정보보안기사 필기 기출문제복원 (2015-03-28)

정보보안기사
(2015-03-28 기출문제)

목록

1과목: 시스템 보안

1. 다음은 스캔 도구로 유명한 Nmap의 스캔 타입을 설명한 내용이다. 보기에서 설명하는 스캔 타입은 무엇인가?

  1. -sX
  2. -sS
  3. -sU
  4. -sP
(정답률: 53%)
  • 보기에서 설명하는 스캔 타입은 "-sS"이다. "-sS"는 TCP SYN 스캔으로, 목표 호스트의 포트 상태를 확인하기 위해 TCP SYN 패킷을 보내는 방식이다. 이 방식은 빠르고 정확하게 포트 상태를 확인할 수 있으며, 대부분의 방화벽에서도 탐지하기 어렵다는 장점이 있다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

2. 다음 중 원격 서버의 /etc/hosts/equiv 파일에 정확한 설정이 있어야만 정상적으로 실행이 되어 신뢰받는 로그인을 할 수 있는 명령어는 무엇인가?

  1. telnet
  2. login
  3. rlogin
  4. talkd
(정답률: 91%)
  • 정답은 "rlogin"이다.

    rlogin은 원격 서버에 로그인하기 위한 명령어로, /etc/hosts/equiv 파일에 정확한 설정이 있어야만 정상적으로 실행이 되어 신뢰받는 로그인을 할 수 있다. 이 파일은 호스트 간에 신뢰성 있는 로그인을 가능하게 하기 위해 사용되며, 호스트 간에 서로의 IP 주소와 호스트 이름을 등록하는 역할을 한다. 따라서 rlogin을 사용하기 위해서는 이 파일에 정확한 설정이 필요하다.

    반면 telnet은 원격 서버에 접속하기 위한 명령어이지만, 보안상의 이유로 사용이 권장되지 않는다. login은 로컬 시스템에 로그인하기 위한 명령어이며, talkd는 다른 사용자와 대화하기 위한 명령어이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

3. 다음 중 비밀번호 앞 또는 뒤에 문자열을 추가하여 동일 비밀번호에 대하여 동일 다이제스트를 생성하는 해시 함수의 문제점을 보완해 주는 기술은 무엇인가?

  1. 0TP
  2. 솔트
  3. HMAC
  4. 스트레칭
(정답률: 79%)
  • 솔트는 해시 함수의 입력값으로 사용되는 비밀번호에 임의의 문자열을 추가하여 다이제스트를 생성하는 기술이다. 이를 통해 동일한 비밀번호라도 솔트 값이 다르면 다른 다이제스트가 생성되어 보안성이 향상된다. 따라서 비밀번호를 해싱할 때 솔트 값을 추가하는 것이 좋다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

4. 다음 중 응용 프로그램 로그에 해당되지 않는 것은?

  1. UNIX Syslog
  2. DB 로그
  3. 웹 로그
  4. FTP 로그
(정답률: 50%)
  • 정답: "UNIX Syslog"

    설명: UNIX Syslog은 운영 체제의 시스템 로그이며, 응용 프로그램 로그는 아닙니다. DB 로그, 웹 로그, FTP 로그는 각각 데이터베이스, 웹 서버, FTP 서버와 같은 응용 프로그램에서 생성되는 로그입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

5. 다음의 취약성 점검 도구 중 NESSUS 도구로 탐지할 수 없는 것은?

  1. 사용할 때만 열리는 닫힌 포트
  2. 쿠키값
  3. 운영 체제 종류
  4. 웹 서버 취약점
(정답률: 31%)
  • NESSUS 도구는 포트 스캐닝, 취약점 스캐닝 등을 통해 시스템의 취약점을 탐지하는 도구이다. 따라서 "사용할 때만 열리는 닫힌 포트", "운영 체제 종류", "웹 서버 취약점"은 NESSUS 도구로 탐지할 수 있는 취약점이다. 하지만 "쿠키값"은 웹 어플리케이션에서 사용되는 인증 정보로, NESSUS 도구로는 탐지할 수 없는 취약점이다. 쿠키값은 웹 어플리케이션의 로그인 기능 등에서 사용되며, 웹 어플리케이션 취약점 스캐닝 도구를 사용하여 탐지할 수 있다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

6. 다음에서 설명하고 있는 접근 제어 정책으로 올바른 것은?

  1. MAC
  2. DAC
  3. RBAC
  4. HMAC
(정답률: 81%)
  • 이 그림은 RBAC(Role-Based Access Control) 접근 제어 정책을 나타내고 있습니다. RBAC는 사용자의 역할(Role)에 따라 접근 권한을 부여하는 방식으로, 보안성이 높고 관리가 용이합니다. 따라서 이 그림에서는 사용자들이 각각의 역할(Role)을 가지고 있고, 역할에 따라 접근 권한이 부여되는 것을 볼 수 있습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

7. UNIX 시스템에서는 일반 계정의 비밀번호를 저장할 때 암호화하여 저장한다. 다음 중 어떤 알고리즘을 이용하여 저장하는가?

  1. DES
  2. RSA
  3. MD5
  4. SHA
(정답률: 52%)
  • UNIX 시스템에서는 MD5 알고리즘을 이용하여 일반 계정의 비밀번호를 암호화하여 저장한다. 이는 MD5 알고리즘이 안전하고 빠르기 때문이다. 또한, MD5 알고리즘은 단방향 암호화 방식으로, 암호화된 비밀번호를 복호화할 수 없기 때문에 보안성이 높다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

8. 다음의 일반적인 보안 원칙 중 보기에 알맞은 것은?

  1. 소프트웨어 최신 유지
  2. 중요 서비스에 대한 액세스 제한
  3. 시스템 작업 모니터링
  4. 최소 권한 원칙 준수
(정답률: 71%)
  • 최소 권한 원칙은 사용자나 프로세스에게 필요한 최소한의 권한만 부여하여 보안을 강화하는 원칙입니다. 이를 준수하면 권한이 높은 사용자나 프로세스가 악의적인 행동을 할 경우에도 피해를 최소화할 수 있습니다. 따라서 최소 권한 원칙을 준수하는 것이 보안을 강화하는 중요한 방법 중 하나입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

9. 다음 중 PAM(Pluggable Authentication Module) 에 대한 설명으로 옳지 않은 것은?

  1. 사용자를 인증하고 그 사용자 서비스에 대한 액세스를 제어하는 모듈화 방법이다.
  2. 응용 프로그램의 재컴파일이 필요하다.
  3. 관리자가 응용 프로그램들의 사용자 인증 방법을 선택하도록 해 준다.
  4. 권한을 부여하는 소프트웨어의 개발과 안전하고, 적정한 인증의 개발을 분리하려는데 있다.
(정답률: 53%)
  • 응용 프로그램의 재컴파일이 필요하다는 설명이 옳지 않다. PAM은 응용 프로그램의 소스 코드를 수정하지 않고도 인증 방법을 변경할 수 있도록 모듈화된 인증 시스템이다. 따라서 응용 프로그램의 재컴파일이 필요하지 않다.

    PAM은 사용자 인증과 권한 부여를 분리하여 보안성을 높이고, 다양한 인증 방법을 지원하여 관리자가 응용 프로그램들의 사용자 인증 방법을 선택할 수 있도록 해준다. 이를 통해 권한을 부여하는 소프트웨어의 개발과 안전하고 적정한 인증의 개발을 분리하는 것이 목적이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

10. 다음 중 7.7 DDoS 공격과 3.20 DDoS 공격의 공통점은 무엇인가?

  1. 대역폭 과부하
  2. 리소스 고갈
  3. MBR 파괴
  4. 금융 정보 유출
(정답률: 71%)
  • 7.7 DDoS 공격과 3.20 DDoS 공격의 공통점은 "대역폭 과부하"와 "리소스 고갈"이다.

    MBR 파괴는 DDoS 공격과 직접적인 연관성이 없는 사안이다. MBR 파괴는 컴퓨터의 부팅 과정에서 필요한 MBR(Master Boot Record)을 파괴하여 컴퓨터를 부팅할 수 없게 만드는 공격이다. 이는 DDoS 공격과는 다른 유형의 공격이므로, 정답이 될 수 없다.

    따라서, "MBR 파괴"는 이 문제와 관련이 없는 보기이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

11. 다음의 리눅스 파일 시스템에서 SetUID, SetGID, Sticky bit 설명으로 옳은 것은?

  1. 파일에 SetUID가 걸려 있어도 겉으로는 알 수 없다.
  2. 파일에 대한 접근 권한이 7777'이면 문자로는 'rwsrwgrwt'로 표시된다.
  3. SetUID 비트가 세트된 파일을 실행하면 파일 소유자 권한으로 수행된다.
  4. SetUID 비트가 세트되어 있어도 루트 권한으로 실행되는 경우는 없다.
(정답률: 33%)
  • 정답은 "SetUID 비트가 세트된 파일을 실행하면 파일 소유자 권한으로 수행된다." 이다. SetUID 비트가 세트된 파일을 실행하면, 실행하는 사용자가 파일 소유자가 되어 파일을 실행하게 된다. 이는 일반적으로 보안상 위험한 상황을 초래할 수 있으므로, SetUID 비트가 설정된 파일은 신중하게 사용해야 한다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

12. 다음 중 HTTP 프로토콜의 상태 코드로 올바르지 못한 것은?

  1. 200 : HTTP 요청에 대해 에러 없이 성공
  2. 300 : 클라이언트가 선택할 수 있는 리소스에 대한 다중 옵션 표시
  3. 403 : 유효한 요청에 대한 클라이 언트가 응답 거부
  4. 404 : 현재 요청한 리소스를 찾을 수 없으나 향후 요청에 대해서는 유효할 수 있음
(정답률: 45%)
  • 올바르지 못한 것은 "300 : 클라이언트가 선택할 수 있는 리소스에 대한 다중 옵션 표시"이다. 이는 리소스에 대한 다중 옵션을 제공하는 상태 코드가 아니라, 리소스가 존재하지 않는 경우에 사용되는 "404 : 현재 요청한 리소스를 찾을 수 없으나 향후 요청에 대해서는 유효할 수 있음"과는 다른 의미를 가진다.

    403 상태 코드는 클라이언트가 요청한 리소스에 대한 접근 권한이 없는 경우에 사용된다. 예를 들어, 로그인하지 않은 사용자가 로그인이 필요한 페이지에 접근하려고 할 때 발생할 수 있다. 이 경우 서버는 클라이언트에게 접근이 거부되었음을 알리고, 추가적인 인증이나 권한 부여를 요구할 수 있다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

13. 다음 중 루트킷에 대한 특징으로 올바르지 못한 것은?

  1. 트래픽이나 키스트로크 감시
  2. 커널 패치
  3. 로그 파일 수정
  4. 시스템 흔적 제거
(정답률: 27%)
  • 커널 패치는 루트킷의 특징이 아니라 루트킷을 방지하기 위한 대응 방법 중 하나입니다. 루트킷은 시스템의 권한을 탈취하여 사용자의 동작을 감시하거나 시스템을 조작하는 악성 소프트웨어입니다. 따라서 루트킷에 대한 대응 방법으로는 트래픽이나 키스트로크 감시, 로그 파일 수정, 시스템 흔적 제거 등이 있습니다. 커널 패치는 시스템의 취약점을 보완하여 루트킷이 시스템에 침투하는 것을 막는 방법입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

14. 다음 시나리오의 빈칸 (가)에 알맞은 명령어는?

  1. /sbin/iptables -A INPUT -s 10.10.2.1 -p tcp -dport 80 -j DROP
  2. /sbin/iptables -A INPUT -s 10.10.2.2 -p tcp -dport 80 -j ACCEPT
  3. /sbin/iptables -A INPUT -s 10.10.2.3 -p tcp -dport 80 -j DROP
  4. /sbin/iptables -A INPUT -s 10.10.3.5 -p tcp -dport 80 -j ACCEPT
(정답률: 43%)
  • 이 명령어는 10.10.2.3에서 오는 TCP 프로토콜의 80번 포트를 차단하는 명령어이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

15. 다음 중 시스템에서 FTP로 어떤 파일을 주고 받았는지를 기록하는 로그는 무엇인가?

  1. xferlog
  2. last
  3. lastlog
  4. secure
(정답률: 68%)
  • 정답: xferlog

    설명: xferlog는 FTP 서버에서 파일 전송 기록을 기록하는 로그 파일입니다. 이 로그 파일은 FTP 서버의 사용자 이름, 파일 이름, 파일 크기, 전송 시간 등을 기록합니다. 따라서 FTP로 어떤 파일을 주고 받았는지를 추적하고 분석하는 데 유용합니다. last는 로그인 기록을 기록하는 로그 파일이고, lastlog는 마지막 로그인 시간을 기록하는 로그 파일입니다. secure는 시스템 보안 로그를 기록하는 로그 파일입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

16. 다음 중 윈도우의 패스워드 복구 시 관련이 있는 파일명은?

  1. Password
  2. SAM
  3. PAM
  4. Kernel
(정답률: 42%)
  • 정답: SAM

    SAM은 Security Account Manager의 약자로, 윈도우 운영체제에서 사용자 계정 정보를 저장하는 파일이다. 이 파일은 암호화되어 있지만, 패스워드 복구 도구를 사용하면 이 파일을 해독하여 사용자 계정의 패스워드를 복구할 수 있다. 따라서 SAM 파일은 윈도우의 패스워드 복구 시 관련이 있는 파일명이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

17. 다음의 보기에서 빈칸에 알맞은 용어는 무엇인가?

  1. tcp_wrapper
  2. tripwire
  3. SARA
  4. NESSUS
(정답률: 59%)
  • 이 그림은 tcp_wrapper의 기능 중 하나인 접근 제어(access control)를 보여줍니다. tcp_wrapper는 네트워크 서비스에 대한 접근 제어를 가능하게 해주는 소프트웨어입니다. 이를 통해 불법적인 접근을 차단하거나, 허용된 사용자만이 서비스를 이용할 수 있도록 설정할 수 있습니다. 따라서 이 그림에서는 tcp_wrapper를 사용하여 특정 IP 주소에서만 접근을 허용하도록 설정한 것입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

18. 다음 중 윈도우의 암호 정책에 포함되지 않는 것은?

  1. 최근 암호 기억
  2. 최소 암호 사용 기간
  3. 암호의 복잡성
  4. 암호 알고리즘 종류
(정답률: 65%)
  • 암호 알고리즘 종류는 암호 정책에 포함되지 않는다. 이는 암호 알고리즘 종류는 시스템의 보안 수준을 결정하는 기술적인 요소이기 때문이다. 암호 정책은 사용자가 설정하는 암호의 최소 길이, 암호의 복잡성, 최소 암호 사용 기간 등과 같은 사용자의 암호 관리에 대한 규칙을 정의하는 것이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

19. 다음 중 취약성 점검 도구가 아닌 것은?

  1. nikto2
  2. SARA
  3. NESSUS
  4. Tripwire
(정답률: 69%)
  • Tripwire은 파일 시스템의 변경을 감지하고 보고하는 데 사용되는 무결성 검사 도구이며, 취약성 점검 도구가 아닙니다. 다른 보기들은 모두 취약성 점검 도구입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

20. 다음 중 포트 스캐닝에 대한 설명으로 올바르지 못한 것은?

  1. UDP 패킷을 보내어 포트가 열려 있으면 아무런 응답이 없다.
  2. 포트가 열려 있지 않으면 아무런 응답이 없다.
  3. 인가되지 않는 포트 스캐닝은 하지 말아야한다.
  4. 포트 정보를 수집함으로 인하여 취약점 서비스를 찾아낸다
(정답률: 48%)
  • "포트가 열려 있지 않으면 아무런 응답이 없다."가 올바르지 못한 설명이다. 포트가 닫혀있더라도 해당 포트에 대한 응답 패킷이 전송되어 올바른 포트 스캔 결과를 얻을 수 있다. 이는 TCP 스캔에서 SYN/ACK 패킷이 아닌 RST 패킷을 받는 경우와 같이 발생한다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

2과목: 네트워크 보안

21. 다음 중 리눅스 운영 체제에서 원격 접속 방법의 하나로 평문이 아닌 암호화된 접속을 통한 안전한 접속방법을 무엇이라 하는가?

  1. 원격 터미널 서비스
  2. telnet
  3. rlogin
  4. ssh
(정답률: 60%)
  • 정답은 "ssh"이다. ssh는 Secure Shell의 약자로, 평문이 아닌 암호화된 접속을 통해 안전한 원격 접속을 제공하는 프로토콜이다. 따라서, ssh를 사용하면 데이터가 암호화되어 전송되기 때문에 보안성이 높아진다. 반면, 다른 보기인 telnet, rlogin은 평문으로 데이터를 전송하기 때문에 보안성이 낮다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

22. 다음 중 가상 사설망(VPN) 프로토콜로 올바른 것은?

  2. 가, 나
  3. 가, 나, 다
  4. 가, 나, 다, 라
(정답률: 61%)
  • 정답은 "가, 나, 다" 입니다.

    가상 사설망(VPN) 프로토콜은 인터넷 상에서 안전하게 통신하기 위한 기술로, 가상 터널링 프로토콜(PPTP), 레이어 2 터널링 프로토콜(L2TP), 인터넷 프로토콜 보안(IPSec) 등이 있습니다.

    이 중에서 PPTP는 가장 오래된 프로토콜로, 암호화 수준이 낮아 보안성이 떨어지는 단점이 있습니다. L2TP는 PPTP의 보안성을 개선한 프로토콜이지만, 암호화 방식이 고정되어 있어 유연성이 떨어지는 단점이 있습니다. IPSec는 가장 보안성이 높은 프로토콜로, 데이터 암호화와 인증 등 다양한 보안 기능을 제공하지만, 설정이 복잡하고 오버헤드가 큰 단점이 있습니다.

    따라서, 가상 사설망(VPN) 프로토콜의 선택은 보안성과 유연성, 설정의 간편함 등 다양한 요소를 고려하여 결정해야 합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

23. 다음 중 패킷 전송 시 출발지 IP 주소와 목적지 IP 주소값을 공격 대상의 IP 주소로 동일하게 만들어 공격 대상에게 보내는 것은?

  1. DDoS
  2. 세션 하이젝킹
  3. 스푸핑 (Spoofing)
  4. 랜드 (Land) 공격
(정답률: 68%)
  • 정답: 스푸핑 (Spoofing)

    스푸핑 공격은 패킷 전송 시 출발지 IP 주소와 목적지 IP 주소값을 공격 대상의 IP 주소로 동일하게 만들어 공격 대상에게 보내는 것을 말합니다. 이를 통해 공격자는 공격 대상의 시스템에 대한 접근 권한을 얻거나, 공격 대상의 시스템을 마비시키는 등의 피해를 입힐 수 있습니다. 스푸핑 공격은 랜드 (Land) 공격과는 다른 공격 기법입니다. 랜드 (Land) 공격은 출발지 IP 주소와 목적지 IP 주소값을 동일하게 만들어 공격 대상에게 보내는 것이지만, 이때 패킷의 출발지 포트와 목적지 포트도 동일하게 설정됩니다. 이로 인해 공격 대상 시스템은 자신이 보낸 패킷으로 인식하여 무한 반복되는 패킷 교환 과정에 빠져 마비됩니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

24. 다음 중 사용자로부터 파라미터를 입력받아 동적으로 SQL Query를 만드는 웹페이지에서 임의의 SQL Ojery와 Command를 삽입하여 웹 사이트를 해킹하는 기법은?

  1. SQL Spoofing
  2. Smurf
  3. SQL Injection
  4. SQL Redirect
(정답률: 80%)
  • 정답: SQL Injection

    SQL Injection은 사용자로부터 입력받은 파라미터를 이용하여 SQL Query를 동적으로 생성하는 웹페이지에서 발생할 수 있는 보안 취약점입니다. 해커는 입력 폼에 악의적인 SQL Query를 삽입하여 데이터베이스에 접근하거나 조작할 수 있습니다. 이를 통해 해커는 데이터베이스에 저장된 중요한 정보를 탈취하거나 삭제, 수정할 수 있습니다. 따라서 SQL Injection은 매우 위험한 보안 취약점으로 간주됩니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

25. 다음 지문의 빈칸에 알맞은 단어는 무엇인가?

  1. ⓐ 포맷 스트링, ⓑ 스니핑
  2. ⓐ 버퍼 오버플로우, ⓑ 하이젝킹
  3. ⓐ 스니핑, ⓑ 버퍼 오버플로우
  4. ⓐ 스니핑, ⓑ 스푸핑
(정답률: 60%)
  • 이미지에서 보이는 코드는 사용자 입력값을 받아들이는데, 이때 입력값이 포맷 스트링 취약점을 이용하여 공격자가 원하는 코드를 실행시킬 수 있게 된다. 이러한 취약점을 이용한 공격을 포맷 스트링 공격이라고 한다. 따라서 정답은 "ⓐ 포맷 스트링, ⓑ 스니핑" 이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

26. 다음 중 DMZ(Demilitarized Zone) 구간에 위치하고 있으면 안되는 시스템은?

  1. 웹서버
  2. 디비 서버
  3. 네임 서버
  4. FTP 서버
(정답률: 72%)
  • DMZ는 외부와 내부 네트워크 사이에 위치하여 외부에서 접근 가능한 서버들이 위치하는 구간입니다. 따라서 디비 서버는 DMZ에 위치하면 안됩니다. 이는 디비 서버에 저장된 중요한 데이터가 외부에서 접근 가능해져 보안상 위험할 수 있기 때문입니다. 따라서 디비 서버는 내부 네트워크에 위치하여 내부에서만 접근 가능하도록 구성하는 것이 좋습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

27. 다음 중 DNS Lookup 정보로 알 수 없는 것은?

  1. 디비 서버
  2. 네임 서버
  3. 이메일 서버
  4. 이메일 서버 IP
(정답률: 56%)
  • DNS Lookup은 도메인 이름과 관련된 IP 주소, 네임 서버, 이메일 서버 등의 정보를 제공합니다. 따라서 "디비 서버"는 DNS Lookup 정보로 알 수 없는 것입니다. 이는 DNS Lookup이 도메인 이름과 관련된 IP 주소와 네임 서버 정보만을 제공하기 때문입니다. 이메일 서버와 이메일 서버 IP는 DNS Lookup으로 확인할 수 있습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

28. 다음 중 파일 업로드 공격의 취약점에 대한 설명으로 틀린 것은?

  1. 게시판 글쓰기 권한이 있는지 확인한다.
  2. 쉘 획득이 가능한 공격이다.
  3. 업로드 외에는 파일 확장자 필터가 적용되어야 한다.
  4. 업로드 폴더를 제거한다.
(정답률: 62%)
  • 업로드 폴더를 제거하는 것은 파일 업로드 공격의 취약점을 해결하는 것이 아니라, 오히려 서비스의 기능을 제한하는 것이기 때문에 틀린 설명이다. 파일 업로드 공격의 취약점은 업로드된 파일이 실행 가능한 파일인 경우 쉘 획득이 가능하다는 것이다. 따라서 파일 확장자 필터링을 적용하고, 업로드된 파일의 실행을 막는 등의 대응책이 필요하다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

29. 다음 중 해킹 시 서버 수집 단계에서 하는 행동과 다른 것은?

  1. 서버 IP
  2. Smurf
  3. 운영 체제
  4. 서비스 데몬
(정답률: 38%)
  • 정답은 "Smurf"이다.

    서버 수집 단계에서 하는 행동은 다음과 같다.

    1. 서버 IP 수집: 공격 대상 서버의 IP 주소를 수집한다.
    2. 운영 체제 수집: 공격 대상 서버가 사용하는 운영 체제 정보를 수집한다.
    3. 서비스 데몬 수집: 공격 대상 서버에서 실행 중인 서비스 데몬 정보를 수집한다.

    "Smurf"는 DDoS 공격 기법 중 하나로, ICMP Echo Request 패킷을 대량으로 전송하여 공격 대상 서버를 다운시키는 것이다. 따라서 서버 수집 단계에서 하는 행동이 아니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

30. 다음 중 괄호 안에 알맞은 용어는 무엇인가?

  1. A : ARP,B : 스푸핑
  2. A : IP 스푸핑,B : INGRESS
  3. A : 스니핑,B : INGRES
  4. A : 스푸핑,B : EGRESS
(정답률: 86%)
  • 주어진 그림은 네트워크에서 발생하는 IP 스푸핑 공격을 나타내고 있다. IP 스푸핑은 공격자가 자신의 IP 주소를 가장한 다른 주소로 패킷을 보내는 것을 말한다. 이 때 ARP 테이블을 조작하여 공격자의 MAC 주소를 가장한 IP 주소를 사용하면, 해당 IP 주소로 보내는 패킷은 공격자에게 전달된다. 따라서 정답은 "A : IP 스푸핑,B : INGRESS" 이다. INGRESS는 네트워크로 들어오는 패킷을 의미한다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

31. Ping을 이용한 공격으로 ICMP_ECHO_RE- QUEST를 보내면 서버에서 다시 클라이언트로 ICMP_ECHO_REPLY를 보낸다. 이때,출발지 주소를 속여서(공격하고자 하는) 네트워크 브로드캐스팅 주소로 ICMP_ECHO_REQUEST를 전달 할 경우 많은 트래픽을 유발시켜 공격하는 것을 무엇이라 하는가?

  1. 세션 하이젝킹 공격
  2. 브로드캐스팅 공격
  3. Tear Drop 공격
  4. Smurf 공격
(정답률: 66%)
  • 정답: "Smurf 공격"

    이유: Smurf 공격은 출발지 주소를 속여서 네트워크 브로드캐스팅 주소로 ICMP_ECHO_REQUEST를 전달하여, 해당 네트워크에 속한 모든 호스트들이 ICMP_ECHO_REPLY를 보내도록 유도하는 공격이다. 이로 인해 대량의 트래픽이 발생하게 되어 네트워크가 마비될 수 있다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

32. 다음 중 포트 스캐닝 기술이 다른 하나는 무엇인가?

  1. NULL Scanning
  2. X-MAS Scanning
  3. FIN Scanning
  4. TCP Connect Scanning
(정답률: 58%)
  • TCP Connect Scanning은 포트가 열려있는지 확인하기 위해 실제로 연결을 시도하는 방식이다. 반면에 NULL Scanning, X-MAS Scanning, FIN Scanning은 패킷을 보내서 응답을 확인하는 방식이다. 따라서 TCP Connect Scanning은 다른 세 가지 기술과는 다른 방식으로 포트 스캐닝을 수행한다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

33. 다음 중 NIDS에서 탐지할 수 없는 것은?

  1. 악성 코드가 담긴 파일
  2. 악성 코드가 담긴 메일
  3. Fragmentation
  4. 포트 스캔
(정답률: 6%)
  • NIDS는 네트워크 상에서 발생하는 트래픽을 모니터링하여 악성 행위를 탐지하는 시스템이다. 따라서 네트워크 상에서 전송되는 파일, 메일, 프래그먼테이션, 포트 스캔 등의 행위는 모두 탐지할 수 있다. 하지만 "악성 코드가 담긴 파일"은 NIDS가 탐지하기 어렵다. 이는 파일 전송이 암호화되어 있거나, 악성 코드가 압축되어 있어서 NIDS가 탐지하기 어렵기 때문이다. 따라서 이 중에서 NIDS에서 탐지할 수 없는 것은 "악성 코드가 담긴 파일"이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

34. 다음의 보기에서 설명하고 있는 웹 취약점 공격 기술은?

  1. 세션 하이잭킹
  2. 파일 업로드 공격
  3. Blind SQL Injection 공격
  4. XSS 공격
(정답률: 82%)
  • 이 그림은 Blind SQL Injection 공격을 설명하고 있다. Blind SQL Injection은 SQL Injection 공격 중 하나로, 웹 어플리케이션에서 입력값 검증이 제대로 이루어지지 않아 공격자가 악의적인 SQL 쿼리문을 삽입하여 데이터베이스를 조작하는 공격이다. 이 공격은 결과값이 화면에 출력되지 않아서 "Blind"라는 이름이 붙었다. 그림에서는 공격자가 입력값으로 SQL 쿼리문을 삽입하여 데이터베이스를 조작하는 것을 보여주고 있다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

35. 다음의 보기에서 설명하고 있는 공격은?

  1. CSRF 공격
  2. HTTP CC Attack
  3. Blind SQL Injection 공격
  4. XSS 공격
(정답률: 44%)
  • 이 그림은 HTTP CC Attack을 설명하고 있다. HTTP CC Attack은 HTTP 요청을 이용하여 웹 서버를 공격하는 방법으로, 대량의 HTTP 요청을 보내 서버를 다운시키는 공격이다. 이 공격은 DDoS 공격의 일종으로 분류되며, 웹 서버의 성능을 저하시키거나 서비스를 중단시키는 등의 피해를 입힐 수 있다. CSRF 공격은 사용자의 권한을 이용하여 악성 요청을 전송하는 공격, Blind SQL Injection 공격은 SQL 쿼리를 이용하여 데이터베이스를 공격하는 공격, XSS 공격은 웹 페이지에 악성 스크립트를 삽입하여 사용자의 정보를 탈취하는 공격이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

36. 다음 중 네트워크의 공격 대응 방법으로 올바르지 못한 것은?

  1. Ping of Death 공격은 UDP를 차단한다.
  2. Syn Flooding 공격은 최신 패치를 한다.
  3. 스니핑 공격을 SSL 암호화 프로토콜 사용으로 패킷을 보호한다.
  4. DDoS 공격은 적절한 라우팅 설정 및 Null 처리를 한다.
(정답률: 41%)
  • "Ping of Death 공격은 UDP를 차단한다."는 올바르지 않은 방법이다. Ping of Death 공격은 ICMP 프로토콜을 이용하며, UDP와는 관련이 없다. 따라서 UDP를 차단해도 Ping of Death 공격을 막을 수 없다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

37. 다음 중 네트워크 접속 사용자 또는 단말기를 등록하거나 인증하고, 미인가 사용자 및 단말기 네트워크를 차단하는 솔루션은 무엇인가?

  1. NAC
  2. ESM
  3. SSO
  4. EAM
(정답률: 65%)
  • NAC(Network Access Control)은 네트워크 접속 사용자 또는 단말기를 등록하거나 인증하고, 미인가 사용자 및 단말기 네트워크를 차단하는 솔루션입니다. 따라서 이 중에서 NAC이 정답입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

38. 공격자는 공격 대상 서버에 파일을 업로드한 후에 웹을 이용하여 시스템 명령어를 수행하므로 네트워크 방화벽 등의 영향력을 받지 않고 서버를 제어할 수 있는 공격 기술을 무엇이라 하는가?

  1. SQL 인젝션
  2. 파일 업로드
  3. XSS
  4. 웹 쉘
(정답률: 52%)
  • 웹 쉘은 공격자가 업로드한 파일을 통해 웹을 이용하여 시스템 명령어를 수행하는 공격 기술이다. 이는 네트워크 방화벽 등의 영향력을 받지 않고 서버를 제어할 수 있기 때문에 매우 위험한 기술이다. 따라서 웹 쉘은 공격자들이 자주 이용하는 공격 기술 중 하나이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

39. 다음의 보기에서 설명하고 있는 기술은?

  1. MAM
  2. MDM
  3. 모바일 가상화
  4. WIPS
(정답률: 77%)
  • 이 기술은 모바일 가상화입니다. 모바일 가상화는 기업에서 제공하는 애플리케이션을 사용할 때, 개인적인 정보와 기업 정보를 분리하여 보안성을 높이는 기술입니다. 이를 통해 기업은 기업 데이터를 안전하게 보호하면서도 개인적인 정보는 개인적인 장치에서 관리할 수 있습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

40. 다음의 TCP Flag 중에서 연결 시작을 나타내기 위해 사용하는 Flag는 무엇인가?

  1. FIN
  2. SYN
  3. ACK
  4. RST
(정답률: 91%)
  • 연결 시작을 나타내기 위해 사용하는 TCP Flag는 "SYN" 입니다. SYN은 Synchronize의 약자로, TCP 3-way handshake 과정에서 첫 번째 단계로, 클라이언트가 서버에게 연결을 요청할 때 사용됩니다. 클라이언트는 SYN Flag를 보내고, 서버는 SYN과 ACK Flag를 함께 보내 연결을 수락합니다. 따라서 SYN Flag는 연결 시작을 나타내는 Flag입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

3과목: 어플리케이션 보안

41. 다음 중 DNSSEC로 방어가 가능한 최신 보안 이슈는 무엇인가?

  1. 피싱
  2. 파밍
  3. 스미싱
  4. 큐싱
(정답률: 59%)
  • DNS 파밍은 DNS 서버를 공격하여 사용자가 의도하지 않은 악성 웹 사이트로 리디렉션되도록 하는 공격입니다. DNSSEC는 DNS 서버의 데이터 무결성을 보호하여 DNS 파밍 공격을 방지할 수 있습니다. 따라서 DNSSEC로 방어가 가능한 최신 보안 이슈는 "파밍"입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

42. 다음 중 인간의 감지 능력으로는 검출할 수 없도록 사용자 정보를 멀티미디어 콘텐츠에 삽입하는 기술을 무엇이라 하는가?

  1. 핑거 프린팅(Digital Fingerprinting)
  2. 워터 마킹(Water Marking)
  3. 포렌식 마킹(Forensic Marking)
  4. 태그 마킹(Tag Marking)
(정답률: 59%)
  • 핑거 프린팅은 멀티미디어 콘텐츠에 고유한 식별자를 부여하여 사용자 정보를 삽입하는 기술이다. 이 식별자는 인간의 감지 능력으로는 검출할 수 없으며, 콘텐츠를 복사하거나 배포할 때마다 식별자가 함께 복사되어 원본 콘텐츠의 소유자를 추적할 수 있다. 따라서 핑거 프린팅은 저작권 침해나 불법 복제를 방지하기 위해 사용된다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

43. 다음의 보기에서 설명하고 있는 프로토콜은?

  1. HTTP
  2. SSL
  3. HTTPS
  4. SET
(정답률: 79%)
  • 이 보기에서 설명하고 있는 프로토콜은 SSL이다. SSL은 웹 서버와 브라우저 간의 데이터 통신을 암호화하여 보안성을 높이는 프로토콜이다. HTTPS는 SSL을 이용한 HTTP 통신을 의미하며, SET은 전자상거래에서 결제 정보를 보호하기 위한 프로토콜이다. 따라서, SSL은 이 보기에서 가장 적절한 답이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

44. 다음 중 디비(DB) 보안에 해당하지 않는 것은?

  1. 흐름 통제
  2. 추론 통제
  3. 접근 통제
  4. Aggregation
(정답률: 79%)
  • 디비(DB) 보안과 관련된 "흐름 통제", "추론 통제", "접근 통제"는 모두 데이터의 안전한 보호와 관련된 보안 기술이다. 하지만 "Aggregation"은 데이터베이스의 보안과 직접적인 연관이 없는 개념으로, 여러 데이터를 하나로 묶는 것을 의미한다. 따라서 "Aggregation"은 디비(DB) 보안에 해당하지 않는다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

45. 다음 중 SCT 프로토콜에 대한 특징으로 올바르지 못한 것은?

  1. 전자상거래 사기를 방지한다.
  2. 구현이 용이하다.
  3. 기존 신용 카드 기반 그대로 활용이 가능하다.
  4. 상점에 대한 인증을 할 수 있다.
(정답률: 40%)
  • SCT 프로토콜에 대한 특징으로 올바르지 못한 것은 "구현이 용이하다." 이다. SCT 프로토콜은 구현이 복잡하고 기존의 전자상거래 시스템과의 호환성 문제가 있어 구현이 어렵다는 단점이 있다.

    그러나 SCT 프로토콜은 전자상거래 사기를 방지하고 기존 신용 카드 기반을 그대로 활용할 수 있으며, 상점에 대한 인증을 할 수 있다는 장점이 있다.

    따라서 SCT 프로토콜을 구현하려면 기존 시스템과의 호환성 문제를 해결하고 복잡한 구현 과정을 거쳐야 하지만, 이를 해결하면 안전하고 효율적인 전자상거래 시스템을 구축할 수 있다는 장점이 있다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

46. 다음의 보기에서 설명하고 있는 프로토콜은?

  1. 블라인드 서명
  2. 이중 서명
  3. 은닉 서명
  4. 전자 봉투
(정답률: 81%)
  • 이 보기는 암호화와 관련된 프로토콜들을 나열한 것입니다. 이중 서명은 두 개의 서명 키를 사용하여 서명하는 방식으로, 서명자와 검증자 간의 신뢰성을 높이기 위해 사용됩니다. 이중 서명은 서명자가 자신의 개인키로 서명한 후, 검증자가 서명된 메시지와 함께 검증자의 공개키로 다시 서명하는 방식입니다. 이를 통해 검증자는 서명자의 신원을 확인할 수 있으며, 서명자는 검증자가 서명한 것을 증명할 수 있습니다. 따라서 이중 서명은 보안성과 신뢰성을 높이기 위해 사용됩니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

47. 다음의 SSL 핸드쉐이킹 과정 중 보기에서 설명 하고 있는 과정은 어느 단계인가?

  1. Hello Request
  2. Client Hello
  3. Certificate Request
  4. Client Certificate
(정답률: 39%)
  • 보기에서 설명하고 있는 과정은 "Certificate Request" 단계이다. 이 단계에서 서버는 클라이언트에게 인증서를 요청하고, 클라이언트는 이에 대한 응답으로 자신의 인증서를 전송한다. 따라서 "Certificate Request"가 정답이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

48. 다음의 보기에서 설명하고 있는 전자 투표 방식은?

  1. PSEV
  2. 키오스크
  3. LKR
  4. REV
(정답률: 30%)
  • 이 보기에서 설명하고 있는 전자 투표 방식은 "PSEV" 방식입니다. PSEV는 "Publicly verifiable, Secretly encoded vote"의 약자로, 공개적으로 검증 가능하면서도 비밀로 인코딩된 투표 방식을 의미합니다. 이 방식은 키오스크나 LKR과 같은 전자 기기를 사용하여 투표를 진행하며, REV와 같은 다른 전자 투표 방식과는 달리 투표 내용이 암호화되어 저장되기 때문에 보안성이 높습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

49. 다음 중 전자 서명의 특징에 포함되지 않는 것은?

  1. 위조 불가
  2. 부인 불가
  3. 서명자 인증
  4. 재사용 가능
(정답률: 83%)
  • 전자 서명은 재사용 가능하지 않습니다. 전자 서명은 한 번 사용하면 해당 문서에 대한 서명으로 간주되어 재사용이 불가능합니다. 이는 전자 서명의 무결성과 보안을 보장하기 위한 것입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

50. 다음 중 파일 업로드 공격 취약점의 대응 방법으로 올바르지 못한 것은?

  1. 첨부 파일에 대한 검사는 반드시 클라이언트 측에서 스크립트로 구현한다.
  2. 첨부 파일을 체크하여 특정 종류의 파일만 첨부한다.
  3. 파일 업로드 시에 실행 파일은 파일 첨부를 불가능하게 한다.
  4. 임시 디렉토리에서 업로드된 파일을 지우거나 다른 곳으로 이동한다
(정답률: 35%)
  • "첨부 파일에 대한 검사는 반드시 클라이언트 측에서 스크립트로 구현한다."가 올바르지 못한 이유는 클라이언트 측에서 구현된 검사는 쉽게 우회될 수 있기 때문이다. 따라서 서버 측에서 업로드된 파일을 검사하고, 필요한 경우에는 업로드를 거부하거나 삭제하는 것이 안전하다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

51. 다음 중 PGP에 대한 설명으로 올바르지 못한 것은?

  1. 이메일 어플리케이션에 플러그인으로 사용이 가능하다.
  2. 공개키 서버와 연결되어 공개키 분배 및 취득이 어렵다.
  3. 메뉴 방식을 통한 기능 등에 쉽게 접근이 가능하다.
  4. 필 짐버만이 독자적으로 개발하였다.
(정답률: 56%)
  • "공개키 서버와 연결되어 공개키 분배 및 취득이 어렵다."가 올바르지 못한 설명이다. PGP는 공개키 서버와 연결되어 공개키를 분배하고 취득하는 것이 가능하다. 이를 통해 사용자들은 다른 사용자의 공개키를 쉽게 얻을 수 있고, 안전하게 메시지를 교환할 수 있다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

52. 검증되지 않는 외부 입력값에 의해 웹 브라우저에서 악의적인 코드가 실행되는 보안 취약점을 무엇이라 하는가?

  1. SQL 삽입
  2. XSS
  3. 부적절한 인가
  4. LDAP 삽입
(정답률: 61%)
  • XSS는 Cross-Site Scripting의 약자로, 웹 애플리케이션에서 검증되지 않은 외부 입력값을 받아들여 악의적인 스크립트를 실행시키는 보안 취약점을 의미합니다. 이를 통해 공격자는 사용자의 쿠키 정보를 탈취하거나, 사용자의 브라우저를 제어하여 악성코드를 실행시키는 등의 공격을 수행할 수 있습니다. 따라서 XSS는 매우 위험한 보안 취약점으로 분류됩니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

53. 다음 중 네트워크형 전자 화폐에 포함되지 않는 것은?

  1. Mondex
  2. Ecash
  3. Netcash
  4. Payme
(정답률: 31%)
  • 정답은 "Mondex"입니다. Mondex는 카드형 전자 화폐이며, 네트워크형 전자 화폐에는 포함되지 않습니다. 네트워크형 전자 화폐는 인터넷을 통해 거래가 이루어지며, Ecash, Netcash, Payme 등이 이에 해당됩니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

54. 다음 중 전자 입찰 시 요구되는 보안 사항에 포함되지 않는 것은?

  1. 비밀성
  2. 무결성
  3. 공개성
  4. 독립성
(정답률: 73%)
  • 전자 입찰 시 요구되는 보안 사항은 "비밀성", "무결성", "독립성"이다. "공개성"은 보안과는 관련이 없는 요소로, 오히려 입찰 과정에서 필요한 요소이다. 전자 입찰에서는 입찰 과정이 공개되어야 하므로, 입찰 과정과 결과는 모든 이에게 공개되어야 한다. 따라서 "공개성"은 보안 사항이 아니라 입찰 과정의 투명성을 보장하기 위한 요소이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

55. 다음 중 전자상거래 프로토콜인 SET의 구성 요소에 포함되지 않는 것은?

  1. 상점
  2. 고객
  3. 매입사
  4. 등록기관
(정답률: 35%)
  • SET 프로토콜의 구성 요소는 상점, 고객, 매입사로 이루어져 있습니다. 등록기관은 SET 인증서를 발급하는 역할을 하지만, SET 프로토콜의 구성 요소는 아닙니다. 따라서 등록기관은 제외됩니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

56. DRM의 세부 기술 중에서 다음 보기에 해당하는 것은?

  1. 식별자
  2. 메타데이터
  3. 패키져
  4. 콘텐츠
(정답률: 73%)
  • 이미지에서 보이는 것은 패키져이다. 패키져는 DRM 기술 중 하나로, 보호되는 콘텐츠와 그에 대한 암호화 키, 라이선스 등의 정보를 하나로 묶어서 패키징하는 기술이다. 이를 통해 콘텐츠의 불법 복제 및 유포를 방지할 수 있다. 따라서 이미지에서 보이는 것은 패키져이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

57. 다음은 에러 로그 위험도를 8가지로 분류하여 높은 에러에서 낮은 에러로 표시한 것이다. 빈 곳에 알맞은 용어는?

  1. alert, warn, info
  2. info, alert, warn
  3. warn, info, alert
  4. alert, info, warn
(정답률: 44%)
  • 에러 로그 위험도를 8가지로 분류하여 높은 에러에서 낮은 에러로 표시한 것이다. 이 중에서 "alert"는 가장 위험한 에러로서 즉시 조치가 필요하다는 것을 나타낸다. "warn"은 중요하지만 즉시 조치가 필요하지는 않은 에러를 나타내며, "info"는 일반적인 정보를 나타낸다. 따라서, 이 중에서 가장 높은 위험도를 가진 에러인 "alert"가 가장 먼저 나오고, 그 다음으로 중요하지만 즉시 조치가 필요하지는 않은 "warn"이 나오고, 마지막으로 일반적인 정보를 나타내는 "info"가 나오는 순서인 "alert, warn, info"가 정답이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

58. 다음 중 전자 우편 프로토콜과 관련성이 적은 것은?

  1. MDM
  2. MUA
  3. MDA
  4. MRA
(정답률: 62%)
  • 정답: MDM

    설명: MDM은 모바일 장치 관리(Mobile Device Management)의 약자로, 전자 우편 프로토콜과는 직접적인 관련이 없습니다. MUA는 메일 사용자 에이전트(Mail User Agent), MDA는 메일 배달 에이전트(Mail Delivery Agent), MRA는 메일 라우팅 에이전트(Mail Routing Agent)로, 모두 전자 우편 프로토콜과 관련된 용어입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

59. 다음 중 전자 입찰의 문제점으로 올바르지 못한 것은?

  1. 입찰자와 입찰 공고자의 정보는 공개 네트 워크를 통하여 서버로 전송, 수신된다.
  2. 입찰자와 서버 사이에 서로 공모할 가능성이 있다.
  3. 서버가 입찰자의 정보 또는 입찰 공고자 정보를 단독으로 처리하여 신뢰성이 높다.
  4. 입찰자들이 입찰가에 대한담합을통하여 서로 공모할 가능성이 있다.
(정답률: 69%)
  • 정답: "서버가 입찰자의 정보 또는 입찰 공고자 정보를 단독으로 처리하여 신뢰성이 높다."

    해설: 전자 입찰의 문제점으로는 입찰자와 서버 사이에 공모 가능성, 입찰자들이 담합하여 서로 공모 가능성 등이 있지만, 서버가 입찰자의 정보 또는 입찰 공고자 정보를 단독으로 처리하여 신뢰성이 높다는 것은 올바르지 않은 설명이다. 서버가 단독으로 처리한다고 해서 정보의 신뢰성이 높아지는 것은 아니며, 오히려 보안 문제 등의 문제점이 발생할 수 있다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

60. 다음 중 전자 화폐의 요구 조건이 아닌 것은?

  1. 교환성
  2. 익명성
  3. 추적성
  4. 인식 가능성
(정답률: 48%)
  • 전자 화폐는 익명성과 교환성, 인식 가능성을 요구 조건으로 가지고 있지만, 추적성은 요구 조건이 아니다. 전자 화폐는 사용자의 개인 정보를 보호하기 위해 익명성을 보장하며, 교환성은 다른 화폐나 상품으로 교환 가능해야 한다는 것을 의미한다. 인식 가능성은 전자 화폐가 쉽게 인식되고 사용될 수 있어야 한다는 것을 의미한다. 하지만 추적성은 사용자의 거래 내역을 추적하거나 모니터링하는 것을 요구하는 것이 아니기 때문에 요구 조건이 아니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

4과목: 정보 보안 일반

61. 다음의 블록 암호 알고리즘 운영 방식 중에서 가장 단순하면서 권장하지 않는 방식은 무엇인가?

  1. ECC
  2. CBC
  3. OFB
  4. ECB
(정답률: 44%)
  • 가장 단순하면서 권장하지 않는 방식은 ECB (Electronic Codebook)이다. 이는 평문 블록을 고정된 크기의 블록으로 나누어 각 블록을 독립적으로 암호화하는 방식으로, 같은 평문 블록은 항상 같은 암호문 블록으로 변환되기 때문에 보안성이 낮다. 또한, 암호화된 블록들이 서로 독립적이기 때문에 암호화된 메시지에서 패턴을 찾아내기 쉽다. 따라서, 보안성이 중요한 경우에는 다른 운영 방식을 사용하는 것이 권장된다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

62. 다음 중 공인인증서 내용에 포함되지 않는 것은?

  1. 발행자
  2. 유효 기간
  3. 비밀번호
  4. 공개키정보
(정답률: 65%)
  • 공인인증서 내용에는 발행자, 유효 기간, 공개키정보가 포함되지만, 비밀번호는 포함되지 않습니다. 비밀번호는 공인인증서를 사용할 때 입력하는 개인적인 정보이기 때문에, 공인인증서 자체에는 포함되지 않습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

63. 다음 중 블록 암호 알고리즘의 하나인 DES 공격 방법으로 알맞은 것은?

  1. 선형 공격
  2. 블록 공격
  3. 전수공격
  4. 비선형공격
(정답률: 29%)
  • 선형 공격은 DES 알고리즘에서 사용되는 S-Box의 선형성을 이용하여 평문과 암호문 사이의 선형 관계를 찾아내는 공격 방법이다. 이를 통해 암호문을 해독할 수 있다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

64. 다음 중 암호문으로부터 평문의 어떤 부분 정보도 노출되지 않는 암호 방식이며, 인수 분해 문제와 제곱 잉여의 원리를 이용하여 확률 암호를 정의한 것은?

  1. Elgamal
  2. Goldwasser-Micali
  3. Diffi-Hellman
  4. Massey-Omura
(정답률: 52%)
  • Goldwasser-Micali 암호 방식은 암호문으로부터 평문의 어떤 부분 정보도 노출되지 않는 암호 방식입니다. 이 방식은 인수 분해 문제와 제곱 잉여의 원리를 이용하여 확률 암호를 정의한 것입니다. 이 방식은 암호화된 메시지가 소수인지 아닌지를 판별하는 것으로 작동합니다. 따라서 암호문으로부터 평문의 어떤 부분 정보도 노출되지 않습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

65. 다음 중 능동적 공격에 포함되지 않는 것은?

  1. 도청
  2. 삽입
  3. 삭제
  4. 재생
(정답률: 61%)
  • 도청은 정보를 수집하는 것으로, 공격 대상을 직접적으로 해치지 않기 때문에 능동적 공격에 포함되지 않습니다. 삽입, 삭제, 재생은 정보를 조작하거나 파괴하는 것으로, 공격 대상을 직접적으로 해치기 때문에 능동적 공격에 포함됩니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

66. 다음에서 설명하고 있는 프로토콜은 무엇인가?

  1. KDC
  2. Kerberos
  3. PPP
  4. ECC
(정답률: 83%)
  • 이 프로토콜은 Kerberos이다. 그림에서 보이는 것은 Kerberos 인증 프로세스를 나타내고 있다. KDC(Key Distribution Center)는 인증서버로, 클라이언트와 서버 간의 인증을 담당한다. Kerberos는 이러한 KDC를 통해 클라이언트와 서버 간의 인증을 수행하며, PPP와 ECC와는 관련이 없다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

67. 다음 중 디바이스 인증 기술에 포함되지 않는 것은?

  1. 아이디 패스워드 인증
  2. 암호 프로토콜 인증
  3. 시도 응답 인증
  4. 커버로스
(정답률: 53%)
  • 커버로스는 디바이스 인증 기술이 아니라, 그리스 신화에서 나오는 세 개의 머리와 뱀 꼬리를 가진 괴물의 이름입니다. 따라서 커버로스는 디바이스 인증 기술에 포함되지 않습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

68. 다음 중 싱글사인온(SSO)은 한 번의 인증 과정으로 여러 컴퓨터상의 자원을 이용 가능하게 하는 인증 기능이다. 대표적인 인증 프로토콜은 무 엇인가?

  1. BYOD
  2. KDC
  3. Kerberos
  4. PAP
(정답률: 60%)
  • SSO는 한 번의 인증으로 여러 자원을 이용 가능하게 하는 인증 기능이다. 이를 위해 대표적으로 사용되는 인증 프로토콜은 Kerberos이다. Kerberos는 네트워크 상에서 안전하게 인증을 수행하기 위한 프로토콜로, 클라이언트와 서버 간의 인증을 중개하는 KDC(Kerberos Distribution Center)를 사용한다. 따라서 Kerberos는 SSO를 구현하는 데 매우 적합한 인증 프로토콜이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

69. 다음 중 알고 있는 것에 기반한 사용자 인증 기술은 무엇인가?

  1. 핀 번호
  2. 스마트 카드
  3. 홍채
  4. 목소리
(정답률: 70%)
  • 핀 번호는 사용자가 미리 설정한 숫자 조합으로, 이를 입력하여 자신임을 인증하는 기술이다. 다른 인증 기술들은 개인의 생체 정보나 카드 등을 이용하여 인증하지만, 핀 번호는 비교적 간단하고 저렴하게 구현할 수 있어 많이 사용되고 있다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

70. 다음 중 메시지 출처 인증 기술 중에 ( ) 안에 들 어갈 기술은 무엇인가?

  1. 디지털서명
  2. 해시 함수
  3. 메시지 인증 코드(MAC)
  4. 메시지 암호화
(정답률: 62%)
  • 이미지에서 보이는 것은 MAC(Massage Authentication Code)이다. MAC는 메시지와 함께 전송되는 인증 코드로, 메시지의 무결성과 출처 인증을 보장하기 위해 사용된다. MAC는 메시지를 암호화하고, 암호화된 메시지와 함께 전송되는 인증 코드를 생성하여 메시지의 무결성과 출처 인증을 보장한다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

71. 다음 중 메시지 인증 코드(MAC)에 대한 설명으로 올바르지 못한 것은?

  1. 송신자와 수신자가 서로 동일한 공개키를 가지고 메시지를 대조한다.
  2. 송신자를 보증하는 디지털 서명을 지원하지 않는다.
  3. 송신자와 수신자 사이에 메시지 무결성을 보장한다.
  4. 송신자 인증에 사용된다.
(정답률: 34%)
  • "송신자와 수신자가 서로 동일한 공개키를 가지고 메시지를 대조한다."가 올바르지 못한 설명입니다.

    MAC는 메시지 무결성과 인증을 보장하기 위해 사용되는 기술로, 송신자와 수신자가 공유하는 비밀키를 사용하여 메시지에 대한 인증 태그를 생성합니다. 이 인증 태그는 메시지와 함께 전송되어 수신자는 이를 검증하여 메시지의 무결성과 송신자의 인증을 확인할 수 있습니다. 따라서 MAC은 송신자와 수신자가 공유하는 비밀키를 사용하며, 공개키를 사용하지 않습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

72. 다음 중 X509v2의 설명으로 올바르지 못한 것은?

  1. 인증서 취소 목록을 도입하였다.
  2. 주체 고유 식별자를 사용하였다.
  3. 인증기관 고유 ID를 도입하였다.
  4. 확장자 개념이 도입되었다.
(정답률: 25%)
  • X509v2에서는 확장자 개념이 도입되지 않았습니다. 이전 버전인 X509v1에서는 인증서의 필수 필드만을 정의하고 있었지만, X509v2에서는 인증서의 확장 가능성을 고려하여 확장 필드를 추가하였습니다. 이를 통해 인증서의 기능을 확장할 수 있게 되었습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

73. 다음의 보기에서 설명하고 있는 블록 암호 공격은 무엇인가?

  1. 선형 공격
  2. 차분공격
  3. 전수공격
  4. 수학적 분석
(정답률: 53%)
  • 위 그림은 차분공격을 설명하는 그림이다. 차분공격은 암호문과 평문의 차이를 이용하여 암호키를 추측하는 공격 방법이다. 이 공격은 암호화 함수의 미세한 차이를 이용하여 암호키를 찾는 것으로, 암호화 함수의 성질을 이용하여 암호문과 평문의 차이를 계산하고 이를 통해 암호키를 추측한다. 따라서 위 그림에서는 평문과 암호문의 차이를 계산하여 암호키를 추측하는 과정을 보여주고 있다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

74. 다음의 보기에서 설명하고 있는 암호 알고리즘은 무엇인가?

  1. DES
  2. RSA
  3. El Gamal
  4. ECC
(정답률: 53%)
  • 이 보기는 El Gamal 암호 알고리즘을 설명하고 있다. 이 알고리즘은 대칭키 암호화 방식이 아닌 비대칭키 암호화 방식 중 하나로, 공개키와 개인키를 사용하여 암호화와 복호화를 수행한다. 이 알고리즘은 RSA와 유사하지만, 더욱 안전하다는 장점이 있다. 이 알고리즘은 대칭키 암호화 방식에 비해 더욱 안전하며, RSA와 같은 다른 비대칭키 암호화 방식과도 함께 사용될 수 있다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

75. 사용자는 특정 작업 또는 세션 동안 한번 사용하기 위해 키를 생성할 수 있다. 이를 무엇이라 하는가?

  1. 공개키
  2. 비밀키
  3. 세션키
  4. 암호키
(정답률: 81%)
  • 사용자가 특정 작업이나 세션 동안 보안을 유지하기 위해 생성하는 키는 일시적인 용도로 사용되며, 이를 세션키라고 한다. 따라서 정답은 "세션키"이다. 공개키와 비밀키는 장기적인 보안을 위해 사용되는 키이며, 암호키는 암호화와 관련된 키이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

76. 다음 중 2 Factor 요소로 올바르게 짝지은 것은?

  1. 홍채-지문
  2. PIN-USB 토큰
  3. 패스워드-PIN
  4. 스마트 카드-토큰
(정답률: 64%)
  • 2 Factor 인증은 두 가지 요소를 사용하여 인증하는 것을 말합니다. PIN-USB 토큰은 두 가지 요소 중 하나인 PIN(비밀번호)과 USB 토큰(보안 장치)을 사용하여 인증하는 방식입니다. 사용자는 USB 토큰을 연결하고 PIN을 입력하여 인증을 완료합니다. 이 방식은 보안성이 높고 사용이 간편하여 많이 사용됩니다. 홍채-지문, 패스워드-PIN, 스마트 카드-토큰은 모두 2 Factor 인증 방식 중 하나이지만, PIN-USB 토큰과는 다른 방식으로 인증을 수행합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

77. 다음 중 비대칭키에 대한 설명으로 올바르지 못한 것은?

  1. 키 분배가 용이하다.
  2. 확장 가능성이 높다.
  3. 암/복호화 처리 시간이 빠르다.
  4. 복잡한 키 관리 구조를 가지고 있다.
(정답률: 62%)
  • 암/복호화 처리 시간이 빠르다는 설명이 올바르지 않습니다. 비대칭키는 대칭키에 비해 암/복호화 처리 시간이 느리기 때문입니다. 이유는 공개키와 개인키를 사용하기 때문에 계산량이 많아지기 때문입니다.

    - "키 분배가 용이하다." : 공개키는 공개되어 있기 때문에 상대방에게 쉽게 전달할 수 있습니다.
    - "확장 가능성이 높다." : 공개키를 사용하면 새로운 사용자를 추가하는 것이 쉽습니다.
    - "복잡한 키 관리 구조를 가지고 있다." : 공개키와 개인키를 각각 관리해야 하기 때문에 키 관리가 복잡해집니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

78. 다음 보기의 역할을 하는 PKI 구성 요소는 무 엇인가?

  1. CA
  2. RA
  3. CRL
  4. PCA
(정답률: 63%)
  • PKI에서 CA는 인증서를 발급하고 관리하는 중요한 역할을 담당합니다. CA는 인증서를 발급하기 전에 신원 확인 절차를 거쳐야 하며, 발급된 인증서는 CA의 개인키로 서명됩니다. 이를 통해 인증서의 진위성과 무결성을 보장할 수 있습니다. RA는 인증서 발급을 요청하는 사용자와 CA 사이의 인터페이스 역할을 합니다. CRL은 만료된 인증서나 더 이상 신뢰할 수 없는 인증서를 목록화하여 제공합니다. PCA는 CA의 하위 인증 기관으로서, 보다 작은 범위의 인증서 발급을 담당합니다. 따라서, 위의 보기에서 PKI 구성 요소 중 CA가 인증서 발급과 관리를 담당하는 핵심적인 역할을 수행하기 때문에 정답은 "CA"입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

79. 다음 중 보기에서 설명하고 있는 접근 통제 모델은 무엇인가?

  1. 비바 모델
  2. 클락 - 윌슨 모델
  3. 벨 - 라파듈라 모델
  4. 제한 인터페이스 모델
(정답률: 75%)
  • 보기에서 설명하고 있는 접근 통제 모델은 "벨 - 라파듈라 모델"이다. 이 모델은 주체(사용자)와 객체(자원) 간의 관계를 기반으로 접근 권한을 결정하는 모델로, 주체의 보안 등급과 객체의 보안 등급을 비교하여 접근 가능 여부를 결정한다. 이 모델은 간단하고 직관적이며, 다양한 보안 정책을 적용할 수 있어 널리 사용되고 있다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

80. 다음 중 이산 대수에 기반한 암호 알고리즘이 아닌 것은?

  1. KCDSA
  2. Diffie-Hellman
  3. El Gamal
  4. RSA
(정답률: 60%)
  • RSA는 이산 대수에 기반한 암호 알고리즘이 아닙니다. RSA는 공개키 암호 시스템으로, 대칭키 암호화 방식이 아닌 공개키와 개인키를 사용하여 암호화와 복호화를 수행합니다. 따라서 RSA는 이산 대수에 기반한 암호 알고리즘이 아닙니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

5과목: 정보보안 관리 및 법규

81. 다음 중 국제 공통 보안 평가 기준을 나타내는 것은?

  1. TCSEC
  2. ITSEC
  3. CC
  4. 오렌지북
(정답률: 47%)
  • 정답은 "CC"입니다.

    CC는 Common Criteria의 약자로, 국제적으로 인정받는 보안 평가 기준 중 하나입니다. 이 기준은 제품이나 시스템의 보안성을 평가하고 인증하는 데 사용됩니다. CC는 다양한 보안 요구사항을 충족시키는 제품이나 시스템에 대한 평가를 가능하게 하며, 이를 통해 사용자들은 보안성이 검증된 제품을 선택할 수 있습니다.

    반면, TCSEC은 Trusted Computer System Evaluation Criteria의 약자로, 미국에서 개발된 보안 평가 기준입니다. ITSEC은 Information Technology Security Evaluation Criteria의 약자로, 유럽에서 개발된 보안 평가 기준입니다. 오렌지북은 대한민국에서 개발된 정보보호 관련 지침서입니다. 이들은 모두 국제적으로 인정받는 보안 평가 기준은 아닙니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

82. 다음 중 정성적 위험 분석에 포함되지 않는 것은?

  1. 객관적인 평가 기준이 적용된다.
  2. 위험 분석 과정이 지극히 주관적이다.
  3. 계산에 대한 노력이 적게 든다.
  4. 측정 결과를 화폐로 표현하기 어렵다.
(정답률: 62%)
  • 정답: "계산에 대한 노력이 적게 든다."

    이유: 정성적 위험 분석은 주관적인 판단과 경험에 기반하여 위험을 평가하는 것이기 때문에, 객관적인 평가 기준이 적용된다는 것은 말이 되지 않는다. 오히려, 위험 분석 과정이 지극히 주관적이기 때문에, 객관적인 평가 기준을 적용하기 어렵다. 측정 결과를 화폐로 표현하기 어렵다는 것은 사람들이 위험을 평가하는 데 있어서 돈의 가치가 모든 것이 아니기 때문이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

83. 다음 중 기업(조직)이 각종 위협으로부터 주요 정보 자산을 보호하기 위해 수립, 관리, 운영하는 종합적인 체계의 적합성에 대해 인증을 부여하는 제도를 무엇이라 하는가?

  1. TCSEC
  2. ITSEC
  3. CC
  4. ISMS
(정답률: 37%)
  • ISMS는 Information Security Management System의 약자로, 정보보호 관리 체계를 의미합니다. 기업이 각종 위협으로부터 주요 정보 자산을 보호하기 위해 수립, 관리, 운영하는 종합적인 체계의 적합성에 대해 인증을 부여하는 제도입니다. 따라서, ISMS가 정답입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

84. 다음 재난 복구 계획 중 서버와 단말기까지 모든 컴퓨터 설비를 완전히 갖추고, 실제로 운영되 는 환경과 동일한 상태로 지속 관리되는 사이트는 무엇인가?

  1. 웜사이트
  2. 핫사이트
  3. 콜드사이트
  4. 상호 지원계약
(정답률: 45%)
  • 핫사이트는 재난 발생 시에도 지속적으로 운영되는 사이트로, 서버와 단말기 등 모든 컴퓨터 설비를 완전히 갖추고, 실제 운영되는 환경과 동일한 상태로 지속적으로 관리되는 사이트이다. 따라서, 재난 발생 시에도 빠른 복구가 가능하며, 중요한 업무나 서비스를 제공하는 기업이나 기관에서 많이 사용된다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

85. 다음 중 '정보통신망 이용 촉진 및 정보보호 등에 관한 법률'에서 정의하는 용어 설명으로 올바르지 못한 것은?

  1. 사용자 : 정보통신서비스 제공자가 제공하는 정보통신서비스를 이용하는 자를 말한다.
  2. 정보통신서비스 : '전기통신사업법' 제2조 6호에 따른 전기 통신 역무와 이를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 것을 말한다.
  3. 정보통신서비스 제공자 : '전기통신사업법' 제2조 8호에 따른 전기통신사업자와 비영리를 목적으로 전기통신사업자의 전기통신 역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자를 말한다.
  4. 개인정보 : 생존하는 개인에 관한 정보로서 성명, 주민등록번호 등에 의하여 특정한 개인을 알아볼 수 있는 부호, 문자, 음성, 음향 및 영상 등의 정보를 말한다.
(정답률: 16%)
  • 정보통신서비스 제공자가 제공하는 정보통신서비스를 이용하는 자를 말한다는 것이 올바르지 않다. 이는 사용자를 정의하는 것이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

86. 다음 중 개인정보 유출로 인하여 과태료를 지불해야 할 상황에 맞는 위험 대응 전략은 무엇인가?

  1. 위험회피
  2. 위험 전가
  3. 위험 수용
  4. 위험 감소
(정답률: 14%)
  • "위험 감소"가 적절한 대응 전략이다. 개인정보 유출로 인한 과태료는 이미 발생한 손해이므로 위험 회피나 전가는 불가능하다. 위험 수용은 위험을 인식하고 수용하는 것으로, 개인정보 유출로 인한 과태료를 수용하는 것은 적절하지 않다. 따라서 위험 감소를 통해 개인정보 유출을 예방하고 대응하는 것이 가장 적절한 대응 전략이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

87. 다음 중 정보보호 관리 체계(ISMS) 의무 인증 대상에 포함되지 않는 것은?

  1. 서울 및 모든 광역시에서 정보통신망 서비스 제공
  2. 정보통신 서비스 부문 전년도 매줄액 100억 이상
  3. 전년도말 기준 직전 3개월간 일일 평균 이용 자 수 100만명 이상 사업자
  4. 매출액 100억 이하인 영세 VIDC
(정답률: 50%)
  • 매출액 100억 이하인 영세 VIDC가 정보보호 관리 체계(ISMS) 의무 인증 대상에서 제외되는 이유는, ISMS 인증 대상 범위는 정보통신 서비스 부문 전년도 매출액이 100억 이상인 사업자로 제한되기 때문입니다. 따라서 매출액이 100억 이하인 영세 VIDC는 ISMS 인증 대상에서 제외됩니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

88. 다음 중 개인정보 이용 및 수집에서 정보 주체의 별도 동의를 받지 않아도 되는 것은?

  1. 외국인등록번호
  2. 병력
  3. 운전자면허번호
  4. 휴대폰 번호
(정답률: 39%)
  • 휴대폰 번호는 일반적으로 서비스 제공 및 연락을 위해 필요한 정보이며, 정보 주체가 서비스 이용 시 제공하는 정보이기 때문에 별도 동의를 받지 않아도 된다. 하지만 다른 보기들은 개인정보 보호를 위해 별도 동의를 받아야 한다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

89. 다음 중 주요 정보통신 기반 시설 보호 계획의 수립에 포함되지 않는 것은?

  1. 주요 정보통신 기반 시설의 침해 사고에 대한 예방 및 복구 대책에 관한 사항
  2. 주요 정보통신 기반 시설의 취약점 분석, 평가에 관한 사항
  3. 그 밖에 주요 정보통신 기반 시설의 보호에 관하여 필요한 사항
  4. 주요 정보통신 기반 시설 보호 대책 이행 여부의 확인 절차
(정답률: 43%)
  • 주요 정보통신 기반 시설 보호 계획의 수립에 포함되지 않는 것은 "주요 정보통신 기반 시설 보호 대책 이행 여부의 확인 절차"입니다. 이는 이미 수립된 보호 계획을 실행하고 있는지 확인하는 절차로, 보호 계획의 수립 단계가 아닌 이행 단계에 해당합니다. 따라서 보호 계획의 수립에는 "주요 정보통신 기반 시설의 침해 사고에 대한 예방 및 복구 대책에 관한 사항", "주요 정보통신 기반 시설의 취약점 분석, 평가에 관한 사항", "그 밖에 주요 정보통신 기반 시설의 보호에 관하여 필요한 사항" 등이 포함됩니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

90. 다음 중 주요 정보통신 기반 시설 보호 지원에 포함되지 않는 것은?

  1. 도로, 철도
  2. 인터넷 포털
  3. 교통 정보
  4. 도시, 가스
(정답률: 46%)
  • 인터넷 포털은 주요 정보통신 기반 시설이 아니기 때문에 보호 지원에 포함되지 않습니다. 다른 보기들은 모두 주요 정보통신 기반 시설이나 그와 관련된 시설들입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

91. 금융 업무를 보지 못하여 물건 결제를 하지 못하였다면 보안의 목적 중 무엇을 충족하지 못하였는가?

  1. 기밀성
  2. 가용성
  3. 무결성
  4. 부인 방지
(정답률: 61%)
  • 가용성은 시스템이나 서비스가 필요할 때 언제든지 이용 가능한 상태를 유지하는 것을 의미합니다. 금융 업무에서 물건 결제를 하지 못하는 상황은 시스템의 가용성이 충분하지 않았기 때문입니다. 따라서 보안의 목적 중 가용성을 충족하지 못한 것입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

92. 다음 중 개인정보보호, 정보보호 교육에 대한 설명으로 올바르지 못한 것은?

  1. 개인정보보호법에 따라 연 정기적으로 개인 정보보호 교육을 의무적으로 한다.
  2. 정보보호 교육 시 자회사 직원만 교육하고 협력사는 제외한다.
  3. 정보통신망법에 따라 연 2회 이상 개인정보 교육을 의무적으로 한다.
  4. 개인정보보호, 정보보호에 대한 교육은 수준별, 대상별로 나누어 교육한다.
(정답률: 44%)
  • "정보보호 교육 시 자회사 직원만 교육하고 협력사는 제외한다."는 올바르지 않은 설명입니다. 개인정보보호와 정보보호 교육은 모든 직원들에게 필요한 것이며, 자회사와 협력사를 구분하여 교육하는 것은 적절하지 않습니다. 모든 직원들이 개인정보와 정보보호에 대한 이해도를 높이는 것이 중요합니다.

    이유: 모든 직원들이 개인정보와 정보보호에 대한 이해도를 높이는 것이 중요하기 때문입니다. 또한, 협력사와의 정보보호 협약 등을 통해 외부 업체들도 정보보호에 대한 책임을 지도록 하는 것이 바람직합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

93. 다음 중 개인정보 이용 및 수집 시 동의 없이 처리할 수 있는 개인정보라는 입증 책임은 누구에게 있는가?

  1. 개인정보 처리자
  2. 개인정보보호 책임자
  3. 개인정보 담당자
  4. 개인정보 취급자
(정답률: 47%)
  • 개인정보 처리자는 개인정보 이용 및 수집 시 동의 없이 처리할 수 있는 범위를 정확히 파악하고, 그에 따라 적법한 처리를 해야 하기 때문에 입증 책임이 개인정보 처리자에게 있다. 개인정보보호 책임자, 개인정보 담당자, 개인정보 취급자도 개인정보 보호와 관련된 업무를 수행하지만, 개인정보 처리자와 달리 개인정보 이용 및 수집 시 동의 없이 처리할 수 있는 범위를 결정하는 권한이 없기 때문에 입증 책임이 개인정보 처리자에게 있다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

94. 다음 중 전자서명법상 용어의 설명으로 올바르지 못한 것은?

  1. “전자서명”이라 함은 서명자를 확인하고 서명자가 당해 전자문서에 서명을 하였음을 나타내는데 이용하기 위하여 당해 전자문서에 첨부되거나 논리적으로 결합된 전자적 형태의 정보를 말한다.
  2. “전자문서”라 함은 정보처리시스템에 의하여 전자적 형태로 작성되어 송신 또는 수신되거나 저장된 정보를 말한다.
  3. “인증”이라 함은 전자서명 생성 정보가 가입자에게 유일하게 속한다는 사실을 확인하고 이를 증명하는 행위를 말한다.
  4. “인증서”라 함은 전자서명 검증 정보가 가입자에게 유일하게 속한다는 사실 등을 확인하고 이를 증명하는 전자적 정보를 말한다.
(정답률: 25%)
  • "“인증서”라 함은 전자서명 검증 정보가 가입자에게 유일하게 속한다는 사실 등을 확인하고 이를 증명하는 전자적 정보를 말한다." 이 설명은 올바르다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

95. 개인정보 수집 시 정보 주체의 동의를 얻어야 한다. 다음 중 포함되지 않는 사항은?

  1. 개인정보 수집 목적
  2. 개인정보 수집 항목
  3. 개인정보 보유 기간
  4. 개인정보 파기 방법
(정답률: 41%)
  • 개인정보 파기 방법은 개인정보 수집 시 정보 주체의 동의를 얻는 것과는 관련이 없는 사항이기 때문에 포함되지 않는다. 개인정보 파기 방법은 개인정보 보호법에서 규정된 개인정보 파기 시점에 따라 적절한 방법으로 파기해야 하며, 이는 개인정보 처리자가 스스로 결정해야 한다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

96. 업무 연속성 관리 단계 중 다음의 보기와 같은 내용을 수행하는 단계는?

  1. 전략 수립 단계
  2. 운영 단계
  3. 계획 단계
  4. 구현 단계
(정답률: 12%)
  • 이미 수립된 비즈니스 연속성 계획을 바탕으로 구체적인 대응 방안을 수립하고, 이를 실제로 구현하는 단계이기 때문에 "구현 단계"이다. 이 단계에서는 대응 방안의 우선순위를 결정하고, 구현 계획을 수립하며, 이를 실행하고 검증하는 등 구체적인 대응 활동을 수행한다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

97. 다음 중 정보보호 예방 대책을 관리적 예방 대책과 기술적 예방 대책으로 나누어 볼 때 관리적 예방 대책에 속하는 것은?

  1. 고유 식별 정보의 암호화
  2. 로그 기록 보관
  3. 운영 체제 패치
  4. 문서 처리 순서의 표준화
(정답률: 37%)
  • 문서 처리 순서의 표준화는 인적 오류를 줄이고 일관성 있는 처리를 유지하기 위한 관리적 예방 대책입니다. 이는 문서 처리 과정에서 발생할 수 있는 실수나 누락을 방지하고, 정보의 무결성을 유지하기 위한 것입니다. 따라서 관리적 예방 대책에 속합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

98. 다음 중 정보통신망법에 의하여 개인정보를 제3자에게 제공하기 위하여 동의를 받는 경우에 이용자에게 알려야 하는 사항이 아닌 것은?

  1. 개인정보의 제공 계약의 내용
  2. 개인정보를 제공 받는 자
  3. 제공하는 개인정보의 항목
  4. 개인정보를 제공 받는 자의 개인정보 이용 목적
(정답률: 34%)
  • 개인정보의 제공 계약의 내용은 개인정보를 제공받는 자와의 계약 내용으로, 이용자에게 알려줄 필요가 없습니다. 다른 보기들은 개인정보 제공에 대한 정보를 제공하는 것이므로 알려줘야 하는 사항입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

99. 다음 중 OECD의 개인정보 8원칙에 포함되지 않는 것은?

  1. 정보 정확성의 원칙
  2. 안전 보호의 원칙
  3. 이용 제한의 원칙
  4. 비밀의 원칙
(정답률: 28%)
  • 정답은 "비밀의 원칙"입니다. OECD의 개인정보 8원칙에는 "정보 정확성의 원칙", "안전 보호의 원칙", "이용 제한의 원칙"이 포함되어 있지만, "비밀의 원칙"은 포함되어 있지 않습니다. 이유는 "비밀의 원칙"은 개인정보 보호와 관련이 있지만, OECD의 8원칙은 개인정보 보호를 위한 원칙들이 아니라 개인정보의 적절한 수집, 보관, 이용, 제공 등을 위한 원칙들이기 때문입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

100. 다음 중 정보보호 정책에 포함되지 않아도 되는 것은?

  1. 자산의 분류
  2. 비인가자의 접근 원칙
  3. 법 준거성
  4. 기업 보안 문화
(정답률: 29%)
  • 기업 보안 문화는 정보보호 정책의 일부가 될 수 있지만, 필수적인 요소는 아닙니다. 다른 보기들은 정보보호를 위한 필수적인 원칙들이지만, 기업 보안 문화는 조직 내부에서 보안에 대한 인식과 태도를 형성하는 것으로, 조직의 문화와 관련이 있습니다. 따라서, 정보보호 정책에 포함되지 않아도 되는 것입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

< 이전회차목록 다음회차 >