면접 예상질문(보안관제)

1. OSI 7 계층/계층별 장비

OSI 7 Layers

- 물리 계층은 네트워크의 하드웨어 전송 기술을 이룬다. 다양한 특징의 하드웨어 기술이 접목되어 있기에 OSI 아키텍처에서 가장 복잡한 계층으로 간주된다.

- 데이터 링크 계층은 Point to Point 간 신뢰성있는 전송을 보장하기 위한 계층으로 CRC 기반의 오류 제어와 흐름 제어가 필요하다. 프레임 데이터를 전달하고, 물리 계층에서 발생할 수 있는 오류를 찾아 내고, 수정하는 데 필요한 기능적, 절차적 수단을 제공한다. 주소 값은 물리적으로 할당 받는데, 이는 네트워크 카드가 만들어질 때부터 맥 주소가 정해져 있다는 뜻이다. 또한 주소 체계는 계층이 없는 단일 구조이다.(MAC Address, 에러검출/재전송/흐름제어)

- 네트워크 계층은 여러개의 노드를 거칠때마다 경로를 찾아주는 역할을 하는 계층으로 다양한 길이의 데이터를 네트워크들을 통해 전달하고, 그 과정에서 전송 계층이 요구하는 QoS을 제공하기 위한 기능적, 절차적 수단을 제공한다. 네트워크 계층은 라우팅, 흐름 제어, Segmentation, 오류 제어, Internetworking 등을 수행한다. 논리적인 주소 구조인 IP를 가진다. 곧 네트워크 관리자가 직접 주소를 할당하는 구조를 가지며, 계층적이다.(IP, 경로설정(Route))

- 전송 계층은 End to End의 사용자들이 신뢰성있는 데이터를 주고 받을 수 있도록 해 주어, 상위 계층들이 데이터 전달의 유효성이나 효율성을 생각하지 않도록 해준다. Sequence number 기반의 오류 제어 방식을 사용한다. 전송 계층은 특정 연결의 유효성을 제어하고, 일부 프로토콜은 상태 개념이 있고, 연결 기반이다. 이는 전송 계층이 패킷들의 전송이 유효한지 확인하고 전송 실패한 패킷들을 다시 전송한다는 것을 뜻한다. End to End 통신을 다루는 최하위 계층으로 신뢰성 있고 효율적인 데이터를 전송하며, 기능은 오류검출 및 복구와 흐름제어, 중복검사 등을 수행한다.

- 세션 계층은 양 끝단의 응용 프로세스가 통신을 관리하기 위한 방법을 제공한다. 동시 송수신 방식, 반이중 방식, 전이중 방식의 통신과 함께, 체크 포인팅과 유휴, 종료, 다시 시작 과정 등을 수행한다. 이 계층은 TCP/IP 세션을 만들고 없애는 책임을 진다. 통신하는 사용자들을 동기화하고 오류복구 명령들을 일괄적으로 다룬다.(통신을 하기 위한 세션을 확립/유지/중단(운영체제가 해줌))

- 표현 계층은 코드 간의 번역을 담당하여 사용자 시스템에서 데이터의 형식상 차이를 다루는 부담을 응용 계층으로부터 덜어 준다. MIME 인코딩이나 암호화 등의 동작이 이 계층에서 이루어진다. 예를 들면, EBCDIC로 인코딩된 문서 파일을 ASCII로 인코딩된 파일로 바꿔 주는 것이 표현 계층의 몫이다.(사용자의 명령어를 완성 및 결과 표현, 포장/압축/암호화)

- 응용 계층은 응용 프로세스와 직접 관계하여 일반적인 응용 서비스를 수행한다. 일반적인 응용 서비스는 관련된 응용 프로세스들 사이의 전환을 제공한다.(네트워크 소프트웨어 UI 부분, 사용자의 I/O 부분)

2. OWASP Top 10

- OWASP Top 10은 하단의 문서를 꾸준히 읽어보면서 공부하자..!

3. WAF와 IDS 그리고 IPS의 정의 및 차이점

1) WAF(웹 애플리케이션 방화벽)

- WAF은, 일반적인 네트워크 방화벽과는 달리 웹 어플리케이션 보안에 특화되어 개발된 솔루션이다. 기본 역할은 SQL Injection, XSS 등과 같은 웹 공격을 탐지하고 차단하는 것이다. 직접적인 웹 공격 대응 이 외에도, 정보유출방지솔루션, 부정로그인방지솔루션, 웹사이트위변조방지솔루션 등으로 활용이 가능하다.

- 정보유출방지솔루션으로 웹방화벽을 이용할 경우, 개인정보가 웹 게시판에 게시되거나 개인 정보가 포함된 파일 등이 웹을 통해 업로드 및 다운로드 되는 경우에 대해서 탐지하고 이에 대응하는 것이 가능하다.

- 부정로그인방지솔루션으로서는, 추정 가능한 모든 경우의 수를 대입하여 웹사이트에 로그인을 시도하는 경우와 같은 비정상적인 접근에 대한 접근 제어 기능을 한다.

- 웹사이트위변조방지솔루션은 주로 해커가 해킹을 한 후에 과시하는 것이 목적인 웹사이트 위변조가 발생했을 경우, 이에 대해 탐지하고 대응한다.

2) IDS(침입 탐지 시스템)

- 지역 네트워크나 호스트에 위치하여, 호스트 또는 네트워크에 대한 침입을 즉시 탐지, 이에 대처할 수 있도록 관리자에게 통보하는 시스템. 침입자에 대한 불법적인 사용을 탐지하고, 합법적인 사용자의 오용 또는 남용을 탐지하는 보안 솔루션이다.

- 서버 기반 시스템(HIDS)과 네트워크 기반 시스템(NIDS)로 구분되어 있다.

NIDS, HIDS 비교

- 이상 탐지와 오용 탐지 기술이 있으며, 이상 탐지는 정상적인 행위와 비교하여 비정상적인 행위를 탐지하고, 오용 탐지는 저장되어 있는 공격 시그니처 패턴과 비교하여 비정상적인 행위를 탐지한다.

- 실제 환경에서는 오용 탐지 기술로 차단 정책을 적용하고 있으며 이상 탐지 기술은 탐지 기능만을 적용하여 관리자가 탐지된 정보를 기반으로 분석 및 수동 조치하는 식으로 운영한다.

- IDS와 Firewall의 가장 큰 차이는, 애플리케이션 계층에서 단순 필터링 보다는 심화된 분석을 수행한다는 점(Firewall은 단지 IP 주소 및 포트 번호 만으로 차단 여부를 결정함) 그리고 IDS는 수동적이어서 차단 보다는 탐지하고 이를 알려주는데에 촛점을 맞췄다.

3) IPS(침입 차단 시스템)

- IDS에 차단, 격리 기능이 추가된 보안 솔루션이다.

4. 통신 패킷 설명

- 통상 헤더, 페이로드(데이터), 트레일러로 구성된다.

- 헤더에는 패킷의 주소 등 주요 제어 정보들이 포함되는 것이 일반적이다.

- 트레일러에는 패킷 에러 검출 등에 사용되고 트레일러가 없는 경우도 많다.

- 패킷은 통신망을 통하여 노드에서 노드로 전해짐으로써 전송되고 패킷의 전달은 통상적으로 매 경유지마다 축적교환 방식으로 목적지까지 전달하게 된다.

- 각 패킷은 오직 동기화를 위해서만 사용되는 Preamble이라 불리는 비트열로 시작이 경우 Preamble은 통상 2계층에서 사용한다.

IPv4, IPv6

TCP Segment

5. TCP와 UDP 차이점 및 서비스 종류 설명

TCP 통신과정

UDP 통신

- TCP, UDP 프로토콜은 전송계층에서 사용되며 데이터의 전송을 담당한다. TCP는 가상 회선 방식을 제공하고 신뢰성 있는 연결과 흐름 제어 및 혼잡제어 기능을 제공하지만 속도가 느리다. UDP는 비연결형 서비스로 데이터그램 방식을 제공하고 최소한의 오류만 검출해 신뢰성이 낮지만 속도가 빠르다.

TCP와 UDP의 차이점

6. 스위치와 라우터의 정의 및 차이점

1) 스위치

- 데이터 링크 계층에 속하며 MAC 주소를 기반으로 동작하는 장비다. MAC 주소와 포트 번호를 저장하고 있어 목적지 MAC 주소를 가진 장비가 연결된 포트로 프레임을 전송한다. MAC 주소가 브로드캐스트일 때 모든 포트로 프레임을 전송하며 이것을 플러딩이라고 부르고 스위치에 연결된 장비가 많을수록 플러딩이 많아지고 결국 네트워크 성능이 저하된다. 이런 문제를 해결하기위해 VLAN을 사용하기도한다.(L3 장비에서만 사용가능하다.)

2) 라우터

- 네트워크 계층에 속하며 IP 주소를 기반으로 동작하는 장비다. IP 주소, 네트워크 대역, 포트번호 등을 저장하고 있어 목적지 IP 주소, 네트워크 대역(서브넷이 다른)을 가진 장비나 네트워크가 연결된 포트로 패킷을 전송한다. 따라서 스위치와 라우터의 차이점은 동작하는 계층이 다르고 MAC 주소, IP 주소, 네트워크 대역 등 어느것을 기반으로 동작하느냐에 따라서도 구분이된다. 

7. ESM과 SIEM의 정의와 해당 장비를 사용하는 이유 설명

1) ESM

ESM은 통합 보안 관리라는 의미로 각종 보안 장비의 운용 및 각종 서버, 네트워크 장비들을 보안관제 하기 위한 시스템이다. 솔루션을 각각 관리하려면 인력도 더 필요하고 상호 연관성을 판단하기 위해서는 통합해서 볼 수 있는 기능을 필요로 했기 떄문에 ESM은 방화벽, IDS, IPS, VPN 등 다양한 보안 솔루션들을 구축하면서 개별적으로 관리하는 것이 아니라 하나의 솔루션에서 효율적으로 관리하고 상호 연관성 분석을 통해 보안에 대한 미탐/오탐을 최소화 하기 위하여 나왔다고 볼 수 있다.

2) SIEM

- ESM에서는 방대한 로그를 수집하는 것에 한계가 있었기 떄문에 SIEM이라는 ESM보다 한 단계 발전된 형태로 빅테이터 기반 기술, 데이터 통합, 상관 분석 등의 기능을 추가하여 등장하였다. 즉, 방화벽, IDS, IPS 등과 같은 다양한 보안장비에서 나오는 많은 양의 로그 데이터들이 상관 분석을 통하여 알려지지 않은 보안 위협을 도출 할 수 있다.

8. Cookie와 Session 정의 설명

- 서버와 클라이언트의 연결 유지를 위해 사용되는 방법이다.

1) Cookie

- 인터넷 사용자가 웹 사이트 방문 시 4KB 이하의 정보(이름, 값, 만료 날짜, 경로 정보)를 클라이언트 단말에 저장했다가 필요할 때 참조나 재 사용하는 파일이다. 사용 예시로, 아이디나 비밀번호를 저장하는 것과 팝업창이 뜨지 않게하는 기능 그리고 쇼핑몰에서 사용하는 장바구니 등이 있다.

2) Session

- 일정 시간동안 인터넷 사용자로부터 들어오는 통신 상태를 일정하게 유지시키는 기술이다. 서버에서 관리를 하게 되면 각 클라이언트에게 고유 ID를 부여하고 Session ID로 클라이언트를 구분하여 요구에 맞는 서비스를 제공 그리고 정보를 서버에 저장하기 때문에 Cookie보다 보안이 우수하다. 사용 예시로, 화면을 이동해도 로그인이 유지되는 상태를 볼 수 있다.

9. DoS와 DDoS의 정의 및 차이점 설명

- 두가지 모두 피해 시스템의 자원을 고갈시켜 장애를 일으키는 공격이다. DoS는 공격자가 피해자에게 악의적인 패킷을 보내 공격한다. 하지만 피해자가 공격자 주소를 확인하고 차단하면 되므로 대응하기가 쉽다. 하지만 DDoS는 공격자가 좀비PC를 만들어 봇넷을 구성하고 봇넷을 이용해 악의적인 패킷을 보내 공격하기 때문에 피해가 더 크고 공격자 주소를 확인하기가 힘들어 대응하기가 어렵다.

OWASP_Top_10-2017-ko.pdf

1.83MB

출처

Crocus님 블로그

Wikipedia

Cisco

정보통신기술용어해설