정보보안기사 필기 기출문제복원 (2021-09-04)

정보보안기사 2021-09-04 필기 기출문제 해설

이 페이지는 정보보안기사 2021-09-04 기출문제를 CBT 방식으로 풀이하고 정답 및 회원들의 상세 해설을 확인할 수 있는 페이지입니다.

정보보안기사
(2021-09-04 기출문제)

목록

1과목: 시스템 보안

1. NTFS 파일 시스템의 메타 데이터 해당하지 않는 것은?

  1. $MFT
  2. $Logfile
  3. $Volume
  4. $Bios
(정답률: 67%)
  • NTFS 파일 시스템의 메타데이터 파일에는 MFT($MFT), 트랜잭션 저널($Logfile), 볼륨 정보($Volume), 부트 레코드($Boot), 보안 정보($Secure) 등이 포함됩니다. $Bios는 파일 시스템의 메타데이터가 아니라 하드웨어 펌웨어와 관련된 영역입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

2. 다음 지문에서 설명하는 공격은 무엇인가?

  1. 힙 오버플로우 공격
  2. 레이스 컨디션 공격
  3. 스택 오버플로우 공격
  4. 코드 기반 공격
(정답률: 88%)
  • 두 프로세스가 동일한 자원을 사용하기 위해 경쟁하는 상태를 이용하여, 시스템 프로그램의 권한(root 권한 등)으로 파일에 접근하는 공격 방식은 레이스 컨디션 공격입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

3. 리눅스에서 새로 생성되는 사용자 계정의 홈 디렉터리는 .bashrc 등과 같이 모든 사용자가 필요로 하는 파일들을 만들어줄 필요가 있다. 이러한 공통 파일들을 미리 만들어 특정 디렉터리에 넣어두면 사용자 계정 생성 시 자동복사 되도록 설정할 수 있는데, 이러한 용도의 디렉터리는 무엇인가?

  1. /etc/init
  2. /etc/services
  3. /etc/login.defs
  4. /etc/skel
(정답률: 50%)
  • /etc/skel 디렉터리는 새로운 사용자 계정 생성 시 홈 디렉터리에 자동으로 복사될 기본 설정 파일(.bashrc, .profile 등)들을 미리 저장해두는 용도로 사용됩니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

4. 2016년에 처음 발견되었으며 IP 카메라나 가정용 라우터와 같은 IoT 장치를 주요 공격 대상으로 삼는 DDoS 공격용 봇넷 악성코드는 무엇인가?

  1. 님다
  2. 미라이
  3. 스턱스넷
  4. SQL 슬래머
(정답률: 83%)
  • 미라이는 2016년에 발견된 봇넷 악성코드로, 주로 IP 카메라나 가정용 라우터와 같은 IoT 장치의 취약점을 공격하여 DDoS 공격용 좀비 PC 네트워크를 구축합니다.

    오답 노트
    님다: 윈도우 서버 대상 파일 감염 바이러스
    스턱스넷: 산업시설(핵시설 등)을 파괴하는 웜 바이러스
    SQL 슬래머: MS SQL 서버의 버퍼 오버플로우 버그를 이용한 웜
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

5. 다음 지문에서 설명하는 내용은 스푸핑 공격 중 어떤 공격에 해당하는가?

  1. DHCP 스푸핑
  2. IP 스푸핑
  3. DNS 스푸핑
  4. ARP 스푸핑
(정답률: 89%)
  • 제시된 이미지 의 내용은 IP 주소를 MAC 주소로 대응시키는 ARP 프로토콜의 취약점을 이용해, 공격자가 자신의 MAC 주소를 거짓으로 지정하여 패킷 흐름을 조작하는 ARP 스푸핑에 대한 설명입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

6. 디지털저장매체 중 하드디스크 구조에서 물리적으로는 할당된 공간이지만 논리적으로는 사용할 수 없는 공간을 무엇이라고 하는가?

  1. 슬랙
  2. CHS
  3. 클러스터
  4. 확장 공간
(정답률: 70%)
  • 하드디스크 구조에서 물리적으로는 공간이 할당되었으나, 논리적으로는 파일 시스템에 의해 사용되지 않고 남아 있는 빈 공간을 슬랙(Slack)이라고 합니다.

    오답 노트
    CHS: 실린더, 헤드, 섹터로 구성된 물리적 기하학적 구조
    클러스터: 파일 시스템의 논리적 데이터 저장 단위
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

7. 윈도우 레지스트리 키 중에서 파일의 각 확장자에 대한 정보와 프로그램의 맵핑 정보가 저장된 키로 옳은 것은?

  1. HKEY_CLASSES_ROOT
  2. HKEY_CURRENT_USER
  3. HKEY_FILE_EXT
  4. HKEY_LOCAL_MACHINE
(정답률: 62%)
  • HKEY_CLASSES_ROOT는 파일 확장자에 대한 정보와 해당 파일을 실행할 프로그램의 맵핑 정보를 저장하는 레지스트리 키입니다.

    오답 노트
    HKEY_CURRENT_USER: 현재 로그인한 사용자의 설정 및 프로필 정보 저장
    HKEY_LOCAL_MACHINE: 하드웨어 및 운영 체제 등 컴퓨터 전체의 구성 정보 저장
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

8. 다음 지문에서 설명하고 있는 시스템 보안은?

  1. TPM
  2. SRM
  3. SAM
  4. SID
(정답률: 61%)
  • 이미지 에서 설명하는 시스템은 암호 연산을 하드웨어로 처리하여 보안을 강화하고, 인증된 부트 및 암호화 키 저장 기능을 제공하는 TPM(Trusted Platform Module)입니다.

    오답 노트
    SRM: OS 보안 기능을 관리하는 소프트웨어 구성 요소
    SAM: 윈도우 사용자 계정 및 암호 관리 시스템
    SID: 윈도우 사용자/그룹 고유 식별자
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

9. 아래 지문의 척도들과 가장 관련성이 높은 보안 서비스는?

  1. 기밀성
  2. 무결성
  3. 가용성
  4. 유지보수성
(정답률: 77%)
  • 제시된 의 가동시간(Up Time), 정지시간(Down Time), 평균 장애시간(MTTF), 평균 복구시간(MTTR)은 모두 시스템이 중단 없이 정상적으로 서비스를 제공하는 능력을 측정하는 지표이므로 가용성과 가장 관련이 깊습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

10. IoT 위협 및 보안에 대한 설명으로 올바르지 않은 것은?

  1. 홈가전 IoT 제품의 보안 요구사항에는 시큐어 코딩, 알려진 보안약점 및 취약점 제거, 최신 제3자(3rd party) 소프트웨어 사용 등이 있다.
  2. 홈캠, 네트워크 카메라 등의 네트워크 제품에 대한 주요 보안 위협에는 사진 및 동영상을 공격자의 서버 및 이메일로 전송하는 것이 있다. 이에 대한 원인으로는 접근통제 및 전송 데이터 보호의 부재가 있다.
  3. 시큐어 코딩이 적용되지 않은 스마트 홈가전 제품의 경우 입력 데이터 검증 및 표현, 보안 기능, 시간 및 상태, 에러처리 등에서 보안 취약점이 발생할 수 있다.
  4. 스마트 홈가전 제품의 데이터 기밀성 및 무결성을 위해 안전한 암호인 MD5, SHA-1 등의 사용이 권장된다.
(정답률: 82%)
  • MD5와 SHA-1은 충돌 공격에 취약하여 현재는 보안 표준을 충족하지 못하는 취약한 해시 함수입니다. 데이터의 기밀성과 무결성을 위해서는 SHA-256, SHA-3와 같은 강력한 해시 함수나 AES, RSA 등의 안전한 암호 알고리즘 사용이 권장됩니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

11. 기존 파일 시스템에 새로운 파일 시스템을 하위 디렉터리로 연결하기 위해 사용하는 명령어는 무엇인가?

  1. mkfs
  2. mount
  3. fsck
  4. mknod
(정답률: 84%)
  • 파일 시스템을 특정 디렉터리에 연결하여 사용할 수 있게 만드는 명령어는 mount입니다.

    오답 노트
    mkfs: 파일 시스템 생성
    fsck: 파일 시스템 검사 및 복구
    mknod: 디바이스 파일 생성
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

12. ㉠에 들어갈 내용으로 적절한 것은?

  1. 해시 암호화 패스워드 파일
  2. 섀도(Shadow) 패스워드 파일
  3. 익명(Anonymity) 패스워드 파일
  4. PAM(Pluggable Authentication Module) 패스워드 파일
(정답률: 80%)
  • 유닉스/리눅스 시스템에서는 보안 강화를 위해 암호화된 패스워드 정보를 일반 사용자가 접근할 수 없는 /etc/shadow 파일에 저장하여 관리합니다. 이를 섀도(Shadow) 패스워드 파일이라고 합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

13. [그림1]은 어떤 리눅스 시스템에 존재하는 특정 /home 디렉터리와 그 아래에 존재하는 디렉터리 및 파일들의 속성 중 name, permission, user, group 등에 대한 정보만 요약한 것이며, [그림2]는 이 시스템에 존재하는 /etc/group 파일의 일부분이다. 이를 통하여 확인할 수 있는 파일 및 디렉터리의 permission에 관한 설명 중 올바르지 않은 것은?

  1. user1이란 사용자는 /home/user1 디렉터리로 이동할 수 있다
  2. user2란 사용자는 exam.txt란 파일의 내용을 읽을 수 있다.
  3. user3란 사용자는 exam.txt란 파일을 삭제할 수 있다.
  4. 시스템 내에 존재하는 user4란 사용자는 /home/user1 디렉터리로 이동할 수 없다.
(정답률: 76%)
  • 해당 디렉터리의 쓰기 권한이 있어야 파일의 쓰기 권한이 생김
  • 파일의 삭제 권한은 해당 파일 자체가 아니라, 그 파일이 포함된 '부모 디렉터리'의 쓰기($w$) 권한에 의해 결정됩니다. 에서 /home/user1 디렉터리의 권한은 $drwxr-x---$이며, 소유자 user1만 쓰기 권한을 가집니다. user3은 security 그룹 소속으로 읽기($r$)와 실행($x$) 권한만 있으므로, 내부 파일인 exam.txt를 삭제할 수 없습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

14. 로그파일은?

  1. btmp
  2. wtmp
  3. syslog
  4. messages
(정답률: 45%)
  • 리눅스의 messages 로그 파일은 syslog.conf에서 지정된 내용을 제외한 모든 일반적인 시스템 메시지를 기록하며, 특히 버퍼 오버플로우 공격과 같은 시스템 장애 정보를 포함하고 있어 정보량이 매우 많습니다.

    오답 노트
    btmp: 로그인 실패 정보 저장
    wtmp: 성공한 로그인/로그아웃 정보 저장
    syslog: 시스템 로그의 일반적인 명칭 또는 서비스
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

15. 랜섬웨어에 해당하지 않는 것은?

  1. 페트야(Petya)
  2. 크립토월(CryptoWall)
  3. 워너크라이(WannaCry)
  4. 크립토재커(CryptoJacker)
(정답률: 56%)

  • 1,2,3은 모두 랜섬웨어이지만

    4번 크립토재커는 피해자 PC로 몰래 코인 채굴하는 악성코드입니다.

  • 랜섬웨어는 파일이나 시스템 액세스를 차단하고 금전을 요구하는 악성 소프트웨어입니다. 크립토재커는 금전 요구가 아니라 사용자 몰래 암호화폐를 채굴하는 것이 목적인 소프트웨어이므로 랜섬웨어에 해당하지 않습니다.

    오답 노트
    페트야, 크립토월, 워너크라이: 모두 파일을 암호화하거나 부팅을 방해하여 금전을 요구하는 대표적인 랜섬웨어입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

16. 서버의 파일 시스템에 대한 시간 속성이 잘못 기술된 것은?

  1. mtime: 파일을 생성하거나 내용을 수정한 시간
  2. atime: 최근 파일을 읽거나 실행시킨 시간
  3. ctime: 파일 속성이 변경된 시간
  4. rtime: 파일을 실시간 실행시킨 시간
(정답률: 70%)
  • 파일 시스템의 시간 속성 중 rtime이라는 표준 속성은 존재하지 않으며, 파일의 실시간 실행 시간을 기록하는 속성 또한 정의되어 있지 않습니다.

    오답 노트
    mtime: 파일의 내용이 수정된 시간
    atime: 파일에 마지막으로 접근(읽기/실행)한 시간
    ctime: 파일의 메타데이터(속성)가 변경된 시간
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

17. 다음에서 설명하고 있는 것은 무엇인가?

  1. sudo
  2. PAM
  3. Batch file
  4. Shell script
(정답률: 74%)
  • 리눅스에서 응용 프로그램이 사용자 인증 방법을 선택할 수 있게 해주는 공유 라이브러리 묶음으로, 프로그램의 재컴파일 없이 인증 방법을 변경할 수 있는 모듈형 인증 시스템은 PAM입니다.

    오답 노트
    sudo: 다른 사용자 권한으로 명령어 실행
    Batch file: 윈도우용 명령어 스크립트
    Shell script: 리눅스/유닉스용 명령어 스크립트
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

18. 윈도우 NTFS 파일 시스템의 특징으로 옳지 않은 것은?

  1. 파일과 폴더에 개별 권한을 설정할 수 있어 강력한 보안정책 설정이 가능하다.
  2. 이벤트 뷰어를 사용하여 MFT(Master File Table)의 내용을 확인할 수 있다.
  3. FAT 파일 시스템에 없는 보안 속성(사용자 접근제어) 정보를 내장하고 있다.
  4. 파일 압축 및 암호화를 위한 구조를 갖는다.
(정답률: 65%)

  • MFT(Master File Table): NTFS의 심장과 같은 곳으로, 파일의 이름, 크기, 권한 등 모든 파일과 폴더의 메타데이터를 담고 있는 특수 파일입니다. 이는 파일 시스템 내부 구조이므로 일반적인 관리 도구인 '이벤트 뷰어'로는 절대 내용을 볼 수 없습니다.-FTK Imager, EnCase 같은 포렌식 도구나 전용 MFT 분석 툴을 사용해야 합니다.


    NTFS 암기 팁: "보.압.암.저"

    NTFS가 FAT보다 똑똑한 이유 4가지를 기억하세요!

    1. 보(보안): ACL을 통한 개별 권한 설정 (사용자별로 다르게!)

    2. 압(압축): 용량이 모자라면 파일 시스템에서 축 가능.

    3. 암(암호화): EFS로 파일 자체를 호화.

    4. 저(저널링): 갑자기 꺼져도 장된 로그로 복구 가능.[출처, 제미나이]

  • MFT(Master File Table)는 NTFS 파일 시스템의 핵심 메타데이터 저장소이며, 이는 파일 시스템 수준의 구조체입니다. 윈도우의 이벤트 뷰어는 시스템 로그 및 이벤트 기록을 확인하는 도구이지, MFT의 내부 내용을 직접 확인하는 도구가 아닙니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

19. rlogin 접속을 허용하는 설정 파일들로 올바르게 짝지어진 것은?

  1. /etc/hosts.allow, /etc/exports
  2. /etc/hosts.allow, /.rhosts
  3. /etc/hosts.equiv, /etc/exports
  4. /etc/hosts.equiv, /.rhosts
(정답률: 56%)
  • rlogin 접속 권한을 설정하는 파일은 특정 호스트나 사용자의 원격 로그인 접속을 허용하는 /etc/hosts.equiv와 사용자 홈 디렉터리에 위치하여 신뢰하는 호스트를 지정하는 /.rhosts입니다.

    오답 노트
    /etc/hosts.allow: TCP Wrappers를 통한 네트워크 서비스 접속 제어용 파일
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

20. 다음 지문에서 설명하고 있는 안전한 보안 인증 방식은?

  1. SSH(Secure Shell)
  2. SAM(Secure Access Module)
  3. SSO(Single Sign On)
  4. PAM(Pluggable Authentication Module)
(정답률: 73%)
  • 시스템 관리자가 응용 프로그램의 사용자 인증 방법을 선택할 수 있게 해주는 공유 라이브러리이며, 시스템 환경에 맞춰 다양한 인증 모듈을 추가하여 사용할 수 있는 방식은 PAM(Pluggable Authentication Module)입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

2과목: 네트워크 보안

21. ㉠에 들어갈 용어로 적절한 것은?

  1. Duplex Mode
  2. MAC 변조
  3. Promiscuous Mode
  4. ARP
(정답률: 76%)
  • Promiscuous Mode는 네트워크 카드(NIC)가 자신에게 오는 패킷뿐만 아니라 네트워크 상의 모든 패킷을 수신하도록 설정된 모드입니다. 스니퍼 탐지 도구는 인터페이스 카드가 이 모드로 동작하는지 확인하여 스니핑 수행 여부를 판별합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

22. 다음 지문에서 설명하는 공격 대응 방법은 무엇인가?

  1. DNS 라우팅
  2. DNS 스푸핑
  3. DNS 웜홀
  4. DNS 싱크홀
(정답률: 74%)
  • 악성봇에 감염된 PC가 해커의 C&C 서버(명령 제어 서버)로 연결을 시도할 때, DNS 응답을 조작하여 실제 주소가 아닌 가짜 주소(싱크홀 서버)로 유도함으로써 해커의 명령 전달을 차단하는 대응 방법은 DNS 싱크홀입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

23. Firewall, IDS, IPS의 비교 중 올바른 것으로 짝지어진 것은?

  1. ㉠, ㉢
  2. ㉡, ㉢
  3. ㉠, ㉣, ㉤
  4. ㉠, ㉢, ㉣
(정답률: 62%)
  • 제시된 표의 분석 결과, 올바른 설명은 다음과 같습니다.
    ㉠ Firewall은 패킷 차단이 가능합니다. (O)
    ㉢ IDS는 이상 탐지가 가능합니다. (O)
    ㉣ IPS는 세션 기반 탐지 기능을 장점으로 가집니다. (O)


    오답 노트
    ㉡ 오용 탐지는 IPS에서만 가능하며 Firewall, IDS에서는 불가능한 것으로 표시되어 있어 틀렸습니다.
    ㉤ IPS의 단점은 오탐 현상 발생 가능성입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

24. 다음 지문에서 설명하는 용어는 무엇인가?

  1. HSM
  2. 비트라커
  3. OTP
  4. TCB
(정답률: 65%)
  • 암호화, 복호화, 전자서명 등 암호 관련 연산을 빠르게 수행하고, 암호키의 생성 및 안전한 보관을 처리하는 하드웨어 장치는 HSM(Hardware Security Module)입니다. 민감한 키 정보를 하드웨어 내부에 격리하여 외부 노출을 차단하고 보안성을 극대화하는 것이 핵심입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

25. 침입차단시스템에 대한 설명으로 옳지 않은 것은?

  1. 패킷 필터링 방화벽은 패킷의 통과여부를 결정하기 위해 프로토콜 종류, 출발지 또는 목적지 IP 주소, TCP/UDP 포트 번호 등을 이용한다.
  2. 응용 게이트웨이 방식 방화벽은 내부망으로 패킷이 전송되는 것을 방지할 수 있으며 사용자 인증 기능도 제공할 수 있다.
  3. 상태 기반 패킷 검사(SPI) 방식 방화벽은 프로토콜 종류, 출발지 또는 목적지 IP 주소, TCP/UDP 포트 번호 외에 패킷의 데이터 부분에 대한 점검도 수행하지만, nmap 도구에 의해 ACK 스캔을 차단하지 못하는 단점이 있다.
  4. 심층 패킷 분석(DPI) 방식 방화벽은 패킷의 데이터 부분에 포함된 바이러스 등 악성코드를 검사할 수 있다.
(정답률: 68%)
  • 상태 기반 패킷 검사(SPI) 방식 방화벽은 패킷의 상태를 추적하여 필터링 결정을 내리며, nmap의 ACK 스캔과 같은 비정상적인 연결 시도를 효과적으로 차단할 수 있습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

26. 서비스의 가용성과 성능뿐만 아니라 DDoS 공격 대응에도 효과적이서 최근 Anycast DNS가 많이 도입되어 있다. 다음 중 이 기술에 대해 잘못 설명한 것은?

  1. 사용자가 접속에 사용하는 IP 주소의 패킷은 해당 주소를 갖는 가장 가까운 호스트로 라우팅된다.
  2. 주요 라우팅 프로토콜로 OSPF가 사용된다.
  3. IPv4/IPv6 anycast 모두 적용 가능하다.
  4. 1.1.1.1이나 8.8.8.8 등의 Public DNS뿐만 아니라 kr root DNS 등이 대표적인 예이다.
(정답률: 46%)
  • Anycast DNS는 여러 네트워크 간의 최적 경로를 설정하기 위해 OSPF가 아닌 BGP(Border Gateway Protocol)를 주요 라우팅 프로토콜로 사용합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

27. 다음 지문에서 설명하는 시스템으로 옳은 것은?

  1. SIEM
  2. UTM
  3. EMS
  4. ESM
(정답률: 67%)
  • 이미지에서 설명하는 시스템은 정형·비정형 데이터와 보안 로그를 통합 관리하고, 실시간 분석을 통해 위협을 예측하며 컴플라이언스 보고서 생성 및 포렌식 역할을 수행하는 SIEM(Security Information and Event Management)입니다.

    오답 노트
    UTM: 방화벽, IPS 등 여러 보안 기능을 하나로 통합한 장비
    EMS: 기업용 모바일 디바이스 및 앱 관리 솔루션
    ESM: 기업 전반의 보안 정책과 시스템을 관리하는 솔루션
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

28. ㉠, ㉡, ㉢, ㉣에 들어갈 내용으로 적절한 것은?

  1. ㉠ LAND ㉡ SYN Flooding ㉢ Smurf ㉣ DoS
  2. ㉠ SYN Flooding ㉡ Smurf ㉢ LAND ㉣ Sniffing
  3. ㉠ SYN Flooding ㉡ LAND ㉢ Smurf ㉣ DoS
  4. ㉠ LAND ㉡ Smurf ㉢ SYN Flooding ㉣ Sniffing
(정답률: 83%)
  • 제시된 이미지의 설명에 따라 각 공격 기법을 매칭하면 다음과 같습니다.
    ㉠ SYN Flooding: TCP 3-Way Handshaking의 Half-Open 상태를 이용한 공격
    ㉡ LAND: 출발지와 목적지 IP를 공격 대상의 IP로 동일하게 설정하는 공격
    ㉢ Smurf: ICMP Request 메시지를 브로드캐스트하여 대량의 응답을 유도하는 공격
    ㉣ DoS: 위와 같은 서비스 거부 공격들의 일반적인 형태
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

29. 애플리케이션 계층 취약점을 이용하는 공격유형과 거리가 먼 것은?

  1. Heartbleed
  2. Memcached DDoS
  3. Meltdown, Spectre
  4. Shell Shock
(정답률: 42%)
  • Memcached DDoS는 애플리케이션 취약점이 아니라 UDP 프로토콜을 악용한 네트워크 계층의 증폭 공격 유형이므로 정답입니다.

    오답 노트
    Heartbleed: OpenSSL 라이브러리 결함을 이용한 애플리케이션 계층 공격
    Meltdown, Spectre: CPU 설계 결함을 이용해 애플리케이션 계층에서 메모리 정보를 탈취하는 공격
    Shell Shock: Bash 쉘 취약점을 이용한 애플리케이션 계층 공격
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

30. 스푸핑 공격에 따른 침해사고 발생 시 네트워크 기반 증거의 출처 장비 중 물리적인 포트와 MAC 주소 간의 매핑을 저장하는 CAM 테이블을 포함하고 있으며, 조사관이 트래픽을 캡처하거나 저장할 수 있는 플랫폼을 갖는 장비는 무엇인가?

  1. 방화벽
  2. 스위치
  3. IDS
  4. IPS
(정답률: 67%)
  • 스위치는 MAC 주소와 물리적 포트의 매핑 정보를 저장하는 CAM(Content Addressable Memory) 테이블을 관리하며, 포트 미러링 기능을 통해 조사관이 트래픽을 캡처하거나 저장할 수 있는 플랫폼을 제공합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

31. 다음 지문에서 설명하는 ICMP 메시지 타입은?

  1. Source Quench
  2. Destination Unreachable
  3. Time Exceeded
  4. Parameter Problem
(정답률: 64%)
  • 네트워크 혼잡으로 인해 데이터그램이 유실될 때, 송신측에 통신량을 줄이라고 요청하여 흐름 제어 및 혼잡 제어 역할을 수행하는 메시지는 Source Quench입니다.

    오답 노트
    Destination Unreachable: 목적지 도달 불가 시 통보
    Time Exceeded: TTL 초과 시 통보
    Parameter Problem: IP 헤더 필드 오류 시 통보
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

32. 다음 중 파일을 안전하게 전송하기 위하여 SSH(Secure Shell)를 사용하는 프로토콜은?

  1. SFTP(Secure FTP)
  2. TFTP(Trivial FTP)
  3. FTPS(FTP-SSL)
  4. HTTPS(HTTP-Secure)
(정답률: 76%)
  • SFTP(Secure FTP)는 SSH(Secure Shell) 프로토콜을 사용하여 인증 및 데이터 전송 과정을 암호화함으로써 파일을 안전하게 전송하는 프로토콜입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

33. 무선 네트워크 보안 프로토콜에 관한 다음 설명 중 틀린 것은?

  1. WEP, WPA, WPA2 모두 통신 기기들에 대한 인증과 메시지 암호화 기능을 제공한다.
  2. WEP에서는 암호 강도가 높지 않은 RC4를 암호화 알고리즘으로 사용하였으며, AES 기반의 강력한 암호화 방식을 의무화한 것은 WPA에서부터이다.
  3. WEP에서는 인증이나 암호화에 사전 공유키를 사용할 수 있지만, WPA나 WPA2에서처럼 동적으로 암호키를 변경하는 기능을 제공하지는 않는다.
  4. WPA, WPA2 등에서는 WEP에는 없는 엔터프라이즈 모드를 제공하며, 엔터프라이즈 모드에서는 인증 및 키 관리 기능을 수행하는 중앙 서버를 이용할 수 있다.
(정답률: 58%)
  • 2번입니다. AES 기반의 암호화 방식을 의무화한건 WPA가 아니고 WPA2입니다.
  • 답 3번아님?
  • WEP가 RC4 알고리즘을 사용한 것은 맞지만, AES 기반의 강력한 암호화 방식을 의무화하여 도입한 것은 WPA가 아니라 WPA2부터입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

34. 네트워크 방화벽(Firewall)의 주요 기능과 거리가 먼 것은?

  1. 접근 제어
  2. 로깅과 감사 추적
  3. 인증
  4. 개인정보 마스킹
(정답률: 75%)
  • 네트워크 방화벽의 핵심 기능은 접근 제어, 로깅 및 감사 추적, 인증 등을 통해 네트워크 트래픽을 통제하는 것입니다. 개인정보 마스킹은 데이터베이스나 애플리케이션 레벨에서 수행하는 데이터 보호 조치로, 방화벽의 주요 기능과는 거리가 멉니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

35. Smurf 공격은 보통 라우터가 패킷을 받아서 다른 포트로 forwarding할 때 목적지 IP 주소의 네트워크 부분만 참조하고 라우팅 테이블을 검색하여 패킷을 전달하는 점을 이용한 공격 방법이다. Source IP 주소를 자신의 IP 주소가 아닌 공격대상 시스템의 IP 주소로 변조한 후 subnet의 broadcast 주소로 ICMP Echo Request를 보내면 이 패킷은 라우터를 거쳐서 특정 네트워크에 도착하여 모든 시스템이 받게 된다. 그러면 네트워크의 모든 시스템은 위조된 IP 주소로 ICMP Echo Reply 패킷을 전송하게 된다. 결과적으로 시스템은 Congestion 상태에 빠지게 되어 심각한 서비스 장애를 일으킨다. 이러한 공격 방법을 방지하기 위한 설명 중 내용이 적절하지 못한 것은?

  1. 라우터에서 Direct Broadcast를 Disable시킨다.
  2. IP Broadcast 주소로 도착한 ICMP 패킷에 대한 Reply를 금지시킨다.
  3. 라우터의 Ingress Filtering을 이용하여 Spoof된 패킷을 막는다.
  4. 65,535byte보다 큰 ICMP Echo 패킷을 IP Fragmentation을 이용하여 전송한다.
(정답률: 79%)
  • Smurf 공격은 ICMP Echo Request의 브로드캐스트와 소스 IP 스푸핑을 이용한 공격입니다. 패킷의 크기나 IP Fragmentation(단편화)은 이 공격의 원리 및 방어 방법과 관계가 없습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

36. VPN을 구현하는 프로토콜과 해당 프로토콜이 속하는 계층이 바르게 연결된 것은?

  1. L2TP – Data Link Layer
  2. SSH – Session Layer
  3. IPSec – Transport Layer
  4. SSL – Network Layer
(정답률: 69%)
  • L2TP는 OSI 7계층 중 데이터 링크 계층(Data Link Layer)에서 동작하는 VPN 프로토콜입니다.

    오답 노트
    SSH: 응용 계층(Application Layer)
    IPSec: 네트워크 계층(Network Layer)
    SSL: 전송 계층과 응용 계층 사이에서 동작
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

37. 파일에 숨겨진 악성코드만 골라 막는 콘텐츠 보안 솔루션으로 파일을 분해해 악성파일 혹은 불필요한 파일을 제거하고 콘텐츠는 원본과 동일하게 새로운 파일을 만드는 솔루션은?

  1. CDR(Content Disarm & Reconstruction)
  2. WAF(Web Application Firewall)
  3. DLP(Data Loss Prevention)
  4. 스팸 필터 솔루션
(정답률: 77%)
  • CDR(Content Disarm & Reconstruction)은 파일에서 악성 코드나 불필요한 요소를 제거(Disarm)한 후, 안전한 콘텐츠만으로 원본과 동일한 형태의 새로운 파일을 재구성(Reconstruction)하는 보안 솔루션입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

38. 침입 탐지에 대한 설명 중 옳은 것은?

  1. 침입을 하는 전문적인 집단으로 CERT가 있다.
  2. Honey pot을 이용하면 공격자의 행동 정보를 수집할 수 있다.
  3. 침입을 탐지 못하고, 통과시키는 것을 False Positive라고 한다.
  4. 내부 공격자의 위협을 줄이기 위해서는 보안 설정을 Blacklist 방식으로 해야 한다.
(정답률: 67%)
  • Honeypot은 공격자를 유인하기 위해 의도적으로 취약하게 만든 시스템으로, 침입자의 행동, 도구, 공격 방법을 분석하고 정보를 수집하는 데 사용됩니다.

    오답 노트
    CERT: 보안 사고 대응 및 예방 조직
    False Positive: 정상 행위를 공격으로 오탐지한 경우 (침입을 통과시키는 것은 False Negative)
    Blacklist: 내부 공격자 위협 감소를 위해서는 허용된 대상만 통과시키는 Whitelist 방식이 효과적
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

39. 올바르지 않은 것은?

  1. TCP SYN 플러딩 공격은 서버의 시스템 자원에 대한 공격이며, 일반 사용자들이 서버로 접속을 못하도록 하는 공격으로 서버 측의 대기 큐의 크기를 늘리는 방법이 대응 방안이 될 수 있다.
  2. 스머프 공격은 UDP 플러딩 공격으로 IP 주소의 브로드캐스트 주소대역을 이용한다.
  3. Teardrop 공격은 IP 단편들이 서로 중첩되도록 IP 패킷 헤더를 조작해서 수신 측의 IP 패킷의 재조합 과정에서 오류를 발생시키도록 하는 공격이나, 최신 운영체제로의 업데이트로 문제를 해결할 수 있다.
  4. HTTP GET 플러딩 공격은 공격자가 에이전트 다수에게 원격에서 명령을 보내어 동시에 특정 웹 페이지를 요청하는 형태로 공격이 이루어질 수 있으며, DDoS 공격 대응 장비에서 임계치 기반 방어 기법을 사용하면 해결에 도움이 된다.
(정답률: 51%)
  • 답 2번아님?
  • 스머프 공격은 UDP 플러딩 공격이 아니라, ICMP Echo Request(에코 요청) 패킷을 브로드캐스트 주소로 전송하여 대량의 ICMP Echo Reply(에코 응답)를 유도하는 공격입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

40. 아래의 결과를 보았을 때 이 네트워크는 어떠한 공격에 취약하다고 추측할 수 있는가?

  1. Land Attack
  2. Smurf Attack
  3. Syn Flooding Attack
  4. Ping of Death Attack
(정답률: 55%)
  • 이미지 를 보면 브로드캐스트 주소인 $202.102.233.255$로 단 한 번의 ping을 보냈음에도 불구하고, 네트워크 내의 여러 호스트($202.102.233.207, 194, 193, 214$ 등)로부터 응답이 오고 있습니다. 이는 ICMP 브로드캐스트 응답을 허용하는 상태에서 공격자가 출발지 IP를 피해자로 위조하여 대량의 응답 패킷을 보내게 만드는 Smurf Attack에 취약함을 의미합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

3과목: 어플리케이션 보안

41. 다음 지문에서 설명하고 있는 API는?

  1. WebCrypto API
  2. REST API
  3. SOAP API
  4. Indexing API
(정답률: 50%)
  • 제시된 이미지 의 내용은 사용자 브라우저에서 실제 키 노출 없이 암호화, 복호화, 해싱, 전자서명 등을 수행하는 JavaScript API에 대한 설명이므로 WebCrypto API가 정답입니다.

    오답 노트
    REST API: HTTP 기반의 데이터 교환 아키텍처
    SOAP API: XML 기반의 엄격한 규격 API
    Indexing API: 검색 엔진의 인덱싱을 촉진하는 구글 API
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

42. 다음 중 DB 암호화 유형 중 애플리케이션의 수정 없이 사용될 수 있는 유형으로 올바르게 짝지어진 것은?

  1. Plug-In 유형 – API 유형
  2. TDE 방식 – 파일 암호화
  3. API 유형 – TDE 방식
  4. Plug-In 유형 – 파일 암호화
(정답률: 39%)
  • 애플리케이션의 코드 수정 없이 데이터베이스 수준에서 암호화를 적용하는 방식은 TDE 방식과 파일 암호화입니다. TDE는 저장소 수준에서 데이터를 자동 암호화하여 애플리케이션 수정 없이 전체 보호가 가능합니다.

    오답 노트
    API 유형: 데이터베이스에 직접 코드를 구현해야 하므로 수정이 필요함
    Plug-In 유형: 외부 플러그인을 설치하여 DB 내부 동작에 통합하는 방식으로, TDE/파일 암호화에 비해 애플리케이션 영향도가 다를 수 있음
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

43. CAPTCHA에 대한 설명으로 잘못된 것은?

  1. HIP(Human Interaction Proof) 기술의 일종이다.
  2. 웹사이트 회원가입 시 자동가입방지 등을 위해 사용된다.
  3. 튜링 테스트(Turing Test)라고도 부른다.
  4. 인공지능의 한계를 이용한 인증 기법이다.
(정답률: 59%)
  • CAPTCHA는 '컴퓨터와 인간을 구분하기 위한 자동화된 공개 튜링 테스트'의 약자로, 사람이 기계를 판별하는 역 튜링 테스트(Reverse Turing Test) 방식입니다. 따라서 이를 단순히 튜링 테스트라고 부르는 것은 적절하지 않습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

44. XML 기반의 보안기술에 대한 설명 중 옳지 않은 것은?

  1. XML Signature – 무결성 및 부인방지 기능
  2. XKMS – PKI 서비스 기능
  3. SAML – 가용성 보장 기능
  4. XACML – 접근제어 기능
(정답률: 56%)
  • SAML은 신원 제공자와 서비스 제공자 간에 인증 및 권한 정보를 교환하여 단일 로그인(SSO) 등을 구현하는 인증 및 권한 부여 표준이며, 가용성 보장 기능과는 거리가 멉니다.

    오답 노트
    XML Signature: 무결성 및 부인방지
    XKMS: 키 관리 및 인증 서비스
    XACML: 접근제어 정책 정의
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

45. WPKI에 대한 설명으로 적절하지 않은 것은?

  1. 무선 인터넷 상에서의 인터넷 뱅킹, 사이버 주식 거래 시 외부 침입이나 정보 누출로부터 보호받을 수 있도록 하는 무선 인터넷 공개키 기반 구조이다.
  2. PKI 기술의 핵심인 비밀성, 무결성 및 신원 확인과 부인방지 같은 서비스를 무선 환경에서 구현함으로써 무선 보안을 가능하게 한다.
  3. 모바일의 특성을 고려하지 않은 솔루션으로 무선 인터넷기기와 주고받는 데이터나 애플리케이션에 보안을 지원한다.
  4. 규격 내용은 전자서명, WTLS(Wireless Transport Layer Security) 인증서 프로파일, 인증서 DN(Distinguished Name), 인증서 및 알고리즘 관련 OID(Object Identifier) 등으로 구성되어 있다.
(정답률: 80%)
  • WPKI는 무선 인터넷 환경의 특성을 고려하여 설계된 공개키 기반 구조(PKI) 솔루션입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

46. 모바일 앱(App) 보안에 관한 내용으로 틀린 것은?

  1. 서비스 지속성을 위해 루팅이나 탈옥된 단말에서도 서비스가 정상적으로 동작되어야 한다.
  2. 정상 기능 오동작이나 취약점을 통해 배터리 고갈, 과도한 트래픽 유발, 허가되지 않은 주소로 정보 전송 등이 되어서는 안 된다.
  3. 디컴파일 도구를 이용 시 실행파일을 소스코드로 쉽게 변환시킬 수 있으며, 이를 이용하여 앱 위변조 발생이 가능하다. 이를 예방하기 위해 난독화 도구를 사용하여 패키징한 후 배포해야 한다.
  4. 앱 설치 시 비정상적인 파일/디렉터리가 생성되지 않아야 하며, 실행 시에는 불필요한 접근 권한이 존재해서는 안된다. 또한 앱 삭제 시에는 관련된 파일이 완전히 삭제되어야 한다.
(정답률: 81%)
  • 루팅이나 탈옥된 단말기는 관리자 권한이 탈취된 상태이므로, 보안 위협을 방지하기 위해 서비스를 제한하거나 차단하는 것이 올바른 보안 대책입니다.

    오답 노트
    정상 기능 오동작 방지, 난독화 도구 사용, 불필요한 접근 권한 제거 및 완전 삭제는 모두 적절한 앱 보안 조치입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

47. 다음 중 메일 서버의 구성요소로만 이루어진 것은?

  1. MUA, MTA, SPF
  2. MUA, URLBL, PGP
  3. IMAP, MDA, POP3
  4. SMTP, SPF, MTA
(정답률: 68%)
  • 메일 서버는 수신된 메일을 분석하여 전달하는 MTA, 사용자 메일함에 저장하는 MDA, 그리고 사용자가 메일을 가져갈 수 있게 돕는 MRA(IMAP, POP3 프로토콜 사용)로 구성됩니다. 따라서 IMAP, MDA, POP3가 메일 서버의 구성요소에 해당합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

48. 다음은 HTTP 프로토콜 중 Header 옵션에 대한 설명이다. 가장 알맞은 것은?

  1. Cookie
  2. User-Agent
  3. Cache-Control
  4. Content-Length
(정답률: 70%)
  • 제시된 이미지 의 내용은 특정 웹 리소스의 캐싱 여부를 설정하여 서버 부하를 조절하거나 보안을 유지하는 HTTP 헤더 옵션인 Cache-Control에 대한 설명입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

49. FTP Passive 모드에 대한 설명으로 옳지 않은 것은?

  1. 데이터 전송을 위해 1024번 이전 포트를 사용한다.
  2. 서버에서 클라이언트를 접속해야 하는 모순을 해결하기 위해 고안된 방식이다.
  3. 보안을 위해서는 서버에서 Passive 모드로 사용할 포트를 제한한다.
  4. 제어 전송을 위해 서버에서는 21번 포트를 사용한다.
(정답률: 69%)
  • FTP Passive 모드에서는 제어 전송에 21번 포트를 사용하며, 데이터 전송 시에는 서버가 클라이언트에게 1024번 이후의 임의의 포트를 알려주어 접속하게 합니다.

    오답 노트
    데이터 전송을 위해 1024번 이전 포트를 사용한다: Passive 모드는 1024번 이후의 포트를 사용합니다. (1024번 이전의 20번 포트를 사용하는 것은 Active 모드입니다.)
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

50. DNSSEC의 전자서명과 서명검증 절차를 지원하기 위하여 추가한 신규 리소스 레코드와 관련이 없는 것은?

  1. DNSCA
  2. DNSKEY
  3. RRSIG
  4. NSEC/NSEC3
(정답률: 29%)
  • DNSSEC에서 전자서명과 검증을 위해 사용되는 리소스 레코드는 DNSKEY, RRSIG, NSEC/NSEC3 등이 있습니다. DNSCA는 레코드가 아니라 인증서를 발급하고 관리하는 인증 기관(Certification Authority)을 의미하므로 관련이 없습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

51. 개발된 소스 코드를 살펴봄으로써 코드 상의 취약점을 찾는 방식은?

  1. Black Box Testing
  2. White Box Testing
  3. Green Box Testing
  4. Brown Box Testing
(정답률: 81%)
  • 소스 코드와 내부 구조를 직접 분석하여 취약점을 찾는 방식은 White Box Testing입니다.

    오답 노트
    Black Box Testing: 내부 구조를 모른 채 입력과 출력 기능만 테스트하는 방식
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

52. 메일 수신 서버 또는 웹 메일 서버로부터 전자우편 메시지를 자신의 컴퓨터 단말 장치로 전송받는 데 사용되는 프로토콜이 아닌 것은?

  1. IMAP(Internet Mail Access Protocol)
  2. RTP(Realtime Transport Protocol)
  3. POP(Post Office Protocol)
  4. HTTP(HyperText Transfer Protocol)
(정답률: 56%)
  • RTP(Realtime Transport Protocol)는 오디오나 비디오 스트리밍과 같은 멀티미디어 데이터를 실시간으로 전송하기 위한 프로토콜이며, 메일 수신용 프로토콜이 아닙니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

53. ㉠, ㉡에 들어갈 용어로 올바르게 짝지어진 것은?

  1. ㉠ 작업증명 ㉡ 채굴
  2. ㉠ 작업증명 ㉡ 송금
  3. ㉠ 지분증명 ㉡ 채굴
  4. ㉠ 지분증명 ㉡ 송금
(정답률: 79%)
  • 비트코인에서 대량의 해시 연산을 통해 조건에 맞는 난수를 찾는 알고리즘을 작업증명이라고 하며, 이 과정을 통해 새로운 블록을 추가하고 코인을 획득하는 행위를 채굴이라고 합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

54. HWP, TXT, PDF, 도면 등 업무에 사용하는 파일을 암호화하여, 외부자는 물론 허가된 내부자에 의한 주요 정보유출을 원천 차단함으로써 기업 정보 유출을 막는 솔루션은?

  1. IPS(Intrusion Prevention System)
  2. DRM(Digital Rights Management)
  3. ESM(Enterprise Security Management)
  4. VPN(Virtual Private Network)
(정답률: 59%)
  • DRM(Digital Rights Management)은 HWP, PDF 등 디지털 콘텐츠를 암호화하여 저작권을 보호하고, 허가된 사용자만 접근하게 함으로써 내부자의 정보 유출을 원천 차단하는 솔루션입니다.

    오답 노트
    IPS: 악성 활동 실시간 탐지 및 차단
    ESM: 기업 전체 보안 통합 관리 및 모니터링
    VPN: 공용 네트워크상에 암호화된 가상 전용선 구축
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

55. 다음 중 SSO에 대한 설명으로 적절하지 못한 것은?

  1. 하나의 아이디로 여러 사이트를 이용할 수 있는 시스템이다.
  2. 싱글사인온(SSO)을 사용하면 응용서비스 로그인 시간을 줄여준다.
  3. SSO를 이용하면 개별 애플리케이션 단위로 동일한 암호를 설정하게 되므로 편리하기는 하지만 보안의 입장에서는 권장하지 않는다.
  4. SSO 솔루션을 통해 직원이 어디서 어떤 응용서비스에 접속하여 무엇을 하는지에 대한 로그정보 저장이 가능하다.
(정답률: 65%)
  • SSO는 하나의 안전한 인증 메커니즘을 통해 여러 애플리케이션에 접근하는 시스템으로, 개별 애플리케이션마다 동일한 암호를 설정하는 방식이 아니며 오히려 보안성을 향상시킵니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

56. 디지털 포렌식의 원칙 중 어느 원칙에 대한 설명인가?

  1. 연계보관성의 원칙
  2. 정당성의 원칙
  3. 무결성의 원칙
  4. 재현의 원칙
(정답률: 77%)
  • 증거 수집부터 분석, 보관, 제출까지의 전 과정에서 담당자와 책임자를 명확히 하여 증거의 연관성을 유지하고 추적 가능하게 관리하는 원칙은 연계보관성의 원칙입니다.

    오답 노트
    정당성의 원칙: 적법한 절차와 권한에 따른 수집
    재현의 원칙: 동일 절차/도구 분석 시 동일 결과 도출
    무결성의 원칙: 수집 후 제출까지 변조 및 훼손 방지
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

57. 다음 지문이 설명하는 소프트웨어 보안 약점을 고르면?

  1. 크로스사이트 요청 위조 공격(CSRF)
  2. 크로스 사이트 스크립트(XSS)
  3. 경로 조작 및 자원 삽입
  4. SQL 삽입
(정답률: 72%)
  • 사용자가 인지하지 못한 상태에서 공격자가 의도한 행위(수정, 삭제, 등록 등)를 요청하게 만드는 공격은 크로스사이트 요청 위조 공격(CSRF)입니다.

    오답 노트
    크로스 사이트 스크립트(XSS): 브라우저에서 악의적인 스크립트 코드를 실행시키는 공격
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

58. 다음 지문에서 설명하는 것은?

  1. 이상행위 탐지시스템(FDS)
  2. 침입탐지시스템(IDS)
  3. 블록체인(Blockchain)
  4. SET(Secure Electronic Transaction)
(정답률: 73%)
  • 결제자의 정보를 수집해 패턴을 분석하고, 이와 다른 이상 결제 행위를 탐지하여 차단하는 빅데이터 기반의 보안 방식은 이상행위 탐지시스템(FDS)입니다.

    오답 노트
    침입탐지시스템(IDS): 네트워크/시스템의 비정상 활동 탐지
    블록체인(Blockchain): 분산 원장 기술
    SET(Secure Electronic Transaction): 전자 결제 보안 프로토콜
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

59. 다음 지문의 빈칸 ㉠, ㉡에 들어갈 내용이 올바르게 짝지어진 것은?

  1. A의 공개키, B의 개인키
  2. 비밀키, A의 개인키
  3. 비밀키, B의 공개키
  4. A의 개인키, B의 공개키
(정답률: 39%)
  • SET(Secure Electronic Transaction)에서 전자봉투를 생성하여 전송할 때, 전자봉투를 열기 위해 사용되는 대칭키인 비밀키와 수신자 B가 전자봉투를 복호화하는 데 필요한 B의 공개키가 필요합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

60. 다음 지문에서 설명하는 보안 기술은 무엇인가?

  1. SOAP(Security Orchestration Automation Platform)
  2. SOAR(Security Orchestration Automation and Response)
  3. SIEM(Security Information and Events Management)
  4. UEBA(User and Entity Behavior Analytics)
(정답률: 52%)
  • SOA, SIRP, TIP를 모두 포함하며, 보안 위협에 대한 대응 레벨을 자동 분류하고 표준화된 프로세스에 따라 사람과 기계가 협력하는 통합 대응 플랫폼은 SOAR(Security Orchestration Automation and Response)입니다.

    오답 노트
    SOAP: 보안 작업 자동화 플랫폼
    SIEM: 보안 정보 및 이벤트 관리 시스템
    UEBA: 사용자 및 엔터티 행동 분석 기술
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

4과목: 정보 보안 일반

61. 다음 지문이 설명하고 있는 암호 공격방식은?

  1. 암호문 단독 공격
  2. 기지 평문 공격
  3. 선택 평문 공격
  4. 선택 암호문 공격
(정답률: 69%)
  • 공격자가 암호기에 접근하여 자신이 직접 선택한 평문 $P$를 입력하고, 그에 대응하는 암호문 $C$를 얻어내어 키나 평문을 추정하는 방식은 선택 평문 공격의 핵심 정의입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

62. 수동적, 능동적 공격 방식의 예가 올바르게 짝지어진 것은?

(정답률: 84%)
  • 수동적 공격은 시스템에 영향을 주지 않고 정보를 수집하는 도청, 트래픽 분석 등이 해당하며, 능동적 공격은 데이터나 동작을 변경하는 삽입, 재생, 변조 공격 등이 해당합니다. 따라서 의 트래픽 분석(수동적)과 삽입공격(능동적) 조합이 올바릅니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

63. 블록 암호 알고리즘을 사용하여 메시지 인증 코드(MAC)를 생성할 때 가장 적합한 블록 암호 모드는 무엇인가?

  1. CBC 모드
  2. ECB 모드
  3. OFB 모드
  4. CTR 모드
(정답률: 61%)
  • 1. CBC (Cipher Block Chaining) 모드 - 가장 적합원리: 이전 단계의 암호문 블록이 다음 단계의 평문 블록과 XOR 연산되는 구조입니다.특징: 메시지의 마지막 블록 결과값이 이전의 모든 데이터에 의존하게 됩니다. 따라서 메시지 내에 단 1비트만 바뀌어도 최종 결과값(MAC)이 완전히 달라지므로 무결성 검증에 매우 효과적입니다.
  • CBC 모드는 이전 블록의 암호화 결과가 다음 블록에 연쇄적으로 영향을 주는 구조로, 데이터의 변조를 쉽게 탐지할 수 있어 메시지 인증 코드(MAC) 생성에 가장 적합합니다.

    오답 노트
    ECB 모드: 각 블록을 독립적으로 암호화하여 보안성이 낮음
    OFB/CTR 모드: 키 스트림을 생성하는 방식으로 오류 전파가 없거나 병렬 처리에 유리함
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

64. 인증 수단으로는 일반적으로 알고 있는 것, 자신의 모습, 가지고 있는 것, 위치하는 곳 등의 방식을 사용한다. 다음 인증 방식의 예로 옳지 않은 것은?

  1. 알고 있는 것(something you know) - 사용자 아이디, 아이디에 해당하는 패스워드, OTP(One Time Password) 생성기
  2. 자신의 모습(something you are) - 지문, 망막, 홍채
  3. 가지고 있는 것(something you have) - 스마트 카드, 신분증
  4. 위치하는 곳(somewhere you are) - 사용자 IP 주소, 콜백(call back)
(정답률: 68%)
  • 인증 수단 중 '알고 있는 것'은 패스워드와 같이 사용자의 기억에 의존하는 방식입니다. OTP 생성기는 사용자가 물리적으로 소유하고 있어야 하는 장치이므로 '가지고 있는 것'에 해당합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

65. 다음 중 사용자 인증 및 개인 식별에 대한 설명으로 옳지 않은 것은?

  1. 사용자 인증 기술은 A가 B에게 자신이 A임을 확인시켜 줄 수 있는 기술이다.
  2. 개인 식별 기술은 B가 C에게 자신이 B가 아니라고 확인시켜 줄 수 있는 기술이다.
  3. 개인을 식별하는 방법으로 지문(생체정보), 보안 토큰(사용자 소유), 비밀번호(사용자 지식) 등이 사용될 수 있다.
  4. 사용자 인증서 보안 요구사항으로는 식별과 인증, 인가 및 책임추적성 등을 들 수 있다.
(정답률: 77%)
  • 개인 식별 기술은 특정 사용자가 누구인지를 고유하게 식별하여, 자신이 해당 사용자임을 확인시켜 주는 기술입니다. 따라서 자신이 B가 아니라고 확인시켜 준다는 설명은 잘못되었습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

66. 다음 중 인증서 폐지 목록의 기본 영역에 포함되지 않는 것은?

  1. 서명 알고리즘
  2. 발급자
  3. 버전
  4. 유효 기간
(정답률: 42%)
  • 답 1번아님?
  • 인증서 폐지 목록(CRL)의 기본 영역은 버전, 서명 알고리즘, 발급자, 최근 발급 일자, 다음 발급 일자, 취소 인증서 목록, CRL 확장자, 발급자 서명으로 구성됩니다.

    오답 노트
    유효 기간: CRL 기본 영역에는 발급 일자와 다음 발급 일자가 포함되지만, 일반적인 인증서의 유효 기간과는 개념이 다르며 기본 영역 구성 요소에 해당하지 않습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

67. 다음은 접근통제가 이루어지는 과정을 설명한 것이다. 빈칸 ㉠에 공통적으로 들어갈 용어는?

  1. 상주엔진
  2. 접근통제 API
  3. 시스템호출
  4. 보안커널
(정답률: 48%)
  • 시스템 자원에 대한 모든 접근 요청을 가로채어 정의된 보안 규칙에 따라 허가 또는 거부하고, 그 기록을 남기는 핵심 모듈은 보안커널입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

68. 생체인식 기술이 가져야 할 보안 요구조건과 거리가 먼 것은?

  1. 보편성(Universality)
  2. 구별성(Uniqueness)
  3. 일시성(Temporality)
  4. 획득성(Collectability)
(정답률: 78%)
  • 생체인식 기술은 누구나 가지고 있어야 하며, 시간이 지나도 변하지 않고, 쉽게 얻을 수 있으며, 개인별로 고유해야 합니다.

    오답 노트
    일시성: 생체 특성은 시간이 지나도 변하지 않는 영구성(Permanence)을 가져야 하므로 일시성은 보안 요구조건과 거리가 멉니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

69. 다음 중 전자서명의 요구사항으로 가장 적절하지 않은 것은?

  1. 전자서명 생성이 비교적 용이해야 한다.
  2. 전자서명을 위조하는 것이 계산적으로 실행 불가능해야 한다.
  3. 기억장소에 전자서명의 복사본을 유지하는 것이 실용적이어야 한다.
  4. 위조와 부인을 방지하기 위하여 수신자에 대한 정보를 사용해야 한다.
(정답률: 53%)
  • 전자서명은 수신자의 정보가 아니라, 서명자의 신원 확인과 서명 데이터의 무결성을 보장함으로써 위조와 부인을 방지해야 합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

70. 다음 중 해시함수가 적용되는 분야를 모두 고른 것은?

  1. 가, 나
  2. 가, 나, 라
  3. 가, 나, 다, 라
  4. 나, 라
(정답률: 51%)
  • 해시함수는 단방향성 특징을 가지므로 전자서명, 메시지 인증, 패스워드 기반 암호화에 활용됩니다. 반면, 데이터 압축은 원래 데이터로의 복원이 가능해야 하므로 복원이 불가능한 단방향 해시함수와는 목적이 다릅니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

71. 다음은 메시지 인증 절차를 설명한 것이다. 괄호 안에 들어 갈 단어가 순서대로 나열된 것은?

  1. a 송신자 - b 개인키 - c 송신자 - d 공개키
  2. a 송신자 - b 개인키 - c 송신자 - d 개인키
  3. a 수신자 - b 개인키 - c 수신자 - d 공개키
  4. a 송신자 - b 공개키 - c 수신자 - d 개인키
(정답률: 60%)
  • 공개키로 암호화한다면? → "너만 읽어라" (보안/비밀번호 전달 등)

    개인키로 암호화한다면? → "내가 보낸 거 맞다" (전자서명/신원 확인)
  • 전자서명 과정에서 송신자는 자신의 개인키로 해시값을 암호화하여 서명하고, 수신자는 송신자의 공개키로 이를 복호화하여 검증합니다.
    따라서 빈칸은 순서대로 송신자, 개인키, 송신자, 공개키가 적절합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

72. 공개키 암호방식에 이용되는 이론적으로 풀기 어려운 수학 문제들은 대부분 소인수 분해 문제, 이산대수 문제, NP-complete 문제 등으로 분류할 수 있다. 다음 중 이산대수 문제에 기반한 공개키 알고리즘과 가장 거리가 먼 것은?

  1. ECC
  2. Knapsack
  3. DSA
  4. ElGamal
(정답률: 63%)
  • Knapsack은 제한된 무게 내에서 가치를 최대화하는 NP-완전(NP-complete) 조합 최적화 문제에 기반한 알고리즘입니다.

    오답 노트
    ECC, DSA, ElGamal: 이산대수 문제 기반 알고리즘
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

73. 패스워드는 사용자 인증에 흔히 사용되는 기법이지만 보안에 매우 취약한 문제가 있다. 다음 지문의 빈칸 ㉠에 들어갈 용어로 적절한 것은?

  1. 핀(PIN)
  2. 패스프레이즈(Passphrase)
  3. 풀(Pool)
  4. 사전(Dictionary)
(정답률: 78%)
  • 사용자가 기억하기 쉬운 단어들을 모아놓은 목록을 사전(Dictionary)이라고 하며, 공격자는 이 목록을 이용해 패스워드를 무작위로 대입하는 사전 공격을 수행합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

74. 자신의 비밀을 노출하지 않으면서 자신이 비밀을 알고 있다는 것을 증명하는 인증 방법은?

  1. 패스워드
  2. 영지식 인증
  3. 바이오매트릭스
  4. 시도-응답 인증
(정답률: 67%)
  • 영지식 인증은 자신이 특정 정보를 알고 있다는 사실을, 그 정보 자체를 상대방에게 노출하지 않고도 증명할 수 있는 보안 기술입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

75. 다음 지문에서 설명하는 암호방식은?

  1. 동형(Homomorphic) 암호화
  2. 형태보존(Format Preserving) 암호화
  3. 순서보존(Order Preserving) 암호화
  4. 블록체인(Block Chain) 암호화
(정답률: 52%)

  • 암호화된 데이터를 복호화하지 않고도 그 상태 그대로 연산이 가능하며, 그 결과가 평문을 연산하여 암호화한 결과와 동일한 방식은 동형(Homomorphic) 암호화입니다. 이는 개인정보 보호가 중요한 금융 및 의료 빅데이터 분석에 매우 유용합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

76. MAC에 대한 설명 중 잘못된 것은?

  1. 메시지 인증은 메시지 송수신자 사이에 문서의 위⋅변조공격에 대한 대응 방안으로 활용한다.
  2. MAC 생성에 키를 사용하는 해시함수가 널리 사용된다.
  3. MAC 자체만으로는 재전송 공격에 취약하다.
  4. 메시지 인증은 송신자와 수신자의 안전하고 훼손되지 않는 Key 관리가 목표이다.
(정답률: 51%)
  • 메시지 인증 코드(MAC)의 핵심 목적은 전송 중인 메시지가 위·변조되지 않았음을 보장하는 '무결성'과 '인증'에 있습니다.
    메시지 인증은 데이터의 변조 여부를 확인하는 것이지, 키 관리 자체가 목표가 아닙니다. 키 관리는 암호 시스템 전체의 기반 요소일 뿐 MAC의 개별 목적이 아닙니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

77. 다음 중 정보자원에 접근하기 위한 3단계 절차에 해당하지 않는 보안 요구사항은 무엇인가?

  1. 식별(Identification)
  2. 인증(Authentication)
  3. 인가(Authorization)
  4. 책임추적성(Accountability)
(정답률: 81%)
  • 정보자원 접근을 위한 표준 3단계 절차는 식별 $\rightarrow$ 인증 $\rightarrow$ 인가의 순서로 진행됩니다.
    1. 식별(Identification): 사용자가 누구인지 신원을 밝히는 단계
    2. 인증(Authentication): 밝힌 신원이 진짜인지 확인하는 단계
    3. 인가(Authorization): 확인된 사용자에게 적절한 권한을 부여하는 단계

    오답 노트
    책임추적성(Accountability): 접근 제어 이후 사용자의 행위를 기록하고 추적하는 사후 관리 개념입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

78. 메시지 인증 코드의 구조적 제약사항에 따른 재전송 공격을 막는 방법과 거리가 먼 것은?

  1. Sequence Number
  2. Hash
  3. Nonce
  4. Timestamp
(정답률: 62%)
  • 재전송 공격(Replay Attack)은 정상적인 메시지를 가로채 그대로 다시 보내는 공격입니다. 이를 막으려면 메시지마다 '고유성'이나 '시간성'을 부여해야 합니다.
    Sequence Number는 순서 번호를, Nonce는 일회성 난수를, Timestamp는 생성 시간을 통해 중복 여부를 검증하여 공격을 방어합니다.

    오답 노트
    Hash: 데이터 무결성 검증용이며, 동일한 메시지는 항상 동일한 해시값을 가지므로 단독으로는 재전송 공격을 막을 수 없습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

79. 다음 지문에서 설명하는 것은?

  1. SSO(Single Sign On)
  2. OAuth
  3. OpenID
  4. OIDC(OpenID Connect)
(정답률: 73%)

  • 용어

    		핵심 키워드한 줄 요약
    SSO자유이용권통합 로그인 (기업 내부망용)
    OAuth발렛 키권한을 빌려줌 (사진 가져오기 등)
    OpenID신분증신원을 증명함 (나 누구게?)
    OIDC신분증 달린 키OAuth 기반의 로그인 표준 (대세)

    1. SSO (Single Sign-On)

    "한 번의 로그인으로 여러 시스템을 통과한다"

    2. OAuth (Open Authorization)

    "내 비밀번호를 주지 않고도 제3자에게 권한을 빌려준다"

    3. OpenID (Open Identification)

    "어디서든 나임을 증명할 수 있는 공통 신분증"

    4. OIDC (OpenID Connect)

    "OAuth 위에 신분증을 얹은 완성형 모델"

  • 인터넷 애플리케이션에서 공개 API로 구현되어, 다른 애플리케이션이 사용자의 자원에 안전하게 접근할 수 있도록 권한을 부여하는 표준 인증 방법은 OAuth입니다.

    오답 노트
    SSO: 한 번의 로그인으로 여러 시스템 접근
    OpenID: 분산된 디지털 신원 인증 시스템
    OIDC: OAuth 2.0 기반에 사용자 인증 기능을 추가한 프로토콜
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

80. 다음 지문에서 설명하는 용어는 무엇인가?

  1. 혼돈
  2. 확산
  3. 차분(Differential)
  4. 선형(Linear)
(정답률: 49%)
  • 1. 혼돈 (Confusion)
    "평문과 암호문 사이의 상관관계를 숨긴다"

    개념: 평문의 한 글자가 암호문의 어떤 부분에 영향을 주었는지 알 수 없게 만드는 것입니다.

    방법: 주로 **치환(Substitution, S-Box)**을 사용합니다. 특정 문자를 전혀 다른 문자로 바꾸어 버리는 것이죠.

    목적: 암호문의 통계적 특성을 이용해 평문의 규칙을 찾아내는 '통계적 분석' 공격을 어렵게 만듭니다.

    비유: 문장의 단어들을 아예 다른 암호 코드로 1:1 대응시켜 바꿔버려, 원래 단어가 무엇인지 짐작조차 못 하게 하는 것과 같습니다.

    2. 확산 (Diffusion)
    "평문의 통계적 특성을 암호문 전체로 흩뿌린다"

    개념: 평문이 조금만 바뀌어도 암호문 전체가 완전히 바뀌게 만드는 것입니다.

    방법: 주로 **전치(Transposition/Permutation, P-Box)**를 사용합니다. 데이터의 위치를 이리저리 뒤섞습니다.

    목적: 평문의 중복된 패턴이나 특징이 암호문 전체에 골고루 퍼지게 하여, 특정 패턴을 발견하지 못하도록 합니다.

    비유: 소금 한 숟가락(평문의 특징)을 물 한 컵에 넣고 마구 휘저어(확산) 어디에 소금이 있는지 찾을 수 없게 만드는 것과 같습니다.
  • 이미지 의 내용은 평문의 통계적 성격을 암호문 전반에 흩뜨려 통계적 분석을 어렵게 만드는 확산(Diffusion)에 대한 설명입니다.

    오답 노트
    혼돈: 평문과 암호문 사이의 상관관계를 숨기는 것
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

5과목: 정보보안 관리 및 법규

81. 정보를 전송하는 과정에서 송신자와 수신자가 해당 자원에 대한 사용이 정당한지를 확인하기 위한 절차를 무엇이라고 하는가?

  1. 인증
  2. 인가(Authorization)
  3. 감사(Auditing)
  4. 관리
(정답률: 57%)
  • 자원에 대한 사용 권한이 정당한지 확인하여 접근 권한을 부여하는 절차를 인가(Authorization)라고 합니다.

    오답 노트
    인증: 신원을 확인하는 절차
    감사: 사용 기록을 남기고 검토하는 과정
    관리: 보안 정책 및 계정 등을 운영하는 활동
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

82. 다음 중 주요정보통신기반시설 관리기관이 취약점 분석⋅평가를 의뢰할 수 없는 기관은?

  1. 「국가정보화기본법」 에 의한 한국정보화진흥원
  2. 「정보통신기반보호법」 에 의한 정보공유⋅분석센터
  3. 「정보보호산업의 진흥에 관한 법률」 에 따라 지정된 정보보호 전문서비스 기업
  4. 「정부출연연구기관 등의 설립⋅운영 및 육성에 관한 법률」 에 의한 한국전자통신연구원
(정답률: 41%)
  • 주요정보통신기반시설 관리기관은 한국인터넷진흥원(KISA), 정보공유·분석센터, 한국전자통신연구원(ETRI), 정보보호 전문서비스 기업 등에 취약점 분석·평가를 의뢰할 수 있습니다.

    오답 노트
    한국정보화진흥원: 의뢰 가능 기관이 아님
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

83. 이것은 영국표준협회(BSI)에서 만든 정보보호관리체계에 대한 표준으로, 최상의 정보보호관리를 위한 포괄적인 일련의 관리 방법에 대하여 요건 별로 해석해 놓은 규격으로, 기업이 고객 정보의 기밀성, 무결성, 가용성을 보장한다는 것을 공개적으로 확인하는 것이 목적이다. 이것은 현재 국제표준기구인 ISO에 의해 ISO 27000 시리즈로 발전하였다. 이것은 무엇인가?

  1. ITSEC(Information Technology Security Evaluation Criteria)
  2. TCSEC(Trusted Computer System Evaluation Criteria)
  3. CC(Common Criteria)
  4. BS7799(British Standard 7799)
(정답률: 50%)
  • 영국표준협회(BSI)에서 제정한 정보보호관리체계 표준으로, 기밀성, 무결성, 가용성 보장을 목적으로 하며 이후 ISO 27000 시리즈로 발전한 규격은 BS7799(British Standard 7799)입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

84. 사이버 폭력의 특징이 아닌 것은?

  1. 사이버 폭력 행위는 빠르게 확산된다.
  2. 익명성으로 인해 사이버 폭력 행위를 쉽게 하게 된다.
  3. 가해자를 찾아내기 쉽다.
  4. 자신도 모르는 사이에 사이버 폭력 행위를 할 수 있다.
(정답률: 88%)
  • 사이버 폭력은 익명성으로 인해 가해자를 특정하거나 찾아내기가 매우 어렵다는 특징이 있습니다. 따라서 가해자를 찾아내기 쉽다는 설명은 적절하지 않습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

85. 개인정보보호법에서 정한 '민감정보'에 해당하지 않는 것은?

  1. 장애 등급
  2. 지문 인증 방식에 사용되는 지문 정보
  3. 인종에 관한 정보
  4. 혈액형
(정답률: 61%)
  • 개인정보보호법상 민감정보는 사상, 신념, 노동조합·정당의 가입 및 탈퇴, 정치적 견해, 건강, 성생활, 인종, 지문 정보, 장애 등급 등을 의미합니다. 혈액형은 이에 해당하지 않습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

86. 위험분석 방법론으로 적절히 짝지은 것은?

  1. ㉠ 확률분포법 ㉡ 순위결정법
  2. ㉠ 시나리오법 ㉡ 델파이법
  3. ㉠ 델파이법 ㉡ 확률분포법
  4. ㉠ 순위결정법 ㉡ 시나리오법
(정답률: 84%)
  • 제시된 이미지의 정의를 분석하면 다음과 같습니다.
    의 ㉠은 일정 조건하에서 발생 가능한 결과들을 추정하는 시나리오법에 해당합니다.
    의 ㉡은 전문가 집단의 토론과 의견 종합을 통해 분석하는 델파이법에 해당합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

87. 개인정보의 가명정보 처리에 대한 설명으로 틀린 것은?

  1. 개인정보처리자는 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 정보주체의 동의 없이 가명정보를 처리할 수 있다.
  2. 누구든지 특정 개인을 알아보기 위한 목적으로 가명정보를 처리해서는 아니 된다.
  3. 가명정보 및 가명정보를 원래의 상태로 복원하기 위한 추가 정보에 대하여 안전성 확보 조치는 개인정보처리자가 임의로 처리하여야 한다.
  4. 개인정보처리자는 가명정보를 처리하는 과정에서 특정 개인을 알아볼 수 있는 정보가 생성된 경우에는 즉시 해당 정보의 처리를 중지하고 지체 없이 회수⋅파기하여야 한다.
(정답률: 66%)
  • 가명정보 및 이를 원래 상태로 복원하기 위한 추가 정보에 대해서는 개인정보처리자가 안전성 확보 조치를 의무적으로 수행해야 합니다. 이를 임의로 처리한다는 설명은 틀린 것입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

88. '위치정보'란 이동성 있는 물건 또는 개인이 특정한 시간에 존재하거나 존재하였던 장소에 관한 정보를 말한다. 다음 중 「위치정보보호를 위한 관리적⋅기술적 보호조치 권고」와 관련한 설명으로 적절하지 않은 것은?

  1. 관리적⋅기술적 보호조치에 의해 보호되어야 하는 위치정보의 범위는 개인위치정보뿐 아니라 이동성 있는 물건의 위치정보를 포함한다.
  2. 위치 좌표값이 그 자체만으로는 특정인의 위치를 나타내지 못하나 통신단말기 번호 또는 단말기 소지자의 이름 등과 결합하여 특정인의 위치를 알 수 있을 때에는 개인위치정보로 볼 수 있다.
  3. 결합 가능한 정보들이 여러 DB로 분산되어 있거나 제휴회사 등이 별도로 보유하고 있더라도 서비스 제공을 위해 상호 결합될 가능성이 많다면 개인위치정보에 해당될 수 있다.
  4. 법인이나 단체 등의 위치정보도 개인위치정보 보호대상에 포함된다.
(정답률: 70%)
  • 개인위치정보는 특정 개인의 위치를 나타내는 정보에 한정됩니다. 따라서 법인이나 단체 등의 위치정보는 개인위치정보 보호대상에 포함되지 않습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

89. 개인정보의 안전성 확보조치 기준에서 사용되는 용어 정의이다. 올바르지 않은 것은?

  1. '개인정보파일'이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물을 말한다.
  2. '개인정보처리시스템'이란 개인정보를 처리할 수 있도록 데이터베이스시스템에 직접 접속하는 단말기를 말한다.
  3. '바이오정보'란 지문, 얼굴, 홍채, 정맥, 음성, 필적 등 개인을 식별할 수 있는 신체적 또는 행동적 특징에 관한 정보로서 그로부터 가공되거나 생성된 정보를 포함한다.
  4. '내부망'이란 물리적 망분리, 접근통제시스템 등에 의해 인터넷 구간에서의 접근이 통제 또는 차단되는 구간을 말한다.
(정답률: 65%)
  • 개인정보처리시스템은 단순히 접속 단말기를 의미하는 것이 아니라, 데이터베이스 내의 데이터에 접근할 수 있도록 해주는 응용시스템 및 데이터베이스를 구축·운영하는 데 필요한 전체 시스템을 의미합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

90. 다음은 개인정보보호법상 개인정보의 처리기준 및 정보주체의 권리에 관한 설명이다. 설명이 가장 올바른 것은?

  1. 주소불명 등으로 정보주체의 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우에 동의 없이 개인정보를 수집⋅이용할 수 있다.
  2. 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우에는 정보주체의 동의 없이 개인정보를 제3자에게 제공할 수 있다.
  3. 정보주체에게 재화나 서비스를 홍보하거나 판매를 권유하기 위하여 개인정보처리위탁에 대한 동의를 받으려는 때에는 정보주체가 이를 명확하게 인지할 수 있도록 알리고 동의를 받아야 한다.
  4. 개인정보보호법상 바이오정보(생체정보)는 민감정보에 해당하므로 건강정보와 마찬가지로 별도의 동의를 받아야 한다.
(정답률: 28%)
  • 개인정보보호법에 따라 정보주체의 동의를 받을 수 없는 급박한 상황에서 생명, 신체, 재산의 이익을 위해 필요한 경우에는 예외적으로 동의 없이 개인정보를 수집 및 이용할 수 있습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

91. 개인정보취급자 등의 금지행위에 관한 설명이다. 가장 부적절한 것은?

  1. 정보보호 관리체계 인증 업무에 종사했던 자가 그 직무상 알게 된 비밀을 학생들에게 인증 업무 사례로 소개한 경우 형사처벌을 받을 수 있다.
  2. 보험회사의 직원이 친구의 부탁을 받고 친구에게 돈을 빌려간 채무자의 주소, 전화번호 등 연락처를 알려준 경우 형사처벌을 받을 수 있다.
  3. 회사의 개발업무에 종사하고 있는 직원이 학위논문 연구를 위해 고객의 개인정보의 일부를 노트북에 내려받아 실험한 것은 유출로 간주되지 않는다.
  4. 개인정보를 처리하던 자가 위계의 방법으로 개인정보처리에 관한 동의를 받는 경우 형사처벌을 받을 수 있다.
(정답률: 76%)
  • 개인정보취급자가 업무상 알게 된 개인정보를 학위논문 연구 등 개인적인 목적으로 외부 기기(노트북)에 내려받는 행위는 명백한 개인정보 유출 및 목적 외 이용에 해당하여 처벌 대상입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

92. 위험 처리 방안 중 보안 솔루션을 도입하여 보안 통제를 수립하는 방안에 해당하는 것은?

  1. 위험 감소
  2. 위험 수용
  3. 위험 회피
  4. 위험 전가
(정답률: 69%)
  • 보안 솔루션 도입과 같은 통제 수립을 통해 위험의 발생 가능성이나 영향력을 낮추는 방안은 위험 감소에 해당합니다.

    오답 노트
    위험 수용: 위험을 인정하고 감수함
    위험 회피: 위험 원인을 제거하여 사업을 포기함
    위험 전가: 보험이나 외주를 통해 제3자에게 책임을 이전함
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

93. 다음 중 조직의 정보보호 조직체계와 역할 및 책임에 대한 사항으로 가장 부적절한 것은?

  1. 정보보호 최고책임자 및 개인정보 보호책임자는 예산, 인력 등 자원을 할당할 수 있는 임원급으로 지정하고 관련 법령에 따른 자격요건을 충족하여야 한다.
  2. 모든 정보통신서비스제공자는 정보보호 최고책임자를 지정 및 신고하여야 한다.
  3. 조직 전반에 걸쳐 중요한 정보보호 및 개인정보 보호 관련사항에 대한 검토, 승인 및 의사결정(위험평가 결과, 내부감사 결과 등)을 할 수 있는 위원회를 구성하여 운영하여야 한다.
  4. 주요 직무를 수행하는 임직원 및 외부자를 주요 직무자로 지정하고, 주요 직무자를 최소한으로 지정하여 그 목록을 최신으로 관리하여야 한다.
(정답률: 49%)
  • 정보통신망법에 따라 정보보호 최고책임자(CISO)의 지정 및 신고 의무는 모든 정보통신서비스제공자가 아니라, 일정 규모 이상의 사업자에게만 적용됩니다.

    오답 노트
    임원급 지정 및 자격요건 충족: CISO의 실질적 권한 보장을 위한 필수 사항입니다.
    위원회 구성 및 운영: 조직적 의사결정 체계 마련을 위해 필요합니다.
    주요 직무자 지정 및 관리: 권한 오남용 방지를 위해 최소한으로 지정하고 최신화해야 합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

94. 위험관리 절차를 순서대로 배열한 것을 고르면?

  1. ㉠ - ㉡ - ㉢ - ㉣ - ㉤
  2. ㉠ - ㉣ - ㉢ - ㉡ - ㉤
  3. ㉠ - ㉡ - ㉣ - ㉢ - ㉤
  4. ㉠ - ㉣ - ㉡ - ㉢ - ㉤
(정답률: 59%)
  • 위험관리의 표준 절차는 위험을 먼저 찾아내고, 분석하고, 평가한 뒤 처리하며, 마지막으로 이를 지속적으로 감시하는 순서로 진행됩니다.
    따라서 올바른 순서는 ㉠ 위험 식별 $\rightarrow$ ㉣ 위험 분석 $\rightarrow$ ㉢ 위험 평가 $\rightarrow$ ㉡ 위험 처리 $\rightarrow$ ㉤ 위험 감시 및 재검토 입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

95. 다음은 업무연속성 5단계 방법론 중 특정 단계를 설명한 것이다. 어떤 단계를 설명한 것인가?

  1. 사업영향평가
  2. 위험분석
  3. 복구계획 수립
  4. 정보보호 대책 구현
(정답률: 55%)
  • 제시된 이미지 의 내용은 주요 업무 프로세스 식별, 복구 목표 시간(RTO) 및 수준(RPO) 산출, 재정적 손실 영향도를 파악하는 단계이므로 사업영향평가(BIA)에 해당합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

96. 조직이 수행하는 모든 정보보호 활동의 근거가 되는 최상위 수준의 정보보호 정책 수립 시, 포함하여야 할 사항과 가장 거리가 먼 것은?

  1. 조직의 정보보호 활동을 실행하기 위한 절차, 주기, 수행주체 등에 관한 사항
  2. 조직의 정보보호에 대한 최고경영자 등 경영진의 의지 및 방향
  3. 조직의 정보보호를 위한 역할과 책임, 대상과 범위에 관한 사항
  4. 조직이 수행하는 관리적, 기술적, 물리적 정보보호 활동의 근거
(정답률: 28%)
  • 최상위 수준의 정보보호 정책은 조직의 방향성과 원칙을 제시하는 문서입니다. 구체적인 실행 절차, 주기, 수행주체 등 세부적인 운영 사항은 정책보다 하위 수준인 '지침'이나 '절차서'에서 다루어야 할 내용입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

97. 용어에 대한 설명으로 옳지 않은 것은?

  1. '침해사고'란 정보통신망 또는 이와 관련된 정보 시스템을 공격하는 행위로 인하여 발생한 사태를 말한다.
  2. '정보통신기반시설'이라 함은 국가안전보장⋅행정⋅국방⋅치안⋅금융⋅통신⋅운송⋅에너지 등의 업무와 관련된 전자적 제어⋅관리시스템 및 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」에 따른 정보통신망을 말한다.
  3. '개인위치정보'라 함은 특정 개인의 위치정보(위치정보만으로는 특정 개인의 위치를 알 수 없는 경우에도 다른 정보와 용이하게 결합하여 특정 개인의 위치를 알 수 있는 것을 포함한다)를 말한다.
  4. '개인신용정보'란 기업 및 법인에 관한 정보를 제외한 생존 여부와 상관없는 개인에 관한 신용정보로서 해당 정보의 성명, 주민등록번호 및 영상 등을 통하여 특정 개인을 알아볼 수 있는 정보만 말한다.
(정답률: 75%)
  • 개인신용정보는 생존하는 개인에 관한 정보여야 하며, 단순히 특정 개인을 알아볼 수 있는 정보만 말하는 것이 아니라 신용판단에 영향을 주는 정보 등을 포함하는 개념입니다.

    오답 노트
    침해사고, 정보통신기반시설, 개인위치정보에 대한 설명은 관련 법령의 정의와 일치하는 옳은 설명입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

98. 인증제도는?

  1. ISO 27001
  2. ITSEC
  3. CC
  4. TCSEC
(정답률: 59%)
  • IT 보안제품의 보안성을 평가하기 위해 보호 프로파일(PP)을 정의하고, 평가 결과에 따라 EAL1부터 EAL7까지 7단계의 보증 수준을 부여하는 국제 공통 평가 기준은 CC(Common Criteria)입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

99. 업무연속성 5단계 방법론 중 특정 단계를 설명한 것이다. 어떤 단계를 설명한 것인가?(문제 복원 오류로 95번 문제와 동일합니다. 정확한 문제 내용을 아시는분 께서는 오류신고를 통하여 내용 작성 부탁 드립니다.)

  1. 사업영향평가
  2. 위험분석
  3. 정보보호 대책 구현
  4. 복구계획 수립
(정답률: 49%)
  • 주요 업무 프로세스를 식별하고 우선순위를 정하며, 복구 목표 시간(RTO)과 복구 목표 수준(RPO)을 산출하여 재정적 손실 영향도를 파악하는 단계는 사업영향평가(BIA)입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

100. “개인정보보호법”상의 “개인정보처리자의 개인정보 보호 원칙”에 관한 설명 중 가장 부적절할 것은?

  1. 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집한다.
  2. 정보주체의 사생활 침해를 최소화하는 방법으로 개인정보를 처리하여야 한다.
  3. 개인정보의 정확성, 완전성 및 최신성이 보장되도록 하여야 한다.
  4. 개인정보는 반드시 실명으로 처리되어야 한다.
(정답률: 76%)
  • 개인정보 보호 원칙에 따르면 개인정보는 목적에 필요한 최소한의 범위 내에서 적법하게 처리해야 하며, 반드시 실명으로 처리해야 한다는 강제 규정은 없습니다. 오히려 필요 시 가명처리나 익명처리를 통해 사생활 침해를 최소화하는 것이 원칙입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

< 이전회차목록 다음회차 >