9급 지방직 공무원 정보보호론 필기 기출문제복원 (2015-06-27)

9급 지방직 공무원 정보보호론
(2015-06-27 기출문제)

목록

1. 인터넷 보안 프로토콜에 해당하지 않는 것은?

  1. SSL
  2. HTTPS
  3. S/MIME
  4. TCSEC
(정답률: 82%)
  • SSL, HTTPS, S/MIME은 모두 인터넷 보안 프로토콜에 해당하는 기술이지만, TCSEC은 Trusted Computer System Evaluation Criteria의 약자로, 보안 평가 기준을 나타내는 것으로 프로토콜이 아닙니다. 따라서 TCSEC은 인터넷 보안 프로토콜에 해당하지 않습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

2. 데이터 소유자가 다른 사용자의 식별자에 기초하여 자신의 의지대로 데이터에 대한 접근 권한을 부여하는 것은?

  1. 강제적 접근 제어(MAC)
  2. 임의적 접근 제어(DAC)
  3. 규칙 기반 접근 제어(Rule-based AC)
  4. 역할 기반 접근 제어(RBAC)
(정답률: 83%)
  • 임의적 접근 제어(DAC)는 데이터 소유자가 다른 사용자의 식별자에 기초하여 자신의 의지대로 데이터에 대한 접근 권한을 부여하는 방식입니다. 다른 접근 제어 방식들은 보안 정책이나 규칙에 따라 접근 권한을 부여하는 반면, DAC는 데이터 소유자가 자유롭게 권한을 부여할 수 있습니다. 따라서 DAC는 보안성이 낮은 경향이 있습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

3. 생체 인증 기법에 대한 설명으로 옳지 않은 것은?

  1. 정적인 신체적 특성 또는 동적인 행위적 특성을 이용할 수 있다.
  2. 인증 정보를 망각하거나 분실할 우려가 거의 없다.
  3. 지식 기반이나 소유 기반의 인증 기법에 비해 일반적으로 인식 오류 발생 가능성이 매우 낮다.
  4. 인증 시스템 구축 비용이 비교적 많이 든다.
(정답률: 94%)
  • "인증 시스템 구축 비용이 비교적 많이 든다."는 생체 인증 기법에 대한 설명으로 옳지 않은 것이다.

    생체 인증 기법은 인증 정보를 기억하거나 분실할 필요가 없으며, 일반적으로 인식 오류 발생 가능성이 매우 낮기 때문에 보안성이 높다는 장점이 있다. 그러나 생체 인증 기술을 도입하려면 고가의 장비나 기술적인 전문 지식이 필요하기 때문에 인증 시스템 구축 비용이 비교적 많이 들 수 있다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

4. 시스템 침투를 위한 일반적인 해킹 과정 중 마지막 순서에 해당하는 것은?

  1. 공격
  2. 로그 기록 등의 흔적 삭제
  3. 취약점 분석
  4. 정보 수집
(정답률: 94%)
  • 로그 기록 등의 흔적 삭제는 해커가 시스템에 침투하여 공격을 수행한 후, 자신의 행적을 감추기 위해 마지막으로 수행하는 작업이다. 이를 통해 시스템 관리자나 보안 담당자가 공격을 감지하거나 추적하는 것을 어렵게 만들어, 해커의 신원을 파악하는 것을 어렵게 한다. 따라서, 로그 기록 등의 흔적 삭제는 해킹 과정에서 중요한 단계 중 하나이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

5. 공개키를 사용하는 전자 서명에 대한 설명으로 옳지 않은 것은?

  1. 송신자는 자신의 개인키로 서명하고 수신자는 송신자의 공개키로 서명을 검증한다.
  2. 메시지의 무결성과 기밀성을 보장한다.
  3. 신뢰할 수 있는 제3자를 이용하면 부인봉쇄를 할 수 있다.
  4. 메시지로부터 얻은 일정 크기의 해시 값을 서명에 이용할 수 있다.
(정답률: 60%)
  • 공개키를 사용하는 전자 서명은 메시지의 무결성을 보장하고, 송신자의 신원을 확인할 수 있으며, 부인봉쇄를 방지할 수 있다는 장점이 있지만, 기밀성을 보장하지는 않는다. 따라서 "메시지의 무결성과 기밀성을 보장한다."는 옳지 않은 설명이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

6. 침입탐지시스템(IDS)의 탐지 기법 중 하나인 비정상행위(anomaly) 탐지 기법의 설명으로 옳지 않은 것은?

  1. 이전에 알려지지 않은 방식의 공격도 탐지가 가능하다.
  2. 통계적 분석 방법, 예측 가능한 패턴 생성 방법, 신경망 모델을 이용하는 방법 등이 있다.
  3. 새로운 공격 유형이 발견될 때마다 지속적으로 해당 시그니처(signature)를 갱신해 주어야 한다.
  4. 정상행위를 가려내기 위한 명확한 기준을 설정하기 어렵다.
(정답률: 63%)
  • "새로운 공격 유형이 발견될 때마다 지속적으로 해당 시그니처(signature)를 갱신해 주어야 한다."가 옳지 않은 설명이다. 이는 시그니처 기반 탐지 기법에서 해당되는 내용이며, 비정상행위 탐지 기법에서는 시그니처를 사용하지 않기 때문이다.

    시그니처 기반 탐지 기법에서는 미리 정의된 패턴(시그니처)을 사용하여 공격을 탐지하는 방법이다. 따라서 새로운 공격 유형이 발견될 때마다 해당 시그니처를 갱신해 주어야 한다.

    반면에 비정상행위 탐지 기법은 정상적인 네트워크 트래픽의 패턴을 학습하여 이를 기반으로 비정상적인 행위를 탐지하는 방법이다. 따라서 시그니처를 사용하지 않으며, 새로운 공격 유형이 발견되더라도 해당 시그니처를 갱신할 필요가 없다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

7. 보안 해시 함수가 가져야 하는 성질 중 하나인 강한 충돌 저항성(strong collision resistance)에 대한 설명으로 옳은 것은?

  1. 주어진 해시 값에 대해, 그 해시 값을 생성하는 입력 값을 찾는 것이 어렵다.
  2. 주어진 입력 값과 그 입력 값에 해당하는 해시 값에 대해, 동일한 해시 값을 생성하는 다른 입력 값을 찾는 것이 어렵다.
  3. 같은 해시 값을 생성하는 임의의 서로 다른 두 개의 입력 값을 찾는 것이 어렵다.
  4. 해시 함수의 출력은 의사 난수이어야 한다.
(정답률: 73%)
  • 강한 충돌 저항성은 같은 해시 값을 생성하는 임의의 서로 다른 두 개의 입력 값을 찾는 것이 어렵다는 성질입니다. 이는 해시 함수의 안전성을 보장하기 위해 중요한 성질 중 하나입니다. 이를 간단하게 설명하면, 어떤 입력 값이 주어졌을 때 그 입력 값에 해당하는 해시 값이 이미 존재한다면, 그 해시 값을 생성하는 다른 입력 값을 찾는 것이 어렵다는 것입니다. 이는 보안성을 강화하는 데 중요한 역할을 합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

8. 「전자서명법」상 공인인증기관이 발급하는 공인인증서에 포함되어야 하는 사항이 아닌 것은?

  1. 가입자의 전자서명검증정보
  2. 공인인증기관의 전자서명생성정보
  3. 공인인증서의 유효기간
  4. 공인인증기관의 명칭 등 공인인증기관임을 확인할 수 있는 정보
(정답률: 64%)
  • 공인인증기관의 전자서명생성정보는 공인인증서를 발급하는 공인인증기관이 사용하는 전자서명 생성 알고리즘과 관련된 정보를 의미합니다. 이 정보는 공인인증서의 발급과 검증에 필요한 중요한 정보이며, 공인인증서의 신뢰성과 안전성을 보장하기 위해 반드시 포함되어야 합니다. 따라서 이 보기에서 정답은 "공인인증기관의 전자서명생성정보"입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

9. 사용자 A와 B가 Diffie-Hellman 키 교환 알고리즘을 이용하여 비밀키를 공유하고자 한다. A는 3을, B는 2를 각각의 개인키로 선택하고, A는 B에게 21(=73 mod 23)을, B는 A에게 3(=72 mod 23)을 전송한다면, A와 B가 공유하게 되는 비밀키 값은? (단, 소수 23과 그 소수의 원시근 7을 사용한다)

  1. 4
  2. 5
  3. 6
  4. 7
(정답률: 53%)
  • A와 B가 전송한 값을 이용하여 공유 비밀키를 계산해보면 다음과 같다.

    A: 32 mod 23 = 9
    B: 23 mod 23 = 8

    A와 B가 계산한 값인 9와 8을 서로 교환한다.

    A: 83 mod 23 = 12
    B: 92 mod 23 = 12

    따라서, A와 B가 공유하는 비밀키 값은 12이다. 이 값은 보기 중에서 "4"에 해당한다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

10. ISO 27001의 ISMS(Information Security Management System) 요구사항에 대한 내용으로 옳지 않은 것은?

  1. 자산 관리:정보 보호 관련 사건 및 취약점에 대한 대응
  2. 보안 정책:보안 정책, 지침, 절차의 문서화
  3. 인력 자원 보안:인력의 고용 전, 고용 중, 고용 만료 후 단계별 보안의 중요성 강조
  4. 준거성:조직이 준수해야 할 정보 보호의 법적 요소
(정답률: 65%)
  • "자산 관리:정보 보호 관련 사건 및 취약점에 대한 대응"은 옳은 요구사항이며, ISO 27001의 ISMS 요구사항 중 하나입니다. 따라서 이 보기는 옳은 요구사항들을 나열한 것이며, 정답이 없습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

11. 서비스 거부 공격 방법이 아닌 것은?

  1. ARP spoofing
  2. Smurf
  3. SYN flooding
  4. UDP flooding
(정답률: 73%)
  • ARP spoofing은 네트워크 상에서 다른 컴퓨터의 MAC 주소를 변조하여 공격하는 방법이지만, 서비스 거부 공격 방법은 아니다. 서비스 거부 공격 방법은 Smurf, SYN flooding, UDP flooding 등이 있으며, 이들은 모두 대량의 패킷을 전송하여 네트워크나 서버를 마비시키는 공격 방법이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

12. MS 오피스와 같은 응용 프로그램의 문서 파일에 삽입되어 스크립트 형태의 실행 환경을 악용하는 악성 코드는?

  1. 애드웨어
  2. 트로이 목마
  3. 백도어
  4. 매크로 바이러스
(정답률: 78%)
  • MS 오피스와 같은 응용 프로그램의 문서 파일에 삽입되어 실행되는 스크립트 형태의 코드를 악용하는 악성 코드를 매크로 바이러스라고 합니다. 이는 문서 파일을 열 때 자동으로 실행되어 컴퓨터에 해를 끼치는 악성 코드입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

13. 데이터베이스 보안의 요구사항이 아닌 것은?

  1. 데이터 무결성 보장
  2. 기밀 데이터 관리 및 보호
  3. 추론 보장
  4. 사용자 인증
(정답률: 93%)
  • "추론 보장"은 데이터베이스 보안의 요구사항이 아닙니다. 추론 보장은 데이터베이스에서 특정 정보를 유추하거나 추론하는 것을 방지하는 것을 의미합니다. 이는 데이터베이스의 보안성을 높이는 것이 아니라, 데이터 분석 등의 목적으로 데이터베이스를 사용하는 경우에 필요한 요구사항입니다. 따라서 데이터베이스 보안의 요구사항으로는 "데이터 무결성 보장", "기밀 데이터 관리 및 보호", "사용자 인증"이 포함됩니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

14. OSI 참조 모델의 제7계층의 트래픽을 감시하여 안전한 데이터만을 네트워크 중간에서 릴레이하는 유형의 방화벽은?

  1. 패킷 필터링(packet filtering) 방화벽
  2. 응용 계층 게이트웨이(application level gateway)
  3. 스테이트풀 인스펙션(stateful inspection) 방화벽
  4. 서킷 레벨 게이트웨이(circuit level gateway)
(정답률: 85%)
  • 응용 계층 게이트웨이는 OSI 참조 모델의 제7계층인 응용 계층에서 트래픽을 감시하여 안전한 데이터만을 네트워크 중간에서 릴레이하는 방화벽이다. 이는 패킷 필터링 방화벽과는 달리, 패킷의 헤더 정보뿐만 아니라 실제 데이터 내용까지 검사하여 보다 정교한 보안을 제공한다. 또한, 스테이트풀 인스펙션 방화벽과는 달리, 세션 상태를 유지하지 않기 때문에 성능이 더욱 우수하다. 서킷 레벨 게이트웨이와는 달리, 응용 계층 게이트웨이는 OSI 참조 모델의 상위 계층에서 동작하기 때문에 보다 정교한 보안을 제공할 수 있다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

15. IPSec에 대한 설명으로 옳지 않은 것은?

  1. 네트워크 계층에서 패킷에 대한 보안을 제공하기 위한 프로토콜이다.
  2. 인터넷을 통해 지점들을 안전하게 연결하는 데 이용될 수 있다.
  3. 전송 모드와 터널 모드를 지원한다.
  4. AH(Authentication Header)는 인증 부분과 암호화 부분 모두를 포함한다.
(정답률: 82%)
  • AH(Authentication Header)는 인증 부분만을 포함하고, 암호화 부분은 ESP(Encapsulating Security Payload)에서 처리한다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

16. 커버로스(Kerberos)에 대한 설명으로 옳지 않은 것은?

  1. 네트워크 기반 인증 시스템으로 공개키 기반구조를 이용하여 사용자 인증을 수행한다.
  2. 인증 서버는 사용자를 인증하며 TGS(Ticket Granting Server)를 이용하기 위한 티켓을 제공한다.
  3. TGS는 클라이언트가 서버로부터 서비스를 받을 수 있도록 티켓을 발급한다.
  4. 인증 서버나 TGS로부터 받은 티켓은 클라이언트가 그 내용을 볼 수 없도록 암호화되어 있다.
(정답률: 78%)
  • "네트워크 기반 인증 시스템으로 공개키 기반구조를 이용하여 사용자 인증을 수행한다."가 옳지 않은 것이다.

    커버로스는 대칭키 기반 구조를 사용하여 사용자 인증을 수행한다. 인증 서버와 클라이언트 간에 대칭키를 공유하고, 이를 사용하여 인증 및 티켓 발급 등의 과정을 수행한다. 따라서 공개키 기반 구조를 사용하지 않는다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

17. 사용자 패스워드의 보안을 강화하기 위한 솔트(salt)에 대한 설명으로 옳지 않은 것은?

  1. 여러 사용자에 의해 중복 사용된 동일한 패스워드가 서로 다르게 저장되도록 한다.
  2. 해시 연산 비용이 증가되어 오프라인 사전적 공격을 어렵게 한다.
  3. 한 사용자가 동일한 패스워드를 두 개 이상의 시스템에 사용해도 그 사실을 알기 어렵게 한다.
  4. 솔트 값은 보안 강화를 위하여 암호화된 상태로 패스워드 파일에 저장되어야 한다.
(정답률: 68%)
  • 솔트 값은 보안 강화를 위하여 암호화된 상태로 저장되어야 한다는 것은 옳지 않습니다. 솔트 값은 암호화되어 저장되는 것이 아니라 일반적으로 평문 상태로 저장되며, 이는 오히려 솔트 값을 알고 있다면 해시 값을 더 쉽게 추측할 수 있게 만들 수 있습니다. 따라서 솔트 값은 암호화되지 않은 상태로 저장되어야 하며, 이를 통해 중복된 패스워드를 다르게 저장하고, 오프라인 사전적 공격을 어렵게 하며, 동일한 패스워드를 여러 시스템에서 사용하는 것을 알기 어렵게 할 수 있습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

18. 스택 버퍼 오버플로(overflow) 공격에 대응하기 위한 방어 수단에 해당하지 않는 것은?

  1. 문자열 조작 루틴과 같은 불안전한 표준 라이브러리 루틴을 안전한 것으로 교체한다.
  2. 함수의 진입과 종료 코드를 조사하고 함수의 스택 프레임에 손상이 있는지를 검사한다.
  3. 한 사용자가 프로그램에 제공한 입력이 다른 사용자에게 출력될 수 있도록 한다.
  4. 매 실행 시마다 각 프로세스 안의 스택이 다른 곳에 위치하도록 한다.
(정답률: 92%)
  • 정답은 "한 사용자가 프로그램에 제공한 입력이 다른 사용자에게 출력될 수 있도록 한다."입니다. 이는 보안과는 관련이 없는 기능이기 때문입니다.

    간단한 예를 들어보면, 사용자 A가 입력한 정보가 사용자 B에게 출력되는 경우, A의 개인정보가 노출될 수 있습니다. 하지만 이는 스택 버퍼 오버플로와는 직접적인 관련이 없는 문제입니다.

    스택 버퍼 오버플로 공격에 대응하기 위한 방어 수단은 다음과 같습니다.

    1. 문자열 조작 루틴과 같은 불안전한 표준 라이브러리 루틴을 안전한 것으로 교체한다.
    2. 함수의 진입과 종료 코드를 조사하고 함수의 스택 프레임에 손상이 있는지를 검사한다.
    3. 매 실행 시마다 각 프로세스 안의 스택이 다른 곳에 위치하도록 한다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

19. 디지털 증거의 법적 효력을 인정받기 위해 포렌식 과정에서 지켜야 하는 원칙이 아닌 것은?

  1. 정당성의 원칙
  2. 무결성의 원칙
  3. 재현의 원칙
  4. 연계추적불가능의 원칙
(정답률: 90%)
  • 연계추적불가능의 원칙은 디지털 증거의 원본과 복사본 간의 연계추적이 불가능하도록 보존해야 한다는 원칙이다. 이는 디지털 증거의 무결성과 재현성을 보장하기 위한 것이다. 따라서 이 원칙을 지키지 않으면 디지털 증거의 법적 효력이 인정받기 어렵다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

20. 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」에서 규정하고 있는 내용이 아닌 것은?

  1. 주요정보통신기반시설의 보호체계
  2. 정보통신망에서의 이용자 보호 등
  3. 정보통신망의 안정성 확보 등
  4. 개인정보의 보호
(정답률: 48%)
  • "주요정보통신기반시설의 보호체계"는 "정보통신망 이용촉진 및 정보보호 등에 관한 법률"에서 규정하고 있는 내용이 아닙니다. 이는 "주요정보통신기반시설 보호법"에서 규정하고 있는 내용입니다. "정보통신망에서의 이용자 보호 등", "정보통신망의 안정성 확보 등", "개인정보의 보호"는 모두 "정보통신망 이용촉진 및 정보보호 등에 관한 법률"에서 규정하고 있는 내용입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

< 이전회차목록 다음회차 >