17회 정보보안기사 실기시험 문제 분석(모범 답안, 고득점 포인트)
2021년 5월 29일(토), 17회 정보보안기사 실기 시험이 치러졌습니다. 합격자 발표는 약 2주 뒤인 6월 25일(...
2021년 5월 29일(토), 17회 정보보안기사 실기 시험이 치러졌습니다. 합격자 발표는 약 2주 뒤인 6월 25일(금) 10시에 예정되어 있습니다.
코로나로 인한 악조건 속에서 180분 동안 고군분투하고 오신 여러분 모두에게 먼저 격려의 박수를 보내 드립니다. 이번 시험은 특히 기술적인 요소보다는 관리적인 요소를 묻는 문제가 압도적으로 많이 출제되어 더욱 어려움을 겪으셨으리라 생각됩니다.
많은 분들이 허탈한 마음에 울분이 차오르고, 출제진들에 대한 원망이 크실 거라 생각됩니다. 제 개인적으로도 이번 시험은 법령과 관리적 요소를 물어보는 문항이 50% 이상 출제되어, 정보보안기사의 취지와 부합하는지 의구심이 들었습니다.
정보보안기사 합격을 통해 국가공인 전문가로 인정받고, 더 큰 꿈을 펼치겠다는 여러분 앞에 큰 파도가 닥쳐와 여러분들이 타고 있는 배를 흔들고 있습니다. 혹시라도 이번에 닥친 풍랑으로 인해, 배의 방향을 바꾸려는 분들이 계시다면 다시 한번 마음을 추스르길 바라겠습니다.
이럴 때일수록 배를 더 튼튼히 하고, 방향타를 쥐고 있는 팔의 근육을 단련하셔야 합니다. 목적지가 명확하다면, 방향을 틀지 않는 이상 반드시 도착합니다. 긍정의 마인드와 자신감을 갖고 이겨내시길 응원합니다.
※ 그럼, 먼저 이번 시험 문제를 한번 살펴보도록 하겠습니다.
금번 시험의 특징은 4AM with 5C로 말씀드릴 수 있습니다.
1) 애플리케이션 보안(Application) : 지난 회차에 이어 4문제가 출제되어 강세를 계속 이어가고 있습니다.
2) 정보보호 관리 (Management) : 정보보호 관리와 관련하여 4문제가 출제되었습니다.
3) 정보보호 법규 (Compliance) : 법규 관련 문제가 무려 5문제가 출제되었습니다.
문제 유형 측면에서는 교재에 없는 신규 출제 비중이 지난 회차와 동일하게 6문제(38%), 법규에서 5문제(31%)가 출제되어 대응하기가 무척 어려웠으리라 판단됩니다. Snort 문제는 2회 연속 출제되지 않다가 다시 출제가 되었습니다.
|
[단답형] 1. 로그인 인증 우회 공격 기법 2. DNS 캐시 변조 공격 3. 사이버 킬 체인(MITRE) 4. 로그인자격증명 대입 공격 5. 보안취약점 분석 기준(MITRE) 6. 침해사고대응7단계 7. 정보보호법규(용어) 8. 정보보호법규(용어) 9.위험관리절차(ISO27005) 10. 개인정보안전성확보조치기준 [서술형] 11. 개인정보보호법(가명정보, 익명정보) 12. NAC 물리적 구성방법 2가지 13. 정보보호최고책임자의 역할 및 책임 4가지 [실무형] 14. 웹공격(원격명령실행) 성공유무, 대응 방안 15. Snort 룰 16. Apache 설정(문제점, 대응방안) |
※ 출제 영역별 분석은 다음과 같습니다.
지난 회차와 유사하게 애플리케이션 보안(25%), 정보보호관리(25%) 영역의 강세가 이어졌습니다. 전통적으로 출제 비중이 높았던 네트워크보안과 시스템 보안은 도합 19%로 크게 줄었습니다. 법규는 13%대를 유지해 오다가 이번 회차에서는 31%로 급등했습니다.
전체적으로 기출문제와 유사하게 출제된 문제가 25%(4문제), 수험서에서 커버되는 문제가 31%(5문제), 신규로 출제된 7문제 중 3문제는 상식선에서 부분 점수 획득이 가능하도록 난이도 조정이 되었습니다. 법규 문제의 경우 난이도는 높지 않았으나, 그간 출제 비중이 낮았기 때문에 정답을 맞히기 위한 학습량이 부족했으리라 판단됩니다.
이번 회차 합격을 위해선 기출문제, 교재에서 출제된 9문제에서 실수를 줄이고, 신규로 출제된 문제에서 아는 지식을 총동원하여 부분 점수를 획득해야 합니다.
최근 2년간 치러진 시험 중 학습 ROI가 가장 적게 나오는 회차가 아닐까 생각됩니다.
|
출제영역(필기과목기준) |
단답형 |
서술형 |
실무형 |
합계 |
비중 |
|
애플리케이션보안 |
2 |
|
2 |
4 |
25% |
|
Apache 설정 (교재, 기출△) |
|
|
1 |
1 |
|
|
DNS 캐시 변조 (교재) |
1 |
|
|
1 |
|
|
로그인 자격증명 대입 공격 (신규) |
1 |
|
|
1 |
|
|
웹 공격(원격명령실행) (교재) |
|
|
1 |
1 |
|
|
네트워크보안 |
|
1 |
1 |
2 |
13% |
|
NAC 구성방법 (교재) |
|
1 |
|
1 |
|
|
Snort 룰 (기출) |
|
|
1 |
1 |
|
|
법규 |
3 |
2 |
|
5 |
31% |
|
개인정보보호법(가명정보) (신규) |
|
1 |
|
1 |
|
|
개인정보안전성확보조치기준 (교재, 기출△) |
1 |
|
|
1 |
|
|
정보보호최고책임자 (기출) |
|
1 |
|
1 |
|
|
정보보호법규(용어) (신규, 교재△) |
2 |
|
|
2 |
|
|
시스템보안 |
1 |
|
|
1 |
6% |
|
로그인 인증 우회 공격기법 (신규) |
1 |
|
|
1 |
|
|
정보보호관리 |
4 |
|
|
4 |
25% |
|
보안취약점분석기준 (신규) |
1 |
|
|
1 |
|
|
사이버 킬 체인(MITRE) (신규) |
1 |
|
|
1 |
|
|
위험관리 절차 (신규) |
1 |
|
|
1 |
|
|
침해사고대응 7단계 (교재) |
1 |
|
|
1 |
※ 다음은, 제가 분석한 이번 시험문제의 모범 답안과 고득점 포인트입니다. (시험 문제는 실제와 100% 동일하지 않을 수 있습니다. 명확하지 않은 부분은 제가 최대한 맥락을 파악하여 문제를 다듬었습니다. 혹시라도 정정이 필요한 부분이 있으면 댓글 남겨 주세요.)
|
[단답형] 1. mimikaz 와 같은 툴로 메모리에 저장된 NTLM, LanMan 해시를 탈취하여 원격 서버 인증을 시도하는 공격 기법명을 기술하시오. (답) pass the hash * 시중 수험서에 없는 내용으로, 정답을 맞힌 분이 거의 없을 거라 예상됩니다. * 참고 : https://two2sh.tistory.com/m/16 https://blog.naver.com/noorol/221243953797 2. DNS의 캐시 정보를 조작하여 가짜 사이트로 접속을 유도하는 공격 기법명을 기술하시오. (답) DNS 캐시 포이즈닝 * 점수를 주기 위한 문제이므로 반드시 맞춰야 합니다. 3. 사이버 공격의 흐름을 분류하는 기준으로 사이버 킬 체인의 7단계를 확장하여 14단계로 구성된 모델명을 기술하시오. (답) MITRE ATT&CK * 록히드 마틴사에서 발표한 사이버 킬 체인은 시중 수험서에도 포함되어 있기 때문에 익히 알고 있겠으나, MITRE ATT&CK을 아시는 분은 거의 없을 거라 예상됩니다. * 참고 : https://cafe.naver.com/goldbigdragon/91760 https://www.dailysecu.com/news/articleView.html?idxno=107032 4. 공격자가 미리 확보해 놓은 로그인 자격증명(*ID, 패스워드)을 이용하여 사용자가 이용할만한 다른 사이트에 무작위로 대입하여 비인가 접속을 시도하는 공격기법명을 기술하시오. (답) 크리덴셜 스터핑(Credential Stuffing) * 신규로 출제된 문제이나, 미디어에 많이 알려진 공격 기법입니다. 오프라인 과정 진행시 소개해 드린 공격 기법이기도 합니다. * 참고로, 딕셔너리 공격 기법은 비밀번호로 많이 사용되는 리스트를 만들어 그 안에 있는 패스워드를 모두 입력하는 방식입니다. *참고 : https://blog.naver.com/adtkorea77/222287989872 5. 취약점의 여러 가지 요소(코드베이스, 시간성(유효성), 악영향, 환경적 요소)를 고려하여 공격의 난이도와 피해 규모를 평가하고 점수화하는 보안 취약점 평가 기준을 무엇이라 하는가? (답) CVSS(Common Vulnerability Scoring System) * CVE, CWE와 더불어 반드시 알고 있어야 하는 용어로, Offline 강의 때 말씀드린바 있습니다. CVSS 점수는 취약점에 대한 패치 우선순위를 정하는 기준이 됩니다. 클라우드 컴퓨팅 보안 설정 관련된 CCE(Common Configuration Enumeration)도 참조하시기 바랍니다. *참고 : https://www.boannews.com/media/view.asp?idx=88045&kind= http://m.boannews.com/html/detail.html?idx=93640 6. 침해사고 대응 7단계에서 다음 ( )에 들어갈 절차를 기술하시오. * 사고 전 준비과정 > 사고 탐지 > ( ) > 대응 전략 체계화 > 사고 조사 > 보고서 작성 > 해결 (답) 초기 대응 * 수험서에도 있는 내용이고, Offline 강의 때 강조해서 설명드린 내용입니다. 7. 정보보호 관련 법령과 관련하여 ( )에 들어갈 용어를 기술하시오. ( A ) : 정보통신서비스 제공자등이 개인정보의 안전한 처리를 위하여 개인정보보호 조직의 구성, 개인정보취급자의 교육, 개인정보 보호조치 등을 규정한 계획 ( B ) : 정상적인 보호,인증 절차를 우회하여 정보통신기반시설에 접근할 수 있도록 하는 프로그램이나 기술적 장치 등을 정보통신기반시설에 설치하는 방법으로 정보통신망 또는 이와 관련된 정보시스템을 공격하는 행위 ( C ) : 정보통신망의 구축 또는 정보통신서비스의 제공 이전에 계획 또는 설계 등의 과정에서 정보보호를 고려하여 필요한 조치를 하거나 계획을 마련하는 것 (답) ( A ) : 내부관리계획 ( B ) : 전자적 침해행위 ( C ) : 정보보호사전점검 * 개인정보의 기술적관리적보호조치기준, 정보통신기반보호법, 정보통신망법에 담긴 용어의 정의를 물어보는 문제입니다. 3개를 모두 맞추기는 어려웠으리라 보입니다. 최소 1개(내부관리계획) 이상 맞춰 부분 점수를 1점이라도 획득해야 합니다. 8. 정보보호 관련 법령과 관련하여 ( )에 들어갈 용어를 기술하시오. ( A ): 전기통신설비를 이용하거나 전기통신설비와 컴퓨터 및 컴퓨터의 이용기술을 활용하여 정보를 수집ㆍ가공ㆍ저장ㆍ검색ㆍ송신 또는 수신하는 정보통신체제 ( B ): 정보의 수집․저장․검색․송신․수신시 정보의 유출, 위․변조, 훼손 등을 방지하기 위한 하드웨어 및 소프트웨어 일체 ( C ): 국가안전보장ㆍ행정ㆍ국방ㆍ치안ㆍ금융ㆍ통신ㆍ운송ㆍ에너지 등의 업무와 관련된 전자적 제어ㆍ관리시스템 (답) ( A ) : 정보통신망 ( B ) : 정보보호시스템 ( C ) : 정보통신기반시설 * 정보통신기반보호법, 정보통신망법에 담긴 용어의 정의를 물어보는 문제입니다. 3개를 모두 맞추기는 어려웠으리라 보입니다. 최소 2개(정보통신망, 정보통신기반시설) 이상 맞춰 부분 점수 2점을 획득해야 합니다. 9. ISO 27005에 포함된 위험평가(Risk Assessment) 절차와 관련하여 ( ) 에 들어갈 절차명을 기술하시오. ( A ): 잠재적인 손해 발생의 근원을 밝혀내기 위하여, 자산, 위협, 현 통제 현황, 취약점을 식별하는 단계 ( B ): 시나리오별 영향 및 발생 가능성을 객관적, 주관적인 방법으로 분석하는 단계 ( C ): 사전에 마련된 기준에 따라 분석된 위험 목록의 우선순위를 산정하는 단계 (답) ( A ) : 위험식별(Risk identification) ( B ) : 위험분석(Risk Analysis) ( C ) : 위험수준평가(Risk Evaluation) * 위험관리는 실기시험 단골 출제 문제입니다. 그러나, 이번에 출제된 ISO 27005의 경우 수험서에 포함된 내용이 아니므로, 3개를 모두 맞춘 분은 드물 것으로 예상됩니다. 최소 1개(위험분석) 이상 맞춰 부분 점수를 1점이라도 획득해야 합니다. *참고 : https://blog.naver.com/6yujin6/221455777972 https://m.blog.naver.com/PostView.naver?isHttpsRedirect=true&blogId=yohsw&logNo=220923759870 10. 개인정보의 안전성 확보조치 기준과 관련하여 다음 ( )에 들어갈 용어를 기술하시오. 제2조(정의) 19. "접속기록"이란, 개인정보취급자 등이 개인정보처리시스템에 접속하여 수행한 업무내역에 대하여 개인정보취급자 등의 계정, (A), 접속지 정보, (B), 수행업무 등을 전자적으로 기록한 것을 말한다. 제8조(접속기록의 보관 및 점검) (2) 개인정보처리자는 개인정보의 오남용, 분실, 도난, 유출, 위조, 변조 또는 훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 월 1회 이상 점검하여야 한다. 특히 개인정보를 다운로드한 것이 발견되었을 경우에는 ( C ) 으로 정하는 바에 따라 그 사유를 반드시 확인하여야 한다. (답) ( A ) : 접속일시 ( B ) : 처리한 정보주체 정보 ( C ) : 내부관리계획 * 접속 기록은 출제가 예상된 문제였습니다. 내부관리계획의 경우 15회 실기와 동일하게 출제되었습니다. 최소 2개(접속일시, 내부관리계획) 이상 맞춰 부분 점수 2점 확보가 필요합니다. [서술형] 11. 개인정보보호법에 규정된 가명정보와 관련하여 다음 물음에 답하시오. (1) 가명처리의 정의 (2) 가명처리 4단계 중 3번째 단계의 이름 (3) 가명처리를 할 때 정보주체 동의 없이도 가능한 경우 (4) 가명정보를 사용할 필요가 없을 때 개인정보보호법에 해당되지 않는 ( ) 를 사용해야 함. (답) (1) 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것 (2) 적정성 검토 및 추가가명처리 (3-1) 통계작성: 특정 집단이나 대상 등에 관하여 작성한 수량적인 정보를 의미하며 시장조사와 같은 상업적 목적의 통계 처리도 포함 (3-2) 과학적 연구: 기술의 개발과 실증, 기초 연구, 응용 연구뿐만 아니라 새로운 기술·제품·서비스 개발 등 산업적 목적을 위해서도 수행이 가능하며, 민간 투자 연구, 기업 등이 수행하는 연구도 가능 (3-3) 공익적 기록보존: 공공의 이익을 위하여 지속적으로 열람할 가치가 있는 정보를 기록하여 보존하는 것을 의미하며, 공공기관뿐만 아니라 민간기업, 단체 등이 일반적인 공익을 위하여 기록을 보존하는 경우도 공익적 기록보존 목적이 인정됨. (4) 익명정보 * 익명정보는 시간ㆍ비용ㆍ기술 등을 합리적으로 고려할 때 다른 정보를 사용하여도 더 이상 개인을 알아볼 수 없는 정보입니다. 데이터 3법이 개정된 지 1년이 지났고, MyData 사업이 본격화되면서 관련 법령을 물어보는 문제가 출제가 되었습니다. 정확히 알고 쓰신 분들은 거의 없을 것으로 판단됩니다. 최대한 아는 범위에서 답안을 작성하여 부분 점수 3~4점을 획득하려는 집중력이 중요한 문제입니다. *참고 : https://blog.naver.com/n_privacy/222123148339 12. NAC의 물리적 구성 방법 두 가지와 특징을 설명하시오. (답) 1) 인라인(In-Line) 방식 - 구성 방식 : Traffic이 흘러가는 경로(주로 NW edge 스위치와 Distribution 계층 사이)에 배치 - 특징 : NW의 물리적 재구성이 필요하고, 실시간 탐지 및 차단에 유리함. 장비의 고속 패킷 처리 능력이 중요하고 장애 발생 시 서비스에 영향을 미칠 수 있는 위험(SPOF:Single Point of Failure)이 있음 2) 아웃오브밴드(Out-of-band) 방식 - 구성 방식 : 스위치의 일반 Port 혹은 Mirroing Port를 통해 NAC 솔루션 연결 - 특징 : NW의 물리적 재구성이 필요 없어 구축이 용이함. 장애 발생 및 성능 이슈로 인한 서비스 영향은 없으나, 탐지 및 차단의 실시간성은 떨어짐. * 교재에는 NAC 솔루션에 대한 물리적 구성 방식은 설명되어 있지 않지만, DB 접근제어 시스템 구성 방식은 설명되어 있습니다. 응용능력이 필요한 문제로 합격을 위하여 부분 점수 7~8점 획득이 필요합니다. *참고 : http://www.mlsoft.com/pdf/51-6.pdf https://www.boannews.com/media/view.asp?idx=66403 13. 정보보호최고책임자의 역할 및 책임을 4가지 이상 기술하시오. (답) 1) 정보보호관리체계의 수립 및 관리ㆍ운영 2) 정보보호 취약점 분석ㆍ평가 및 개선 3) 침해사고의 예방 및 대응 4) 사전 정보보호대책 마련 및 보안조치 설계ㆍ구현 등 5) 정보보호 사전 보안성 검토 6) 중요 정보의 암호화 및 보안서버 적합성 검토 7) 그 밖에 정보통신망법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행 * 정보통신망법 제45조의 3(정보보호최고책임자의 지정 등)에 명시되어 있으며, 16회 실기시험 단답형에 나왔던 문제가 서술형으로 그대로 재출제 되었습니다. 8점 이상 획득이 필요하며, 기출문제 학습의 중요성을 다시 한번 일깨워준 문제입니다. [실무형] 14. 다음 웹로그와 관련하여 다음 물음에 답하시오. [웹로그] 192.168.0.10 - - [30/May/2021:10:10:10 +0900] "GET /script/..%c1%1c../winnt/system32/cmd.exe?/c+dir+c:\ HTTP/1.1" 404 180 1) 어떤 취약점을 이용한 공격인가? 2) 공격 성공 유무 및 판단 근거는? 3) 대응 방안 2가지는? (답) 1) 유니코드 취약점을 이용한 원격코드실행 공격 2) 실패하였음. http response 값으로 404(Page not found)에러가 발생하였기 때문임. 3-1) 웹서버 패치 적용 3-2) IIS서버를 OS가 설치된 드라이브(C:)와 다른 곳(D: or E:)에 설치 3-3) 입력값 필터링 3-4) 화이트리스트 명령어 설정 3-5) IPS 탐지/차단 룰 설정 * 유니코드 취약점을 이용한 원격명령실행 공격입니다. 웹 취약점 관련하여 운영체제 명령 실행은 교재에도 포함되어 있으므로, 1번 문항을 정확히 맞추진 못하더라도 2번, 3번 문항에서 부분 점수 획득(7~8점)은 가능해야 합니다. 15. 다음 Snort 룰에 대하여 각 정책의 의미를 설명하시오. [Snort Rule] Alert any anry -> any 80 (msg:"GET Flooding";content:"GET /HTTP1.";content:"USER";content:!"anonymous";content:"|00|";depth:1;nocase;sid:1;) 1) msg: "GET Flooding" 의 의미는? 2) content: "GET /HTTP1." 의 의미는? 3) content:"USER";content:!"anonymous" 의 의미는? 4) content:"|00|";depth:1 의 의미는? (답) 1) 설정된 2)~4)의 탐지 정책에 모두 일치하는 경우 로그에 "Get Flooding" 으로 기록 2) HTTP request에 "GET /HTTP1." 문자열이 포함되어 있는지 검사 3) 2)번이 끝난 위치에서 "USER" 문자열이 포함되어 있고, 그 뒤에 바로 "anonymous"가 포함되지 않은 문자열 검사 4) 3)번이 끝난 위치에서 1바이트를 확인하여 바이너리 값 00이 포함되어 있는지 검사 * 점수를 주기 위한 문제입니다. 특히, 탐지 정책에 !와 같은 부정 구문이 있는 경우 Not을 의미하므로, 유의해야 합니다. 14점 만점 획득이 필요합니다. 16. Apache 웹서버 설정 관련하여 다음 물음에 답하시오. [Apache 설정] <Directory /> Options FollowSymLinks AllowOverride none Require all granted </Directory> <Directory /var/www> Options indexes FollowSymLinks AllowOverride none Require all granted </Directory> 1) 위와 같이 설정했을 때 발생 가능한 두 가지 문제점은? 2) 두 가지 문제점에 대한 대응 방안은? (답) 1-1) 디렉터리 인덱싱: 모든 디렉터리 및 파일에 대한 인덱싱이 가능하여 주요 웹서버의 주요 정보가 노출됨 1-2) 심볼릭 링크를 통한 디렉터리 접근: 웹에서 허용하는 디렉터리 외에 심볼릭 링크가 걸린 다른 디렉터리에 접근 가능함. 1-3) 상위 디렉터리 접근: ..와 같은 문자를 사용하여 상위 디렉터리로 이동함으로써 중요 파일 및 데이터에 접근 가능함 2-1) indexes 제거 또는 -indexes 2-2) FollowSymlinks 제거 또는 -FollowSymLinks 2-3) AllowOverride authconfig or AllowOverride all * 교재 및 주요정보통신기반시설 기술적 취약점 분석평가방법 상세 가이드에 포함된 내용입니다. 10점 이상 획득이 필요합니다. |
법규와 관리 영역에 편중된 문제 분포로 그 어느 때보다 많은 논란을 불러일으켰던 17회 시험이었습니다. 문제 분석을 해보니, 이전 회차 준비할 때와 동일하게 교재 중심으로 학습(최소 2회 반복) 한 경우 56점~68점(단답형 15~18점, 서술형 17~24점, 실무형 24~26점) 정도의 점수 분포가 예상됩니다.
즉, 법규와 관리 문제가 많이 출제된 단답형보다는 기술적 문제가 많이 출제된 서술형, 실무형에서 최대한 많은 점수를 확보하는 것이 합격의 열쇠입니다.
제가 매번 강조하는 실기시험 합격을 위한 3가지 중점 포인트입니다. 이번과 같이 예외적인 상황에서도 합격을 위한 불변의 진리입니다.
1) 수험서와 기출문제를 철저하게 학습하시기 바랍니다.(여기서 벗어나는 문제에 집착하지 마세요.)
2) 문제를 꼼꼼하게 최소 3번 이상 집중해서 읽고, 문제에서 물어보는 사항에 대하여 빠짐없이 답안을 작성합니다. (!과 같은 사소한 부분을 놓치면 4점이 사라 집니다.)
3) 최대한 상세하고 성실하고 친절하게 답안을 작성합니다.(불필요하거나 정확하지 않은 말을 쓰라는 의미가 아닙니다.)
이번 시험에서 좋지 않은 결과가 나오더라도 절대 포기하지 말고 도전을 멈추지 마세요.
자격증의 희소가치를 생각하고, 국가가 공인한 정보보안 기사로서 부끄럽지 않게 실무에서 활약하는 모습을 상상하며 이를 악물고 맞짱을 뜨세요. 보란 듯이 합격을 쟁취해내는 여러분들을 응원합니다. (((힘)))