9급 국가직 공무원 정보보호론 필기 기출문제복원 (2014-04-19)

9급 국가직 공무원 정보보호론
(2014-04-19 기출문제)

목록

1. 서비스 거부(DoS : Denial of Service) 공격 또는 분산 서비스 거부(DDoS : Distributed DoS) 공격에 대한 설명으로 옳지 않은 것은?

  1. TCP SYN이 DoS 공격에 활용된다.
  2. CPU, 메모리 등 시스템 자원에 과다한 부하를 가중시킨다.
  3. 불특정 형태의 에이전트 역할을 수행하는 데몬 프로그램을 변조하거나 파괴한다.
  4. 네트워크 대역폭을 고갈시켜 접속을 차단시킨다.
(정답률: 92%)
  • "불특정 형태의 에이전트 역할을 수행하는 데몬 프로그램을 변조하거나 파괴한다."는 서비스 거부 공격 또는 분산 서비스 거부 공격의 특징이 아닙니다. 이는 보안 침해의 일종인 악성 코드나 바이러스에 해당합니다.

    TCP SYN은 DoS 공격에 활용될 수 있습니다. CPU, 메모리 등 시스템 자원에 과다한 부하를 가중시키거나 네트워크 대역폭을 고갈시켜 접속을 차단시키는 것도 서비스 거부 공격 또는 분산 서비스 거부 공격의 특징입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

2. 보안 프로토콜인 IPSec(IP Security)의 프로토콜 구조로 옳지 않은 것은?

  1. Change Cipher Spec
  2. Encapsulating Security Payload
  3. Security Association
  4. Authentication Header
(정답률: 71%)
  • "Change Cipher Spec"은 IPSec 프로토콜 구조에 포함되지 않습니다. 이는 SSL/TLS 프로토콜에서 사용되는 메시지입니다. IPSec의 프로토콜 구조는 "Security Association", "Authentication Header", "Encapsulating Security Payload"으로 구성됩니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

3. DRM(Digital Right Management)에 대한 설명으로 옳지 않은 것은?

  1. 디지털 컨텐츠의 불법 복제와 유포를 막고, 저작권 보유자의 이익과 권리를 보호해 주는 기술과 서비스를 말한다.
  2. DRM은 파일을 저장할 때, 암호화를 사용한다.
  3. DRM 탬퍼 방지(tamper resistance) 기술은 라이센스 생성 및 발급관리를 처리한다.
  4. DRM은 온라인 음악서비스, 인터넷 동영상 서비스, 전자책, CD/DVD 등의 분야에서 불법 복제 방지 기술로 활용된다.
(정답률: 66%)
  • DRM 탬퍼 방지 기술은 라이센스 생성 및 발급관리를 처리하는 것이 아니라, 디지털 콘텐츠의 불법적인 수정 및 변경을 방지하는 기술이다. 따라서 "DRM 탬퍼 방지 기술은 라이센스 생성 및 발급관리를 처리한다."는 옳지 않은 설명이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

4. 다음 설명에 해당하는 접근제어 모델은?

  1. 강제적 접근제어(Mandatory Access Control)
  2. 규칙 기반 접근제어(Rule-Based Access Control)
  3. 역할 기반 접근제어(Role-Based Access Control)
  4. 임의적 접근제어(Discretionary Access Control)
(정답률: 84%)
  • 이 모델은 사용자의 역할에 따라 접근 권한을 부여하는 역할 기반 접근제어 모델입니다. 각 사용자는 자신의 역할에 따라 허용된 작업만 수행할 수 있으며, 역할은 조직의 업무 수행에 따라 정의됩니다. 따라서 이 모델은 보안 관리를 간소화하고, 권한 부여와 관리를 용이하게 합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

5. 공개키 암호에 대한 설명으로 옳지 않은 것은?

  1. 공개키 인증서를 공개키 디렉토리에 저장하여 공개한다.
  2. 사용자가 증가할수록 필요한 비밀키의 개수가 증가하는 암호방식의 단점을 해결할 수 있다.
  3. 일반적으로 대칭키 암호방식보다 암호화 속도가 느리다.
  4. n명의 사용자로 구성된 시스템에서는 개의 키가 요구된다.
(정답률: 73%)
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

6. 웹 서버 보안에 대한 설명으로 옳지 않은 것은?

  1. 웹 애플리케이션은 SQL 삽입공격에 안전하다.
  2. 악성 파일 업로드를 방지하기 위하여 필요한 파일 확장자만 업로드를 허용한다.
  3. 웹 애플리케이션의 취약점을 방지하기 위하여 사용자의 입력 값을 검증한다.
  4. 공격자에게 정보 노출을 막기 위하여 웹 사이트의 맞춤형 오류 페이지를 생성한다.
(정답률: 84%)
  • "웹 애플리케이션은 SQL 삽입공격에 안전하다."는 옳지 않은 설명입니다. SQL 삽입공격은 웹 애플리케이션에서 가장 흔한 보안 취약점 중 하나이며, 이를 방지하기 위해서는 적절한 입력 값 검증과 SQL Injection 방어 기술을 적용해야 합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

7. 개인정보 보호법 상 개인정보 유출 시 개인정보처리자가 정보 주체에게 알려야 할 사항으로 옳은 것만을 모두 고르면?

  1. ㄱ, ㄴ
  2. ㄷ, ㄹ
  3. ㄱ, ㄷ
  4. ㄴ, ㄹ
(정답률: 80%)
  • 개인정보 유출 시 정보주체에게 알려야 할 사항은 다음과 같습니다.

    ㄴ. 유출된 개인정보의 종류와 수집일자 등 개인정보의 내용
    - 정보주체가 자신의 개인정보가 유출되었는지 파악할 수 있도록 유출된 개인정보의 종류와 수집일자 등을 알려줘야 합니다.

    ㄹ. 개인정보 유출로 인한 피해구제를 받을 수 있는 방법 등 정보주체의 권리와 그 행사방법
    - 정보주체가 개인정보 유출로 인한 피해를 받았을 경우, 어떤 방법으로 피해구제를 받을 수 있는지 알려줘야 합니다.

    따라서, 정답은 "ㄴ, ㄹ"입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

8. PGP(Pretty Good Privacy)에 대한 설명으로 옳지 않은 것은?

  1. PGP는 전자우편용 보안 프로토콜이다.
  2. 공개키 암호 알고리즘을 사용하지 않고, 대칭키 암호화 알고리즘으로 메시지를 암호화한다.
  3. PGP는 데이터를 압축해서 암호화한다.
  4. 필 짐머만(Philip Zimmermann)이 개발하였다.
(정답률: 76%)
  • PGP는 공개키 암호 알고리즘과 대칭키 암호화 알고리즘을 모두 사용하여 메시지를 암호화하는 보안 프로토콜이다. 따라서 "공개키 암호 알고리즘을 사용하지 않고, 대칭키 암호화 알고리즘으로 메시지를 암호화한다."는 옳지 않은 설명이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

9. 컴퓨터 바이러스에 대한 설명으로 옳지 않은 것은?

  1. 트랩도어(Trapdoor)는 정상적인 인증 과정을 거치지 않고 프로그램에 접근하는 일종의 통로이다.
  2. 웜(Worm)은 네트워크 등의 연결을 통하여 자신의 복제품을 전파한다.
  3. 트로이목마(Trojan Horse)는 정상적인 프로그램으로 가장한 악성프로그램이다.
  4. 루트킷(Rootkit)은 감염된 시스템에서 활성화되어 다른 시스템을 공격하는 프로그램이다.
(정답률: 81%)
  • 보기 중 모두 옳은 설명이므로, 정답이 없습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

10. [정보보호 관리체계 인증 등에 관한 고시] 에 의거한 정보보호 관리체계(ISMS)에 대한 설명으로 옳지 않은 것은?

  1. 정보보호관리과정은 정보보호정책 수립 및 범위설정, 경영진 책임 및 조직구성, 위험관리, 정보보호대책 구현 등 4단계 활동을 말한다.
  2. 인증기관이 조직의 정보보호 활동을 객관적으로 심사하고, 인증한다.
  3. 정보보호 관리체계는 조직의 정보 자산을 평가하는 것으로 물리적 보안을 포함한다.
  4. 정보 자산의 기밀성, 무결성, 가용성을 실현하기 위하여 관리적ㆍ기술적 수단과 절차 및 과정을 관리, 운용하는 체계이다.
(정답률: 50%)
  • "정보보호 관리체계는 조직의 정보 자산을 평가하는 것으로 물리적 보안을 포함한다."가 옳지 않은 설명입니다. 정보보호 관리체계는 물리적 보안뿐만 아니라 기술적, 관리적 보안 등 모든 측면을 포함하여 정보 자산의 기밀성, 무결성, 가용성을 실현하기 위한 체계입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

11. 공격자가 자신이 전송하는 패킷에 다른 호스트의 IP 주소를 담아서 전송하는 공격은?

  1. 패킷 스니핑(Packet Sniffing)
  2. 스미싱(Smishing)
  3. 버퍼 오버플로우(Buffer Overflow)
  4. 스푸핑(Spoofing)
(정답률: 75%)
  • 스푸핑(Spoofing)은 공격자가 자신이 전송하는 패킷에 다른 호스트의 IP 주소를 담아서 전송하는 공격입니다. 이는 패킷을 위조하는 것으로, 공격자는 자신의 실제 IP 주소를 숨기고 다른 호스트로 위장하여 공격을 실행할 수 있습니다. 따라서 정답은 스푸핑(Spoofing)입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

12. 정보보호의 주요 목적에 대한 설명으로 옳지 않은 것은?

  1. 기밀성(confidentiality)은 인가된 사용자만이 데이터에 접근할 수 있도록 제한하는 것을 말한다.
  2. 가용성(availability)은 필요할 때 데이터에 접근할 수 있는 능력을 말한다.
  3. 무결성(integrity)은 식별, 인증 및 인가 과정을 성공적으로 수행했거나 수행 중일 때 발생하는 활동을 말한다.
  4. 책임성(accountability)은 제재, 부인방지, 오류제한, 침입탐지 및 방지, 사후처리 등을 지원하는 것을 말한다.
(정답률: 80%)
  • 무결성은 식별, 인증 및 인가 과정과는 관련이 없으며, 데이터가 정확하고 완전하게 유지되는 것을 보장하는 것을 말한다. 따라서 "무결성은 식별, 인증 및 인가 과정을 성공적으로 수행했거나 수행 중일 때 발생하는 활동을 말한다."는 옳지 않은 설명이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

13. 네트워크 각 계층별 보안 프로토콜로 옳지 않은 것은?

  1. 네트워크 계층(network layer) : IPSec
  2. 네트워크 계층(network layer) : FTP
  3. 응용 프로그램 계층(application layer) : SSH
  4. 응용 프로그램 계층(application layer) : S/MIME
(정답률: 87%)
  • 정답은 "네트워크 계층(network layer) : FTP"입니다.

    FTP는 응용 프로그램 계층(application layer)에서 사용되는 프로토콜이며, 네트워크 계층에서 사용되는 프로토콜은 IPSec입니다. IPSec는 인터넷 프로토콜(IP) 패킷을 보호하기 위한 보안 프로토콜입니다.

    응용 프로그램 계층에서 사용되는 SSH와 S/MIME은 각각 안전한 원격 로그인과 전자 메일 보호를 위한 보안 프로토콜입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

14. 방화벽(firewall)에 대한 설명으로 옳지 않은 것은?

  1. 패킷 필터링 방화벽은 패킷의 출발지 및 목적지 IP 주소, 서비스의 포트 번호 등을 이용한 접속제어를 수행한다.
  2. 패킷 필터링 기법은 응용 계층(application layer)에서 동작하며, WWW와 같은 서비스를 보호한다.
  3. NAT 기능을 이용하여 IP 주소 자원을 효율적으로 사용함과 동시에 보안성을 높일 수 있다.
  4. 방화벽 하드웨어 및 소프트웨어 자체의 결함에 의해 보안상 취약점을 가질 수 있다.
(정답률: 80%)
  • "패킷 필터링 기법은 응용 계층(application layer)에서 동작하며, WWW와 같은 서비스를 보호한다."가 옳지 않은 설명입니다. 패킷 필터링 방화벽은 네트워크 계층에서 동작하며, IP 주소, 포트 번호 등의 정보를 이용하여 패킷을 차단하거나 허용하는 접속 제어를 수행합니다. 따라서 응용 계층에서 동작하는 방화벽은 다른 기술이 사용됩니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

15. 해시 함수(hash function)에 대한 설명으로 옳지 않은 것은?

  1. 임의 길이의 문자열을 고정된 길이의 문자열로 출력하는 함수이다.
  2. 대표적인 해시 함수는 MD5, SHA-1, HAS-160 등이 있다.
  3. 해시 함수는 메시지 인증과 메시지 부인방지 서비스에 이용된다.
  4. 해시 함수의 충돌 회피성은 동일한 출력을 산출하는 서로 다른 두 입력을 계산적으로 찾기 가능한 성질을 나타낸다.
(정답률: 60%)
  • 해시 함수의 충돌 회피성은 동일한 출력을 산출하는 서로 다른 두 입력을 계산적으로 찾기 어렵거나 불가능한 성질을 나타내는 것이 옳은 설명입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

16. [정보통신기반 보호법] 에 대한 설명으로 옳지 않은 것은?

  1. 주요정보통신기반시설을 관리하는 기관의 장은 침해사고가 발생하여 소관 주요정보통신기반시설이 교란ㆍ마비 또는 파괴된 사실을 인지한 때에는 관계 행정기관, 수사기관 또는 한국인터넷진흥원에 그 사실을 통지하여야 한다.
  2. “전자적 침해행위”라 함은 정보통신기반시설을 대상으로 해킹, 컴퓨터 바이러스, 서비스 거부 또는 고출력 전자기파 등에 의한 공격행위를 말한다.
  3. 관리기관의 장은 소관분야의 정보통신기반시설 중 전자적 침해행위로부터의 보호가 필요하다고 인정되는 시설을 주요 정보통신기반시설로 지정할 수 있다.
  4. 주요정보통신기반시설의 취약점 분석ㆍ평가 방법 등에 관하여 필요한 사항은 대통령령으로 정한다.
(정답률: 57%)
  • 정보통신기반 보호법에서는 관리기관의 장이 주요 정보통신기반시설을 지정할 수 있다는 내용이 옳은 것이다. 따라서, 정답은 "관리기관의 장은 소관분야의 정보통신기반시설 중 전자적 침해행위로부터의 보호가 필요하다고 인정되는 시설을 주요 정보통신기반시설로 지정할 수 없다."이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

17. [개인정보 보호법] 상 공공기관에서의 영상정보처리기기 설치 및 운영에 대한 설명으로 옳지 않은 것은?

  1. 공공기관의 사무실에서 민원인의 폭언ㆍ폭행 방지를 위해 영상정보처리기기를 설치 및 녹음하는 것이 가능하다.
  2. 영상정보처리기기의 설치 목적과 다른 목적으로 영상정보 처리기기를 임의로 조작하거나 다른 곳을 비춰서는 안 된다.
  3. 영상정보처리기기운영자는 영상정보처리기기의 설치ㆍ운영에 관한 사무를 위탁할 수 있다.
  4. 개인정보 보호법 에서 정하는 사유를 제외하고는 공개된 장소에 영상정보처리기기를 설치하는 것은 금지되어 있다.
(정답률: 58%)
  • 옳지 않은 것은 "공공기관의 사무실에서 민원인의 폭언ㆍ폭행 방지를 위해 영상정보처리기기를 설치 및 녹음하는 것이 가능하다." 이다. 이유는 개인정보 보호법 제17조 제1항에 따라 공공기관에서도 영상정보처리기기를 설치할 때에는 설치 목적과 필요성을 명확히 하고, 설치 전에 관련 법령에 따라 시민단체 등에 설치 계획을 사전에 공개하고 동의를 받아야 한다. 또한, 녹음은 개인정보 보호법 제15조 제1항에 따라 녹음이 필요한 경우에 한하여 녹음할 수 있으며, 그 경우에도 녹음 목적과 필요성을 명확히 하고, 녹음 전에 관련 법령에 따라 시민단체 등에 녹음 계획을 사전에 공개하고 동의를 받아야 한다. 따라서, 민원인의 폭언ㆍ폭행 방지를 위해 영상정보처리기기를 설치 및 녹음하는 것은 가능하지 않다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

18. 국제공통평가기준(Common Criteria)에 대한 설명으로 옳지 않은 것은?

  1. 정보보호 측면에서 정보보호 기능이 있는 IT 제품의 안전성을 보증ㆍ평가하는 기준이다.
  2. 국제공통평가기준은 소개 및 일반모델, 보안기능요구사항, 보증요구사항 등으로 구성되고, 보증 등급은 5개이다.
  3. 보안기능요구사항과 보증요구사항의 구조는 클래스로 구성된다.
  4. 상호인정협정(CCRA:Common Criteria Recognition Arrangement)은 정보보호제품의 평가인증 결과를 가입 국가 간 상호 인정하는 협정으로서 미국, 영국, 프랑스 등을 중심으로 시작되었다.
(정답률: 68%)
  • 국제공통평가기준은 보증 등급이 5개가 아니라 7개이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

19. 위험관리 요소에 대한 설명으로 옳지 않은 것은?

  1. 위험은 위협 정도, 취약성 정도, 자산 가치 등의 함수관계로 산정할 수 있다.
  2. 취약성은 자산의 약점(weakness) 또는 보호대책의 결핍으로 정의할 수 있다.
  3. 위험 회피로 조직은 편리한 기능이나 유용한 기능 등을 상실할 수 있다.
  4. 위험관리는 위협 식별, 취약점 식별, 자산 식별 등의 순서로 이루어진다.
(정답률: 72%)
  • 위험관리는 위협 식별, 취약점 식별, 자산 식별 등의 순서로 이루어진다는 설명이 옳지 않습니다. 위험관리는 위협과 취약성을 평가하고, 그에 따른 대응책을 수립하는 과정으로 이루어집니다. 따라서, 위협과 취약성을 먼저 식별한 후, 그에 따른 대응책을 수립하는 순서로 이루어집니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

20. 다음 설명에 해당하는 컴퓨터 바이러스는?

  1. 오토런 바이러스(Autorun virus)
  2. 백도어(Backdoor)
  3. 스턱스넷(Stuxnet)
  4. 봇넷(Botnet)
(정답률: 84%)
  • 이미지에서 보이는 것은 스테크스넷(Stuxnet) 바이러스의 로고이다. 스테크스넷은 이란의 핵 프로그램을 공격하기 위해 개발된 악성 코드로, 산업 제어 시스템을 감염시켜 제어를 해킹하는 백도어 기능을 가지고 있다. 이 바이러스는 USB나 네트워크를 통해 전파되며, 감염된 시스템에서는 이란의 핵 시설을 공격하는 코드가 실행된다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

< 이전회차목록