1과목: 시스템 보안
1. 다음 윈도우 운영체제의 기능은?
- Privileged Access Management
- Privileged Account Management
- User Access Control
- User Account Control
2. 보기의 취약점 또는 사이버 공격 중 그 원인이 하드웨어에 기반하는 것은?
- Heartbleed
- Shellshock
- Spectre
- WannaCry
3. 리눅스 설정 파일의 일부이다. 이 설정 파일로 알맞은 것은?
- /etc/services
- /etc/ports
- /etc/protocols
- /etc/resolv.conf
-
CBT문제은행AI2026-04-22 03:01
이미지
와 같이 서비스 이름, 포트 번호, 프로토콜(tcp/udp)이 매핑되어 정의된 파일은 /etc/services 입니다.
오답 노트
/etc/protocols: 프로토콜 이름과 프로토콜 식별 번호(번호)만 정의함
4. 좀비 프로세스의 존재를 확인하기 위한 명령어들로 올바르게 짝지어진 것은?
- (가), (다)
- (나), (라)
- (가), (나)
- (다), (라)
5. 홈페이지 회원 계정 및 패스워드 보안 강화를 위해 홈페이지 서버 관리자가 수행할 내용과 가장 거리가 먼 것은?
- 패스워드 무작위 대입 공격에 대응하기 위해 서버를 이중화 하였다.
- 초기 설정한 암호는 반드시 바꾸도록 설정하였다.
- /etc/shadow 파일에서 사용기간 및 만료일을 설정하였다.
- 5회 연속 암호 실패 시, 일정시간이 경과한 후 재 로그인 하도록 계정 Lock을 설정하였다.
7. 리눅스/유닉스 시스템에서 최상위 디렉터리를 올바르게 짝지은 것은?
- ㉠ /usr ㉡ /tmp ㉢ /var
- ㉠ /usr ㉡ /temp ㉢ /dev
- ㉠ /etc ㉡ /temp ㉢ /var
- ㉠ /etc ㉡ /tmp ㉢ /dev
-
CBT문제은행AI
2026-04-22 03:01
리눅스/유닉스 시스템의 주요 디렉터리 역할에 대한 문제입니다.
시스템 환경 설정 및 주요 설정 파일은 /etc에 저장되며, 프로그램 실행 시 생성되는 임시 파일은 /tmp에, 프린터나 터미널 같은 물리적 장치 파일은 /dev에 저장됩니다.
8. 'X'가 해킹을 위해 사용했을 것으로 의심되는 위치는?
- /etc/crontab
- /etc/resolv.conf
- /etc/sysconfig/network
- /etc/rc.d/rc.local
-
CBT문제은행AI
2026-04-22 03:01
이미지
에서 해커 X는 시스템이 시작될 때마다 해킹 툴을 자동으로 구동시키려 합니다. /etc/rc.d/rc.local 파일은 리눅스 시스템 부팅 시 마지막 단계에서 자동으로 실행되는 스크립트 파일이므로, 자동 실행을 위한 변조 위치로 가장 적절합니다.
오답 노트
/etc/crontab: 예약 작업(스케줄링) 설정 파일
/etc/resolv.conf: DNS 서버 설정 파일
/etc/sysconfig/network: 네트워크 인터페이스 설정 파일
12. 유닉스 또는 리눅스에서 실행 파일 a.out의 소유자가 root, 그룹은 staff이라고 할 때, chmod 4755 a.out 명령을 수행한 후의 a.out의 특성에 대해 올바르게 설명하고 있는 것은?
- 그룹이 staff인 모든 사용자에 한해 a.out을 읽고 실행시킬 수 있다.
- root만이 a.out을 읽고 실행시킬 수 있다.
- 실행하는 사용자에 관계없이 a.out은 root의 권한으로 실행된다.
- 실행하는 사용자에 관계없이 a.out은 staff의 권한으로 실행된다
13. 리눅스 사용자 'test_user'에게 60일 마다 패스워드의 교체를 의무화시키기 위한 보안정책을 반영하기 위한 명령어에 해당하는 것은?
- passwd –x 60 test_user
- useradd –e 60 test_user
- passwd +x 60 test_user
- usermod –f 60 test_user
14. 아래 지문이 설명하는 평가인증 제도는 무엇인가?
- TCSEC
- KTSEC
- ITSEC
- CC
-
CBT문제은행AI
2026-04-22 03:03
제시된 이미지
의 보안기능 요구사항(FAU, FCO 등)과 평가보증등급(EAL1~EAL7)은 국제 표준 보안 평가 기준인 CC(Common Criteria)의 핵심 특징입니다.
오답 노트
TCSEC: 미국 보안 평가 기준
KTSEC: 한국 보안 평가 기준
ITSEC: 유럽 보안 평가 기준
15. 윈도우 레지스트리 중 등록된 응용 프로그램과 확장자 사이의 관계 정보를 담고 있는 곳은?
- HKEY_CLASSES_ROOT
- HKEY_LOCAL_MACHINE∖SYSTEM
- HKEY_CURRENT_CONFIG
- HKEY_USERS
16. rlogin은 원격 시스템에 접속할 때 사용하는 서비스로 사전에 서버의 특정 파일에 호스트를 등록하여 클라이언트가 패스워드를 입력할 필요 없이 로그인이 가능하게 하는 서비스이다. 다음 중 호스트를 등록하는 파일은?
- /etc/hosts
- /etc/hosts.equiv
- /etc/resolv.conf
- /etc/syslog.conf
17. 다음 지문에서 설명하는 파일시스템으로 옳은 것은?
- FAT16
- FAT32
- NTFS
- EXT
-
CBT문제은행AI
2026-04-22 03:02
제시된 이미지
의 설명은 초창기 리눅스용으로 개발되어 최대 $2\text{GB}$ 크기를 지원하고, $256\text{byte}$ 파일명 지원 및 inode 수정 불가 등의 특징을 가진 EXT 파일시스템에 대한 설명입니다.
18. 리눅스용 패킷 필터 기반 시스템 접근통제 도구와 거리가 먼 것은?
- iptables
- ipfwadm
- ipchains
- modsecurity
19. 지문의 내용에 해당하는 것으로 가장 적절한 것은?
- Format String
- Heap Spray
- Race Condition
- Buffer Overflow
-
CBT문제은행AI
2026-04-22 03:02
제시된 이미지
의 내용은 한정된 자원을 동시에 이용하려는 여러 프로세스가 경쟁하는 현상을 설명하고 있습니다. 이는 프로세스 간의 실행 순서나 타이밍에 따라 결과가 달라지는 Race Condition(경쟁 상태)에 대한 설명입니다.
20. Users 그룹에 대한 설명 중 틀린 것은?
- Users 그룹의 구성원은 워크스테이션을 종료할 수 있고, 서버도 종료할 수 있다.
- Users 그룹의 구성원은 관리자가 설치하거나 배포한 인증된 프로그램을 실행할 수 있다.
- Users 그룹의 구성원은 로컬 그룹을 만들 수는 있지만 자신이 만든 로컬 그룹만 관리할 수 있다.
- Users 그룹의 구성원은 자신의 모든 데이터 파일(%userprofile%) 및 레지스트리에서 자신에 속하는 부분(HKEY_CURRENT_USER)을 완전하게 제어할 수 있다.
2과목: 네트워크 보안
21. ㉠, ㉡, ㉢에 적합한 내용으로 짝지어진 것은?
- 8Byte, 2Byte, 1Byte
- 8Byte, 4Byte, 2Byte
- 6Byte, 4Byte, 2Byte
- 6Byte, 2Byte, 1Byte
22. 분산서비스 거부공격(DDoS)의 구성요소가 아닌 것은?
- 마스터(Master)
- 포트 미러링(Port Mirroring)
- 에이전트(Agent)
- 공격자(Attacker)
23. SSL Handshake 프로토콜에 대한 설명으로 옳지 않은 것은?
- Cipher Suite은 공개키 암호 시스템, 대칭키 암호 시스템, 해시 알고리즘 등 3개의 정보로 구성된다.
- SSL Handshake 프로토콜 동작과정을 통해 SSL 클라이언트와 서버가 공유하는 암호 알고리즘들과 키 값들이 생성된다.
- SSL 클라이언트는 통신 상대인 서버의 신원확인을 위해 전자인증서 기반의 인증을 수행한다.
- SSL 클라이언트와 서버의 전자인증서는 대칭키 암호 시스템을 이용한다.
24. VLAN에 대한 설명이다. 빈칸에 들어갈 내용을 순서대로 나열한 것은?
- ㉠ 멀티캐스팅 ㉡ 논리적인 ㉢ Port Mirroring
- ㉠ 브로드캐스팅 ㉡ 논리적인 ㉢ Port Mirroring
- ㉠ 브로드캐스팅 ㉡ 물리적인 ㉢ Port Filtering
- ㉠ 멀티캐스팅 ㉡ 물리적인 ㉢ Port Filtering
25. TTL의 의미를 맞게 설명한 것은?
- Echo Reply 패킷 크기
- Reply 패킷을 받기까지의 시간
- 라우팅 정보가 잘못되어 발생하는 패킷 무한 반복을 제어하기 위한 값
- 손실된 패킷의 수
-
CBT문제은행AI
2026-04-22 03:03
TTL(Time To Live)은 IP 패킷이 네트워크 상에서 무한히 루핑되는 것을 방지하기 위해 설정된 생존 시간 값으로, 라우터를 거칠 때마다 1씩 감소하며 0이 되면 패킷이 폐기됩니다.
26. TCP 플래그 값을 모두 off(비활성화)한 패킷들을 이용하여 스캔하는 기법은?
- FIN 스캔
- TCP SYN 스캔
- Null 스캔
- XMAS 스캔
27. 공격 특징 및 대응방안과 관련성이 가장 높은 것은?
- UDP Flooding
- SYN Flooding
- GET Flooding
- ICMP Flooding
-
CBT문제은행AI
2026-04-22 03:02
TCP 3-Way Handshake 과정에서 SYN 패킷만 지속적으로 보내 서버의 TCP 스택 자원을 고갈시키는 공격은 SYN Flooding입니다.
30. iptables 설정 내용을 /etc/iptables.tmp 파일에 저장하는 명령어로 적절한 것은?
- iptables –store › /etc/iptables.tmp
- iptables –config › /etc/iptables.tmp
- iptables –restore › /etc/iptables.tmp
- iptables –save › /etc/iptables.tmp
32. 공격자는 공격대상 시스템을 10.10.10.5로 에이전트가 있는 네트워크를 192.168.3.0/24로 설정하고 패킷 생성도구를 이용하여 패킷을 보냈다. 다음 보기 중 이러한 공격 행위와 가장 관련이 있는 것은?
- SYN Flooding
- Ping of Death
- LAND
- Smurf
-
CBT문제은행AI
2026-04-22 03:01
이미지
의 명령어 `hping 192,168,0,255 -a 10,10,10,5 --icmp --flood`를 분석하면, 출발지 주소를 공격 대상($10.10.10.5$)으로 위조($-a$)하여 네트워크 브로드캐스트 주소($192.168.0.255$)로 ICMP 패킷을 대량 전송하고 있습니다. 이는 수많은 호스트가 공격 대상에게 응답하게 만들어 부하를 주는 Smurf 공격의 전형적인 형태입니다.
33. 어떤 공격을 방어하기 위한 것인가?
- Get Flooding 공격 방어
- ICMP Flooding 공격 방어
- SYN Flooding 공격 방어
- TCP Session 공격 방어
-
CBT문제은행AI
2026-04-22 03:01
이미지
의 내용은 콘텐츠 요청 횟수 임계치 설정, URL 접속 임계치 설정, Web-Scraping 차단 등 웹 애플리케이션 계층의 요청을 제어하는 방식입니다. 이는 HTTP GET 요청을 과도하게 보내 서버 자원을 고갈시키는 Get Flooding 공격을 방어하기 위한 핵심 메커니즘입니다.
34. 공격 대상이 방문할 가능성이 있는 합법적인 웹 사이트를 미리 감염시킨 뒤, 잠복하고 있다가 피해자가 방문하면 피해자의 컴퓨터에 악성코드를 설치하는 공격 방법은?
- Malicious Bot 공격
- Watering Hole 공격
- Spear Phishing 공격
- Pharming 공격
35. 스위칭 환경에서 스니핑을 수행하기 위한 공격이 아닌 것은?(오류 신고가 접수된 문제입니다. 반드시 정답과 해설을 확인하시기 바랍니다.)
- ICMP 리다이렉트
- ARP 스푸핑
- 스위치 재밍
- IP 스푸핑
36. 다음 설명에 해당하는 시스템은?
- NAC
- ESM
- SIEM
- IDS
-
CBT문제은행AI
2026-04-22 03:01
네트워크에 접속하는 단말의 보안성을 검증하고, 보안 정책 준수 여부를 확인하여 접속을 통제하는 보안 솔루션은 NAC(Network Access Control)입니다.
37. 다음 중 내부망에서 외부망을 향하는 패킷들을 모니터링하고 통제하여 비인가 트래픽이나 악성 트래픽이 내부망을 벗어나지 않도록 만드는 방식의 필터링으로 알맞은 것은?
- Contents Filtering
- Blacklist Filtering
- Egress Filtering
- Inference Filtering
38. IP Fragmentation을 이용하여 공격을 수행하는 공격 기법은?
- Teardrop
- SYN Flooding
- ICMP Flooding
- LAND Attack
39. IPSec 프로토콜의 설명 중 옳지 않은 것은?
- IPSec은 전송데이터 보호 구간에 따라 트랜스포트 모드와 터널 모드로 나뉘며, End-to-End 전송 데이터 보호를 위해서는 터널 모드를 사용해야 한다.
- ESP를 설정하면 데이터 기밀성을 제공하여 데이터가 노출되는 것을 차단할 수 있다.
- AH를 설정할 시 데이터가 수정되지 않았음을 보장할 수 있다.
- 트랜스포트 모드 AH헤더는 IP헤더와 IP페이로드 사이에 삽입된다.
40. TTL 필드가 0이 되었으나 아직 목적지에 도달하지 못한 경우 발생하는 ICMP 메시지로 알맞은 것은?
- 목적지 도달 불가능(destination-unreachable)
- 시간 경과(time-exceeded)
- 매개변수 문제(parameter-problem)
- 발신지 억제(source-quench)
3과목: 어플리케이션 보안
41. 다음 지문에서 설명하고 있는 DB 보안 요구사항으로 적절한 것은?
- 감사 기능
- 추론 방지
- 데이터 무결성
- 접근 통제
-
CBT문제은행AI
2026-04-22 03:02
제시된 이미지
의 내용은 데이터베이스 내 자료값의 정확성을 보장하고, 잘못된 갱신이나 불법적인 조작으로부터 보호하여 정확성을 유지하는 것을 의미하므로 데이터 무결성에 해당합니다.
42. 디지털포렌식 과정 중 수집된 디지털 증거를 이송, 분석, 보관, 법정 제출 등 각 단계에서 담당자 및 책임자를 명확히 함으로써 증거물의 진정성을 판단하는 중요한 기준을 지칭하는 원칙은?
- 관리 연속성
- 독수독과성
- 전문 배제성
- 증거 무결성
43. 전자상거래 환경에서 구매자의 신용카드 정보 등 중요 지불정보를 이용하여 판매자 대신 신용카드사 등 금융기관에 결제를 요청하고 처리하는 기관의 명칭은?
- CA(Certification Authority)
- PG(Payment Gateway)
- TGS(Ticket Granting Service)
- KDC(Key Distribution Center)
44. 웹에서 보안 문제 발생 시 아파치 로그를 분석하여 문제를 해결하는 방법으로 가장 부적절한 것은?
- 클라이언트의 IP 주소, 클라이언트의 접속시간 정보에 대한 로그 내용을 분석한다.
- 클라이언트의 요청방식(GET, POST) 및 요청 내용(URL)에 대한 로그 내용을 분석한다.
- 특정 파일에 대한 연속적인 요청이 있을 시 로그 패턴을 분석한다.
- 웹서버에서 특정 웹페이지(파일)의 요청이 많은 경우에 대한 로그 패턴을 분석한다.
45. FTP bounce 공격과 거리가 먼 것은?
- 익명 FTP 서버를 이용해 그 FTP 서버를 경유해서 호스트를 스캔
- FTP 서버를 통해 임의의 네트워크 접속을 릴레이함으로써 수행
- 네트워크에 대한 포트 스캐닝에 이용
- 익명 사용자가 서버에 쓰기 권한이 있을 때 악성코드 생성
46. 다음 중 DB 보안 강화를 위한 지침으로 가장 부적절한 것은?
- 노출 및 기능 최소화
- 관리자 최소화
- 로컬 계정 사용 금지
- Guest 계정 사용 금지
47. KISA에서 발표한 생체인식기반 간편 공인인증 가이드라인의 보안 요구사항으로 부적합한 사항들은?
- ⓐ, ⓓ
- ⓐ, ⓒ
- ⓑ, ⓒ
- ⓑ, ⓓ
-
CBT문제은행AI
2026-04-22 03:01
KISA의 생체인식기반 간편 공인인증 가이드라인에 따른 보안 요구사항을 분석합니다.
ⓑ 생체정보 등의 로컬인증 실패 횟수는 무제한이 아니라, 적절한 횟수로 제한하여 무차별 대입 공격을 방지해야 합니다.
ⓒ 오인식률(FAR)은 5%보다 훨씬 낮은 수준으로 엄격하게 관리되어야 보안성을 확보할 수 있습니다.
48. DRM에 대한 설명 중 적절하지 못한 것은?
- 커널에 삽입된 DRM 모듈은 응용 프로그램이 작성한 문서를 암호화하여 하드디스크에 저장한다.
- 문서보안 기술의 하나로서 문서의 열람, 편집, 인쇄에 접근권한을 설정하여 통제한다.
- 관리자는 각 개인의 DRM 인증서에 권한을 설정하여 각 개인의 문서에 대한 접근권한을 관리할 수 있다.
- DRM은 과거 IP 관리 시스템이 발전한 형태의 솔루션으로서, MAC 주소를 기반으로 접근제어 및 인증을 수행한다.
50. OWASP TOP 10 – 2017과 거리가 먼 것은?
- DDoS : UDP 등 사용하지 않는 프로토콜 차단 및 모니터링 체계 구성이 필요함
- 민감한 데이터 노출 : 중요한 데이터를 저장 및 전송할 때 암호화 같은 추가적인 보호 조치가 요구됨
- 취약한 인증 : 인증 및 세션 관리와 관련된 애플리케이션 기능이 잘못 구현되어 있는 상황에서 발생
- 불충분한 로깅 & 모니터링 : 로깅과 모니터링을 적절히 수행하지 않을 경우 사고에 대한 적절한 대응이 불가
51. 휘발성의 순위가 가장 높은 것은?
- Register, Cache
- Routing Table, ARP Cache
- Temporary File System
- Disk
52. FTP 서비스에 대한 공격과 거리가 먼 것은?
- Sniffing 공격
- 비밀번호에 대한 Brute Force 공격
- bounce 공격
- CSRF 공격
53. SSL 프로토콜에 대한 설명 중 잘못된 것은?
- SSL 프로토콜에 지정된 포트는 443임
- 세션 계층에서 적용되며, FTP, TFTP, SYSLOG 등과 같은 응용 계층 프로토콜의 안전성 보장을 위해 사용될 수 있음
- 웹 서버와 브라우저 간의 안전한 통신을 위해 넷스케이프에 의해 개발됨
- SSL을 사용하기 위해서는 우리가 흔히 사용하는 URL 표기 방식인 “http://*” 대신에 “https://*”를 사용해야 함
54. 제3자가 소비자의 상품 대금을 보관하고 있다가 상품배송이 완료된 후 통신판매업자에게 지급하는 서비스로 알맞은 것은?
- 선불전자지급 수단발행 서비스
- 전자지급결제대행(PG) 서비스
- 결제대금예치(Escrow) 서비스
- 전자고지결제(EBPP) 서비스
55. 다음 지문에서 설명하는 웹 서버 애플리케이션의 취약점은?
- SQL Injection
- Buffer Overflow
- Security Misconfiguration
- Cross-Site Scripting(XSS)
56. 경계 검사의 미비로 버퍼 오버플로우를 발생시킬 우려가 있어 사용하지 않도록 권고되는 C 라이브러리 함수에 포함되지 않는 것은?
- strcpy( )
- fgets( )
- sscanf( )
- gethostbyname( )
57. 다수의 부분 문자열을 입력하여 공격 문자열을 완성하는 공격기법으로 질의 결과로 참과 거짓만을 확인하며 수행하는 공격 기법은?
- SQL Injection
- Blind SQL Injection
- Union SQL Injection
- Mass SQL Injection
58. 웹 취약점을 보완하기 위한 내용 중 설명이 틀린 것은?
- 서버 통제 적용
- 특수문자 필터링
- 쿠키(cookie)의 사용
- 지속적인 세션 관리
59. CSRF 공격에 대한 설명이 틀린 것은?
- 자신의 의도와는 무관하게 공격자가 의도한 행위(수정, 삭제, 등록, 송금 등)를 하게 만드는 공격이다.
- 특정 사용자를 대상으로 하지 않고 불특정 다수를 대상으로 한다.
- 기본적으로 XSS 공격과 매우 유사하며 XSS 공격의 발전된 형태로 보기도 한다.
- XSS 공격은 사용자가 악성스크립트를 서버에 요청하는 데 반해 CSRF는 악성스크립트가 클라이언트에서 실행된다.
60. 다음 취약점 및 버그 방지 개발 방법 중 새로운 프로세스를 생성하여 사용할 경우의 보안 대책과 거리가 먼 것은?
- 모든 파일 기술자들을 닫았는지 확인한다.
- strncat( ) 함수나 vfscanf( ) 함수의 사용을 제한한다.
- 자식 프로세스에 전달된 환경변수를 확인한다.
- 프로그램을 실행할 때 전체 경로 이름을 사용하는지 확인한다.
4과목: 정보 보안 일반
61. 블록암호 모드로 알맞은 것은?
- Electronic CodeBook Mode
- Cipher FeedBack Mode
- Output FeedBack Mode
- Counter Mode
-
CBT문제은행AI
2026-04-22 03:01
제시된 설명은 이전 단계의 암호문 블록을 다음 단계의 입력으로 사용하여 XOR 연산을 반복하는 Cipher FeedBack Mode의 특징을 설명하고 있습니다.
62. 해시함수 h에 대해 h(x)=h(x')을 만족하는 2개의 서로 다른 입력 x, x'를 찾는 것이 계산적으로 불가능한 것을 의미하는 것은?
- 일방향성
- 무결성
- 두 번째 역상 저항성
- 충돌저항성
63. Active Attack과 Passive Attack이 올바르게 짝지어진 것은?
- 재생 공격, 메시지 변조 공격
- 트래픽분석 공격, 전송파일 도청
- 메시지 변조, 전송파일 도청
- 삽입 공격, 삭제 공격
65. 전자서명 생성과 검증 과정에 사용되는 키가 올바르게 짝지어진 것은?
- 생성 – 수신자의 공개키 검증 – 송신자의 개인키
- 생성 – 송신자의 공개키 검증 – 송신자의 개인키
- 생성 – 송신자의 개인키 검증 – 송신자의 공개키
- 생성 – 수신자의 공개키 검증 – 수신자의 개인키
66. 다음 전자서명 기술은?
- 이중서명
- 은닉서명
- 공개서명
- 다중서명
-
CBT문제은행AI
2026-04-22 03:01
전자상거래 SET 프로토콜에서 도입된 기술로, 구매 요청 시 지불 정보와 주문 정보를 분리하여 상인이 지불 정보를 직접 볼 수 없게 하고 지불 게이트웨이를 통해 유효성을 확인하는 방식은 이중서명(Dual Signature)입니다.
67. 다음 중 메시지 인증 코드(MAC)의 특징으로 옳지 않은 것은?
- 메시지에 붙여지는 작은 데이터 블록을 생성하기 위해 비밀키를 이용
- 메시지와 비밀키를 입력하여 인증값으로 사용될 고정길이 값을 생성
- 수신자는 수신된 메시지에 동일키를 이용하여 새 메시지 인증코드를 생성하기 위해 동일한 계산을 수행
- 송신자는 메시지를 공개키로 암호화하여 보냄으로써 메시지 송신에 대한 부인을 방지
68. 강제적 접근통제의 특징이 아닌 것은?
- 보안관리자 주도 하에 중앙집중적 관리가 가능
- 접근 규칙 수가 적어 통제가 용이
- 이직률이 높은 기업에 적합
- 사용자와 데이터는 보안등급을 부여 받아 적용
69. 다음 지문에서 설명하는 대칭키 알고리즘 공격방법은?
- 암호문 단독 공격
- 기지 평문 공격
- 선택 평문 공격
- 선택 암호문 공격
-
CBT문제은행AI
2026-04-22 03:01
공격자가 이미 알고 있는 일정량의 평문과 그에 대응하는 암호문 쌍을 이용하여 키를 찾아내거나 다른 평문을 추정하는 방법은 기지 평문 공격(Known Plaintext Attack)입니다.
70. 해시함수 MD5와 SHA-1의 출력 값의 비트수를 올바르게 나열한 것은?
- MD5 : 128 SHA-1 : 160
- MD5 : 128 SHA-1 : 256
- MD5 : 160 SHA-1 : 160
- MD5 : 160 SHA-1 : 256
71. 접근통제 보안 모델은?
- State Machine Model
- Bell-LaPadula Model
- Biba Model
- Lattice Model
72. 은닉서명에 대한 설명으로 옳은 것은?
- 은닉서명은 전자화폐 이용 시 사용자의 신원 노출 문제점을 해결하는 전자서명 기술이다.
- 은닉서명은 전자서명 발급 이후에 메시지에 대한 서명의 유효성을 확인할 수 없으나, 서명 생성자는 수신자의 신원을 알 수 있다.
- 은닉서명은 사용자 A가 서명자 B에게 자신의 메시지를 보여 주고 서명을 얻는 방법이다.
- 은닉서명 검증자는 메시지에 대한 서명의 유효성을 확인할 수 없으나 송신자의 신원을 알 수 있다.
73. Hybrid 암호화 시스템에 관련된 설명으로 틀린 것은?
- 대칭 암호시스템은 1회용 세션키로 데이터를 암호화하는 용도로 사용한다.
- 공개키 암호시스템은 대칭 암호알고리즘에서 사용할 1회용 세션키를 분배하는 용도로 사용한다.
- 공개키 암호시스템은 암⋅복호 속도가 느려 대용량 데이터 암호화에 부적합하기 때문에 속도가 빠른 대칭암호시스템을 혼용하는 것이다.
- 키 분배를 대칭암호시스템으로 암호화하여 분배하고, 암호화할 데이터를 공개키로 암호화한다.
74. X.509 공개키 인증서에 포함되는 내용이 아닌 것은?
- 인증서 소유자
- 인증서 발행기관
- 인증서 서명 알고리즘명
- 인증서 소유자의 개인키
77. 공개키 기반구조의 구성요소에 해당하지 않는 것은?
- 인증기관(CA)
- 등록기관(RA)
- 공개키 인증서의 소유자
- 비밀키 인증서와 CRL을 저장하는 저장소
78. 대칭키 배송 문제를 해결할 수 있는 방법에 해당하지 않는 것은?
- Diffie-Hellman 키 교환 방법에 의한 해결
- 키 분배 센터에 의한 해결
- 전자서명에 의한 해결
- 공개키 암호에 의한 해결
79. 메시지 인증 코드에서 재전송 공격을 방지하기 위한 방법과 가장 거리가 먼 것은?
- 메시지 내부에 일방향 해시값(One-Way Hash)을 추가하여 메시지 인증코드를 생성한다.
- 메시지 내부에 매회 1씩 증가하는 순서번호(Sequence Number)를 추가하여 메시지 인증코드를 생성한다.
- 메시지 내부에 난수 형태의 일회용 Nonce 값을 추가하여 메시지 인증코드를 생성한다.
- 메시지 내부에 현재 시각 정보(Timestamp)를 추가하여 메시지 인증코드를 생성한다.
80. SSL, IPSec 등 대부분의 네트워크 보안 프로토콜에서 RSA 공개키 암호를 이용하여 송신자(A)와 수신자(B) 간에 비밀 세션키를 공유하는 키분배 방식을 지원하고 있다. 이때, 송신자(A)가 수신자(B)에게 전달하는 세션키를 암호화할 때 필요로 하는 키 정보에 해당하는 것은?
- 송신자(A)의 개인키
- 송신자(A)의 공개키
- 수신자(B)의 개인키
- 수신자(B)의 공개키
5과목: 정보보안 관리 및 법규
81. OECD 개인정보보호 8개 원칙 중 다음에서 설명하는 것은?
- 수집 제한의 원칙(Collection Limitation Principle)
- 이용 제한의 원칙(Use Limitation Principle)
- 정보 정확성의 원칙(Data Quality Principle)
- 안전성 확보의 원칙(Security Safeguards Principle)
-
CBT문제은행AI
2026-04-22 03:01
제시된 이미지
의 내용은 개인정보의 침해, 누설, 도용을 방지하기 위해 물리적, 조직적, 기술적 안전조치를 확보해야 한다는 원칙으로, 이는 안전성 확보의 원칙(Security Safeguards Principle)에 대한 설명입니다.
82. 정보통신기반보호위원회의 기능에 대한 설명 중 잘못된 것은?
- 주요정보통신기반시설의 지정 및 지정 취소
- 주요정보통신기반시설 보호정책의 조정
- 주요정보통신기반시설에 관한 보호계획의 종합⋅조정
- 주요정보통신기반시설 보호대책의 수립
83. 공인인증서의 폐지사유가 아닌 것은?
- 가입자 또는 그 대리인이 공인인증서의 폐지를 신청한 경우
- 공인인증서의 유효기간이 경과한 경우
- 가입자의 전자서명생성정보가 분실⋅훼손 또는 도난⋅유출된 사실을 인지한 경우
- 가입자가 사위 기타 부정한 방법으로 공인인증서를 발급받은 사실을 인지한 경우
84. 전자서명법에서 정의된 용어에 대한 설명으로 적절하지 못한 것은?
- “전자서명”이라 함은 서명자를 확인하고 서명자가 당해 전자문서에 서명을 하였음을 나타내는데 이용하기 위하여 당해 전자문서에 첨부되거나 논리적으로 결합된 전자적 형태의 정보를 말한다.
- “전자문서”라 함은 정보처리시스템에 의하여 전자적 형태로 작성되어 송신 또는 수신되거나 저장된 정보를 말한다.
- “전자서명 검증”이라 함은 전자서명생성정보가 가입자에게 유일하게 속한다는 사실을 확인하고 이를 증명하는 행위를 말한다.
- “공인인증업무”라 함은 공인인증서 발급, 인증관련 기록의 관리 등 공인인증역무를 제공하는 업무를 말한다.
85. 정보보호 관리체계에 대한 설명 중 적절하지 못한 것은?
- 정보보호 관리체계는 경영과 IT영역의 중요한 위험 관리 활동의 하나이다.
- 정보보호 관리체계는 정보보호에 관한 경영관리 시스템이다.
- 정보보호 관리체계는 기업에 있는 정보자산 보호를 목적으로 주로 기술적인 면을 고려하며, 일반적으로 정보보호 운용 또는 인적관리는 관리대상에서 배제한다.
- 정보보호 관리체계는 통상적으로 PDCA 사이클을 기반으로 실행된다.
88. ISMS-P 인증제도에 관련된 설명으로 틀린 것은?
- ISMS-P에서는 관리체계 수립 및 운영, 보호대책 요구사항, 개인정보 처리단계별 요구사항의 102개 인증기준이 존재한다.
- 정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 인터넷진흥원 또는 인증기관이 증명하는 제도이다.
- ISMS-P 인증기관 및 심사기관의 유효기간은 5년이며 유효기간이 끝나기 전 6개월부터 끝나는 날까지 재지정을 신청할 수 있다.
- 정보통신기반 보호법에 따른 주요통신기반시설의 취약점 분석⋅평가에 따른 정보보호 조치를 취한 경우 인증심사 일부를 생략할 수 있다.
89. 국내 정보보호 및 개인정보보호 관리체계(ISMS-P)의 관리체계 수립 및 운영 4단계 중 위험 관리 단계의 통제항목에 해당하지 않는 것은?
- 정보자산 식별
- 현황 및 흐름 분석
- 보호대책 구현
- 위험 평가
90. 정보주체의 권리에 해당하지 않는 것은?
- 개인정보의 처리 여부를 확인하고 개인정보에 대하여 열람을 요구할 권리
- 개인정보의 처리 정지, 정정⋅삭제 및 파기를 요구할 권리
- 개인정보의 처리에 관한 정보를 제공받을 권리
- 개인정보의 처리로 인하여 발생한 금전적 이익에 대해 배상받을 권리
91. 자동화된 위험분석 도구의 특징이 아닌 것은?(오류 신고가 접수된 문제입니다. 반드시 정답과 해설을 확인하시기 바랍니다.)
- 위험분석의 일반적인 요구사항과 절차를 자동화한 도구이다.
- 위험분석에 소요되는 시간과 비용을 절감할 수 있다.
- 분석 과정에서 정확한 자료의 입력이 매우 중요하다.
- 수작업 시의 실수로 인한 오차를 줄일 수 있기 때문에 수작업에 비해 결과에 대한 신뢰도가 높다.
92. 정보통신기반 보호법상 '전자적 침해행위'로 규정한 공격행위에 속하지 않는 것은?
- 고출력 전자기파
- 영업목적의 스팸메일
- 메일폭탄
- 컴퓨터바이러스
93. 다음의 보기는 침해사고 등이 발생한 경우 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」에 따른 클라우드서비스 제공자의 의무를 설명한 것이다. 잘못 설명되어 있는 것은?
- 클라우드컴퓨팅서비스 제공자는 이용자 정보가 유출된 때에는 즉시 그 사실을 과학기술정보통신부장관에게 알려야 한다.
- 클라우드컴퓨팅서비스 제공자는 사전예고 없이 대통령령으로 정하는 기간 이상 서비스 중단이 발생한 때에는 지체 없이 그 사실을 해당 과학기술정보통신부장관에게 알려야 한다.
- 클라우드컴퓨팅서비스 제공자는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」에 따른 침해사고가 발생한 때에는 지체 없이 그 사실을 해당 이용자에게 알려야 한다.
- 클라우드컴퓨팅서비스 제공자는 이용자 정보가 유출된 때에는 지체 없이 그 사실을 해당 이용자에게 알려야 한다.
94. 영향평가를 하는 경우에 고려해야 할 사항 중에서 가장 적합하지 않은 것은?
- 개인정보의 제3자의 제공 여부
- 처리하는 개인정보의 수
- 정보주체의 권리를 해할 가능성 및 그 위험 정도
- 개인정보를 처리하는 수탁업체 관리⋅감독의 여부
95. 주요정보통신기반시설 관리기관이 취약점 분석⋅평가를 의뢰할 수 없는 기관은?
- 「국가정보화기본법」 제14조의 규정에 의한 한국정보화진흥원
- 「정보보호산업의 진흥에 관한 법률」 제23조에 따라 지정된 정보보호 전문서비스 기업
- 「정보통신기반보호법」 제16조의 규정에 의한 정보공유⋅분석센터
- 「정부출연연구기관 등의 설립⋅운영 및 육성에 관한 법률」 제8조의 규정에 의한 한국전자통신연구원
96. 주 센터와 동일한 수준의 정보처리시스템을 원격지에 구축하여 Standby 상태로 유지하고, 주 센터 장애 발생 시 원격지의 시스템을 운영상태로 전환하는 유형은?
- 미러 사이트
- 핫 사이트
- 웜 사이트
- 콜드 사이트
97. '개인정보 보호법'에서 개인정보 수집 시 그 목적에 필요한 최소한의 개인정보를 수집하여야 한다. 이 경우 최소한의 개인정보 수집에 대한 입증을 부담하는 담당자는?
- 개인정보 담당자
- 개인정보 책임자
- 개인정보 처리자
- 정보주체
98. 위험처리 방식은?
- 위험 수용
- 위험 감소
- 위험 회피
- 위험 전가
-
CBT문제은행AI
2026-04-22 03:01
제시된 이미지
내용을 보면, 전자서명, 암호화, 공인인증 시스템과 같은 보안 대책을 도입하여 위험의 발생 가능성이나 영향도를 낮추려 하고 있으므로 이는 위험 감소에 해당합니다.
99. 다음은 정보보호 조직의 구성원과 그 책임에 대한 설명이 옳지 않은 것은?
- 정보보호 관리자 – 조직의 정보보호 정책 표준, 대책, 실무 절차를 설계, 구현, 관리, 조사할 책임
- 최고 경영자 – 정보보호를 위한 총괄 책임
- 데이터 관리자 – 정보시스템에 저장된 데이터의 정확성과 무결성을 유지하고 데이터 중요성 및 분류를 결정할 책임
- 정보보호 위원회 – 보안 목적이 적절하고 정보보호 정책, 표준, 대책, 실무 및 절차가 조직의 보안 목적에 따라 적절하게 이루어지고 있음을 독립적인 입장에서 관리자에게 보증할 책임
오답 노트
User Access Control: 파일이나 폴더 등 리소스에 대한 액세스 권한을 관리하는 메커니즘입니다.