IT 보안 질문 & 답변 포인트

Q. DB에 고객 개인정보를 안전하게 저장하려면?
A. 암호화(대칭·비대칭 키), 접근 권한 분리, 로그 기록 관리

 

Q. SQL Injection 공격 방어 방법?
A. Prepared Statement, 입력값 검증, 최소 권한 원칙

 

Q. HTTPS와 HTTP 차이?
A. HTTPS는 SSL/TLS 암호화 기반, 데이터 도청·변조 방지

 

Q. 클라우드 보안 핵심?
A. IAM(권한 관리), VPC 네트워크 격리, 보안 그룹 설정, 데이터 암호화

 

Q. 서버 비밀번호 저장 방법?
A. 해시(Hash) + Salt, 복호화 불가능하게 저장

 

Q. Firewall vs IDS/IPS?
A. 방화벽: 접근 제어 / IDS: 탐지 / IPS: 탐지 + 차단

 

Q. DDoS 방어 방법?
A. 트래픽 분산(CDN·로드밸런서), 방화벽·IPS 정책, 요청 제한(Rate limiting)

 

Q. MFA 필요 이유?
A. 비밀번호 유출 보완, OTP·생체 인증

 

Q. 로그 관리 중요성?
A. 사고 추적, 이상 행위 감지, 감사 대응

 

Q. 금융권 보안 핵심?
A. DB·네트워크·클라우드 보안 통합, 접근통제, 개인정보 암호화, 내부통제 준수

---

Q. OSI 7 Layer?
A. 물리 → 데이터링크 → 네트워크 → 전송 → 세션 → 표현 → 응용

 

Q. TCP vs UDP?
A. TCP: 신뢰성, 연결 확인(3-way handshake) / UDP: 빠르지만 비신뢰성

 

Q. IDS vs IPS 정의?
A. IDS: 침입 탐지 / IPS: 탐지 + 차단

 

Q. DoS vs DDoS?
A. DoS: 단일 공격 / DDoS: 다수의 분산 공격

 

Q. 5 Tuple?
A. 출발지IP, 목적지IP, 프로토콜, 출발지Port, 목적지Port

 

Q. TCP Flag?
A. SYN(연결), ACK(응답), FIN(종료)

---

Q. OWASP Top 10?
A. Injection, Broken Auth, Data Exposure, XXE, Access Control, Misconfig, XSS, Insecure Deserialization, Known Vulnerabilities, Insufficient Logging

 

Q. 위협 vs 위험?
A. 위협: 손실 요인 / 위험: 손실 발생 가능성

 

Q. CSRF vs XSS?
A. XSS: 악성 스크립트로 정보 탈취 / CSRF: 사용자를 속여 의도치 않은 요청 실행

 

Q. XSS 종류?
A. Reflected(즉시 실행), Stored(저장 후 다수 피해)

 

Q. SQL Injection?
A. 입력값 검증 미흡 → 악의적 쿼리 실행 공격

 

Q. Blind SQL Injection?
A. 참/거짓 응답 차이를 이용한 데이터 추출

 

Q. DNS Spoofing?
A. DNS 응답 변조 → 중간자 공격 (방어: DNSSEC 등)

 

Q. 인증 vs 인가?
A. 인증: 사용자 확인 / 인가: 권한 부여

 

Q. 세션 vs 쿠키?
A. 세션: 서버 저장 / 쿠키: 클라이언트 저장

 

Q. 해시 vs 암호화?
A. 해시: 단방향 / 암호화: 양방향

 

Q. 보안 정의?
A. 위험·손실·공격으로부터 자산을 보호하는 것

 

Q. 리눅스 명령어 예시?
A. ls(목록), cd(이동), touch(생성), mkdir(폴더 생성), rm(삭제), netstat(네트워크), iptables(방화벽), useradd(계정 생성), passwd(비밀번호 변경), chmod(권한 변경)

 

Q. 퍼블릭 vs 프라이빗 클라우드?
A. 퍼블릭: 다수 사용자 공유, 확장성 / 프라이빗: 단일 조직 전용, 민감 데이터 적합

 

Q. JSP vs Servlet?
A. Servlet: Java 안에 HTML / JSP: HTML 안에 Java (컴파일 시 Servlet으로 변환)

 

암호키가 대칭 공개 해시가 있는데
대칭 - 키 같음 / des(취약) aes(양호)
공개 - 비대칭으로 키가 다름 / rsa(소인수분해) elgmal(타원곡선)
해시 - 일방향 암호로 복호화가 안됨 / md5(취약 뚫림) sha( 256이상 양호 그 외 취약)

 

+cve, owasp api취약점, log4j공격, 랜섬웨어에 대해서도 설명해할 줄 알아야합니다.