Gamja's Farm

정보보안기사 11회 실기를 보고 왔습니다.

굉장히 어렵다는 실기를 보고 왔는데 역시 생각대로 단답형과 서술형, 작업형 모두 직접 써내려 가야한다는 점이 어렵게 느껴졌는데요

하지만 역시나 기출을 중심으로 보면 그 흐름과 유형이 보입니다.

상당히 어렵지만 누구나 할수 있다는 점이 다시한번 증명되었습니다.

다들 인터넷에서 학원을 다니지 않으면 어렵다느니 무조건 배워야 한다는 소리는 안믿으셔도 될 것 같습니다.

저는 5일 공부를 하고 실기시험을 봤는데 합격을 하기는 어려울 것 같습니다만 한 넉넉히 2주를 잡으시면 충분할 것 같습니다,

위험 관리 및 분석

정보보호 체계에서 위험관리는 위험을 식별, 분석, 평가, 보호대책을 수립 하는 일련의 활동.

정의: 조직의 자산을 식별하고 위험을 평가하며 조직의 재해, 장애 등 손실을 최소화하기 위한 절차 혹은 연속적인 행위이다.

위험관리 구성

1. 자산 : 조직에 가치가 있는 자원들

2. 위험 : 위협과 취약점을 이용하여 조직의 자산에 손실, 피해를 가져올 가능성

3. 위협 : 조직, 기업의 자산에 악영향을 끼칠 수 있는 조건, 사건, 행위

4. 취약점 : 위협이 발생하기 위한 조건 및 상황

위험분석 : 보호 대상, 위협 요소, 취약성 등에 대한 자료 수집 및 분석

위험평가 : 분석 결과를 기초로 하여 보안 현황을 평가하고 적절한 방법을 선택하여 효과적으로 위험 수준을 낮추기 위한 과정

위험관리 활동

1. 위험성향 : 수용할 준비가 된 위험의 총량을 의미하며, 영향의 크기와 발생빈도로 정의됨

2. 위험허용범위 : 위험성향에 근거한 위험수준으로부터 수용가능한 최대편차

3. 위험대응 : 식별된 위험의 발생 가능성과 영향에 대한 대응조치

위험분석

- 접근방법에 따른 위험분석기법

1. 기준선 접근법 ( 베이스라인 접근법 ) : 모든 시스템에 대하여 보호의 기준 수준을 정하고 이를 달성하기 위해 일련의 보호대책을 선택, 시간 및 비용이 적고 모든 조직에서 기본적으로 필요한 보호 대책 선택이 가능, 조직의 특성 고려의 부족으로 부서별로 적정 보안수준보다 높거나 낮게 보안통제 적용

2. 전문가 판단 ( 비정형 접근법 ) : 정형화된 방법을 사용하지 않고 전문가의 지식과 경험에 따라서 위험을 분석, 비용적인 면에서 작은 조직에 효과적이지만 구조화된 접근방법이 없으므로 위험을 제대로 평가하기 어렵고 보호 대책의 선택 및 소요비용을 합리적으로 도출하기 힘듬. 계속적으로 반복되는 보안관리 및 보안감시, 사후관리로 제한됨.

3. 상세위험분석 : 자신의 가치를 측정하고 자산에 대한 위협 정도와 취약점을 분석하여 위험 정도를 결정, 조직 내에 적절한 보안 수준 마련 기대, 전문적 지식과 노력이 많이 소요됨, 정성적 분석기법과 정량적 분석기법이 존재함.

4. 복합적 접근법 : 먼저 조직 활동에 대한 필수적이고 위험이 높은 시스템을 식별하고 이러한 시스템은 상세 위험 분석 기법으로 적용, 그렇지 않은 부분은 기준선 접근법으로 적용, 빠르게 보안 전략 구축 및 시간과 노력을 효율적으로 사용 가능, 고위험 영역이 잘못 식별 될 경우 위험분석비용이 낭비되거나 부적절하게 사용

정량적 위험분석과 정성적 위험분석

ALE : 연간 기대 손실, 손실 크기, 정량적인 위협분석의 대표적인 방법으로 특정 자산에 대하여 실현된 위협의 모든 경우에 대해서 가능한 연간 비용

SLE : 위험 발생 확률, 특정 위협이 발행하여 예상되는 1회 손실액(SLE = 자산가치*EF(1회 손실액)

ARO : 매년 특정한 위협이 발생할 가능성에 대한 빈도수, 혹은 특정 위협이 1년에 발생할 예상 빈도수

정량적 위험분석 : 비용/가치 분석, 예산 계획, 자료 분석이 용이, 분석 시간, 노력, 비용이 크고 정확한 정량화 수치를 얻기 어려움.

-> 수학공식 접근법, 확률 분포 추정법, 확률 지배, 몬테카를로 시뮬레이션, 과거 자료 분석법

정성적 위험분석 : 손실 크기를 화폐가치로 표현하기 어려움, 위험크기는 기술변수로 표현, 분석시간이 짧고 이해가 쉬움, 금액화 하기 어려운 정보의 평가 기능, 평가 결과가 주관적임, 비용효과 분석이 쉽지않음

-> 델파이법, 시나리오법, 순위 결정법, 질문서법

확률분포법 : 미지의 사건을 추정하는데 사용되는 방법, 이 방법은 미지의 사건을 확률적(통계적) 편차를 이용하여 최저, 보통, 최고의 위험평가를 예측할 수 있다. 그러나 확률적으로 추정하는 방법이기 때문에 정확성이 낮다.

시나리오법 : 어떤 사건도 기대대로 발생하지 않는다는 사실을 근거하여 일정 조건하에서 위협에 대한 발생 가능한 결과들을 추정하는 방법, 이 방법은 적은 정보를 가지고 전반적인 가능성을 추론할 수 있고, 위험분석팀과 관리층 간의 원활한 의사소통을 가능하게 한다. 그러나 발생 가능한 사건의 이론적인 추측에 불과하고 정확도, 완성도, 이용기술의 수준 등이 낮다

델파이법 : 시스템에 관한 전문적인 지식을 가진 전문가의 집단을 구성하고, 정보시스템이 직면한 다양한 위협과 취약성을 토론을 통해 분석하는 방법이다

1. Packet Sniffing

: tcpdump, snoop, sniff 등과 같은 네트워크 모니터링 툴을 이용해 네트워크 내에 돌아다니는 패킷의 내용을 분석하여 정보를 알아내는 것이다. 네트워크에 연동되어 있는 호스트 뿐만 아니라 외부에서 내부 네트워크로 접속하는 모든 호스트가 그 대상이 된다.

2. IP Spoofing

: 인터넷 프로토콜인 TCP/IP의 구조적 결함, 즉 TCP 시퀀스 번호, 소스 라우터의 소스 주소를 이용한 인증 매커니즘 등을 이용한 방법이다. 인증기능을 가지고 있는 시스템에 침입하기 위하여 해당 시스템 호스트로 위장하는 방법이다.

3. Trap Door

: OS나 대형 응용 프로그램을 개발하면서 전체 시험을 실행할 때 발견되는 오류를 정비나 유지보수를 핑계삼아 컴퓨터 내부의 자료를 뽑아가는 수법이다.

4. DDoS(Distributed Denial of Service)

: DDoS는 분산된 해킹 프로그램으로 서비스를 요청하여 서비스 자원을 고갈시키는 방식으로 서비스 거부를 유발하는 공격기법이다. DDoS 공격대상은 애플리케이션, 서버, DBMS, 네트워크 인프라 등 모든 것을 대상으로 한다.

5. Asynchronous Attacks

: 컴퓨터 중앙처리장치 속도와 입출력 장치의 속도가 다른 점을 이용하여 멀티 프로그래밍을 할 때에 체크 포인트를 써서 자료를 입수하는 방법이며, 사용하기 쉬우면서도 효과적이다. 미리 작성해둔 침투 프로그램으로 시스템 운영자를 속인 채 해킹하는 방법이다.

6. Opt Out

: 명확하게 참여를 거부하는 것이다. 주로 마케팅 프로그램등에서 사용되는 방식으로, 원래 목적 이외의 용도로 개인정보를 사용하는 등의 행동이 사용자가 거부하기 전까지는 이루어 질 수 있다는 내용이다.

7. Opt In

: 확실하게 참여에 동의하는 것이다. 주로 마케팅 프로그램 등에서 사용되는 방식으로, 원래 목적 이외의 용도로 개인정보를 사용하는 등의 행동이 사용자의 명백한 동의가 있기 전에는 이루어 질 수 없다는 내용이다.

8. 무작위 공격(Brute Force Attack)

: 정확한 키를 찾을 때까지 각각의 가능한 키를 입력하여 시도하는 공격유형으로, 평균적으로 키스페이스에 있는 키의 절반만 시도하면 성공할 확률이 높다.

9. 크래킹(Cracking)

: 인가를 받지 않고 컴퓨터 시스템에 접근하려고 시도하는 행위이다.

출처: 이기적 정보보안기사 실기이론서

1. AES(Advanced Encryption Standard)

: DES의 보안성에 문제점이 제기되어 이를 보완하고자 미국의 표준기술연구소에서 차세대 암호표준으로 선정한 대칭형 암호 알고리즘이다. DES가 56bit의 키 길이를 제공하는 반면 AES는 암호시스템의 안전도를 표현하는 키 길이가 128bit, 192bit, 256bit등 3가지 형태로 제공된다.

2.  DES(Data Encryption Standard)

: 1972년 세계적인 표준으로 사용된 64bit 블록암호 알고리즘이다. 2개의 키를 사용하는 3중 DES(키 길이 112bit)가 등장하여 현재까지 사용되고 있다.

3. CC(Common Criteria)

: 현존하는 다양한 정보보호 제품 평가 기준의 조화와 표준을 제시하고 각 나라의 평가 결과를 상호인증하기 위한 표준이다. 단일화된 공통 평가기준을 제정하여 적용함으로써 평가결과 및 시간의 절약, 평가 비용의 절감에 따른 제품가격의 인하, 신속한 평가에 따른 새로운 제품 개발의 가속화 등을 이룰 수 있다.

4. CERT(Computer Emergency Response Team)

: CERT는 인터넷 파괴 프로그램의 일종인 Worm으로 부터 급습 사고 직후에 만들어졌으나 보안상의 허점과 부정이용 사고들에 초점을 맞추어 경보와 사고처리 및 예방을 위한 정책수립 등을 수행한다.

5. 전자서명(Digital Signature)

: 전자서명이란 메세지의 기밀성과 무결성 및 부인방지를 보증하기 위한 과정으로 일반적으로 전자 상거래 보안을 위해 사용된다. 전자인증서와 유사한 전자서명은 발신자의 신원을 확인하기 위해 전자 메세지에 첨부되는 코드이다.

6. 전자인증서(Digital Certificate)

: 전자인증서는 사용자가 암호화된 메세지를 전송할 수 있도록 허용한다. 전자인증서는 전자 메세지에 첨부되어 사용자가 원하는 대상임을 확인하고 보안 전자 비즈니스 거래를 보증하기 위해 사용된다.

7. 적극적인 공격(Active Attack)

: 파일의 조작 또는 허가받지 않은 파일의 추가 등과 같이 허가를 받지 않은 상태 변경을 초래하는 네트워크 공격을 말한다. 수동적 공격은 상태를 변경하지는 않지만 활동 또는 로그 정보를 감시한다.

8. 사전공격(Dictionary Attack)

: 공격자가 암호 등을 알아맞히기 위해 대규모의 가능한 조합을 사용하는 공격 형태로서, 공격자는 일반적으로 사용되는 백만개 이상의 암호를 선택하여 이들 중 암호가 결정될 때 까지 이를 시험해볼 수 있다.

9. DNS Spoofing

: 공격 대상 시스템의 이름 서비스 캐시를 손상하거나 유효한 도메인에 대한 도메인 네임 서버를 손상하여 다른 시스템의 DNS 이름을 가장하는 행위이다.

10. 트로이 목마(Trojan Horse)

: 컴퓨터 시스템에서 정상적인 기능을 하는 프로그램으로 가장해 다른 프로그램 안에 숨어 있다가 그 프로그램이 실행될 때 자신을 활성화시키는 악성 프로그램이다. 컴퓨터 바이러스와 달리 자기 복사능력이 없지만 실행되는 순간 직접적인 피해를 입히는 특징을 가지고 있다.

출처: 이기적 정보보안기사 실기이론서

1. DRS(Disaster Recovery System)

: 재해복구 계획의 원활한 수행을 지원하기 위해서 평상시에 확보하여 두는 인적, 물적자원 및 이들에 대한 지속적인 관리체계를 지원하는 재해복구 시스템이다. 재해복구시스템은 계정계를 실시간으로 백업하여 복구할 수 있는 Mirror Site를 가지는 것이 일반적이다.

2. PIMS 인증(Personal Information Management System)

: 개인정보에 대한 보안정책, 프로세스, 인프라를 수립하고 개인정보보호 법률을 준수하고 있는 지의 여부를 인증하는 한국인터넷진흥원의 개인정보보호 인증제도이다.

3. ISMS 인증(Information Security Management System)

: 정보보호의 목적인 정보자산의 기밀성, 무결성, 가용성을 실현하기 위한 절차와 과정을 체께적으로 수립, 문서화하고 지속적으로 관리 운영하는 정보보호 체계 수립 시스템이다. 정보보호 관리체계 범위를 설정하고 위험분석을 통하여 정보자산을 보호하고 관리한다.

4. IPS(Intrusion Prevention System)

: 능동적 정보보안 시스템으로 보안탐지를 통하여 침해여부를 분석하고, 침해발생 시 세션 절단과 같이 대응하는 정보보안 솔루션이다.

5. IDS(Intrusion Detection System)

: 오용탐지 및 이상탐지 기법을 통하여 침해여부를 탐지하는 솔루션 이다.

6. ISO38500

: 기업 거버넌스의 일부로 이사회를 포함하는 중역진들이 정보보호에 대한 지시와 통제를 어떻게 수행해야 하는가에 대한 프로세스로 기술적 이슈, 전략적 이슈, 법적 문제를 포함하는 포괄적인 정보보호 거버넌스 프레임워크이다.

7. ISO27000

: 정보보호 관리 시스템 국제표준으로 ISMS 요구사항, 위험관리, ISMS 측정 메트릭스, ISMS 구현 가이드라인, 재해복구서비스를 포함하고 있다.

8. 전자상거래 보안 프로토콜(ESP : Electronic Security Protocol)

: B2C, B2B 상에서 안정한 기밀성, 무결성, 가용성을 보장하기 위하여 인증 및 지불처리를 수행하는 보안 프로토콜이다. 보안 프로토콜의 종류에는 기밀성과 무결성을 제공하는 IPSEC과 SSL, 지불처리를 수행하는 SET가 있으며 웹 브라우저에서 인증기관, 암호화 방법을 선택하여 수행하는 S-HTTP가 있다.

9. 이중서명(Dual Signature)

: 신용카드 보안 프로토콜 SET에서 구매자가 상점 정보를 별도로 서명하여 처리하는 이중 서명이다.

10. 커버로스(Kerberose)

: MIT에서 개발한 인증 서비스로 티켓 서버에게 티켓을 발급받아 인증을 수행하는 서비스이다.

출처: 이기적 정보보안기사 실기이론서

1. 스크리닝 라우터

: OSI 7계층 중 3,4계층에서 동작하고 TCP, UDP 프로토콜 헤더에 포함된 내용을 분석하여 패킷 트래픽을 허가 또는 거부를 수행하는 패킷 필터링을 수행한다.

2. 배스천호스트(Bastion Host)

: 외부 네트워크와 내부 네트워크를 연결하는 방화벽 시스템으로 방화벽 기능이 구현된 호스트를 사용하여 감사, 로그, 모니터링 기능을 수행한다.

3. 듀얼 홈 게이트웨이(Dual Home Gateway)

: 두 개의 네트워크 인터페이스를 가진 배스천호스트로 외부망과 내부망을 연결하는 Proxy 서버 형태이다.

4. CCRA(Common Criteria Recognition Arrangement)

: 정보보호 제품의 안정성을 회원국 간 상호 인증하여 활용을 증진 시키는 국제협약으로, 인증한 정보보호 제품에 대한 상호인정 협약국이다.

5. TCSEC(Trusted Computer System Evaluation Criteria)

: 미국 국립 컴퓨터 보안센터에서 개발하였다. 표지색이 오렌지 색이기 때문에 통상 오렌지 북으로 불린다. 컴퓨터 시스템 보호를 위하여 개발된 최초의 체계적이고 논리적인 표준 TCSEC은 최종적으로 CC로 대체되었다.

6. ITSEC(Information Technology Security Evaluation Criteria)

: 유럽국가들의 정보보호 제품에 대한 인증으로 기밀성, 무결성, 가용성을 포함하는 포괄적인 인증이다.

7. RTO(Recovery Time Objective)

: 어떤 서버 혹은 서비스 장애가 발생하면 장애복구를 수행하고 서비스가 정상적으로 다시 복구될 때 까지 거리는 다운타임이다.

8. RPO(Recovery Point Objective)

: 서버 혹은 서비스 장애 발생 시 복구시간(RTO)보다는 고객이 원하는 시점으로 돌아가는 것 이다.

9. DRP(Disaster Recovery Planning)

: 정보시스템에 재해 혹은 장애가 발생하는 경우, 빠른 복구를 통하여 업무영향을 최소화 하려는 계획이다.

10. BCP(Business Continuity Planning)

: 각종 재해나 재난이 발생하더라도 기업의 업무를 중단없이 처리할 수 있는 체계이다. BIA라는 업무영향도 분석과 DRS라는 장애 복구시스템, BCP의 재해 관리 프로세스를 수행한다.

출처: 이기적 정보보안기사 실기이론서

1. 접근제어(Access Control)

: 통신시스템이나 데이터 저장장치의 사용을 허가하거나 거부하기 위해서 사용되는 서비스 기법으로, 접근 제어 리스트(ACL) 는 주체(신분) 기반 DAC, 객체기반 MAC, 롤 기반 RBAC가 있다.

2. 다단계 보안정책(Multi Level Policy)

: 보안등급을 부여하여 계층형으로 권한을 부여하는 정보보안정책으로 군대에서 사용하는 Bell-Lapadula 모델과 정보의 무결성을 통제하는 Biba모델이 있다.

3. EAM(Enterprise Access Management)

: 기업 정보시스템의 통합인증(Single Sign-On)과 이를 기반으로 한 통합된 사용자 인증 및 권한 관리 시스템을 구축하기 위한 접근 통제(Access Control) 솔루션 이다. EAM의 핵심기술은 인증(Authentication), 권한(Authorization), 관리(Administration/ Audit)이며 EAM 3A 기술이라고 한다.

4. DRM(Digital Rights Management)

: 디지털 컨텐츠의 불법복제 및 유통에 따른 문제를 해결하고 정당한 사용자만 디지털 콘텐츠를 사용하며 과금을 통해 저작권자의 권리 및 이익을 보호하는 디지털 콘텐츠 보호기술이다.

5. MIB(Management Information Base)

: NMS(Network Management System)에서 SNMP 프로토콜을 활용하여 네트워크 자원에 대해 관리하는 관리대상 데이터 베이스이다.

6. IDEA

: 128Bit의 키로 암호화/ 복호화를 하는 대칭키 암호 알고리즘이며 유럽에서 많이 사용하고 있다.

7. 보안커널(Security Kernel)

: 운영체제에 내재된 보안 상의 결함으로 인해 발생 가능한 각종 해킹으로 부터 보호하기 위해 기존 운영체제내에 보안기능을 통합시킨 커널로 Secure OS에서 활용된다.

8. 컴퓨터 포렌식(Computer Forengics)

: 컴퓨터 범죄에 대한 법적 증거자료가 법적 증거물로 제출될 수 있또록 증거물을 수집, 복사, 분석, 제출하는 일련의 행위이다.

9. 요용탐지(Misuse Detection)

: 침입패턴을 미리 저장하여 침입패턴 발생시 침입을 탐지하는 IDS 보안 탐지기술이다.

10. 이상탐지(Anomaly Detection)

: 정상적인 패턴을 저장하고 정상적인 패턴 이외에 다른 패턴이 발생했을 때 침입을 탐지하는 IDS 보안 탐지 기술이다.

출처: 이기적 정보보안기사 실기이론서

1. 디렉터리 서비스(Directory Service)

: 실제 이름과 주소를 네트워크의 실제위치와 무관하게 논리적 이름과 주소로 연결하는 것으로 ITU-TX.500과 인터넷에서 사용하는 경량화된 LDAP이 존재한다.

2.OCSP(Online Certificate Status Protocol)

: 전자서명 인증서 폐지 목록(CRL)의 갱신주기 문제를 해결하기 위해서 실시간으로 인증서 유효성을 검증하는 프로토콜이다. OCSP는 WPKI에서 인증서 취소 여부확인 및 인증기관 간의 상호인증을 위한 프로토콜

3. X.509 인증서

: 주체의 공개키 값, 이름 및 전자 메일 주소와 같은 식별자의 정보, 유효기간, 발급자 식별정보를 포함하는 인증서 이다.

4. 메세지 다이제스트

: 해시함수를 사용해 메세지마다 고유하게 산출 되도록 만든 간단한 문자열 이다. 전자서명에서 문서의 변조(무결성 위배) 여부를 확인할 수 있는 일종의 Check Sum 이다.

5. 해시함수

: 단방향으로 어떤 키에 대해서 테이블 주소를 계산하기 위한 방법으로 전자서명에서는 메세지 다이제스트를 생성하고 문서의 변조여부를 확인하기 위해서 사용된다.

6. 인증

: 정보시스템의 신뢰성을 보장하기 위해 사용자 id와 password를 통하여 정당한 사용자인지를 확인한다. 인증은 SSO, RADIUS, DIAMETER, I-PIN 등에서 사용된다.

7. 허가

: 사용자, 프로그램, 프로세스에게 허가한 권한을 의미한다. 권한은 임의적 DAC, 강제적 MAC, 룰기반 RBAC, 다단계층 구조의 MLP로 권한이 구현된다.

8. 감사

: 사용자 정책 및 보안정책을 수립하고 이에 따라 시스템이 안전하게 운영되고 있는 지를 검증하기 위하여 정보시스템을 추적하고 확인하는 행위이다. 정보보안 감사를 할 수 있는 방법은 ITGI COBIT이 있다.

9. 감사추적

: 컴퓨터 보안 시스템에서 시스템 자원 사용에 대하여 시간순서에 따라 기록된 사용 내역을 말한다. 사용자 로그인, 파일 접근, 기타 다양한 활동 내역, 그리고 실질적인 또는 시도된 보안 위반 사항이 합법적으로 발생했는지 또는 허가를 받지 않고 발생했는지 여부가 포함된다.

10. AAA(Authentication, Authorization, Accounting)

: 유무선 통신 및 인터넷 환경에서 가입자에 대하여 신뢰성 있는 인증(Authentication), 권한 검증(Authorization), 과금(Accounting) 기능을 제공하는 정보보호 기술로 소규모 네트워크에서 사용하는 RADIUS와 대규모 네트워크에서 사용하는 Diameter AAA Protocol이 존재한다.

출처: 이기적 정보보안기사 실기이론서