정보보안기사 필기 독학 / 애플리케이션 보안 / 6. 전자상거래, IPSec
이중서명
고객의 결제정보가 판매자를 통하여 해당 지급정보중계기관(PG)으로 전송됨에따라 고객의 결제정보가 판매자에게 노출될 가능성과 판매자에 의한 결제 정보의 위·변조의 가능성이 있으므로, 판매자에게 결제정보를 노출시키지 않으면서도 판매자가 해당 고객의 정당성 및 구매내용의 정당성을 확인 할 수 있고 PG는 판매자가 전송한 결제요청이 실제고객이 의뢰한 전문인지를 확인할 수 있도록 하였습니다.
XML(Extensible Markup Language)
데이터의 저장 및 교환을 위한 대표적 문서교환 표준인 SGM (Standard Generalized Markup Language)과 HIM (Hyper Tel Merkup Largage)의 장점을 모두 가지고 있습니다. 1996년 W3C에서 제안하였으며, 웹상에서 구조화된 문서를 전송 가능하도 록 설계된 웹표준이며, 최근 전자거래 및 각종 업무에서 표준으로 폭넓게 채택되어 사용되고 있습니다.
IPSec(IP Security)
보안에 취약한 인터넷에서 안전한 통신을 실현하는 통신 규약입니다. IPSEC에는 전송 모드와 터널 모드가 있는데, 터널 모드는 VPN과 같은 구성으로 패킷의 출발지에서 일반 패킷이 보내지면 중간에서 IPSec을 탑재한 중계 장비가 패킷 전체를 암호화(인증)하고 중계 장비의 IP 주소를 붙여 전송합니다. 전송 모드는 패킷의 출발지에서 암호화(인증)를 하고 목적지에서 복호화가 이루어지므로 End-to-End 보안을 제공합니다.
AH 프로토콜은 단말과 라우터 간의 IP 패킷에 대한 송신 인증 및 무결성 서비스를 제공합니다.
ESP 프로토콜은 메시지 출처 인증, 메시지 무결성, 메시지 기밀성 서비스를 제공합니다.
SSO(Single Sign on)
사용자가 네트워크에 한 번의 로그인만으로 허가한 자원에 대해 접근하는 것입니다. 한번 인증을 받으면 다양안 서비스에 재인증 절차 없이 접근할 수 있고, SSO 서버가 단일 실패 지점이 됩니다. 사용자는 다수의 서비스를 이용하기 위해 여러 개의 계정을 관리하지 않아도 됩니다.
OTP(One-Time Password) 토큰
OTP 자체 생성할 수 있는 연산기능과 암호 알고리즘 등을 내장한 별도의 단말기입니다. 외형은 USB 메모리와 비슷하고, 토큰은 별도로 구매해야 합니다.
Heartbleed
암호화를 위해 대중적으로 사용되는 OpenSSL 라이브 러리에서 서버 메모리 중 64KB의 데이터에 대해 공격자가 덤프를 뜰 수 있게 하는 취약점입니다. 해당 취약점을 이용하여 시스템 메모리에 저장되어 있는 무의미한 작은 정보들을 지속적으로 유출시키면, 이러한 무의미한 정보들이 모여 하나의 완전한 유의미한 정보가 될 수 있습니다. 특히 개인키의 경우 암 호화하여 전달되는 데이터를 모두 열람할 수 있는 핵심정보 이기 때문에 매우 심각한 취약성이라 할 수 있습니다.
관련 문제
11회 다음의 지문에서 설명하고 있는 기술들은 전자상거래의 안 전성을 지원할 목적으로 이용되는 보안 프로토콜이다. 빈 칸 에 들어가야 할 적합한 단어는?1
[보기]
전자상거래의 안전성을 지원할 목적으로 IPSec(Intemet Protoooo Security), SSL (Secure Socket Layer). OTP(One Time Password) 등이 사용된다. 이 중 IPSec은 (㉠ ) 계층에서 SSL은 (㉡) 계 층에서, OTP는 (㉢) 계층에서 각각 동작된다.
① ㉠네트워크 ㉡ 전송 ㉢ 응용
② ㉠네트워크 ㉡응용 ㉢전송
③ ㉠응용 ㉡네트워크 ㉢전송
④ ㉠응용 ㉡응용 ㉢전송
14회 다음은 SET에서 사용하는 보안 메커니즘을 설명한 것이다. 다음의 내용에 해당하는 것은 무엇인가?2
고객의 결제정보가 판매자를 통하여 해당 지급정보중계기관(PG)으로 전송됨에따라 고객의 결제정보가 판매자에게 노출될 가능성과 판매자에 의한 결제 정보의 위·변조의 가능성이 있으므로, 판매자에게 결제정보를 노출시키지 않으면서도 판매자가 해당 고객의 정당성 및 구매내용의 정당성을 확인 할 수 있고 PG는 판매자가 전송한 결제요청이 실제고객이 의뢰한 전문인지를 확인할 수 있도록 하였다.
①전자서명
②이중서명
③은닉서명
④비밀서명
13회 다음 지문이 설명하는 전자 거래 문서의 유형으로 알맞은 것은?4
[보기]
데이터의 저장 및 교환을 위한 대표적 문서교환 표준인 SGM (Standard Generalized Markup Language)과 HIM (Hyper Tel Merkup Largage)의 장점을 모두 가지고 있다.
1996년 W3C에서 제안하였으며, 웹상에서 구조화된 문서를 전송 가능하도 록 설계된 웹표준이며, 최근 전자거래 및 각종 업무에서 표준으로 폭넓게 채택되어 사용되고 있다.
① SWIFT
② ebXML
③ EDI(Electronic Data Interchange)
④ XML(Extensible Markup Language)
10회 다음중 전자 지불 시스템의 위험 요소와 가장 거리가 먼 것은?2
① 이중사용
② 접근성
③ 위조
④ 거래부인
9회 다음 OTP 토큰에 대한 설명으로 적절하지 않은 것은?4
① OTP 자체 생성할 수 있는 연산기능과 암호 알고리즘 등을 내장한 별도의 단말기이다.
② 외형은 USB 메모리와 비슷하다.
③ 토큰은 별도로 구매해야 한다.
④ 서버가 OTP 정보를 SMS로 전송하고 사용자는 이 정보를 이용한다.
10회 OTP에 대한 다음 설명 중 잘못된 것은?3
① 비밀번호 재사용이 불가능
② 비밀번호 유추 불가능
③ 의미 있는 숫자 패턴을 활용
④ 오프라인 추측공격에 안전
10회 다음 SSO에 설명으로 옳지 않은 것은?1
① 개별 응용 레벨의 권한 제어
② 인증 정책과 권한 설정 용이
③ 자원별 권한 관리 약함
④ 중앙집중식 ID 관리
9회 다음 중 SSO에 대한 설명 중 적절하지 않은 것은?4
① 한번 인증을 받으면 다양안 서비스에 재인증 절차 없이 접근할 수 있다.
② SSO 서버가 단일 실패 지점이 된다.
③ 사용사는 다수의 서비스를 이용하기 위해 여러 개의 계정을 관리하지 않아도 된다.
④ 사용 편의성은 증가하지만 운영비용도 증가한다.
11회 IPSec 보안 프로토콜에서 메시지 출처 인증, 메시지 무결성, 메시지 기밀성 서비스를 지원하는 프로토콜과 새로운 IP 헤더가 추가되는 동작모드가 잘 묶여진 것은?2
① ESP 프로토콜, Transport 동작모드
② ESP 프로토콜, Tunnel 동작모드
③ AH 프로토콜, Transport 동작모드
④ AH 프로토콜, Tunnel 동작모드
8회 다음은 IPSec의 AH 프로토콜이 하는 역할에 대한 설명이다. 맞는 것은?3
① 라우터와 라우터 간의 IP 패킷을 암호화한다.
② 단말과 단말 간의 IP 패킷을 암호화한다
③ 단말과 라우터 간의 IP 패킷에 대한 송신 인증 및 무결성 서비스를 계공한다.
④ 단말과 라우터 간의 IP 패킷에 대한 송신 인증, 무결성 그 리고 암호화 서비스를 계공한다.
13회 전자입찰시스템 및 프로토콜의 특징에 대한 설명 중 틀린 것은?2
① 전자 입찰 도구로는 자바, 디지털서명, XML 등이 이용될 수 있다.
② 입찰 기간 마감은 여러 개의 입찰 서버가 있을 경우 단계적으로 마감된다.
③ 전자 입찰은 입찰자, 입찰 공고자, 전자입찰시스템으로 구성된다.
④ 전자 입찰 시 독립성, 비밀성, 무결성 등이 요구된다.
13회 다음 지문에서 설명한 프로토콜을 올바르게 나열한 것은?1
[보기]
가: 사용자와 은행 사이에서 수행되는 프로토콜로서 은행이 사용자에게 전자 화폐를 발급해 주는 절차를 명세한 프로토콜이다.
나: 사용자와 상점 사이에서 수행되는 프로토콜로서 사용자가 구매 대금으로 자신의 전자 화폐를 상점에 지불하는 과정을 명세한 프로토콜이다.
다: 상점과 은행 사이에서 수행되는 프로토콜로서 상점이 사용자로부터 받은 전자 화를 은행이 결제해 주는 프로토콜이다.
① 가:인출 프로토콜 나:지불 프로토콜 다:예치 프로토콜
② 가:인출 프로토콜 나:예치 프로토콜 다:지불 프로토콜
③ 가:지불 프로토콜 나:인출 프로토콜 다:예치 프로토콜
④ 가:예치 프로토콜 나:지불 프로토콜 다:인출 프로토콜
13회 다음 보기가 설명하는 취약성은?4
[보기]
이것은 암호화를 위해 대중적으로 사용되는 OpenSSL 라이브 러리에서 서버 메모리 중 64KB의 데이터에 대해 공격자가 덤프를 뜰 수 있게 하는 취약점이다. 해당 취약점을 이용하여 시스템 메모리에 저장되어 있는 무의미한 작은 정보들을 지속적으로 유출시키면, 이러한 무의미한 정보들이 모여 하나의 완전한 유의미한 정보가 될 수 있다. 특히 개인키의 경우 암 호화하여 전달되는 데이터를 모두 열람할 수 있는 핵심정보 이기 때문에 매우 심각한 취약성이라 할 수 있다.
① Poodle
② Ghost
③ Shellshock
④ Heartbleed
'자격증 > 정보보안기사' 카테고리의 다른 글
정보보안기사 필기 독학 / 정보보안 일반 / 2. 사용자 인증 방식, 커버로스 (0) | 2020.09.13 |
---|---|
정보보안기사 필기 독학 / 정보보안 일반 / 1. 블록암호, 스트림암호 (0) | 2020.09.09 |
정보보안기사 필기 독학 / 애플리케이션 보안 / 5. 웹 서비스 공격 (0) | 2020.08.30 |
정보보안기사 필기 독학 / 애플리케이션 보안 / 4. SSL, SET (0) | 2020.08.25 |
정보보안기사 필기 독학 / 애플리케이션 보안 / 3. HTTP (0) | 2020.08.23 |