모바일 앱(App) 보안에 관한 내용으로 틀린 것은?
- 1
서비스 지속성을 위해 루팅이나 탈옥된 단말에서도 서비스가 정상적으로 동작되어야 한다.
정답 근거정답 보기입니다. 루팅이나 탈옥된 단말기는 관리자 권한이 탈취된 상태이므로, 보안 위협을 방지하기 위해 서비스를 제한하거나 차단하는 것이 올바른 보안 대책입니다.오답 노트정상 기능 오동작 방지, 난독화 도구 사용, 불필요한 접근 권한 제거 및 완전 삭제는 모두 적절한 앱 보안 조치입니다. - 2
정상 기능 오동작이나 취약점을 통해 배터리 고갈, 과도한 트래픽 유발, 허가되지 않은 주소로 정보 전송 등이 되어서는 안 된다.
오답 이유오답 보기입니다. ‘정상 기능 오동작이나 취약점을 통해 배터리 고갈, 과도한 트래픽 유발, 허가되지 않은 주소로 정보 전송 등이 되어서는 안 된다.’은(는) 이 문항의 판단 기준인 ‘서비스 지속성을 위해 루팅이나 탈옥된 단말에서도 서비스가 정상적으로 동작되어야 한다.’과 구별해야 합니다. 취약점이 발생하는 위치·입력 처리·세션 흐름 또는 대응 기법이 정답 조건과 다릅니다. - 3
디컴파일 도구를 이용 시 실행파일을 소스코드로 쉽게 변환시킬 수 있으며, 이를 이용하여 앱 위변조 발생이 가능하다. 이를 예방하기 위해 난독화 도구를 사용하여 패키징한 후 배포해야 한다.
오답 이유오답 보기입니다. ‘디컴파일 도구를 이용 시 실행파일을 소스코드로 쉽게 변환시킬 수 있으며, 이를 이용하여 앱 위변조 발생이 가능하다. 이를 예방하기 위해 난독화 도구를 사용하여 패키징한 후 배포해야 한다.’은(는) 이 문항의 판단 기준인 ‘서비스 지속성을 위해 루팅이나 탈옥된 단말에서도 서비스가 정상적으로 동작되어야 한다.’과 구별해야 합니다. 취약점이 발생하는 위치·입력 처리·세션 흐름 또는 대응 기법이 정답 조건과 다릅니다. - 4
앱 설치 시 비정상적인 파일/디렉터리가 생성되지 않아야 하며, 실행 시에는 불필요한 접근 권한이 존재해서는 안된다. 또한 앱 삭제 시에는 관련된 파일이 완전히 삭제되어야 한다.
오답 이유오답 보기입니다. ‘앱 설치 시 비정상적인 파일/디렉터리가 생성되지 않아야 하며, 실행 시에는 불필요한 접근 권한이 존재해서는 안된다. 또한 앱 삭제 시에는 관련된 파일이 완전히 삭제되어야 한다.’은(는) 이 문항의 판단 기준인 ‘서비스 지속성을 위해 루팅이나 탈옥된 단말에서도 서비스가 정상적으로 동작되어야 한다.’과 구별해야 합니다. 취약점이 발생하는 위치·입력 처리·세션 흐름 또는 대응 기법이 정답 조건과 다릅니다.
정답 1번
루팅이나 탈옥된 단말기는 관리자 권한이 탈취된 상태이므로, 보안 위협을 방지하기 위해 서비스를 제한하거나 차단하는 것이 올바른 보안 대책입니다.오답 노트정상 기능 오동작 방지, 난독화 도구 사용, 불필요한 접근 권한 제거 및 완전 삭제는 모두 적절한 앱 보안 조치입니다.
어플리케이션 보안 핵심개념
정답 용어만 외우지 말고 각 보기의 적용 대상·기능·전제 조건을 비교하세요. 같은 분야 기출을 묶어서 풀면 표현이 달라져도 판단 기준을 유지할 수 있습니다.
관련 개념 정리 읽기 →같은 개념 실제 기출 12문제
41번다음 지문에서 설명하고 있는 공격은?
해설 보기 →42번포렌식 조사 원칙 중 틀린 것은?
해설 보기 →43번합법적으로 소유하고 있던 사용자들의 도메인을 탈취하거나 DNS 조작을 통해 사용자들이 정확한 웹페이지 주소를 입력하더라도 가짜 웹페이지에 접속하도록 유도하여 개인정보를 훔치는 공격 방식은?
해설 보기 →44번이메일 공격유형 중 HTML 기능이 있는 클라이언트나 웹브라우저 사용자를 대상으로 하는 공격기법은?
해설 보기 →45번FTP 서비스를 운영할 때 준수하여야 할 보안사항으로 부적절한 것은?
해설 보기 →46번다음 중 포맷 스트링 취약점 동작과 가장 거리가 먼 것은?
해설 보기 →47번XSS 공격에 대한 설명으로 옳은 것은?
해설 보기 →48번사용자가 http://www.kisa.or.kr에 접속하기 위해 IP 주소를 얻어오는 순서는?
해설 보기 →49번SET에서 주문정보와 지불정보의 해시값을 결합하여 생성된 메시지에 다시 해시함수를 적용한 후 그 결과를 고객의 개인키로 암호화하는데 이 과정을 의미하는 용어는?
해설 보기 →50번CPU 하드웨어에 존재하는 부채널 관련 버그로써 빠른 수행을 위해 개발된 캐싱 및 추측 실행 기능을 악용하는 공격의 명칭은?
해설 보기 →51번SQL 인젝션 공격에 대응하는 효과적인 방법이 아닌 것은?
해설 보기 →52번다음에서 설명하는 웹 서비스 공격은?
해설 보기 →