리 목록을 제공하면, 악의적인 사용자가 이 정보를 이용하여 웹 서버를 공격할 수 있습니다. 따라서 이 기능을 비활성화하여 웹 서버의 보안을 강화하는 것이 좋습니다.

 

④ 파일 업로드 및 다운로드 시 허용 가능한 최대 크기를 설정한다.

파일의 크기를 제한하면, 악의적인 사용자가 큰 파일을 업로드하여 웹 서버를 공격하는 것을 방지할 수 있습니다. 따라서 이 기능을 활성화하여 웹 서버의 보안을 강화하는 것이 좋습니다.

 

따라서, 웹서버의 보안을 강화하기 위한 조치로 가장 적절하지 않은 것은 ②번입니다.

충분한 서비스를 제공하기 위해 사용자에게 최대한 많은 권한을 허용하는 것은 웹 서버의 보안을 약화시킬 수 있습니다. 웹 서버의 보안을 강화하기 위해서는 사용자의 권한을 최소한으로 제한하는 것이 중요합니다.

 

문제 112

112. 인공지능에 수많은 쿼리를 수행한 후 산출된 결과를 분석하여 인공지능에서 사용된 데이터를 추출하는 공격으로 가장 적절한 것은? ① Poisoning Attack ② Inversion Attack ③ Evasion Attack ④ Replay Attack

 

출제의도

인공지능 공격 유형에 대한 이해를 테스트하려는 것으로 보입니다.

 

각 항목에 대한 설명은 다음과 같습니다:

① Poisoning Attack

포이즈닝 공격은 악의적인 사용자가 학습 데이터를 조작하여 인공지능의 성능을 저하시키는 공격입니다. 이 공격은 인공지능이 잘못된 판단을 내리도록 만들어 시스템의 보안을 약화시킵니다.

 

② Inversion Attack

인버전 공격은 인공지능의 출력을 분석하여 학습에 사용된 데이터를 추출하는 공격입니다. 이 공격은 인공지능에 수많은 쿼리를 수행한 후 산출된 결과를 분석하여 인공지능에서 사용된 데이터를 추출하는 것으로, 이 질문의 상황에 가장 적합합니다.

 

③ Evasion Attack

이베이전 공격은 인공지능의 결정 경계를 피해 공격을 수행하는 방식입니다. 이 공격은 인공지능이 악의적인 입력을 정상적인 입력으로 잘못 판단하도록 만듭니다.

 

④ Replay Attack

리플레이 공격은 이전에 성공적으로 수행된 인증 세션을 재생하여 인공지능을 속이는 공격입니다. 이 공격은 인공지능이 이전에 수락한 요청을 다시 수락하도록 만듭니다.

 

따라서, 인공지능에 수많은 쿼리를 수행한 후 산출된 결과를 분석하여 인공지능에서 사용된 데이터를 추출하는 공격으로 가장 적절한 것은 ②번 Inversion Attack입니다. 이 공격은 인공지능의 출력을 분석하여 학습에 사용된 데이터를 추출하는 것으로, 이 질문의 상황에 가장 적합합니다.

 

부연설명

각 공격에 대한 예시

① Poisoning Attack

포이즈닝 공격의 예로는 스팸 필터를 속이려는 시도가 있습니다. 악의적인 사용자는 스팸 메일에 정상적인 단어를 추가하여 스팸 필터가 이를 정상 메일로 분류하도록 만들 수 있습니다. 이렇게 하면 스팸 필터의 성능이 저하되고, 스팸 메일이 사용자의 메일함으로 들어갈 수 있게 됩니다.

 

② Inversion Attack

인버전 공격의 예로는 얼굴 인식 시스템을 이용한 공격이 있습니다. 악의적인 사용자는 얼굴 인식 시스템에 수많은 쿼리를 수행하여 시스템이 출력하는 결과를 분석할 수 있습니다. 이를 통해 사용자는 시스템이 학습한 얼굴 데이터를 추출하거나, 시스템이 어떤 얼굴을 인식하는지 파악할 수 있습니다.

 

③ Evasion Attack

이베이전 공격의 예로는 악성 코드를 정상적인 파일로 변조하는 시도가 있습니다. 악의적인 사용자는 악성 코드의 일부를 변경하여 안티바이러스 소프트웨어가 이를 악성 코드로 인식하지 못하게 만들 수 있습니다. 이렇게 하면 악성 코드는 안티바이러스 소프트웨어의 검사를 피해 시스템에 침투할 수 있게 됩니다.

 

④ Replay Attack

리플레이 공격의 예로는 네트워크 트래픽을 가로채는 시도가 있습니다. 악의적인 사용자는 네트워크 트래픽을 가로채어 이전에 성공적으로 수행된 인증 세션을 재생할 수 있습니다. 이렇게 하면 사용자는 인증 없이 시스템에 접근할 수 있게 됩니다. 이러한 공격을 방지하기 위해 시스템은 각 세션에 대해 고유한 값을 부여하거나, 시간에 따라 변하는 값을 사용하는 등의 방법을 사용합니다.

 

문제 113

113. 다음 중 DRM(Digital Rights Management)에 관한 설명 중 가장 적절하지 않은 것은? ① 디지털 자산을 보호하는 기술이며, 대표적으로 문서를 암호화하는 기술이 포함된다. ② 기업 내에서 생성되는 문서의 생명주기에 많이 사용되므로 Enterprise DRM이라고도 불린다. ③ 인가된 사용자만 접근할 수 있도록 문서를 암호 화하거나 접근 통제를 적용한다. ④ 사용자별로는 권한 관리가 가능하나 프로세스별 로는 권한관리 기능을 제공하지 않는다.

 

출제의도

디지털 권리 관리(DRM)에 대한 이해를 테스트하려는 것으로 보입니다.

 

각 항목에 대한 설명은 다음과 같습니다:

① 디지털 자산을 보호하는 기술이며, 대표적으로 문서를 암호화하는 기술이 포함된다.

DRM은 디지털 콘텐츠의 불법 복제를 방지하고, 저작권을 보호하기 위한 기술입니다. 이를 위해 DRM은 콘텐츠를 암호화하고, 암호화된 콘텐츠를 해독할 수 있는 키를 제공합니다.

 

② 기업 내에서 생성되는 문서의 생명주기에 많이 사용되므로 Enterprise DRM이라고도 불린다.

Enterprise DRM은 기업의 민감한 정보를 보호하기 위해 사용되는 DRM의 한 형태입니다. 이는 문서의 생성부터 폐기까지의 전체 생명주기 동안 문서를 보호합니다.

 

③ 인가된 사용자만 접근할 수 있도록 문서를 암호 화하거나 접근 통제를 적용한다.

DRM은 인가된 사용자만 콘텐츠에 접근할 수 있도록 합니다. 이를 위해 DRM은 콘텐츠에 접근하려는 사용자의 권한을 확인하고, 권한이 있는 사용자만 콘텐츠를 해독할 수 있는 키를 제공합니다.

 

④ 사용자별로는 권한 관리가 가능하나 프로세스별로는 권한관리 기능을 제공하지 않는다.

이 항목은 DRM에 대한 설명으로는 부적절합니다. 실제로 DRM은 사용자별로 뿐만 아니라 프로세스별로도 권한을 관리할 수 있습니다. 예를 들어, 특정 프로세스가 콘텐츠에 접근하려고 하면 DRM은 그 프로세스의 권한을 확인하고, 권한이 있는 프로세스만 콘텐츠를 해독할 수 있는 키를 제공합니다.

 

따라서, DRM에 관한 설명 중 가장 적절하지 않은 것은 ④번입니다.

DRM은 사용자별로 뿐만 아니라 프로세스별로도 권한을 관리할 수 있습니다. 이는 DRM이 불법 복제를 방지하고 저작권을 보호하는 데 중요한 역할을 합니다.

 

문제 114

114. 다음 중 웹 취약점 진단을 위한 도구와 가장 거리가 먼 것은? ① Burp Suite ② Hydra ③ Paros ④ WebScarab

 

출제의도

웹 취약점 진단 도구에 대한 이해를 테스트하려는 것으로 보입니다.

 

각 항목에 대한 설명은 다음과 같습니다:

① Burp Suite Burp Suite

웹 애플리케이션 보안 테스트를 위한 통합 플랫폼입니다. 이 도구는 웹 사이트를 크롤링하고, 보안 취약점을 자동으로 스캔하며, 개발자가 수동으로 보안 테스트를 수행할 수 있는 기능을 제공합니다.

 

② Hydra Hydra

네트워크 로그인 크래킹 도구로, 다양한 프로토콜에 대한 브루트 포스 공격을 지원합니다. 웹 취약점 진단 도구로 사용되기보다는, 암호 크래킹에 주로 사용됩니다.

 

③ Paros Paros

웹 애플리케이션 보안 테스트를 위한 프록시 서버입니다. 이 도구는 HTTP 및 HTTPS 트래픽을 가로채고 조작할 수 있으며, SQL 인젝션, 크로스 사이트 스크립팅 등의 취약점을 탐지하는 기능을 제공합니다.

 

④ WebScarab WebScarab

웹 애플리케이션 보안 테스트를 위한 프록시 서버입니다. 이 도구는 HTTP 및 HTTPS 트래픽을 가로채고 조작할 수 있으며, 개발자가 수동으로 보안 테스트를 수행할 수 있는 기능을 제공합니다.

 

따라서, 웹 취약점 진단을 위한 도구와 가장 거리가 먼 것은 ②번 Hydra입니다.

Hydra는 웹 취약점 진단 도구로 사용되기보다는, 암호 크래킹에 주로 사용되는 도구입니다. 이는 웹 취약점 진단 도구의 주요 목적인 웹 애플리케이션의 보안 취약점을 탐지하고 분석하는 것과는 다소 거리가 있습니다.

 

--- 다시확인해바야 ----

문제 115

115. 다음 중 디지털 포렌식 원칙에 대한 설명으로 적절한 것을 모두 고른 것은? 가. 신속성의 원칙 - 디지털 포렌식의 전 과정은 지체없이 신속하게 진행되어야 한다. 나. 재현의 원칙 - 수집된 증거가 위변조 되지 않았 음을 증명해야 한다. 다. 무결성의 원칙 - 디지털 증거의 획득은 같은 조건에서 항상 같은 결과가 나와야 한다. 라. 연계보관성의 원칙 - 증거물 획득, 이송, 분석, 보관, 법정 제출의 각 단계에서 담당자 및 책임 자를 명확히 해야 한다. 마. 정당성의 원칙 – 입수된 디지털 증거는 적법절차를 거쳐 얻어져야 한다. 단, 수사관이 동행하면 위법하게 수집된 증거라도 적법하게 인정된다. ① 가, 라 ② 나, 다, 라 ③ 가, 나, 다, 라 ④ 가, 나, 다, 라, 마

 

출제의도

디지털 포렌식의 기본 원칙에 대한 이해를 테스트하려는 것으로 보입니다.

 

각 항목에 대한 설명은 다음과 같습니다:

가. 신속성의 원칙 - 디지털 포렌식의 전 과정은 지체 없이 신속하게 진행되어야 한다.

이것도 맞습니다. 외부요인의 개입을 최소화하기 위하여 디지털 포렌식을 신속하게 해야 한다는 것인데, 이유는 디지털 증거는 시간이 지남에 따라 변경되거나 손실될 수 있으므로, 디지털 포렌식 과정은 가능한 한 빠르게 진행되어야 하기 때문입니다.

 

나. 재현의 원칙 - 수집된 증거가 위변조 되지 않았음을 증명해야 한다.

동일한 조건하에서 오차범위 내에서 동일한 결과가 나와야 한다는 것으로 즉, 똑같은 과정을 계속해서 반복했을 때 변경이 없어야만 합니다 동일한 조건에서 동일한 결과를 얻을 수 있어야 합니다. 이는 증거의 신뢰성을 보장하는 데 중요합니다.

 

다. 무결성의 원칙 - 디지털 증거의 획득은 같은 조건에서 항상 같은 결과가 나와야 한다.

위 보기는 약간 애매합니다. 이유는 안전하게 보관할 수 있는 수단을 마련해야하는 문구가 없기 때문입니다. -> 디지털 증거는 특성상 쉽게 훼손·변조가 가능하고 이를 알아차리기 힘들기 때문에 데이터를 안전하게 보관할 수 있는 수단을 마련해야 합니다.

 

라. 연계보관성의 원칙 - 증거물 획득, 이송, 분석, 보관, 법정 제출의 각 단계에서 담당자 및 책임자를 명확히 해야 한다.

이 보기는 맞습니다. 디지털 증거의 연계보관성은 증거의 획득부터 보관, 사용에 이르는 전 과정에서 증거의 무결성이 유지되었음을 보장하는 것을 의미합니다.

 

마. 정당성의 원칙 – 입수된 디지털 증거는 적법절차를 거쳐 얻어져야 한다. 단, 수사관이 동행하면 위법하게 수집된 증거라도 적법하게 인정된다.

맞지 않습니다. 증거는 법률을 준수하면서 획득되어야 하며, 불법적인 방법으로 획득된 증거는 법정에서 인정되지 않습니다.

 

따라서, 위 선택지는 애매 모호한 부분이 없지 않아 있습니다. 그런데 틀린 것만 보면, 마, 맞는 거만 보면 가, 라, ④번은 마가 있어서 오답, 그런데 ②번은 가가 없어서 오답, 소거를 해보면,  다와 마가 들어간 ②, ③, ④는 오답이고, 

오답을 소거하고 정답으로 고를 수 있는 선택지는 ①번아니면 ②번인데 애매합니다.

 

----정확하게 잘 모르겠습니다. ----

정답지는 "①번 가, 라" 가 정답입니다.

 

[다음 시간에 이어서 보안 기출문제 116-120 풀이를 진행하겠습니다.]