정보보안기사 필기 7회 기출문제 오답노트 정리 - 41번~60번

41번 - PGP의 기능

http://www.terms.co.kr/PGP.htm

42번 - HTTP Request 운영체제 명령어 삽입

개발 보안의 입력 값 검증 및 표현 부분에서 운영체제 명령어 삽입은 GET 방식으로 전송되는 파라미터에 운영체제 명령을 삽입하여 공격을 하는 방식으로 ps -ef 와 같이 명령어를 덧붙이는 것이다.

43번 - 파일 업로드 공격 방지

• 업로드 폴더의 실행권한 제거
• 파일명 변경(Random 생성)
• 파일 확장자 White List 설정
• Database에 저장

FTP 보안 예방 요령 - https://www.boannews.com/media/view.asp?idx=39031

44번 - SET

http://blog.naver.com/santalsm/110181053427

45번 - 버퍼 오버플로

http://story.wisedog.net/buffer-overflow-%EB%B2%84%ED%8D%BC-%EC%98%A4%EB%B2%84%ED%94%8C%EB%A1%9C%EC%9A%B0-%EB%9E%80/

46번 - e메일 공격유형

http://asec.ahnlab.com/814

47번 - S/MIME

http://www.hakawati.co.kr/398

48번 - SSL Handshake

https://hanjungv.github.io/2017-11-07-1_CS_SSL/

49번 - 커버로스

https://www.letmecompile.com/kerberos-protocol/

커버로스는 출입카드!!! 생각하면 된다!!! 고 임쌤이 말함....

50번 - DRM

• 개요

디지털 기술의 발전에 힘입어 아날로그 콘텐츠들이 생성 단계에서부터 디지털로 저장·관리되고 있다.

하지만 이 디지털 정보는 신속하게 배포되고 정보 변경이 용이하다는 특성 때문에 불법복제 및 위·변조 등 각종 보안 위협에 쉽게 노출돼 있다. 이는 양질의 콘텐츠 생산을 저해할 뿐 아니라 기업 생존까지 위협을 줄 수 있다.

때문에 네트워크단에서 외부사용자의 불법침입을 차단하는 방화벽이나 IDS 솔루션, PKI기반 암호화 솔루션, PC의 매체 제어를 통한 PC보안 솔루션 등 디지털 정보를 안전하게 보호하기 위해 많은 기술들이 사용되고 있으나 정보 자체에 대한 근본적인 보안대책은 되지 못한다. 접근제어 위주의 보안대책과 함께 콘텐츠의 사용권한 제어 및 통제를 지속적으로 보호·관리할 수 있는 새로운 기술이 필요한 것이다.

• DRM의 정의 : 이에 대한 해법이 DRM(Digital Rights Management)이다.

DRM을 한마디로 말하기는 어렵지만 디지털 정보의 신뢰성 있는 유통환경을 제공하는 유일한 솔루션이라는 것이 공통된 해석이다.

DRM은 유저·콘텐츠·퍼미션·컨디션으로 구성되며 각 요소들은 상호 연관관계를 갖는다.

콘텐츠는 지적자산의 가치가 있는 정보 단위이며, 허가되지 않은 사용자로부터 보호해야 할 대상이다. 유저는 부여된 퍼미션과 컨디션에 따라 콘텐츠를 이용할 주체로 콘텐츠의 생산자·배포자·사용자가 될 수 있으며, 콘텐츠의 이용권리는 콘텐츠별로 정해진 퍼미션에 의해 결정된다. 컨디션은 퍼미션이 수행되기 위한 요구조건 및 제한요소를 포함하고 있다.

즉 DRM은 콘텐츠의 권리표현이 시스템적으로 처리 가능하도록 기술하고, 사용자는 명시된 권리 범위 내에서 콘텐츠의 이용을 강제적으로 통제받을 수 있게 함으로써 콘텐츠의 권리를 지속적으로 보호·관리할 수 있는 기술이다.

DRM 기술은 콘텐츠에 대한 지속적인 보호가 가능하고 다양한 사용규칙을 적용할 수 있어야 한다. 또 보호하고자 하는 디지털 자산은 다양한 파일포맷 형태로 존재하기 때문에 이를 일관된 방법으로 보호하고 처리할 수 있는 환경을 제공해야 한다. DRM이 적용된 콘텐츠일지라도 기존의 디지털 정보가 유통되던 배포 및 이용 방식을 그대로 수용할 수 있어야 하며 DRM의 기술적 보호조치는 사용자에게 불편을 주어서는 안된다.

DRM을 구성하는 시스템 요소는 그림1과 같이 크게 보호대상인 콘텐츠를 메타데이터와 함께 배포 가능한 단위로 패키징하는 패키저와 이렇게 배포된 콘텐츠를 사용자의 플랫폼에서 콘텐츠의 이용권한을 통제하는 DRM 컨트롤러, 콘텐츠에 대한 배포 정책 및 라이선스를 발급·관리하는 클리어링 하우스로 구분할 수 있다. 이와 같은 아키텍처 모듈을 만족하는 DRM 플랫폼을 개발하기 위한 대표적인 핵심기술들은 다음과 같다.

• 암호화 기술(Encryption)
• 패키저(Packager)=패키저는 보호 대상인 콘텐츠를 암호화해서 콘텐츠의 식별번호 및 메타데이터 정보와 함께 시큐어 컨테이너로 패키징하는 과정을 수행한다.
• 시큐어 컨테이너(Secure Container)=저작권 보호대상인 원본 콘텐츠를 안전하게 유통하기 위해서 사용되는 전자적 보안장치로 다양한 콘텐츠 포맷 및 메타데이터의 효율적 관리를 위한 기능성과 여러 가지 채널 및 전송방식으로 배포될 수 있도록 배포 용이성을 보장한다.
• 콘텐츠 식별관리체계(Identification)=디지털 콘텐츠의 식별체계는 디지털 콘텐츠로 하여금 유일한 식별자를 갖도록 하며, 콘텐츠의 유통과정에서 권리 소유자의 결정 및 권리 표현을 연계하는 등 많은 애플리케이션에서 중요한 역할을 담당한다.
• 메타데이터(Metadata)
• 사용규칙(Usage Rule)=디지털 콘텐츠에 대한 권리를 제어하기 위해서는 어떤 사용자가 어떠한 콘텐츠에 대해 어떤 권한과 조건으로 이용할 수 있는지 정의할 수 있어야 한다. 또 이렇게 정의된 권리가 컴퓨터에 의해서 처리될 수 있도록 기계가독형 언어로의 표현이 가능해야 한다. 사용규칙은 다양한 비즈니스 환경에 따라 권리의 정의 및 표현이 달라질 수 있는데 이를 지원하기 위해서는 권리표현의 다양성·확장성·유연성이 충분히 보장돼야 한다.
• 사용권한 정책관리(Policy Management)=콘텐츠에 대한 사용권한은 콘텐츠를 배포하고 사용권한을 관리하는 도메인의 정책에 의해 결정된다. 다양한 비즈니스 도메인과 모델의 지원을 위해 정책은 자유롭게 설정할 수 있어야 하며, 이를 지원할 정책관리시스템은 유연하고 확장성 있는 구조를 제공해야 한다.
• 탬퍼링 방지기술(Tampering Resistance)=콘텐츠의 보안성을 높이기 위해서 우선적으로 고려해야 할 분야는 암호화 기술의 견고성과 클라이언트 프로그램의 탬퍼링 방지대책이다. 소스 레벨에서 스크램블 코드를 삽입하는 방식과 운용체계에서 크래킹 시도를 탐지·차단하는 방식, 그리고 위장모듈을 가장한 크래킹 시도를 차단하기 위한 탬퍼 프루핑 방식 등 다양한 탬퍼링 방지기술이 적용된다.
• 사용내역 모니터링 기술(Usage Reporting)=콘텐츠가 적절하게 사용되고 있는지, 저작권이 적절하게 보호되고 있는지를 파악하기 위해서 콘텐츠 사용내역이 충분히 모니터링돼야 한다. 여기서 수집된 내역정보는 콘텐츠의 거래내역을 증명하거나 정보의 불법유통 사실이 탐지됐을 때 콘텐츠의 이동경로를 추적할 수 있는 정보로 활용된다.

• DRM의 응용 도메인=DRM 플랫폼은 디지털 형태로 존재하는 지적자산의 보호 및 관리를 위해 그림2와 같이 다양한 응용 도메인에서 활용될 수 있다.

DRM이 가장 먼저 적용된 응용 도메인은 디지털 콘텐츠의 상거래 분야로 디지털뮤직·동영상·이미지·e북·만화, 그리고 기타 부가정보서비스 등 디지털 콘텐츠에 대한 불법사용 방지 목적용이다. DRM 기술이 콘텐츠 유통 도메인에 적용됨에 따라 콘텐츠 제공업자는 페이 투 유즈(Pay-to-Use), 프리뷰 비포 퍼처스(Preview-before-Purchase), 서브스크라이브(Subscribe) 등 다양한 마케팅 정책을 수행할 수 있게 됐다. 또 사용자 권한에 따라 뷰/플레이·프린트·에디트·세이브·트랜스퍼 등 세분화된 콘텐츠 이용 통제가 가능하다.

디지털 콘텐츠 상거래 분야에 이어 DRM은 기업 및 국가 주요 기관에서 생산·관리하는 중요 기밀문서 보안에도 적용되고 있다.

DRM은 보호 대상이 되는 문서 및 도면 등 각종 디지털 지적자산에 대해 허가되지 않은 사용자는 문서를 열어볼 수 없도록 할 뿐만 아니라 허가된 사용자에 한해서도 권한별 세분화된 사용권한 제어, 문서 사용내역에 대한 추적, 배포된 문서의 폐기, 퇴사자의 사용권한 박탈 등 다양한 보안기능을 제공함으로써 기밀문서에 대한 근본적인 보안대책을 수립할 수 있다.

• DRM 표준화 활동=초기의 DRM 시장은 DRM 기술 제공업체에 의해 주도됨에 따라 콘텐츠의 보호범위가 해당 DRM 업체의 기술을 적용한 콘텐츠에만 국한됐다.

이 때문에 사용자는 동일한 콘텐츠임에도 불구하고 어떤 DRM 기술을 적용했느냐에 따라 해당 업체의 전용뷰어 및 관련 프로그램들을 설치해야 하는 불편함을 감수해야 했다.

아마존이나 반센노블과 같은 온라인서점 사이트에서 볼 수 있듯이 각 업체들은 포맷간 상호호환성이 보장되지 않기 때문에 여러 가지의 포맷을 모두 준비하고 사용자들에 이의 이용을 유도해야 한다.

이런 문제점들을 해결하기 위해 MPEG-21, TV애니타임, AAP, OeBF, W3C, XrML, DOI 등 국제표준화단체 및 기구에서 DRM 표준화를 추진중이다. 국제표준화단체에서는 국제적으로 통용될 수 있는 DRM 기술사양의 개발과 DRM 플랫폼간의 상호호환성 보장을 위한 표준기술 개발에 주력하고 있다.

국제표준화기구들을 활동 분야별로 나누면 △DRM 플랫폼의 표준사양 개발분야=MPEG-21, TV애니타임, AAP, OeBF, OMA △식별체계의 표준화 기술개발 분야=DOI, URI, MPEG-21 DII △권리표현기술 개발분야=XrML, ODRL, XMCL, MPEG-21 RDD/REL △지적자산의 메타데이터 정보관리 기술분야=INDECS, ONIX, 더블린 코어 등으로 구분된다.

DRM 기술 표준화를 위해 많은 국제표준화 활동들이 진행되고 있지만 가장 적극적으로 표준화 활동을 수행하는 곳은 MPEG-21이다. MPEG-21은 다양한 종류의 디지털 콘텐츠를 서비스가 가능한 총체적인 멀티미디어 프레임워크의 사양을 도출하는 것을 목표로 ISO/IEC 산하의 MPEG 워킹그룹에서 2000년 6월에 착수해 2005년 국제표준안 제정을 완료한다는 방침을 정해 놓고 표준화 작업을 진행중이다.

• DRM의 전망=DRM이 상용화된 것은 2000년 초반으로 불과 3년 전 일이다. 그러나 짧은 기간이었음에도 불구하고 DRM 기술은 다양한 분야에 적용됐을 뿐만 아니라 적지 않은 디지털 라이프의 패러다임 변화에 영향을 미치고 있다.

DRM은 현재의 콘텐츠 유통 도메인이나 기업의 문서보안 도메인 외에 다양한 응용 도메인에서 활용되고 DRM 기술은 장기적으로 다음과 같은 방향으로 발전할 것으로 전망된다.

1. 첫째 벤더 및 특정 기관에 의해 분산돼 개발되던 각종 기술들이 표준화돼 유기적으로 통합된 플랫폼으로 발전할 것이다. 즉, 벤더의 DRM 플랫폼과 식별체계, 메타데이터, PKI, 파일포맷 등이 상호호환성을 갖도록 기술적 표준안이 마련되고, 이를 통해 디지털 콘텐츠의 글로벌 유통이 가능한 시기가 도래할 것이다. 이러한 글로벌 유통 플랫폼은 MPEG-21, TV애니타임, W3C 등과 같은 국제표준기구에 의해 주도적으로 추진되겠지만 WMT를 앞세워 결국 de-facto 표준을 노리는 마이크로소프트 등 특정 도메인에서 치열한 시장경쟁을 거치고 생존한 업체들의 de-facto 표준화가 가속화·활성화될 것이다.
2. 둘째 유무선 통신기술이 발전함에 따라 디지털 콘텐츠의 이용환경은 유무선 구분이 모호해질 것이다. 또 현재의 PC위주의 콘텐츠 이용환경도 PDA, 태블릿PC, e북 디바이스, 모바일폰 등 다양한 기종의 하드웨어 플랫폼에서 이용될 것이다. 따라서 DRM은 이러한 유비쿼터스 환경에서 디지털 콘텐츠의 투명한 접속 및 이용, 콘텐츠 사용권리의 자유로운 이동 등 사용편리성이 충분히 보장되는 방향으로 발전할 것이다.
3. 셋째 DRM 기술은 운용체계에 기본사양으로 포함될 것이다. 현재도 마이크로소프트는 최근에 발표되는 운용체계에 DRM을 기본적으로 내장해 배포하고 있는데 이런 현상은 DRM의 글로벌 표준사양이 정립됨에 따라 유닉스·리눅스를 비롯한 다른 운용체계에도 적용될 것으로 전망된다.
4. 넷째 디지털의 유통구조가 대형화·글로벌화됨에 따라 이를 체계적으로 관리하고 투명한 유통 환경을 지원하기 위한 클리어링하우스센터가 구축될 것이다. 클리어링하우스센터는 글로벌 유통망을 대상으로 콘텐츠의 권한통제 관리, 권리계약 이행 감시, 정산 등의 업무를 수행하게 된다.

51번 - XSS

게시판 악성코드 삽입하는 공격

52번 - SQL Injection 공격 대응방법

http://blog.plura.io/?p=6056

53번 - SSL Client Hello

http://12bme.tistory.com/80

54번 - OTP

온라인 범죄의 증가로, 금융권, 포털 사이트, 기업에서는 물론 게임보안 영역에 까지 OTP가 각광을 받고 있습니다.

OTP(One Time Password)란 한번만 사용할 수 있는 일회용 비밀번호입니다. 기존의 고정된 비밀번호 대신, 매번 로그인 할 때마다 새로운 비밀번호가 생성이 되며, 일정 시간이 지나면, 사용여부와 관계 없이 발급된 비밀번호는 무효하게 됩니다. OTP가 발급되는 방식에는 OPT단말기나 스마트폰 어플리케이션 등을 통해서 1분에 한번씩 6자리 정도의 비밀번호가 계속 변경되며 화면에 출력되는 방식. 또 OTP기기에 키패드가 존재하여 PIN번호를 입력했을 때 일회용 비밀번호가 화면에 출력되는 방식 등이있습니다.

기존의 고정된 패스워드 방식은 악성코드에 의해서 노출될 수도 있고, 사용자가 동일한 ID와 PW를 여러 사이트에 똑같이 사용하여 유출되는 경우도 많습니다. 취약한 사이트에서 유출된 인증정보는 자신이 가입한 다른 수많은 사이트의 인증정보를 함께 유출시키는 결과를 초래합니다. 금융거래에서 필수요소로 인식되던 보안카드 역시, 카드에 적힌 비밀번호를 반복하여 사용하게 되므로, 같은 카드를 장기간 사용하면 해커에 의해 특정 번호가 재 사용될 위험이 존재합니다.

그에 반해 OTP는 매 사용시 마다 일회용 비밀번호를 발생시키기 때문에, 해킹이 매우 어렵고, 매번 비밀번호를 설정하여 힘들게 외울 필요가 없는 이점이 있습니다. 또한 한 개의 OTP기기로 모든 금융회사에서 동일하게 이용할 수 있도록 도와주는 OTP 통합인증센터가 설립되어있어, 그 편의성도 더욱 높아졌습니다. 최근에는 많은 은행권에서 OTP 무료발급 이벤트를 진행하면서 기존에 유료였던 OTP를 무료로 사용할 수도 있는 기회도 늘어났습니다.

2008년 부터는 보안성 강화를 위해 법인의 경우 1등급 보안매체를 사용해야만 하며, 개인의 경우에도 OTP와 같은 1등급 보안매체를 사용할 때만 1억원 이체한도를 유지할 수 있도록 하였습니다. 각종 해킹으로 정보보안에 빨간불이 들어온 요즘, 고객들의 개인정보를 효과적으로 지키기 위하여, 금융권에서 뿐만 아니라, 게임, 포털 서비스에서도 OTP를 도입하여 사용하고 있는 것입니다.

OTP를 사용한다면, 해커로부터 보다 안전한 온라인 생활을 실현할 수 있을 것입니다. 하지만, 무엇보다, 자신의 개인정보를 지키는 것은 바로 사용자 개인 스스로가 개인정보노출을 최소화 하는 것이라는걸 잊지 말아야 합니다.

* 1등급 보안매체 : OTP, 보안토큰, 2채널인증서비스

55번 - 암호 키 보호를 위해서 하드웨어를 사용한 기술

http://itblog.imarketkorea.com/152

56번 - 워터마킹

워터마킹 기술은 미디어 콘텐츠에 사람이 인지할 수 없는 저작권 정보를 삽입하여 추후 저작권 논쟁이 발생했을 때 저작권자를 증명하기 위한 표지로 활용하기 위한 일종의 사후적 보고기술입니다. 워터마크의 적용 분야는 불법 복제추적(핑거프린팅), 복제방지(기기제어), 방송모니터링, 위/변조 적발 및 방지, 데이터 은닉 등을 들 수 있습니다.

57번 - XSS 예방 ReplaceAll 함수

http://code0xff.tistory.com/100

58번 - 버퍼 오버플로 대비 strncpy

http://noirstar.tistory.com/9

59번 - 생체인식 시스템 요구사항

60번 - 개발 보안 방법론 SDLC 모형

http://needjarvis.tistory.com/174

* 이 포스팅은 이기적 정보보안기사 필기 기출문제집을 기반으로 작성되었습니다.