[24-25 동계 모각코] 6회차 결과

5과목 정보 시스템 구축 관리 중점 기출 풀이

 

오답 풀이

82. 크래커가 침입하여 백도어를 만들어 놓거나, 설정파일을 변경했을 때 분석하는 도구는?

정답: tripwire

 

87. 정형화된 분석 절차에 따라 사용자 요구사항을 파악, 문서 화하는 체계적 분석방법으로 자료흐름도, 자료사전, 소단위 명세서의 특징을 갖는 것은?

정답: 구조적 개발 방법론

 

89. 다음 내용이 설명하는 것은?

[ - 블록체인 개발환경을 클라우드로 서비스하는 개념 - 블록체인 네트워크에 노드의 추가 및 제거가 용이 - 블록체인의 기본 인프라를 추상화하여 블록체인 응용 프로그램을 만들 수 있는 클라우드 컴퓨팅 플랫폼]

정답: Baas

 

90. 소프트웨어 비용 산정 기법 중 개발 유형으로 organic, semi-detach, embedded로 구분되는 것은?

정답: COCOMO

- Constructive Cost Model 은 소프트웨어 개발 비용을 예측하기 위한 모델로, 프로젝트의 크기와 복잡성에 따라 개발 비용을 산정한다.

  1. Organic : 소규모 개발 프로젝트, 단순한 구조 

  2. Semi-Detached : 중간 규모 프로젝트, 복잡한 기능이 포함된 시스템

  3. Embedded : 대규모, 실시간 프로젝트, 높은 제약사항과 복잡한 환경

 

94. 스트림 암호화 방식의 설명으로 옳지 않은 것은?

정답: 해쉬 함수를 이용한 해쉬 암호화 방식을 사용한다.

- 스트림 암호화 방식은 데이터를 1bit 또는 1byte 단위로 암호화하는 방식으로, 실시간 암호화에 적합함

- 키 스트림을 생성하여 평문과 XOR 연산을 수행

 

95. 세션 하이재킹을 탐지하는 방법으로 거리가 먼 것은?

정답: FTP SYN SEGNENT 탐지

- 세션 하이재킹이란 공격자가 사용자의 세션을 가로채어 인증된 사용자로 가장하는 공격 기법

 

81. 다음 내용이 설명하는 것은?

[ - 네트워크 상에 광채널 스위치의 이점인 고속 전송과 장거리 연결 및 멀티 프로토콜 기능을 활용 - 각기 다른 운영체제를 가진 여러 기종들이 네트워크 상에서 동일 저장장치의 데이터를 공유하게 함으로써, 여러 개의 저장장치나 백업 장비를 단일화 시킨 시스템 ]

정답: SAN

 

82. SSH(Secure Shell)에 대한 설명으로 틀린 것은?

정답: SSH의 기본 네트워크 포트는 220번을 사용한다

- SSH란 네트워크 상에서 보안이 강화된 원격 접속을 제공하는 프로토콜, 기본 포트는 22번임.

 

84. 다음 내용이 설명하는 접근 제어 모델은?

[ - 군대의 보안 레벨처럼 정보의 기밀성에 따라 상하 관계가 구분된 정보를 보호하기 위해 사용 - 자신의 권한 보다 낮은 보안 레벨 권한을 가진 경우에는 높은 보안 레벨의 문서를 읽을 수 없고 자신의 권한보다 낮은 수준의 문서만 읽을 수 있다. - 자신의 권한보다 높은 보안 레벨의 문서에는 쓰기가 가능하지만 보안 레벨이 낮은 문서의 쓰기 권한은 제한한다. ]

정답: Bell-Lapadula Model

 

86. 라우팅 프로토콜인 OSPF(Open Shortest Path First)에 대한 설명으로 옳지 않은 것은?

정답: 거리 벡터 라우팅 프로토콜이라고 한다.

 

87. 소프트웨어 비용 추정 모형(estimation models)이 아닌 것 은?

정답: PERT

- COCOMO, FP(Function Point), Delphi가 해당. 

 

88. 코드의 기입 과정에서 원래 '12536‘으로 기입되어야 하는데 ’12936‘으로 표기되었을 경우, 어떤 코드 오류에 해당하는 가?

정답: Transcription Error

- 전사 오류 (Transcription Error)는 데이터를 옮겨 적거나 입력할 때 발생하는 실수임

 

89. ISO 12207 표준의 기본 생명주기의 주요 프로세스에 해당하지 않는 것은?

정답: 성능평가 프로세스

- 기본 생명주기에는 기본 프로세스(개발의 중심), 지원 프로세스, 조직 프로세스가 해당함.

 

94. IPSec(IP Security)에 대한 설명으로 틀린 것은?

정답: Screened Subnet

-  IPSec은 네트워크 계층에서 보안 기능을 제공하는 프로토콜

- 주요 기능은 무결성, 기밀성, 인증이며, AH와 ESP로 구성

 

96. 침입차단 시스템(방화벽) 중 다음과 같은 형태의 구축 유형은?

정답: Screened Subnet

- Screened Subnet는 외부 네트워크와 내부 네트워크 사이에 DMZ를 배치하여 보안을 강화하는 방식임. 이중 방화벽을 사용하여 내부 네트워크를 보호함.

 

97. Secure OS의 보안 기능으로 거리가 먼 것은?

정답: 고가용성 지원

- Secure OS는 보안이 강화된 운영체제로 주요 기능으로는 강력한 접근 통제, 식별 및 인증 등이 있음

 

98. 서버에 열린 포트 정보를 스캐닝해서 보안취약점을 찾는데 사용하는 도구는?

정답: nmap

 

100. 암호화 키와 복호화 키가 동일한 암호화 알고리즘은?

정답: AES 

 

81. 침입탐지 시스템(IDS : Intrusion Detection System)과 관련한 설명으로 틀린 것은?

정답: 이상 탐지 기법(Anomaly Detection)은 Signature Base 나 Knowledge Base라고도 불리며 이미 발견되고 정립 된 공격 패턴을 입력해두었다가 탐지 및 차단한다.

- 침입 탐지 시스템이란 네트워크에서 이상 징후를 감지하여 보안 위협을 탐지하는 시스템으로 시그니처 기반 탐지와 이상 탐지 기법이 있음.

 

82. 정보 시스템 내에서 어떤 주체가 특정 개체에 접근하려 할 때 양쪽의 보안 레이블(Security Label)에 기초하여 높은 보 안 수준을 요구하는 정보(객체)가 낮은 보안 수준의 주체에게 노출되지 않도록 하는 접근 제어 방법은?

정답: Mandatory Access Control

 

84. 국내 IT 서비스 경쟁력 강화를 목표로 개발되었으며 인프라 제어 및 관리 환경, 실행 환경, 개발 환경, 서비스 환경, 운 영환경으로 구성되어 있는 개방형 클라우드 컴퓨팅 플랫폼은?

정답: PaaS-TA

 

85. 정보 보안을 위한 접근 제어(Access Control)과 관련한 설명으로 틀린 것은?

정답: DBMS에 보안 정책을 적용하는 도구인 XDMCP를 통해 데이터베이스에 대한 접근제어를 수행할 수 있다.

 

86. 소프트웨어 개발 프레임워크와 관련한 설명으로 틀린 것은?

정답: 라이브러리와 달리 사용자 코드가 직접호출하여 사용하기 때문에 소프트웨어 개발프레임워크가 직접 코드의 흐름을 제어할수 없다.

- 프레임워크는 소프트웨어 개발을 쉽게 하기 위해 제공되는 반완성된 코드 구조

- 개발자가 아닌 프레임 워크가 흐름을 제어하며 재사용성과 확장성이 높고 모듈화 특징을 가지고 있음.

 

87. 물리적 배치와 상관없이 논리적으로 LAN을구성하여 Broadcast Domain을 구분할 수 있게 해주는 기술로 접속된 장비들의 성능향상 및 보안성 증대 효과가 있는 것은?

정답: VLAN

 

90. 다음에서 설명하는 IT 스토리지 기술은?

[ - 가상화를 적용하여 필요한 공간만큼 나눠 사용할 수 있도록 하며 서버 가상화와 유사함 - 컴퓨팅 소프트웨어로 규정하는 데이터 스토리지 체계이며, 일정 조직 내 여러 스토리지를 하나처럼 관리하고 운용하는 컴퓨터 이용 환경 - 스토리지 자원을 효율적으로 나누어 쓰는 방법으로 이해할 수 있음 ]

정답: Software Defined Storage

 

91. Cocomo model 중 기관 내부에서 개발된 중소규모의 소프 트웨어로 일괄 자료 처리나 과학기술계산용, 비즈니스 자료 처리용으로 5만 라인이하의 소프트웨어를 개발하는 유형은?

정답: Organic

 

97. 시스템이 몇 대가 되어도 하나의 시스템에서 인증에 성공하면 다른 시스템에 대한 접근권한도 얻는 시스템을 의미하는 것은?

정답: SSO

 

98. 시스템에 저장되는 패스워드들은 Hash 또는 암호화 알고리즘의 결과 값으로 저장된다. 이때 암호공격을 막기 위해 똑같은 패스워드들이 다른 암호 값으로 저장되도록 추가되는 값을 의미하는 것은?

정답: Salt

 

99. S/W 각 기능의 원시 코드 라인수의 비관치, 낙관치, 기대치를 측정하여 예측치를 구하고 이를 이용하여 비용을 산정하는 기법은?

정답: LOC기법

 

100. 오픈소스 웹 애플리케이션 보안 프로젝트로서 주로 웹을 통한 정보 유출, 악성 파일 및 스크립트, 보안 취약점 등을 연구하는 곳은?

정답: WWW

 

취약점 정리, 필기

 

---

암호화 알고리즘

 

 

1. 대칭 키 암호화(Symmetric Key Encryption)

    하나의 키(비밀키)로 암호화 및 복호화 수행

 

• AES (Advanced Encryption Standard)
  • 블록 암호화 방식 (128-bit 블록)
  • 키 길이: 128, 192, 256비트
  • 보안성이 높고 빠름
• DES (Data Encryption Standard)
  • 블록 암호화 방식 (64-bit 블록)
  • 키 길이: 56비트 (보안성이 낮음)
  • 현재는 3DES로 대체됨
• 3DES (Triple DES)
  • DES를 3번 실행하여 보안 강화
  • 키 길이: 112비트 또는 168비트
• RC4
  • 스트림 암호화 방식
  • 빠른 속도, 키 길이 가변적
  • 현재는 보안 취약점으로 사용이 줄어듦

2. 비대칭 키 암호화(Asymmetric Key Encryption)

    공개키(암호화)와 개인키(복호화)를 사용하는 방식

• RSA
  • 키 길이: 1024, 2048, 4096비트
  • 큰 소수의 곱셈을 기반으로 보안성 제공
• ECC (Elliptic Curve Cryptography)
  • RSA보다 짧은 키 길이로 동일한 보안성 제공
• Diffie-Hellman (DH)
  • 안전한 키 교환을 위한 알고리즘
  • 직접 암호화를 수행하지 않고 공유 비밀키 생성

3. 해시(Hash) 알고리즘

    일방향 암호화, 데이터 무결성 검증에 사용

• MD5 (Message Digest Algorithm 5)
  • 128비트 해시값 생성
  • 현재는 충돌(Collision) 공격에 취약하여 사용 권장되지 않음
• SHA (Secure Hash Algorithm)
  • SHA-1: 160비트 해시값 (보안 취약)
  • SHA-2: SHA-256(256비트), SHA-512(512비트)
  • SHA-3: 최신 표준, 보안성이 더 강함

 

---

접근 제어

 

 

1. 임의 접근 제어 (DAC, Discretionary Access Control)

• 데이터 소유자가 접근 권한을 직접 관리
• 유연하지만 보안 취약 가능성 존재
• 예: Windows 파일 권한 설정

2. 강제 접근 제어 (MAC, Mandatory Access Control)

• 보안 등급(Label) 기반 접근 통제
• 사용자가 임의로 권한 변경 불가
• 예: 군사 시스템, Bell-LaPadula 모델

3. 역할 기반 접근 제어 (RBAC, Role-Based Access Control)

• 사용자의 역할(Role)에 따라 권한 부여
• 기업 환경에서 많이 사용됨
• 예: 관리자, 일반 사용자 구분

---

개발 방법론

 

1. 전통적 개발 방법론

• 폭포수 모델(Waterfall Model)
  • 단계별 순차 진행 (요구사항 → 설계 → 구현 → 테스트)
  • 변경이 어려우나, 체계적인 관리 가능
  • 명확한 문서화로 대규모 프로젝트에 적합
• 프로토타이핑 모델
  • 초기에 시제품(Prototype)을 개발하여 피드백을 반영
  • 요구사항 변경에 유연
• 나선형 모델(Spiral Model)
  • 폭포수 모델과 프로토타입 모델의 장점을 결합한 방식
  • 반복적인 개발 방식으로 점진적 개선
  • 위험 분석을 중심으로 개발 진행
• 구조적 개발 방법론
  • 정형화된 분석 기법을 사용하여 체계적인 문서화 가능

2. 애자일 개발 방법론

• 애자일(Agile) 개발
  • 작은 단위(Iteration)로 반복 개발
  • 변화 대응이 용이
  • 예: 스크럼(Scrum), 칸반(Kanban)
• 스크럼(Scrum)
  • 팀 중심 개발
  • 스프린트(Sprint) 단위로 개발 진행
• XP (Extreme Programming)
  • 지속적인 코드 개선(리팩토링), 테스트 중심 개발
  • 페어 프로그래밍, 짧은 개발 주기