9급 국가직 공무원 정보시스템보안 필기 기출문제복원 (2023-04-08)

9급 국가직 공무원 정보시스템보안 2023-04-08 필기 기출문제 해설

이 페이지는 9급 국가직 공무원 정보시스템보안 2023-04-08 기출문제를 CBT 방식으로 풀이하고 정답 및 회원들의 상세 해설을 확인할 수 있는 페이지입니다.

9급 국가직 공무원 정보시스템보안
(2023-04-08 기출문제)

목록

1과목: 과목 구분 없음

1. 프로그램이 실행될 때마다 해당 프로그램이 사용하는 메모리 주소를 무작위로 배치하여 공격 대상 프로그램이 사용하는 메모리 주소를 추측하기 어렵게 만드는 리눅스 운영체제의 기능은?

  1. DLL
  2. Canary
  3. ASLR
  4. Packing
(정답률: 67%)
  • ASLR(Address Space Layout Randomization)은 프로그램 실행 시 스택, 힙, 라이브러리 등의 메모리 주소를 무작위로 배치하여 공격자가 특정 함수나 데이터의 주소를 예측해 공격하는 것을 방지하는 보안 기술입니다.

    오답 노트

    Canary: 스택 버퍼 오버플로우 탐지를 위해 삽입하는 특수 값
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

2. 어떠한 작업을 주기적으로 실행시키기 위한 리눅스 명령어는?

  1. wc
  2. ps
  3. df
  4. crontab
(정답률: 85%)
  • crontab은 특정 시간이나 주기적으로 스크립트나 명령어를 자동 실행하도록 예약하는 스케줄러 도구입니다.

    오답 노트

    wc: 파일의 줄 수, 단어 수, 바이트 수 계산
    ps: 현재 실행 중인 프로세스 상태 표시
    df: 디스크 여유 공간 확인
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

3. (가)∼(다)에 들어갈 용어를 바르게 연결한 것은?

(정답률: 94%)
  • 리눅스에서 비밀번호 변경은 passwd 명령어를 사용하며, 암호화된 비밀번호는 /etc/shadow 파일에 저장됩니다. 일반 사용자가 이 파일에 접근하여 비밀번호를 바꿀 수 있는 이유는 passwd 명령어에 SetUID가 설정되어 실행 시 root 권한을 일시적으로 부여받기 때문입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

4. 다음과 같이 시스템에 설정된 umask 값이 '022'인 경우, 파일(file1)을 생성하였을 때 생성된 파일의 접근권한은?

  1. -rwxr-xr-x
  2. -r-xrwxrwx
  3. -rw-r--r--
  4. -rw-------
(정답률: 59%)
  • 파일 생성 시 기본 권한 $666$에서 umask 값을 뺀 나머지 권한이 설정됩니다.
    ① [기본 공식] $Permission = 666 - umask$
    ② [숫자 대입] $Permission = 666 - 022 = 644$
    ③ [최종 결과] $644 \rightarrow -rw-r--r--$
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

5. 유닉스/리눅스 시스템의 로그 파일에 대한 설명으로 옳지 않은 것은?

  1. utmp 로그는 특정 시간에 로그인한 사용자의 정보를 텍스트 형태로 기록한다.
  2. wtmp 로그는 사용자의 로그인, 로그아웃, 시스템 재부팅 정보를 바이너리 형태로 기록한다.
  3. su 로그는 su 명령어 수행에 따른 권한 변경 시도 및 변경 정보를 텍스트 형태로 기록한다.
  4. pacct 로그는 시스템에 로그인한 모든 사용자가 수행한 프로그램의 정보를 바이너리 형태로 기록한다.
(정답률: 34%)
  • utmp 로그는 현재 시스템에 로그인한 사용자의 정보를 기록하는 파일이며, 텍스트 형태가 아닌 바이너리 형태로 저장됩니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

6. 동일한 네트워크에 있는 DHCP 서버와 클라이언트 간의 동작 과정을 순서대로 나열한 것은?

  1. (다)→(나)→(라)→(가)
  2. (다)→(라)→(나)→(가)
  3. (라)→(다)→(가)→(나)
  4. (라)→(다)→(나)→(가)
(정답률: 27%)
  • DHCP 동작 과정의 논리적 순서는 서버의 준비 $\rightarrow$ 클라이언트의 요청 $\rightarrow$ 데이터 캡슐화 $\rightarrow$ 서버의 응답 전송 순으로 진행됩니다.
    1. (다) 서버가 UDP 67번 포트를 수동 개방하여 대기
    2. (라) 부팅된 클라이언트가 68번 포트를 능동 개방하여 요청
    3. (나) UDP 및 IP 데이터그램으로 캡슐화 과정 수행
    4. (가) 서버가 목적지 68번, 발신지 67번 포트로 메시지 전송
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

7. (가)∼(다)에 들어갈 용어를 바르게 연결한 것은?

(정답률: 54%)
  • 블루투스 공격 유형의 정의는 다음과 같습니다.
    (가) 블루프린팅: 공격 장치의 검색 활동을 통해 기기 정보를 수집하는 행위
    (나) 블루스나핑: 취약점을 이용해 기기 내의 정보(연락처 등)를 무단으로 가져오는 공격
    (다) 블루버깅: 취약한 연결 관리를 악용해 기기를 원격 제어하거나 도청하는 공격
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

8. (가)에 들어갈 용어로 옳은 것은?

  1. ESI
  2. EAX
  3. ECX
  4. EBP
(정답률: 70%)
  • x86 32-bit 환경의 스택 영역 관리에서 EBP(Base Pointer) 레지스터는 현재 스택 프레임의 기준점을 가리키며, 이를 기준으로 지역 변수와 파라미터의 오프셋 값을 설정하여 접근합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

9. (가)에 들어갈 용어로 옳은 것은?

  1. 랜섬웨어
  2. 키로거
  3. 루트킷
(정답률: 87%)
  • 보안 관리자의 탐지를 피하며 시스템을 제어하기 위해 설치되는 악성 파일로, 공격자의 파일, 디렉터리, 프로세스를 숨기면서 합법적인 명령처럼 동작하는 도구는 루트킷입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

10. AAA에 대한 설명으로 옳지 않은 것은?

  1. Authentication은 자신의 신원을 시스템에 증명하는 과정을 의미한다.
  2. Authorization은 지문 인식 시스템에 손가락을 댈 때 지문 자체를 의미한다.
  3. Accounting은 시스템에 접근한 사용자 추적에 활용될 수 있다.
  4. Accounting은 로그인했을 때 시스템이 이에 대한 기록을 남기는 활동을 의미한다.
(정답률: 75%)
  • Authorization은 인증된 사용자가 특정 자원에 접근할 수 있는 권한을 부여하는 과정을 의미합니다.

    오답 노트

    지문 인식 시스템의 지문 자체는 신원을 증명하는 Authentication(인증) 수단에 해당합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

11. 전자메일 시스템에서 송신 부인방지 기능을 위해 적용하는 기술은?

  1. 전자 서명(digital signature)
  2. 대칭키 암호화(symmetric encryption)
  3. 앨리어스(alias)
  4. 커버로스(Kerberos)
(정답률: 88%)
  • 전자 서명(digital signature)은 송신자의 개인키로 암호화하여 메시지의 무결성을 보장하고, 송신자가 메시지를 보냈다는 사실을 증명함으로써 송신 부인을 방지합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

12. OTP기기는 다음 중 어떤 수단에 해당하는가?

  1. Something You Know
  2. Something You Have
  3. Something You Are
  4. Something You Do
(정답률: 82%)
  • OTP 기기는 사용자가 물리적으로 소유하고 있어야만 인증이 가능한 수단이므로 Something You Have에 해당합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

13. 2017년에 발표된 OWASP TOP 10의 항목 중 (가)에 해당되는 것은?

  1. Broken Access Control
  2. Broken Authentication
  3. Sensitive Data Exposure
  4. Injection
(정답률: 60%)
  • 신뢰할 수 없는 데이터가 명령어 나 쿼리문의 일부로 인터프리터에 전달되어 예기치 않은 명령을 실행하게 만드는 취약점은 Injection입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

14. 다음 설명에 따라 진행되는 공격 유형은?

  1. Stored XSS
  2. Reflected XSS
  3. Brute Force
  4. Buffer Overflow
(정답률: 59%)
  • 악의적인 스크립트가 포함된 콘텐츠를 웹 서버에 업로드하여 저장(Stored)하고, 이후 사용자가 해당 콘텐츠를 요청할 때 스크립트가 실행되게 하는 공격 방식은 Stored XSS입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

15. CSRF에 대한 설명으로 옳은 것은?

  1. 취약한 컴포넌트를 악용하여 공격하면 데이터 손실이나 서버 장악 문제가 발생할 수 있는 취약점이다.
  2. 조작된 XPath(XML Path Language) 쿼리를 보냄으로써 비정상적인 데이터를 쿼리를 이용해 가져올 수 있는 취약점이다.
  3. 적절히 보호되지 않은 쿠키를 사용하여, 쿠키 값 변조를 통한 다른 사용자로의 위장 및 권한 상승 등이 가능한 취약점이다.
  4. 로그인한 사용자 브라우저로 하여금 사용자의 세션 쿠키와 기타 인증 정보를 포함하는 위조된 HTTP 요청을 전송할 수 있는 취약점이다.
(정답률: 36%)
  • CSRF(Cross-Site Request Forgery)는 사용자가 자신의 의지와는 무관하게 공격자가 의도한 위조 요청(HTTP Request)을 서버에 전송하게 하여, 사용자의 권한으로 특정 동작을 수행하게 만드는 공격 방식입니다.

    오답 노트

    취약한 컴포넌트 악용: 구성 요소 취약점 공격입니다.
    XPath 쿼리 조작: XPath Injection 공격입니다.
    쿠키 값 변조: 쿠키 변조 또는 세션 하이재킹 관련 취약점입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

16. 다음에서 설명하는 검사 도구는?

  1. Tripwire
  2. Burp Suite
  3. Snort
  4. NESSUS
(정답률: 50%)
  • 제시된 이미지 의 설명은 파일의 해시값을 DB화하여 저장한 뒤, 변경 사항을 감지해 위변조 여부를 판별하는 무결성 검사 도구인 Tripwire에 대한 설명입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

17. robots.txt 파일에 대한 설명으로 옳은 것은?

  1. robots.txt 파일은 웹 루트 디렉터리에 위치한다.
  2. User-agent는 접근거부 디렉터리를 나타내는 키워드이다.
  3. Disallow는 검색 엔진 종류를 나타내는 키워드이다.
  4. User-agent와 Disallow는 동시에 사용할 수 없다.
(정답률: 58%)
  • robots.txt 파일은 웹 크롤러가 수집해도 되는 페이지와 수집해서는 안 되는 페이지를 지정하는 표준 파일로, 반드시 웹 서버의 루트 디렉터리에 위치해야 검색 엔진이 인식할 수 있습니다.

    오답 노트

    User-agent: 검색 엔진 종류를 지정하는 키워드입니다.
    Disallow: 접근을 거부할 디렉터리나 파일을 지정하는 키워드입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

18. 다음은 Windows 운영체제가 설치된 시스템에서 SID를 출력한 결과이다. (가), (나)에 대한 설명으로 옳지 않은 것은?

  1. (가)는 시스템 부팅 시마다 새롭게 부여되는 시스템 ID이다.
  2. (나)는 RID를 나타내며, 500의 경우 Administrator임을 의미한다.
  3. (나)는 RID를 나타내며, 501의 경우 Guest임을 의미한다.
  4. (나)는 RID를 나타내며, 일반 사용자에게는 1,000 이상의 숫자가 부여된다.
(정답률: 31%)
  • Windows의 SID(Security Identifier) 구조에서 (가)는 해당 시스템이나 도메인을 식별하는 고유 값이며, (나)는 상대 식별자인 RID(Relative Identifier)를 의미합니다.

    오답 노트

    (가)는 시스템 부팅 시마다 변경되는 것이 아니라, 시스템 설치 시 생성되어 고정되는 고유 ID입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

19. 디지털 포렌식의 절차에서 사전준비 이후 단계를 순서대로 바르게 나열한 것은?

  1. (가)→(나)→(다)→(라)
  2. (가)→(나)→(라)→(다)
  3. (나)→(가)→(다)→(라)
  4. (나)→(라)→(가)→(다)
(정답률: 93%)
  • 디지털 포렌식의 표준 절차는 증거의 무결성을 유지하며 분석하는 과정입니다. 사전준비 이후의 올바른 순서는 증거 수집 $\rightarrow$ 보관 및 이송 $\rightarrow$ 증거 분석 및 조사 $\rightarrow$ 보고서 작성 순으로 진행됩니다. 따라서 (가)증거 수집 $\rightarrow$ (나)보관 및 이송 $\rightarrow$ (라)증거 분석 및 조사 $\rightarrow$ (다)보고서 작성 순이 정답입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

20. (가), (나)에 들어갈 용어를 바르게 연결한 것은?

(정답률: 42%)
  • CVE(Common Vulnerabilities and Exposures) 식별자는 표준화된 명명 규칙을 따르며, CVE-연도-일련번호 형식으로 구성됩니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

< 이전회차목록 다음회차 >