9급 국가직 공무원 정보보호론 필기 기출문제복원 (2019-04-06)

9급 국가직 공무원 정보보호론
(2019-04-06 기출문제)

목록

1. 쿠키(Cookie)에 대한 설명으로 옳지 않은 것은?

  1. 쿠키는 웹사이트를 편리하게 이용하기 위한 목적으로 만들어졌으며, 많은 웹사이트가 쿠키를 이용하여 사용자의 정보를 수집하고 있다.
  2. 쿠키는 실행파일로서 스스로 디렉터리를 읽거나 파일을 지우는 기능을 수행한다.
  3. 쿠키에 포함되는 내용은 웹 응용프로그램 개발자가 정할 수 있다.
  4. 쿠키 저장 시 타인이 임의로 쿠키를 읽어 들일 수 없도록 도메인과 경로 지정에 유의해야 한다.
(정답률: 90%)
  • 쿠키는 실행파일로서 스스로 디렉터리를 읽거나 파일을 지우는 기능을 수행하지 않는다. 쿠키는 단순한 텍스트 파일로, 브라우저에서 관리되며 웹사이트에서 사용자의 정보를 수집하고 편리한 이용을 위해 만들어졌다. 쿠키에 포함되는 내용은 웹 응용프로그램 개발자가 정할 수 있으며, 저장 시 타인이 임의로 쿠키를 읽어 들일 수 없도록 도메인과 경로를 지정해야 한다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

2. 악성프로그램에 대한 설명으로 옳지 않은 것은?

  1. Bot-인간의 행동을 흉내 내는 프로그램으로 DDoS 공격을 수행한다.
  2. Spyware-사용자 동의 없이 설치되어 정보를 수집하고 전송하는 악성 소프트웨어로서 금융정보, 신상정보, 암호 등을 비롯한 각종 정보를 수집한다.
  3. Netbus-소프트웨어를 실행하거나 설치 후 자동적으로 광고를 표시하는 프로그램이다.
  4. Keylogging-사용자가 키보드로 PC에 입력하는 내용을 몰래 가로채 기록하는 행위이다.
(정답률: 97%)
  • Netbus는 광고를 표시하는 프로그램이 아니라 원격 제어 툴로, 다른 컴퓨터를 원격으로 제어할 수 있는 악성 프로그램입니다. 따라서 "Netbus-소프트웨어를 실행하거나 설치 후 자동적으로 광고를 표시하는 프로그램이다."가 옳지 않은 설명입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

3. 정보보호 서비스에 대한 설명으로 옳지 않은 것은?

  1. Authentication-정보교환에 의해 실체의 식별을 확실하게 하거나 임의 정보에 접근할 수 있는 객체의 자격이나 객체의 내용을 검증하는 데 사용한다.
  2. Confidentiality-온오프라인 환경에서 인가되지 않은 상대방에게 저장 및 전송되는 중요정보의 노출을 방지한다.
  3. Integrity-네트워크를 통하여 송수신되는 정보의 내용이 불법적으로 생성 또는 변경되거나 삭제되지 않도록 보호한다.
  4. Availability-행위나 이벤트의 발생을 증명하여 나중에 행위나 이벤트를 부인할 수 없도록 한다.
(정답률: 91%)
  • Availability는 행위나 이벤트의 발생을 증명하여 나중에 부인할 수 없도록 하는 것이 아니라, 시스템이나 서비스가 항상 이용 가능한 상태를 유지하도록 보호하는 것이다. 따라서, "Availability-행위나 이벤트의 발생을 증명하여 나중에 행위나 이벤트를 부인할 수 없도록 한다."가 옳지 않은 설명이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

4. 다음에서 설명하는 스캔방법은?

  1. TCP Half Open 스캔
  2. NULL 스캔
  3. FIN 패킷을 이용한 스캔
  4. 시간차를 이용한 스캔
(정답률: 64%)
  • NULL 스캔은 TCP 헤더의 모든 플래그 비트를 0으로 설정하여 보내는 스캔 방법입니다. 이 때, 정상적인 상황에서는 응답 패킷이 오지 않기 때문에, 해당 포트가 열려있는지 여부를 확인할 수 없습니다. 따라서, NULL 스캔은 방화벽 등에서 탐지하기 어렵고, 보안상 취약점이 있는 시스템을 공격하는 데 사용될 수 있습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

5. SSL(Secure Socket Layer) 프로토콜에 대한 설명으로 옳지 않은 것은?

  1. ChangeCipherSpec-Handshake 프로토콜에 의해 협상된 암호규격과 암호키를 이용하여 추후의 레코드 계층의 메시지를 보호할 것을 지시한다.
  2. Handshake-서버와 클라이언트 간 상호인증 기능을 수행하고, 암호화 알고리즘과 이에 따른 키 교환 시 사용된다.
  3. Alert-내부적 및 외부적 보안 연관을 생성하기 위해 설계된 프로토콜이며, Peer가 IP 패킷을 송신할 필요가 있을 때, 트래픽의 유형에 해당하는 SA가 있는지를 알아보기 위해 보안 정책 데이터베이스를 조회한다.
  4. Record-상위계층으로부터(Handshake 프로토콜, ChangeCipherSpec 프로토콜, Alert 프로토콜 또는 응용층) 수신하는 메시지를 전달하며 메시지는 단편화되거나 선택적으로 압축된다.
(정답률: 82%)
  • SSL 프로토콜은 IP 패킷을 송신할 필요가 없으며, 보안 정책 데이터베이스를 조회하는 기능도 없다. 따라서 "Alert-내부적 및 외부적 보안 연관을 생성하기 위해 설계된 프로토콜이며, Peer가 IP 패킷을 송신할 필요가 있을 때, 트래픽의 유형에 해당하는 SA가 있는지를 알아보기 위해 보안 정책 데이터베이스를 조회한다."가 옳지 않은 설명이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

6. 블록체인에 대한 설명으로 옳지 않은 것은?

  1. 금융 분야에만 국한되지 않고 분산원장으로 각 분야에 응용할 수 있다.
  2. 블록체인의 한 블록에는 앞의 블록에 대한 정보가 포함되어 있다.
  3. 앞 블록의 내용을 변경하면 뒤에 이어지는 블록은 변경할 필요가 없다.
  4. 하나의 블록은 트랜잭션의 집합과 헤더(header)로 이루어져 있다.
(정답률: 88%)
  • 앞 블록의 내용을 변경하면 뒤에 이어지는 블록은 변경할 필요가 없다는 설명이 옳지 않습니다. 이는 블록체인의 핵심 원칙인 불변성(immutability)을 위반하는 것이기 때문입니다. 블록체인에서는 이전 블록의 내용이 변경되면 해당 블록 이후의 모든 블록도 변경되어야 합니다. 이는 블록체인의 보안성과 신뢰성을 유지하기 위한 것입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

7. 다음의 결과에 대한 명령어로 옳은 것은?

  1. cat /var/adm/messages
  2. cat /var/log/xferlog
  3. cat /var/adm/loginlog
  4. cat /etc/security/audit_event
(정답률: 86%)
  • 이미지에서 FTP 전송 로그를 보여주고 있으므로, FTP 로그를 확인하기 위해서는 "cat /var/log/xferlog" 명령어를 사용해야 합니다. 다른 보기들은 시스템 로그나 보안 로그를 확인하기 위한 명령어입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

8. 다음 설명에 해당하는 DoS 공격을 옳게 짝 지은 것은? (순서대로 ㄱ, ㄴ, ㄷ)

  1. Smurf Attack, Land Attack, SYN Flooding Attack
  2. Smurf Attack, SYN Flooding Attack, Land Attack
  3. SYN Flooding Attack, Smurf Attack, Land Attack
  4. Land Attack, Smurf Attack, SYN Flooding Attack
(정답률: 82%)
  • ㄱ - Smurf Attack: ICMP Echo Request 패킷을 대량으로 보내서 공격 대상의 네트워크를 과부하 상태로 만들어 서비스 거부 상태로 만드는 공격 방법입니다.

    ㄴ - SYN Flooding Attack: TCP 3-way handshake 과정에서 SYN 패킷을 대량으로 보내서 공격 대상의 서버를 과부하 상태로 만들어 서비스 거부 상태로 만드는 공격 방법입니다.

    ㄷ - Land Attack: 공격자가 공격 대상의 IP 주소와 포트 번호를 위조하여 TCP SYN 패킷을 보내는 공격 방법입니다. 이 때, SYN 패킷의 출발지 IP 주소와 포트 번호가 공격 대상의 IP 주소와 포트 번호와 동일하게 설정되어 있어서 공격 대상의 서버가 자기 자신에게 SYN 패킷을 보내는 것으로 인식하고, 서버의 자원을 고갈시켜 서비스 거부 상태로 만듭니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

9. 무선 LAN 보안에 대한 설명으로 옳지 않은 것은?

  1. WPA2는 RC4 알고리즘을 암호화에 사용하고, 고정 암호키를 사용한다.
  2. WPA는 EAP 인증 프로토콜(802.1x)과 WPA-PSK를 사용한다.
  3. WEP는 64비트 WEP 키가 수분 내 노출되어 보안이 매우 취약하다.
  4. WPA-PSK는 WEP보다 훨씬 더 강화된 암호화 세션을 제공한다.
(정답률: 75%)
  • "WPA2는 RC4 알고리즘을 암호화에 사용하고, 고정 암호키를 사용한다."가 옳지 않은 설명이다. WPA2는 RC4 대신 AES 알고리즘을 사용하며, 고정 암호키 대신에 동적으로 생성되는 임시 키를 사용한다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

10. 사용자 A가 사용자 B에게 해시함수를 이용하여 인증, 전자서명, 기밀성, 무결성이 모두 보장되는 통신을 할 때 구성해야 하는 함수로 옳은 것은?

  1. EK[M|| H(M)]
  2. M|| EK[H(M)]
  3. M|| EKSa[H(M)]
  4. EK[M|| EKSa[H(M)]]
(정답률: 69%)
  • 해시함수를 이용하여 인증, 전자서명, 기밀성, 무결성이 모두 보장되는 통신을 할 때, M은 메시지, H(M)은 메시지의 해시값, EK는 대칭키 암호화, EKSa는 비대칭키 암호화를 의미합니다.

    - "EK[M|| H(M)]": 대칭키 암호화로 메시지와 해시값을 함께 암호화한 것이므로, 인증과 기밀성은 보장되지만 전자서명과 무결성은 보장되지 않습니다.
    - "M|| EK[H(M)]": 대칭키 암호화로 해시값만 암호화한 것이므로, 인증과 기밀성은 보장되지 않습니다. 전자서명은 보장되지만 무결성은 보장되지 않습니다.
    - "M|| EKSa[H(M)]": 비대칭키 암호화로 해시값만 암호화한 것이므로, 인증과 기밀성은 보장되지 않습니다. 전자서명과 무결성은 보장되지만, 대칭키 암호화를 사용하지 않아서 효율적이지 않습니다.
    - "EK[M|| EKSa[H(M)]]": 대칭키 암호화로 메시지와 비대칭키 암호화로 해시값을 함께 암호화한 것이므로, 인증, 전자서명, 기밀성, 무결성이 모두 보장됩니다.

    따라서, 정답은 "EK[M|| EKSa[H(M)]]"입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

11. 다음 알고리즘 중 공개키 암호 알고리즘에 해당하는 것은?

  1. SEED 알고리즘
  2. RSA 알고리즘
  3. DES 알고리즘
  4. AES 알고리즘
(정답률: 86%)
  • RSA 알고리즘은 공개키 암호 알고리즘 중 하나입니다. 이 알고리즘은 대표적인 공개키 암호 알고리즘으로, 공개키와 개인키를 사용하여 암호화와 복호화를 수행합니다. RSA 알고리즘은 대칭키 암호 알고리즘인 DES나 AES와는 달리, 공개키와 개인키를 사용하기 때문에 키 교환 과정에서 보안성이 높습니다. 또한, RSA 알고리즘은 소인수분해 문제를 기반으로 하기 때문에 현재까지는 안전성이 입증되어 있습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

12. 정보보안 관련 용어에 대한 설명으로 옳지 않은 것은?

  1. 부인방지(Non-repudiation)-사용자가 행한 행위 또는 작업을 부인하지 못하는 것이다.
  2. 최소권한(Least Privilege)-계정이 수행해야 하는 작업에 필요한 최소한의 권한만 부여한다.
  3. 키 위탁(Key Escrow)-암호화 키가 분실된 경우를 대비하여 키를 보관하는 형태를 의미한다.
  4. 차분 공격(Differential Attack)-대용량 해쉬 테이블을 이용하여 충분히 작은 크기로 줄여 크랙킹 하는 방법이다.
(정답률: 76%)
  • 정보보안 관련 용어에 대한 설명으로 옳지 않은 것은 "차분 공격(Differential Attack)-대용량 해쉬 테이블을 이용하여 충분히 작은 크기로 줄여 크랙킹 하는 방법이다." 이다. 차분 공격은 암호화된 데이터와 그에 해당하는 평문 데이터를 비교하여 암호화에 사용된 키를 추출하는 공격 기법이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

13. 공통평가기준은 IT 제품이나 특정 사이트의 정보시스템의 보안성을 평가하는 기준이다. ‘보안기능요구사항’과 ‘보증요구사항’을 나타내는 보호프로파일(PP), 보호목표명세서(ST)에 대한 설명으로 옳지 않은 것은?

  1. 보호프로파일은 구현에 독립적이고, 보호목표명세서는 구현에 종속적이다.
  2. 보호프로파일은 보호목표명세서를 수용할 수 있고, 보호목표 명세서는 보호프로파일을 수용할 수 있다.
  3. 보호프로파일은 여러 시스템ㆍ제품을 한 개 유형의 보호 프로파일로 수용할 수 있으나, 보호목표명세서는 한 개의 시스템ㆍ제품을 한 개의 보호목표명세서로 수용해야 한다.
  4. 보호프로파일은 오퍼레이션이 완료되지 않을 수 있으나, 보호목표명세서는 모든 오퍼레이션이 완료되어야 한다.
(정답률: 64%)
  • 정답은 "보호프로파일은 여러 시스템ㆍ제품을 한 개 유형의 보호 프로파일로 수용할 수 있으나, 보호목표명세서는 한 개의 시스템ㆍ제품을 한 개의 보호목표명세서로 수용해야 한다."입니다.

    보호프로파일은 구현에 독립적이며, 여러 시스템이나 제품에 대해 동일한 보호 프로파일을 적용할 수 있습니다. 반면에 보호목표명세서는 구현에 종속적이며, 한 개의 시스템이나 제품에 대해 하나의 명세서를 작성해야 합니다.

    따라서 보호프로파일은 보호목표명세서를 수용할 수 있지만, 보호목표명세서는 보호프로파일을 수용할 수 없습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

14. 방화벽 구축 시 내부 네트워크의 구조를 외부에 노출하지 않는 방법으로 적절한 것은?

  1. Network Address Translation
  2. System Active Request
  3. Timestamp Request
  4. Fragmentation Offset
(정답률: 76%)
  • Network Address Translation은 내부 네트워크의 IP 주소를 외부에서 접근할 수 있는 공인 IP 주소로 변환하여 외부에 노출하지 않는 방법입니다. 이를 통해 내부 네트워크의 구조를 보호하고 외부에서의 공격을 방지할 수 있습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

15. 개인정보 보호법 시행령 상 개인정보 영향평가의 대상에 대한 규정의 일부이다. ㉠, ㉡에 들어갈 내용으로 옳은 것은? (순서대로 ㉠, ㉡)

  1. 5만 명, 100만 명
  2. 10만 명, 100만 명
  3. 5만 명, 150만 명
  4. 10만 명, 150만 명
(정답률: 53%)
  • ㉠에서는 개인정보 처리 주체가 개인정보 영향평가를 실시하여야 하는 경우를 규정하고 있으며, ㉡에서는 개인정보 영향평가 대상자의 범위를 규정하고 있다. 따라서, ㉠에서는 개인정보 처리의 특성상 위험성이 높은 경우, 개인정보 처리 주체가 개인정보 영향평가를 실시하여야 한다는 내용이 포함되어 있고, ㉡에서는 개인정보 처리 주체가 개인정보 영향평가를 실시해야 하는 대상자의 범위가 규정되어 있다. 이 중에서도 "5만 명, 100만 명"이 정답인 이유는, 개인정보 처리 주체가 개인정보 영향평가를 실시해야 하는 대상자의 범위가 5만 명 이상 100만 명 미만인 경우에 해당하기 때문이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

16. 버퍼 오버플로우(Buffer Overflow) 공격에 대한 대응으로 해당하지 않는 것은?

  1. 안전한 함수 사용
  2. Non-Executable 스택
  3. 스택 가드(Stack Guard)
  4. 스택 스매싱(Stack Smashing)
(정답률: 73%)
  • 스택 스매싱(Stack Smashing)은 버퍼 오버플로우 공격의 한 종류로, 공격자가 스택 메모리 영역을 침범하여 프로그램의 실행 흐름을 조작하는 공격 기법입니다. 따라서 스택 스매싱은 버퍼 오버플로우 공격에 대한 대응 방법이 아니라, 오히려 그 공격 기법 자체를 막기 위한 대응 방법입니다. 따라서 정답은 "스택 스매싱(Stack Smashing)"입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

17. 블록체인(Blockchain) 기술과 암호화폐(Cryptocurrency) 시스템에 대한 설명으로 옳지 않은 것은?

  1. 블록체인에서는 각 트랜잭션에 한 개씩 전자서명이 부여된다.
  2. 암호학적 해시를 이용한 어려운 문제의 해를 계산하여 블록체인에 새로운 블록을 추가할 수 있고 일정량의 암호화폐로 보상받을 수도 있다.
  3. 블록체인의 과거 블록 내용을 조작하는 것은 쉽다.
  4. 블록체인은 작업증명(Proof-of-work)과 같은 기법을 이용하여 합의에 이른다.
(정답률: 91%)
  • "블록체인의 과거 블록 내용을 조작하는 것은 쉽다." 이 설명은 옳지 않습니다. 블록체인은 분산된 데이터베이스로, 이전 블록의 내용을 변경하려면 해당 블록 이후의 모든 블록을 수정해야 합니다. 또한, 블록체인에서는 암호학적으로 보호되어 있어 무단으로 블록을 수정하거나 추가하는 것이 불가능합니다. 따라서 블록체인은 높은 보안성을 가지고 있습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

18. [정보통신기반 보호법] 상 주요정보통신기반시설의 보호체계에 대한 설명으로 옳지 않은 것은?

  1. 주요정보통신기반시설 관리기관의 장은 정기적으로 소관 주요정보통신시설의 취약점을 분석ㆍ평가하여야 한다.
  2. 중앙행정기관의 장은 소관분야의 정보통신기반시설을 필요한 경우 주요정보통신기반시설로 지정할 수 있다.
  3. 지방자치단체의 장이 관리ㆍ감독하는 기관의 정보통신기반시설은 지방자치단체의 장이 주요정보통신기반시설로 지정한다.
  4. 과학기술정보통신부장관과 국가정보원장등은 특정한 정보통신 기반시설을 주요정보통신기반시설로 지정할 필요가 있다고 판단하면 중앙행정기관의 장에게 해당 정보통신기반시설을 주요정보통신기반시설로 지정하도록 권고할 수 있다.
(정답률: 61%)
  • "지방자치단체의 장이 관리ㆍ감독하는 기관의 정보통신기반시설은 지방자치단체의 장이 주요정보통신기반시설로 지정한다."가 옳지 않은 것이다. 이유는 지방자치단체의 장이 주요정보통신기반시설로 지정할 수 있는 권한은 없기 때문이다. 주요정보통신기반시설은 중앙행정기관의 장이 지정할 수 있으며, 지방자치단체의 장은 소관 기관을 관리ㆍ감독할 뿐이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

19. 업무연속성(BCP)에 대한 설명으로 옳지 않은 것은?

  1. 업무연속성은 장애에 대한 예방을 통한 중단 없는 서비스 체계와 재난 발생 후에 경영 유지ㆍ복구 방법을 명시해야 한다.
  2. 재해복구시스템의 백업센터 중 미러 사이트(Mirror Site)는 백업센터 중 가장 짧은 시간 안에 시스템을 복구한다.
  3. 콜드 사이트(Cold Site)는 주전산센터의 장비와 동일한 장비를 구비한 백업 사이트이다.
  4. 재난복구서비스인 웜 사이트(Warm Site)는 구축 및 유지비용이 콜드 사이트(Cold Site)에 비해서 높다.
(정답률: 71%)
  • 콜드 사이트(Cold Site)는 주전산센터의 장비와 동일한 장비를 구비한 백업 사이트가 아니라, 필요한 시점에 장비를 구비하여 복구하는 시스템이다. 따라서 "콜드 사이트(Cold Site)는 주전산센터의 장비와 동일한 장비를 구비한 백업 사이트이다."가 옳지 않은 설명이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

20. 개인정보 보호법 시행령 의 내용으로 옳지 않은 것은?

  1. 공공기관의 영상정보처리기기는 재위탁하여 운영할 수 없다.
  2. 개인정보처리자가 전자적 파일 형태의 개인정보를 파기하여야 하는 경우 복원이 불가능한 형태로 영구 삭제하여야 한다.
  3. 개인정보처리자는 개인정보의 처리에 대해서 전화를 통하여 동의 내용을 정보주체에게 알리고 동의 의사표시를 확인하는 방법으로 동의를 받을 수 있다.
  4. 공공기관이 개인정보를 목적 외의 용도로 이용하는 경우에는 ‘이용하거나 제공하는 개인정보 또는 개인정보파일의 명칭’을 개인정보의 목적 외 이용 및 제3자 제공 대장에 기록하고 관리하여야 한다.
(정답률: 60%)
  • "공공기관의 영상정보처리기기는 재위탁하여 운영할 수 없다."이 옳지 않은 것은 아닙니다. 따라서 이에 대한 설명은 필요하지 않습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

< 이전회차목록 다음회차 >