2022년 제 23회 정보시스템 감리사 기출문제 풀이 - 보안(101-105)

2022년 제 23회 정보시스템 감리사 기출문제 풀이 101-105번까지 이어서 풀이를 진행하고자 합니다.
도움이 되시길 바랍니다.

---

 

보안

 

문제 101

101. 다음 중 전자서명(Digital signature)의 역할로 가장 적절하지 않은 것은?

① 메시지 송신자 인증
② 메시지 무결성 검증
③ 메시지 기밀성 검증
④ 부인 방지

 

출제의도

전자서명의 역할에 대해서 알고 있어야 합니다. 전자서명이란 서명자를 확인하고 서명자가 당해 전자문서에 서명했다는 사실을 나타내는 데 이용하려고, 특정 전자문서에 첨부되거나 논리적으로 결합된 전자적 형태의 정보를 말합니다. 전자서명은 공개 키 기반 구조 (PKI) 기술을 사용하여 전자문서의 해시값을 서명자의 개인키로 변환 (암호화) 한 것입니다.

 

원래의 문서 내용을 A라고 하면 A의 해쉬 값을 잘 알려진 Hash 함수인 SHA1 같은 함수 하나를 정해 이런 Hash함수로 문서 A의 Hash 값을 구하고 이 Hash 값을, 보내는 사람의 Private Key 로 암호화합니다. 이렇게 암호화된 Hash값을 원래 문서 A 끝에 첨부하여 이 문서 전체를 받는 사람에게 보냅니다.

 

전자서명은 수기서명과 동일한 효력을 지니며, 디지털 서명은 송신자가 자신의 신원을 증명하는 절차이고, 전자서명은 그 절차의 특정 단계에서 사용하는 정보입니다. 전자서명은 인감도장의 역할을 하는 '생성과 인감증명의 역할을 하는 검증 등 한 쌍의 전자서명키로 구성되는데 생성키는 서명자만 보관해서 사용하고 전자서명검증키는 정보통신망을 통해 누구나 알 수 있도록 공개됩니다

 

각 문항에 대한 설명

① 메시지 송신자 인증:
전자서명은 송신자의 신원을 증명하는 방법으로, 송신자가 자신의 비밀키로 암호화한 메시지를 수신자가 송신자의 공용 키로 해독하는 과정입니다. 따라서 이는 전자서명의 주요 역할 중 하나입니다.

② 메시지 무결성 검증:
전자서명은 문서의 어떠한 변경이 발생하면 서명이 무효가 되어 버립니다. 따라서 메시지 무결성 검증 역시 전자서명의 중요한 역할입니다.

③ 메시지 기밀성 검증:
전자서명 자체는 메시지의 기밀성을 보장하지 않습니다. 메시지의 기밀성은 암호화를 통해 이루어지며, 이는 전자서명과는 별개의 과정입니다. 따라서 이 옵션은 전자서명의 역할로 가장 적절하지 않습니다.

④ 부인 방지:
전자서명은 송신자가 메시지를 보냈다는 사실을 부인하는 것을 방지합니다. 송신자만이 자신의 개인 키를 가지고 있으므로, 유효한 서명이 있다면 그 메시지는 해당 개인 키를 가진 사람에게서 발신되었다는 것을 입증합니다.

따라서 전자서명의 역할로 가장 적절하지 않은 정답은 ③ 메시지 기밀성 검증 입니다.

---

문제 102

102. AES(Advanced Encryption Standard)에 대한 설명으로 가장 적절하지 않은 것은?

① 입력 블록의 크기는 128 비트 고정이고, 키 길이는 128, 192, 256비트 3가지 중 하나를 선택할 수 있다.
② DES에서 사용한 Feistel 구조가 아닌 SPN (Substitution–Permutation Network) 구조를 사용한다.
③ SubBytes 연산에서는 4 바이트의 값을 비트 연산을 이용하여 새로운 4 바이트 값으로 변환하는 과정을 수행한다.
④ 복수 라운드로 구성되어 있으며, 각 라운드는 SubBytes, ShiftRows, MixColumns, AddRoundKey라는 4개의 서브 함수로 구성된다.

 

출제의도

AES의 기본 구조와 작동 원리에 대한 이해가 필요한데, AES(Advanced Encryption Standard)는 대칭 키 암호화 알고리즘으로, 데이터를 안전하게 암호화하고 복호화하는 데 사용됩니다. AES는 ISO / IEC 18033-3 표준이며, 미국의 NSA(National Security Agency)에 의해 1급 비밀에 사용할 수 있도록 승인된 암호화 알고리즘입니다.

 

AES는 두 명의 벨기에 암호학자인 요안 다먼과 빈센트 레이먼에 의해 개발된 Rijndael(레인달)에 기반하며, AES 공모전에서 선정되었습니다. AES는 미국 정부가 채택한 이후 전 세계적으로 널리 사용되고 있습니다. AES는 1977년 공표된 DES(Data Encryption Standard)를 대체한 암호 알고리즘이며, 암호화와 복호화 과정에서 동일한 키를 사용하는 대칭 키 알고리즘입니다.

 

미국 표준 기술 연구소(NIST)는 2001년 11월 26일 AES를 미국 연방 정보 처리 표준(FIPS-197)으로 공포하였습니다. AES는 블록 크기가 128비트이며, 키 길이는 128, 192, 256비트 중 하나를 선택할 수 있습니다. AES는 SPN(Substitution–Permutation Network) 구조를 사용하며, 이는 Feistel 구조를 사용하는 DES와는 다릅니다.

 

이 구조는 Substitution Layer와 Permuation Layer를 이용하여 Confusion과 Diffusion을 만족시키는 암호입니다. AES 암호화 과정은 여러 라운드로 이루어지며, 각 라운드는 SubBytes, ShiftRows, MixColumns, AddRoundKey의 4개 서브 함수로 이루어집니다. 마지막 라운드에서는 MixColumns 단계가 없습니다.

 

각 문항에 대한 설명

① 입력 블록의 크기는 128 비트 고정이고, 키 길이는 128, 192, 256비트 3가지 중 하나를 선택할 수 있다: 이 설명은 정확합니다. AES는 128비트 블록 크기를 가지며, 키 길이는 128, 192, 256 비트 중 하나를 선택할 수 있습니다.

② DES에서 사용한 Feistel 구조가 아닌 SPN (Substitution Permutation Network) 구조를 사용한다: 이 설명도 정확합니다. AES는 DES와 달리 SPN 구조를 사용합니다.

③ SubBytes 연산에서는 4 바이트의 값을 비트 연산을 이용하여 새로운 4 바이트 값으로 변환하는 과정을 수행한다: 이 설명은 부정확합니다. SubBytes 연산에서는 S-Box라는 비선형 대칭표를 이용하여 바이트 값을 대체합니다. 이 과정에서 비트 연산은 사용되지 않습니다.

④ 복수 라운드로 구성되어 있으며, 각 라운드는 SubBytes, ShiftRows, MixColumns, AddRoundKey라는 4개의 서브 함수로 구성된다: 이 설명은 정확합니다. AES는 여러 라운드로 구성되며, 각 라운드는 SubBytes, ShiftRows, MixColumns, AddRoundKey의 4개 서브 함수로 이루어집니다.

따라서, 가장 적절하지 않은 설명은 ③번입니다.

---

문제 103

103. 다음 중 접근통제에 대한 설명으로 가장 적절한 것은?

① 임의적 접근통제는 관리자가 부여한 사용자와 정보객체의 보안등급으로 정보의 접근 허가여 부를 결정한다.
② 역할 기반 접근통제는 권한관리를 사용자와 정보 객체 간의 관계가 아닌 기업 환경에서의 역할과 정보 객체 간의 관계로 설정하여 관리한다.
③ ACL(Access Control List) 기반의 접근통제는 객체에 접근통제 정보를 저장하는 방식으로, 주체의 수가 많아져도 효율적인 관리가 가능하 다는 장점이 있다.
④ 강제적 접근통제는 정보 객체의 사용을 요청하는 사용자의 신원에 근거하여 접근 허가를 결정하는 방식이다.

 

출제의도

출제의도는 아마도 접근통제의 다양한 유형과 그 특성에 대한 이해를 검증하려는 것일 것입니다. 

 

각 문항에 대한 설명

① 임의적 접근통제는 관리자가 부여한 사용자와 정보객체의 보안등급으로 정보의 접근 허가여부를 결정한다: 이 설명은 정확합니다. 임의적 접근통제(DAC, Discretionary Access Control)는 객체 소유자나 그에게 할당된 개체가 접근을 허용하거나 거부할 수 있는 권한을 가지는 시스템입니다.

② 역할 기반 접근통제는 권한관리를 사용자와 정보 객체 간의 관계가 아닌 기업 환경에서의 역할과 정보 객체 간의 관계로 설정하여 관리한다: 이 설명도 정확합니다. 역할 기반 접근통제(RBAC, Role-Based Access Control)는 사용자의 역할에 따라 시스템 리소스에 대한 접근을 제어하는 방식입니다.

③ ACL(Access Control List) 기반의 접근통제는 객체에 접근통제 정보를 저장하는 방식으로, 주체의 수가 많아져도 효율적인 관리가 가능하다는 장점이 있다: 이 설명은 부정확합니다. ACL은 네트워크 장비에서 제공하는 기능으로, IP주소 등을 이용하여 접근을 제한하고, 접속 IP 등의 재분석을 통해 불법 유출을 탐지하는 기능을 가지고 있습니다. 그러나 주체의 수가 많아질수록 관리가 복잡해질 수 있습니다.

④ 강제적 접근통제는 정보 객체의 사용을 요청하는 사용자의 신원에 근거하여 접근 허가를 결정하는 방식이다: 이 설명은 부정확합니다. 강제적 접근통제(MAC, Mandatory Access Control)는 시스템이 정보의 분류 등급과 사용자의 보안 등급에 따라 접근을 제어하는 방식입니다. 사용자의 신원보다는 사용자의 보안 등급이 중요합니다.

따라서, 가장 적절한 설명은 ②번입니다. 

---

문제 104

104. 메시지 인증 코드(MAC)는 메시지의 인증에 사용되는 작은 크기의 정보이다. 다음 중 메시지 인증 코드에 대한 설명으로 가장 적절한 것은?

① 메시지 인증 코드는 두 사용자만이 공유한 키를 사용하기 때문에 부인 방지가 가능하다.
② 블록 암호와 CBC 블록암호 모드를 사용하여 메시지 인증 코드를 구현할 수 있다.
③ 메시지 인증 코드를 사용하면 메시지에 대한 기밀성과 무결성을 모두 제공한다.
④ 메시지 인증 코드는 키에 의존하는 양방향 해시 함수이다.

 

출제의도

출제의도는 아마도 MAC의 기본 구조와 작동 원리에 대한 이해를 검증하려는 것일 것입니다.

 

각 문항에 대한 설명

① 메시지 인증 코드는 두 사용자만이 공유한 키를 사용하기 때문에 부인 방지가 가능하다: 이 설명은 정확합니다. MAC은 메시지를 인증하는 데 사용되는 정보로, 메시지가 지정된 발신자로부터 온 것인지 (진위성), 변경되지 않았는지 확인합니다. 두 사용자가 공유한 비밀 키를 사용하여 MAC 값을 생성하고 검증하므로, 부인 방지가 가능합니다.

② 블록 암호와 CBC 블록암호 모드를 사용하여 메시지 인증 코드를 구현할 수 있다: 이 설명도 정확합니다. 블록 암호의 키를 메시지 인증 코드의 공유 키로 사용하고, CBC 모드를 사용하여 메시지 전체를 암호화합니다. 메시지 인증 코드에서는 복호화를 할 필요가 없으므로 마지막 블록만 제외하고 나머지 블록들은 모두 폐기해 마지막 블록만 MAC 값으로 이용합니다.

③ 메시지 인증 코드를 사용하면 메시지에 대한 기밀성과 무결성을 모두 제공한다: 이 설명은 부정확합니다. MAC은 메시지의 무결성과 인증을 제공하지만, 기밀성은 제공하지 않습니다. 메시지의 기밀성은 암호화를 통해 이루어지며, 이는 MAC과는 별개의 과정입니다.

④ 메시지 인증 코드는 키에 의존하는 양방향 해시 함수이다: 이 설명은 부정확합니다. MAC은 키에 의존하는 일방향 해시 함수입니다. MAC 알고리즘은 비밀 키를 입력받고, 임의-길이의 메시지를 인증하며, 출력으로써 MAC (때때로 태그로 알려져 있다)을 출력합니다.

따라서, 가장 적절한 설명은 ②번입니다. 

---

문제 105

105. 다음 설명에 해당하는 공격으로 가장 적절한 것은?

공격자 AP(Access Point)는 정상적인 AP보다 강력한 전파를 발생시켜 무선랜 이용자가 공격자 AP에 접속하도록 유도한 후, 무선랜 이용자의 정보를 중간에서 획득하는 공격

① Evil Twin AP 공격
② Hacktivism AP 공격
③ Proxy AP 공격
④ AP to AP 공격

 

출제의도

무선 네트워크 공격 유형에 대한 이해를 물어보고 있습니다.

 

각 문항에 대한 설명

① Evil Twin AP 공격: 이 공격은 공격자가 가짜 AP(Access Point)를 구축하고 강한 신호를 보내어 사용자가 가짜 AP에 접속하게 함으로써 사용자 정보를 중간에서 가로채는 기법입니다. 이 설명은 문제에서 주어진 시나리오와 일치합니다.

② Hacktivism AP 공격: Hacktivism은 해킹과 정치적 활동(Activism)의 합성어로, 정치적·사회적 목적을 위해 해킹을 수행하는 운동을 의미합니다. 이는 AP 공격과는 직접적인 관련이 없습니다.

③ Proxy AP 공격: 웹 프락시 도구는 웹 트래픽을 중간에서 가로채서 분석하고 조작하는 데 사용되지만, 이는 AP 공격과는 다른 범주에 속합니다.

④ AP to AP 공격: 이 용어는 일반적인 네트워크 보안 용어가 아니며, 검색 결과에 따르면 특정한 공격 유형을 나타내지 않습니다.

따라서, 정답은 ① Evil Twin AP 공격입니다. 이 공격 유형은 공격자가 가짜 AP를 설정하고 강력한 신호를 보내 사용자를 유인한 후, 사용자의 정보를 중간에서 가로채는 방식으로 작동합니다. 

---

다음시간에는 보안 기출문제 풀이 106-110번까지 풀이를 진행해 보겠습니다.
오늘도 읽어주셔서 감사합니다.