9급 국가직 공무원 정보보호론 필기 기출문제복원 (2025-04-05)

9급 국가직 공무원 정보보호론 2025-04-05 필기 기출문제 해설

이 페이지는 9급 국가직 공무원 정보보호론 2025-04-05 기출문제를 CBT 방식으로 풀이하고 정답 및 회원들의 상세 해설을 확인할 수 있는 페이지입니다.

9급 국가직 공무원 정보보호론
(2025-04-05 기출문제)

목록

1과목: 과목 구분 없음

1. 적극적(active) 공격에 해당하는 것만을 모두 고르면?

  1. ㄱ, ㄴ
  2. ㄱ, ㄷ
  3. ㄴ, ㄹ
  4. ㄷ, ㄹ
(정답률: 85%)
  • 적극적 공격은 데이터의 흐름을 변경하거나 가짜 메시지를 생성하여 시스템의 상태를 변화시키는 공격입니다. 위장(masquerade)과 변조(modification)는 시스템에 직접적인 영향을 주는 적극적 공격에 해당합니다.

    오답 노트

    도청(eavesdropping), 트래픽 분석(traffic analysis): 데이터의 내용을 훔쳐보거나 흐름을 분석만 하는 수동적 공격입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

2. 전자서명이 제공하는 보안 요소가 아닌 것은?

  1. 메시지 무결성
  2. 서명자 인증
  3. 서명 부인 방지
  4. 메시지 기밀성
(정답률: 67%)
  • 전자서명은 송신자의 신원을 확인(인증)하고, 메시지가 변조되지 않았음을 보장(무결성)하며, 나중에 서명 사실을 부정하지 못하게(부인 방지) 하는 것이 목적입니다. 메시지 내용을 암호화하여 숨기는 기밀성은 전자서명 자체의 기능이 아니며, 별도의 암호화 과정이 필요합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

3. 흔히 'Orange Book'으로 불리며, 미국에서 제정된 보안 표준으로 효과적인 정보보호 시스템 평가의 기준 개발과 이러한 기준에 맞게 개발된 제품들을 평가하는 데 초점을 두고 있는 정보 보안 평가 기준은?

  1. CC
  2. PIMS
  3. ITSEC
  4. TCSEC
(정답률: 63%)
  • 미국 국방부(DoD)에서 제정한 보안 표준으로, 표지 색상 때문에 'Orange Book'이라 불리는 정보 보안 평가 기준은 TCSEC입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

4. 다음에서 설명하는 보안 모델은?

  1. Bell-LaPadula
  2. Biba
  3. Clark-Wilson
  4. Lattice
(정답률: 64%)
  • 상업적 환경에서 데이터의 무결성을 강조하며, 직무 분리(Separation of Duties)와 정형화된 트랜잭션을 통해 무결성을 검증하는 모델은 Clark-Wilson 모델입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

5. 다음에서 설명하는 정보보호의 목표에 해당하는 것은?

  1. 기밀성
  2. 가용성
  3. 무결성
  4. 책임추적성
(정답률: 77%)
  • 정당한 사용자가 필요할 때 언제든지 데이터나 자원에 접근할 수 있도록 보장하는 성질은 가용성입니다.

    오답 노트

    기밀성: 인가된 사용자만 정보에 접근 가능
    무결성: 정보가 변조되지 않고 정확함
    책임추적성: 행위자를 추적하여 책임을 물을 수 있음
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

6. 「개인정보 보호법」에서 규정하고 있는 개인정보에 해당하지 않는 것은?

  1. 성명
  2. 주민등록번호
  3. 영상 등을 통하여 개인을 알아볼 수 있는 정보
  4. 사망자에 대한 정보
(정답률: 84%)
  • 개인정보 보호법상 '개인정보'는 살아 있는 개인에 관한 정보만을 의미합니다. 따라서 이미 사망한 사람에 대한 정보는 원칙적으로 개인정보 보호법의 적용 대상인 개인정보에 해당하지 않습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

7. 다음에서 설명하는 기술은?

  1. ARP
  2. IPS
  3. NAT
  4. VLAN
(정답률: 90%)
  • 제시된 설명은 NAT(Network Address Translation)에 대한 내용입니다. NAT는 부족한 공인 IP 주소를 효율적으로 사용하기 위해 내부 사설 IP 주소를 공인 IP 주소로 변환하여 외부 네트워크와 통신하게 하며, 내부 주소를 숨겨 보안성을 높이는 기술입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

8. 다음과 같은 과정으로 진행되는 공격은?

  1. Smurf
  2. 중간자(MITM)
  3. Sniffing
  4. Slowloris
(정답률: 89%)
  • 제시된 과정은 공격자 C가 송신자 A와 수신자 B 사이의 통신에 개입하여 공개키를 가로채고, 메시지를 복호화한 뒤 다시 암호화하여 전달하는 전형적인 중간자(MITM, Man-In-The-Middle) 공격의 흐름입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

9. (가), (나)에 들어갈 용어를 바르게 연결한 것은?

(정답률: 77%)
  • 공개키 암호 방식의 핵심 원리를 묻는 문제입니다.
    1. 암호화: 수신자만이 복호화할 수 있어야 하므로 수신자의 공개키를 사용하여 암호화합니다.
    2. 전자서명: 송신자가 본인임을 증명해야 하므로 송신자의 개인키로 서명합니다.
    따라서 (가)는 수신자의 공개키, (나)는 송신자의 개인키가 정답입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

10. 「개인정보 보호법」 제3조(개인정보 보호 원칙)상 개인정보 보호 원칙으로 옳지 않은 것은?

  1. 개인정보처리자는 개인정보를 익명 또는 가명으로 처리하여도 개인정보 수집목적을 달성할 수 있는 경우 가명처리가 가능한 경우에는 가명에 의하여, 가명처리로 목적을 달성할 수 없는 경우에는 익명에 의하여 처리될 수 있도록 하여야 한다.
  2. 개인정보처리자는 개인정보의 처리 목적을 명확하게 하여야 하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집하여야 한다.
  3. 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 개인정보의 정확성, 완전성 및 최신성이 보장되도록 하여야 한다.
  4. 개인정보처리자는 정보주체의 사생활 침해를 최소화하는 방법으로 개인정보를 처리하여야 한다.
(정답률: 56%)
  • 개인정보 보호 원칙에 따르면, 개인정보를 익명 또는 가명으로 처리하여도 수집 목적을 달성할 수 있는 경우에는 우선적으로 익명처리를 하여야 하며, 익명처리가 곤란한 경우에 가명처리를 하여야 합니다. 즉, 익명처리가 가명처리보다 우선시되어야 합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

11. 스택 오버플로(stack overflow) 공격에 대응하는 방법으로 옳지 않은 것은?

  1. 스택에 저장할 수 있는 데이터의 최대 길이를 지정해야 하는 함수를 사용한다.
  2. 스택에서 코드가 실행되는 것을 허용한다.
  3. 스택 영역을 임의의 메모리 주소에 할당하여 스택 영역의 주소에 대한 추측을 어렵게 한다.
  4. 함수의 종료 연산을 수행하기 전에 카나리(canary) 값의 변경 여부를 검사한다.
(정답률: 80%)
  • 스택 오버플로 공격은 스택에 삽입된 악성 코드를 실행시키는 것이 목적이므로, 보안을 위해서는 스택 영역에서 코드가 실행되지 않도록 설정하는 DEP(Data Execution Prevention) 등의 기술을 적용해야 합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

12. ISMS-P 인증을 위한 정보보호 보호대책 요구사항 중 '인증 및 권한관리' 항목에 해당하지 않는 것은?

  1. 비밀번호 관리
  2. 접근권한 검토
  3. 정보시스템 보호
  4. 특수 계정 및 권한관리
(정답률: 64%)
  • 인증 및 권한관리는 사용자의 신원 확인과 접근 권한 부여에 집중하는 항목입니다. 정보시스템 보호는 시스템 자체의 보안 설정 및 운영 관리에 해당하므로 인증 및 권한관리 항목에 포함되지 않습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

13. 정보보호 관련 법률과 소관 부처를 잘못 짝지은 것은?

  1. 「개인정보 보호법」-개인정보보호위원회
  2. 「위치정보의 보호 및 이용 등에 관한 법률」-과학기술정보통신부
  3. 「공공기관의 정보공개에 관한 법률」-행정안전부
  4. 「전자서명법」-과학기술정보통신부
(정답률: 56%)
  • 「위치정보의 보호 및 이용 등에 관한 법률」의 주무 부처는 방송통신위원회입니다.

    오답 노트

    「전자서명법」: 과학기술정보통신부 소관이 맞습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

14. (가), (나)에 들어갈 용어를 바르게 연결한 것은?

(정답률: 69%)
  • 사용자가 의도하지 않게 HTTP Body에 데이터를 첨부하여 서버로 전송하는 방식은 POST 메서드를 사용하며, 인증된 사용자의 세션을 이용하여 공격자가 의도한 요청을 강제로 보내게 하는 공격 기법은 CSRF(Cross-Site Request Forgery)입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

15. S/MIME(RFC 8551)의 데이터 콘텐트 유형(data content type) 중 데이터의 기밀성만을 제공하는 것은?

  1. Signed-Data
  2. Enveloped-Data
  3. Auth-Enveloped-Data
  4. Compressed-Data
(정답률: 62%)
  • S/MIME의 Enveloped-Data는 메시지 내용을 대칭키로 암호화하고, 그 대칭키를 수신자의 공개키로 다시 암호화하여 전송함으로써 데이터의 기밀성만을 제공하는 유형입니다.

    오답 노트

    Signed-Data: 전자서명을 통해 무결성과 인증을 제공합니다.
    Auth-Enveloped-Data: 인증(서명)과 기밀성(암호화)을 모두 제공합니다.
    Compressed-Data: 데이터 압축을 제공합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

16. 리눅스 /etc/shadow 파일에 포함되지 않는 것은?

  1. 사용자 계정명
  2. 솔트(salt)
  3. 대칭키 암호 알고리즘의 종류
  4. 기준일(epoch)부터 패스워드가 최종 수정된 날까지의 일수
(정답률: 65%)
  • /etc/shadow 파일은 사용자 계정명, 암호화된 패스워드(솔트 포함), 패스워드 변경일, 만료일 등의 계정 보안 정보를 저장하는 파일입니다. 암호화된 패스워드는 해시 함수를 통해 저장될 뿐, 대칭키 암호 알고리즘의 종류를 저장하지는 않습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

17. 소수 p를 선택하고, 위수가 p-1인 원시근을 사용하는 대신에 p-1의 소인수인 q를 위수로 갖는 원소를 이용해서 서명과 검증에 사용할 키를 생성하는 전자서명 구조는?

  1. RSA
  2. ElGamal
  3. ECDSA
  4. Schnorr
(정답률: 34%)
  • Schnorr 서명은 소수 $p$와 $p-1$의 소인수인 $q$를 이용하여, 위수가 $q$인 부분군(subgroup)의 원소를 사용함으로써 효율성과 보안성을 높인 전자서명 구조입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

18. TLS 핸드셰이크 프로토콜의 목적에 해당하는 것만을 모두 고르면?

  1. ㄱ, ㄷ
  2. ㄱ, ㄹ
  3. ㄴ, ㄷ
  4. ㄴ, ㄹ
(정답률: 86%)
  • TLS 핸드셰이크 프로토콜은 실제 데이터 전송 전, 서버의 인증서를 통해 신원을 확인하고 데이터를 암호화할 세션 키를 안전하게 생성 및 교환하는 단계입니다.

    오답 노트

    세션을 활성 상태로 유지: 이는 하트비트(Heartbeat) 프로토콜의 역할입니다.
    응용 데이터 전송: 핸드셰이크 완료 후 TLS 레코드 프로토콜 단계에서 수행됩니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

19. 다음 수식으로 표현된 HMAC에 대한 설명으로 옳지 않은 것은? (단, K는 키, M은 메시지, H는 해시 함수, ⊕는 XOR, ||는 연결(concatenation)이다)

  1. HMAC 구조는 해시 함수 H로 MD5, SHA-1, SHA-512 등 가용한 것을 선택할 수 있도록 되어 있다.
  2. K는 HMAC를 주고받는 사용자가 공유하는 비밀키이다.
  3. K+는 K의 왼쪽에 0을 패딩해서 전체 비트 수가 해시 함수 출력의 크기와 같게 되도록 한 것이다.
  4. ipad와 opad는 각각 16진수 36과 5C가 반복된 것으로, 해시 함수에 입력되는 블록의 크기와 같다.
(정답률: 44%)
  • HMAC에서 $K^{+}$는 비밀키 $K$의 길이가 해시 함수의 블록 크기보다 짧을 경우, 오른쪽에 0을 추가(패딩)하여 블록 크기와 맞춘 것을 의미합니다. 따라서 왼쪽에 0을 패딩한다는 설명은 틀렸습니다.

    오답 노트

    MD5, SHA-1 등 다양한 해시 함수 선택 가능: HMAC의 유연한 구조적 특징입니다.
    비밀키 공유: HMAC은 대칭키 기반의 메시지 인증 코드입니다.
    ipad, opad: 각각 0x36, 0x5C가 반복되는 상수로 블록 크기와 일치해야 합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

20. 다음 수식으로 나타낸 블록 암호 운용 모드에 대한 설명으로 옳은 것은?

  1. 복호화 함수를 DK이라고 하면, 평문 블록 P1=DK(C1)⊕IV 이고, Pi=DK(Ci)⊕Ci-1, i=2,3,…,N 이다.
  2. 송신자와 수신자가 공유하는 IV는 반드시 제3자에게 비밀로 해야 한다.
  3. 암호문 블록 Cj(j=1,2,…,N)의 전송 도중에 비트 오류가 발생하면, 복호화된 Pj부터 PN까지의 모든 평문 블록에 영향을 미친다.
  4. 여러 평문 블록에 대한 암호화 과정의 병렬처리가 가능하다.
(정답률: 35%)
  • 제시된 수식 $\text{C}_1 = \text{E}_\text{K}(\text{P}_1 \oplus \text{IV})$ 및 $\text{C}_i = \text{E}_\text{K}(\text{P}_i \oplus \text{C}_{i-1})$은 CBC(Cipher Block Chaining) 모드입니다. CBC 모드의 복호화 과정은 암호문 블록을 복호화 함수 $\text{D}_\text{K}$에 넣고 이전 암호문 블록(또는 IV)과 XOR 연산하는 과정이므로, 평문 블록 $\text{P}_1 = \text{D}_\text{K}(\text{C}_1) \oplus \text{IV}$이고, $\text{P}_i = \text{D}_\text{K}(\text{C}_i) \oplus \text{C}_{i-1}$이 맞습니다.

    오답 노트

    IV 비밀 유지: IV는 공개되어도 무방함
    오류 전파: $\text{C}_j$ 오류 시 $\text{P}_j$와 $\text{P}_{j+1}$까지만 영향을 미침
    병렬처리: 암호화 시 이전 블록의 결과가 필요하므로 병렬처리가 불가능함
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

목록 다음회차 >