9급 국가직 공무원 정보보호론 필기 기출문제복원 (2021-04-17)

9급 국가직 공무원 정보보호론 2021-04-17 필기 기출문제 해설

이 페이지는 9급 국가직 공무원 정보보호론 2021-04-17 기출문제를 CBT 방식으로 풀이하고 정답 및 회원들의 상세 해설을 확인할 수 있는 페이지입니다.

9급 국가직 공무원 정보보호론
(2021-04-17 기출문제)

목록

1과목: 과목 구분 없음

1. 겉으로는 유용한 프로그램으로 보이지만 사용자가 의도하지 않은 악성 루틴이 숨어 있어서 사용자가 실행시키면 동작하는 악성 소프트웨어는?

  1. 키로거
  2. 트로이목마
  3. 애드웨어
  4. 랜섬웨어
(정답률: 90%)
  • 정상적인 프로그램으로 위장하여 사용자를 속인 뒤, 실행 시 내부에 숨겨진 악성 루틴을 동작시키는 소프트웨어는 트로이목마입니다.

    오답 노트

    키로거: 사용자의 키보드 입력 내용을 캡처하는 프로그램
    애드웨어: 광고를 강제로 노출시키는 소프트웨어
    랜섬웨어: 데이터를 암호화하여 금전을 요구하는 소프트웨어
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

2. 능동적 공격에 해당하는 것만을 모두 고르면?

  1. ㄱ, ㄷ
  2. ㄴ, ㄷ
  3. ㄴ, ㄹ
  4. ㄷ, ㄹ
(정답률: 87%)
  • 능동적 공격은 데이터의 내용을 변경하거나 시스템의 정상적인 작동을 방해하여 해를 입히는 공격입니다.
    서비스 거부와 메시지 변조는 시스템 가용성을 해치거나 데이터를 조작하는 대표적인 능동적 공격에 해당합니다.

    오답 노트

    도청, 트래픽 분석: 정보를 훔쳐보기만 하는 수동적 공격
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

3. 분산 서비스 거부(DDoS) 공격에 대한 설명으로 옳지 않은 것은?

  1. 하나의 공격 지점에서 대규모 공격 패킷을 발생시켜서 여러 사이트를 동시에 공격하는 방법이다.
  2. 가용성에 대한 공격이다.
  3. 봇넷이 주로 활용된다.
  4. 네트워크 대역폭이나 컴퓨터 시스템 자원을 공격 대상으로 한다.
(정답률: 84%)
  • 분산 서비스 거부(DDoS) 공격은 '분산'이라는 이름 그대로 여러 대의 좀비 PC(봇넷)를 이용하여 다수의 공격 지점에서 동시에 타겟을 공격하는 방식입니다.

    오답 노트

    하나의 공격 지점: 이는 일반적인 DoS 공격에 대한 설명입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

4. 부인방지 서비스를 제공하기 위한 전자서명에 대한 설명으로 옳지 않은 것은?

  1. 서명할 문서에 의존하는 비트 패턴이어야 한다.
  2. 다른 문서에 사용된 서명을 재사용하는 것이 불가능해야 한다.
  3. 전송자(서명자)와 수신자(검증자)가 공유한 비밀 정보를 이용하여 서명하여야 한다.
  4. 서명한 문서의 내용을 임의로 변조하는 것이 불가능해야 한다.
(정답률: 62%)
  • 전자서명은 부인방지를 위해 비대칭키 알고리즘을 사용합니다. 서명자는 자신의 개인키로 서명하고, 검증자는 서명자의 공개키로 검증하므로 전송자와 수신자가 비밀 정보를 공유하는 대칭키 방식과는 다릅니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

5. 다음은 IT 보안 관리를 위한 국제 표준(ISO/IEC 13335)의 위험 분석 방법에 대한 설명이다. ㉠~㉢에 들어갈 용어를 바르게 연결한 것은?

(정답률: 70%)
  • ISO/IEC 13335 위험 분석 방법 중, 빠른 시간 내에 적정 수준의 보호를 제공하고 단계적으로 프로세스를 수행하는 방식은 복합 접근법이며, 이를 위해 기준선 접근법을 먼저 구현하고 이후 상세 위험 분석을 수행합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

6. 다음에서 설명하는 크로스사이트 스크립팅(XSS) 공격의 유형은?

  1. 세컨드 오더 XSS
  2. DOM 기반 XSS
  3. 저장 XSS
  4. 반사 XSS
(정답률: 66%)
  • 공격자가 XSS 코드를 포함한 URL을 사용자에게 보내고, 사용자가 이를 클릭했을 때 웹 서버가 해당 코드를 그대로 반사하여 사용자 브라우저에서 실행하게 만드는 방식은 반사 XSS의 핵심 특징입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

7. SHA 알고리즘에서 사용하는 블록 크기와 출력되는 해시의 길이를 바르게 연결한 것은?

(정답률: 73%)
  • SHA-2 계열 알고리즘의 표준 규격에 따라 SHA-256은 블록 크기 $512$비트, 해시 결과값 $256$비트를 가집니다.

    오답 노트

    SHA-1: 블록 크기 $512$비트, 해시 길이 $160$비트
    SHA-384: 블록 크기 $1024$비트, 해시 길이 $384$비트
    SHA-512: 블록 크기 $1024$비트, 해시 길이 $512$비트
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

8. 데이터베이스 접근 권한 관리를 위한 DCL(Data Control Language)에 속하는 명령으로 그 설명이 옳은 것은?

  1. GRANT : 사용자가 테이블이나 뷰의 내용을 읽고 선택한다.
  2. REVOKE : 이미 부여된 데이터베이스 객체의 권한을 취소한다.
  3. DROP : 데이터베이스 객체를 삭제한다.
  4. DENY : 기존 데이터베이스 객체를 다시 정의한다.
(정답률: 76%)
  • DCL(데이터 제어어)은 데이터베이스의 보안 및 권한 관리를 수행하는 언어이며, REVOKE는 이미 부여된 권한을 회수하는 명령입니다.

    오답 노트

    GRANT: 권한을 부여하는 명령
    DROP: DDL(데이터 정의어)에 속하며 객체 삭제
    DENY: 권한을 명시적으로 거부하는 명령
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

9. 타원곡선 암호시스템(ECC)은 타원곡선 이산대수의 어려움을 이용한다. 그림과 같이 실수 위에 정의된 타원곡선과 타원곡선 상의 두 점 P와 R이 주어진 경우, R = kP를 만족하는 정수 k의 값은? (단, 점선은 타원곡선의 접선, 점을 연결하는 직선 또는 수직선을 나타낸다)

  1. 2
  2. 3
  3. 4
  4. 5
(정답률: 60%)
  • 타원곡선 암호에서 점의 덧셈과 스칼라 곱셈 원리를 적용합니다. 그림에서 $2P$는 점 $P$에서의 접선이 곡선과 만나는 점을 $x$축에 대칭시킨 점이며, $3P$는 $2P$와 $P$를 연결한 직선이 곡선과 만나는 점을 대칭시킨 점입니다. 최종적으로 $4P$는 $2P$에서의 접선이 곡선과 만나는 점을 대칭시킨 결과가 점 $R$과 일치하므로 $k$의 값은 $4$입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

10. 「개인정보 보호법」상 가명정보의 처리에 관한 특례에 대한 사항으로 옳지 않은 것은?

  1. 개인정보처리자는 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 정보주체의 동의 없이 가명정보를 처리할 수 있다.
  2. 개인정보처리자는 가명정보를 처리하는 과정에서 특정 개인을 알아볼 수 있는 정보가 생성된 경우에는 내부적으로 해당 정보를 처리 보관하되, 제3자에게 제공해서는 아니 된다.
  3. 개인정보처리자는 가명정보를 처리하고자 하는 경우에는 가명정보의 처리 목적, 제3자 제공 시 제공받는 자 등 가명정보의 처리 내용을 관리하기 위하여 대통령령으로 정하는 사항에 대한 관련 기록을 작성하여 보관하여야 한다.
  4. 통계작성, 과학적 연구, 공익적 기록보존 등을 위한 서로 다른 개인정보처리자 간의 가명정보의 결합은 개인정보 보호위원회 또는 관계 중앙행정기관의 장이 지정하는 전문기관이 수행한다.
(정답률: 52%)
  • 가명정보 처리 중 특정 개인을 알아볼 수 있는 정보가 생성된 경우의 조치 사항을 묻는 문제입니다.
    가명정보 처리 과정에서 특정 개인을 식별할 수 있는 정보가 생성되었다면, 내부적으로 보관하는 것이 아니라 즉시 해당 정보의 처리를 중지하고 지체 없이 회수 및 파기해야 합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

11. 시스템 내 하드웨어의 구동, 서비스의 동작, 에러 등의 다양한 이벤트를 선택ㆍ수집하여 로그로 저장하고 이를 다른 시스템에 전송할 수 있도록 해 주는 유닉스의 범용 로깅 메커니즘은?

  1. utmp
  2. syslog
  3. history
  4. pacct
(정답률: 77%)
  • syslog는 유닉스 계열 시스템에서 하드웨어 구동, 서비스 동작, 에러 등 다양한 시스템 이벤트를 수집하여 로그로 저장하고 전송하는 범용 로깅 메커니즘입니다.

    오답 노트

    utmp: 현재 로그인한 사용자 상태 정보 저장
    history: 쉘에서 실행한 명령어 기록
    pacct: 프로세스 실행 기록 및 계정 사용 통계
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

12. 공개키 암호시스템에 대한 설명으로 옳은 것만을 모두 고르면?

  1. ㄱ, ㄴ
  2. ㄱ, ㄹ
  3. ㄴ, ㄷ
  4. ㄷ, ㄹ
(정답률: 78%)
  • 공개키 암호시스템의 특징을 분석하면 다음과 같습니다.
    ㄱ. 한 쌍의 공개키와 개인키 중에서 개인키만 비밀로 보관하면 된다. (옳음)
    ㄴ. 동일한 안전성을 가정할 때 ECC는 RSA보다 더 짧은 길이의 키를 필요로 한다. (옳음)

    오답 노트

    ㄷ. 키의 분배와 관리가 대칭키 암호시스템에 비하여 어렵다. $\rightarrow$ 공개키를 사용하므로 키 분배가 훨씬 쉽습니다.
    ㄹ. 일반적으로 암호화 및 복호화 처리 속도가 대칭키 암호시스템에 비하여 빠르다. $\rightarrow$ 복잡한 수학적 연산으로 인해 대칭키보다 훨씬 느립니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

13. 이메일의 보안을 강화하기 위한 기술이 아닌 것은?

  1. IMAP
  2. S/MIME
  3. PEM
  4. PGP
(정답률: 63%)
  • IMAP은 메일 서버에 저장된 이메일을 클라이언트가 읽기 위한 이메일 수신 프로토콜일 뿐, 보안을 강화하기 위한 암호화 기술이 아닙니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

14. 국제 정보보호 표준(ISO 27001:2013 Annex)은 14개 통제 영역에 대하여 114개 통제 항목을 정의하고 있다. 통제 영역의 하나인 물리적 및 환경적 보안에 속하는 통제 항목에 대한 설명에 해당하지 않는 것은?

  1. 보안 구역은 인가된 인력만의 접근을 보장하기 위하여 적절한 출입 통제로 보호한다.
  2. 자연 재해, 악의적인 공격 또는 사고에 대비한 물리적 보호를 설계하고 적용한다.
  3. 데이터를 전송하거나 정보 서비스를 지원하는 전력 및 통신 배선을 도청, 간섭, 파손으로부터 보호한다.
  4. 정보보호에 영향을 주는 조직, 업무 프로세스, 정보 처리 시설, 시스템의 변경을 통제한다.
(정답률: 70%)
  • 정보보호에 영향을 주는 조직, 업무 프로세스, 정보 처리 시설, 시스템의 변경을 통제하는 것은 '변경 관리' 영역에 해당하며, 물리적 및 환경적 보안 영역의 통제 항목이 아닙니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

15. 대칭키 암호시스템에 대한 암호 분석 방법과 암호 분석가에게 필수적으로 제공되는 모든 정보를 연결한 것으로 옳지 않은 것은?

  1. 암호단독(ciphertext only) 공격-암호 알고리즘, 해독할 암호문
  2. 기지 평문(known plaintext) 공격-암호 알고리즘, 해독할 암호문, 임의의 평문
  3. 선택 평문(chosen plaintext) 공격-암호 알고리즘, 해독할 암호문, 암호 분석가에 의해 선택된 평문과 해독할 암호문에 사용된 키로 생성한 해당 암호문
  4. 선택 암호문(chosen ciphertext) 공격-암호 알고리즘, 해독할 암호문, 암호 분석가에 의해 선택된 암호문과 해독할 암호문에 사용된 키로 복호화한 해당 평문
(정답률: 60%)
  • 기지 평문 공격은 암호 알고리즘과 해독할 암호문뿐만 아니라, 비밀키로 생성된 한 쌍 또는 여러 쌍의 평문-암호문 쌍을 알고 있는 상태에서 공격하는 방법입니다. 단순히 임의의 평문만으로는 공격이 성립되지 않습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

16. IPv4 패킷에 대하여 터널 모드의 IPSec AH(Authentication Header) 프로토콜을 적용하여 산출된 인증 헤더가 들어갈 위치로 옳은 것은?

(정답률: 75%)
  • IPSec의 터널 모드는 원래의 IP 패킷 전체를 캡슐화하여 새로운 IP 헤더를 추가하는 방식입니다. AH(Authentication Header) 프로토콜을 적용하면 새로운 IP 헤더와 원래의 IP 패킷 사이에 인증 헤더가 삽입됩니다.
    따라서 이미지에서 새로운 IP 헤더 바로 뒤인 ㄴ 위치가 정답입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

17. 정보보호 관련 법률과 소관 행정기관을 잘못 짝 지은 것은?

  1. 「전자정부법」-행정안전부
  2. 「신용정보의 이용 및 보호에 관한 법률」-금융위원회
  3. 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」-개인정보보호위원회
  4. 「정보통신기반 보호법」-과학기술정보통신부
(정답률: 62%)
  • 정보통신망 이용촉진 및 정보보호 등에 관한 법률의 주무 부처는 과학기술정보통신부입니다. 개인정보보호위원회는 개인정보 보호법 등을 총괄하는 기관입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

18. 침입탐지시스템의 비정상(anomaly) 탐지 기법에 대한 설명으로 옳지 않은 것은?

  1. 상대적으로 급격한 변화나 발생 확률이 낮은 행위를 탐지한다.
  2. 정상 행위를 예측하기 어렵고 오탐률이 높지만 알려지지 않은 공격에도 대응할 수 있다.
  3. 수집된 다양한 정보로부터 생성한 프로파일이나 통계적 임계치를 이용한다.
  4. 상태전이 분석과 패턴 매칭 방식이 주로 사용된다.
(정답률: 56%)
  • 비정상 탐지 기법은 정상적인 행위의 프로파일을 생성한 뒤, 이와 크게 다른 패턴이 나타날 때 공격으로 간주하는 방식입니다. 상태전이 분석과 패턴 매칭 방식은 이미 알려진 공격 패턴(Signature)을 기반으로 탐지하는 오용 탐지(Misuse Detection) 기법의 특징입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

19. 「전자서명법」상 과학기술정보통신부장관이 정하여 고시하는 전자서명인증업무 운영기준에 포함되어 있는 사항이 아닌 것은?

  1. 전자서명 관련 기술의 연구ㆍ개발ㆍ활용 및 표준화
  2. 전자서명 및 전자문서의 위조ㆍ변조 방지대책
  3. 전자서명인증서비스의 가입ㆍ이용 절차 및 가입자 확인방법
  4. 전자서명인증업무의 휴지ㆍ폐지 절차
(정답률: 52%)
  • 전자서명인증업무 운영기준은 서비스의 신뢰성과 이용자 보호를 위한 실무적인 운영 절차를 규정합니다. 전자서명 관련 기술의 연구·개발·활용 및 표준화는 운영기준에 포함되는 구체적인 운영 사항이 아니라 보다 광범위한 기술 정책 영역에 해당합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

20. 안드로이드 보안 체계에 대한 설명으로 옳지 않은 것은?

  1. 모든 응용 프로그램은 일반 사용자 권한으로 실행된다.
  2. 기본적으로 안드로이드는 일반 계정으로 동작하는데 이를 루트로 바꾸면 일반 계정의 제한을 벗어나 기기에 대한 완전한 통제권을 가질 수 있다.
  3. 응용 프로그램은 샌드박스 프로세스 내부에서 실행되며, 기본적으로 시스템과 다른 응용 프로그램으로의 접근이 통제된다.
  4. 설치되는 응용 프로그램은 구글의 인증 기관에 의해 서명ㆍ배포된다.
(정답률: 69%)
  • 안드로이드 응용 프로그램은 개발자가 자신의 개인키로 서명하여 배포하며, 구글의 인증 기관이 모든 앱을 강제로 서명하고 배포하는 구조가 아닙니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

< 이전회차목록 다음회차 >