1. 웹 관련 취약점에 대하여 ( A), (B)에 들어갈 용어를 기술하시오.

(  A  ) 은(는) 게시판, 웹 메일 등에 삽입된 악의적인 스크립트에 의해 페이지가 깨지거나 다른 사용자의 사용을 방해하거나 쿠키 및 기타 개인 정보를 특정 사이트로 전송시키는 공격이다. 점검을 위하여 다음과 같은 스크립트를 사용할 수 있다.

＜script＞ (  B  ) (document.cookie) ＜/script＞

2. 웹 사이트에 로봇 에이전트(agent)가 접근하여 크롤링 하는 것을 제한하기 위한 파일의 파일명은 무엇인가?

3. 서비스 거부 공격(DOS)과 관련하여 ( )에 들어갈 공격 기법을 적으시오.

(   A   ) : 출발지와 목적지의 IP 주소를 공격대상의 IP주소와 동일하게 설정하여 보내는 공격
(   B   ) : 공격 대상자의 IP로 스푸핑된 IP를 소스로 하여 브로드캐스트 도메인으로 ICMP 메세지를 전송하는 공격
(   C   ) : 다수의 SYN 패킷을 전송하는 공격

4. Reflection 공격의 일종으로 1900번 포트를 사용하여 IoT 시스템을 공격하는 기법은?

5. 다음 괄호 안에 들어갈 용어를 기술하시오.

( A )는 오픈소스 IDS/IPS로 기존의 (  B  )의 장점을 수용하고, 대용량 트래픽을 실시간으로 처리하는데 특화된 소프트웨어이다.

6. 다음은 개인정보보호법 고시인 「개인정보의 안전성 확보조치 기준」의 조문이다. 괄호 안에 들어갈 용어를 기술하시오.

제8조(접속기록의 보관 및 점검) ① 개인정보처리자는 개인정보취급자가 개인정보처리시스템에 접속한 기록을 1년 이상 보관·관리하여야 한다. 다만, 5만명 이상의 정보주체에 관하여 개인정보를 처리하거나, (  A   ) 또는 (  B   ) 를 처리하는 개인정보처리시스템의 경우에는 2년 이상 보관·관리하여야 한다.
② 개인정보처리자는 개인정보의 오·남용, 분실·도난·유출·위조·변조 또는 훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 월 1회 이상 점검하여야 한다. 특히 개인정보를 다운로드한 것이 발견되었을 경우에는 (  C   )으로 정하는 바에 따라 그 사유를 반드시 확인하여야 한다.

7. TLS 연결을 SSL 3.0으로 낮춰 SSL 3.0 취약점을 이용하여 암호문을 해독하는 공격 기법을 무엇이라 하는가?

8. 다음은 ISMS-P 인증 체계를 나타낸 그림이다. 다음 설명을 보고 빈 칸에 들어갈 알맞은 조직명을 적으시오.

A: 과학기술정보통신부와 함께 ISMS-P의 정책 협의회를 구성하는 중앙행정기관
B: ISMS-P의 인증기관은 일반 분야의 (   B   )와 금융 분야의 금융보안원이 있다.
C: 인증심사 결과에 대한 심의 및 의결을 수행하는 조직

9. 자산 및 시스템의 위험을 평가하여, 수용 가능한 수준으로 위험을 완화하기 위한 대응책을 수립하는 일련의 과정을 무엇이라고 하는가?

10. VPN 관련 프로토콜에 대하여 다음에서 설명하는 프로토콜을 각각 적으시오.

( A ) CISCO사에서 개발한 터널링 프로토콜로 데이터 링크 계층에서 캡슐화를 지원한다.
( B ) 마이크로소프트社와 3Com社 등 여러 회사가 공동개발한 터널링 프로토콜로 RFC 2637으로 표준화되어 있다.
( C ) A와 B의 장점을 결합한 프로토콜로, 기밀성과 인증 기능의 부족으로 IPSec 프로콜과 함께 사용되는 경우가 많다.

11. 다음 보기의 패킷을 ESP 터널모드로 전송하는 경우 다음 물음에 답하시오.

보기
[IP 헤더] [TCP 헤더] [데이터]

(A) ESP 터널모드로 전송시 추가되는 필드를 보기와 같이 도식화하여 표현하시오.
(B) 암호화되는 필드의 범위를 설명하시오.
(C) 인증되는 필드의 범위를 설명하시오.

12. 백도어가 설치되어 있는 것을 아래 보기와 같이 확인하였으나, 해당 파일 경로로 가보니 파일이 존재하지 않았다.

$ ls -al /proc/5900
 

1) 백도어 파일 경로로 접속시 해당 프로세스가 보이지 않는 이유는?
2) 삭제된 백도어 프로세스를 /tmp/backdoor로 복원하는 명령어는?
3) 공격자가 사용한 명령어를 확인하는 방법은 무엇인가?(단, ps는 변조되어 사용 불가함)

13. 정보통신망법에 적용을 받는 신생회사에서 비밀번호 작성 규칙을 수립하려고 한다. 개인정보의 기술적, 관리적 보호조치 기준에 따른 비밀번호 작성 규칙 3가지를 설명하시오.

14. 백업 스크립트 파일과 백업 결과 파일이 다음과 같을 때 아래의 질문에 답하시오.

[백업 스크립트 파일]
$/bin/sh
tar -cvzf /data/backup/etc_$dat.tgz /etc/*
tar -cvzf /data/backup/home_$dat.tgz /home/*

[백업 결과 파일 권한]
rw-r--r-- root root /data/backup/etc_YYYYMMDD.tgz
rw-r--r-- root root /data/backup/home_YYYYMMDD.tgz


1) 백업 결과 파일의 권한을 검토하여 어떤 문제가 있는지 설명하시오.
2) 백업 스크립트 파일에서 umask 변경 후 백업 파일을 생성하고, umask를 원래대로 만드는 스크립트를 작성하시오. 
3) operator 사용자만 백업 스크립트(/usr/local/bin/backup)를 읽을 수 있도록(단 삭제나 실행 권한은 없도록 한다) 만드는 명령어를 기술하고, 해당 명령어에 대해 간단히 설명하시오.

15. 다음은 HTTP Request 메시지를 패킷 분석 도구로 캡쳐한 결과 중 일부이다. 각 물음에 답하시오.

1) 어떤 공격을 당하고 있는 것으로 추정할 수 있는가?
2) 이 공격의 원리는 무엇인가?
3) 대응방법을 2가지 이상 쓰시오.

16. 다음은 안남시의 어르신 교통카드 신청서 안내문의 개인정보 수집·이용 동의서이다. 개인정보 보호법에 위반되는 사항 4가지를 찾아서 설명하시오.

❏ 개인정보의 수집·이용 목적
  ❍ 귀하의 개인정보는 안남시의 어르신 교통카드 신청 및 카드 발급, 배송을 위해 사용됩니다.
❏ 수집·이용할 개인정보의 항목
  ❍ (필수) 이름, 주민등록번호, 주소
  ❍ (선택) 전화번호, 이메일
❏ 개인정보의 보유·이용기간
  ❍ 영구(카드 해지 후 요청 시 파기)
❏ 제3자 제공
  ❍ 제공해주신 정보는 카드 발급을 위해 제휴 금융기관으로 제공될 수 있습니다.

본인은 위와 같은 목적으로 본인의 개인정보를 수집·이용하는 것에 동의합니다.
(동의함 □ ,  동의하지 않음 □)