정보보안기사 필기 준비 및 시험 후기 + 공부방법

it쪽 취업준비 하면서 필요해보여서 시작한 정보보안기사 필기!
하지만 여러 시험과 면접일정이 겹쳐서 일주일밖에 준비하지 못함 ...

3월23일 경기기계공업고등학교에서 봤음

5가지과목 평균 60이상 과락은 40점 미만의 과목이 없어야 함

과목정보

정보보안기사 시험과목

시스템 보안

네트워크 보안

어플리케이션 보안

정보보안 일반

정보보안관리 및 법규

정보보안산업기사 시험과목 

시스템 보안

네트워크 보안

어플리케이션 보안

정보보안 일반

이기적 책으로 준비했고

이론 한번 돌리고 기출 최근7회정도만 품
아직 결과는 모르지만 복원으로 봤을 때 붙은것같음

확실히 정보처리기사보다는 어렵다

13회 답 복원

시스템 보안

1. 설명에 맞는 것 (봇넷…IoT)(Dyre, Mirai,백오리피스…) => Mirai 공격
2. wtmp 아닌것 => 로그인실패
3. 지문 설명에 맞는 것 => PAM
4. 3번: stick-bit s가 아닌 t로 표시
5. 윈도우 이벤트 로그 (확장자가 evt, evtx, 보안로그는 로그인, 파일 생성내역 로깅)
6. host.deny, allow => 모두 허용 한다..
7. NULL세션 취약점.. => $IPC
8. 파일 시스템 설명 inode…=> EXT
9. 설명과 매칭 틀린 것 (ps, w/who, ls, ifconfig) => ifconfig
10. /etc/shadow
11. 윈도우 보안 관련 => (ftp 끄거나 ftps 사용한다, dns 영역 전달 안한다, 윈도우 인증 대신 혼합인증 사용한다, 서비스팩 및 핫픽스 주기적 설치) => 3번: 혼합인증
12. 포맷스트링 취약점 관련 틀린 것(권한상승,덮어쓰기, 코드실행, ..) => 권한 상승
13. 크론탭 오전 1시…=> 0 1 * * * cp +date ~~~
14. 윈도우 이벤트 로그 관련 옳은것 => 틀렸던 답(크기 못바꾼다. 메모장 연다) => 이거아닌게 정답
15. 틀린것 => 데이터베이스 권한 늘린다
16. (DRM,DLP) => DLP
17. 지문 관련 맞는 것(SSHD,RPC,NFS) => RPC
18. 지문 설명 (산업관련시스템…)(스턱스넷,SCADA ) => SCADA

네트워크 보안

1. 두가지 모드..  => infrastruture, Ad hoc
2. vpn 틀린것 => 사용자 투명성
3. arp 스푸핑 공격 => 1번: GW 의 arp 테이블을 옳지 않게 바꿈.
4. DDOS 탐지, 차단 관련 틀린 것=> 4번: 외부로 나가는 패킷 조사
5. 포트번호 tcp/udp 같이 못쓰게한다.
6. 지문설명 (경량…네트워크 탐지…) => snort
7. IP Spofing (순서번호, slowloris, …) => slowloris
8. SMURF 공격 관련 지문 (ICMP…) => IP directed broadcast
9. 지문의 빈칸 채우는 것 => 4번: 대체, 가장, …
10. 응답값이 다른 하나(NULL,XMAS,SYN, FIN) => SYN
11. drive by downloader , exploit
12. 지문설명에 맞는 공격 (헤더변경…)=> header attack
13. dns ddos 공격 막기 아닌것 => 512btye 이하 차단
14. wpa2 암호화 => AES
15. IPSEC 관련 틀린 것? => 선택지 모르겠음
16. 지문 관련 내용 맞는 것(spetre, (),covert channel, man-in,the-middle) =>spetre
17. 지문내용에 맞는 것 (비트코인, 다른 사용자 PC에서 몰래 채굴…) =>크립토재킹
18. APT 관련 => Sandbox
19. 서플라이체인어택 틀린 것-> 1번: 웹서버에 들어가면 감염된다
20. 랜섬웨어 => ㄱ, ㄴ이 답 (ㄷ.랜섬웨어 목표가 정보유출이다 틀림)

애플리케이션 보안

1. ftp 틀린 것 => Secure와 TrivialFTP 사용하면 안전
2. xferlog
3. 지문 설명에 맞는 것 (이메일의 HTML...누르면 악성코드..)=> active content
4. dhcp => Udp 67 68
5. 지문 내용에 맞는 것 (컴퓨터와 사람을 구분..) => captcha
6. XSS 관련 틀린것 -> 서버가 실행해서 쿠키 등을 빼간다
7. sql 대응법 틀린것 => &
8. ddos 3개 보기 --> ㄱ, ㄴ, ㄷ 모두 답
9. domain shadowing
10. SET 관련 설명 (지불정보, 주문정보 서명 후 또 서명..) => 이중서명
11. VPN문제 틀린 것 => 1번 PPTP L2TP 같이 사용해야한다
12. OWASP 설명 중 틀린것은? ㄱ. xxe - 설명
13. SSL 3.0 => Poodle
14. SSL/TLS 관련(ssl는 취약해서 쓰면 안된다, () () http2 tls1.0부터 지원한다) => 4번: http/2는 tls1.0부터 지원한다
15. DNS 관련 틀린 것(DNS서버 13개 다중화, (),(),DNSSEC가 기밀성 제공) => 4번: DNSSEC가 기밀성 제공한다
16. SQL 인젝션 => XPath
17. 피싱사이트 대책 틀린것 => 패스워드를 보안 토큰에 보관
18. 지문에 대한 내용으로 맞는 것 => Bounce Attack
19. (CWE,CVE,OWASP) => CWE
20. FDS 무슨 통제인가? (예방통제, 복구통제, 탐지통제, …) => 탐지통제

정보보호일반

1. 국내 알고리즘 아닌것 => AES
2. 패스워드 양방향 틀림
3. (하이레벨포맷,(),(),마스킹 및 천공) => 1번: 하이레벨 포맷
4. 지문 설명에 맞는 것 => 거부적 암호화
5. 블록암호화 틀린것 ? => OFB 오류 비트 있으면 전체 오염된다
6. 생체인증 틀린것 => 시간의존성
7. (홍채 음성 지문) - (스마트카드, OTP, ())
8. MAC(강제적접근제어) 틀린 것=> 이직자가 많은데 쓴다.
9. 타원곡선 공개키 알고리즘 (Elgamal,HEIGHT,RSA,Rabin) => HEIGHT
10. BLP 아닌 것 =>  1번: 기밀성과 무결성을 보장
11. SSL 오류 표시? => alert 프로토콜
12. 재전송 공격 막는 방법 아닌 것(nonce, 순서번호 타임스탬프 ..) => CBC
13. MAC(메시지 인증코드)관련 틀린 것 => 전자서명과 동일한 보안서비스를 제공한다
14. 전자서명 관련 선택지 중 틀린 것 => DES가 암호화에 사용된다
15. 스마트폰 OAuth3.0 => SSO를 적용하는 대부분의 앱에서 적용, ID Provider 데이터 미검증
16. NAC => 스팸메일 관련
17. 인증서 유효성 과 관련 있는 것 (CA,RA,CRL)=> CRL
18. 지문 설명 (비동기…OTP..) => 시도/응답
19.  SSO 와 관련 없는 것 => Kerberos, Radius, Sesame 제외한 나머지 답
20. raid 5  → ㄱ,ㄴ,ㄷ 답

보안관리법규

1. 틀린 것 => 보안보다 가용성(사용성?)이 우선이다
2. (사이버공격,침해사고) => 침해사고
3. 지문 설명에 맞는 것(정보보호..개인정보보호..) => isms-p
4. 1000명, 한국인터넷진흥원
5. bcp 관련 아닌것 => 1번 웜사이트 (설명이 콜드사이트임)
6. 빈칸 채우기 => 수집 가공 저장 검색 송수신
7. 정보보안최고책임자는 겸직 불가?
8. 내부 감사 관련 틀린 것 => 정보보호 전문가로만 제한한다.
9. 포렌식원칙 설명이 틀린 것( 기밀성의법칙, 신속성의 법칙, 무결성의 법칙..) => 기밀성의 법칙
10. 포렌식 틀린 것 => 컴퓨터 전원이 꺼져 있으면 전원을 킨다
11. 클라우드 제공자 의무 틀린 것=> 2번: 클라우드 서비스 중단 후 일정 기간 지나면 과학기술정보부장관에게 알려야 함
12. 위험분석 관련 틀린 것 => (보기: 위험 분석 후 보안 대책 낮게 설정, 가치에 따른 순서 상관 없는데 정성적 위험 분석) => ??
13. 개인정보 동의없이 수집 가능한 경우 (선택지: 경력직채용시, 물건 배달 시 주소... CCTV)=> 경력직 채용시
14. 개인정보 수집제한 (주민번호, 고유식별번호, 자기결정권) => 자기결정권
15. 틀린것 ? => 잔여위험-위험수용
16. 빈칸 채우기 => 공정성 독립성
17. 개인정보 동의없이 제3자 제공 가능한 것 =>  답 ㄷ. 정보주체 주소불명과 ㄹ. 통계작성 필요
18. 개인정보영향평가 틀린것 (개인정보 수, 제 3자 제공, 해할 가능성 및 그 위험정보, 보유기간)=> 4번: 보유기간
19. 단일 예상 손실 빈칸 채우기=> 자산가치, 노출
20. 마지막 문제 지문 (홍보…) => 1번 ~~에 관한 법률

합격자 발표는 4월 12일 10시


난이도가 꽤 있다.

합격하면 실기준비 돌입!