1. 겉으로는 유용한 프로그램으로 보이지만 사용자가 의도하지 않은 악성 루틴이 숨어 있어서 사용자가 실행시키면 동작하는 악성 소프트웨어는?
- 키로거
- 트로이목마
- 애드웨어
- 랜섬웨어
3. 분산 서비스 거부(DDoS) 공격에 대한 설명으로 옳지 않은 것은?
- 하나의 공격 지점에서 대규모 공격 패킷을 발생시켜서 여러 사이트를 동시에 공격하는 방법이다.
- 가용성에 대한 공격이다.
- 봇넷이 주로 활용된다.
- 네트워크 대역폭이나 컴퓨터 시스템 자원을 공격 대상으로 한다.
4. 부인방지 서비스를 제공하기 위한 전자서명에 대한 설명으로 옳지 않은 것은?
- 서명할 문서에 의존하는 비트 패턴이어야 한다.
- 다른 문서에 사용된 서명을 재사용하는 것이 불가능해야 한다.
- 전송자(서명자)와 수신자(검증자)가 공유한 비밀 정보를 이용하여 서명하여야 한다.
- 서명한 문서의 내용을 임의로 변조하는 것이 불가능해야 한다.
5. 다음은 IT 보안 관리를 위한 국제 표준(ISO/IEC 13335)의 위험 분석 방법에 대한 설명이다. ㉠~㉢에 들어갈 용어를 바르게 연결한 것은?
- ①
- ②
- ③
- ④
6. 다음에서 설명하는 크로스사이트 스크립팅(XSS) 공격의 유형은?
- 세컨드 오더 XSS
- DOM 기반 XSS
- 저장 XSS
- 반사 XSS
8. 데이터베이스 접근 권한 관리를 위한 DCL(Data Control Language)에 속하는 명령으로 그 설명이 옳은 것은?
- GRANT : 사용자가 테이블이나 뷰의 내용을 읽고 선택한다.
- REVOKE : 이미 부여된 데이터베이스 객체의 권한을 취소한다.
- DROP : 데이터베이스 객체를 삭제한다.
- DENY : 기존 데이터베이스 객체를 다시 정의한다.
9. 타원곡선 암호시스템(ECC)은 타원곡선 이산대수의 어려움을 이용한다. 그림과 같이 실수 위에 정의된 타원곡선과 타원곡선 상의 두 점 P와 R이 주어진 경우, R = kP를 만족하는 정수 k의 값은? (단, 점선은 타원곡선의 접선, 점을 연결하는 직선 또는 수직선을 나타낸다)
- 2
- 3
- 4
- 5
10. 「개인정보 보호법」상 가명정보의 처리에 관한 특례에 대한 사항으로 옳지 않은 것은?
- 개인정보처리자는 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 정보주체의 동의 없이 가명정보를 처리할 수 있다.
- 개인정보처리자는 가명정보를 처리하는 과정에서 특정 개인을 알아볼 수 있는 정보가 생성된 경우에는 내부적으로 해당 정보를 처리 보관하되, 제3자에게 제공해서는 아니 된다.
- 개인정보처리자는 가명정보를 처리하고자 하는 경우에는 가명정보의 처리 목적, 제3자 제공 시 제공받는 자 등 가명정보의 처리 내용을 관리하기 위하여 대통령령으로 정하는 사항에 대한 관련 기록을 작성하여 보관하여야 한다.
- 통계작성, 과학적 연구, 공익적 기록보존 등을 위한 서로 다른 개인정보처리자 간의 가명정보의 결합은 개인정보 보호위원회 또는 관계 중앙행정기관의 장이 지정하는 전문기관이 수행한다.
11. 시스템 내 하드웨어의 구동, 서비스의 동작, 에러 등의 다양한 이벤트를 선택ㆍ수집하여 로그로 저장하고 이를 다른 시스템에 전송할 수 있도록 해 주는 유닉스의 범용 로깅 메커니즘은?
- utmp
- syslog
- history
- pacct
14. 국제 정보보호 표준(ISO 27001:2013 Annex)은 14개 통제 영역에 대하여 114개 통제 항목을 정의하고 있다. 통제 영역의 하나인 물리적 및 환경적 보안에 속하는 통제 항목에 대한 설명에 해당하지 않는 것은?
- 보안 구역은 인가된 인력만의 접근을 보장하기 위하여 적절한 출입 통제로 보호한다.
- 자연 재해, 악의적인 공격 또는 사고에 대비한 물리적 보호를 설계하고 적용한다.
- 데이터를 전송하거나 정보 서비스를 지원하는 전력 및 통신 배선을 도청, 간섭, 파손으로부터 보호한다.
- 정보보호에 영향을 주는 조직, 업무 프로세스, 정보 처리 시설, 시스템의 변경을 통제한다.
15. 대칭키 암호시스템에 대한 암호 분석 방법과 암호 분석가에게 필수적으로 제공되는 모든 정보를 연결한 것으로 옳지 않은 것은?
- 암호단독(ciphertext only) 공격-암호 알고리즘, 해독할 암호문
- 기지 평문(known plaintext) 공격-암호 알고리즘, 해독할 암호문, 임의의 평문
- 선택 평문(chosen plaintext) 공격-암호 알고리즘, 해독할 암호문, 암호 분석가에 의해 선택된 평문과 해독할 암호문에 사용된 키로 생성한 해당 암호문
- 선택 암호문(chosen ciphertext) 공격-암호 알고리즘, 해독할 암호문, 암호 분석가에 의해 선택된 암호문과 해독할 암호문에 사용된 키로 복호화한 해당 평문
16. IPv4 패킷에 대하여 터널 모드의 IPSec AH(Authentication Header) 프로토콜을 적용하여 산출된 인증 헤더가 들어갈 위치로 옳은 것은?
- ㄱ
- ㄴ
- ㄷ
- ㄹ
17. 정보보호 관련 법률과 소관 행정기관을 잘못 짝 지은 것은?
- 「전자정부법」-행정안전부
- 「신용정보의 이용 및 보호에 관한 법률」-금융위원회
- 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」-개인정보보호위원회
- 「정보통신기반 보호법」-과학기술정보통신부
18. 침입탐지시스템의 비정상(anomaly) 탐지 기법에 대한 설명으로 옳지 않은 것은?
- 상대적으로 급격한 변화나 발생 확률이 낮은 행위를 탐지한다.
- 정상 행위를 예측하기 어렵고 오탐률이 높지만 알려지지 않은 공격에도 대응할 수 있다.
- 수집된 다양한 정보로부터 생성한 프로파일이나 통계적 임계치를 이용한다.
- 상태전이 분석과 패턴 매칭 방식이 주로 사용된다.
19. 「전자서명법」상 과학기술정보통신부장관이 정하여 고시하는 전자서명인증업무 운영기준에 포함되어 있는 사항이 아닌 것은?
- 전자서명 관련 기술의 연구ㆍ개발ㆍ활용 및 표준화
- 전자서명 및 전자문서의 위조ㆍ변조 방지대책
- 전자서명인증서비스의 가입ㆍ이용 절차 및 가입자 확인방법
- 전자서명인증업무의 휴지ㆍ폐지 절차
20. 안드로이드 보안 체계에 대한 설명으로 옳지 않은 것은?
- 모든 응용 프로그램은 일반 사용자 권한으로 실행된다.
- 기본적으로 안드로이드는 일반 계정으로 동작하는데 이를 루트로 바꾸면 일반 계정의 제한을 벗어나 기기에 대한 완전한 통제권을 가질 수 있다.
- 응용 프로그램은 샌드박스 프로세스 내부에서 실행되며, 기본적으로 시스템과 다른 응용 프로그램으로의 접근이 통제된다.
- 설치되는 응용 프로그램은 구글의 인증 기관에 의해 서명ㆍ배포된다.