9급 지방직 공무원 정보보호론 필기 기출문제복원 (2017-12-16)

9급 지방직 공무원 정보보호론
(2017-12-16 기출문제)

목록

1. 유닉스(Unix) 운영체제에서 사용자의 패스워드에 대한 해쉬 값이 저장되어 있는 파일은?

  1. /etc/shadow
  2. /etc/passwd
  3. /etc/profile
  4. /etc/group
(정답률: 89%)
  • "/etc/shadow" 파일은 유닉스 운영체제에서 사용자의 패스워드에 대한 해쉬 값이 저장되어 있는 파일이다. 이 파일은 일반 사용자가 접근할 수 없도록 권한이 제한되어 있어 보안성이 높다. 반면 "/etc/passwd" 파일은 사용자의 계정 정보가 저장되어 있지만 패스워드는 암호화되어 있지 않아 보안성이 낮다. 따라서 유닉스 시스템에서는 "/etc/shadow" 파일을 사용하여 보안성을 강화한다. "/etc/profile" 파일은 사용자의 환경 변수와 쉘 설정 정보가 저장되어 있고, "/etc/group" 파일은 그룹 정보가 저장되어 있다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

2. 다음에서 설명하는 것은?

  1. 스키테일(Scytale)
  2. 아핀(Affine)
  3. 에니그마(Enigma)
  4. 비제니어(Vigenere)
(정답률: 82%)
  • 위 그림은 암호화 기계인 에니그마의 구조를 보여주고 있다. 따라서 정답은 "에니그마(Enigma)"이다. 스키테일, 아핀, 비제니어는 다른 암호화 방식들이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

3. RFC 2104 인터넷 표준에서 정의한 메시지 인증 코드를 생성하는 알고리즘은?

  1. Elliptic Curve Cryptography
  2. ElGamal
  3. RC4
  4. HMAC-SHA1
(정답률: 84%)
  • RFC 2104에서 정의한 메시지 인증 코드 생성 알고리즘은 HMAC(Hierarchical Message Authentication Code)이며, 이 알고리즘에서 사용하는 해시 함수 중 하나가 SHA1이다. 따라서 정답은 "HMAC-SHA1"이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

4. 다음에서 설명하는 디지털 포렌식(Digital Forensics)은?

  1. 항포렌식(Anti Forensic)
  2. 임베디드 포렌식(Embedded Forensic)
  3. 디스크 포렌식(Disk Forensic)
  4. 시스템 포렌식(System Forensic)
(정답률: 92%)
  • 디지털 포렌식은 디지털 기기나 데이터를 수집, 분석하여 범죄나 사고의 증거를 찾는 기술이다. 반면, 항포렌식은 디지털 포렌식 기술을 우회하거나 방해하여 증거를 파괴하거나 추적을 막는 기술이다. 따라서, 항포렌식은 디지털 포렌식의 반대 개념이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

5. 안전한 전자상거래를 구현하기 위해서 필요한 요건들에 대한 설명으로 옳은 것은?

  1. 무결성(Integrity)-정보가 허가되지 않은 사용자(조직)에게 노출되지 않는 것을 보장하는 것을 의미한다.
  2. 인증(Authentication)-각 개체 간에 전송되는 정보는 암호화에 의한 비밀 보장이 되어 권한이 없는 사용자에게 노출되지 않아야 하며 저장된 자료나 전송 자료를 인가받지 않은 상태에서는 내용을 확인할 수 없어야 한다.
  3. 접근제어(Access Control)-허가된 사용자가 허가된 방식으로 자원에 접근하도록 하는 것이다.
  4. 부인봉쇄(Non-repudiation)-어떠한 행위에 관하여 서명자나 서비스로부터 부인할 수 있도록 해주는 것을 의미한다.
(정답률: 64%)
  • 안전한 전자상거래를 구현하기 위해서는 무결성, 인증, 접근제어, 부인봉쇄가 필요하다. 접근제어는 허가된 사용자가 허가된 방식으로 자원에 접근하도록 하는 것이다. 즉, 불법적인 접근을 차단하고, 인가된 사용자만이 자원에 접근할 수 있도록 제한하는 것이다. 이를 통해 정보의 안전성을 보장할 수 있다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

6. 무선 인터넷 보안을 위한 알고리즘이나 표준이 아닌 것은?

  1. WEP
  2. WPA-PSK
  3. 802.11i
  4. X.509
(정답률: 92%)
  • X.509은 무선 인터넷 보안을 위한 알고리즘이나 표준이 아니라 디지털 인증서의 형식을 정의하는 규약이기 때문에 정답입니다. 다른 것들은 모두 무선 인터넷 보안을 위한 알고리즘이나 표준입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

7. 다음은 유닉스에서 /etc/passwd 파일의 구성을 나타낸 것이다. ㉠~㉣에 대한 설명으로 옳은 것은?

  1. ㉠-사용자 소속 그룹 GID
  2. ㉡-사용자 UID
  3. ㉢-사용자 계정 이름
  4. ㉣-사용자 로그인 쉘
(정답률: 80%)
  • ㉣은 해당 사용자가 로그인할 때 사용할 쉘을 나타낸다. 로그인 쉘은 사용자가 명령어를 입력하고 실행할 때 사용되는 프로그램이다. 예를 들어, 로그인 쉘로 /bin/bash를 설정하면 사용자가 로그인하면 bash 쉘이 실행되어 명령어를 입력할 수 있다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

8. 「국가정보화 기본법」상 ㉠, ㉡에 들어갈 용어가 바르게 연결된 것은? (순서대로 ㉠, ㉡)

  1. 3년, 행정안전부장관
  2. 3년, 과학기술정보통신부장관
  3. 5년, 과학기술정보통신부장관
  4. 5년, 행정안전부장관
(정답률: 39%)
  • 국가정보화 기본법에서는 정보통신기술의 발전과 국가경쟁력 강화를 위해 정보화사업을 추진하고, 이를 위해 정보화기반을 구축하고 운영하는데 필요한 제반 사항을 규정하고 있다. 이에 따라 정보화사업을 총괄하는 책임자인 정보통신부장관의 임기는 5년으로 정해져 있으며, 이를 담당하는 부처는 과학기술정보통신부이다. 따라서 정답은 "5년, 과학기술정보통신부장관"이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

9. 일정 크기의 평문 블록을 반으로 나누고 블록의 좌우를 서로 다른 규칙으로 계산하는 페이스텔(Feistel) 암호 원리를 따르는 알고리즘은?

  1. DES(Data Encryption Standard)
  2. AES(Advanced Encryption Standard)
  3. RSA
  4. Diffie-Hellman
(정답률: 81%)
  • DES는 페이스텔 암호 원리를 따르는 알고리즘으로, 64비트 평문 블록을 16라운드로 나누어 좌우를 서로 다른 규칙으로 계산하여 암호화하는 방식을 사용합니다. 이 알고리즘은 1977년 미국 국가안보국(NSA)에서 개발되었으며, 1997년에는 국제 표준으로 지정되었습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

10. IPSec 표준은 네트워크 상의 패킷을 보호하기 위하여 AH(Authentication Header)와 ESP(Encapsulating Security Payload)로 구성된다. AH와 ESP 프로토콜에 대한 설명으로 옳지 않은 것은?

  1. AH 프로토콜의 페이로드 데이터와 패딩 내용은 기밀성 범위에 속한다.
  2. AH 프로토콜은 메시지의 무결성을 검사하고 재연(Replay)공격 방지 서비스를 제공한다.
  3. ESP 프로토콜은 메시지 인증 및 암호화를 제공한다.
  4. ESP는 전송 및 터널 모드를 지원한다.
(정답률: 70%)
  • "AH 프로토콜의 페이로드 데이터와 패딩 내용은 기밀성 범위에 속한다."는 옳지 않은 설명이다. AH 프로토콜은 인증과 무결성 검사를 위한 프로토콜로, 기밀성을 제공하지는 않는다. 따라서 AH 프로토콜의 페이로드 데이터와 패딩 내용은 기밀성 범위에 속하지 않는다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

11. 스마트폰 보안을 위한 사용자 지침으로 옳지 않은 것은?

  1. 관리자 권한으로 단말기 관리
  2. 스마트폰과 연결되는 PC에도 백신 프로그램 설치
  3. 블루투스 기능은 필요 시에만 활성
  4. 의심스러운 앱 애플리케이션 다운로드하지 않기
(정답률: 94%)
  • "관리자 권한으로 단말기 관리"는 옳지 않은 사용자 지침입니다. 이는 스마트폰의 보안 위험을 높일 수 있기 때문입니다. 관리자 권한을 부여하면 악성 소프트웨어가 단말기에 더 쉽게 침투할 수 있으며, 사용자가 의도하지 않은 변경이나 삭제가 발생할 수 있습니다. 따라서 관리자 권한은 필요한 경우에만 부여하고, 보안에 민감한 작업을 수행할 때만 사용해야 합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

12. 다음에서 설명하는 것은?

  1. 인증서(Certificate)
  2. 스테가노그래피(Steganography)
  3. 전자서명(Digital Signature)
  4. 메시지 인증 코드(Message Authentication Code)
(정답률: 98%)
  • 위 그림은 스테가노그래피 기술을 이용하여 숨겨진 이미지를 보여주는 예시입니다. 스테가노그래피는 정보를 숨기는 기술로, 이미지나 오디오 등의 미디어 파일에 데이터를 숨겨서 전송하거나 저장할 수 있습니다. 이를 이용하여 정보를 안전하게 전송하거나, 악성코드를 감추는 등의 용도로 사용될 수 있습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

13. 조직의 정보자산을 보호하기 위하여 정보자산에 대한 위협과 취약성을 분석하여 비용 대비 적절한 보호 대책을 마련함으로써 위험을 감수할 수 있는 수준으로 유지하는 일련의 과정은?

  1. 업무 연속성 계획
  2. 위험관리
  3. 정책과 절차
  4. 탐지 및 복구 통제
(정답률: 91%)
  • 조직의 정보자산을 보호하기 위해서는 정보자산에 대한 위협과 취약성을 파악하고, 이를 분석하여 적절한 보호 대책을 마련해야 합니다. 이를 통해 조직은 위험을 감수할 수 있는 수준으로 유지할 수 있습니다. 이러한 일련의 과정을 위험관리라고 합니다. 따라서 정답은 "위험관리"입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

14. 「개인정보 보호법」상 다음 업무를 수행하는 자는?

  1. 수탁자
  2. 정보통신서비스 제공자
  3. 개인정보취급자
  4. 개인정보 보호책임자
(정답률: 89%)
  • 개인정보 보호책임자는 개인정보를 취급하는 조직에서 개인정보 보호에 대한 책임을 지는 자로서, 개인정보 보호법상에서는 필수적인 역할을 수행합니다. 따라서, 개인정보 보호책임자는 개인정보 보호법상에서 다른 업무를 수행하는 자들보다 더욱 중요한 역할을 수행하게 됩니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

15. XSS 공격에 대한 설명으로 옳은 것은?

  1. 자료실에 올라간 파일을 다운로드할 때 전용 다운로드 프로그램이 파일을 가져오는데, 이때 파일 이름을 필터링하지 않아서 취약점이 발생한다.
  2. 악성 스크립트를 웹 페이지의 파라미터 값에 추가하거나, 웹 게시판에 악성 스크립트를 포함시킨 글을 등록하여 이를 사용자의 웹 브라우저 내에서 적절한 검증 없이 실행되도록한다.
  3. 네트워크 통신을 조작하여 통신 내용을 도청하거나 조작하는 공격 기법이다.
  4. 데이터베이스를 조작할 수 있는 스크립트를 웹 서버를 이용하여 데이터베이스로 전송한 후 데이터베이스의 반응을 이용하여 기밀 정보를 취득하는 공격 기법이다.
(정답률: 88%)
  • XSS 공격은 악성 스크립트를 웹 페이지의 파라미터 값에 추가하거나, 웹 게시판에 악성 스크립트를 포함시킨 글을 등록하여 이를 사용자의 웹 브라우저 내에서 적절한 검증 없이 실행되도록 하는 공격 기법이다. 이를 통해 공격자는 사용자의 쿠키 정보 등을 탈취하거나, 사용자의 브라우저를 제어하여 악성 행위를 수행할 수 있다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

16. 영국, 독일, 네덜란드, 프랑스 등의 유럽 국가가 평가 제품의 상호 인정 및 정보보호평가 기준의 상이함에서 오는 시간과 인력 낭비를 줄이기 위해 제정한 유럽형 보안 기준은?

  1. CC(Common Criteria)
  2. TCSEC(Orange Book)
  3. ISO/IEC JTC 1
  4. ITSEC
(정답률: 80%)
  • 유럽 국가들이 평가 제품의 상호 인정 및 정보보호평가 기준의 상이함에서 오는 시간과 인력 낭비를 줄이기 위해 제정한 유럽형 보안 기준은 ITSEC이다. ITSEC은 Information Technology Security Evaluation Criteria의 약자로, 정보 기술 보안 평가 기준을 의미한다. 이는 유럽 국가들이 공동으로 개발한 보안 기준으로, 제품의 보안성을 평가하고 인증하는 데 사용된다. ITSEC은 CC(Common Criteria)와 유사한 목적을 가지고 있지만, CC보다는 더 구체적인 평가 기준을 제공한다. 따라서 ITSEC은 유럽 국가들 간에 제품 평가의 상호 인정을 촉진하고, 보안성 평가의 효율성을 높이는 데 큰 역할을 한다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

17. 다음에서 설명하는 것은?

  1. SECU-STAR(Security Assessment for Readiness)
  2. PIPL(Personal Information Protection Level)
  3. EAL(Evaluation Assurance Level)
  4. ISMS(Information Security Management System)
(정답률: 62%)
  • 위 그림은 정보보호 등급인 PIPL(Personal Information Protection Level)을 나타내는 것이다. PIPL은 개인정보보호 등급을 나타내며, 정보보호 등급 평가를 통해 산출된다. SECU-STAR은 정보보호 등급 평가를 위한 평가기준이고, EAL은 정보보호 제품의 보안성 평가를 위한 국제표준이다. ISMS는 조직의 정보보호 관리체계를 평가하는 제도이다. 따라서, 위 그림에서는 PIPL이 정답인 이유는 해당 그림이 개인정보보호 등급을 나타내기 때문이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

18. 개인정보보호 관리체계(PIMS) 인증에 대한 설명으로 옳지 않은 것은?

  1. 한국인터넷진흥원이 PIMS 인증기관으로 지정되어 있다.
  2. PIMS 인증 후, 2년간의 유효 기간이 있다.
  3. PIMS 인증 신청은 민간 기업 자율에 맡긴다.
  4. PIMS 인증 취득 기업은 개인정보 사고 발생 시 과징금 및 과태료를 경감 받을 수 있다.
(정답률: 72%)
  • "PIMS 인증 후, 2년간의 유효 기간이 있다."가 옳지 않은 것이다. PIMS 인증은 매년 재인증을 받아야 하며, 인증 취득 후 1년간 유효하다. 따라서 매년 재인증을 받아야 한다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

19. 다음은 침입 탐지 시스템의 탐지분석 기법에 대한 설명이다. ㉠~㉣에 들어갈 내용이 바르게 연결된 것은? (순서대로 ㉠, ㉡, ㉢, ㉣)

  1. 이상탐지기법, False Positive, 오용탐지기법, False Negative
  2. 이상탐지기법, False Negative, 오용탐지기법, False Positive
  3. 오용탐지기법, False Negative, 이상탐지기법, False Positive
  4. 오용탐지기법, False Positive, 이상탐지기법, False Negative
(정답률: 80%)
  • ㉠ 오용탐지기법은 정상적인 행위를 비정상적인 행위로 오인하여 경고를 발생시키는 방식으로, False Negative가 발생할 가능성이 높습니다.
    ㉡ False Negative는 실제로는 침입이 발생했는데도 탐지하지 못하는 경우를 말합니다.
    ㉢ 이상탐지기법은 정상적인 행위와는 다른 비정상적인 행위를 탐지하여 경고를 발생시키는 방식으로, False Positive가 발생할 가능성이 높습니다.
    ㉣ False Positive는 실제로는 침입이 발생하지 않았는데도 잘못된 경고를 발생시키는 경우를 말합니다.

    따라서, 정답은 "이상탐지기법, False Positive, 오용탐지기법, False Negative"입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

20. 위험 분석 방법 중 손실 크기를 화폐가치로 측정할 수 없어서 위험을 기술 변수로 표현하는 정성적 분석 방법이 아닌 것은?

  1. 델파이법
  2. 퍼지 행렬법
  3. 순위 결정법
  4. 과거자료 접근법
(정답률: 63%)
  • 과거자료 접근법은 손실 크기를 화폐가치로 측정하지 않고, 과거에 발생한 비슷한 사건의 경험을 바탕으로 위험을 예측하는 방법이기 때문에 정성적 분석 방법이다. 따라서, 손실 크기를 화폐가치로 측정하지 않는다는 이유로 과거자료 접근법은 정성적 분석 방법이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

< 이전회차목록 다음회차 >