해커를 꿈꾸는 개발자

정보보안기사 필기 독학 / 정보보안 일반 / 1. 블록암호, 스트림암호

스트림 암호

평문과 같은 길이의 키를 생성하여 평문과 키를 비트단위로 XOR하여 암호문입니다. 

블록 암호

블록 암호화 방법은 사전에 공유한 암호키를 사용해서 고정된 길이의 입력 블록을 고정된 길이의 출력 블록으로 변환하는 알고리즘 입니다. 블록 암호 알고리즘에는 암호화한 방식을 그대로 역으로 수행하면 복호화할 수 있는 Feistel 구조와 역으로 복호화를 할 수 없는 SPN 구조로 분류됩니다. 

Feistel 구조에는 DES, SEED, CAST-128, BLOWFISH가 있고,

SPN 구조에는 AES, SAFER, SHARK, CRYPTON이 있습니다. 

CFB, OFB, CTR는 스트림 암호 방식의 블록 암호화 기법입니다. 

ECB(Electronic Code Book) 모드

가장 단순한 모드로 평문을 일정한 블록단위로 나누어 순차적으로 암호화하는 구조입니다. 한 개의 블록만 해독이 되면 나머지 블록 또한 해독되는 단점이 있습니다. 

CBC(Cipher Block Chaining) 모드

최초 키의 생성 버퍼로 초기화 벡터가 사용되어 첫 번째 블록과 XOR 연산을 통해 암호화가 됩니다. 

CFB(Cipher FeedBack) 모드
초기 벡터값올 암호화한 값과 평문블록을 XOR하여 암호문 블록을 생성하고, 그 암호문을 다시 암호화한 값과 평문불록을 XOR하여 암호문블록올 반복하여 생성하는 방식입니다.

OFB(Output FeedBack) 모드

전 암호 알고리즘의 출력을 암호화하여 평문과 XOR합니다. 즉 평문에 대한 직접 암호화는 이루어지지 않습니다. Initial Vector를 사용하지만 오류의 파급은 없습니다. 암호문을 동일하게 한번 더 암호화하면 복호화됩니다. 

초기화 벡터

“한 단계 앞의 암호문 블록"을 대신할 비트열입니다. 

관련 문제

13회 다음 중 스트림 암호의 특징으로 알맞지 않은 것은?2
① 원타임 패스워드를 실용적으로 구현할 목적으로 개발되었다.
② 짧은 주기와 높은 선형복잡도가 요구되며 주로 LFSR을 이용한다.
③ 블록단위 암호화 대비 비트단위로 암호화하여 암호화 시간이 더 빠르다.
④ 블록 암호의 CFB, OFB 모드는 스트림 암호와 비슷한 역할을 한다.

11회 다음 중 평문과 같은 길이의 키를 생성하여 평문과 키를 비트단위로 XOR하여 암호문을 얻는 방법에 해당하는 것은 ?1
① 스트림 암호
② 대칭키 암호
③ 공개키 암호
④ 블록 암호

9회 스트림 암호 방식의 블록 암호 모드들로만 구성된 것은?2
① ECB, CBC, CTR
② CFB, OFB, CTR
③ CBC, CFB, OFB
④ ECB, CFB, CTR

9회 One Time Pad에 대한 설명 중 옳지 않은 것은?4
① 최소한 평문 메시지 길이와 같은 키 스트림을 생성해야 한다.
② 암호화 키와 복호화 키가 동일하다.
③ One Time Pad 암호를 사용하려면 키 배송이 먼저 이루어져야 한다.
④ 전사 공격을 받게 되면 시간이 문제이지 궁극적으로 해독된다.

8회 스트림 암호에 관한 설명으로 잘못된 것은?2
① 이진 수열(비트)로 된 평문과 키 이진 수열 비트 단위로 XOR하여 암호화 한다.
② 암호화 알고리즘에 치환변환과 전치변환이 주로 쓰인다,
③ 주로 유럽을 중심으로 발전하였으며 군사용으로 쓰인다.
④ 일회용 패드(One-Time Pad)는 스트림 암호의 한 예이다.


14회 다음은 블록 암호의 운영 모드에 관한 설명이다. 지문에서 설명하는 운영 모드는?4
이전 암호 알고리즘의 출력을 암호화하여 평문과 XOR한다. 즉 평문에 대한 직접 암호화는 이루어지지 않는다. Initial Vector를 사용하지만 오류의 파급은 없다. 암호문을 동일하게 한번 더 암호화하면 복호화된다.
①ECB
②CBC
③CFB
④OFB

13회 10회 “한 단계 앞의 암호문 블록"을 대신할 비트열을 무엇이라 하는가?2
① 패딩
② 초기화 벡터
③ 스트림 블록
④ 운영모드

13회 국내 암호모듈 검증에 있어 검증대상 암호알고리즘으로 지정된 비밀키 블록암호 알고리즘으로 구성된 것은?3
① 가:AES, 나:LEA 다:SEED
② 가:AES, 나:LEA 다:ARIA
③ 가:ARIA, 나:LEA 다:SEED
④ 가:ARIA, 나:AES 다:SEED

11회 블록 암호는 기밀성이 요구되는 정보를 정해진 블록 단위로 암호화 하는 대칭키 암호 시스템으로 알고리즘 구조는 파이 스텔(Feistel) 구조와 SPN 구조가 있다. 다음 중 파이스텔 구조 블록암호가 아닌 것은?2
① DES
② AES
③ SEED
④ RC5

9회 설명 중 옳지 않은 것은?4
① 평문을 일정한 단위로 나누어서 각 단위마다 암호화 과정을 수행하여 블록 단위로 암호문을 얻는 대칭 암호화 방식이다.
② Electronic Code Book Mode, Output FeedBack Mode는 블록암호의 운용모드이다.
③ AES,SEED 등은 블록 크기로 128 비트를 사용한다.
④ SPN 구조를 사용하는 알고리즘은 DES이다.

9회 ㉠, ㉡이 설명하는 대칭키 암호 알고리즘의 동작모드는?3

[보기]
㉠ 가장 단순한 방식으로 각 블록을 독립적으로 암호화하여 동일한 평문블록이 동일한 암호문을 생성히여 안전하지 않음
㉡ 초기 벡터값올 암호화한 값과 평문블록을 XOR하여 암호문 블록을 생성하고, 그 암호문을 다시 암호화한 값과 평문불록을 XOR하여 암호문블록올 반복하여 생성하는 방식

① ㉠ CFB ㉡ CBC
② ㉠ CFB ㉡ OFB
③ ㉠ ECB ㉡ CFB
④ ㉠ ECB ㉡ OFB

8회 다음 중 블록 암호 알고리즘의 종류가 아닌 것은?2
① RC5
② MD5
③ DES
④ IDEA

6회 다음 중 SPN 구조와 Feistel 구조에 대한 설명으로 틀린 것은?3
① Feistel 구조는 평문 두 개의 블록으로 나누어 배타적 논리합과 라운드를 가진다.
② Feistel 구조는 전형 적 인 라운드 함수로 16라운드를 거친다.
③ SPN 구조는 역 변환 함수에 제약이 없다.
④ SPN 구조는 S-BOX와 P-BOX를 사용한다.

정보보안기사 필기 독학 / 애플리케이션 보안 / 6. 전자상거래, IPSec

이중서명 

고객의 결제정보가 판매자를 통하여 해당 지급정보중계기관(PG)으로 전송됨에따라 고객의 결제정보가 판매자에게 노출될 가능성과 판매자에 의한 결제 정보의 위·변조의 가능성이 있으므로, 판매자에게 결제정보를 노출시키지 않으면서도 판매자가 해당 고객의 정당성 및 구매내용의 정당성을 확인 할 수 있고 PG는 판매자가 전송한 결제요청이 실제고객이 의뢰한 전문인지를 확인할 수 있도록 하였습니다.

XML(Extensible Markup Language)

데이터의 저장 및 교환을 위한 대표적 문서교환 표준인 SGM (Standard Generalized Markup Language)과 HIM (Hyper Tel Merkup Largage)의 장점을 모두 가지고 있습니다. 1996년 W3C에서 제안하였으며, 웹상에서 구조화된 문서를 전송 가능하도 록 설계된 웹표준이며, 최근 전자거래 및 각종 업무에서 표준으로 폭넓게 채택되어 사용되고 있습니다.

IPSec(IP Security)

보안에 취약한 인터넷에서 안전한 통신을 실현하는 통신 규약입니다. IPSEC에는 전송 모드와 터널 모드가 있는데, 터널 모드는 VPN과 같은 구성으로 패킷의 출발지에서 일반 패킷이 보내지면 중간에서 IPSec을 탑재한 중계 장비가 패킷 전체를 암호화(인증)하고 중계 장비의 IP 주소를 붙여 전송합니다. 전송 모드는 패킷의 출발지에서 암호화(인증)를 하고 목적지에서 복호화가 이루어지므로 End-to-End 보안을 제공합니다. 

AH 프로토콜은 단말과 라우터 간의 IP 패킷에 대한 송신 인증 및 무결성 서비스를 제공합니다.

ESP 프로토콜은 메시지 출처 인증, 메시지 무결성, 메시지 기밀성 서비스를 제공합니다.

SSO(Single Sign on)

사용자가 네트워크에 한 번의 로그인만으로 허가한 자원에 대해 접근하는 것입니다. 한번 인증을 받으면 다양안 서비스에 재인증 절차 없이 접근할 수 있고, SSO 서버가 단일 실패 지점이 됩니다. 사용자는 다수의 서비스를 이용하기 위해 여러 개의 계정을 관리하지 않아도 됩니다. 

OTP(One-Time Password) 토큰

 OTP 자체 생성할 수 있는 연산기능과 암호 알고리즘 등을 내장한 별도의 단말기입니다. 외형은 USB 메모리와 비슷하고, 토큰은 별도로 구매해야 합니다. 

Heartbleed

암호화를 위해 대중적으로 사용되는 OpenSSL 라이브 러리에서 서버 메모리 중 64KB의 데이터에 대해 공격자가 덤프를 뜰 수 있게 하는 취약점입니다. 해당 취약점을 이용하여 시스템 메모리에 저장되어 있는 무의미한 작은 정보들을 지속적으로 유출시키면, 이러한 무의미한 정보들이 모여 하나의 완전한 유의미한 정보가 될 수 있습니다. 특히 개인키의 경우 암 호화하여 전달되는 데이터를 모두 열람할 수 있는 핵심정보 이기 때문에 매우 심각한 취약성이라 할 수 있습니다.

관련 문제

11회 다음의 지문에서 설명하고 있는 기술들은 전자상거래의 안 전성을 지원할 목적으로 이용되는 보안 프로토콜이다. 빈 칸 에 들어가야 할 적합한 단어는?1
[보기]
전자상거래의 안전성을 지원할 목적으로 IPSec(Intemet Protoooo Security), SSL (Secure Socket Layer). OTP(One Time Password) 등이 사용된다. 이 중 IPSec은 (㉠ ) 계층에서 SSL은 (㉡) 계 층에서, OTP는 (㉢) 계층에서 각각 동작된다.
① ㉠네트워크 ㉡ 전송 ㉢ 응용
② ㉠네트워크 ㉡응용 ㉢전송
③ ㉠응용 ㉡네트워크 ㉢전송
④ ㉠응용 ㉡응용 ㉢전송

14회 다음은 SET에서 사용하는 보안 메커니즘을 설명한 것이다. 다음의 내용에 해당하는 것은 무엇인가?2
고객의 결제정보가 판매자를 통하여 해당 지급정보중계기관(PG)으로 전송됨에따라 고객의 결제정보가 판매자에게 노출될 가능성과 판매자에 의한 결제 정보의 위·변조의 가능성이 있으므로, 판매자에게 결제정보를 노출시키지 않으면서도 판매자가 해당 고객의 정당성 및 구매내용의 정당성을 확인 할 수 있고 PG는 판매자가 전송한 결제요청이 실제고객이 의뢰한 전문인지를 확인할 수 있도록 하였다.
①전자서명
②이중서명
③은닉서명
④비밀서명

13회 다음 지문이 설명하는 전자 거래 문서의 유형으로 알맞은 것은?4
[보기]
데이터의 저장 및 교환을 위한 대표적 문서교환 표준인 SGM (Standard Generalized Markup Language)과 HIM (Hyper Tel Merkup Largage)의 장점을 모두 가지고 있다.
1996년 W3C에서 제안하였으며, 웹상에서 구조화된 문서를 전송 가능하도 록 설계된 웹표준이며, 최근 전자거래 및 각종 업무에서 표준으로 폭넓게 채택되어 사용되고 있다.
① SWIFT
② ebXML
③ EDI(Electronic Data Interchange)
④ XML(Extensible Markup Language)

10회 다음중 전자 지불 시스템의 위험 요소와 가장 거리가 먼 것은?2
① 이중사용
② 접근성
③ 위조
④ 거래부인

9회 다음 OTP 토큰에 대한 설명으로 적절하지 않은 것은?4
① OTP 자체 생성할 수 있는 연산기능과 암호 알고리즘 등을 내장한 별도의 단말기이다.
② 외형은 USB 메모리와 비슷하다.
③ 토큰은 별도로 구매해야 한다.
④ 서버가 OTP 정보를 SMS로 전송하고 사용자는 이 정보를 이용한다.

10회 OTP에 대한 다음 설명 중 잘못된 것은?3
① 비밀번호 재사용이 불가능
② 비밀번호 유추 불가능
③ 의미 있는 숫자 패턴을 활용
④ 오프라인 추측공격에 안전

10회 다음 SSO에 설명으로 옳지 않은 것은?1
① 개별 응용 레벨의 권한 제어
② 인증 정책과 권한 설정 용이
③ 자원별 권한 관리 약함
④ 중앙집중식 ID 관리

9회 다음 중 SSO에 대한 설명 중 적절하지 않은 것은?4
① 한번 인증을 받으면 다양안 서비스에 재인증 절차 없이 접근할 수 있다.
② SSO 서버가 단일 실패 지점이 된다.
③ 사용사는 다수의 서비스를 이용하기 위해 여러 개의 계정을 관리하지 않아도 된다.
④ 사용 편의성은 증가하지만 운영비용도 증가한다.

11회 IPSec 보안 프로토콜에서 메시지 출처 인증, 메시지 무결성, 메시지 기밀성 서비스를 지원하는 프로토콜과 새로운 IP 헤더가 추가되는 동작모드가 잘 묶여진 것은?2
① ESP 프로토콜, Transport 동작모드
② ESP 프로토콜, Tunnel 동작모드
③ AH 프로토콜, Transport 동작모드
④ AH 프로토콜, Tunnel 동작모드

8회 다음은 IPSec의 AH 프로토콜이 하는 역할에 대한 설명이다. 맞는 것은?3
① 라우터와 라우터 간의 IP 패킷을 암호화한다.
② 단말과 단말 간의 IP 패킷을 암호화한다
③ 단말과 라우터 간의 IP 패킷에 대한 송신 인증 및 무결성 서비스를 계공한다.
④ 단말과 라우터 간의 IP 패킷에 대한 송신 인증, 무결성 그 리고 암호화 서비스를 계공한다.

13회 전자입찰시스템 및 프로토콜의 특징에 대한 설명 중 틀린 것은?2
① 전자 입찰 도구로는 자바, 디지털서명, XML 등이 이용될 수 있다.
② 입찰 기간 마감은 여러 개의 입찰 서버가 있을 경우 단계적으로 마감된다.
③ 전자 입찰은 입찰자, 입찰 공고자, 전자입찰시스템으로 구성된다.
④ 전자 입찰 시 독립성, 비밀성, 무결성 등이 요구된다.

13회 다음 지문에서 설명한 프로토콜을 올바르게 나열한 것은?1
[보기]
가: 사용자와 은행 사이에서 수행되는 프로토콜로서 은행이 사용자에게 전자 화폐를 발급해 주는 절차를 명세한 프로토콜이다.
나: 사용자와 상점 사이에서 수행되는 프로토콜로서 사용자가 구매 대금으로 자신의 전자 화폐를 상점에 지불하는 과정을 명세한 프로토콜이다.
다: 상점과 은행 사이에서 수행되는 프로토콜로서 상점이 사용자로부터 받은 전자 화를 은행이 결제해 주는 프로토콜이다.

① 가:인출 프로토콜 나:지불 프로토콜 다:예치 프로토콜
② 가:인출 프로토콜 나:예치 프로토콜 다:지불 프로토콜
③ 가:지불 프로토콜 나:인출 프로토콜 다:예치 프로토콜
④ 가:예치 프로토콜 나:지불 프로토콜 다:인출 프로토콜

13회 다음 보기가 설명하는 취약성은?4
[보기]
이것은 암호화를 위해 대중적으로 사용되는 OpenSSL 라이브 러리에서 서버 메모리 중 64KB의 데이터에 대해 공격자가 덤프를 뜰 수 있게 하는 취약점이다. 해당 취약점을 이용하여 시스템 메모리에 저장되어 있는 무의미한 작은 정보들을 지속적으로 유출시키면, 이러한 무의미한 정보들이 모여 하나의 완전한 유의미한 정보가 될 수 있다. 특히 개인키의 경우 암 호화하여 전달되는 데이터를 모두 열람할 수 있는 핵심정보 이기 때문에 매우 심각한 취약성이라 할 수 있다.
① Poodle
② Ghost
③ Shellshock
④ Heartbleed

정보보안기사 필기 독학 / 애플리케이션 보안 / 5. 웹 서비스 공격

CSRF(Cross Cite Request Forgery, 크로스사이트 요청변조)

로그인한 피해자의 브라우저가 취약한 웹 어플리케이션에 요청을 보내도록 하여 피해자 대신 선택된 작동을 수행하도록 합니다. 만약 공격을 포함하는 태그가 취약한 어플리케이션에 입력된다면 로그인 한 사용자를 찾게 될 가능성은 증가할 것이며 저장되거나 반사된 XSS 취약점의 위험 증가와 유사합니다. 

특정 소수가 아닌 불특정 다수를 대상으로 하고, 원래 의도된 기능이 아닌, 데이터 변경, 삭제등이 가능해집니다. 또한 XSS에서 진보한 공격이라고 보는 의견이 있습니다.  

XSS(Cross Site Scripting, 크로스사이트 스크립팅) 공격 

콘텐츠르 암호화나 검증하는 절차 없이 사용자가 제공하는 데이터를 어플리케이션에서 받아들이거나 웹 브라우저로 보낼 때마다 발생합니다. 공격자는 희생자의 브라우저에 스크립트를 실행할 수 있게 허용함으로써 사용자의 세션을 가로채거나 웹 사이트 변조, 악의적인 콘텐츠 삽입, 피싱 공격 행위를 할 수 있습니다. 

Injection (인젝션)

SQL, LDAP, XPath, HTML, OS 명령어 인젝션 등 여러 종류가 있습니다. 사용자가 입력한 데이터가 명령어나 질의어의 일부로써 인터프리터에 보내질 때 이루어집니다. 공격자들은 특별히 제작된 데이터를 입력하여 인터프리터를 속여 의도되지 않은 명령어들을 실행하도록 합니다. 

악성 파일 실행(원격지 파일 명령 실행)

이 공격은 PHP에서 특히 많이 사용되는 취약점입니다. 스트림이나 파일 함수를 사용하는 경우 사용자 입력이 파일 이름에 영향을 미치지 않도록 하기 위해 매우 주의해야 합니다. PHP는 특히 어떠한 파일이나 API를 토대로 한 스트림과 함께 매개변수 조작을 통한 원격 파일 인클루션(RFI) 공격에 취약합니다. 

XXE(XML eXternal Entity attack)

XML 입력을 구문 분석하는 응용 프로그램에 대한 공격 유형입니다. 이 공격은 외부 엔터티에 대한 참조를 포함하는 XML 입력이 약하게 구성된 XML 파서에 의해 처리 될 때 발생합니다.  OWASP TOP 10 2017에서 새로 선정된 보안 취약 점입니다. 

웹 서버 취약점 - 대응

1) 디렉토리 리스팅 : DocumentRoot 디렉토리 내의 모든 파일들이 리스팅 되는 것을 방지하기 위해서 Options 지시자에서 Indexes 옵션을 제거하여야 합니다. 

2) 심볼릭 링크 : root 디렉토리까지 nobody 권한으로 접근할 수 있게 되는 취약점을 보안하기 위해서 Options 지시자에서 FollowSymLinks를 제거하여야 합니다. 

3) SSI(Server Side Includes) : SSI는 HTML 페이지 안에 위치하고 있으며 동적인 웹페이지를 제공할 수 있도록 합니다. SSI가 포함된 파일은 exec cmd를 사용해서 스크립트나 프로그램들을 실행시킬 수 있습니다. 취약점을 막기 위해서는 Options 지시자에서 IncludesNoExec 옵션을 추가함으로써 차단할 수 있습니다. 

4) CGI 실행 : 사용자들이 어느 디렉토리에서나 실행할 수 있도록 할 경우 악의적인 사용자가 CGI 프로그램을 업로드한 후 이를 실행하여 임의의 명령을 실행 시킬 수 있습니다. 취약점을 막기 위해서는 SciptAlias 지시자에 의해서 실행 가능한 디렉토리를 제한할 수 있습니다. 

5) 불필요한 정보 공개 : ServerTokens 지시자를 수정함으로써 헤더에 의해 전송되는 정보를 바꿀 수 있습니다. ServerSignature가 On으로 되어 있으면 세부 에러내용과 불필요한 내용들이 공개됩니다. 

관련 문제

14회 다음 중 CSRF 취약점의 특징이 아닌 것은?4
①특정 소수가 아닌 불특정 다수를 대상으로 한다.
②원래 의도된 기능이 아닌, 데이터 변경, 삭제등이 가능해진다.
③XSS에서 진보한 공격이라고 보는 의견이 있다.
④XSS는 서버에서, CSRF는 클라이언트에서 악성 코드가 실행된다.

11회 다음의 설명 및 조치 내용에 해당하는 취약점은?2
[보기]
설명: 공격자가 사용자의 cookie 값이나 session 정보를 의 도한 사이트로 보내거나 특정한 동작을 유발하는 스크립트를 글에 삽입하여 사용자가 게시물 등을 클릭할 경우 공격자가 원하는 동작(계좌이체, 물건주문 등)이 실행되게 하는 취약점 (단, 공격 대상자가 사이트에 로그인해 있거나 유효한 cookie, session 정보를 가지고 있어야 공격이 성공할 수 있음)
① SQL injection(sql 명령어 삽입)
② CSRF(크로스사이트 요청변조)
③ RFI(원격 파일 포함)
④ Directory Listing(디렉터리 목록 노출

13회 아래 그림은 공격자가 웹 해킹을 시도하는 화면이다. 이래 화면 의 URL을 고려할 때, 공격자가 이용하는 웹 취약점으로 가장 적 절한 것은?1
[보기]

cms2580.cafe24.com/admin.php

① 관리자 페이지 노출 취약점
② 파일 다운로드 취약점
③ 파일 업로드 취약점
④ 디렉터리 리스팅(Directory Listing) 취약점

11회 웹 공격 기법은?4
[보기]
게시판의 글에 원본과 함께 악성코드를 삽입하여 글을 읽을 경우 악성코드가 실행되도록 하여 클라이언트의 정보를 유출 하는 클라이언트에 대한 공격 기법
① SQL Injection 공격
② 부적절한 파라미터 조작 공격
③ 버퍼 오버플로우 공격
④ XSS(Cross Site Scripting) 공격

11회 아래 그림은 웹 해킹과 관련된 로그이다. 이 그림을 보고 짐작할 수 있는 웹 공격 기법은?1
[보기]
10.10.10.1 - - [10/an/2017.00:1803 10900] E /home/login/login.php?userid=%27%2008%201%201%20%2D HTTP/"1.1" 200 970 "http://10.10.10,20/home/login/ogin_form.php" "Mezia-50 (Windows NT 6.3, WOW64; Tricent/7.0; v.11.0) like Cecko)
① SQL Injection
② Cross Site Request Forgery
③ Distribute Denial of Service
④ Cross Site Script

14회 다음 사항들 중 웹 서비스에 대한 취약점의 조치사항과 가장 거리가 먼 것은?3
①폐쇄형 사이트로 운영
②해외 IP차단
③쿠키의 활용
④세션 정당성 검증

10회 다음 중 한국인터넷진흥원의 홈페이지 취약점 진단제거 가이드, 행정안전부의 소프트웨어 개발 보안 가이드, 행정안전부의 주요 정보통신기반시설 가술적 취약점 분석 평가 방법상세가이드 등에서 공통적으로 언급하고 있는 웹 애플리케이션 취약점과 가장 관계가 없는 항목은?2

① XSS (Cross-site Scripting)
② GET Flooding
③ CSRF (Cross-site request forgery)
④ SQL Injection

10회 53. 다음은 웹 보안 공격 방지에 대한 설명을 나열한 것이다. 어떤 웹 보안 공격을 방지하기 위한 설명인가? 3
[보기]
- 세션 등 모든 정보를 서버 내에서 저장, 관리하는 서버사이드 세션을 사용하도록 구현한다.
- SMS 인증과 같은 2차 인증을 이용하도록 구현한다.
- 사용자 PC에 저장되는 쿠키정보는 안전하지 않으므로 암호화하여 변조를 방지한다.
① 파일 업로드 공격방지 방법
② 쿠키/세션 위조 공격방지 방법
③ SQL 인젝션 공격방지 방법
④ 파일 다운로드 공격방지 방법

11회 다음 중 OWASP TOP 10 2017에서 새로 선정된 보안취약점은?4
① 인젝션
② 인증 취약점
③ 크로스사이트 스크립트
④ XXE

11회 어떤 종류의 취약점에 대응하기 위한 대책인가?2
[보기]
PHP의 경우 php.ini 파일에서 allow_url_fopen 옵션을 Off값으로 설정
① 부적절한 파라미터 조작
② 원격지 파일의 명령 실행
③ SQL Injection
④ 쿠키 세션 위조

14회 문자열 단위로 문자열의 일치 여부(참/거짓) 값 만을 반환받는 과정을 수없이 반복하여 테이블 정보나 데이터 값을 추출해내는 공격법은?2
①SQL injection
②Blind SQL injection
③Mass SQL injection
④Union SQL injection

9회 5SQL 인젝션 공격에 대한 보호 대책으로 거리가 먼 것은?2
① 사용자 입력이 직접 SQL 문장으로 사용되지 않도록 한다.
② 사용사 입력으로 문자. 기호문자 그리고 구두문자까지만 사용하도록 한다.
③ SQL 서버의 에러 메시지를 사용자에게 보여주지 설정한다.
④ 모든 스크립트에 대힌 모든 파라미터를 점검하여 사용자 입력 값이 공격에 사용되지 않도록 한다.

정보보안기사 필기 독학 / 애플리케이션 보안 / 4. SSL, SET

SSL(Secure Socket Layer)

인터넷을 통한 개인 메시지의 전송을 위해 Netscape에서 개발한 프로그콜로써, 암호문 저송을 위해서 공개키 알고리즘을 사용합니다. 포트번호는 443이고, 비밀성, 무결성, 인증의 세가지 모안 서비스를 제공하며 효율성을 위해 데이터 압축 기능도 제공합니다. 그리고 전송계층부터 응용계층에서 동작합니다. SSL이 적용된 웹사이트는 https:// 로 접속합니다.

SSL은 SSL Record Protocol과 SSL handshake Protocol, SSL Chnage Cipher Spec Protocol, SSL Alert Protocol로 구성되어 있습니다. 

TLS(Transport Layer Security)

두 개의 통신 응용프로그램 사이에서 개인의 정보보호와 데이터의 무결성을 제공하기 위해 만들어졌습니다 

TLS는 Handshake Protocol과 Record Protocol로 구성되어 있는데, Record 프로토콜은 상위계층 프로토콜의 캡슐화를 위해 사용되고, Handshake 프로토콜은 서버와 클라이언트가 데이터를 전송하기 전에 서로 인증할 수 있도록 해주며 사용할 암호와 알고리즘과 암호키를 협상하도록 해줍니다.

SET(Secure Electronic Transaction)

인터넷을 통해 신용 카드 거래를 보호하기 위한 응용 계층에서의 통신 프로토콜 표준입니다.

전자결제 시 교환되는 정보의 비밀 보장을 위해 공개키, 비밀키 암호 알고리즘을 사용하고, 데이터의 무결성을 확보하고자 전자서명과 해시 알고리즘을 사용합니다. 주문 정보는 상점의 공개키로, 지불 정보는 은행의 공개키로 암호화합니다.  

그리고 구매자의 구매품목 등의 주문정보와 결제 계좌 등의 지불 정보를 분리시켜 서명하며 판매자의 금융기관에 제공되는 정보를 최소화하기 위해 이중 서명이 사용됩니다.

관련 문제

13회 9회 다음 지문은 무엇을 설명한 것인가?3 
[보기] 
- TCP/IP 프로토콜에서 전송 계층 바로 위에 위치하며 보안 기능을 수행한다. 
-사용자 상호인증, 데이터 기밀성, 메시지 무결성 등의 보안 서비스를 제공한다. 
- Handshake 프로토콜, Change Cipher Spec, Aler 프로토콜 Record 프로토콜로 구성된다. 
① IPSec 
② PGP 
③ SSL/TLS 
④ SHTTP 

14회 다음 중 SSL에 대한 설명으로 옳지 않은 것은?2 
①넷스케이프사에서 처음 개발하였다. 
②TFTP, FTP, SYSLOG 등에 주로 사용된다. 
③SSL은 기본적으로 443번 포트를 사용한다 
④SSL이 적용된 웹사이트는 https:// 로 접속한다. 

13회 SSL/TLS에 대한 설명으로 옳은 것은?1 
① 상위계층 프로토콜의 메시지에 대해 기밀성과 부인방지를 제공한다. 
② 종단 대 종단 간의 안전한 서비스를 제공하기 위해 UDP를 사용하도록 설계하였다. 
③ 레코드(Record) 프로토콜에서는 응용계층의 메시지에 대해 단편화, 압축, MAC 첨부, 암호화 등을 수행한다. 
④ 암호명세 변경(Change Cipher Spec) 프로토콜에서는 클라이언트와 서버가 사용할 알고리즘과 키를 협상한다. 

11회 SSL 프로토콜에 대한 설명이다. 적절치 못한 것은?3 
① SSL을 사용하기 위해서는 URL에 "http:// 대신에 "https://"을 사용한다. 
② SSL 프로토콜은 Default로 TCP 443 Port를 사용한다. 
③ SSL 프로토콜은 암호화 통신을 하기 때문에 침입탐지 방지시스템(IDS/ITS) 등의 보안장비에서 공격 페이로드의 탐지가 쉽다. 
④ SSL은 Record Layer와 HandShake Layer로 구분한다. 

10회 다음은 전자상거래 보안 프로토콜에 대한 설명이다. 설명으로 옳지 않은 것은?4 

① SET : 공개키 기반 구조를 바탕으로 사용자 인증 
② SSL : 제어 프로토콜과 레코드 프로토콜의 2계증으로 구성 
③ SET : 트랜잭션 정보의 비밀성 보장을 위하여 공개키, 비밀키 암호방식을 혼합하여 사용 
④ SSL : 하이퍼링크 앵커는 서버 식별, 요구되는 암호 매개변수 등을 지시 

9회 SET에 대한 설명 중 적절하지 않은 것은?4 
① 전자결제 시 교환되는 정보의 비밀 보장을 위해 공개키, 비밀키 암호 알고리즘을 사용한다. 
② 데이터의 무결성을 확보하고자 전자서명과 해시 알고리즘을 사용한다. 
③ 주문 정보는 상점의 공개키로, 지불 정보는 은행의 공개키로 암호화한다. 
④ 지불 정보와 주문 정보는 상점과 은행이 상호 협조하여 모두 볼 수 있도록 구성되어 있다. 

13회 이중서명(Dual Signature)은 사용자가 구매정보와 지불정보를 각각 해시한 후 해시값을 합하여 다시 해시 그리고 최종 해시값을 카드 사용자의 개인키로 암호화한 서명을 말하는 것으로 다음 그림은 이중서명 절차도이다. 
아래와 같이 이중서명을 사용하는 것으로 적합한 것은?1 
① SET 
② PKI 
③ 전자화폐 
④ 전자수표 

11회 이중서명의 특징에 대한 설명으로 옳지 않은 것은?3 
① 분쟁에 대한 대비를 위해 두 메시지 간의 연관성이 구현되어야 함 
② 구매자의 자세한 주문정보와 지불정보를 판매자와 금융기관에 필요 이상으로 전달하지 않아야 함 
③ 이중 서명은 SSL에서 도입된 기술로 고객의 카드 정보를 상인에게 전달하면 상인은 그 요청에 유효성을 확인하게 됨 
④ 구매자는 최종 메시지 다이제스트를 자신의 개인 서명키로 암호화 하여 이중서명을 생성함 

10회 이중 서명을 사용하는 경우로 옳은 것은?3 
① 송신자와 수신자 간에 문서의 위변조를 방지하기 위한 방법이다. 
② 서명 이용자의 신원 노출이나 문서정보의 노출 없이 서명자로부터 서명을 받고 싶을 때 사용한다. 
③ 구매자의 구매품목 등의 주문정보와 결제 계좌 등의 지불 정보를 분리시켜 서명하며 판매자의 금융기관에 제공되는 정보를 최소화하기 위해 사용된다. 
④ 문서 송수신 시, 중간자 공격을 방지하기 위해 Salt 및 Nonce를 활용하는 서명 방식을 말한다. 

8회 SET에서 도입된 기술로 고객의 구매 정보는 은행이 모르게 하고 지불 정보는 상점이 모르게 하기 위해 사용하는 서명 방식은?4 
① 은닉 서명 
② 그룹 서명 
③ 수신자 지정 서명 
④ 이중 서명