[내부평가] 암호화 , 시큐어코딩:소프트웨어 개발 보안 구축

이번 내부평가는 시큐어코딩-구현이다.

시큐어코딩·구현 : SW 개발 보안 구축 2001020611_19v5

 

위의 자료를 찾는 방법은 아래와 같다.

https://www.ncs.go.kr/unity/th03/ncsSearchMain.do

에 접속하여 코드검색 -> 2001020611를 순서대로 입력하여 나온 모듈 중 하나를 선택하고, 페이지 하단의 pdf 파일을 내려받는다.

 

위의 방법으로 pdf 자료를 찾기 힘들다면 아래의 포스팅에 나온 방법을 참고하자.

https://iworldt.tistory.com/32

[NCS]국가직무능력표준이란? 일학습병행제 NCS

 

 

그러나 이번 내부평가도 이전 내부평가와 같이 자료에서 문제가 출제되지 않았다.

바로 출제문제 풀이로 들어가보도록 하자!

 

 출제문제 

 

1. 아래 그림은 방화벽에서 열려 있는 포트(port)를 스캔하기 위한 Firewalk Tool의 동작 과정을 보여 주고 있다. Firewalk의 동작 원리를 간단히 설명하고 application proxy에서는 동작하지 않는 이유를 설명하라.

 

 답안 작성 가이드

Firewalk란?

추적 경로 기술과 TTL(Time to Live) 값을 이용하여 IP 패킷 응답을 분석하는 기술이다.

이미지의 Trudy는 패킷을 보내면서 열린 포트를 찾으려고 한다. 원래는 TTL 값을 변경하며 방화벽을 탐지한다. 여기서는 열린 포트를 찾기 위함이므로 포트 값을 변경시키면서 패킷을 지속적으로 보낸다. 

방화벽이 탐지되면 패킷이 차단되어 값이 돌아오지 않지만, 포트가 열려있어 패킷이 통과한다면 다음 라우터에서 Time exceeded라는 메시지를 보내준다. 이 때의 포트를 이용하여 열린 포트를 추측해내는 것이다.

 

그러나 Application proxy는 서버-클라이언트 사이에 위치한 매개체로, 둘 사이의 직접적 연결을 막거나 서버인척 하며 공격을 대신 받아주기 때문에 Firewalk와 같은 기술이 통하지 않는다. 또한 Proxy는 새로운 패킷을 생성해 원래의 TTL 값을 디폴트 값으로 변경 셋팅해주기 때문에 Application proxy 에서는 동작하지 않을 수 밖에 없다.

 

 

 

2. Alice는 신용카드 번호를 공개키 암호 알고리즘으로 암호화하여 Bob에게 전송하려고 한다. 이 때 Alice는 Bob의 인증서가 필요한데, 그 이유를 서술하시오.

 

 답안 작성 가이드

공개키 암호 알고리즘은 공개키를 통해 암호화를 진행하고 개인이 가진 개인키로 복호화를 진행하는 형태이다. 그러므로 Alice는 Bob의 공개키가 필요한데, 그 공개키는 Bob의 인증서에 있으므로 필요한 것이다.

 

 

 

3. 암호학 및 프로토콜에 관련된 다음 설명을 읽고 맞으면 O 틀리면 X로 답하시오.

 

1) 철수의 인증서(certificate)를 소유하고 있는 사람은 철수라고 판단할 수 있다.

  답:O

 

2) 웹 주소로서 shttp://....를 사용하면 SSL을 사용한 안전한 통신이 가능하다.

  답:X

 

3) AES는 대칭키 암호 알고리즘, SHA-1은 해쉬 알고리즘이다.

  답:O

 

4) 네트워크 인증에서 패스워드에 기반한 기법은 재생 공격에 강하다.

  답:O

 

5) 대칭키 암호 알고리즘은 공개키 암호 알고리즘보다 속도가 느리다.

  답:X