정보보안기사 필기 기출문제복원 (2020-09-05)

정보보안기사 2020-09-05 필기 기출문제 해설

이 페이지는 정보보안기사 2020-09-05 기출문제를 CBT 방식으로 풀이하고 정답 및 회원들의 상세 해설을 확인할 수 있는 페이지입니다.

정보보안기사
(2020-09-05 기출문제)

목록

1과목: 시스템 보안

1. 리눅스 운영체제 특수 권한에 대한 설명으로 틀린 것은?

  1. SetGID가 부여된 파일은 소유 그룹의 실행 권한이 x에서 s로 변경된다.
  2. SetUID가 부여된 파일은 소유자의 실행 권한이 x에서 s로 변경된다.
  3. Sticky bit이 부여된 디렉터리는 기타 사용자의 실행 권한이 x에서 s로 변경된다.
  4. Sticky bit는 /tmp와 같은 777 권한의 공용 디렉터리에서 파일 삭제 통제에 이용된다.
(정답률: 67%)
  • Sticky bit는 공용 디렉터리에서 파일의 소유자나 디렉터리 관리자만이 파일을 삭제할 수 있도록 제한하는 설정입니다. 이는 파일 삭제 통제를 위한 것이며, 기타 사용자의 실행 권한을 $x$에서 $s$로 변경하는 것과는 무관합니다.

    오답 노트
    SetGID: 소유 그룹의 실행 권한이 $s$로 변경됨
    SetUID: 소유자의 실행 권한이 $s$로 변경됨
    Sticky bit: /tmp 등 공용 디렉터리에서 삭제 권한 통제에 사용됨
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

2. 악성코드 유형은 무엇인가?

  1. 루트킷
  2. 트로이 목마
  3. 스파이웨어
  4. 파일리스
(정답률: 56%)
  • 디스크에 파일을 생성하지 않고 시스템 메모리와 DLL 등 시스템 자원을 직접 악용하여 공격하는 기법입니다. 에서 보듯 PowerShell, WMI 같은 정상 도구를 이용하므로 백신 탐지가 매우 어렵습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

3. 최근 기관이나 단체를 사칭하는 것부터 이력서나 발주서 등을 사칭해 무의식 중에 열어보도록 하는 방법을 사용하여 이메일에 첨부파일이나 URL을 삽입한 후, 이를 클릭해 악성코드를 실행하도록 하는 등의 공격이 성행하고 있다. 이러한 공격의 차단을 목적으로 하는 가장 적합한 솔루션은?

  1. WAF(Web Application Firewall)
  2. CDR(Content Disarm & Reconstruction)
  3. TMS(Threat Management System)
  4. DLP(Data Loss Prevention)
(정답률: 58%)
  • 이력서, 발주서 등 첨부파일 내에 숨겨진 악성 코드를 제거하고 안전한 요소만으로 파일을 재구성하여 제로데이 공격을 방어하는 가장 적합한 솔루션은 CDR(Content Disarm & Reconstruction)입니다.

    오답 노트
    WAF: 웹 애플리케이션 계층의 공격 방어
    TMS: 네트워크 전반의 위협 탐지 및 관리
    DLP: 내부 중요 데이터의 외부 유출 방지
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

4. 문제 복원 오류로 내용이 없습니다. 정확한 내용을 아시는분 께서는 오류신고를 통하여 내용 작성 부탁 드립니다. 정답은 임의로 1번으로 설정하였습니다.

  1. 문제 복원 오류로 내용이 없습니다.
  2. 문제 복원 오류로 내용이 없습니다.
  3. 문제 복원 오류로 내용이 없습니다.
  4. 문제 복원 오류로 내용이 없습니다.
(정답률: 81%)
  • 복원 오류로 인해 해설을 제공할 수 없습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

5. 다음 지문이 설명하는 파일 시스템은?

  1. exFAT(Extended File Allocation Table)
  2. ext4(extended file system)
  3. HFS(Hierarchical File System)
  4. ReFS(Resilient File System)
(정답률: 82%)
  • 마이크로소프트사가 윈도우 CE 6.0 및 윈도우 비스타, 7, 서버 2008 등에 도입한 파일 시스템으로, 플래시 드라이브와 같은 이동식 저장 장치에 최적화되어 파일 크기 제한 문제를 해결한 exFAT(Extended File Allocation Table)에 대한 설명입니다.

    오답 노트
    ext4: 리눅스 표준 파일 시스템
    HFS: 맥 OS 파일 시스템
    ReFS: 윈도우 서버용 내결함성 강화 파일 시스템
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

6. 다음 중 윈도우 운영체제에서 시스템에 대한 비인가 변경을 통제하기 위한 기술에 해당하는 것은?

  1. 커널 모드
  2. 윈도우 디펜더
  3. 보안 업데이트
  4. 사용자 계정 컨트롤
(정답률: 64%)
  • 사용자 계정 컨트롤은 사용자 권한을 관리하고 시스템 설정이나 파일 접근 시 권한을 제어하여, 비인가된 변경을 방지하고 통제하는 기술입니다.

    오답 노트
    커널 모드: 운영체제 핵심 실행 모드일 뿐 비인가 변경 통제 기술이 아님
    윈도우 디펜더: 악성 코드 탐지 및 제거 솔루션
    보안 업데이트: 취약점 보완을 위한 패치 작업
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

7. OTP(One-Time Password) 사용자 인증방식에 대한 설명으로 틀린 것은?

  1. OTP는 해시함수 등 암호학적 알고리즘에 의해 패스워드를 생성하기 때문에 다음 생성될 암호를 예측하는 것은 계산상 불가능하다.
  2. OTP에 의해 생성된 패스워드는 재사용이 불가능한 특징을 보인다.
  3. OTP 단말기와 서버는 사전에 공유한 비밀값을 암호학적 알고리즘에 적용하여 패스워드를 생성한다.
  4. 시간 동기화 방식을 사용하는 OTP 시스템에서 OTP 서버와 단말기에 적용되는 시간은 정확한 패스워드 생성을 위해 시간 오차를 전혀 허용하지 않는다.
(정답률: 66%)
  • 시간 동기화 방식의 OTP 시스템은 서버와 단말기 간의 시간 차이로 인한 인증 실패를 방지하기 위해, 일정 범위 내의 시간 오차를 허용하도록 설계되어 있습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

8. 다음 지문에서 설명하는 파일은?

  1. mediarun.msc
  2. activerun.inf
  3. autorun.inf
  4. execute.inf
(정답률: 69%)
  • CD, DVD, USB와 같은 미디어 장치를 연결했을 때 특정 프로그램이 자동으로 실행되도록 설정하는 파일은 autorun.inf입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

9. secure.txt 파일의 소유자에게는 읽기와 실행권한을 부여하고 다른 사용자에게는 읽기 권한을 제거하는 권한 변경 명령으로 알맞은 것은?

  1. chmod 401 secure.txt
  2. chmod o+rx, a-r secure.txt
  3. chmod 504 secure.txt
  4. chmod u=rx, o-r secure.txt
(정답률: 79%)
  • chmod 명령어의 심볼릭 모드를 사용하여 권한을 설정하는 문제입니다. 소유자(u)에게 읽기(r)와 실행(x) 권한을 부여하고, 다른 사용자(o)에게서 읽기(r) 권한을 제거하는 명령어가 필요합니다.

    오답 노트
    chmod 401 secure.txt: 소유자 읽기(4), 그룹 권한 없음(0), 기타 실행(1) 부여
    chmod o+rx, a-r secure.txt: 기타 사용자에게 읽기/실행 추가 후 모든 사용자 읽기 제거
    chmod 504 secure.txt: 소유자 읽기/실행(5), 그룹 권한 없음(0), 기타 읽기(4) 부여
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

10. 다음 중 빈칸 ㉠에 들어갈 알맞은 용어는?

  1. 클라우드
  2. 저장소
  3. 젠킨스
  4. 빌드
(정답률: 69%)
  • GitHub, GitLab, Bitbucket 등은 개발자들이 소스코드를 저장하고 버전 관리를 수행하는 온라인 소스코드 저장소입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

11. 윈도우 시스템 인증 구성요소에서 모든 계정의 로그인에 대한 검증을 하고, 비밀번호 변경을 처리하며 자원 접근 토큰을 생성하는 것은?

  1. LSA(Local Security Authority)
  2. SAM(Security Account Manager)
  3. SRM(Security Reference Monitor)
  4. NTLM(NT LAN Manager)
(정답률: 42%)
  • LSA(Local Security Authority)는 모든 계정의 로그인 검증, 비밀번호 변경 처리, 자원 접근 토큰 생성 등을 담당하는 핵심 보안 서비스입니다.

    오답 노트
    SAM(Security Account Manager): 계정 정보와 패스워드 해시가 저장되는 데이터베이스
    SRM(Security Reference Monitor): LSA가 부여한 권한을 바탕으로 실제 자원 접근 권한을 검사하고 감시
    NTLM(NT LAN Manager): 네트워크 인증을 처리하는 프로토콜
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

12. 도메인 계정에 대한 로그인 성공, 실패 관련 이벤트 로그를 기록하기 위해 보안설정이 필요한 감사 항목은?

  1. 계정 관리 감사
  2. 계정 로그인 이벤트 감사
  3. 개체 액세스 감사
  4. 시스템 이벤트 감사
(정답률: 80%)
  • 도메인 계정의 로그인 성공 및 실패 여부를 추적하고 기록하기 위해서는 계정 로그인 이벤트 감사 항목을 설정해야 합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

13. 레지스트리에 대한 설명으로 틀린 것은?

  1. 시스템 구성정보를 저장하는 데이터베이스로 저장되는 위치는 윈도우 운영체제 버전에 따라 다르다.
  2. 레지스트리의 편집을 위해 사용되는 도구는 regedit.exe이다.
  3. 레지스트리 키는 HKEY_CLASSES_ROOT, HKEY_USERS, HKEY_CURRENT_USER, HKEY_LOCAL_MACHINE, HKEY_CURRENT_CONFIG 등을 포함한다.
  4. 레지스트리 백업 및 복구는 shell.exe를 구동하여 수행한다.
(정답률: 62%)
  • 레지스트리의 편집, 백업 및 복구는 모두 레지스트리 편집기인 regedit.exe를 통해 수행합니다.

    오답 노트
    레지스트리 백업 및 복구는 shell.exe를 구동하여 수행한다: regedit.exe를 사용해야 함
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

14. ㉠, ㉡, ㉢에 들어갈 내용이 올바르게 짝지어진 것은?

  1. ㉠ 패스워드 무차별 대입 ㉡ disable ㉢ 10
  2. ㉠ 패스워드 무차별 대입 ㉡ deny ㉢ 600
  3. ㉠ 부채널 ㉡ disable ㉢ 10
  4. ㉠ 부채널 ㉡ deny ㉢ 600
(정답률: 82%)
  • PAM 모듈의 pam_tally2.so는 로그인 실패 횟수를 기록하여 패스워드 무차별 대입 공격을 방어하는 설정입니다.
    ㉠은 공격 유형인 패스워드 무차별 대입, ㉡은 실패 시 접근을 거부하는 deny, ㉢은 잠금 시간(분 단위)을 초 단위로 환산한 $10 \times 60 = 600$이 적절합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

15. 쿠키(Cookie)에 대한 설명 중 옳지 않은 것은?

  1. 웹사이트에 마지막으로 방문한 시간, 페이지 등 다양한 정보를 기록할 수 있다.
  2. 웹서버가 웹브라우저에게 보내어 저장했다가 서버의 부가적인 요청이 있을 때 다시 서버로 보내준다.
  3. 일정한 기간 동안만 유효하게 할 수 있고, 유효(만료) 기한이 설정되지 않을 경우 웹브라우저 종료 시에 자동 삭제된다.
  4. 웹서버에 저장된 쿠키값은 개인정보보호를 위해 정기적으로 삭제해야 한다.
(정답률: 51%)
  • 쿠키는 웹 서버가 아닌 클라이언트(사용자의 웹 브라우저)에 저장되는 데이터입니다. 따라서 웹 서버에 저장된 쿠키값은 존재하지 않으므로 이를 삭제한다는 설명은 틀린 것입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

16. 다음 중 AD(Active Directory) 시스템을 안전하게 관리하기 위한 방안을 잘못 설명한 것은?

  1. 전용 계정을 별도로 관리하여 일반 업무용 AD 계정과 는 분리하여 사용한다.
  2. 관리자 계정은 특수성이 있으므로 비밀번호 갱신주기에 대해서는 예외적용을 하도록 한다.
  3. 비밀번호 갱신 정책에는 최근에 사용한 비밀번호들을 재사용하지 못하게 하는 제약조건도 고려되어야 한다.
  4. 관리자용 단말은 인터넷과 격리된 망분리 환경으로 구성되어야 한다.
(정답률: 88%)
  • 보안 강화를 위해 관리자 계정을 포함한 모든 계정은 반드시 정기적인 비밀번호 갱신 주기를 적용해야 합니다. 관리자 계정이라고 해서 비밀번호 갱신 주기에서 예외를 적용하는 것은 보안상 매우 위험한 설정입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

17. 스택상에서 특정 코드 실행을 막기 위해 수정해야 하는 파일은?

  1. /etc/system
  2. /etc/getty
  3. /etc/fsck
  4. /etc/conf
(정답률: 46%)
  • 스택상에서 특정 코드 실행을 방지하기 위한 시스템 설정 및 제어는 /etc/system 파일을 통해 관리합니다.

    오답 노트
    /etc/getty, /etc/fsck: 각각 사용자 로그인 처리 및 파일 시스템 점검 관련 설정 파일입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

18. 시스템 오류를 공격하는 Heap Overflow 공격의 특징 및 원리에 대한 설명으로 틀린 것은?

  1. 프로그램이 실행되면서 메모리를 동적으로 할당하는 영역을 이용한다.
  2. 프로그래머가 malloc과 같은 메모리 할당 함수를 이용한다.
  3. 힙 영역을 오버플로우 시켜서 특정 코드를 실행하여 공격하는 기술이다.
  4. 버스를 통해 전달되는 중요 정보를 엿보고 가로채는 공격 기술이다.
(정답률: 86%)
  • Heap Overflow는 malloc 함수 등을 통해 동적으로 할당되는 힙 영역의 메모리를 오버플로우시켜 특정 코드를 실행하는 공격 기술입니다.

    오답 노트
    버스를 통해 전달되는 중요 정보를 엿보고 가로채는 공격 기술: 스니핑(Sniffing)에 대한 설명입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

19. 다음 지문의 설정사항이 의미하는 것은?

  1. root 계정의 패스워드 임계치를 설정하고 있다.
  2. 모든 계정에 대한 패스워드 임계치를 설정하고 있다.
  3. 모든 계정에 대한 암호화 접속을 활성화하기 위한 설정이다.
  4. root 계정의 원격접속을 제한하는 설정이다.
(정답률: 64%)
  • ② 리눅스 설정 (pts/0 ~ pts/x 제거 또는 주석 처리)
    pts(Pseudo-Terminal Slave): SSH, Telnet 같은 원격 접속이나 터미널 창을 통해 접속할 때 할당되는 가상 터미널입니다.


    의미: /etc/securetty에서 pts/0, pts/1 등을 지운다는 것은, **"원격 가상 터미널을 통해서는 root 계정이 직접 로그인하는 것을 허용하지 않겠다"**는 뜻입니다.

    ③ HP-UX 설정 (#console → console 주석 제거)
    console: 서버 본체와 직접 연결된 물리적 콘솔을 의미합니다.


    의미: 주석(#)을 제거하여 console을 활성화하면, 오직 서버 앞에 직접 앉아서 접속하는 로컬 콘솔에서만 root 로그인을 허용하게 됩니다
  • /etc/securetty 파일은 시스템 로그인 터미널을 제어하는 설정 파일입니다. 처럼 pts/0 ~ pts/x 설정을 제거하거나 주석 처리하면 해당 터미널을 통한 root 계정의 원격 접속을 제한할 수 있습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

20. 윈도우 시스템에 포함된 원격 접속 프로그램인 터미널 서비스 기능을 이용할 때 사용되는 명령어는?

  1. vnc
  2. mstsc
  3. teamviewer
  4. realvnc
(정답률: 74%)
  • mstsc는 Microsoft Terminal Services Client의 약자로, 윈도우 운영체제에서 원격 데스크톱 연결을 실행하기 위해 사용하는 기본 명령어입니다.

    오답 노트
    vnc, realvnc: 주로 리눅스/유닉스 계열에서 사용되거나 범용적인 원격 제어 솔루션입니다.
    teamviewer: 플랫폼에 상관없이 사용 가능한 상용 원격 지원 프로그램입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

2과목: 네트워크 보안

21. 가상사설망(VPN)의 터널링에 사용되는 프로토콜이 아닌 것은?

  1. PPTP
  2. L2F
  3. RSVP
  4. IPSec
(정답률: 66%)
  • RSVP(Resource Reservation Protocol)는 네트워크에서 특정 대역폭을 예약하여 서비스 품질(QoS)을 보장하기 위한 프로토콜이며, 데이터를 캡슐화하여 전송하는 VPN 터널링과는 관련이 없습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

22. 아래 지문에서 강조(밑줄)된 프로토콜의 기능과 가장 거리가 먼 것은?

  1. 네트워크 장치의 동적 상황 검사
  2. Routing Table 변경 요청
  3. IP 통신을 위한 진단 데이터 전송
  4. Multi-casting 제어
(정답률: 75%)
  • 지문에서 강조된 ICMP(Internet Control Message Protocol)는 네트워크 장치의 상태를 진단하고 오류를 보고하며, 라우팅 경로를 제어하는 프로토콜입니다.

    오답 노트
    Multi-casting 제어: 이는 IGMP(Internet Group Management Protocol)의 주요 기능으로 ICMP의 역할이 아닙니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

23. 다음 보기 중 빅데이터의 방대한 정보 속에서 단순한 로그 수집 및 분석이 아닌 사후에 추적 등이 가능하도록 상관분석과 포렌식 기능을 제공해주는 지능적 위협에 대한 조기 경고 모니터링 체계를 의미하는 것은?

  1. IPS
  2. TMS
  3. UTM
  4. SIEM
(정답률: 68%)
  • SIEM은 보안 정보 및 이벤트 관리 시스템으로, 단순 로그 수집을 넘어 실시간 모니터링, 상관분석, 포렌식 기능을 통해 지능적 위협을 조기에 경고하는 체계입니다.

    오답 노트
    IPS: 침입 탐지 및 차단 중심
    TMS: 위협 관리 및 대응 중심
    UTM: 여러 보안 기능을 하나로 통합 관리
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

24. 다음 지문은 네트워크 공격기술에 대한 설명이다. 적절하지 못한 것으로 짝지어진 것은?

  1. ㉠, ㉡
  2. ㉠, ㉢
  3. ㉡, ㉣
  4. ㉢, ㉣
(정답률: 66%)
  • 제시된 이미지 의 설명 중 ㉢과 ㉣이 잘못 연결되었습니다.

    오답 노트
    SYN 플러딩: TCP 연결 설정 과정의 취약점을 이용한 공격이며, ICMP 패킷을 이용한 증폭 공격은 스머프(Smurf) 공격에 해당합니다.
    스머프(Smurf) 공격: ICMP Echo Request의 출발지 주소를 희생자로 위조하여 네트워크 내의 모든 호스트가 응답하게 만드는 증폭 공격이며, 동시 사용자 수 제한을 이용한 공격은 다른 유형의 서비스 거부 공격입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

25. 다음 지문은 라우팅에 관한 설명이다. 빈칸에 들어갈 내용을 순서대로 나열한 것은?

  1. (가) 라우터 (나) 라우팅 테이블 (다) Static Route
  2. (가) 라우터 (나) 라우팅 테이블 (다) Default route
  3. (가) 스위치 (나) 목적지 테이블 (다) Static Route
  4. (가) 스위치 (나) 목적지 테이블 (다) Default Route
(정답률: 64%)
  • 패킷의 목적지 IP를 바탕으로 경로를 결정하는 장비는 라우터이며, 경로 정보가 저장된 곳은 라우팅 테이블입니다. 또한, 테이블에 등록되지 않은 모든 목적지 IP에 대해 기본적으로 전송할 경로를 지정하는 것은 Default route입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

26. 스위칭 환경에서 시도할 수 있는 스니핑 공격 유형과 거리가 먼 것은?

  1. SYN Flooding
  2. Switch jamming
  3. ICMP Redirect
  4. ARP Spoofing
(정답률: 67%)
  • 스니핑은 네트워크 트래픽을 훔쳐보는 공격입니다. SYN Flooding은 TCP 3-Way Handshake 과정의 취약점을 이용해 서버 자원을 고갈시키는 서비스 거부(DoS) 공격이므로 스니핑과는 거리가 멉니다.

    오답 노트
    Switch jamming, ICMP Redirect, ARP Spoofing은 모두 트래픽의 흐름을 변경하거나 강제하여 패킷을 가로채는 스니핑 관련 공격입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

27. 지문에서 설명한 공격의 대응 방안으로 옳지 않은 것은?

  1. 위조된 패킷이 인터넷망으로 인입되지 않도록 ISP의 네트워크 단에서 직접 차단한다.
  2. 사전 공격에 악용될 소지가 있는 취약한 DNS 서버 등에 대해 보완 조치한다.
  3. 악의적으로 이용되지 않기 위해 ICMP 프로토콜을 사용할 필요가 없는 시스템인 경우에는 스위치 또는 서버에서 해당 프로토콜을 차단한다.
  4. 외부 인터넷 서버의 접속이 잦을 경우 클라이언트의 보호를 위해 HTTP 프로토콜을 차단한다.
(정답률: 72%)
  • 지문의 공격은 정상적인 서버를 에이전트로 활용하는 DRDos 공격입니다. HTTP 프로토콜은 웹 서비스의 기본 프로토콜이므로, 외부 인터넷 서버 접속이 잦은 환경에서 이를 차단하는 것은 서비스 자체를 불가능하게 만드는 잘못된 대응 방안입니다.

    오답 노트
    위조 패킷 차단, DNS 서버 보완, 불필요한 ICMP 차단은 모두 DRDos 및 반사 공격의 유효한 대응책입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

28. 다음 지문에서 설명하는 것은?

  1. 페트야 공격(Patya Attack)
  2. 이터널블루 공격(EternalBlue Attack)
  3. 공급망 공격(Supply Chain Attack)
  4. 갠드크랩 공격(GandCrab Attack)
(정답률: 49%)
  • 마이크로소프트의 SMB 구현 취약점을 공격하며, NSA가 개발하고 섀도 브로커에 의해 공개되어 워너크라이 등 랜섬웨어 공격에 악용된 도구는 이터널블루 공격(EternalBlue Attack)입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

29. 다음 괄호 안에 들어갈 수 있는 적절한 용어는?

  1. Blackhole 필터링
  2. Unicast RPF를 이용한 필터링
  3. Ingress filtering
  4. Multicast RPF를 이용한 필터링
(정답률: 62%)
  • 특정 IP 또는 IP 대역에 대해 라우팅 테이블을 생성하되, 목적지를 Null이라는 가상의 인터페이스로 설정하여 패킷을 폐기함으로써 통신을 차단하는 기법은 Blackhole 필터링입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

30. 다음 지문에서 설명하는 용어는?

  1. 멀버타이징(Malvertising)
  2. 익스플로잇(Exploit)
  3. 사이버 킬 체인(Cyber Kill Chain)
  4. 사이버 위협 인텔리젼스(CTI)
(정답률: 69%)
  • 사이버 공격을 하나의 프로세스로 분석하여 각 단계별 위협 요소를 파악하고, 공격자의 관점에서 활동을 분석해 단계별로 제거하거나 완화하여 회복 탄력성을 확보하는 전략을 사이버 킬 체인(Cyber Kill Chain)이라고 합니다.

    오답 노트
    멀버타이징: 악성 코드가 포함된 광고를 통한 공격
    익스플로잇: 소프트웨어 취약점을 이용한 공격 수행
    사이버 위협 인텔리젼스: 위협 정보 수집 및 분석을 통한 대응 전략
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

31. 다음 지문에서 설명하는 용어는?

  1. HA(High Availability)
  2. Null Routing
  3. Cut-Through
  4. Load Balancing
(정답률: 58%)
  • DDoS 또는 DoS 공격 차단 시, 패킷을 특정 인터페이스로 보내 필터링할 때 발생하는 ICMP Unreachable 에러 메시지가 라우터나 스위치에 과부하를 줄 수 있습니다. 이를 방지하기 위해 에러 메시지를 보내지 않도록 설정하는 기술을 Null Routing이라고 합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

32. 다음 중 nmap의 TCP Half Open 스캔과 TCP FIN/NULL/XMAS 스캔에 대한 특징으로 옳지 않은 것은?

  1. TCP Half Open 스캔과 TCP FIN/NULL/XMAS 스캔은 대상 호스트에 로그를 남기지 않는다.
  2. nmap 사용 시, TCP Half Open 스캔은 –sS 옵션, TCP FIN/NULL/XMAS 스캔은 각각 –sF, -sN, -sX 옵션을 사용한다.
  3. 공격대상의 닫힌 포트에 대한 TCP Half Open 스캔과 TCP FIN/NULL/XMAS 스캔은 각각 RST + ACK, RST 응답이 온다.
  4. 공격대상의 열린 포트에 대한 TCP Half Open 스캔과 TCP FIN/NULL/XMAS 스캔 시 둘 모두 SYN + ACK 응답이 온다.
(정답률: 63%)
  • 열린 포트에 대한 스캔 응답의 차이를 묻는 문제입니다. TCP Half Open 스캔은 SYN 패킷에 대해 SYN + ACK 응답이 오지만, TCP FIN/NULL/XMAS 스캔은 열린 포트일 경우 응답이 없으며(Ignore), 닫힌 포트일 때만 RST 응답이 오는 특징이 있습니다.

    오답 노트
    공격대상의 열린 포트에 대한 TCP FIN/NULL/XMAS 스캔 시 둘 모두 SYN + ACK 응답이 온다: 열린 포트는 응답이 없으며, SYN + ACK는 Half Open 스캔의 특징임
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

33. 무선랜의 보안 취약점에 대한 설명으로 잘못된 것은 무엇인가?

  1. 무선랜은 유선처럼 물리적으로 랜케이블을 연결할 필요가 없기 때문에 관리자의 눈을 피해 불법침입자가 접속하기 용이하다.
  2. 기존의 AP를 제거하고 불법으로 AP를 교체하거나, 임의의 장소에 불법으로 AP를 설치하는 방법으로 내부 네트워크를 해킹할 수 있다.
  3. 무선망에서의 트래픽은 기존의 유선망과 동일한 패킷 프레임 구조로 구성되어 유선망에서의 해킹공격과 동일한 형식의 공격이 가능하다.
  4. 단말기에 대한 인증과 무선 구간의 암호화를 위해 WEP/WPA 프로토콜 등을 사용하여 보안기능을 일부 강화할 수 있다.
(정답률: 69%)
  • 무선랜은 유선망과 달리 무선 매체를 통해 데이터가 전송되므로, 유선망과는 다른 패킷 프레임 구조(802.11 표준 등)를 가지며 이에 따른 고유한 공격 방식이 존재합니다. 따라서 무선망 트래픽이 유선망과 동일한 구조여서 동일한 형식의 공격이 가능하다는 설명은 틀린 것입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

34. 다음 중 모바일 기기를 통한 애플리케이션 배포, 데이터 및 환경설정 변경, 모바일 분실 및 장치 관리를 통합적으로 해주는 시스템은?

  1. MDM
  2. ESM
  3. NAC
  4. DLP
(정답률: 81%)
  • MDM(Mobile Device Management)은 모바일 기기의 애플리케이션 배포, 설정 변경, 원격 제어 및 분실 관리 등을 통합적으로 수행하는 모바일 기기 관리 시스템입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

35. 다음 무선통신 보안에 관한 설명 중 틀린 것은?

  1. MAC 주소 인증은 사전에 미리 등록을 하여야 하는 번거로움이 있다.
  2. WEP 인증은 데이터 암호화와 사용자 인증 기능을 제공한다.
  3. SSID는 AP가 브로드캐스팅하지 않으면 접속할 방법이 없다.
  4. EAP 인증을 통해 공격자의 패킷 도청을 방어할 수 있다.
(정답률: 70%)
  • SSID 브로드캐스팅 기능이 꺼져 있더라도, 사용자가 AP의 SSID 이름을 정확히 알고 있다면 수동으로 입력하여 접속이 가능합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

36. 방화벽 장비에 대한 설명으로 가장 부적절한 것은?

  1. Transport Mode의 IPSec VPN이 구현될 수 있다.
  2. 보호하고자 하는 네트워크에 허가받지 않은 사용자들의 접근을 통제할 수 있는 시스템이다.
  3. 주요 기능으로 IP, PORT 차단 기능이 있다.
  4. 내부 네트워크 주소와 인터넷 주소를 변환시켜주는 기능을 설치하여 운영할 수 있다.
(정답률: 44%)
  • 방화벽은 IP/Port 차단, 접근 통제, NAT(주소 변환) 기능을 수행하는 시스템입니다.

    오답 노트
    Transport Mode의 IPSec VPN: 이는 방화벽의 기본 기능이 아니라 전용 VPN 장비에서 구현되는 보안 프로토콜 모드입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

37. US-CERT는 크랙(KRACK)이라 부르는 WPA2(Wi-Fi Protected Access Ⅱ) 프로토콜 내 취약점에 대한 내용을 공개하였으며, 키 재설정 공격인 크랙(Key Reinstallation Attack, KRACK)은 와이파이 인증 표준인 WPA2의 키 관리 취약점을 공격하는 것이다. 다음 중 이 취약점을 이용하는 공격과 거리가 먼 것은?

  1. TCP 연결 하이재킹
  2. HTTP 컨텐츠 인젝션
  3. Wi-Fi 패킷 재전송
  4. SSID 브로드캐스팅
(정답률: 37%)
  • KRACK 공격은 WPA2의 4-Way Handshake 과정에서 키 재설정 취약점을 이용해 패킷을 재전송하거나, 데이터를 가로채어 컨텐츠를 주입하고 연결을 하이재킹하는 공격입니다.

    오답 노트
    SSID 브로드캐스팅: AP가 자신의 이름을 외부에 알리는 단순한 기능으로, 키 관리 취약점을 이용한 공격과는 거리가 멉니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

38. TCP SYN Flooding 공격은 대량의 패킷을 생성하여 공격하는 방식이다. 다음 중 TCP SYN Flooding 공격과 관련이 없는 것은?

  1. Half Open Connection 공격
  2. 분산 DoS 공격
  3. Reflector 공격
  4. Teardrop 공격
(정답률: 55%)
  • TCP SYN Flooding은 서버에 SYN 패킷을 대량으로 보내 연결 요청 상태로 만드는 Half Open Connection 공격이며, 분산 DoS나 Reflector 공격의 형태로 나타날 수 있습니다.

    오답 노트
    Teardrop 공격: IP 단편화(Fragmentation)된 패킷의 오프셋 값을 조작하여 수신 측에서 재조합 시 과부하를 일으키는 공격입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

39. Snort 탐지 옵션 정의 중 틀린 것은?

  1. sid : 규칙을 분류ㆍ식별하기 위한 ID 옵션이다.
  2. nocase : 대소문자 구분 없이 탐지하는 옵션이다.
  3. offset : content 옵션 명령이 검사할 byte 수를 지정하는 옵션이다.
  4. distance : 이전 content 옵션으로 찾은 패턴의 끝부분 이후 몇 byte부터 검색할지 정하는 옵션이다.
(정답률: 56%)
  • offset 옵션은 content 옵션이 패턴 검색을 시작할 상대적인 시작 위치(시작 지점)를 지정하는 옵션입니다. 검사할 바이트 수를 지정하는 것이 아닙니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

40. 다음 중 로드 밸런싱을 제공하는 장비는?

  1. L2 스위치
  2. L3 스위치
  3. L4 스위치
  4. 허브
(정답률: 67%)
  • L4 스위치는 전송 계층(Layer 4)의 포트 번호와 IP 주소를 기반으로 트래픽을 분산하는 로드 밸런싱 기능을 제공합니다.

    오답 노트
    L2 스위치: MAC 주소 기반 스위칭
    L3 스위치: IP 주소 기반 라우팅
    허브: 단순 신호 재생 및 브로드캐스트
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

3과목: 어플리케이션 보안

41. SSO에 대한 설명 중 적절하지 못한 것은?

  1. SSO는 한번의 인증으로 여러 서비스에 대한 이용을 지원하는 사용자 인증 시스템이다.
  2. SSO를 도입하면 여러 응용 프로그램의 로그인 처리가 간소화되어 사용자들의 편의성이 증진될 수 있다.
  3. SSO를 도입하면 최초 로그인 대상이 되는 응용 프로그램 또는 운영체제에 대한 보안 강화가 요구될 수 있다.
  4. SSO를 도입하면 사이트별로 각각의 사용자 인증 시스템을 운영하는 방식에 비하여 보안이 강화된다.
(정답률: 70%)
  • SSO는 한 번의 인증으로 여러 서비스를 이용하게 하여 편의성을 높이지만, 인증 서버가 공격당할 경우 연결된 모든 서비스가 위험해지는 단일 실패 지점(Single Point of Failure)이 됩니다. 따라서 사이트별 개별 인증 방식보다 보안이 강화된다는 설명은 틀린 것입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

42. 다음은 여러 공격 유형에 대해 DNSSEC이 방어 기능을 제공할 수 있는지를 보여주는 분석표이다. 분석이 잘못된 공격유형은?(문제 오류로 분석표가 없습니다. 정확한 내용을 아시는분 께서는 오류신고를 통하여 내용 작성 부탁 드립니다. 정답은 4번 입니다.)

  1. 파밍
  2. 피싱
  3. DDos 공격
  4. 웜바이러스에 의한 hosts 파일 안의 정보변조
(정답률: 83%)
  • DNSSEC은 DNS 응답에 디지털 서명을 추가하여 데이터의 무결성과 인증을 보장하는 기술입니다. 웜바이러스에 의한 hosts 파일 안의 정보변조는 클라이언트 PC 내부의 로컬 파일을 수정하는 것이므로, DNS 서버의 응답을 검증하는 DNSSEC으로는 방어할 수 없습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

43. 다음은 KISA의 리눅스 Wi-Fi 보안취약성에 대한 보안권고문 중 일부이다. 빈칸 ㉠에 공통적으로 들어갈 용어는?

  1. XML injection
  2. Brute force
  3. SSRF(Server-Side Request Forgery)
  4. Buffer Overflow
(정답률: 75%)
  • 제시된 이미지 내용 중 '경계값 체크 미흡', '경계값을 넘어서는 길이의 패킷 전송', '시스템 장애(crash) 발생'은 전형적인 Buffer Overflow의 특징입니다.

    오답 노트
    XML injection: XML 데이터 내 악성 코드 주입
    Brute force: 무차별 대입 암호 해독
    SSRF: 서버 측 요청 위조를 통한 내부 접근
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

44. 인터넷과 같은 공용 통신망에서 안전한 데이터 전달과 사용자 인증 기능을 수행하는 SSL 보안 프로토콜 중 전송되는 데이터에 대한 암호화 및 복호화, 메시지 인증 코드의 생성과 검증을 수행하는 프로토콜은?

  1. Handshake 프로토콜
  2. Alert 프로토콜
  3. Change Cipher Spec 프로토콜
  4. Record 프로토콜
(정답률: 38%)
  • Record 프로토콜은 SSL의 최하위 계층으로, 실제 전송되는 데이터의 암호화, 복호화 및 메시지 인증 코드(MAC) 생성을 통해 데이터를 보호합니다.

    오답 노트
    Handshake 프로토콜: 연결 설정 및 매개 변수 교환
    Alert 프로토콜: 오류 및 경고 처리
    Change Cipher Spec 프로토콜: 암호 알고리즘 변경 통보
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

45. MS SQL 서버는 윈도우 인증과 SQL 서버 인증이라는 두 가지 인증 방법을 제공하고 있다. 이에 대한 설명으로 잘못된 것은?

  1. SQL Server의 기본 인증 모드는 윈도우 인증이다.
  2. 윈도우 인증 모드가 적용되어 있을 경우 SQL 서버 인증을 이용할 수 없다.
  3. 혼합 인증 모드가 적용되어 있을 경우 윈도우 인증과 SQL 서버 인증 모두 사용될 수 있다.
  4. 윈도우 인증과 SQL 서버 인증 중 보안성이 높은 안전한 인증 방법은 SQL 서버 인증이다.
(정답률: 49%)
  • 윈도우 인증은 OS 수준의 보안을 활용하므로 SQL 서버 자체 인증보다 보안성이 훨씬 높습니다.

    오답 노트
    보안성이 높은 방법은 SQL 서버 인증: 윈도우 인증이 더 안전함
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

46. 쿠키에 대한 설명 중 가장 부적절한 것은?

  1. 웹사이트에 마지막으로 방문한 시간, 페이지 등 다양한 정보를 기록할 수 있다.
  2. 쿠키의 유효 기간을 설정할 수 있으며, 유효(만료) 기간이 설정되지 않을 경우 웹브라우저 종료 시에 자동 삭제된다.
  3. 웹서버가 웹브라우저에게 보내어 저장했다가 해당 사이트를 다시 방문할 때 서버에게 전달된다.
  4. 웹 서버에 저장된 쿠키값은 개인정보보호를 위해 정기적으로 삭제해야 한다.
(정답률: 43%)
  • 쿠키는 웹 서버가 아닌 사용자의 웹 브라우저(클라이언트)에 저장되는 작은 텍스트 파일입니다.

    오답 노트
    웹 서버에 저장된 쿠키값: 쿠키는 클라이언트 측에 저장됨
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

47. DRM 구성 요소 중에서 콘텐츠를 이용하는 사용자에 대해 정해진 정책에 따라 사용 권한을 결정하고, 부여된 사용 권한에 따라 라이선스의 발급 및 그 내역을 관리하는 시스템을 무엇이라고 하는가?

  1. 패키저(Packager)
  2. 클리어링 하우스(Clearing House)
  3. 시큐어 컨테이너(Secure Container)
  4. DRM 제어기(DRM Controller)
(정답률: 57%)
  • 클리어링 하우스(Clearing House)는 DRM 시스템에서 사용자의 권한을 결정하고, 그에 따른 라이선스 발급 및 내역 관리를 담당하는 핵심 제어 시스템입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

48. 버퍼 오버플로우 공격을 막는 가장 중요한 방법으로 프로그래밍 시 권장하는 함수가 아닌 것은?

  1. strncat()
  2. fgets()
  3. snprintf()
  4. strcpy()
(정답률: 72%)
  • strcpy() 함수는 복사할 대상의 버퍼 크기를 확인하지 않고 데이터를 복사하기 때문에 버퍼 오버플로우 취약점을 유발하는 대표적인 위험 함수입니다. 반면 strncat(), fgets(), snprintf()는 복사할 길이를 제한할 수 있어 안전한 함수로 권장됩니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

49. 다음 디지털 포렌식에 대한 설명 중 옳지 않은 것은?

  1. 디지털 증거는 현실적으로 손상되기 쉽고, 분석 중에 훼손 및 변경, 조작될 수 있다.
  2. 정당성의 원칙은 수집 증거가 위변조 되지 않았음을 증명하는 것이다.
  3. 디지털 증거는 증거 식별, 수집, 획득, 보존, 분석 등의 과정을 거친다.
  4. 연계보관성의 원칙은 증거물 획득, 이송, 분석, 법정 제출의 각 단계에서 담당자 및 책임자를 명확히 하는 것이다.
(정답률: 66%)
  • 정당성의 원칙은 증거가 적법한 절차를 준수하여 수집되었는지를 따지는 원칙입니다. 수집된 증거가 위변조되지 않았음을 증명하는 것은 무결성의 원칙에 해당합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

50. 전자메일의 실제 발송자를 추적하기 위해 사용되는 메일 헤더의 항목은?

  1. Message-ID
  2. Content-Type
  3. From
  4. Received
(정답률: 48%)
  • Received 항목은 메시지가 거쳐온 서버 정보와 수신 시간을 순차적으로 기록하므로, 메일의 전송 경로를 통해 실제 발송자를 추적하는 데 사용됩니다.

    오답 노트
    Message-ID: 메시지 고유 식별자
    Content-Type: 데이터 형식 및 인코딩 지정
    From: 단순 송신자 표시 주소
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

51. 데이터베이스의 보안 유형과 거리가 먼 것은?

  1. 접근 제어(Access Control)
  2. 데이터 집계연산(Aggregation)
  3. 가상 테이블(Views)
  4. 암호화(Encryption)
(정답률: 72%)
  • 데이터 집계연산(Aggregation)은 여러 데이터를 모아 요약하거나 합산하는 분석 과정이며, 보안과는 직접적인 관련이 없습니다.

    오답 노트
    접근 제어, 가상 테이블, 암호화: 모두 데이터베이스의 비인가 접근을 막거나 데이터를 보호하는 보안 유형에 해당합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

52. 전자 금융거래에서 사용되는 단말 정보, 접속 로그, 거래 정보 등을 분석하여 이상 금융거래 또는 부정 거래 행위를 탐지 및 예방하는 시스템은?

  1. IDS(Intrusion Detection System)
  2. FDS(Fraud Detection System)
  3. POS(Point Of Sale System)
  4. HDS(Hitachi Data System)
(정답률: 70%)
  • 단말 정보, 접속 로그, 거래 정보 등 다양한 패턴을 분석하여 이상 금융거래나 부정 거래 행위를 실시간으로 탐지하고 예방하는 시스템은 FDS(Fraud Detection System)입니다.

    오답 노트
    IDS: 네트워크/시스템 침입 감지 시스템
    POS: 판매 시점 관리 시스템
    HDS: 데이터 저장 및 관리 솔루션
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

53. 다음 지문에서 설명하는 보안 솔루션은?

  1. DRM(Digital Rights Management)
  2. DLP(Data Loss Prevention)
  3. NAC(Network Access Control)
  4. MLS(Multi-Level Security)
(정답률: 77%)
  • 민감한 데이터의 유출 전송을 감지하고, 사용 중이거나 이동 중, 또는 저장 상태의 데이터를 모니터링하여 차단함으로써 정보 유출을 방지하는 솔루션은 DLP(Data Loss Prevention)입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

54. 다음 지문에서 설명하는 공격 기법은 무엇인가?

  1. Bounce 공격
  2. XSS 공격
  3. Anonymous FTP 공격
  4. 디렉터리 리스팅 공격
(정답률: 61%)
  • 익명 FTP 서버의 취약점을 이용하여 공격 대상 네트워크를 포트 스캐닝하는 기법은 Bounce 공격입니다. 이는 FTP 서버가 데이터 포트로 전송 시 목적지를 검사하지 않는 점을 악용하여 공격자의 IP를 숨기고 제3의 서버를 통해 공격을 수행하는 방식입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

55. WPKI 구성요소의 역할을 잘못 기술한 것은?

  1. 인증기관(CA) : 인증서 발급
  2. 등록기관(RA) : 인증서 폐지
  3. 사용자(Client) : 인증서 발급 및 관리에 대한 요청
  4. 디렉터리(Directory) : CA가 발행한 인증서 정보 저장
(정답률: 77%)
  • 등록기관(RA)은 사용자의 신원을 확인하고 인증서 발급 요청을 접수 및 검증하여 CA에 전달하는 보조 역할을 수행합니다. 인증서의 실제 발급과 폐지(CRL 등록 및 관리)는 인증기관(CA)의 핵심 권한이자 역할입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

56. XML 조회를 위한 질의문(XPath, XQuery 등) 생성 시 사용되는 입력값과 조회 결과에 대한 검증 방법(필터링 등)을 설계하고 유효하지 않은 값에 대한 처리방법을 설계할 때 고려해야 할 사항 중 잘못된 것은?

  1. 공통 검증 컴포넌트를 이용한 입력값 필터링
  2. 필터 컴포넌트를 이용한 입력값 필터링
  3. 개별 코드에서 입력값을 필터링하도록 시큐어코딩 규칙 정의
  4. 필터를 이용한 출력값 검증
(정답률: 57%)
  • XML 질의문 생성 시 보안 설계의 핵심은 입력값에 대한 철저한 검증과 필터링입니다. 공통 검증 컴포넌트 활용, 필터 컴포넌트 적용, 시큐어 코딩 규칙 정의 등은 모두 입력 단계에서 공격을 차단하는 올바른 방법입니다. 하지만 필터를 이용한 출력값 검증은 입력값 검증 단계의 설계 고려 사항으로 보기 어렵습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

57. TLS에 대한 공격대상과 공격방법의 쌍이 올바르지 못한 것은?

  1. DHE export Key - Logjam
  2. CBC mode encryption - BEAST
  3. CBC mode encryption + padding - FREAK
  4. OpenSSL(SSL 3.0) - Heartbleed
(정답률: 41%)
  • FREAK 공격은 서버가 낮은 강도의 RSA export 키를 사용하도록 강제하는 취약점을 이용하는 공격이며, CBC 모드 암호화나 패딩과는 관련이 없습니다.

    오답 노트
    CBC mode encryption + padding: 이는 Padding Oracle Attack의 공격 대상입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

58. 다음 중 SSL이 제공하는 보안 기능과 거리가 먼 것은?

  1. 암호화 세션
  2. 서버 인증
  3. 클라이언트 인증
  4. 부인 방지
(정답률: 78%)
  • SSL은 데이터 암호화 세션 구축, 서버 및 클라이언트 인증을 통해 통신 보안을 제공하지만, 송신자가 메시지를 보냈음을 증명하는 부인 방지 기능은 주요 제공 기능이 아닙니다. 부인 방지는 주로 디지털 서명을 통해 구현합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

59. 다음 지문에서 웹 로그파일에 저장되는 내용을 모두 고른 것은?

  1. 가, 나, 다
  2. 다, 라, 마
  3. 가, 나, 다, 마
  4. 나, 다, 라, 마
(정답률: 71%)
  • 웹 서버의 로그파일에는 접속자의 IP, 접속 시간, 요청한 ID, 요청 내용 및 요청 종류(GET, POST 등)와 같은 클라이언트의 활동 정보가 기록됩니다.
    따라서 에서 가, 나, 다, 마가 정답입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

60. OTP(One-Time Password)는 고정된 패스워드 대신 랜덤하게 생성되는 일회성 패스워드를 말하며 동일한 패스워드를 사용할 경우 발생할 수 있는 보안상 취약점을 극복하여 일회성의 서로 다른 패스워드를 생성함으로써 안전한 전자상거래를 진행할 수 있게 한다. 다음 중 OTP의 생성 및 인증 방식이 아닌 것은?

  1. 이벤트 동기화 방식
  2. 캡차(CAPTCHA) 방식
  3. 질의/응답 방식
  4. 시간 동기화 방식
(정답률: 72%)
  • OTP는 매번 새로운 비밀번호를 생성하여 보안성을 높이는 기술로, 시간 동기화, 이벤트 동기화, 질의/응답 방식 등이 사용됩니다.

    오답 노트
    캡차(CAPTCHA) 방식: 사람이 입력한 것인지 봇(Bot)이 입력한 것인지 구별하기 위한 자동 입력 방지 기술입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

4과목: 정보 보안 일반

61. 다음 중 Needham-Schroeder 키 분배에 대한 설명으로 옳지 않은 것은?

  1. 키 분배 센터를 이용하는 키 분배 방법이다.
  2. 질의-응답(Challenge-Response) 방식을 이용하여 설계되었다.
  3. Kerberos 프로토콜의 취약점을 개선한 프로토콜이다.
  4. 재전송 공격(Replay attack)에 취약하다.
(정답률: 52%)

  • 정답은 3번

    이유: 순서가 반대입니당.

    Needham-Schroeder의 취약점을 개선하기 위해 Kerberos가 나왔습니당

  • Needham-Schroeder 프로토콜은 Kerberos의 모태가 된 프로토콜로, Kerberos가 이 프로토콜의 아이디어를 바탕으로 발전하여 구현된 것입니다. 따라서 Kerberos가 Needham-Schroeder를 개선한 것이지, 그 반대가 아닙니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

62. 다음 지문에서 공유 폴더에 적용된 접근통제 방식은?

  1. 강제적 접근통제
  2. 임의적 접근통제
  3. 역할기반 접근통제
  4. 규칙기반 접근통제
(정답률: 56%)
  • 제시된 지문에서 IT 팀 내 다른 직원이 최근에 공유 폴더에 대한 접근 권한을 갱신했다는 점을 통해, 자원 소유자가 자신의 판단에 따라 권한을 부여하거나 변경하는 임의적 접근통제(DAC) 방식임을 알 수 있습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

63. 다음 중 Kerberos 프로토콜에 대한 설명으로 옳지 않은 것은?

  1. 비밀키 암호작성법에 기초를 둔 온라인 암호키 분배방법이다.
  2. Kerberos 프로토콜의 목적은 인증되지 않은 클라이언트도 서버에 접속할 수 있도록 하는 것이다.
  3. Kerberos 프로토콜은 데이터의 기밀성과 무결성을 보장한다.
  4. 키 분배 센터에 오류 발생 시, 전체 서비스를 사용할 수 없게 된다.
(정답률: 70%)
  • Kerberos 프로토콜의 핵심 목적은 신뢰할 수 있는 제3자(KDC)를 통해 상호 인증을 수행하여, 오직 인증된 사용자만이 서버 자원에 접근할 수 있도록 보장하는 것입니다.

    오답 노트
    인증되지 않은 클라이언트 접속 허용: 인증된 사용자만 접근 가능해야 함
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

64. 다음은 커버로스 프로토콜의 세션키 전송 절차에 필요한 단계이다. 이 단계의 순서가 올바르게 나열된 것은?

  1. ㉣ → ㉢ → ㉤ → ㉡ → ㉠
  2. ㉠ → ㉣ → ㉡ → ㉢ → ㉤
  3. ㉣ → ㉤ → ㉡ → ㉠ → ㉢
  4. ㉤ → ㉡ → ㉠ → ㉢ → ㉣
(정답률: 75%)

  • 커버로스(Kerberos) 6단계 표준 절차

    커버로스는 크게 AS(인증 서버), TGS(티켓 부여 서버), V(실제 서비스 서버) 세 단계를 거칩니다.

    1. C → AS (인증 요청): 사용자가 "나 로그인할래!"라고 인증 서비스에 요청합니다.

    2. AS → C (TGT 전달): AS가 사용자를 확인하고, TGS에 접근할 수 있는 **권한 티켓(TGT)**과 세션키를 줍니다.

    3. C → TGS (서비스 티켓 요청): 사용자가 "나 이 TGT 있으니까 특정 서비스(예: 메일) 쓸 수 있는 티켓 줘!"라고 요청합니다.

    4. TGS → C (서비스 티켓 전달): TGS가 확인 후, 실제 서버에 제출할 서비스 티켓과 세션키를 줍니다.

    5. C → V (서비스 요청): 사용자가 실제 서비스 서버(V)에 서비스 티켓을 제출합니다.

    6. V → C (응답/인증 완료): 서버가 티켓을 확인하고 서비스를 제공합니다.

      문제 지문을 쉽게 풀어볼게요.
      클라이언트는 인증 해주는 서버에서 인증을 받고, 티켓 발급 서버에서 티켓을 받을것이기 때문에

      1. 클라이언트는 인증 해주는 서버에 비밀번호로 인증 요청합니다.
      2. 인증 해주는 서버는 클라이언트의 비밀번호를 확인후 인증해줍니다. (티켓 발급 기회를 받았다고 이해하면 쉽습니다.)
      3. 티켓 발급 서버는 클라이언트가 티켓 발급 기회를 가지고 있으므로, 티켓을 발급해줍니다.
      4. 클라이언트는 발급받은 티켓을 가지고 목표 서버에 접속 시도를 합니다.
      5. 목표 서버는 클라이언트의 티켓을 확인후, 접속을 허락 합니다.

  • 커버로스 프로토콜의 인증 및 티켓 발급 순서는 다음과 같습니다.
    클라이언트가 인증서버와 인증(패스워드)을 수행하고 $\rightarrow$ 인증서버가 티켓 발급서버(TGS)로부터 티켓 발급을 허용하며 $\rightarrow$ 티켓 발급서버가 인증된 클라이언트에게 티켓을 발급하고 $\rightarrow$ 클라이언트가 이 티켓을 이용하여 서버에 접속하며 $\rightarrow$ 서버가 티켓 확인 후 접속을 허락하는 순서로 진행됩니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

65. 다음은 특정 블록 암호 운영 모드의 암호화 과정이다. 해당 모드는?(문제 오류로 운영모드 이미지가 없습니다. 정확한 내용을 아시는분 께서는 오류신고를 통하여 내용 작성 부탁 드립니다. 정답은 2번 입니다.)

  1. ECB 모드
  2. CBC 모드
  3. CFB 모드
  4. OFB 모드
(정답률: 78%)
  • 에 운영모드 이미지가 제공되지 않았으나, 정답인 CBC 모드는 이전 단계의 암호문 블록을 현재의 평문 블록과 XOR 연산한 후 암호화하는 체이닝 방식을 사용하는 모드입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

66. 스트림 암호에 대한 설명으로 가장 부적절한 것은?

  1. 일회성 패드를 실용적으로 구현할 목적으로 개발되었다.
  2. 짧은 주기와 높은 선형 복잡도가 요구되며 주로 LFSR을 이용한다.
  3. 블록단위 암호화 대비 비트단위로 암호화하여 암호화 시간이 더 빠르다.
  4. 블록 암호의 OFB 모드는 스트림 암호와 유사하게 동작한다.
(정답률: 41%)

  • 정답: 2
    스트림 암호의 핵심 요구 사항은 짧은 주기X 긴 주기O 입니당

    주기가 짧으면 패턴이 반복돼서 바로 깨짐

  • 스트림 암호에서 사용하는 LFSR(선형 되먹임 시프트 레지스터)은 암호 분석을 어렵게 하기 위해 최대한 긴 주기와 높은 선형 복잡도를 가져야 합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

67. 다음 중 전자서명에 대한 설명으로 옳지 않은 것은?

  1. 서명문에 공개키 암호화 방식(혹은 비대칭 암호화 방식)을 이용하여 서명자의 개인키로 생성한 정보
  2. 전자서명은 서명문의 위조 불가, 서명한 행위의 부인 방지를 제공할 수 있다.
  3. 은닉서명은 서명자가 서명문의 내용을 알지 못하는 상태에서 서명하도록 한 방식으로 서명자의 익명성이 보장된다.
  4. DSA 알고리즘은 이산대수 문제의 어려움에 기반을 두고 있는 대표적인 전자서명 알고리즘이다.
(정답률: 26%)
  • 전자서명은 서명문 자체가 아니라, 서명문의 해시값을 서명자의 개인키로 암호화하여 생성한 '서명 값'을 의미합니다.

    오답 노트
    서명문의 위조 불가: 서명문(원문)이 아니라 서명(Signature)의 위조가 불가능한 것입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

68. 다음 중 KDC(Key Distribution Center)에 대한 설명으로 옳지 않은 것은?

  1. 사용자가 아무리 많더라도 KDC에서 관리하여야 할 키의 수는 동일하다.
  2. 사용자는 상대방과의 암호 통신에 사용될 키를 생성할 필요가 없다.
  3. 키의 관리는 KDC에서 이루어지기 때문에 사용자의 키 관리가 요구되지 않는다.
  4. KDC에서 많은 키를 관리하기 때문에 해커에 의한 공격 위험이 높다.
(정답률: 68%)

  • 정답: 1번
    사용자 수가 N명이면

    KDC가 관리해야 할 키도 N개임

  • KDC는 모든 사용자와 각각의 비밀키를 공유하므로, 사용자 수가 $n$명으로 증가하면 KDC가 관리해야 할 키의 수도 $n$개로 선형적으로 증가합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

69. 공개키 기반 구조(PKI)에서 등록기관(RA)이 수행하는 기능이 아닌 것은?

  1. 인증서 발급 대행
  2. 사용자 신분 확인
  3. 인증 요청서 보관
  4. 인증서 폐지 목록 저장
(정답률: 65%)
  • 등록기관(RA)은 사용자의 신원을 확인하고 인증서 발급 요청을 대행하는 역할을 수행합니다. 인증서 폐지 목록(CRL)의 저장 및 관리는 인증기관(CA)의 핵심 기능입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

70. 아래 지문은 긴 메시지에 전자서명하는 방법에 대한 설명이다. 이렇게 하는 가장 근본적인 이유는?

  1. 전자서명 알고리즘의 특성상 전자서명 및 검증속도가 데이터량에 따라 많은 영향을 받기 때문이다.
  2. 국제표준으로 규정된 것이기 때문이다.
  3. 해시함수로 생성된 해시값이 안전한 전자서명을 보장하기 때문이다.
  4. 전자서명에 대칭암호시스템이 사용되기 때문이다.
(정답률: 42%)
  • 긴 메시지 전체를 전자서명하면 데이터량에 비례하여 연산 시간이 급증하므로, 효율성을 위해 메시지의 해시값만을 전자서명하여 검증 속도를 높이는 방식을 사용합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

71. 256 비트 키 길이의 AES 알고리즘의 라운드의 개수는?

  1. 10
  2. 12
  3. 14
  4. 16
(정답률: 45%)

  • AES는 Rijndael 알고리즘 기반인데

    (키 길이 / 32) + 6 하면 라운드 수가 나옴

    왜 굳이 6을 더하냐? 그냥 설계자가 지 맘대로 정함

    128비트 → 10

    192비트 → 12

    256비트 → 14

  • AES 알고리즘은 키 길이에 따라 라운드 수가 결정됩니다.
    $$AES-128: 10$$
    $$AES-192: 12$$
    $$AES-256: 14$$
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

72. 다음 설명 중 틀린 것은?

  1. 사용자의 인증서에 인증기관의 올바른 전자서명이 붙어 있고 인증서의 유효기간이 유효하면 인증서를 신뢰한다.
  2. 개인키가 제대로 관리되고 있어도 인증서는 폐지될 수 있다.
  3. 인증서가 폐지되면 CRL에 추가되고 폐지 대상 인증서 목록에 인증기관이 전자서명을 한다.
  4. 인증서에 포함되어 있는 공개키가 바른지를 알아보기 위해서는 인증기관의 공개키가 필요하다.
(정답률: 15%)

  • 답: 1번

    인증서를 신뢰하기 위해서는

    전자서명O / 유효기간O 뿐만 아니라

    폐지 여부도 확인해야함

    유효기간이 유효해도 이미 폐지된 인증서일 수도 있음

  • 인증서의 유효기간이 남아 있고 전자서명이 올바르더라도, 해당 인증서가 폐지(Revoked)되었을 가능성이 있으므로 무조건 신뢰할 수는 없습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

73. 다음 중 HMAC에 대한 설계 목적의 설명으로 올바르지 않은 것은?(오류 신고가 접수된 문제입니다. 반드시 정답과 해설을 확인하시기 바랍니다.)

  1. 내장된 해시함수를 손쉽게 교체할 수 있어야 한다.
  2. 사용되는 해시함수를 손쉽게 구할 수 있어야 한다.
  3. 제공되는 해시함수를 목적에 맞게 변경하여 사용할 수 있어야 한다.
  4. 해시함수의 원래의 성능을 거의 유지할 수 있어야 한다.
(정답률: 39%)
  • HMAC의 설계 목적은 이미 존재하는 내장된 해시 함수를 안전하게 활용하는 것이지, 사용되는 해시 함수를 손쉽게 구할 수 있도록 하는 것이 아닙니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

74. 다음 블록 암호 운영 모드 중 메시지 인증에 사용될 수 있는 것들로 올바르게 짝지어진 것은?

  1. ㉠ - ㉡
  2. ㉠ - ㉢
  3. ㉡ - ㉢
  4. ㉡ - ㉣
(정답률: 49%)
  • 블록 암호 운영 모드 중 CBC와 CTR 모드는 메시지 인증에 활용될 수 있습니다.

    오답 노트
    ECB: 메시지 블록을 독립적으로 암호화하여 인증에 부적합함
    CFB: 이전 암호화 블록의 일부를 사용하며 인증에 부적합함
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

75. 다음 중 CRL(Certificate Revocation List)에 대한 설명으로 옳지 않은 것은?

  1. 인증서 폐지 사유로는 인증 발생 조직에서의 탈퇴, 개인키의 침해, 개인키의 유출 의심 등이 있다.
  2. 인증서 폐지 메커니즘은 X.509에 정의된 인증서 폐지 목록(CRL)으로 관리한다.
  3. 인증서의 폐지는 인증서 소유자 본인만 가능하다.
  4. 폐지된 인증서의 목록은 디렉터리에 보관하여 공개하고 네트워크를 통해 접속하여 확인할 수 있다.
(정답률: 64%)
  • 인증서의 폐지는 소유자 본인뿐만 아니라, 인증서를 발급한 인증기관(CA)이나 권한이 있는 관리자에 의해서도 요청 및 처리될 수 있습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

76. 무선 네트워크 보안을 위한 WPA, WPA2 등에서는 순방향 기밀성(forward secrecy)을 지원하지 않고 있지만, 2018년 Wi-Fi Alliance에서는 순방향 기밀성을 지원하는 WPA3을 발표하였다. 다음 중 순방향 기밀성의 의미를 올바르게 설명하고 있는 것은?

  1. 보안 프로토콜이 적용된 이후의 트래픽에 대해서는 기밀성이 보장된다.
  2. 중간자 공격을 통해 암호키를 탈취하는 공격에 대한 방어 메커니즘을 갖추고 있다.
  3. 현재 사용되는 세션키나 마스터키가 노출되더라도 예전에 암호화된 트래픽의 기밀성에 영향을 미치지 않는다.
  4. 192비트 이상의 암호 강도를 갖는 AES-256, SHA-384 등의 고강도 암호 알고리즘의 채택을 의무화하고, 취약한 비밀번호 사용을 차단한다.
(정답률: 51%)

  • 답: 3번


    순방향 기밀성(Forward Secrecy)이란?

    지금 키가 털려도, 과거에 했던 통신은 안전해야 한다.

    왜냐하면 매 세션마다 임시 세션키(Ephemeral Key)를 따로 만들기 때문이다.

    보통 Diffie-Hellman(ECDHE) 같은 걸 써서 세션키를 일회용으로 만든다.

    그래서 현재 세션키나 마스터키가 노출되어도 과거 암호화 트래픽은 안전하다.

  • 순방향 기밀성(Forward Secrecy)이란 현재 사용 중인 세션키나 마스터키가 공격자에게 노출되더라도, 이전에 암호화되어 저장되었던 과거 트래픽의 기밀성은 그대로 유지되는 성질을 의미합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

77. 다음 지문의 괄호 안에 들어갈 용어를 순서대로 나열한 것은?

  1. 개인키, 개인키
  2. 개인키, 공개키
  3. 공개키, 개인키
  4. 공개키, 공개키
(정답률: 33%)

  • 답: 4번

    엥? 공개키, 개인키 아닌가?...

    라고 생각하실 수도 있는데

    서명 "검증"에 사용하는 키라서 송신자의 "공개키"가 됩니다.

    검증은 뭐다? 항상 공개키입니다.

  • 공개키 암호 알고리즘에서 정보 보호를 위한 암호화는 수신자의 공개키를 사용하며, 전자서명의 검증은 송신자의 공개키를 사용하여 수행합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

78. 공개키 기반구조와 인증서에 대한 다음 설명 중 적절치 않은 것은?

  1. 인증서란 사용자의 공개키에 대해 인증기관이 인증해 주는 전자문서이다.
  2. 등록기관이란 공개키와 인증서 소유자 사이의 관계를 확인해주고 인증서 발급을 대행해 주는 기관이다.
  3. 인증서에는 평문 상태의 공개키와 암호문 상태의 개인키가 포함된다.
  4. X.509 인증서의 확장영역은 CRL 배포지점 등 사용자나 공개키에 연계된 여러 가지 속성들에 해당하는 선택정보를 담고 있는 부분으로 X.509 버전 3에서 도입되었다.
(정답률: 60%)
  • 인증서에는 사용자의 공개키만 포함되며, 개인키는 절대로 인증서에 포함되지 않고 소유자가 안전하게 보관해야 합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

79. 다음 중 암호공격 방식에 대한 설명이 틀린 것은?

  1. 트래픽 분석 : 불법적인 공격자가 전송되는 메시지를 도중에 가로채어 그 내용을 외부로 노출시키는 공격
  2. 재생 공격 : 공격자가 이전에 특정 송신자와 수신자 간에 행해졌던 통신내용을 캡처하여 보관하고 있다가 나중에 다시 전송하는 공격
  3. 삽입 공격 : 불법적인 공격자가 정당한 송신자로 가장하여 특정 수신자에게 위조된 메시지를 보내어 불법적인 효과를 발생시키는 공격
  4. 메시지 변조 : 전송되는 메시지들의 순서를 바꾸거나 메시지의 일부분을 다른 메시지로 대체하여 불법적인 효과를 발생시키는 공격
(정답률: 64%)
  • 트래픽 분석은 메시지의 내용을 직접 가로채는 것이 아니라, 전송 패턴, 빈도, 길이 등을 분석하여 정보를 추출하는 공격 방식입니다.

    오답 노트
    재생 공격: 캡처한 통신 내용을 재전송함
    삽입 공격: 송신자로 가장하여 위조 메시지를 전송함
    메시지 변조: 메시지 순서를 바꾸거나 내용을 변경함
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

80. 해시함수 h와 주어진 입력값 x에 대해 h(x)=h(x')을 만족하는 x'(≠x)를 찾는 것이 계산적으로 불가능한 것을 무엇이라고 하는가?

  1. 압축성
  2. 일방향성
  3. 두 번째 역상저항성
  4. 강한 충돌 저항성
(정답률: 64%)

  • 답: 3번


    보기에 있는 용어 설명해드림

    일방향성 = 해시값만 보고 평문을 찾기 어려운 성질

    강한 충돌 저항성 = 같은 해시값이 되어버리는 평문 2개를 찾는게 어려워야하는 성질

  • 특정 입력값 $x$가 주어졌을 때, 이와 동일한 해시값을 가지는 다른 입력값 $x'$를 찾는 것이 계산적으로 불가능한 성질을 두 번째 역상저항성이라고 합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

5과목: 정보보안 관리 및 법규

81. 빈칸 ㉠, ㉡에 들어갈 용어를 순서대로 나열한 것은 무엇인가?

  1. ㉠ 목표 ㉡ 위협 수준을
  2. ㉠ 업무특성 ㉡ 위협 수준을
  3. ㉠ 목표 ㉡ 중요도를
  4. ㉠ 업무특성 ㉡ 중요도를
(정답률: 53%)
  • 위험관리의 정보자산 식별 단계에서는 조직의 업무특성에 따라 분류 기준을 수립해야 하며, 식별된 자산에 대해 중요도를 산정하여 목록을 최신으로 관리해야 합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

82. 다음 중 정보보호 교육 및 훈련에 대한 설명으로 적절하지 않은 것은 무엇인가?

  1. 위험분석을 통해 구현된 정보보호 대책을 실제 운영 또는 시행할 부서 및 담당자를 파악하여 관련 내용을 공유하고 교육한다.
  2. 정책, 지침 및 절차 등이 개정된 사항에 대해서는 모두 모이기 어렵기 때문에 집합 또는 온라인 교육보단 게시판 등을 통해서 알리는 것이 보다 효과적이다.
  3. 타사의 침해사고 사례, 최근 발생한 보안위험 등에 대한 최근 동향을 지속적으로 교육함으로써 보안인식 제고를 위해 노력한다.
  4. 출장, 휴가 등의 사정으로 정기 정보보호 교육을 받지 못한 인력에 대해서 전달교육, 추가교육, 온라인 교육 등의 방법으로 정보보호 교육을 수행한다.
(정답률: 82%)
  • 정책, 지침 및 절차의 개정 사항은 중요도가 높으므로 단순 게시판 공지보다는 집합 교육이나 온라인 교육을 통해 정확하게 전달하고 이해시키는 것이 훨씬 효과적입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

83. 다음 지문이 설명하는 것은?

  1. 업무연속성관리체계
  2. 재난복구체계
  3. 보안성평가체계
  4. 정보보호관리체계
(정답률: 58%)
  • 정보자산의 기밀성, 무결성, 가용성을 실현하기 위해 절차와 과정을 체계적으로 수립, 문서화하고 지속적으로 관리 및 운영하는 시스템은 정보보호관리체계의 핵심 정의입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

84. 다음 중 정량적 위험분석의 장점이 아닌 것은?

  1. 위험관리 성능평가가 용이하다.
  2. 위험평가 결과가 금전적 가치, 백분율, 확률 등으로 표현되어 이해가 쉽다.
  3. 정보자산의 가치가 논리적으로 평가되고 화폐로 표현되어 이해가 쉽다.
  4. 위험분석 작업을 위한 시간과 비용이 절약된다.
(정답률: 68%)
  • 정량적 위험분석은 자산 가치와 위험을 화폐 단위나 확률 등 수치로 표현하여 객관적인 성능평가가 가능하고 이해가 쉽다는 장점이 있습니다. 하지만 정확한 수치 데이터를 수집하고 분석하는 과정에서 많은 시간과 비용이 소모되므로, 위험분석 작업을 위한 시간과 비용이 절약된다는 설명은 정성적 위험분석의 특징이며 정량적 분석의 장점이 아닙니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

85. 개인정보 영향평가를 하는 경우에 고려할 사항이 아닌 것은?

  1. 처리하는 개인정보의 수
  2. 개인정보의 제3자 제공여부
  3. 개인정보처리의 위탁 여부
  4. 정보주체의 권리를 해할 가능성 및 그 위험의 정도
(정답률: 51%)
  • 개인정보 영향평가 시에는 처리하는 개인정보의 수, 제3자 제공 여부, 정보주체의 권리를 해할 가능성 및 위험 정도를 핵심적으로 고려해야 합니다. 개인정보처리의 위탁 여부는 관리적 보안 사항일 수 있으나, 영향평가 시 법적으로 고려해야 할 주요 판단 기준에는 포함되지 않습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

86. 인터넷 기업이 사물인터넷(Internet of Things, IoT)을 이용한 비즈니스를 구상하고 있다. 사물인터넷은 이종 장치들과 유무선 네트워크 기술 그리고 지능화 플랫폼을 기반으로 개발되어야 한다. 서비스 제공자와 사용자가 IoT 장치의 전 주기 세부단계에서 고려해야 하는 공통 보안 요구사항 중에서 'IoT 장치 및 서비스 운영/관리/폐기 단계의 보안요구사항'으로 가장 부적절한 것은?

  1. IoT 침해사고 대응체계 및 책임추적성 확보 방안 마련
  2. 안전한 운영ㆍ관리를 위한 정보보호 및 프라이버시 관리체계 마련
  3. 안전한 소프트웨어 및 하드웨어 개발 기술 적용 및 검증
  4. IoT 제품ㆍ서비스의 취약점 보안패치 및 업데이트 지속 이행
(정답률: 56%)
  • IoT 보안 요구사항은 생애주기별로 구분됩니다. 안전한 소프트웨어 및 하드웨어 개발 기술 적용 및 검증은 제품이 만들어지는 '개발 단계'의 보안 요구사항입니다. 반면 침해사고 대응체계 마련, 관리체계 수립, 보안패치 및 업데이트 이행은 제품 출시 후의 '운영/관리/폐기 단계'에 해당합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

87. 다음 중 「개인정보보호법」에 따른 국무총리 소속의 개인정보보호위원회의 기능이 아닌 것은?

  1. 개인정보보호 관련 법령, 정책 등을 수립하거나 집행
  2. 개인정보보호에 관한 법령의 해석ㆍ운영에 관한 사항 심의
  3. 개인정보의 처리에 관한 공공기관 간의 의견조정에 관한 사항 의결
  4. 관계 기관 등에 대한 자료제출이나 사실조회 요구
(정답률: 31%)
  • 개인정보보호위원회는 개인정보 보호 관련 법령의 해석·운영 심의, 공공기관 간 의견조정 의결, 관계 기관에 대한 자료제출 및 사실조회 요구 등의 기능을 수행합니다. 개인정보보호 관련 법령과 정책을 수립하고 집행하는 것은 위원회의 핵심 기능에 해당하므로, 제시된 정답과 기존 해설의 오류 신고 내용을 종합할 때 문제의 구성상 적절하지 않은 기능을 찾는 의도입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

88. 정보통신서비스 제공자가 이용자에 대한 정보를 이용하려고 수집하는 경우 이용자에게 알리고 동의 받아야 할 사항이 아닌 것은?

  1. 개인정보의 수집ㆍ 이용 목적
  2. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
  3. 수집하는 개인정보의 항목
  4. 개인정보의 보유ㆍ이용 기간
(정답률: 63%)
  • 정보통신망법에 따라 이용자의 개인정보 수집 시 반드시 고지하고 동의받아야 할 사항은 수집·이용 목적, 수집하는 항목, 보유·이용 기간입니다. 동의를 거부할 권리와 그에 따른 불이익 내용은 일반적인 개인정보보호법의 원칙이나, 정보통신서비스 제공자가 수집 시 필수적으로 알리고 동의받아야 하는 3가지 핵심 사항에는 포함되지 않습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

89. 업무연속성관리 및 재난복구계획을 위하여 수행하는 내용 중에서 올바르지 않은 것은 무엇인가?

  1. 재난복구서비스 중에 웜사이트는 재난 발생 시 새로운 컴퓨터를 설치할 수 있는 컴퓨터실을 미리 준비해 둔 것으로 별다른 장비는 가지고 있지 않은 것을 의미한다.
  2. 업무연속성계획의 접근5단계 방법론에는 프로젝트의 범위 설정 및 기획, 사업영향평가, 복구전략 개발, 복구계획 수립, 프로젝트의 수행 테스트 및 유지 보수로 나눌 수 있다.
  3. 재해복구테스트 종류는 체크리스트 방법, 구조적 점검 테스트, 시뮬레이션, 병렬테스트, 전체 시스템 중단 테스트 등이 있다.
  4. 업무영향분석의 목적은 운영의 전부 혹은 일부 그리고 컴퓨터서비스가 작동하지 않을 때, 조직을 보호하기 위한 핵심 업무를 파악하는 것이며, 핵심 업무의 정지로 인해 조직에 발생되는 잠재적인 손해 혹은 손실을 파악하는 것이다.
(정답률: 76%)
  • 웜사이트(Warm Site)는 컴퓨터실뿐만 아니라 주요 장비(서버, 스토리지 등)를 어느 정도 갖추고 데이터 백업본을 주기적으로 업데이트하는 상태를 말합니다. 장비 없이 장소만 준비된 곳은 콜드사이트(Cold Site)입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

90. 공공기관에서 개인정보파일을 운용하는 경우에 보호위원회에 등록해야 하는 사항에 포함되지 않는 것은?

  1. 개인정보파일의 명칭
  2. 개인정보파일에 기록되는 개인정보 항목
  3. 개인정보를 일시적으로 제공하는 경우 그 제공받는 자
  4. 개인정보파일로 보유하고 있는 개인정보의 정보주체 수
(정답률: 38%)
  • 개인정보 보호법 제32조에 따라 공공기관은 개인정보파일을 등록해야 하며, 제공받는 자의 경우 '통상적 또는 반복적'으로 제공하는 경우에만 등록 대상입니다. 일시적으로 제공하는 경우는 등록 사항에 포함되지 않습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

91. 위험분석 결과 식별된 위험에 대한 처리 전략과 위험별 위험처리를 위한 적절한 (개인)정보보호 대책을 선정한 내용 중에서 올바르지 않은 것은?

  1. 위험감소: 비밀번호 도용의 위험을 줄이기 위해 개인정보처리시스템 등 중요한 시스템의 로그인 비밀번호 복잡도 길이를 3가지 문자조합, 8글자 이상 강제 설정하도록 비밀번호 설정 모듈을 개발하여 적용한다.
  2. 위험수용: 유지보수 등 협력업체, 개인정보 처리 수탁자 중에서 직접 모두 관리ㆍ감독할 수 없어 개인정보를 대량으로 처리하고 있는 IT 수탁사를 대상으로 관리ㆍ감독하고 나머지 수탁자는 이슈가 발생될 경우에만 관리ㆍ감독한다.
  3. 위험전가: 중요정보 및 개인정보 유출 시 손해 배상 소송 등에 따른 비용 손실을 줄이기 위해 관련 보험에 가입한다.
  4. 위험회피: 회사 홍보용 인터넷 홈페이지에서는 회원관리에 따른 위험이 존재하므로 회원 가입을 받지 않는 것으로 변경하고 기존 회원 정보는 모두 파기 처리한다.
(정답률: 58%)
  • 위험수용은 위험을 인지하고도 추가적인 대책 없이 감수하는 전략입니다. 하지만 수탁사 관리·감독 범위를 임의로 축소하여 이슈 발생 시에만 대응하는 것은 적절한 위험수용 전략이 아니라 관리 소홀에 해당합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

92. 경영진 참여에 대한 사항으로 가장 부적절한 것은?

  1. 경영진 참여가 이루어질 수 있도록 보고, 의사 결정 등의 책임과 역할을 문서화하지 않았지만 정기적으로 보고하고 있다.
  2. 경영진이 직접 정보보호 활동에 참여도 가능하지만 정보보호 위원회 등을 구성하여 중요한 의사결정 등을 결정할 수 있다.
  3. 조직의 규모 및 특성에 맞게 보고 및 의사결정 절차, 대상, 주기 등을 결정할 수 있다.
  4. 경영진 참여가 원칙이나, 내부 위임전결 등의 규정이 있는 경우에는 정보보호를 담당하고 있는 책임자가 경영진의 의사결정을 대행할 수 있다.
(정답률: 71%)
  • 경영진의 참여를 실질적으로 보장하기 위해서는 보고 체계, 의사 결정의 책임과 역할 등을 반드시 문서화하여 명확히 규정해야 합니다. 단순히 정기적으로 보고하는 것만으로는 체계적인 경영진 참여라고 볼 수 없습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

93. 다음 중 법률에 근거하여 운영되고 있는 정보보호 및 개인정보보호 관련 제도 중에서 자율제도가 아닌 의무제도에 해당하는 것은?

  1. 정보보호 준비도 평가
  2. 클라우드 보안인증제
  3. 정보보호 공시제도
  4. 주요정보통신기반시설 취약점의 분석ㆍ평가
(정답률: 64%)
  • 주요정보통신기반시설 취약점의 분석·평가는 「정보통신기반 보호법」에 따라 지정된 주요정보통신기반시설 관리자가 반드시 수행해야 하는 법적 의무 사항입니다.

    오답 노트
    정보보호 준비도 평가, 클라우드 보안인증제, 정보보호 공시제도: 기업이나 기관이 자율적으로 참여하거나 선택하여 인증/공시하는 자율제도 성격이 강합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

94. 개인정보처리자는 다음 지문의 사항이 포함된 것을 정하고 이를 정보주체가 쉽게 확인할 수 있게 공개하도록 되어 있다. 다음 지문의 사항이 포함된 문서의 법률적 명칭은 무엇인가?

  1. 개인정보 보호정책
  2. 표준 개인정보 보호지침
  3. 개인정보 보호지침
  4. 개인정보 처리방침
(정답률: 75%)
  • 제시된 이미지의 내용은 개인정보의 처리 목적, 보유 기간, 제3자 제공 및 위탁 사항, 정보주체의 권리·의무 등을 포함하고 있으며, 이는 개인정보보호법에 따라 개인정보처리자가 수립하여 공개해야 하는 개인정보 처리방침의 핵심 구성 요소입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

95. 정보통신망을 통해 이용자가 원하지 않음에도 불구하고 일방적으로 전송되는 영리목적의 광고성 정보인 스팸에 관련된 내용 중에서 잘못된 것은?

  1. 휴대전화 등의 앱 푸시 알람 ON/OFF 기능은 광고성 정보 수신 동의와 동일하므로 푸시 알람을 승인한 경우에는 광고성 정보를 전송하는 것이 가능하다.
  2. 전송자가 제공하는 재화 또는 서비스에 대한 조건 또는 특징에 대한 변경 안내 정보(회원 등급 변경ㆍ포인트 소멸 안내 등)는 영리 목적 광고성 정보의 예외이다.
  3. 광고성 정보를 전송하려면 사전에 문서(전자문서 포함) 또는 구술 등의 방법으로 수신자에게 명시적으로 수신 동의를 받아야 한다.
  4. 오후 9시부터 그 다음 날 오전 8시까지 전자적 전송매체를 이용하여 광고성 정보를 전송하려는 자는 수신자에게 별도의 사전 동의를 받아야 한다.
(정답률: 58%)
  • 앱 푸시 알람 설정은 단순한 기능적 알림 설정일 뿐, 법적 효력을 갖는 광고성 정보 수신 동의와는 별개입니다. 따라서 푸시 알람을 승인했다 하더라도 별도의 광고성 정보 수신 동의가 없다면 광고성 정보를 전송할 수 없습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

96. 다음은 개인정보보호법상 개인정보처리 위탁에 관한 설명이다. 가장 거리가 먼 것은?

  1. 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위탁하는 경우에는 일정한 내용이 포함된 문서에 의하여야 한다.
  2. 개인정보처리자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 위탁에 대해 정보주체의 동의를 받아야 한다.
  3. 위탁자는 업무위탁으로 인하여 정보주체의 개인정보가 분실ㆍ도난ㆍ유출ㆍ변조 또는 훼손되지 아니하도록 수탁자를 교육하고, 처리 현황 점검 등 수탁자가 개인정보를 안전하게 처리하는지를 감독하여야 한다.
  4. 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 이 법을 위반하여 발생한 손해배상책임에 대해서는 수탁자를 개인정보처리자의 소속 직원으로 본다.
(정답률: 33%)
  • 개인정보보호법 제26조 제3항에 따라 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 정보주체의 동의를 받는 것이 아니라, 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야(고지) 합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

97. 「정보통신기반 보호법」에 관련된 사항으로 적절하지 않은 것은?

  1. 주요정보통신기반시설보호계획에는 주요정보통신 기반시설의 취약점 분석ㆍ평가에 관한 사항이 포함되어 있다.
  2. 주요정보통신기반시설보호대책의 미흡으로 국가 안전보장이나 경제사회 전반에 피해가 우려된다고 판단하여 그 보완을 명하는 경우 주요정보통신 기반시설의 침해사고 예방 및 복구 등의 업무에 대한 기술적 지원을 요청할 수 있다.
  3. 침해사고가 발생하여 소관 주요정보통신기반시설이 교란ㆍ마비 또는 파괴된 사실을 인지한 때에는 관계 행정기관, 수사기관 또는 인터넷진흥원에 그 사실을 통지하여야 한다.
  4. 금융ㆍ통신 등 분야별 정보통신기반시설을 위하여 취약점 및 침해요인과 그 대응방안에 관한 정보 제공, 침해사고가 발생하는 경우 실시간 경보ㆍ분석체계 운영 업무를 수행하는 사이버안전센터를 구축ㆍ운영할 수 있다.
(정답률: 46%)
  • 「정보통신기반 보호법」 제16조에 따라 금융·통신 등 분야별 정보통신기반시설을 보호하기 위해 구축·운영할 수 있는 센터의 명칭은 사이버안전센터가 아니라 정보공유·분석센터입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

98. 다음은 개인정보처리시스템을 기획하는 단계에서 개인정보보호를 위해 검토하고 확인하여야 할 기본원칙에 관한 설명이다. 잘못된 것끼리 묶은 것은?

  1. 가, 나
  2. 다, 라
  3. 마, 바
  4. 사, 아
(정답률: 75%)
  • 개인정보처리시스템 기획 시 기본원칙에 어긋나는 내용은 다음과 같습니다.
    다: 개인정보 파기 방법은 사업 진행 상황이 아니라 법령 및 지침에 따라 안전하게 결정해야 합니다.
    라: 주민등록번호는 법령에 구체적인 근거가 있는 경우에만 수집 가능하며, 단순 회원가입 방편으로 제공해서는 안 됩니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

99. 개인정보보호법 상 개인정보 유출 시 개인정보 처리자가 정보 주체에게 알려야 할 사항으로 옳은 것만을 모두 고르면?

  1. ㉠, ㉡
  2. ㉢, ㉣
  3. ㉠, ㉢
  4. ㉡, ㉣
(정답률: 68%)
  • 개인정보 보호법에 따라 유출 사고 발생 시 정보주체에게 알려야 할 필수 사항은 유출된 시점과 그 경위, 그리고 피해 발생 시 신고 접수를 할 수 있는 담당 부서 및 연락처입니다. 에서 ㉡과 ㉣이 이에 해당합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

100. 정보통신서비스 제공자 등은 개인정보의 분실ㆍ도난ㆍ누출사실을 안 때에는 지체 없이 다음 각 호의 모든 사항을 해당 이용자에게 알리고 방송통신위원회 또는 한국인터넷진흥원에 신고하여야 하며, 정당한 사유 없이 그 사실을 안 때부터 24시간을 경과하여 통지ㆍ신고해서는 아니 된다. 이때 정당한 사유에 관하여 잘못 설명된 것은?

  1. 단전, 홍수, 폭설 등의 천재지변으로 인해 24시간 내에 신고가 불가능한 경우, 방송통신위원회 또는 한국인터넷진흥원에 대한 신고지연의 정당한 사유가 될 수 있다.
  2. 경찰이 이용자 통지에 대해 보류를 요청한 경우, 수사상의 이유로 이용자에 대한 통지 지연의 정당한 사유가 될 수 있다.
  3. 물리적ㆍ기술적ㆍ관리적인 사유로 통지가 불가능한 경우, 이용자에 대한 통지지연의 정당한 사유가 될 수 있다.
  4. 누출 등이 된 개인정보 항목이나 누출 등이 발생한 시점에 대한 파악이 24시간 내에 불가능한 경우, 통지ㆍ신고지연의 정당한 사유가 될 수 있다.
(정답률: 60%)
  • 개인정보 누출 시 24시간 이내 통지 및 신고가 원칙이며, 천재지변이나 수사기관의 요청 등 불가피한 사유가 있을 때만 정당한 사유로 인정됩니다. 하지만 누출 항목이나 발생 시점을 파악하는 것은 서비스 제공자의 기본적인 관리 책임에 해당하므로, 단순히 파악이 어렵다는 이유만으로는 통지 및 신고 지연의 정당한 사유가 될 수 없습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

< 이전회차목록 다음회차 >