정보보안기사 필기 기출문제복원 (2016-04-02)

정보보안기사
(2016-04-02 기출문제)

목록

1과목: 시스템 보안

1. 아래 지문은 리눅스 시스템에서 명령어들을 수행한 결과이다. (가)에서 수행하면 실패하는 것은?

  1. ls testuser2
  2. cd testuser2
  3. cd testuser3
  4. ls testuser3
(정답률: 49%)
  • 정답: (가)에서 수행하면 실패하는 것은 "cd testuser3"이다.

    이유: 현재 디렉토리에서 "testuser3" 디렉토리가 없기 때문에 해당 명령어는 실패한다.

    "ls testuser2"는 현재 디렉토리에 있는 파일과 디렉토리 중 "testuser2"라는 이름을 가진 디렉토리를 출력한다.

    "cd testuser2"는 현재 디렉토리를 "testuser2" 디렉토리로 변경한다.

    "cd testuser3"은 "testuser3" 디렉토리로 이동하려는 명령어이지만, 현재 디렉토리에는 "testuser3" 디렉토리가 없기 때문에 실패한다.

    "ls testuser3"은 현재 디렉토리에 있는 파일과 디렉토리 중 "testuser3"라는 이름을 가진 디렉토리를 출력한다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

2. 다음 중 프로세스와 관련된 설명으로 가장 거리가 먼 것은?

  1. 프로세스는 프로세스 제어블록(PCB)으로 나타내며 운영체제가 프로세스에 대한 중요한 정보를 저장해 놓은 저장소를 의미한다.
  2. 하나의 포르세스는 생성, 실행, 준비, 대기, 보류, 교착, 종료의 상태 변화를 거치게 된다.
  3. 프로세스란 스스로 자원을 요청하고 이를 합당받아 사용하는 능동적인 개체를 의미한다.
  4. 스레드는 프로세스보다 큰 단위이며, 자원의 할당에는 관계하지 않고, 프로세서 스케줄링의 단위로써 사용하게 된다.
(정답률: 50%)
  • "프로세스란 스스로 자원을 요청하고 이를 합당받아 사용하는 능동적인 개체를 의미한다." 이 설명은 프로세스와 관련이 있지만, 다른 설명들은 프로세스의 정의, 상태 변화, PCB 등과 직접적으로 관련이 있다.

    스레드는 프로세스보다 작은 단위이며, 프로세스 내에서 실행되는 실행 단위이다. 스레드는 프로세스 내에서 자원을 공유하며, 프로세서 스케줄링의 단위로 사용된다. 이는 프로세스와 스레드의 차이점 중 하나이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

3. 다음 중 프로세스 스케줄링을 통한 CPU 성능요소가 아닌 것은?

  1. CPU 이용률(Utilization)
  2. 시스템처리율(Throughput)
  3. 대기시간(Waiting time)
  4. 확장성(Expansiblility)
(정답률: 78%)
  • 확장성은 시스템의 성능을 증가시키기 위해 하드웨어나 소프트웨어를 추가하거나 변경할 수 있는 능력을 의미합니다. 이는 CPU 성능요소가 아니며, 시스템의 유연성과 확장성을 나타내는 요소입니다. 따라서 정답은 "확장성(Expansiblility)"입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

4. 서버에 연결된 디스크가 여러 개의 배열로 구성되어 있을 때, 이를 안전하게 관리하기 위한 기술로서 RAID를 사용한다. 다음에 설명하는 각 RAID 레벨로서 옳은 것은?

  1. (ㄱ) RAID-0, (ㄴ) RAID-1
  2. (ㄱ) RAID-1, (ㄴ) RAID-5
  3. (ㄱ) RAID-1, (ㄴ) RAID-4
  4. (ㄱ) RAID-1, (ㄴ) RAID-3
(정답률: 79%)
  • (ㄱ) RAID-1은 미러링 기술로, 디스크를 2개 이상 사용하여 데이터를 중복 저장함으로써 데이터의 안정성을 높이는 방식이다. 따라서 디스크 중 하나가 고장나도 다른 디스크에서 데이터를 복구할 수 있다.

    (ㄴ) RAID-5는 패리티 기술을 이용하여 여러 개의 디스크에 데이터를 분산 저장하는 방식이다. 디스크 중 하나가 고장나도 패리티 정보를 이용하여 데이터를 복구할 수 있다. RAID-5는 RAID-0에 비해 안정성이 높은 방식이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

5. 리모트 컴퓨터로부터의 ping 명령에 대한 응답으로 "Destination Unreachable"을 되돌려 주고, 접속을 거절하기 위해 리눅스 방화벽에서 설정하는 타깃 명령어는 무엇인가?

  1. DROP
  2. DENY
  3. REJECT
  4. RETURN
(정답률: 55%)
  • 정답은 "REJECT"이다.

    "REJECT" 명령어는 패킷을 거부하고, 해당 패킷이 거부되었음을 보내는 컴퓨터에게 즉시 알려준다. 따라서 "Destination Unreachable"과 같은 응답을 보내 리모트 컴퓨터가 접속을 시도하지 않도록 막을 수 있다.

    반면에 "DROP" 명령어는 패킷을 거부하지만, 거부되었음을 보내는 컴퓨터에게는 알려주지 않는다. 따라서 리모트 컴퓨터는 여전히 접속을 시도하게 된다.

    "DENY" 명령어는 일반적으로 사용되지 않는다.

    "RETURN" 명령어는 패킷을 거부하지 않고, 방화벽에서 처리된 후 다음 규칙으로 넘어간다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

6. 증거수집 대상 중 휘발성 데이터와 가장 거리가 먼 것은?

  1. 시간정보와 로그온 사용자 정보
  2. 이벤트 로그
  3. 클립보드 데이터
  4. 프로세스 정보
(정답률: 31%)
  • 이벤트 로그는 시스템의 작동 상태와 관련된 정보를 기록하는 것으로, 휘발성 데이터와는 달리 시스템이 종료되어도 기록이 남아있어서 증거수집 대상 중에서 가장 거리가 먼 것입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

7. 다음은 트로이목마의 특징에 대한 설명이다. 성격이 가장 다른 하나는?

  1. 원격조정
  2. 시스템 파일 파괴
  3. 자기복제
  4. 데이터 유출
(정답률: 68%)
  • 자기복제는 다른 기능들과는 달리 트로이목마가 스스로를 복제하여 다른 시스템에 전파할 수 있는 능력을 의미한다. 이는 트로이목마가 더욱 빠르게 전파되고, 피해자들의 컴퓨터에 더욱 많은 피해를 줄 수 있게 만든다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

8. 재귀 함수의 종료 조건을 잘못 프로그래밍하여 재귀함수의 호출이 무한히 반복될 경우, 메모리의 어떤 영역에서 문제가 발생하는가?

  1. Text
  2. Data
  3. Heap
  4. Stack
(정답률: 74%)
  • 재귀 함수의 호출은 함수 호출 스택에 쌓이게 되는데, 종료 조건이 잘못되어 무한히 호출되면 스택 메모리가 계속해서 쌓이게 되어 스택 오버플로우(Stack Overflow)가 발생한다. 따라서 정답은 "Stack"이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

9. 트로이목마 프로그램으로 사용자의 키보드 입력을 가로채는 목적으로 사용되기 때문에 이 프로그램이 동작하는 컴퓨터에서 입력되는 모든 것이 기록되어 개인정보 등이 도용당하게 되는 해킹기법은 무엇인가?

  1. 포트스캔
  2. 쿠키
  3. DoS
  4. 키로그
(정답률: 80%)
  • 키로그는 사용자의 키보드 입력을 가로채는 해킹 기법으로, 개인정보 등 민감한 정보를 도용할 수 있습니다. 다른 보기들은 포트스캔은 네트워크 상의 컴퓨터들의 상태를 파악하는 기법, 쿠키는 웹사이트에서 사용자 정보를 저장하는 기술, DoS는 서비스 거부 공격으로 서버를 마비시키는 기법입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

10. 리눅스 시스템의 커널에 내장된 툴로서 rule 기반의 패킷 필터링 기능, connection tracking 기능 등 다양한 기능을 제공하는 것은?

  1. TCP - Wrapper
  2. netcat
  3. iptables
  4. xinetd
(정답률: 47%)
  • iptables는 리눅스 시스템의 커널에 내장된 패킷 필터링 툴로, rule 기반의 패킷 필터링 기능과 connection tracking 기능 등 다양한 기능을 제공합니다. 따라서, 이 문제에서 정답은 iptables입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

11. 다음 중 Window OS에서 'ADMIN$'라는 공유자원의 공유를 제거하는 명령어로 옳은 것은?

  1. net share ADMIN$ /remove
  2. net share ADMIN$ /delete
  3. net user share ADMIN$ /remove
  4. net user share ADMIN$ /delete
(정답률: 55%)
  • 정답: "net share ADMIN$ /delete"

    설명:
    - "net share" 명령어는 현재 공유 중인 자원들을 보여주는 명령어이다.
    - "ADMIN$"은 Windows OS에서 기본적으로 제공하는 관리자 공유자원으로, 시스템 관리자가 원격으로 접속하여 시스템 관리 작업을 수행할 수 있도록 지원한다.
    - "/delete" 옵션은 해당 공유자원을 제거하는 옵션이다.
    - 따라서, "net share ADMIN$ /delete" 명령어는 ADMIN$ 공유자원을 제거하는 명령어이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

12. 다음 중 취약점 점검과 가장 거리가 먼 보안 도구는?

  1. SATAN
  2. COPS
  3. Nmap
  4. Tripwire
(정답률: 52%)
  • 정답은 "Nmap"입니다. Nmap은 네트워크 탐지 및 보안 평가 도구로, 취약점 점검에 사용될 수 있지만 Tripwire와 같은 파일 시스템 감시 도구와는 다릅니다. Tripwire는 파일 시스템의 변경 사항을 모니터링하고 알림을 제공하여 보안 위협을 탐지하는 도구입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

13. 파일시스템 점검의 명령어는?

  1. chgrp
  2. mount
  3. fsck
  4. df
(정답률: 55%)
  • 파일시스템 점검의 명령어는 "fsck"이다. 이는 파일시스템의 무결성을 검사하고 손상된 파일시스템을 복구하는 명령어이다. 다른 보기들은 각각 그룹 권한 변경, 파일시스템 마운트, 디스크 용량 확인과 관련된 명령어이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

14. 윈도우에서 시스템의 전체적인 설정 정보를 담고 있는 레지스트리의 파일은 %SystemRoot%\config 디렉터리에 저장된다. 이곳에 저장되는 주요 레지스트리 파일에 대한 설명으로 옳지 않은 것은?

  1. SECURITY - 시스템의 보안과 권한 관련 정보
  2. SAM - 로컬 계정과 그룹 정보
  3. SOFTWARE - 시스템 부팅에 필요한 전역 설정 정보
  4. NTUSE DAT - 사용자별 설정 정보
(정답률: 58%)
  • 정답: NTUSE DAT - 사용자별 설정 정보

    설명: NTUSER.DAT 파일은 사용자가 로그인할 때 생성되는 파일로, 해당 사용자의 설정 정보를 담고 있다. 다른 파일들은 시스템 전반적인 설정 정보를 담고 있으며, SOFTWARE 파일은 시스템 부팅에 필요한 전역 설정 정보를 담고 있다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

15. UNIX 시스템에서 다음의 chmod 명령어 실행 후의 파일 test1의 허가비트(8진법 표현)는?

  1. 644
  2. 244
  3. 600
  4. 640
(정답률: 66%)
  • chmod 600 test1 명령어는 test1 파일의 소유자에게 읽기와 쓰기 권한을 부여하고, 그 외의 사용자들에게는 어떠한 권한도 부여하지 않는다는 의미이다. 따라서, test1 파일의 허가비트는 600이 된다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

16. 중요한 시스템에 접근하는 공격자를 다른 곳으로 끌어내도록 설계한 유도 시스템은?

  1. Spoofing
  2. Honeypot
  3. Sniffing
  4. Switching
(정답률: 57%)
  • Honeypot은 중요한 시스템에 접근하는 공격자를 유인하여 다른 곳으로 끌어내는 시스템입니다. 이는 공격자의 시간과 노력을 낭비시키고, 중요한 시스템을 보호하는 데 도움이 됩니다. Spoofing은 IP 주소나 MAC 주소 등을 위조하여 다른 사람으로 가장하는 공격 기술이며, Sniffing은 네트워크 상에서 데이터를 가로채는 기술입니다. Switching은 네트워크에서 데이터를 전송하는 기술입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

17. 다음 내용은 어느 공격기법에 관한 설명인가?

  1. Buffer Overflow
  2. Format String
  3. Race condition
  4. Brute force
(정답률: 77%)
  • 이 그림은 Buffer Overflow 공격 기법을 나타낸 것입니다. Buffer Overflow는 프로그램이 할당한 메모리 영역을 벗어나 데이터를 쓰거나 읽는 공격 기법입니다. 예를 들어, 프로그램에서 입력 받는 문자열의 길이를 제한하지 않고, 입력된 문자열이 할당된 메모리 영역을 초과하여 다른 메모리 영역을 침범할 수 있습니다. 이를 이용하여 공격자는 프로그램의 동작을 제어하거나 시스템에 악성 코드를 삽입할 수 있습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

18. Brute Force Attack 및 Dictionary Attack 등과 가장 거리가 먼 것은?

  1. John the Ripper
  2. L0phtcrack
  3. Pwdump
  4. WinNuke
(정답률: 43%)
  • "WinNuke"는 네트워크 공격 기술 중 하나로, Windows 운영체제의 취약점을 이용하여 시스템을 다운시키는 공격이다. 반면, "Brute Force Attack"와 "Dictionary Attack"는 암호 해독 기술로, 각각 모든 가능한 조합을 시도하거나 사전에 저장된 단어 목록을 이용하여 암호를 찾아내는 공격이다. "John the Ripper"와 "L0phtcrack", "Pwdump"는 이러한 암호 해독 기술을 이용하는 도구들이다. 따라서 "WinNuke"는 다른 공격과는 성격이 다르기 때문에 가장 거리가 먼 것이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

19. 서버관리자를 위한 보안 지침 중 옳지 않은 것은?

  1. 관리자 그룹 사용자의 계정을 최소화한다.
  2. 정기적으로 파일과 디렉터리의 퍼미션을 점검한다.
  3. 관리자로 작업한 후에는 반드시 패스워드를 변경한다.
  4. 웹 서버에서 생성되는 프로세스는 관리자 권한으로 실행되지 않도록 한다.
(정답률: 60%)
  • 옳지 않은 것은 "웹 서버에서 생성되는 프로세스는 관리자 권한으로 실행되지 않도록 한다." 이다. 이는 보안을 위해 필요한 조치이지만, 서버 관리자를 위한 보안 지침이 아니라 웹 서버 관리자를 위한 보안 지침이다.

    "관리자로 작업한 후에는 반드시 패스워드를 변경한다."는 보안을 위해 매우 중요한 조치이다. 이는 다른 사람이 관리자 권한으로 로그인하여 시스템을 조작하는 것을 방지하기 위함이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

20. 다음 중 리눅스 계정 관리 파일 /etc/shadow를 통해서 알 수 없는 것은 무엇인가?

  1. 사용자 계정 이름
  2. 암호화 또는 해시 알고리즘이 적용된 사용자 패스워드
  3. 사용자 패스워드 최소 길이
  4. 사용자 패스워드 만료일까지 남은 기간(일)
(정답률: 42%)
  • 사용자 패스워드 최소 길이는 /etc/shadow 파일에 저장되어 있지만, 이 값이 어떤 길이인지는 알 수 없습니다. 이 값은 시스템 관리자가 설정한 정책에 따라 다르기 때문입니다. 일반적으로는 8자 이상으로 설정되어 있지만, 보안을 강화하기 위해 더 긴 길이로 설정할 수도 있습니다. 따라서 /etc/shadow 파일을 통해 알 수 없는 것은 "사용자 패스워드 최소 길이"입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

2과목: 네트워크 보안

21. 다음과 같은 기능을 수행하는 보안도구는 무엇인가?

  1. 침입차단시스템
  2. 침입탐지시스템
  3. 가상사설망(VPN)
  4. 공개키기반구조(PKI)
(정답률: 50%)
  • 이 도구는 네트워크 상에서 발생하는 모든 트래픽을 모니터링하고, 악성 행위나 침입 시도를 탐지하여 이를 알리는 역할을 수행한다. 따라서 이 도구는 침입탐지시스템이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

22. 다음 중 UDP flooding 공격의 대응 방안으로 옳지 않은 것은

  1. 다른 네트워크로부터 자신의 네트워크로 들어오는 IP Broadcast 패킷을 받도록 설정한다.
  2. 사용하지 않는 UDP 서비스를 중지한다.
  3. 방화벽 등을 이용하여 패킷을 필터링한다.
  4. 리눅스 시스템인 경우 chargen 또는 echo 서비스를 중지한다.
(정답률: 50%)
  • UDP flooding 공격은 대량의 UDP 패킷을 보내서 대상 시스템을 공격하는 것이므로, 다른 네트워크로부터 자신의 네트워크로 들어오는 IP Broadcast 패킷을 받도록 설정하는 것은 옳지 않다. 이는 오히려 불필요한 패킷을 더 많이 받게 되어 시스템 부하를 더욱 심화시킬 수 있기 때문이다. 따라서 이 보기는 UDP flooding 공격 대응 방안으로 옳지 않다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

23. 다음 중 침입탐지시스템의 특징으로 보기 어려운 것은?

  1. 외부로부터의 공격뿐만 아니라 내부자에 의한 해킹도 방어할 수 있다.
  2. 접속하는 IP 주소에 상관없이 침입을 탐지할 수 있다.
  3. 피캣의 유형에 따라 통과가 허용 또는 거부되는 패킷 필터링 기능을 제공한다.
  4. 침입 판단에 약간의 오류 가능성이 존재한다.
(정답률: 29%)
  • "피캣의 유형에 따라 통과가 허용 또는 거부되는 패킷 필터링 기능을 제공한다."는 침입탐지시스템의 특징으로 보기 어려운 것입니다. 이는 침입탐지시스템이 아닌 방화벽의 기능입니다. 침입탐지시스템은 패턴 분석, 행동 분석 등의 방법으로 침입을 탐지하고 경고를 발생시키는 역할을 합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

24. 다음은 DOS 창에서 어떤 명령어를 실행시킨 결과인가?

  1. ping
  2. traceroute
  3. date
  4. netstat
(정답률: 59%)
  • 이 명령어는 "ping"으로, 해당 IP 주소에 대한 응답 시간을 측정하고 네트워크 연결 상태를 확인하는 데 사용됩니다. 이 경우에는 "google.com"의 IP 주소에 대한 응답 시간을 측정하고 있습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

25. 다음에서 설명하는 네트워크는?

  1. LAN(Local Area Network0
  2. WAN(Wide Area Network)
  3. MAN(Metropolitan Area Network)
  4. VPN(Virtual Private Netowrk)
(정답률: 59%)
  • 이 네트워크는 VPN(Virtual Private Network)이다. 이유는 인터넷을 통해 안전하게 데이터를 전송하기 위해 사용되는 가상 사설 네트워크이기 때문이다. VPN은 인터넷을 통해 데이터를 암호화하고, 보안적으로 안전하게 전송할 수 있도록 해준다. 따라서, VPN은 WAN(Wide Area Network)과 유사하지만, 보안적인 측면에서 더 안전하다. LAN(Local Area Network)은 한정된 지역 내에서 컴퓨터와 기기들이 연결된 네트워크를 의미하며, MAN(Metropolitan Area Network)은 도시 전체를 커버하는 네트워크를 의미한다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

26. 다음 중 네트워크 기반 서비스 거부 공격이 아닌 것은?

  1. 버퍼 오버플로우(Buffer Overflow)
  2. 스머프(Smurf)
  3. SYN 플러딩(Flooding)
  4. 티어드랍(Teardrop)
(정답률: 48%)
  • 스머프(Smurf), SYN 플러딩(Flooding), 티어드랍(Teardrop)은 모두 네트워크 기반 서비스 거부 공격이지만, 버퍼 오버플로우(Buffer Overflow)는 프로그램 취약점을 이용하여 공격하는 방식으로, 네트워크 기반 서비스 거부 공격과는 다른 유형의 공격이다. 버퍼 오버플로우는 입력값이 버퍼의 크기를 초과하여 다른 메모리 영역을 침범하는 취약점을 이용하여 공격자가 원하는 코드를 실행시키는 것이다. 이를 이용하여 시스템을 마비시키거나, 악성 코드를 실행시켜 시스템을 제어하는 등의 공격이 가능하다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

27. 다음은 어떠한 형태의 공격에 대한 대비 또는 대응방법인가?

  1. Land Attack
  2. Smurf Attack
  3. Syn Flooding Attack
  4. Ping of Death Attack
(정답률: 44%)
  • 이 그림은 Syn Flooding Attack을 나타내는 것으로, 공격자가 대상 서버에 대해 Syn 패킷을 계속해서 보내고, 대상 서버는 Syn+Ack 패킷을 보내고, 공격자는 이를 무시하고 계속해서 Syn 패킷을 보내는 과정을 반복하여 대상 서버의 자원을 고갈시키는 공격 방법을 말합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

28. VLAN에 대한 설명이다. 순서대로 나열한 것은?

  1. (가) 멀티캐스팅, (나) 논리적인, (다) Port Mirroring
  2. (가) 브로드캐스팅, (나) 논리적인, (다) Port MIrroring
  3. (가) 브로드캐스팅, (나) 물리적인, (다) Port Filtering
  4. (가) 멀티캐스팅, (나) 물리적인, (다) Port filtering
(정답률: 72%)
  • 정답은 "(가) 브로드캐스팅, (나) 논리적인, (다) Port Mirroring"이다.

    - VLAN은 가상 LAN으로, 논리적인 네트워크를 구성한다. (나)
    - VLAN은 브로드캐스팅 도메인을 분리할 수 있어 브로드캐스트 트래픽을 줄일 수 있다. (가)
    - Port Mirroring은 특정 포트에서 발생하는 트래픽을 다른 포트로 복사하여 모니터링할 수 있게 한다. (다)
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

29. DoS(Denial of Service) 공격의 일종으로 공격대상자는 스푸핑된 소스 IP로부터 ICMP reply를 동시에 수신하는 현상을 갖는 공격은 무엇인가?

  1. Ping of Death
  2. Smurf Attack
  3. TearDrop Attack
  4. Land Attack
(정답률: 46%)
  • Smurf Attack은 공격자가 스푸핑된 소스 IP로 ICMP Echo Request를 대량으로 전송하여 네트워크 상의 라우터나 서버 등에게 대량의 ICMP reply를 유발하는 공격이다. 이로 인해 대상 시스템은 대량의 트래픽으로 인해 다운되거나 서비스 거부 상태가 되는 DoS 공격의 일종이다. 따라서 이 문제에서 정답은 "Smurf Attack"이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

30. 다음 중 가상 사설망(VPN) 구현 기술과 가장 거리가 먼 것은?

  1. 터널링
  2. 패킷 필터링
  3. 인증
  4. 암호화
(정답률: 50%)
  • 패킷 필터링은 네트워크에서 특정한 패킷을 차단하거나 허용하는 기술로, VPN 구현 기술 중에서는 가장 기본적인 기술이지만, 다른 기술들과는 다르게 VPN 구현에 직접적으로 관련되어 있지 않기 때문에 가장 거리가 먼 기술이다. 패킷 필터링은 보안성을 높이기 위해 VPN에서도 사용될 수 있지만, VPN 구현 기술 중에서는 다른 기술들과 함께 사용되는 경우가 많다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

31. 다음 설명에 적합한 방화벽의 구축 형태는?

  1. Screened Host
  2. Screened Subnet
  3. Dual Homed Host
  4. Bastion Host
(정답률: 43%)
  • 이 구성에서는 외부 네트워크와 내부 네트워크 사이에 DMZ(Subnet)을 두고, DMZ에는 외부에서 접근 가능한 서비스를 제공하는 서버들을 배치한다. 이때, DMZ와 내부 네트워크 사이에는 방화벽이 위치하며, 외부에서 DMZ로의 접근은 허용되지만, DMZ에서 내부 네트워크로의 직접적인 접근은 차단된다. 이러한 구성은 보안성이 높은 방화벽 구성 중 하나로, "Screened Subnet"으로 분류된다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

32. 침입차단시스템(Firewall)과 침입탐지시스템(DS)의 설명으로 부적합한 것은?

  1. Firewall의 종류에는 스크리닝 라우터 (Screening Router), 배스천 호스트(Bastion Host), 프락시 서버 게이트웨이(Proxy Server Gateway), Dual-Homed 게이트웨이 등이 있다.
  2. Firewall을 다중으로 사용 시,내부 인가자의 시스템 호 스트에 대한 접근통제가 기능하다.
  3. 오용탐지 IDS는 알려진 공격에 대한 Signature의 유지를 통해서만 탐지가 기능하다.
  4. IDS에서 공격인데도 공격이라고 판단하지 않는 경우를 False Negative라고 한다.
(정답률: 32%)
  • "Firewall을 다중으로 사용 시,내부 인가자의 시스템 호스트에 대한 접근통제가 기능하다."는 부적합한 설명입니다. 다중 Firewall을 사용하더라도 내부 인가자의 시스템 호스트에 대한 접근통제는 Firewall이 아닌 다른 보안장치를 사용해야 합니다. Firewall은 외부에서 내부로의 접근을 제어하는 역할을 하기 때문입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

33. 다음 지문이 설명하고 있는 것은?

  1. Trojan Horse
  2. Botnet
  3. Backdoor
  4. Worm
(정답률: 65%)
  • 이 그림은 여러 대의 컴퓨터를 제어하는 해커의 모습을 보여주고 있습니다. 이러한 컴퓨터들은 해커가 설치한 악성 소프트웨어에 감염되어 있으며, 이를 통해 해커는 컴퓨터들을 원격으로 제어할 수 있습니다. 이렇게 제어된 컴퓨터들을 모아놓은 것을 "Botnet"이라고 합니다. 따라서, 정답은 "Botnet"입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

34. 다음 설명 중 옳지 않은 것은?

  1. 브로드캐스트는 하나의 송신자가 같은 서브 네트워크 상의 모든 수신자에게 데이터를 전송히는 방식이다.
  2. 브로드캐스트 IP 주소는 호스트 필드의 비트값이 모두 1인 주소를 밀하며, 이러한 값을 갖는 IP 주소는 일반 호스트에 설정하여 널리 사용한다.
  3. 멀티캐스트 전송이 지원되면 데이터의 중복 전송으로 인한 네트워크 자원 낭비를 최소화 할 수 있게 된다.
  4. 유니캐스트는 네트워크상에서 단일 송신자와 단일 수신자 간의 통신이다
(정답률: 62%)
  • 정답은 "브로드캐스트 IP 주소는 호스트 필드의 비트값이 모두 1인 주소를 밀하며, 이러한 값을 갖는 IP 주소는 일반 호스트에 설정하여 널리 사용한다." 이다. 브로드캐스트 IP 주소는 일반 호스트에 설정할 수 없으며, 네트워크 상의 모든 호스트에게 데이터를 전송하기 위해 사용된다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

35. TCP 연결 2HS 중 3-way handshaking의 Half Open 연결 시도의 취약점을 이용한 공격은?

  1. Land 공격
  2. SYN Flooding 공격
  3. Smurf 공격
  4. Trinoo 공격
(정답률: 70%)
  • SYN Flooding 공격은 공격자가 대량의 SYN 패킷을 보내어 서버의 Half Open 연결 상태를 유발하고, 이를 이용하여 서버의 자원을 고갈시키는 공격이다. 이는 TCP 연결 2HS 중 3-way handshaking 과정에서 발생하는 취약점을 이용한 공격으로, 공격자는 대량의 가짜 IP 주소를 사용하여 SYN 패킷을 보내어 서버의 응답을 유발하고, 이를 반복하여 서버의 자원을 고갈시킨다. 이러한 공격은 서버의 가용성을 저하시키는데 사용되며, 대규모의 공격으로 인해 서비스 거부 공격(DoS)으로 발전할 수 있다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

36. 침입차단시스템(Firewall)을 지나는 패킷에 대해 출발지와 목적지의 IP 주소 및 포트 번호를 특정주소 및 포트로 매핑 (Mapping》하는 기능을 무엇이라 하는가?

  1. Gateway
  2. Packet Filtering
  3. NAT(Network Address Translation)
  4. NAU(Network Address Unit)
(정답률: 40%)
  • NAT(Network Address Translation)은 출발지와 목적지의 IP 주소 및 포트 번호를 변경하여 매핑하는 기능을 말합니다. 이를 통해 사설 네트워크에서 공인 IP 주소를 사용할 수 있고, 여러 대의 컴퓨터가 하나의 공인 IP 주소를 공유할 수 있습니다. 따라서 Firewall을 통해 보호되는 네트워크에서 NAT는 매우 중요한 역할을 합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

37. 다음의 라우팅 프로토콜 중 AS 사이에 구동되는 라우팅 프로토콜은 무엇인가?

  1. OSPP
  2. RIP
  3. BGP
  4. IGRP
(정답률: 39%)
  • BGP는 AS 사이에 구동되는 라우팅 프로토콜로, 인터넷에서 대규모 네트워크의 경로 선택과 라우팅 정보 교환을 담당합니다. BGP는 경로 벡터 프로토콜로서, AS 경계에서 수신한 라우팅 정보를 다른 AS에 전달하고, 경로 선택 기준에 따라 최적의 경로를 선택하여 데이터를 전송합니다. 따라서 BGP는 인터넷의 핵심적인 라우팅 프로토콜 중 하나입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

38. 다음 지문에서 설명하고 있는 스니핑 공격은?

  1. ARP Redirect 공격
  2. ICMP Redirect 공격
  3. Switch Jamming 공격
  4. ARP Spoofing 공격
(정답률: 50%)
  • 이 그림은 스위치 재밍 공격을 보여주고 있습니다. 스위치 재밍 공격은 스위치가 ARP 테이블을 업데이트할 때 ARP 패킷을 브로드캐스트하여 스위치가 ARP 테이블을 업데이트하지 못하도록 만드는 공격입니다. 이로 인해 스위치는 ARP 패킷을 계속해서 수신하게 되고, 네트워크 트래픽이 많아져서 네트워크 성능이 저하됩니다. 따라서 이 그림에서는 스위치 재밍 공격이 발생하고 있습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

39. 다음은 특정 시스템에 대한 분류 또는 기능에 대한 정의이다. 특성이 다른 하나는 무엇인가?

  1. 단일 호스트 기반
  2. 네트워크 기반
  3. 배스천호스트
  4. 비정상적인 행위탐지
(정답률: 43%)
  • "배스천호스트"는 다른 세 가지와 달리 여러 대의 호스트를 사용하여 시스템을 운영하는 방식을 말한다. 다시 말해, 여러 대의 호스트가 분산되어 작업을 수행하며, 이를 통해 시스템의 안정성과 성능을 향상시킬 수 있다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

40. 침입차단시스템(Firewall)을 통과하는 모든 패킷을 침입차단시 스템에서 정의한 보안 정책에 따라 패킷의 통과 여부를 결정 하는 역할을 수행하는 기법은?

  1. Packet Filtering
  2. NAT(Network AddressTranslation)
  3. Proxy
  4. Logging
(정답률: 67%)
  • Packet Filtering은 침입차단시스템에서 패킷을 분석하여 정의된 보안 정책에 따라 패킷의 통과 여부를 결정하는 기법이다. 다른 보기들은 각각 NAT는 IP 주소 변환을 수행하는 기법, Proxy는 클라이언트와 서버 사이에서 중계 역할을 수행하는 기법, Logging은 시스템에서 발생하는 이벤트를 기록하는 기법이므로, 이들과 달리 Packet Filtering은 패킷의 보안 검사와 통과 여부 결정에 집중하는 기법이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

3과목: 어플리케이션 보안

41. 다음 중 공격기법과 그에 대한 설명으로 옳은 것은 무엇인가?

  1. Smurf Attack:IP Broadcast Address로 전송된 ICMP 패킷에 대해 응답하지 않도록 시스템을 설정하여 방어할 수 있다.
  2. Heap Spraying:아이디와 패스워드 같이 사용자의 입력이 요구되는 정보를 프로그램 소스에 기록하여 고정시키는 방식이다.
  3. Backdoor:조직 내에 신뢰할 만한 벌-신인으로 위장해 ID 및 패스워드 정보를 요구하는 공격이다.
  4. CSRF:다른 사람의 세션 싱채를 훔치거나 도용하여 액세스하는 해킹 기법을 말한다.
(정답률: 41%)
  • 정답은 "Smurf Attack:IP Broadcast Address로 전송된 ICMP 패킷에 대해 응답하지 않도록 시스템을 설정하여 방어할 수 있다." 이다. Smurf Attack은 IP Broadcast Address로 전송된 ICMP 패킷을 이용하여 대량의 ICMP Echo Reply 패킷을 피해자에게 보내서 네트워크 대역폭을 과부하시키는 공격 기법이다. 이를 방어하기 위해서는 시스템에서 IP Broadcast Address로 전송된 ICMP 패킷에 대해 응답하지 않도록 설정해야 한다. Heap Spraying은 메모리 공간을 확보하여 악성 코드를 삽입하는 기법이며, Backdoor는 시스템에 비밀로 접근할 수 있는 통로를 만드는 공격 기법이다. CSRF는 Cross-Site Request Forgery의 약자로, 다른 사람의 세션을 도용하여 액세스하는 공격 기법을 말한다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

42. 웹페이지 입력화면 폼 작성 시 GET 방식을 사용할 경우 폼 데이터가 URL 뒤에 첨가되어 전송되며, 이 때문에 그 내용이 쉽게 노출되어 공격에 이용당할 수 있다. 어떤 공격이 이러한 약점을 이용할 수 있는가?

  1. XPath 삽입
  2. 크로스사이트 스크립트
  3. 크로스사이트 요청 위조
  4. 운영체제 명령어 삽입
(정답률: 34%)
  • GET 방식으로 전송되는 폼 데이터는 URL 뒤에 노출되기 때문에, 악의적인 사용자가 해당 URL을 이용하여 사용자의 계정 정보 등을 변경할 수 있다. 이를 크로스사이트 요청 위조(CSRF)라고 하며, 이를 방지하기 위해서는 POST 방식을 사용하거나, CSRF 토큰을 사용하여 보안을 강화해야 한다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

43. 다음 보기 중 그 성질이 다른 것은?

  1. SQL Injection
  2. XSS or GSS(Cross site Scription)
  3. Cookie sniffing
  4. Whois
(정답률: 40%)
  • "Whois"는 웹 보안 공격 기술이 아니라 도메인 등록 정보를 조회하는 도구이기 때문에 다른 것들과 성질이 다릅니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

44. 다음 중 TFTP(Trivial File Transfer Protocol)에 대한 설명으로 틀린 것은?

  1. 하드디스크가 없는 장비들이 네트워크를 통해 부팅 할 수 있도록 제안된 프로토콜이다.
  2. UDP 69번을 사용하며 특별한 인증 절차가 없다,
  3. TFTP 서비스를 위한 별도의 계정 파일을 사용하지 않는다.
  4. 보안상 우수하여 Anonymous FTP 서비스를 대신하여 많이 사용한다.
(정답률: 31%)
  • 보안상 우수하여 Anonymous FTP 서비스를 대신하여 많이 사용한다.는 틀린 설명이다. TFTP는 인증 절차가 없고 보안성이 낮아서, 파일 전송에만 사용되며, 보안상 취약하다. 따라서, Anonymous FTP 서비스를 대신하여 사용되지 않는다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

45. 다음 중 버퍼 오버플로우(Buffer Overflow)에 대한 대책으로 옳지 않은 것은?

  1. 경계 검사를 하는 컴파일러 및 링크를 사용한다.
  2. 경계를 검사하는 함수를 사용한다.
  3. 운영체제 커널 패치를 실시한다.
  4. 최대 권한으로 프로그램을 실행한다.
(정답률: 64%)
  • 최대 권한으로 프로그램을 실행하는 것은 옳지 않은 대책입니다. 이는 오히려 공격자가 악용할 수 있는 취약점을 만들어놓는 것과 같습니다.

    따라서, 올바른 대책은 경계 검사를 하는 컴파일러 및 링크를 사용하거나 경계를 검사하는 함수를 사용하며, 운영체제 커널 패치를 실시하는 것입니다. 이를 통해 버퍼 오버플로우 공격을 예방할 수 있습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

46. 다음 중 PGP(Pretty Good Privacy)의 기능과 가장 거리가 먼 것은?

  1. 전자서명
  2. 권한 관리
  3. 압축
  4. 단편화와 재조립
(정답률: 32%)
  • PGP는 전자서명, 압축, 단편화와 재조립과 같은 보안 기능을 제공하지만, 권한 관리와는 직접적인 연관성이 없습니다. PGP는 주로 데이터의 기밀성과 무결성을 보호하기 위한 암호화 기술에 중점을 둡니다. 따라서 권한 관리와는 거리가 먼 것입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

47. 데이터베이스 복구를 위해 만들어지는 체크포인트에 대한 설명으로 가장 적절한 것은?

  1. 장애를 일으킨 트랜잭션들의 기록
  2. 데이터베이스 장애 발생 직전에 수행된 트랜잭션 기록
  3. 이미 처리된 트랜잭션 중 영구 저장장치에 반영되지 않은 부분
  4. 일정 시간 간격으로 만들어지는 DBMS의 현재 싱채에 대한 기록
(정답률: 25%)
  • 일정 시간 간격으로 만들어지는 DBMS의 현재 싱채에 대한 기록은 데이터베이스 복구를 위해 만들어지는 체크포인트입니다. 이는 현재까지 수행된 트랜잭션들의 상태를 기록하여, 데이터베이스 장애 발생 시 해당 시점으로 복구할 수 있도록 합니다. 따라서 이 체크포인트는 데이터베이스의 일관성과 안정성을 유지하는 데 매우 중요한 역할을 합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

48. DB의 보안유형과 가장 거리가 면 것은?

  1. DB 웹 서비스
  2. 허가 규칙
  3. 가상 테이블
  4. 암호화
(정답률: 30%)
  • DB 웹 서비스는 인터넷을 통해 DB에 접근할 수 있도록 하는 기술이며, 이는 DB의 보안을 위협할 수 있는 요소 중 하나입니다. 반면, 허가 규칙, 가상 테이블, 암호화는 DB의 보안을 강화하기 위한 기술들입니다. 따라서 DB 웹 서비스가 가장 거리가 먼 보안 유형입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

49. 다음 중 SET(Secure Electronic Transaction) 프로토콜에 대한 설명으로 옳지 않은 것은?

  1. RSA를 시용함으로써 프로토콜의 속도를 크게 저하시킨다.
  2. 상점과 지불게이트웨이의 거래를 전자적으로 처리하기 위한 별도의 하드웨어와 소프트웨어를 요구하지 않는다.
  3. 암호프로토콜이 너무 복잡하다.
  4. 사용자에게 전자지갑 소프트웨어를 요구한다.
(정답률: 45%)
  • "상점과 지불게이트웨이의 거래를 전자적으로 처리하기 위한 별도의 하드웨어와 소프트웨어를 요구하지 않는다."는 옳은 설명이다. SET 프로토콜은 따로 하드웨어나 소프트웨어를 요구하지 않고, 기존의 인터넷 브라우저와 같은 소프트웨어만 있으면 사용할 수 있다. RSA를 사용함으로써 프로토콜의 속도를 저하시키는 것은 맞지만, 이는 옳지 않은 설명이다. SET 프로토콜은 암호프로토콜이 복잡하지만, 사용자에게 전자지갑 소프트웨어를 요구하지는 않는다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

50. 다음 중 데이터베이스에 대한 보안 요구사항으로 가장 거리가 먼 것은?

  1. 데이터에 대한 추론통계 기능
  2. 데이터에 대한 흐름통제 기능
  3. 데이터에 대한 부인방지 기능
  4. 허가 받지 않은 사용자에 대한 접근통제기능
(정답률: 36%)
  • "데이터에 대한 추론통계 기능", "데이터에 대한 흐름통제 기능", "허가 받지 않은 사용자에 대한 접근통제기능"은 모두 데이터베이스에 대한 보안 요구사항으로 일반적으로 필요한 기능들이다. 그러나 "데이터에 대한 부인방지 기능"은 데이터베이스에 대한 보안 요구사항으로는 거의 필요하지 않은 기능이다. 부인방지 기능은 데이터의 송수신 과정에서 발생하는 문제를 해결하기 위한 기능으로, 데이터베이스 내에서는 거의 사용되지 않는다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

51. 다음 중 게시판의 글에 원본과 함께 악성코드를 삽입함으로써 글을 읽을 경우 악성코드가 실행되도록 하여 클라이언트의 정보를 유출하는 공격 기법은 무엇인가?

  1. 쿠키/세션 위조
  2. File Download
  3. SQL Injection
  4. Cross Site Scripting(XSS)
(정답률: 70%)
  • Cross Site Scripting(XSS)는 웹사이트의 취약점을 이용하여 악성 스크립트를 삽입하는 공격 기법입니다. 이를 통해 공격자는 사용자의 정보를 탈취하거나, 세션 하이재킹 등의 공격을 수행할 수 있습니다. 따라서 게시판의 글에 악성코드를 삽입하여 클라이언트의 정보를 유출하는 것이 가능하므로, 이 문제의 정답은 Cross Site Scripting(XSS)입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

52. 다음 중 웹을 통한 sql injection 공격 방지 방법으로 가장 부적절한 것은?

  1. 원시 ODBC 에러를 사용자가 볼 수 없도록 코딩
  2. 데이터베이스 애플리케이션을 최소 권한으로의 구동
  3. 데이터베이스 확장 프로시저 사용
  4. 테이블 이름,컬럼 이름, sql 구조 등이 외부 HTML에 포 함되어 나타나지 않도록 설정
(정답률: 52%)
  • "데이터베이스 확장 프로시저 사용"은 웹을 통한 SQL Injection 공격 방지와는 직접적인 연관성이 없는 방법이기 때문에 가장 부적절한 방법입니다. 데이터베이스 확장 프로시저는 데이터베이스 내부에서 실행되는 프로그램으로, 외부에서 SQL Injection 공격을 시도하는 경우에는 오히려 취약점을 노출시킬 수 있습니다. 따라서 이 방법은 SQL Injection 공격 방지와는 관련이 없으며, 다른 방법들을 사용해야 합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

53. 다음 SSL에 대한 설명 중 틀린 것은?

  1. SSL은 SSL Handshake Protocol, SSL change Cipher Spec, SSL Alert Protocol 부분파 실질적인 보안 서비스를 제공하는 SSL Record Protocol 부분으로 나누어져 있다,
  2. SSL은 상호인증과 무결성을 위한 메시지 코드기밀성을 위한 암호화 방법을 제공한다.
  3. 실제 SSL Record Protocol부분은 TCP 계층 하단에서 동작한다.
  4. SSL에서는 전자서명과 키 교흰을 위해 RSA 또는 디피헬만 알고리즘을 이용할 수 있다.
(정답률: 40%)
  • 정답은 "실제 SSL Record Protocol부분은 TCP 계층 하단에서 동작한다."이다. SSL Record Protocol은 TCP 계층 위에서 동작하며, SSL Handshake Protocol, SSL Change Cipher Spec, SSL Alert Protocol과 함께 SSL 프로토콜의 일부를 이루고 있다. SSL Record Protocol은 SSL/TLS 연결에서 실제 데이터를 보호하는 역할을 하며, TCP 계층에서는 SSL Record Protocol이 암호화된 데이터를 전송하는 역할을 한다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

54. 다음 지문에서 설명하고 있는 보안 기술은 무엇인가?

  1. 스마트 토큰
  2. One-Time Pad
  3. One-Time Password
  4. 보안카드
(정답률: 77%)
  • 이미지에서 보이는 숫자들은 일회용 비밀번호를 나타내며, 이는 One-Time Password 기술을 사용하여 생성된 것입니다. 이 기술은 매번 다른 비밀번호를 생성하여 보안성을 높이는 방식으로 인증을 수행합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

55. TLS(Transport Layer Security)의 기본 구조에서 그 구성 요소가 아닌 것은 무엇인가?

  1. Handshake Protocol
  2. Http protocol
  3. Alert Protocol
  4. Record Protocol
(정답률: 58%)
  • TLS의 기본 구조에서 Http protocol은 포함되지 않는다. TLS는 암호화된 통신을 제공하는 프로토콜이며, Http protocol은 인터넷에서 데이터를 주고받기 위한 프로토콜이다. TLS는 Http protocol을 암호화하여 보안성을 높이는 역할을 하지만, Http protocol 자체가 TLS의 구성 요소는 아니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

56. 다음 중 생체 인증 시스템의 요구사항이 아닌 것은?

  1. 유일성
  2. 영속성
  3. 정량성
  4. 가변성
(정답률: 64%)
  • 가변성은 생체 인증 시스템의 요구사항이 아닙니다. 이는 생체 인증 시스템에서 인증을 위해 사용되는 생체 특성이 시간이 지나거나 외부 요인에 의해 변화할 수 있기 때문입니다. 따라서 생체 인증 시스템은 가변성을 최소화하고, 유일성, 영속성, 정량성 등의 요구사항을 충족해야 합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

57. 다음 중 프로그래머의 관점에서 버퍼 오버플로우 공격에 취약하지 않도록 사용 자제를 권고하는 함수는 무엇인가?

  1. sprintf()
  2. strncpy()
  3. fgets()
  4. strncat()
(정답률: 43%)
  • 정답: "sprintf()"

    sprintf() 함수는 문자열을 형식화하여 버퍼에 저장하는 함수이다. 그러나 이 함수는 버퍼의 크기를 검사하지 않기 때문에, 버퍼 오버플로우 공격에 취약하다. 따라서 프로그래머는 sprintf() 함수 대신에 안전한 함수인 snprintf() 함수를 사용하는 것이 좋다. snprintf() 함수는 버퍼의 크기를 검사하여 버퍼 오버플로우 공격을 방지할 수 있다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

58. 웹 응용프로그램에서 사용자로부터의 입력 문자열을 처리하기 전에 <,>, &,” 등의 문자를 문자 변환함수 등을 사용하여 <, >, &, " 등으로 치환하는 것은 어떤 공격에 대비하기 위한 대응책인가?

  1. 크로스사이트 스크립트
  2. SQL 삽입
  3. 버퍼 오버플로우
  4. 경쟁 조건
(정답률: 45%)
  • 웹 응용프로그램에서 사용자로부터의 입력 문자열을 처리하기 전에 <,>, &,” 등의 문자를 문자 변환함수 등을 사용하여 <, >, &, " 등으로 치환하는 것은 크로스사이트 스크립트 공격에 대비하기 위한 대응책이다. 크로스사이트 스크립트 공격은 악의적인 스크립트를 삽입하여 사용자의 정보를 탈취하거나, 악성코드를 실행시키는 등의 공격이다. 이러한 공격은 사용자로부터 입력받은 문자열을 그대로 출력하는 경우 발생할 수 있으므로, 입력 문자열을 치환하여 공격을 방지할 수 있다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

59. 디지털 워터마킹 기술의 응용 분야와 거리가 먼 것은?

  1. 저작권 보호
  2. 이미지 인증
  3. 데이터 은닉
  4. 도청 방지
(정답률: 45%)
  • 디지털 워터마킹 기술은 이미지나 동영상 등의 미디어 콘텐츠에 보이지 않는 정보를 삽입하여 원본의 인증, 저작권 보호, 데이터 추적 등에 활용됩니다. 그러나 도청 방지는 디지털 워터마킹과는 거리가 먼 분야입니다. 도청 방지는 보안 기술의 일환으로, 통신 경로나 장비 등을 이용한 불법적인 정보 수집을 방지하는 기술입니다. 이는 디지털 워터마킹과는 전혀 다른 분야이며, 물리적인 보안 기술과 연관이 더 많습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

60. 전자지불 시스템의 기술 요건이 아닌 것은?

  1. 거래 상대방의 신원 확인
  2. 전송 내용의 비밀 유지
  3. 전자문서의 위조 및 부인 방지
  4. 전자지불의 추적 기능성
(정답률: 40%)
  • 전자지불의 추적 기능성은 기술 요건이 아니라 비즈니스 요건에 해당한다. 전자지불 시스템은 거래 내역을 추적하여 거래의 안전성과 투명성을 보장해야 하기 때문에 이러한 요건이 필요하다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

4과목: 정보 보안 일반

61. 무결성 레벨에 따라서 정보에 대한 접근을 제어하는 접근통제 모델은 무엇인가?

  1. 비바(biba) 모델
  2. 벨-라파둘라(Bell-Lapadula) 모델
  3. 클락-월슨(Clark -Wilson) 모델
  4. 비선형 모델 (Non-linear) 모델
(정답률: 45%)
  • 비바 모델은 정보의 무결성을 중요시하는 모델로, 정보의 무결성 레벨에 따라 접근 권한을 부여하거나 제한함으로써 정보의 무결성을 보호합니다. 즉, 높은 무결성 레벨의 정보에는 높은 접근 권한을 부여하고, 낮은 무결성 레벨의 정보에는 낮은 접근 권한을 부여하는 방식으로 정보 보호를 실현합니다. 이에 반해, 벨-라파둘라 모델은 기밀성을 중요시하는 모델로, 정보의 기밀성 레벨에 따라 접근 권한을 부여하거나 제한합니다. 클락-월슨 모델은 데이터의 무결성과 가용성을 중요시하는 모델로, 데이터의 일관성을 유지하고, 불법적인 데이터 변경을 방지하며, 데이터의 가용성을 보장합니다. 비선형 모델은 다양한 보안 요소를 고려하여 접근 권한을 부여하거나 제한하는 모델입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

62. 대칭키 암호시스템에 대한 설명으로 가장 적절하지 않은 것은?

  1. 제3자에게 키가 누설될 가능성이 항상 존재한다.
  2. 사전에 키 공유가 필요하다.
  3. 공개키 암호시스템에 비해 상대적으로 속도가 빠르다.
  4. 수학적으로 어려운 문제에 기반을 두고 있다.
(정답률: 45%)
  • "수학적으로 어려운 문제에 기반을 두고 있다."는 대칭키 암호시스템의 핵심적인 특징 중 하나이다. 이는 암호화와 복호화에 사용되는 키가 수학적으로 복잡한 연산을 거쳐 생성되기 때문에, 제3자가 이를 추측하거나 해독하기 어렵다는 것을 의미한다. 따라서 대칭키 암호시스템은 안전성이 높은 암호화 방식으로 평가받고 있다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

63. 사용자 A가 서명자 B에게 자신의 메시지를 보여 주지 않고 서명을 받는 방법으로서 이용자의 프라이버시를 보호하기 위해 전자 화폐나 전자 투표에 활용되는 서명 방식은?

  1. 은닉 서명 (blind signature)
  2. 그룹 서명 (group signature)
  3. 수신자 지정 서명 (nominative signature)
  4. 부인 방지 서명(undeniable signature)
(정답률: 63%)
  • 은닉 서명은 사용자 A가 자신의 메시지를 보여 주지 않고 서명자 B에게 서명을 받는 방법으로, 이용자의 프라이버시를 보호하기 위해 전자 화폐나 전자 투표에 활용됩니다. 이 방식은 사용자 A가 메시지를 암호화하여 서명자 B에게 보내고, 서명자 B는 암호화된 메시지에 서명을 하여 다시 사용자 A에게 보내는 방식으로 이루어집니다. 이 과정에서 서명자 B는 메시지의 내용을 알지 못하며, 사용자 A는 서명자 B가 자신의 메시지를 알지 못하게 보호할 수 있습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

64. 다음은 IDEA에 대한 설명이다. 잘못된 것은 어느 것인가?

  1. IDEA는 DES를 대체하기 위해서 스위스에서 개발한 것이다.
  2. IDEA는 128비트 키를 사용하여 128비트 블록을 암호화 한다.
  3. IDEA는 하나의 블록을 4개의 서브 블록으로 나눈다.
  4. 4개의 서브 블록은 각 라운드에 입력값으로 들어가며 총 8개의 라운드로 구성되어 있다.
(정답률: 46%)
  • "IDEA는 하나의 블록을 4개의 서브 블록으로 나눈다."가 잘못된 설명이다. IDEA는 하나의 블록을 16비트씩 4개의 서브 블록으로 나눈다. 이렇게 나눈 서브 블록들은 각 라운드에 입력값으로 들어가며 총 8개의 라운드로 구성된다. IDEA는 128비트 키를 사용하여 64비트 블록을 암호화하며, 이를 두 번 반복하여 128비트 블록을 암호화한다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

65. 다음 중 AES 알고리즘의 설명 중 틀린 것은?

  1. 128비트,192비트,256비트의 키 단위로 암호화를 수행 할 수 있다.
  2. 마지막을 뺀 각 라운드는 바이트 대치,행 옮김, 열 조합, 라운드 키 XOR로 구성된다.
  3. 마지막 라운드에서는 열 조합 연산을 수행하지 않는다.
  4. AES는 페이스텔 구조이기 때문에 복호화 과정은 암호화 과정과 같다.
(정답률: 57%)
  • "AES는 페이스텔 구조이기 때문에 복호화 과정은 암호화 과정과 같다."가 틀린 설명이다. AES는 페이스텔 구조가 아니라 대칭형 구조이기 때문에 복호화 과정은 암호화 과정과 반대로 이루어진다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

66. 임의적 접근통제 방식에 대한 설명 중 옳지 않은 것은?

  1. 개별 주체와 객체 딘-위로 접근 권한 설정
  2. 객체의 소유주가 주체와 객체 간의 접근 통제 관재를 정의
  3. 접근 통제 목록(AGL : Access Control List)을 통해 구현
  4. 중앙집중적으로 통제되는 환경에 적합
(정답률: 59%)
  • "중앙집중적으로 통제되는 환경에 적합"은 옳은 설명이다. 이는 임의적 접근통제 방식이 중앙집중적인 서버나 시스템에서 효과적으로 구현될 수 있기 때문이다. 이 방식은 개별 주체와 객체 간의 접근 권한 설정, 객체의 소유주가 접근 통제 관리를 정의하고, 접근 통제 목록(AGL)을 통해 구현된다. 이러한 방식은 보안성이 높고, 관리가 용이하다는 장점이 있다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

67. 일방향 해시함수를 이용했을 때 제공되는 가장 효과적인 보안서비스는?

  1. 무결성
  2. 기밀성
  3. 부인방지
  4. 인증
(정답률: 38%)
  • 일방향 해시함수는 입력값을 암호화하여 출력값을 생성하는 함수로, 입력값이 같으면 항상 같은 출력값을 생성한다. 이러한 특성 때문에 무결성을 보장하는 데에 가장 효과적이다. 즉, 데이터가 변조되지 않았는지 확인하기 위해 일방향 해시함수를 사용하여 데이터의 해시값을 계산하고, 이전에 계산한 해시값과 비교하여 무결성을 검증할 수 있다. 따라서 일방향 해시함수는 데이터의 무결성을 보장하는 데에 가장 효과적인 보안서비스이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

68. 해시 함수에 대한 다음 설명 중 잘못된 것은?

  1. 해시 함수는 디지털 서명에 이용되어 데이터 무결성을 제공한다.
  2. 해시 함수는 임의의 길이를 갖는 메시지를 입력으로 하여 고정된 길이의 출력값을 갖는다.
  3. 블록 암호를 이용한 해시 함수의 설계가 가능하다.
  4. 해시 함수는 안전성을 위해서 키의 길이를 적절히 조정해야 한다.
(정답률: 14%)
  • "해시 함수는 안전성을 위해서 키의 길이를 적절히 조정해야 한다."가 잘못된 설명이다. 해시 함수는 입력값의 길이에 상관없이 항상 고정된 길이의 출력값을 반환하기 때문에, 입력값의 길이가 길어지면 해시 충돌이 발생할 가능성이 높아진다. 따라서 해시 함수는 안전성을 위해 입력값의 길이를 적절히 조정하는 것이 아니라, 충돌을 최소화하는 방식으로 설계되어야 한다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

69. MAC 접근정책에 대한 설명으로서 옳지 않은 것은?

  1. 접근 규칙 수가 적어 통제가 용이
  2. 보안관리자 주도하에 중앙 집중적 관리가 가능
  3. 개별 객체에 대해 접근 가능한 주체 설정
  4. 사용자와 데이터는 보안 취급허가를 부여 받아 적용
(정답률: 36%)
  • MAC 접근정책은 "개별 객체에 대해 접근 가능한 주체 설정"이 옳은 설명입니다. 이는 보안 관리자가 개별 객체(파일, 디렉토리, 네트워크 자원 등)에 대해 접근 가능한 주체(사용자, 그룹 등)를 설정하여 접근을 제어하는 방식입니다. 다른 보기들은 MAC 접근정책의 장점들을 설명한 것입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

70. 사용자 인증에 사용되는 기술이 아닌 것은?

  1. Snort
  2. OTP(One Time Password)
  3. SSO(Single Sign On)
  4. 스마트 카드
(정답률: 67%)
  • Snort는 사용자 인증에 사용되는 기술이 아니라, 네트워크 보안에 사용되는 인트라넷 및 인터넷 기반의 탐지 시스템이다. OTP, SSO, 스마트 카드는 모두 사용자 인증에 사용되는 기술이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

71. 다음 중 공개키 기반으로 대칭키를 공유할 수 있는 Diffie-Heilman 프로토콜에서 발생할 수 있는 보안 공격에 해당하는 것은 무엇인가?

  1. 재전송(Replay) 공격
  2. 중간자(Man-In-The-Middle) 공격
  3. 반사(Reflection) 공격
  4. 위장(Impersonation) 공격
(정답률: 76%)
  • 중간자 공격은 악의적인 공격자가 통신하는 두 당사자 사이에 들어가서 그들의 대화를 도청하거나 조작하는 공격이다. Diffie-Heilman 프로토콜에서는 공개키를 이용해 대칭키를 공유하기 때문에, 중간자 공격자가 공개키를 가로채서 자신의 공개키로 대체하고, 이를 상대방에게 전달하면서 대칭키를 조작할 수 있다. 이러한 공격으로 인해 공유된 대칭키는 공격자에게 노출되어 보안성이 크게 저하된다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

72. 키 분배 문제를 해결할 수 있는 방법에 해당하지 않는 것은?

  1. 키 배포 센터에 의한 해결
  2. Diffie-Hellman 키 교환 방법에 의한 해결
  3. 전자서명에 의한 해결
  4. 공개키 암호에 의한 해결
(정답률: 54%)
  • 전자서명은 키 분배 문제를 해결하는 방법이 아니라, 인증과 무결성 보호를 위한 기술이기 때문에 해당하지 않는다. 전자서명은 메시지의 송신자를 인증하고, 메시지가 중간에 변경되지 않았는지 검증하는데 사용된다. 따라서 전자서명은 키 분배 문제를 해결하는 방법이 아니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

73. 암호해독의 목적과 가장 거리가 먼 것은?

  1. 암호에 사용된 키를 찾아내려는 시도
  2. 암호문으로부터 평문을 복원하는 시도
  3. 암호 알고리즘의 구조를 알아내려는 시도
  4. 암호시스템의 안정성을 정량적으로 측정하려는 시도
(정답률: 58%)
  • 암호해독의 목적은 암호문을 해독하여 평문을 얻는 것입니다. 이에 반해, "암호 알고리즘의 구조를 알아내려는 시도"는 암호해독이 아니라 암호학 분야에서 암호 알고리즘의 보안성을 평가하고 개선하기 위해 수행하는 연구입니다. 따라서 이 보기가 가장 거리가 먼 것입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

74. 메시지 출처 인증기술의 요소기술 중 하나인 해시(Hash) 함수의 특징으로 옳지 않은 것은?

  1. Message Autkentication Code와는 달리 키를 사용하지 않는다.
  2. 메시지 길이에 상관없이 적용 기능하다.
  3. 생성되는 해시 코드(Hash code)의 길이는 가변적이다,
  4. 일방향(one-way)으로 변환이 이루어진다.
(정답률: 57%)
  • "생성되는 해시 코드(Hash code)의 길이는 가변적이다,"가 옳지 않은 것이다. 해시 함수는 입력값의 길이와 상관없이 항상 일정한 길이의 해시 코드를 생성한다. 예를 들어, SHA-256 해시 함수는 항상 256비트(32바이트)의 해시 코드를 생성한다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

75. 다음에서 설명하는 키 교환 알고리즘은?

  1. PK1
  2. Rabin
  3. RSA
  4. Diffie-Hellman
(정답률: 38%)
  • 위 그림은 Diffie-Hellman 알고리즘의 과정을 나타내고 있습니다. 이 알고리즘은 공개키 암호화 방식 중 하나로, 키 교환을 위해 사용됩니다. Alice와 Bob은 서로 알지 못하는 값인 p와 g를 미리 공유합니다. 그리고 각자 비밀값인 a와 b를 선택한 후, g^a mod p와 g^b mod p를 계산합니다. 이 값을 서로 교환한 후, Alice는 Bob이 보낸 값인 g^b mod p를 a로 거듭제곱하고, Bob은 Alice가 보낸 값인 g^a mod p를 b로 거듭제곱합니다. 이렇게 하면 Alice와 Bob은 서로 같은 비밀값인 g^(ab) mod p를 알 수 있게 됩니다. 이 비밀값은 키로 사용될 수 있습니다. 따라서 Diffie-Hellman 알고리즘은 키 교환을 안전하게 할 수 있는 방법 중 하나입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

76. 사용자가 알고 있는 지식, 예를 들면 아이디, 패스워드,신용 카드에 대한 개인식별번호 등의 지식을 기초로 접근제어를 수행하는 사용자 인증기법은 무엇인가?

  1. 지식 기반 사용자 인증기법
  2. 소유 기반 사용자 인증기법
  3. 생체 기반 사용자 인증기법
  4. 혼합형 사용자 인증기법
(정답률: 67%)
  • 지식 기반 사용자 인증기법은 사용자가 알고 있는 지식을 기반으로 접근제어를 수행하는 방식이다. 이는 아이디, 패스워드, 개인식별번호 등을 이용하여 사용자를 인증하는 방식으로, 사용자가 지식을 알고 있기 때문에 비교적 쉽게 인증이 가능하다는 장점이 있다. 하지만, 지식이 타인에게 노출될 경우 보안 위협이 발생할 수 있으므로, 보안성이 낮은 단점도 있다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

77. 다음은 X.509 인증서 폐지에 관련된 설명이다. 틀린 설명은?

  1. 인증서 폐지 메커니즘 : X.509에 정의된 인증서 폐지목록 (CRL) 으로 관리
  2. 페지 사유:인증서 발행 조직 탈퇴,개인키의 손상, 개인 키의 유출 의심
  3. 인증서 폐지 요청 : 인증서 소유자 또는 인증서 소유자의 대리인이 요청
  4. 폐지된 인증서 : 목록을 비공개하고 디렉터리에만 보관
(정답률: 53%)
  • "폐지된 인증서 : 목록을 비공개하고 디렉터리에만 보관"은 틀린 설명입니다. 폐지된 인증서는 CRL(Certificate Revocation List)에 등록되어 다른 사용자들이 해당 인증서를 신뢰하지 않도록 막는 것이 목적입니다. CRL은 인터넷 상에서 공개되어 있으며, 인증서 폐지 목록에 등록된 인증서는 모든 사용자들이 신뢰하지 않도록 설정됩니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

78. AES 알고리즘에 대한 설명으로 옳지 않은 것은?

  1. 키의 길이에 따라 라운드 수가 달라진다.
  2. 블록 길이가 128비트인 대칭키 블록 암호 알고리즘이다,
  3. 페이스델 구조를 기반으로 알고리즘이 작동한다.
  4. DES 알고리즘을 대신하는 새로운 표준이다.
(정답률: 40%)
  • "페이스델 구조를 기반으로 알고리즘이 작동한다."가 옳지 않은 것이다. AES 알고리즘은 페이스델 구조를 기반으로 하지 않고, 대신 Substitution-Permutation Network (SPN) 구조를 기반으로 작동한다. 이 구조는 입력 블록을 여러 라운드에 걸쳐 대체 및 치환하는 방식으로 작동한다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

79. 전자인증 방식의 하나인 Password 방식의 문제점으로 옳지 않은 것을 고르시오.

  1. 패스워드 전송 노출
  2. 패스워드 재전송
  3. 별도의 키 분배 방식 필요
  4. 클라이언트 인증 정보 공격
(정답률: 16%)
  • 클라이언트 인증 정보 공격은 Password 방식의 문제점이 아니라 전자인증 방식의 다른 방법들에서 발생할 수 있는 문제점 중 하나입니다. 이 공격은 클라이언트 측에서 인증 정보를 탈취하여 악용하는 것으로, 예를 들어 피싱 사이트를 통해 사용자의 아이디와 비밀번호를 빼내거나, 악성 코드를 이용해 사용자의 키보드 입력을 가로채는 등의 방법으로 이루어집니다. 따라서 Password 방식의 문제점으로는 "패스워드 전송 노출", "패스워드 재전송", "별도의 키 분배 방식 필요"가 해당됩니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

80. 다음 중 전자 서명 생성에 적용 가능한 공개키 알고리즘이 아닌 것은?

  1. RSA
  2. AES
  3. DSA
  4. Rabin
(정답률: 44%)
  • AES는 대칭키 암호화 알고리즘이므로 전자 서명 생성에 적용할 수 없습니다. 전자 서명 생성에는 공개키 암호화 알고리즘이 필요합니다. 따라서 AES가 정답입니다. RSA, DSA, Rabin은 모두 공개키 암호화 알고리즘입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

5과목: 정보보안 관리 및 법규

81. 아래 지문은 보안 서비스 중 어느 항목을 나타내는 것인가?

  1. 데이터 기밀성
  2. 데이터 무결성
  3. 부인봉쇄
  4. 가용성
(정답률: 45%)
  • 위 지문은 "데이터 무결성"을 나타냅니다. 데이터 무결성은 데이터가 정확하고 완전하며 일관성이 있어야 함을 의미합니다. 즉, 데이터가 변조되거나 손상되지 않도록 보호하는 것입니다. 위 그림은 데이터 무결성을 보호하기 위한 해시 함수의 예시를 보여줍니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

82. 다음 중 정보통신기반보호법에서 정의하는 주요 정보통신기반시설에 대한 취약점 분석 평가를 수행할 수 있는 기관이 아닌 것은?

  1. 한국인터넷진흥원
  2. 정보보호 전문서비스 기업
  3. 한국전자통신연구원
  4. 한국정보화진흥원
(정답률: 37%)
  • 정보통신기반보호법에서는 주요 정보통신기반시설의 취약점 분석 평가를 수행할 수 있는 기관으로 "한국인터넷진흥원", "정보보호 전문서비스 기업", "한국전자통신연구원"을 규정하고 있습니다. 따라서, "한국정보화진흥원"은 해당 기관이 아닙니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

83. 다음 중「정보통신기반보호법」에 의거하여 국가사회적으로 중대한 영향을 미치는 주요정보통신기반시설이 아닌 것은?

  1. 방송중계, 국가지도통신망 시설
  2. 인터넷포털, 전자상거래업체 등 주요 정보통신시설
  3. 도로, 철도, 지하철, 공항, 항만 등 주요 교통시설
  4. 전력, 가스,석유 등 에너지. 수자원 시설
(정답률: 50%)
  • 인터넷포털, 전자상거래업체 등은 개인정보를 포함한 다양한 정보를 다수의 사용자에게 제공하는 서비스를 제공하는 시설이지만, 국가사회적으로 중대한 영향을 미치는 주요정보통신기반시설은 아닙니다. 반면, 방송중계, 국가지도통신망 시설은 국가 안보와 관련된 정보를 전달하는 시설이며, 도로, 철도, 지하철, 공항, 항만 등 주요 교통시설은 국민의 생활과 경제활동에 직접적인 영향을 미치는 시설입니다. 또한, 전력, 가스, 석유 등 에너지. 수자원 시설은 국가의 기반시설로서 국민의 생활과 경제활동에 필수적인 시설입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

84. 정보통신기반보호법상 중앙행정기관의 장은 소관분야의 정보통신기반시설 중 전자적 침해행위로부터의 보호가 필요하다고 인정되는 정보통신기반시설을 주요정보통신기반시설로 지정할 수 있는데, 이 경우에 고려할 사항으로 명시되지 않은 것은?

  1. 당해정보통신기반시설을 관리하는 기관이 수행하는 업무의 국가 사회직 중요성
  2. 침해사고가 발생할 경우 국제적으로 미칠 수 있는 피해의 범위
  3. 다른 정보통신기반시설과의 상호 연계성
  4. 침해사고의 발생가능성 또는 그 복구의 용이성
(정답률: 25%)
  • 정보통신기반보호법상 중앙행정기관의 장이 고려해야 할 사항은 "당해정보통신기반시설을 관리하는 기관이 수행하는 업무의 국가 사회직 중요성", "다른 정보통신기반시설과의 상호 연계성", "침해사고의 발생가능성 또는 그 복구의 용이성"입니다. 이 중에서 "침해사고가 발생할 경우 국제적으로 미칠 수 있는 피해의 범위"는 고려할 사항으로 명시되어 있지 않습니다. 그러나 이는 중요한 사항 중 하나이며, 침해사고가 발생할 경우 국내뿐만 아니라 국제적으로도 큰 피해를 초래할 수 있기 때문에 고려해야 할 사항입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

85. 정보통신기반보호법 제10조 보호지침에 의하면 관계중앙행정기관의 장은 소관분야의 주요정보통신기반시설에 대하여 보호지침을 제정하고 해당분야의 ( )에게 이를 지키도록 ( ) 할 수 있다. ( ) 속에 들어갈 말을 순서대로 열거한 것은?

  1. 관리기관의 장, 권고
  2. 관리기관의 장, 명령
  3. 관리기관의 장, 요청
  4. 사업자, 권고
(정답률: 36%)
  • 정보통신기반보호법 제10조 보호지침에 따르면, 관계중앙행정기관의 장은 소관분야의 주요정보통신기반시설에 대하여 보호지침을 제정하고 해당분야의 관리기관의 장에게 이를 지키도록 권고할 수 있다. 따라서 정답은 "관리기관의 장, 권고"이다. 이는 관리기관의 자율적인 책임하에 보호지침을 준수하도록 권고하는 것으로, 강제성이 없다는 점이 특징이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

86. 다음 중 위험관리 방법론과 가장 거리가 먼 것은?

  1. 국내 ISMS 인증체제
  2. ISO/IEC 27001
  3. ISO/IEC TR 13335-3
  4. ISO/IEC 15408
(정답률: 7%)
  • ISO/IEC 15408은 정보보안 평가 기준인 Common Criteria를 정의하는 국제 표준이며, 위험관리 방법론과는 직접적인 연관성이 적습니다. 반면, 나머지 보기들은 모두 정보보안 관련 표준이나 가이드로서, 위험관리 방법론과 직접적인 연관성이 있습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

87. 주요정보통신기반시설 관리기관의 복무가 아닌 것은?

  1. 정기적인 취약점 분석, 평가
  2. 관계행정기관 또는 한국인터넷진흥원에 대한 침해사고 사실 통지
  3. 주요정보통신기반시설 보호대책 수립, 시행
  4. 주요정보통신기반시설 보호대책을 수립하여 기반보호위원회에 상정
(정답률: 26%)
  • 주요정보통신기반시설 관리기관의 복무가 아닌 것은 "주요정보통신기반시설 보호대책을 수립하여 기반보호위원회에 상정" 입니다. 이는 기반보호위원회의 역할이며, 주요정보통신기반시설 관리기관은 주요정보통신기반시설의 안전한 운영을 위해 정기적인 취약점 분석과 평가, 관계행정기관 또는 한국인터넷진흥원에 대한 침해사고 사실 통지, 그리고 주요정보통신기반시설 보호대책의 수립과 시행 등의 역할을 수행합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

88. 다음의 지문은 무엇에 대한 설명인가?

  1. ITSEC
  2. TCSEC
  3. CC
  4. K Series
(정답률: 23%)
  • 이 지문은 보안 등급을 나타내는 것으로, "TCSEC"은 Trusted Computer System Evaluation Criteria의 약자로, 미국 국방부에서 개발한 보안 등급 시스템이다. 다른 보기인 "ITSEC"은 유럽에서 개발된 보안 등급 시스템이고, "CC"는 Common Criteria의 약자로 국제적으로 인정받는 보안 등급 시스템이다. "K Series"는 일본에서 사용되는 보안 등급 시스템이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

89. 다음 지문을 모두 만족하는 기관은?

  1. 정보공유 분석센터
  2. 한국인터넷진흥원
  3. 관리기관
  4. 정보보호 전문서비스 기업
(정답률: 16%)
  • 이 기관은 인터넷 보안과 관련된 업무를 수행하며, 다양한 기관과 정보를 공유하고 분석하여 보안 위협에 대응하는 역할을 한다. 이를 통해 인터넷 보안을 강화하고 사이버 공격을 예방하는데 기여한다. 따라서 "정보공유 분석센터"가 정답이다. "한국인터넷진흥원"은 인터넷 보안을 총괄적으로 관리하는 기관이며, "관리기관"과 "정보보호 전문서비스 기업"은 구체적인 기관명이 아니므로 정답이 될 수 없다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

90. 다음은 개인정보의 수집 이용에 대한 사항이다. 동의를 받아 야 할 항목만을 모두 고른 것은?

  1. ㄱ, ㄴ
  2. ㄴ, ㄷ, ㄹ
  3. ㄱ, ㄷ, ㄹ
  4. ㄱ, ㄴ, ㄷ, ㄹ
(정답률: 60%)
  • 정답은 "ㄱ, ㄴ, ㄷ, ㄹ" 입니다. 이유는 다음과 같습니다.

    - 개인정보 수집 항목 중 "성명, 생년월일, 성별, 주소, 전화번호, 휴대전화번호, 이메일주소"는 필수 수집 항목으로서, 이 항목들을 수집하지 않으면 서비스 제공이 불가능합니다. 따라서 이 항목들에 대한 동의는 반드시 받아야 합니다. 이에 해당하는 것이 "ㄱ"입니다.
    - "직업, 직장명, 직위, 부서, 회사전화번호, 회사주소"는 선택적으로 수집할 수 있는 항목입니다. 이 항목들은 서비스 제공에 필수적이지 않기 때문에, 수집 여부는 개인의 선택에 따라 결정됩니다. 따라서 이 항목들에 대한 동의는 선택적입니다. 이에 해당하는 것이 "ㄴ"입니다.
    - "신용카드번호, 은행계좌번호"는 개인정보 보호를 위해 수집하지 않는 것이 좋습니다. 따라서 이 항목들에 대한 동의는 받지 않아도 됩니다. 이에 해당하는 것이 "ㄷ"입니다.
    - "결혼여부, 자녀수, 취미, 관심분야"는 개인정보 수집 목적과 관련이 없는 항목들입니다. 따라서 이 항목들에 대한 동의는 받지 않아도 됩니다. 이에 해당하는 것이 "ㄹ"입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

91. 다음 중 현행「전사서명법」상 공인인증기관이 발행한 공인인증서의 효력이 소멸하게 되는 사유에 해당하지 않는 것은?

  1. 인증업무의 정지명령에 위반하여 인증업무를 정지하지 아니한 공인인증기관에 대한 지정을 취소한 경우
  2. 전자서명 생성키가 분실, 훼손되었음을 통보받은 힌국인터 넷진흥원이 공인인증기관에게 발급한 인증서를 폐지한 경우
  3. 가입자 또는 그 대리인의 신청에 의하여 공인인증서의 효력이 정지된 경우
  4. 가입자가 사위 기타 부정한 방법으로 공인인증서를 발급 받은 사실을 인지한 공인인증기관이 해당 공인인증서를 폐지한 경우
(정답률: 18%)
  • 전자서명 생성키가 분실, 훼손되었음을 통보받은 힌국인터넷진흥원이 공인인증기관에게 발급한 인증서를 폐지한 경우는 공인인증서의 효력이 소멸하게 되는 사유에 해당하지 않습니다. 이유는 전자서명 생성키가 분실, 훼손되었음을 통보받은 경우에는 해당 인증서를 폐지하여 새로운 인증서를 발급받을 수 있기 때문입니다. 따라서 이 경우에는 공인인증서의 효력이 소멸하지 않습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

92. 다음 중 개인정보 파기와 관련하여 잘못된 것은?

  1. 타 법령에 따라 보존해야 하는 경우에는 예외적으로 개인 정보를 파기하지 않고 다른 개인정보와 함께 저장, 관리할 수 있다.
  2. 개인정보를 수집할 때 동의 받았던 보유기간이 경과한 경 우에 지체 없이 파기해야 한다.
  3. 하드디스크 등 매체에 전자기적으로 기록된 개인정보는 물 리적인 방법으로 매체를 파괴하여 복구할 수 없도록 한다.
  4. 이미 요금정산이 끝난 소비자의 개인정보는 채권 소멸기간까지 남아있다고 하더라도 개인정보를 보관할 수 없다.
(정답률: 26%)
  • "타 법령에 따라 보존해야 하는 경우에는 예외적으로 개인 정보를 파기하지 않고 다른 개인정보와 함께 저장, 관리할 수 있다."가 잘못된 것이다. 이유는 다른 법령에서 개인정보의 보존을 요구하는 경우에는 해당 법령에 따라 보존해야 하지만, 그 외의 경우에는 개인정보를 수집할 때 동의 받았던 보유기간이 경과한 경우에는 지체 없이 파기해야 한다. 따라서 개인정보 파기는 보유기간이 경과하거나 수집 목적이 달성된 경우에 이루어져야 한다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

93. 다음 중 우I험도 산정 시 고려할 구성요소가 아닌 것은?

  1. 자산 (Asset)
  2. 위협 (Threat)
  3. 취약성 (Vulnerability)
  4. 직원(Employee)
(정답률: 45%)
  • 우리는 우I험도를 산정할 때 자산, 위협, 취약성을 고려합니다. 그러나 직원은 위협이나 취약성을 대상으로 하는 주요 공격자가 될 수 있으므로 구성요소로 고려됩니다. 따라서 정답은 "직원(Employee)"이 아닌 다른 요소들입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

94. 다음은 '전자서명법'에서 공인인증기관의 업무수행에 관한 조항이다. 괄호 안에 들어갈 말은?

  1. 미래창조과학부장관
  2. 개인정보보호위원장
  3. 국가정보원장
  4. 산업통상자원부장관
(정답률: 20%)
  • 공인인증기관은 전자서명법에 따라 인증서를 발급하고 관리하는 업무를 수행한다. 이러한 업무는 미래창조과학부장관이 관리하는 전자인증제도에 관한 법률에 따라 이루어진다. 따라서 정답은 "미래창조과학부장관"이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

95. 위험분석 방법론은 통상적으로 정량적 위험분석과 정성적 위험분석으로 분류된다. 다음 중 정량적 위험분석 방법이 아닌 것은?

  1. 연간예상손실 계산법
  2. 과거 통계자료 분석법
  3. 수학공식 접근법
  4. 시나리오 기반 분석법
(정답률: 52%)
  • 시나리오 기반 분석법은 정량적 위험분석 방법이 아닌데, 이는 시나리오를 만들어 각각의 상황에서 발생할 수 있는 위험을 예측하고 분석하는 방법이기 때문이다. 따라서, 정량적인 계산이나 통계자료 분석, 수학공식 등을 사용하지 않고 상황에 따른 예측과 분석을 수행하는 방법이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

96. 다음 중「정보통신망 이용촉진 및 정보보호 등에 관한 법류」 제 47조의 정보보호 관리체계의 인증 제도에 대한 설명으로 옳지 않은 것은?

  1. 정보보호 관리체계 인증의 유효기간은 3년이다.
  2. 정보보호 관리체계 인증은 의무 대상자는 반드시 인증을 받아 야 하며 의무 대상자가 아닌 경우에도 인증을 취득할 수 있다.
  3. 정보보호 관리체계는 정보통신망의 안정성, 신뢰성 확보 를 위하여 관리적, 기술적, 물리적 보호조치를 포함한 종합적 관리체계를 의미한다.
  4. 정보보호 관리체계 의무대상자는 국제표준 정보보호 인증을 받거나 정보보호 조치를 취한 경우에는 인증 심사의 전부를 생략할 수 있다.
(정답률: 37%)
  • "정보보호 관리체계 의무대상자는 국제표준 정보보호 인증을 받거나 정보보호 조치를 취한 경우에는 인증 심사의 전부를 생략할 수 있다."가 옳지 않은 설명이다. 이는 잘못된 정보이며, 실제로는 국제표준 정보보호 인증을 받거나 정보보호 조치를 취한 경우에도 인증 심사의 일부는 생략될 수 있지만, 전부 생략되는 것은 아니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

97. 다옴 설명에 해당하는 OECD 개인정보보호 8원칙으로 옳은 것은?

  1. 이용 제한의 원칙(Use Limitation Principle)
  2. 정보 정확성의 원칙(Data Quality Principle)
  3. 안전성 확보의 원칙(Security Safeguards Principle)
  4. 목적 명시의 원칙(Purpose Specification Principle)
(정답률: 33%)
  • 정보 정확성의 원칙은 개인정보가 정확하고 최신인 상태여야 하며, 필요한 경우 정확성을 유지하기 위해 업데이트 되어야 한다는 원칙입니다. 따라서 이 원칙은 개인정보의 정확성을 유지하기 위한 것으로, 다른 보기들과는 구분됩니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

98. 다음 중 주요정보통신기반시설의 보호 및 침해사고의 대응 을 위한 주요정보통신기반시설 보호지침의 내용에 일반적으로 포함되는 내용과 가장 거리가 먼 것은?

  1. 시스템 개발 관리
  2. 정보보호체계 괸리 및 운영
  3. 침해사고 대웅 및 복구
  4. 취약점 분석, 평가 및 침해사고 예방
(정답률: 52%)
  • "시스템 개발 관리"는 보호지침의 내용에 포함되지 않는다. 이는 시스템 개발 단계에서 보안 요구사항을 고려하여 보안적으로 안전한 시스템을 개발하기 위한 내용으로, 보호지침의 대상이 아닌 것으로 간주된다. 보호지침은 기존의 주요정보통신기반시설을 보호하고 침해사고에 대응하기 위한 내용을 다루고 있다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

99. 개인정보보호법상 자신의 개인정보 처리와 관련한 정보주체 의 권리에 대한 설명으로 옳지 않은 것은?

  1. 개인정보의 처리에 관한 정보를 제공받을 수 있다.
  2. 개인정보의 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 수 있다.
  3. 개인정보의 처리로 인하여 발생한 피해를 신속하고 공정한 절차에 따라 구제받을 수 있다.
  4. 개인정보에 대하여 열람을 할 수 있으나, 사본의 발급은 요구할 수 없다.
(정답률: 37%)
  • "개인정보에 대하여 열람을 할 수 있으나, 사본의 발급은 요구할 수 없다."는 옳지 않은 설명입니다. 개인정보보호법 제35조에 따르면 정보주체는 자신의 개인정보에 대한 열람, 고지, 정정, 삭제, 처리정지 등의 권리를 가지며, 이 중 열람권은 사본 발급을 포함합니다. 따라서 정보주체는 개인정보에 대한 사본 발급을 요구할 수 있습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

100. 다음 중「전자서명법」에 의거하여 공인인증 기관이 발급하는 공인인증서에 포함되는 사항이 아닌 것은?

  1. 가입자와 공인인증기관이 이용하는 전자인증 방식
  2. 공인인증서의 일련번호
  3. 공인인증기관의 명칭 등 공인인증기관임을 확인할 수 있는 정보
  4. 공인인증서의 이용범위 또는 용도를 제한하는 경우 이에 관한 사항
(정답률: 27%)
  • "가입자와 공인인증기관이 이용하는 전자인증 방식"은 공인인증서에 포함되는 사항 중 하나가 아니라, 공인인증서를 발급하는 과정에서 사용되는 인증 방식을 의미한다. 이 방식은 가입자가 공인인증기관에 신원을 인증받기 위해 제출한 개인정보와 공인인증기관이 보유한 정보를 비교하여 인증하는 방식이다. 따라서 이 방식은 공인인증서에 포함되는 정보가 아니라, 공인인증서를 발급하는 과정에서 사용되는 방식이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

< 이전회차목록 다음회차 >