1과목: 시스템 보안
1. NTFS 파일 시스템의 메타 데이터 해당하지 않는 것은?
- $MFT
- $Logfile
- $Volume
- $Bios
2. 다음 지문에서 설명하는 공격은 무엇인가?
- 힙 오버플로우 공격
- 레이스 컨디션 공격
- 스택 오버플로우 공격
- 코드 기반 공격
3. 리눅스에서 새로 생성되는 사용자 계정의 홈 디렉터리는 .bashrc 등과 같이 모든 사용자가 필요로 하는 파일들을 만들어줄 필요가 있다. 이러한 공통 파일들을 미리 만들어 특정 디렉터리에 넣어두면 사용자 계정 생성 시 자동복사 되도록 설정할 수 있는데, 이러한 용도의 디렉터리는 무엇인가?
- /etc/init
- /etc/services
- /etc/login.defs
- /etc/skel
4. 2016년에 처음 발견되었으며 IP 카메라나 가정용 라우터와 같은 IoT 장치를 주요 공격 대상으로 삼는 DDoS 공격용 봇넷 악성코드는 무엇인가?
- 님다
- 미라이
- 스턱스넷
- SQL 슬래머
5. 다음 지문에서 설명하는 내용은 스푸핑 공격 중 어떤 공격에 해당하는가?
- DHCP 스푸핑
- IP 스푸핑
- DNS 스푸핑
- ARP 스푸핑
6. 디지털저장매체 중 하드디스크 구조에서 물리적으로는 할당된 공간이지만 논리적으로는 사용할 수 없는 공간을 무엇이라고 하는가?
- 슬랙
- CHS
- 클러스터
- 확장 공간
7. 윈도우 레지스트리 키 중에서 파일의 각 확장자에 대한 정보와 프로그램의 맵핑 정보가 저장된 키로 옳은 것은?
- HKEY_CLASSES_ROOT
- HKEY_CURRENT_USER
- HKEY_FILE_EXT
- HKEY_LOCAL_MACHINE
8. 다음 지문에서 설명하고 있는 시스템 보안은?
- TPM
- SRM
- SAM
- SID
9. 아래 지문의 척도들과 가장 관련성이 높은 보안 서비스는?
- 기밀성
- 무결성
- 가용성
- 유지보수성
10. IoT 위협 및 보안에 대한 설명으로 올바르지 않은 것은?
- 홈가전 IoT 제품의 보안 요구사항에는 시큐어 코딩, 알려진 보안약점 및 취약점 제거, 최신 제3자(3rd party) 소프트웨어 사용 등이 있다.
- 홈캠, 네트워크 카메라 등의 네트워크 제품에 대한 주요 보안 위협에는 사진 및 동영상을 공격자의 서버 및 이메일로 전송하는 것이 있다. 이에 대한 원인으로는 접근통제 및 전송 데이터 보호의 부재가 있다.
- 시큐어 코딩이 적용되지 않은 스마트 홈가전 제품의 경우 입력 데이터 검증 및 표현, 보안 기능, 시간 및 상태, 에러처리 등에서 보안 취약점이 발생할 수 있다.
- 스마트 홈가전 제품의 데이터 기밀성 및 무결성을 위해 안전한 암호인 MD5, SHA-1 등의 사용이 권장된다.
11. 기존 파일 시스템에 새로운 파일 시스템을 하위 디렉터리로 연결하기 위해 사용하는 명령어는 무엇인가?
- mkfs
- mount
- fsck
- mknod
12. ㉠에 들어갈 내용으로 적절한 것은?
- 해시 암호화 패스워드 파일
- 섀도(Shadow) 패스워드 파일
- 익명(Anonymity) 패스워드 파일
- PAM(Pluggable Authentication Module) 패스워드 파일
13. [그림1]은 어떤 리눅스 시스템에 존재하는 특정 /home 디렉터리와 그 아래에 존재하는 디렉터리 및 파일들의 속성 중 name, permission, user, group 등에 대한 정보만 요약한 것이며, [그림2]는 이 시스템에 존재하는 /etc/group 파일의 일부분이다. 이를 통하여 확인할 수 있는 파일 및 디렉터리의 permission에 관한 설명 중 올바르지 않은 것은?
- user1이란 사용자는 /home/user1 디렉터리로 이동할 수 있다
- user2란 사용자는 exam.txt란 파일의 내용을 읽을 수 있다.
- user3란 사용자는 exam.txt란 파일을 삭제할 수 있다.
- 시스템 내에 존재하는 user4란 사용자는 /home/user1 디렉터리로 이동할 수 없다.
14. 로그파일은?
- btmp
- wtmp
- syslog
- messages
15. 랜섬웨어에 해당하지 않는 것은?
- 페트야(Petya)
- 크립토월(CryptoWall)
- 워너크라이(WannaCry)
- 크립토재커(CryptoJacker)
16. 서버의 파일 시스템에 대한 시간 속성이 잘못 기술된 것은?
- mtime: 파일을 생성하거나 내용을 수정한 시간
- atime: 최근 파일을 읽거나 실행시킨 시간
- ctime: 파일 속성이 변경된 시간
- rtime: 파일을 실시간 실행시킨 시간
17. 다음에서 설명하고 있는 것은 무엇인가?
- sudo
- PAM
- Batch file
- Shell script
18. 윈도우 NTFS 파일 시스템의 특징으로 옳지 않은 것은?
- 파일과 폴더에 개별 권한을 설정할 수 있어 강력한 보안정책 설정이 가능하다.
- 이벤트 뷰어를 사용하여 MFT(Master File Table)의 내용을 확인할 수 있다.
- FAT 파일 시스템에 없는 보안 속성(사용자 접근제어) 정보를 내장하고 있다.
- 파일 압축 및 암호화를 위한 구조를 갖는다.
19. rlogin 접속을 허용하는 설정 파일들로 올바르게 짝지어진 것은?
- /etc/hosts.allow, /etc/exports
- /etc/hosts.allow, /.rhosts
- /etc/hosts.equiv, /etc/exports
- /etc/hosts.equiv, /.rhosts
20. 다음 지문에서 설명하고 있는 안전한 보안 인증 방식은?
- SSH(Secure Shell)
- SAM(Secure Access Module)
- SSO(Single Sign On)
- PAM(Pluggable Authentication Module)
2과목: 네트워크 보안
21. ㉠에 들어갈 용어로 적절한 것은?
- Duplex Mode
- MAC 변조
- Promiscuous Mode
- ARP
22. 다음 지문에서 설명하는 공격 대응 방법은 무엇인가?
- DNS 라우팅
- DNS 스푸핑
- DNS 웜홀
- DNS 싱크홀
23. Firewall, IDS, IPS의 비교 중 올바른 것으로 짝지어진 것은?
- ㉠, ㉢
- ㉡, ㉢
- ㉠, ㉣, ㉤
- ㉠, ㉢, ㉣
24. 다음 지문에서 설명하는 용어는 무엇인가?
- HSM
- 비트라커
- OTP
- TCB
25. 침입차단시스템에 대한 설명으로 옳지 않은 것은?
- 패킷 필터링 방화벽은 패킷의 통과여부를 결정하기 위해 프로토콜 종류, 출발지 또는 목적지 IP 주소, TCP/UDP 포트 번호 등을 이용한다.
- 응용 게이트웨이 방식 방화벽은 내부망으로 패킷이 전송되는 것을 방지할 수 있으며 사용자 인증 기능도 제공할 수 있다.
- 상태 기반 패킷 검사(SPI) 방식 방화벽은 프로토콜 종류, 출발지 또는 목적지 IP 주소, TCP/UDP 포트 번호 외에 패킷의 데이터 부분에 대한 점검도 수행하지만, nmap 도구에 의해 ACK 스캔을 차단하지 못하는 단점이 있다.
- 심층 패킷 분석(DPI) 방식 방화벽은 패킷의 데이터 부분에 포함된 바이러스 등 악성코드를 검사할 수 있다.
26. 서비스의 가용성과 성능뿐만 아니라 DDoS 공격 대응에도 효과적이서 최근 Anycast DNS가 많이 도입되어 있다. 다음 중 이 기술에 대해 잘못 설명한 것은?
- 사용자가 접속에 사용하는 IP 주소의 패킷은 해당 주소를 갖는 가장 가까운 호스트로 라우팅된다.
- 주요 라우팅 프로토콜로 OSPF가 사용된다.
- IPv4/IPv6 anycast 모두 적용 가능하다.
- 1.1.1.1이나 8.8.8.8 등의 Public DNS뿐만 아니라 kr root DNS 등이 대표적인 예이다.
27. 다음 지문에서 설명하는 시스템으로 옳은 것은?
- SIEM
- UTM
- EMS
- ESM
28. ㉠, ㉡, ㉢, ㉣에 들어갈 내용으로 적절한 것은?
- ㉠ LAND ㉡ SYN Flooding ㉢ Smurf ㉣ DoS
- ㉠ SYN Flooding ㉡ Smurf ㉢ LAND ㉣ Sniffing
- ㉠ SYN Flooding ㉡ LAND ㉢ Smurf ㉣ DoS
- ㉠ LAND ㉡ Smurf ㉢ SYN Flooding ㉣ Sniffing
29. 애플리케이션 계층 취약점을 이용하는 공격유형과 거리가 먼 것은?
- Heartbleed
- Memcached DDoS
- Meltdown, Spectre
- Shell Shock
30. 스푸핑 공격에 따른 침해사고 발생 시 네트워크 기반 증거의 출처 장비 중 물리적인 포트와 MAC 주소 간의 매핑을 저장하는 CAM 테이블을 포함하고 있으며, 조사관이 트래픽을 캡처하거나 저장할 수 있는 플랫폼을 갖는 장비는 무엇인가?
- 방화벽
- 스위치
- IDS
- IPS
31. 다음 지문에서 설명하는 ICMP 메시지 타입은?
- Source Quench
- Destination Unreachable
- Time Exceeded
- Parameter Problem
32. 다음 중 파일을 안전하게 전송하기 위하여 SSH(Secure Shell)를 사용하는 프로토콜은?
- SFTP(Secure FTP)
- TFTP(Trivial FTP)
- FTPS(FTP-SSL)
- HTTPS(HTTP-Secure)
33. 무선 네트워크 보안 프로토콜에 관한 다음 설명 중 틀린 것은?
- WEP, WPA, WPA2 모두 통신 기기들에 대한 인증과 메시지 암호화 기능을 제공한다.
- WEP에서는 암호 강도가 높지 않은 RC4를 암호화 알고리즘으로 사용하였으며, AES 기반의 강력한 암호화 방식을 의무화한 것은 WPA에서부터이다.
- WEP에서는 인증이나 암호화에 사전 공유키를 사용할 수 있지만, WPA나 WPA2에서처럼 동적으로 암호키를 변경하는 기능을 제공하지는 않는다.
- WPA, WPA2 등에서는 WEP에는 없는 엔터프라이즈 모드를 제공하며, 엔터프라이즈 모드에서는 인증 및 키 관리 기능을 수행하는 중앙 서버를 이용할 수 있다.
34. 네트워크 방화벽(Firewall)의 주요 기능과 거리가 먼 것은?
- 접근 제어
- 로깅과 감사 추적
- 인증
- 개인정보 마스킹
35. Smurf 공격은 보통 라우터가 패킷을 받아서 다른 포트로 forwarding할 때 목적지 IP 주소의 네트워크 부분만 참조하고 라우팅 테이블을 검색하여 패킷을 전달하는 점을 이용한 공격 방법이다. Source IP 주소를 자신의 IP 주소가 아닌 공격대상 시스템의 IP 주소로 변조한 후 subnet의 broadcast 주소로 ICMP Echo Request를 보내면 이 패킷은 라우터를 거쳐서 특정 네트워크에 도착하여 모든 시스템이 받게 된다. 그러면 네트워크의 모든 시스템은 위조된 IP 주소로 ICMP Echo Reply 패킷을 전송하게 된다. 결과적으로 시스템은 Congestion 상태에 빠지게 되어 심각한 서비스 장애를 일으킨다. 이러한 공격 방법을 방지하기 위한 설명 중 내용이 적절하지 못한 것은?
- 라우터에서 Direct Broadcast를 Disable시킨다.
- IP Broadcast 주소로 도착한 ICMP 패킷에 대한 Reply를 금지시킨다.
- 라우터의 Ingress Filtering을 이용하여 Spoof된 패킷을 막는다.
- 65,535byte보다 큰 ICMP Echo 패킷을 IP Fragmentation을 이용하여 전송한다.
36. VPN을 구현하는 프로토콜과 해당 프로토콜이 속하는 계층이 바르게 연결된 것은?
- L2TP – Data Link Layer
- SSH – Session Layer
- IPSec – Transport Layer
- SSL – Network Layer
37. 파일에 숨겨진 악성코드만 골라 막는 콘텐츠 보안 솔루션으로 파일을 분해해 악성파일 혹은 불필요한 파일을 제거하고 콘텐츠는 원본과 동일하게 새로운 파일을 만드는 솔루션은?
- CDR(Content Disarm & Reconstruction)
- WAF(Web Application Firewall)
- DLP(Data Loss Prevention)
- 스팸 필터 솔루션
38. 침입 탐지에 대한 설명 중 옳은 것은?
- 침입을 하는 전문적인 집단으로 CERT가 있다.
- Honey pot을 이용하면 공격자의 행동 정보를 수집할 수 있다.
- 침입을 탐지 못하고, 통과시키는 것을 False Positive라고 한다.
- 내부 공격자의 위협을 줄이기 위해서는 보안 설정을 Blacklist 방식으로 해야 한다.
39. 올바르지 않은 것은?
- TCP SYN 플러딩 공격은 서버의 시스템 자원에 대한 공격이며, 일반 사용자들이 서버로 접속을 못하도록 하는 공격으로 서버 측의 대기 큐의 크기를 늘리는 방법이 대응 방안이 될 수 있다.
- 스머프 공격은 UDP 플러딩 공격으로 IP 주소의 브로드캐스트 주소대역을 이용한다.
- Teardrop 공격은 IP 단편들이 서로 중첩되도록 IP 패킷 헤더를 조작해서 수신 측의 IP 패킷의 재조합 과정에서 오류를 발생시키도록 하는 공격이나, 최신 운영체제로의 업데이트로 문제를 해결할 수 있다.
- HTTP GET 플러딩 공격은 공격자가 에이전트 다수에게 원격에서 명령을 보내어 동시에 특정 웹 페이지를 요청하는 형태로 공격이 이루어질 수 있으며, DDoS 공격 대응 장비에서 임계치 기반 방어 기법을 사용하면 해결에 도움이 된다.
40. 아래의 결과를 보았을 때 이 네트워크는 어떠한 공격에 취약하다고 추측할 수 있는가?
- Land Attack
- Smurf Attack
- Syn Flooding Attack
- Ping of Death Attack
3과목: 어플리케이션 보안
41. 다음 지문에서 설명하고 있는 API는?
- WebCrypto API
- REST API
- SOAP API
- Indexing API
42. 다음 중 DB 암호화 유형 중 애플리케이션의 수정 없이 사용될 수 있는 유형으로 올바르게 짝지어진 것은?
- Plug-In 유형 – API 유형
- TDE 방식 – 파일 암호화
- API 유형 – TDE 방식
- Plug-In 유형 – 파일 암호화
43. CAPTCHA에 대한 설명으로 잘못된 것은?
- HIP(Human Interaction Proof) 기술의 일종이다.
- 웹사이트 회원가입 시 자동가입방지 등을 위해 사용된다.
- 튜링 테스트(Turing Test)라고도 부른다.
- 인공지능의 한계를 이용한 인증 기법이다.
44. XML 기반의 보안기술에 대한 설명 중 옳지 않은 것은?
- XML Signature – 무결성 및 부인방지 기능
- XKMS – PKI 서비스 기능
- SAML – 가용성 보장 기능
- XACML – 접근제어 기능
45. WPKI에 대한 설명으로 적절하지 않은 것은?
- 무선 인터넷 상에서의 인터넷 뱅킹, 사이버 주식 거래 시 외부 침입이나 정보 누출로부터 보호받을 수 있도록 하는 무선 인터넷 공개키 기반 구조이다.
- PKI 기술의 핵심인 비밀성, 무결성 및 신원 확인과 부인방지 같은 서비스를 무선 환경에서 구현함으로써 무선 보안을 가능하게 한다.
- 모바일의 특성을 고려하지 않은 솔루션으로 무선 인터넷기기와 주고받는 데이터나 애플리케이션에 보안을 지원한다.
- 규격 내용은 전자서명, WTLS(Wireless Transport Layer Security) 인증서 프로파일, 인증서 DN(Distinguished Name), 인증서 및 알고리즘 관련 OID(Object Identifier) 등으로 구성되어 있다.
46. 모바일 앱(App) 보안에 관한 내용으로 틀린 것은?
- 서비스 지속성을 위해 루팅이나 탈옥된 단말에서도 서비스가 정상적으로 동작되어야 한다.
- 정상 기능 오동작이나 취약점을 통해 배터리 고갈, 과도한 트래픽 유발, 허가되지 않은 주소로 정보 전송 등이 되어서는 안 된다.
- 디컴파일 도구를 이용 시 실행파일을 소스코드로 쉽게 변환시킬 수 있으며, 이를 이용하여 앱 위변조 발생이 가능하다. 이를 예방하기 위해 난독화 도구를 사용하여 패키징한 후 배포해야 한다.
- 앱 설치 시 비정상적인 파일/디렉터리가 생성되지 않아야 하며, 실행 시에는 불필요한 접근 권한이 존재해서는 안된다. 또한 앱 삭제 시에는 관련된 파일이 완전히 삭제되어야 한다.
47. 다음 중 메일 서버의 구성요소로만 이루어진 것은?
- MUA, MTA, SPF
- MUA, URLBL, PGP
- IMAP, MDA, POP3
- SMTP, SPF, MTA
48. 다음은 HTTP 프로토콜 중 Header 옵션에 대한 설명이다. 가장 알맞은 것은?
- Cookie
- User-Agent
- Cache-Control
- Content-Length
49. FTP Passive 모드에 대한 설명으로 옳지 않은 것은?
- 데이터 전송을 위해 1024번 이전 포트를 사용한다.
- 서버에서 클라이언트를 접속해야 하는 모순을 해결하기 위해 고안된 방식이다.
- 보안을 위해서는 서버에서 Passive 모드로 사용할 포트를 제한한다.
- 제어 전송을 위해 서버에서는 21번 포트를 사용한다.
50. DNSSEC의 전자서명과 서명검증 절차를 지원하기 위하여 추가한 신규 리소스 레코드와 관련이 없는 것은?
- DNSCA
- DNSKEY
- RRSIG
- NSEC/NSEC3
51. 개발된 소스 코드를 살펴봄으로써 코드 상의 취약점을 찾는 방식은?
- Black Box Testing
- White Box Testing
- Green Box Testing
- Brown Box Testing
52. 메일 수신 서버 또는 웹 메일 서버로부터 전자우편 메시지를 자신의 컴퓨터 단말 장치로 전송받는 데 사용되는 프로토콜이 아닌 것은?
- IMAP(Internet Mail Access Protocol)
- RTP(Realtime Transport Protocol)
- POP(Post Office Protocol)
- HTTP(HyperText Transfer Protocol)
53. ㉠, ㉡에 들어갈 용어로 올바르게 짝지어진 것은?
- ㉠ 작업증명 ㉡ 채굴
- ㉠ 작업증명 ㉡ 송금
- ㉠ 지분증명 ㉡ 채굴
- ㉠ 지분증명 ㉡ 송금
54. HWP, TXT, PDF, 도면 등 업무에 사용하는 파일을 암호화하여, 외부자는 물론 허가된 내부자에 의한 주요 정보유출을 원천 차단함으로써 기업 정보 유출을 막는 솔루션은?
- IPS(Intrusion Prevention System)
- DRM(Digital Rights Management)
- ESM(Enterprise Security Management)
- VPN(Virtual Private Network)
55. 다음 중 SSO에 대한 설명으로 적절하지 못한 것은?
- 하나의 아이디로 여러 사이트를 이용할 수 있는 시스템이다.
- 싱글사인온(SSO)을 사용하면 응용서비스 로그인 시간을 줄여준다.
- SSO를 이용하면 개별 애플리케이션 단위로 동일한 암호를 설정하게 되므로 편리하기는 하지만 보안의 입장에서는 권장하지 않는다.
- SSO 솔루션을 통해 직원이 어디서 어떤 응용서비스에 접속하여 무엇을 하는지에 대한 로그정보 저장이 가능하다.
56. 디지털 포렌식의 원칙 중 어느 원칙에 대한 설명인가?
- 연계보관성의 원칙
- 정당성의 원칙
- 무결성의 원칙
- 재현의 원칙
57. 다음 지문이 설명하는 소프트웨어 보안 약점을 고르면?
- 크로스사이트 요청 위조 공격(CSRF)
- 크로스 사이트 스크립트(XSS)
- 경로 조작 및 자원 삽입
- SQL 삽입
58. 다음 지문에서 설명하는 것은?
- 이상행위 탐지시스템(FDS)
- 침입탐지시스템(IDS)
- 블록체인(Blockchain)
- SET(Secure Electronic Transaction)
59. 다음 지문의 빈칸 ㉠, ㉡에 들어갈 내용이 올바르게 짝지어진 것은?
- A의 공개키, B의 개인키
- 비밀키, A의 개인키
- 비밀키, B의 공개키
- A의 개인키, B의 공개키
60. 다음 지문에서 설명하는 보안 기술은 무엇인가?
- SOAP(Security Orchestration Automation Platform)
- SOAR(Security Orchestration Automation and Response)
- SIEM(Security Information and Events Management)
- UEBA(User and Entity Behavior Analytics)
4과목: 정보 보안 일반
61. 다음 지문이 설명하고 있는 암호 공격방식은?
- 암호문 단독 공격
- 기지 평문 공격
- 선택 평문 공격
- 선택 암호문 공격
62. 수동적, 능동적 공격 방식의 예가 올바르게 짝지어진 것은?
- ①
- ②
- ③
- ④
63. 블록 암호 알고리즘을 사용하여 메시지 인증 코드(MAC)를 생성할 때 가장 적합한 블록 암호 모드는 무엇인가?
- CBC 모드
- ECB 모드
- OFB 모드
- CTR 모드
64. 인증 수단으로는 일반적으로 알고 있는 것, 자신의 모습, 가지고 있는 것, 위치하는 곳 등의 방식을 사용한다. 다음 인증 방식의 예로 옳지 않은 것은?
- 알고 있는 것(something you know) - 사용자 아이디, 아이디에 해당하는 패스워드, OTP(One Time Password) 생성기
- 자신의 모습(something you are) - 지문, 망막, 홍채
- 가지고 있는 것(something you have) - 스마트 카드, 신분증
- 위치하는 곳(somewhere you are) - 사용자 IP 주소, 콜백(call back)
65. 다음 중 사용자 인증 및 개인 식별에 대한 설명으로 옳지 않은 것은?
- 사용자 인증 기술은 A가 B에게 자신이 A임을 확인시켜 줄 수 있는 기술이다.
- 개인 식별 기술은 B가 C에게 자신이 B가 아니라고 확인시켜 줄 수 있는 기술이다.
- 개인을 식별하는 방법으로 지문(생체정보), 보안 토큰(사용자 소유), 비밀번호(사용자 지식) 등이 사용될 수 있다.
- 사용자 인증서 보안 요구사항으로는 식별과 인증, 인가 및 책임추적성 등을 들 수 있다.
66. 다음 중 인증서 폐지 목록의 기본 영역에 포함되지 않는 것은?
- 서명 알고리즘
- 발급자
- 버전
- 유효 기간
67. 다음은 접근통제가 이루어지는 과정을 설명한 것이다. 빈칸 ㉠에 공통적으로 들어갈 용어는?
- 상주엔진
- 접근통제 API
- 시스템호출
- 보안커널
68. 생체인식 기술이 가져야 할 보안 요구조건과 거리가 먼 것은?
- 보편성(Universality)
- 구별성(Uniqueness)
- 일시성(Temporality)
- 획득성(Collectability)
69. 다음 중 전자서명의 요구사항으로 가장 적절하지 않은 것은?
- 전자서명 생성이 비교적 용이해야 한다.
- 전자서명을 위조하는 것이 계산적으로 실행 불가능해야 한다.
- 기억장소에 전자서명의 복사본을 유지하는 것이 실용적이어야 한다.
- 위조와 부인을 방지하기 위하여 수신자에 대한 정보를 사용해야 한다.
70. 다음 중 해시함수가 적용되는 분야를 모두 고른 것은?
- 가, 나
- 가, 나, 라
- 가, 나, 다, 라
- 나, 라
71. 다음은 메시지 인증 절차를 설명한 것이다. 괄호 안에 들어 갈 단어가 순서대로 나열된 것은?
- a 송신자 - b 개인키 - c 송신자 - d 공개키
- a 송신자 - b 개인키 - c 송신자 - d 개인키
- a 수신자 - b 개인키 - c 수신자 - d 공개키
- a 송신자 - b 공개키 - c 수신자 - d 개인키
72. 공개키 암호방식에 이용되는 이론적으로 풀기 어려운 수학 문제들은 대부분 소인수 분해 문제, 이산대수 문제, NP-complete 문제 등으로 분류할 수 있다. 다음 중 이산대수 문제에 기반한 공개키 알고리즘과 가장 거리가 먼 것은?
- ECC
- Knapsack
- DSA
- ElGamal
73. 패스워드는 사용자 인증에 흔히 사용되는 기법이지만 보안에 매우 취약한 문제가 있다. 다음 지문의 빈칸 ㉠에 들어갈 용어로 적절한 것은?
- 핀(PIN)
- 패스프레이즈(Passphrase)
- 풀(Pool)
- 사전(Dictionary)
74. 자신의 비밀을 노출하지 않으면서 자신이 비밀을 알고 있다는 것을 증명하는 인증 방법은?
- 패스워드
- 영지식 인증
- 바이오매트릭스
- 시도-응답 인증
75. 다음 지문에서 설명하는 암호방식은?
- 동형(Homomorphic) 암호화
- 형태보존(Format Preserving) 암호화
- 순서보존(Order Preserving) 암호화
- 블록체인(Block Chain) 암호화
76. MAC에 대한 설명 중 잘못된 것은?
- 메시지 인증은 메시지 송수신자 사이에 문서의 위⋅변조공격에 대한 대응 방안으로 활용한다.
- MAC 생성에 키를 사용하는 해시함수가 널리 사용된다.
- MAC 자체만으로는 재전송 공격에 취약하다.
- 메시지 인증은 송신자와 수신자의 안전하고 훼손되지 않는 Key 관리가 목표이다.
77. 다음 중 정보자원에 접근하기 위한 3단계 절차에 해당하지 않는 보안 요구사항은 무엇인가?
- 식별(Identification)
- 인증(Authentication)
- 인가(Authorization)
- 책임추적성(Accountability)
78. 메시지 인증 코드의 구조적 제약사항에 따른 재전송 공격을 막는 방법과 거리가 먼 것은?
- Sequence Number
- Hash
- Nonce
- Timestamp
79. 다음 지문에서 설명하는 것은?
- SSO(Single Sign On)
- OAuth
- OpenID
- OIDC(OpenID Connect)
80. 다음 지문에서 설명하는 용어는 무엇인가?
- 혼돈
- 확산
- 차분(Differential)
- 선형(Linear)
5과목: 정보보안 관리 및 법규
81. 정보를 전송하는 과정에서 송신자와 수신자가 해당 자원에 대한 사용이 정당한지를 확인하기 위한 절차를 무엇이라고 하는가?
- 인증
- 인가(Authorization)
- 감사(Auditing)
- 관리
82. 다음 중 주요정보통신기반시설 관리기관이 취약점 분석⋅평가를 의뢰할 수 없는 기관은?
- 「국가정보화기본법」 에 의한 한국정보화진흥원
- 「정보통신기반보호법」 에 의한 정보공유⋅분석센터
- 「정보보호산업의 진흥에 관한 법률」 에 따라 지정된 정보보호 전문서비스 기업
- 「정부출연연구기관 등의 설립⋅운영 및 육성에 관한 법률」 에 의한 한국전자통신연구원
83. 이것은 영국표준협회(BSI)에서 만든 정보보호관리체계에 대한 표준으로, 최상의 정보보호관리를 위한 포괄적인 일련의 관리 방법에 대하여 요건 별로 해석해 놓은 규격으로, 기업이 고객 정보의 기밀성, 무결성, 가용성을 보장한다는 것을 공개적으로 확인하는 것이 목적이다. 이것은 현재 국제표준기구인 ISO에 의해 ISO 27000 시리즈로 발전하였다. 이것은 무엇인가?
- ITSEC(Information Technology Security Evaluation Criteria)
- TCSEC(Trusted Computer System Evaluation Criteria)
- CC(Common Criteria)
- BS7799(British Standard 7799)
84. 사이버 폭력의 특징이 아닌 것은?
- 사이버 폭력 행위는 빠르게 확산된다.
- 익명성으로 인해 사이버 폭력 행위를 쉽게 하게 된다.
- 가해자를 찾아내기 쉽다.
- 자신도 모르는 사이에 사이버 폭력 행위를 할 수 있다.
85. 개인정보보호법에서 정한 '민감정보'에 해당하지 않는 것은?
- 장애 등급
- 지문 인증 방식에 사용되는 지문 정보
- 인종에 관한 정보
- 혈액형
86. 위험분석 방법론으로 적절히 짝지은 것은?
- ㉠ 확률분포법 ㉡ 순위결정법
- ㉠ 시나리오법 ㉡ 델파이법
- ㉠ 델파이법 ㉡ 확률분포법
- ㉠ 순위결정법 ㉡ 시나리오법
87. 개인정보의 가명정보 처리에 대한 설명으로 틀린 것은?
- 개인정보처리자는 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 정보주체의 동의 없이 가명정보를 처리할 수 있다.
- 누구든지 특정 개인을 알아보기 위한 목적으로 가명정보를 처리해서는 아니 된다.
- 가명정보 및 가명정보를 원래의 상태로 복원하기 위한 추가 정보에 대하여 안전성 확보 조치는 개인정보처리자가 임의로 처리하여야 한다.
- 개인정보처리자는 가명정보를 처리하는 과정에서 특정 개인을 알아볼 수 있는 정보가 생성된 경우에는 즉시 해당 정보의 처리를 중지하고 지체 없이 회수⋅파기하여야 한다.
88. '위치정보'란 이동성 있는 물건 또는 개인이 특정한 시간에 존재하거나 존재하였던 장소에 관한 정보를 말한다. 다음 중 「위치정보보호를 위한 관리적⋅기술적 보호조치 권고」와 관련한 설명으로 적절하지 않은 것은?
- 관리적⋅기술적 보호조치에 의해 보호되어야 하는 위치정보의 범위는 개인위치정보뿐 아니라 이동성 있는 물건의 위치정보를 포함한다.
- 위치 좌표값이 그 자체만으로는 특정인의 위치를 나타내지 못하나 통신단말기 번호 또는 단말기 소지자의 이름 등과 결합하여 특정인의 위치를 알 수 있을 때에는 개인위치정보로 볼 수 있다.
- 결합 가능한 정보들이 여러 DB로 분산되어 있거나 제휴회사 등이 별도로 보유하고 있더라도 서비스 제공을 위해 상호 결합될 가능성이 많다면 개인위치정보에 해당될 수 있다.
- 법인이나 단체 등의 위치정보도 개인위치정보 보호대상에 포함된다.
89. 개인정보의 안전성 확보조치 기준에서 사용되는 용어 정의이다. 올바르지 않은 것은?
- '개인정보파일'이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물을 말한다.
- '개인정보처리시스템'이란 개인정보를 처리할 수 있도록 데이터베이스시스템에 직접 접속하는 단말기를 말한다.
- '바이오정보'란 지문, 얼굴, 홍채, 정맥, 음성, 필적 등 개인을 식별할 수 있는 신체적 또는 행동적 특징에 관한 정보로서 그로부터 가공되거나 생성된 정보를 포함한다.
- '내부망'이란 물리적 망분리, 접근통제시스템 등에 의해 인터넷 구간에서의 접근이 통제 또는 차단되는 구간을 말한다.
90. 다음은 개인정보보호법상 개인정보의 처리기준 및 정보주체의 권리에 관한 설명이다. 설명이 가장 올바른 것은?
- 주소불명 등으로 정보주체의 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우에 동의 없이 개인정보를 수집⋅이용할 수 있다.
- 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우에는 정보주체의 동의 없이 개인정보를 제3자에게 제공할 수 있다.
- 정보주체에게 재화나 서비스를 홍보하거나 판매를 권유하기 위하여 개인정보처리위탁에 대한 동의를 받으려는 때에는 정보주체가 이를 명확하게 인지할 수 있도록 알리고 동의를 받아야 한다.
- 개인정보보호법상 바이오정보(생체정보)는 민감정보에 해당하므로 건강정보와 마찬가지로 별도의 동의를 받아야 한다.
91. 개인정보취급자 등의 금지행위에 관한 설명이다. 가장 부적절한 것은?
- 정보보호 관리체계 인증 업무에 종사했던 자가 그 직무상 알게 된 비밀을 학생들에게 인증 업무 사례로 소개한 경우 형사처벌을 받을 수 있다.
- 보험회사의 직원이 친구의 부탁을 받고 친구에게 돈을 빌려간 채무자의 주소, 전화번호 등 연락처를 알려준 경우 형사처벌을 받을 수 있다.
- 회사의 개발업무에 종사하고 있는 직원이 학위논문 연구를 위해 고객의 개인정보의 일부를 노트북에 내려받아 실험한 것은 유출로 간주되지 않는다.
- 개인정보를 처리하던 자가 위계의 방법으로 개인정보처리에 관한 동의를 받는 경우 형사처벌을 받을 수 있다.
92. 위험 처리 방안 중 보안 솔루션을 도입하여 보안 통제를 수립하는 방안에 해당하는 것은?
- 위험 감소
- 위험 수용
- 위험 회피
- 위험 전가
93. 다음 중 조직의 정보보호 조직체계와 역할 및 책임에 대한 사항으로 가장 부적절한 것은?
- 정보보호 최고책임자 및 개인정보 보호책임자는 예산, 인력 등 자원을 할당할 수 있는 임원급으로 지정하고 관련 법령에 따른 자격요건을 충족하여야 한다.
- 모든 정보통신서비스제공자는 정보보호 최고책임자를 지정 및 신고하여야 한다.
- 조직 전반에 걸쳐 중요한 정보보호 및 개인정보 보호 관련사항에 대한 검토, 승인 및 의사결정(위험평가 결과, 내부감사 결과 등)을 할 수 있는 위원회를 구성하여 운영하여야 한다.
- 주요 직무를 수행하는 임직원 및 외부자를 주요 직무자로 지정하고, 주요 직무자를 최소한으로 지정하여 그 목록을 최신으로 관리하여야 한다.
94. 위험관리 절차를 순서대로 배열한 것을 고르면?
- ㉠ - ㉡ - ㉢ - ㉣ - ㉤
- ㉠ - ㉣ - ㉢ - ㉡ - ㉤
- ㉠ - ㉡ - ㉣ - ㉢ - ㉤
- ㉠ - ㉣ - ㉡ - ㉢ - ㉤
95. 다음은 업무연속성 5단계 방법론 중 특정 단계를 설명한 것이다. 어떤 단계를 설명한 것인가?
- 사업영향평가
- 위험분석
- 복구계획 수립
- 정보보호 대책 구현
96. 조직이 수행하는 모든 정보보호 활동의 근거가 되는 최상위 수준의 정보보호 정책 수립 시, 포함하여야 할 사항과 가장 거리가 먼 것은?
- 조직의 정보보호 활동을 실행하기 위한 절차, 주기, 수행주체 등에 관한 사항
- 조직의 정보보호에 대한 최고경영자 등 경영진의 의지 및 방향
- 조직의 정보보호를 위한 역할과 책임, 대상과 범위에 관한 사항
- 조직이 수행하는 관리적, 기술적, 물리적 정보보호 활동의 근거
97. 용어에 대한 설명으로 옳지 않은 것은?
- '침해사고'란 정보통신망 또는 이와 관련된 정보 시스템을 공격하는 행위로 인하여 발생한 사태를 말한다.
- '정보통신기반시설'이라 함은 국가안전보장⋅행정⋅국방⋅치안⋅금융⋅통신⋅운송⋅에너지 등의 업무와 관련된 전자적 제어⋅관리시스템 및 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」에 따른 정보통신망을 말한다.
- '개인위치정보'라 함은 특정 개인의 위치정보(위치정보만으로는 특정 개인의 위치를 알 수 없는 경우에도 다른 정보와 용이하게 결합하여 특정 개인의 위치를 알 수 있는 것을 포함한다)를 말한다.
- '개인신용정보'란 기업 및 법인에 관한 정보를 제외한 생존 여부와 상관없는 개인에 관한 신용정보로서 해당 정보의 성명, 주민등록번호 및 영상 등을 통하여 특정 개인을 알아볼 수 있는 정보만 말한다.
98. 인증제도는?
- ISO 27001
- ITSEC
- CC
- TCSEC
99. 업무연속성 5단계 방법론 중 특정 단계를 설명한 것이다. 어떤 단계를 설명한 것인가?
- 사업영향평가
- 위험분석
- 정보보호 대책 구현
- 복구계획 수립
100. “개인정보보호법”상의 “개인정보처리자의 개인정보 보호 원칙”에 관한 설명 중 가장 부적절할 것은?
- 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집한다.
- 정보주체의 사생활 침해를 최소화하는 방법으로 개인정보를 처리하여야 한다.
- 개인정보의 정확성, 완전성 및 최신성이 보장되도록 하여야 한다.
- 개인정보는 반드시 실명으로 처리되어야 한다.