정보보안기사 실기 핵심 문제풀이 – 자주 나오는 유형 완벽 정리

by

정보보안기사 실기, 이것만 알면 합격한다

정보보안기사는 국내 정보보안 분야의 대표적인 국가기술자격증입니다. 필기보다 실기의 합격률이 훨씬 낮고 시험 범위가 넓어 많은 수험생들이 어려움을 겪습니다. 이 글에서는 실기에서 반복적으로 출제되는 핵심 유형과 함께 실제 문제 풀이 방식을 정리했습니다. 시험장에서 바로 써먹을 수 있는 내용 위주로 구성했습니다.

출제 유형 1: 네트워크 보안 – 방화벽 및 ACL

방화벽 정책과 ACL(Access Control List) 설정은 거의 매회 출제되는 단골 유형입니다.

대표 문제

Q. 다음 iptables 명령을 보고 의미를 설명하시오.
iptables -A INPUT -p tcp --dport 22 -s 192.168.1.0/24 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP

A. 첫 번째 규칙은 출발지 IP가 192.168.1.0/24 대역인 경우 TCP 22번 포트(SSH)로 들어오는 패킷을 허용합니다. 두 번째 규칙은 그 외 모든 출발지에서 오는 TCP 22번 포트 패킷을 차단합니다. 결과적으로 내부 네트워크(192.168.1.x)에서만 SSH 접속을 허용하고 외부에서는 차단하는 정책입니다.

핵심 포인트

  • iptables 규칙은 위에서 아래로 순서대로 적용됩니다. ACCEPT가 DROP보다 위에 있어야 의미가 있습니다.
  • -A: 규칙 추가 / -D: 규칙 삭제 / -L: 규칙 목록 조회
  • -j ACCEPT: 허용 / -j DROP: 차단(응답 없음) / -j REJECT: 차단(응답 있음)

출제 유형 2: 암호화 – 대칭키 vs 비대칭키

암호화 알고리즘 특징과 활용 방식은 이론과 응용 모두 출제됩니다.

대표 문제

Q. SSL/TLS 핸드셰이크 과정에서 대칭키와 비대칭키가 어떻게 활용되는지 설명하시오.

A. SSL/TLS 통신은 두 단계로 이루어집니다. 첫째, 핸드셰이크 단계에서 비대칭키(공개키 암호화)를 사용합니다. 클라이언트는 서버의 공개키로 세션키(대칭키)를 암호화해 전송합니다. 둘째, 실제 데이터 전송 단계에서는 핸드셰이크에서 교환한 대칭키를 사용해 데이터를 암호화합니다. 이렇게 하는 이유는 비대칭키는 안전하지만 속도가 느리고, 대칭키는 빠르지만 키 교환 시 도청 위험이 있기 때문에 두 방식을 결합해 안전성과 속도를 모두 확보하기 위해서입니다.

핵심 포인트

  • 대칭키 알고리즘: AES(현재 표준), DES(취약), 3DES, SEED, ARIA
  • 비대칭키 알고리즘: RSA, ECC, DSA
  • 해시 알고리즘: SHA-256(권장), MD5(취약, 사용 금지), SHA-1(취약)

출제 유형 3: 웹 보안 – OWASP Top 10 취약점

SQL 인젝션, XSS, CSRF 등 웹 취약점 관련 문제는 거의 매회 빠지지 않습니다.

대표 문제

Q. 다음 URL을 보고 어떤 공격인지 설명하고, 대응 방안을 쓰시오.
https://example.com/user?id=1 OR 1=1--

A. SQL 인젝션 공격입니다. id 파라미터에 1 OR 1=1--를 입력해 WHERE 조건을 항상 참으로 만들어 모든 사용자 정보를 조회하려는 시도입니다. --는 SQL 주석 처리로 이후 쿼리를 무력화합니다.

대응 방안:

  • Prepared Statement(파라미터화 쿼리) 사용
  • 입력값 화이트리스트 검증
  • 데이터베이스 계정 최소 권한 적용
  • WAF(웹 방화벽) 적용

출제 유형 4: 시스템 보안 – 접근 통제 모델

대표 문제

Q. MAC, DAC, RBAC의 개념과 차이점을 설명하시오.

A.

  • MAC(강제적 접근 통제): 시스템이 보안 레이블을 부여하고 이를 기반으로 접근을 강제로 통제합니다. 사용자의 의지와 무관하게 시스템이 결정합니다. 군사 보안 시스템에 주로 사용됩니다. (예: Bell-LaPadula 모델)
  • DAC(임의적 접근 통제): 자원 소유자가 접근 권한을 자유롭게 설정합니다. 유연하지만 소유자 실수에 의한 보안 취약성이 생길 수 있습니다. 유닉스 파일 시스템의 chmod가 대표적입니다.
  • RBAC(역할 기반 접근 통제): 사용자에게 역할을 부여하고, 역할에 권한을 매핑합니다. 기업 환경에서 가장 널리 사용되는 방식으로 관리가 용이합니다.

출제 유형 5: 보안 프로토콜 및 인증

대표 문제

Q. PKI(공개키 기반구조)의 구성 요소를 설명하고 인증서 발급 과정을 서술하시오.

A. PKI 구성 요소:

  • CA(인증기관): 인증서를 발급하고 관리하는 최상위 신뢰 기관
  • RA(등록기관): CA를 대신해 사용자 신원 확인 및 등록 처리
  • CRL(인증서 폐기 목록): 유효기간 내 폐기된 인증서 목록
  • OCSP: 실시간 인증서 유효성 확인 프로토콜

인증서 발급 과정: 사용자가 공개키와 개인키 쌍 생성 → 공개키와 신원 정보를 포함한 CSR(인증서 서명 요청) 생성 → CA에 CSR 제출 → CA가 신원 확인 후 디지털 서명하여 인증서 발급 → 인증서 사용자에게 전달

마무리 – 정보보안기사 실기 합격 전략

정보보안기사 실기는 단순 암기보다 개념 이해와 응용 능력이 중요합니다. 위에서 다룬 5가지 유형을 완벽하게 이해하고, 각 답안을 자신의 언어로 서술할 수 있는 수준이 되어야 합니다. 매회 새로운 문제가 나오더라도 핵심 개념을 이해하면 답안을 도출할 수 있습니다. 기출문제 5개년치를 반복 풀이하는 것이 합격의 지름길입니다.

Leave a Comment