정보보안기사 13회: 두 판 사이의 차이

필기

실기

• 2019년 5월 25일 시행
• 정보보안관련 법규 문제가 출제되지 않았다.
• 위험관리 관련 문제가 다수 출제되었다.

기출 문제

문제 순서는 무의미함

1. (단답형)
   • 문제: MAC주소를 위조해서 스니핑하는 기법은?
   • 답: ARP 스푸핑
2. (단답형)
   • 문제: 취약점 및 침해요인과 그 대응방안에 관한 정보 제공하며 침해사고가 발생하는 경우 실시간 경보ㆍ분석체계 운영하며 금융ㆍ통신 등 분야별 정보통신기반시설을 보호하기 위하여 다음 각호의 업무를 수행하는 조직은?
   • 답: 정보 공유·분석 센터(ISAC)
3. (단답형)
   • 문제: 침입탐지시스템과 관련하여 아래에 해당하는 용어는?
     • (1) 미리 등록된 패턴을 기반으로 이상행위를 탐지하는 기법
     • (2) 정상행위와 이상행위를 프로파일링 하여 통계적인 방법으로 이상행위를 탐지하는 기법
     • (3) 정상행위를 이상행위로 판단하거나 이상행위를 탐지하지 못하는 상황
   • 답: 지식기반, 행위기반, 오탐
4. (단답형)
   • 문제: 최근 Github는 ( ) 취약점을 통해 1.36Tbp의 DDOS 공격을 당했다. ( ) 는 스토리지나 DB같은 대규모 데이터저장소의 부하를 줄이기 위해 캐시를 저장해 두는 툴이다. 통상 캐시가 필요한 시스템에만 사용되고, 인터넷에 노출되지 않기 때문에, 별도 권한설정을 요구하지 않는다. 하지만 현실은 인터넷에 노출된 ( ) 서버가 적지 않고, 이들은 DDoS 공격 수단으로 전락할 수 있다.
   • 답: 맴캐시드(Memcached) 서버
5. (단답형)
   • 문제: A는 리눅스의 "/etc"에 위치하고 있으며 패스워드의 사용기간 만료, 패스워드 최대 사용기간, 패스워드의 최소 변경기간 등의 패스워드 정책을 설정 할 수 있다. A의 파일이름은 무엇인가?
   • 답: login.defs
6. (단답형)
   • 문제: 자산에 대해 보험을 들어 손실에 대비하는 등 조직의 자산에 대한 위협, 위험, 취약점 등을 제3자에게 전가하는 위험관리 방식은?
   • 답: 위험 전가, 위험 전이
7. (단답형)
   • 문제: 웹어플리케이션 취약점 분석 방법 관련
   • 답: 블랙박스 테스트, 화이트박스 테스트
8. (단답형)
   • 문제:
   • 답: 시나리오분석법, 델파이분석법
9. (단답형)
   • 문제:
   • 답: 베이스라인분석법
10. (단답형)
    • 문제:
    • 답: BCP(업무연속성계획)
11. (실무형)
    • IDS, IPS 미러링, 인라인 사유 관련
12. (실무형)
    • AH, ESP 인증, 암호화 대상 관련
13. (서술형)
    • SNORT 룰셋 풀이 관련
14. (서술형)
    • 문제: 디렉터리 리스팅 관련 요청 헤더와 응답 해더
      • 1) 공격에 이름은?
      • 2) 공격이 성공했다는 근거는?
      • 3) apache2.conf 파일에서 보안 조치 방법은?
    • 답
      • 1) 디렉터리 인덱싱
      • 2) HTTP1.1/200 OK
      • 3) indexes 기능 제거
15. (서술형)
    • 문제: robot.txt의 내용이 아래와 같다. 의미를 설명하라
      • useragent : yeti
      • useragent : googlebot
      • allow : \
      • useragent : googlebot-image
      • disallow : /admin/
      • disallow : /*.pdf$
    • 답: 검색엔진의 로봇인 yeti, googlebot에게 root 디렉터리(/) 아래 모든 파일 및 디렉터리에 대한 크롤링을 허용, googlebot-image라는 로봇에 대해선 /admin/ 폴더와 pdf 확장자를 가진 파일은 크롤링을 허용하지 않음