2022년 2회차 정보보안기사 실기 출제 문제

어제 정보보안 기사 실기 시험을 보고와서 기억 나는데로 후기를 작성해보려 한다.

기억나는데로 정확한 문제는 알 수 없다

 

문제

 

1. 메소드를 물어보는 문제 

 

응답 값에 GET, POST 등 옵션이 나온 것으로 보아 정답은 OPTIONS로 추정

 

2. 위험분석 방법론 문제

 

비정형 접근법 - 정형화된 방법론이 아닌, 전문가의 경험과 지식을 바탕으로 평가하므로, 보안에 대한 전문성이 높은 인력이 수행하여야 효과가 있음

 

베이스라인 접근법 - 표준화된 체크리스트를 기반으로 보호대책 구현 여부를 평가

 

상세위험 분석 - 자산 분석, 위협 분석, 취약점  분석의 각단계를 수행하여 평가하기에 적절한 대책을 수립할 수 있지만, 많은 시간과 노력 필요

 

복합적 접근법 - 베이스라인 접근법과 상세위험 분석법을 복합적으로 적용

 

위의 개념에 접근법 빈칸채우기 4개중 3개에 답이 있음

 

3. 빈칸채우기

 

() : 실제로 공격을 공격으로 인지 하지 못하는 경우

() : 실제 공격이 아닌데 공격으로 보는 경우

 

답 : 미탐 / 오탐

 

4. 블록체인에 관한 문제 

 

지문을 길게 주고 빈칸안에 채우는 문제였다.

 

답 : 비트코인, 블록체인, 채굴

 

5. 접근 통제 방식 개념

 

강제적 접근 제어 - 미리 정해진 정책과 보안등급에 의거하여 주체에게 허용된 접근 권한과 객체에 부여된 허용 등급을 비교하여 접근제어 하는 방법

 

임의적 접근제어 - 객체에 대한 접근ㅇ르 사용자나 그룹의 신분을 기준으로 제한

 

역할 기반 접근 제어 - 권한을 사용자 개인이 아닌 역할 그룹에 부여하고, 사용자에게 역할을 할당하여 접근제어

 

답 : 위의 보기를 주고 접근제어 기법 맞추는 문제 

 

6. IPsec 어떠한 보안 효과가 있는지 3가지

 

답 : 기밀성, 비연결형 무결성, 재전송 공격방지

 

7.  아파치 설정 중 디렉터리 리스팅 되는 취약점이 존재, 어느 코드를 삭제해야하나

 

접근 가능한 범위를 all 로 설정한 부분이 있어서 이 부분을 제거 해야한다가 답이 될 듯 하다.

 

8. 위험 분석 정성적 기법들 개념

 

델파이법 : 전문적인 지식을 가진 전문가 집단이 위험을 분석 및 평가하여 다양한 위협과 취약점을 분석

 

시나리오법 : 어떤 사건도 기대대로 발생하지 않는다는 사실에 근거하여 일정 조건하의 위협에 대해 발생가능한 결과를 추정

 

순위 결정법 : 비교 우위 순위 결정표에 위험 항목들의 서술적 순위를 결정하는 방법

 

답 : 위의 개념들이 나오고 어떠한 방법인지 작성하는 문제 

 

9. DNS에서 cname을 통해 서브 도메인 줄 수 있는데, 이를 관리하지 않을 경우 해커에 의해 탈취 당한 후 피싱 사이트 등으로 사용 될 수 있음, 이는 무슨 취약점 인가?

 

답 : 이건 모르겠음

 

10. 정보보호/ 개인정보에 대해 물리적으로 보호 하는 방법 4가지

 

답 : 

 

11. 개인정보 수집 가능한 경우 4가지 (실기형)

 

12. 스위칭 허브의 기능과 동작 원리 (실기형)

 

13. 스노트 규칙 ftp login이 되었고 , 설정한 스노트 규칙 보여주며 페이로드 보여줌 어떠한 공격이 이루어 진 건지(실기형)

 

14. SNMP  리서칭 되지 않도록 설정하는 방법 , 문제에 설정 파일 보여주며 빈칸 채우기(실무형)

 

15. 라우터 ip directing 브로드캐스팅 되지 않도록 설정 (실무형)

 

16. 위험 처리 시 수용, 회피, 전가, 감소에 관한 문제

 

수용 시 의미 - 현재의 위험을 받아들이고 잠재적 손실 비용을 감수하는것

회피 시 프로세스, 사업에 대해 어떻게 되는지 - 사업종료 

전가 방법 2가지 - 보험, 외주 등으로 잠재적 비용 제3자에게 이전

감소 시 정량적 계산법 

 

우선 기억나는데로 작성 후 보안 하겠습니다~