1. 리눅스에서 패스워드 최소 길이를 8자리 이상으로 설정하려고 한다. 패스워드 설정을 위한 파일명(A)과 설정 내용(B,C)을 기술하시오.

#cat /etc/(  A  )
(  B  )  (  C  )

2. 무선 네트워크에서는 다중 접속시 상호 충돌을 회피하기 위하여 CSMA/CA 프로토콜을 사용한다. 이 경우, 타임아웃 설정은 어느 신호에 포함되는지 보기에서 2개를 선택하여 답하시오.

[보기]
CTS, DATA, RST, SYN, ACK, RTS

3. Domain Name(URL) 에 대한 IP정보를 찾아주는 DNS는, 먼저 클라이언트 영역에 위치한 ( A ) DNS 서버에 질의하여 IP정보를 찾고, 없으면 ( B ) DNS서버에 추가로 요청하여 IP정보를 찾는다.

4. 공격자가 HTTP 패킷의 헤더(Content-Length, Transfer Encoding: Chunked 등)를 변조하여 일반 사용자가 접근할 수 없는 Back-end 서버로 직접 보내 중요 정보 획득, XSS 공격유도, 서버 웹 캐시 포이즈닝 등을 수행하는 공격 기법을 무엇이라 하나?

[보기]
XSS, CSRF, SQL Injection, HTTP request smuggling

5. 침입 탐지 시스템에서 공격이 아닌데 공격이라고 오판하는 것을 ( A )라 하고, 공격인데 공격이 아니라고 오판하는 것을 ( B ) 라고 한다.

6. XML 문서를 조회하는 기능을 구현해야 하는 경우 XML 쿼리에 사용되는 파라미터는 반드시 XML 쿼리를 조작할 수 없도록 필터링해서 사용하거나, 미리 작성된 쿼리문에 입력값을 자료혀엥 따라 바인딩해서 사용해야 한다. 관련하여 다음은 SW 설계시 고려해야 할 사항이다. ( )에 들어갈 용어를 기술하시오.

(ㄱ) (A) 컴포넌트를 이용한 입력값 필터링 : 외부입력값에서 XML 삽입 공격이 가능한 문자열들을 필터링하는 Validator 컴포넌트를 개발하여 XML 조회를 수행하는 애플리케이션 작성 시 입력값에 대한 검증 작업이 일괄 적용되도록 설계한다.
(ㄴ) 개별 코드에서 입력값 (B) 하도록 시큐어코딩 규칙 정의: 각각의 컴포넌트에서 입력값에 대해 XML 삽입을 발생시킬 수 있는 문자열(", [, ], /, =, @ 등)을 제거 또는 안전하게 치환하여 사용할 수 있도록 시큐어코딩 규칙을 정의한다.
(ㄷ) 안전한 (C) 를 사용하도록 시큐어코딩 규칙 정의: XML 조회를 수행하는 쿼리문 작성시 외부입력값이 쿼리문의 구조를 바꿀 수 없는 (C) (예: Java API-XQuery)를 사용하도록 시큐어코딩 규칙을 정의한다.

7. 공격자들이 표적으로 삼은 조직 네트워크망에 침투한 후 오랜 기간 탐지를 회피하여 정보를 수집해 빼돌리는 고도의 지능형 표적 공격을 무엇이라 하나?

8. 공격자가 자신의 TCP 윈도우 사이즈를 0으로 설정한 후 다수의 HTTP 패킷을 송신하여 웹서버가 정상적으로 응답하지 못하도록 만드는 공격 기법을 무엇이라 하나?

9. XSS 취약점 유형에 대한 설명이다. ( )안에 들어갈 용어를 기술하시오.

(1) ( A ) : 공격자의 입력 값이 서버에 저장되지 않고 HTTP 응답에 그대로 포함되도록 허용되는 경우, 사용자가 공격자가 전달한 악의적인 링크에 접속할 때 발생
(2) ( B ) : 서버가 충분한 검증 없이 공격자로 부터 입력받은 값을 저장한 뒤 다른 사용자에게 표시해 줄 때 발생 
(3) ( C ) : 스크립트(일반적으로 자바스크립트)가 DOM 을 제어하는 과정을 공격자가 조작 가능할 때 발생

10. 침입탐지 시스템에는 호스트 컴퓨터의 내부 상태 또는 저장된 로그를 분석하여 침입을 탐지하는 (A), 통신망을 통해 전송되는 패킷 데이터를 분석하여 침입 여부를 판단하는 (B)가 있다.

11. 위험을 구성하는 요소에 대한 설명이다. ( )에 들어갈 용어를 기술하시오.

(A) : 조직 내에서 가치를 가지고 있는 모든 것으로, 보호해야 할 대상
(B) : 자산에 손실을 초래할 수 있는 원치 않는 사건의 잠재적인 원인 또는 행위자
(C) : 위협의 이용 대상이 되는 자산의 잠재적인 약점

12. ( A )는 조직의 자산에 대한 위험을 감수할 수 있는 수준으로 유지하기 위해 위험을 분석하고, 비용대비 효과적인 대책을 마련하는 일련의 과정이다. ( A )의 단계는 ( B ), 위험평가, ( C )이다.
( B )는 잠재적으로 식별된 위험이 조직의 목표 및 운영에 미칠 가능성과 잠재적 영향을 분석하는 단계이다. ( C )는 식별된 위험을 완화, 이전, 수용 또는 방지하기 위한 위험 처리 방안을 결정하는 단계이다.

13. 사용자가 윈도우 명령 처리기(cmd.exe)를 실행하려고 할 때 다음과 같이 사용자 계정 콘트롤(UAC) 팝업창이 표시되었다. 관련하여 질문에 답하시오.

1) 사용자가 윈도우 명령 처리기를 실행한 의도는 무엇인가?
2) 사용자 계정 콘트롤 팝업창에서 [예] 버튼이 비활성화된 이유는 무엇인가?

14. 개인정보 처리가 수반되는 사업 추진 시 해당 사업이 개인정보에 미치는 영향을 사전에 분석하고 이에 대한 개선방안을 수립하여 개인정보 침해사고를 사전에 예방하기 위하여 개인정보 영향평가를 수행한다. 개인정보 영향평가 수행 시 고려해야 할 사항 5가지를 기술하시오.

15. 시스템 로그 점검 중 다음과 같은 로그가 발견되었다. 관련하여 다음 질문에 답하시오.

[로그]
device eth0 entered Promiscuous mode

1) Promiscuous mode의 의미는?
2) 해당 모드로 진입 시 수행 가능한 공격은?
3) 공격에 대응할 수 있는 방법은?

16. XSS(Cross Site Script) 공격의 정의와 공격 기법 2가지를 설명하시오.

17. 데이터 베이스 권한 관리가 미흡한 경우, 비인가자가 DB에 접근하여 정보 유출, 훼손, 파괴 등 악의적인 행위가 이루어질 수 있다. (1) DBA가 일반사용자 또는 원격 사용자에게 부여하면 안 되는 권한 3가지와 (2) 접근권한을 최소화할 수 있는 방법 4가지를 기술하시오.

18. 아래 취약점 점검 결과를 기반으로, 다음 물음에 답하시오.

[취약점 점검 결과]
# openssl version -a
OpenSSL 1.0.1 14 May 2012

# openssl s_client -connect domain.com:8443 -tlsextdebug -debug -state | grep -i heartbeat
SSL_connect:before SSL initialization
SSL_connect:SSLv3/TLS write client hello
SSL_connect:SSLv3/TLS read server hello
TLS server extension "heartbeat" (id=15), len=1


1) 취약점 명은?
2) 시스템적으로 해당 취약점을 조치하는 방법은?
3) 서비스적으로 해당 취약점을 조치하는 방법은?