9급 지방직 공무원 정보보호론 필기 기출문제복원 (2016-06-18)

9급 지방직 공무원 정보보호론
(2016-06-18 기출문제)

목록

1. 보안 공격 유형 중 소극적 공격으로 옳은 것은?

  1. 트래픽 분석(traffic analysis)
  2. 재전송(replaying)
  3. 변조(modification)
  4. 신분 위장(masquerading)
(정답률: 87%)
  • 소극적 공격은 네트워크 트래픽을 가로채서 정보를 수집하는 공격이다. 이 중에서도 트래픽 분석은 가로챈 트래픽을 분석하여 정보를 수집하는 방법이다. 예를 들어, 암호화되지 않은 트래픽을 가로채서 사용자의 아이디와 비밀번호를 추출하는 것이 가능하다. 따라서 트래픽 분석은 소극적 공격의 대표적인 유형이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

2. 암호학적 해시 함수가 가져야 할 특성으로 옳지 않은 것은?

  1. 서로 다른 두 입력 메시지에 대해 같은 해시값이 나올 가능성은 있으나, 계산적으로 같은 해시값을 갖는 서로 다른 두 입력 메시지를 찾는 것은 불가능해야 한다.
  2. 해시값을 이용하여 원래의 입력 메시지를 찾는 것은 계산상으로 불가능해야 한다.
  3. 입력 메시지의 길이에 따라 출력되는 해시값의 길이는 비례해야 한다.
  4. 입력 메시지와 그 해시값이 주어졌을 때, 이와 동일한 해시값을 갖는 다른 메시지를 찾는 것은 계산상으로 불가능해야 한다.
(정답률: 94%)
  • 입력 메시지의 길이에 따라 출력되는 해시값의 길이는 비례해야 한다는 것은 옳은 특성이 아니다. 해시 함수는 일반적으로 고정된 출력 크기를 가지며, 입력 메시지의 길이와는 무관하게 항상 동일한 크기의 해시값을 출력한다. 따라서 입력 메시지의 길이에 따라 출력되는 해시값의 길이가 비례할 필요는 없다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

3. 다음 내용에 해당하는 공개키 기반 구조(PKI)의 구성요소로 옳은 것은?

  1. 사용자
  2. 등록 기관
  3. 인증 기관
  4. 디렉토리
(정답률: 88%)
  • 인증 기관은 공개키 인증서를 발급하고 관리하는 중요한 역할을 수행합니다. 인증 기관은 신뢰할 수 있는 제3자로서, 사용자와 서비스 제공자 간의 신뢰성을 보장합니다. 인증 기관은 등록 기관으로부터 인증서 발급 요청을 받아 검증하고, 발급된 인증서를 디렉토리에 등록하여 사용자가 인증서를 검색할 수 있도록 합니다. 따라서 인증 기관은 PKI의 핵심 구성요소 중 하나입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

4. ㉠과 ㉡에 들어갈 용어로 옳은 것은? (순서대로 ㉠, ㉡)

  1. 크래커(Cracker), 커버로스(Kerberos)
  2. 크래커(Cracker), 워터마킹(Watermarking)
  3. 핑거프린팅(Fingerprinting), 커버로스(Kerberos)
  4. 핑거프린팅(Fingerprinting), 워터마킹(Watermarking)
(정답률: 87%)
  • ㉠에서는 핑거프린팅(Fingerprinting)을 사용하여 사용자의 고유한 식별자를 생성하고, ㉡에서는 워터마킹(Watermarking)을 사용하여 문서나 이미지에 숨겨진 정보를 삽입하여 원본 여부를 확인할 수 있습니다. 따라서 정답은 "핑거프린팅(Fingerprinting), 워터마킹(Watermarking)" 입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

5. 다음 내용에 해당하는 암호블록 운용 모드를 바르게 나열한 것은? (순서대로 ㄱ, ㄴ, ㄷ)

  1. CBC, ECB, OFB
  2. CBC, ECB, CTR
  3. ECB, CBC, OFB
  4. ECB, CBC, CTR
(정답률: 86%)
  • 정답: ECB, CBC, CTR

    ECB (Electronic Codebook) 모드는 평문 블록을 독립적으로 암호화하는 방식으로, 같은 평문 블록은 항상 같은 암호문 블록으로 변환되기 때문에 보안성이 낮다.

    CBC (Cipher Block Chaining) 모드는 이전 평문 블록의 암호문 블록과 XOR 연산을 수행하여 현재 평문 블록을 암호화하는 방식으로, 암호문 블록이 이전 블록의 영향을 받기 때문에 ECB 모드보다 보안성이 높다.

    CTR (Counter) 모드는 평문 블록과 암호화된 카운터 값을 XOR 연산하여 암호문 블록을 생성하는 방식으로, 병렬 처리가 가능하고 랜덤 엑세스가 가능하다는 장점이 있다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

6. 네트워크 공격에 대한 설명으로 옳지 않은 것은?

  1. Spoofing:네트워크에서 송ㆍ수신되는 트래픽을 도청하는 공격이다.
  2. Session hijacking:현재 연결 중인 세션을 가로채는 공격이다.
  3. Teardrop:네트워크 프로토콜 스택의 취약점을 이용한 공격 방법으로 시스템에서 패킷을 재조립할 때, 비정상 패킷이 정상 패킷의 재조립을 방해함으로써 네트워크를 마비시키는 공격이다.
  4. Denial of Service:시스템 및 네트워크의 취약점을 이용하여 사용 가능한 자원을 소비함으로써, 실제 해당 서비스를 사용하려고 요청하는 사용자들이 자원을 사용할 수 없도록 하는 공격이다.
(정답률: 82%)
  • "Spoofing:네트워크에서 송ㆍ수신되는 트래픽을 도청하는 공격이다."가 옳지 않은 설명이다. Spoofing은 송신자나 수신자를 가장하는 공격으로, 예를 들어 IP 주소를 변조하여 다른 컴퓨터로부터 오는 패킷을 자신의 것처럼 송신하는 것이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

7. 스택 버퍼 오버플로우 공격의 수행 절차를 순서대로 바르게 나열한 것은?

  1. ㄱ → ㄴ → ㄷ → ㄹ
  2. ㄱ → ㄷ → ㄴ → ㄹ
  3. ㄷ → ㄴ → ㄱ → ㄹ
  4. ㄷ → ㄱ → ㄴ → ㄹ
(정답률: 78%)
  • ㄱ → ㄴ → ㄷ → ㄹ 순서는 올바른 스택 버퍼 오버플로우 공격의 수행 절차를 나타낸다.

    1. 먼저, 공격 대상 프로그램의 취약점을 찾아내고 해당 취약점을 이용하여 악성 코드를 삽입한다. 이때, 악성 코드는 스택 버퍼 오버플로우를 일으키는 코드여야 한다. (ㄱ)

    2. 다음으로, 악성 코드를 실행하기 위해 입력값을 조작한다. 이때, 입력값은 스택 버퍼 오버플로우를 일으키는 크기 이상으로 입력해야 한다. (ㄴ)

    3. 악성 코드가 실행되면, 공격자가 원하는 작업을 수행하도록 코드를 작성해야 한다. 이때, 공격자는 스택에 저장된 리턴 어드레스를 조작하여 악성 코드가 실행된 후에도 제어를 계속 가지고 있을 수 있도록 해야 한다. (ㄷ)

    4. 마지막으로, 공격자는 악성 코드가 실행된 후에도 프로그램이 정상적으로 종료되도록 스택을 복원해야 한다. 이때, 스택 포인터를 조작하여 스택을 복원할 수 있다. (ㄹ)
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

8. 접근통제(access control) 모델에 대한 설명으로 옳지 않은 것은?

  1. 임의적 접근통제는 정보 소유자가 정보의 보안 레벨을 결정하고 이에 대한 정보의 접근제어를 설정하는 모델이다.
  2. 강제적 접근통제는 중앙에서 정보를 수집하고 분류하여, 각각의 보안 레벨을 붙이고 이에 대해 정책적으로 접근제어를 설정하는 모델이다.
  3. 역할 기반 접근통제는 사용자가 아닌 역할이나 임무에 권한을 부여하기 때문에 사용자가 자주 변경되는 환경에서 유용한 모델이다.
  4. Bell-LaPadula 접근통제는 비밀노출 방지보다는 데이터의 무결성 유지에 중점을 두고 있는 모델이다.
(정답률: 83%)
  • Bell-LaPadula 접근통제는 비밀노출 방지보다는 기밀성 유지에 중점을 두고 있는 모델이므로, "Bell-LaPadula 접근통제는 비밀노출 방지보다는 데이터의 무결성 유지에 중점을 두고 있는 모델이다."가 옳지 않은 설명이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

9. 개인정보 보호법령상 개인정보 영향평가에 대한 설명으로 옳지 않은 것은?

  1. 공공기관의 장은 대통령령으로 정하는 기준에 해당하는 개인정보파일의 운용으로 인하여 정보주체의 개인정보 침해가 우려되는 경우에는 위험요인분석과 개선 사항 도출을 위한 평가를 하고, 그 결과를 행정자치부장관에게 제출하여야 한다.
  2. 개인정보 영향평가의 대상에 해당하는 개인정보파일은 공공기관이 구축ㆍ운용 또는 변경하려는 개인정보파일로서 50만명 이상의 정보주체에 관한 개인정보파일을 말한다.
  3. 영향평가를 하는 경우에는 처리하는 개인정보의 수, 개인정보의 제3자 제공 여부, 정보주체의 권리를 해할 가능성 및 그 위험정도, 그 밖에 대통령령으로 정한 사항을 고려하여야 한다.
  4. 행정자치부장관은 제출받은 영향평가 결과에 대하여 보호위원회의 심의ㆍ의결을 거쳐 의견을 제시할 수 있다.
(정답률: 69%)
  • 개인정보 영향평가의 대상에 해당하는 개인정보파일은 공공기관이 구축ㆍ운용 또는 변경하려는 개인정보파일로서 50만명 이상의 정보주체에 관한 개인정보파일을 말한다. - 이 설명은 옳은 설명이다. 개인정보 보호법령상 개인정보 영향평가는 공공기관이 운용하는 개인정보파일 중 50만명 이상의 정보주체에 관한 개인정보파일을 대상으로 하며, 위험요인분석과 개선 사항 도출을 위한 평가를 하여야 한다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

10. 정보보호 시스템에서 사용된 보안 알고리즘 구현 과정에서 곱셈에 대한 역원이 사용된다. 잉여류 Z26에서 법(modular) 26에 대한 7의 곱셈의 역원으로 옳은 것은?

  1. 11
  2. 13
  3. 15
  4. 17
(정답률: 71%)
  • 잉여류 Z26에서 7의 곱셈의 역원을 찾기 위해서는 다음과 같은 식을 푸는 것이다.

    7x ≡ 1 (mod 26)

    여기서 x는 7의 역원이다. 이 식을 푸는 방법은 확장 유클리드 알고리즘을 사용하는 것이다. 이 알고리즘을 사용하면 다음과 같은 식을 얻을 수 있다.

    7(-3) + 26(1) = 1

    따라서 7의 역원은 -3(mod 26)이다. 하지만 일반적으로 음수를 사용하지 않으므로, 7의 역원은 23(mod 26)이다. 이는 7x ≡ 1 (mod 26)을 만족하는 가장 작은 양의 정수 x이다.

    따라서, 정답은 "15"이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

11. 응용 계층 프로토콜에서 동작하는 서비스에 대한 설명으로 옳지 않은 것은?

  1. FTP:파일전송 서비스를 제공한다.
  2. DNS:도메인 이름과 IP 주소 간 변환 서비스를 제공한다.
  3. POP3:메일 서버로 전송된 메일을 확인하는 서비스를 제공한다.
  4. SNMP:메일전송 서비스를 제공한다.
(정답률: 82%)
  • SNMP는 네트워크 관리 프로토콜로, 메일 전송 서비스를 제공하지 않는다. SNMP는 네트워크 장비의 상태 정보를 수집하고 관리하는데 사용된다. 따라서, "SNMP:메일전송 서비스를 제공한다."는 옳지 않은 설명이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

12. 「개인정보 보호법」상 용어 정의로 옳지 않은 것은?

  1. 개인정보:살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)
  2. 정보주체:업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인
  3. 처리:개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기, 그 밖에 이와 유사한 행위
  4. 개인정보파일:개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물
(정답률: 73%)
  • 정보주체는 개인정보를 처리하는 주체를 말하는 것이 아니라, 개인정보를 제공받거나 처리되는 개인을 말한다. 따라서 "업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인"은 개인정보처리자를 말하는 것이다.

    - 개인정보: 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)
    - 정보주체: 개인정보를 제공받거나 처리되는 개인
    - 처리: 개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기, 그 밖에 이와 유사한 행위
    - 개인정보파일: 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

13. 다음 설명에 해당하는 OECD 개인정보보호 8원칙으로 옳은 것은?

  1. 이용 제한의 원칙(Use Limitation Principle)
  2. 정보 정확성의 원칙(Data Quality Principle)
  3. 안전성 확보의 원칙(Security Safeguards Principle)
  4. 목적 명시의 원칙(Purpose Specification Principle)
(정답률: 71%)
  • 정보 정확성의 원칙은 개인정보가 정확하고 최신인 상태여야 하며, 필요한 경우 정확성을 유지하기 위해 업데이트 되어야 한다는 원칙입니다. 따라서 위 그림에서는 "정보의 정확성을 유지하기 위해 필요한 조치를 취함"이라는 내용이 해당 원칙과 일치하므로 정답은 "정보 정확성의 원칙(Data Quality Principle)"입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

14. 현행 우리나라의 정보보호관리체계(ISMS) 인증에 대한 설명으로 옳지 않은 것은?

  1. 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」에 근거를 두고 있다.
  2. 인증심사의 종류에는 최초심사, 사후심사, 갱신심사가 있다.
  3. 인증에 유효기간은 정해져 있지 않다.
  4. 정보통신망의 안정성ㆍ신뢰성 확보를 위하여 관리적ㆍ기술적ㆍ물리적 보호조치를 포함한 종합적 관리체계를 수립ㆍ운영하고 있는 자에 대하여 인증 기준에 적합한지에 관하여 인증을 부여하는 제도이다.
(정답률: 96%)
  • "인증에 유효기간은 정해져 있지 않다."라는 설명은 옳지 않다. 실제로 ISMS 인증은 유효기간이 존재하며, 일반적으로 3년간 유효하다. 이후에는 갱신심사를 통해 유효기간을 연장할 수 있다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

15. 보안 서비스에 대한 설명을 바르게 나열한 것은? (순서대로 ㄱ, ㄴ, ㄷ)

  1. 데이터 무결성, 부인봉쇄, 인증
  2. 데이터 가용성, 접근통제, 인증
  3. 데이터 기밀성, 인증, 부인봉쇄
  4. 데이터 무결성, 접근통제, 부인봉쇄
(정답률: 98%)
  • 보안 서비스는 데이터의 기밀성, 무결성, 가용성, 인증, 접근통제, 부인봉쇄 등을 보호하는데 중점을 둡니다. 따라서, 주어진 보기 중에서 데이터의 무결성, 접근통제, 부인봉쇄가 바르게 나열된 것입니다.

    - 데이터 무결성: 데이터가 변조되지 않고, 정확하게 유지되는 것을 보호합니다.
    - 접근통제: 인가된 사용자만이 시스템에 접근할 수 있도록 제한합니다.
    - 부인봉쇄: 사용자가 자신의 행동을 부인하지 못하도록 보호합니다.

    따라서, 이 세 가지 보안 서비스는 데이터의 무결성과 정확성을 보장하며, 불법적인 접근을 차단하고, 사용자의 부인을 방지하여 보안성을 높이는 역할을 합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

16. 다음에 해당하는 방화벽의 구축 형태로 옳은 것은?

  1. 응용 레벨 게이트웨이(Application-level gateway)
  2. 회로 레벨 게이트웨이(Circuit-level gateway)
  3. 듀얼 홈드 게이트웨이(Dual-homed gateway)
  4. 스크린 호스트 게이트웨이(Screened host gateway)
(정답률: 78%)
  • 스크린 호스트 게이트웨이는 단일 호스트에 방화벽을 구축하는 형태로, 외부 네트워크와 내부 네트워크 사이에 위치한 호스트가 방화벽 역할을 수행하는 것입니다. 이 방식은 구성이 간단하고 비용이 저렴하며, 외부에서 내부로의 직접적인 접근을 차단하면서도 내부에서 외부로의 통신은 자유롭게 할 수 있습니다. 따라서 이 문제에서 제시된 구성도가 스크린 호스트 게이트웨이에 해당합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

17. SSH(Secure SHell)를 구성하고 있는 프로토콜 스택으로 옳지 않은 것은?

  1. SSH User Authentication Protocol
  2. SSH Session Layer Protocol
  3. SSH Connection Protocol
  4. SSH Transport Layer Protocol
(정답률: 54%)
  • SSH Session Layer Protocol은 존재하지 않는 프로토콜입니다. SSH는 OSI 7계층 모델에서 Transport Layer Protocol, Connection Protocol, User Authentication Protocol, 그리고 Application Layer Protocol로 구성됩니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

18. 위험분석 방법에 대한 설명을 바르게 나열한 것은? (순서대로 ㄱ, ㄴ, ㄷ)

  1. 시나리오법, 기준선 접근법, 상세 위험 분석 접근법
  2. 시나리오법, 상세 위험 분석 접근법, 기준선 접근법
  3. 델파이법, 기준선 접근법, 상세 위험 분석 접근법
  4. 델파이법, 상세 위험 분석 접근법, 기준선 접근법
(정답률: 93%)
  • 위험분석 방법 중에서 델파이법은 전문가들의 의견을 수렴하여 위험을 분석하는 방법이고, 상세 위험 분석 접근법은 위험을 식별하고 분석하여 위험을 최소화하는 방법이며, 기준선 접근법은 이미 발생한 사고나 위험을 분석하여 이를 예방하는 방법이다. 따라서, 정답은 "델파이법, 상세 위험 분석 접근법, 기준선 접근법"이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

19. 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」상 개인정보취급방침에 포함되어야 할 사항이 아닌 것은?

  1. 이용자 및 법정대리인의 권리와 그 행사 방법
  2. 개인정보에 대한 내부 관리 계획
  3. 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치ㆍ운영 및 그 거부에 관한 사항
  4. 개인정보의 수집ㆍ이용 목적, 수집하는 개인정보의 항목 및 수집 방법
(정답률: 50%)
  • 정보통신망 이용촉진 및 정보보호 등에 관한 법률에서 개인정보취급방침에 포함되어야 할 사항은 "이용자 및 법정대리인의 권리와 그 행사 방법", "인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치ㆍ운영 및 그 거부에 관한 사항", "개인정보의 수집ㆍ이용 목적, 수집하는 개인정보의 항목 및 수집 방법"입니다. 개인정보에 대한 내부 관리 계획은 개인정보보호법에서 요구되는 사항이지만, 정보통신망 이용촉진 및 정보보호 등에 관한 법률에서는 개인정보취급방침에 포함되어야 할 사항이 아닙니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

20. 전자서명 방식에 대한 설명으로 옳지 않은 것은?

  1. 은닉 서명(blind signature)은 서명자가 특정 검증자를 지정하여 서명하고, 이 검증자만이 서명을 확인할 수 있는 방식이다.
  2. 부인방지 서명(undeniable signature)은 서명을 검증할 때 반드시 서명자의 도움이 있어야 검증이 가능한 방식이다.
  3. 위임 서명(proxy signature)은 위임 서명자로 하여금 서명자를 대신해서 대리로 서명할 수 있도록 한 방식이다.
  4. 다중 서명(multisignature)은 동일한 전자문서에 여러 사람이 서명하는 방식이다.
(정답률: 60%)
  • "다중 서명(multisignature)은 동일한 전자문서에 여러 사람이 서명하는 방식이다."가 옳지 않은 설명이다. 다중 서명은 여러 사람이 서명하는 것이 맞지만, 서명 대상이 여러 개일 수도 있다. 예를 들어, 여러 사람이 동시에 계약서와 첨부파일을 서명하는 경우도 다중 서명에 해당한다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

< 이전회차목록 다음회차 >