#λ¬΄μ¨ νλ¬μ νλ²μ© 곡λΆνλκ±° κ°λ€ γ
_γ
…γ
γ
γ
#9κ³Όλͺ© : μννΈμ¨μ΄ κ°λ° 보μ ꡬμΆ
Q1, μ ν체 μμμ μ μλ νμ곑μ κ΅°μμμ μ΄μ°λμμ λ¬Έμ μ κΈ°μ΄ν 곡κ°ν€ μνΈν μκ³ λ¦¬μ¦μΌλ‘ ν€μ λΉνΈ μλ₯Ό μ κ²νλ©΄μ λμΌν μ±λ₯μ μ 곡νλ€.
K : μ΄μ°λμ λ¬Έμ / 곡κ°ν€ / ν€μ λΉνΈμλ₯Ό μ κ²
A1, ECC Q2, κ΅λ΄ νμ€ μλͺ
μκ³ λ¦¬μ¦ KCDSA(Korean Certificate-based Digital Signature Alogrithm)λ₯Ό μνμ¬ κ°λ°λ ν΄μν¨μλ‘ MD5μ SHA1μ μ₯μ μ μ·¨νμ¬ κ°λ°λ ν΄μ μκ³ λ¦¬μ¦ μ΄λ€.
K : ν΄μ ν¨μ / MD5 / SHA1μ μ₯μ
A2, HAS-160
Q3, μ¬μ©μ κ³μ μ νμ·¨ν΄μ 곡격νλ μ ν μ€ νλλ‘, λ€λ₯Έ κ³³μμ μ μΆλ μμ΄λμ λΉλ°λ²νΈ λ±μ λ‘κ·ΈμΈ μ 보λ₯Ό λ€λ₯Έ μΉ μ¬μ΄νΈλ μ±μ 무μμλ‘ λμ
ν΄ λ‘κ·ΈμΈμ΄ μ΄λ£¨μ΄μ§λ©΄ νμΈμ μ 보λ₯Ό μ μΆμν€λ κΈ°λ²μ΄λ€.
K : 무μμ λμ
/ μ¬μ©μ κ³μ νμ·¨
A3, Creential Stuffing(ν¬λ¦¬λ΄μ
μ€ν°ν)
Q4, μ»΄ν¨ν°μ μννΈμ¨μ΄λ νλμ¨μ΄ λ° μ»΄ν¨ν° κ΄λ ¨ μ μ μ νμ λ²κ·Έ, 보μ μ·¨μ½μ λ± μ€κ³μ κ²°ν¨μ μ΄μ©ν΄ 곡격μμ μλλ λμμ μννλλ‘ λ§λ€μ΄μ§ μ μ°¨λ μΌλ ¨μ λͺ
λ Ή, μ€ν¬λ¦½νΈ, νλ‘κ·Έλ¨μ μ¬μ©ν 곡격 νμμ΄λ€.
K : μλλ λμ μν / 곡격 νμ / μ νμ λ²κ·Έ, 보μ μ·¨μ½μ , μ€κ³μμ κ²°ν¨
A4, Exploit(μ΅μ€νλ‘μ)
Q5, μ
μμ μΈ ν΄μ»€κ° λΆνΉμ μΉ μλ²μ μΉ νμ΄μ§μ μ
μ± μ€ν¬λ¦½νΈλ₯Ό μ€μΉνκ³ , λΆνΉμ μ¬μ©μ μ μ μ μ¬μ©μ λμ μμ΄ μ€νλμ΄ μλλ μλ²(λ©μ¨μ΄ μλ²)λ‘ μ°κ²°νμ¬ κ°μΌμν€λ 곡격기λ²μ΄λ€.
K : μ
μ± μ€ν¬λ¦½νΈ μ€μΉ / λ°μ¨μ΄ μλ² / κ°μΌ
A5, Drive By Download(λλΌμ΄λΈ λ°μ΄ λ€μ΄λ‘λ)
Q6, μ¬μ©μκ° νΉμ μΉμ¬μ΄νΈμ μ μνμμλ(μ΄λ©μΌ λ©μμ§μ ν¬ν¨λ μ¬μ΄νΈ μ£Όμλ₯Ό ν΄λ¦νλ κ²½μ° ν¬ν¨), μ¬μ©μλ λͺ¨λ₯΄κ² μ
μ± S/Wκ° μ¬μ©μμ λλ°μ΄μ€(PCλ μ€λ§νΈν°)μ Download λλλ‘ νλ ν΄νΉ κΈ°λ²μ΄λΌκ³ ν μ μλ€.
K : νΉμ μΉμ¬μ΄νΈ μ μ / μ¬μ©μλ λͺ¨λ₯΄κ² / μ
μ±s/w λ€μ΄λ‘λ
A6, Drive By Download(λλΌμ΄λΈ λ°μ΄ λ€μ΄λ‘λ)
Q7, νΉμ μΈμ λν νμ 곡격μ λͺ©μ μΌλ‘ νΉμ μΈμ΄ μ λ°©λ¬Ένλ μΉ μ¬μ΄νΈμ μ
μ±μ½λλ₯Ό μ¬κ±°λ μ
μ±μ½λλ₯Ό λ°°ν¬νλ URLλ‘ μλμΌλ‘ μ μΈνμ¬ κ°μΌμν€λ 곡격기λ²μ΄λ€.
K : νΉμ μΈ νμ 곡격 / μ
μ±μ½λ / urlμ μΈ
A7, Watering Hole(μν°λ§ν)
Q8, 곡격μκ° μ·¨μ½ν μΉ μ¬μ΄νΈμ μ
μμ μΈ μ€ν¬λ¦½νΈλ₯Ό μ½μ
νμ¬ μ¬μ©μκ° μ€ν(μμ μ PCμμ)νλλ‘ μ λν νμ μ¬μ©μμ μ 보λ₯Ό νμ·¨νλ 곡격기λ²μ΄λ€.
K : μ
μ±μ½λ / μ¬μ©μμ PC / 곡격μμκ² νμ·¨
A8, XSS
Q9, 곡격μκ° μΉ μλ²μ μ·¨μ½μ μ μ΄μ©νμ¬ μ
μ± μ€ν¬λ¦½νΈ ꡬ문μ μ½μ
νκ³ , μ μμ μΈ μ¬μ©μλ‘ νμ¬κΈ μμ μ μμ§μλ 무κ΄νκ² κ²μν μ€μ λ³κ²½, νμ μ 보 λ³κ²½ λ± κ³΅κ²©μκ° μλν νμλ₯Ό νΉμ μΉμ¬μ΄νΈμ μμ²νκ² νλ 곡격μ΄λ€.
K : 곡격μμ μ
μμ μΈ μμ² / ν¬μμ μλ²μμ μ€ν
A9, CSRF
[ Q10, Q11 ]
κ°μ’
μ¬ν΄, μ₯μ , μ¬λμΌλ‘λΆν° μκΈ°κ΄λ¦¬λ₯Ό κΈ°λ°μΌλ‘ μ¬ν΄λ³΅κ΅¬, μ
무볡ꡬ λ° μ¬κ°, λΉμκ³ν λ±μ ν΅ν΄ λΉμ¦λμ€ μ°μμ±μ 보μ₯νλ 체κ³μΈ BCPμ λν μ€λͺ
μ΄λ€.
Q10, μ₯μ λ μ¬ν΄λ‘ μΈν΄ μ΄μμμ μ£Όμ μμ€μ λ³Ό κ²μ κ°μ νμ¬ μκ° νλ¦μ λ°λ₯Έ μν₯λ λ° μμ€νκ°λ₯Ό μ‘°μ¬νλ BCPλ₯Ό ꡬμΆνκΈ° μν λΆμμ΄λ€.
K : μ΄μμμ μ£Όμ μμ€ / μμ€νκ° / BCP
A10, BIA(Business Impact Analysis)
Q11, μ‘°μ§μ μ΅κ³ κ²½μμΈ΅μ΄ μ£Όμ μ§μ μλΉμ€μ μ€λ¨μΌλ‘ μΈν μ
무μ μν₯μ λν΄ νμ©ν μ μλ μ΅λμ μκ°μ μλ―Ένλ€.
K : μλΉμ€ μ€λ¨ / νμ© / μ΅λμ μκ°
A11, MTD(Maximum Tolerable Downtime)
Q12, μ΄λ€ μ νμ΄λ μ»΄ν¨ν° μμ€ν
, μνΈμμ€ν
νΉμ μκ³ λ¦¬μ¦μμ μ μμ μΈ μΈμ¦ μ μ°¨λ₯Ό μ°ννλ κΈ°λ²μ΄λ©° μ
μ±νλ‘κ·Έλ¨μ λν μ€λͺ
μ΄λ€.
K : μ°ννλ κΈ°λ² / μ μμ μΈ μΈμ¦ μ μ°¨
A12, Backdoor(λ°±λμ΄)
Q13, μμ€ν
μΉ¨μ
ν μΉ¨μ
μ¬μ€μ μ¨κΈ΄ μ± μ°¨νμ μΉ¨μ
μ μν λ°±λμ΄, νΈλ‘μ΄ λͺ©λ§ μ€μΉ, μ격 μ κ·Ό, λ΄λΆ μ¬μ© νμ μμ , κ΄λ¦¬μ κΆν νλ λ± μ£Όλ‘ λΆλ²μ μΈ ν΄νΉμ μ¬μ©λλ κΈ°λ₯μ μ 곡νλ νλ‘κ·Έλ¨μ λͺ¨μμ΄λ©° μ
μ±νλ‘κ·Έλ¨μ λν μ€λͺ
μ΄λ€.
K : λΆλ²μ μΈ ν΄νΉ / μΉ©μ μ¬μ€ μ¨κΉ / μ°¨ν μΉ¨μ
μ μν΄
A13, Rootkit(루νΈν·)
Q14, 3λͺ
μ MIT μν κ΅μκ° κ³ μν μμλ₯Ό νμ©ν λΉλμΉν€ μνΈν μκ³ λ¦¬μ¦ μ΄λ€.
K : μμ νμ© / λΉλμΉν€ μνΈν μκ³ λ¦¬μ¦ / 3λͺ
MIT μνκ΅μ
A14, RSA(Rivest - Shamir - Adleman)
Q15, 2001λ
λ―Έκ΅ νμ€ κΈ°μ μ°κ΅¬μ(NIST)μμ κ°λ°ν μνΈ μκ³ λ¦¬μ¦μΌλ‘ 128bitμ λΈλ‘ ν¬κΈ°, ν€ κΈΈμ΄μ λ°λΌ 128bit, 192bit, 256bitλ‘ λΆλ₯λλ λμΉ ν€ μνΈν μκ³ λ¦¬μ¦μ΄λ€.
K : λμΉν€ / λΈλ‘ ν¬κΈ° / ν€ κΈΈμ΄ / 128, 192, 256bit
A15, AEX(Advanced Encryption Standard)
Q16, μ»΄ν¨ν° μ¬μ©μμ ν€λ³΄λ μμ§μμ νμ§ν΄μ μ μ₯νκ³ , IDλ ν¨λμλ, κ³μ’ λ²νΈ, μΉ΄λ λ²νΈ λ±κ³Ό κ°μ κ°μΈμ μ€μν μ 보λ₯Ό λͺ°λ λΉΌκ°λ ν΄νΉ 곡격μ΄λ€.
K : ν€λ³΄λ μμ§μ νμ§ / μ 보 λΉΌκ°λ / ν΄νΉ 곡격
A16, Key Logger Attack(ν€λ‘κ±° 곡격)
Q17, μννΈμ¨μ΄ κ°λ° κ³Όμ μμ κ°λ°μμ μ€μ, λ
Όλ¦¬μ μ€λ₯ λ± μΌλ‘ μΈν΄ μμ€ μ½λ λ±μ λ΄ν¬λ μ μλ μ μ¬μ μΈ λ³΄μ μ·¨μ½μ μ μ΅μννκ³ , μμ ν μννΈμ¨μ΄λ₯Ό κ°λ°νκΈ° μν μΌλ ¨μ 보μ νλμ΄λ€.
K : κ°λ°μμ μ€μ / μ μ¬μ μΈ λ³΄μ μ·¨μ½μ μ΅μν / 보μ νλ
A17, μνμ΄ μ½λ©(Secure Coding)
Q18, λ―Έκ΅ λΉ μ리νμ¬μΈ MITRE μ¬μμ 곡κ°μ μΌλ‘ μλ €μ§ μννΈμ¨μ΄μ 보μμ·¨μ½μ μ νμ€νν μλ³μ λͺ©λ‘μ΄λ€.
K : MITRE / μννΈμ¨μ΄μ 보μμ·¨μ½μ / νμ€ν μλ³μ
A18, CVE(Common Vulnerabilities and Exposures)
Q19, μ€νμμ€ μΉ μ ν리μΌμ΄μ
보μ νλ‘μ νΈλ‘μ μ£Όλ‘ μΉμ ν΅ν μ 보 μ μΆ, μ
μ± νμΌ λ° μ€ν¬λ¦½νΈ, 보μ μ·¨μ½μ λ±μ μ°κ΅¬νλ κΈ°κ΄μ΄λ€.
K : μ°κ΅¬κΈ°κ΄ / 보μ μ·¨μ½μ / 보μ νλ‘μ νΈ
A19, OWASP(The Open Web Application Security Project)
Q20, μ 보보μ μνμ μ²λ¦¬λ°©μ μ€ μ¬μ
λͺ©μ μ μνμ μ²λ¦¬νλλ° λ€μ΄κ°λ κ³Όλν λΉμ© λλ μκ°μΌλ‘ μΈν΄ μΌμ μμ€μ μνμ λ°μ λ€μ΄λ λ°©λ²μΌλ‘ κ·Έ μνμ΄ μ‘°μ§μ λ°μμν€λ κ²°κ³Όμ λν μ±
μμ κ΄λ¦¬μΈ΅μ΄ μ§λ λ°©μμ΄λ€.
K : μΌμ μμ€μ μν / κ΄λ¦¬μΈ΅μ΄ μ±
μ / μ¬μ
λͺ©μ μ μν μ²λ¦¬
A20, μν μμ©
Q21, μ 보보μ μνμ μ²λ¦¬ λ°©μμ μνμ λν μ±
μμ μ 3μμ 곡μ νλ κ²μΌλ‘, 보νμ λ€κ±°λ λ€λ₯Έ κΈ°κ΄κ³Όμ κ³μ½μ ν΅νμ¬ μ μ¬μ μμ€μ μ 3μμκ² μ΄μ νκ±°λ ν λΉνλ λ°©μμ΄λ€.
K : μν μ²λ¦¬λ°©μ / 3μ곡μ , 보ν, λ€λ₯ΈκΈ°κ΄ κ³μ½ / μμ€ μ΄μ λ° ν λΉ
A21, μν μ κ°
Q22, λ€νΈμν¬ λ³΄μ 곡격 μ€ TCP μ°κ²° μ€μ μ μν 3-way handshakingκ³Όμ μμ half-open μ°κ²° μλκ° κ°λ₯νλ€λ μ·¨μ½μ±μ μ΄μ©νλ 곡격 λ°©μμ΄λ€.
K : 3-way handshaking / TCPμ°κ²°
A22, SYNνλ¬λ©(SYN Flooding)
Q23, λ€νΈμν¬ λ³΄μ 곡격 μ€ μλ²μ ν΄λΌμ΄μΈνΈκ° TCPν΅μ μ νκ³ μμ λ, RST ν¨ν·μ 보λ΄κ³ μνμ€ λλ² λ±μ μ‘°μνμ¬ μ°κ²°μ κ°λ‘μ±λ 곡격 λ°©μμ΄λ€.
K : TCPν΅μ / RSTν¨ν· / μ°κ²°μ κ°λ‘μ±λ 곡격 λ°©μ
A23, μΈμ
νμ΄μ¬νΉ(Session Hijacking)
Q24, λ€νΈμν¬ λ³΄μ 곡격 μ€ IP ν¨ν·μ μ¬μ‘°ν© κ³Όμ μμ μλͺ»λ Fragment Offset μ λ³΄λ‘ μΈν΄ μμ μμ€ν
μ΄ λ¬Έμ λ₯Ό λ°μνλλ‘ λ§λλ DoS 곡격μ΄λ€.
K : IP ν¨ν· μ¬μ‘°ν© / μμ μμ€ν
λ¬Έμ λ°μ
A24, ν°μ΄ νΈλ‘(Tear Drop)