9급 국가직 공무원 정보보호론 필기 기출문제복원 (2020-07-11)

9급 국가직 공무원 정보보호론
(2020-07-11 기출문제)

목록

1. 정보보호 위험관리에 대한 설명으로 옳지 않은 것은?

  1. 자산은 조직이 보호해야 할 대상으로 정보, 하드웨어, 소프트웨어, 시설 등이 해당한다.
  2. 위험은 자산에 손실이 발생할 가능성과 관련되어 있으나 이로 인한 부정적인 영향을 미칠 가능성과는 무관하다.
  3. 취약점은 자산이 잠재적으로 가진 약점을 의미한다.
  4. 정보보호대책은 위협에 대응하여 자산을 보호하기 위한 관리적, 기술적, 물리적 대책을 의미한다.
(정답률: 95%)
  • 위험은 자산에 손실이 발생할 가능성과 관련되어 있으면서도 이로 인한 부정적인 영향을 미칠 가능성이 높다는 것이 옳은 설명이다. 위험은 자산에 손실이 발생할 가능성과 함께 그 손실로 인해 조직에 부정적인 영향을 미칠 가능성이 높기 때문에 위험관리가 필요하다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

2. 공개키 암호화에 대한 설명으로 옳지 않은 것은?

  1. ECC(Elliptic Curve Cryptography)와 Rabin은 공개키 암호 방식이다.
  2. RSA는 소인수 분해의 어려움에 기초를 둔 알고리즘이다.
  3. 전자서명 할 때는 서명하는 사용자의 공개키로 암호화한다.
  4. ElGamal은 이산대수 문제의 어려움에 기초를 둔 알고리즘이다.
(정답률: 81%)
  • 전자서명 할 때는 서명하는 사용자의 공개키로 암호화하는 것이 옳지 않습니다. 전자서명은 개인키를 사용하여 생성하고, 공개키는 인증을 위해 사용됩니다. 따라서 전자서명 할 때는 개인키를 사용하여 서명하고, 공개키는 인증을 위해 사용됩니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

3. X.509 인증서 형식 필드에 대한 설명으로 옳은 것은?

  1. Issuer name-인증서를 사용하는 주체의 이름과 유효기간 정보
  2. Subject name-인증서를 발급한 인증기관의 식별 정보
  3. Signature algorithm ID-인증서 형식의 버전 정보
  4. Serial number-인증서 발급 시 부여된 고유번호 정보
(정답률: 74%)
  • 인증서를 발급할 때 인증기관에서 발급한 고유번호를 Serial number라고 합니다. 이 번호는 인증서의 유효성 검증에 사용되며, 중복되지 않는 고유한 값으로 발급됩니다. 따라서 인증서를 식별하는 중요한 정보입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

4. 일방향 해시함수를 사용하여 비밀번호를 암호화할 때 salt라는 난수를 추가하는 이유는?

  1. 비밀번호 사전공격(Dictionary attack)에 취약한 문제를 해결할 수 있다.
  2. 암호화된 비밀번호 해시 값의 길이를 줄일 수 있다.
  3. 비밀번호 암호화의 수행 시간을 줄일 수 있다.
  4. 비밀번호의 복호화를 빠르게 수행할 수 있다.
(정답률: 88%)
  • salt를 추가하면 같은 비밀번호라도 다른 해시값을 가지게 되므로, 비밀번호 사전공격(Dictionary attack)에 취약한 문제를 해결할 수 있습니다. 즉, 해커가 미리 만들어놓은 해시값 사전을 이용한 공격을 방지할 수 있습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

5. 윈도우 운영체제에서 TPM(Trusted Platform Module)에 대한 설명으로 옳지 않은 것은?

  1. TPM의 공개키를 사용하여 플랫폼 설정정보에 서명함으로써 디지털 인증을 생성한다.
  2. TPM은 신뢰 컴퓨팅 그룹(Trusted Computing Group)에서 표준화된 개념이다.
  3. TPM은 키 생성, 난수 발생, 암복호화 기능 등을 포함한 하드웨어 칩 형태로 구현할 수 있다.
  4. TPM의 기본 서비스에는 인증된 부트(authenticated boot), 인증, 암호화가 있다.
(정답률: 56%)
  • "TPM의 공개키를 사용하여 플랫폼 설정정보에 서명함으로써 디지털 인증을 생성한다."가 옳지 않은 것은 TPM이 공개키/개인키 쌍을 가지고 있어서 이를 사용하여 디지털 서명을 생성하는 것이 아니라, 공개키를 사용하여 디지털 인증서를 검증하는 역할을 한다는 것이다. 따라서 정답은 "TPM의 공개키를 사용하여 플랫폼 설정정보에 서명함으로써 디지털 인증을 생성한다."이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

6. 키 k에 대한 블록 암호 알고리즘 Ek, 평문블록 Mi, Z0는 초기벡터, Zi=Ek(Zi-1)가 주어진 경우, 이때 i=1, 2, ..., n에 대해 암호블록 Ci를 Ci=Zi⊕Mi로 계산하는 운영모드는? (단, ⊕는 배타적 논리합이다)

  1. CBC
  2. ECB
  3. OFB
  4. CTR
(정답률: 47%)
  • OFB(Output Feedback) 운영모드는 초기벡터를 암호화하여 Z1을 생성하고, 이후 Zi를 계속해서 생성하여 평문블록과 XOR 연산을 수행하여 암호블록을 생성하는 운영모드입니다. 이때 Zi는 이전 암호블록이 아닌 이전 Zi-1을 이용하여 생성되므로, 암호화된 결과가 평문블록과 직접적으로 연관되지 않아서 암호화된 결과의 패턴이 평문블록과 유추하기 어렵습니다. 따라서 OFB 운영모드는 암호화된 결과의 패턴이 평문블록과 관련되지 않아서 암호화 강도가 높은 운영모드입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

7. 정보보호 시스템 평가 기준에 대한 설명으로 옳은 것은?

  1. ITSEC의 레인보우 시리즈에는 레드 북으로 불리는 TNI(Trusted Network Interpretation)가 있다.
  2. ITSEC은 None부터 B2까지의 평가 등급으로 나눈다.
  3. TCSEC의 EAL2 등급은 기능시험 결과를 의미한다.
  4. TCSEC의 같은 등급에서는 뒤에 붙는 숫자가 클수록 보안 수준이 높다.
(정답률: 73%)
  • TCSEC의 같은 등급에서는 뒤에 붙는 숫자가 클수록 보안 수준이 높다는 이유는, TCSEC에서는 등급을 A부터 D까지 4단계로 나누고, 각 등급 내에서도 1부터 10까지의 숫자로 세분화하여 평가를 진행하기 때문입니다. 따라서, 같은 등급 내에서는 뒤에 붙는 숫자가 클수록 더 엄격한 평가를 거쳤다는 것을 의미하며, 이는 더 높은 보안 수준을 가진 시스템임을 나타냅니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

8. SSL(Secure Socket Layer)의 Handshake 프로토콜에서 클라이언트와 서버 간에 논리적 연결 수립을 위해 클라이언트가 최초로 전송하는 ClientHello 메시지에 포함되는 정보가 아닌 것은?

  1. 세션 ID
  2. 클라이언트 난수
  3. 압축 방법 목록
  4. 인증서 목록
(정답률: 59%)
  • ClientHello 메시지는 SSL Handshake 프로토콜에서 클라이언트와 서버 간에 논리적 연결을 수립하기 위해 클라이언트가 최초로 전송하는 메시지입니다. 이 메시지에는 다양한 정보가 포함되어 있습니다.

    세션 ID는 클라이언트와 서버 간에 이미 수립된 SSL 연결의 ID를 전송합니다. 이를 통해 클라이언트는 이전에 수립한 SSL 연결을 재사용할 수 있습니다.

    클라이언트 난수는 클라이언트가 생성한 무작위 바이트 시퀀스입니다. 이를 통해 SSL 연결의 보안성을 높일 수 있습니다.

    압축 방법 목록은 클라이언트가 지원하는 압축 방법을 전송합니다. 이를 통해 SSL 연결의 성능을 최적화할 수 있습니다.

    반면에 인증서 목록은 ClientHello 메시지에 포함되지 않습니다. 인증서는 SSL 연결의 보안성을 제공하기 위해 사용되는 중요한 요소 중 하나이지만, 클라이언트와 서버 간의 논리적 연결을 수립하는 과정에서는 인증서 목록이 필요하지 않습니다. 따라서 인증서 목록은 ClientHello 메시지에 포함되지 않습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

9. 「개인정보 보호법」상 기본계획에 대한 조항의 일부이다. ㉠, ㉡에 들어갈 내용을 바르게 연결한 것은?(순서대로 ㉠, ㉡)

  1. 1, 개인정보 보호 자율규제의 활성화
  2. 3, 개인정보 보호 자율규제의 활성화
  3. 1, 개인정보 활용ㆍ폐지를 위한 계획
  4. 3, 개인정보 활용ㆍ폐지를 위한 계획
(정답률: 62%)
  • 정답은 "1, 개인정보 보호 자율규제의 활성화"입니다. 개인정보 보호 자율규제는 개인정보를 수집, 이용, 제공하는 주체가 스스로 규제를 실천하는 것을 말합니다. 이를 통해 개인정보 보호 수준을 높이고, 법적 규제 외에도 자율적인 규제를 통해 개인정보 보호를 강화할 수 있습니다. 따라서 개인정보 보호 자율규제의 활성화는 개인정보 보호에 매우 중요한 역할을 합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

10. 소수 p=13, 원시근 g=2, 사용자 A와 B의 개인키가 각각 3, 2일 때, Diffie-Hellman 키 교환 알고리즘을 사용하여 계산한 공유 비밀키는?

  1. 6
  2. 8
  3. 12
  4. 16
(정답률: 61%)
  • A와 B가 각각 자신의 개인키를 이용하여 공개키를 계산합니다.

    A의 공개키 = g^a mod p = 2^3 mod 13 = 8
    B의 공개키 = g^b mod p = 2^2 mod 13 = 4

    A와 B는 서로의 공개키를 교환합니다.

    A와 B는 서로의 공개키와 자신의 개인키를 이용하여 공유 비밀키를 계산합니다.

    A의 공유 비밀키 = B의 공개키^a mod p = 4^3 mod 13 = 64 mod 13 = 12
    B의 공유 비밀키 = A의 공개키^b mod p = 8^2 mod 13 = 64 mod 13 = 12

    따라서, 공유 비밀키는 12입니다. 이유는 A와 B가 서로 다른 개인키를 가지고 있어도 공유 비밀키는 항상 같기 때문입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

11. NIST의 AES(Advanced Encryption Standard) 표준에 따른 암호화 시 암호키(cipher key) 길이가 256비트일 때 필요한 라운드 수는?

  1. 8
  2. 10
  3. 12
  4. 14
(정답률: 63%)
  • AES-256은 256비트 암호키를 사용하는 AES 알고리즘의 한 형태입니다. 이 알고리즘은 14개의 라운드를 거쳐 암호화를 수행합니다. 이는 AES-128과 AES-192보다 더 많은 라운드를 거치는 것으로, 더욱 강력한 보안을 제공합니다. 따라서, 암호키 길이가 256비트일 때 필요한 라운드 수는 14입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

12. IPsec의 ESP(Encapsulating Security Payload)에 대한 설명으로 옳지 않은 것은?

  1. 인증 기능을 포함한다.
  2. ESP는 암호화를 통해 기밀성을 제공한다.
  3. 전송 모드의 ESP는 IP 헤더를 보호하지 않으며, 전송계층으로부터 전달된 정보만을 보호한다.
  4. 터널 모드의 ESP는 Authentication Data를 생성하기 위해 해시 함수와 공개키를 사용한다.
(정답률: 55%)
  • 터널 모드의 ESP는 Authentication Data를 생성하기 위해 해시 함수와 공개키를 사용하지 않습니다. 대신, HMAC(Hash-based Message Authentication Code)을 사용하여 인증 기능을 수행합니다. 따라서 "터널 모드의 ESP는 Authentication Data를 생성하기 위해 해시 함수와 공개키를 사용한다."는 옳지 않은 설명입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

13. 네트워크나 컴퓨터 시스템의 자원 고갈을 통해 시스템 성능을 저하시키는 공격에 해당하는 것만을 모두 고르면?

  1. ㄱ, ㄴ
  2. ㄱ, ㄷ
  3. ㄴ, ㄷ
  4. ㄴ, ㄹ
(정답률: 80%)
  • 정답은 "ㄱ, ㄴ" 입니다.

    - "ㄱ"은 DDoS 공격으로, 대량의 트래픽을 몰아서 네트워크나 시스템 자원을 고갈시키는 공격입니다.
    - "ㄴ"은 봇넷 공격으로, 해커가 감염시킨 컴퓨터들을 조종하여 대량의 트래픽을 몰아서 시스템 자원을 고갈시키는 공격입니다.

    따라서 "ㄱ, ㄴ"이 정답입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

14. 다음 설명에 해당하는 위험분석 및 평가 방법을 옳게 짝 지은 것은?(순서대로 ㄱ, ㄴ, ㄷ)

  1. 순위 결정법, 과거자료 분석법, 기준선 접근법
  2. 순위 결정법, 점수법, 기준선 접근법
  3. 델파이법, 과거자료 분석법, 시나리오법
  4. 델파이법, 점수법, 시나리오법
(정답률: 95%)
  • 위험분석 및 평가 방법 중 델파이법은 전문가들의 의견을 수렴하여 위험을 예측하는 방법이며, 과거자료 분석법은 과거의 사고나 위험사례를 분석하여 유사한 위험을 예측하는 방법입니다. 시나리오법은 가능한 모든 상황을 가정하여 위험을 예측하는 방법입니다. 따라서 정답은 "델파이법, 과거자료 분석법, 시나리오법"입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

15. 「정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령」 제19조(국내대리인 지정 대상자의 범위)에 명시된 자가 아닌 것은?

  1. 전년도(법인인 경우에는 전(前) 사업연도를 말한다) 매출액이 1,000억 원 이상인 자
  2. 정보통신서비스 부전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억 원 이상인 자
  3. 전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 이용자 수가 일일평균 100만 명 이상인 자
  4. 이 법을 위반하여 개인정보 침해 사건ㆍ사고가 발생하였거나 발생할 가능성이 있는 경우로서 법 제64조제1항에 따라 방송통신위원회로부터 관계 물품ㆍ서류 등을 제출하도록 요구받은 자
(정답률: 41%)
  • 전년도 매출액이 1,000억 원 이상인 자는 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 제19조에서 국내대리인 지정 대상자로 명시되어 있습니다. 이는 대규모 기업이 개인정보를 처리하고 있을 가능성이 높기 때문에, 개인정보 보호를 위해 국내대리인을 지정하도록 규정한 것입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

16. 다음 설명에 해당하는 악성코드 분석도구를 옳게 짝 지은 것은?(순서대로 ㄱ, ㄴ)

  1. Sandbox, Process Explorer
  2. Sandbox, Burp Suite
  3. Blackbox, IDA Pro
  4. Blackbox, OllyDBG
(정답률: 67%)
  • 악성코드 분석도구 중에서 샌드박스(Sandbox)는 악성코드를 실행시켜서 그 행위를 분석하는 도구이며, 프로세스 익스플로러(Process Explorer)는 실행 중인 프로세스를 모니터링하고 분석하는 도구입니다. 따라서 정답은 "Sandbox, Process Explorer"입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

17. 윈도우 운영체제의 계정 관리에 대한 설명으로 옳은 것은?

  1. 'net accounts guest /active:no' 명령은 guest 계정을 비활성화한다.
  2. 'net user' 명령은 시스템 내 사용자 계정정보를 나열한다.
  3. 'net usergroup' 명령은 시스템 내 사용자 그룹정보를 표시한다.
  4. 컴퓨터/도메인에 모든 접근권한을 가진 관리자 그룹인 'Admin'이 기본적으로 존재한다.
(정답률: 40%)
  • 'net user' 명령은 시스템 내 사용자 계정정보를 나열하는 명령어이기 때문입니다. 이 명령어를 사용하면 현재 시스템에 등록된 모든 사용자 계정의 정보를 확인할 수 있습니다. 이 정보에는 사용자 이름, 계정 유형, 계정 만료일, 계정 활성화 여부 등이 포함됩니다. 따라서 윈도우 운영체제의 계정 관리에 대한 정보를 확인하고자 할 때 'net user' 명령어를 사용할 수 있습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

18. 커버로스(Kerberos) 프로토콜에 대한 설명으로 옳지 않은 것은?

  1. 양방향 인증방식의 문제점을 보완하여 신뢰하는 제3자 인증 서비스를 제공한다.
  2. 사용자의 패스워드를 추측하거나 캡처하지 못하도록 일회용 패스워드를 제공한다.
  3. 버전 5에서는 이전 버전과 달리 DES가 아닌 다른 암호 알고리즘을 사용할 수 있다.
  4. 클라이언트는 사용자의 식별정보를 평문으로 인증 서버(Authentication Server)에 전송한다.
(정답률: 50%)
  • "클라이언트는 사용자의 식별정보를 평문으로 인증 서버(Authentication Server)에 전송한다."가 옳지 않은 설명입니다. Kerberos 프로토콜에서는 클라이언트가 인증 서버에게 사용자의 식별정보를 전송할 때, 해당 정보를 암호화하여 전송합니다. 따라서 중간에 정보가 유출되더라도 암호화되어 있기 때문에 해독이 어렵습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

19. 임의적 접근 통제(Discretionary Access Control) 모델에 대한 설명으로 옳은 것은?

  1. 주체가 소유권을 가진 객체의 접근 권한을 다른 사용자에게 부여할 수 있으며, 사용자 신원에 따라 객체의 접근을 제한한다.
  2. 주체와 객체가 어떻게 상호 작용하는지를 중앙 관리자가 관리하며, 사용자 역할을 기반으로 객체의 접근을 제한한다.
  3. 주체와 객체에 각각 부여된 서로 다른 수준의 계층적인 구조의 보안등급을 비교하여 객체의 접근을 제한한다.
  4. 주체가 접근할 수 있는 상위와 하위의 경계를 설정하여 해당 범위 내 임의 객체의 접근을 제한한다.
(정답률: 74%)
  • 임의적 접근 통제(Discretionary Access Control) 모델은 주체가 소유권을 가진 객체의 접근 권한을 다른 사용자에게 부여할 수 있으며, 사용자 신원에 따라 객체의 접근을 제한하는 모델입니다. 즉, 객체의 소유자가 해당 객체에 대한 접근 권한을 부여하고, 다른 사용자는 해당 객체에 대한 접근 권한을 소유자의 허락을 받아야 합니다. 이 모델은 사용자 간의 권한 부여와 제한을 유연하게 할 수 있어서 일반적으로 개인용 컴퓨터나 소규모 그룹에서 사용됩니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

20. 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제45조(정보통신망의 안정성 확보 등)에 정보보호조치에 관한 지침에 포함되어야 할 보호조치로 명시되지 않은 것은?

  1. 정보의 불법 유출ㆍ위조ㆍ변조ㆍ삭제 등을 방지하기 위한 기술적 보호조치
  2. 사전 정보보호대책 마련 및 보안조치 설계ㆍ구현 등을 위한 기술적 보호조치
  3. 정보통신망의 지속적인 이용이 가능한 상태를 확보하기 위한 기술적ㆍ물리적 보호조치
  4. 정보통신망의 안정 및 정보보호를 위한 인력ㆍ조직ㆍ경비의 확보 및 관련 계획수립 등 관리적 보호조치
(정답률: 39%)
  • "사전 정보보호대책 마련 및 보안조치 설계ㆍ구현 등을 위한 기술적 보호조치"는 법률에서 명시된 보호조치 중 하나이며, 정보보호를 위해 사전에 대책을 마련하고 보안조치를 설계하고 구현하는 것을 의미합니다. 이는 정보의 불법 유출, 위조, 변조, 삭제 등을 방지하고 정보통신망의 안정성을 확보하기 위한 중요한 보호조치입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

< 이전회차목록 다음회차 >