2021년 1회 정보처리기사 기출문제 82번

82. 크래커가 침입하여 백도어를 만들어 놓거나, 설정파일을 변경했을 때 분석하는 도구는?

    ❶ tripwire   ② tcpdump

    ③ cron       ④ netcat

 

 

 

이 문제는 크래커가 시스템에 침입하여 백도어나 설정파일을 변경했을 때 이를 분석하는 도구에 관한 질문입니다. 각 도구가 어떤 역할을 하는지에 대해 살펴보겠습니다.

문제 분석

• ❶ tripwire: Tripwire는 파일 무결성 검사 도구입니다. 시스템에 설치된 중요한 파일들이 변경되지 않았는지 감시합니다. 주로 백도어나 설정파일이 악의적으로 변경되었을 때, 이를 감지하고 보고하는 데 사용됩니다. 시스템을 처음 설치할 때의 상태를 기록하고, 그 이후 파일이 변경되었는지 여부를 비교하는 방식으로 동작합니다.
• ② tcpdump: Tcpdump는 네트워크 패킷 분석 도구입니다. 네트워크를 통해 오가는 트래픽을 캡처하여 분석할 수 있지만, 시스템 내부에서 파일 변경을 감지하는 데는 사용되지 않습니다.
• ③ cron: Cron은 리눅스나 유닉스 시스템에서 주기적인 작업을 자동으로 실행하는 도구입니다. 백도어나 설정파일 변경과는 직접적인 관련이 없으며, 시스템 관리 작업을 자동화하는 데 사용됩니다.
• ④ netcat: Netcat은 네트워크를 통해 데이터를 송수신할 수 있는 네트워크 유틸리티입니다. 때때로 악성 공격자들이 원격지에서 명령을 실행하거나 데이터 통신을 하기 위해 사용하기도 합니다. 하지만 직접적으로 시스템 파일의 무결성을 검사하는 도구는 아닙니다.

해설

• Tripwire는 시스템 파일의 무결성 검사를 수행하는 도구로, 파일이 변경되었는지 (예: 크래커가 백도어를 만들거나 설정파일을 변경했을 때) 확인할 수 있습니다. 이 도구는 보안과 관련된 중요한 역할을 합니다.
• Tcpdump는 네트워크 분석 도구로, 네트워크 트래픽을 캡처하여 패킷을 분석하지만 시스템 내부 파일 변경을 감지하는 데는 적합하지 않습니다.
• Cron은 주기적인 작업을 설정하는 데 사용되지만, 시스템 침해 분석이나 파일 변경 감지와는 관련이 없습니다.
• Netcat은 원격에서 명령어를 실행하거나 데이터를 송수신하는 데 사용되지만, 시스템 파일 변경을 분석하는 도구는 아닙니다.

예시

• Tripwire 예시: 시스템에 설치된 파일들이 원래 상태에서 변경되지 않았는지 확인하는 작업을 수행할 수 있습니다. 예를 들어, 크래커가 시스템에 침입하여 백도어를 설치했다면, Tripwire는 원본 파일과 비교하여 변경된 파일을 감지할 수 있습니다.
  1. 처음 설치된 시스템 상태를 기록합니다.
  2. 일정 시간이 지나고, 변경된 파일들이 있는지 체크합니다.
  3. 만약 시스템 파일이 변경되었다면 Tripwire가 이를 경고합니다.
• 예시:

결론

❶ Tripwire는 시스템의 파일 무결성을 검사하여 크래커가 백도어를 만들어 놓거나 설정파일을 변경했을 때 이를 감지할 수 있는 도구입니다.

표로 정리

도구 용도 설명

Tripwire	파일 무결성 검사 도구	시스템 파일 변경 감지
Tcpdump	네트워크 패킷 분석 도구	네트워크 트래픽 분석
Cron	주기적 작업 자동화 도구	작업 예약 및 자동화
Netcat	네트워크 데이터 송수신 도구	네트워크 통신 및 원격 명령 실행

요약

• Tripwire는 시스템 파일의 변경을 감지하여 백도어나 설정파일이 변경되었을 때 이를 분석하는 도구입니다. 🎯