보안관제

Week 2 Assignments - 2주차 과제

1. Explain three types of security monitoring? - 보안관제의 종류 3가지를 설명하시오?

(1) 해킹탐지시스템 - Snort 규칙기반 탐지

∙ 연동기관 ∙ 망: 공공기관 및 국가정보통신망 ∙ 과학기술연구망 사용 기관

∙ 탐지규칙(Snort) 기반 시스템

∙ NCSC 생성 탐지규칙을 연동기관 대상 수시 배포

 

(2) 악성파일탐지시스템 - Yara 규칙기반 탐지

∙ 목적: 신 ∙ 변종 악성파일의 탐지

∙ 파일 기반으로 악성행위를 탐지하는 시스템

∙ 샌드박스(동적분석), 백신탐지결과 등으로 악성여부조회

 

(3) 비정상통신탐지시스템 - AI 기반, 北정상 통신 탐지

∙ 未詳 ∙ 암호화 통신 대상 머신러닝기반 비정상통신 탐지

∙ 기존 탐지규칙 기반 보안관게체계의 한계점 극복

∙ 머신러닝을 통한 北지도 학습수행, 비정상 트래픽 탐지 목표

 

2. Describe two challenges in security monitoring? - 보안관제의 문제점 2가지를 설명하시오?

(1) 직원 48%와 리더의 36%가 SOC 업무와 관련된 어려움으로 인해 퇴사를 고려

(2) 무의미하고 오탐 경보의 양이 너무 많아지면 보안담당자는 둔감해져, 실제로 주의를 기울여야 하는 경보를 놓치게 된다.

 

3. Discuss the necessity and limitations of AI security monitoring? - AI 보안관제의 필요성과 적용한계에 대해 설명하시오?

(1) 인공지능을 활용한 보안관제 기술 향상

(2) 인공지능을 현장에서 적용할 때 이슈

 

4. Describe the header information in a SNORT detection rule? - SNORT 탐지룰 중 헤더 정보에 대해 설명하시오?

Action, Protocol, Souce IP, Source Port, Direction Operator, Dest.IP, Dest.Port

 

5. What is the purpose of the security control company selection evaluation system? - 보안관제 전문기업 선정 평가 제도는 무엇을 선정하기 위한 것인가?

실적서류, 관제실, 교육, 공지사항

 

Week 3 Assignments - 3주차 과제

1. What are the 3 types of security controls? - 보안관제의 유형 3가지는 무엇인가?

(1) 파견 관제

∙ 자체 구축한 보안관제 시스템의 운영 및 관리를 위탁하는 방식

∙ 전문 인력이 파견되어 관제 업무 수행

∙ 즉각적인 대응이 가능

∙ 특화된 관제 서비스 가능

∙ 보안관제 시스템 구축과 인력 파견 비용이 비쌈

∙ 공공분야, 금융권

 

(2) 원격 관제

∙ 관제 시스템과 전문 인력이 원격지에 위치

∙ 관제 비용이 상대적으로 저렴

∙ 제한적 범위의 보안 관제만 가능

∙ 즉각적인 대응이 불가능

∙ 일반 기업

 

(3) 자체 관제

∙ 자체적으로 보안 관제 시스템 구축, 운영, 관리

∙ 기관 자체 정규직 또는 계약직 보안 인력을 통한 관제 업무 수행

∙ 규모가 크고 예산이 많아야 가능

∙ 국정원, 경찰청, 대규모 통신사

 

2. What are the differences between IDS and IPS? - IDS와 IPS의 주요 차이점은 무엇인가?

- IDS (탐지)

∙ 침입 여부 감지

∙ 패킷을 차단하지 못함

∙ 사후 조치적 특성

∙ 로깅과 탐지 중점

∙ TAP 장비를 이용한 트래픽 복사 후 검사하여 트래픽 유통에 직접 관여하지 않음.

 

- IPS (탐지+차단)

∙ 침입 이전에 방지

∙ 패킷을 차단

∙ 실시간 대응, 사전 조치적 특성

∙ 차단과 침입 방지

∙ 네트워크 구간 내에 설치하여 트래픽 유통에 직접 관여

 

3. What is Zero Trust? - 제로트러스트란 무엇인가?

(1) 제로트러스트(ZT)란? 정보 시스템 및 서비스에 대한 접속요구가 있을 때 네트워크가 이미 침해된 것으로 간주하고, 주어진 권한을 정확하고 최소한으로 부여하는데 있어서 불확실성을 최소화하도록 설계된 개념 및 아이디어 모음(NIST SP 800-207, ’20년)
(2) 제로트러스트 아키텍처? ZT 개념을 사용한 기업 사이버보안 계획으로 컴포넌트간 관계, 워크플로우 설계, 접근 정책이 포함됨(NIST SP 800-207, ’20년)
(3) 제로트러스트? 악의적인 상대에 의해 지속적으로 노출되고 잠재적으로 침해될 수 있는 시스템의 구성요소, 서비스 및 사용자를 다루는 일련의 원칙(MIT 링컨 연구소, ’22년)

 

4. What are the Zero Trust principles? - 제로트러스트 원칙은 무엇인가?

(1) 인증 체계 강화 (기본철학 중 1,2,3,6)

∙ 각종 리소스 접근 주체에 대한 신뢰도(사용하는 단말, 자산 상태, 환경 요소, 접근 위치 등을 판단)를 핵심요소로 설정하여 인증 정책 수립

※ 기업 내 사용자에 대한 여러 아이디를 허용하여 일관된 정책을 적용하지 않거나, 신뢰도 판단없이 단일 인증 방식만으로 접속을 허용할 경우 크리덴셜 스터핑에 취약

 

(2) 마이크로 세그멘테이션 (기본철학 중 2,4,5)

∙ 보안 게이트웨이를 통해 보호되는 단독 네트워크 구역(segment)에 개별 자원(자원그룹)을 배치하고, 각종 접근 요청에 대한 지속적인 신뢰 검증 수행

※ 개별 자원별 구역 설정이 없으면, 기업망 내부에 침투한 공격자가 중요 리소스로 이동하기 쉬워 횡적이동 공격 성공 가능성이 높아짐

 

(3) 소프트웨어 정의 경계 (기본철학 중 1,2,5)

∙ 소프트웨어 정의 경계 기법을 활용하여 정책 엔진 결정에 따르는 네트워크 동적 구성, 사용자 ∙ 단말 신뢰 확보 후 자원 접근을 위한 데이터 채널 형성

※ 클라우드 온프레미스로 구성된 기업 네트워크 내부에서 단말이 임의 데이터를 전송할 수 있다면, 네트워크 및 호스트 취약성에 따르는 피해 가능성이 커짐

 

 

cf) file:///C:/Users/user/Downloads/%EB%B3%B4%EC%95%88%EA%B4%80%EC%A0%9C%EC%99%80-%EB%84%A4%ED%8A%B8%EC%9B%8C%ED%81%AC-%EB%B3%B4%EC%95%88-%EC%9E%A5%EB%B9%84-scorm12-9BDOq2wE/scormcontent/index.html#/

 

Week 4 

※ 수업 내용 정리

 

1. 악성코드 정의

  악성코드는 악의적인 목적을 위해 작성된 실행 가능한 코드로써 컴퓨터에 악영향을 끼칠 수 있는 모든 소프트웨어의 총칭이다. 초기에는 단순한 컴퓨터 바이러스만이 활동하였으나, 1990년대 말 들어서 감염 방법과 증상들이 다양해지면서 자기 복제 능력과 감염 대상 유무에 따라 바이러스, 웜, 트로이목마 등으로 분류하기 시작했다.

  악성코드는 웹페이지 검색, P2P 서비스 이용, 불법복제 프로그램 사용, 전자우편 또는 메신저의 첨부파일 열람 등 다양한 경로를 통해서 침투하여 감염 시 과도한 네트워크 트래픽을 유발 발생시키거나, 시스템 성능 저하, 파일 삭제, 메일 자동발송, 개인정보 유출, 원격제어 등의 악의적인 기능을 수행한다.

 

가. 바이러스

정상적인 파일이나 부트영역에 사용자 몰래 자신의 코드를 삽입하거나 감염시켜 활동하는 프로그램을 말한다. 시스템을 파괴하거나 작업을 지연 또는 방해하며, 생물학적인 바이러스처럼 다른 파일에 기생하기 때문에 바이러스라는 용어를 사용한다.

 

나. 웜

컴퓨터 바이러스와 마찬가지로 자기복제성을 가지고 있는 프로그램이지만, 바이러스가 숙주를 필요로 하는 것과 달리 독립적으로 존재하며, 주로 시스템을 감염시켜 사용자가 해당 프로그램을 실행하지 않아도 스스로 실행되며, 사용자 PC에 존재하는 취약점을 찾아 네트워크를 통해 스스로 전파되면서 확산된다.

 

다. 조크

악의적인 목적이 없이 사용자의 심리적인 동요나 불안을 조장하는 가짜 컴퓨터 바이러스 또는 프로그램으로 물질적인 피해는 없으나 백신에서 진단/삭제한다. 대표적으로 하드 디스크를 포맷하는 화면을 보여주는 Winjoke/Format Game이나 공포스런 얼굴을 작업 중에 갑자기 나타나게 하여 놀라게 하는 고스트(Win-joke/Ghost) 등이 있다.

 

라. 트로이목마

정상적인 프로그램으로 가장하여 사용자가 프로그램을 실행하도록 속인 후에 자료 삭제, 정보 탈취 등 사이버 테러를 목적으로 사용되는 프로그램을 말한다. 바이러스와 달리 다른 파일을 감염시키지 않는다.

 

마. 애드웨어

애드(advertisement)와 소프트웨어(software)의 합성어로, 광고를 목적으로 제작된 소프트웨어를 의미한다. 컴퓨터 사용 시 자동적으로 광고가 표시되게 하거나 사용자가 광고 페이지로 접속하도록 유도하는 악성코드를 말한다.

 

바. 스파이웨어

광고의 목적보다는 사용자의 인터넷 접속 정보 등을 수집하기 위해서 제작된 소프트웨어를 의미한다. 애드웨어와 혼용되어 사용되지만, 스파이웨어는 애드웨어와 다르게 사용자의 개인 정보 등을 외부로 유출시키는 특징을 갖는다.

유해 프로그램은 물질적, 정신적 피해는 없으나 사회 정의에 반하는 프로그램 중 트로이 목마와 조크로 분류하기 어려움이 있는 경우로 주민등록번호 생성기, 신용카드 번호생성기 등과 같이 악의적으로 이용될 경우 다른 사람의 프라이버시를 침해하여 사회적으로 문제를 야기할 수 있어 백신에서는 진단하여 삭제 처리한다.

 

사. 드롭퍼

컴퓨터 사용자가 인지하지 못하는 순간에 바이러스 혹은 트로이 목마 프로그램을 사용자의 컴퓨터에 설치하는 프로그램을 말한다. Dropper는 자기 자신을 복제하는 기능은 없지만 컴퓨터 바이러스를 전파시킬 수 있다는 위험이 있다.

 

<표> 악성코드 종류별 특징 분석

종류/특성	주요목적	감염대상	자기복제	존재형태	대책
바이러스	데이터손실 (삭제, 손상)	파일/부트	O	기생, 겹침, 독립	치료 (복원, 복구)
웜	급속확산	X	O	독립	삭제, 차단 (방화벽)
트로이목마	데이터손실 정보유출	X	X	독립	삭제
스파이웨어 (애드웨어)	사용불편 심리적불안	X	X	독립	삭제 (수동, 백신)
백도어	정보유출	X	X	독립	삭제
혹스/조크	심리적거부 심리적불안	X	X	독립	삭제, 무시

 

2. 네트워크형 악성코드

 

가. 네트워크형 악성코드 개요

네트워크형 악성코드는 일반적으로 윈도우를 기반으로 하는 시스템의 취약점을 탐색, 감염시키며 보통 네트워크 및 메일에 의해 전파된다. 이 과정에서 과다한 트래픽을 발생시켜 네트워크 장애를 유발시키거나 시스템을 오동작 시킨다. 최초로 발견된 윈도우 기반의 인터넷 악성코드인 I-Worm/Hayppy99는 WINSOCK 32.DLL.을 변형해서 메일을 보낼 때, 악성코드 파일을 첨부하는 형태를 취했으며, 이는 WINSOCK32.DLL이 윈도우에서 인터넷과 관련된 일을 할 때 사용된다는 특성을 이용한 것이다.

이후 나타난 많은 유사 악성코드들은 오피스 아웃룩이나 아웃룩 익스프레스에 한정되고, 메일 클라이언트와 상관없이 전파된다는 특성으로 엄청난 전파력을 갖지만 제작이 어렵다는 단점을 가지고 있다. 현재 오피스 아웃룩과 아웃룩 익스프레스는 윈도우 사용자들이 가장 많이 사용하고 있는 메일 클라이언트 프로그램으로 MAPI라는 메일 관련 기능을 지원하고 일반 애플리키에션, MS 오피스, VB 스크립트 등 다양한 프로그램에서 사용할 수 있다. 사용자가 많고 기능이 편리하기 때문에 악성 코드 제작자의 주요 타겟이 되고 있다.

 

나. 네트워크형 악성코드 감염 탐지

네트워크형 악성코드에 감염된 시스템은 주로 다량의 트래픽을 발생시키거나, 시스템의 성능을 저하시키는 현상이 발생하며 주로 TCP 135.137.139.445.1433.3389.4899 등의 포트로 감염 및 전파시키는 특징을 가지고 있다.

방화벽이나 침입탐지시스템에서는 동일한 네트워크 대역이나 다른 네트워크 대역으로 동일한 포트에 대해서 스캐닝 공격이 있을 때에 탐지가 가능하다.

 

다. IRC 관련 웜

(1) 개요

IRC를 이용한 웜은 특정 IRC 서버를 통해 임의의 공격파일을 클라이언트 사용자 PC로 다운로드하여 임의의 명령 및 서비스 거부 공격을 시도한다.

 

(2) 전파 경로

IRC 웜은 넷바이오스, RPC 취약점, 널 세션을 이용한 패스워드 취약성 등 다양한 전파경로를 이용하여 확산된다.

 

(3) 악성코드로 인한 영향

해당 웜에 감염되었을 경우 해당 네트워크에 다량의 트래픽을 발생시켜 네트워크의 성능을 저하시키거나 네트워크 통신이 중단될 수 있다. 

 

(4) 동작 원리

1. IRC 서버와 채널 형성(TCP 5232)

2. IRC 서버 접속 (sky3.exe 실행)

3. 파일 다운로드

4. 공격 명령

5. 공격 수행

6. 공격 및 전파 수행

 

(5) 대책 방안

해당 웜이 이용하는 넷바이오스와 TCP 135번 포트를 차단함으로써 IRC를 이용한 공격을 예방하고 웜의 전파에 이용되는 경로를 차단한다.

 

라. Bropia 웜

(1) 개요

MSN 메신저로 전파되는 웜으로써 실행 시 C: 루트에 자신의 복사본을 생성하고 윈도우 시스템 폴더에 악성 IRCBot 웜을 생성한다.

 

(2) 전파 경로

MSN 메신저를 통한 전파

 

(3) 악성코드로 인한 영향

시스템의 서비스 장애를 유발하고 비인가자의 관리자 권한 획득이 가능하다.

 

(4) 동작 원리

1. 백도어 및 악성 팡리설치

2. 대화 상대 리스트 수집 후 공격 실행

3. 악성파일이나 악성 프로그램이 링크된 URL 전송

4. 숙주 시스템 백도어 및 악성파일 설치

5. 악성파일 전송을 수락하거나 악성 프로그램이 링크된 URL 클릭, 대화 상대 리스트 수집 후 공격 실행

 

(5) 대책 방안

MSN을 이용해 전파되는 웜이므로 MSN에서 사용되는 TCP 1863.6891 ~ 6900번 포트를 방화벽에서 차단한다.

 

마. Sasser 웜

(1) 개요

MS04-011 취약점을 이용해 전파되는 웜으로 감염된 시스템은 윈도우 폴더에 avserve.exe 파일과 윈도우 시스템 폴더에 숫자_up.exe 파일을 생성한다.

 

(2) 전파 경로

LSASS 취약점을(LSASS Vulnerability - MS04 - 011) 이용한 전파

 

(3) 악성코드로 인한 영향

CPU의 점유율이 100%까지 증가하여 PC의 속도를 저하시키고 시스템을 자동 종료시킨다.

 

(4) 동작 원리

1. 취약점 공격 통한 시스템 권한 획득 (TCP 445)

2. 공격 PC FIP 서버로 접속하도록 명령 코드 전송 (Port 9996)

3. 피해 PC가 FIP 접속 (Port 5554)

4. 공격 PC가 FTP 통한 웜파일 전송 (Port는 FTP 접속시의 소스 Port+1)

 

(5) 대책 방안

취약점에 대한 업데이트를 진행한다.

 

바. Welchia 웜

(1) 개요

WebDAV 취약점 및 RPC 취약점을 이용하여 전파되며 감염 시 Blaster 웜 파일이 존재하면 삭제를 하고 RPC DCOM에 대한 패치를 수행한다.

 

(2) 전파 경로

WebDAV(TCP 80)의 취약점과 IRC(TCP 135)를 이용하여 전파한다.

 

(3) 악성코드로 인한 영향

해당 우머에 감염되었을 경우 해당 네트워크에 다량의 트래픽을 발생시켜 네트워크의 성능을 저하시키거나 네트워크 통신이 중단될 수 있다.

 

(4) 대책 방안취약점에 대한 업데이트를 진행하고 방화벽에서 TCP 135, 445번 포트를 차단한다.

 

사. Blast 웜

(1) 개요

RPC 취약점을 이용하여 전파되며 감염 시 외부에서 접속이 가능한 백도어(TCP 4444) 설치 및 재감염을 위한 네트워크 스캐닝으로 인해 서비스 거부공격이 발생한다.

 

(2) 전파 경로

RPC 취약점(TCP 135), 넷바이오스, 백도어(TCP 4444)를 이용하여 전파한다.

 

(3) 악성코드로 인한 영향

해당 웜에 감염되었을 경우 해당 네트워크에 다량의 트래픽을 발생시켜 네트워크의 성능을 저하시키거나 네트워크 통신이 중단될 수 있다.

 

(4) 동작 원리

1. 최초 TCP/135 스캔

2. 취약시스템 탐지 및 공격 시도

3. 대상 시스템 쉘 획득 및 TFTP 서버 설치

4. 대상시스템에 공격파일 전송 및 백도어 설치

5. 공격 대상 선정 TCP/135 스캔시도

 

(5) 대책 방안

취약점에 대한 업데이트를 진행하고 방화벽에서 TCP 135, 445번 포트 그리고 백도어 포트 TCP 4444 포트를 차단한다.

 

아. NetSky 웜

(1) 개요

메일과 네트워크 드라이브, P2P 응용프로그램 등으로 전파되며 Mydoom, Bagle 등 다른 웜을 치료한다.

 

(2) 전파 경로

첨부파일 실행 시 새로운 감염파일이 윈도우 폴더에 생성되고 레지스트리에 등록되고 NetBIOS 세션 연결을 통해 전파된다.

 

(3) 악성코드로 인한 영향

웜 확산을 위해 많은 NetBIOS 세션이 열려 네트워크 트래픽이 증가하여 PC의 성능이 저하된다.

 

(4) 대책 방안

메일이 불필요한 기업이 경우 방화벽에서 TCP 25번 포트를 차단하거나 P2P 포트를 차단하고 함부로 메일을 열람하거나 미리보기 기능을 해제하도록 직원들을 교육한다.

 

 

 

 

Week 4 Assignments - 4주차 과제

1. The functions of a Trojan horse are not? - 트로이목마의 기능이 아닌것은?
➀ Remote control ➁ Intercept passwords ➂ Destroy system files ➃ Propagate malware
➀ 원격조정 ➁ 패스워드 가로채기 ➂ 시스템 파일 파괴 ➃ 악성코드 전파

 

A.  ➃ 악성코드 전파

2. Which of the following processes (services) is usually used by a virus or worm? - 다음 중 바이러스나 웜에 감염되면 주로 사용하는 프로세스(서비스)명은 무엇인가?
➀ winlogin.exe ➁ svchost.exe ➂ services.exe ➃ system.exe

 

A.  ➁ svchost.exe

3. Which malware replicates itself over a network? - 네트워크를 통해 자신을 복제하는 악성코드는? 
➀ worm - 웜
➁ virus - 바이러스
➂ Spyware - 스파이웨어
➃ backdoor - 백도어

 

A.  ➀ worm

 

4. Malware that executes itself or a variant of itself? - 자신 또는 자신의 변형 코드를 실행하는 악성코드? 
➀ Worm
➁ Virus 
➂ Spyware 
➃ Backdoors 

 

A.  ➁ Virus

5. Potentially harmful malware that has the potential to invade privacy? - 사생활 침해 가능성이 있는 유해 가능 악성코드? 
➀ Worm
➁ Virus
➂ Spyware
➃ Backdoors

 

A.  ➂ Spyware

6. Malware with keylogging capabilities? - 키로그 기능이 있는 악성코드? 
➀ Worm
➁ Virus
➂ Spyware
➃ Backdoor

 

A.  ➃ Backdoor

7. Which of the following views of malware is treated differently? - 다음 보기 중 악성코드의 치료 방법이 다른 것은? 
➀ worms
➁ viruses
➂ Spyware
➃ Backdoors

 

A.  ➁ viruses

 

Week 5 Assignments - 5주차 과제

1. what is the order of the cyber threat alert steps? - 사이버 위기 경보 단계를 순서대로 작성하세요.

 

정상 → 관심 → 주의 → 경계  → 심각

 

- 심각

∙ '경계' 경보 조치 지속 시행

∙ 국가차원의 즉각 대응 태세 돌입

∙ 정부 합동조사 및 복구 지원팀 가동

 

- 경계

∙ '주의' 경보 조치 지속 수행

∙ 국가사이버안보센터는 비상 대응 체계 가동

∙ 각급기관은 긴급 대응반 가동

 

- 주의

∙ '관심' 경보 조치 지속 수행

∙ 분야별 사이버안전 유관기관 및 보안업체와 공조 체계 확인

∙ 각급기관은 긴급 대응반 가동 준비 (필요시 소집)

 

- 관심

∙ 국가사이버안보센터의 보안권고문 등 보안조치 이행

∙ 이상 징후 탐지 시 초동 대처 후 국가사이버안보센터에 통보

∙ 사고발생 대비 긴급 대응반 연락체계 확인

∙ 사이버공격 여부 감시 강화

 

※ 정상 ∙ 국가사이버안보센터 홈페이지 및 정보공유 시스템의 최신 정보 지속 확인

∙ 보안취약점 발굴 및 유관기관간 공유체계 활성화

∙ '국가사이버안전매뉴얼'에 의거 정기적 점검 실시

∙ 사고발생 대비 긴급 대응반 구성

∙ 사이버안전 모의훈련 실시 및 취약점 개선 ∙ 보안

∙ 사이버안전 교육 및 훈련 실시

 

2. Which of the following is incorrect as a response tip for each level of cyber threat alert? - 다음 중 사이버 위기 경보 수준별 대응 요령으로 잘못된 것은?

 

A. Implement security measures based on security advisories from the NCSC - 국가사이버안보센터의 보안권고문 보안조치 이행 → 관심단계 대응요령

 

B. Notify the NCSC when an anomaly is detected - 이상 징후 탐지시 국가사이버안보센터 통보 → 관심단계 대응요령

 

C. Strengthen monitoring for cyberattacks - 사이버공격 여부 감시 강화

 

D. Launching a national immediate response posture - 국가차원의 즉각 대응 태세 돌입 → 국가사이버안보센터의 즉각 대응 태세 돌입 (심각단계 대응요령)

 

답: D. Launching a national immediate response posture

 

3. Which of the following is a big data-level, long-time, deep analysis cybersecurity control technology? - 다음 중 빅테이터 수준의 장시간 심층분석 사이버보안관제 기술은 무엇인가?

 

A. IDS

 

B. ESM (Enterprise Security Management) → 이벤트 위주의 단시간 위협분석, DBMS 기반

 

C. SIEM (Security Information and Event Management) → 빅데이터 수준, 장시간 심층 분석 Indexing 기

 

D. SOAR

 

답: C. SIEM

 

4. Which of the following is a standard for representing cyber threats such as attack patterns and IP information? - 다음 중 공격패턴, IP정보 등 사이버 위협 표현 규격인 것은 무엇인가?

 

A. CTI (Cyber Threat Intelligence)

 

B. CSA

 

C. STIX (Structured Threat Information Expression)

 

D. TAXII (Trusted Automated Exchange of Indicator)

 

답: C. STIX

 

5. Which layer in the OSI 7 Layer is related to security? - OSI 7 Layer에서 보안과 관련한 계층은 무엇인가?

 

답: 6계층(표현계층)

 

Week 6

1. 회사 외부에서 인터넷을 통해 내부 시스템에 접근할 경우 보안상 문제가 발생할 수 있다. (VPN)을 사용하면 중간에 스니핑 당할 위험 없이 안전하게 회사 내부 시스템에 접속하여 업무를 처리할 수 있다.

(VPN)은 방화벽, 침입탐지 시스템과 함게 가장 일반적인 보안 솔루션 중 하나이다.

 

2. 피싱 메일 예방에 대한 설명

∙ (첨부파일) 클릭 시 파일이 바로 다운로드 되지 않고 계정입력 등을 요구할 경우 주의

∙ 첨부 파일의 연결 링크가 외부사이트가 아닌 (정상 사이트)인지 확인

∙ PDF (악성코드)로 자주 사용되는 한글 오피스 문서 등에 대한 최신 버전 업데이트 필요

 

3. 엔드포인트의 이벤트와 행위를 기록하고, 수집된 데이터를 기반으로 다양한 기술을 통해 공격을 탐지하고 대응하는 솔루션으로써, 클라이언트에 설치되어 알려지지 않은 위협 또는 특정한 행동이나 이상징후가 보이면 바로 탐지하고 대응할 수 있는 차세대 시스템 보안 기술은?

 

답: EDR(Endpoint Detection & Response) 또는 차세대 엔드포인트 위협 탐지 및 대응 시스템

 

4. IDS, 방화벽, VPN 등 서로 다른 보안제품에서 발생하는 정보를 한곳에서 쉽게 관리할 수 있는 보안 관리시스템을 무엇이라 하는가?

 

답: ESM(Enterprise Security Management) 또는 통합보안관리

 

5. IDS, 방화벽, VPN 등 서로 다른 보안제품에서 발생하는 정보를 한곳에서 쉽게 관리할 수 있는 보안 관리시스템인 ESM은 Agent Part와 Manager Part 그리고 Console Part로 나눌 수 있다. 이 세 가지의 Part 중, 보안장비에 탑재되어 수집된 데이터를 Manager 서버에 전달하는 역할을 하는 파트는?

 

답: Agent Part

 

6. (CTI, Cyber Threat Intelligence)는 지능형 사이버위협에 대응하기 위하여 특정 그룹, 집단내의 모든 위협 정보를 수집하고 분석한 다음 여기서 얻은 지식을 활용해 사이버위협에 대응하는 것을 말한다. 위협정보의 통합화, 협력화, 개방적 공유를 통해 지능적으로 변하는 사이버위협에 대응하는 것이 목표이다.

 

7. 2013년 10월 MITRE에서 발표한 오픈소스로써, 다양한 사이버위협정보를 공유할시 전송할 수 있는 표준 규격인 (TAXII, Trusted Automated Exchange of Indicator)는 간단하고 확장가능한 방식으로 통신하기 위한 응용프로그램 계층의 프로토콜이다.

 

8. 보안사고 유형에 대한 설명

(랜섬웨어, Ransomware): 인터넷 사용자의 컴퓨터에 잠입해 내부 문서나 스프레드시트, 그림 파일 등을 암호화하여 열지 못하도록 만들고 해독용 열쇠 프로그램을 전송을 미끼로 금품을 요구하는데 사용되는 악성코드

(크립토재킹, Cryptojacking): 암호화폐와 납치의 합성어로, 해커가 몰래 사용자의 PC를 암호화폐 채굴 용도로 활용하는 사이버 범죄

(스피어피싱, spear phishing): 물고기를 잡는 방법 중에 작살 낚시에 의미를 가지며 특성한 개인들이나 회사를 대상으로 정보를 수집하고 이메일이나 SNS를 통한 사기 범죄

 

9. 위험 관리에 관한 설명

(자산): 조직이 보호해야 할 유 ∙ 무형의 대상으로 일정한 가치

(위협): 손해를 끼칠 수 있는 사건의 잠재적 원인으로 자연재해와 같은 환경요인 및 사람에 의한 우연적 ∙ 의도적 요인

(취약점): 해킹 등 외부 공격이나 내부 정보유출 등으로 보안사고를 발생시킬 수 있는 보안의 헛점

 

10. 사이버위기 경보 단계별 명칭

정상 → (관심) → (주의) → (경계) → 심각

 

11. 사이버 침해 대응절차

1. 침해사고의 인식 및 신고 → 2. 긴급조치 → 3. 분석 → 4. 재발방지 조치 → 5. 보고서 작성

 

12. 정보보호 시스템

(침입탐지시스템, IDS)는 대상 시스템에 대한 인가되지 않은 행위와 비정상적인 행동을 탐지하고, 탐지된 불법 행위를 구별하여 실시간 침입을 탐지하는 긴으을 가진 보안시스템이다. 침입 탐지 기법은 크게 두 가지 기법으로 나뉜다.

(오용탐지/악용탐지) 기법은 이미 발견되고 정립된 공격 패턴을 미리 입력해두었다가 이에 해당하는 패턴이 탐지되면 알려주는 방법이다.

(이상탐지/변칙탐지/비정상탐지) 기법은 정상적이고 평균적인 상태를 기준으로 하여, 이에 상대적으로 급격한 변화를 일으키거나 확률이 낮은 일이 발생하면 침입 탐지를 알리는 방법이다.