9급 국가직 공무원 정보시스템보안 필기 기출문제복원 (2019-04-06)

9급 국가직 공무원 정보시스템보안
(2019-04-06 기출문제)

목록

1. 다음 중 HTTPS를 구성하기 위해 필요한 프로토콜만을 모두 고르면?

  1. ㄱ, ㄴ
  2. ㄱ, ㄹ
  3. ㄴ, ㄷ
  4. ㄷ, ㄹ
(정답률: 97%)
  • HTTPS는 HTTP 프로토콜을 보안적으로 보완한 것이므로, HTTP 프로토콜이 필수적으로 필요합니다. 또한, HTTPS는 SSL/TLS 프로토콜을 사용하여 데이터를 암호화하므로 SSL/TLS 프로토콜도 필요합니다. 따라서 정답은 "ㄱ, ㄴ" 입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

2. 웹에 관한 정보 노출, 악성 파일 및 스크립트, 보안 취약점 등을 연구하며, 10대 웹 애플리케이션의 취약점을 발표하는 기관은?

  1. IETF Web Security Working Group
  2. Web Application Security Working Group
  3. Open Web Application Security Project
  4. World Wide Web Consortium
(정답률: 79%)
  • Open Web Application Security Project는 웹 보안과 관련된 정보를 연구하고, 웹 애플리케이션의 취약점을 발표하는 기관입니다. 다른 보기들은 웹 보안과 관련된 작업을 수행하는 기관이지만, OWASP는 특히 웹 애플리케이션의 보안 취약점을 중점적으로 다루고 있습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

3. 다음 중 데이터 기밀성을 보장할 수 있는 프로토콜은?

  1. IP
  2. UDP
  3. Telnet
  4. SSH
(정답률: 89%)
  • 정답: SSH

    이유: SSH는 Secure Shell의 약자로, 네트워크 상에서 데이터를 암호화하고 보호하는 프로토콜입니다. SSH는 데이터를 암호화하여 중간에 누군가가 데이터를 가로채더라도 내용을 알아볼 수 없도록 보호합니다. 따라서 데이터 기밀성을 보장할 수 있는 프로토콜입니다. 반면, IP와 UDP는 데이터를 암호화하지 않으며, Telnet은 암호화 기능이 없어 데이터 보호가 어렵습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

4. 이메일 등을 통해 진짜 사이트와 거의 동일하게 꾸민 가짜 사이트로 접속을 유도하여 개인정보를 탈취하는 공격 기법은?

  1. 피싱(Phishing)
  2. 이블 트윈 어택(Evil Twin Attack)
  3. 언팩킹(Unpacking)
  4. 사이버 폭력(Cyberbullying)
(정답률: 97%)
  • 피싱은 이메일 등을 통해 가짜 사이트로 유도하여 개인정보를 탈취하는 공격 기법입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

5. 다음은 전자우편의 암호화에 대한 설명이다. 괄호 안에 들어갈 용어는?

  1. PGP
  2. PEM
  3. S/MIME
  4. IMAP
(정답률: 71%)
  • 이미지에서 설명하는 것은 전자우편의 암호화 방식 중 PGP(Pretty Good Privacy)이다. PGP는 개인키와 공개키를 사용하여 암호화와 복호화를 수행하며, 이메일의 내용과 첨부 파일을 안전하게 전송할 수 있다. PEM과 S/MIME은 PGP와 유사한 암호화 방식이지만, IMAP은 이메일 프로토콜로서 암호화와는 직접적인 관련이 없다. 따라서 정답은 "PGP"이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

6. 다음 프로토콜 중 계층이 다른 것은?

  1. ICMP
  2. POP3
  3. TFTP
  4. SNMP
(정답률: 80%)
  • 정답은 "ICMP"입니다.

    ICMP는 인터넷 제어 메시지 프로토콜로, 네트워크 계층에서 작동합니다. 주로 네트워크 상태를 모니터링하고, 오류 메시지를 전송하거나 받는 등의 역할을 합니다.

    반면, POP3는 이메일 수신 프로토콜로, 응용 계층에서 작동합니다. TFTP는 파일 전송 프로토콜로, 전송 계층에서 작동합니다. SNMP는 네트워크 관리 프로토콜로, 응용 계층에서 작동합니다.

    즉, ICMP는 다른 프로토콜과 달리 네트워크 계층에서 작동하는 것이 특징입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

7. 다음 중 유닉스 운영체제에서 네트워크 연결에 대한 접근제어 도구는?

  1. APT
  2. DDL
  3. UTMP
  4. TCPWrapper
(정답률: 83%)
  • TCPWrapper는 유닉스 운영체제에서 네트워크 연결에 대한 접근제어 도구로, 호스트 기반의 접근제어를 제공합니다. 특정 호스트나 IP 주소, 서비스 등에 대한 접근을 허용하거나 거부할 수 있으며, 이를 통해 보안성을 높일 수 있습니다. 따라서 TCPWrapper가 유닉스 운영체제에서 네트워크 연결에 대한 접근제어 도구로 사용됩니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

8. 웹서비스를 대상으로 하는 다양한 코드 인젝션(Code Injection) 혹은 운영체제 명령어 인젝션(OS Command Injection) 공격 등으로부터 취약점을 갖는 PHP 함수가 아닌 것은?

  1. cmd
  2. system
  3. eval
  4. exec
(정답률: 67%)
  • "cmd" 함수는 PHP에서 사용되지 않는 함수이기 때문에 취약점을 갖지 않습니다. 다른 함수들은 외부 입력값을 받아 실행하는 과정에서 취약점을 갖을 수 있습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

9. 관리자는 자신이 소유하고 있는 특정 자원에 대한 자신의 권한을 다른 사람에게 위임할 수 있다. 이를 통해 사용자들에게 주어진 권한 이외에 모든 권한을 차단할 수 있는 접근 제어 모델은?

  1. 강제적 접근 제어(Mandatory Access Control)
  2. 임의 접근 제어(Discretionary Access Control)
  3. 역할 기반 접근 제어(Role Based Access Control)
  4. 속성 기반 접근 제어(Attribute Based Access Control)
(정답률: 63%)
  • 임의 접근 제어는 관리자가 자원에 대한 권한을 다른 사용자에게 위임할 수 있는 모델로, 사용자들이 자원에 대한 접근 권한을 가지고 있는 경우에만 접근이 가능하다. 따라서 사용자들이 자신의 권한 이외에 다른 권한을 가지고 있는 경우에도 접근이 가능하다는 점에서 "임의" 접근 제어라는 이름이 붙여졌다. 반면, 강제적 접근 제어는 보안 등급에 따라 접근 권한이 자동으로 부여되는 모델이며, 역할 기반 접근 제어와 속성 기반 접근 제어는 각각 사용자의 역할과 속성에 따라 접근 권한을 부여하는 모델이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

10. 버퍼 오버플로우 공격 탐지 기법 중 스택 가드(Stack Guard)에 사용하는 기술은?

  1. Full Canary
  2. Buffer Canary
  3. Stack Canary
  4. Random Canary
(정답률: 63%)
  • 스택 가드(Stack Guard)는 버퍼 오버플로우 공격을 방지하기 위해 스택 프레임의 끝에 특별한 값을 삽입하여, 함수가 종료될 때 해당 값이 변경되었는지 확인하는 기술입니다. 이때 사용되는 값은 무작위로 생성된 값을 사용하는데, 이를 "Random Canary"이라고 합니다. 이는 공격자가 미리 예측하여 값을 조작하는 것을 방지하기 위함입니다. 따라서 정답은 "Random Canary"입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

11. 다음 설명에 해당하는 정보보안 제품 평가는?

  1. TCSEC
  2. ITSEC
  3. CC
  4. ISO/IEC27001
(정답률: 76%)
  • 이 평가는 CC(Common Criteria) 평가입니다. 그 이유는 이미지에 "Common Criteria Evaluation Assurance Level 4+" 이라는 문구가 있기 때문입니다. CC는 국제적으로 인정받는 정보보안 제품 평가 기준 중 하나이며, 제품의 보안성과 신뢰성을 평가합니다. TCSEC, ITSEC, ISO/IEC27001은 각각 다른 정보보안 평가 기준입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

12. 유닉스 파일 및 디렉토리 권한 변경 명령어와 그 기능을 연결한 것으로 옳지 않은 것은?

  1. chmod-파일 및 디렉토리의 권한 변경
  2. chown-파일 및 디렉토리의 소유자와 소유그룹 변경
  3. chgrp-파일 및 디렉토리의 소유그룹 변경
  4. chmask-파일 및 디렉토리 생성 시 부여되는 기본 권한 변경
(정답률: 72%)
  • chmask는 파일 및 디렉토리 생성 시 부여되는 기본 권한을 변경하는 명령어가 아닙니다. 따라서 정답은 chmask입니다.

    chmask는 umask 명령어와 유사한 기능을 가지고 있으며, 파일 및 디렉토리를 생성할 때 기본적으로 부여되는 권한을 설정하는 명령어입니다. umask는 새로운 파일 및 디렉토리에 대한 권한을 제한하는 반면, chmask는 새로운 파일 및 디렉토리에 대한 권한을 설정하는 것입니다. 따라서 chmask는 파일 및 디렉토리 생성 시 부여되는 기본 권한을 변경하는 명령어입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

13. OSI 각 계층 중 데이터 링크 계층에서 동작하는 프로토콜에 해당하지 않는 것은?

  1. L2F
  2. L2TP
  3. PPTP
  4. IPSec
(정답률: 84%)
  • IPSec은 네트워크 계층에서 동작하는 프로토콜로, 데이터 링크 계층에서 동작하는 프로토콜이 아닙니다. 데이터 링크 계층에서 동작하는 프로토콜은 L2F, L2TP, PPTP 등이 있습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

14. SMTP에 대한 설명으로 옳지 않은 것은?

  1. SMTP는 실행 파일이나 2진 데이터를 텍스트 형태로 변환하여 전송한다.
  2. 송?수신 측이 직접 상대방을 상호 인증하는 방식을 통해 메시지를 전송한다.
  3. SMTP 서버는 특정 크기 이상의 메일 메시지를 처리하지 못하고 거부한다.
  4. 주로 TCP 포트 25번을 사용한다.
(정답률: 69%)
  • SMTP는 송신자가 메일을 보내기 위해 수신자의 메일 서버에 접속하여 메일을 전송하는 프로토콜이다. 그러므로 송?수신 측이 직접 상대방을 상호 인증하는 방식을 통해 메시지를 전송하는 것은 옳지 않은 설명이다. SMTP는 인증 기능을 제공하지만, 이는 송신자가 자신의 신원을 증명하는 것이며, 수신자의 신원을 인증하는 것은 아니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

15. 윈도우즈 시스템 보안 아키텍처(Security Architecture)에 대한 설명으로 옳지 않은 것은?

  1. SRM(Security Reference Monitor)은 로컬 컴퓨터상에서 보안을 제어함으로써, 특권 컴포넌트들과 사용자 모드에서 동작하는 서브시스템에 보안 서비스를 제공한다.
  2. LSA(Local Security Authority)는 사용자 모드 프로세스에서 동작하며 윈도우즈에서 로컬 보안 정책을 집행한다.
  3. SAM(Security Account Manager)은 윈도우즈 운영체제에서 로컬 주체 및 그룹에 관련된 보안 정보 및 계정 데이터를 저장하는 데이터베이스로 보안 토큰 발급과 저장 등을 수행한다.
  4. AD(Active Directory) 서비스는 네트워크의 모든 정보를 디렉토리에 저장해 네트워크 자원을 손쉽게 찾고 접근하는 서비스를 제공한다.
(정답률: 53%)
  • 정답은 "AD(Active Directory) 서비스는 네트워크의 모든 정보를 디렉토리에 저장해 네트워크 자원을 손쉽게 찾고 접근하는 서비스를 제공한다."입니다. 윈도우즈 시스템 보안 아키텍처에서 AD 서비스는 네트워크 자원의 관리와 인증 등을 담당하는 서비스이며, SAM은 로컬 주체와 그룹에 대한 보안 정보와 계정 데이터를 저장하는 데이터베이스입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

16. ITU-T 권고안에서 정하고 있는 인증서 표준 규격은?

  1. RFC 822
  2. X.509
  3. X.501
  4. X.25
(정답률: 72%)
  • X.509은 ITU-T에서 정한 공개키 인증서의 표준 규격입니다. 이 규격은 인증서의 형식, 내용, 발급 및 검증 방법 등을 정의하고 있습니다. 따라서 X.509은 인터넷 보안 프로토콜인 SSL/TLS, VPN 등에서 널리 사용되고 있습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

17. 다음 중 국내의 정보보호 및 개인정보보호 관리체계 인증제도에 해당하는 것은?

  1. P-ISMS
  2. ISMS-P
  3. PDCA-K
  4. ISMS-K
(정답률: 83%)
  • 정답은 "ISMS-P"입니다.

    ISMS-P는 정보보호관리체계(Information Security Management System)의 개념을 기반으로 한 개인정보보호관리체계(PIMS, Personal Information Management System) 인증제도입니다. 즉, 개인정보보호를 위한 정보보호관리체계를 인증하는 제도입니다.

    반면, P-ISMS는 개인정보보호를 위한 정보보호관리체계를 의미하는 것이 아니라, 정보보호관리체계를 개인정보보호를 포함하여 인증하는 제도입니다.

    PDCA-K는 PDCA 사이클을 기반으로 한 정보보호관리체계 인증제도이며, ISMS-K는 국내 기업들이 정보보호관리체계를 구축하고 운영하기 위한 가이드라인을 제공하는 제도입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

18. 윈도우즈 파일 시스템에 대한 설명으로 옳지 않은 것은?

  1. FAT16의 저장 가능 용량은 최대 2GB까지만 지원한다.
  2. FAT32 테이블의 기본 크기는 32비트이다.
  3. NTFS는 윈도우 NT 버전에서 지원한다.
  4. FAT32는 개별 폴더와 파일에 접근 제어를 설정할 수 있다.
(정답률: 73%)
  • FAT32는 개별 폴더와 파일에 접근 제어를 설정할 수 없다. FAT32는 파일 시스템의 기능이 제한적이며, NTFS와 같은 보다 최신의 파일 시스템에 비해 보안 기능이 부족하다. 따라서 FAT32는 개별 폴더와 파일에 대한 접근 제어를 설정할 수 없다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

19. SSL 레코드 프로토콜의 처리과정 기법에 해당하지 않는 것은?

  1. 압축(Compression)
  2. 메시지 인증 코드(Message Authentication Code)
  3. 정규화(Normalization)
  4. 단편화(Fragmentation)
(정답률: 74%)
  • SSL 레코드 프로토콜의 처리과정에서 정규화는 해당되지 않습니다. 이는 데이터베이스에서 데이터를 구조화하고 중복을 제거하는 과정으로, SSL 레코드 프로토콜과는 관련이 없습니다. 압축은 데이터를 압축하여 전송량을 줄이는 과정, 메시지 인증 코드는 데이터의 무결성을 검증하는 과정, 단편화는 큰 데이터를 작은 조각으로 나누어 전송하는 과정입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

20. 다음 설명에 해당하는 블루투스 공격 방식은?

  1. 블루스나프(Bluesnarf)
  2. 블루버그(Bluebug)
  3. 블루프린팅(Blueprinting)
  4. 블루재킹(Bluejacking)
(정답률: 67%)
  • 이미 페어링된 기기의 정보를 수집하여 해당 기기에 대한 정보를 파악하는 공격 방식이 블루프린팅(Blueprinting)입니다. 그림에서도 보이듯이, 공격자는 블루투스 기기의 정보를 수집하고, 해당 기기의 취약점을 찾아 공격을 시도할 수 있습니다. 따라서 이 문제의 정답은 "블루프린팅(Blueprinting)"입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

< 이전회차목록 다음회차 >