2015 년국가직 9 급정보보호론총평 - 지안학원조상진교수 1. 문제분석 ( 가 ) 전년도에비해난이도상승 2014년에정보보호론은총 7회 (5회공개, 2회비공개 ) 실시되었습니다. 전년도가장난이도있게출제된시험이지방직시험이었는데, 이와비슷하거나약간어려운것같습니다. 전체적으로지문도길어졌고, 문제도천천히읽고생각하지않으면틀릴수있는함정이있는문제들이많이보입니다. 정보보호론을전체적으로이해하지않고, 단순암기식으로공부하신분들은방향의전환이필요해보입니다. ( 나 ) 법규 문제에서 2문제로축소전년도행정자치부에서시행된시험의공통점이법규가 문제씩출제되었습니다. 행정자치부외의다른시험들은 1~2문제씩비율이다소낮았습니다. 행정자치부만정보보호론전체에서 15% 의비율은다소높은것같아서모의고사훈련때 10% 로낮추어훈련했는데, 동일비율로출제되었네요. 2문제모두수업시간에강조한용어와주민등록번호처리에관련된내용이출제되었습니다. 지방직시험에서도 2문제가출제되면이비율로계속갈것같은생각이듭니다. ( 다 ) 눈여겨봐야할문제들 1. 안드로이드보안 : 최신경향의문제로출제한것같습니다. 폐쇄형 ( 애플 ) 과개방형 ( 안드로이드 ) 의차이점에대한이해가필요해보입니다. 2. 개인정보보호인증 (PIPL) : CC와함께평가관련문제가 2문제출제되었는데, PIMS 에서한단계에더들어간심사와관련된내용을출제했습니다.. Unix 로그파일 : 전년도교육청시험에서한번나온적있는데, 이문제가국가직에출제되었습니다. 많은수험생들이유닉스공부해야하냐고물었는데, 해야할것같습니다. 하지만, 깊게들어갈필요는없다고보여집니다. 2. 탑스팟정보보호론적중률분석 ( 가 ) 적중률 (91~9%) 안드로이드보안관련내용은 2014년교재에는수록해서제가간단하게언급한적이있었는데, 공무원 / 정보보안기사시험모두에출제가안되어 2015년교재에는제외시켰는데출제가되었네요. 스니퍼탐지방법 (Decoy), 개인정보보호인증 (PIPL), 보안참조모니터는모두교재에언급된내용으로역으로추론해서충분히풀수있었을것같습니다. 나머지문제들은이론서, 1000제, 모의고사자료에모두있었습니다. 전체적으로탑스팟교재에서 91~9% 정도의적중률을보였습니다.
. 향후학습방향 ( 가 ) 회독수를늘려라. 정보보호론시험이올해 2년차에들어갑니다. 공무원시험에앞서정보보안기사시험이 1년앞서현재 년차에들어갔습니다. 올해는국가직에앞서 월28일에시행되었습니다. 전년도에는정보보호론시험첫해로단순한문제들이대다수여서합격자의점수들이거의 90점이상였습니다. 하지만, 올해는정보보호론도공무원스타일의문제로가는것같은느낌을받습니다. 앞으로난이도는이와비슷하거나더높을것같습니다. 강의를한번씩들으시고, 강의를토대로이론서나 1000제를반복하면충분히고득점을받을수있습니다. 4. 지안공무원학원향후수업안내 ( 가 ) 국가직 9급해설강의 ( 나 ) 지방직, 서울시등대비모의고사반 (5 주 ) ( 나 ) 출제범위제가공무원강의와함께자격증강의 ( 알기사, 정보보안기사 ) 도하는데, 올해시행된국가직 9급시험을보니까출제범위는거의결정된것같습니다. 전년도교육청에서나온유닉스보안이국가직에서도나왔기에실무관점에서는깊게들어가지않더라도유닉스관련로그정도는알고있어야하고요. 대학교재외에실무법률도모두숙지해야합니다. 특히법률은최신개정내용을유심히보셔야하고요. 탑스팟교재는위의범위를모두커버하고있습니다. 보안전문가는최신공격기법등보안동향을알고있어야합니다. 그러기에시험도이를묻는문제가출제되는데, 이런문제들은수업시간에추가자료를제공토록하겠습니다. ( 다 ) 7급대비모의고사반 (6주) ( 라 ) 2016년개정판 기타지안 / 탑스팟가족이든아니든개인적으로정보보호론공부방법에대해서궁금한내용이있으신분들은 kingsalt1102@naver.com으로메일보내시면제가아는범위내에서성심껏답변드리도록하겠습니다. 감사합니다. - 2 -
2015 년국가직 9 급시험 -2015 년 4 월 18 일시행 1. 다음에제시된 < 보기 1> 의사용자인증방법과 < 보기 2> 의사 용자인증도구를바르게연결한것은? 보기1 ㄱ. 지식기반인증 ㄴ. 소지기반인증 ㄷ. 생체기반인증 보기2 A. OTP 토큰 B. 패스워드 C. 홍채 ㄱ ㄴ ㄷ 1 A B C 2 A C B B A C 4 B C A 2. 정보통신망이용촉진및정보보호등에관한법률 상용어의정의에대한설명으로옳지않은것은? 1 정보통신서비스 : 전기통신사업법 제2조제6호에따른전기통신역무와이를이용하여정보를제공하거나정보의제공을매개하는것 2 정보통신망 : 전기통신사업법 제2조제2호에따른전기통신설비를이용하거나전기통신설비와컴퓨터및컴퓨터의이용기술을활용하여정보를수집 가공 저장 검색 송신또는수신하는정보통신체제 통신과금서비스이용자 : 정보보호제품을개발 생산또는유통하는사람이나정보보호에관한컨설팅등과관련된사람 4 침해사고 : 해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스거부또는고출력전자기파등의방법으로정보통신망또는이와관련된정보시스템을공격하는행위를하여발생한사태 유형 설명 예 Type1 주체는그가알고있는것을보여줌 패스워드 ( 지식 ) (Something you know) Type2 주체는그가가지고있는것을보여줌 토큰 ( 소유 ) (Something you have) Type ( 존재 ) 주체는그를나타내는것을보여줌 (Something you are) 생체인증 " 이용자 " 란정보통신서비스제공자가제공하는정보통신서비스를이용하는자를말한다. " 정보보호산업 " 이란정보보호제품을개발 생산또는유통하는사업이나정보보호에관한컨설팅등과관련된산업을말한다. " 통신과금서비스이용자 " 란통신과금서비스제공자로부터통신과금서비스를이용하여재화등을구입 이용하는자를말한다. 나머지용어는법률에나열된용어의정의이다. 패스워드는지식기반인증의대표적인수단이고, OTP(One Time Password) 토큰은소유 ( 소지 ) 기반인증이고, 홍채는최근에많이주목받는생체기반인증기법이다. - -
. 안드로이드보안에대한설명으로옳지않은것은? 1 리눅스운영체제와유사한보안취약점을갖는다. 2 개방형운영체제로서의보안정책을적용한다. 응용프로그램에대한서명은개발자가한다. 4 응용프로그램간데이터통신을엄격하게통제한다. 애플리케이션마켓에서적용하는보안방식은폐쇄형 ( 애플 ) 과개방형 ( 안드로이드 ) 이있다. 개방형은마켓만열어놓고개입하지않으므로, 애플리케이션은개발자누구나등록가능하여검증되지않은코드가실행될가능성있다. 안드로이드마켓에배포를하기위해서는애플리케이션에서명을해주어야한다. 자신이인증하는애플리케이션임을서명을통해서알리는것이다. 그러기위해서는개인키를포함하는암호화된서명파일이있는 keystore 가필요하다. 4 안드로이드는바인드를호출하여서로다른서비스간, 응용프로그램간데이터를주고받을때사용한다. 4 4. 개인정보보호인증 (PIPL) 제도에대한설명으로옳은것은? 1 물리적안전성확보조치심사영역에는악성소프트웨어통제심사항목이있다. 2 인증절차는인증심사준비단계, 심사단계, 인증단계로구성되며, 인증유지관리를위한유지관리단계가있다. 개인정보보호를위해관리계획수립과조직구축은정보주체권리보장심사영역에속한다. 4 인증을신청할수있는기관은공공기관에한정한다. 5. 개인정보보호인증 (PIPL) 제도는개인정보처리자에게개인정보보호활동의기준을제시하여자율적으로일정수준이상의개인정보보호가가능하도록하고, 정보주체에게는본인의개인정보가안전하게관리되고있음을인식할수있는기준을제공하게되었다. 개인정보보호인증절차는인증심사준비단계, 심사단계, 인증단계로구성되며, 인증유지관리를위한유지관리단계가있다. 1 악성소프트웨어통제는기술적안정성확보조치심사영역이다. 개인정보보호를위해관리계획수립과조직구축은보호관리체계의수립심사영역에속한다. 4 개인정보보호법제1조에따라개인정보보호인증제가시행되면서개인정보보호법에적용되는모든개인정보처리자 ( 공공기관, 민간기업, 법인, 단체및개인 ) 는신청기관이될수있다. 2 해킹에대한설명으로옳지않은것은? 1 SYN Flooding 은 TCP 연결설정과정의취약점을악용한서비스거부공격이다. 2 Zero Day 공격은시그니처 (signature) 기반의침입탐지시스템으로방어하는것이일반적이다. APT 는공격대상을지정하여시스템의특성을파악한후지속적으로공격한다. 4 Buffer Overflow 는메모리에할당된버퍼의양을초과하는데이터를입력하는공격이다. - 4 -
7. 제로데이공격 (Zero-Day Attack) : 해킹에악용될수있는시스템취약점에대한보안패치가발표되기전에, 이취약점을악용해악성코드를유포하거나해킹을시도하는것을말한다. 보안패치가나오기전까지는이를근본적으로막을수없다는점에서가장우려하는공격형태이다. 2 시그니처기반침입탐지시스템은공격의사례가있는경우탐지가효율적이다. 공격의사례로등록되어있지않은 Zero Day 공격은비정상 (Anomaly) 기법에서방어하는것이일반적이다. 2 사용자와인증서버간대칭키암호를이용한시도-응답 (Challenge-Response) 인증방식에대한설명으로옳지않은것은? 1 재전송공격으로부터안전하게사용자를인증하는기법이다. 2 인증서버는사용자인증을위해사용자의비밀키를가지고있다. 사용자시간과인증서버의시간이반드시동기화되어야한다. 4 Response 값은사용자의비밀키를사용하여인증서버에서전달받은 Challenge 값을암호화한값이다. 6. 다음에서설명하는웹서비스공격은? 보기공격자가사용자의명령어나질의어에특정한코드를삽입하여 DB 인증을우회하거나데이터를조작한다. 1 직접객체참조 2 Cross Site Request Forgery Cross Site Scripting 4SQL Injection 8. 시도-응답프로토콜 : 이프로토콜은어떤실체가자신의신분을다른실체에게증명하기위하여자기자신만이소유하고있는어떤비밀정보를자신이알고있다는사실을간접적으로보여주는프로토콜이다. 질의응답방식 (Challenge-Response 방식 ) 은비동기화방식에해당된다. 국제공통평가기준 (Common Criteria) 에대한설명으로옳지않은것은? 4 SQL Injection 은데이터베이스와연동되어있는어플리케이션의입력값을조작하여 DBMS 가의도되지않은결과를반환하도록하는공격기법이다. 이는해당어플리케이션에서사용자로부터전송되어오는입력값에대해그적정성을검사하지않았기때문에발생한다.( 필터링이없을경우 ) SQL Injection 을통해서파급될수있는효과는해당어플리케이션에서사용하고있는 DB 정보조회는물론변조또는삭제까지할수있으며, 사용자및관리자에대한인증절차를우회할수있다. 4 1 국가마다서로다른정보보호시스템평가기준을연동하고평가결과를상호인증하기위해제정된평가기준이다. 2 보호프로파일 (Protection Profiles) 은특정제품이나시스템에만종속되어적용하는보안기능수단과보증수단을기술한문서이다. 평가보증등급 (EAL : Evaluation Assurance Level) 에서가장엄격한보증 (formally verified) 등급은 EAL7 이다. 4 보안요구조건을명세화하고평가기준을정의하기위한 ISO/IEC 15408 표준이다. - 5-5
제 24 조의 2( 주민등록번호처리의제한 ) 9. 정보기술과보안평가를위한공통기준 (Common Criteria for Information Technology and Security Evaluation) 은보안요구조건을명세화하고평가기준을정의하기위한 ISO 표준이다. 2 특정제품이나시스템에만종속되어적용하는보안기능수단과보증수단을기술한문서는보안목표명세서 (Security Target) 이다. 2 개인정보보호법 상주민등록번호처리에대한설명으로옳지않은것은? 1 주민등록번호를목적외의용도로이용하거나이를제 자에게제공하지아니하면다른법률에서정하는소관업무를수행할수없는경우, 개인인개인정보처리자는개인정보보호위원회의심의 의결을거쳐목적외의용도로이용하거나이를제자에게제공할수있다. 2 행정자치부장관은개인정보처리자가처리하는주민등록번호가유출된경우에는 5억원이하의과징금을부과ㆍ징수할수있으나, 주민등록번호가유출되지아니하도록개인정보처리자가 개인정보보호법 에따른안전성확보에필요한조치를다한경우에는그러하지아니하다. 개인정보처리자는정보주체가인터넷홈페이지를통하여회원으로가입하는단계에서는주민등록번호를사용하지아니하고도회원으로가입할수있는방법을제공하여야한다. 4 개인정보처리자는주민등록번호가분실ㆍ도난ㆍ유출ㆍ변조또는훼손되지아니하도록암호화조치를통하여안전하게보관하여야한다. 1 제24 조제1항에도불구하고개인정보처리자는다음각호의어느하나에해당하는경우를제외하고는주민등록번호를처리할수없다. 1. 법령에서구체적으로주민등록번호의처리를요구하거나허용한경우 2. 정보주체또는제자의급박한생명, 신체, 재산의이익을위하여명백히필요하다고인정되는경우. 제1호및제2호에준하여주민등록번호처리가불가피한경우로서행정자치부령으로정하는경우 2 개인정보처리자는제24조제항에도불구하고주민등록번호가분실ㆍ도난ㆍ유출ㆍ변조또는훼손되지아니하도록암호화조치를통하여안전하게보관하여야한다. 이경우암호화적용대상및대상별적용시기등에관하여필요한사항은개인정보의처리규모와유출시영향등을고려하여대통령령으로정한다. 개인정보처리자는제1항각호에따라주민등록번호를처리하는경우에도정보주체가인터넷홈페이지를통하여회원으로가입하는단계에서는주민등록번호를사용하지아니하고도회원으로가입할수있는방법을제공하여야한다. 4 행정자치부장관은개인정보처리자가제항에따른방법을제공할수있도록관계법령의정비, 계획의수립, 필요한시설및시스템의구축등제반조치를마련ㆍ지원할수있다. 1 개인정보처리자의주민등록번호처리는법률제24 조2의 1항에명시된경우에한한다. 행정자치부장관은개인정보처리자가처리하는주민등록번호가분실ㆍ도난ㆍ유출ㆍ변조또는훼손된경우에는 5억원이하의과징금을부과ㆍ징수할수있다. 1-6 -
10. 다음에서설명하는윈도우인증구성요소는? 보기 사용자의계정과패스워드가일치하는사용자에게고유의 SID(Security Identifier) 를부여한다. SID에기반을두어파일이나디렉터리에대한접근의허용여부를결정하고이에대한감사메시지를생성한다. 1 LSA(Local Security Authority) 2 SRM(Security Reference Monitor) SAM(Security Account Manager) 4 IPSec(IP Security) 11. 다음에서설명하는공격방법은? 보기정보보안에서사람의심리적인취약점을악용하여비밀정보를취득하거나컴퓨터접근권한등을얻으려고하는공격방법이다. 1 스푸핑공격 2 사회공학적공격 세션가로채기공격 4 사전공격 보안식별자 (security identifier, SID) : 모든윈도즈 NT 에서사용자나그룹을나타내는변수문자의집합. 모든사용자계정은 SID 를가지며모든사용자의권한설정은 SID 를통해서이루어진다. 즉사용자의 ID는바꿀수있지만 SID 는바꿀수없다. 따라서모든계정은생성시 SID를자동으로고유한값을부여받게되고, 그길이는 2비트이다. 만일계정을삭제하면 SID 는복구가불가능하고다음에같은이름의계정을만든다고해도이전과같은권한을가질수없다. LSA : 모든계정의로그인에대한검증을하고, 시스템자원및파일등에대한접근권한을검사한다. 물론로컬, 원격모두에해당한다. 또한 SRM 이생성한감사로그를기록하는역할도한다. 즉, NT 보안의중심요소이며보안서브시스템 (Security subsystem) 이라고부르기도한다. SAM(Security Account Manager) : 사용자 / 그룹계정정보에대한데이터베이스를관리한다. 사용자의로그인입력정보와 SAM 데이터베이스정보를비교하여인증여부를결정하도록해주는것이다. 2 SAM 이사용자의계정과패스워드가일치하는지를확인하여 SRM(Security Reference Monitor) 에게알려주면 SRM은사용자에게고유의 SID(Security Identifier) 를부여하고 SRM 은 SID에기반하여파일이나디렉토리에접근 (access) 제어를하게되고, 이에대한감사메시지를생성한다. 실질적으로 SAM 에서인증을거치고나서권한을부여하는모듈이라고생각하면된다. 2 2 상대방의자만심이나권한을이용하는것, 정보의가치를몰라서보안을소홀히하는무능에의존하는것과도청등이사회공학적기술이다. 이수단을이용하여시스템접근코드와비밀번호를알아내시스템에침입하기때문에물리적, 네트워크및시스템보안에못지않게인간적보안이중요하다. 2 12. 능동적보안공격에해당하는것만을모두고른것은? 보기ㄱ. 도청ㄴ. 감시ㄷ. 신분위장ㄹ. 서비스거부 1ㄱ, ㄴ 2ㄱ, ㄷ ㄴ, ㄷ 4ㄷ, ㄹ - 7-7
신분위장은한개체가다른개체의행세를하는것이다. 이공격은다른형태의적극적공격과병행해서수행된다. 서비스거부 (DoS) 는매우일반적인공격이다. 이공격은시스템의서비스를느리게하거나완전히차단할수있다. 공격자는이를수행하기위하여다양한전략을사용할수있다. 4 적극적공격은데이터를바꾸거나시스템에해를입힐수있다. 무결성과가용성을위협하는공격이적극적공격이다. 신분위장은무결성을위협하는요인이고, 서비스거부는가용성을위협하는요인이다. 4 미러사이트 (Mirror Site) : 주센터와동일한수준의정보기술자원을원격지에구축하고, 메인센터와재해복구센터모두액티브상태로실시간동시서비스를하는방식이다. 재해발생시복구까지의소요시간 (RTO) 은이론적으로 0 이다. 초기투자및유지보수에높은비용이소요되며, 웹어플리케이션서비스등데이터의업데이트의빈도가높지않은시스템에적용가능하다. 1 핫사이트 (Hot Site) 는주센터와동일한수준의정보기술자원을대기상태 (Stand by) 로사이트에보유하면서, 동기적또는비동기적방식으로실시간미러링 (Mirroring) 을통해데이터를최신으로유지한다. 1 1. 다음에서설명하는재해복구시스템의복구방식은? 보기재해복구센터에주센터와동일한수준의시스템을대기상태로두어, 동기적또는비동기적방식으로실시간복제를통하여최신의데이터상태를유지하고있다가, 재해시재해복구센터의시스템을활성화상태로전환하여복구하는방식이다. 1 핫사이트 (Hot Site) 2 미러사이트 (Mirror Site) 웜사이트 (Warm Site) 4 콜드사이트 (Cold Site) 14. 정보보안의기본개념에대한설명으로옳지않은것은? 1 Kerckhoff 의원리에따라암호알고리즘은비공개로할필요가없다. 2 보안의세가지주요목표에는기밀성, 무결성, 가용성이있다. 대칭키암호알고리즘은송수신자간의비밀키를공유하지않아도된다. 4 가용성은인가된사용자에게서비스가잘제공되도록보장하는것이다. 대칭키암호알고리즘은송수신자간에공통의비밀키를서로공유해야한다. 반면에비대칭키는서로다른키를이용한다. - 8 -
15. 공개키기반구조 (PKI : Public Key Infrastructure) 의인증서에대한설명으로옳은것만을모두고른것은? 보기ㄱ. 인증기관은인증서및인증서취소목록등을관리한다. ㄴ. 인증기관이발행한인증서는공개키와공개키의소유자를공식적으로연결해준다. ㄷ. 인증서에는소유자정보, 공개키, 개인키, 발행일, 유효기간등의정보가담겨있다. ㄹ. 공인인증서는인증기관의전자서명없이사용자의전자서명만으로공개키를공증한다. 1ㄱ, ㄴ 2ㄱ, ㄷ ㄴ, ㄷ 4ㄷ, ㄹ 4 자산은조직이보호해야할대상으로서주로정보, 하드웨어, 소프트웨어, 시설등을말하며관련인력, 기업이미지등의무형자산을포함하기도한다. 자산의가치평가범위에데이터베이스, 계약서, 시스템유지보수인력등은포함된다. 4 17. 메시지인증코드 (MAC : Message Authentication Code) 를이용한메시지인증방법에대한설명으로옳지않은것은? 1 메시지의출처를확신할수있다. 2 메시지와비밀키를입력받아메시지인증코드를생성한다. 메시지의무결성을증명할수있다. 4 메시지의복제여부를판별할수있다. 1 ㄷ. 인증서에개인키는포함되지않는다. ㄹ. 공인인증 서는인증기관의개인키로전자서명을한다. 1 메시지인증코드란무결성을확인하고메시지에대한인증을하는기술이다. 첫글자를따서 MAC 이라부른다. 메시지인증코드는임의길이의메시지와송신자및수신자가공유하는키라는 2개의입력을기초로해서고정비트길이의출력을계산하는함수이다. 이출력을 MAC 값이라부른다. 16. 위험분석에대한설명으로옳지않은것은? 1 자산의식별된위험을처리하는방안으로는위험수용, 위험회피, 위험전가등이있다. 2 자산의가치평가를위해자산구입비용, 자산유지보수비용등을고려할수있다. 자산의적절한보호를위해소유자와책임소재를지정함으로써자산의책임추적성을보장받을수있다. 4 자산의가치평가범위에데이터베이스, 계약서, 시스템유지보수인력등은제외된다. 4 메시지인증코드는무결성, 메시지출처검증등의서비스를제공하지만, 메시지의복제여부를판별할수는없다. 4-9 - 9
18. 유닉스 (Unix) 의로그파일과기록되는내용을바르게연결한것은? 보기ㄱ. history - 명령창에실행했던명령내역ㄴ. sulog - su 명령어사용내역ㄷ. xferlog - 실패한로그인시도내역ㄹ. loginlog - FTP 파일전송내역 1ㄱ, ㄴ 2ㄱ, ㄷ ㄴ, ㄷ 4ㄷ, ㄹ <SSL/TLS 보안서비스 > 기밀성서비스 : DES, RC4 와같은대칭키암호화알고리즘을사용하여제공되며, 이때사용되는비밀키는 Handshake Protocol 을통해생성된다. 클라이언트와서버상호인증 : 연결설정과정에서서로간에신뢰할수있도록인증을사용하는데, 인증에는 RSA 와같은비대칭키암호알고리즘, DSS 와같은전자서명알고리즘과 X.509 공개키인증서가사용된다. 메시지무결성서비스 : 안전한해시알고리즘을사용해서메시지인증코드를만들어메시지에포함시키기때문에신뢰성있는통신이가능하다. 1 SSL/TLS 보안서비스에메시지부인방지는없다. 1 1 btmp, loginlog 는로그인실패를했을경우에로그인실패정보를기록한다. System V계열의유닉스에서는 btmp 대신 loginlog 에기록한다. xferlog 는 FTP 파일전송내역을기록한다. 1 19. 전송계층보안프로토콜인 TLS(Transport Layer Security) 가제공하는보안서비스에해당하지않는것은? 1 메시지부인방지 2 클라이언트와서버간의상호인증 메시지무결성 4 메시지기밀성 20. 다음에서설명하는스니퍼탐지방법에이용되는것은? 보기 스니핑공격을하는공격자의주요목적은사용자 ID와패스워드의획득에있다. 보안관리자는이점을이용해가짜 ID와패스워드를네트워크에계속보내고, 공격자가이 ID와패스워드를이용하여접속을시도할때스니퍼를탐지한다. 1ARP 2DNS Decoy 4ARP watch - 10 -
< 스니퍼대응책 > (1) 핑을이용한방법 : 대부분의스니퍼는일반 TCP/IP 에서동작하기때문에 request 를받으면 response 를전달한다. 이를이용한방법은의심이가는호스트에 ping 을보내는데, 네트워크에존재하지않는 MAC 주소를위장하여보낸다. 만약 ICMP Echo reply 를받으면해당호스트가스니핑을하고있는것이다. (2) ARP 를이용한방법 : ping 과유사한방법으로위조된 ARP request 를보냈을때 ARP response 가오면프러미스큐어스모드로설정되어있는것이다. () DNS 방법 : 스니핑프로그램은스니핑한시스템의 IP 주소에대한 DNS 이름해석과정 (Inverse-DNS lookup) 을수행한다. 테스트대상네트워크로 Ping Sweep 을보내고들어오는 Inverse-DNS lookup 을감시하여스니퍼를탐지한다. (4) 유인 (Decoy) 방법 : 스니핑공격을하는공격자의주요목적은계정과패스워드의획득에있다. 보안관리자는이점을이용하여가짜계정과패스워드를네트워크에뿌린다. 공격자는이계정과패스워드를이용하여접속을시도한다. 그래서이접속을시도하는시스템을탐지한다. (5) ARP Watch : 초기에 MAC 주소와 IP 주소의매칭값을저장한후 ARP 트래픽을모니터링한다. 이를변하게하는패킷이탐지되면관리자에게메일로알려주는도구이다. 명이다. 보기는스니퍼탐지방법중 Decoy 방법에대한설 - 11-11