9급 지방직 공무원 정보보호론 필기 기출문제복원 (2017-06-17)

9급 지방직 공무원 정보보호론 2017-06-17 필기 기출문제 해설

이 페이지는 9급 지방직 공무원 정보보호론 2017-06-17 기출문제를 CBT 방식으로 풀이하고 정답 및 회원들의 상세 해설을 확인할 수 있는 페이지입니다.

9급 지방직 공무원 정보보호론
(2017-06-17 기출문제)

목록

1과목: 과목 구분 없음

1. 정보시스템의 접근제어 보안 모델로 옳지 않은 것은?

  1. Bell LaPadula 모델
  2. Biba 모델
  3. Clark-Wilson 모델
  4. Spiral 모델
(정답률: 96%)
  • 접근제어 보안 모델은 시스템 자원에 대한 접근 권한을 관리하는 모델을 의미합니다. Spiral 모델은 보안 모델이 아니라 소프트웨어 개발 생명주기(SDLC) 모델 중 하나로, 반복적인 개발 과정을 통해 위험을 분석하고 관리하는 모델입니다.

    오답 노트
    Bell LaPadula, Biba, Clark-Wilson: 모두 접근제어 보안 모델에 해당함
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

2. 정보보안에 대한 설명으로 옳은 것은?

  1. 보안공격 유형 중 소극적 공격은 적극적 공격보다 탐지하기 매우 쉽다.
  2. 공개키 암호 시스템은 암호화 키와 복호화 키가 동일하다.
  3. 정보보호의 3대 목표는 기밀성, 무결성, 접근제어이다.
  4. 부인 방지는 송신자나 수신자가 메시지를 주고받은 사실을 부인하지 못하도록 방지하는 것을 의미한다.
(정답률: 93%)
  • 부인 방지는 송신자와 수신자가 메시지를 주고받은 사실을 나중에 부정하지 못하도록 증거를 제공하는 보안 서비스입니다.

    오답 노트
    소극적 공격: 데이터 유출 등 흔적을 남기지 않아 적극적 공격보다 탐지가 훨씬 어려움
    공개키 암호 시스템: 암호화 키와 복호화 키가 서로 다름
    정보보호 3대 목표: 기밀성, 무결성, 가용성
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

3. 비대칭키 암호화 알고리즘으로만 묶은 것은?

  1. RSA, ElGamal
  2. DES, AES
  3. RC5, Skipjack
  4. 3DES, ECC
(정답률: 81%)
  • 비대칭키(공개키) 암호 알고리즘은 암호화와 복호화에 서로 다른 키를 사용하는 방식으로, RSA와 ElGamal이 이에 해당합니다.

    오답 노트
    DES, AES, RC5, Skipjack, 3DES: 모두 동일한 키를 사용하는 대칭키 암호 알고리즘
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

4. 전자우편 서비스의 보안 기술로 옳지 않은 것은?

  1. PGP(Pretty Good Privacy)
  2. S/MIME(Secure/Multipurpose Internet Mail Extension)
  3. SET(Secure Electronic Transaction)
  4. PEM(Privacy Enhanced Mail)
(정답률: 93%)
  • SET(Secure Electronic Transaction)은 전자 상거래 시 카드 결제 보안을 위해 사용되는 프로토콜이며, 전자우편 보안 기술이 아닙니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

5. 서비스 거부(Denial of Service) 공격기법으로 옳지 않은 것은?

  1. Ping Flooding 공격
  2. Zero Day 공격
  3. Teardrop 공격
  4. SYN Flooding 공격
(정답률: 91%)
  • Zero Day 공격은 보안 취약점이 발견된 후 패치나 업데이트가 나오기 전의 무방비 상태를 이용하는 공격으로, 서비스 거부(DoS) 공격과는 성격이 다릅니다.

    오답 노트
    Ping Flooding: ICMP 패킷을 대량으로 전송하여 마비시킴
    Teardrop: 패킷의 시퀀스 번호를 조작하여 재조립 불가 상태로 만듦
    SYN Flooding: TCP 연결 요청(SYN) 후 응답(ACK)을 보내지 않아 자원을 고갈시킴
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

6. 해시(Hash) 함수에 대한 설명으로 옳은 것으로만 묶은 것은?

  1. ㄱ, ㄴ
  2. ㄴ, ㄷ
  3. ㄷ, ㄹ
  4. ㄱ, ㄹ
(정답률: 81%)

  • 해시 함수는 입력 데이터의 길이에 상관없이 항상 고정된 길이의 결과값을 출력하며, 역산이 불가능한 일방향 함수 성질을 가집니다.

    오답 노트
    ㄷ: 입력 데이터의 길이는 제한이 없습니다.
    ㄹ: SHA-256의 결과값 길이는 256비트입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

7. A가 B에게 공개키 알고리즘을 사용하여 서명과 기밀성을 적용한 메시지(M)를 전송하는 그림이다. ㉠~㉣에 들어갈 용어로 옳은 것은? (순서대로 ㉠, ㉡, ㉢, ㉣)

  1. A의 공개키, B의 공개키, A의 개인키, B의 개인키
  2. A의 개인키, B의 개인키, A의 공개키, B의 공개키
  3. A의 개인키, B의 공개키, B의 개인키, A의 공개키
  4. A의 공개키, A의 개인키, B의 공개키, B의 개인키
(정답률: 95%)

  • 전자서명은 송신자의 개인키로 생성하고 수신자가 송신자의 공개키로 검증하며, 기밀성은 수신자의 공개키로 암호화하고 수신자가 자신의 개인키로 복호화합니다.
    따라서 ㉠ A의 개인키(서명), ㉡ B의 공개키(암호화), ㉢ B의 개인키(복호화), ㉣ A의 공개키(검증) 순서가 정답입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

8. 다음에서 설명하는 패스워드 크래킹(Cracking) 공격 방법은?

  1. Brute Force 공격
  2. Rainbow Table을 이용한 공격
  3. Flooding 공격
  4. Dictionary 공격
(정답률: 91%)

  • 사용자가 자주 사용하는 패스워드 패턴을 모아 만든 사전 파일(Dictionary)을 이용해 하나씩 대입하며 일치 여부를 확인하는 Dictionary 공격입니다.

    오답 노트
    Brute Force 공격: 사전 없이 가능한 모든 조합을 대입하는 방식입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

9. 다음에서 설명하는 보안 공격 기법은?

  1. Buffer Overflow 공격
  2. Format String 공격
  3. MITB(Man-In-The-Browser) 공격
  4. Race Condition 공격
(정답률: 80%)

  • 두 프로세스가 동일한 자원에 동시에 접근하려 할 때 발생하는 실행 순서의 차이를 이용하여, 시스템 프로그램의 권한으로 파일에 접근하는 Race Condition 공격에 대한 설명입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

10. 다음의 내부에서 외부 네트워크 망으로 가는 방화벽 패킷 필터링 규칙에 대한 <보기>의 설명으로 옳은 것으로만 묶은 것은? (단, 방화벽을 기준으로 192.168.1.11은 내부 네트워크에 위치한 서버이고, 10.10.10.21은 외부 네트워크에 위치한 서버이다)

  1. ㄱ, ㄴ
  2. ㄴ, ㄷ
  3. ㄷ, ㄹ
  4. ㄱ, ㄹ
(정답률: 74%)
  • 방화벽 규칙 표의 서비스 포트 번호를 분석하여 판단합니다.
    ㄴ. 규칙 2번에서 From Any, Service 21(FTP), To 10.10.10.21로 Allow 설정되어 있으므로 FTP 패킷을 허용하는 것이 맞습니다.
    ㄷ. 규칙 3번에서 From Any, Service 80(HTTP), To Any로 Allow 설정되어 있으므로 80번 포트 패킷을 허용하는 것이 맞습니다.

    오답 노트
    ㄱ. 규칙 1번의 포트 25는 SMTP이며, Telnet은 23번 포트를 사용합니다.
    ㄹ. 규칙 4번의 포트 143은 IMAP이며, POP3는 110번 포트를 사용합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

11. 전자서명이 제공하는 기능으로 옳지 않은 것은?

  1. 부인 방지(Non Repudiation)
  2. 변경 불가(Unalterable)
  3. 서명자 인증(Authentication)
  4. 재사용 가능(Reusable)
(정답률: 92%)
  • 전자서명은 송신자의 신원을 확인하는 서명자 인증, 데이터가 변조되지 않았음을 보장하는 변경 불가(무결성), 서명 사실을 부인할 수 없게 하는 부인 방지 기능을 제공합니다. 하지만 전자서명은 특정 메시지에 대해 생성되는 것이므로 이를 다른 곳에 재사용하는 것은 보안상 불가능하며 허용되지 않습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

12. 위험 관리 과정에 대한 설명으로 ㉠, ㉡에 들어갈 용어로 옳은 것은? (순서대로 ㉠, ㉡)

  1. 자산식별 및 평가, 위험 평가
  2. 자산식별 및 평가, 취약점 분석 및 평가
  3. 위험 평가, 가치평가 및 분석
  4. 가치평가 및 분석 취약점, 분석 및 평가
(정답률: 80%)
  • 위험 관리 과정의 단계별 정의에 따른 정답입니다.
    ㉠은 조직의 정보자산을 식별하고 보안성 상실 시의 영향도를 고려하여 가치를 평가하는 단계이므로 자산식별 및 평가에 해당합니다.
    ㉡은 식별된 자산, 위협, 취약점을 기준으로 위험도를 산출하고 정리하여 평가하는 단계이므로 위험 평가에 해당합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

13. 다음의 사이버 공격 유형과 그에 대한 <보기>의 설명을 바르게 연결한 것은? (순서대로 ㄱ, ㄴ, ㄷ)

  1. A, B, C
  2. A, C, B
  3. B, A, C
  4. B, C, A
(정답률: 89%)
  • 사이버 공격 유형과 설명의 올바른 연결은 다음과 같습니다.
    피싱(Phishing)은 이메일이나 메시지를 통해 신뢰할 수 있는 사람이나 기업으로 가장하여 기밀을 얻어내는 사회공학기법입니다.
    파밍(Pharming)은 도메인을 탈취하여 사용자가 정확한 주소를 입력해도 가짜 사이트로 연결되도록 하는 방법입니다.
    스미싱(Smishing)은 문자메시지로 가장하여 링크 접속을 유도한 뒤 개인정보를 빼내는 방법입니다.
    따라서 연결 순서는 피싱-B, 파밍-A, 스미싱-C가 되어 B, A, C가 정답입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

14. 「개인정보 보호법」상 정보주체가 자신의 개인정보 처리와 관련하여 갖는 권리로 옳지 않은 것은?

  1. 개인정보의 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리
  2. 개인정보의 처리 정지, 정정ㆍ삭제 및 파기를 요구할 권리
  3. 개인정보의 처리로 인하여 발생한 피해를 신속하고 공정한 절차에 따라 구제받을 권리
  4. 개인정보 처리를 수반하는 정책이나 제도를 도입ㆍ변경하는 경우에 개인정보보호위원회에 개인정보 침해요인평가를 요청할 권리
(정답률: 81%)
  • 개인정보 보호법상 정보주체는 자신의 개인정보 처리에 대한 결정권, 정정·삭제 요구권, 피해 구제권 등을 가집니다. 하지만 개인정보 처리를 수반하는 정책이나 제도를 도입·변경할 때 개인정보보호위원회에 개인정보 침해요인평가를 요청할 권리는 정보주체에게 부여된 권리가 아닙니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

15. 재해복구시스템의 복구 수준별 유형에 대한 설명으로 옳은 것은?

  1. Warm site는 Mirror site에 비해 전체 데이터 복구 소요 시간이 빠르다.
  2. Cold site는 Mirror site에 비해 높은 구축 비용이 필요하다.
  3. Hot site는 Cold site에 비해 구축 비용이 높고, 데이터의 업데이트가 많은 경우에 적합하다.
  4. Mirror site는 Cold site에 비해 구축 비용이 저렴하고, 복구에 긴 시간이 소요된다.
(정답률: 88%)
  • Hot site는 주 센터와 거의 동일한 구성의 하드웨어와 소프트웨어를 갖추고 데이터를 실시간 또는 주기적으로 동기화하므로, Cold site보다 구축 비용은 높지만 데이터 업데이트가 빈번한 환경에서 빠른 복구가 가능합니다.

    오답 노트
    Warm site가 Mirror site보다 복구 시간이 빠름: Mirror site가 가장 빠릅니다.
    Cold site가 Mirror site보다 비용이 높음: Cold site가 가장 저렴합니다.
    Mirror site가 Cold site보다 비용이 저렴하고 복구 시간이 김: Mirror site가 가장 비싸고 복구 시간이 가장 짧습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

16. 무선랜의 보안 대응책으로 옳지 않은 것은?

  1. AP에 접근이 가능한 기기의 MAC 주소를 등록하고, 등록된 기기의 MAC 주소만 AP 접속을 허용한다.
  2. AP에 기본 계정의 패스워드를 재설정한다.
  3. AP에 대한 DHCP를 활성화하여 AP 검색 시 SSID가 검색되도록 설정한다.
  4. 802.1x와 RADIUS 서버를 이용해 무선 사용자를 인증한다.
(정답률: 84%)
  • 무선랜 보안을 위해서는 SSID(서비스 세트 식별자)를 변경하거나 숨겨서 외부에서 AP의 존재가 쉽게 검색되지 않도록 설정하는 것이 바람직합니다. SSID가 검색되도록 설정하는 것은 보안상 취약점을 노출시키는 행위입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

17. 다음의 OSI 7계층과 이에 대응하는 계층에서 동작하는 <보기>의 보안 프로토콜을 바르게 연결한 것은? (순서대로 ㄱ, ㄴ, ㄷ)

  1. A, B, C
  2. A, C, B
  3. B, C, A
  4. B, A, C
(정답률: 84%)
  • 각 계층에서 동작하는 보안 프로토콜의 매칭은 다음과 같습니다.
    ㄱ. 2계층(데이터 링크 계층) $\rightarrow$ L2TP (B)
    ㄴ. 3계층(네트워크 계층) $\rightarrow$ IPSec (C)
    ㄷ. 4계층(전송 계층) $\rightarrow$ SSL/TLS (A)
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

18. 「개인정보의 기술적ㆍ관리적 보호조치 기준」상 정보통신서비스 제공자 등이 준수해야 하는 사항으로 옳지 않은 것은?

  1. 개인정보처리시스템에 주민번호, 계좌번호를 저장할 때 안전한 암호알고리듬으로 암호화한다.
  2. 개인정보처리시스템에 개인정보취급자의 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관한다.
  3. 개인정보처리시스템에 대한 개인정보취급자의 접속이 필요한 시간 동안만 최대 접속시간 제한 등의 조치를 취한다.
  4. 이용자의 비밀번호 작성규칙은 영문, 숫자, 특수문자 중 2종류 이상을 조합하여 최소 10자리 이상 또는 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성하도록 수립한다.
(정답률: 62%)
  • 정보통신서비스 제공자 등은 개인정보취급자의 권한 부여, 변경 또는 말소에 대한 내역을 기록하고 그 기록을 최소 5년간 보관해야 합니다.

    오답 노트
    최소 3년간 보관: 정보통신서비스 제공자 기준이 아닌 '개인정보의 안전성 확보조치 기준'에 해당하는 내용입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

19. 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」상 ㉠, ㉡에 들어갈 용어로 옳은 것은? (순서대로 ㉠, ㉡)

  1. 개인정보처리기관, 개인정보보호위원회
  2. 개인정보처리기관, 방송통신위원회
  3. 본인확인기관, 개인정보보호위원회
  4. 본인확인기관, 방송통신위원회
(정답률: 40%)
  • 정보통신망법 제23조의2에 따라 주민등록번호를 수집·이용할 수 있는 예외 경우는 법령에 의해 허용되거나, 제23조의3에 따라 본인확인기관으로 지정받은 경우, 또는 방송통신위원회가 고시하는 경우입니다. 따라서 ㉠은 본인확인기관, ㉡은 방송통신위원회입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

20. 다음에서 설명하는 국제공통평가기준(CC)의 구성요소는?

  1. 평가보증등급(EAL)
  2. 보호프로파일(PP)
  3. 보안목표명세서(ST)
  4. 평가대상(TOE)
(정답률: 75%)
  • 제시된 이미지 의 내용은 정보제품이 갖추어야 할 공통적인 보안 요구사항을 정의하고 구현에 독립적인 집합을 의미하므로, 이는 보호프로파일(PP)에 대한 설명입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

< 이전회차목록 다음회차 >