9급 지방직 공무원 정보보호론 필기 기출문제복원 (2015-06-27)

9급 지방직 공무원 정보보호론 2015-06-27 필기 기출문제 해설

이 페이지는 9급 지방직 공무원 정보보호론 2015-06-27 기출문제를 CBT 방식으로 풀이하고 정답 및 회원들의 상세 해설을 확인할 수 있는 페이지입니다.

9급 지방직 공무원 정보보호론
(2015-06-27 기출문제)

목록

1과목: 과목 구분 없음

1. 인터넷 보안 프로토콜에 해당하지 않는 것은?

  1. SSL
  2. HTTPS
  3. S/MIME
  4. TCSEC
(정답률: 88%)
  • TCSEC는 미국 국방부에서 제정한 정보보안 인증 체계로, 보안 프로토콜이 아닌 보안 평가 기준입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

2. 데이터 소유자가 다른 사용자의 식별자에 기초하여 자신의 의지대로 데이터에 대한 접근 권한을 부여하는 것은?

  1. 강제적 접근 제어(MAC)
  2. 임의적 접근 제어(DAC)
  3. 규칙 기반 접근 제어(Rule-based AC)
  4. 역할 기반 접근 제어(RBAC)
(정답률: 87%)
  • 데이터의 소유자가 자신의 판단에 따라 다른 사용자에게 접근 권한을 부여하는 방식은 임의적 접근 제어(DAC)의 핵심 특징입니다.

    오답 노트
    강제적 접근 제어(MAC): 관리자가 설정한 보안 등급에 따라 접근을 제어함
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

3. 생체 인증 기법에 대한 설명으로 옳지 않은 것은?

  1. 정적인 신체적 특성 또는 동적인 행위적 특성을 이용할 수 있다.
  2. 인증 정보를 망각하거나 분실할 우려가 거의 없다.
  3. 지식 기반이나 소유 기반의 인증 기법에 비해 일반적으로 인식 오류 발생 가능성이 매우 낮다.
  4. 인증 시스템 구축 비용이 비교적 많이 든다.
(정답률: 93%)
  • 생체 인증은 신체적/행위적 특성을 이용하므로 분실 우려가 없고 구축 비용이 높지만, 지식 기반(비밀번호)이나 소유 기반(OTP) 인증과 달리 인식 오류(오인식 및 미인식)가 발생할 가능성이 상대적으로 높습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

4. 시스템 침투를 위한 일반적인 해킹 과정 중 마지막 순서에 해당하는 것은?

  1. 공격
  2. 로그 기록 등의 흔적 삭제
  3. 취약점 분석
  4. 정보 수집
(정답률: 96%)
  • 일반적인 해킹 과정은 정보 수집 $\rightarrow$ 취약점 분석 $\rightarrow$ 공격 $\rightarrow$ 흔적 삭제 순으로 진행됩니다. 따라서 마지막 단계는 로그 기록 등의 흔적 삭제입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

5. 공개키를 사용하는 전자 서명에 대한 설명으로 옳지 않은 것은?

  1. 송신자는 자신의 개인키로 서명하고 수신자는 송신자의 공개키로 서명을 검증한다.
  2. 메시지의 무결성과 기밀성을 보장한다.
  3. 신뢰할 수 있는 제3자를 이용하면 부인봉쇄를 할 수 있다.
  4. 메시지로부터 얻은 일정 크기의 해시 값을 서명에 이용할 수 있다.
(정답률: 67%)
  • 전자 서명은 송신자의 개인키로 서명하고 수신자가 송신자의 공개키로 검증하여 메시지의 무결성과 송신처 확인, 부인 방지를 보장하지만, 메시지 자체를 암호화하는 것이 아니므로 기밀성은 보장하지 않습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

6. 침입탐지시스템(IDS)의 탐지 기법 중 하나인 비정상행위(anomaly) 탐지 기법의 설명으로 옳지 않은 것은?

  1. 이전에 알려지지 않은 방식의 공격도 탐지가 가능하다.
  2. 통계적 분석 방법, 예측 가능한 패턴 생성 방법, 신경망 모델을 이용하는 방법 등이 있다.
  3. 새로운 공격 유형이 발견될 때마다 지속적으로 해당 시그니처(signature)를 갱신해 주어야 한다.
  4. 정상행위를 가려내기 위한 명확한 기준을 설정하기 어렵다.
(정답률: 68%)
  • 비정상행위 탐지 기법은 정상적인 상태의 프로파일을 생성하고 여기서 벗어나는 행위를 탐지하므로, 알려지지 않은 새로운 공격도 찾아낼 수 있습니다. 반면, 시그니처를 지속적으로 갱신해야 하는 것은 이미 알려진 공격 패턴을 데이터베이스화하여 비교하는 오용 탐지 기법의 특징입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

7. 보안 해시 함수가 가져야 하는 성질 중 하나인 강한 충돌 저항성(strong collision resistance)에 대한 설명으로 옳은 것은?

  1. 주어진 해시 값에 대해, 그 해시 값을 생성하는 입력 값을 찾는 것이 어렵다.
  2. 주어진 입력 값과 그 입력 값에 해당하는 해시 값에 대해, 동일한 해시 값을 생성하는 다른 입력 값을 찾는 것이 어렵다.
  3. 같은 해시 값을 생성하는 임의의 서로 다른 두 개의 입력 값을 찾는 것이 어렵다.
  4. 해시 함수의 출력은 의사 난수이어야 한다.
(정답률: 68%)
  • 강한 충돌 저항성은 입력값의 지정 여부와 상관없이, 동일한 해시 값을 가지는 서로 다른 임의의 두 입력값 쌍을 찾아내는 것이 계산적으로 불가능해야 함을 의미합니다.

    오답 노트
    주어진 해시 값에서 입력 값을 찾는 것: 일방향성
    주어진 입력 값과 동일한 해시 값을 갖는 다른 입력 값을 찾는 것: 약한 충돌 저항성
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

8. 「전자서명법」상 공인인증기관이 발급하는 공인인증서에 포함되어야 하는 사항이 아닌 것은?(관련 규정 개정전 문제로 여기서는 기존 정답인 2번을 누르면 정답 처리됩니다. 자세한 내용은 해설을 참고하세요.)

  1. 가입자의 전자서명검증정보
  2. 공인인증기관의 전자서명생성정보
  3. 공인인증서의 유효기간
  4. 공인인증기관의 명칭 등 공인인증기관임을 확인할 수 있는 정보
(정답률: 72%)
  • 전자서명법상 공인인증서에는 가입자의 검증정보, 유효기간, 인증기관의 명칭 등 검증을 위한 정보가 포함되어야 합니다. 하지만 공인인증기관의 전자서명생성정보(개인키)는 외부로 유출되어서는 안 되는 절대 비밀 정보이므로 인증서에 포함되지 않습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

9. 사용자 A와 B가 Diffie-Hellman 키 교환 알고리즘을 이용하여 비밀키를 공유하고자 한다. A는 3을, B는 2를 각각의 개인키로 선택하고, A는 B에게 21(=73 mod 23)을, B는 A에게 3(=72 mod 23)을 전송한다면, A와 B가 공유하게 되는 비밀키 값은? (단, 소수 23과 그 소수의 원시근 7을 사용한다)

  1. 4
  2. 5
  3. 6
  4. 7
(정답률: 63%)
  • Diffie-Hellman 키 교환은 공개된 값과 개인키를 이용해 동일한 비밀키를 생성하는 원리를 사용합니다. A는 B로부터 받은 값에 자신의 개인키를 거듭제곱하고, B는 A로부터 받은 값에 자신의 개인키를 거듭제곱하여 동일한 값을 도출합니다.
    ① [기본 공식]
    $$K = (g^{a} \pmod{p})^{b} \pmod{p} = (g^{b} \pmod{p})^{a} \pmod{p}$$
    ② [숫자 대입]
    $$K = 3^{3} \pmod{23} = 27 \pmod{23}$$
    ③ [최종 결과]
    $$K = 4$$
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

10. ISO 27001의 ISMS(Information Security Management System) 요구사항에 대한 내용으로 옳지 않은 것은?

  1. 자산 관리:정보 보호 관련 사건 및 취약점에 대한 대응
  2. 보안 정책:보안 정책, 지침, 절차의 문서화
  3. 인력 자원 보안:인력의 고용 전, 고용 중, 고용 만료 후 단계별 보안의 중요성 강조
  4. 준거성:조직이 준수해야 할 정보 보호의 법적 요소
(정답률: 70%)
  • ISO 27001의 자산 관리는 조직의 정보 자산을 식별하고 가치를 평가하며 소유자를 지정하는 활동을 의미합니다. 정보 보호 관련 사건 및 취약점에 대한 대응은 '정보 보안 사고 관리' 영역에 해당합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

11. 서비스 거부 공격 방법이 아닌 것은?

  1. ARP spoofing
  2. Smurf
  3. SYN flooding
  4. UDP flooding
(정답률: 75%)
  • 서비스 거부(DoS) 공격은 시스템 자원을 고갈시켜 정상적인 서비스를 불가능하게 만드는 공격입니다. Smurf, SYN flooding, UDP flooding은 모두 가용성을 해치는 DoS 공격의 대표적 사례입니다.

    오답 노트
    ARP spoofing: MAC 주소를 속여 패킷을 가로채는 스니핑/중간자 공격의 일종입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

12. MS 오피스와 같은 응용 프로그램의 문서 파일에 삽입되어 스크립트 형태의 실행 환경을 악용하는 악성 코드는?

  1. 애드웨어
  2. 트로이 목마
  3. 백도어
  4. 매크로 바이러스
(정답률: 80%)
  • MS 오피스 등 응용 프로그램에서 반복적인 작업을 자동화하는 매크로 기능을 악용하여, 문서 파일 내에 스크립트 형태의 악성 코드를 삽입해 실행시키는 것을 매크로 바이러스라고 합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

13. 데이터베이스 보안의 요구사항이 아닌 것은?

  1. 데이터 무결성 보장
  2. 기밀 데이터 관리 및 보호
  3. 추론 보장
  4. 사용자 인증
(정답률: 94%)
  • 데이터베이스 보안은 데이터의 무결성 보장, 기밀성 유지, 적절한 사용자 인증을 통해 데이터를 보호하는 것이 목적입니다. 추론은 공격자가 공개된 정보를 통해 기밀 정보를 알아내는 '추론 공격'의 수단이 되므로, 이를 보장하는 것이 아니라 오히려 방지해야 합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

14. OSI 참조 모델의 제7계층의 트래픽을 감시하여 안전한 데이터만을 네트워크 중간에서 릴레이하는 유형의 방화벽은?

  1. 패킷 필터링(packet filtering) 방화벽
  2. 응용 계층 게이트웨이(application level gateway)
  3. 스테이트풀 인스펙션(stateful inspection) 방화벽
  4. 서킷 레벨 게이트웨이(circuit level gateway)
(정답률: 81%)
  • OSI 7계층 중 최상위 계층인 응용 계층에서 트래픽을 감시하고, 특정 서비스(HTTP, FTP 등)의 프로토콜을 분석하여 안전한 데이터만 릴레이하는 방식은 응용 계층 게이트웨이입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

15. IPSec에 대한 설명으로 옳지 않은 것은?

  1. 네트워크 계층에서 패킷에 대한 보안을 제공하기 위한 프로토콜이다.
  2. 인터넷을 통해 지점들을 안전하게 연결하는 데 이용될 수 있다.
  3. 전송 모드와 터널 모드를 지원한다.
  4. AH(Authentication Header)는 인증 부분과 암호화 부분 모두를 포함한다.
(정답률: 85%)
  • IPSec의 AH(Authentication Header) 프로토콜은 데이터의 무결성과 인증만을 제공하며, 데이터 자체를 암호화하는 기능은 제공하지 않습니다. 암호화 기능은 ESP(Encapsulating Security Payload) 프로토콜이 담당합니다.

    오답 노트
    AH: 인증 및 무결성만 제공
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

16. 커버로스(Kerberos)에 대한 설명으로 옳지 않은 것은?

  1. 네트워크 기반 인증 시스템으로 공개키 기반구조를 이용하여 사용자 인증을 수행한다.
  2. 인증 서버는 사용자를 인증하며 TGS(Ticket Granting Server)를 이용하기 위한 티켓을 제공한다.
  3. TGS는 클라이언트가 서버로부터 서비스를 받을 수 있도록 티켓을 발급한다.
  4. 인증 서버나 TGS로부터 받은 티켓은 클라이언트가 그 내용을 볼 수 없도록 암호화되어 있다.
(정답률: 74%)
  • 커버로스(Kerberos)는 티켓 기반의 인증 시스템으로, 공개키 기반구조(PKI)가 아닌 대칭키 암호화 방식을 사용하여 사용자 인증을 수행하는 것이 핵심 특징입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

17. 사용자 패스워드의 보안을 강화하기 위한 솔트(salt)에 대한 설명으로 옳지 않은 것은?

  1. 여러 사용자에 의해 중복 사용된 동일한 패스워드가 서로 다르게 저장되도록 한다.
  2. 해시 연산 비용이 증가되어 오프라인 사전적 공격을 어렵게 한다.
  3. 한 사용자가 동일한 패스워드를 두 개 이상의 시스템에 사용해도 그 사실을 알기 어렵게 한다.
  4. 솔트 값은 보안 강화를 위하여 암호화된 상태로 패스워드 파일에 저장되어야 한다.
(정답률: 70%)
  • 솔트(salt)는 동일한 패스워드라도 사용자마다 서로 다른 해시값이 생성되도록 추가하는 랜덤한 값입니다. 솔트는 암호화하여 저장하는 것이 아니라, 해시 함수에 입력값으로 사용된 후 평문 상태로 패스워드 파일에 저장되어 나중에 검증 시 다시 사용됩니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

18. 스택 버퍼 오버플로(overflow) 공격에 대응하기 위한 방어 수단에 해당하지 않는 것은?

  1. 문자열 조작 루틴과 같은 불안전한 표준 라이브러리 루틴을 안전한 것으로 교체한다.
  2. 함수의 진입과 종료 코드를 조사하고 함수의 스택 프레임에 손상이 있는지를 검사한다.
  3. 한 사용자가 프로그램에 제공한 입력이 다른 사용자에게 출력될 수 있도록 한다.
  4. 매 실행 시마다 각 프로세스 안의 스택이 다른 곳에 위치하도록 한다.
(정답률: 92%)
  • 스택 버퍼 오버플로 공격은 입력값의 길이를 검증하지 않아 스택의 복귀 주소를 조작하는 공격입니다. 이를 막기 위해 안전한 라이브러리 사용, 스택 프레임 검사(Stack Guard), 스택 위치를 랜덤하게 배치하는 ASLR 등의 기법을 사용합니다. 반면, 한 사용자의 입력이 다른 사용자에게 출력되게 하는 것은 오히려 XSS(Cross-Site Scripting)와 같은 취약점을 유발하는 행위입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

19. 디지털 증거의 법적 효력을 인정받기 위해 포렌식 과정에서 지켜야 하는 원칙이 아닌 것은?

  1. 정당성의 원칙
  2. 무결성의 원칙
  3. 재현의 원칙
  4. 연계추적불가능의 원칙
(정답률: 90%)
  • 디지털 증거가 법적 효력을 갖기 위해서는 정당한 절차를 거친 정당성의 원칙, 데이터가 변조되지 않았음을 증명하는 무결성의 원칙, 동일한 조건에서 동일한 결과가 나오는 재현의 원칙, 그리고 증거 수집부터 제출까지의 경로를 증명하는 연계추적성(Chain of Custody)의 원칙이 준수되어야 합니다. 따라서 연계추적불가능의 원칙은 잘못된 설명입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

20. 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」에서 규정하고 있는 내용이 아닌 것은?

  1. 주요정보통신기반시설의 보호체계
  2. 정보통신망에서의 이용자 보호 등
  3. 정보통신망의 안정성 확보 등
  4. 개인정보의 보호
(정답률: 48%)
  • 정보통신망 이용촉진 및 정보보호 등에 관한 법률은 이용자 보호, 망의 안정성 확보, 개인정보 보호 등을 규정합니다.

    오답 노트
    주요정보통신기반시설의 보호체계: 정보통신기반 보호법에서 규정함
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

< 이전회차목록 다음회차 >