9급 국가직 공무원 정보시스템보안 필기 기출문제복원 (2024-03-23)

9급 국가직 공무원 정보시스템보안 2024-03-23 필기 기출문제 해설

이 페이지는 9급 국가직 공무원 정보시스템보안 2024-03-23 기출문제를 CBT 방식으로 풀이하고 정답 및 회원들의 상세 해설을 확인할 수 있는 페이지입니다.

9급 국가직 공무원 정보시스템보안
(2024-03-23 기출문제)

목록

1과목: 과목 구분 없음

1. 유닉스 파일 시스템의 i-node 정보에 해당하지 않는 것은?

  1. 소유그룹
  2. 파일 타입
  3. 파일명
  4. 접근권한
(정답률: 48%)
  • i-node는 파일의 메타데이터를 저장하는 구조체로, 파일의 크기, 소유자, 소유그룹, 접근권한, 파일 타입, 생성/수정 시간 등의 정보를 담고 있습니다. 하지만 파일명은 i-node가 아닌 디렉터리 엔트리(Directory Entry)에 저장되어 관리됩니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

2. PGP의 인증에 대한 설명으로 옳지 않은 것은?

  1. 송신자는 일방향 해시함수를 사용하여 송신 메시지의 해시 코드를 생성한다.
  2. 송신자가 생성한 해시 코드는 송신자의 개인키를 사용하여 암호화되며, 그 결괏값이 메시지에 포함된다.
  3. 수신자는 수신한 메시지를 송신자의 공개키로 복호화하고 해시 코드를 알아낸다.
  4. 디지털 서명을 생성하는 데 DSS를 사용하는 것은 허용하지 않는다.
(정답률: 67%)
  • PGP(Pretty Good Privacy)는 디지털 서명을 위해 DSS(Digital Signature Standard)를 사용하는 것을 허용합니다.

    오답 노트

    송신자의 개인키로 해시 코드를 암호화하고 수신자가 송신자의 공개키로 복호화하는 과정은 디지털 서명의 표준 절차입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

3. 사용자 및 그룹 계정 정보에 대한 데이터베이스를 관리하는 윈도 인증 구성 요소는?

  1. LSA
  2. SAM
  3. SRM
  4. SID
(정답률: 75%)
  • 윈도우 시스템에서 사용자 계정, 그룹 정보 및 패스워드 해시를 저장하는 데이터베이스 구성 요소는 SAM(Security Accounts Manager)입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

4. 다음에서 설명하는 웹 취약점은?

  1. SQL Injection
  2. 디렉터리 인덱싱
  3. 운영체제 명령어 실행
  4. XSS(Cross Site Scripting)
(정답률: 77%)
  • 웹 서버 설정 오류로 인해 디렉터리 내의 파일 목록이 브라우저에 그대로 노출되는 취약점을 설명하고 있습니다.
    정상적인 URL 경로에서 파일명을 제외하고 디렉터리까지만 입력하여 접근했을 때 파일 리스트가 보이는 현상은 디렉터리 인덱싱에 해당합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

5. 다음 리눅스 시스템 사용자 패스워드 저장 과정의 (가)~(다)에 들어갈 내용을 바르게 연결한 것은?

(정답률: 67%)
  • 리눅스 시스템의 패스워드 저장 메커니즘을 묻는 문제입니다.
    사용자 패스워드에 무작위 문자열인 Salt를 추가하여 해시 함수(SHA256 등)로 암호화한 뒤, 보안을 위해 /etc/shadow 파일에 저장합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

6. x86 32bit 계열 CPU의 레지스터에 대한 설명으로 옳지 않은 것은?

  1. EDI는 목적지 주소 값을 저장한다.
  2. ECX는 반복적으로 실행되는 특정 명령에 사용된다.
  3. CS는 프로그램에서 정의된 데이터, 상수, 작업 영역의 메모리 주소를 저장한다.
  4. EFLAGS는 연산 결과 및 시스템의 상태와 관련된 여러 가지 플래그 값을 저장한다.
(정답률: 53%)
  • CS(Code Segment) 레지스터는 실행할 프로그램의 '코드'가 저장된 세그먼트의 시작 주소를 저장합니다.

    오답 노트

    데이터, 상수, 작업 영역의 주소를 저장하는 레지스터는 DS(Data Segment)입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

7. 다음에서 설명하는 공격에 대한 대응 방법으로 옳지 않은 것은?

  1. 업로드 파일에 대한 실행 금지
  2. 업로드 파일에 대한 위치 격리
  3. 업로드 가능한 파일 형식 제한
  4. 업로드 파일명에 대한 필터링 설정
(정답률: 42%)

  • 제시된 내용은 웹 쉘(Web Shell) 공격에 대한 설명입니다. 웹 쉘은 파일의 이름보다는 파일의 '내용'과 '실행 권한'이 핵심이므로, 단순한 파일명 필터링 설정은 근본적인 대응 방법으로 옳지 않습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

8. 참조 모니터(Reference Monitor)에 대한 설명으로 옳지 않은 것은?

  1. 모든 주체 간 상호 접근통제를 담당하는 추상적인 기계이다.
  2. 참조 모니터 데이터베이스를 참조하여 접근통제를 수행한다.
  3. 모든 접근 시도에 대해 시행되어야 하고 회피하는 것이 불가능해야 한다.
  4. 보안 매개변수 설정 등과 같은 다른 보안 메커니즘과 데이터를 교환하면서 상호 작용을 한다.
(정답률: 24%)
  • 참조 모니터는 주체와 객체 사이의 접근 통제를 담당하는 추상적인 기계이며, 모든 주체 간의 상호 접근이 아니라 '주체와 객체' 간의 접근을 통제하는 것이 핵심입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

9. (가)에 들어갈 리눅스 메일 시스템의 구성 요소는?

  1. MTA(Message Transfer Agent)
  2. MDA(Mail Delivery Agent)
  3. MUA(Mail User Agent)
  4. MRA(Mail Relay Agent)
(정답률: 42%)

  • 메일 클라이언트(MUA)로부터 메일을 전달받거나, 다른 서버로 메일을 중계할 때 SMTP 프로토콜을 사용하는 구성 요소는 MTA(Message Transfer Agent)입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

10. 보안 취약점으로 인해 실제 발생한 취약점의 등급을 매기는 공개 프레임워크는?

  1. CVE
  2. CVSS
  3. CWE
  4. NVD
(정답률: 34%)
  • CVSS(Common Vulnerability Scoring System)는 취약점의 심각도를 정량적으로 평가하여 등급을 매기는 표준 프레임워크입니다.

    오답 노트

    CVE: 취약점에 부여하는 고유 식별자
    CWE: 소프트웨어 약점의 유형을 분류한 목록
    NVD: CVE를 기반으로 분석 정보를 제공하는 데이터베이스
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

11. (가), (나)에 들어갈 용어를 바르게 연결한 것은?

(정답률: 50%)

  • (가)는 함수 호출 시 리턴 주소 앞에 특정 값(Canary)을 삽입하여 스택 오버플로를 탐지하는 스택 가드(Stack Guard)에 대한 설명이며, (나)는 데이터 형태에 대한 불명확한 정의를 이용해 메모리 내용을 유출하거나 조작하는 포맷 스트링(Format String) 공격에 대한 설명입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

12. 다음에서 설명하는 인증 방법은?

  1. Kerberos
  2. OAuth
  3. SSO
  4. DIAMETER
(정답률: 50%)

  • 구글, 네이버, 페이스북 등 신뢰할 수 있는 제3자 서비스의 인증 정보를 이용하여 다른 서비스에 로그인할 수 있도록 토큰을 제공하는 표준 프로토콜은 OAuth입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

13. 클라우드 서비스 및 보안에 대한 설명으로 옳지 않은 것은?

  1. 클라우드 환경에서의 서비스 모델은 IaaS, PaaS, SaaS로 구분할 수 있다.
  2. 한국인터넷진흥원(KISA)에서는 클라우드 서비스의 보안성 강화를 위해 '클라우드 서비스 보안인증'을 시행하고 있다.
  3. 대부분의 취약점은 전통적인 IT 환경의 보안 취약점과 유사하여 기존의 보안시스템을 최대한 활용하여 방어하는 것만으로도 충분하다.
  4. CSA(Cloud Security Alliance)에서는 심각한 클라우드 보안 위협에 대해 공유하고 있다.
(정답률: 67%)
  • 클라우드 환경은 가상화 및 공유 자원이라는 특성 때문에 전통적인 IT 환경과는 다른 새로운 보안 위협이 존재합니다. 따라서 기존 보안 시스템만으로는 부족하며, 클라우드 특화 보안 전략과 도구가 반드시 병행되어야 합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

14. 신뢰 플랫폼 모듈(Trusted Platform Module)의 구성 요소로 옳지 않은 것은?

  1. 난수 발생기
  2. 암복호화 엔진
  3. RSA 키 발생기
  4. MD5 해시값 생성기
(정답률: 37%)
  • TPM은 하드웨어 기반의 보안 모듈로, 난수 발생기, 암복호화 엔진, RSA 키 발생기 등을 포함하여 플랫폼의 무결성을 보장합니다. MD5 해시값 생성기는 TPM의 핵심 구성 요소가 아니며, 일반적으로 더 안전한 SHA 계열의 해시 알고리즘이 사용됩니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

15. syslogd 데몬에서 사용하는 다음 메시지 중 우선순위가 가장 높은 것은?

  1. alert
  2. crit
  3. err
  4. debug
(정답률: 24%)
  • syslogd의 메시지 우선순위(Severity)는 숫자가 낮을수록(단계가 높을수록) 긴급한 상황을 의미하며, 제시된 보기 중 alert가 가장 높은 우선순위를 가집니다.

    오답 노트

    우선순위 순서: emergency $\rightarrow$ alert $\rightarrow$ crit $\rightarrow$ err $\rightarrow$ warning $\rightarrow$ notice $\rightarrow$ info $\rightarrow$ debug
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

16. 웹 취약점에 대한 설명으로 옳지 않은 것은?

  1. 입력 값에 대한 특수문자 검증을 통해 XSS 공격에 대응할 수 있다.
  2. 리버스 텔넷은 방화벽의 아웃바운드 정책에서 별다른 필터링을 수행하지 않는 허점을 이용한다.
  3. 취약점이 있는 컴포넌트, 라이브러리, 프레임워크 및 다른 소프트웨어 모듈이 악용되는 경우 데이터에 손실을 발생시킬 수 있다.
  4. CSRF는 사용자의 브라우저로 전달되는 데이터에 악성코드가 포함되어 브라우저에서 실행되면서 공격하는 기법이다.
(정답률: 56%)
  • 사용자의 브라우저로 전달되는 데이터에 악성코드가 포함되어 실행되는 기법은 CSRF가 아니라 XSS(Cross-Site Scripting)에 대한 설명입니다. CSRF는 사용자가 자신의 의지와 무관하게 공격자가 의도한 요청(Request)을 서버에 보내게 만드는 공격입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

17. 리눅스 bash shell의 환경 변수에 대한 설명으로 옳은 것은?

  1. TERM은 접속 호스트 이름을 나타낸다.
  2. SHELL은 서브 셸을 사용할 때 서브 셸을 의미한다.
  3. PATH는 명령을 탐색할 경로를 의미한다.
  4. PWD는 현재 사용 중인 패스워드의 위치를 나타낸다.
(정답률: 39%)
  • PATH 변수는 사용자가 명령어를 입력했을 때, 실행 파일을 찾기 위해 시스템이 순차적으로 탐색하는 디렉터리 경로들의 목록을 저장합니다.

    오답 노트

    TERM: 터미널의 종류를 지정함
    SHELL: 현재 사용 중인 셸의 경로를 나타냄
    PWD: 현재 작업 중인 디렉터리의 절대 경로를 나타냄
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

18. 다음에서 설명하는 공격을 수행할 수 있는 도구로 옳지 않은 것은?

  1. Netbus
  2. Schoolbus
  3. Nessus
  4. Back Orifice
(정답률: 17%)
  • 제시된 이미지 의 설명은 관리자 인증 없이 시스템에 접근하여 원격 제어하는 '백도어(Backdoor)' 프로그램에 대한 설명입니다.

    오답 노트

    Nessus: 취약점 분석 및 스캐닝 도구로, 시스템의 약점을 찾는 도구이지 원격 제어 백도어가 아닙니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

19. 윈도 운영체제의 감사 정책에 대한 설명으로 옳지 않은 것은?

  1. 권한 사용은 관리자 권한이 필요한 작업을 수행할 때 감사한다.
  2. 계정 로그온 이벤트는 로컬 계정에 접근할 때 생성되는 이벤트를 감사한다.
  3. 개체 액세스는 파일, 디렉터리, 레지스트리 키, 프린터와 같은 개체에 접근 시도나 속성 변경 등을 감사한다.
  4. 계정 관리는 신규 사용자 및 그룹 추가, 기존 사용자 그룹 변경, 사용자 활성화 및 비활성화, 계정 패스워드 변경 등을 감사한다.
(정답률: 25%)
  • 계정 로그온 이벤트는 로컬 계정뿐만 아니라 네트워크를 통한 원격 로그온, 도메인 로그온 등 시스템에 접속하는 모든 로그온 시도를 감사하는 정책입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

20. 안티 리버싱 기법으로 프로그램의 실행 코드나 데이터를 압축 및 암호화하여 저장하는 기술은?

  1. 패킹
  2. 디컴파일
  3. 시큐어 코딩
  4. 안티 디버깅
(정답률: 63%)
  • 안티 리버싱 기법 중 하나로, 실행 파일의 코드나 데이터를 압축 또는 암호화하여 분석을 어렵게 만드는 기술을 패킹이라고 합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

< 이전회차목록 다음회차 >