9급 지방직 공무원 정보보호론 필기 기출문제복원 (2017-06-17)

9급 지방직 공무원 정보보호론
(2017-06-17 기출문제)

목록

1. 정보시스템의 접근제어 보안 모델로 옳지 않은 것은?

  1. Bell LaPadula 모델
  2. Biba 모델
  3. Clark-Wilson 모델
  4. Spiral 모델
(정답률: 94%)
  • Spiral 모델은 접근제어 보안 모델이 아니라 소프트웨어 개발 프로세스 모델이기 때문에 옳지 않은 것입니다. Spiral 모델은 요구사항 분석, 위험 분석, 개발, 테스트 등의 단계를 반복하며 소프트웨어를 개발하는 방법론입니다. 따라서 정보시스템의 접근제어 보안 모델로 사용되지 않습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

2. 정보보안에 대한 설명으로 옳은 것은?

  1. 보안공격 유형 중 소극적 공격은 적극적 공격보다 탐지하기 매우 쉽다.
  2. 공개키 암호 시스템은 암호화 키와 복호화 키가 동일하다.
  3. 정보보호의 3대 목표는 기밀성, 무결성, 접근제어이다.
  4. 부인 방지는 송신자나 수신자가 메시지를 주고받은 사실을 부인하지 못하도록 방지하는 것을 의미한다.
(정답률: 94%)
  • 부인 방지는 메시지를 주고받은 사실을 부인하지 못하도록 방지하는 것을 의미한다. 이는 송신자나 수신자가 메시지를 보냈거나 받았다는 것을 부인할 수 없도록 하는 것을 의미한다. 예를 들어, 전자메일을 보낸 사람이 메시지를 보냈다는 것을 부인할 수 없도록 하는 것이 부인 방지의 예이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

3. 비대칭키 암호화 알고리즘으로만 묶은 것은?

  1. RSA, ElGamal
  2. DES, AES
  3. RC5, Skipjack
  4. 3DES, ECC
(정답률: 78%)
  • RSA와 ElGamal은 모두 비대칭키 암호화 알고리즘이며, 공개키와 개인키를 사용하여 암호화와 복호화를 수행합니다. 반면에 DES, AES, RC5, Skipjack, 3DES, ECC는 모두 대칭키 암호화 알고리즘으로, 암호화와 복호화에 같은 키를 사용합니다. 따라서 RSA와 ElGamal은 비대칭키 암호화 알고리즘으로만 묶인 것입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

4. 전자우편 서비스의 보안 기술로 옳지 않은 것은?

  1. PGP(Pretty Good Privacy)
  2. S/MIME(Secure/Multipurpose Internet Mail Extension)
  3. SET(Secure Electronic Transaction)
  4. PEM(Privacy Enhanced Mail)
(정답률: 95%)
  • SET은 전자상거래에서 결제 정보를 보호하기 위한 프로토콜로, 전자우편 서비스의 보안 기술이 아닙니다. 따라서 SET이 옳지 않은 보기입니다. PGP, S/MIME, PEM은 전자우편의 기밀성, 무결성, 인증 등을 보호하기 위한 보안 기술입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

5. 서비스 거부(Denial of Service) 공격기법으로 옳지 않은 것은?

  1. Ping Flooding 공격
  2. Zero Day 공격
  3. Teardrop 공격
  4. SYN Flooding 공격
(정답률: 94%)
  • Zero Day 공격은 서비스 거부 공격 기법이 아니라, 새로운 보안 취약점을 이용하여 시스템에 침입하는 공격 기법이다. 따라서, 옳지 않은 것은 Zero Day 공격이다. Ping Flooding, Teardrop 공격, SYN Flooding은 모두 서비스 거부 공격 기법이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

6. 해시(Hash) 함수에 대한 설명으로 옳은 것으로만 묶은 것은?

  1. ㄱ, ㄴ
  2. ㄴ, ㄷ
  3. ㄷ, ㄹ
  4. ㄱ, ㄹ
(정답률: 82%)
  • - 해시(Hash) 함수란 임의의 길이의 데이터를 고정된 길이의 데이터로 매핑하는 함수이다.
    - 이 때, 같은 입력값에 대해서는 항상 같은 출력값을 반환하도록 설계되어야 한다.
    - 보기에서 제시된 해시 함수는 입력값에 대해 고정된 길이의 출력값을 반환하므로 해시 함수의 기본적인 역할을 수행한다.
    - 하지만 보안적인 측면에서는 보안 강도가 낮은 해시 함수이므로, 보안이 중요한 경우에는 다른 알고리즘을 사용해야 한다.
    - 따라서 보기에서는 "ㄱ, ㄴ"이 옳은 설명이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

7. A가 B에게 공개키 알고리즘을 사용하여 서명과 기밀성을 적용한 메시지(M)를 전송하는 그림이다. ㉠~㉣에 들어갈 용어로 옳은 것은? (순서대로 ㉠, ㉡, ㉢, ㉣)

  1. A의 공개키, B의 공개키, A의 개인키, B의 개인키
  2. A의 개인키, B의 개인키, A의 공개키, B의 공개키
  3. A의 개인키, B의 공개키, B의 개인키, A의 공개키
  4. A의 공개키, A의 개인키, B의 공개키, B의 개인키
(정답률: 95%)
  • ㉠: A의 개인키, ㉡: B의 공개키, ㉢: B의 개인키, ㉣: A의 공개키

    A는 자신의 개인키로 메시지를 서명하고, B의 공개키로 메시지를 암호화하여 전송한다. B는 자신의 개인키로 암호화된 메시지를 해독하고, A의 공개키로 서명을 확인한다. 따라서 A의 개인키와 B의 공개키, 그리고 B의 개인키와 A의 공개키가 각각 쌍을 이루어야 한다.

    보기에서 "A의 개인키, B의 공개키, B의 개인키, A의 공개키"가 정답인 이유는 A가 자신의 개인키로 서명하고, B의 공개키로 암호화하여 전송하므로 A의 개인키와 B의 공개키가 필요하고, B는 자신의 개인키로 암호화된 메시지를 해독하고, A의 공개키로 서명을 확인하므로 B의 개인키와 A의 공개키가 필요하기 때문이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

8. 다음에서 설명하는 패스워드 크래킹(Cracking) 공격 방법은?

  1. Brute Force 공격
  2. Rainbow Table을 이용한 공격
  3. Flooding 공격
  4. Dictionary 공격
(정답률: 92%)
  • 이 그림은 "Dictionary 공격"을 보여줍니다. Dictionary 공격은 미리 만들어진 단어장(사전)을 이용하여 패스워드를 추측하는 공격 방법입니다. 그림에서는 "password"라는 단어장을 이용하여 패스워드를 추측하고 있습니다. 따라서 이 그림은 Dictionary 공격을 보여주고 있습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

9. 다음에서 설명하는 보안 공격 기법은?

  1. Buffer Overflow 공격
  2. Format String 공격
  3. MITB(Man-In-The-Browser) 공격
  4. Rce Condition 공격
(정답률: 83%)
  • 이 그림은 Rce Condition 공격을 나타내고 있습니다. Rce Condition 공격은 Remote Code Execution 취약점을 이용하여 공격하는 기법으로, 악성 코드를 실행시키기 위해 취약점이 존재하는 프로그램의 실행 흐름을 조작합니다. 그림에서는 취약한 CGI 스크립트를 이용하여 공격자가 원하는 명령어를 실행시키는 것을 보여주고 있습니다. 따라서 이 그림은 Rce Condition 공격을 나타내고 있습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

10. 다음의 내부에서 외부 네트워크 망으로 가는 방화벽 패킷 필터링 규칙에 대한 <보기>의 설명으로 옳은 것으로만 묶은 것은? (단, 방화벽을 기준으로 192.168.1.11은 내부 네트워크에 위치한 서버이고, 10.10.10.21은 외부 네트워크에 위치한 서버이다)

  1. ㄱ, ㄴ
  2. ㄴ, ㄷ
  3. ㄷ, ㄹ
  4. ㄱ, ㄹ
(정답률: 75%)
  • - ㄴ: 내부 네트워크에서 외부 네트워크로 나가는 패킷은 모두 허용하도록 설정되어 있기 때문이다.
    - ㄷ: 외부 네트워크에서 내부 네트워크로 들어오는 패킷 중 출발지 IP가 10.10.10.21인 패킷은 모두 차단하도록 설정되어 있기 때문이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

11. 전자서명이 제공하는 기능으로 옳지 않은 것은?

  1. 부인 방지(Non Repudiation)
  2. 변경 불가(Unalterable)
  3. 서명자 인증(Authentication)
  4. 재사용 가능(Reusable)
(정답률: 92%)
  • 전자서명은 재사용이 불가능한 것이 옳은 기능입니다. 전자서명은 한 번 사용된 후에는 해당 문서나 데이터를 위조하거나 변경할 수 없도록 보호하기 위해 디지털 인증서와 함께 사용됩니다. 따라서 전자서명은 재사용이 불가능하며, 한 번 사용된 후에는 해당 문서나 데이터를 위조하거나 변경할 수 없습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

12. 위험 관리 과정에 대한 설명으로 ㉠, ㉡에 들어갈 용어로 옳은 것은? (순서대로 ㉠, ㉡)

  1. 자산식별 및 평가, 위험 평가
  2. 자산식별 및 평가, 취약점 분석 및 평가
  3. 위험 평가, 가치평가 및 분석
  4. 가치평가 및 분석 취약점, 분석 및 평가
(정답률: 73%)
  • ㉠ 자산식별 및 평가: 위험 관리 과정에서 가장 먼저 해야하는 것은 조직 내의 모든 자산을 식별하고 그 가치를 평가하는 것입니다. 이를 통해 조직이 보유한 자산의 종류와 가치를 파악할 수 있습니다.

    ㉡ 위험 평가: 자산식별 및 평가를 통해 파악한 자산들의 위험을 평가하는 것입니다. 이를 통해 조직이 보유한 자산들이 어떠한 위협에 노출되어 있는지 파악하고, 이를 예방하거나 대처할 수 있는 방안을 마련할 수 있습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

13. 다음의 사이버 공격 유형과 그에 대한 <보기>의 설명을 바르게 연결한 것은? (순서대로 ㄱ, ㄴ, ㄷ)

  1. A, B, C
  2. A, C, B
  3. B, A, C
  4. B, C, A
(정답률: 90%)
  • - DDoS : 대량의 트래픽을 몰아서 특정 서버나 네트워크를 마비시키는 공격
    - 스팸 메일 : 대량의 광고성 이메일을 발송하여 수신자의 이메일 서버를 마비시키는 공격
    - 악성코드 : 컴퓨터 시스템에 침투하여 데이터를 파괴하거나 제어권을 탈취하는 공격

    B, A, C 순서는 다음과 같은 이유로 정답입니다.
    - DDoS 공격은 대량의 트래픽을 몰아서 서버를 마비시키는 공격이므로, 네트워크나 서버를 공격하는 것이 목적입니다. 따라서, DDoS 공격은 네트워크나 서버를 공격하는 것으로 분류됩니다.
    - 스팸 메일 공격은 대량의 이메일을 발송하여 이메일 서버를 마비시키는 공격이므로, 이메일 서버를 공격하는 것이 목적입니다. 따라서, 스팸 메일 공격은 이메일 서버를 공격하는 것으로 분류됩니다.
    - 악성코드는 컴퓨터 시스템에 침투하여 데이터를 파괴하거나 제어권을 탈취하는 공격이므로, 컴퓨터 시스템을 공격하는 것이 목적입니다. 따라서, 악성코드는 컴퓨터 시스템을 공격하는 것으로 분류됩니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

14. 「개인정보 보호법」상 정보주체가 자신의 개인정보 처리와 관련하여 갖는 권리로 옳지 않은 것은?

  1. 개인정보의 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리
  2. 개인정보의 처리 정지, 정정ㆍ삭제 및 파기를 요구할 권리
  3. 개인정보의 처리로 인하여 발생한 피해를 신속하고 공정한 절차에 따라 구제받을 권리
  4. 개인정보 처리를 수반하는 정책이나 제도를 도입ㆍ변경하는 경우에 개인정보보호위원회에 개인정보 침해요인평가를 요청할 권리
(정답률: 83%)
  • 정답은 "개인정보 처리를 수반하는 정책이나 제도를 도입ㆍ변경하는 경우에 개인정보보호위원회에 개인정보 침해요인평가를 요청할 권리"입니다. 이는 정보주체가 개인정보 처리와 관련하여 갖는 권리 중에서는 아니기 때문입니다. 다른 보기들은 모두 정보주체가 갖는 권리 중에서 옳은 것들입니다.

    개인정보 처리를 수반하는 정책이나 제도를 도입ㆍ변경하는 경우에는 개인정보보호법에서 사전에 개인정보 침해요인평가를 실시하도록 규정하고 있습니다. 이를 위해 개인정보보호위원회가 설치되어 있으며, 이를 통해 정보주체의 개인정보 보호를 위한 제도적 보장을 강화하고 있습니다. 따라서 정보주체가 개인정보 처리를 수반하는 정책이나 제도를 도입ㆍ변경하는 경우에는 개인정보보호위원회에 개인정보 침해요인평가를 요청할 수 있는 권리는 없습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

15. 재해복구시스템의 복구 수준별 유형에 대한 설명으로 옳은 것은?

  1. Warm site는 Mirror site에 비해 전체 데이터 복구 소요 시간이 빠르다.
  2. Cold site는 Mirror site에 비해 높은 구축 비용이 필요하다.
  3. Hot site는 Cold site에 비해 구축 비용이 높고, 데이터의 업데이트가 많은 경우에 적합하다.
  4. Mirror site는 Cold site에 비해 구축 비용이 저렴하고, 복구에 긴 시간이 소요된다.
(정답률: 90%)
  • Hot site는 Cold site에 비해 구축 비용이 높은 이유는 이미 운영 중인 시스템과 동일한 환경을 구축해야 하기 때문입니다. 또한 데이터의 업데이트가 많은 경우에 적합한 이유는 실시간으로 데이터를 업데이트할 수 있기 때문입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

16. 무선랜의 보안 대응책으로 옳지 않은 것은?

  1. AP에 접근이 가능한 기기의 MAC 주소를 등록하고, 등록된 기기의 MAC 주소만 AP 접속을 허용한다.
  2. AP에 기본 계정의 패스워드를 재설정한다.
  3. AP에 대한 DHCP를 활성화하여 AP 검색 시 SSID가 검색되도록 설정한다.
  4. 802.1x와 RADIUS 서버를 이용해 무선 사용자를 인증한다.
(정답률: 87%)
  • "AP에 대한 DHCP를 활성화하여 AP 검색 시 SSID가 검색되도록 설정한다."는 보안 대응책이 아니라 무선 네트워크를 사용하기 위한 기본적인 설정이기 때문에 옳지 않은 것입니다. 이 설정은 무선 네트워크를 사용하려는 기기가 AP를 검색할 때 SSID가 검색되도록 하는 것으로, 보안과는 직접적인 연관이 없습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

17. 다음의 OSI 7계층과 이에 대응하는 계층에서 동작하는 <보기>의 보안 프로토콜을 바르게 연결한 것은? (순서대로 ㄱ, ㄴ, ㄷ)

  1. A, B, C
  2. A, C, B
  3. B, C, A
  4. B, A, C
(정답률: 92%)
  • - 물리 계층: 데이터 전송을 위한 물리적 매체 제어
    - 데이터 링크 계층: 데이터 전송 오류 검출 및 수정
    - 네트워크 계층: IP 주소를 이용한 패킷 라우팅

    B. SSL/TLS: 전송 계층에서 동작하는 보안 프로토콜로, 데이터의 기밀성, 무결성, 인증을 보장한다.

    C. IPSec: 네트워크 계층에서 동작하는 보안 프로토콜로, 가상 사설망(VPN) 구축 및 데이터의 기밀성, 무결성, 인증을 보장한다.

    A. WEP/WPA: 데이터 링크 계층에서 동작하는 보안 프로토콜로, 무선 네트워크에서 데이터의 기밀성, 무결성, 인증을 보장한다.

    정답이 B, C, A인 이유는 OSI 7계층에서 SSL/TLS는 전송 계층에서, IPSec는 네트워크 계층에서, WEP/WPA는 데이터 링크 계층에서 동작하기 때문이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

18. 「개인정보의 기술적ㆍ관리적 보호조치 기준」상 정보통신서비스 제공자 등이 준수해야 하는 사항으로 옳지 않은 것은?

  1. 개인정보처리시스템에 주민번호, 계좌번호를 저장할 때 안전한 암호알고리듬으로 암호화한다.
  2. 개인정보처리시스템에 개인정보취급자의 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관한다.
  3. 개인정보처리시스템에 대한 개인정보취급자의 접속이 필요한 시간 동안만 최대 접속시간 제한 등의 조치를 취한다.
  4. 이용자의 비밀번호 작성규칙은 영문, 숫자, 특수문자 중 2종류 이상을 조합하여 최소 10자리 이상 또는 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성하도록 수립한다.
(정답률: 57%)
  • "이용자의 비밀번호 작성규칙은 영문, 숫자, 특수문자 중 2종류 이상을 조합하여 최소 10자리 이상 또는 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성하도록 수립한다."가 옳지 않은 것이다. 이유는 이는 이용자의 개인정보를 보호하기 위한 것이 아니라, 이용자의 계정 보안을 강화하기 위한 것이기 때문이다. 개인정보처리시스템에 개인정보취급자의 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관하는 것은 개인정보의 무단 접근 및 변경을 방지하기 위한 것이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

19. 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」상 ㉠, ㉡에 들어갈 용어로 옳은 것은? (순서대로 ㉠, ㉡)

  1. 개인정보처리기관, 개인정보보호위원회
  2. 개인정보처리기관, 방송통신위원회
  3. 본인확인기관, 개인정보보호위원회
  4. 본인확인기관, 방송통신위원회
(정답률: 34%)
  • ㉠에서는 "본인확인기관"이라는 용어가 사용되고, ㉡에서는 "방송통신위원회"라는 용어가 사용됩니다. 이는 각각의 역할과 관련이 있습니다. 본인확인기관은 개인정보를 안전하게 관리하기 위해 본인인증을 담당하는 기관으로, 개인정보처리기관이나 금융기관 등에서 본인인증을 받을 때 사용됩니다. 반면, 방송통신위원회는 정보통신망 이용촉진 및 정보보호 등에 관한 법률을 담당하는 기관으로, 정보통신서비스 제공자들의 이용촉진과 정보보호를 감독하고 지원합니다. 따라서, 정답은 "본인확인기관, 방송통신위원회"입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

20. 다음에서 설명하는 국제공통평가기준(CC)의 구성요소는?

  1. 평가보증등급(EAL)
  2. 보호프로파일(PP)
  3. 보안목표명세서(ST)
  4. 평가대상(TOE)
(정답률: 76%)
  • 국제공통평가기준(CC)은 보안성 평가를 위한 국제 표준이며, 구성요소로는 평가보증등급(EAL), 보호프로파일(PP), 보안목표명세서(ST), 평가대상(TOE)이 있다. 이 중 보호프로파일(PP)은 시스템의 보호 수준을 나타내는 요소로, 시스템의 보안 요구사항과 보호 수준을 정의하고, 이를 기반으로 보안성 평가를 수행한다. 즉, 시스템의 보호 수준을 평가하기 위한 기준이라고 할 수 있다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

< 이전회차목록 다음회차 >