🛡️ 정보보안기사 | 시스템보안 핵심 정리 (1-1편)
윈도우·리눅스 보안 설정부터 악성코드, 버퍼 오버플로우, 접근통제 모델까지
시험 빈출 61문항을 주제별로 완벽 정리합니다.
#정보보안기사 #시스템보안 #윈도우보안 #리눅스보안 #악성코드 #접근통제
📋 목차
- 1. 윈도우 이벤트 로그
- 2. 윈도우 보안 명령어
- 3. 리눅스 파일·권한·명령어
- 4. 버퍼 오버플로우 공격과 방어
- 5. 악성코드 유형 완벽 정리
- 6. 네트워크 공격 기법
- 7. 접근통제 모델 (MAC·DAC·RBAC)
- 8. 시험 출제 포인트 요약
1. 윈도우 이벤트 로그
🔧 현직자 실무 포인트
침해사고 대응 시 가장 먼저 확인하는 것이 이벤트 로그입니다. 어떤 로그에 무엇이 기록되는지 정확히 알아야 포렌식과 로그 분석이 가능합니다. 감사 정책(secpol.msc)으로 어떤 이벤트를 기록할지 미리 설정해두는 것이 핵심입니다.
| 로그 유형 | 기록되는 내용 | 실무 활용 |
|---|---|---|
| 보안 로그 | 로그온 성공·실패, 계정 추가·삭제 | 침해사고 시 최우선 확인 |
| 시스템 로그 | 시스템 시작·종료, 원격 데스크탑 접속 | 비인가 원격접속 탐지 |
| 응용프로그램 로그 | 그룹 멤버 추가·삭제, 앱 오류 | 권한 변경 추적 |
| 셋업 로그 | 보안 패치 적용 정보 | 패치 관리 현황 파악 |
📁 로그 파일 확장자
Windows Vista 이상 → .evtx
Windows XP 이하 → .evt
| 감사 정책 | 감사 대상 |
|---|---|
| 시스템 이벤트 | 시스템 시작·종료, 보안 로그 영향 이벤트 |
| 계정 로그온 이벤트 | 도메인 컨트롤러에서 도메인 사용자 인증 |
| 프로세스 추적 | 프로세스 생성·종료·핸들 복제 |
🎯 시험 출제 포인트
- 보안 로그 = 로그온 성공·실패, 계정 추가·삭제
- 시스템 로그 = 시스템 시작·종료, 원격 데스크탑
- 감사 정책 설정 경로: secpol.msc
- Vista 이상 확장자: .evtx / XP 이하: .evt
2. 윈도우 보안 명령어 & 그룹
Q 공유 폴더 목록을 확인하는 명령어는?
→ net share관리자 권한으로 실행. 숨김 공유(C$, ADMIN$)까지 모두 표시됩니다.
Q 계정을 Administrators 그룹에 추가하는 명령어는?
→ net localgroup administrators [계정명] /add삭제는 /delete. 그룹 관리의 기본 명령어입니다.
Q 계정을 활성화/비활성화하는 명령어는?
→ net user [계정명] /active:yes | /active:no비활성화된 Guest, Administrator 계정 관리에 사용합니다.
| 그룹 | 특징 |
|---|---|
| Power Users | 로컬에서는 관리자 권한, 외부 네트워크에서는 일반 사용자 |
| Backup Operators | 백업 목적으로 모든 파일·디렉터리 접근 가능 |
🔐 BitLocker
드라이브 전체 암호화 + TPM(Trusted Platform Module)으로 무결성 검사. 노트북 분실·디스크 분리 시 데이터 탈취 방지. 엔터프라이즈 환경에서 필수 보안 정책입니다.
3. 리눅스 파일·권한·보안 명령어
🔧 현직자 실무 포인트
리눅스 서버 운영 시 /etc/shadow 파일 권한, SUID 파일 목록, 열린 소켓 확인은 정기 보안 점검 항목입니다. 특히 find -perm -4000 명령으로 SUID 바이너리를 주기적으로 점검하는 것이 중요합니다.
| 파일 | 저장 내용 | 접근 권한 |
|---|---|---|
| /etc/passwd | 계정명, UID, GID, 홈 디렉터리, 쉘 정보 | 모든 사용자 읽기 |
| /etc/shadow | 패스워드 해시값, 만료 정보 | root만 읽기 |
| /etc/login.defs | 패스워드 최대·최소 사용 기간, 최소 길이 | 패스워드 정책 파일 |
| 명령어 | 기능 | 비고 |
|---|---|---|
| chown | 파일 소유자 변경 | change owner |
| chmod | 파일 권한 변경 | change mode |
| chattr +i | Immutable 속성 부여 (root도 삭제 불가) | 해제: chattr -i |
| find / -perm -4000 | Set-UID 설정 파일 탐색 | Set-GID: -2000 |
| lsof | 열린 파일 + 네트워크 소켓 전체 확인 | list open files |
| strace | 프로세스의 시스템 콜 추적 | 트로이목마 탐지 |
| top | CPU·메모리 실시간 모니터링 | 프로세스 이상 탐지 |
| ifconfig / ip addr | 네트워크 인터페이스 설정 확인 | IP·MAC 확인 |
🔢 파일 권한 숫자 정리
4 = 읽기(r) | 2 = 쓰기(w) | 1 = 실행(x)
444 = 소유자·그룹·기타 모두 읽기 전용
777 = 모두 읽기·쓰기·실행 (보안상 위험)
755 = 소유자 전체 / 그룹·기타 읽기+실행 (일반 실행파일 권장)
🎯 시험 출제 포인트
- 패스워드 해시 저장: /etc/shadow
- 패스워드 정책 파일: /etc/login.defs
- Set-UID 탐색: find / -perm -4000
- Immutable 설정: chattr +i / 속성 확인: lsattr
- 소유자 변경: chown / 권한 변경: chmod
4. 버퍼 오버플로우 공격과 방어
🔧 현직자 실무 포인트
ASLR, NX bit, Stack Canary는 현재 리눅스/윈도우 기본 탑재 방어 기법입니다. 소스코드 보안 점검(SAST) 시 이 기법들의 적용 여부를 반드시 확인합니다.
Q 공격자가 리턴 주소를 덮어쓰는 이유는?
→ 악성 쉘코드가 위치한 주소로 실행 흐름을 변경하기 위해함수 종료 시 리턴 주소로 점프하는 CPU 동작을 악용합니다.
| 방어 기법 | 원리 | 키워드 |
|---|---|---|
| Stack Canary | 스택에 카나리 값 삽입 → 리턴 전 변조 여부 확인 | 변조 감지 시 종료 |
| NX bit / DEP | 스택 영역에서 코드 실행 금지 | No-eXecute |
| ASLR | 실행 시마다 스택·힙·라이브러리 주소 랜덤 배치 | 주소 예측 불가 |
Q 포맷 스트링 공격에서 임의 메모리에 값을 쓸 수 있는 지시자는?
→ %n지금까지 출력된 문자 수를 해당 포인터 주소에 씁니다. printf() 입력값 검증 미흡 시 발생합니다.
Q 레이스 컨디션(Race Condition) 공격이란?
→ 두 프로세스가 공유 자원에 동시 접근하는 타이밍을 이용한 공격심볼릭 링크로 임시 파일을 교체하는 방식이 대표적입니다.
5. 악성코드 유형 완벽 정리
자기복제 + 독립실행
🪱 웜 (Worm)
숙주 파일 없이 네트워크로 스스로 전파. 바이러스와의 차이점이 시험 핵심.
정상 프로그램 위장
🐴 트로이목마
자기복제 없음. 사용자가 직접 실행해야 작동. 백도어·키로거 포함 多.
키보드 입력 탈취
⌨️ 키로거
ID·패스워드·카드번호 등 민감 정보 몰래 기록 후 외부 전송.
자신을 숨기는 악성코드
🥷 루트킷
OS 핵심 기능 변조로 탐지 회피. 지속적 접근 유지가 목적.
파일 암호화 + 금전 요구
💰 랜섬웨어
Ransom = 몸값. 복호화 키를 대가로 비트코인 요구.
개인정보 무단 수집
🕵️ 스파이웨어
사용자 동의 없이 개인정보 수집 → 외부 서버 전송.
광고 표시·정보 수집
📢 애드웨어
동의 없는 광고 표시 또는 광고 목적 개인정보 수집 프로그램.
좀비 컴퓨터 집합
🤖 봇넷 (Botnet)
악성코드 감염 PC들이 C&C 서버 명령으로 DDoS 등 공격 수행.
📡 C&C 서버 (Command & Control)
봇마스터가 봇넷을 원격 제어하는 서버. C&C 서버 차단 = 봇넷 공격 무력화. 침해사고 대응 시 C&C 서버 IP 차단이 핵심 조치입니다.
🎯 악성코드 비교 — 시험 핵심 구별 포인트
- 웜 vs 바이러스: 웜은 숙주 파일 불필요, 바이러스는 숙주 파일 필요
- 트로이목마: 자기복제 없음 → 사용자가 직접 실행해야 작동
- 루트킷: 탐지 회피가 목적, OS 핵심 기능 변조
- 랜섬웨어: 파일 암호화 후 금전 요구 = Ransom(몸값)
6. 네트워크 공격 기법
| 공격명 | 원리 | 핵심 키워드 |
|---|---|---|
| 스머프 공격 | 출발지 IP 위조 + 브로드캐스트 ICMP 전송 → 다수가 피해자에게 응답 | ICMP 증폭 |
| SYN Flood | 위조 SYN 패킷 대량 전송 → 연결 대기 큐 고갈 | 자원 소진 |
| SYN Cookie | SYN Flood 대응 — 연결 완료 전 서버 자원 미할당 | SYN Flood 방어 |
| UDP Flood | 대량 UDP 패킷 → 대역폭·자원 고갈 | IP 위조 용이 |
| 스니핑 | 프로미스큐어스 모드로 타인의 패킷 캡처·도청 | Promiscuous Mode |
| ARP Spoofing | 위조 ARP 응답 → ARP 캐시 변조 → 트래픽 가로채기 | 중간자 공격(MitM) |
| IP Spoofing | 출발지 IP 주소 위조 | DDoS, 신뢰 관계 악용 |
| 세션 하이재킹 | 인증된 사용자의 세션 ID·쿠키 탈취 → 권한 도용 | 세션 ID 도용 |
| 패스워드 공격 | 설명 | 대응 |
|---|---|---|
| 브루트 포스 | 모든 문자 조합 시도. 반드시 성공하지만 시간 소요. | 계정 잠금 정책 |
| 레인보우 테이블 | 미리 계산된 해시값-원문 테이블 대조 | 솔팅(Salting) |
| 솔팅(Salting) | 패스워드에 랜덤 솔트 추가 후 해시 생성 → 같은 패스워드도 다른 해시 | 레인보우 테이블 무력화 |
🎭 사회공학 공격 유형
피싱(Phishing) — 불특정 다수 대상
스피어 피싱(Spear Phishing) — 특정 표적, 개인화 정보 활용, 더 정교함
비싱(Vishing) — 전화(Voice) 이용
스미싱(Smishing) — SMS 이용
7. 접근통제 모델 & 보안 원칙
🔧 현직자 실무 포인트
ISMS-P 인증 심사 시 접근통제 정책의 근거 모델을 묻는 경우가 있습니다. 기업 환경에서는 대부분 RBAC 기반으로 운영되며, 군사·정부 기관은 MAC을 사용합니다.
| 모델 | 영문 | 권한 결정자 | 특징 |
|---|---|---|---|
| MAC (강제적) | Mandatory AC | 시스템·관리자 | 보안 레이블 기반. 군사용. |
| DAC (임의적) | Discretionary AC | 자원 소유자 | 소유자가 권한 부여·회수. |
| RBAC (역할기반) | Role-Based AC | 역할(직책·부서) | 기업 환경에서 가장 널리 사용. |
| 보안 모델 | 목적 | 핵심 원칙 2가지 |
|---|---|---|
| Bell-LaPadula | 기밀성 | No Read Up — 높은 등급 문서 읽기 금지 No Write Down — 낮은 등급 파일 쓰기 금지 |
| Biba | 무결성 | No Write Up — 낮은 등급에서 높은 등급으로 쓰기 금지 No Read Down — 낮은 등급 읽기 금지 |
🔒 CIA 트라이어드 (정보보안 3대 목표)
기밀성(Confidentiality) — 허가된 자만 접근 가능
무결성(Integrity) — 인가되지 않은 변경 방지
가용성(Availability) — 언제나 사용 가능한 상태 유지
8. 📌 최종 시험 출제 포인트 요약
🎯 이것만 외워도 절반은 맞는다
- 보안 로그 = 로그온, 계정 추가·삭제 | 시스템 로그 = 시작·종료, 원격 데스크탑
- Vista 이상 로그 확장자: .evtx / XP 이하: .evt
- 감사 정책 경로: secpol.msc
- 패스워드 해시: /etc/shadow | 정책: /etc/login.defs
- Set-UID 탐색: find / -perm -4000
- 버퍼 오버플로우 방어: Stack Canary / NX bit / ASLR
- 웜 = 숙주 불필요 / 트로이목마 = 자기복제 없음, 사용자 실행 필요
- 레인보우 테이블 대응: 솔팅(Salting)
- SYN Flood 대응: SYN Cookie
- ARP Spoofing = 중간자 공격(MitM)
- Bell-LaPadula = 기밀성 (No Read Up, No Write Down)
- Biba = 무결성 (No Write Up, No Read Down)
- MAC=강제적 / DAC=임의적 / RBAC=역할기반