정보보안기사 필기 기출문제복원 (2021-03-27)

정보보안기사 2021-03-27 필기 기출문제 해설

이 페이지는 정보보안기사 2021-03-27 기출문제를 CBT 방식으로 풀이하고 정답 및 회원들의 상세 해설을 확인할 수 있는 페이지입니다.

정보보안기사
(2021-03-27 기출문제)

목록

1과목: 시스템 보안

1. 내부 정보 유출 차단을 위한 보안 제품은 무엇인가?

  1. DRM
  2. DLP
  3. VDI
  4. EDMS
(정답률: 74%)
  • 기업 내부의 민감한 데이터가 외부로 유출되는 것을 탐지하고 차단하는 솔루션은 DLP(Data Loss Prevention)입니다. 지문의 '중요 정보 유출을 탐지하여 차단한다'는 설명과 정확히 일치합니다.

    오답 노트
    DRM: 디지털 콘텐츠의 저작권 보호 및 불법 복제 방지
    VDI: 중앙 서버의 가상 데스크톱을 원격으로 사용하는 기술
    EDMS: 전자 문서의 체계적인 저장, 관리 및 검색 시스템
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

2. 다음 중 Windows에서 사용하는 일반사용자 그룹인 Users 그룹에 대한 설명 중 적합하지 않은 것은?

  1. User는 시스템 크기의 레지스트리 설정, 운영체제 파일 또는 프로그램 파일을 수정할 수 없다.
  2. User는 워크스테이션을 종료할 수는 있지만 서버는 종료할 수 없다.
  3. Users가 로컬 그룹을 만들 수는 있지만 자신이 만든 로컬 그룹만 관리할 수 있다.
  4. Users 그룹의 구성원은 다른 Users 그룹에서 실행할 수 있는 프로그램을 설치할 수 있다.
(정답률: 77%)
  • Windows의 Users 그룹은 일반 사용자 권한으로, 시스템 레지스트리 설정이나 운영체제 및 프로그램 파일 수정 권한이 없으며, 서버 종료 권한도 제한됩니다. 하지만 Users 그룹의 구성원은 다른 Users 그룹에서 실행할 수 있는 프로그램을 설치할 수 있는 권한을 가지고 있지 않습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

3. 파일 무결성 점검 도구에 해당하는 것은?

  1. John the Ripper
  2. Tripwire
  3. Snort
  4. Nmap
(정답률: 76%)
  • Tripwire는 시스템 파일의 해시값을 저장해두었다가 변경 여부를 감지하여 파일의 무결성을 확인하는 대표적인 무결성 점검 도구입니다.

    오답 노트
    John the Ripper: 패스워드 크래킹 도구
    Snort: 네트워크 침입 탐지 시스템(NIDS)
    Nmap: 네트워크 스캐닝 및 포트 탐색 도구
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

4. 주체가 주도적으로 자신이 소유한 객체(파일 등)에 대한 접근권한(Read, Write, Execution, Append 등)을 다른 주체(사용자)에게 양도하는 등의 행위가 가능한 접근통제 정책은?

  1. MAC
  2. RBAC
  3. CBAC
  4. DAC
(정답률: 70%)
  • 접근권한을 양도할 수 있는 접근통제 정책 : DAC
  • DAC(임의 접근 통제)는 객체의 소유자가 자신의 판단에 따라 다른 주체에게 접근 권한(읽기, 쓰기, 실행 등)을 부여하거나 양도할 수 있는 정책입니다.

    오답 노트
    MAC: 시스템이 정한 강제적 규칙에 따라 통제하며 주체가 권한을 변경할 수 없음
    RBAC: 사용자의 역할(Role)에 따라 권한을 부여함
    CBAC: 네트워크 상태나 특정 조건 등 문맥(Context)에 따라 접근을 제어함
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

5. 다음 지문이 설명하는 파일 시스템은?

  1. exFAT(Extended File Allocation Table)
  2. ext4(extended file system)
  3. HFS(Hierarchical File System)
  4. ReFS(Resilient File System)
(정답률: 78%)
  • 제시된 지문은 마이크로소프트가 FAT32의 한계를 극복하고 대용량 파일 및 이동식 저장 장치에 최적화하여 개발한 exFAT(Extended File Allocation Table)에 대한 설명입니다.

    오답 노트
    ext4: 리눅스 표준 파일 시스템
    HFS: 애플의 구형 파일 시스템
    ReFS: 서버 환경의 데이터 복원력 중심 파일 시스템
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

6. 다음은 윈도우 부팅 순서이다. 올바르게 나열된 것은?

  1. 바-다-라-가-마-나
  2. 나-바-가-다-라-마
  3. 나-바-다-라-가-마
  4. 바-가-마-나-다-라
(정답률: 69%)
  • 윈도우 부팅 과정은 하드웨어 점검에서 시작하여 운영체제 커널 로드 순으로 진행됩니다.
    나(POST: 하드웨어 기본 체크) $\rightarrow$ 바(CMOS: 설정 정보 읽기) $\rightarrow$가(MBR: 부팅 매체 정보 읽기) $\rightarrow$ 다(NTLDR: 부팅 파티션 실행 및 boot.ini 읽기) $\rightarrow$ 라(NTDETECT.com: 설치 하드웨어 검사) $\rightarrow$ 마(ntoskrnl.exe: HAL.dll 로드 및 커널 시작) 순서가 올바릅니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

7. 소유자 외에는 읽기, 쓰기, 실행 등 일체의 접근을 불허하기 위한 umask 설정값으로 알맞은 것은?(오류 신고가 접수된 문제입니다. 반드시 정답과 해설을 확인하시기 바랍니다.)

  1. umask 077
  2. umask 020
  3. umask 022
  4. umask 066
(정답률: 40%)
  • 소유자 외의 모든 사용자(그룹, 기타 사용자)에게 읽기, 쓰기, 실행 권한을 모두 제거하려면 umask 설정값의 뒤 두 자리가 모두 7이어야 합니다.
    umask 077 설정 시:
    파일 기본 권한: $666 - 077 = 600$ (소유자만 읽기/쓰기 가능)
    디렉터리 기본 권한: $777 - 077 = 700$ (소유자만 읽기/쓰기/실행 가능)
    따라서 소유자 외 일체의 접근을 불허하는 정답은 umask 077입니다. (제시된 정답 umask 066은 디렉터리에서 실행 권한이 남으므로 부적절함)
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

8. 'last' 명령을 사용하여 정보를 확인할 수 있는 로그파일은?

  1. wtmp
  2. utmp
  3. pacct
  4. lastlog
(정답률: 55%)
  • last 명령어는 시스템에 로그인 및 로그아웃한 사용자의 전체 이력을 기록하는 wtmp 파일을 참조하여 정보를 출력합니다.

    오답 노트
    utmp: 현재 로그인 중인 사용자 정보 (who 명령어로 확인)
    pacct: 프로세스 계정 정보 기록
    lastlog: 사용자의 마지막 로그인 시간 (lastlog 명령어로 확인)
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

9. 다음 지문에서 설명하는 파일은 무엇인가?

  1. hosts.equiv
  2. hosts
  3. inetd.conf
  4. shadow
(정답률: 69%)
  • 리눅스 시스템의 지문은 /etc/hosts 파일에 대한 설명입니다. 이 파일은 IP 주소와 호스트 이름을 정적으로 매핑하여 DNS 서버를 거치지 않고 이름을 해석하게 하며, 권한 설정이 잘못될 경우 파밍 공격에 악용될 수 있습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

10. 다음 지문에서 설명하는 것은?

  1. Session
  2. Web Beacon
  3. Super Cookie
  4. History Stealing
(정답률: 71%)
  • 웹 페이지나 이메일에 삽입된 $1\times 1$ 픽셀 크기의 투명한 이미지 파일로, 사용자의 행동을 모니터링하고 추적하는 기술을 말합니다.

    오답 노트
    Session: 사용자 활동 추적을 위한 임시 정보 저장 공간
    Super Cookie: 일반 쿠키보다 영구적이고 추적하기 어려운 쿠키
    History Stealing: 브라우저 기록을 도용하는 악의적 행위
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

11. access log에는 referer라는 필드가 존재한다. 이 필드가 의미하는 것은?

  1. 서비스에서 발생하는 이벤트 서버와 글로벌 카달로그 사이의 연결문제를 기록한다.
  2. 사이트를 방문한 사용자가 어떤 경로를 통해 사이트를 방문했는지 알 수 있게 해준다.
  3. 시스템 구성요소가 기록하는 이벤트로 시스템 부팅 시 드라이버가 로드되지 않는 경우와 같이 구성요소의 오류를 기록한다.
  4. 응용프로그램이 기록한 다양한 이벤트가 저장되며, 저장되는 부분은 소프트웨어 개발자에 의해 결정된다.
(정답률: 69%)
  • 웹 서버의 access log에서 referer 필드는 사용자가 현재 페이지에 접속하기 직전에 머물렀던 이전 페이지의 URL을 기록하여, 어떤 경로를 통해 방문했는지 분석할 수 있게 해줍니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

12. 루트 사용자 소유로 SUID 권한을 부여한 경우, 이러한 파일로 의심되는 파일을 검색하는 명령어로 알맞은 것은?

  1. find / -user –perm –1000 -print
  2. find / -user –perm –2000 -print
  3. find / -user –perm –3000 -print
  4. find / -user –perm –4000 -print
(정답률: 73%)
  • SUID(Set User ID)는 파일을 실행할 때 파일 소유자의 권한으로 실행하게 하는 설정으로, 권한 값 4000을 사용합니다.
    따라서 find / -user –perm –4000 -print 명령어가 적절합니다.

    오답 노트
    1000: Sticky Bit
    2000: SGID
    3000: SGID + Sticky Bit
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

13. Unix 명령($ ls -l)의 실행 결과에 대한 설명으로 가장 옳은 것은?

  1. 파일 aaa에 대한 소유자는 bbb이다.
  2. 파일 bbb에 대한 소유자는 aaa이다.
  3. 파일 ccc에 대한 소유자는 aaa이다.
  4. 파일 aaa에 대한 소유자는 ccc이다.
(정답률: 74%)
  • Unix의 $ ls -l $ 명령어 결과 형식은 [권한] [소유자] [소유그룹] [크기] [수정날짜] [파일명] 순입니다.

    위 이미지에서 소유자 위치에 aaa가, 파일명 위치에 ccc가 있으므로 파일 ccc에 대한 소유자는 aaa입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

14. Crontab을 이용해 정기적으로 매일 오전 1시에 아파치 웹 서버 로그를 백업하고자 한다. 백업 경로는 /backup/logs/ 이며, 파일 이름은 “log-년월일시분” 형식을 따른다. 정상적으로 작동시키기 위해 Crontab에 등록해야할 값으로 올바른 것은? (파일이름 예시: log-201903210019)

  1. * * * 1 0 cp /etc/httpd/logs/access_log /backup/logs/log-'date + ∖%Y∖%m∖%d∖%H∖%M'
  2. 0 1 * * * cp /etc/httpd/logs/access_log /backup/logs/log-'date + ∖%Y∖%m∖%d∖%H∖%M'
  3. * * * 0 1 cp /etc/httpd/logs/access_log /backup/logs/log-'date + ∖%Y∖%m∖%d∖%H∖%M'
  4. 0 1 * * 0 cp /etc/httpd/logs/access_log /backup/logs/log-'date + ∖%Y∖%m∖%d∖%H∖%M'
(정답률: 72%)
  • Crontab의 시간 설정 순서는 '분 시 일 월 요일'입니다. 매일 오전 1시는 분에 0, 시에 1을 지정하고 나머지는 모든 값인 *로 설정해야 합니다.
    따라서 0 1 * * * cp /etc/httpd/logs/access_log /backup/logs/log-'date + \%Y\%m\%d\%H\%M' 가 정답입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

15. 하드웨어 및 소프트웨어를 탑재한 시스템 요소를 의미하는 것은?

  1. TCB
  2. EGID
  3. PCB
  4. CC
(정답률: 55%)
  • TCB(Trusted Computing Base)는 운영체제 보안을 위해 하드웨어와 소프트웨어를 모두 포함하여 신뢰할 수 있도록 구성한 시스템 요소를 의미합니다.

    오답 노트
    PCB: 프로세스 관리 정보 저장 구조체
    EGID: 보조 그룹 식별자
    CC: 코드 실행 범위 측정 개념
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

16. 다음 지문에서 설명하고 있는 공격은 무엇인가?

  1. 스펙터
  2. 캐시 포이즈닝
  3. 멜트다운
  4. 미라이
(정답률: 49%)
  • 이미지의 설명처럼 CPU의 비순차 명령 실행(Out-of-Order Execution) 검사 우회 버그를 악용하여 커널 메모리 및 캐시 메모리에 접근해 데이터를 유출하는 공격은 멜트다운입니다.

    오답 노트
    스펙터: 분기 예측(Branch Prediction) 취약점 이용
    캐시 포이즈닝: 캐시에 잘못된 정보 주입
    미라이: IoT 장치 대상 DDoS 공격
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

17. 윈도우 로그는 무엇인가?

  1. 응용 프로그램 로그
  2. 시스템 로그
  3. 보안 로그
  4. 설정 로그
(정답률: 81%)
  • 이미지의 설명처럼 운영체제 구성 요소가 기록하며, OS 시작 시 장치 드라이버 로드 여부 등 운영체제 작동과 관련된 이벤트를 남기는 것은 시스템 로그입니다.

    오답 노트
    응용 프로그램 로그: 응용 프로그램 작동 관련
    보안 로그: 보안 이벤트 관련
    설정 로그: 설정 및 구성 변경 관련
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

18. 파일 공유와 관련된 서비스 포트에 대한 내용으로 적절하지 않은 것은?

  1. 445(TCP/UDP, Direct Host)
  2. 139(TCP, NetBIOS Session)
  3. 137(UDP, NetBIOS Name)
  4. 335(UDP, NetBIOS Datagram)
(정답률: 57%)
  • NetBIOS 관련 포트는 137(Name), 138(Datagram), 139(Session) 순으로 기억하세요. NetBIOS Datagram 서비스가 사용하는 포트 번호는 335가 아니라 138번입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

19. 유닉스 시스템에서 계정과 패스워드에 관련된 설명으로 틀린 것은?

  1. 유닉스 시스템에서 사용자들은 각각 고유의 아이디를 갖고 있으며, 그 아이디에 대한 정보는 /etc/passwd에 저장된다.
  2. 유닉스 시스템에서는 각각의 사용자만이 접근 가능한 파일과 디렉터리가 존재할 수 있다.
  3. 사용자 패스워드는 /etc/passwd 또는 /etc/shadow 파일에서 관리한다.
  4. /etc/shadow 파일에는 사용자의 패스워드가 AES-256 알고리즘에 의해 암호화되어 저장된다.
(정답률: 74%)

  • 최신 리눅스 시스템은 주로 SHA-512 기반의 해시 알고리즘을 사용합니다. (과거에는 MD5, SHA-256 등을 사용하기도 했습니다.)

    AES-256는 대칭키 암호화 알고리즘으로, 키가 있으면 다시 원래 비밀번호로 되돌릴 수 있는 '양방향' 방식입니다


    비밀번호는 보안상 절대 복호화(원래대로 되돌리기)가 가능하면 안 됩니다. 그래서 리눅스는 되돌릴 수 없는 '단방향 해시 함수'를 사용합니다.

  • 유닉스 시스템의 /etc/shadow 파일은 패스워드를 저장할 때 AES-256과 같은 대칭키 암호화 알고리즘이 아니라, SHA-512와 같은 단방향 해시 알고리즘을 사용하여 저장합니다.

    오답 노트
    AES-256: 복호화가 가능한 암호화 알고리즘이므로 패스워드 저장에 부적합함
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

20. 접근권한을 확인하였더니 'rwSr- -r- -'이었다. 권한 내의 대문자 S에 대한 설명으로 옳은 것은?

  1. SetUID를 실행 권한이 없는 파일에 설정할 경우 대문자 S로 표기된다.
  2. SetGID를 실행 권한이 없는 파일에 설정할 경우 대문자 S로 표기된다.
  3. 디렉터리에 스티키 비트가 설정되어 대문자 S로 표기하였다.
  4. SetGID를 설정하여 대문자 S로 표기하였다.
(정답률: 61%)
  • 권한 표기에서 소유자 영역의 실행 권한 자리에 표시된 대문자 S는 SetUID가 설정되었으나, 정작 소유자에게 실행 권한($x$)이 없을 때 나타나는 표기 방식입니다.

    오답 노트
    SetGID를 실행 권한이 없는 파일에 설정할 경우: 그룹 권한 영역에 대문자 S가 표시됩니다.
    디렉터리에 스티키 비트가 설정된 경우: 기타 사용자 영역의 실행 권한 자리에 $t$ 또는 $T$로 표시됩니다.
    SetGID를 설정하여 대문자 S로 표기: 그룹 권한 영역에 해당하며, 소유자 영역의 S는 SetUID를 의미합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

2과목: 네트워크 보안

21. 다음은 WEP에 대한 설명이다. 빈칸 ㉠에 들어갈 내용으로 적절한 것은?

  1. Encryption Key
  2. Initial Key
  3. Initial Vector
  4. Encryption Vector
(정답률: 58%)
  • 이미지 에서 설명하는 WEP는 RC4 알고리즘을 사용합니다. 이때 키 생성 순서를 예측하여 공격하는 것을 방지하기 위해, 매번 랜덤한 값인 Initial Vector(IV, 초기화 벡터)를 생성하여 키 스트림을 다양하게 만듭니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

22. 무선랜의 전송 패킷에 덧붙여지는 32bytes 길이의 고유 식별자로서, 무선장치들이 BSS(Basic Service Set)에 접속할 때 패스워드같이 사용되는 코드는 무엇인가?

  1. 무선 네트워크 아이디(SSID)
  2. WEP(Wired Equivalent Privacy)
  3. MAC(Message Authentication Code)
  4. RFID 태그
(정답률: 65%)
  • 무선 네트워크 아이디(SSID)는 무선랜의 전송 패킷에 포함되는 최대 $32\text{bytes}$ 길이의 고유 식별자로, 무선 장치가 BSS에 접속할 때 네트워크를 구분하는 이름표 역할을 합니다.

    오답 노트
    WEP(Wired Equivalent Privacy): 초창기 무선랜 데이터 암호화 프로토콜
    MAC(Message Authentication Code): 메시지 무결성과 송신자 인증을 위한 코드
    RFID 태그: 무선 주파수를 이용해 정보를 저장하고 송수신하는 장치
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

23. 지문에서 설명하고 있는 것은?

  1. NFV(Network Function Virtualization)
  2. MDR(Managed Detection & Response)
  3. EDR(Endpoint Detection & Response)
  4. SDN(Software Defined Networking)
(정답률: 62%)
  • 제시된 이미지 의 내용은 폐쇄적이었던 네트워크 장비를 소프트웨어로 제어하여 유연성과 자동화를 제공하는 구조를 설명하고 있습니다. 이는 네트워크 제어 평면을 분리하여 중앙에서 관리하는 SDN(Software Defined Networking)의 핵심 특징입니다.

    오답 노트
    NFV(Network Function Virtualization): 네트워크 기능을 가상화하여 소프트웨어로 제공하는 기술
    MDR(Managed Detection & Response): 전문 업체의 보안 위협 탐지 및 대응 서비스
    EDR(Endpoint Detection & Response): 엔드포인트 단말의 이상 행위 탐지 및 대응 솔루션
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

24. 다음 중 지능형 지속 위협에 대한 설명으로 옳은 것은?

  1. 공격의 설계부터 침투까지 매우 빠른 시간 내에 이루어진다.
  2. 다른 형태의 공격들에 비해 대체로 공격자의 비용이 적게 든다.
  3. 시스템관리자는 가능한 모든 공격을 고려해야 되기 때문에 방어가 매우 어렵다.
  4. 하나의 타깃에 대해서 같은 방법으로 지속적으로 뚫을 때까지 공격하는 것이다.
(정답률: 72%)
  • 지능형 지속 위협(APT)은 특정 타깃을 대상으로 정교한 공격 기법을 동원해 장기간 은밀하게 침투하는 방식입니다. 공격자가 다단계 기법으로 탐지를 피하며 지속적으로 시도하므로, 시스템관리자는 모든 가능성을 고려해야 하여 방어가 매우 어렵습니다.

    오답 노트
    공격의 설계부터 침투까지 매우 빠른 시간 내에 이루어진다: 장기간에 걸쳐 은밀하게 진행됨
    공격자의 비용이 적게 든다: 고도의 정교함과 시간이 필요하여 비용이 많이 듦
    하나의 타깃에 같은 방법으로 지속적으로 공격: 다양한 기법을 혼합하여 사용함
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

25. 다음 지문의 빈칸 ㉠, ㉡에 들어갈 용어로 올바르게 짝지어진 것은?

  1. ㉠ MAC ㉡ 암호화
  2. ㉠ MAC ㉡ 인증
  3. ㉠ 스위치 ㉡ 인증
  4. ㉠ 스위치 ㉡ 암호화
(정답률: 42%)
  • 무차별 모드(Promiscuous Mode)는 네트워크 인터페이스 카드가 자신의 MAC 주소와 일치하지 않는 패킷까지 모두 수신하는 모드로, 이를 통해 네트워크 스니핑이 가능해집니다.
    따라서 ㉠에는 물리적 주소인 MAC이 들어가며, 이렇게 수집된 데이터를 공격자가 읽지 못하도록 보호하는 가장 효과적인 방법은 데이터를 암호화하는 것입니다.

    오답 노트
    인증: 신원 확인 과정으로, 데이터 유출 자체를 막는 암호화와는 목적이 다름
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

26. OSI 7 Layer 중 어느 계층에 대한 설명인가?

  1. Transport Layer
  2. Network Layer
  3. Session Layer
  4. Physical Layer
(정답률: 73%)
  • 데이터의 유실(Loss) 없는 신뢰성 있는 전송을 보장하고, End-to-End 오류 검출 및 재전송을 요청하는 계층은 전송 계층(Transport Layer)의 핵심 역할입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

27. 틀린 것은?(문제 복원 오류로 문제 내용이 정확하지 않습니다. 정확한 문제 내용을 아시는분 께서는 오류신고를 통하여 내용 작성 부탁 드립니다. 정답은 2번 입니다.)

  1. 출발지 211.1.99.1 / 목적지주소 32.15.1.1인 패킷은 규칙 1에 의해 거부된다.
  2. 출발지 211.1.99.1 / 목적지주소 32.15.6.15인 패킷은 규칙 2에 의해 허용된다.
  3. 출발지 211.1.37.15 / 목적지주소 32.15.6.15인 패킷은 규칙 2에 의해 허용된다.
  4. 출발지 211.1.37.15 / 목적지주소 32.15.1.1인 패킷은 규칙 3에 의해 차단된다.
(정답률: 77%)

  • ChatGPT가 말하기로는 대충 이런 문제였을것 같대요


    27. 다음은 방화벽(ACL) 규칙이다. 다음 중 틀린 것은?

    (위에서 아래로 순차 적용, 최초 매칭 규칙 적용)




    • 규칙 1: src 211.1.99.0/24, dst any → deny




    • 규칙 2: src any, dst 32.15.6.0/24 → permit




    • 규칙 3: src any, dst 32.15.1.0/24 → deny

  • 제시된 문제의 정보가 부족하여 정확한 논리적 분석이 불가능하므로 스킵합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

28. TCP의 3-Way Handshaking을 통한 서버와의 연결 설정 과정에서, 연결에 성공한 클라이언트 측의 연결 상태 천이 다이어그램상의 상태 변화의 순서를 바르게 나열한 것은?

  1. CLOSED→SYN_RCVD→ESTABLISHED
  2. CLOSED→SYN_SENT→ESTABLISHED
  3. LISTEN→SYN_RCVD→ESTABLISHED
  4. LISTEN→SYN_SENT→ESTABLISHED
(정답률: 44%)
  • TCP 3-Way Handshaking 과정에서 클라이언트는 연결 요청을 보내는 주체입니다. 클라이언트는 연결이 끊긴 상태에서 SYN 패킷을 전송하여 연결을 요청하고, 서버의 응답을 받아 연결을 확립합니다.
    상태 변화 순서: CLOSED $\rightarrow$ SYN_SENT $\rightarrow$ ESTABLISHED

    오답 노트
    LISTEN $\rightarrow$ SYN_RCVD $\rightarrow$ ESTABLISHED: 서버 측의 상태 변화 과정입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

29. 보안 솔루션은 무엇인가?

  1. SIEM
  2. SOAR
  3. NGFW
  4. UTM
(정답률: 62%)
  • 보안 작업을 자동화하고 여러 보안 도구를 통합하여 신속하게 위협에 대응하는 솔루션은 SOAR입니다.

    오답 노트
    SIEM: 실시간 이벤트 수집 및 분석 중심
    NGFW: 애플리케이션 인식 기반 차세대 방화벽
    UTM: 여러 보안 기능을 단일 장비에 통합
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

30. 다음 지문은 무엇에 대한 설명인가?

  1. traceroute
  2. ping
  3. netstat
  4. route
(정답률: 79%)
  • 지문에서 설명하는 도구는 패킷이 목적지까지 도달하는 경로상의 라우터 IP를 확인하며, IP 헤더의 TTL(Time To Live) 값을 이용하는 traceroute입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

31. NMAP 포트 스캔에 대한 설명으로 올바르지 못한 것은?

  1. TCP Connect Scan: 대상 포트에 대해 3-Way Handshaking을 정상적으로 통신하는 방식으로 정상적이면 포트가 열려있다고 판단할 수 있다.
  2. TCP FIN Scan: 대상 포트로 FIN 패킷을 전송하는 방식으로 응답을 받으면 포트가 열려있다고 판단할 수 있다.
  3. TCP X-MAS Scan: 대상 포트로 FIN, URG, PSH 플래그가 모두 설정된 패킷을 전송하는 방식으로 응답을 받으면 포트가 닫혀있다고 판단할 수 있다.
  4. TCP Null Scan: 대상 포트로 NULL 패킷을 전송하는 방식으로 응답을 받으면 포트가 닫혀있다고 판단할 수 있다.
(정답률: 57%)
  • TCP FIN Scan은 대상 포트로 FIN 패킷을 전송했을 때, 응답이 없어야 포트가 열려있다고 판단합니다. 만약 포트가 닫혀 있다면 RST 패킷이 응답으로 돌아옵니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

32. 다음 중 스푸핑 공격의 종류가 아닌 것은?

  1. ARP
  2. DNS
  3. IP
  4. UDP
(정답률: 71%)
  • 스푸핑(Spoofing)은 신뢰할 수 있는 주소를 위조하여 시스템을 속이는 공격 기법입니다. 대표적으로 IP, ARP, DNS, 이메일, 웹 스푸핑 등이 있으며, UDP는 전송 계층의 프로토콜일 뿐 그 자체로 스푸핑 공격의 종류로 분류되지 않습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

33. 가장 상위의 계층에서 이루어지는 서비스 거부 공격은 무엇인가?

  1. ICMP Flooding Attack
  2. LAND Attack
  3. HTTP GET Flooding Attack
  4. Teardrop Attack
(정답률: 78%)
  • HTTP GET Flooding Attack은 OSI 7계층 중 최상위 계층인 응용 계층(Application Layer)에서 발생하는 공격입니다. 반면 ICMP Flooding Attack, LAND Attack, Teardrop Attack은 모두 네트워크 계층(Network Layer)에서 발생하는 공격입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

34. 침입탐지시스템(IDS)에 대한 설명으로 가장 옳은 것은 무엇인가?

  1. 침입 경로를 찾을 수 있도록 탐지대상으로부터 생성되는 로그를 제공한다.
  2. Host-IDS는 운영체제에 독립적이다.
  3. 오용 침입탐지 기법은 오탐률(False Positive)이 높다.
  4. '침입분석 및 탐지→ 데이터수집→데이터 가공 및 축약→보고 및 대응'의 단계로 실행된다.
(정답률: 47%)
  • 침입탐지시스템(IDS)은 침입 시도나 공격이 발생했을 때 이를 기록하여 분석가가 침입 경로를 추적할 수 있도록 로그를 생성하고 제공하는 역할을 수행합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

35. 공격 특징 및 대응방안과 관련성이 가장 높은 것은?

  1. UDP Flooding
  2. SYN Flooding
  3. ICMP Flooding
  4. GET Flooding
(정답률: 66%)
  • TCP 3-way 핸드쉐이크 과정에서 SYN 패킷만 대량으로 보내 서버의 TCP 연결 큐(Stack 자원)를 가득 채워 정상적인 연결을 방해하는 공격은 SYN Flooding입니다.

    오답 노트
    UDP Flooding: 무작위 포트로 대량 패킷 전송
    ICMP Flooding: Echo Request(핑) 대량 전송
    GET Flooding: HTTP GET 요청 과다 전송
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

36. VPN에 대한 설명으로 올바르지 못한 것은?

  1. SSL VPN은 웹브라우저만 있으면 언제 어디서나 사용이 가능하다.
  2. IPSec VPN은 네트워크 계층에서 안전하게 정보를 전송하는 방법이다.
  3. IPSec VPN은 운영방식에 따라 트랜스포트 모드만 지원하고 암호화 여부에 따라 ESP, AH 프로토콜을 사용한다.
  4. 기본적으로 SSL VPN과 IPSec VPN은 데이터의 기밀성과 무결성이 동일하며, 단지 데이터의 암호화 구현 방식에 차이가 있다.
(정답률: 65%)
  • IPSec VPN은 운영 방식에 따라 트랜스포트 모드뿐만 아니라 터널 모드까지 총 2가지를 지원합니다.

    오답 노트
    트랜스포트 모드만 지원한다는 설명은 터널 모드(IP 헤더와 데이터를 모두 암호화하는 방식)를 누락했으므로 틀린 설명입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

37. 다음 지문에서 빈칸 ㉠에 해당하는 것은?

  1. Proxy
  2. Cookie
  3. Apache
  4. ActiveX
(정답률: 70%)
  • 웹 서버를 대신하여 HTTP 요청을 처리하고, 자주 요청되는 객체의 복사본을 저장(캐싱)하여 응답 속도를 높이는 네트워크 개체는 Proxy입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

38. 침입탐지시스템(IDS)에 대한 설명으로 가장 적절하지 않은 것은?

  1. 패킷의 유형에 따라 차단하거나 보내주는 간단한 패킷 필터링 기능을 제공한다.
  2. 네트워크상의 패킷을 분석하여 침입을 탐지하거나, 내부 사용자들의 활동을 감시하여 해킹 시도를 탐지한다.
  3. 네트워크 기반, 호스트 기반, 오용 탐지, 비정상 탐지 등이 있다.
  4. 침입 경로를 찾을 수 있도록 탐지대상으로부터 생성되는 로그를 제공한다.
(정답률: 62%)
  • 침입탐지시스템(IDS)은 네트워크나 시스템의 비정상적인 활동을 '탐지'하고 '알림'을 주는 시스템입니다. 패킷의 유형에 따라 직접 차단하는 기능은 IDS가 아니라 침입방지시스템(IPS)의 핵심 특징입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

39. 비대면 업무 환경에 대한 설명으로 올바르지 않은 것은?

  1. 기업 업무망에 안전하게 접속하기 위해서는 VPN 또는 암호통신이 필수적이다.
  2. 원격 근무자가 기업 업무망에 VPN을 통해 접속할 경우 다중 인증을 사용하지 않아도 안전하다.
  3. 구축형 영상회의 플랫폼을 이용할 경우 참가자는 기업에서 제공하는 VPN을 이용해서 접속해야 한다.
  4. 비대면 업무에 사용하는 네트워크 환경이 안전하지 않을 경우 통신 내용 또는 데이터가 유출될 수 있다.
(정답률: 84%)
  • VPN(가상 사설망)을 사용하더라도 계정 정보 유출 등의 위험이 있으므로, 보안성을 높이기 위해 다중 인증(MFA)을 반드시 적용해야 안전합니다. 따라서 다중 인증을 사용하지 않아도 안전하다는 설명은 틀린 것입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

40. traceroute 프로그램은 icmp protocol을 이용하여 패킷의 전송경로를 보여주는 프로토콜이다. 다음 icmp 메시지 중 traceroute와 연관이 있는 것은?

  1. 가, 나
  2. 나, 다
  3. 다, 라
  4. 가, 라
(정답률: 54%)
  • traceroute는 패킷의 TTL(Time To Live) 값을 1부터 순차적으로 증가시켜 경로를 추적합니다.
    가. 시간초과(time exceeded): TTL이 0이 되었을 때 라우터가 보내는 메시지로, 각 홉(Hop)을 식별하는 데 사용됩니다.
    나. 에코(echo): 각 홉에 도달했음을 확인하기 위해 사용하는 ICMP Echo Request/Reply 메시지입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

3과목: 어플리케이션 보안

41. 다음 지문에서 설명하는 DRM 기술은 무엇인가?

  1. DOI
  2. 핑거프린팅
  3. 안티탬퍼링 기술
  4. 워터마킹
(정답률: 60%)
  • 디지털 이미지, 오디오, 비디오 등 저작권 보호를 위해 자료에 특정 비트 패턴을 삽입하며, 동일 자료에는 항상 동일한 패턴이 삽입되는 기술은 워터마킹입니다.

    오답 노트
    DOI: 디지털 오브젝트의 영구 식별자
    핑거프린팅: 사용자 정보를 콘텐츠에 삽입하는 기술
    안티탬퍼링: 기술 자산 탈취를 방어하는 기술
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

42. 서버를 점검하던 중 다음과 같은 문장이 포함된 ASP 스크립트가 존재하는 것을 알게 되었다. 의심되는 공격은 무엇인가?

  1. Buffer Overflow
  2. CSRF
  3. 웹셸(WebShell)
  4. DoS/DDoS
(정답률: 66%)
  • 제시된 이미지의 스크립트 $\langle \%\ eval\ request(\text{cmd})\ \% \rangle$는 사용자가 입력한 $\text{cmd}$ 매개변수 값을 $\eval$ 함수를 통해 서버에서 즉시 실행하는 코드입니다. 공격자가 서버의 제어권을 획득하여 임의의 명령을 수행할 수 있게 하는 전형적인 웹셸(WebShell) 기법입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

43. 다음 지문에서 설명하고 있는 DNS 구성요소는?

  1. whois 클라이언트
  2. 리소스 레코드 에이전트
  3. 도메인 제어기
  4. 리졸버
(정답률: 54%)
  • 리졸버는 클라이언트의 요청을 받아 인터넷상의 네임서버들과 통신하며 도메인 이름에 해당하는 IP 주소(리소스 레코드)를 찾아내는 역할을 수행합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

44. HTTP 요청 방식은 무엇인가?

  1. GET 방식
  2. POST 방식
  3. HEAD 방식
  4. CONNECT 방식
(정답률: 79%)
  • 데이터를 URL에 노출하지 않고 HTTP 바디(Body)에 담아 전송하는 방식으로, 주로 파일 업로드나 보안이 필요한 데이터 전송에 사용됩니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

45. FTP 공격 유형 중 어떤 공격 유형인지 고르면?

  1. FTP 무차별 대입 공격
  2. FTP 바운스 공격
  3. 익명 FTP 공격
  4. TFTP 공격
(정답률: 69%)
  • FTP 서버가 데이터 포트($20/TCP$)로 전송 시 목적지를 검사하지 않는 취약점을 이용해, 공격자가 PORT 명령을 조작하여 제3의 서버로 데이터를 보내게 하는 공격입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

46. 다음 빈칸 ㉠에 들어갈 내용으로 알맞은 것은?

  1. Cookie
  2. Set-Cookie
  3. Session
  4. Keep-alive
(정답률: 73%)
  • 웹 서버가 클라이언트에게 쿠키를 생성하도록 명령할 때, HTTP 응답 헤더에 Set-Cookie 필드를 설정하여 전송합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

47. 전자서명(Digital Signature) 메커니즘에서 제공되는 기능과 가장 거리가 먼 것은?

  1. 메시지 송신자에 대한 인증
  2. 전자서명 메시지에 대한 부인방지
  3. 전자서명 검증 과정을 통한 메시지 무결성
  4. 송수신 메시지에 대한 비밀성
(정답률: 67%)
  • 전자서명은 송신자의 개인키로 서명하고 수신자가 공개키로 검증하여 인증, 부인방지, 무결성을 보장하는 기술입니다.

    오답 노트
    송수신 메시지에 대한 비밀성: 전자서명 자체는 데이터의 변조 여부와 작성자를 확인하는 것이 목적이며, 내용을 암호화하여 숨기는 비밀성은 제공하지 않습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

48. 다음 지문에서 설명하는 서명 방식은?

  1. 이중 서명
  2. 은닉 서명
  3. 비밀 서명
  4. 지불 서명
(정답률: 56%)
  • SET(Secure Electronic Transaction)에서 사용되는 이중 서명은 주문 정보와 결제 정보를 분리하여, 상점은 결제 정보를 모르고 은행은 주문 내용을 모르게 하면서도 두 정보가 동일 거래임을 증명하여 무결성과 개인정보 보호를 동시에 달성하는 방식입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

49. TFTP에 대한 설명으로 옳지 않은 것은?

  1. RRQ와 WRQ 메시지는 클라이언트가 서버에게 전송하는 요청이다.
  2. DATA 메시지는 클라이언트와 서버가 모두 사용한다.
  3. ACK 메시지는 클라이언트와 서버가 모두 사용한다.
  4. TCP 69번 포트를 통해 데이터를 전송한다.
(정답률: 54%)
  • TFTP(Trivial File Transfer Protocol)는 단순한 파일 전송을 위해 TCP가 아닌 UDP 프로토콜을 사용합니다.

    오답 노트
    TCP 69번 포트를 통해 데이터를 전송한다: UDP 69번 포트를 사용함
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

50. PGP는 전자우편 보안 시스템이다. PGP가 제공하지 않는 기능은?

  1. 전자서명
  2. 압축
  3. 수신 부인방지
  4. 단편화와 재조립
(정답률: 49%)
  • PGP는 전자서명, 압축, 암호화, 해시 함수를 통해 보안을 제공하는 시스템입니다. 하지만 수신자가 메시지를 받았다는 사실을 부인하지 못하게 하는 수신 부인방지 기능은 제공하지 않습니다.
  • 본 해설은 비추 누적갯수 초과로 자동 블라인드 되었습니다.
    (AI해설 오류가 많아 비추 2개 이상시 자동 블라인드 됩니다.)
    해설을 보시기 원하시면 클릭해 주세요
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

51. ㉠, ㉡에 들어갈 내용으로 올바르게 짝지어진 것은?

  1. ㉠ 21 ㉡ 1024
  2. ㉠ 20 ㉡ 1024
  3. ㉠ 21 ㉡ 2048
  4. ㉠ 20 ㉡ 2048
(정답률: 66%)
  • FTP Passive 모드에서는 클라이언트가 서버에 접속하여 데이터 전송 포트를 요청합니다. 제어 연결을 위해 서버의 21번 포트가 열려 있어야 하며, 데이터 전송을 위해 서버가 지정하는 고포트 범위(일반적으로 1024번 이상)가 허용되어야 합니다. 따라서 ㉠은 21, ㉡은 1024가 정답입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

52. 인터넷 메일 구조의 핵심요소에 대한 설명으로 옳지 않은 것은?

  1. MUA-사용자 액터(actor)와 사용자 응용프로그램을 대신하여 동작한다.
  2. MSA-원격서버로부터 POP3 또는 IMAP를 사용하여 메시지를 추출한다.
  3. MDA-메시지를 MHS에서 MS로 메시지를 전달한다.
  4. MTA-메시지가 목적지 MDA에 도달할 때까지 중계 역할을 한다.
(정답률: 53%)
  • MSA(메일 송신 에이전트)는 메일을 송신하는 역할을 수행합니다. POP3 또는 IMAP를 사용하여 원격 서버로부터 메시지를 추출하는 것은 MUA(메일 사용자 에이전트)의 역할입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

53. 다음 중 웹(Web) 방화벽이 수행하는 주요 기능이 아닌 것은?

  1. 파일 업로드 제어 및 검사 기능
  2. HTTP 공격 패킷 탐지 및 차단
  3. 웹 서버 오류 필터링 및 기밀 정보 유출 차단
  4. IP 주소와 포트 기반 패킷 탐지 및 차단
(정답률: 54%)
  • 웹 방화벽은 HTTP/HTTPS 트래픽을 분석하여 웹 애플리케이션 공격을 방어하는 장비입니다. IP 주소와 포트 기반의 패킷 탐지 및 차단은 일반적인 네트워크 방화벽의 핵심 기능입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

54. 다음 지문에서 설명하고 있는 원칙으로 적절한 것은?

  1. 재현의 원칙
  2. 무결성의 원칙
  3. 정당성의 원칙
  4. 연계보관성의 원칙
(정답률: 73%)
  • 제시된 이미지 의 내용은 증거의 획득, 이송, 분석, 보관, 법정 제출까지의 전 과정이 명확하고 추적 가능해야 한다는 연계보관성의 원칙을 설명하고 있습니다.

    오답 노트
    재현의 원칙: 반복 실험 시 동일 결과 도출
    무결성의 원칙: 증거의 변조 없는 원본 상태 유지
    정당성의 원칙: 법적 절차에 따른 증거 취득
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

55. 웹 보안 취약점은 무엇인가?

  1. XSS
  2. CSRF
  3. WebShell
  4. Injection Flaws
(정답률: 69%)
  • 제시된 이미지 의 내용은 세션 쿠키, SSL 인증서 등 신뢰 정보를 기반으로 사용자의 요청을 변조하여 서버를 공격하는 기법을 설명하고 있으므로 정답은 CSRF입니다.

    오답 노트
    XSS: 클라이언트를 대상으로 하는 공격
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

56. 다음 중 OTP에 대한 설명으로 틀린 것은?

  1. OTP는 전송계층에서 동작한다.
  2. 정적인 일반 패스워드와 달리 단방향 암호 기반의 해시를 매번 다르게 계산하여 패스워드로 사용한다.
  3. OTP 생성 및 인증 방식에는 S/KEY 방식, 시간 동기화 방식 등이 있다.
  4. 온라인 뱅킹, 전자상거래, 온라인 게임 등에 사용된다.
(정답률: 70%)
  • OTP는 전송계층이 아니라 응용 계층(Application Layer)에서 동작하는 인증 방식입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

57. 다음에 제시된 <보기 1>의 사용자 인증방법과 <보기 2>의 사용자 인증도구를 바르게 연결한 것은?

(정답률: 83%)
  • 사용자 인증 방법과 그에 해당하는 도구의 연결은 다음과 같습니다.
    ㄱ. 지식 기반 인증: 사용자가 알고 있는 정보로 인증 $\rightarrow$ B. 패스워드
    ㄴ. 소지 기반 인증: 사용자가 가지고 있는 매체로 인증 $\rightarrow$ A. OTP 토큰
    ㄷ. 생체 기반 인증: 사용자의 신체적 특징으로 인증 $\rightarrow$ C. 홍채
    따라서 [ㄱ-B, ㄴ-A, ㄷ-C]로 연결된 ③번이 정답입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

58. DNS 공격 유형은 무엇인가?

  1. DNS 터널링
  2. DNS 스푸핑
  3. DNS 하이재킹
  4. NXDOMAIN 공격
(정답률: 37%)
  • DNS 하이재킹은 DNS 서버를 해킹하거나 패킷을 조작하여, 사용자가 요청한 도메인의 IP 주소를 공격자가 원하는 악의적인 IP 주소로 리디렉션시키는 공격 기법입니다.

    오답 노트
    DNS 터널링: DNS 프로토콜을 이용해 데이터를 은밀히 전송함
    DNS 스푸핑: DNS 응답을 조작하여 트래픽을 가로챔
    NXDOMAIN 공격: 존재하지 않는 도메인에 대한 응답을 조작함
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

59. 다음 중 유일하게 HTTP(HyperText Transfer Protocol) 응답(response)에 body data가 없는 메소드는?

  1. HEAD
  2. GET
  3. TRACE
  4. POST
(정답률: 54%)
  • HEAD 메소드는 리소스의 메타데이터만 필요할 때 사용하며, 응답 본문(body)을 제외하고 헤더(header) 정보만 전송받는 것이 특징입니다.

    오답 노트
    TRACE: 요청한 내용을 그대로 돌려받아 경로를 확인하는 메소드입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

60. 전자상거래 SET 보안 프로토콜의 송신측 암호화 절차이다. 빈칸 ㉠, ㉡, ㉢, ㉣에 들어갈 용어로 적절한 것은?

  1. ㉠ 공개키 ㉡ 대칭키 ㉢ 대칭키 ㉣ 개인키
  2. ㉠ 개인키 ㉡ 공개키 ㉢ 대칭키 ㉣ 공개키
  3. ㉠ 공개키 ㉡ 대칭키 ㉢ 공개키 ㉣ 공개키
  4. ㉠ 개인키 ㉡ 대칭키 ㉢ 대칭키 ㉣ 공개키
(정답률: 47%)
  • SET 보안 프로토콜의 송신측 암호화 절차는 다음과 같습니다.
    가. 전자서명을 위해 송신자의 개인키로 암호화합니다.
    나. 메시지 본문은 효율적인 암호화를 위해 대칭키로 암호화합니다.
    다. 사용된 대칭키를 안전하게 전달하기 위해 수신자의 공개키로 다시 암호화합니다.
    따라서 ㉠ 개인키, ㉡ 대칭키, ㉢ 대칭키, ㉣ 공개키 순이 정답입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

4과목: 정보 보안 일반

61. 다음 지문에서 BLP 모델에 대한 설명으로 옳지 않은 것은?

  1. No-write-down 정책은 인가받은 보안등급 이하의 정보를 수정하지 못하게 하는 정책이다.
  2. BLP 모델에서는 정보를 Top Secret, Secret, Unclassified 등과 같은 보안 등급에 따라 분류하고 있으며 정보의 기밀성 보장에 초점을 두고 있다.
  3. BLP 모델에서 주체와 객체의 보안등급은 각각 취급등급(clearance), 비밀등급(security label)을 사용한다.
  4. No-read-up 정책은 낮은 보안등급을 인가받은 주체가 보안등급이 높은 객체에 대한 읽기/쓰기 접근을 허용하지 않음으로 정보의 기밀성을 보장하게 된다.
(정답률: 54%)
  • BLP 모델의 No-read-up(Simple Security Property) 정책은 낮은 보안 등급의 주체가 높은 보안 등급의 객체를 읽는 것을 금지하여 기밀성을 보장하는 원칙입니다. 읽기 접근만을 제한하는 것이지, 쓰기 접근까지 허용하지 않는다는 설명은 옳지 않습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

62. 다음 해시함수 설명 중 잘못된 것은?

  1. 해시함수는 임의의 유한 길이의 비트 스트링을 고정된 길이의 비트 스트링으로 변환하는 함수이다.
  2. 효율적 전자서명 생성을 위해 전자서명 생성 과정에서 해시함수가 사용된다.
  3. 일방향 특성으로서 해시함수 h에 대해 해시값 y로부터 h(x)=y가 되는 입력값 x를 찾는 것이 계산상 불가능해야 한다.
  4. 강한 충돌방지 특성으로서 해시함수 h에 대해 h(y)=h(x)가 되는 입력값 쌍 y와 x(단, y ≠ x)를 찾는 것이 어렵지 않아야 한다.
(정답률: 70%)
  • 해시함수의 강한 충돌방지 특성은 서로 다른 두 입력값 $x, y$에 대해 해시값이 같아지는 $h(x) = h(y)$인 쌍을 찾는 것이 계산적으로 불가능해야 함을 의미합니다. 따라서 찾는 것이 어렵지 않아야 한다는 설명은 틀렸습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

63. RSA 암호화 방식에서 공개키가 (7,33), 개인키가 (3,33)일 경우, 공개키로 암호화 한 값이 3이라고 할 때 이를 복호화 한 값은 무엇인가?

  1. 99
  2. 27
  3. 2,187
  4. 343
(정답률: 54%)
  • RSA 복호화는 개인키 $d$와 공개 모듈러스 $n$을 이용하여 암호문 $C$를 평문 $M$으로 되돌리는 과정입니다.
    ① [기본 공식] $M = C^d \pmod{n}$
    ② [숫자 대입] $M = 3^3 \pmod{33}$
    ③ [최종 결과] $M = 27$
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

64. CRL에 포함되어야 하는 기본 필드에 속하지 않는 것은?

  1. 버전(Version)
  2. 서명 알고리즘(Signature)
  3. 다음 발급일자(Next Update)
  4. 인증서 효력정지 및 폐지 목록 번호(CRL Number)
(정답률: 45%)
  • CRL(인증서 폐기 목록)의 기본 필드는 버전, 서명 알고리즘, 발급자, 발급 시각, 다음 발급 예정 시각, 폐기된 인증서 목록으로 구성됩니다.

    오답 노트
    인증서 효력정지 및 폐지 목록 번호(CRL Number): 기본 필드가 아닌 확장 필드에 해당합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

65. RADIUS 프로토콜의 기본 기능과 가장 거리가 먼 것은?

  1. 인증
  2. 계정 관리
  3. 권한 부여
  4. 책임추적성
(정답률: 62%)

  • RADIUS의 3A (AAA) 구성 요소

    구분단계의미설명
    1Authentication인증"당신은 누구입니까?" (ID/PW 확인)
    2Authorization인가"무엇을 할 수 있습니까?" (권한 부여)
    3Accounting계정 관리"무엇을 했습니까?" (사용 기록 및 과금)

  • RADIUS 프로토콜은 네트워크 접속 시 사용자 이름과 암호를 통해 외부 사용자를 인증하고, 계정 관리 및 권한 부여를 수행하는 AAA(Authentication, Authorization, Accounting) 프로토콜입니다. 책임추적성은 RADIUS의 기본 기능 범위에 포함되지 않습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

66. 한국형 암호 알고리즘은 무엇인가?

  1. SEED
  2. ARIA
  3. HIGHT
  4. LEA
(정답률: 42%)
  • 국가보안기술연구소에서 2013년 개발한 LEA는 2019년 국제표준으로 제정된 경량 블록 암호 알고리즘으로, 낮은 전력 소비와 높은 처리량 덕분에 사물인터넷(IoT) 환경에 최적화되어 있습니다.

    오답 노트
    SEED, ARIA, HIGHT: KISA에서 개발한 블록 암호 알고리즘
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

67. 해시함수 h의 성질에 관한 설명 중 틀린 것은?

  1. 역상저항성은 주어진 임의의 출력값 y에 대해 y =h(x)를 만족하는 입력값 x를 찾는 것이 계산적으로 불가능한 성질이다.
  2. 두 번째 역상 저항성은 주어진 입력값 x에 대해 h(x)=h(x')를 만족하는 다른 입력값 x'을 찾는 것이 계산적으로 불가능한 성질이다.
  3. 충돌 저항성은 h(x)=h(x')를 만족하는 두 입력값 x와 x'을 찾는 것이 계산적으로 불가능한 성질이다.
  4. 충돌 저항성은 역상 저항성을 보장한다.
(정답률: 61%)
  • 충돌 저항성은 서로 다른 두 입력값 $x, x'$에 대해 $h(x)=h(x')$가 되는 쌍을 찾는 것이 불가능한 성질이며, 이는 두 번째 역상 저항성을 보장하지만 역상 저항성을 직접적으로 보장하는 관계는 아닙니다.

    오답 노트
    역상저항성: 출력값 $y$로부터 입력값 $x$를 찾는 것이 불가능함
    두 번째 역상 저항성: 특정 입력값 $x$와 같은 출력값을 갖는 다른 입력값 $x'$를 찾는 것이 불가능함
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

68. 암호 알고리즘 공격 방법은 무엇인가?

  1. 암호문 단독 공격
  2. 기지 평문 공격
  3. 선택 평문 공격
  4. 선택 암호문 공격
(정답률: 52%)
  • 공격자가 암호기에 직접 접근하여 자신이 선택한 평문을 입력하고, 그에 대응하는 암호문을 얻어내어 키를 추정하는 방식은 선택 평문 공격입니다.

    오답 노트
    암호문 단독 공격: 정보 없이 암호문만으로 해독
    기지 평문 공격: 이미 알고 있는 일부 평문-암호문 쌍을 이용
    선택 암호문 공격: 선택한 암호문에 대한 평문을 얻어 복호화 키를 탐색
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

69. Kerberos 키 분배 프로토콜의 기반 기술에 해당하는 것은?

  1. Needham-Schroeder 프로토콜
  2. Challenge-Response 프로토콜
  3. Diffie-Hellman 프로토콜
  4. RSA 이용 키 분배 프로토콜
(정답률: 59%)
  • Kerberos는 인증 서버를 통해 세션 키를 안전하게 공유하는 대칭키 기반 키 분배 프로토콜로, Needham-Schroeder 프로토콜을 핵심 설계 기반으로 합니다.

    오답 노트
    Challenge-Response 프로토콜: 신원 검증을 위한 인증 방식
    Diffie-Hellman 프로토콜: 공개키 기반의 키 교환 방식
    RSA 이용 키 분배 프로토콜: 공개키 암호 방식을 이용한 키 분배
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

70. 다음 지문이 설명하는 해시(Hash) 함수에 해당하는 것은?

  1. MD4
  2. MD5
  3. SHA-1
  4. SHA-256
(정답률: 48%)
  • 128비트 출력, 512비트 블록 단위 처리, 4라운드 64단계 구성이라는 특징을 가진 해시 함수는 MD5입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

71. 전자서명이 갖추어야 할 조건이 아닌 것은?

  1. 개인키를 알고 있는 서명자만 서명을 생성할 수 있다.
  2. 서명자를 누구든지 검증할 수 있다.
  3. 문서의 해시값에 서명하므로 생성된 서명은 다른 문서에 재사용할 수 있다.
  4. 서명자는 자신의 서명 사실을 부인할 수 없다.
(정답률: 66%)
  • 전자서명은 특정 문서의 해시값에 대해 서명하므로, 해당 서명은 오직 그 문서에만 유효하며 다른 문서에 재사용하는 것은 불가능합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

72. 다음 지문이 설명하는 키 교환 방식은?

  1. KDC 교환 방식
  2. RSA 키 교환방식
  3. Diffie-Hellman 키 교환방식
  4. 사전공유 키 교환방식
(정답률: 52%)
  • 양 당사자가 완성된 키를 직접 교환하지 않고, 서로 주고받은 특정 정보를 통해 동일한 키를 계산하여 공유하는 방식은 Diffie-Hellman 키 교환방식입니다.

    오답 노트
    KDC 교환 방식: 중앙 집중식 키 분배 센터를 통해 키 공유
    RSA 키 교환 방식: 공개 키를 이용해 키를 암호화하여 교환
    사전공유 키 교환 방식: 통신 전 미리 공유된 비밀 키 사용
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

73. 전자서명의 요구사항으로 가장 적절하지 않은 것은?

  1. 전자서명을 위조하는 것이 계산적으로 실행 불가능해야 한다.
  2. 전자서명 생성이 비교적 용이해야 한다.
  3. 기억장소에 전자서명의 복사본을 유지하는 것이 실용적이어야 한다.
  4. 위조와 부인을 방지하기 위하여 수신자에 대한 정보를 사용해야 한다.
(정답률: 59%)
  • 전자서명은 송신자의 신원을 증명하고 부인방지를 제공하는 기술로, 서명 생성 시 수신자에 대한 정보를 사용하는 것은 핵심 요구사항이 아닙니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

74. 블록암호 모드는 무엇인가?

  1. 암호 블록체인 모드(Cipher Block Chaining Mode)
  2. 암호 피드백 모드(Cipher Feedback Mode)
  3. 출력 피드백 모드(Output Feedback Mode)
  4. 카운터 모드(Counter Mode)
(정답률: 55%)
  • 이전 암호문을 암호화한 결과와 평문을 XOR하여 암호문을 생성하며, 스트림 암호처럼 작동하는 방식은 암호 피드백 모드(Cipher Feedback Mode)입니다.

    오답 노트
    암호 블록체인 모드(CBC): 이전 블록의 암호문과 현재 평문을 XOR 후 암호화
    출력 피드백 모드(OFB): IV를 반복 암호화해 키 스트림 생성 후 평문과 XOR
    카운터 모드(CTR): 증가하는 카운터 값을 암호화해 키 스트림 생성 후 평문과 XOR
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

75. 공개키 암호화 방식에 대한 설명으로 옳은 것은?

  1. 고급 데이터 암호화 기법
  2. DES(Data Encryption Standard)
  3. 부인방지 및 인증 지원
  4. 암호화 속도가 빠름
(정답률: 54%)
  • 공개키 암호화 방식은 암호화 키와 복호화 키가 서로 다른 비대칭 키 구조를 가집니다. 이를 통해 송신자의 신원을 확인하는 인증과, 나중에 메시지를 보낸 사실을 부인할 수 없게 하는 부인방지 기능을 제공하는 것이 핵심 특징입니다.

    오답 노트
    고급 데이터 암호화 기법, DES: 대칭키 암호화 방식입니다.
    암호화 속도가 빠름: 대칭키 방식에 비해 연산량이 많아 속도가 느립니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

76. 해시함수에 대한 내용으로 옳지 않은 것은?

  1. 정보의 무결성을 확인하기 위한 목적으로 사용한다.
  2. 해시함수는 일방향성, 충돌 회피, 효율성의 특징이 있다.
  3. SHA-1 함수는 MD5보다 조금 느리지만 보안성 측면에서 좀 더 안전하다.
  4. 인증에서 증명 용도로 사용될 수 있다.
(정답률: 35%)
  • 해시함수는 임의의 길이를 가진 메시지를 고정된 길이의 값으로 변환하여 데이터의 무결성을 확인하는 도구입니다. 해시값 자체만으로는 누가 보냈는지 증명하는 인증 용도로 직접 사용할 수 없으며, 이를 위해서는 디지털 서명과 같은 추가적인 메커니즘이 필요합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

77. ㉠, ㉡, ㉢에 들어갈 내용으로 적절한 것은?

  1. ㉠ 취약점 ㉡ 위협 ㉢ 위험
  2. ㉠ 위험 ㉡ 위협 ㉢ 취약점
  3. ㉠ 위험 ㉡ 취약점 ㉢ 위험
  4. ㉠ 취약점 ㉡ 위험 ㉢ 위협
(정답률: 66%)
  • 이미지 내의 문맥을 통해 위험 관리의 핵심 개념을 구분하는 문제입니다.
    1. 백신 미업데이트로 인해 발생한 시스템의 약점은 ㉠ 취약점입니다.
    2. 이 취약점을 이용하여 시스템을 공격하는 외부 요인(바이러스)은 ㉡ 위협입니다.
    3. 위협이 취약점을 통해 실제로 발생시킬 수 있는 피해 가능성은 ㉢ 위험입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

78. 생체인증 기술의 정확성을 나타내는 FRR(False Rejection Rate)과 FAR(False Acceptance Rate)에 대해서 잘못 설명한 것은?

  1. 시스템에 접근하려 할 때 FRR이 낮으면 사용자 편의성이 증대된다.
  2. 시스템에 접근하려 할 때 FAR이 높으면 사용자 편의성이 증대된다.
  3. 시스템의 생체인증 보안성을 강화하게 되면 FRR이 높아진다.
  4. 시스템의 생체인증 보안성을 강화하게 되면 FAR이 높아진다.
(정답률: 59%)
  • 보안성을 강화한다는 것은 인증 기준을 엄격하게 잡는다는 의미입니다. 기준이 엄격해지면 정당한 사용자를 거부하는 FRR(오거부율)은 높아지지만, 타인을 잘못 허용하는 FAR(오인식률)은 낮아져야 보안성이 향상됩니다.

    오답 노트
    시스템의 생체인증 보안성을 강화하게 되면 FAR이 높아진다: 보안 강화 시 FAR은 낮아져야 합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

79. 공격과 이를 방어하는 기술로 알맞게 짝지어진 것은?

  1. 키 추측공격 – 의사난수 알고리즘, 키 길이 확대
  2. 중간자공격 – 대칭암호, 공개키 암호
  3. 재전송공격 – 순서번호, 타임스탬프, 비표
  4. 위조공격 – 일방향 해시함수, 메시지 인증 알고리즘
(정답률: 58%)
  • 이미지 설명과 같이 공격자가 가로챈 메시지와 MAC을 그대로 반복해서 보내는 공격을 재전송공격이라고 합니다. 이를 방어하기 위해 메시지에 순서번호를 부여하거나, 타임스탬프를 사용해 유효 시간을 제한하고, 일회용 난수인 비표(Nonce)를 사용하여 동일한 메시지의 중복 수신을 차단합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

80. 다음 지문은 Diffie-Hellman 키 사전 분배에 대한 내용을 설명한 것이다. ㉠~㉣에 들어가야 할 단어로 옳은 것은?

  1. ㉠ 이산대수문제 ㉡ 큰 정수 ㉢ 공개키 ㉣ 개인키
  2. ㉠ 이산대수문제 ㉡ 큰 소수 ㉢ 개인키 ㉣ 공개키
  3. ㉠ 소인수분해문제 ㉡ 큰 정수 ㉢ 개인키 ㉣ 공개키
  4. ㉠ 소인수분해문제 ㉡ 큰 소수 ㉢ 공개키 ㉣ 개인키
(정답률: 59%)
  • Diffie-Hellman 키 교환 방식은 이산대수문제의 계산적 어려움을 이용한 알고리즘입니다. 키 분배 센터는 매우 큰 소수 $p$를 선정하고, 가입자는 자신만의 개인키를 선정하여 이를 기반으로 계산된 공개키를 생성해 공개합니다.

    오답 노트
    소인수분해문제: RSA 알고리즘의 기반이 되는 원리입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

5과목: 정보보안 관리 및 법규

81. BCP의 접근 5단계 방법론을 순차적으로 올바르게 나열한 것은?

  1. 프로젝트의 범위 설정 및 기획 → 복구전략 개발 → 사업영향평가 → 복구계획 수립 → 프로젝트의 수행 테스트 및 유지보수
  2. 프로젝트의 범위 설정 및 기획 → 사업영향평가 → 복구전략 개발 → 복구계획 수립 → 프로젝트의 수행 테스트 및 유지보수
  3. 프로젝트의 범위 설정 및 기획 → 복구계획 수립 → 사업영향평가 → 복구전략 개발 → 프로젝트의 수행 테스트 및 유지보수
  4. 프로젝트의 범위 설정 및 기획 → 복구계획 수립 → 복구전략 개발 → 사업영향평가 → 프로젝트의 수행 테스트 및 유지보수
(정답률: 56%)
  • BCP(Business Continuity Planning)의 접근 방법론은 기획 후 영향 분석, 전략 수립, 세부 계획 작성, 테스트 및 유지보수 순으로 진행됩니다.
    정답 순서: 프로젝트의 범위 설정 및 기획 $\rightarrow$ 사업영향평가 $\rightarrow$ 복구전략 개발 $\rightarrow$ 복구계획 수립 $\rightarrow$ 프로젝트의 수행 테스트 및 유지보수
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

82. '사이버위기경보'의 등급 중 복수 정보통신서비스제공자(ISP)망에 장애 또는 마비가 발생하였을 경우, 발령하는 경보의 단계는 무엇인가?

  1. 심각 단계
  2. 경계 단계
  3. 주의 단계
  4. 관심 단계
(정답률: 51%)
  • "복수 정보통신서비스제공자(ISP)망에 장애 또는 마비"는 네트워크 기반의 전국적인 사이버 침해 또는 공격이 실제로 실행된 상황으로 가장 높은 단계인 ‘심각’ 단계에 해당합니다.
  • 사이버위기경보 단계 중 경계 단계는 복수 정보통신서비스제공자(ISP)망에 장애 또는 마비가 발생하였을 때 발령하는 단계입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

83. 정보통신기반보호법에 따르면 관리기관의 장은 대통령령이 정하는 바에 따라 정기적으로 소관 주요정보통신기반시설의 취약점을 분석⋅평가하여야 한다. 이때 관리기관의 장은 특정 기관으로 하여금 소관 주요정보통신기반시설의 취약점을 분석⋅평가하게 할 수 있는데, 그에 속하지 아니 하는 기관은?

  1. 한국인터넷진흥원
  2. 국가정보원
  3. 대통령령이 정하는 기준을 충족하는 정보공유⋅분석센터
  4. 정부출연 연구기관 등의 설립⋅운영 및 육성에 관한법률의 규정에 의한 한국전자통신연구원
(정답률: 54%)
  • 정보통신기반보호법에 따라 관리기관의 장은 한국인터넷진흥원, 대통령령이 정하는 기준을 충족하는 정보공유·분석센터, 한국전자통신연구원 등 전문 기관에 취약점 분석·평가를 위탁할 수 있습니다. 국가정보원은 이러한 위탁 대상 기관에 해당하지 않습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

84. A기업은 정보보호관리체계 수립을 위한 일환으로 보호해야 할 정보자산을 식별하고 식별된 정보자산에 대한 가치평가를 하려고 한다. 이때 정보자산의 가치평가에 사용하는 평가항목으로 적절하지 않은 것은?

  1. 무결성 평가
  2. 가용성 평가
  3. 기밀성 평가
  4. 부인방지 평가
(정답률: 76%)
  • 정보자산의 가치평가는 정보보안의 3대 요소인 기밀성, 무결성, 가용성을 기준으로 평가하는 것이 일반적입니다. 부인방지는 정보보안의 속성 중 하나이나, 자산 가치평가의 기본 평가항목으로는 적절하지 않습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

85. 「정보보호산업의 진흥에 관한 법률」에 따른 '정보보호 공시제도'에 관한 설명이다. 가장 거리가 먼 것은?

  1. 정보보호 공시제도는 정보보호에 대한 기업의 투자 현황 및 활동을 공개하여 주주의 알권리를 확보하고, 투자자들에게 투자정보를 제공하기 위한 제도이다.
  2. 정보보호 공시제도는 이용자들에게 정보보호에 대한 기업의 투자 현황과 활동을 공개하여 정보보호에 대한 기업의 투자를 촉진하기 위한 제도이다.
  3. 정보보호 공시제도는 기업의 책임 하에 제공되는 정보이지만 공시내용의 투명성 확보를 위해 정부는 모니터링 점검단을 통해 정기적으로 공시내용에 대한 정확성을 검증한다.
  4. 정보보호 공시제도를 통해 해당 기업의 정보보호 관련 투자현황, 전문인력현황, 인증현황, 정보보호 위반 관련 행정처분 내역 등을 알 수 있다.
(정답률: 35%)
  • 정보보호 공시제도는 투자 현황, 전담인력 현황, 인증·평가·점검 사항, 이용자 보호 활동 현황을 공개하는 제도입니다.

    오답 노트
    정보보호 위반 관련 행정처분 내역: 공시 항목에 포함되지 않음
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

86. 정보통신기반보호법상 중앙행정기관의 장은 소관분야의 정보통신기반시설 중 전자적 침해행위로부터의 보호가 필요하다고 인정되는 정보통신기반시설을 주요정보통신기반시설로 지정할 수 있는데, 이 경우에 고려할 사항으로 명시되지 않은 것은?

  1. 당해정보통신기반시설을 관리하는 기관이 수행하는 업무의 국가 사회적 중요성
  2. 침해사고가 발생할 경우 국제적으로 미칠 수 있는 피해의 범위
  3. 다른 정보통신기반시설과의 상호 연계성
  4. 침해사고의 발생가능성 또는 그 복구의 용이성
(정답률: 45%)
  • 정보통신기반보호법상 주요정보통신기반시설 지정 시 고려사항은 업무의 국가 사회적 중요성, 다른 시설과의 상호 연계성, 침해사고의 발생 가능성 및 복구 용이성입니다. 국제적 피해 범위는 명시된 고려사항이 아닙니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

87. 다음은 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」상 정보통신망에 유통되어서는 안 되는 불법정보 관련 조항을 나열한 것이다. 실제 내용과 다른 것은 무엇인가?

  1. 음란한 부호⋅문언⋅음향⋅화상 또는 영상을 배포⋅판매⋅임대하거나 공공연하게 전시하는 내용의 정보
  2. 법령에 따라 금지되는 사행행위에 해당하는 내용의 정보
  3. 사람을 비방할 목적으로 공공연하게 사실이나 거짓의 사실을 드러내어 타인을 모욕하는 내용의 정보
  4. 공포심이나 불안감을 유발하는 부호⋅문언⋅음향⋅화상 또는 영상을 반복적으로 상대방에게 도달하도록 하는 내용의 정보
(정답률: 47%)
  • 정보통신망법 제44조의7에 따라 유통이 금지되는 불법정보는 사람을 비방할 목적으로 공공연하게 사실이나 거짓의 사실을 드러내어 타인의 명예를 훼손하는 내용의 정보입니다.

    오답 노트
    타인을 모욕하는 내용: '모욕'이 아니라 '명예훼손'이 정확한 법적 정의임
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

88. 다음 중 「개인정보 보호법」의 개인정보 보호 원칙이 아닌 것은 무엇인가?

  1. 개인정보를 익명 또는 가명으로 처리하여도 개인정보 수집목적을 달성할 수 있는 경우 익명처리가 가능한 경우에는 익명에 의하여, 익명처리로 목적을 달성할 수 없는 경우에는 가명에 의하여 처리될 수 있도록 하여야 한다.
  2. 개인정보의 처리 목적에 필요한 범위에서 개인정보의 독립성, 객관성 및 공정성이 보장되도록 하여야 한다.
  3. 개인정보의 처리 목적에 필요한 범위에서 적합하게 개인정보를 처리하여야 하며, 그 목적 외의 용도로 활용하여서는 아니 된다.
  4. 개인정보 처리방침 등 개인정보의 처리에 관한 사항을 공개하여야 하며, 열람청구권 등 정보주체의 권리를 보장하여야 한다.
(정답률: 40%)
  • 개인정보 보호법의 원칙에 따르면 개인정보의 처리 목적에 필요한 범위에서 개인정보의 정확성, 안전성 및 최신성이 보장되도록 하여야 합니다.

    오답 노트
    독립성, 객관성 및 공정성: 법적 보호 원칙인 정확성, 안전성, 최신성과 일치하지 않음
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

89. 조직의 위험평가 수립 및 운영에 대한 사항으로 가장 적절하지 않은 것은?

  1. 위험관리 계획에 따라 위험평가를 연 1회 이상 정기적으로 또는 필요한 시점에 수행하여야 한다. 매년 위험평가 대상에 변동이 없어도 위험평가는 수행되어야 한다.
  2. 위험관리를 위한 수행인력, 기간, 대상, 방법, 예산 등의 방법 및 절차를 구체화한 위험관리 계획을 수립하여야 하며, 위험평가 참여자는 위험관리를 운영하는 IT 부서 또는 정보보호 부서 인력으로 구성된다.
  3. 위험관리를 위한 위험평가 방법 선정은 베이스라인 접근법, 상세위험 분석법, 복합 접근법, 위협 및 시나리오 기반 등의 다양한 방법론 중에서 해당 조직에 맞는 방법론을 선정하고 유지하여야 한다. 선정한 방법론을 운영하는 과정에서 해당 조직에 적절하지 않다고 판단하여 위험분석 방법론을 변경하여도 상관없다.
  4. 조직에서 수용 가능한 목표 위험수준을 정하고 그 수준을 초과하는 위험을 식별하여야 한다. 수용 가능한 목표 위험수준(DoA, Degree of Assurance)을 정보보호 최고책임자 등 경영진 의사결정에 의하여 결정하여야 한다.
(정답률: 47%)
  • 위험평가는 조직의 전체적인 자산과 위험을 분석하는 과정이므로, IT나 정보보호 부서 인력뿐만 아니라 현업 부서(자산 소유자) 등 다양한 이해관계자가 참여하여 실질적인 위험을 식별해야 합니다.

    오답 노트
    위험평가 참여자 구성: IT 또는 정보보호 부서 인력으로만 구성하는 것은 적절하지 않으며, 현업 부서의 참여가 필수적입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

90. 디지털 저작권에 관련된 사항 중 적절하지 않은 것은?

  1. 본인이 촬영하고 편집한 동영상은 저작물에 따로 등록하지 않아도 저작권이 적용될 수 있다.
  2. 온라인 비대면 수업과 회의 참가자의 사진을 허락없이 촬영하여 업로드한 경우 초상권 침해가 될 수 있다.
  3. 공공 데이터포털에서 공개하고 있는 데이터의 경우 저작권자는 공개한 공공기관이므로 공공데이터는 별도의 저작권자의 이용 허락 없이 활용할 수 있다.
  4. 비영리적 목적으로 사용하도록 승인한 공개 소프트웨어는 개인, 기업 모두 자유롭게 사용할 수 있다.
(정답률: 53%)
  • 비영리적 목적으로 사용하도록 승인된 소프트웨어는 승인 조건(비영리)을 준수해야 하므로, 영리 기업이 자유롭게 사용할 수 없습니다.

    오답 노트
    본인이 촬영하고 편집한 동영상: 저작권은 창작과 동시에 발생하는 무방식주의를 따르므로 등록 없이도 보호됩니다.
    온라인 비대면 수업 사진 업로드: 당사자 동의 없는 촬영 및 게시물 업로드는 초상권 침해에 해당합니다.
    공공 데이터포털 데이터: 공공데이터법에 따라 이용 허락 없이 활용 가능한 데이터가 존재합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

91. 개인정보 보호책임자의 책임 및 역할로 가장 적절하지 않은 것은 무엇인가?

  1. 개인정보 처리와 관련한 불만의 처리 및 피해 구제
  2. 개인정보 유출 및 오용⋅남용 방지를 위한 내부통제시스템의 구축
  3. 개인정보파일의 현행화 작성
  4. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
(정답률: 52%)
  • 개인정보 보호책임자는 개인정보 처리 실태 조사, 내부통제시스템 구축, 불만 처리 및 피해 구제 등 전반적인 관리와 감독 역할을 수행합니다.

    오답 노트
    개인정보파일의 현행화 작성: 이는 보호책임자의 관리 감독 대상인 실무 담당자가 수행해야 할 구체적인 행정 작업입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

92. 「정보통신망법」 제44조의9에 의거하여 일정 규모 이상의 정보통신서비스제공자가 운영 및 관리하는 정보통신망을 통하여 일반에게 공개되어 유통되는 정보의 유통을 방지하기 위한 불법촬영물 등 유통 방지 책임자를 지정하도록 되어 있는 기준에 해당되지 않는 것은 무엇인가?

  1. 「영유아보육법」 제15조의4제3호에 따른 영상정보
  2. 「아동⋅청소년의 성보호에 관한 법률」 제2조제5호에 따른 아동⋅청소년성착취물
  3. 「성폭력범죄의 처벌 등에 관한 특례법」 제14조의2에 따른 편집물⋅합성물⋅가공물 또는 복제물
  4. 「성폭력범죄의 처벌 등에 관한 특례법」 제14조에 따른 촬영물 또는 복제물
(정답률: 69%)
  • 정보통신망법 제44조의9에 따른 불법촬영물 등의 유통 방지 책임자 지정 대상은 아동·청소년성착취물, 성폭력범죄의 처벌 등에 관한 특례법에 따른 촬영물, 복제물, 편집물, 합성물, 가공물 등이 해당됩니다.

    오답 노트
    「영유아보육법」 제15조의4제3호에 따른 영상정보: 불법촬영물 유통 방지 책임자 지정 기준에 포함되지 않는 정보입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

93. 「정보통신망법」 제22조의2에 의거하여 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한이 아닌 경우에 고지해야 할 사항이다. 다음 중 가장 적절하지 않은 것은?

  1. 접근권한이 필요한 이유
  2. 접근권한이 필요한 정보 및 기능의 항목
  3. 접근권한이 필요한 기간
  4. 접근권한 허용에 대하여 동의하지 아니할 수 있다는 사실
(정답률: 50%)
  • 정보통신망법 제22조의2에 따라 서비스 제공을 위해 단말기 내 정보 및 기능에 접근하려는 경우, 이용자가 명확히 인지할 수 있도록 고지하고 동의를 받아야 합니다. 이때 접근권한이 필요한 이유, 필요한 정보 및 기능의 항목, 동의 거부 권리 등은 반드시 고지해야 하지만, 접근권한이 필요한 기간은 법적 필수 고지 사항에 해당하지 않습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

94. 개인정보 영향평가 시 고려할 사항으로 가장 거리가 먼 것은?

  1. 처리하는 개인정보의 수
  2. 개인정보의 제3자 제공 여부
  3. 정보주체의 권리를 해할 가능성 및 그 위험 정도
  4. 개인정보의 위탁 관리 여부
(정답률: 50%)
  • 개인정보 영향평가는 개인정보 파일의 처리로 인해 정보주체의 프라이버시에 미칠 영향을 분석하는 과정입니다. 처리하는 개인정보의 수, 제3자 제공 여부, 정보주체의 권리 침해 가능성 및 위험 정도는 핵심 고려 사항이지만, 단순한 위탁 관리 여부는 영향평가의 직접적인 결정 요인으로 보기 어렵습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

95. 다음 중 개인정보보호법에서 정의하는 개인정보를 수집할 있는 경우에 해당되지 않는 것은?

  1. 정보주체의 동의를 받는 경우
  2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
  3. 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우
  4. 정보주체의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 개인정보처리자의 권리보다 우선하는 경우
(정답률: 68%)
  • 개인정보는 원칙적으로 정보주체의 동의가 필요하며, 법령 준수나 계약 이행 등 불가피한 경우에만 수집 가능합니다. 정당한 이익을 달성하기 위해 필요한 경우에는 개인정보처리자의 정당한 이익이 정보주체의 권리보다 명백하게 우선하는 경우에 한하여 수집할 수 있으므로, 정보주체의 이익이 우선한다는 설명은 틀린 내용입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

96. 「개인정보 보호법」에 의해 정보주체는 자신의 개인정보처리와 관련하여 권리를 가지는데, 다음 중 정보주체의 권리로 적절하지 않은 것은 무엇인가?

  1. 개인정보의 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리
  2. 개인정보의 처리 정지, 정정 삭제 및 파기를 요구할 권리
  3. 개인정보의 처리에 관한 정보를 제공할 권리
  4. 개인정보의 처리로 인하여 발생한 피해를 신속하고 공정한 절차에 따라 구제받을 권리
(정답률: 58%)
  • 개인정보 보호법상 정보주체는 자신의 개인정보가 어떻게 처리되는지 알 권리와 결정할 권리를 가집니다. 정보주체는 정보를 제공받을 권리를 가지는 것이지, 개인정보의 처리에 관한 정보를 제공할 의무나 권리를 가지는 것이 아닙니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

97. 침해사고 발생 대응 방법론의 일반적인 수행과정의 순서로 올바른 것은?

  1. 사고 전 준비 → 초기대응 → 사고탐지 → 대응전략 체계화 → 보고서 작성 → 사고조사
  2. 사고 전 준비 → 사고탐지 → 초기대응 → 대응전략 체계화 → 사고조사 → 보고서 작성
  3. 사고 전 준비 → 사고탐지 → 초기대응 → 사고조사 → 대응전략 체계화 → 보고서 작성
  4. 사고 전 준비→ 사고탐지 → 대응전략 체계화 → 초기대응 → 사고조사 → 보고서 작성
(정답률: 43%)
  • 침해사고 대응 방법론은 사고 발생 전부터 사후 보고까지 체계적인 단계로 진행됩니다. 사고 전 준비를 통해 기반을 다지고, 사고탐지로 이상 징후를 발견한 뒤, 초기대응으로 피해 확산을 막고, 대응전략 체계화와 사고조사를 거쳐 최종 보고서를 작성하는 순서가 올바릅니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

98. 정보보호 최고책임자가 수행하는 정보보호 업무와 관련 없는 것은?

  1. 정보보호 관리체계의 수립 및 관리⋅운영
  2. 개인정보보호 업무
  3. 침해사고의 예방 및 대응
  4. 중요 정보의 암호화 및 보안서버의 적합성 검토
(정답률: 49%)
  • 정보보호 최고책임자(CISO)는 정보보호 관리체계 수립, 침해사고 예방 및 대응, 암호화 및 보안서버 검토 등 전반적인 정보보안 업무를 총괄합니다. 다만, 개인정보보호 업무는 일반적으로 개인정보 보호책임자(CPO)의 고유 권한이자 책임 영역입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

99. 정보보안의 위험 관리 과정에서 조직의 보안 요구사항에 대한 효과적인 식별 및 효율적인 위험의 감소를 실현하기 위해 세부적인 위험 분석 방법들이 존재한다. <보기>에서 설명하는 (가)에 해당하는 위험 분석 방법으로 가장 옳은 것은?

  1. 비정형 접근법
  2. 복합 접근법
  3. 상세위험 분석
  4. 베이스라인 접근법
(정답률: 71%)
  • 모든 시스템에 대해 표준화된 보안 대책을 제시하고, 체크리스트 형태로 보안 대책의 적용 여부를 판단하여 미적용된 대책을 보완하는 위험 분석 방법은 베이스라인 접근법입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

100. 개인정보 보호법에 따르면 정보주체의 동의 외에도 당초 수집 목적과 합리적으로 관련된 범위 내에서 개인정보를 추가 활용할 수 있도록 허용하고 있다. 다음 중 그 합리성을 판단하는 기준과 거리가 먼 것은?

  1. 당초 개인정보를 수집한 목적과 관련성이 있는지 여부
  2. 정보주체의 이익을 부당하게 침해하는지 여부
  3. 개인정보의 추가적인 이용 또는 제공에 대한 예측 가능성이 있는지 여부
  4. 개인정보처리자의 정당한 이익을 달성하기 위해 필요한 경우로 명백히 정보주체 권리보다 우선하는 경우인지 여부
(정답률: 59%)
  • 개인정보 보호법상 개인정보의 추가 활용을 위한 합리성 판단 기준은 수집 목적과의 관련성, 예측 가능성, 정보주체의 이익 침해 여부를 중심으로 판단합니다. 개인정보처리자의 정당한 이익이 정보주체의 권리보다 명백히 우선한다고 해서 합리적 기준으로 인정되는 것은 아닙니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

< 이전회차목록 다음회차 >