2023년 제 24회 정보시스템 감리사 기출문제 풀이 - 보안(116-120)

[저번에 이어서 기출문제 116-120을 풀어보겠습니다.]

 

문제 116

116. 정보보안 모델의 규칙 중 최고등급 비밀 (Top Secret) 취급 가능자가 비밀 등급 (Secret) 파일에 쓰기금지를 명시한 것으로 가장 적절한 것은? ① 단순보안규칙(Simple Security Rule) ② 스타보안규칙(*-Security Rule) ③ 강한 스타보안규칙(Strong *-Security Rule) ④ 단순 무결성규칙(Simple Integrity Rule)

 

출제의도

정보보안 모델 중 하나인 벨라파도츠카(Bell-LaPadula) 모델의 규칙에 관한 것입니다.

이 모델은 기밀성을 중요시하는 시스템에서 사용되며, 다음과 같은 규칙을 가지고 있습니다:

 

① 단순보안규칙(Simple Security Rule): 사용자는 자신의 보안 등급 이하의 정보만 읽을 수 있습니다.

즉, ‘비밀’ 등급의 사용자는 ‘비밀’ 또는 그 이하 등급의 정보만 읽을 수 있습니다.

 

② 스타보안규칙(*-Security Rule): 사용자는 자신의 보안 등급 이상의 정보에만 쓸 수 있습니다.

즉, ‘비밀’ 등급의 사용자는 ‘비밀’ 또는 그 이상 등급의 정보에만 쓸 수 있습니다.

 

③ 강한 스타보안규칙(Strong *-Security Rule): 이 규칙은 스타보안규칙을 보완한 것으로, 사용자가 동시에 여러 보안 등급의 정보에 접근할 수 없도록 합니다.

 

④ 단순 무결성규칙(Simple Integrity Rule): 이 규칙은 무결성을 중요시하는 시스템에서 사용되며, 사용자는 자신의 보안 등급 이상의 정보에만 읽을 수 있습니다.

 

따라서, ‘최고등급 비밀(Top Secret)’ 취급 가능자가 ‘비밀(Secret)’ 등급 파일에 쓰기를 금지하는 규칙은② 스타보안규칙(*-Security Rule입니다.

 

이 규칙에 따르면, 사용자는 자신의 보안 등급 이상의 정보에만 쓸 수 있으므로, ‘최고등급 비밀’ 취급 가능자는 ‘비밀’ 등급 파일에 쓸 수 없습니다. 이 규칙은 정보의 기밀성을 보장하기 위해 설계되었습니다.

 

부연설명

벨라파도츠카(Bell-LaPadula) 모델은 정보의 기밀성을 보호하기 위해 설계된 정보보안 모델입니다. 이 모델은 다음과 같은 두 가지 주요 규칙을 가지고 있습니다: 단순보안규칙(Simple Security Rule): 이 규칙은 사용자가 자신의 보안 등급 이하의 정보만 읽을 수 있도록 합니다. 예를 들어, ‘비밀’ 등급의 사용자는 ‘비밀’ 또는 그 이하 등급의 정보만 읽을 수 있습니다. 스타보안규칙(*-Security Rule): 이 규칙은 사용자가 자신의 보안 등급 이상의 정보에만 쓸 수 있도록 합니다.

 

예를 들어, ‘비밀’ 등급의 사용자는 ‘비밀’ 또는 그 이상 등급의 정보에만 쓸 수 있습니다.

이 두 가지 규칙은 정보의 기밀성을 보장하기 위해 설계되었습니다.

 

즉, 더 높은 보안 등급의 정보가 더 낮은 보안 등급으로 '누출’되는 것을 방지합니다. 이 모델은 군사 또는 정부 기관과 같이 정보의 기밀성이 중요한 조직에서 널리 사용됩니다. 이러한 규칙을 통해, 벨라파도츠카 모델은 정보의 기밀성을 보장하면서도 사용자가 필요한 정보에 접근할 수 있도록 합니다.

 

이 모델의 한계 중 하나는 무결성이나 가용성에 대한 보호를 제공하지 않는다는 것입니다. 이러한 한계를 극복하기 위해 다른 보안 모델이 개발되었습니다.

 

문제 117

117. 다음 중 스니핑 공격에 대한 설명으로 가장 적절하지 않은 것은? ① 스위치 재밍(Switch Jamming) 공격은 위조된 MAC 주소를 지속적으로 네트워크에 흘려보내 스위치의 주소 테이블을 오버플로우 시키는 공격이다. ② ARP Redirect 공격은 위조된 ARP 응답을 브로드 캐스트 방식으로 보내서 네트워크상의 다른 호스트들이 공격자 호스트를 라우터로 믿게 하는 공격이다. ③ ARP 스니핑 공격은 네트워크 계층에서 통신하는 서버와 클라이언트의 IP 주소를 공격자의 IP 주소로 속이는 공격이다. ④ ARP를 이용한 스니핑 공격 탐지 방법은 위조된 ARP Request를 보내서 ARP Response를 탐지한다.

 

출제의도

스니핑 공격의 다양한 형태와 그에 대한 방어 방법에 대한 이해를 평가하기 위함

 

다음 각 문항에 대해서 설명드리면:

① 스위치 재밍(Switch Jamming) 공격은 공격자가 위조된 MAC 주소를 지속적으로 네트워크에 흘려보내 스위치의 주소 테이블을 오버플로우 시키는 공격입니다. 이렇게 하면 스위치는 브로드캐스트 모드로 전환되어, 공격자는 네트워크 상의 모든 트래픽을 가로챌 수 있게 됩니다.

 

② ARP Redirect 공격은 공격자가 위조된 ARP 응답을 브로드캐스트 방식으로 보내서 네트워크상의 다른 호스트들이 공격자 호스트를 라우터로 믿게 하는 공격입니다. 이렇게 하면, 공격자는 다른 호스트들의 트래픽을 가로챌 수 있게 됩니다.

 

③ ARP 스니핑 공격입니다. ARP 스니핑 공격은 공격자가 네트워크 상의 다른 호스트들이 보내는 ARP 요청을 가로채서 자신의 MAC 주소를 응답으로 보내는 공격입니다. 이렇게 하면, 다른 호스트들은 공격자의 MAC 주소를 목적지 IP 주소의 MAC 주소로 인식하게 되어, 공격자는 다른 호스트들의 통신을 가로챌 수 있게 됩니다.

 

④ ARP를 이용한 스니핑 공격 탐지 방법은 위조된 ARP Request를 보내서 ARP Response를 탐지하는 방법입니다. 이 방법을 사용하면, 공격자가 ARP 스니핑 공격을 시도하고 있는지를 탐지할 수 있습니다.

 

따라서, ARP 스니핑 공격은 서버와 클라이언트의 IP 주소를 공격자의 IP 주소로 속이는 공격이 아닙니다.

정답은 ③입니다.

 

문제 118

118. 다음 중 애플리케이션 취약성을 이용한 공격과 가장 거리가 먼 것은? ① 버퍼 오버플로우 공격 ② SQL 인젝션 공격 ③ 레인보우 테이블 공격 ④ 원격 코드 실행 공격

 

 출제의도

애플리케이션 취약성에 대한 이해에 관한 것입니다.

 

각 문항에 대해서 설명드리면:

①버퍼 오버플로우 공격: 이는 애플리케이션의 메모리를 오버플로우 시켜 시스템을 비정상적으로 작동하게 만드는 공격입니다. 이 공격은 애플리케이션의 취약점을 이용합니다.

 

② SQL 인젝션 공격: 이는 애플리케이션의 데이터베이스 쿼리에 악의적인 SQL 코드를 삽입하여 시스템을 공격하는 방법입니다. 이 공격은 애플리케이션의 취약점을 이용합니다.

 

③ 레인보우 테이블 공격: 이는 암호화된 비밀번호를 빠르게 해독하기 위해 미리 계산된 해시 값의 데이터베이스인 레인보우 테이블을 사용하는 공격입니다. 이 공격은 애플리케이션의 취약점이 아닌 암호화 알고리즘의 취약점을 이용합니다.

 

④ 원격 코드 실행 공격: 이는 애플리케이션의 취약점을 이용하여 공격자가 원격에서 악의적인 코드를 실행시키는 공격입니다.

 

따라서, 레인보우 테이블 공격은 애플리케이션의 취약점을 이용한 공격이 아니므로, ③ 선택지가 가장 적절합니다.

 

문제 119

119. '개인정보 보호법'에서 정하고 있는 개인정보 보호 원칙에 관한 규정으로 가장 적절하지 않은 것은? ① 개인정보처리자는 개인정보의 처리 방법 및 종류 등에 따라 정보주체의 권리가 침해받을 가능성과 그 위험 정도를 고려하여 개인정보를 안전하게 관리하여야 한다. ② 개인정보처리자는 개인정보의 처리 목적을 명확하게 하지 않아도 그 목적에 필요한 경우 최소한의 개인정보만을 적법하게 수집하여야 한다. ③ 개인정보처리자는 이 법 및 관계 법령에서 규정하고 있는 책임과 의무를 준수하고 실천함으로써 정보주체의 신뢰를 얻기 위하여 노력하여야 한다. ④ 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 개인정보의 정확성, 완전성 및 최신성이 보장되도록 하여야 한다.

 

출제의도

'개인정보 보호법’에 대한 이해와 그에 따른 개인정보 보호 원칙에 대한 이해를 평가하는 것입니다.

 

각 문항에 대해서 설명드리면:

① 개인정보처리자는 개인정보의 처리 방법 및 종류 등에 따라 정보주체의 권리가 침해받을 가능성과 그 위험 정도를 고려하여 개인정보를 안전하게 관리하여야 한다:

이 원칙은 개인정보의 안전한 관리를 강조하며, 개인정보처리자가 정보주체의 권리를 존중하고 보호해야 함을 명시합니다.

 

② 개인정보처리자는 개인정보의 처리 목적을 명확하게 하지 않아도 그 목적에 필요한 경우 최소한의 개인정보만을 적법하게 수집하여야 한다.:

이건 틀렸는데, 개인정보처리자는 개인정보의 처리 목적을 명확하게 하지 않아도 그 목적에 필요한 경우 최소한의 개인정보만을 적법하게 수집하여야 한다입니다.

 

③ 개인정보처리자는 이 법 및 관계 법령에서 규정하고 있는 책임과 의무를 준수하고 실천함으로써 정보주체의 신뢰를 얻기 위하여 노력하여야 한다:

이 원칙은 개인정보처리자가 법률을 준수하고 정보주체의 신뢰를 얻기 위해 노력해야 함을 명시합니다.

 

④ 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 개인정보의 정확성, 완전성 및 최신성이 보장되도록 하여야 한다: 이 원칙은 개인정보의 정확성과 최신성을 보장하는 것을 강조합니다.

 

따라서, 정답은 '개인정보 보호법’에서 정하고 있는 개인정보 보호 원칙에 관한 규정으로 가장 적절하지 않은 것은 ②입니다.

 

문제 120

120. 다음 중 정보보호 위험관리 절차에 대한 설명으로 가장 적절하지 않은 것은? ① 현황 및 흐름분석 : 관리체계 전 영역에 대한 정보서비스 및 개인정보 처리 현황을 분석하고 업무 절차와 흐름을 파악하여 문서화하며 이를 주기적 으로 검토하여 최신성을 유지한다. ② 위험평가 : 조직의 대내외 환경분석을 통해 유형별 위협정보를 수집하고 조직에 적합한 위험 평가 방법을 선정하여 관리체계 영역에 대한 위험을 평가한다. ③ 정보자산 식별 : 조직의 업무 특성에 따라 관리 체계 범위 내 일부 중요 정보자산만을 식별하고 중요도를 산정한다. ④ 보호대책 선정 : 위험 평가 결과에 따라 식별된 위험을 처리하기 위하여 조직에 적합한 보호대 책을 선정하고, 보호대책의 우선순위와 일정· 담당자·예산 등을 포함한 이행계획을 수립하여야 한다.

 

출제의도

정보보호 위험관리 절차에 대한 이해를 평가하는 것입니다.

 

각 문항에 대해서 설명을 드리면:

① 현황 및 흐름분석 : 이 절차는 정보보호 관리체계의 현재 상태와 흐름을 분석하고 이를 문서화하는 것을 포함합니다.

이는 주기적으로 검토되어야 하며, 이를 통해 정보보호 관리체계의 최신성이 유지됩니다.

 

② 위험평가 : 이 절차는 조직의 내부 및 외부 환경을 분석하여 위협 정보를 수집하고, 이를 바탕으로 위험을 평가하는 것을 포함합니다. 이는 조직에 적합한 위험 평가 방법을 선정하는 것을 필요로 합니다.

 

③ 정보자산 식별 : 이 절차는 조직의 업무 특성에 따라 중요한 정보자산을 식별하고 그 중요도를 산정하는 것을 포함합니다. 그러나, 이 설명은 부정확합니다. 정보보호 위험관리에서는 관리 체계 범위 내의 모든 정보자산을 식별해야 하며, 일부 중요 정보자산만을 식별하는 것은 적절하지 않습니다.

 

④ 보호대책 선정 : 이 절차는 위험 평가 결과에 따라 위험을 처리하기 위한 보호 대책을 선정하고, 이를 포함한 실행 계획을 수립하는 것을 포함합니다. 이는 보호 대책의 우선순위, 일정, 담당자, 예산 등을 고려해야 합니다.

 

따라서 정보보호 위험관리 절차에 대한 설명으로 가장 적절하지 않은 것은 ③ 정보자산 식별입니다.

 

[오늘까지 보안 과목 기출문제를 모두 풀어보겠습니다. :-)

끝까지 읽어주셔서 감사드립니다. 다음 시간에는 데이터베이스 과목을 풀어보도록 하겠습니다.]