9장_소프트웨어 개발 보안 구축

<시간 및 상태>[시간 및 상태]시간 및 상태는 동시 수행을 지원하는 병렬 처리 시스템이나 다수의 프로세스가 동작하는 환경에서 시간과 실행 상태를 관리하고 시스템이 원활히 작동하도록 하기 위한 보안 점검 항목이다.시간 및 상태의 보안 약점 TOCTOU경쟁 조건(Time Of Check to Time Of Use)검사 시점과 사용 시점을 고려하지 않고 코딩할 경우에 발생하는 보안 약점 코드 내에 동기 구문을 사용하고 해당 자원에는 한번에 하나의 프로세스만 접근 가능하게 구성하게 함으로써 다시 복수의 논리적 또는 종료하지 않는경우에 발생하는 보안 약점 모든 반목문과 재귀 함수의 수행 횟수를 제한하는 설정을 추가하거나 종료 조건을 점검하고 반복 또는 호출 종료 여부를 확인하기로 막을 수

[문제]다음의 설명에 가장 부합하는 보안상의 취약점을 쓰시오.검사 시점과 사용 시점을 고려하지 않고 코딩할 경우에 발생하는 보안 취약점이다.프로세스의 자원 정보와 실제 자원 상태가 일치하지 않는 동기 오류나 암초 등이 발생할 가능성이 있는 코드 내에 동기 구문을 사용하여 그 자원에는 한번에1개의 프로세스에 접근하지 못하도록 구성함으로써 방지할 수 있는 TOCTOU경쟁 조건

<에러 처리>[에러 처리]오류 처리는 소프트웨어 실행 중 발생할 수 있는 오류를 사전에 정의하여 에러로 발생할 수 있는 문제를 예방하기 위한 보안 점검 항목이다.에러 처리의 보안 약점 에러 메시지를 통한 정보 노출 에러 발생으로 실행 환경, 사용자 정보, 디버깅 정보 등의 중요한 정보가 메시지를 통해서 외부에 노출되는 보안 약점의 가능한 한 내부에서만 처리되도록 하거나 메시지를 출력할 때 최소한의 정보 또는 사전에 준비된 메시지만 출력됨으로써 보안의 약점 문제 처리할 수 없기 때문에 오류의 오류가 발생할 수 있고제어문을 활용하여 오류가 악용되지 않게 코딩함으로써 방지할 수 있는 적절한 예외 처리 함수의 반환 값 또는 에러를 세분화하고 처리하지 않고 광범위하게 만들어 한번에 처리하거나 빠진 예외가 존재할 때 발생하는 보안 약점 모든 함수의 반환 값이 의도대로 출력되는지 확인하고 세분화된 예외 처리를 수행함으로써 방지할 수

[문제]다음의 보안 취약점에 대한 설명에서 괄호 안에 공통적으로 들어갈 가장 적합한 용어를 쓰시오.보안 취약점 중 오류 상황 대응의 부재는 소프트웨어 개발 중에()이 이루어지지 않았거나 또는 미비가 원인에서 발생하는 보안 홀이다.()을 하지 않은 오류로 인하여 소프트웨어의 실행이 중단되거나 의도에서 벗어난 동작이 유도되는 경우가 있다.이를 예방하기 위해서는, 에러가 발생할 수 있는 부분에()구문을 작성하고 제어문을 활용하여 오류가 악용되지 않게 코딩해야 한다.에러 처리

[문제] 다음 보안 취약점에 대한 설명에서 괄호에 공통적으로 들어갈 수 있는 가장 적합한 용어를 쓰시오.보안 취약점 중 오류 상황 대응 부재는 소프트웨어 개발 중에 ( )가 이루어지지 않거나 미비가 원인으로 발생하는 보안 취약점이다. ()를 하지 않은 오류로 인해 소프트웨어 실행이 중단되거나 의도를 벗어난 동작이 유도될 수 있다. 이를 예방하기 위해서는 오류가 발생할 수 있는 부분에 ()구문을 작성하고 제어문을 활용해 오류가 악용되지 않도록 코딩해야 한다.에러 처리

[문제]메모리 상에서 프로그램의 복귀 주소와 변수 사이에 특정 값을 저장하고 그 값이 변경된 경우 오버 플로 상태라고 가정하고 프로그램의 실행을 중단하는 기술은 뭔가를 쓰시오.스택 가드 2. 포인터에 NULL이 저장된 경우 이를 참조하는 경우에 발생하고 주로 함수의 반환 값을 참조하도록 코딩할 경우 함수가 장애에 의한 NULL을 반환할 때 발생하는 보안 약점을<표시>부터 찾아 쓰시오. 표시>부적절한 자원 해제된 자원 사용 네루 포인터 역 참조 초기화되지 않은 변수 사용 네루 포인터 역 참조

[문제] 메모리 상에서 프로그램의 복귀 주소와 변수 사이에 특정 값을 저장했다가 그 값이 변경될 경우 오버플로 상태로 가정하여 프로그램 실행을 중단하는 기술은 무엇인지 적어라.스택가드 2. 포인터에 NULL이 저장되어 있는 경우 이를 참조할 경우 발생하며 주로 함수의 반환 값을 참조하도록 코딩한 경우 함수가 오류로 인해 NULL을 반환할 때 발생하는 보안 취약점을 <보기>에서 찾아 쓰시오 <보기> 부적절한 자원 해제된 자원 사용 넬포인터 역참조 초기화되지 않은 변수 사용 넬포인터 역참조

액세스 제어자 클래스 내부 포장 내부 하위 클래스 패키지 외부 Public OOO OProtected OOO X Default OOXXPrivate OXXX

액세스 제어자 클래스 내부 포장 내부 하위 클래스 패키지 외부 Public OOO OProtected OOO X Default OOXXPrivate OXXX

[문제]다음의<표시>중 Java에서 사용하는 액세스 제어자에 해당하는 예약어를 모두 고르시오.internal, private, default, restrict, public, cascade, protected, abstract, interfaceprivate, default, public, protected2. 제거되지 않고 남은 디버깅 코드나 시스템 메시지를 잘못된 액세스 제어자 활용하고 시스템 내부 정보가 노출하는 등의 보안 약점을 예방하기 위해서 점검해야 하는 보안 점검 항목을 쓰시오

<API오>[API오]API오용은 소프트웨어 구현 단계에서 API을 잘못 사용하거나 보안에 취약한 API을 사용하지 않도록 하기 위한 보안 체크 항목이다 API오용의 보안 취약점 DNS Lookup에 의존한 보안 결정 도메인명에 의존하고 인증과 접근 제어 등의 보안 결정을 할 경우 발생하는 시큐리티 홀 DNS검색에 의한 도메인 이름을 비교하지 않고 IP주소를 직접 입력하여 접근함으로써 방지할 수 있는 취약한 API사용 보안 문제로 사용이 금지된 API을 사용하거나 잘못된 방식으로 API을 사용한 경우에 발생하는 시큐리티 홀 보안 문제로 금지된 함수는 안전한 함수로 바꿈으로써API의 매뉴얼을 참고하고 보안이 보장되는 인터페이스를 방지할 수 있다[문제] 소프트웨어 개발 구현 단계에서 도메인 이름에 의존하여 보안 결정을 내리거나 보안상 취약한 API를 사용할 경우 발생하는 보안 취약점을 예방하기 위해 확인하는 보안검색 항목을 쓰시오.API 오용[문제] 소프트웨어 개발 구현 단계에서 도메인 이름에 의존하여 보안 결정을 내리거나 보안상 취약한 API를 사용할 경우 발생하는 보안 취약점을 예방하기 위해 확인하는 보안검색 항목을 쓰시오.API 오용[문제]1991년 R.rivest가 MD4를 개선한 암호화 알고리즘에서 각 512비트 입력 메시지 블록에 대해서 차례로 동작한다.각 512비트 입력 메시지 블록을 처리하면 128비트 스테이트의 값이 바뀐 암호화 알고리즘을 쓰세요 MD52.1974년 IBM이 개발하고 1975년 NBS에 의해서 미국의 국가 표준으로서 발표된 암호화 알고리즘이며, 블록 사이즈는 64비트 키 길이는 56비트이며 16회 라운드를 실시한다.컴퓨터 기술이 발달하면서 해독이 쉽게 하며 미국 국가 표준이 2001년에 AES에 대체된 DES3. 보안 및 암호화에 관련하는 다음의 설명에 해당하는 용어를 쓰시오.2001년에 미국 표준 기술 연구소(NIST)이 발표한 대칭 키 암호화 알고리즘인 DES의 한계를 느낀 NIST에서 공모한 뒤 발표한 블록 사이즈는 128비트이며, 키 길이에 의해서 128, 192, 256으로 분류되는 AES4.암호화를 위한 쌍방향 알고리즘 중 다음의 설명에 최적인 암호화 알고리즘을 쓰시오.1978년에 제안된 공개키 암호화 알고리즘이다 큰 숫자는 소인수 분해가 어렵다는 것에 기초하고 있는 공개키와 비밀키를 이용하지만 여기서 열쇠란 메시지를 개폐하는 정수를 뜻하는 RSA5.128비트 블록 크기를 가지는 128비트 및 256비트 수준의 국산 대칭 키 블록 암호화 알고리즘으로, 2000년까지 미국이 자국 기술 보호 등을 이유로 해외에 수출되는 암호 기술의 보안 수준을 40비트로 제한했더니 1999년에 한국 정보 보호 진흥원에서 국내 보안 수준 향상을 위해서 개발한 암호화 알고리즘의 이름을 쓰시오 SEED[문제]1991년 R.rivest가 MD4를 개선한 암호화 알고리즘에서 각 512비트 입력 메시지 블록에 대해서 차례로 동작한다.각 512비트 입력 메시지 블록을 처리하면 128비트 스테이트의 값이 바뀐 암호화 알고리즘을 쓰세요 MD52.1974년 IBM이 개발하고 1975년 NBS에 의해서 미국의 국가 표준으로서 발표된 암호화 알고리즘이며, 블록 사이즈는 64비트 키 길이는 56비트이며 16회 라운드를 실시한다.컴퓨터 기술이 발달하면서 해독이 쉽게 하며 미국 국가 표준이 2001년에 AES에 대체된 DES3. 보안 및 암호화에 관련하는 다음의 설명에 해당하는 용어를 쓰시오.2001년에 미국 표준 기술 연구소(NIST)이 발표한 대칭 키 암호화 알고리즘인 DES의 한계를 느낀 NIST에서 공모한 뒤 발표한 블록 사이즈는 128비트이며, 키 길이에 의해서 128, 192, 256으로 분류되는 AES4.암호화를 위한 쌍방향 알고리즘 중 다음의 설명에 최적인 암호화 알고리즘을 쓰시오.1978년에 제안된 공개키 암호화 알고리즘이다 큰 숫자는 소인수 분해가 어렵다는 것에 기초하고 있는 공개키와 비밀키를 이용하지만 여기서 열쇠란 메시지를 개폐하는 정수를 뜻하는 RSA5.128비트 블록 크기를 가지는 128비트 및 256비트 수준의 국산 대칭 키 블록 암호화 알고리즘으로, 2000년까지 미국이 자국 기술 보호 등을 이유로 해외에 수출되는 암호 기술의 보안 수준을 40비트로 제한했더니 1999년에 한국 정보 보호 진흥원에서 국내 보안 수준 향상을 위해서 개발한 암호화 알고리즘의 이름을 쓰시오 SEED<서비스 공격 유형>[서비스 거부 공격(DoS, Denial of Service)]서비스 거부 공격이란, 표적 서버의 자원을 고갈시키는 목적으로 다수의 공격자 또는 시스템에서 대량의 데이터를 1개 서버에 집중적으로 전송함으로써표적 서버의 정상적인 기능을 막는 것이다 주요 서비스 거부 공격의 유형 Ping of Death SMURFINGSYN Flooding Tear DropLAND Attack DoS공격[Ping of Death(죽음의 작용)]Ping of Death는 패킷 크기를 인터넷 프로토콜 허용 범위 이상으로 전송하고 공격 대상 네트워크를 마비시키는 서비스 거부 공격 방법인 공격에 쓰이는 큰 패킷은 수백개의 패킷에 분할되어 전송되지만공격 대상은 분할된 대량의 패킷을 수신하는 것에 의해서 분할되어 전송된 패킷을 다시 조립해야 하는 부담과 분할되어 전송된 각각의 패킷의 ICMPPing메시지에 대한 응답을 처리하려면 시스템이 다운하게 된다.[SMURFING에 매핑)]SMURFING은 IP나 ICMP의 특성을 악용하고 엄청난 양의 데이터를 하나의 사이트에 집중적으로 보냄으로써 네트워크를 불능 상태에 하는 공격 방법이자 공격자는 송신 주소를 공격 대상지 IP주소로 위장하고 해당 네트워크 라우터의 브로드캐스트 주소를 수신하고 패킷을 전송하면 라우터의 브로드캐스트 주소로 수신된 패킷은 해당 네트워크 내의 모든 컴퓨터에 전송되는 해당 네트워크 내의 모든 컴퓨터는 수신한 패킷에 대한 응답 메시지를 발송 주소인 공격 대상지에 집중적으로 전송하게 되는데 이에 의한 공격 대상지는 네트워크 과부하에 의한 정상적인 서비스를 수행하지 못하게 된다 SMURFING공격을 무력화하는 방법 중 하나는각 네트워크 라우터에서 브로드캐스트 주소를 사용하지 못하도록 미리 설정하는 것이다[SYN Flooding]TCP는 신뢰성 있는 전송을 위해서 3-way-handshake을 거친 후에 데이터를 전송하게 되지만 SYN Flooding은 공격자가 가상의 클라이언트로 위장하고 3-way-handshake과정을 의도적으로 중단되는 것으로 공격 대상지인 서버가 대기 상태에 놓여정상적인 서비스를 수행하지 못하도록 하는 공격 방법이다 SYN Flooding에 대비하기 위해서, 행선지의 SYN수신 대기 시간을 줄이거나, 침입 차단 시스템을 활용하는[TearDrop]데이터의 송수신 과정에서 패킷의 크기가 큰 복수로 분할된 전송될 때분할 순서가 알게 Fragment Offset값을 함께 전송하지만 TearDrop은 이 Offset값을 변경시키고 수신 측에서 패킷을 다시 조립할 때 장애에 의한 과부하를 발생시키는 것으로 시스템이 다운되도록 하는 공격 방법이다 TearDrop에 대비하기 위해서 Fragment Offset이 잘못된 경우 해당 패킷을 폐기하도록 설정하는[LAND Attack(Local Area Network Denial Attack)]LAND Attack은 패킷을 전송할 때 송신 IP주소와 수신 IP주소를 모두 공격 대상 IP주소로 공격 대상으로 전송하는 것으로 패킷을 받은 공격 대상은 송신 IP주소가 자신이라 자신에게 응답을 하게 되지만이런 패킷이 계속 전송될 경우 자신에 대해서 무한으로 응수하는 공격이다 LAND Attack에 대비하기 위해서 송신 IP주소와 수신 IP주소의 적절성을 검사하는[DDoS공격(Distributed Denial of Service분산 서비스 거부)]DDoS공격은 여러 장소에 분산된 공격 지점에서 1개의 서버에 대해서 분산 서비스 공격을 실시한 네트워크에서 취약성이 있는 호스트를 탐색한 뒤 이들 호스트로 분산 서비스 공격용 툴을 설치하고 에이전트로 한 뒤 DDoS공격에 이용하는 분산 서비스 공격용 툴 에이전트 역할을 하도록 설계된 프로그램을 데몬이라고 부르는 Trin초기 형태의 데몬에서주로 UDP Flooding공격을 수행하는 TFN(Tribe Flood Network)UDP Flooding뿐 아니라 TCP SYN Flood공격, ICMP응답 요청, 스 매핑 공격 등을 수행하는 TFN2KTFN의 확장판 Stacheldraht이전의 도구 기능을 유지하면서 공격자, 마스터, 에이전트가 쉽게 노출되지 않도록 암호화된 통신을 수행하는 도구가 자동으로 업데이트되는[네트워크 침해 공격 관련 용어]세션 하이킹 인증 후 상호 접속되고 있는 서버와 Hession하이킹 과정을 상호 접속하는접속을 위한 인증 정보가 없어도 가로챈 세션을 이용하고 공격자가 원래의 클라이언트인 것처럼 위장하고 서버의 자원이나 데이터를 무단으로 사용하는 TCP 3-Way-Handshake과정에 끼어드는 것으로, 클라이언트와 서버 간 동기화된 시퀀스 번호를 가로채고 서버에 무단으로 접근하는 TCP세션 하이 재킹이 대표적인 ARP스푸핑 ARP의 약점을 이용한 공격 기법에서자신의 물리적 주소를 공격 대상의 것으로 변조하고 공격 대상에 도달해야 한다 데이터 패킷을 가로채거나 방해하는 스미싱 문자 메시지를 이용한 사용자의 개인 신용 정보를 빼내는 수법의 초기에는 문자 메시지를 이용하고 개인 비밀 정보나 소액 결제를 유도하는 형태로 시작됐다.스히아 피싱(Spear Phishing)사회 공학의 한 방법으로 특정 대상을 선정한 뒤 그 대상으로 일반적인 전자 메일로 위장된 메일을 지속적으로 발송하고 발송 메일의 본문 링크나 첨부 파일이나 첨부된 Preatservice(Adent)의 탈취하도록 유도하고지능형 지속 위협)다양한 IT기술과 방식을 이용하고 조직적으로 특정 기업이나 조직망에 침투하고 활동 거점을 마련한 다음 때를 기다리면서 보안을 무력화시키고 정보를 수집한 후 외부로 유출하는 형태의 공격 공격 방법, 내부자에 악성 코드가 포함된 E메일을 장기간 꾸준히 발송하고 한번 클릭되기를 기다리는 형태 스턱스넷과 같이 악성 코드가 담긴 이동식 디스크 등에 전파하는 형태 악성 코드에 감염된 P2P사이트에 접속하면 악성 코드가 감영된다[문제]스니핑(Sniffing)은 사전적 의미로 “코를 쿤쿤 울리고 냄새를 맡는다”이다.네트워크 보안에서의 스니핑에 대한 개념을 단순한 문장(1문장)에서 쓰시오 스니핑은 네트워크의 중간에 남의 패킷 정보를 도청하는 해킹 타입이다.2. 다음에 네트워크 공격에 대한 패킷 로그를 표현한 것이다.아래의 패킷 로그처럼 공격자가 패킷의 출발지 주소 또는 포트를 임의로 변경하고 송신 측 IP주소 또는 포트를 동일하게 하는 것으로, 송신 IP주소가 자신이라 자신에게 응답을 하게 되는데, 이러한 패킷을 계속 전송하고 자신에 대해서 무한으로 응수함으로써 컴퓨터의 실행 속도를 늦게 하거나 동작을 마비시키고 서비스 거부 상태에 빠지거나 하는 공격 방법으로 수신되는 패킷 중 출발지 주소 또는 포트와 목적지 주소 또는 포트를 검사하고 동일한 패킷을 차단하고 이러한 공격을 피할 수 있다.이러한 서비스 공격 유형이 무언가를 쓰시오 source:192.168.1.200destination:192.168.1.200protocol:6src port:21845dst port:21845LAND Attack3. 서비스 거부 공격 기법에 대한 다음의 설명에 해당하는 용어를 영문으로 쓰시오 IP나 ICMP의 특성을 악용하는 엄청난 양의 데이터를 하나의 사이트에 집중적으로 보냄으로써 네트워크를 못하도록 만드는 공격 방법이다 공격자는 송신 주소를 공격 대상지 IP주소로 위장하고 해당 네트워크 라우터의 브로드캐스트 주소를 수신지로 패킷을 전송하면라우터의 브로드캐스트 주소로 수신된 패킷은 해당 네트워크 내의 모든 컴퓨터에 전송되는 해당 네트워크 내의 모든 컴퓨터는 수신한 패킷에 대한 응답 메시지를 발송 주소인 공격 대상지에 집중적으로 전송하게 되는데 이에 의한 공격 대상지는 네트워크 과부하에 의한 정상적인 서비스를 수행하지 못하게 된다 SMURFING4. 다음의 표시로 DDoS공격과 관련된 공격 방법을 다 고르고 기호(㉠~㉦)으로 쓰시오.㉠ Secure shell㉡ Tribe Flood Network㉢ Nimda㉣ Stacheldraht㉤ Trin00㉥ TFN2K㉦ Deadlock㉡,㉤, 5. 다음의 설명의 정보 보안 침해 공격 관련 용어를 영문으로 쓰시오.누리꾼의 컴퓨터에 침투하는 내부 문서 파일 등을 암호화하고 사용자가 사용 못하게 하는 것도 금지하기란 섬 웨어 6. 네트워크 및 인터넷 보안에 관련된 다음의 설명에서 괄호 안에 공통으로 들어가는 적당한 답을 쓰시오()는 “세션을 가로챘다”이란 뜻으로 정상적인 연결을 RST패킷을 통해서 마무리한 후에 다시 연결시에 희생자이지 않은 공격자에 연결하는 공격 기법이다.TCP()는 공격자가 TCP 3-Way-Handshake과정에 무너짐으로써, 서버와 상호 간 동기화된 시퀀스 번호를 갖고 인가되지 않는 시스템의 기능을 이용하거나 중요한 정보에 액세스 할 수 있게 된 흡입·하이쟈쯔킹 7. 보안·리스크에 관한 다음 설명에서 괄호 안에 공통으로 들어가는 적절한 답을 쓰시오()스푸핑은 로컬 네트워크에서 사용하는()의 취약성을 이용한 공격 방법으로 자신의 물리적 주소를 변조하고 다른 PC에 도달해야 한다 데이터 패킷을 가로채거나 방해한다.ARP[문제]정부”개인 정보 기술적·관리적 보호조치 기준”에 근거하여 SSL인증서 또는 암호화 어플리케이션을 설치하고 전송 정보를 암호화하여 송수신하는 서버를 가리키는 용어를 쓰시오.보안 서버 2.다음의 설명에 가장 적합한 용어를 쓰시오.다중 사용자의 컴퓨터 시스템 또는 네트워크 시스템에서 로그인을 요청한 사용자 정보를 확인하고 액세스 권한을 검증하는 보안 절차가 네트워크 경유하여 컴퓨터에 접속된 사용자가 등록된 사용자인지를 확인하는 것으로 발송된 메시지가 조작되거나 의미가 잘못 송신자 그대로임이 확인되고 있다<보안 아키텍처/보안 체제>[보안 아키텍처]보안 아키텍처는 정보 시스템의 완전성, 가용성, 기밀성을 확보하기 위한 보안 요소 및 보안 시스템을 식별하고 이들 사이의 관계를 정의한 구조를 하는 보안 아키텍처에 의한 관리적, 물리적, 기술적 보안 개념의 확립, 보안 관리 능력 향상 일관된 보안 수준의 유지를 기대할 수 있는 보안 수준에 변화가 생기더라도 기본적인 보안 아키텍처의 수정 없이 지원이 가능할 필요가 있는 보안 요구 사항의 변화나 추가를 수용할 수 있어야 한다”보안 프레임워크”보안 체제는 안전한 정보 시스템 환경을 유지하고보안 수준을 향상시키기 위한 장치를 말한다 ISO27001은 정보 보안 관리를 위한 국제 표준인 일종의 보안 인증으로 가장 대표적인 보안 체제인 ISO27001은 영국의 BSI가 제정한 BS7799를 기반으로 구성되어 있는 ISO 27001은 조직에 대한 정보 보안 관리 규격이 정의되었으며, 실제 심사/인증용으로 사용되는[문제]다음의 설명에서 괄호 안에 공통으로 들어가는 적절한 용어를 쓰시오()는 정보 시스템의 완전성, 가용성, 기밀성을 확보하기 위해서 보안 요소 및 보안 체계를 식별하고 이들의 관계를 정의한 구조를 한다()는 보안 수준에 변화가 생기더라도 기본()의 수정 없이 지원이 가능해야 한다()는 보안 요구 사항의 변화나 추가를 수용할 수 없으면 안 되는 시큐리티 아키텍처 2. 소프트웨어 개발 보안에 관한 다음 설명에서 괄호 안에 공통으로 들어가는 적절한 용어를 쓰시오()은 안전한 정보 시스템 환경을 유지하고 보안 수준을 향상시키기 위한 체계인 틀인 ISO 27001은 정보 보안 관리를 위한 국제 표준인 일종의 보안 인증으로 가장 대표적인()이다.보안 프레임워크[문제] 다음 설명에서 괄호 안에 공통으로 들어가는 적절한 용어를 쓰시오( )란 정보시스템의 무결성, 가용성, 기밀성을 확보하기 위해 보안요소 및 보안체계를 식별하고 이들의 관계를 정의한 구조를 말한다( )는 보안수준에 변화가 생기더라도 기본 ( )의 수정 없이 지원이 가능해야 한다( )는 보안요구사항의 변화나 추가를 수용할 수 있어야 하는 보안아키텍처2. 소프트웨어 개발 보안에 관한 다음 설명에서 괄호 안에 공통으로 들어가는 적절한 용어를 쓰시오( )는 안전한 정보시스템 환경을 유지하고 보안수준을 향상시키기 위한 체계이며 )이다.보안 프레임워크[문제]다음의 설명에 가장 적합한 용어를 쓰시오.시스템 사용에 대한 모든 내역을 적어 놓은 것으로 이를 이용하면 시스템 침해 사고 발생시에 해킹 흔적이나 공격 기법을 파악할 수 있는 로그 2.Linux에서 로그 정보를 관리하는 데몬이 로그 관련 파일 위치를 파악하는데 이 파일을 사용하면서 수용자들이 이 파일에서 로그 관련 파일 저장 위치와 파일명을 변경할 수 있다.이 파일의 이름을 쓰시오 syslog.conf[문제] 다음 설명에 가장 적합한 용어를 쓰시오.시스템 사용에 대한 모든 내역을 기록해 놓은 것으로 이를 이용하면 시스템 침해사고 발생 시 해킹 흔적이나 공격 기법을 파악할 수 있는 로그 2. 리눅스에서 로그 정보를 관리하는 데몬이 로그 관련 파일의 위치를 파악하는 데 이 파일을 사용하며, 사용자는 이 파일로 로그 관련 파일의 저장 위치와 파일 이름을 변경할 수 있다. 이 파일의 이름을 쓰시오 syslog.conf<보안 솔루션>[보안 솔루션]보안 솔루션과는 접근 제어, 침입 차단 및 탐지하고 외부의 불법 침입을 막는 기술 및 시스템을 하는 주된 보안 솔루션 방화벽 침입 검지 시스템(IDS)침입 방지 시스템(IPS)데이터 누설 방지(DLP)웹 방화벽 VPNNACESM[방화벽(Firewall)]방화벽은 기업이나 조직 내부 네트워크와 인터넷 간에 송신되는 정보를 선별 수용 거부 수정하는 기능을 가진 침입 차단 시스템인 내부 네트워크에서 외부에 나오는 패킷은 그대로 통과시키고외부에서 내부 네트워크에 들어오는 패킷은 내용을 엄밀히 체크하고 인증된 패킷만 통과하는 구조인[침입 탐지 시스템(IDS, Intrusion Detection System)]침입 검지 시스템은 컴퓨터 시스템의 비정상적인 사용, 오용, 남용 등을 실시간으로 검지하는 시스템인 오용 탐지(Misue Detection)를 미리 입력했던 공격 패턴이 감지되면 이를 알리는 이상 탐지(Anomaly Detection)평균적인 시스템의 상태를 기준으로 비정상적인 행위와 자원의 사용이 감지되면 이를 알리는[침입 방지 시스템(IPS,Instrusion Prevention System)]침입 방지 시스템은 비정상인 트래픽을 능동적으로 차단하는 격리하는 등의 방어 조치를 취한 보안 솔루션인 침입 방지 시스템은 방화벽과 침입 검지 시스템을 조합한 것인 침입 검지 기능에서 패킷을 하나씩 검사한 뒤 이상한 패킷이 검지 되면 방화벽 기능으로 해당 패킷 차단을[데이터 유출 방지(DLP, Dtat Leakage/Loss Prevention)]데이터 유출 방지는 내부 정보의 외부 유출을 방지하는 시큐러티 솔루션인 사내 직원이 사용하는 PC와 네트워크 상의 모든 정보를 검색하고 메일, 메신저, 웹하드 등의 사용자 행위를 탐지 통제하고외부 유출을 사전에 막기[웹 방화벽(Web Firewall)]웹 방화벽은 일반 방화벽이 탐지할 수 없는 SQL삽입 공격, Cross-Site Scripting(XSS)등의 웹 기반 공격을 방어할 목적으로 만들어진 웹 서버에 특화된 방화벽인 웹 관련 공격을 감시하고 공격이 웹 서버에 도달하기 전에 이를 차단하는[VPN(Virtual Network)가상 통신망]VPN은 인터넷 등 통신 사업자의 공중 네트워크나 암호화 기술을 이용하여 사용자가 마치 자신의 전용 회선을 사용하고 있듯 하는 보안 솔루션인 암호화된 규격의 인터넷 망을 전용선의 사설망을 구축한 것처럼 이용하기 때문에비용 부담을 줄일 수 있는 원격지의 지사 영업소 이동 근무자가 개인적인 제한 없이 업무를 수행할[NAC(Network Access Control)]NAC는 네트워크에 접속하는 내부 PC의 MAC주소를 IP관리 시스템에 등록한 후 일관된 보안 관리 기능을 제공하는 보안 솔루션인 내부 PC의 소프트웨어 사용 상황을 관리하고 부정한 소프트웨어 설치를 방지하는[ESM(Enterprise Security Management)]ESM은 다양한 기기에서 발생되는 로그 및 보안 이벤트를 통합하고 관리하는 시큐러티 솔루션인 방화벽, IDS, IPS웹 방화벽, VPN등에서 발생한 기록이나 보안 이벤트를 통합하고 관리함으로써 비용과 자원을 절약하는 보안 솔루션 간의 상호 제휴에 의한 종합적인 보안 관리 시스템을 구축할 수 있다<취약점 분석 평가>[취약점 분석 평가]취약성 분석 평가는 사이버 위협으로부터 정보 시스템의 취약성을 분석·평가하고 개선하는 일련의 과정을 안정된 정보 시스템의 운용을 방해하는 사이버 위협에 대한 항목별 상세한 체크 항목을 파악하고 취약성 분석을 실시하는 취약성이 발견된 경우에는 리스크 평가를 실시하고 개선 방향을 책정한 약점 분석 평가의 범위 및 항목]취약점 분석 평가의 범위는 정보 시스템과 정보 시스템 자산에 직접·간접적으로 관여한 물리적 관리적, 기술적 분야를 포함한 취약성 분석 평가의 기본 항목은 상·중·아래 3단계에서 중요도를 분리하는 취약성 분석 평가의 기본 항목의 중요도가 “위”인 항목은 필수적으로 점검하는 취약성 분석 평가의 기본 항목의 중요도가 “중”,”아래”인 항목은 회사 사정에 의한 선택적으로 점검하는[수행 절차 및 방법]취약점 분석 평가 계획 수립 취약점 분석 평가를 위한 수행 주체, 수행 절차, 소요 예산 산출물 등의 세부 계획 수립 취약점 분석 평가 대상 선별 정보 시스템의 자산을 식별하고 유형별로 그룹화하고 취약점 분석 평가 대상 목록 작성 취약점 분석 수행 취약점 분석 평가를 위한 관리적, 물리적, 기술적 세부 점검 항목 표 작성 취약점 분석 수행 취약점 분석의 상세한 내용 결과 작성 파악된 약점별 위험 등급을 상, 중, 아래 3단계에서 표시[문제]다음은 약점의 분식 및 평가 절차에 대한 설명이다.< 본다>내용을 취약성 분석 및 평가 절차에 맞추어 기호(㉠~㉣)에서 나열하시오()취약성 분석 평가를 위한 수행 주체, 수행 절차, 소요 예산 산출물 등의 세부 계획 수립 ↓()정보 시스템의 자산을 식별하고 유형별로 그룹화하고 취약성 분석 평가 대상 목록 작성 ↓()취약성 분석 평가를 위한 관리적, 물리적, 기술적 세부 점검 항목 표 작성 ↓()취약성 분석의 상세한 내용 결과 작성, 파악된 취약성별 위험 등급을 상·중·아래 3단계로 표시 ㉠ 취약성 분석 대상 취약성 분석·㉢㉡ 실시 취약 평가㉢ 취약 평가