9급 국가직 공무원 정보시스템보안 필기 기출문제복원 (2021-04-17)

9급 국가직 공무원 정보시스템보안 2021-04-17 필기 기출문제 해설

이 페이지는 9급 국가직 공무원 정보시스템보안 2021-04-17 기출문제를 CBT 방식으로 풀이하고 정답 및 회원들의 상세 해설을 확인할 수 있는 페이지입니다.

9급 국가직 공무원 정보시스템보안
(2021-04-17 기출문제)

목록

1과목: 과목 구분 없음

1. 다음에서 설명하는 보안시스템은?

  1. 허니팟(honeypot)
  2. 텔넷(telnet)
  3. 봇넷(botnet)
  4. 샌드박스(sandbox)
(정답률: 96%)
  • 해커를 유인하기 위해 의도적으로 취약하게 설계된 가짜 시스템을 구축하여, 공격자의 수법을 분석하고 정보를 수집하는 보안 시스템은 허니팟(honeypot)입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

2. 일반적인 리눅스 또는 유닉스 시스템의 디렉터리(directory)에 대한 설명으로 옳은 것은?

  1. /dev-프로그램 실행 및 설치할 때 생성되는 임시 파일을 담고 있으며 임의로 삭제될 수 있다.
  2. /boot-시스템 환경 설정 및 주요 설정 파일들을 담고 있다.
  3. /usr/include-C 언어에서 사용되는 헤더 파일들을 담고 있다.
  4. /usr-각 계정으로 로그인할 때 이 디렉터리 밑에 자신의 홈 디렉터리가 작업 디렉터리가 된다.
(정답률: 50%)
  • /usr/include 디렉터리는 C 언어 컴파일 시 필요한 표준 헤더 파일들이 저장되는 공간입니다.

    오답 노트

    /dev: 장치 파일(Device files) 저장소
    /boot: 부팅 시 필요한 커널 및 부트로더 파일 저장소
    /usr: 사용자 프로그램 및 라이브러리 저장소 (홈 디렉터리는 /home)
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

3. 데이터베이스 보안에서 웹을 이용한 SQL 인젝션 공격 방지를 위한 시큐어 코딩(secure coding) 방법으로 옳지 않은 것은?

  1. 주석문에 시스템 주요 정보를 사용자가 볼 수 있도록 해야 한다.
  2. 애플리케이션에서 데이터베이스 연결을 수행할 때 최소 권한의 계정을 사용해야 한다.
  3. 외부 입력값이 삽입되는 SQL 쿼리문의 구조가 변경되지 않도록 해야 한다.
  4. 외부 입력값이 삽입되는 SQL 쿼리문은 특수문자를 필터링하여 입력값 검증을 수행해야 한다.
(정답률: 88%)
  • 시큐어 코딩의 기본 원칙은 공격자에게 시스템의 내부 정보를 노출하지 않는 것입니다. 주석문에 시스템 주요 정보를 포함하는 것은 공격자에게 유용한 힌트를 제공하는 보안 취약점이 되므로 반드시 제거해야 합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

4. 중요 데이터에 대한 기밀성 또는 무결성을 제공하는 보안기술 중 복호화를 위한 키가 사용되는 알고리즘은?

  1. SHA-256
  2. MD5
  3. AES
  4. HAS-160
(정답률: 64%)
  • 복호화를 위해 키가 필요하다는 것은 암호화 알고리즘을 의미합니다. AES는 대칭키 암호화 알고리즘으로, 암호화와 복호화에 동일한 키를 사용하여 기밀성을 제공합니다.

    오답 노트

    SHA-256, MD5, HAS-160: 키를 사용하지 않는 단방향 해시 함수로, 복호화가 불가능하며 무결성 검증에 사용됨
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

5. 커버로스(Kerberos)에 대한 설명으로 옳지 않은 것은?

  1. 커버로스의 전반적인 기법은 신뢰하는 제3자 인증 서비스 방안이다.
  2. 커버로스 프로토콜은 인증 서버(authentication server), 티켓 발급 서버(ticket granting server) 및 사용자에게 서비스를 제공하는 다수의 서비스 서버(service server)를 사용한다.
  3. 커버로스를 구성하는 개체 간에 교환되는 대부분의 메시지는 대칭키 암호화 기술로 기밀성이 보장된다.
  4. 커버로스 버전 4에서 암호화된 메시지는 암호 알고리즘 식별자가 덧붙여진다. 이것은 사용자에게 DES가 아닌 다른 알고리즘을 사용할 수 있도록 한다.
(정답률: 65%)
  • 커버로스 버전 4는 기본적으로 DES 암호화 알고리즘만을 사용하도록 설계되었습니다. 암호 알고리즘 식별자를 추가하여 다른 알고리즘을 사용할 수 있게 개선한 것은 커버로스 버전 5부터의 특징입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

6. 다음 리눅스 시스템의 /etc/passwd 파일 내용에서 사용자의 권한 수준을 결정하는 항목은?

  1. adm
  2. x
  3. 0
  4. /sbin/nologin
(정답률: 65%)
  • /etc/passwd 파일의 구조는 '사용자명:패스워드:UID:GID:설명:홈디렉터리:셸' 순으로 구성됩니다. 여기서 세 번째 필드인 UID(User ID)가 사용자의 권한 수준을 결정하며, 특히 UID가 0인 계정은 시스템 관리자(root) 권한을 가집니다.
    이미지 분석: 에서 세 번째 항목인 0이 UID에 해당합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

7. 리눅스 배시(bash) 셸에서 셸 변수 또는 환경 변수로 설정된 SHELL에 저장된 값을 출력하는 명령은?

  1. echo SHELL
  2. echo '$SHELL'
  3. echo “$SHELL”
  4. echo \$SHELL
(정답률: 42%)
  • 리눅스 셸에서 변수에 저장된 값을 출력하려면 변수명 앞에 $ 기호를 붙여 참조해야 하며, echo "$SHELL"과 같이 큰따옴표를 사용하면 변수가 확장되어 실제 저장된 값이 출력됩니다.

    오답 노트

    echo SHELL: 변수 값이 아닌 SHELL이라는 문자열 그대로 출력됨
    echo '$SHELL': 작은따옴표는 변수 확장을 방지하여 $SHELL 문자열 그대로 출력됨
    echo \$SHELL: 백슬래시가 $의 특수 기능을 무효화하여 $SHELL 문자열 그대로 출력됨
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

8. 일반적으로 컴퓨터를 부팅할 때 운영체제를 주기억장치에 적재하는 부트 프로그램이 저장되는 디스크 공간은?

  1. BIOS(Basic Input Output System)
  2. POST(Power On Self Test)
  3. MBR(Master Boot Record)
  4. CMOS(Complementary Metal Oxide Semiconductor)
(정답률: 73%)
  • MBR(Master Boot Record)은 디스크의 첫 번째 섹터에 위치하며, 컴퓨터 부팅 시 BIOS가 가장 먼저 읽어 들여 운영체제를 메모리에 적재하는 부트 로더를 실행시키는 공간입니다.

    오답 노트

    BIOS: 메인보드 롬(ROM)에 저장된 기본 입출력 시스템
    POST: 부팅 시 하드웨어 이상 유무를 점검하는 과정
    CMOS: BIOS 설정 값을 저장하는 비휘발성 메모리
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

9. 다음은 보안관리 도구들에 대한 설명이다. ㉠~㉢에 들어갈 용어를 바르게 연결한 것은?

(정답률: 82%)
  • 제시된 보안 도구의 정의에 따른 정답은 다음과 같습니다.
    ㄱ. 파일이나 디렉터리 접근 권한을 세밀하게 제어하는 것은 ACL(Access Control List)입니다.
    ㄴ. 사용자 인증 및 서비스 접근 제어를 모듈화한 방법은 PAM(Pluggable Authentication Modules)입니다.
    ㄷ. root 권한을 획득한 침입자로부터 시스템 전체가 해킹되는 것을 방지하기 위해 강제 접근 제어(MAC)를 구현한 것은 SELinux입니다.
    따라서 정답은 의 ②번 조합입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

10. XSS 취약점 공격에 대비하여 필터링해야 할 특수문자만을 모두 고르면?

  1. ㄱ, ㄴ, ㄷ
  2. ㄱ, ㄷ, ㄹ
  3. ㄴ, ㄷ, ㄹ
  4. ㄱ, ㄴ, ㄷ, ㄹ
(정답률: 60%)
  • XSS(Cross-Site Scripting) 공격은 웹 페이지에 악성 스크립트를 삽입하여 실행시키는 공격입니다. 이를 방지하기 위해서는 HTML 태그의 시작과 끝을 알리는 내의 특수문자들인 <, >, &, " (큰따옴표), ' (작은따옴표), / 등을 필터링하거나 HTML 엔티티로 치환하여 스크립트가 실행되지 않도록 해야 합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

11. 다음에서 설명하는 악성 프로그램은?

  1. 랜섬웨어(ransomware)
  2. 스파이웨어(spyware)
  3. 웜(worm)
  4. 봇(bot)
(정답률: 78%)
  • 사용자의 동의 없이 설치되어 개인정보를 몰래 수집하고 제3자에게 전송하며, 브라우저 설정 변경이나 키보드 입력 내용 수집(키로깅) 등을 수행하는 악성 프로그램은 스파이웨어(spyware)입니다.
    따라서 정답은 의 설명에 부합하는 스파이웨어입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

12. 사용자 인증 또는 메시지 인증 프로토콜에서 재전송 공격(replay attack)을 방지하기 위한 정보로 옳지 않은 것은?

  1. 사용자 식별자(user identifier)
  2. 순서 번호(sequence number)
  3. 타임스탬프(timestamp)
  4. 비표(nonce)
(정답률: 67%)
  • 재전송 공격은 이전에 캡처한 유효한 메시지를 그대로 다시 보내는 공격이므로, 메시지의 '신선도'를 확인하여 중복 여부를 판별할 수 있는 정보가 필요합니다. 사용자 식별자는 단순히 누구인지 알려줄 뿐, 메시지가 언제 생성되었는지나 순서가 어떻게 되는지를 증명하지 못하므로 방지책이 될 수 없습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

13. 데이터베이스 명령어는 DDL, DML, DCL 등으로 구분된다. 다음 중 DCL에 해당되는 명령어는?

  1. DROP
  2. UPDATE
  3. SELECT
  4. GRANT
(정답률: 77%)
  • DCL(Data Control Language)은 데이터베이스의 접근 권한을 제어하는 언어로, 권한을 부여하는 GRANT와 권한을 회수하는 REVOKE가 이에 해당합니다.

    오답 노트

    DROP: DDL(정의어)
    UPDATE, SELECT: DML(조작어)
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

14. FTP 클라이언트에서 사용하는 명령어에 대한 설명으로 옳지 않은 것은?

  1. lcd-지역 호스트의 작업 디렉터리를 변경한다.
  2. more-여러 개의 파일들을 원격 호스트에서 지역 호스트로 가져온다.
  3. hash-파일이 전송되는 진행 상황을 알려주도록 설정한다.
  4. bin-전송 모드를 바이너리 모드로 설정한다.
(정답률: 27%)
  • more 명령어는 원격 호스트의 파일 내용을 화면에 나누어 출력하는 명령어입니다.

    오답 노트

    여러 개의 파일을 원격 호스트에서 지역 호스트로 가져오는 명령어는 mget입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

15. 시스템 관리자가 윈도우즈 시스템에서 동작 중인 프로세스를 인지하고 있으면 웜, 바이러스 등에 대응하는 데 용이하다. 윈도우즈 기본 프로세스에 대한 설명으로 옳지 않은 것은?

  1. csrss.exe-윈도우즈 콘솔을 관장하고 스레드를 생성 및 삭제하는 기능을 담당한다.
  2. svchost.exe-시스템 서비스를 제어(시작 및 정지)하고 서비스 간에 상호작용하는 기능을 담당한다.
  3. lsass.exe-winlogon 서비스에 필요한 인증 기능을 담당한다.
  4. smss.exe-사용자 세션을 시작하는 기능을 담당한다.
(정답률: 40%)
  • svchost.exe는 DLL 기반의 서비스 프로세스를 실행하는 공용 호스트 프로세스이며, 시스템 서비스의 제어 및 상호작용을 직접 담당하는 프로세스가 아닙니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

16. 다음에서 설명하는 웹 취약점은?

  1. Broken Authentication
  2. Broken Access Control
  3. Insufficient Logging & Monitoring
  4. Sensitive Data Exposure
(정답률: 45%)
  • 인증된 사용자가 수행할 수 있는 작업에 대한 제한이 제대로 적용되지 않아, 타인의 계정 접근이나 데이터 수정 등 권한 밖의 행위가 가능한 취약점은 Broken Access Control입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

17. S/MIME에서 사용되는 기술만을 모두 고르면?

  1. ㄱ, ㄴ
  2. ㄱ, ㄷ
  3. ㄱ, ㄴ, ㄷ
  4. ㄴ, ㄷ, ㄹ
(정답률: 39%)
  • S/MIME은 전자우편 보안 표준으로, 기밀성을 위한 RSA, 무결성 및 인증을 위한 SHA-1(해시 함수)과 DSS(디지털 서명 표준) 기술을 사용합니다.

    오답 노트

    EAP: 무선 네트워크 인증을 위한 확장 가능 인증 프로토콜
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

18. PGP 시스템에서 제공하는 기능에 대한 구현 기술로 옳지 않은 것은?

  1. 키 교환-HDLC
  2. 전자 서명-RSA
  3. 메시지 암호화-Triple DES
  4. 메시지 압축-ZIP
(정답률: 56%)
  • PGP(Pretty Good Privacy)에서 키 교환은 RSA와 같은 공개키 암호 알고리즘을 사용하여 수행합니다. HDLC는 데이터 링크 계층의 전송 프로토콜로 키 교환 기술이 아닙니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

19. 아파치 웹 서버의 httpd.conf 파일의 주요 설정에 대한 설명으로 옳지 않은 것은?

  1. ServerTokens-웹 서버, OS, 모듈 등의 정보 레벨을 지정한다.
  2. User/Group-모듈 활성화 여부를 지정한다.
  3. DocumentRoot-웹 서버가 공개하는 디렉터리 트리에서 최상위 디렉터리를 지정한다.
  4. UserDir-일반 사용자의 공개 디렉터리를 지정한다.
(정답률: 61%)
  • User/Group 설정은 웹 서버 프로세스가 실행될 때 사용할 운영체제 사용자 계정과 그룹명을 지정하여 권한을 제어하는 설정입니다.

    오답 노트

    모듈 활성화 여부는 LoadModule 지시어를 통해 설정합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

20. 다음에서 설명하는 무선 랜 보안기술 ㉠, ㉡을 바르게 연결한 것은?

(정답률: 77%)
  • 사전 공유 키, RC4 스트림 암호화, 24비트 초기화 벡터(IV)를 사용하는 기술은 WEP이며, TKIP 기법을 통해 보안성을 강화한 기술은 WPA입니다.
    따라서 ㉠은 WEP, ㉡은 WPA가 정답입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

< 이전회차목록 다음회차 >