정보처리기사 22년 1회 [5과목 정보시스템 구축관리] 기출문제 오답노트

 
 

스니핑 snipping	'코를 킁킁거리다', '냄새를 맡다' 등의 뜻이 있는 단어. 네트워크 상에서 자신이 아닌 다른 상대의 패킷 교환을 엿듣는 것을 의미한다.
스푸핑 spupping	승인받은 사용자인 것처럼 시스템에 접근 → 네트워크 상에서 허가된 주소로 가장, 접근 제어를 우회하는 공격 행위. 이는 의도적인 행위를 위해 타인의 신분으로 위장하는 것 →매체 접근 제어 주소, 인터넷 프로토콜 주소, 전자우편 주소 등을 이용한다
스머핑 smurfing	고성능 컴퓨터를 이용하여 초당 엄청난 양의 접속 신호를 한 사이트에 집중적으로 보냄 →(여기에 당한) 상대 컴퓨터의 서버를 접속 불가능으로 만들어버리는 해킹 수법
파밍 pharming	합법적으로 소유하고 있던 사용자의 도메인을 탈취 DNS 또는 프록시 서버의 주소를 변조 → 사용자들로 하여금 진짜 사이트로 오인하여 접속하도록 유도한 뒤 '개인정보 훔치기' (신종 컴퓨터 범죄 수법)
도스 Dos, Denial of Service attack	서비스 거부 공격 시스템을 악의적으로 공격 →(이를 통해) 해당 시스템의 자원을 고갈 → 해당 시스템의 자원을 고갈, 원래 의도된 용도로 사용하지 못하게 하는 공격이다.
디도스 DDos,  Distributed Dos	DDos, Distributed Dos 도스의 또 다른 형태 여러 대의 공격자를 분산 배치, 동시에 동작하게 함 → 특정 사이트의 정상적인 기능을 방해하는 것 / 특정 사이트를 공격하는 기법
스위치 재밍 Swich Jamming	위조된 매체 접근 제어(MAC) 주소를 지속적으로 네트워크로 흘려 보냄 → 스위치 저장 기능을 혼란시켜 더미 허브(Dummy Hub)처럼 작동하도록 하는 공격이다.
SQL 주입 공격/SQL 삽입 SQL Injection	응용 프로그램 보안 상의 허점을 의도적으로 이용 →악의적 SQL문을 실행되게 함 →데이터베이스를 비정상적으로 '조작' 하는 '코드 인젝션 공격 방법  ** 코드 인젝션(Code injection) 유효하지 않은 데이터를 실행함으로써 야기되는 소프트웨어 버그의 부당한 사용. HTML/Script 삽입을 통해 웹 사용자 공격함.
무작위(무차별) 대입 공격 brute force attack	특정 암호를 풀기 위해 가능한 모든 값을 대입하는 것 공격자가 인증 정보(사용자 이름, 비번)을 알아내기 위해 반복적, 체계적으로 매번 다른 사용자 이름과 비밀번호를 입력하는 방식으로 공격함  공격자가 획득하고자 하는 바는 네트워크 디바이스의 비밀번호, 비밀 문구, 사용자 이름, 개별 식별 번호(PIN) 같은 개인 정보.

 
 

 

상향식 비용 산정 기법 - LOC(원시 코드 라인 수, Lines of Code)

예측치={낙관치+(4*기대치)+비관치}/6
 

 

 

고가용성 솔루션 HACMP(High Availability Cluster Multi - Processing)

2대 이상의 시스템 → 1개의 클러스터로 묶기

→ 각 시스템 모니터링하고
→ 메인 시스템의 장애 발생 시 서브 시스템으로 전환
→ 시스템 중단을 최소화해주는 기술

(여러 가지 방식으로 구현, 주로 2개의 서버를 연결한 것
2개의 시스템이 각각 업무를 수행하도록 구현한 방식
→주로 이게 널리 사용)

- 조직, 기업의 기간 업무 서버 등의 안정성을 높이기 위해 사용 

 

 

 

 

 블루투스(Bluetooth) 공격

블루버그: 블루투스 장비사이의 취약한 연결 관리를 악용한 공격 

블루스나프(블루스나핑): 블루투스의 취약점을 활용하여 장비의 파일에 접근하는 공격으로 OPP를 사용하여 정보를 열람

블루재킹: 블루투스를 이용해 스팸처럼 명함을 익명으로 퍼뜨리는 것

블루프린팅(BluePrinting) - 블루투스 공격 장치의 검색 활동을 의미

 
 
 
 

Windows 파일 시스템 - FAT, NTFS

FAT

: 호완성 좋음,  단순 저용량 볼륨에 효과적, 보안 취약
 
NTFS
: 대용량 볼륨에 효과적,  보안 좋음, nt 계열 외 호환 불가, 암호화 지원
 
 
 
 

Secure 코딩 - 입력 데이터의 보안 약점

- SQL 삽입
: 사용자의 입력 값 등 외부 입력 값이 SQL 쿼리에 삽입되어 공격
 
- 운영체제 명령어 삽입
: 운영체제 명령어 파라미터 입력 값이 적절한 사전검증을 거치지 않고 사용되어 공격자가 운영체제 명령어를 조작

반응형

- 크로스사이트 스크립트
: 검증되지 않은 외부 입력 값에 의해 브라우저에서 악의적인 코드가 실행
 
- 자원 삽입
: 자원을 삽입해서 과부하 시키는것이 아니고, 자원을 조작할 수 있는 문자열을 삽입해서 시스템이 보호하는 자원에 접근하도록 하는 취약점
 

 
 
 
Honeypot: 접근탐지를 위해 의도적으로 설치해둔 시스템, 쉽게 노출될 수 있도록 취약해보여야함
MapReduce: 여러 노드에 태스크를 분배하는 방법
Hadoop: 데이터분석
Apache: 웹서버용 소프트웨어
 
 
 
 

DoS(Denial of Service) 공격

- SYN Flooding
 : 존재하지 않는 클라이언트가 서버별로 한정된 접속 가능 공간에 접속한 것처럼 속여 다른 사용자가 서비스를 이용하지 못하게 하는 것이다.
- Land 공격
 : 패킷 전송 시 출발지 IP주소와 목적지 IP주소 값을 똑같이 만들어서 공격 대상에게 보내는 공격 방법이다.
- Smurf 공격
 : 브로드캐스트(Boradcast)를 활용하여 공격 대상이 네트워크의 임의의 시스템에 패킷을 보내게 만드는 공격이다.
- Ping of Death 공격
 : 정상 크기보다 큰 ICMP 패킷을 작은 조각(Fragment)으로 쪼개어 공격 대상이 조각화 된 패킷을 처리하게 만드는 공격 방법이다.
 
 
 
 
DES는 64의 암호화 알고리즘이다.
 
 
 

로그

utmp: 사용자 정보
wtmp: 성공한 로그인/로그아웃 기록
btmp: 실패한 로그인 기록
last log: 마지막 로그인 기록
 
 
 

간트 차트(Gantt Chart)

- 수평 막대의 길이는 각 작업(Task)에 필요한 시간을 나타낸다.
- CPM 네트워크로부터 만드는 것이 가능하다.
- 프로젝트를 이루는 소작업 별로 언제 시작되고 언제 끝나야 하는지를 한 눈에 볼 수 있도록 도와준다.
- 자원 배치 계획에 유용하게 사용된다.