해커를 꿈꾸는 개발자

정보보안기사 필기 독학 / 정보보안 일반 / 3. 접근 통제

접근통제 방법

임의적 접근통제(DAC) : 시스템 객체에 대한 접근을 사용자 개인 또는 그룹의 식별자를 기반으로 제한하며 어떤 종류의 접근 권한을 갖는 사용자는 다른 사용자에게 자신의 판단에 의해서 권한을 줄 수 있는 방법

강제적 접근통제(MAC) : 정보 시스템 내에서 어떤 주체가 특정 객체에 접근하려 할 때 양쪽의 보안 라벨(Security Label)에 기초하여 높은 보안 수준을 요구하는 정보(객체)가 낮은 보안 수준의 주체에게 노출되지 않도록 접근을 제한하는 통제 방법

역할기반 접근통제(RBAC) : 사용자가 객체에 접근할 때, 사용자와 접근 허가의 직접적인 관계가 아닌 조직의 특성에 따른 역할을 매개자로 하여 사용자-역할, 접근 허가-역할의 관계를 통해 접근을 제어하는 방법

접근 통제 보안모델

벨-라파툴라 모델 : 미 국방부 지원 보안 모델로 보안 요소 중 기밀성을 강조한 모델입니다. 최초의 수학적 모델로 강제적 정책에 의해 접근을 통제합니다. 보안 정책은 정보가 높은 레벨에서 낮은 레벨로 흐르는 것을 방지하며 No Read Up, No Write Down으로 표현됩니다.

비바 모델 : 데이터 무결성에 초점을 둔 상업용 접근 통제 보안 모델입니다. 이 모델에서는 비인가자들의 데이터 변형에 대한 방지만 취급하며, 주체는 보다 낮은 무결성의 정보를 읽을 수 없습니다.(no read down policy) 주체는 또한 자신보다 높은 무결성 수준의 객체를 수정할 수 없다.(no wile up policy) 이 모델은 상태 머신(state mechine) 모델에 기반을 두고 있습니다.

관련 문제

13회 강제적 접근통제 정책에 대한 설명으로 옳지 않은 것은?4
① 모든 주체와 객체에 보안관리자가 부여한 보안레이블이 부여되며 주체가 객체를 접근할 때 주체와 객체의 보안레이블을 비교하여 접근허가 여부를 결정한다.
② 미리 정의된 보안규칙들에 의해 접근허가 여부가 판단되므로 임의적 접근통제 정책에 비해 객체에 대한 중앙 집중적인 접근통제가 가능하다.
③ 강제적 접근통제 정책을 지원하는 대표적 접근통제 모델로는 BLP(Bell-Lapadula), Biba 등이 있다.
④ 강제적 접근통제 정책에 구현하는 대표적 보안 메커니즘으로 Capability List와 ACL(Access Control List) 등 이 있다

13회 다음 중 임의적 접근통제(DAC : Discretionary access control) 에 해당하는 특징이 아닌 것은?2
① 사용자 기반 및 ID 기반 접근통제
② 중앙 집중적 관리가 가능
③ 모든 개개의 주체와 객체 단위로 접근권한 설정
④ 객체의 소유주가 주체와 객체 간의 접근통제 관계를 정의

11회 MAC 정책의 특징에 대한 설명으로 가장 부적절한 것은?1
① 객체의 소유주가 주체와 객체간의 접근 통제 관계를 정의
② 보안관리자 주도 하에 중앙 집중적 관리가 가능
③ 접근 규칙수가 적어 통제가 용이
④ 사용자와 데이터는 보안 취급허가를 부여 받아 적용

10회 임의적 접근통제 방식에 대한 설명 중 옳지 않은 것은?4
① 모든 개별의 주체와 객체 단위로 접근 권한을 설정한다.
② 객체의 소유주가 주체와 객체 간의 접근 통제 관계를 정의 한다.
③ 접근통제 목록(ACL)을 통해 구현한다.
④ 중앙집중적으로 통제 되는 환경에 적합하다.

9회 ㉠ ~㉢ 에 적합한 접근통제 방법은?4
[보기]
( ㉠ ) 접근통제 : 시스템 객체에 대한 접근을 사용자 개인 또는 그룹의 식별자를 기반으로 제한하며 어떤 종류의 접근 권한을 갖는 사용자는 다른 사용자에게 자신의 판단에 의해서 권한을 줄 수 있는 방법
( ㉡ ) 접근통제 : 정보 시스템 내에서 어떤 주체가 특정 객체에 접근하려 할 때 양쪽의 보안 라벨(Security Label)에 기초하여 높은 보안 수준을 요구하는 정보(객체)가 낮은 보안 수준의 주체에게 노출되지 않도록 접근을 제한하는 통제 방법
( ㉢ ) 접근통제 : 사용자가 객체에 접근할 때, 사용자와 접근 허가의 직접적인 관계가 아닌 조직의 특성에 따른 역할을 매개자로 하여 사용자-역할, 접근 허가-역할의 관계를 통해 접근을 제어하는 방법
① ㉠ 강제적 ㉡ 임의적 ㉢ 역할기반
② ㉠ 강제적 ㉡ 역할기반 ㉢ 임의적
③ ㉠ 임의적 ㉡ 역할기반 ㉢ 강제적
④ ㉠ 임의적 ㉡ 강제적 ㉢ 역할기반


8회 최근 입사하여 소속 부서의 프린터 관리를 담당하게 된 홍길동은 이전 담당자의 자원 접근 권한을 그대로 인계 받아 업무를 수행하게 되었다. 이러한 상황과 가장 관련성이 높은 접근 통제 기술은 무엇인가?3
① 강제적 접근통제(MAC)
② 임의적 접근통제(DAC)
③ 역할기반 접근통제(RBAC)
④ 다단계 보안정책(MLS)

8회 접근통제 모델 중 정보의 소유자가 정보의 보안 수준을 결정하고 이에 대한 정보의 접근 통제까지 설정하는 모델은 무엇 인가?1
① DAC(Discretionary Access Control)
② MAC((Mandatory Access Control)
③ RBAC(Role-Based Access Control)
④ HAC(Horizon Access Control)

7회 임의적 접근통제 방식에 대한 설명 중 옳지 않은 것은?4
① 개별 주체와 객체 딘-위로 접근 권한 설정
② 객체의 소유주가 주체와 객체 간의 접근 통제 관재를 정의
③ 접근 통제 목록(AGL : Access Control List)을 통해 구현
④ 중앙집중적으로 통제되는 환경에 적합

7회 MAC 접근정책에 대한 설명으로서 옳지 않은 것은?3
① 접근 규칙 수가 적어 통제가 용이
② 보안관리자 주도하에 중앙 집중적 관리가 가능
③ 개별 객체에 대해 접근 가능한 주체 설정
④ 사용자와 데이터는 보안 취급허가를 부여 받아 적용

6회 다음 중 주체가 속해 있는 그룹의 신원에 근거해 객체에 대한 접근을 제한하는 방법은?3
① 역할기반 접근통제
② 강제적 접근통제
③ 임의적 접근 통제
④ 상호적 접근 통제

13회 9회 인적자원 관리자가 특정 부서 사용자들에게 같은 직무를 수 행할 수 있는
접근 권한을 할당하고 있다. 이것은 다음 중 어느 것의 예인가?1
① 역할기반 접근 통제
② 규칙기반 접근 통제
③ 중앙집중식 접근 통제
④ 강제적 접근 통제

5회 다음에서 설명하고 있는 접근 제어 정책으로 올바른 것은?3
[보기]
• 자원에 대한 접근은 사용자에게 할당된 역할에 기반한다.
• 관리자는 사용자에게 특정한 권리와 권한이 정의 된 역할을 할당한다.
• 사용자와 할당된 역할의 연관성으로 인하여 자원들에 접근할 수 있고, 특정한 작업들을 수행할 수 있다.
① MAC
② DAC
③ RBAC
④ HMAC

14회 중앙집중관리 방식의 강제적 접근 통제(MAC)에 대한 장점으로 옳지 않은 것은? 3
①규칙이 단순해 관리가 용이하다.
②중앙에서 강력하게 통제할 수 있다.
③이직률이 높은 회사에 유리하다.
④개인, 데이터별로 명확한 보안등급을 가진다.


14회 다음에서 설명하는 접근통제 모델로 알맞은 것은?2
미 국방부 지원 보안 모델로 보안 요소 중 기밀성을 강조한 모델이다. 최초의 수학적 모델로 강제적 정책에 의해 접근을 통제한다. 보안 정책은 정보가 높은 레벨에서 낮은 레벨로 흐르는 것을 방지하며 No Read Up, No Write Down으로 표현된다.
①비바 모델
②벨-라파툴라 모델
③만리장성 모델
④클락윌슨 모델

11회 7회 다음의 지문이 설명하고 있는 접근 통제 보안모델은?2
[보기]
이 모델은 데이터 무결성에 초점을 둔 상업용 접근 통제 보안 모델이다. 이 모델에서는 비인가자들의 데이터 변형에 대한 방지만 취급하며, 주체는 보다 낮은 무결성의 정보를 읽을 수 없 다.(no read down policy) 주체는 또한 자신보다 높은 무결성 수준의 객체를 수정할 수 없다.(no wile up policy) 이 모델은 상태 머신(state mechine) 모델에 기반을 두고 있다.
① Bell-LaPadula Model
② Biba Model
③ Clark-Wilson Model
④ Lattice Model

10회 67. Bell-LaPadula 모델에 대한 설명으로 옳지 않은 것은?4
① 낮은 보안 레벨의 권한을 가진 이는 높은 보안 레벨의 문서를 읽을 수 없고, 자신의 권한보다 낮은 수준의 문서만 읽을 수 있다.
② 자신보다 높은 보안 레벨의 문서에 쓰기는 가능하지만 보안 레벨이 낮은 문서에는 쓰기 권한이 없다.
③ 정보에 대한 기밀성을 보장하기 위한 방법으로 강제적 접근 모델 중 하나이다.
④ 낮은 보안 레벨의 권한을 가진 이가 높은 보안 레벨의 문서를 읽고 쓸 수는 없으나, 낮은 레벨의 문서에는 읽고 쓸 수 있다.

9회 77. 다음은 BLP 모맬의 특성을 나타내고 있다. 높은 보안등급과 낮은 보안등급 사이에서 읽기와 쓰기 권한이 바르게 짝지어 진 것은?3
① Read-Up 금지, Write-Up 금지
② Read-Down 금지, Write-Up 금지
③ Read-Up 금지, Write-Down 금지
④ Read-Down 금지, Write-Down 금지

8회 7접근통제 모델 중 기밀성을 강조한 최초의 수학적 모델로 시스템 보안을 위한 규칙 준수 규정과 주체의 객체 접근 허용 범위를 규정한 것으로 옳은 것은?1
① 벨-라파듈라 모델
② 비바 모델
③ 클락-윌슨(Clark-Wilson) 모델
④ 만리장성 모델

6회 다음의 접근 통제 모델 중〈보기〉에 알맞은 모델은 무엇인가?2
비군사적 조직에 있어서 무결성을 더 중요시 하였다.주어진 무결성보다 낮은 무결성 등급에서는 읽을수 없다. (No Read Down)
① 벨-라파둘라 모델
② 비바 모델
③ 클락-윌슨 모델
④ 접근 통제 매트릭스

정보보안기사 필기 독학 / 정보보안 일반 / 2. 사용자 인증 방식, 커버로스

지식 기반 인증 : 패스워드, ID

소유 기반 인증 : 스마트카드, 신분증, OTP

존재 기반 인증 : 생체특성, 지문, 장문, 얼굴, 손 모양, 홍채, 망막, 정맥

행동 기반 인증 : 음성인식, 서명, 키보드 입력

사용자 인증을 위한 생체인증 특징 : 보편성, 유일성, 지속성, 성능, 수용성, 저항성

커버로스

MIT(Massachusetts Institute of Technology) 대학에서 개발한 분산 환경 하에서 개체 인증서비스를 제공하는 네트워크 인증시스템입니다. 비밀키 암호작성법에 기초를 둔자주 이용되는 온라인 암호키 분배방법입니다. 이 시스템의 목적은 인증된 클라이언트만이 서버에 접속하도록 하는 것 입니다. 이것의 장점으로는 데이터의 기밀성과 무결성을 보장한다는 점을 들 수 있고, 이것의 단점으로는 키 분배센터에 장애 발생 시 전체서비스가 사용 불가 상태가 됨을 들 수 있습니다. 

관련 문제

14회 다음 보기 중 인증 방식과 그에 대한 예시가 잘못 연결된 것은?1
①존재 기반 : 지문, OTP
②소유 기반 : 스마트카드, 신분증
③지식 기반: 패스워드, ID
④위치기반: IP, 콜백함수

13회 사용자 인증에서는 3가지 유형의 인증방식을 사용하고 있으며, 보안을 강화하기 위하여
2가지 유형을 결합하여 2 factor 인증을 수행한다. 다음 중 2 factor 인증으로 적절하지 않은 것은?4
① USB 토큰, 비밀번호
② 스마트카드, PIN(Personal Identification Number)
③ 지문, 비밀번호
④ 음성인식, 수기서명

8회 사용자 인증을 위해 사용되는 생체인식 기술의 요구조건이 아닌 것은 무엇인가?4
① 보편성
② 구별성
③ 영구성
④ 시간 의존성

7회 사용자 인증에 사용되는 기술이 아닌 것은?1
① Snort
② OTP(One Time Password)
③ SSO(Single Sign On)
④ 스마트 카드

7회 사용자가 알고 있는 지식, 예를 들면 아이디, 패스워드，신용 카드에 대한 개인식별번호 등의 지식을 기초로 접근제어를 수행하는 사용자 인증기법은 무엇인가?1
① 지식 기반 사용자 인증기법
② 소유 기반 사용자 인증기법
③ 생체 기반 사용자 인증기법
④ 혼합형 사용자 인증기법

7회 전자인증 방식의 하나인 Password 방식의 문제점으로 옳지 않은 것을 고르시오4
① 패스워드 전송 노출
② 패스워드 재전송
③ 별도의 키 분배 방식 필요
④ 클라이언트 인증 정보 공격

11회 다음 인증 기술 중에서 종류가 다른 한 가지는?4
① 개체 인증
② 사용자 인증
③ 신원 인증
④ 메시지 인증

10회 다음 중 메시지 인증을 위해 사용되는 기법과 가장 거리가 먼 것은?4
① 메시지 인증코드(Message Authentication Code)
② 암호학적 체크섬(Cryptographic checksum)
③ HMAC(Hash-based Message Authentication Code)
④ 난수 발생기(Random Number Generator)

14회 8회 메시지의 무결성 보장과 송신자에 대한 인증을 목적으로 공유 비밀키와 메시지로부터 만들어지는 것은?2
① 의사
② 메시지 인증 코드
③ 해시
④ 인증서


10회 다음 중 디바이스 인증 기술에 대한 설명으로 옳지 않은 것은?4
① 서버의 데이터베이스에 저장된 아이디와 비밀번호를 비교하여 인증하는 방식을 아이디 패스워드 기반 인증방식이라 한다.
② MAC 주소값 인증 방식은 아이디 없이 MAC 주소만으로 인증하는 방식이다.
③ 암호 프로토콜을 활용한 인증 방식은 중간에 키나 세션을 가로 채어 중요 정보를 유출하는 시도를 차단한다.
④ 시도-응답 인증 방식은 키를 생성하여 사용자를 인증하는 방식이다.


13회 다음의 장·단점을 가진 인증기술은?1
[보기]
- 장점 : 데이터의 기밀성, 무결성 보장
- 단점 : 키 분배센터(인증서버 & 티켓발급서버)에 오류 발생
① 커버로스(Kerberos) 프로토콜
② OTP 인증
③ ID/패스워드 인증
④ 메시지 출처 인증

13회 9회 다음 지문이 설명하는 것은?2
[보기]
이것은 MIT(Massachusetts Institute of Technology) 대학에서 개발한 분산 환경 하에서 개체 인증서비스를 제공하는 네트워크 인증시스템이다. 비밀키 암호작성법에 기초를 둔자주 이용되는 온라인 암호키 분배방법이다. 이 시스템의 목적은 인증된 클라이언트만이 서버에 접속하도록 하는 것이다. 이것의 장점으로는 데이터의 기밀성과 무결성을 보장한다는 점을 들 수 있고, 이것의 단점으로는 키 분배센터에 장애 발생 시 전체서비스가 사용 불가 상태가 됨을 들 수 있다.
① Diffie-Hellman Protocol
② Kerberos Protocol
③ Needham-schroeder Protocol
④ SET Protocol

10회 Kerberos 프로토콜에 대한 설명으로 옳지 않은 것은?2
① 비밀키 암호작성법에 기초를 둔 온라인 암호키 분배방법이다.
② Kerberos 프로토콜의 목적은 인증되지 않은 클라이언트도 서버에 접속할 수 있도록 하는 것이다.
③ 키 분배 센터에 오류 발생시, 전체 서비스를 사용할 수 없게 된다.
④ Kerberos 프로토콜은 데이터의 기밀성과 무결성을 보장한다.

10회 커버로스(Kerberos)의 기능과 가장 거리가 먼 것은?3
① 네트워크 응용 프로그램이 상대방의 신원을 식별할 수 있도록 한다.
② 파일 서버, 터미널 서버, 데이터베이스 서버 등 다양한 서버들을 지원할 수 있다.
③ 기밀성, 가용성, 무결성과 같은 보안 서비스를 제공한다.
④ 한 번의 인증으로 여러 서버에 접근 할 수 있다.

11회 Kerberos 프로토콜을 개발함에 있어 요구사항으로 고려 지 않은 특성은?2
① 보안성
② 재사용성
③ 투명성
④ 확장성

6회 63. 다음 중 커버로스에 대한 설명으로 올바르지 못한 것은?2
① 패스워드 추측 공격에 취약하다.
② 커버로스는 공개키 방식을 이용하여 티켓을 발급한다.
③ MIT에서 개발한 분산환경 하에서 개체 인증서비스를 제공한다.
④ 커버로스는 4개의 개체로 구성된다.

정보보안기사 필기 독학 / 정보보안 일반 / 1. 블록암호, 스트림암호

스트림 암호

평문과 같은 길이의 키를 생성하여 평문과 키를 비트단위로 XOR하여 암호문입니다. 

블록 암호

블록 암호화 방법은 사전에 공유한 암호키를 사용해서 고정된 길이의 입력 블록을 고정된 길이의 출력 블록으로 변환하는 알고리즘 입니다. 블록 암호 알고리즘에는 암호화한 방식을 그대로 역으로 수행하면 복호화할 수 있는 Feistel 구조와 역으로 복호화를 할 수 없는 SPN 구조로 분류됩니다. 

Feistel 구조에는 DES, SEED, CAST-128, BLOWFISH가 있고,

SPN 구조에는 AES, SAFER, SHARK, CRYPTON이 있습니다. 

CFB, OFB, CTR는 스트림 암호 방식의 블록 암호화 기법입니다. 

ECB(Electronic Code Book) 모드

가장 단순한 모드로 평문을 일정한 블록단위로 나누어 순차적으로 암호화하는 구조입니다. 한 개의 블록만 해독이 되면 나머지 블록 또한 해독되는 단점이 있습니다. 

CBC(Cipher Block Chaining) 모드

최초 키의 생성 버퍼로 초기화 벡터가 사용되어 첫 번째 블록과 XOR 연산을 통해 암호화가 됩니다. 

CFB(Cipher FeedBack) 모드
초기 벡터값올 암호화한 값과 평문블록을 XOR하여 암호문 블록을 생성하고, 그 암호문을 다시 암호화한 값과 평문불록을 XOR하여 암호문블록올 반복하여 생성하는 방식입니다.

OFB(Output FeedBack) 모드

전 암호 알고리즘의 출력을 암호화하여 평문과 XOR합니다. 즉 평문에 대한 직접 암호화는 이루어지지 않습니다. Initial Vector를 사용하지만 오류의 파급은 없습니다. 암호문을 동일하게 한번 더 암호화하면 복호화됩니다. 

초기화 벡터

“한 단계 앞의 암호문 블록"을 대신할 비트열입니다. 

관련 문제

13회 다음 중 스트림 암호의 특징으로 알맞지 않은 것은?2
① 원타임 패스워드를 실용적으로 구현할 목적으로 개발되었다.
② 짧은 주기와 높은 선형복잡도가 요구되며 주로 LFSR을 이용한다.
③ 블록단위 암호화 대비 비트단위로 암호화하여 암호화 시간이 더 빠르다.
④ 블록 암호의 CFB, OFB 모드는 스트림 암호와 비슷한 역할을 한다.

11회 다음 중 평문과 같은 길이의 키를 생성하여 평문과 키를 비트단위로 XOR하여 암호문을 얻는 방법에 해당하는 것은 ?1
① 스트림 암호
② 대칭키 암호
③ 공개키 암호
④ 블록 암호

9회 스트림 암호 방식의 블록 암호 모드들로만 구성된 것은?2
① ECB, CBC, CTR
② CFB, OFB, CTR
③ CBC, CFB, OFB
④ ECB, CFB, CTR

9회 One Time Pad에 대한 설명 중 옳지 않은 것은?4
① 최소한 평문 메시지 길이와 같은 키 스트림을 생성해야 한다.
② 암호화 키와 복호화 키가 동일하다.
③ One Time Pad 암호를 사용하려면 키 배송이 먼저 이루어져야 한다.
④ 전사 공격을 받게 되면 시간이 문제이지 궁극적으로 해독된다.

8회 스트림 암호에 관한 설명으로 잘못된 것은?2
① 이진 수열(비트)로 된 평문과 키 이진 수열 비트 단위로 XOR하여 암호화 한다.
② 암호화 알고리즘에 치환변환과 전치변환이 주로 쓰인다,
③ 주로 유럽을 중심으로 발전하였으며 군사용으로 쓰인다.
④ 일회용 패드(One-Time Pad)는 스트림 암호의 한 예이다.


14회 다음은 블록 암호의 운영 모드에 관한 설명이다. 지문에서 설명하는 운영 모드는?4
이전 암호 알고리즘의 출력을 암호화하여 평문과 XOR한다. 즉 평문에 대한 직접 암호화는 이루어지지 않는다. Initial Vector를 사용하지만 오류의 파급은 없다. 암호문을 동일하게 한번 더 암호화하면 복호화된다.
①ECB
②CBC
③CFB
④OFB

13회 10회 “한 단계 앞의 암호문 블록"을 대신할 비트열을 무엇이라 하는가?2
① 패딩
② 초기화 벡터
③ 스트림 블록
④ 운영모드

13회 국내 암호모듈 검증에 있어 검증대상 암호알고리즘으로 지정된 비밀키 블록암호 알고리즘으로 구성된 것은?3
① 가:AES, 나:LEA 다:SEED
② 가:AES, 나:LEA 다:ARIA
③ 가:ARIA, 나:LEA 다:SEED
④ 가:ARIA, 나:AES 다:SEED

11회 블록 암호는 기밀성이 요구되는 정보를 정해진 블록 단위로 암호화 하는 대칭키 암호 시스템으로 알고리즘 구조는 파이 스텔(Feistel) 구조와 SPN 구조가 있다. 다음 중 파이스텔 구조 블록암호가 아닌 것은?2
① DES
② AES
③ SEED
④ RC5

9회 설명 중 옳지 않은 것은?4
① 평문을 일정한 단위로 나누어서 각 단위마다 암호화 과정을 수행하여 블록 단위로 암호문을 얻는 대칭 암호화 방식이다.
② Electronic Code Book Mode, Output FeedBack Mode는 블록암호의 운용모드이다.
③ AES,SEED 등은 블록 크기로 128 비트를 사용한다.
④ SPN 구조를 사용하는 알고리즘은 DES이다.

9회 ㉠, ㉡이 설명하는 대칭키 암호 알고리즘의 동작모드는?3

[보기]
㉠ 가장 단순한 방식으로 각 블록을 독립적으로 암호화하여 동일한 평문블록이 동일한 암호문을 생성히여 안전하지 않음
㉡ 초기 벡터값올 암호화한 값과 평문블록을 XOR하여 암호문 블록을 생성하고, 그 암호문을 다시 암호화한 값과 평문불록을 XOR하여 암호문블록올 반복하여 생성하는 방식

① ㉠ CFB ㉡ CBC
② ㉠ CFB ㉡ OFB
③ ㉠ ECB ㉡ CFB
④ ㉠ ECB ㉡ OFB

8회 다음 중 블록 암호 알고리즘의 종류가 아닌 것은?2
① RC5
② MD5
③ DES
④ IDEA

6회 다음 중 SPN 구조와 Feistel 구조에 대한 설명으로 틀린 것은?3
① Feistel 구조는 평문 두 개의 블록으로 나누어 배타적 논리합과 라운드를 가진다.
② Feistel 구조는 전형 적 인 라운드 함수로 16라운드를 거친다.
③ SPN 구조는 역 변환 함수에 제약이 없다.
④ SPN 구조는 S-BOX와 P-BOX를 사용한다.

정보보안기사 필기 독학 / 애플리케이션 보안 / 6. 전자상거래, IPSec

이중서명 

고객의 결제정보가 판매자를 통하여 해당 지급정보중계기관(PG)으로 전송됨에따라 고객의 결제정보가 판매자에게 노출될 가능성과 판매자에 의한 결제 정보의 위·변조의 가능성이 있으므로, 판매자에게 결제정보를 노출시키지 않으면서도 판매자가 해당 고객의 정당성 및 구매내용의 정당성을 확인 할 수 있고 PG는 판매자가 전송한 결제요청이 실제고객이 의뢰한 전문인지를 확인할 수 있도록 하였습니다.

XML(Extensible Markup Language)

데이터의 저장 및 교환을 위한 대표적 문서교환 표준인 SGM (Standard Generalized Markup Language)과 HIM (Hyper Tel Merkup Largage)의 장점을 모두 가지고 있습니다. 1996년 W3C에서 제안하였으며, 웹상에서 구조화된 문서를 전송 가능하도 록 설계된 웹표준이며, 최근 전자거래 및 각종 업무에서 표준으로 폭넓게 채택되어 사용되고 있습니다.

IPSec(IP Security)

보안에 취약한 인터넷에서 안전한 통신을 실현하는 통신 규약입니다. IPSEC에는 전송 모드와 터널 모드가 있는데, 터널 모드는 VPN과 같은 구성으로 패킷의 출발지에서 일반 패킷이 보내지면 중간에서 IPSec을 탑재한 중계 장비가 패킷 전체를 암호화(인증)하고 중계 장비의 IP 주소를 붙여 전송합니다. 전송 모드는 패킷의 출발지에서 암호화(인증)를 하고 목적지에서 복호화가 이루어지므로 End-to-End 보안을 제공합니다. 

AH 프로토콜은 단말과 라우터 간의 IP 패킷에 대한 송신 인증 및 무결성 서비스를 제공합니다.

ESP 프로토콜은 메시지 출처 인증, 메시지 무결성, 메시지 기밀성 서비스를 제공합니다.

SSO(Single Sign on)

사용자가 네트워크에 한 번의 로그인만으로 허가한 자원에 대해 접근하는 것입니다. 한번 인증을 받으면 다양안 서비스에 재인증 절차 없이 접근할 수 있고, SSO 서버가 단일 실패 지점이 됩니다. 사용자는 다수의 서비스를 이용하기 위해 여러 개의 계정을 관리하지 않아도 됩니다. 

OTP(One-Time Password) 토큰

 OTP 자체 생성할 수 있는 연산기능과 암호 알고리즘 등을 내장한 별도의 단말기입니다. 외형은 USB 메모리와 비슷하고, 토큰은 별도로 구매해야 합니다. 

Heartbleed

암호화를 위해 대중적으로 사용되는 OpenSSL 라이브 러리에서 서버 메모리 중 64KB의 데이터에 대해 공격자가 덤프를 뜰 수 있게 하는 취약점입니다. 해당 취약점을 이용하여 시스템 메모리에 저장되어 있는 무의미한 작은 정보들을 지속적으로 유출시키면, 이러한 무의미한 정보들이 모여 하나의 완전한 유의미한 정보가 될 수 있습니다. 특히 개인키의 경우 암 호화하여 전달되는 데이터를 모두 열람할 수 있는 핵심정보 이기 때문에 매우 심각한 취약성이라 할 수 있습니다.

관련 문제

11회 다음의 지문에서 설명하고 있는 기술들은 전자상거래의 안 전성을 지원할 목적으로 이용되는 보안 프로토콜이다. 빈 칸 에 들어가야 할 적합한 단어는?1
[보기]
전자상거래의 안전성을 지원할 목적으로 IPSec(Intemet Protoooo Security), SSL (Secure Socket Layer). OTP(One Time Password) 등이 사용된다. 이 중 IPSec은 (㉠ ) 계층에서 SSL은 (㉡) 계 층에서, OTP는 (㉢) 계층에서 각각 동작된다.
① ㉠네트워크 ㉡ 전송 ㉢ 응용
② ㉠네트워크 ㉡응용 ㉢전송
③ ㉠응용 ㉡네트워크 ㉢전송
④ ㉠응용 ㉡응용 ㉢전송

14회 다음은 SET에서 사용하는 보안 메커니즘을 설명한 것이다. 다음의 내용에 해당하는 것은 무엇인가?2
고객의 결제정보가 판매자를 통하여 해당 지급정보중계기관(PG)으로 전송됨에따라 고객의 결제정보가 판매자에게 노출될 가능성과 판매자에 의한 결제 정보의 위·변조의 가능성이 있으므로, 판매자에게 결제정보를 노출시키지 않으면서도 판매자가 해당 고객의 정당성 및 구매내용의 정당성을 확인 할 수 있고 PG는 판매자가 전송한 결제요청이 실제고객이 의뢰한 전문인지를 확인할 수 있도록 하였다.
①전자서명
②이중서명
③은닉서명
④비밀서명

13회 다음 지문이 설명하는 전자 거래 문서의 유형으로 알맞은 것은?4
[보기]
데이터의 저장 및 교환을 위한 대표적 문서교환 표준인 SGM (Standard Generalized Markup Language)과 HIM (Hyper Tel Merkup Largage)의 장점을 모두 가지고 있다.
1996년 W3C에서 제안하였으며, 웹상에서 구조화된 문서를 전송 가능하도 록 설계된 웹표준이며, 최근 전자거래 및 각종 업무에서 표준으로 폭넓게 채택되어 사용되고 있다.
① SWIFT
② ebXML
③ EDI(Electronic Data Interchange)
④ XML(Extensible Markup Language)

10회 다음중 전자 지불 시스템의 위험 요소와 가장 거리가 먼 것은?2
① 이중사용
② 접근성
③ 위조
④ 거래부인

9회 다음 OTP 토큰에 대한 설명으로 적절하지 않은 것은?4
① OTP 자체 생성할 수 있는 연산기능과 암호 알고리즘 등을 내장한 별도의 단말기이다.
② 외형은 USB 메모리와 비슷하다.
③ 토큰은 별도로 구매해야 한다.
④ 서버가 OTP 정보를 SMS로 전송하고 사용자는 이 정보를 이용한다.

10회 OTP에 대한 다음 설명 중 잘못된 것은?3
① 비밀번호 재사용이 불가능
② 비밀번호 유추 불가능
③ 의미 있는 숫자 패턴을 활용
④ 오프라인 추측공격에 안전

10회 다음 SSO에 설명으로 옳지 않은 것은?1
① 개별 응용 레벨의 권한 제어
② 인증 정책과 권한 설정 용이
③ 자원별 권한 관리 약함
④ 중앙집중식 ID 관리

9회 다음 중 SSO에 대한 설명 중 적절하지 않은 것은?4
① 한번 인증을 받으면 다양안 서비스에 재인증 절차 없이 접근할 수 있다.
② SSO 서버가 단일 실패 지점이 된다.
③ 사용사는 다수의 서비스를 이용하기 위해 여러 개의 계정을 관리하지 않아도 된다.
④ 사용 편의성은 증가하지만 운영비용도 증가한다.

11회 IPSec 보안 프로토콜에서 메시지 출처 인증, 메시지 무결성, 메시지 기밀성 서비스를 지원하는 프로토콜과 새로운 IP 헤더가 추가되는 동작모드가 잘 묶여진 것은?2
① ESP 프로토콜, Transport 동작모드
② ESP 프로토콜, Tunnel 동작모드
③ AH 프로토콜, Transport 동작모드
④ AH 프로토콜, Tunnel 동작모드

8회 다음은 IPSec의 AH 프로토콜이 하는 역할에 대한 설명이다. 맞는 것은?3
① 라우터와 라우터 간의 IP 패킷을 암호화한다.
② 단말과 단말 간의 IP 패킷을 암호화한다
③ 단말과 라우터 간의 IP 패킷에 대한 송신 인증 및 무결성 서비스를 계공한다.
④ 단말과 라우터 간의 IP 패킷에 대한 송신 인증, 무결성 그 리고 암호화 서비스를 계공한다.

13회 전자입찰시스템 및 프로토콜의 특징에 대한 설명 중 틀린 것은?2
① 전자 입찰 도구로는 자바, 디지털서명, XML 등이 이용될 수 있다.
② 입찰 기간 마감은 여러 개의 입찰 서버가 있을 경우 단계적으로 마감된다.
③ 전자 입찰은 입찰자, 입찰 공고자, 전자입찰시스템으로 구성된다.
④ 전자 입찰 시 독립성, 비밀성, 무결성 등이 요구된다.

13회 다음 지문에서 설명한 프로토콜을 올바르게 나열한 것은?1
[보기]
가: 사용자와 은행 사이에서 수행되는 프로토콜로서 은행이 사용자에게 전자 화폐를 발급해 주는 절차를 명세한 프로토콜이다.
나: 사용자와 상점 사이에서 수행되는 프로토콜로서 사용자가 구매 대금으로 자신의 전자 화폐를 상점에 지불하는 과정을 명세한 프로토콜이다.
다: 상점과 은행 사이에서 수행되는 프로토콜로서 상점이 사용자로부터 받은 전자 화를 은행이 결제해 주는 프로토콜이다.

① 가:인출 프로토콜 나:지불 프로토콜 다:예치 프로토콜
② 가:인출 프로토콜 나:예치 프로토콜 다:지불 프로토콜
③ 가:지불 프로토콜 나:인출 프로토콜 다:예치 프로토콜
④ 가:예치 프로토콜 나:지불 프로토콜 다:인출 프로토콜

13회 다음 보기가 설명하는 취약성은?4
[보기]
이것은 암호화를 위해 대중적으로 사용되는 OpenSSL 라이브 러리에서 서버 메모리 중 64KB의 데이터에 대해 공격자가 덤프를 뜰 수 있게 하는 취약점이다. 해당 취약점을 이용하여 시스템 메모리에 저장되어 있는 무의미한 작은 정보들을 지속적으로 유출시키면, 이러한 무의미한 정보들이 모여 하나의 완전한 유의미한 정보가 될 수 있다. 특히 개인키의 경우 암 호화하여 전달되는 데이터를 모두 열람할 수 있는 핵심정보 이기 때문에 매우 심각한 취약성이라 할 수 있다.
① Poodle
② Ghost
③ Shellshock
④ Heartbleed