2022-10-09 공부

#무슨 한달에 한번씩 공부하는거 같네 ㅎ_ㅎ…ㅜㅠㅜ

#9과목 : 소프트웨어 개발 보안 구축

Q1, 유한체 위에서 정의된 타원곡선 군에서의 이산대수의 문제에 기초한 공개키 암호화 알고리즘으로 키의 비트 수를 적게하면서 동일한 성능을 제공한다.
K : 이산대수 문제 / 공개키 / 키의 비트수를 적게
A1, ECC Q2, 국내 표준 서명 알고리즘 KCDSA(Korean Certificate-based Digital Signature Alogrithm)를 위하여 개발된 해시함수로 MD5와 SHA1의 장점을 취하여 개발된 해시 알고리즘 이다.
K : 해시 함수 / MD5 / SHA1의 장점
A2, HAS-160

Q3, 사용자 계정을 탈취해서 공격하는 유형 중 하나로, 다른 곳에서 유출된 아이디와 비밀번호 등의 로그인 정보를 다른 웹 사이트나 앱에 무작위로 대입해 로그인이 이루어지면 타인의 정보를 유출시키는 기법이다.
K : 무작위 대입 / 사용자 계정 탈취
A3, Creential Stuffing(크리덴셜 스터핑)

Q4, 컴퓨터의 소프트웨어나 하드웨어 및 컴퓨터 관련 전자 제품의 버그, 보안 취약점 등 설계상 결함을 이용해 공격자의 의도된 동작을 수행하도록 만들어진 절차나 일련의 명령, 스크립트, 프로그램을 사용한 공격 행위이다.
K : 의도된 동작 수행 / 공격 행위 / 제품의 버그, 보안 취약점, 설계상의 결함
A4, Exploit(익스플로잇)

Q5, 악의적인 해커가 불특정 웹 서버와 웹 페이지에 악성 스크립트를 설치하고, 불특정 사용자 접속 시 사용자 동의 없이 실행되어 의도된 서버(멀웨어 서버)로 연결하여 감염시키는 공격기법이다.
K : 악성 스크립트 설치 / 밀웨어 서버 / 감염
A5, Drive By Download(드라이브 바이 다운로드)

Q6, 사용자가 특정 웹사이트에 접속하였을때(이메일 메시지에 포함된 사이트 주소를 클릭하는 경우 포함), 사용자도 모르게 악성 S/W가 사용자의 디바이스(PC나 스마트폰)에 Download 되도록 하는 해킹 기법이라고 할 수 있다.
K : 특정 웹사이트 접속 / 사용자도 모르게 / 악성s/w 다운로드
A6, Drive By Download(드라이브 바이 다운로드)

Q7, 특정인에 대한 표적 공격을 목적으로 특정인이 잘 방문하는 웹 사이트에 악성코드를 심거나 악성코드를 배포하는 URL로 자동으로 유인하여 감염시키는 공격기법이다.
K : 특정인 표적 공격 / 악성코드 / url유인
A7, Watering Hole(워터링홀)

Q8, 공격자가 취약한 웹 사이트에 악의적인 스크립트를 삽입하여 사용자가 실행(자신의 PC에서)하도록 유도한 후에 사용자의 정보를 탈취하는 공격기법이다.
K : 악성코드 / 사용자의 PC / 공격자에게 탈취
A8, XSS

Q9, 공격자가 웹 서버의 취약점을 이용하여 악성 스크립트 구문을 삽입하고, 정상적인 사용자로 하여금 자신의 의지와는 무관하게 게시판 설정 변경, 회원 정보 변경 등 공격자가 의도한 행위를 특정 웹사이트에 요청하게 하는 공격이다.
K : 공격자의 악의적인 요청 / 희생자 서버에서 실행
A9, CSRF

[ Q10, Q11 ]
각종 재해, 장애, 재난으로부터 위기관리를 기반으로 재해복구, 업무복구 및 재개, 비상계획 등을 통해 비즈니스 연속성을 보장하는 체계인 BCP에 대한 설명이다.
Q10, 장애나 재해로 인해 운영상의 주요 손실을 볼 것을 가정하여 시간 흐름에 따른 영향도 및 손실평가를 조사하는 BCP를 구축하기 위한 분석이다.
K : 운영상의 주요 손실 / 손실평가 / BCP
A10, BIA(Business Impact Analysis)

Q11, 조직의 최고 경영층이 주요 지원 서비스의 중단으로 인한 업무의 영향에 대해 허용할 수 있는 최대의 시간을 의미한다.
K : 서비스 중단 / 허용 / 최대의 시간
A11, MTD(Maximum Tolerable Downtime)

Q12, 어떤 제품이나 컴퓨터 시스템, 암호시스템 혹은 알고리즘에서 정상적인 인증 절차를 우회하는 기법이며 악성프로그램에 대한 설명이다.
K : 우회하는 기법 / 정상적인 인증 절차
A12, Backdoor(백도어)

Q13, 시스템 침입 후 침입 사실을 숨긴 채 차후의 침입을 위한 백도어, 트로이 목마 설치, 원격 접근, 내부 사용 흔적 삭제, 관리자 권한 획득 등 주로 불법적인 해킹에 사용되는 기능을 제공하는 프로그램의 모음이며 악성프로그램에 대한 설명이다.
K : 불법적인 해킹 / 칩임 사실 숨김 / 차후 침입을 위해
A13, Rootkit(루트킷)

Q14, 3명의 MIT 수학 교수가 고안한 소수를 활용한 비대칭키 암호화 알고리즘 이다.
K : 소수 활용 / 비대칭키 암호화 알고리즘 / 3명 MIT 수학교수
A14, RSA(Rivest - Shamir - Adleman)

Q15, 2001년 미국 표준 기술 연구소(NIST)에서 개발한 암호 알고리즘으로 128bit의 블록 크기, 키 길이에 따라 128bit, 192bit, 256bit로 분류되는 대칭 키 암호화 알고리즘이다.
K : 대칭키 / 블록 크기 / 키 길이 / 128, 192, 256bit
A15, AEX(Advanced Encryption Standard)

Q16, 컴퓨터 사용자의 키보드 움직임을 탐지해서 저장하고, ID나 패드워드, 계좌 번호, 카드 번호 등과 같은 개인의 중요한 정보를 몰래 빼가는 해킹 공격이다.
K : 키보드 움직임 탐지 / 정보 빼가는 / 해킹 공격
A16, Key Logger Attack(키로거 공격)

Q17, 소프트웨어 개발 과정에서 개발자의 실수, 논리적 오류 등 으로 인해 소스 코드 등에 내포될 수 있는 잠재적인 보안 취약점을 최소화하고, 안전한 소프트웨어를 개발하기 위한 일련의 보안 활동이다.
K : 개발자의 실수 / 잠재적인 보안 취약점 최소화 / 보안 활동
A17, 시큐어 코딩(Secure Coding)

Q18, 미국 비 영리회사인 MITRE 사에서 공개적으로 알려진 소프트웨어의 보안취약점을 표준화한 식별자 목록이다.
K : MITRE / 소프트웨어의 보안취약점 / 표준화 식별자
A18, CVE(Common Vulnerabilities and Exposures)

Q19, 오픈소스 웹 애플리케이션 보안 프로젝트로서 주로 웹을 통한 정보 유출, 악성 파일 및 스크립트, 보안 취약점 등을 연구하는 기관이다.
K : 연구기관 / 보안 취약점 / 보안 프로젝트
A19, OWASP(The Open Web Application Security Project)

Q20, 정보보안 위험의 처리방식 중 사업 목적상 위험을 처리하는데 들어가는 과도한 비용 또는 시간으로 인해 일정 수준의 위험을 받아 들이는 방법으로 그 위험이 조직에 발생시키는 결과에 대한 책임을 관리층이 지는 방식이다.
K : 일정 수준의 위험 / 관리층이 책임 / 사업 목정상 위험 처리
A20, 위험 수용

Q21, 정보보안 위험의 처리 방식의 위험에 대한 책임을 제 3자와 공유하는 것으로, 보험을 들거나 다른 기관과의 계약을 통하여 잠재적 손실을 제 3자에게 이전하거나 할당하는 방식이다.
K : 위험 처리방식 / 3자공유, 보험, 다른기관 계약 / 손실 이전 및 할당
A21, 위험 전가

Q22, 네트워크 보안 공격 중 TCP 연결 설정을 위한 3-way handshaking과정에서 half-open 연결 시도가 가능하다는 취약성을 이용하는 공격 방식이다.
K : 3-way handshaking / TCP연결
A22, SYN플러딩(SYN Flooding)

Q23, 네트워크 보안 공격 중 서버와 클라이언트가 TCP통신을 하고 있을 때, RST 패킷을 보내고 시퀀스 넘버 등을 조작하여 연결을 가로채는 공격 방식이다.
K : TCP통신 / RST패킷 / 연결을 가로채는 공격 방식
A23, 세션 하이재킹(Session Hijacking)

Q24, 네트워크 보안 공격 중 IP 패킷의 재조합 과정에서 잘못된 Fragment Offset 정보로 인해 수신시스템이 문제를 발생하도록 만드는 DoS 공격이다.
K : IP 패킷 재조합 / 수신시스템 문제 발생
A24, 티어 트롭(Tear Drop)