9급 국가직 공무원 정보시스템보안 필기 기출문제복원 (2019-04-06)

9급 국가직 공무원 정보시스템보안 2019-04-06 필기 기출문제 해설

이 페이지는 9급 국가직 공무원 정보시스템보안 2019-04-06 기출문제를 CBT 방식으로 풀이하고 정답 및 회원들의 상세 해설을 확인할 수 있는 페이지입니다.

9급 국가직 공무원 정보시스템보안
(2019-04-06 기출문제)

목록

1과목: 과목 구분 없음

1. 다음 중 HTTPS를 구성하기 위해 필요한 프로토콜만을 모두 고르면?

  1. ㄱ, ㄴ
  2. ㄱ, ㄹ
  3. ㄴ, ㄷ
  4. ㄷ, ㄹ
(정답률: 95%)
  • HTTPS는 HTTP 프로토콜에 SSL/TLS 암호화 프로토콜을 결합하여 보안을 강화한 것입니다. 또한, 네트워크 전송 계층에서 신뢰성 있는 연결을 위해 TCP 프로토콜을 기반으로 동작합니다.

    오답 노트
    SOAP: XML 기반의 웹 서비스 프로토콜입니다.
    SET: 안전한 전자 거래를 위한 표준 프로토콜입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

2. 웹에 관한 정보 노출, 악성 파일 및 스크립트, 보안 취약점 등을 연구하며, 10대 웹 애플리케이션의 취약점을 발표하는 기관은?

  1. IETF Web Security Working Group
  2. Web Application Security Working Group
  3. Open Web Application Security Project
  4. World Wide Web Consortium
(정답률: 82%)
  • 웹 애플리케이션의 보안 취약점을 연구하고, 전 세계적으로 영향력 있는 'OWASP Top 10' 취약점 리스트를 발표하는 기관은 Open Web Application Security Project입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

3. 다음 중 데이터 기밀성을 보장할 수 있는 프로토콜은?

  1. IP
  2. UDP
  3. Telnet
  4. SSH
(정답률: 92%)
  • SSH는 네트워크 상의 다른 컴퓨터에 로그인하거나 원격 명령을 실행할 때 사용하는 프로토콜로, 모든 통신 데이터를 암호화하여 전송함으로써 데이터 기밀성을 보장합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

4. 이메일 등을 통해 진짜 사이트와 거의 동일하게 꾸민 가짜 사이트로 접속을 유도하여 개인정보를 탈취하는 공격 기법은?

  1. 피싱(Phishing)
  2. 이블 트윈 어택(Evil Twin Attack)
  3. 언팩킹(Unpacking)
  4. 사이버 폭력(Cyberbullying)
(정답률: 98%)
  • 피싱(Phishing)은 신뢰할 수 있는 기관을 사칭하여 가짜 사이트로 접속을 유도한 뒤, 사용자의 개인정보를 탈취하는 사회공학적 공격 기법입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

5. 다음은 전자우편의 암호화에 대한 설명이다. 괄호 안에 들어갈 용어는?

  1. PGP
  2. PEM
  3. S/MIME
  4. IMAP
(정답률: 79%)
  • IDEA 알고리즘(세션키 암호화)과 RSA 알고리즘(전자서명)을 조합하여 구현하였으며, 특정 기관의 인증서 없이도 사용할 수 있는 전자우편 암호화 방식은 PGP입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

6. 다음 프로토콜 중 계층이 다른 것은?

  1. ICMP
  2. POP3
  3. TFTP
  4. SNMP
(정답률: 82%)
  • ICMP는 네트워크 계층(IP 계층)에서 작동하는 프로토콜인 반면, POP3, TFTP, SNMP는 모두 응용 계층에서 작동하는 프로토콜입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

7. 다음 중 유닉스 운영체제에서 네트워크 연결에 대한 접근제어 도구는?

  1. APT
  2. DDL
  3. UTMP
  4. TCPWrapper
(정답률: 88%)
  • TCPWrapper는 유닉스 및 리눅스 시스템에서 호스트 기반의 네트워크 서비스 접근 제어를 위해 사용되는 도구로, /etc/hosts.allow와 /etc/hosts.deny 파일을 통해 접근을 제어합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

8. 웹서비스를 대상으로 하는 다양한 코드 인젝션(Code Injection) 혹은 운영체제 명령어 인젝션(OS Command Injection) 공격 등으로부터 취약점을 갖는 PHP 함수가 아닌 것은?

  1. cmd
  2. system
  3. eval
  4. exec
(정답률: 69%)
  • PHP에서 외부 명령어를 실행하거나 코드를 동적으로 평가하여 인젝션 공격에 취약한 함수로는 system, eval, exec 등이 있습니다. cmd는 PHP의 표준 내장 함수가 아닙니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

9. 관리자는 자신이 소유하고 있는 특정 자원에 대한 자신의 권한을 다른 사람에게 위임할 수 있다. 이를 통해 사용자들에게 주어진 권한 이외에 모든 권한을 차단할 수 있는 접근 제어 모델은?

  1. 강제적 접근 제어(Mandatory Access Control)
  2. 임의 접근 제어(Discretionary Access Control)
  3. 역할 기반 접근 제어(Role Based Access Control)
  4. 속성 기반 접근 제어(Attribute Based Access Control)
(정답률: 64%)
  • 임의 접근 제어(Discretionary Access Control)는 자원의 소유자가 자신의 판단에 따라 다른 사용자에게 접근 권한을 부여하거나 위임할 수 있는 모델입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

10. 버퍼 오버플로우 공격 탐지 기법 중 스택 가드(Stack Guard)에 사용하는 기술은?

  1. Full Canary
  2. Buffer Canary
  3. Stack Canary
  4. Random Canary
(정답률: 71%)
  • 스택 가드(Stack Guard)는 스택의 복귀 주소 앞에 특정 값인 카나리(Canary)를 삽입하여, 버퍼 오버플로우 발생 시 이 값이 변경되었는지를 확인해 공격을 탐지하는 기술입니다. 이때 예측 불가능한 값을 생성하여 삽입하는 Random Canary 기술이 사용됩니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

11. 다음 설명에 해당하는 정보보안 제품 평가는?

  1. TCSEC
  2. ITSEC
  3. CC
  4. ISO/IEC27001
(정답률: 78%)
  • IT 제품의 보안성을 평가하기 위한 국제 표준으로, 보안 수준을 EAL(Evaluation Assurance Level)로 평가하며 보안 목적, 기능 요구사항, 보안 보증 요구사항의 3부분으로 구성되는 인증 제도는 CC(Common Criteria)입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

12. 유닉스 파일 및 디렉토리 권한 변경 명령어와 그 기능을 연결한 것으로 옳지 않은 것은?

  1. chmod-파일 및 디렉토리의 권한 변경
  2. chown-파일 및 디렉토리의 소유자와 소유그룹 변경
  3. chgrp-파일 및 디렉토리의 소유그룹 변경
  4. chmask-파일 및 디렉토리 생성 시 부여되는 기본 권한 변경
(정답률: 78%)
  • 유닉스 시스템에서 파일 생성 시 부여되는 기본 권한은 umask 명령어를 통해 설정하며, chmask라는 명령어는 존재하지 않습니다.

    오답 노트
    chmod: 권한(mode) 변경
    chown: 소유자(owner) 변경
    chgrp: 그룹(group) 변경
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

13. OSI 각 계층 중 데이터 링크 계층에서 동작하는 프로토콜에 해당하지 않는 것은?

  1. L2F
  2. L2TP
  3. PPTP
  4. IPSec
(정답률: 86%)
  • IPSec은 네트워크 계층(Layer 3)에서 동작하여 IP 패킷을 암호화하고 인증하는 프로토콜입니다.

    오답 노트
    L2F, L2TP, PPTP: 모두 데이터 링크 계층(Layer 2)에서 동작하는 터널링 프로토콜임
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

14. SMTP에 대한 설명으로 옳지 않은 것은?

  1. SMTP는 실행 파일이나 2진 데이터를 텍스트 형태로 변환하여 전송한다.
  2. 송?수신 측이 직접 상대방을 상호 인증하는 방식을 통해 메시지를 전송한다.
  3. SMTP 서버는 특정 크기 이상의 메일 메시지를 처리하지 못하고 거부한다.
  4. 주로 TCP 포트 25번을 사용한다.
(정답률: 71%)
  • SMTP는 기본적으로 송신 측 서버가 수신 측 서버로 메일을 전달하는 릴레이 방식을 사용하며, 송수신 측이 직접 상호 인증을 수행하는 구조가 아닙니다.

    오답 노트
    실행 파일 전송: MIME를 통해 텍스트로 변환하여 전송함
    메시지 크기: 서버 설정에 따라 최대 크기 제한이 존재함
    TCP 포트: 기본적으로 25번 포트를 사용함
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

15. 윈도우즈 시스템 보안 아키텍처(Security Architecture)에 대한 설명으로 옳지 않은 것은?

  1. SRM(Security Reference Monitor)은 로컬 컴퓨터상에서 보안을 제어함으로써, 특권 컴포넌트들과 사용자 모드에서 동작하는 서브시스템에 보안 서비스를 제공한다.
  2. LSA(Local Security Authority)는 사용자 모드 프로세스에서 동작하며 윈도우즈에서 로컬 보안 정책을 집행한다.
  3. SAM(Security Account Manager)은 윈도우즈 운영체제에서 로컬 주체 및 그룹에 관련된 보안 정보 및 계정 데이터를 저장하는 데이터베이스로 보안 토큰 발급과 저장 등을 수행한다.
  4. AD(Active Directory) 서비스는 네트워크의 모든 정보를 디렉토리에 저장해 네트워크 자원을 손쉽게 찾고 접근하는 서비스를 제공한다.
(정답률: 52%)
  • SAM(Security Account Manager)은 로컬 계정 정보와 비밀번호 해시 등을 저장하는 데이터베이스 역할을 수행하지만, 실제 보안 토큰의 생성 및 발급은 LSA(Local Security Authority)가 담당합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

16. ITU-T 권고안에서 정하고 있는 인증서 표준 규격은?

  1. RFC 822
  2. X.509
  3. X.501
  4. X.25
(정답률: 77%)
  • ITU-T에서 정의한 X.509는 공개키 기반 구조(PKI)에서 사용되는 표준 인증서 규격으로, 사용자의 신원 정보와 공개키를 바인딩하여 신뢰할 수 있는 기관(CA)이 서명하는 표준입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

17. 다음 중 국내의 정보보호 및 개인정보보호 관리체계 인증제도에 해당하는 것은?

  1. P-ISMS
  2. ISMS-P
  3. PDCA-K
  4. ISMS-K
(정답률: 88%)
  • 국내에서는 기존의 정보보호 관리체계(ISMS)와 개인정보보호 관리체계(PIMS)를 통합하여 ISMS-P 인증제도를 운영하고 있습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

18. 윈도우즈 파일 시스템에 대한 설명으로 옳지 않은 것은?

  1. FAT16의 저장 가능 용량은 최대 2GB까지만 지원한다.
  2. FAT32 테이블의 기본 크기는 32비트이다.
  3. NTFS는 윈도우 NT 버전에서 지원한다.
  4. FAT32는 개별 폴더와 파일에 접근 제어를 설정할 수 있다.
(정답률: 76%)
  • FAT32는 단순한 파일 시스템으로, 개별 파일이나 폴더에 대한 세밀한 접근 제어(권한 설정) 기능을 제공하지 않습니다. 이러한 보안 기능은 NTFS에서 지원합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

19. SSL 레코드 프로토콜의 처리과정 기법에 해당하지 않는 것은?

  1. 압축(Compression)
  2. 메시지 인증 코드(Message Authentication Code)
  3. 정규화(Normalization)
  4. 단편화(Fragmentation)
(정답률: 79%)
  • SSL 레코드 프로토콜은 상위 계층의 데이터를 안전하게 전송하기 위해 단편화, 압축, 메시지 인증 코드(MAC) 추가 과정을 거칩니다.

    오답 노트
    정규화: 데이터베이스 중복 제거를 위한 과정으로 SSL 레코드 처리와 무관합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

20. 다음 설명에 해당하는 블루투스 공격 방식은?

  1. 블루스나프(Bluesnarf)
  2. 블루버그(Bluebug)
  3. 블루프린팅(Blueprinting)
  4. 블루재킹(Bluejacking)
(정답률: 73%)
  • 블루프린팅(Blueprinting)은 서비스 발견 프로토콜(SDP)을 이용하여 공격 가능한 블루투스 장치의 종류와 모델을 검색하는 사전 탐색 활동을 의미합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

< 이전회차목록 다음회차 >