1. 모바일 운영체제인 iOS와 안드로이드의 보안 체계에 대한 설명 으로 옳지 않은 것은?
- iOS는 모든 앱에 대한 코드 무결성 점검을 수행하여 설치를 제한한다.
- iOS와 안드로이드 모두 프로그램의 실행 권한이 일반 사용자에게 있다.
- iOS는 애플의 CA를 통하여 앱을 서명 및 배포하고, 안드로이드는 개발자가 서명 및 배포한다.
- 보안 통제권이 iOS는 애플에 있고, 안드로이드는 개발자나 사용자에게 있다.
2. 시스템 접근을 허락받은 후에 그 시스템의 어떤 기능 또는 서비스를 이용할 수 있도록 필요한 권한을 부여하는 것은?
- 식별(identification)
- 인증(authentication)
- 인가(authorization)
- 평가(evaluation)
3. 컴퓨터 기반 사회공학적 공격기법에 해당하지 않는 것은?
- 피싱(phishing)
- 파밍(pharming)
- 스미싱(smishing)
- 스푸핑(spoofing)
4. 다음의 명령어를 실행한 파일의 접근 권한으로 옳은 것은?
- -rwxr-x--x
- -rwxrw---x
- -rwxr-x---
- -rw-r-----
5. FTP 보안에 대한 설명으로 옳지 않은 것은?
- 임의의 계정으로 로그인 시도를 반복적으로 수행하여 사용자 계정의 패스워드를 유추할 수 있는 취약점이 있다.
- 사용자 인증정보 유출 방지를 위한 보안 대책으로 SCP, SFTP, FTPS 등이 있다.
- 익명 FTP는 모든 사용자에게 동일한 사용자 아이디와 유효한 사용자 이메일 주소를 패스워드로 요구한다.
- FTP 보안 대책으로 반드시 서비스 사용이 필요하지 않은 경우 FTP 서비스 사용을 금지하는 것이 좋다.
6. SSL 프로토콜 스택에 포함되지 않는 것은?
- handshake 프로토콜
- alert 프로토콜
- record 프로토콜
- user authentication 프로토콜
8. 일반적으로 이메일 형식으로 전달되며, 이메일 혹은 게시판 등에 거짓정보나 소문 등을 실어 사용자를 겁주거나 속이는 것은?
- 혹스(Hoax)
- 트로이 목마(Trojan horse)
- 백도어(Backdoor)
- 스파이웨어(Spyware)
9. 클라이언트 측에서 웹사이트에 접속할 때 발생하는 HTTP 에러코드와 이의 원인을 설명한 것으로 옳지 않은 것은?
- 401 Unauthorized :특정 웹사이트에 접속하기 위해 정확한 사용자 아이디와 암호를 입력하여야 하는데, 잘못된 정보를 입력하였을 경우
- 403 Forbidden :다른 요청이나 서버의 구성과 충돌이 발생할 경우
- 404 Not Found : URL이나 링크가 변경되어 요청한 주소의 페이지가 없을 경우
- 414 Request-URI Too Long :요청에 사용된 URL이 서버가 감당할 수 없을 만큼 너무 길 경우
11. <보기 1>의 상황과 개인정보의 안전한 전달을 위해 제공되어야 할 <보기 2>의 정보보호서비스를 바르게 연결한 것은? (순서대로 ㄱ, ㄴ, ㄷ, ㄹ)
- A, B, C, D
- A, D, C, B
- B, A, C, D
- B, A, D, C
12. 운영체제에서 제공하는 파일 및 디렉터리 관리에 대한 설명으로 옳지 않은 것은?
- 윈도우즈 NT 계열의 운영체제는 파일과 디렉터리에 대한 접근 제어를 통제하기 위하여 NTFS를 사용한다.
- 윈도우즈 NTFS는 모든 권한, 수정, 읽기 및 실행, 폴더내용보기, 읽기, 쓰기와 같은 6가지 권한을 설정하여 운영한다.
- 유닉스 계열은 파일이나 디렉터리 등의 자원에 대한 접근 제어를 위해 소유권과 접근 권한을 할당한다.
- 유닉스 계열에서는 ‘etc/passwd’ 파일이나 ‘shadow’ 파일의 읽기 및 쓰기 권한을 일반 사용자에게 부여해도 안전하다.
13. 패스워드 공격에 대한 설명으로 옳지 않은 것은?
- 사용자의 패스워드는 암호화하여 저장하는 것이 안전하다.
- 패스워드를 알아내기 위하여 사용자의 신원이나 주변 정보로 패스워드를 알아내는 사회공학적 방법이 있다.
- Brute force 공격은 사용자가 패스워드를 입력할 때 가로채는 공격이다.
- Crypt() 함수를 이용하여 패스워드를 추측할 수 있다.
14. 보안이 취약한 웹 게시판이 저장 XSS 공격을 받았다고 가정했을 때, 이를 해결하기 위한 방법으로 가장 적절한 것은?
- 가상 사설망을 통해서만 사용자 게시판에 접근하도록 한다.
- 접근 권한을 설정하여 허가된 사용자만 글을 올릴 수 있게한다.
- 사용자 게시글 속에 있는 악성 스크립트 코드를 찾아서 제거한다.
- SSL을 사용하여 사용자가 게시글을 올릴 수 있게 한다.
16. 다음은 스택 버퍼 오버플로우 공격을 효과적으로 방어하기 위한 스택 보호 메커니즘을 서술한 것이다. ㉠∼㉢에 들어갈 말을 바르게 연결한 것은? (순서대로 ㉠, ㉡, ㉢)
- 스택포인터, 반환주소, 카나리아(canary)
- 스택포인터, 카나리아(canary), 반환주소
- 프레임 포인터, 카나리아(canary), 반환주소
- 프레임 포인터, 반환주소, 스택포인터
17. 응용 보안에 대한 설명으로 옳지 않은 것은?
- HTTPS는 웹 브라우저와 웹 서버 간의 안전한 통신을 구현하기 위해 HTTP와 SSL을 결합한 것이다.
- SET는 웹 보안을 위하여 메시지 기밀성은 제공되지만, 메시지 무결성은 제공되지 않는다.
- 공개키기반구조(PKI)는 전자서명, 전자상거래 등이 안전하게 구현되기 위하여 구축되어야 할 기반 기술이다.
- 스팸메일의 문제점은 인터넷망을 통해 무차별로 전송되어 원하지 않는 사람이 읽거나 처리하는 데 많은 시간과 비용을 낭비하게 된다는 것이다.
18. 트립와이어(tripwire)에 대한 설명으로 옳지 않은 것은?
- 파일의 무결성을 검사하는 도구이며, 해쉬 알고리즘을 이용하여 시스템에 존재하는 파일에 관한 정보를 데이터베이스화 한다.
- 해커의 침입으로 인한 시스템 파일이나 디렉터리의 변경을 쉽게 검출할 수 있도록 도와준다.
- 데이터베이스에 저장된 해쉬 결과 값과 현재 파일의 해쉬결과 값을 비교하여 무결성 여부를 판단한다.
- 트립와이어의 데이터베이스에는 파일의 해쉬 결과 값이 저장되어 있어서 물리적 보안 대책이 필요 없다.
19. 괄호 안에 들어갈 말로 옳은 것은?
- 시스템 관리(system management)
- 시스템 호출(system call)
- 프로세스 관리(process management)
- 스케줄링(scheduling)
20. 코드 보안과 관련된 설명으로 옳지 않은 것은?
- 버퍼 오버플로우 공격은 데이터 길이에 대한 불명확한 정의를 이용한 공격이다.
- gets()는 버퍼 오버플로우 공격에 취약하지 않은 함수이다.
- 포맷 스트링 공격은 데이터 형태에 대한 불명확한 정의로 발생한다.
- 버퍼 오버플로우 공격 방어 방법으로는 공격에 취약한 함수를 사용하지 않거나 최신 운영체제를 사용하는 것 등이 있다.