1. 다음은 고유 취약점에 대한 표기 방법이다. 물음에 답하시오.

CVE-2000-0234

1) 2000의 의미는?
2) 0234의 의미는?

2. OWASP는 오픈소스 웹 애플리케이션 보안프로젝트 기구다. 주로 웹에 관한 정보노출, 악성 파일 및 스크립트, 보안 취약점등을 연구하며 3년 마다 10대 웹 애플리케이션의 취약점을 발표한다. 다음에서 언급하고 있는 내용은 어떤 취약점을 설명하고 있는 것인가?

1) 신뢰할 수 없는 데이터가 명령어나 질의문의 일부분으로서 인터프리터로 보내질 때 발생한다. 공격자의 악의적인 데이터는 예상하지 못하는 명령을 실행하거나 적절한 권한 없이 데이터에 접근하도록 인터프리터를 속일 수 있다.

2) 신뢰할 수 없는 데이터를 가져와 적절한 검증이나 제한 없이 웹 브라우저로 보낼 때 발생한다. 공격자가 피해자의 브라우저에 스크립트를 실행하여 사용자 세션 탈취, 웹 사이트 변조, 악의적인 사이트로 이동할 수 있다.

3) 로그온 된 피해자의 취약한 웹 애플리케이션에 피해자의 세션 쿠키와 기타 다른 인증정보를 자동으로 포함하여 위조된 HTTP 요청을 강제로 보내도록 하는 것이다. 이것은 공격자가 취약한 애플리케이션이 피해자로부터의 정당한 요청이라고 오해할 수 있는 요청들을 강제로 만들 수 있다.

3. 개인정보보호법 제17조에 따르면 개인정보 제3자 제공 시 동의를 받을 때 5가지 사항을 정보주체에게 알려야 한다. 다음 5가지 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다. 5가지 사항을 적으시오.

4. 다음 위험분석 및 위험평가 관련 내용 중 빈칸 (A), (B), (C), (D) 각각에 알맞은 용어를 기재하시오.

( A ) : 국내외 표준, 기존에 마련되어 있는 법령, 가이드 등으로 기준을 정하여 위험을 관리
( B ) : 구조적인 방법론에 기반하지 않고 경험자의 지식을 사용하여 위험분석을 수행하는 것이다.
( C ) : 정립된 모델에 기초하여 자산분석, 위협분석, 취약성분석 각 단계를 수행하여 위험을 평가하는 것이다.
( D ) : 위 세 가지 방법을 혼합하여 접근하는 방식을 말한다.

5. 다음 빈칸에 알맞은 단어를 적으시오.

( A ) : 조직의 자산에 대한 위험을 수용할 수 있는 수준으로 유지하기 위하여 자산에 대한 위험을 분석하고 이러한 위험으로부터 자산을 보호하기 위해 비용대비 효과적인 보호대책을 마련하는 일련의 과정
( B ) : 조직은 정보자산의 식별 후에 식별된 정보자산에 영향을 줄 수 있는 모든 위협과 취약성, 위험을 식별하고 분류하여야 하며, 이 정보자산의 가치와 위험을 고려하여 잠재적 손실에 대한 영향을 식별 분석해야 한다.
( C ) : 위헙에 대응하여 자산을 보호하기 위한 물리적, 기술적, 관리적 대응책을 말한다.

6. 다음에서 설명하고 있는 것은 무엇인가?

웹 서버를 대신하여 자신이 마치 웹 서버인 것처럼 동작을 대행해준다. 브라우저로부터 연결 요청에 대하여 대신 응답한다. 대표적인 툴로는 ‘paros’ 와 ‘burp suite’등이 있다.

7. 다음은 침입 탐지 시스템에 관한 용어 설명이다. (A), (B)에 알맞은 용어를 작성하시오?

( B ) 는 공격인데 공격이 아닌 것으로 잘못 판단하는 것을 말하고, ( C )는 공격이 아닌데 공격으로 잘 못 판단하는 것을 말한다.

8. 다음 5개의 스캔 방법 중 포트가 닫혀있을 때만 응답이 오는 스캔 방식만을 고르시오.

SYN Scan, FIN Scan, XMAS Scan, NULL Scan

9. 다음은 Telnet으로 웹 서버를 호출하는 방법이다. 대상 호스트가 192.168.5.2일 때 아래와 같은 결과가 나오려면 어떤 명령을 입력하여야 하는가?

HTTP/1.1 200 OK
Server: Microsoft-IIS/5.0
Date: Tue, 31 Oct 2006 08:00:29 GMT
Connection: close
Allow: GET, HEAD, POST, TRACE, OPTIONS
Content-Length: 0

10. 다음은 BOF(버퍼오버플로우)공격이 가능한 소스 중 일부분이다. BOF를 방지하기 위한 소스로 수정하시오.

int main(int argc, char *argv[]){
  char buff[8];
  strcpy(buff, argv[1]);
  return 0;
}

11. VPN(Virtual Private Network)은 인터넷과 같은 공중망(Public Network)을 사설망 처럼 사용할 수 있게 해주는 기술이다. 다음의 질문에 답하시오.

1) 2계층, 3계층, 4계층에서 동작하는 프로토콜을 각각 하나씩 쓰시오.
2) 3계층에서 동작하는 프로토콜의 2가지 기밀성 동작 모드를 적고, 암호화하는 구간에 대해 설명하시오.

12. 다음 로그에서 나타나는 공격을 보고 물음에 답하시오.

"GET /login?id=1'+and+substr(password,2,1)='0'# HTTP/1.1" 200 1739 "" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.95 Safari/537.36"
"GET /login?id=1'+and+substr(password,2,1)='1'# HTTP/1.1" 200 1788 "" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.95 Safari/537.36"
"GET /login?id=1'+and+substr(password,1,1)='2'# HTTP/1.1" 200 1789 "" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.95 Safari/537.36"
"GET /login?id=1'+and+substr(password,1,1)='3'# HTTP/1.1" 200 1789 "" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.95 Safari/537.36"


1) 어떤 공격 기법이 사용되었는가?
2) 해당 공격 원리에 대해 설명하시오.
3) 공격의 결과에 대해 설명하시오.

13. 개인정보보호법에 따른 개인정보 안전성확보조치에서 접속기록 관리 방법에 대해 서술하시오.

14. 다음 보기를 보고 문제점과 해결방안을 제시하시오.

tcp any any -> any any PCRE(/^POST.*Contentx2dLengthx2ax20evilstring)


1) 해당 Rule은 어떤 문제점을 가지고 있는가?
2) 해결방안은 무엇인가?

15. 다음 WPA를 크래킹(Cracking) 하는 과정을 참조하여 질문에 답하시오.

airodump-ng –c 0 –bssid E8:00:43:47:A1:AB:CD –w wpa mon0
aireplay-ng -0 –a E8:00:43:47:A1:AB:CD –c 00:CD:53:A1:80:CA:E0 mon0
aircrack-ng –w pw.lst –b ( A ) *.cap


1) 첫 문장에서 bssid는 무엇을 의미하는가?
2) 두번째 문장 -c 는 무엇을 의미하는가?
3) 네번째 문장 pw, lst는 무엇을 의미하는가?
4) ( A )에 해당하는 명령어는 무엇인가?

16. 다음 설명을 참고하여 질문에 답하시오.

어떤 회사에서 5년에 한번씩 화재가 발생하여, 전체 회사 자산인 40억의 30%에 해당하는 손해가 발생한다고 한다. 따라서, 몇 천만원을 들여서 소방 방재 시설을 설치하고, 1억원을 들여 화재가 날 경우 10억까지 보상해주는 보험에 가입하였다.

1) 자산 가치는 얼마인가?
2) 노출계수는 얼마인가?
3) 단일손실예상액은 얼마인가?
4) 연간 발생률은 얼마인가?
5) 연간 예상손실액은 얼마인가?
6) 회사가 세운 대책은 어떤 것들이 있는가?