9급 지방직 공무원 정보보호론 필기 기출문제복원 (2018-05-19)

9급 지방직 공무원 정보보호론
(2018-05-19 기출문제)

목록

1. 정보보호의 3대 요소 중 가용성에 대한 설명으로 옳은 것은?

  1. 권한이 없는 사람은 정보자산에 대한 수정이 허락되지 않음을 의미한다.
  2. 권한이 없는 사람은 정보자산에 대한 접근이 허락되지 않음을 의미한다.
  3. 정보를 암호화하여 저장하면 가용성이 보장된다.
  4. DoS(Denial of Service) 공격은 가용성을 위협한다.
(정답률: 84%)
  • 가용성은 정보자산에 대한 접근과 이용이 필요할 때 언제든지 가능하도록 보장하는 것이다. DoS 공격은 대상 시스템에 대한 서비스 제공을 방해하여 가용성을 저해하는 공격이기 때문에 "DoS(Denial of Service) 공격은 가용성을 위협한다."가 옳은 설명이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

2. ISO/IEC 27001에서 제시된 정보보안관리를 위한 PDCA 모델에서 ISMS의 지속적 개선을 위해 시정 및 예방 조치를 하는 단계는?

  1. Plan
  2. Do
  3. Check
  4. Act
(정답률: 62%)
  • 정답은 "Act"입니다. 이는 PDCA 모델에서 마지막으로 수행되는 단계로, 이전 단계에서 수집된 정보를 기반으로 ISMS의 성과를 평가하고, 개선을 위한 시정 및 예방 조치를 취하는 단계입니다. 따라서 ISMS의 지속적 개선을 위해 필수적인 단계입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

3. 보안 관리 대상에 대한 설명으로 ㉠~㉢에 들어갈 용어는? (순서대로 ㉠, ㉡, ㉢)

  1. 로그, 세션, 위험
  2. 로그, 세션, 위협
  3. 백업, 쿠키, 위험
  4. 백업, 쿠키, 위협
(정답률: 79%)
  • ㉠: 로그 - 시스템이나 애플리케이션에서 발생하는 이벤트나 작업을 기록하는 것으로, 보안상 중요한 정보를 포함하고 있어서 보안 관리 대상이 됩니다.
    ㉡: 세션 - 사용자가 로그인한 후부터 로그아웃할 때까지의 시간 동안의 상태를 말하며, 사용자 인증 정보나 세션 ID 등 중요한 정보를 포함하고 있어서 보안 관리 대상이 됩니다.
    ㉢: 위협 - 시스템이나 네트워크에 대한 공격이나 해킹 등으로부터 보호하기 위해 대응해야 하는 대상으로, 보안 관리 대상 중 가장 중요한 것입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

4. 유닉스 시스템에서 파일의 접근모드 변경에 사용되는 심볼릭 모드 명령어에 대한 설명으로 옳은 것은?

  1. chmod u-w: 소유자에게 쓰기 권한 추가
  2. chmod g+wx: 그룹, 기타 사용자에게 쓰기와 실행 권한 추가
  3. chmod a+r: 소유자, 그룹, 기타 사용자에게 읽기 권한 추가
  4. chmod o-w: 기타 사용자에게 쓰기 권한 추가
(정답률: 90%)
  • chmod 명령어는 유닉스 시스템에서 파일의 접근모드를 변경하는 명령어입니다. 이 때 사용되는 심볼릭 모드 명령어는 파일의 소유자, 그룹, 기타 사용자에 대한 권한을 변경할 수 있습니다.

    따라서, "chmod a+r: 소유자, 그룹, 기타 사용자에게 읽기 권한 추가"는 파일의 모든 사용자에게 읽기 권한을 추가하는 명령어입니다. "a"는 all을 의미하며, "r"은 read를 의미합니다. 따라서, "chmod a+r"은 파일의 모든 사용자에게 읽기 권한을 추가하는 것입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

5. 정보가 안전한 정도를 평가하는 TCSEC(Trusted Computer System Evaluation Criteria)의 보안등급 중에서 검증된 설계(Verified Design)를 의미하는 보안등급은?

  1. A 등급
  2. B 등급
  3. C 등급
  4. D 등급
(정답률: 69%)
  • "A 등급"은 검증된 설계를 가지고 있어서, 시스템의 보안성이 높은 등급이다. 이 등급은 시스템의 구성요소들이 검증된 보안 정책을 따르고, 시스템의 보안성을 검증하기 위한 테스트를 통과한 것을 의미한다. 따라서, "A 등급"은 가장 높은 보안성을 가진 등급 중 하나이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

6. 다음에서 설명하는 공격 기술은?

  1. 차분 암호 분석 공격(Differential Cryptanalysis Attack)
  2. 중간자 공격(Man-In-The-Middle Attack)
  3. 부채널 공격(Side-Channel Attack)
  4. 재전송 공격(Replay Attack)
(정답률: 62%)
  • 부채널 공격은 암호화된 데이터를 해독하기 위해 암호화 장치의 전력 소비, 전자기 방사, 소음 등의 부가적인 정보를 이용하는 공격 기술입니다. 이 경우, 암호화 장치의 물리적인 특성을 이용하여 암호화된 데이터를 해독하므로, 암호화 알고리즘 자체를 공격하는 것보다 훨씬 효과적입니다. 위 그림에서는 전력 소비를 이용하여 부채널 공격을 수행하는 모습을 보여줍니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

7. DoS(Denial of Service) 공격의 대응 방법에 대한 설명으로 ㉠, ㉡에 들어갈 용어는? (순서대로 ㉠, ㉡)

  1. Smurf, Land
  2. Smurf, Ping of Death
  3. Ping of Death, Land
  4. Ping of Death, Smurf
(정답률: 75%)
  • ㉠: Smurf, ㉡: Land

    Smurf 공격은 공격자가 대량의 ICMP Echo Request 패킷을 네트워크 상의 브로드캐스트 주소로 보내서, 해당 네트워크 상의 모든 호스트들이 이에 대한 ICMP Echo Reply 패킷을 보내도록 유도하는 공격이다. 이로 인해 대상 시스템은 대량의 ICMP Echo Reply 패킷으로 인해 네트워크 대역폭을 소모하게 되어 서비스 거부 상태에 빠지게 된다.

    Land 공격은 공격자가 대상 시스템에게서 오는 TCP SYN 패킷의 출발지 IP 주소와 포트 번호를 대상 시스템의 IP 주소와 포트 번호로 조작하여, 대상 시스템이 자기 자신에게 SYN 패킷을 보내도록 유도하는 공격이다. 이로 인해 대상 시스템은 자기 자신에게 대량의 SYN 패킷을 보내게 되어 CPU와 메모리 등의 자원을 소모하게 되어 서비스 거부 상태에 빠지게 된다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

8. 「전자서명법」상 용어의 정의로 옳지 않은 것은?

  1. ‘전자서명’이라 함은 서명자를 확인하고 서명자가 당해 전자문서에 서명을 하였음을 나타내는 데 이용하기 위하여 당해 전자문서에 첨부되거나 논리적으로 결합된 전자적 형태의 정보를 말한다.
  2. ‘인증서’라 함은 전자서명생성정보가 가입자에게 유일하게 속한다는 사실 등을 확인하고 이를 증명하는 전자적 정보를 말한다.
  3. ‘서명자’라 함은 전자서명검증정보를 보유하고 자신이 직접 또는 타인을 대리하여 서명을 하는 자를 말한다.
  4. ‘전자서명생성정보’라 함은 전자서명을 생성하기 위하여 이용하는 전자적 정보를 말한다.
(정답률: 73%)
  • "'전자서명'이라 함은 서명자를 확인하고 서명자가 당해 전자문서에 서명을 하였음을 나타내는 데 이용하기 위하여 당해 전자문서에 첨부되거나 논리적으로 결합된 전자적 형태의 정보를 말한다."가 정답이다.

    서명자는 전자서명을 하는 사람을 말하는데, 전자서명검증정보를 보유하고 서명을 하는 사람을 말한다. 인증서는 전자서명생성정보가 가입자에게 유일하게 속한다는 사실 등을 확인하고 이를 증명하는 전자적 정보를 말하며, 전자서명생성정보는 전자서명을 생성하기 위하여 이용하는 전자적 정보를 말한다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

9. 「전자정부 SW 개발ㆍ운영자를 위한 소프트웨어 개발보안 가이드」상 분석ㆍ설계 단계 보안요구항목과 구현 단계 보안약점을 연결한 것으로 옳지 않은 것은? (순서대로 분석ㆍ설계 단계 보안요구항목, 구현 단계 보안약점

  1. DBMS 조회 및 결과 검증, SQL 삽입
  2. 디렉터리 서비스 조회 및 결과 검증, LDAP 삽입
  3. 웹서비스 요청 및 결과 검증, 크로스사이트 스크립트
  4. 보안기능 동작에 사용되는 입력값 검증, 솔트 없이 일방향 해시함수 사용
(정답률: 76%)
  • "DBMS 조회 및 결과 검증, SQL 삽입"과 "디렉터리 서비스 조회 및 결과 검증, LDAP 삽입"은 분석ㆍ설계 단계에서 보안요구항목으로, "웹서비스 요청 및 결과 검증, 크로스사이트 스크립트"와 "보안기능 동작에 사용되는 입력값 검증, 솔트 없이 일방향 해시함수 사용"은 구현 단계에서 보안약점으로 연결되어 있습니다. 따라서, 주어진 보기 중에서 옳지 않은 것은 없습니다.

    "보안기능 동작에 사용되는 입력값 검증, 솔트 없이 일방향 해시함수 사용"은 구현 단계에서 발생할 수 있는 보안약점으로, 입력값을 검증하지 않거나 솔트 없이 일방향 해시함수를 사용하는 경우 해시 충돌 등의 공격에 취약해질 수 있습니다. 따라서, 이러한 보안약점을 방지하기 위해서는 입력값을 검증하고, 솔트를 사용하여 일방향 해시함수를 적용해야 합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

10. 개인정보 보호법령상 영업양도 등에 따른 개인정보의 이전 제한에 대한 내용으로 옳지 않은 것은?

  1. 영업양수자등은 영업의 양도ㆍ합병 등으로 개인정보를 이전받은 경우에는 이전 당시의 본래 목적으로만 개인정보를 이용하거나 제3자에게 제공할 수 있다.
  2. 영업양수자등이 과실 없이 서면 등의 방법으로 개인정보를 이전받은 사실 등을 정보주체에게 알릴 수 없는 경우에는 해당 사항을 인터넷 홈페이지에 10일 이상 게재하여야 한다.
  3. 개인정보처리자는 영업의 전부 또는 일부의 양도ㆍ합병 등으로 개인정보를 다른 사람에게 이전하는 경우에는 미리 개인정보를 이전하려는 사실 등을 서면 등의 방법에 따라 해당 정보주체에게 알려야 한다.
  4. 영업양수자등은 개인정보를 이전받았을 때에는 지체 없이 그 사실을 서면 등의 방법에 따라 정보주체에게 알려야 한다. 다만, 개인정보처리자가 「개인정보 보호법」 제27조제1항에 따라 그 이전 사실을 이미 알린 경우에는 그러하지 아니하다.
(정답률: 59%)
  • 영업양수자등이 과실 없이 서면 등의 방법으로 개인정보를 이전받은 사실 등을 정보주체에게 알릴 수 없는 경우에는 해당 사항을 인터넷 홈페이지에 10일 이상 게재하여야 한다. - 이는 옳은 내용입니다. 개인정보 보호법 제26조에 따라 개인정보를 이전받은 경우, 정보주체에게 개인정보 이전 사실을 알리는 것이 원칙이지만, 과실 없이 알릴 수 없는 경우에는 인터넷 홈페이지에 10일 이상 게재하여야 합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

11. 대칭키 암호 알고리즘에 대한 설명으로 옳은 것만을 모두 고르면?

  1. ㄱ, ㄹ
  2. ㄴ, ㄷ
  3. ㄱ, ㄴ, ㄷ
  4. ㄱ, ㄴ, ㄹ
(정답률: 76%)
  • - 대칭키 암호 알고리즘은 암호화와 복호화에 같은 키를 사용하는 알고리즘이다.
    - "ㄱ, ㄴ, ㄷ"이 옳은 이유는 다음과 같다.
    - "ㄱ"은 대칭키 암호 알고리즘의 대표적인 예시인 DES 알고리즘에서 사용되는 키의 길이가 56비트이기 때문이다.
    - "ㄴ"은 대칭키 암호 알고리즘의 대표적인 예시인 AES 알고리즘에서 사용되는 키의 길이가 128, 192, 256비트 중 하나이기 때문이다.
    - "ㄷ"는 대칭키 암호 알고리즘의 대표적인 예시인 Blowfish 알고리즘에서 사용되는 키의 길이가 최소 32비트에서 최대 448비트까지 가능하기 때문이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

12. 다음에서 설명하는 프로토콜은?

  1. AH(Authentication Header)
  2. SSH(Secure SHell)
  3. WAP(Wireless Application Protocol)
  4. WEP(Wired Equivalent Privacy)
(정답률: 73%)
  • 이 그림은 Wi-Fi에서 사용되는 암호화 프로토콜 중 하나인 WEP(Wired Equivalent Privacy)을 나타냅니다. WEP는 유선 네트워크와 동등한 보안 수준을 제공하기 위해 개발된 프로토콜입니다. 하지만 WEP는 보안 취약점이 많아 현재는 사용되지 않는 것이 좋습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

13. 기밀성을 제공하는 암호 기술이 아닌 것은?

  1. RSA
  2. SHA-1
  3. ECC
  4. IDEA
(정답률: 82%)
  • SHA-1은 해시 함수이며, 기밀성을 제공하는 암호 기술이 아닙니다. SHA-1은 입력값을 고정된 크기의 출력값으로 변환하는 함수로, 데이터 무결성 검증 등에 사용됩니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

14. SSL 프로토콜에 대한 설명으로 옳지 않은 것은?

  1. 전송계층과 네트워크계층 사이에서 동작한다.
  2. 인증, 기밀성, 무결성 서비스를 제공한다.
  3. Handshake Protocol은 보안 속성 협상을 담당한다.
  4. Record Protocol은 메시지 압축 및 암호화를 담당한다.
(정답률: 61%)
  • "전송계층과 네트워크계층 사이에서 동작한다."는 옳은 설명이 아니다. SSL 프로토콜은 전송계층과 응용계층 사이에서 동작한다. SSL은 전송계층보다 상위 계층인 응용계층에서 동작하며, TCP와 같은 전송계층 프로토콜 위에 구현된다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

15. DSA(Digital Signature Algorithm)에 대한 설명으로 옳지 않은 것은?

  1. 기밀성과 부인방지를 동시에 보장한다.
  2. NIST에서 발표한 전자서명 표준 알고리즘이다.
  3. 전자서명의 생성 및 검증 과정에 해시함수가 사용된다.
  4. 유한체상의 이산대수문제의 어려움에 그 안전성의 기반을 둔다.
(정답률: 53%)
  • "기밀성과 부인방지를 동시에 보장한다."는 DSA에 대한 설명과 관련이 없는 문장이다. DSA는 전자서명의 생성 및 검증 과정에 해시함수가 사용되며, 유한체상의 이산대수문제의 어려움에 그 안전성의 기반을 둔 NIST에서 발표한 전자서명 표준 알고리즘이다. DSA는 인증서를 발급하는 과정에서 기밀성과 부인방지를 보장하기 위해 사용되는 것이 아니라, 전자서명의 검증과정에서 위변조 여부를 확인하고 부인방지를 보장하기 위해 사용된다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

16. 무의미한 코드를 삽입하고 프로그램 실행 순서를 섞는 등 악성코드 분석가의 작업을 방해하는 기술은?

  1. 디스어셈블(Disassemble)
  2. 난독화(Obfuscation)
  3. 디버깅(Debugging)
  4. 언패킹(Unpacking)
(정답률: 84%)
  • 난독화는 악성코드 분석가가 코드를 해석하기 어렵게 만드는 기술로, 무의미한 코드를 삽입하거나 프로그램 실행 순서를 섞는 등의 방법을 사용하여 분석을 방해합니다. 이를 통해 악성코드 분석을 어렵게 만들어 보안을 뚫는 것을 방지할 수 있습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

17. 윈도우즈용 네트워크 및 시스템 관리 명령어에 대한 설명으로 옳은 것은?

  1. ping-원격 시스템에 대한 경로 및 물리 주소 정보를 제공한다.
  2. arp-IP 주소에서 물리 주소로의 변환 정보를 제공한다.
  3. tracert-IP 주소, 물리 주소 및 네트워크 인터페이스 정보를 제공한다.
  4. ipconfig-원격 시스템의 동작 여부 및 RTT(Round Trip Time) 정보를 제공한다.
(정답률: 83%)
  • arp는 Address Resolution Protocol의 약자로, IP 주소와 물리 주소(MAC 주소) 간의 매핑 정보를 제공하는 프로토콜입니다. arp 명령어는 특정 IP 주소에 대한 물리 주소를 조회하거나, 현재 시스템에 등록된 arp 테이블을 확인할 수 있습니다. 따라서 "arp-IP 주소에서 물리 주소로의 변환 정보를 제공한다."가 정답입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

18. 정보자산에 대한 위험분석에서 사용하는 ALE(Annualized Loss Expectancy, 연간예상손실액), SLE(Single Loss Expectancy, 1회손실예상액), ARO(Annualized Rate of Occurrence, 연간발생빈도) 사이의 관계로 옳은 것은?

  1. ALE=SLE+ARO
  2. ALE=SLE×ARO
  3. SLE=ALE+ARO
  4. SLE=ALE×ARO
(정답률: 91%)
  • 정답은 "ALE=SLE×ARO"입니다.

    ALE은 연간 예상 손실액을 의미하며, 이는 SLE(1회 손실 예상액)과 ARO(연간 발생 빈도)의 곱으로 계산됩니다. 즉, ALE은 한 번의 손실이 발생할 때 예상되는 손실액(SLE)과 해당 손실이 연간 발생할 확률(ARO)을 고려하여 계산됩니다.

    따라서, ALE을 줄이기 위해서는 SLE를 줄이거나 ARO를 줄이는 방법을 고려해야 합니다. SLE를 줄이기 위해서는 보안 대책을 강화하거나 위험을 줄이는 조치를 취할 수 있습니다. ARO를 줄이기 위해서는 위험을 예방하는 조치를 취하거나 위험을 감지하고 대응하는 방법을 고려할 수 있습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

19. 「개인정보 보호법」상 개인정보 보호 원칙으로 옳지 않은 것은?

  1. 개인정보처리자는 개인정보의 처리 목적을 명확하게 하여야 하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집하여야 한다.
  2. 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 적합하게 개인정보를 처리하여야 하며, 그 목적 외의 용도로 활용하여서는 아니 된다.
  3. 개인정보처리자는 개인정보의 익명처리가 가능한 경우에는 익명에 의하여 처리될 수 있도록 하여야 한다.
  4. 개인정보처리자는 개인정보 처리방침 등 개인정보의 처리에 관한 사항을 비밀로 하여야 한다.
(정답률: 84%)
  • 옳지 않은 것은 "개인정보처리자는 개인정보 처리방침 등 개인정보의 처리에 관한 사항을 비밀로 하여야 한다." 이다. 개인정보 처리방침은 개인정보 보호를 위한 중요한 정보이므로 공개되어야 하며, 개인정보처리자는 이를 공개하여야 한다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

20. 다음에서 설명하는 블록암호 운용 모드는?

  1. ECB
  2. CBC
  3. CFB
  4. CTR
(정답률: 50%)
  • 이 운용 모드는 CTR(Counter) 모드이다. 이 모드는 평문을 블록 단위로 나누어 암호화하고, 암호화된 블록과 카운터 값을 XOR 연산하여 암호문을 생성한다. 이때 카운터 값은 일정한 규칙에 따라 증가시키며, 이를 통해 다양한 평문 블록을 암호화할 수 있다. CTR 모드는 병렬 처리가 가능하고, 암호화와 복호화에 동일한 알고리즘을 사용하기 때문에 구현이 간단하다는 장점이 있다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

< 이전회차목록 다음회차 >