9급 국가직 공무원 정보보호론 필기 기출문제복원 (2016-04-09)

9급 국가직 공무원 정보보호론 2016-04-09 필기 기출문제 해설

이 페이지는 9급 국가직 공무원 정보보호론 2016-04-09 기출문제를 CBT 방식으로 풀이하고 정답 및 회원들의 상세 해설을 확인할 수 있는 페이지입니다.

9급 국가직 공무원 정보보호론
(2016-04-09 기출문제)

목록

1과목: 과목 구분 없음

1. 사용자 인증에 사용되는 기술이 아닌 것은?

  1. Snort
  2. OTP(One Time Password)
  3. SSO(Single Sign On)
  4. 스마트 카드
(정답률: 93%)
  • Snort는 네트워크 트래픽을 실시간으로 분석하여 공격을 탐지하는 오픈 소스 침입 탐지 시스템(IDS)입니다.

    오답 노트

    OTP, SSO, 스마트 카드: 모두 사용자의 신원을 확인하는 인증 기술입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

2. 보안 요소에 대한 설명과 용어가 바르게 짝지어진 것은? (순서대로 ㄱ, ㄴ, ㄷ)

  1. 위협, 취약점, 위험
  2. 위협, 위험, 취약점
  3. 취약점, 위협, 위험
  4. 위험, 위협, 취약점
(정답률: 84%)
  • 보안의 핵심 3요소에 대한 정의 문제입니다.
    ㄱ. 자산의 손실을 초래할 수 있는 잠재적 원인이나 행위자는 위협입니다.
    ㄴ. 원하지 않는 사건이 발생하여 손실이나 부정적 영향을 미칠 가능성은 위험입니다.
    ㄷ. 위협의 이용 대상이 되는 자산의 잠재적 속성은 취약점입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

3. 공개키 암호 알고리즘에 대한 설명으로 옳은 것은?

  1. Diffie-Hellman 키 교환 방식은 중간자(man-in-the-middle) 공격에 강하고 실용적이다.
  2. RSA 암호 알고리즘은 적절한 시간 내에 인수가 큰 정수의 소인수분해가 어렵다는 점을 이용한 것이다.
  3. 타원곡선 암호 알고리즘은 타원곡선 대수문제에 기초를 두고 있으며, RSA 알고리즘과 동일한 안전성을 제공하기 위해서 더 긴 길이의 키를 필요로 한다.
  4. ElGamal 암호 알고리즘은 많은 큰 수들의 집합에서 선택된 수들의 합을 구하는 것은 쉽지만, 주어진 합으로부터 선택된 수들의 집합을 찾기 어렵다는 점을 이용한 것이다.
(정답률: 82%)
  • RSA 알고리즘은 매우 큰 두 소수의 곱을 다시 소인수분해하는 것이 계산적으로 매우 어렵다는 수학적 난제에 기반한 공개키 암호 방식입니다.

    오답 노트

    Diffie-Hellman: 중간자 공격에 취약함
    타원곡선 암호: RSA보다 짧은 키 길이로도 동일한 보안 수준을 제공함
    ElGamal: 이산대수 문제에 기반하며, 설명된 내용은 부분집합 합 문제에 가까움
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

4. ISO/IEC 27001의 보안 위험 관리를 위한 PDCA 모델에 대한 설명으로 옳지 않은 것은?

  1. IT기술과 위험 환경의 변화에 대응하기 위하여 반복되어야 하는 순환적 프로세스이다.
  2. Plan 단계에서는 보안 정책, 목적, 프로세스 및 절차를 수립한다.
  3. Do 단계에서는 수립된 프로세스 및 절차를 구현하고 운영한다.
  4. Act 단계에서는 성과를 측정하고 평가한다.
(정답률: 88%)
  • ISO/IEC 27001의 PDCA 모델은 계획(Plan) $\rightarrow$ 실행(Do) $\rightarrow$ 점검(Check) $\rightarrow$ 처리(Act)의 순환 구조를 가집니다. 성과를 측정하고 평가하는 단계는 Act가 아니라 Check 단계의 핵심 역할입니다.

    오답 노트

    Act 단계: 점검 결과를 바탕으로 보안 체계를 검토하고 유지보수 및 개선하는 단계임
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

5. 메시지의 무결성을 검증하는 데 사용되는 해시와 메시지 인증코드(MAC)의 차이점에 대한 설명으로 옳은 것은?

  1. MAC는 메시지와 송ㆍ수신자만이 공유하는 비밀키를 입력받아 생성되는 반면에, 해시는 비밀키 없이 메시지로부터 만들어진다.
  2. 해시의 크기는 메시지 크기와 무관하게 일정하지만, MAC는 메시지와 크기가 같아야 한다.
  3. 메시지 무결성 검증 시, 해시는 암호화되어 원본 메시지와 함께 수신자에게 전달되는 반면에, MAC의 경우에는 MAC로부터 원본 메시지 복호화가 가능하므로 MAC만 전송하는 것이 일반적이다.
  4. 송ㆍ수신자만이 공유하는 비밀키가 있는 경우, MAC를 이용하여 메시지 무결성을 검증할 수 있으나 해시를 이용한 메시지 무결성 검증은 불가능하다.
(정답률: 72%)
  • 해시와 MAC의 핵심 차이는 '비밀키'의 사용 여부입니다. MAC는 송·수신자가 공유하는 비밀키를 사용하여 메시지의 무결성과 인증을 동시에 제공하지만, 해시는 키 없이 메시지만으로 고정된 길이의 값을 생성합니다.

    오답 노트

    MAC는 메시지와 크기가 같아야 한다: MAC는 메시지에 인증 코드를 추가하므로 메시지보다 크기가 큼
    MAC로부터 원본 메시지 복호화가 가능하다: MAC는 복호화가 불가능한 일방향 함수 기반임
    해시를 이용한 무결성 검증은 불가능하다: 해시값 비교를 통해 무결성 검증이 가능함
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

6. DMZ(demilitarized zone)에 대한 설명으로 옳은 것만을 고른 것은?

  1. ㄱ, ㄷ
  2. ㄴ, ㄷ
  3. ㄴ, ㄹ
  4. ㄱ, ㄹ
(정답률: 81%)
  • DMZ는 외부 네트워크와 내부 네트워크 사이의 완충 지대로, 외부에서 접근 가능한 서비스 서버를 배치하는 보안 영역입니다.
    ㄴ. 웹 서버, DNS 서버, 메일 서버 등 외부 공개 서비스가 위치합니다.
    ㄹ. 내부 방화벽과 외부 방화벽 사이에 위치하여 보안을 강화합니다.

    오답 노트

    외부 네트워크에서는 DMZ에 접근할 수 있다: 외부 공개 서버를 두는 곳이므로 접근이 가능해야 함
    내부 사용자가 DMZ에 접속하기 위해 외부 방화벽을 거쳐야 한다: 내부에서 DMZ로 갈 때는 내부 방화벽을 거침
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

7. [정보통신망 이용촉진 및 정보보호 등에 관한 법률] 상 정보통신 서비스 제공자가 이용자의 개인정보를 이용하려고 수집하는 경우 이용자들에게 알리고 동의를 받아야 하는 내용이 아닌 것은?

  1. 개인정보의 수집ㆍ이용 목적
  2. 수집하는 개인정보의 항목
  3. 개인정보의 보유ㆍ이용 기간
  4. 개인정보 처리의 위탁기관명
(정답률: 86%)
  • 정보통신 서비스 제공자가 개인정보 수집 시 동의를 받아야 하는 필수 항목은 수집·이용 목적, 수집 항목, 보유·이용 기간, 동의 거부 권리 및 불이익 내용입니다. 개인정보 처리의 위탁기관명은 수집 동의 단계의 필수 고지 항목이 아닙니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

8. 임의접근제어(DAC)에 대한 설명으로 옳지 않은 것은?

  1. 사용자에게 주어진 역할에 따라 어떤 접근이 허용되는지를 말해주는 규칙들에 기반을 둔다.
  2. 주체 또는 주체가 소속되어 있는 그룹의 식별자(ID)를 근거로 객체에 대한 접근을 승인하거나 제한한다.
  3. 소유권을 가진 주체가 객체에 대한 권한의 일부 또는 전부를 자신의 의지에 따라 다른 주체에게 부여한다.
  4. 전통적인 UNIX 파일 접근제어에 적용되었다.
(정답률: 72%)
  • 임의접근제어(DAC)는 객체의 소유자가 자신의 의지에 따라 다른 주체에게 접근 권한을 부여하는 방식입니다.
    사용자에게 주어진 역할에 따라 접근을 허용하는 방식은 역할 기반 접근제어(RBAC)에 대한 설명입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

9. 식별된 위험에 대처하기 위한 정보보안 위험 관리의 위험 처리 방안 중, 불편이나 기능 저하를 감수하고라도, 위험을 발생시키는 행위나 시스템 사용을 하지 않도록 조치하는 방안은?

  1. 위험 회피
  2. 위험 감소
  3. 위험 수용
  4. 위험 전가
(정답률: 73%)
  • 위험 회피는 위험을 유발하는 원인 자체를 제거하여 위험 발생 가능성을 완전히 없애는 전략입니다. 불편함이나 기능 저하를 감수하더라도 해당 시스템 사용을 금지하는 조치가 이에 해당합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

10. Bell-LaPadula 보안 모델의 *-속성(star property)이 규정하고 있는 것은?

  1. 자신과 같거나 낮은 보안 수준의 객체만 읽을 수 있다.
  2. 자신과 같거나 낮은 보안 수준의 객체에만 쓸 수 있다.
  3. 자신과 같거나 높은 보안 수준의 객체만 읽을 수 있다.
  4. 자신과 같거나 높은 보안 수준의 객체에만 쓸 수 있다.
(정답률: 67%)
  • Bell-LaPadula 모델의 *-속성(star property)은 기밀성 유지를 위해 '쓰기' 권한을 제한하는 규칙으로, 자신과 같거나 높은 보안 수준의 객체에만 쓸 수 있도록 규정하여 낮은 수준으로 정보가 흐르는 것을 방지합니다.

    오답 노트

    자신과 같거나 낮은 보안 수준의 객체만 읽을 수 있다: 단순 보안 속성(Simple Security Property)에 대한 설명입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

11. 버퍼 오버플로우에 대한 설명으로 옳지 않은 것은?

  1. 프로세스 간의 자원 경쟁을 유발하여 권한을 획득하는 기법으로 활용된다.
  2. C 프로그래밍 언어에서 배열에 기록되는 입력 데이터의 크기를 검사하지 않으면 발생할 수 있다.
  3. 버퍼에 할당된 메모리의 경계를 침범해서 데이터 오류가 발생하게 되는 상황이다.
  4. 버퍼 오버플로우 공격의 대응책 중 하나는 스택이나 힙에 삽입된 코드가 실행되지 않도록 하는 것이다.
(정답률: 81%)
  • 버퍼 오버플로우는 할당된 메모리 크기보다 더 많은 데이터를 입력하여 인접한 메모리 영역을 침범하고 데이터를 변조하는 공격입니다. 프로세스 간의 자원 경쟁을 유발하여 권한을 획득하는 기법은 경쟁 상태(Race Condition) 공격에 대한 설명입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

12. 침입탐지시스템(IDS)에서 알려지지 않은 공격을 탐지하는 데 적합한 기법은?

  1. 규칙 기반의 오용 탐지
  2. 통계적 분석에 의한 이상(anomaly) 탐지
  3. 전문가 시스템을 이용한 오용 탐지
  4. 시그니처 기반(signature based) 탐지
(정답률: 84%)
  • 이상 탐지(Anomaly Detection) 기법은 정상적인 상태의 프로파일을 생성한 뒤, 이와 다른 통계적 편차를 보이는 행위를 공격으로 간주하므로 알려지지 않은 새로운 공격(Zero-day Attack)을 탐지하는 데 가장 적합합니다.

    오답 노트

    오용 탐지/시그니처 기반 탐지: 이미 알려진 공격 패턴(DB)이 있어야만 탐지 가능
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

13. [전자서명법] 상 공인인증기관이 발급한 공인인증서의 효력 소멸 또는 폐지의 사유에 해당하지 않는 것은?

  1. 공인인증서의 유효기간이 경과한 경우
  2. 가입자의 전자서명검증정보가 유출된 경우
  3. 공인인증기관이 가입자의 사망ㆍ실종선고 또는 해산 사실을 인지한 경우
  4. 가입자 또는 그 대리인이 공인인증서의 폐지를 신청한 경우
(정답률: 56%)
  • 공인인증서의 폐지 사유는 전자서명생성정보(개인키)가 유출되었을 때 발생합니다. 전자서명검증정보(공개키)는 누구나 알 수 있도록 공개되는 정보이므로, 이것이 유출되었다고 해서 인증서를 폐지하지 않습니다.

    오답 노트

    공인인증서의 유효기간 경과: 효력 소멸 사유
    가입자의 사망·실종선고 또는 해산: 폐지 사유
    가입자 또는 대리인의 폐지 신청: 폐지 사유
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

14. 가상사설망(VPN)에 대한 설명으로 옳지 않은 것은?

  1. 공중망을 이용하여 사설망과 같은 효과를 얻기 위한 기술로서, 별도의 전용선을 사용하는 사설망에 비해 구축비용이 저렴하다.
  2. 사용자들 간의 안전한 통신을 위하여 기밀성, 무결성, 사용자 인증의 보안 기능을 제공한다.
  3. 네트워크 종단점 사이에 가상터널이 형성되도록 하는 터널링 기능은 SSH와 같은 OSI 모델 4계층의 보안 프로토콜로 구현해야 한다.
  4. 인터넷과 같은 공공 네트워크를 통해서 기업의 재택근무자나 이동 중인 직원이 안전하게 회사 시스템에 접근할 수 있도록 해준다.
(정답률: 77%)
  • VPN의 핵심인 터널링 기능은 주로 OSI 2계층(PPTP, L2TP, L2F)이나 3계층(IPSec) 프로토콜을 통해 구현됩니다. SSH와 같은 4계층 보안 프로토콜로 구현해야 한다는 설명은 틀린 내용입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

15. ISO/IEC 27002 보안 통제의 범주에 대한 설명으로 옳지 않은 것은?

  1. 보안 정책:비즈니스 요구사항, 관련 법률 및 규정을 준수하여 관리 방향 및 정보 보안 지원을 제공
  2. 인적 자원 보안:조직 내의 정보 보안 및 외부자에 의해 사용되는 정보 및 자원 관리
  3. 자산 관리:조직의 자산에 대한 적절한 보호를 성취하고 관리하며, 정보가 적절히 분류될 수 있도록 보장
  4. 비즈니스 연속성 관리:비즈니스 활동에 대한 방해에 대처하고, 중대한 비즈니스 프로세스를 정보 시스템 실패 또는 재난으로 부터 보호하며, 정보 시스템의 시의 적절한 재개를 보장
(정답률: 65%)
  • 인적 자원 보안은 조직 내의 정보 보안을 위해 고용 전, 고용 중, 고용 후의 단계에서 인적 자원을 관리하는 것이 핵심입니다. 외부자에 의해 사용되는 정보 및 자원 관리는 자산 관리나 접근 제어의 영역에 해당하므로 인적 자원 보안의 설명으로 적절하지 않습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

16. OWASP(The Open Web Application Security Project)에서 발표한 2013년도 10대 웹 애플리케이션 보안 위험 중 발생 빈도가 높은 상위 3개에 속하지 않는 것은?

  1. Injection
  2. Cross-Site Scripting
  3. Unvalidated Redirects and Forwards
  4. Broken Authentication and Session Management
(정답률: 62%)
  • OWASP 2013 Top 10의 상위 3개 위험 요소는 Injection(A1), Broken Authentication and Session Management(A2), Cross-Site Scripting(A3)입니다.
    Unvalidated Redirects and Forwards는 순위가 낮은 A10에 해당하므로 상위 3개에 속하지 않습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

17. 전자우편의 보안 강화를 위한 S/MIME(Secure/Multipurpose Internet Mail Extension)에 대한 설명으로 옳은 것은?

  1. 메시지 다이제스트를 수신자의 공개키로 암호화하여 서명한다.
  2. 메시지를 대칭키로 암호화하고 이 대칭키를 발신자의 개인키로 암호화한 후 암호화된 메시지와 함께 보냄으로써 전자우편의 기밀성을 보장한다.
  3. S/MIME를 이용하면 메시지가 항상 암호화되기 때문에 S/MIME 처리 능력이 없는 수신자는 전자우편 내용을 볼 수 없다.
  4. 국제 표준 X.509 형식의 공개키 인증서를 사용한다.
(정답률: 60%)
  • S/MIME은 전자우편 보안을 위해 국제 표준인 X.509 형식의 공개키 인증서를 사용합니다.

    오답 노트

    메시지 다이제스트 서명: 수신자가 아닌 서명자의 개인키로 암호화해야 함
    기밀성 보장: 발신자의 개인키가 아닌 수신자의 공개키로 대칭키를 암호화해야 함
    수신자 확인: 서명만 된 명문 데이터는 S/MIME 처리 능력이 없어도 내용을 볼 수 있음
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

18. 국내 정보보호관리체계(ISMS)의 관리 과정 5단계 중 위험 관리 단계의 통제항목에 해당하지 않는 것은?

  1. 위험 관리 방법 및 계획 수립
  2. 정보보호 대책 선정 및 이행 계획 수립
  3. 정보보호 대책의 효과적 구현
  4. 위험 식별 및 평가
(정답률: 61%)
  • ISMS 위험 관리 단계는 위험을 식별하고 평가하여 대책을 수립하는 과정까지를 포함합니다.
    정보보호 대책의 효과적 구현은 위험 관리 단계가 아닌, 이후 단계인 정보보호 대책 구현 단계에 해당합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

19. 공개키 기반 전자서명에서 메시지에 서명하지 않고 메시지의 해시값과 같은 메시지 다이제스트에 서명하는 이유는?

  1. 공개키 암호화에 따른 성능 저하를 극복하기 위한 것이다.
  2. 서명자의 공개키를 쉽게 찾을 수 있도록 하기 위한 것이다.
  3. 서명 재사용을 위한 것이다.
  4. 원본 메시지가 없어도 서명을 검증할 수 있도록 하기 위한 것이다.
(정답률: 74%)
  • 공개키 암호화 알고리즘은 연산 과정이 매우 복잡하여 처리 속도가 느립니다.
    따라서 전체 메시지를 암호화하는 대신, 메시지를 짧은 고정 길이의 해시값(메시지 다이제스트)으로 변환하여 이에 서명함으로써 성능 저하 문제를 극복하고 효율성을 높입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

20. 윈도우즈에서 지원하는 네트워크 관련 명령어와 주요 기능에 대한 설명으로 옳지 않은 것은?

  1. route :라우팅 테이블의 정보 확인
  2. netstat :연결 포트 등의 네트워크 상태 정보 확인
  3. tracert :네트워크 목적지까지의 경로 정보 확인
  4. nslookup :사용자 계정 정보 확인
(정답률: 83%)
  • nslookup 명령어는 DNS(Domain Name System) 서버에 질의하여 도메인 이름과 IP 주소 사이의 매핑 관계를 확인하는 도구입니다. 사용자 계정 정보 확인과는 무관합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

< 이전회차목록 다음회차 >