정보보호 기사 실기 대비 - 1

개인정보보호 관련 문제 모음

 

어차피 내일인데 지금 실력을 보기에는 떨어진거 같으니 그동안 공부했던 문제들이나 적어둘 생각이다.

 

 

개인정보보호 법령에 따른 안전한 개인정보 파기 방법에 대해 설명하시오.

 

1. 전자적 형태의 정보는 기록을 재생할 수 없는 기술적 방법을 사용합니다.
2. 종이에 출력된 개인정보는 분쇄기로 분쇄하거나 소각을 통하여 파기합니다.

 

 

개인정보보호법에 규정된 개인정보 보호책임자의 권한 및 권리에 대해 설명하시오.

 

1. 개인정보 보호책임자는 법에서 정한 역할을 수행함에 있어서 필요한 경우 개인정보의 처리 현황, 처리 체계 등에 대하여 수시로 조사하거나 관계 당사자로부터 보고 받을 수 있다.
2. 개인정보처리자는 법에서 정한 역할을 수행함에 있어서 정당한 사유 없이 불이익을 받지 않는다.
3. 개인정보 보호책임자는 개인정보 보호와 관련하여 이 법 및 다른 관계 법령의 위반 사실을 알게 된 경우에 즉시 개선조치를 하여야 하며, 필요시 소속 기관 또는 단체의 장에게 개선조치를 보고하여야 한다.

 

 

다음을 보고 질문에 응답하시오.

통신 구간 암호화를 위해 많이 사용하는 OpenSSL 라이브러리에서 서버에 저장된 중요 메모리 데이터가 
노출되는 심각한 버그가 발견되어 시스템 및 소프트웨어에 대한 신속한 취약점 조치가 권고되었다.

1) 취약점명은 무엇인가?
2) 영향을 받는 버전은 무엇인가?
3) 대응방법은 무엇인가?

1) 하트 블리드(HeartBleed)

이 버그는 버퍼 초과 읽기로 분류되는데, 소프트웨어가 허용된 것보다 더 많은 데이터를 읽게 하는 상황을 가리킨다.

이렇게 무의미한 작은 정보들을 지속적으로 유출시키면, 이러한 무의미한 정보들이 모여 하나의 완전한 유의미한 정보가 될 수있다.

이를 심장이 한번씩 뛸 때마다 심장에서 피가 한방울씩 떨어지는 치명적인 심장출혈로 비유하여 명명한 것이다.

 

2) 1.01f 버전 이하 버전들이 영향을 받는다.

3) 1.01g 버전부터 이 버그를 해결했기 때문에 1.01g버전 이상으로 업그레이드 하면 된다.

 

 

다음에서 설명하는 것은?

DDoS 공격툴로 Attacker, Master, Agent로 공격 네트워크를 구성해 UDP Flooding 공격을 수행함.
Attacker는 Master에 접속해 공격명령을 내리고 Master는 Agent에게 공격타겟에 대한 명령을 내리면 
Agent는 해당 희생자에게 DDoS공격을 수행한다.

 

답 : Trinoo

 

 

위험은 비정상적인 일이 발생할 수 있는 가능성을 말하며, 위험분석은 위험을 분석하고 해석하는 과정이다. 위험을 구성하는 4가지 기본요소를 쓰시오.

찾아보니 잘 나오는 문제 중 하나여서 외워두는것이 좋다.

 

1. 자산 : 조직이 보호해야할 대상
2. 취약점 : 자산의 잠재적 위협 요소나 위협의 이용 대상
3. 위협 : 자산의 손실을 초래할 수 있는 잠재적 원인
4. 정보보호대책 : 위협으로부터 대응하기 위한 기술적/물리적/관리적 보호 대책

 

 

데드락의 발생조건은?

이 문제를 알기위해서는 우선 데드락의 개념을 알아야 한다.

데드락(DeadLock)이란? 둘 이상의 프로세스가 다른 프로세스가 점유하고 있는 자원을 서로 기다릴 때 무한 대기에 빠지는 상황을 일컫는다.

 

데드락의 발생조건

1. 상호 배제 : 한 번에 프로세스 하나만 해당 자원을 사용할 수 있다. 사용 중인 자원을 다른 프로세스가 사용하려면 요청한 자원이 해체될 때까지 기다려야 한다.
2. 점유 대기 : 자원을 최소한 하나 보유하고, 다른 프로세스에 할당된 자원을 점유하기 위해 대기하는 프로세스가 존재해야한다.
3. 비선점 : 이미 할당된 자원을 강제로 빼앗을 수 없다.
4. 순환 대기 : 대기 프로세스의 집합이 순호나 형태로 자원을 대기하고 있어야 한다.

 

데드락의 해결방법

1. 데드락이 발생하지 않도록 예방하기
2. 데드락 발생 가능성을 인정하면서도 적절하게 회피하기
3. 데드락 발생을 허용하지만 데드락을 탐지하며, 데드락에서 회복하기

 

 

다음을 설명하시오.

 

IPSec 프로토콜은 전송모드와 터널모드 2가지를 가진다. 
ESP를 사용한 암호화 범위를 중심으로 전송모드와 터널모드의 차이를 설명하시오.

전송모드는 IP 패킷 전체가 아닌 페이로드만을 보호하고 터널 모드는 IP 패킷 전체를 보호한다.

 

더 자세한 설명은 추후 IPSec에 대해 포스팅을 하겠다.

 

다음을 보고 무슨 공격인지 설명하시오

"GET /login?id=1'+and+substr(password,2,1)='0'# HTTP/1.1" 200 1739 "" "Mozilla/5.0 (Windows NT 6
.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.95 Safari/537.36"
"GET /login?id=1'+and+substr(password,2,1)='1'# HTTP/1.1" 200 1788 "" "Mozilla/5.0 (Windows NT 6
.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.95 Safari/537.36"
"GET /login?id=1'+and+substr(password,1,1)='2'# HTTP/1.1" 200 1789 "" "Mozilla/5.0 (Windows NT 6
.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.95 Safari/537.36"
"GET /login?id=1'+and+substr(password,1,1)='3'# HTTP/1.1" 200 1789 "" "Mozilla/5.0 (Windows NT 6
.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.95 Safari/537.36"

답 : Blind SQL Injection

 

단순히 SQL문을 조작하여 인증을 우회하거나 특정 명령을 수행하는 것 외에 DB에 저장된 값을 추정 가능

문자열 중 단일 문자와의 비교를 통해 결과가 True or False인지 확인

ID가 1인 사용자의 password 컬럼값에 대해 substr()함수를 이용하여 1부터 순차적으로 한문자씩 비교를 수행

 

사실 잘 이해가 안간다. 이 부분도 나중에 따로 포스팅 하겠다.

 

아무래도 부족한 시간에 중간고사 기간도 같이 겹쳐서 많은 공부를 못해 좋은 결과를 기대하기는 어려울것 같지만 그래도 내일 응시하고 후기를 가져오겠다.