Windows에서 보안 주체(사용자, 그룹)는 S-1-<기관>-<도메인>-<RID> 형식의 보안 식별자(SID)로 식별됩니다. RID(상대 식별자)는 도메인이나 컴퓨터 내에서 고유한 최종 구성 요소입니다. 로컬 계정의 경우: RID 500: 모든 Windows 컴퓨터의 기본 제공 관리자 계정에 할당됨(예: S-1-5-21-<컴퓨터>-500). OS 설치 중에 생성되며 전체 시스템 권한이 부여됩니다. 최신 Windows 버전(예: 10/11)에서는 명시적으로 활성화하지 않는 한 기본적으로 비활성화됩니다. RID 501: 게스트 계정(예: S-1-5-21-<머신>-501), 제한된 액세스. 기술적 세부 사항: SAM(C:\Windows\System32\config\SAM)에 저장됩니다. 열거형: wmic useraccount나 net user와 같은 도구는 RID를 보여줍니다. 도메인 컨텍스트: 도메인 관리자는 RID 512를 사용하지만, 질문에서는 로컬 컴퓨터를 지정하고 있습니다. 보안 문제: RID 500은 무차별 대입 공격이나 해시 전달 공격(예: Mimikatz)의 주요 표적입니다. CNSP는 RID 500의 이름을 변경하거나 비활성화할 것을 권고할 가능성이 높습니다(예: GPO를 통해). 다른 옵션이 잘못된 이유: A . 0: 예약됨(예: Null SID, S-1-0-0), 사용자 RID가 아닙니다. C . 501: 관리자가 아닌 게스트입니다. D . 100: 유효하지 않음. 로컬 사용자 RID는 1000부터 시작합니다(예: 사용자 지정 계정). 실제 상황: 침해 후 공격자는 권한 상승을 위해 RID 500(예: 네트워크 사용자 관리자)을 쿼리합니다.
CNSP 문제 17
Microsoft Windows 운영 체제에서 다음 명령은 무엇을 하나요? 넷 로컬 그룹 관리자
정답: B
Windows의 net 명령은 사용자, 그룹 및 네트워크 리소스를 관리하는 기존 도구입니다. 하위 명령인 net localgroup <그룹 이름>은 해당 명령이 실행되는 컴퓨터의 지정된 로컬 그룹에 대한 정보를 표시합니다. 구체적으로는 다음과 같습니다. net localgroup administrators는 현재 컴퓨터의 로컬 관리자 그룹에 속한 모든 구성원(사용자 및 그룹)을 나열합니다. 로컬 관리자 그룹은 해당 컴퓨터에만 상승된 권한(예: 소프트웨어 설치, 시스템 파일 수정)을 부여하며, 도메인 전체에는 부여하지 않습니다. 출력 예: 별칭 이름 관리자 댓글 관리자는 회원의 컴퓨터에 대한 완전하고 제한 없는 접근 권한을 갖습니다. ------------------------------------------------------------------------------- 관리자 도메인 관리자 명령이 성공적으로 완료되었습니다. 기술적 세부 사항: 로컬 그룹은 보안 계정 관리자(SAM) 데이터베이스(예: C:\Windows\System32\config\SAM)에 저장됩니다. 이는 Active Directory를 통해 관리되는 도메인 그룹(예: 도메인 관리자)과 다릅니다. 보안 관련 시사점: 로컬 관리자를 열거하는 것은 침투 테스트의 정찰 단계입니다(예: 권한 상승). CNSP는 Windows 시스템 감사 및 보안을 위해 이 명령을 다룰 가능성이 높습니다. 다른 옵션이 잘못된 이유: A. 현재 도메인의 도메인 관리자 사용자를 나열합니다. 이 작업에는 로컬 SAM이 아닌 도메인 컨트롤러를 쿼리하는 net 그룹 "Domain Admins" /domain이 필요합니다. net localgroup은 엄격하게 로컬입니다. 실제 상황: 공격자는 침해 후(예: PsExec를 통해) 이 명령을 사용하여 권한 상승 대상을 식별합니다.
CNSP 문제 18
권한 부여 및 인증에 관한 다음 진술 중 어느 것이 사실입니까?
정답: A
인증 및 권한 부여(종종 AuthN 및 AuthZ로 약칭)는 네트워크 보안에서 액세스 제어의 기본 요소입니다. 인증(AuthN): 신뢰할 수 있는 출처에서 자격 증명을 검증하여 "본인"을 확인합니다. 비밀번호, MFA(다중 요소 인증), 인증서 또는 생체 인식 등이 여기에 해당합니다. 일반적으로 Kerberos 또는 LDAP와 같은 프로토콜을 통해 사용자, 기기 등의 주체가 합법적인지 확인합니다. 권한 부여(AuthZ): 인증 후 "무엇을 할 수 있는지"를 결정하고 리소스 접근 정책(예: 읽기/쓰기 권한, API 호출)을 적용합니다. 액세스 제어 목록(ACL), 역할 기반 접근 제어(RBAC), 속성 기반 접근 제어(ABAC)와 같은 메커니즘을 사용합니다. 옵션 A는 다음 역할을 올바르게 구분합니다. 권한 부여는 액세스 결정을 관리합니다(예: "사용자 X가 파일 Y를 읽을 수 있습니까?"). 인증은 신원을 확립합니다(예: "이 사용자가 X입니까?"). 실제로 이러한 프로세스는 순차적입니다. AuthN이 AuthZ보다 먼저 진행됩니다. 예를 들어, VPN에 로그인하면 사용자 이름/비밀번호 등을 통해 신원을 인증한 다음, 역할에 따라 특정 서브넷에 대한 액세스를 승인합니다. CNSP는 보안 시스템 설계 시 이러한 구분을 강조할 가능성이 높습니다. 이 두 가지를 혼합하면 권한 상승이나 신원 스푸핑 취약점이 발생할 위험이 있기 때문입니다. 다른 옵션이 잘못된 이유: B: 정의를 반대로 적용합니다. 인증은 접근을 허용/거부하지 않고(AuthZ), 권한 부여는 신원을 검증하지 않습니다(AuthN). 이러한 혼동은 보안 모델에 결함을 초래할 수 있습니다. C: AuthN과 AuthZ를 잘못 동일시하고 AuthN에 접근 규칙을 부여합니다. 이 둘은 별개의 프로세스이므로, 동일한 것으로 취급하면 세부적인 제어가 어려워집니다. (예: NIST SP 800-53은 AuthN을 IA-2로, AuthZ를 AC-3으로 구분합니다.) D: AuthN에 액세스 제어를 잘못 할당하고 상호 운용되지 않는다고 주장하는데, 이는 사실이 아닙니다. AuthN과 AuthN은 모든 최신 시스템(예: SSO 및 RBAC)에서 함께 작동합니다. 이로 인해 감사가 불가능해져 보안 모범 사례에 위배됩니다. 실제 상황: 웹 서버(예: Apache)는 HTTP 기본 인증을 통해 인증한 다음 .htaccess 규칙을 통해 권한을 부여합니다. 이는 두 가지 별도의 단계입니다.
CNSP 문제 19
Linux 기반 아키텍처에서 /mnt 디렉토리에는 무엇이 들어있나요?
정답: A
Linux 파일 시스템 계층 표준(FHS)은 FHS 3.0에 따라 디렉토리 목적을 정의합니다. /mnt: 일반적으로 시스템 관리자가 임시로 마운트하는 파일 시스템에 지정됩니다. 사용: 이동식 미디어(예: USB 드라이브: mount /dev/sdb1 /mnt/usb) 또는 네트워크 공유(예: NFS)의 마운트 지점입니다. 특성: 일시적이며 사용자가 관리하며 재부팅 시 지속되지 않습니다(/etc/fstab 마운트와 달리). 차이: /media: 이동식 장치(예: GNOME과 같은 데스크톱 환경)를 자동으로 마운트합니다. /mnt 대 /media: /mnt는 수동이고, /media는 시스템 구동입니다. 기술적 세부 사항: 기본적으로 비어 있습니다. 필요에 따라 하위 디렉토리(예: /mnt/usb)가 생성됩니다. 권한: 일반적으로 루트 소유(0755), 마운트를 위해 sudo가 필요합니다. 보안 문제: 잘못 구성된 /mnt 마운트(예: 전체 쓰기 가능)는 무단 접근 위험을 초래합니다. CNSP에서 마운트 보안(예: nosuid 옵션)을 다룰 가능성이 높습니다. 다른 옵션이 잘못된 이유: B. 시스템 구성/초기화 스크립트: /etc에 있습니다(예: /etc/passwd, /etc/init.d). C. 드라이버 모듈: /lib/modules/<커널 버전>에 위치합니다. D. 커널 상태: /proc에 상주합니다(예: /proc/cpuinfo). 실제 상황: 관리자는 서버 프로비저닝 중에 ISO를 /mnt에 마운트합니다(예: mount -o loop image.iso /mnt).
CNSP 문제 20
Linux 기반 아키텍처에서 "Dotfiles"는 어떤 종류의 파일인가요?
정답: D
Linux에서는 파일 가시성이 명명 규칙에 따라 결정되며, 이는 파일 시스템에서 파일이 나열되거나 액세스되는 방식에 영향을 미칩니다. D가 맞는 이유: "Dotfiles"는 이름이 점으로 시작하는 파일 또는 디렉터리(예: .bashrc)로, 디렉터리 목록에서 기본적으로 숨겨져 있습니다(예: ls 명령에서 -a 옵션을 사용해야 표시됨). CNSP의 Linux 보안 개요에 따르면, 일반적으로 사용자 설정에 사용됩니다. 다른 옵션이 잘못된 이유: A: 라이브러리 파일(예: /lib)은 본질적으로 숨겨져 있지 않습니다. B: 드라이버 파일(예: /lib/modules의 커널 모듈)은 관례상 dotfile이 아닙니다. C: 시스템 파일은 숨겨져 있을 수도 있고 숨겨지지 않을 수도 있습니다. "dotfiles"는 특별히 숨겨진 상태를 나타냅니다.
