2022-1-(5) 정보시스템 구축관리(20문항)

81) 소프트웨어 생명주기 모델 중 나선형 모델(Spiral Model)과 관련한 설명

• 소프트웨어 개발 프로세스를 위험 관리(Risk Management) 측면에서 본 모델이다.
• 점진적으로 개발 과정이 반복되므로 위험분석 또한 계획 수립 이후 추가적인 위험 분석이 가능하다
• 시스템을 여러 부분으로 나누어 여러 번의 개발 주기를 거치면서 시스템이 완성된다
• 요구사항이나 아키텍처를 이해하기 어렵다거나 중심이 되는 기술에 문제가 있는 경우 적합한 모델이다.

---

82) 정보시스템과 관련된 내용

• 고가용성 솔루션(HACMP : High Availability Clustering Multiprocessing)
  - 서버와 네트워크, 프로그램 등의 정보 시스템이 상당히 오랜 기간 동안 지속적으로 정상 운영이 가능한 성질을 말한다.
  고(高)가용성이란 "가용성이 높다"는 뜻으로서, "절대 고장 나지 않음"을 의미한다. 고가용성은 흔히 가용한 시간의 비율을 99%, 99.9% 등과 같은 퍼센티지로 표현하는데, 1년에 계획된 것 제외 5분 15초 이하의 장애시간을 허용한다는 의미의 파이브 나인스(5 nines), 즉 99.999%는 매우 높은 수준으로 고품질의 데이터센터에서 목표로 한다고 알려져 있다. 하나의 정보 시스템에 고가용성이 요구된다면, 그 시스템의 모든 부품과 구성 요소들은 미리 잘 설계되어야 하며, 실제로 사용되기 전에 완전하게 시험되어야 한다.
  - 각 시스템 간에 공유 디스크를 중심으로 집단화하여 클러스터로 엮어지게 만들 수 있다. 동시에 다수의 시스템을 클러스터로 연결할 수 있지만 주로 2개의 서버를 연결하는 방식을 많이 사용한다. 만약 클러스터로 묶인 2개의 서버 중 1대의 서버에서 장애가 발생할 경우, 다른 서버가 즉시 그 업무를 대신 수행하므로, 시스템 장애를 불과 몇 초만에 복구할 수 있다. 고가용성 저장 장치로 레이드(RAID) 방식과 샌(SAN) 방식이 많이 이용되고 있다.
• 점대점 연결 방식(Point-to-Point Mode)
  - 네트워크에 있어 물지적으로는 중개 장치를 통과하지 않고 한 지점에서 다른 지점으로 직접 가는 채널
  - 두 스테이션간을 별도의 회선을 사용하여 1 대 1 로 연결
  - 전용회선이나 공중 전화 회선을 이용
  - 회선 구성이 간단하고 대용량 전송에 유리
  - 별도의 회선과 포트에 따른 높은 설치 비용
• 스턱스넷(Stuxnet)
  -2010년 6월에 발견된 웜 바이러스
  -윈도우를 통해 감염, 지맨스산업의  SW및 장비를 공격
• 루팅(Rooting)
  -모바일 기기에서 구동되는 안드로이드 운영체제상에서 최상위 권한(루트 권한)을 얻음으로 해당 기기의 생산자 또는 판매자 측에서 걸어 놓은 제약을 해제하는 행위

---

83) 보안 공격

• Parsing : 하나의 프로그램을 런타임 환경(예를 들면, 브라우저 내 자바스크립트 엔진)이 실제로 실행할 수 있는 내부 포맷으로 분석하고 변환하는 것을 의미한다
• LAN Tapping : Lan+Tapping으로 해석해 본다면 LAN신호를 직접 자신에게 끌어오는 방식의 공격정도로 해석
• Switch Jamming : 스위치의 기능이 방해 받아 정상 동작을 하지 못해 스위치가 더미 허브(네트워크를 연결하는 장치)처럼 작동하게 되는 것 
  Switch + Jamming(방해)
• FTP(SYN) Flooding :
  TCP의 3 Way Handshake 취약점을 이용한 Dos 공격으로 다량의 syn패킷을 보내 백로그큐를 가득 채우는 공격
  통상적으로 위의 공격법을 TCP SYN Flooding이라고 칭하는 경우가 많음
  FTP프로토콜을 사용한 서버에 다량의 SYN패킷을 보내 마비시키는것을 FTP Flooding이라고 볼 수 있다.

---

84) 스토리지 시스템

• 직접 연결 저장장치(Direct-attached storage, DAS) : 하드디스크와 같은 데이터 저장장치를 호스트버스 어댑터에 직접 연결하는 방식
  저장장치와 호스트 기기 사이에 네트워크 디바이스 없이 직접 연결하는 방식으로 구성
• 네트워크 결합 스토리지( Network Attached Storage, NAS)
• 근거리 무선 통신(NFC) 

---

85) 취약점 관리를 위해 일반적으로 수행하는 작업

• 무결성 검사
• 응용 프로그램의 보안 설정 및 패치(Patch) 적용
• 활성화된 프로세스와 열린 포트를 중심으로 확인
• 불필요한 서비스 및 악성 프로그램의 확인과 제거

---

86) 소프트웨어 생명주기 모델 중 하나인 "V 모델"

• 소프트웨어 개발 프로세서로 폭포수 모델의 확장된 형태 중 하나로 볼 수 있다.
• 아래 방향으로 선형적으로 내려가면서 진행되는 폭포수 모델과 달리, 이 프로세서는 코딩 단계에서 위쪽으로 꺾여서 알파벳 V자 모양으로 진행된다.
• 검증(Verification) 단계
  1. 요구사항 분석
  2. 시스템 설계
  3. 아키텍처 설계
  4. 모듈 설계
• Perry에 의해 제안되었으며 세부적인 테스트 과정으로 구성되어 신뢰도 높은 시스템을 개발하는데 효과적이다.
• 개발 작업과 검증 작업 사이의 관계를 명확히 들어내 놓은 폭포수 모델의 변형이라고 볼 수 있다.
• 폭포수 모델이 산출물 중심이라면 V 모델은 작업과 결과의 검증에 초점을 둔다.

---

87) 블루투스 공격과 해당 공격에 대한 설명

• 블루버그(BlueBug) : 블루투스 장비사이의 취약한 연결 관리를 악용한 공격
• 블루스나프(블루스나핑) : 블루투스의 취약점을 활용하여 장비의 파일에 접근하는 공격으로 OPP를 사용하여 정보를 열람
• 블루재킹 : 블루투스를 이용해 스팸처럼 명함을 익명으로 퍼뜨리는 것
• 블루프린팅(BluePrinting) : 블루투스 공격 장치의 검색 활동을 의미
• OPP(Obex Push Protocol)? 블루투스 장치끼리 인증 없이 정보를 간편하게 교환하기 위해 개발됨

---

88)Dos(Denial of Service) 공격에 대한 내용

• Ping of Death 공격은 정상 크기보다 큰 ICMP 패킷을 작은 조각(Fragment)으로 쪼개어 공격 대상이 조각화 된 패킷을 처리하게 만드는 공격 방법이다.
• Smurf 공격은 브로드캐스트를 활용하여 공격 대상이 네트워크의 임의의 시스템에 패킷을 보내게 만드는 공격이다.
• SYN Flooding은 존재하지 않는 클라이언트가 서버별로 한정된 접속 가능 공간에 접속한 것처럼 속여 다른 사용자가 이용하지 못하게 하는 것이다.
• Land 공격은 패킷 전송 시 출발지 IP주소와 목적지 IP주소 값을 똑같이 만들어서 공격 대상에게 보내는 공격 방법이다.

---

89) 시스템 관련 설명

• Honeypot
  1990년대 David Clock이 처음 제안하였다.
  비정상적인 접근의 탐지를 위해 의도적으로 설치해 둔 시스템으로, 침입자를 속여 실제 공격당하는 것처럼 보여줌으로써 크래커를 추적 및 공격기법의 정보를 수집하는 역할을 한다.
  쉽게 공격자에게 노출되어야 하며 쉽게 공격이 가능한 것처럼 취약해 보여야 한다.
• Hadoop
  오픈 소스를 기반으로한 분산 컴퓨팅 플랫폼, 대형 스토리지, 빅데이터 관련
• Apache
  월드 와이드 웹 컨소시엄(w3c)에서 사용하고 아파치 소프트웨어 재단에서 관리 및 운영하는 서버용 오픈소스 스프트웨어
• MapReduce
  대용량 데이터를 분산 처리하기 위한 목적으로 Google에 의해 고안된 프로그래밍 모델

---

90) IT 기술 관련

• StackGuard
  Stack 상에 일정한 주소번지에 프로그램이 선언한 canary를 심어 두어, 스택이 변조된 경우에 canary를 체크하여 프로그램을 비정상적으로 종료시키는 기법
• Docker
  컨테이너 응용프로그램의 배포를 자동화하는 오픈소스 엔진으로, SW컨테이너 안에 응용 프로그램들을 배치시키는 일을 자동화해 주는 오픈 소스 프로젝트이자 스프트웨어로 볼 수 있다.
• Cipher Container
  자바에서 암호화, 복호화 기능을 제공하는 컨테이너
• Scytale
  암호화 기법으로 단순하게 문자열의 위치를 바꾸는 방법

---

91) 간트 차트(Gantt Chart)

• 프로젝트를 이루는 소작업 별로 언제 시작되고 언제 끝나야 하는지를 한 눈에 볼 수 있도록 도와준다.
• 자원 배치 계획에 유용하게 사용된다.
• CPM 네트워크로부터 만드는 것이 가능하다.
• 수평 막대의 길이는 각 작업(Task)에 필요한 기간을 나타낸다.

---

92) Python 기반 웹 크롤링(Web Crawling) 프레임 워크 : Scrapy

    +

• Li-Fi : 스펙트럼의 빛을 이용한 5세대 이동 통신 기술
• Scrapy : 파이썬 기반의 웹크롤러 프레임 워크, 가볍고 빠르고 확장성이 좋다
• SBAS(위성항법보강시스템) : GPS의 오차를 보정해 신뢰성과 안정성을 높인 기법

---

93) Secure 코딩에서 입력 데이터의 보안 약점에 관한 설명

• SQL 삽입 : 사용자의 입력 값 등 외부 입력 값이 SQL 쿼리에 삽입되어 공격
• 크로스사이트 스크립트 : 검증되지 않은 외부 입력 값에 의해 브라우저에서 악의적인 코드가 실행
• 운영체제 명령어 삽입 : 운영체제 명령어 파라미터 입력 값이 적절한 사전검증을 거치지 않고 사용되어 공격자가 운영체제 명령어를 조작
• 자원 삽입 : 자원을 조작 할 수 있는 문자열을 삽입하여 시스템이 보호하는 자원에 임의로 접근 할 수 있는 취약점

---

94)Windows 파일 시스템인 "FAT" vs "NTFS"  (USB 포맷 생각하면 감이 옴)

• FAT
  DOS때부터 사용되던 윈도우의 파일시스템
  저용량에 적합, 호환성이 좋다. 저장가능한 파일의 최대크기가 4GB
• NTFS
  FAT시스템을 대체하기 위해 개발된 윈도우 파일 시스템
  사용자마다 다른 보안 적용 가능, 즉 보안이 FAT보다 뛰어남
  대용량 저장 가능 및 안정성이 뛰어남

---

95) DES는 몇 비트의 암호화 알고리즘인가? 64비트!

DES의 키는 7비트마다 오류 검출을 위한 정보가 1비트씩 들어가기 때문에 실질적으로 56비트이다.

추가적으로 AES는 암호화 알고리즘은 AES-128, AES-192, AES-256로 나뉘어지며 숫자는 비트수 이다.

---

96) 리눅스에서 생성된 파일 권한이 644일 경우 umask 값은?

파일 생성 권한 666에서 644를 빼면 022.

---

97) wtmp

• 리눅스 시스템에서 사용자의 성공한 로그인/로그아웃 정보를 담고 있는 로그파일
• 시스템의 종료/시작 시간 기록
• var / log / wtmp에 위치
• last 명령어 사용

+

• utmp : 현재 로그인 사용자 상태 정보를 담고 있는 로그파일
• btmp : 실패한 로그인 정보를 담고 있는 로그파일
• last log : 마지막으로 성공한 로그인 정보를 담고있는 로그파일

---

98)상향식 비용 산정 기법 중 LOC(원시 코드 라인 수) 기법에서 예측치를 구하기 위해서는

낙관치, 비관치, 기대치가 필요하다.

---

99) OSI 7 Layer 전 계층의 프로토콜과 패킷 내부의 콘텐츠를 파악하여 침입 시도, 해킹 등을 탐지하고 트래픽을 조정하기 위한 패킷 분석 기술은?

DPI(Deep(내부) Packet inspection(분석)) : 네트워크에서 전송되는 패킷의 헤더와 페이로드 내 정보를 분석하는 컨텐츠 내용 분석 기술, 네트워크 보안, 관리, 컨텐츠 관리 등이 목적이다.

+

• PLCP(Physical layer convergence procedure, 물리계층 수렴 처리)
  논리적인 802.11 MAC 부계층과 물리적인 특성을 연결하는 역할
  802.11 MAC 부계층이 물리적 특성에 관계없이 동작하도록 함
• Traffic Distributor
  네트워크 통신 간에 트래픽을 분배해주는 솔루션

---

100) 소프트웨어 개발 방법론의 테일러링(Tailoring)

• 프로젝트 상황 특성에 맞게 정의된 소프트웨어 개발 방법론 절차, 사용기법 등을 수정 및 보완하는 작업
• 프로젝트에 최적화된 개발 방법론을 적용하기 위해 절차, 산출물 등을 적절히 변경하는 활동이다.
• 관리 측면에서의 목적 중 하나는 최단기간에 안정적인 프로젝트 진행을 위한 사전 위험을 식별하고 제거하는 것이다.
• 기술적 측면에서의 목적 중 하나는 프로젝트에 최적화된 기술 요소를 도입하여 프로젝트 특성에 맞는 최적의 기법과 도구를 사용하는 것이다.