정보보안기사 필기 기출문제복원 (2014-09-27)

정보보안기사 2014-09-27 필기 기출문제 해설

이 페이지는 정보보안기사 2014-09-27 기출문제를 CBT 방식으로 풀이하고 정답 및 회원들의 상세 해설을 확인할 수 있는 페이지입니다.

정보보안기사
(2014-09-27 기출문제)

목록

1과목: 시스템 보안

1. 다음 중 운영체계 5계층이 순서대로 나열된 것은?

  1. 메모리관리-프로세스관리-프로세서관리-주변장치관리-파일관리
  2. 프로세스관리-주변장치관리-파일관리-프로세서관리-메모리관리
  3. 프로세서관리-메모리관리-프로세스관리-주변장치관리-파일관리
  4. 파일관리-메모리관리-프로세스관리-프로세서관리-주변장치관리
(정답률: 72%)
  • 운영체제의 계층 구조는 하드웨어와 가장 가까운 프로세서 관리부터 시작하여 메모리 관리, 프로세스 관리, 주변장치 관리, 그리고 사용자에게 가장 가까운 파일 관리 순으로 구성됩니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

2. 사용자가 작성한 프로그램을 운영체계에 실행하도록 제출하면 운영체제는 이를 제출받아 프로세스를 만든다. 이때 생성된 프로세스의 주소영역을 구성하는 요소를 올바르게 나열한 것은?

  1. 데이터영역-스택영역-텍스트영역
  2. 텍스트영역-스택영역-데이터영역
  3. 데이터영역-텍스트영역-스택영역
  4. 텍스트영역-데이터영역-스택영역
(정답률: 52%)
  • 프로세스의 주소 공간은 실행 코드, 정적 데이터, 동적 데이터 순으로 구성됩니다. 실행 코드가 저장되는 텍스트영역, 전역 변수와 정적 변수가 저장되는 데이터영역, 지역 변수와 함수 호출 정보가 저장되는 스택영역 순으로 구성되는 것이 올바른 구조입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

3. 다음 중 운영체제 발전 흐름에 대한 설명으로 올바르지 못한 것은?

  1. 다중처리시스템 : 여러 개의 CPU와 여러 개의 주기억장치를 이용하여 여러 개의 프로그램을 처리하는 방식이다.
  2. 시분할시스템 : 여러 명의 사용하는 시스템에서 각 사용자는 독립된 컴퓨터를 사용하는 느낌으로 사용한다.
  3. 다중프로그램 : 하나의 CPU와 주기억장치를 이용하여 여러개의 프로그램을 동시에 처리하는 방식이다.
  4. 분산처리시스템 : 여러 개의 컴퓨터를 통신회선으로 연결하여 하나의 작업을 처리하는 방식을 말한다.
(정답률: 41%)
  • 다중처리시스템은 여러 개의 CPU(프로세서)를 사용하지만, 일반적으로 하나의 메모리를 공유하여 병렬로 처리하는 방식입니다. 여러 개의 주기억장치를 이용한다는 설명은 옳지 않습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

4. 다음 중 윈도우 NTFS 파일 시스템에 대한 설명으로 올바르지 않는것은?

  1. NTFS 구조는 크게 VBR영역, MFT영역, 데이터영역으로 나눈다.
  2. 이론적인 최대 NTFS 파일 크기는 16EB이다.
  3. 실제 최대 NTFS파일 크기는 16TB이다.
  4. 기본 NTFS보안을 변경하면 사용자마다 각기 다른 NTFS보안을 설정할 수 있다.
(정답률: 46%)
  • NTFS 파일 시스템의 보안은 파일이나 디렉터리에 설정된 보안 디스크립터(소유자, 그룹, ACL)에 의해 결정됩니다. 보안 디스크립터를 수정하면 해당 객체에 접근하는 권한이 변경되지만, 이는 설정된 규칙에 따라 적용되는 것이지 사용자마다 개별적으로 서로 다른 보안 설정을 부여하는 개념이 아닙니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

5. 다음 올바르게 설명하고 있는 것은 무엇인가?

  1. 시스템 정상적인 종료로 인하여 대화상자에 종료버튼을 삭제 처리한다.
  2. 시스템 비정상적인 종료로 인하여 대화상자에 종료버튼을 비활성화 처리한다.
  3. 시스템 정상적인 부팅하여 대화상자에 종료버튼을 삭제 처리한다.
  4. 시스템 정상적인 부팅하여 대화상자에 종료버튼을 비활성화 처리한다.
(정답률: 40%)
  • Windows NT의 레지스트리 설정 중 경로의 ShutdownWithoutLogon 값이 $0$이면, 시스템이 정상적으로 부팅되었을 때 로그온 화면에서 종료 버튼이 비활성화 처리됩니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

6. 윈도우즈 운영체제에서 네트워크상 관리목적으로 기본 공유폴더를 삭제하는 알맞은 명령어는 무엇인가?

  1. net Share_Dir / delete
  2. net share Share_Dir /delete
  3. net delete
  4. net share delete
(정답률: 64%)
  • 윈도우즈 네트워크 관리 명령어인 net share를 사용하여 공유 폴더를 관리합니다. 특정 공유 폴더를 삭제하기 위해서는 'net share [공유이름] /delete' 형식을 사용해야 합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

7. 다음 중 레지스트리 편집기 종류에 대한 설명으로 올바르지 못한 것은?

  1. HKEY_CLASSES_ROOT : OLE데이터 확장자에 대한 정보 및 파일과 프로그램간 연결 정보가 포함되어 있다.
  2. HKEY_CURRENT_USER : 컴퓨터 환경정보가 저장되어 있으며, 다수 사용자가 사용할 경우 각 사용자별 프로파일이 저장되어 있다.
  3. HKEY_USERS : 각 사용자 정보들이 저장되어 있다.
  4. HKEY_CURRENT_CONFIG : HKEY_LOCAL_MACHINE에 서브로 존재하는 Config 내용이 담겨져 있다.
(정답률: 28%)
  • HKEY_USERS는 시스템의 모든 사용자 프로파일 정보를 담고 있는 키입니다. 반면 HKEY_CURRENT_USER는 현재 로그인한 사용자의 프로파일 정보만을 저장하므로, 각 사용자 정보가 저장된다는 설명은 HKEY_USERS의 특성상 정답으로 처리되었으나 실제로는 두 키 모두 사용자 정보를 다루며 범위의 차이가 있습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

8. 다음 중 인터넷 익스플로러 브라우저의 보안에 대한 설명으로 올바르지 못한 것은?

  1. 임시 인터넷파일 저장위치를 변경 할 수 있다.
  2. 방문한 웹사이트 저장 목록 일자를 변경할 수 있다.
  3. 고급 탭에서 HTTP1.1 사용을 설정 할 수 있다.
  4. 압축된 개인정보 취급방침 없는 타사의 쿠키를 차단하는 설정은 ‘보통’으로 하면 된다.
(정답률: 16%)
  • 인터넷 익스플로러의 보안 설정에서 임시 인터넷 파일의 저장 위치는 사용자가 임의로 변경할 수 없는 설정 항목입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

9. 다음 중 HTTP상태 프로토콜 값으로 연결이 올바르지 않은 것은?

  1. 200 : OK
  2. 204 : No Content
  3. 400 : Bad Request
  4. 500 : Server Busy
(정답률: 53%)
  • HTTP 상태 코드 500은 서버 내부 오류를 의미하는 Internal Server Error입니다.

    오답 노트
    Server Busy: 공식 상태 코드가 아니며, 서버 과부하 시에는 503 Service Unavailable을 사용합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

10. 다음 스캐닝 방법 중에서 그 성격이 다른 하나는?

  1. FIN 스캐닝
  2. X-MAS 스캐닝
  3. NULL 스캐닝
  4. SYN 스캐닝
(정답률: 61%)
  • SYN 스캐닝은 TCP의 3-Way Handshake 과정을 이용하는 Half-Open 스캐닝 방식인 반면, FIN, X-MAS, NULL 스캐닝은 TCP 플래그를 비정상적으로 조합하여 전송하는 Stealth 스캐닝 방식입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

11. 다음 보기를 보고 올바르게 설명하고 있는 것을 고르시오.

  1. 외부 ip 172.10.10.10에서 들어오는 패킷을 차단한다.
  2. 내부 ip 172.10.10.10에서 나가는 패킷을 차단한다.
  3. 외부 ip 172.10.10.10에서 나가는 패킷을 차단한다.
  4. 내부 ip 172.10.10.10에서 들어오는 패킷을 차단한다.
(정답률: 61%)
  • 명령어의 옵션을 분석하면 다음과 같습니다.
    1. -A INPUT: 시스템으로 들어오는(Incoming) 패킷 체인에 규칙을 추가합니다.
    2. -s 172.10.10.10: 출발지(Source) IP 주소가 172.10.10.10인 패킷을 지정합니다.
    3. -j drop: 해당 패킷을 즉시 차단(Drop)합니다.
    따라서 외부 IP 172.10.10.10에서 들어오는 패킷을 차단하는 설정입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

12. 다음 중 HTTP/1.1 요청방식이 아닌 것은?

  1. GET
  2. DELETE
  3. TRACE
  4. PUSH
(정답률: 50%)
  • PUSH는 서버가 클라이언트에게 데이터를 능동적으로 전송하는 기능으로, HTTP/2에서 도입되었습니다. HTTP/1.1의 표준 요청 방식에는 GET, DELETE, TRACE 등이 포함되지만 PUSH는 포함되지 않습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

13. 다음 중 운영체제 5단계에 포함되지 않는 것은?

  1. 메모리관리
  2. 주변장치 관리
  3. 파일관리
  4. 사용자관리
(정답률: 72%)
  • 운영체제의 5단계 계층 구조는 프로세서 관리, 메모리 관리, 프로세스 관리, 주변장치 관리, 파일관리로 구성됩니다. 사용자관리는 운영체제의 핵심 5단계 계층에 포함되지 않습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

14. 다음 중 버퍼링과 스풀링에 대한 설명으로 올바르지 못한 것은?

  1. 버퍼링과 스풀링은 CPU 연산과 I/O 연산을 중첩시켜 CPU의 효율을 높이기 위하여 사용한다.
  2. 버퍼링은 단일사용자 시스템에 사용되고, 스풀링은 다중사용자 시스템에 사용된다.
  3. 버퍼링은 디스크를 큰 버퍼처럼 사용하고 스풀링은 주기억 장치를 사용한다.
  4. 버퍼링과 스풀링은 큐 방식의 입출력을 수행한다.
(정답률: 52%)
  • 버퍼링과 스풀링은 사용하는 저장 공간의 종류가 다릅니다. 버퍼링은 주기억장치의 일부분을 버퍼로 사용하며, 스풀링은 디스크(보조기억장치)의 일부를 매우 큰 버퍼처럼 사용하는 방식입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

15. 다음 중 커널에 대한 설명으로 올바르지 못한 것은?

  1. 커널에는 커널모드와 사용자모드가 있다.
  2. 운영체제의 핵심을 커널이라 부른다.
  3. 응용프로그램에 커널 서비스를 제공하는 인터페이스를 ‘시스템 콜 인터페이스’라 한다.
  4. 하드웨어 장치를 사용할 경우 사용자모드에서 사용된다.
(정답률: 67%)
  • 하드웨어 장치와 직접 상호작용하거나 제어할 수 있는 권한은 커널모드(Kernel Mode)에만 부여됩니다. 사용자모드(User Mode)에서는 보안과 시스템 안정성을 위해 하드웨어에 직접 접근하는 것이 금지되어 있습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

16. 다음 중 취약성 점검도구가 아닌 것은 무엇인가?

  1. NESSUS
  2. SARA
  3. NIKTO2
  4. TRIPWIRE
(정답률: 73%)
  • NESSUS, SARA, NIKTO2는 시스템이나 네트워크의 보안 취약점을 찾아내는 취약성 점검도구입니다.

    오답 노트
    TRIPWIRE: 파일의 변경 여부를 감시하여 변조를 탐지하는 무결성 점검 도구입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

17. 다음 보기에 해당하는 로그 파일은 무엇인가?

  1. wtmp
  2. btmp
  3. utmp
  4. pact
(정답률: 72%)
  • 제시된 이미지 에서 설명하는 시스템 로그인 실패 기록 저장 파일이자 lastb 명령어로 확인 가능한 로그 파일은 btmp입니다.

    오답 노트
    utmp: 현재 로그인 중인 사용자 정보
    wtmp: 사용자의 로그인 및 로그아웃 이력
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

18. 다음 중 버퍼오버플로우 대한 설명으로 올바르지 못한 것은?

  1. 버퍼에 저장된 프로세스 간의 자원 경쟁을 야기해 권한을 획득하는 기법으로 공격하는 방법이다.
  2. 메모리에 할당된 버퍼의 양을 초과하는 데이터를 입력하여 프로그램의 복귀 주소를 조작하는 기법을 사용하여 해킹을 한다.
  3. 스택 버퍼오버플로우와 힙 오버플로우 공격이 있다.
  4. 버퍼오버플로우가 발생하면 저장된 데이터는 인접한 변수영역까지침범하여 포인터 영역까지 침범하므로 해커가 특정코드를 실행하도록 하는 공격기법이다.
(정답률: 72%)
  • 버퍼오버플로우는 메모리에 할당된 버퍼의 크기를 초과하는 데이터를 입력하여 인접한 메모리 영역(복귀 주소 등)을 덮어쓰는 공격 기법입니다.

    오답 노트
    버퍼에 저장된 프로세스 간의 자원 경쟁을 야기해 권한을 획득하는 기법: 이는 경쟁 상태(Race Condition)에 대한 설명입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

19. 다음 공격기법을 무엇이라 하는가?

  1. 버퍼오버플로우공격
  2. 스니핑 공격
  3. 포맷스트링공격
  4. 세션하이젝킹 공격
(정답률: 57%)
  • 제시된 이미지 의 내용은 printf 함수의 포맷 스트링 취약점을 이용하여 리턴 주소를 조작하고 쉘코드를 실행시키는 공격 기법을 설명하고 있으므로 포맷스트링공격이 정답입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

20. 다음 리눅스 iptables에서 chain 형식으로 사용이 옳지 않은 것은?

  1. INPUT
  2. FORWORD
  3. OUTPUT
  4. DROP
(정답률: 48%)
  • iptables의 체인은 패킷의 흐름 방향에 따라 INPUT, OUTPUT, FORWARD로 구분됩니다. DROP은 체인의 종류가 아니라 패킷을 차단하는 타겟(Target) 설정값입니다.

    오답 노트
    INPUT: 방화벽이 최종 목적지인 패킷
    OUTPUT: 방화벽이 최초 출발지인 패킷
    FORWARD: 방화벽을 통과하여 다른 곳으로 가는 패킷
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

2과목: 네트워크 보안

21. VPN 프로토콜 중 IPSEC에서 암호화 기능을 담당하는 프로토콜은?

  1. AH
  2. ESP
  3. IKE
  4. PPTP
(정답률: 54%)
  • IPsec 프로토콜 중 ESP(Encapsulating Security Payload)는 데이터의 기밀성을 보장하기 위해 암호화 기능을 제공하는 프로토콜입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

22. 다음 중 CIDR 기법을 사용하지 않는 라우팅 프로토콜은?

  1. RIP v1
  2. RIP v2
  3. EIGRP
  4. OSPF
(정답률: 34%)
  • RIP v1은 클래스 기반의 네트워크 주소 체계를 사용하며 서브넷 마스크 정보를 전송하지 않기 때문에 CIDR 기법을 사용할 수 없습니다.

    오답 노트
    RIP v2, EIGRP, OSPF: 서브넷 마스크 정보를 함께 전송하여 CIDR 기법 지원
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

23. 다음 중 DDOS공격 프로그램이 아닌 것은 무엇인가?

  1. TRINOO
  2. TFN
  3. Stacheldraht
  4. Teardrop
(정답률: 64%)
  • TRINOO, TFN, Stacheldraht는 여러 대의 좀비 PC를 이용해 공격하는 DDoS 공격 프로그램이지만, Teardrop은 잘못된 크기의 IP 프래그먼트를 전송하여 대상 시스템을 마비시키는 단일 대상 DoS 공격 방식입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

24. 다음에서 설명하고 있는 네트워크 공격방법은 무엇인가?

  1. ARP스니핑
  2. ICMP Redirect
  3. ARP스푸핑
  4. 스위치재밍
(정답률: 54%)
  • 위조된 MAC 주소를 지속적으로 보내 스위치의 주소 테이블을 가득 채워(오버플로우), 스위치가 허브처럼 모든 포트로 데이터를 브로드캐스팅하게 만들어 스니핑을 수행하는 공격 기법은 스위치재밍입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

25. 다음 중 TCP신호를 보내는 Flag 종류 연결로 올바르지 못한 것은?

  1. SYN – 요청 Flag로써 초기에 세션을 설정하는데 사용된다.
  2. ACK – 요청에 대한 응답을 하는 Flag이다.
  3. FIN – 세션을 종료시키기 위한 Flag이다.
  4. RST – 패킷을 보내면 3way핸드쉐이킹 후 Closed모드에 들어간다.
(정답률: 65%)
  • RST(Reset) 플래그는 비정상적인 상황에서 연결을 강제로 즉시 종료하고 재설정하기 위해 사용됩니다.

    오답 노트
    3way 핸드쉐이킹 후 Closed 모드로 진입하는 정상적인 세션 종료 과정은 RST가 아니라 FIN 플래그를 통해 이루어집니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

26. 다음 그림에서 IDS 위치로 올바른 것은?

  1. (1)
  2. (2)
  3. (3)
  4. (4)
(정답률: 52%)

  • IDS(침입 탐지 시스템)는 외부의 공격이 방화벽을 통과한 후 내부 네트워크나 시스템으로 들어오는 것을 감시해야 하므로, 일반적으로 방화벽 뒤(내부망 쪽)에 위치하는 (2) 지점이 올바릅니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

27. 다음 중 세션하이젝킹에 이용되는 툴(도구)은 무엇인가?

  1. HUNT
  2. TRINOO
  3. NIKTO2
  4. TRIPWIRE
(정답률: 37%)
  • HUNT는 세션 하이재킹(Session Hijacking)을 수행하기 위해 사용되는 대표적인 공격 도구입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

28. IDS에서 오용탐지를 위해 쓰이는 기술이 아닌 것은?

  1. 전문가시스템(expert System)
  2. 신경망(neural networks)
  3. 서명분석(signature analysis)
  4. 상태전이분석(State transition analysis)
(정답률: 38%)
  • 오용탐지(Signature-based Detection)는 이미 알려진 공격 패턴(서명)을 데이터베이스에 저장해두고 비교하는 방식입니다.

    오답 노트
    신경망: 알려지지 않은 공격을 탐지하는 이상탐지(Anomaly Detection) 기술에 해당합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

29. 다음에서 설명하고 있는 VPN 키 관리 기법은 무엇인가?

  1. ISAKMP
  2. OAKLEY
  3. IKE
  4. OCSP
(정답률: 37%)

  • Diffie-Hellman 프로토콜에 기반하며, 네트워크 공격 방지 메커니즘을 추가하고 IETF 제안으로 ISAKMP와 Oakley를 결합한 키 교환 프로토콜은 ISAKMP입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

30. 다음 IPS종류 중 어플리케이션게이트웨이 방식 설명으로 옳지 않은것은?

  1. 내부와 외부 네트워크가 프록시 서버를 통해서만 연결이 된다.
  2. 각 서비스별 프록시 데몬이 존재한다.
  3. 1세대 방화벽에 속 한다
  4. 일부 서비스에 대해 투명성을 제공하기 어렵다.
(정답률: 45%)
  • 어플리케이션 게이트웨이 방식은 응용 계층(Layer 7)에서 트래픽을 중개하는 고차원적인 방식으로, 패킷 필터링 방식을 사용하는 1세대 방화벽이 아니라 더 발전된 형태의 방화벽입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

31. 다음 중 IPTABLES에서 새로운 규칙을 출력하는 옵션은?

  1. -p
  2. -D
  3. -A
  4. -L
(정답률: 54%)
  • IPTABLES에서 현재 설정된 규칙의 목록을 출력하여 확인하는 옵션은 -L (List)입니다.

    오답 노트
    -p: 프로토콜 지정
    -D: 규칙 삭제(Delete)
    -A: 규칙 추가(Append)
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

32. ICMP메시지 종류중에서 TYPE 5인 메시지는 무엇인가?

  1. Echo Reply
  2. Redirect
  3. Echo Request
  4. Time Exceed
(정답률: 30%)
  • ICMP 메시지 타입 중 TYPE 5는 Redirect로, 더 나은 경로가 있을 때 라우터가 송신자에게 알리는 메시지입니다.

    오답 노트
    Echo Reply: TYPE 0
    Echo Request: TYPE 8
    Time Exceed: TYPE 11
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

33. 다음 보기에서 설명하고 있는 네트워크 공격기법은 무엇인가?

  1. dos
  2. ddos
  3. drdos
  4. syn flooding
(정답률: 47%)

  • 공격자가 타겟 서버의 IP로 출발지 주소를 스푸핑하여 경유지 서버에 SYN 패킷을 보내면, 경유지 서버가 타겟 서버로 SYN/ACK 패킷을 대량 전송하게 하여 자원을 소모시키는 SYN Flooding 공격의 변형된 형태입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

34. 다음 중 VPN에 대한 설명으로 올바르지 못한 것은?

  1. SSL VPN은 웹 어플리케이션 기반으로 구성된다.
  2. SSL VPN이 설치가 더 용이하다.
  3. IPSEC VPN은 시간과 장소에 제약이 없다.
  4. IPSEC VPN은 규정된 사용자, 제한된 사용자만 수용한다.
(정답률: 43%)
  • IPSEC VPN은 특정 지점과 지점을 연결하는 방식으로, 사전에 설정된 규정된 사용자나 제한된 장소에서만 접속이 가능하여 시간과 장소에 제약이 있습니다. 반면 SSL VPN은 웹 브라우저를 통해 접속하므로 설치가 용이하고 장소 제약 없이 사용할 수 있습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

35. 다음에 나열된 공격이 사용되는 융복합 서비스는 무엇인가?

  1. IPTV
  2. VoIP
  3. Smart TV
  4. CCTV
(정답률: 72%)
  • bye attack, cancel attack, RTP Flooding 등은 인터넷 전화 서비스인 VoIP(Voice over IP) 환경에서 발생하는 대표적인 공격 기법들입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

36. VPN프로토콜 중 IPSEC에서 암호화 기능을 담당하는 프로토콜은?

  1. AH
  2. IKE
  3. ESP
  4. OCSP
(정답률: 64%)
  • IPSec 프로토콜 중 ESP(Encapsulating Security Payload)는 데이터의 기밀성을 보장하기 위해 암호화 기능을 제공합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

37. 다음 보기는 어떤 공격에 대한 설명인가?

  1. 세션하이재킹
  2. 소스코드 삽입공격
  3. 사이트간 스크립팅(xss)
  4. 게시판 업로드공격
(정답률: 67%)
  • 웹사이트의 입력 검증 미흡 취약점을 이용해 악성 스크립트를 삽입하고, 이를 방문하는 다른 사용자의 브라우저에서 실행하게 만드는 공격은 사이트간 스크립팅(XSS)입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

38. 다음 중 IPSec에 대한 설명으로 올바르지 못한 것은?

  1. ESP는 헤더의 기밀성을 제공하기위해 사용된다.
  2. AH프로토콜은 메시지의 인증과 무결성을 위해 사용된다.
  3. IKE프로토콜은 SA를 협의하기위해 사용된다.
  4. IPSec은 전송계층 레이어에서 작동된다.
(정답률: 58%)
  • IPSec은 OSI 7계층 중 3계층인 네트워크 계층(Network Layer)에서 작동하는 프로토콜입니다.

    오답 노트
    전송계층 레이어에서 작동된다: 네트워크 계층에서 작동함
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

39. 다음에서 설명하고 있는 기술은 무엇인가?

  1. DLP
  2. DRM
  3. IDS
  4. VPN
(정답률: 82%)
  • 디지털 콘텐츠의 저작권을 보호하고, 불법 복제 및 허가되지 않은 기기에서의 소비를 방지하는 기술은 DRM(Digital Rights Management)입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

40. 공격자가 자신이 전송하는 패킷에 다른 호스트 IP주소를 담아서 전송하는 공격은?

  1. 패킷스니핑
  2. 포맷스트링
  3. 스푸핑
  4. 버퍼오버플로우
(정답률: 67%)
  • 스푸핑(Spoofing)은 '속이다'라는 의미로, 공격자가 자신의 IP 주소를 신뢰받는 다른 호스트의 IP 주소로 위장하여 패킷을 전송함으로써 시스템의 인증을 우회하거나 공격을 수행하는 기법입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

3과목: 어플리케이션 보안

41. 다음에서 설명하고 있는 FTP공격 형태는 무엇인가?

  1. 익명FTP공격
  2. FTP서버 자체 취약점
  3. 바운스공격
  4. 무작위 전송 공격
(정답률: 64%)
  • FTP 서버가 데이터를 전송할 목적지 주소를 제대로 검사하지 않는 설계 결함을 이용하여, 공격자가 제3의 서버로 데이터를 전송하게 함으로써 공격지를 은폐하는 수법을 바운스 공격(Bounce Attack)이라고 합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

42. 메일 필터링 스팸어쌔신에서 스팸 분류기준이 아닌 것은?

  1. 헤더검사
  2. 본문 내용검사
  3. 주요 스팸 근원지와 비근원지 자동생성
  4. 첨부파일 검사
(정답률: 37%)
  • 스팸어쌔신(SpamAssassin)은 메일의 헤더, 본문 내용, 그리고 알려진 스팸 근원지 리스트(DNSBL) 등을 분석하여 스팸 여부를 판별하는 필터링 도구입니다. 첨부파일 자체를 검사하는 기능은 스팸어쌔신의 기본 분류 기준에 포함되지 않습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

43. 다음 그림에 대한 ftp설명으로 올바르지 못한 것은?

  1. 두 번째 접속은 서버에서 클라이언트로 한다.
  2. 서버는 21번 포트와 1024이후의 포트를 연다
  3. 첫 번째 접속은 21번 포트인 명령어 포트이다
  4. 서버는 1024이후의 포트를 모두 연다.
(정답률: 27%)
  • FTP의 능동 모드(Active Mode)에서는 첫 번째 제어 연결은 클라이언트가 서버의 21번 포트로 접속하지만, 두 번째 데이터 연결은 서버가 클라이언트의 포트로 접속을 시도하는 방식입니다. 따라서 이미지의 2번 과정인 데이터 전송 연결은 서버에서 클라이언트로 접속하는 것이 맞으므로, 해당 설명이 올바르지 않다는 정답 설정은 문제의 의도나 보기 구성상 오류가 있을 수 있으나, 제시된 정답에 따라 분석하면 두 번째 접속의 주체와 방향을 정확히 파악하는 것이 핵심입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

44. 다음 보기에서 설명하고 있는 전자투표 방식은?

  1. 키오스크방식
  2. REV방식
  3. PSEV방식
  4. LKR방식
(정답률: 45%)
  • 이미지 에서 설명하는 방식은 지정된 투표소에서 선거인단이 관리하는 PSEV 방식입니다.

    오답 노트
    키오스크방식: 임의의 투표소 이용
    REV방식: 인터넷을 통한 원격 투표
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

45. 다음 보기의 SMTP 송신자 인증 방식은 무엇인가?

  1. HELO
  2. RCPT
  3. AUTH
  4. DATA
(정답률: 46%)
  • 제시된 이미지 의 SMTP 통신 과정에서 송신자의 신원을 확인하고 인증하기 위해 사용하는 명령어는 AUTH입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

46. 데이터베이스 보안요구사항 중 비기밀 데이터에서 기밀 데이터를 얻어내는 것을 방지하는 요구사항은?

  1. 추론방지
  2. 접근통제
  3. 흐름제어
  4. 암호화
(정답률: 67%)
  • 추론방지는 낮은 보안 등급의 비기밀 데이터를 조합하거나 분석하여 높은 보안 등급의 기밀 데이터를 유추해내는 것을 방지하는 보안 요구사항입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

47. 웹 브라우저와 웹 서버 간에 안전한 정보 전송을 휘애 사용되는 암호화 방법은?

  1. PGP
  2. SSH
  3. SSL
  4. S/MIME
(정답률: 58%)
  • SSL은 웹 브라우저(클라이언트)와 웹 서버 간의 전송 계층에서 데이터를 암호화하여 안전한 통신 경로를 제공하는 표준 보안 프로토콜입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

48. 다음 중 PGP에 대한 설명으로 올바르지 못한 것은?

  1. PGP는 메시지인증 기능도 지원한다.
  2. IDEA암호알고리즘을 이용하여 암호화 한다.
  3. 세션 키 로서 128비트 랜덤 키를 사용한다.
  4. 수신자는 세션 키를 자신이 생성한다.
(정답률: 52%)
  • PGP는 송신자가 일회용 세션 키를 생성하여 메시지를 암호화하고, 이 세션 키를 수신자의 공개키로 암호화하여 전달하는 방식입니다. 따라서 수신자가 세션 키를 생성한다는 설명은 틀린 것입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

49. 다음은 SET에서 사용하는 보안 메커니즘을 설명한 것이다. 다음의 내용에 해당하는 것은 무엇인가?

  1. 은닉서명
  2. 전자서명
  3. 이중서명
  4. 영지식증명
(정답률: 59%)
  • SET(Secure Electronic Transaction)의 이중서명은 처럼 상점은 지불 정보를 알 수 없고, 은행은 주문 정보를 알 수 없게 하여 사용자의 프라이버시를 보호하는 핵심 메커니즘입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

50. 전자화폐 지불방식이 아닌 것은?

  1. 온라인 지불
  2. 오프라인 지불
  3. 고액 지불
  4. 선불방식
(정답률: 56%)
  • 전자화폐는 소액 결제의 효율성을 위해 도입된 시스템으로, 온라인/오프라인 지불 방식과 선불/후불 방식 등으로 구분됩니다. 고액 지불은 전자화폐의 일반적인 지불 방식 범주에 해당하지 않습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

51. PKI구조에 대한 설명 중 올바르지 못한 것은?

  1. 계층적 구조는 네트워크 구조에 비해 인증 경로 탐색이 어렵다.
  2. 네트워크 구조는 인증기관의 비밀 키 노출 시 해당 인증 도메인에만 영향을 미친다.
  3. 계층적 구조는 단일화된 인증 정책과 중앙 집중적인 조직체계에적절하다.
  4. 네트워크 구조는 계층적 구조에 비해 구조가 유연하여 기존 구축된 서로 다른 도메인 간 연결할 때 유리하다.
(정답률: 38%)
  • 계층적 구조는 최상위 루트 CA부터 하위 CA로 이어지는 단일 경로를 가지므로, 복잡한 상호 인증 관계를 가진 네트워크 구조보다 인증 경로 탐색이 훨씬 쉽고 빠릅니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

52. 다음 중 전자화폐시스템에 대한 일반적 모델로 프로토콜 구성이 올바르지 않은 것은?

  1. 예치 : 상점서버 - 금융기관
  2. 지불 : 상점서버 - 사용자
  3. 인출 : 사용자 - 금융기관
  4. 인증 : 지불서버 – 인증기관
(정답률: 46%)
  • 전자화폐 시스템의 일반적인 프로토콜 구성에서 인증 과정은 지불서버가 아닌 사용자나 상점서버가 인증기관과 통신하여 전자화폐의 유효성을 검증하는 과정으로 이루어집니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

53. 다음 중 SSL최하위 계층에 위치하고 있는 프로토콜은 무엇인가?

  1. Handshake
  2. Alert
  3. Record layer
  4. Change CipherSpec
(정답률: 39%)
  • SSL 프로토콜 구조에서 Record layer는 최하위 계층에 위치하며, 상위 프로토콜(Handshake, Alert, Change CipherSpec)로부터 전달받은 데이터를 캡슐화하여 전송하는 역할을 수행합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

54. 전자투표 요구사항에 포함되지 않는 것은?

  1. 정확성
  2. 단일성
  3. 합법성
  4. 독립성
(정답률: 44%)
  • 전자투표 시스템은 투표의 정확성, 단일성(중복 투표 방지), 합법성(권한 확인) 등이 필수적으로 요구됩니다. 독립성은 일반적인 전자투표의 핵심 요구사항에 포함되지 않습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

55. 다운로드를 위한 게시판 파일을 이용하여 임의의 문자나 주요 파일명의 입력을 통해 웹 서버 홈 디렉토리를 벗어나 시스템 내부의 다른 파일로 접근하여 다운로드하는 공격은?

  1. CSS
  2. 파일다운로드
  3. 인젝션
  4. 쿠키/세션위조
(정답률: 58%)
  • 파일 다운로드 취약점을 이용한 공격으로, 파일 경로에 \..\ (상위 디렉토리 이동)와 같은 특수 문자를 입력하여 웹 서버의 홈 디렉토리를 벗어나 시스템 내부의 민감한 파일에 접근하는 기법을 의미합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

56. 다음 중에서 SQL인젝션 공격에 대한 보호대책으로 거리가 먼 것은?

  1. 사용자 입력이 SQL 문장으로 사용되지 않도록 한다.
  2. 사용자 입력으로 특수문자의 사용은 제한하도록 한다.
  3. 원시 ODBC오류를 사용자가 볼 수 없도록 코딩해야한다.
  4. 테이블 이름, SQL구조 등이 외부 HTML에 포함되어 나타나도록한다.
(정답률: 70%)
  • SQL 인젝션은 입력값에 악의적인 SQL 구문을 삽입하여 데이터베이스를 조작하는 공격입니다. 따라서 테이블 이름이나 SQL 구조와 같은 내부 정보가 외부 HTML에 노출되면 공격자에게 중요한 힌트를 제공하게 되어 보안에 매우 취약해집니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

57. IETF에서 표준화하고 개발한 것으로 중앙 집중적으로 키 관리를 수행하는 이메일 보안 시스템은?

  1. PGP
  2. PEM
  3. TSL
  4. SET
(정답률: 56%)
  • PEM(Privacy Enhanced Mail)은 IETF에서 표준화한 이메일 보안 시스템으로, 신뢰할 수 있는 중앙 기관(CA)이 키를 관리하고 인증서를 발행하는 중앙 집중적 키 관리 방식을 사용합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

58. XML기반 보안 기술이 아닌 것은?

  1. XPKI
  2. SAML
  3. XKMS
  4. XACML
(정답률: 34%)
  • XML 기반 보안 기술은 데이터 교환 및 인증을 위해 표준화된 마크업 언어를 사용합니다. SAML은 인증 및 속성 Assertion, XKMS는 PKI 서비스 프록시, XACML은 XML 기반 접근 제어를 수행합니다. XPKI는 표준 XML 기반 보안 기술 명칭에 해당하지 않습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

59. 전자화폐의 안전성을 제공하기 위해 요구되는 기능 중에서 이중지불을 방지 할 수 있는 기능에 해당하는 것은?

  1. 익명성
  2. 양도성
  3. 분할성
  4. 오프라인성
(정답률: 48%)
  • 전자화폐에서 분할성은 화폐를 작은 단위로 나누어 사용할 수 있게 함으로써, 동일한 화폐를 동시에 여러 곳에서 사용하는 이중지불 문제를 방지하는 기능적 토대가 됩니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

60. 전자 입찰시스템에서 필요한 5가지 보안 요구사항과 가장 거리가 먼 것은?

  1. 독립성
  2. 효과성
  3. 비밀성
  4. 무결성
(정답률: 66%)
  • 전자 입찰시스템은 입찰 과정의 공정성과 신뢰성을 위해 비밀성, 무결성, 독립성 등이 필수적으로 요구됩니다. 효과성은 일반적인 시스템 성능 지표일 뿐, 보안 요구사항의 핵심 요소는 아닙니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

4과목: 정보 보안 일반

61. 적극적 공격에 해당되지 않는 것은?

  1. 변조
  2. 삽입
  3. 트래픽분석
  4. 재생
(정답률: 79%)
  • 적극적 공격은 데이터의 흐름을 변경하거나 가짜 데이터를 생성하여 시스템에 영향을 주는 공격입니다. 트래픽분석은 데이터의 내용을 변경하지 않고 흐름만 관찰하는 수동적 공격에 해당합니다.

    오답 노트
    변조, 삽입, 재생: 데이터 변경 및 생성 등이 포함된 적극적 공격
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

62. 커버로스에 대한 설명으로 올바르지 못한 것은 무엇인가?

  1. mit에서 개발한 분산환경하에서 개체인증 서비스를 제공한다.
  2. 클라이언트, 인증서버, 티켓서버, 서버로 구성된다.
  3. 커버로스는 공개키 기반으로 만들어졌다.
  4. 커버로스의 가장 큰 단점은 재전송공격에 취약하다는 것이다.
(정답률: 60%)
  • Kerberos는 대칭키 암호화 알고리즘을 기반으로 설계된 인증 프로토콜입니다. 따라서 공개키 기반으로 만들어졌다는 설명은 옳지 않습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

63. 다음 보기에서 설명하고 있는 블록 암호 모드는 무엇인가?(오류 신고가 접수된 문제입니다. 반드시 정답과 해설을 확인하시기 바랍니다.)

  1. ECB
  2. CBC
  3. CTR
  4. CFB
(정답률: 29%)
  • 제시된 이미지 의 설명(패딩 필요, 재전송 공격 취약 등)은 전형적인 ECB 모드의 특징입니다. 다만, 공식 지정 정답이 CFB로 되어 있으므로 이를 따르되, 실제 이론상으로는 ECB 모드에 가까운 설명임을 인지하시기 바랍니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

64. 다음은 어떤 접근제어 정책을 설명하고 있는가?

  1. MAC
  2. RBAC
  3. CBAC
  4. DAC
(정답률: 69%)
  • 제시된 이미지 의 내용처럼 객체의 소유자가 임의적으로 접근 권한을 부여하거나 다른 주체에게 권한을 넘겨줄 수 있는 정책은 임의적 접근제어(DAC)입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

65. 다음 보기에서 설명하고 있는 보안 기술은 무엇인가?

  1. SSH터널링
  2. 은닉채널
  3. 전송터널
  4. 이중터널
(정답률: 74%)
  • 제시된 이미지 의 내용처럼 기본 채널에 기생하여 송신자와 수신자만 알 수 있게 메시지를 전달하는 통신 채널을 은닉채널이라고 합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

66. 다음 중 Kerberos 인증 프로토콜에 대한 설명으로 옳지 않은 것은?

  1. 중앙서버 개입 없이 분산형태로 인증을 수행한다.
  2. 티켓 안에는 자원 활용을 위한키와 정보가 포함되어 있다.
  3. 대칭키 알고리즘을 사용한다.
  4. TGT를 이용해 자원사용을 위한 티켓을 획득한다.
(정답률: 61%)
  • Kerberos는 KDC(Key Distribution Center)라는 중앙 서버를 통해 인증을 수행하는 중앙 집중형 인증 프로토콜입니다. 따라서 중앙서버 개입 없이 분산형태로 인증을 수행한다는 설명은 틀린 내용입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

67. DES에 대한 설명으로 옳지 않은 것은?

  1. Feistel암호방식을 따른다.
  2. 1970년대 블록암호 알고리즘이다.
  3. 한 블록의 크기는 64비트이다.
  4. 한 번의 암호화를 거치기 위하여 10라운드를 거친다.
(정답률: 70%)
  • DES(Data Encryption Standard)는 데이터를 암호화하기 위해 총 16라운드의 반복 과정을 거칩니다.

    오답 노트
    Feistel 암호방식: DES의 기본 구조
    1970년대 블록암호: 1977년 표준 채택
    블록 크기 64비트: DES의 표준 블록 단위
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

68. 국내기관에서 개발한 암호알고리즘은 무엇인가?

  1. AES
  2. DES
  3. ARIA
  4. IDEA
(정답률: 77%)
  • ARIA는 국가정보원과 학계가 공동으로 개발한 대한민국 표준 블록 암호 알고리즘입니다.

    오답 노트
    AES, DES, IDEA: 해외에서 개발된 암호 알고리즘
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

69. 소인수 분해 어려움에 기반 한 큰 안정성을 가지는 전자서명알고리즘은?

  1. ECC
  2. KCDSA
  3. Elgamal
  4. RSA
(정답률: 66%)
  • RSA 알고리즘은 매우 큰 두 소수의 곱을 다시 소인수 분해하는 것이 계산적으로 매우 어렵다는 수학적 원리를 이용하여 보안성을 확보하는 대표적인 공개키 기반 전자서명 알고리즘입니다.
  • 알고리즘기반 수학 문제특징
    RSA소인수 분해 (Factorization)매우 큰 두 개의 소수를 곱하기는 쉽지만, 그 곱한 결과값을 다시 소수들로 쪼개는 것은 엄청나게 어렵다는 점을 이용합니다.
    ECC타원곡선 이산대수 (ECDLP)타원곡선 위의 점 연산을 이용합니다. RSA보다 훨씬 짧은 키 길이로도 동일한 보안 수준을 제공합니다.
    ElGamal이산대수 (Discrete Logarithm)유한체 위에서 지수 연산의 역산(로그)이 어렵다는 점을 이용합니다.
    KCDSA이산대수 (Discrete Logarithm)한국 표준(TTA) 전자서명 알고리즘으로, 역시 이산대수 문제에 기반합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

70. 다음 접근제어 모델 중에서 대상기반 접근제어가 아니라 특정한 역할들을 정의하고 각 역할에 따라 접근원한을 지정하고 제어하는 방식은?

  1. RBAC
  2. MAC
  3. DAC
  4. ACL
(정답률: 77%)
  • RBAC(Role Based Access Control)는 사용자 개개인이 아닌, 조직 내의 '역할(Role)'을 정의하고 해당 역할에 필요한 접근 권한을 부여하여 제어하는 역할 기반 접근제어 모델입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

71. 다음 중 공개키 암호에 대한 설명으로 옳은 것은?

  1. 일반적으로 같은 양 데이터를 암호화한 암호문이 대칭키 암호보다 현저히 짧다.
  2. 대표적인 암호로 DES, AES가 있다.
  3. 대표적인 암호로 RSA가 있다.
  4. 대칭키 암호보다 수년전 고안된 개념이다.
(정답률: 53%)
  • 공개키 암호 방식의 가장 대표적인 알고리즘은 소인수 분해의 어려움을 이용한 RSA입니다.

    오답 노트
    DES, AES: 대칭키 암호 알고리즘임
    암호문 길이: 대칭키 암호보다 암호문 길이가 더 길어짐
    고안 시점: 대칭키 암호가 공개키 암호보다 훨씬 먼저 고안됨
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

72. 다음의 내용이 설명하고 있는 것은?

  1. 워터마크
  2. 암호화
  3. 전자서명
  4. 저작권
(정답률: 66%)
  • 제시된 이미지의 내용은 지적 재산권 보호를 위해 파일 내부에 비밀 정보를 삽입하여 소유자를 확인하는 기술을 설명하고 있습니다. 이는 디지털 콘텐츠에 보이지 않는 표식을 남기는 워터마크에 대한 설명입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

73. 다음 중 공인 인증서 구성요소 내용으로 올바르지 않은 것은?

  1. 공인 인증서 일련번호
  2. 소유자 개인키
  3. 발행기관 식별명칭
  4. 유효기간
(정답률: 64%)
  • 공인 인증서는 공개키를 안전하게 배포하기 위한 수단입니다. 따라서 인증서에는 소유자의 공개키가 포함되어야 하며, 소유자 개인키는 절대로 외부에 노출되거나 인증서에 포함되어서는 안 됩니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

74. 다음 중 Diffi-Hallman 알고리즘 특징이 아닌 것은?

  1. 단순하고 효율적이다.
  2. 인증 메시지에 비밀 세션 키를 포함하여 전달할 필요가 없다.
  3. 세션 키를 암호화한 전달이 필요하지 않다.
  4. 사용자 A와 B만이 키를 계산할 수 있기 때문에 무결성이 제공된다.
(정답률: 32%)
  • Diffie-Hellman 알고리즘은 두 사용자가 안전하지 않은 채널을 통해 공통의 비밀 키를 공유하기 위한 '키 교환' 알고리즘입니다. 이는 기밀성을 확보하기 위한 수단이며, 메시지의 변조 여부를 확인하는 무결성을 직접적으로 제공하는 알고리즘은 아닙니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

75. 공개키 기반구조(PKI)에 대한 설명으로 올바르지 못한 것은?

  1. 인증서버 버전, 일련번호, 서명, 발급자, 유효기간 등의 데이터 구조를 포함하고 있다.
  2. 공개키 암호시스템을 안전하게 사용하고 관리하기 위한 정보보호방식이다.
  3. 인증서 폐지 여부는 인증서폐지목록(CRL)과 온라인 인증서 상태 프로토콜(OCSP)확인을 통해서 이루어진다.
  4. 인증서는 등록기관(RA)에 의해 발행된다.
(정답률: 67%)
  • 공개키 기반구조(PKI)에서 인증서를 실제로 발행하는 주체는 인증기관(CA)입니다. 등록기관(RA)은 사용자의 신원을 확인하고 CA에 인증서 발급을 요청하는 접수 창구 역할을 수행합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

76. 다음 중 전자서명의 특징이 아닌 것은?

  1. 위조불가
  2. 서명자 인증
  3. 부인불가
  4. 재사용가능
(정답률: 82%)
  • 전자서명은 특정 메시지에 대해 생성된 고유한 값이어야 하므로, 한 번 사용한 서명을 다른 메시지에 재사용하는 것은 보안상 불가능하며 특징에 해당하지 않습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

77. 대칭키 암호 알고리즘이 아닌 것은?

  1. DES
  2. SEED
  3. 3DES
  4. DSA
(정답률: 65%)
  • DSA(Digital Signature Algorithm)는 공개키 기반의 전자서명 표준 알고리즘으로, 대칭키 암호 알고리즘이 아닙니다.

    오답 노트
    DES, SEED, 3DES: 대칭키 암호 알고리즘
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

78. 다음 중 스트림 암호 기술에 포함되지 않는 것은?

  1. OTP
  2. Feistel
  3. LFSR
  4. FSR
(정답률: 49%)
  • Feistel 구조는 블록 암호(Block Cipher)를 설계할 때 사용하는 전형적인 구조이며, 스트림 암호 기술이 아닙니다.

    오답 노트
    OTP, LFSR, FSR: 스트림 암호 방식
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

79. 다음 중 공개키 암호알고리즘 중에서 이산대수 문제에 기반 한 알고리즘이 아닌 것은?

  1. Schnorr
  2. DSA
  3. Rabin
  4. KCDSA
(정답률: 60%)
  • Rabin 암호 알고리즘은 이산대수 문제가 아니라 소인수분해 문제의 어려움에 기반을 둔 공개키 암호 방식입니다.

    오답 노트
    Schnorr, DSA, KCDSA: 이산대수 문제 기반 알고리즘
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

80. 다음은 암호메시지 공격 중에 어떤 공격인가?

  1. 암호문 단독공격
  2. 알려진 평문공격
  3. 선택 평문공격
  4. 선택 암호문공격
(정답률: 64%)
  • 공격자가 임의의 평문을 선택하여 그에 대응하는 암호문을 얻을 수 있는 상황에서 수행하는 공격은 선택 평문공격(CPA)입니다.

    오답 노트
    암호문 단독공격: 암호문만 가지고 해독
    알려진 평문공격: 이미 알고 있는 평문-암호문 쌍을 이용
    선택 암호문공격: 암호문을 선택하여 평문을 획득
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

5과목: 정보보안 관리 및 법규

81. 다음 중 정량적 위험분석 방법이 아닌 것은?

  1. 과거자료분석방법
  2. 확률분포법
  3. 수학공식법
  4. 시나리오법
(정답률: 60%)
  • 정량적 위험분석은 수치화된 데이터를 기반으로 분석하는 방법입니다. 시나리오법은 발생 가능한 상황을 가정하여 분석하는 정성적 위험분석 방법입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

82. 통제수행시점에 따른 분류 중 설명이 올바르지 않은 것은?

  1. 예방통제 : 발생 가능한 잠재적인 문제들을 식별하여 사전에 대처하는 통제방법
  2. 탐지통제 : 예방통제를 우회하는 문제점을 찾아내는 통제방법
  3. 교정통제 : 교정통제에 대표적인 방법은 로깅기능을 통한 감사증적이 있다.
  4. 잔류위험 : 사건발생가능성과 손실관점에서 위험을 허용하는 부분에 남아 있는 위험
(정답률: 47%)
  • 교정통제는 탐지통제에 의해 발견된 문제점을 수정하고 복구하는 통제입니다. 로깅기능을 통한 감사증적은 문제 발생을 찾아내는 탐지통제의 대표적인 방법이므로 설명이 옳지 않습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

83. OECD 정보보호 가이드라인에 포함되지 않는 내용은?

  1. 인식
  2. 책임
  3. 윤리
  4. 교육
(정답률: 31%)
  • OECD 정보보호 가이드라인은 인식, 책임, 대응, 윤리, 민주주의, 위험평가, 보안설계와 이행, 보안관리, 재평가 등의 내용을 포함하고 있으며, 교육은 포함되지 않습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

84. 다음에서 설명하고 있는 인증 제도는 무엇인가?

  1. PIMS
  2. PIPL
  3. ISMS
  4. PIA
(정답률: 69%)
  • 기업이 정보보호 활동을 지속적, 체계적으로 수행하기 위해 필요한 보호조치를 구축했는지 점검하고 인증을 부여하는 제도는 ISMS(정보보호 관리체계 인증)입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

85. 다음에 설명하고 있는 재난복구 대체처리 사이트는 무엇인가?

  1. 쿨사이트
  2. 핫사이트
  3. 웜사이트
  4. 콜드사이트
(정답률: 38%)
  • 하드웨어와 연결은 이미 구축되어 있으나 애플리케이션이 설치되지 않은 상태의 대체 사이트는 웜사이트입니다. 이는 핫사이트(즉시 가동)와 콜드사이트(인프라 없음)의 중간 단계의 복구 수준을 가집니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

86. 다음 중 나라별, 지역별로 서로 다른 평가기준을 가짐에 따라 동일한 제품에 대한 중폭평가를 피하고 해결하기위한 정보보호시스템 공통평가기준을 무엇이라 하는가?

  1. ITSEC
  2. TCSEC
  3. CC
  4. OCRA
(정답률: 66%)
  • CC(Common Criteria)는 국가별, 지역별로 서로 다른 평가기준으로 인해 발생하는 중복 평가를 방지하고, 정보보호 제품의 보안성을 국제적으로 표준화하여 평가하기 위한 공통평가기준입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

87. 다음 중 개인정보보호법에 대한 설명으로 올바른 것은?

  1. 개인정보보호 위원회 위원은 대통령이 임명한다.
  2. 정보주체란 개인정보를 생성, 처리하는 자를 의미한다.
  3. 개인정보는 어떤 경우에도 위탁이나 제 3자제공이 돼서는 안된다.
  4. 개인정보 목적 달성 후 1년간 보관한다.
(정답률: 38%)
  • 개인정보보호 위원회 위원은 대통령이 임명하는 것이 맞습니다.

    오답 노트
    정보주체: 처리되는 정보에 의해 알아볼 수 있는 사람
    위탁 및 제3자 제공: 법적 예외 사유가 있을 경우 가능
    보관 기간: 목적 달성 후 지체 없이(5일 이내) 파기
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

88. ISMS인증에서 정보보호관리 과정에 포함되지 않는 것은?

  1. 정보보호 교육 및 훈련
  2. 경영진 책임 및 조직구성
  3. 위험관리
  4. 사후관리
(정답률: 18%)
  • ISMS 인증의 정보보호관리 과정은 '정책 수립 및 범위 설정 $\rightarrow$ 경영진 책임 및 조직구성 $\rightarrow$ 위험관리 $\rightarrow$ 구현 $\rightarrow$ 사후관리' 순으로 진행됩니다. 정보보호 교육 및 훈련은 관리 과정의 단계가 아닌 세부 운영 항목에 해당합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

89. 공인인증서 소멸사유에 포함되지 않는 것은?

  1. 공인인증서 효력이 정지된 경우
  2. 공인인증서 기관이 취소된 경우
  3. 공인인증서 유효기간이 경과한 경우
  4. 공인인증서 분실된 경우
(정답률: 36%)
  • 공인인증서의 소멸 사유는 유효기간 경과, 인증서 효력 정지, 인증기관의 취소 등이 해당합니다. 공인인증서 분실된 경우는 인증서 자체의 효력이 사라지는 소멸 사유가 아니라, 재발급이나 폐지를 요청해야 하는 사유에 해당합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

90. 전자서명법상 전자서명의 효력으로 옳지 않은 것은?

  1. 다른 법령에서 문서 또는 서면에 서명, 서명날인 또는 기명날인을 요하는 경우 전자문서에 공인전자서명이 있는 때에는 이를 충족한것으로 본다.
  2. 공인전자서명이 있는 경우에는 당해 전자서명이 서명자의 서명, 서명날인 또는 기명날인이고, 당해 전자문서가 전자서명 된 후 그 내용이 변경되지 아니하였다고 추정한다.
  3. 공인전사저명외의 전자서명은 당사자 간의 약정에 따른 서명, 서명날인 또는 기명날인으로서의 효력을 가진다.
  4. 공인전자서명이 있는 경우에는 당해 전자서명이 서명자의 서명, 서명날인 또는 기명날인이고, 당해 전자문서가 전자서명 된 후 그 내용이 변경되지 아니한 것으로 본다.
(정답률: 32%)
  • 전자서명법상 공인전자서명이 있는 경우, 서명자의 서명 및 내용의 불변성은 '추정'하는 것이지 무조건적으로 '본다(간주)'고 규정하지 않습니다. 따라서 추정한다는 표현이 아닌 본다는 표현을 사용한 설명은 옳지 않습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

91. 다음은 정보관리 측면에서 무엇에 대한 설명인가?

  1. 위협
  2. 결함
  3. 위험
  4. 취약성
(정답률: 57%)

  • 비정상적인 일이 발생할 수 있는 가능성을 의미하는 용어는 위험(Risk)입니다. 이는 자산의 취약성과 위협이 결합하여 손실이 발생할 가능성을 뜻합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

92. 개인정보보호, 정보보호 교육에 대한 설명으로 옳지 않은 것은?

  1. 개인정보보호법에 따라 연1회이상 개인정보 교육을 의무적으로 한다.
  2. 정보보호 교육 시 자회사 직원만 교육하고 협력사는 제외한다.
  3. 정보통신망법에 따라 연2회 이상 개인정보 교육을 의무적으로 한다.
  4. 개인정보보호, 정보보안에 대한 교육은 수준별, 대상별로 나누어 교육한다.
(정답률: 57%)
  • 정보보호 교육은 조직의 보안 수준을 높이기 위해 내부 직원뿐만 아니라 시스템에 접근 권한을 가진 협력사 직원까지 포함하여 실시하는 것이 원칙입니다.

    오답 노트
    개인정보보호법에 따라 연 1회 이상 교육을 실시해야 하므로 정보통신망법에 따라 연 2회 이상 교육해야 한다는 설명은 적절하지 않습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

93. 업무연속성(BCP) 5단계 순서를 올바르게 나열한 것은?

  1. 사업영향평가-복구전략개발-수행및테스트-범위설정 및 기획-복구수립계획
  2. 범위설정및기획-사업영향평가-복구전략개발-복구수립계획-수행및테스트
  3. 복구수립계획-범위설정및기획-사업영향평가-복구전략개발-수행및테스트
  4. 복구전략개발-복구수립계획-사업영향평가-범위설정및기획-수행및테스트
(정답률: 46%)
  • 업무연속성계획(BCP) 5단계의 표준 절차는 기획부터 테스트까지 순차적으로 진행됩니다.
    범위설정 및 기획 $\rightarrow$ 사업영향평가 $\rightarrow$ 복구전략개발 $\rightarrow$ 복구수립계획 $\rightarrow$ 수행 및 테스트 순으로 이루어집니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

94. 개인정보보호법상 개인정보처리와 정보주체의 권리에 대한 설명으로 올바르지 않은 것은?

  1. 개인정보에 대한 열람은 가능하나 사본 발급은 요구할 수 없다.
  2. 개인정보처리로 인해 피해 발생이 될 경우 적법한 절차에 따라 구제 받을 수 있다.
  3. 개인정보처리에 대한 정보를 제공받을 수 있다.
  4. 개인정보처리 동의 여부, 범위 등을 선택하고 결정할 수 있다.
(정답률: 63%)
  • 정보주체는 개인정보처리자에게 자신의 개인정보에 대한 열람을 요구할 수 있으며, 이 과정에서 사본의 발급을 요청하는 권리가 포함됩니다.

    오답 노트
    피해 구제, 정보 제공 요청, 동의 범위 결정은 모두 개인정보보호법상 보장되는 정보주체의 정당한 권리입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

95. ‘정보통신망 이용촉진 및 정보보호등에 관한법률’ 에 따라 정보보호책임자를 지정해야 한다. 정보보호 최고책임자가 해야 할 업무가 아닌 것은?

  1. 정보보호관리체계의 수립 및 관리/운영
  2. 정보보호 취약점 분석/평가 및 개선
  3. 정보보호 사전 보안성 검토
  4. 주요 정보통신 기반시설 지정
(정답률: 61%)
  • 정보보호 최고책임자(CISO)는 정보보호 관리체계 수립, 취약점 분석 및 평가, 사전 보안성 검토 등 내부 보안 관리 업무를 수행합니다. 주요 정보통신 기반시설 지정은 정부 기관(관리기관)의 권한이자 업무입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

96. ‘개인정보보호법’에 따라 개인정보가 유출되었음을 알게 되었을 때에는 지체 없이 정보주체에게 알려야 한다. 해당되지 않는 내용은?

  1. 유출된 시점과 그 경위
  2. 유출된 개인정보 항목
  3. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당자 및 연락처
  4. 개인정보처리자의 대응조치 및 피해구제절차
(정답률: 46%)
  • 개인정보 유출 통지 시에는 유출된 시점과 경위, 유출된 항목, 대응조치 및 피해구제절차를 반드시 알려야 합니다. 피해 발생 시 신고 접수 담당자 및 연락처는 통지 필수 항목에 포함되지 않습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

97. 개인정보영향평가 대상 범위에 포함되지 않는 것은?

  1. 구축 또는 변경하려는 개인정보파일 중 민감 정보, 고유 식별정보 5만 명 처리
  2. 구축 또는 운영하려는 개인정보파일이 내•외적으로 50만 명 이상연계
  3. 구축 또는 변경하려는 개인정보 파일 중 정보추체가 100만 명 이상
  4. 구축 또는 변경하려는 개인정보 파일 중 주민등록번호가 포함시
(정답률: 46%)
  • 개인정보 영향평가 대상은 민감 정보·고유 식별정보 5만 명 이상, 50만 명 이상의 정보주체 연계, 100만 명 이상의 정보주체 처리 등이 기준이 됩니다. 단순히 주민등록번호가 포함되었다는 사실만으로는 영향평가 의무 대상 범위에 포함되지 않습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

98. 다음 중 개인정보보호법상 개인정보 영향평가 시 고려 사항이 아닌것은?

  1. 처리하는 개인정보의 수
  2. 개인정보 제3자 제공여부
  3. 개인정보영향평가기관 능력
  4. 민감 정보 또는 고유 식별정보 처리여부
(정답률: 56%)
  • 개인정보 영향평가는 처리하는 개인정보의 수, 제3자 제공 여부, 민감 정보 및 고유 식별정보 처리 여부 등 처리 과정의 위험성을 분석하는 것이 핵심입니다. 평가를 수행하는 기관의 능력은 평가 대상의 위험도를 결정하는 고려 사항에 해당하지 않습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

99. 개인정보보호법에서 개인정보처리자는 개인정보 열람요구서를 받은날부터 며칠 이내에 정보주체에게 해당 개인정보를 열람 할수 있도록 알려주어야 하는가?

  1. 3일
  2. 5일
  3. 7일
  4. 10일
(정답률: 23%)
  • 개인정보보호법에 따라 개인정보처리자는 정보주체로부터 개인정보 열람 요구를 받은 날로부터 10일 이내에 열람 가능 여부 및 시기, 방법 등을 알려야 합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

100. 최근 개인정보보호법이 개정이 되었다. 개인정보보호법상 주민번호 수집 후 유출시 얼마의 과징금이 부과되는가?

  1. 1억
  2. 3억
  3. 5억
  4. 7억
(정답률: 39%)
  • 개인정보보호법에 따라 주민등록번호가 유출된 경우, 법정 과징금의 상한액은 5억 원 이하로 규정되어 있습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

< 이전회차목록 다음회차 >