이 스크린샷은 네트워크 프로토콜 분석기인 Wireshark에서 캡처된 네트워크 트래픽을 보여줍니다. 관련 열에는 소스 및 목적지 IP 주소, 포트, 프로토콜, 그리고 패킷에 대한 추가 정보가 포함됩니다. 세부 정보를 자세히 살펴보겠습니다. 목적지 포트 분석: 스크린샷에는 목적지 포트가 443인 여러 패킷이 표시됩니다(예: "목적지" 열에 "172.72.61.9:443"과 같은 항목이 있음). 포트 443은 SSL/TLS를 사용하여 암호화된 HTTP 트래픽인 HTTPS(HTTP 보안)의 기본 포트입니다. 이는 애플리케이션이 HTTPS를 통해 통신하고 있음을 나타냅니다. 프로토콜 분석: "프로토콜" 열에는 대부분의 패킷(예: 프레임 번호 2000084, 2000086)에 대해 "TLSv1.2"가 표시됩니다. TLS(전송 계층 보안)는 HTTPS에서 HTTP 통신 보안을 위해 사용하는 암호화 프로토콜입니다. 이는 트래픽이 일반 HTTP가 아닌 HTTPS임을 확인합니다. 패킷 세부 정보: "정보" 열은 TLS 패킷의 경우 "애플리케이션 데이터"와 같은 추가적인 정보를 제공하며, 이는 암호화된 애플리케이션 계층 데이터(HTTPS의 전형적인 특징)를 나타냅니다. HTTP 패킷(예: 프레임 2000088)도 있지만, 이는 HTTPS 세션(예: "HTTP2"로 표시된 TLS를 통한 HTTP/2)의 일부일 가능성이 높습니다. 이제 옵션을 평가해 보겠습니다. 옵션 A: "애플리케이션이 포트 443과 HTTPS 프로토콜에서 실행 중입니다." 맞습니다. 대상 포트 443과 TLSv1.2 사용은 애플리케이션이 HTTPS를 사용하고 있음을 확인합니다. HTTPS는 보안 웹 통신을 위한 표준 프로토콜이며, 포트 443은 HTTPS의 지정 포트입니다. CNSP 문서에서는 포트 443의 HTTPS 트래픽이 민감한 데이터를 처리하는 웹 애플리케이션에 자주 사용되는 보안 애플리케이션 계층 프로토콜임을 강조합니다. 옵션 B: "HTTP 프로토콜을 통해 사용자 인증 정보가 제출되었습니다." 이는 잘못된 설명입니다. HTTP는 일반적으로 포트 80을 사용하지만, 스크린샷에서는 TLS를 사용하는 포트 443의 트래픽이 HTTPS를 통해 전송됨을 보여줍니다. 이 연결을 통해 제출된 사용자 인증 정보는 HTTP를 통해 일반 텍스트로 전송되는 것이 아니라 HTTPS를 통해 암호화됩니다. CNSP는 암호화 부족으로 인해 HTTP 사용자 인증 정보 제출 시 보안 위험이 있다고 강조하지만, 이 경우에는 그렇지 않습니다. 옵션 C: "자격 증명이 HTTPS 프로토콜을 통해 제출되었습니다." 이 문장은 사실일 수 있지만(HTTPS가 사용 중이므로 모든 자격 증명이 안전하게 제출될 가능성이 높음), 질문은 스크린샷을 기반으로 "올바른" 문장을 요구합니다. 스크린샷에는 자격 증명 제출(예: 폼 데이터가 포함된 POST 요청)이 명시적으로 표시되지 않고 프로토콜과 포트만 표시됩니다. 옵션 A는 자격 증명 제출이라는 구체적인 동작이 아닌 애플리케이션의 프로토콜과 포트에 초점을 맞추므로 스크린샷에서 더 직접적으로 뒷받침됩니다. CNSP는 HTTPS가 기밀성을 보장한다고 언급하지만, 이 옵션은 자격 증명에 대한 더 구체적인 증거가 필요합니다. 옵션 D: "애플리케이션이 포트 80과 HTTP 프로토콜에서 실행 중입니다." 이는 잘못된 설명입니다. HTTP의 기본 포트는 포트 80이지만, 스크린샷에는 포트 443과 TLS가 명확하게 표시되어 HTTPS를 나타냅니다. CNSP 문서에서는 HTTP(포트 80, 암호화되지 않음)와 HTTPS(포트 443, 암호화됨)를 구분하여 설명하고 있으므로 이 옵션은 유효하지 않습니다. 결론: 스크린샷에서 직접적으로 뒷받침되는 가장 정확하고 포괄적인 진술은 옵션 A이며, 애플리케이션이 포트 443과 HTTPS를 사용함을 확인합니다. 옵션 C는 더 넓은 맥락에서는 사실일 수 있지만, 캡처된 패킷에서 자격 증명 제출에 대한 명확한 증거가 없다면 덜 확실합니다.
CNSP 문제 7
'EICAR' 파일은 어떤 용도로 사용할 수 있나요?
정답: A
EICAR 테스트 파일은 특정 목적에 맞춰 설계된 보안 테스트의 표준화된 도구입니다. A가 맞는 이유: EICAR 파일(68바이트 문자열)은 바이러스 백신 탐지를 손상 없이 실행하여 대응 능력을 테스트합니다. CNSP는 바이러스 백신 검증을 위해 이 파일을 권장합니다. B가 틀린 이유: 암호화 테스트에는 아무런 역할이 없으며 오로지 AV 기능을 위한 것입니다.
CNSP 문제 8
2017년 5월, 구식 마이크로소프트 운영 체제를 사용하는 컴퓨터를 이용해 전 세계로 확산된 공격인 워너크라이(WannaCry)가 있습니다. 워너크라이는 무엇일까요?
정답: A
워너크라이(WannaCry)는 2017년 5월에 발생한 랜섬웨어 공격으로, 150개국 20만 대 이상의 시스템을 감염시켰습니다. 마이크로소프트 윈도우 SMBv1의 EternalBlue 취약점(MS17-010)을 악용하여 패치되지 않은 시스템(예: 윈도우 XP, 서버 2003)을 표적으로 삼았습니다. NSA가 개발하고 섀도 브로커스(Shadow Brokers)가 유출한 EternalBlue는 원격 코드 실행을 허용했습니다. 랜섬웨어 메커니즘: 암호화: WannaCry는 RSA-2048과 AES-128을 사용하여 파일을 암호화하고 .wcry와 같은 확장자를 붙였습니다. 몸값 요구: 하드코딩된 지갑을 활용해 300~600달러 상당의 비트코인을 요구하는 메시지를 표시했습니다. 웜 확산: 일반적인 랜섬웨어(예: 피싱)와 달리 사용자 상호 작용이 필요하며 내부 및 외부 네트워크를 스캔하여 SMB를 통해 자체 복제됩니다. 맬웨어 맥락: WannaCry는 맬웨어(악성 소프트웨어)이지만, "랜섬웨어"는 바이러스, 트로이 목마, 스파이웨어와 구분되는 정확한 하위 범주입니다. 맬웨어는 모든 유해 코드를 포괄하는 광범위한 용어이며, 랜섬웨어는 특히 데이터를 암호화하여 갈취합니다. CNSP는 WannaCry의 페이로드와 완화책(예: 패치, 백업)에 초점을 맞춰 랜섬웨어로 분류할 가능성이 높습니다. 다른 옵션이 잘못된 이유: B. 악성코드: 정확하지만 지나치게 일반적입니다. WannaCry의 핵심 특징은 단순한 악의성이 아니라 랜섬웨어의 행위입니다. 위협 대응을 위한 보안 분류 체계(예: NIST IR 8019)에서는 구체성이 중요합니다. 실제 상황: 워너크라이는 NHS 병원들을 마비시켜 패치 관리의 중요성을 부각시켰습니다. 킬 스위치(도메인 싱크홀)로 중단되었지만, 변종은 여전히 존재합니다.
CNSP 문제 9
방화벽 뒤에 있는 닫힌 TCP 포트의 응답은 무엇입니까?
정답: D
TCP(전송 제어 프로토콜)는 RFC 793에 따라 3방향 핸드셰이크(SYN, SYN-ACK, ACK)를 사용하여 연결을 설정합니다. 클라이언트가 포트로 SYN 패킷을 보내면: 열린 포트: 서버가 SYN-ACK로 응답합니다. 닫힌 포트(방화벽 없음): 서버는 RST(재설정) 패킷을 전송하는데, 이때 ACK가 함께 전송되는 경우가 많습니다. 그러면 시도가 즉시 종료됩니다. 하지만 방화벽이 있는 경우, 방화벽 구성에 따라 대응 방식이 결정됩니다. 최신 방화벽은 일반적으로 스텔스 모드로 작동하며, 닫힌 포트에 대해 "거부" 규칙 대신 "삭제" 규칙을 사용합니다. 삭제: 응답 없이 패킷을 자동으로 삭제하여 응답이 없습니다. 피드백이 제공되지 않아 클라이언트는 시간 초과(예: 30초)를 경험합니다. 거부: RST 또는 ICMP "포트에 도달할 수 없음"을 전송하지만, 방화벽의 존재를 확인하기 때문에 보안상의 이유로 덜 일반적입니다. 방화벽 뒤의 폐쇄형 TCP 포트의 경우, 보안 설정에서 "응답 없음"(드롭)은 표준 동작으로, 공격자에게 정보 유출을 최소화합니다. 이는 포트 스캐닝(예: Nmap) 중 네트워크 토폴로지를 숨기기 위한 방화벽 모범 사례에 중점을 둔 CNSP의 노력과 일맥상통합니다. 다른 옵션이 잘못된 이유: A. FIN 및 ACK 패킷: FIN-ACK는 닫힌 포트에서 초기 SYN에 응답하는 것이 아니라, 설정된 TCP 연결을 정상적으로(예: 데이터 전송 후) 닫는 데 사용됩니다. B. RST와 ACK 패킷: RST-ACK는 방화벽이 없는 닫힌 포트에 대한 호스트의 응답입니다. 방화벽의 삭제 규칙은 패킷을 자동으로 삭제하여 이를 무시합니다. C. SYN 및 ACK 패킷: SYN-ACK는 닫힌 포트 시나리오와 반대로, 열린 포트가 연결을 수락함을 나타냅니다. 실제 상황: Nmap과 같은 도구는 "응답 없음"을 "필터링됨"(방화벽이 있을 가능성이 높음)이 아닌 "닫힘"(RST 수신됨)으로 해석하여 방화벽 감지에 도움을 줍니다.
CNSP 문제 10
다음 중 SUID 프로그램의 예는 무엇입니까?
정답: C
Linux/Unix에서 SUID(사용자 ID 설정) 비트는 프로그램이 호출자가 아닌 소유자(일반적으로 root)의 권한으로 실행될 수 있도록 합니다. 사용자 실행 필드에 s로 표시됩니다(예: -rwsr-xr-x). 일반적인 SUID 프로그램은 임시 권한 상승이 필요한 권한이 필요한 작업을 수행합니다. 분석: C. /usr/bin/passwd: 목적: /etc/shadow(루트 소유, 0600 perms)에 있는 사용자 비밀번호를 업데이트합니다. 권한: 일반적으로 -rwsr-xr-x이며, 루트 권한이 있어야 합니다. SUID 비트를 사용하면 루트 권한이 없는 사용자도 섀도 파일을 안전하게 수정할 수 있습니다. 명령어: ls -l /usr/bin/passwd는 SUID(사용자 실행 ID)를 확인합니다. A. /bin/ls: 목적: 디렉토리 내용을 나열하는데, 특별한 접근 권한이 필요하지 않습니다. 권한: -rwxr-xr-x (SUID 없음). 호출한 사용자로 실행합니다. B. /usr/bin/curl: 목적: HTTP/FTP를 통해 데이터를 전송하며, 기본적으로 루트 권한이 필요하지 않습니다. 권한: -rwxr-xr-x (SUID 없음). 기술적 세부 사항: SUID 비트: chmod u+s <파일> 또는 chmod 4755를 통해 설정됩니다. 보안: SUID 바이너리는 쓰기 가능하거나 코딩이 불량한 경우(예: 버퍼 오버플로) 확대 위험 때문에 감사합니다(예: find / -perm -u=s). 보안 영향: CNSP는 SUID를 공격 벡터로 강조할 가능성이 높습니다(예: CVE-1996-0095 악용된 비밀번호 취약점). 보안 강화를 통해 불필요한 SUID 비트를 제거합니다. 다른 옵션이 잘못된 이유: A, B: SUID가 없습니다. 권한이 있는 작업이 없습니다. D: 틀렸습니다. /usr/bin/passwd는 SUID의 예입니다. 실제 상황: /bin/su 또는 /usr/bin/sudo의 SUID도 마찬가지로 권한 상승을 가능하게 하며, 이는 종종 악용의 대상이 됩니다.
