시스템·네트워크보안 필기/실기 혼합
이 절부터는 진도 학습보다 문제풀이와 답안 작성 훈련에 집중합니다.
이 절부터는 진도 학습보다 문제풀이와 답안 작성 훈련에 집중합니다.
이번 절에서는 다음 두 과목을 실전형으로 다룹니다.
시스템보안
네트워크보안이번 절의 목표는 단순히 정답을 맞히는 것이 아닙니다.
필기형 문제에서는 키워드를 빠르게 잡고,
실기형 문제에서는 채점자가 원하는 문장으로 답안을 쓰는 것입니다.
진행 방식
진행 순서는 다음과 같습니다.
1. 시스템보안 필기형 문제
2. 시스템보안 실기형 답안 작성
3. 시스템보안 상황·로그형 문제
4. 네트워크보안 필기형 문제
5. 네트워크보안 실기형 답안 작성
6. 네트워크보안 상황·로그형 문제
7. 오답 포인트 정리
8. 8장 1절 과제문제풀이에서 가장 중요한 태도는 이것입니다.
문제를 보자마자
“이 문제는 어떤 키워드를 묻는가?”
“정의형인가, 비교형인가, 대응방안형인가?”
“실기라면 개념 + 위험 + 대응 순서로 쓸 수 있는가?”를 판단하는 것입니다.
시스템보안 필기형 문제
문제 1
계정 관리 보안대책으로 가장 적절하지 않은 것은?
A. 퇴사자 계정을 즉시 비활성화한다.
B. 불필요한 기본 계정을 삭제하거나 잠근다.
C. 여러 관리자가 하나의 공유 관리자 계정을 사용한다.
D. 계정 생성·변경·삭제 이력을 기록한다.
공유 관리자 계정은 누가 어떤 작업을 했는지 추적하기 어렵게 만듭니다.
즉, 책임추적성이 약해집니다.
공유 계정 제한
책임추적성
개별 계정 사용
관리자 작업 로그문제 2
최소권한 원칙에 대한 설명으로 가장 적절한 것은?
A. 모든 사용자에게 관리자 권한을 부여한다.
B. 사용자가 업무 수행에 필요한 최소한의 권한만 갖도록 한다.
C. 퇴사자 계정을 일정 기간 유지한다.
D. 로그를 남기지 않아 개인정보를 보호한다.
최소권한 원칙은 사용자가 필요한 작업만 수행할 수 있도록 권한을 제한하는 원칙입니다.
실기 연결 문장최소권한 원칙은 사용자나 프로세스에 업무 수행에 필요한 최소한의 권한만 부여하여 권한 오남용과 사고 피해 범위를 줄이는 보안 원칙이다.문제 3
리눅스 파일 권한 rwxr-xr--를 숫자로 표현한 것은?
A. 755
B. 764
C. 754
D. 744
계산합니다.
소유자 rwx = 4+2+1 = 7
그룹 r-x = 4+0+1 = 5
기타 r-- = 4+0+0 = 4따라서 754입니다.
문제 4
chmod 777 file.txt 설정의 보안상 문제로 가장 적절한 것은?
A. 소유자만 읽을 수 있다.
B. 모든 사용자가 읽기, 쓰기, 실행 권한을 가진다.
C. 파일이 자동으로 암호화된다.
D. 파일 접근 로그가 자동 삭제된다.
777은 모든 사용자에게 rwx 권한을 부여합니다.
특히 쓰기와 실행 권한이 모두에게 열려 있으면 변조와 악성코드 실행 위험이 커집니다.
정답 이유: 모든 사용자에게 읽기·쓰기·실행 권한이 부여되면 권한 없는 사용자가 파일을 수정하거나 실행해 무결성과 시스템 안전성을 훼손할 수 있습니다.
오답 이유: A는 소유자 전용 권한 설명에 가깝습니다. C와 D처럼 권한 설정이 자동 암호화나 로그 삭제를 수행하지는 않습니다.
문제 5
SetUID에 대한 설명으로 가장 적절한 것은?
A. 파일 삭제를 모든 사용자에게 허용한다.
B. 네트워크 포트를 닫는다.
C. 로그 파일을 자동 백업한다.
D. 파일 실행 시 파일 소유자의 권한으로 실행되도록 한다.
SetUID는 실행 파일이 실행될 때 해당 파일 소유자의 권한으로 실행되게 합니다.
root 소유 SetUID 파일에 취약점이 있으면 권한 상승으로 이어질 수 있습니다.
문제 6
로그 관리의 목적으로 적절하지 않은 것은?
A. 침해사고 원인 분석
B. 책임추적성 확보
C. 이상 행위 탐지
D. 공격 흔적 은폐
로그는 공격 흔적을 은폐하기 위해서가 아니라, 탐지와 분석, 감사, 책임추적성을 위해 관리합니다.
문제 7
로그 관리 보안대책으로 적절하지 않은 것은?
A. 로그 접근권한 제한
B. 로그 무결성 보호
C. 시스템 시간 동기화
D. 모든 사용자가 로그를 수정 가능하게 설정
로그는 위변조되면 증거 가치가 떨어집니다.
따라서 접근통제와 무결성 보호가 필요합니다.
문제 8
패치관리 절차로 가장 적절한 것은?
A. 패치 적용 → 장애 발생 → 원인 미확인 → 이력 삭제
B. 자산·버전 파악 → 패치 정보 수집 → 테스트 → 적용 → 검증 → 이력 관리
C. 운영서버에 바로 적용 → 백업 생략 → 검증 생략
D. 취약점이 알려져도 업무가 바쁘면 영구 방치
패치관리는 운영 안정성과 보안을 함께 고려해야 합니다.
정답 이유: 자산과 버전을 먼저 파악하고, 패치 정보를 수집한 뒤 테스트·적용·검증·이력 관리를 해야 운영 장애와 알려진 취약점 악용을 함께 줄일 수 있습니다.
오답 이유: A와 C는 검증, 백업, 이력 관리가 빠져 장애 발생 시 원인 추적과 복구가 어렵습니다. D는 알려진 취약점을 방치해 침해 가능성을 높입니다.
문제 9
백업 방식 중 “마지막 전체 백업 이후 변경된 모든 데이터”를 백업하는 방식은?
A. 전체 백업
B. 증분 백업
C. 차등 백업
D. 실시간 공격
암기합니다.
전체 백업 = 모든 데이터
증분 백업 = 직전 백업 이후 변경분
차등 백업 = 마지막 전체 백업 이후 변경분정답 이유: 차등 백업은 마지막 전체 백업을 기준으로 이후 변경된 데이터를 누적해 저장합니다.
오답 이유: A는 매번 전체 데이터를 백업하는 방식입니다. B는 직전 백업 이후 변경분만 저장하므로 차등 백업보다 복구 시 백업본 연결이 복잡할 수 있습니다. D는 백업 방식이 아니라 공격 상황입니다.
문제 10
증분 백업의 특징으로 가장 적절한 것은?
A. 매번 모든 데이터를 백업한다.
B. 직전 백업 이후 변경된 데이터만 백업한다.
C. 마지막 전체 백업 이후 변경분을 모두 백업한다.
D. 백업을 하지 않는다.
증분 백업은 백업 시간과 용량은 절약되지만, 복구 시 여러 백업본이 필요할 수 있어 복구가 복잡합니다.
문제 11
랜섬웨어 대응책으로 적절하지 않은 것은?
A. 중요 데이터의 오프라인 백업
B. 보안패치 적용
C. 의심 첨부파일 실행 주의 교육
D. 백업본도 운영망에서 누구나 쓰기 가능하게 공유
랜섬웨어는 네트워크 공유 폴더와 백업본까지 암호화할 수 있습니다.
따라서 오프라인 백업, 원격지 백업, 접근통제가 중요합니다.
정답 이유: 백업본이 운영망에서 누구나 쓰기 가능하면 랜섬웨어가 백업까지 암호화하거나 삭제할 수 있어 복구 수단을 잃게 됩니다.
오답 이유: A는 운영망 감염과 분리해 복구 가능성을 높이는 대책입니다. B는 알려진 취약점 악용을 줄이고, C는 사용자의 실행 기반 감염을 줄이는 예방책입니다.
문제 12
트로이목마에 대한 설명으로 가장 적절한 것은?
A. 네트워크를 통해 스스로 전파하는 것이 핵심이다.
B. 정상 파일에 감염되는 악성코드만 의미한다.
C. 정상 프로그램처럼 위장하여 악성 행위를 수행한다.
D. 시스템 시간을 동기화한다.
트로이목마는 정상 프로그램처럼 위장하지만 내부적으로 악성 행위를 수행합니다.
문제 13
웜의 특징으로 가장 적절한 것은?
A. 정상 파일에 반드시 기생해야 한다.
B. 네트워크를 통해 자기 자신을 전파할 수 있다.
C. 암호화 알고리즘의 한 종류이다.
D. 계정 권한 모델이다.
웜은 네트워크를 통해 스스로 전파하는 악성코드입니다.
문제 14
루트킷의 주된 목적은?
A. 사용자 교육을 수행한다.
B. 시스템 침입 흔적이나 악성 행위를 은폐한다.
C. 데이터를 정기 백업한다.
D. DNS 이름을 IP 주소로 변환한다.
루트킷은 프로세스, 파일, 네트워크 연결 등을 숨겨 침입 사실을 은폐할 수 있습니다.
문제 15
시스템 하드닝에 해당하지 않는 것은?
A. 불필요한 서비스 제거
B. 기본 계정 비활성화
C. 보안패치 적용
D. 모든 포트를 외부에 공개
하드닝은 공격 표면을 줄이는 작업입니다.
모든 포트 공개는 공격 표면을 늘립니다.
문제 16
악성코드 감염이 의심될 때 초기 대응으로 적절한 것은?
A. 모든 로그를 삭제한다.
B. 감염 시스템을 그대로 내부망에 유지한다.
C. 감염 의심 시스템을 네트워크에서 격리한다.
D. 백업본을 먼저 암호화한다.
초기 대응에서는 확산 방지가 중요합니다.
단, 증거 보존도 함께 고려해야 합니다.
정답 이유: 감염 의심 시스템은 내부 확산과 추가 통신을 막기 위해 네트워크에서 격리하되, 로그와 악성 파일 등 증거는 보존해야 합니다.
오답 이유: A는 사고 원인 분석 자료를 훼손합니다. B는 악성코드 확산을 방치하고, D는 정상 백업본까지 사용할 수 없게 만드는 잘못된 조치입니다.
문제 17
관리자 권한 계정 보호 대책으로 적절하지 않은 것은?
A. MFA 적용
B. 관리자 작업 로그 기록
C. 관리자 권한 최소화
D. 일반 사용자와 관리자 계정 공유
관리자 계정은 별도로 관리하고, 공유를 제한해야 합니다.
문제 18
시스템 시간 동기화가 중요한 이유로 가장 적절한 것은?
A. 파일 용량을 줄이기 위해
B. 암호화 키를 삭제하기 위해
C. 사용자 비밀번호를 자동으로 공개하기 위해
D. 로그 분석 시 사건 순서를 정확히 파악하기 위해
여러 장비의 로그 시간이 다르면 사고 타임라인 분석이 어렵습니다.
NTP를 통한 시간 동기화가 중요합니다.
문제 19
서비스 계정에 과도한 권한이 있을 때의 위험은?
A. 서비스가 더 안전해진다.
B. 서비스 침해 시 시스템 전체 피해로 확대될 수 있다.
C. 로그가 자동 보호된다.
D. 취약점이 사라진다.
서비스 계정은 필요한 최소 권한으로 운영해야 합니다.
문제 20
시스템보안 점검 항목으로 적절한 조합은?
A. 색상, 글꼴, 배경음악
B. SNS 좋아요 수, 조회수
C. 파일 확장자만
D. 계정, 권한, 로그, 패치, 백업, 서비스
시스템보안의 핵심 점검 축입니다.
시스템보안 실기형 답안 작성
실기 문제 1
문제: 계정 관리 보안대책을 설명하시오.
모범 답안
계정 관리를 위해 불필요한 계정, 기본 계정, 퇴사자 계정, 휴면 계정을 삭제하거나 비활성화해야 한다. 또한 공유 계정 사용을 제한하고 사용자별 개별 계정을 부여하여 책임추적성을 확보해야 하며, 관리자 권한은 최소한의 사용자에게만 부여하고 계정 생성·변경·삭제 이력을 기록해야 한다.채점 포인트
| 키워드 | 중요도 |
|---|---|
| 불필요 계정 제거 | 필수 |
| 퇴사자·휴면 계정 처리 | 필수 |
| 공유 계정 제한 | 중요 |
| 관리자 권한 최소화 | 중요 |
| 계정 이력 관리 | 좋음 |
실기 문제 2
문제: 패스워드 보안대책을 설명하시오.
모범 답안
패스워드 보안을 위해 충분한 길이와 복잡도, 이전 비밀번호 재사용 제한, 초기 비밀번호 변경, 로그인 실패 횟수 제한을 적용해야 한다. 또한 비밀번호는 평문으로 저장하지 않고 사용자별 솔트를 적용한 해시값으로 저장하며, 중요 계정에는 MFA를 적용하여 계정 탈취 위험을 줄여야 한다.채점 포인트
길이
복잡도
재사용 제한
실패 횟수 제한
솔트 해시 저장
MFA실기 문제 3
문제: 로그 관리의 필요성과 관리 방안을 설명하시오.
모범 답안
로그는 침해사고 탐지, 원인 분석, 책임추적성 확보에 필요한 핵심 자료이다. 따라서 인증, 권한 변경, 관리자 작업, 오류, 보안 이벤트 로그를 수집하고, 시간 동기화, 접근통제, 무결성 보호, 보관기간 설정, 정기 점검을 적용해야 한다.채점 포인트
| 키워드 | 중요도 |
|---|---|
| 침해사고 탐지 | 필수 |
| 원인 분석 | 필수 |
| 책임추적성 | 필수 |
| 시간 동기화 | 중요 |
| 무결성 보호 | 중요 |
| 접근통제 | 중요 |
실기 문제 4
문제: 불필요한 서비스 제거가 필요한 이유를 설명하시오.
모범 답안
불필요한 서비스는 외부에서 접근 가능한 공격 지점을 증가시켜 취약점 악용, 정보 유출, 권한 상승 위험을 높인다. 따라서 사용하지 않는 서비스와 포트는 중지하거나 차단하고, 필요한 서비스만 최소 권한으로 운영해야 한다.채점 포인트
공격 표면 증가
취약점 악용
정보 유출
권한 상승
서비스 중지 또는 차단
최소권한실기 문제 5
문제: SetUID 파일 점검이 필요한 이유를 설명하시오.
모범 답안
SetUID는 실행 파일을 실행할 때 파일 소유자의 권한으로 실행되게 하는 특수 권한이다. root 권한 SetUID 파일에 취약점이 있으면 일반 사용자가 root 권한으로 명령을 실행하는 권한 상승이 발생할 수 있으므로, 불필요한 SetUID 파일을 점검하고 제거해야 한다.채점 포인트
파일 소유자 권한으로 실행
root SetUID 위험
권한 상승
불필요한 파일 점검·제거실기 문제 6
문제: 랜섬웨어 감염 시 대응 절차를 설명하시오.
모범 답안
랜섬웨어 감염이 의심되면 감염 시스템을 네트워크에서 격리하여 확산을 방지하고, 감염 범위와 악성 파일, 로그, 외부 통신 여부를 분석해야 한다. 이후 악성코드를 제거하고 신뢰할 수 있는 백업본으로 복구하며, 보안패치, EDR, 접근권한 점검, 사용자 교육, 오프라인 백업 등 재발 방지 대책을 수행해야 한다.채점 포인트
격리
감염 범위 분석
악성코드 제거
백업 복구
패치
EDR
사용자 교육
오프라인 백업시스템보안 상황·로그형 문제
상황 문제 1
다음 상황에서 의심할 수 있는 문제와 대응 방안을 쓰시오.
퇴사한 직원의 VPN 계정이 삭제되지 않았고,
퇴사 후에도 해외 IP에서 해당 계정으로 로그인 성공 기록이 확인되었다.정답 방향
퇴사자 계정 미회수
계정 탈취 또는 비인가 접근
접근권한 관리 미흡해당 계정 즉시 비활성화
접속 로그 분석
접근한 시스템과 데이터 확인
비밀번호 변경과 관련 계정 점검
퇴사자 계정 회수 절차 개선
정기 권한 점검
MFA 적용모범 답안
퇴사자 계정이 회수되지 않아 비인가 접근이 발생한 것으로 의심할 수 있다. 해당 VPN 계정을 즉시 비활성화하고 접속 로그를 분석하여 접근 시스템과 데이터 범위를 확인해야 하며, 퇴사자 계정 회수 절차와 정기 권한 점검, MFA 적용을 통해 재발을 방지해야 한다.상황 문제 2
다음 로그에서 의심할 수 있는 공격은?
/var/tmp/.x/run
user: root
remote connection: 203.0.113.77:4444
CPU usage: 92%정답
악성 프로세스 또는 백도어 의심이유
임시 디렉터리 실행
숨김 디렉터리 형태
root 권한 실행
외부 의심 IP와 통신
비정상 CPU 사용모범 답안
임시 디렉터리의 숨김 경로에서 root 권한 프로세스가 실행되고 외부 의심 IP와 통신하며 CPU 사용량이 높으므로 악성 프로세스 또는 백도어로 의심할 수 있다. 해당 시스템을 격리하고 프로세스, 실행 파일, 네트워크 연결, 로그를 보존·분석한 뒤 악성 요소를 제거하고 재침입 경로를 점검해야 한다.상황 문제 3
다음 상황의 문제점과 보안대책을 쓰시오.
중요 DB 서버의 백업 파일이 운영 서버와 같은 공유 폴더에 저장되어 있고,
모든 서버 계정에 쓰기 권한이 부여되어 있다.정답 방향
백업본 접근통제 미흡
랜섬웨어 감염 시 백업본까지 암호화 가능
백업 무결성 훼손 가능백업본 접근권한 제한
오프라인 또는 원격지 백업
백업 암호화
무결성 검증
복구 테스트
백업망 분리모범 답안
백업 파일이 운영 서버와 같은 공유 폴더에 있고 모든 계정에 쓰기 권한이 있으면 랜섬웨어 감염이나 계정 탈취 시 백업본까지 삭제·변조·암호화될 수 있다. 백업본은 접근권한을 제한하고 암호화해야 하며, 오프라인 또는 원격지에 분리 보관하고 정기적인 무결성 검증과 복구 테스트를 수행해야 한다.네트워크보안 필기형 문제
문제 1
OSI 7계층 중 IP와 라우팅이 주로 동작하는 계층은?
A. 데이터링크 계층
B. 네트워크 계층
C. 전송 계층
D. 응용 계층
IP와 라우터는 3계층입니다.
문제 2
TCP와 UDP의 차이로 가장 적절한 것은?
A. TCP는 포트를 사용하지 않는다.
B. UDP는 항상 재전송과 순서 보장을 수행한다.
C. TCP는 연결 지향, UDP는 비연결 지향이다.
D. TCP는 응용 계층 프로토콜이다.
TCP는 신뢰성 있는 연결 지향 프로토콜이고, UDP는 빠르고 단순한 비연결 지향 프로토콜입니다.
문제 3
ARP의 역할로 가장 적절한 것은?
A. 도메인 이름을 IP 주소로 변환한다.
B. 메일을 송신한다.
C. IP 주소를 MAC 주소로 변환한다.
D. 파일을 압축한다.
ARP는 동일 네트워크에서 IP에 대응하는 MAC 주소를 알아냅니다.
문제 4
DNS의 기본 포트 번호는?
A. 22
B. 25
C. 53
D. 110
DNS는 53번 포트를 사용합니다.
문제 5
SSH의 기본 포트 번호는?
A. 21
B. 22
C. 23
D. 25
SSH는 22번, Telnet은 23번입니다.
문제 6
Telnet의 보안상 문제점은?
A. 모든 통신이 자동 암호화된다.
B. 인증서 검증을 강제한다.
C. 계정 정보가 평문으로 노출될 수 있다.
D. DNS 응답을 보호한다.
Telnet은 평문 원격 접속입니다.
SSH로 대체해야 합니다.
문제 7
HTTPS의 보안 효과로 적절하지 않은 것은?
A. 통신 내용 암호화
B. 전송 중 변조 탐지
C. 서버 인증
D. SQL Injection 취약점 자동 제거
HTTPS는 통신 구간 보호입니다.
서버 내부 입력값 처리 취약점인 SQL Injection은 별도 대책이 필요합니다.
정답 이유: HTTPS는 암호화, 서버 인증, 전송 중 변조 탐지에 도움이 되지만 애플리케이션 내부의 SQL 조립 방식까지 자동으로 안전하게 만들지는 않습니다.
오답 이유: A, B, C는 HTTPS가 제공할 수 있는 대표적인 통신 구간 보호 효과입니다. SQL Injection은 Prepared Statement, 입력값 검증, 권한 최소화로 대응해야 합니다.
문제 8
ARP Spoofing에 대한 설명으로 가장 적절한 것은?
A. 거짓 ARP 정보를 보내 IP-MAC 매핑을 조작한다.
B. DNS 캐시에 위조 정보를 저장한다.
C. TCP 연결 대기 큐를 고갈시킨다.
D. 사용자 브라우저에서 스크립트를 실행한다.
ARP Spoofing은 내부망 MITM과 스니핑으로 이어질 수 있습니다.
정답 이유: ARP Spoofing은 같은 네트워크에서 거짓 ARP 응답을 보내 게이트웨이 IP와 공격자 MAC을 연결시키는 식으로 트래픽을 가로챕니다.
오답 이유: B는 DNS Spoofing 또는 DNS Cache Poisoning입니다. C는 SYN Flooding이고, D는 XSS에 대한 설명입니다.
문제 9
DNS Spoofing에 대한 설명으로 가장 적절한 것은?
A. DNS 응답을 위조하여 사용자를 잘못된 IP로 유도한다.
B. IP 주소를 MAC 주소로 변환한다.
C. 파일을 서버에 업로드한다.
D. 비밀번호를 해시한다.
DNS Spoofing은 가짜 사이트 유도와 피싱에 악용될 수 있습니다.
문제 10
스니핑의 설명으로 적절한 것은?
A. 네트워크 트래픽을 몰래 수집하거나 분석하는 공격
B. 패킷 출발지 IP를 위조하는 공격만 의미
C. 파일 권한을 변경하는 명령
D. 시스템 시간을 동기화하는 기능
스니핑은 네트워크 도청입니다.
문제 11
IP Spoofing의 핵심은?
A. 출발지 IP 주소 위조
B. 도메인 이름 변환
C. 서버 시간 동기화
D. 파일 압축
IP Spoofing은 출발지 IP를 위조합니다.
문제 12
Replay Attack 대응책으로 적절한 것은?
A. Nonce와 Timestamp 사용
B. Telnet 사용
C. 평문 FTP 사용
D. 모든 로그 삭제
Replay Attack은 재전송 공격입니다.
요청 재사용 방지가 핵심입니다.
문제 13
SYN Flooding이 악용하는 과정은?
A. TCP 3-Way Handshake
B. DNS Zone Transfer
C. DHCP DORA
D. HTTP 쿠키 설정
SYN Flooding은 SYN → SYN/ACK → ACK 과정에서 ACK를 보내지 않아 연결 대기 자원을 고갈시킵니다.
정답 이유: SYN Flooding은 TCP 3-Way Handshake의 반쯤 열린 연결 상태를 대량으로 만들어 서버의 연결 큐와 자원을 소모시킵니다.
오답 이유: B는 DNS 서버의 영역 전송, C는 DHCP 주소 할당 절차, D는 HTTP 쿠키 설정과 관련된 표현입니다.
문제 14
Smurf Attack의 핵심 요소는?
A. ICMP, IP Spoofing, 브로드캐스트
B. SQL, DB, Prepared Statement
C. 쿠키, 세션, SameSite
D. 인증서, CA, CRL
Smurf Attack은 피해자 IP로 위조한 ICMP 요청을 브로드캐스트로 보내 다수 응답을 피해자에게 집중시킵니다.
문제 15
Reflection Attack의 설명으로 적절한 것은?
A. 제3의 서버를 반사체로 이용해 응답 트래픽을 피해자에게 집중시킨다.
B. 악성 스크립트를 사용자 브라우저에서 실행한다.
C. 파일을 암호화하고 금전을 요구한다.
D. 객체 ID를 조작해 타인 정보를 조회한다.
Reflection은 반사체 이용, Amplification은 트래픽 증폭입니다.
문제 16
HTTP Flood는 주로 어느 계층 공격인가?
A. 2계층
B. 3계층
C. 4계층
D. 7계층
HTTP는 응용 계층 프로토콜입니다.
HTTP Flood는 7계층 DDoS 공격입니다.
문제 17
IDS에 대한 설명으로 가장 적절한 것은?
A. 침입 시도를 탐지하고 관리자에게 경고한다.
B. 침입을 탐지하면 반드시 실시간 차단한다.
C. 웹 공격만 탐지한다.
D. 암호화 터널을 제공한다.
IDS는 탐지와 경고가 중심입니다.
문제 18
IPS에 대한 설명으로 가장 적절한 것은?
A. 침입 탐지 후 실시간 차단까지 수행할 수 있다.
B. 오탐이 있어도 정상 트래픽에 영향이 전혀 없다.
C. 단순 백업 장비이다.
D. DNS 이름을 IP 주소로 변환한다.
IPS는 인라인 구조로 동작하는 경우가 많아 오탐 시 정상 트래픽 차단 위험이 있습니다.
정답 이유: IPS는 IDS처럼 탐지만 하는 것이 아니라 정책에 따라 의심 트래픽을 실시간 차단할 수 있으므로 예방 효과가 있지만 오탐 관리가 중요합니다.
오답 이유: B는 오탐 위험을 과소평가한 보기입니다. C는 백업 장비 설명이고, D는 DNS의 역할입니다.
문제 19
WAF가 주로 탐지·차단하는 공격은?
A. SQL Injection, XSS
B. ARP 요청
C. 전원 장애
D. 디스크 물리 손상
WAF는 웹 애플리케이션 방화벽입니다.
정답 이유: WAF는 HTTP 요청과 응답을 분석해 SQL Injection, XSS, 파일 업로드 공격처럼 웹 애플리케이션 계층의 공격을 탐지·차단하는 데 특화됩니다.
오답 이유: B는 2계층 ARP 통신이고, C와 D는 물리적 장애에 가깝습니다. 일반 방화벽이 IP·포트 중심이라면 WAF는 웹 요청의 파라미터와 패턴을 본다는 점을 구분해야 합니다.
문제 20
DMZ의 목적은?
A. 외부 공개 서버를 내부망과 분리하여 내부망을 보호한다.
B. 모든 서버를 인터넷에 직접 노출한다.
C. 비밀번호를 평문 저장한다.
D. 백업을 금지한다.
DMZ는 외부 공개 서버와 내부 업무망 사이의 완충 구역입니다.
네트워크보안 실기형 답안 작성
실기 문제 1
문제: TCP와 UDP의 차이를 설명하시오.
모범 답안
TCP는 연결 지향 프로토콜로 연결 설정 후 순서 보장, 오류 제어, 재전송을 통해 신뢰성 있는 전송을 제공한다. UDP는 비연결 지향 프로토콜로 신뢰성은 낮지만 구조가 단순하고 빠르며 DNS, 음성, 스트리밍 등 실시간성이 중요한 서비스에 사용된다.실기 문제 2
문제: ARP Spoofing의 개념과 대응 방안을 설명하시오.
모범 답안
ARP Spoofing은 거짓 ARP 정보를 보내 IP 주소와 MAC 주소의 매핑을 조작하는 공격이다. 이를 통해 피해자의 트래픽을 공격자에게 유도하여 스니핑이나 중간자 공격이 발생할 수 있으며, 대응 방안으로 정적 ARP 설정, Dynamic ARP Inspection, DHCP Snooping, ARP 변경 모니터링, 네트워크 분리, 암호화 통신을 적용할 수 있다.실기 문제 3
문제: DNS Spoofing과 DNS Cache Poisoning을 설명하시오.
모범 답안
DNS Spoofing은 DNS 응답을 위조하여 사용자가 정상 도메인을 입력해도 공격자가 지정한 IP 주소로 접속하게 만드는 공격이다. DNS Cache Poisoning은 DNS 서버의 캐시에 위조된 DNS 정보를 저장시켜 다수 사용자를 가짜 사이트로 유도할 수 있는 공격이다.실기 문제 4
문제: MITM 공격의 개념과 대응 방안을 설명하시오.
모범 답안
MITM은 통신 당사자 사이에 공격자가 개입하여 데이터를 도청하거나 변조하고 인증 정보를 탈취하는 공격이다. 대응 방안으로 HTTPS/TLS 적용, 인증서 검증, HSTS, VPN 사용, ARP Spoofing 탐지, DNSSEC 적용, 공용 Wi-Fi 사용 주의, MFA 적용 등이 있다.실기 문제 5
문제: SYN Flooding의 원리와 대응 방안을 설명하시오.
모범 답안
SYN Flooding은 TCP 3-Way Handshake 과정에서 다수의 SYN 요청을 보내고 최종 ACK를 보내지 않아 서버의 연결 대기 자원을 고갈시키는 공격이다. 대응 방안으로 SYN Cookie 적용, 연결 대기 큐와 타임아웃 조정, SYN 요청 Rate Limiting, 방화벽·IPS 탐지, 출발지 IP 필터링, DDoS 방어 서비스 활용 등이 있다.실기 문제 6
문제: Reflection Attack과 Amplification Attack의 차이를 설명하시오.
모범 답안
Reflection Attack은 공격자가 출발지 IP를 피해자 IP로 위조하여 제3의 서버에 요청을 보내고, 해당 서버의 응답이 피해자에게 전달되도록 하는 공격이다. Amplification Attack은 작은 요청으로 큰 응답을 유도하여 공격 트래픽 규모를 증폭시키는 공격이며, 대응 방안으로 IP Spoofing 필터링, 불필요한 UDP 서비스 차단, 오픈 리졸버 제한, Rate Limiting 등이 있다.실기 문제 7
문제: IDS와 IPS의 차이를 설명하시오.
모범 답안
IDS는 네트워크나 시스템의 트래픽과 이벤트를 분석하여 침입 시도나 이상 행위를 탐지하고 관리자에게 경고하는 시스템이다. IPS는 침입을 탐지한 후 실시간으로 차단까지 수행하는 시스템으로 즉시 대응이 가능하지만, 오탐 시 정상 트래픽이 차단될 수 있다.실기 문제 8
문제: WAF와 일반 방화벽의 차이를 설명하시오.
모범 답안
일반 방화벽은 주로 IP 주소, 포트 번호, 프로토콜을 기준으로 네트워크 접근을 통제하는 장비이다. WAF는 HTTP/HTTPS 요청의 URL, 파라미터, 쿠키, 헤더, 본문을 분석하여 SQL Injection, XSS, 파일 업로드 공격 등 웹 애플리케이션 공격을 탐지·차단하는 7계층 보안장비이다.실기 문제 9
문제: VPN의 개념과 보안 운영 방안을 설명하시오.
모범 답안
VPN은 공용 네트워크에서 암호화 터널을 구성하여 기밀성과 무결성을 보장하고 안전한 원격 접속을 제공하는 기술이다. 보안 운영을 위해 MFA와 인증서 기반 인증, 접근권한 최소화, 접속 로그 기록, 단말 보안 상태 점검, 취약 계정 제거, 안전한 암호화 알고리즘 사용이 필요하다.실기 문제 10
문제: DMZ를 구성하는 이유를 설명하시오.
모범 답안
DMZ는 외부에서 접근해야 하는 웹 서버, 메일 서버, DNS 서버 등을 내부망과 분리된 중간 구간에 배치하는 네트워크 영역이다. 외부 공개 서버가 침해되더라도 내부 업무망으로 직접 접근하지 못하도록 구간별 방화벽 정책을 적용하여 내부망 보호와 피해 확산 방지 효과를 얻을 수 있다.네트워크보안 상황·로그형 문제
상황 문제 1
다음 상황에서 의심할 수 있는 공격과 대응 방안을 쓰시오.
사용자 PC의 ARP 테이블에서 기본 게이트웨이 IP의 MAC 주소가 짧은 시간 동안 여러 번 변경되었다.
같은 네트워크의 여러 PC에서도 동일한 현상이 확인되었다.정답 방향
ARP Spoofing
MITM 가능성공격 의심 단말 격리
ARP 테이블 점검
스위치 DAI 적용
DHCP Snooping
ARP 모니터링
네트워크 분리
HTTPS/SSH 사용모범 답안
기본 게이트웨이 IP에 대한 MAC 주소가 반복적으로 변경되는 것은 ARP Spoofing으로 의심할 수 있다. 공격자는 거짓 ARP 정보를 통해 피해자 트래픽을 자신에게 유도할 수 있으므로 의심 단말을 격리하고, ARP 테이블과 스위치 로그를 점검하며, Dynamic ARP Inspection, DHCP Snooping, ARP 변경 모니터링, 암호화 통신을 적용해야 한다.상황 문제 2
웹 서버에 SYN 패킷이 급증하고,
연결 대기 상태가 대량으로 쌓이며,
정상 사용자의 접속이 지연되고 있다.정답
SYN Flooding모범 답안
SYN 패킷이 급증하고 연결 대기 상태가 대량 발생하며 정상 접속이 지연되므로 SYN Flooding 공격으로 의심할 수 있다. 대응 방안으로 SYN Cookie 적용, 연결 대기 큐와 타임아웃 조정, SYN 요청 Rate Limiting, 방화벽·IPS 탐지, DDoS 방어 서비스 연계를 수행해야 한다.상황 문제 3
정상 도메인에 접속했는데 사용자가 가짜 로그인 페이지로 이동했다.
DNS 응답 IP가 평소와 다른 외부 IP로 확인되었다.정답
DNS Spoofing 또는 DNS Cache Poisoning모범 답안
정상 도메인 접속 시 평소와 다른 IP로 해석되고 가짜 로그인 페이지로 이동했으므로 DNS Spoofing 또는 DNS Cache Poisoning으로 의심할 수 있다. DNS 캐시를 점검하고 신뢰할 수 있는 DNS 서버를 사용하며, DNSSEC 적용, DNS 로그 분석, HTTPS 인증서 검증, 비정상 DNS 응답 차단을 수행해야 한다.상황 문제 4
다수 국가의 IP에서 동시에 같은 웹 URL로 GET 요청이 급증했다.
웹 서버 CPU와 DB 조회량이 급격히 증가했다.정답
HTTP Flood모범 답안
다수 IP에서 동일 URL로 GET 요청이 급증하고 웹 서버와 DB 부하가 증가했으므로 HTTP Flood 형태의 7계층 DDoS 공격으로 의심할 수 있다. WAF 적용, IP·세션별 Rate Limiting, CDN과 캐싱, 고비용 URL 보호, 비정상 User-Agent 차단, 웹 로그 분석을 통해 대응해야 한다.상황 문제 5
HTTP 연결 수는 많지만 요청 헤더가 매우 느리게 전송되고,
연결이 장시간 유지되며 웹 서버 동시 연결 수가 고갈되고 있다.정답
Slow HTTP 공격모범 답안
HTTP 요청이 매우 느리게 전송되고 연결이 장시간 유지되어 웹 서버 연결 자원이 고갈되는 상황이므로 Slow HTTP 공격으로 의심할 수 있다. 대응 방안으로 연결 타임아웃 설정, IP별 동시 연결 수 제한, Header/Body 전송 시간 제한, Rate Limiting, Reverse Proxy와 WAF 적용을 수행해야 한다.오답 포인트 정리
시스템보안 오답 포인트
| 헷갈리는 부분 | 정리 |
|---|---|
| 공유 계정 | 편리하지만 책임추적성 저하 |
| 777 권한 | 모든 사용자 쓰기·실행 가능, 위험 |
| SetUID | 파일 소유자 권한으로 실행, root SetUID 주의 |
| 로그 | 삭제가 아니라 보존·점검·무결성 보호 |
| 패치 | 바로 운영 적용이 아니라 테스트와 롤백 필요 |
| 백업 | 보관만이 아니라 복구 테스트 필요 |
| 랜섬웨어 | 백업까지 암호화되지 않도록 분리 보관 |
네트워크보안 오답 포인트
| 헷갈리는 부분 | 정리 |
|---|---|
| ARP | IP → MAC |
| DNS | 도메인 → IP |
| DHCP | IP 자동 할당 |
| ICMP | ping, 진단 |
| SSH | 22, 암호화 원격 접속 |
| Telnet | 23, 평문 원격 접속 |
| HTTP | 80, 평문 |
| HTTPS | 443, TLS |
| IDS | 탐지·경고 |
| IPS | 탐지·차단 |
| WAF | 웹 공격 차단 |
| DMZ | 외부 공개 서버와 내부망 분리 |
핵심 요약
| 영역 | 핵심 |
|---|---|
| 시스템보안 | 계정, 권한, 로그, 패치, 백업, 악성코드 대응 |
| 계정관리 | 불필요 계정 제거, 공유 계정 제한, 권한 최소화 |
| 권한관리 | 최소권한, 파일 권한, SetUID 점검 |
| 로그관리 | 탐지, 분석, 책임추적성, 무결성 보호 |
| 패치관리 | 취약점 보완, 테스트, 롤백, 이력 |
| 백업관리 | 전체·증분·차등, 암호화, 복구 테스트 |
| 네트워크보안 | 계층, 프로토콜, 공격, 보안장비 |
| 프로토콜 | ARP, DNS, DHCP, HTTP, HTTPS, FTP, SSH |
| 공격 | 스니핑, 스푸핑, MITM, Replay, DoS/DDoS |
| DDoS | SYN, UDP, ICMP, Smurf, Reflection, HTTP Flood |
| 장비 | 방화벽, IDS, IPS, WAF, VPN, NAC, DMZ |
반드시 외울 문장
계정 관리를 위해 불필요한 계정과 휴면 계정을 삭제 또는 비활성화하고, 공유 계정 사용을 제한하여 책임추적성을 확보해야 한다.
최소권한 원칙은 사용자나 프로세스에 업무 수행에 필요한 최소한의 권한만 부여하여 권한 오남용과 침해사고 피해 범위를 줄이는 원칙이다.
파일 권한은 소유자, 그룹, 기타 사용자별로 읽기·쓰기·실행 권한을 최소한으로 부여해야 하며, 777 권한은 변조와 악성 파일 실행 위험이 있어 제한해야 한다.
로그는 침해사고 탐지, 원인 분석, 책임추적성 확보에 필요한 핵심 자료이므로 접근통제, 무결성 보호, 보관기간 설정, 시간 동기화가 필요하다.
패치관리는 알려진 취약점을 제거하기 위해 필요하며, 운영 적용 전 테스트와 백업, 롤백 계획을 수립하고 적용 후 정상 동작 여부를 확인해야 한다.
백업본은 암호화와 접근통제를 적용하고, 오프라인 또는 원격지에 보관하며, 정기적인 복구 테스트와 무결성 검증을 수행해야 한다.
ARP는 IP 주소를 MAC 주소로 변환하는 프로토콜이고, DNS는 도메인 이름을 IP 주소로 변환하는 시스템이다.
ARP Spoofing은 거짓 ARP 정보를 보내 IP-MAC 매핑을 조작하고 피해자의 트래픽을 공격자에게 유도하는 공격이다.
SYN Flooding은 TCP 3-Way Handshake 과정에서 다수의 SYN 요청을 보내고 최종 ACK를 보내지 않아 연결 대기 자원을 고갈시키는 공격이다.
IDS는 침입을 탐지하고 경고하는 시스템이고, IPS는 침입을 탐지한 후 실시간 차단까지 수행하는 시스템이다.
WAF는 HTTP/HTTPS 요청을 분석하여 SQL Injection, XSS, 파일 업로드 공격 등 웹 애플리케이션 공격을 탐지·차단하는 7계층 보안장비이다.
DMZ는 외부 공개 서버를 내부망과 분리된 중간 구간에 배치하여 내부망 보호와 피해 확산 방지를 목적으로 구성한다.연습 과제
이번 과제는 문제풀이형입니다.
모범답안을 보지 않고 직접 답안 문장을 써보는 것이 중요합니다.
A. 시스템보안 단답형
1. 최소권한 원칙이란 무엇인가?
2. 공유 계정 사용이 위험한 이유는 무엇인가?
3. 퇴사자 계정을 즉시 비활성화해야 하는 이유는 무엇인가?
4. chmod 777 설정의 위험을 설명하시오.
5. SetUID 파일 점검이 필요한 이유는 무엇인가?
6. 로그 관리가 중요한 이유 3가지를 쓰시오.
7. 로그 무결성 보호가 필요한 이유는 무엇인가?
8. 패치관리 절차를 순서대로 쓰시오.
9. 전체 백업, 증분 백업, 차등 백업의 차이를 쓰시오.
10. 랜섬웨어 대응에서 오프라인 백업이 중요한 이유는 무엇인가?
11. 바이러스, 웜, 트로이목마의 차이를 쓰시오.
12. 루트킷이 위험한 이유는 무엇인가?
13. 시스템 하드닝의 주요 대책 5가지를 쓰시오.B. 네트워크보안 단답형
14. OSI 7계층 중 2계층, 3계층, 4계층, 7계층의 핵심 키워드를 쓰시오.
15. TCP와 UDP의 차이를 쓰시오.
16. ARP와 DNS의 차이를 쓰시오.
17. SSH와 Telnet의 차이를 쓰시오.
18. HTTP와 HTTPS의 차이를 쓰시오.
19. ARP Spoofing이란 무엇인가?
20. DNS Spoofing이란 무엇인가?
21. 스니핑과 스푸핑의 차이를 쓰시오.
22. MITM과 Replay Attack의 차이를 쓰시오.
23. DoS와 DDoS의 차이를 쓰시오.
24. SYN Flooding이란 무엇인가?
25. Smurf Attack의 핵심 요소 3가지를 쓰시오.
26. Reflection Attack과 Amplification Attack의 차이를 쓰시오.
27. IDS와 IPS의 차이를 쓰시오.
28. WAF와 일반 방화벽의 차이를 쓰시오.
29. DMZ를 구성하는 이유를 쓰시오.C. 실기형 답안 작성
아래 문제는 2~4문장으로 작성하세요.
30. 계정 관리 보안대책을 설명하시오.
31. 로그 관리의 필요성과 관리 방안을 설명하시오.
32. 불필요한 서비스 제거가 필요한 이유를 설명하시오.
33. 랜섬웨어 감염 시 대응 절차를 설명하시오.
34. ARP Spoofing의 개념과 대응 방안을 설명하시오.
35. DNS Spoofing과 DNS Cache Poisoning을 설명하시오.
36. MITM 공격의 개념과 대응 방안을 설명하시오.
37. SYN Flooding의 원리와 대응 방안을 설명하시오.
38. IDS와 IPS의 차이를 설명하시오.
39. WAF와 일반 방화벽의 차이를 설명하시오.
40. VPN의 개념과 보안 운영 방안을 설명하시오.
41. DMZ를 구성하는 이유를 설명하시오.D. 상황형 문제
아래 상황에서 의심할 수 있는 문제와 대응 방안을 쓰세요.
42. 퇴사자 계정으로 해외 IP에서 VPN 로그인이 성공했다.
43. /tmp/.hidden/update 파일이 root 권한으로 실행 중이고 외부 IP와 통신한다.
44. 중요 백업 파일이 운영 공유 폴더에 있고 모든 계정에 쓰기 권한이 있다.
45. 기본 게이트웨이 IP의 MAC 주소가 사용자 PC마다 다르게 표시된다.
46. 정상 도메인 접속 시 평소와 다른 IP로 연결되고 가짜 로그인 페이지가 표시된다.
47. SYN 패킷이 급증하고 서버의 연결 대기 상태가 대량 발생한다.
48. 다수 국가 IP에서 동일 URL로 GET 요청이 급증하고 DB 부하가 증가한다.
49. HTTP 연결 수는 많지만 요청 헤더가 매우 느리게 전송된다.정답 방향 및 채점 기준
A. 시스템보안 단답형
| 범위 | 채점 키워드 |
|---|---|
| 1~3 | 최소권한, 공유 계정 위험, 퇴사자 계정 즉시 비활성화 |
| 4~5 | 777 권한의 무단 변경 위험, SetUID의 권한 상승 위험 |
| 6~7 | 탐지, 분석, 책임추적성, 무결성, 시간 동기화 |
| 8~10 | 패치 전 테스트, 백업, 롤백, 검증, 오프라인·불변 백업 |
| 11~13 | 바이러스·웜·트로이목마 차이, 루트킷 은닉성, 하드닝 대책 |
B. 네트워크보안 단답형
| 범위 | 채점 키워드 |
|---|---|
| 14~18 | OSI 계층, TCP/UDP, ARP/DNS, SSH/Telnet, HTTP/HTTPS |
| 19~22 | ARP Spoofing, DNS Spoofing, 스니핑·스푸핑, MITM·Replay |
| 23~26 | DoS/DDoS, SYN Flooding, Smurf, Reflection/Amplification |
| 27~29 | IDS/IPS, WAF/방화벽, DMZ |
C. 실기형 답안 공식
정의:
위험 또는 영향:
대응 방안:
운영 점검:D. 상황형 정답 방향
| 번호 | 의심 문제 | 핵심 대응 |
|---|---|---|
| 42 | 퇴사자 계정 탈취 또는 권한 회수 미흡 | 계정 잠금, 세션 종료, 접속 이력 조사, 권한 회수 절차 개선 |
| 43 | 악성코드 또는 백도어 | 프로세스 격리, 파일 보존, 외부 통신 차단, 포렌식 분석 |
| 44 | 백업 접근권한 미흡 | 권한 최소화, 암호화, 원격지·오프라인 보관, 복구 테스트 |
| 45 | ARP Spoofing | ARP 테이블 확인, DAI, 정적 ARP, 네트워크 분리 |
| 46 | DNS Spoofing 또는 Cache Poisoning | DNS 응답 검증, 캐시 초기화, DNSSEC, 보안 DNS 사용 |
| 47 | SYN Flooding | SYN Cookie, 임계치 제한, 방화벽·IPS 정책, 우회 회선 |
| 48 | HTTP Flooding | WAF/CDN, Rate Limiting, 세션·행위 기반 탐지 |
| 49 | Slow HTTP 계열 공격 | 헤더 타임아웃, 동시 연결 제한, WAF 정책 |
감점 포인트
상황형에서 공격명만 쓰고 판단 근거를 쓰지 않으면 감점.
즉시 조치와 재발 방지를 구분하지 않으면 감점.
백업 문제에서 복구 테스트와 무결성 검증을 누락하면 감점.
DDoS 대응에서 장비 한 대 차단만 쓰고 우회·분산·상위 회선 대응을 누락하면 감점.