9급 국가직 공무원 정보보호론 필기 기출문제복원 (2015-04-18)

9급 국가직 공무원 정보보호론 2015-04-18 필기 기출문제 해설

이 페이지는 9급 국가직 공무원 정보보호론 2015-04-18 기출문제를 CBT 방식으로 풀이하고 정답 및 회원들의 상세 해설을 확인할 수 있는 페이지입니다.

9급 국가직 공무원 정보보호론
(2015-04-18 기출문제)

목록

1과목: 과목 구분 없음

1. 다음에서 설명하는 공격방법은?

  1. 스푸핑 공격
  2. 사회공학적 공격
  3. 세션 가로채기 공격
  4. 사전 공격
(정답률: 98%)
  • 사람의 심리적인 취약점을 악용하여 비밀 정보를 획득하거나 시스템 접근 권한을 얻어내는 공격 방식은 사회공학적 공격의 핵심 정의입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

2. 능동적 보안 공격에 해당하는 것만을 모두 고른 것은?

  1. ㄱ, ㄴ
  2. ㄱ, ㄷ
  3. ㄴ, ㄷ
  4. ㄷ, ㄹ
(정답률: 94%)
  • 능동적 보안 공격은 시스템의 자원이나 데이터의 흐름을 직접적으로 변경, 삭제, 생성하는 공격을 의미합니다.

    오답 노트

    도청, 감시: 데이터의 흐름을 엿듣기만 하는 수동적 공격에 해당합니다.
    신분위장, 서비스 거부: 데이터나 시스템 상태를 조작하는 능동적 공격에 해당합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

3. 다음에서 설명하는 재해복구시스템의 복구 방식은?

  1. 핫 사이트(Hot Site)
  2. 미러 사이트(Mirror Site)
  3. 웜 사이트(Warm Site)
  4. 콜드 사이트(Cold Site)
(정답률: 71%)
  • 주 센터와 동일한 수준의 시스템을 구축하고 실시간 복제를 통해 최신 데이터를 유지하며, 재해 시 즉시 활성화하여 복구하는 방식은 핫 사이트(Hot Site)의 핵심 특징입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

4. 정보보안의 기본 개념에 대한 설명으로 옳지 않은 것은?

  1. Kerckhoff의 원리에 따라 암호 알고리즘은 비공개로 할 필요가 없다.
  2. 보안의 세 가지 주요 목표에는 기밀성, 무결성, 가용성이 있다.
  3. 대칭키 암호 알고리즘은 송수신자 간의 비밀키를 공유하지 않아도 된다.
  4. 가용성은 인가된 사용자에게 서비스가 잘 제공되도록 보장하는 것이다.
(정답률: 81%)
  • 대칭키 암호 알고리즘은 암호화와 복호화에 동일한 키를 사용하는 방식이므로, 송수신자 간에 반드시 동일한 비밀키를 안전하게 공유하고 있어야 합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

5. 공개키 기반 구조(PKI : Public Key Infrastructure)의 인증서에 대한 설명으로 옳은 것만을 모두 고른 것은?

  1. ㄱ, ㄴ
  2. ㄱ, ㄷ
  3. ㄴ, ㄷ
  4. ㄷ, ㄹ
(정답률: 77%)
  • PKI 인증서는 신뢰할 수 있는 인증기관(CA)이 공개키의 소유자를 확인하여 발행하는 전자 문서입니다.
    ㄱ. 인증기관은 인증서 및 인증서 취소목록(CRL)을 관리하는 것이 맞습니다.
    ㄴ. 인증서는 공개키와 소유자를 공식적으로 연결해 주는 역할을 합니다.

    오답 노트

    ㄷ. 인증서에는 공개키가 포함되며, 개인키는 절대 포함되지 않고 소유자 본인만 안전하게 보관해야 합니다.
    ㄹ. 공인인증서는 인증기관의 전자서명이 있어야만 그 신뢰성이 보장됩니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

6. 위험 분석에 대한 설명으로 옳지 않은 것은?

  1. 자산의 식별된 위험을 처리하는 방안으로는 위험 수용, 위험 회피, 위험 전가 등이 있다.
  2. 자산의 가치 평가를 위해 자산구입비용, 자산유지보수비용 등을 고려할 수 있다.
  3. 자산의 적절한 보호를 위해 소유자와 책임소재를 지정함으로써 자산의 책임추적성을 보장받을 수 있다.
  4. 자산의 가치 평가 범위에 데이터베이스, 계약서, 시스템 유지 보수 인력 등은 제외된다.
(정답률: 95%)
  • 위험 분석 시 자산 가치 평가 범위에는 하드웨어뿐만 아니라 데이터베이스, 계약서와 같은 소프트웨어적 자산, 그리고 시스템 유지 보수 인력과 같은 인적 자산까지 모두 포함되어야 정확한 위험 분석이 가능합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

7. 메시지 인증 코드(MAC :Message Authentication Code)를 이용한 메시지 인증 방법에 대한 설명으로 옳지 않은 것은?

  1. 메시지의 출처를 확신할 수 있다.
  2. 메시지와 비밀키를 입력받아 메시지 인증 코드를 생성한다.
  3. 메시지의 무결성을 증명할 수 있다.
  4. 메시지의 복제 여부를 판별할 수 있다.
(정답률: 74%)
  • MAC은 송신자와 수신자가 공유하는 비밀키를 사용하여 메시지의 무결성과 출처 인증을 제공하는 기술입니다. 메시지의 복제 여부를 판별하는 것은 MAC의 주요 목적이 아니며, 이는 주로 타임스탬프나 논스(Nonce) 등을 통해 해결해야 할 문제입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

8. 유닉스(Unix)의 로그 파일과 기록되는 내용을 바르게 연결한 것은?

  1. ㄱ, ㄴ
  2. ㄱ, ㄷ
  3. ㄴ, ㄷ
  4. ㄷ, ㄹ
(정답률: 87%)
  • 유닉스 로그 파일의 용도를 분석하면 다음과 같습니다.
    ㄱ. history: 명령창에 실행했던 명령 내역을 기록하므로 옳습니다.
    ㄴ. sulog: su 명령어를 사용한 내역을 기록하므로 옳습니다.
    ㄷ. xferlog: FTP 파일 전송 내역을 기록하는 로그입니다.
    ㄹ. loginlog: 로그인 시도 내역 등을 기록하는 로그입니다.
    따라서 옳은 연결은 ㄱ, ㄴ입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

9. 전송계층 보안 프로토콜인 TLS(Transport Layer Security)가 제공하는 보안 서비스에 해당하지 않는 것은?

  1. 메시지 부인 방지
  2. 클라이언트와 서버 간의 상호 인증
  3. 메시지 무결성
  4. 메시지 기밀성
(정답률: 72%)
  • TLS는 데이터 전송 시 대칭키 암호화를 사용하여 기밀성과 무결성을 제공하며 상호 인증을 수행하지만, 대칭키 방식의 특성상 송신자가 메시지를 보냈다는 사실을 법적으로 증명하는 부인 방지 서비스는 제공하지 않습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

10. 다음에서 설명하는 스니퍼 탐지 방법에 이용되는 것은?

  1. ARP
  2. DNS
  3. Decoy
  4. ARP watch
(정답률: 84%)
  • 공격자가 ID와 패스워드를 훔치려는 심리를 이용해, 가짜 ID와 패스워드를 네트워크에 흘려보내 공격자를 유인하고 탐지하는 미끼(Decoy) 기법에 대한 설명입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

11. 다음에 제시된 <보기 1>의 사용자 인증방법과 <보기 2>의 사용자 인증도구를 바르게 연결한 것은? (순서대로 ㄱ, ㄴ, ㄷ)

  1. A, B, C
  2. A, C, B
  3. B, A, C
  4. B, C, A
(정답률: 98%)
  • 사용자 인증 방법과 도구의 올바른 연결은 다음과 같습니다.
    ㄱ. 지식기반인증 $\rightarrow$ B. 패스워드 (알고 있는 정보)
    ㄴ. 소지기반인증 $\rightarrow$ A. OTP 토큰 (가지고 있는 매체)
    ㄷ. 생체기반인증 $\rightarrow$ C. 홍채 (신체적 특징)
    따라서 정답은 B, A, C 순서입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

12. [정보통신망 이용촉진 및 정보보호 등에 관한 법률] 상 용어의 정의에 대한 설명으로 옳지 않은 것은?

  1. 정보통신서비스: 전기통신사업법 제2조제6호에 따른 전기 통신역무와 이를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 것
  2. 정보통신망: 전기통신사업법 제2조제2호에 따른 전기통신 설비를 이용하거나 전기통신설비와 컴퓨터 및 컴퓨터의 이용 기술을 활용하여 정보를 수집ㆍ가공ㆍ저장ㆍ검색ㆍ송신 또는 수신하는 정보통신체제
  3. 통신과금서비스이용자:정보보호제품을 개발ㆍ생산 또는 유통하는 사람이나 정보보호에 관한 컨설팅 등과 관련된 사람
  4. 침해사고:해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스 거부 또는 고출력 전자기파 등의 방법으로 정보통신망 또는 이와 관련된 정보시스템을 공격하는 행위를 하여 발생한 사태
(정답률: 92%)
  • 통신과금서비스이용자는 정보보호제품 개발자나 컨설턴트가 아니라, 통신과금서비스를 이용하는 이용자를 의미합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

13. 안드로이드 보안에 대한 설명으로 옳지 않은 것은?

  1. 리눅스 운영체제와 유사한 보안 취약점을 갖는다.
  2. 개방형 운영체제로서의 보안정책을 적용한다.
  3. 응용프로그램에 대한 서명은 개발자가 한다.
  4. 응용프로그램 간 데이터 통신을 엄격하게 통제한다.
(정답률: 84%)
  • 안드로이드는 리눅스 기반의 오픈 소스 플랫폼으로, iOS와 비교했을 때 응용프로그램 간 데이터 통신에 더 많은 자율성을 부여하는 특성이 있어 통신을 엄격하게 통제하지 않습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

14. 개인정보 보호 인증(PIPL) 제도에 대한 설명으로 옳은 것은?

  1. 물리적 안전성 확보조치 심사영역에는 악성 소프트웨어 통제 심사항목이 있다.
  2. 인증절차는 인증심사 준비단계, 심사단계, 인증단계로 구성되며, 인증유지관리를 위한 유지관리 단계가 있다.
  3. 개인정보 보호를 위해 관리계획 수립과 조직구축은 정보주체권리보장 심사영역에 속한다.
  4. 인증을 신청할 수 있는 기관은 공공기관에 한정한다.
(정답률: 68%)
  • 개인정보 보호 인증(PIPL) 제도의 인증 절차는 인증심사 준비단계, 심사단계, 인증단계로 진행되며, 이후 인증의 유효성을 유지하기 위한 유지관리 단계가 포함되는 것이 올바른 과정입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

15. 해킹에 대한 설명으로 옳지 않은 것은?

  1. SYN Flooding은 TCP 연결설정 과정의 취약점을 악용한 서비스 거부 공격이다.
  2. Zero Day 공격은 시그니처(signature) 기반의 침입탐지시스템으로 방어하는 것이 일반적이다.
  3. APT는 공격대상을 지정하여 시스템의 특성을 파악한 후 지속적으로 공격한다.
  4. Buffer Overflow는 메모리에 할당된 버퍼의 양을 초과하는 데이터를 입력하는 공격이다.
(정답률: 93%)
  • Zero Day 공격은 보안 취약점에 대한 패치가 나오기 전의 무방비 상태를 이용하는 공격이므로, 이미 알려진 패턴을 기반으로 탐지하는 시그니처 기반 침입탐지시스템으로는 방어가 불가능합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

16. 다음에서 설명하는 웹 서비스 공격은?

  1. 직접 객체 참조
  2. Cross Site Request Forgery
  3. Cross Site Scripting
  4. SQL Injection
(정답률: 95%)
  • 공격자가 사용자의 입력창이나 질의어에 악의적인 SQL 코드를 삽입하여 DB 인증을 우회하거나 데이터를 조작하는 공격 방식은 SQL Injection입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

17. 사용자와 인증 서버 간 대칭키 암호를 이용한 시도-응답(Challenge-Response) 인증방식에 대한 설명으로 옳지 않은 것은?

  1. 재전송 공격으로부터 안전하게 사용자를 인증하는 기법이다.
  2. 인증 서버는 사용자 인증을 위해 사용자의 비밀키를 가지고 있다.
  3. 사용자 시간과 인증 서버의 시간이 반드시 동기화되어야 한다.
  4. Response값은 사용자의 비밀키를 사용하여 인증 서버에서 전달받은 Challenge값을 암호화한 값이다.
(정답률: 73%)
  • 시도-응답(Challenge-Response) 인증방식은 서버가 보낸 난수(Challenge)를 사용자가 암호화하여 응답하는 방식이므로, 시간 동기화가 필요 없는 것이 특징입니다.

    오답 노트

    사용자 시간과 인증 서버의 시간이 반드시 동기화되어야 한다: 이는 타임스탬프(Timestamp) 기반 인증방식에 해당하는 설명입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

18. 국제공통평가기준(Common Criteria)에 대한 설명으로 옳지 않은 것은?

  1. 국가마다 서로 다른 정보보호시스템 평가기준을 연동하고 평가결과를 상호인증하기 위해 제정된 평가기준이다.
  2. 보호 프로파일(Protection Profiles)은 특정 제품이나 시스템에만 종속되어 적용하는 보안기능 수단과 보증수단을 기술한 문서이다.
  3. 평가 보증 등급(EAL : Evaluation Assurance Level)에서 가장 엄격한 보증(formally verified) 등급은 EAL7이다.
  4. 보안 요구조건을 명세화하고 평가기준을 정의하기 위한 ISO/IEC 15408 표준이다.
(정답률: 74%)
  • 보호 프로파일(Protection Profiles)은 특정 제품이나 시스템에 종속되는 것이 아니라, 특정 유형의 제품군(예: 방화벽, 스마트카드 등)에 공통적으로 요구되는 보안 기능과 보증 수단을 정의한 문서입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

19. [개인정보 보호법] 상 주민등록번호 처리에 대한 설명으로 옳지 않은 것은?

  1. 주민등록번호를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우, 개인인 개인정보처리자는 개인정보 보호위원회의 심의의결을 거쳐 목적 외의 용도로 이용하거나 이를 제3자에게 제공할 수 있다.
  2. 행정자치부장관은 개인정보처리자가 처리하는 주민등록번호가 유출된 경우에는 5억원 이하의 과징금을 부과ㆍ징수할 수 있으나, 주민등록번호가 유출되지 아니하도록 개인정보처리자가 개인정보 보호법 에 따른 안전성 확보에 필요한 조치를 다한 경우에는 그러하지 아니하다.
  3. 개인정보처리자는 정보주체가 인터넷 홈페이지를 통하여 회원으로 가입하는 단계에서는 주민등록번호를 사용하지 아니하고도 회원으로 가입할 수 있는 방법을 제공하여야 한다.
  4. 개인정보처리자는 주민등록번호가 분실ㆍ도난ㆍ유출ㆍ변조 또는 훼손되지 아니하도록 암호화 조치를 통하여 안전하게 보관하여야 한다.
(정답률: 71%)
  • 주민등록번호를 목적 외의 용도로 이용하거나 제3자에게 제공하기 위해 개인정보 보호위원회의 심의의결을 거칠 수 있는 권한은 공공기관의 경우에만 가능하며, 개인인 개인정보처리자는 해당되지 않습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

20. 다음에서 설명하는 윈도우 인증 구성요소는?

  1. LSA(Local Security Authority)
  2. SRM(Security Reference Monitor)
  3. SAM(Security Account Manager)
  4. IPSec(IP Security)
(정답률: 56%)
  • 사용자의 계정과 패스워드 일치 여부를 확인하여 고유의 SID(Security Identifier)를 부여하고, 이를 기반으로 파일이나 디렉터리에 대한 접근 허용 여부를 결정하며 감사 메시지를 생성하는 구성요소는 SRM(Security Reference Monitor)입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

< 이전회차목록 다음회차 >