9급 지방직 공무원 정보보호론 필기 기출문제복원 (2019-06-15)

9급 지방직 공무원 정보보호론
(2019-06-15 기출문제)

목록

1. 정보통신망 등의 침해사고에 대응하기 위해 기업이나 기관의 업무 관할 지역 내에서 침해사고의 접수 및 처리 지원을 비롯해 예방, 피해 복구 등의 임무를 수행하는 조직은?

  1. CISO
  2. CERT
  3. CPPG
  4. CPO
(정답률: 86%)
  • CERT는 Computer Emergency Response Team의 약자로, 정보통신망 등의 침해사고에 대응하기 위해 기업이나 기관의 업무 관할 지역 내에서 침해사고의 접수 및 처리 지원을 비롯해 예방, 피해 복구 등의 임무를 수행하는 조직이다. 따라서, CERT가 정보보안 분야에서 중요한 역할을 수행하고 있기 때문에 이 문제에서는 CERT가 정답이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

2. OECD 개인정보보호 8개 원칙 중 다음에서 설명하는 것은?

  1. 수집 제한의 원칙(Collection Limitation Principle)
  2. 이용 제한의 원칙(Use Limitation Principle)
  3. 정보 정확성의 원칙(Data Quality Principle)
  4. 안전성 확보의 원칙(Security Safeguards Principle)
(정답률: 96%)
  • 위 그림은 개인정보를 안전하게 보호하기 위한 보안 조치들을 나타내고 있습니다. 따라서 이 그림은 OECD의 "안전성 확보의 원칙(Security Safeguards Principle)"을 나타냅니다. 이 원칙은 개인정보를 안전하게 보호하기 위해 적절한 보안 조치를 취해야 한다는 원칙입니다. 이는 개인정보 유출, 변조, 파괴 등의 위험으로부터 개인정보를 보호하기 위한 것입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

3. 취약한 웹 사이트에 로그인한 사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위(수정, 삭제, 등록 등)를 일으키도록 위조된 HTTP 요청을 웹 응용 프로그램에 전송하는 공격은?

  1. CSRF 공격
  2. SQL 삽입 공격
  3. 취약한 인증 및 세션 공격
  4. DoS 공격
(정답률: 70%)
  • CSRF 공격은 취약한 웹 사이트에 로그인한 사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위를 일으키도록 위조된 HTTP 요청을 전송하는 공격입니다. 이는 공격자가 사용자의 인증 정보를 이용하여 사용자가 의도하지 않은 행동을 하도록 유도하는 것으로, 사용자가 클릭한 링크나 이미지 등을 통해 공격자가 제작한 악성 요청이 전송되어 발생합니다. 이러한 공격은 사용자의 인증 정보를 탈취하지 않고도 공격을 수행할 수 있기 때문에 매우 위험한 공격입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

4. 스테가노그래피에 대한 설명으로 옳지 않은 것은?

  1. 스테가노그래피는 민감한 정보의 존재 자체를 숨기는 기술이다.
  2. 원데이터에 비해 더 많은 정보의 은닉이 가능하므로 암호화보다 공간효율성이 높다.
  3. 텍스트ㆍ이미지 파일 등과 같은 디지털화된 데이터에 비밀 이진(Binary) 정보가 은닉될 수 있다.
  4. 고해상도 이미지 내 각 픽셀의 최하위 비트들을 변형하여 원본의 큰 손상 없이 정보를 은닉하는 방법이 있다.
(정답률: 78%)
  • 스테가노그래피에 대한 설명으로 옳지 않은 것은 "원데이터에 비해 더 많은 정보의 은닉이 가능하므로 암호화보다 공간효율성이 높다." 이다. 스테가노그래피는 원본 데이터에 추가적인 정보를 숨기는 기술이므로, 원본 데이터의 크기와 동일하거나 더 큰 용량이 필요하다. 따라서 암호화보다는 공간효율성이 낮다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

5. 다음 중 OSI 7계층 모델에서 동작하는 계층이 다른 것은?

  1. L2TP
  2. SYN 플러딩
  3. PPTP
  4. ARP 스푸핑
(정답률: 71%)
  • 정답: SYN 플러딩

    설명: OSI 7계층 모델에서 L2TP, PPTP, ARP 스푸핑은 모두 네트워크 계층 또는 데이터 링크 계층에서 동작하는 공격 기술이다. 하지만 SYN 플러딩은 TCP/IP 프로토콜에서 동작하는 공격 기술로, OSI 7계층 모델에서는 전혀 다른 계층에서 동작한다. SYN 플러딩은 TCP 3-way handshake 과정에서 대량의 SYN 패킷을 보내서 서버를 공격하는 기술로, 주로 네트워크 계층에서 대처된다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

6. 해시 함수의 충돌에 대한 설명으로 옳은 것은?

  1. 동일한 해시 함수가 동일한 입력 값에 대해 다른 출력 값을 내는 것을 의미한다.
  2. 동일한 해시 함수가 서로 다른 두 개의 입력 값에 대해 동일한 출력 값을 내는 것을 의미한다.
  3. 서로 다른 해시 함수가 서로 다른 입력 값에 대해 동일한 출력 값을 내는 것을 의미한다.
  4. 해시 함수의 입력 메시지가 길어짐에 따라 생성되는 해시 값이 길어지는 것을 의미한다.
(정답률: 70%)
  • 정답은 "동일한 해시 함수가 서로 다른 두 개의 입력 값에 대해 동일한 출력 값을 내는 것을 의미한다." 이다. 해시 함수는 입력 값의 크기와 상관없이 항상 일정한 크기의 출력 값을 반환해야 하기 때문에, 서로 다른 입력 값에 대해 동일한 출력 값을 내는 경우 충돌이 발생한다. 이는 해시 테이블 등에서 데이터 검색 시 문제를 일으킬 수 있으므로, 충돌을 최소화하는 해시 함수를 선택하거나 충돌을 처리하는 방법을 고려해야 한다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

7. 암호화 기법들에 대한 설명으로 옳지 않은 것은?

  1. Feistel 암호는 전치(Permutation)와 대치(Substitution)를 반복시켜 암호문에 평문의 통계적인 성질이나 암호키와의 관계가 나타나지 않도록 한다.
  2. Kerckhoff의 원리는 암호 해독자가 현재 사용되고 있는 암호 방식을 알고 있다고 전제한다.
  3. AES는 암호키의 길이를 64비트, 128비트, 256비트 중에서 선택한다.
  4. 2중 DES(Double DES) 암호 방식은 외형상으로는 DES에 비해 2배의 키 길이를 갖지만, 중간일치공격 시 키의 길이가 1비트 더 늘어난 효과밖에 얻지 못한다.
(정답률: 82%)
  • AES는 암호키의 길이를 64비트, 128비트, 256비트 중에서 선택한다는 설명이 옳지 않다. AES는 암호키의 길이를 128비트, 192비트, 256비트 중에서 선택한다. 이유는 AES의 블록 크기가 128비트이기 때문에, 암호키의 길이도 128비트의 배수인 128비트, 192비트, 256비트 중에서 선택해야 하기 때문이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

8. 디지털 포렌식에 대한 설명에서 ㉠, ㉡에 들어갈 용어는? (순서대로 ㉠, ㉡)

  1. 실린더(Cylinder), 역어셈블링(Disassembling)
  2. MBR(Master Boot Record), 리버싱(Reversing)
  3. 클러스터(Cluster), 역컴파일(Decompiling)
  4. 슬랙(Slack), 카빙(Carving)
(정답률: 63%)
  • ㉠에서는 디지털 포렌식에서 사용되는 용어들이 나열되어 있습니다. ㉡에서는 "슬랙(Slack), 카빙(Carving)"이라는 용어가 선택되어 있습니다.

    슬랙(Slack)은 하드 디스크의 파일 시스템에서 파일이 저장되는 공간 중에서 사용되지 않는 공간을 의미합니다. 이 공간에는 이전에 삭제된 파일의 정보나 다른 파일의 일부분이 남아있을 수 있습니다. 이러한 슬랙 공간을 분석하여 삭제된 파일의 정보를 복구하거나, 다른 파일의 일부분을 추출하는 등의 작업을 수행할 수 있습니다.

    카빙(Carving)은 디지털 포렌식에서 사용되는 데이터 복구 기술 중 하나입니다. 파일 시스템에서 삭제된 파일의 정보를 복구하는 것이 아니라, 하드 디스크 상의 데이터를 분석하여 파일의 일부분이나 전체를 추출하는 작업을 의미합니다. 이를 통해 삭제된 파일의 정보를 복구하거나, 파일 시스템이 손상된 경우에도 데이터를 복구할 수 있습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

9. 버퍼 오버플로우 공격 대응 방법 중 ASLR(Address Space Layout Randomization)에 대한 설명으로 옳은 것은?

  1. 함수 호출 시 복귀 주소를 특수 스택에 저장하고 종료 시 해당 스택에 저장된 값과 비교하여 공격을 탐지한다.
  2. 스택에 있는 함수 복귀 주소를 실행 가능한 임의의 libc 영역 내 주소로 지정하여 공격자가 원하는 함수의 실행을 방해한다.
  3. 함수의 복귀 주소와 버퍼 사이에 랜덤(Random) 값을 저장하여 해당 주소의 변조 여부를 탐지한다.
  4. 함수의 복귀 주소 위조 시, 공격자가 원하는 메모리 공간의 주소를 지정하기 어렵게 한다.
(정답률: 53%)
  • ASLR(Address Space Layout Randomization)은 프로세스의 메모리 영역을 랜덤하게 배치하여 공격자가 원하는 메모리 주소를 예측하기 어렵게 하는 방법이다. 따라서 함수의 복귀 주소를 위조할 때, 공격자가 원하는 메모리 공간의 주소를 지정하기 어렵게 된다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

10. 국내의 기관이나 기업이 정보 및 개인정보를 체계적으로 보호할 수 있도록 통합된 관리체계 인증제도는?

  1. PIPL-P
  2. ISMS-I
  3. PIMS-I
  4. ISMS-P
(정답률: 83%)
  • ISMS-P는 정보보호관리체계 인증제도 중 하나로, 국내 기관이나 기업이 정보 및 개인정보를 체계적으로 보호하기 위한 통합된 관리체계를 구축하고 운영하는 능력을 인증하는 제도이다. P는 개인정보보호를 강조하는 것으로, PIPL-P와 구분된다. ISMS-I는 국제 표준인 ISO 27001을 기반으로 하는 정보보호관리체계 인증제도이며, PIMS-I는 개인정보보호 관리체계 인증제도이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

11. 다음의 블록 암호 운용 모드는?

  1. 전자 코드북 모드(Electronic Code Book Mode)
  2. 암호 블록 연결 모드(Cipher Block Chaining Mode)
  3. 암호 피드백 모드(Cipher Feedback Mode)
  4. 출력 피드백 모드(Output Feedback Mode)
(정답률: 79%)
  • 이 블록 암호 운용 모드는 암호화할 때 이전 블록의 암호문을 현재 블록의 평문과 XOR 연산하여 사용하는 암호화 방식입니다. 이전 블록의 암호문이 현재 블록의 암호화에 사용되기 때문에 블록 간 연결이 생기며, 이를 통해 암호문의 패턴이 무작위화되어 보안성이 향상됩니다. 이러한 방식으로 암호화하는 모드를 암호 블록 연결 모드(Cipher Block Chaining Mode)라고 합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

12. 무결성을 위협하는 공격이 아닌 것은?

  1. 스누핑 공격(Snooping Attack)
  2. 메시지 변조 공격(Message Modification Attack)
  3. 위장 공격(Masquerading Attack)
  4. 재전송 공격(Replay Attack)
(정답률: 68%)
  • 스누핑 공격은 네트워크 상에서 데이터를 가로채어 엿보는 공격으로, 데이터의 무결성을 위협하지 않습니다. 따라서 무결성을 위협하는 공격이 아닙니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

13. 다음에서 설명하는 접근 제어 모델은?

  1. RBAC(Role-Based Access Control) 모델
  2. Biba 모델
  3. Bell-LaPadula 모델
  4. DAC(Discretionary Access Control) 모델
(정답률: 81%)
  • 위 그림은 Bell-LaPadula 모델의 구조를 나타내고 있다. Bell-LaPadula 모델은 기밀성을 중심으로 한 접근 제어 모델로, 정보의 등급을 나누어 접근을 제어한다. 이 모델에서는 정보의 등급이 높은 객체에 대한 접근이 정보의 등급이 낮은 주체로부터 제한되어 있으며, 정보의 등급이 낮은 객체에 대한 접근은 정보의 등급이 높은 주체로부터 제한되어 있다. 따라서 위 그림에서는 정보의 등급이 높은 객체인 "Top Secret"에 대한 접근이 정보의 등급이 낮은 주체인 "Confidential"로부터 제한되어 있음을 알 수 있다. 이와 같은 특징으로 인해 Bell-LaPadula 모델은 기밀성을 보장하는데 적합한 모델이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

14. 유럽의 일반개인정보보호법(GDPR)에 대한 설명으로 옳은 것은?

  1. EU 회원국들 간 개인정보의 자유로운 이동을 금지하기 위한 목적을 갖는다.
  2. 그 자체로는 EU의 모든 회원국에게 직접적인 법적 구속력을 갖지 않는다.
  3. 중요한 사항 위반 시 직전 회계연도의 전 세계 매출액 4% 또는 2천만 유로 중 높은 금액이 최대한도 부과 금액이다.
  4. 만 19세 미만 미성년자의 개인정보 수집 시 친권자의 동의를 얻어야 한다.
(정답률: 48%)
  • 유럽의 일반개인정보보호법(GDPR)은 EU 회원국들 간 개인정보의 자유로운 이동을 금지하기 위한 목적을 갖는 법률이다. 그 자체로는 EU의 모든 회원국에게 직접적인 법적 구속력을 갖지 않지만, 중요한 사항 위반 시 직전 회계연도의 전 세계 매출액 4% 또는 2천만 유로 중 높은 금액이 최대한도 부과 금액이 된다. 또한, 만 16세 미만 미성년자의 개인정보 수집 시 친권자의 동의를 얻어야 한다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

15. IPsec의 캡슐화 보안 페이로드(ESP) 헤더에서 암호화되는 필드가 아닌 것은?

  1. SPI(Security Parameter Index)
  2. Payload Data
  3. Padding
  4. Next Header
(정답률: 46%)
  • SPI(Security Parameter Index)는 IPsec 터널링에서 보안 매개변수를 식별하는 데 사용되는 값이며, 암호화되지 않은 필드입니다. 따라서 이 문제에서는 SPI가 암호화되지 않는 필드 중 하나이므로 정답입니다. Payload Data, Padding 및 Next Header는 모두 ESP 헤더에서 암호화되는 필드입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

16. SSL 프로토콜에 대한 설명으로 옳지 않은 것은?

  1. 암호화 기능을 사용하면 주고받는 데이터가 인터넷상에서 도청되는 위험성을 줄일 수 있다.
  2. 단편화, 압축, MAC 추가, 암호화, SSL 레코드 헤더 추가의 과정으로 이루어진다.
  3. 웹 서비스 이외에 다른 응용 프로그램에도 적용할 수 있다.
  4. 서버와 클라이언트 간 양방향 통신에 동일한 암호화 키를 사용한다.
(정답률: 78%)
  • "서버와 클라이언트 간 양방향 통신에 동일한 암호화 키를 사용한다."가 옳지 않은 설명이다. SSL 프로토콜에서는 서버와 클라이언트 간 양방향 통신에 대해 서로 다른 암호화 키를 사용한다. 이는 보안성을 높이기 위한 방법으로, 만약 동일한 암호화 키를 사용한다면 해커가 한 쪽의 키를 알아내면 양쪽 모두에 대한 정보를 알 수 있기 때문이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

17. KCMVP에 대한 설명으로 옳은 것은?

  1. 보안 기능을 만족하는 신뢰도 인증 기준으로 EAL1부터 EAL7까지의 등급이 있다.
  2. 암호 알고리즘이 구현된 프로그램 모듈의 안전성과 구현 적합성을 검증하는 제도이다.
  3. 개인정보 보호활동을 체계적ㆍ지속적으로 수행하기 위한 관리체계의 구축과 이행 여부를 평가한다.
  4. 조직의 정보자산을 효과적으로 보호하고 있는지 평가하여 일정 수준 이상의 기업에 인증을 부여한다.
(정답률: 60%)
  • 암호 알고리즘이 구현된 프로그램 모듈의 안전성과 구현 적합성을 검증하는 제도이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

18. 「개인정보 보호법」상 개인정보 분쟁조정위원회에 대한 설명으로 옳지 않은 것은?

  1. 분쟁조정위원회는 위원장 1명을 포함한 20명 이내의 위원으로 구성한다.
  2. 위원장은 행정안전부ㆍ방송통신위원회ㆍ금융위원회 및 개인정보보호위원회의 고위공무원단에 속하는 일반직공무원 중에서 위촉한다.
  3. 분쟁조정위원회는 재적위원 과반수의 출석으로 개의하며 출석위원 과반수의 찬성으로 의결한다.
  4. 위원은 자격정지 이상의 형을 선고받거나 심신상의 장애로 직무를 수행할 수 없는 경우를 제외하고는 그의 의사에 반하여 면직되거나 해촉되지 아니한다.
(정답률: 67%)
  • 위원장은 일반직공무원 중에서 위촉하는 것이 옳지 않다. 개인정보 보호법 제43조에 따르면 위원장은 대통령이 임명한다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

19. 전자화폐 및 가상화폐에 대한 설명으로 옳지 않은 것은?

  1. 가상화폐인 비트코인은 전자화폐와 마찬가지로 이중 지불(Double Spending)문제가 발생하지 않는다.
  2. 가상화폐인 비트코인은 분산원장기술로 알려진 블록체인을 이용한다.
  3. 전자화폐는 발행, 사용, 교환 등의 절차에 관하여 법률에서 규정하고 있으나, 가상화폐는 별도로 규정하고 있지 않다.
  4. 전자화폐는 전자적 매체에 화폐의 가치를 저장한 후 물품 및 서비스 구매 시 활용하는 결제 수단이며, 가상화폐는 전자화폐의 일종으로 볼 수 있다.
(정답률: 63%)
  • "가상화폐인 비트코인은 전자화폐와 마찬가지로 이중 지불(Double Spending)문제가 발생하지 않는다."는 옳지 않은 설명이다. 이중 지불 문제란 동일한 자산을 두 번 이상 사용하는 문제를 말하는데, 이는 중앙 기관이 없는 분산 시스템에서 발생할 수 있다. 비트코인은 이를 해결하기 위해 블록체인 기술을 사용하여 거래의 유효성을 검증하고 중복 거래를 방지한다. 따라서 이중 지불 문제가 발생하지 않는 것은 맞지만, 이는 전자화폐와 마찬가지로 발생하지 않는 것이 아니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

20. X.509 인증서(버전 3)의 확장(Extensions) 영역에 포함되지 않는 항목은?

  1. 인증서 정책(Certificate Policies)
  2. 기관 키 식별자(Authority Key Identifier)
  3. 키 용도(Key Usage)
  4. 서명 알고리즘 식별자(Signature Algorithm Identifier)
(정답률: 53%)
  • 서명 알고리즘 식별자는 인증서의 서명에 사용된 알고리즘을 식별하는 항목으로, 인증서의 확장 영역이 아니라 인증서의 기본 필드에 포함되어 있습니다. 따라서 X.509 인증서(버전 3)의 확장 영역에 포함되지 않는 항목은 "서명 알고리즘 식별자(Signature Algorithm Identifier)"입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

< 이전회차목록 다음회차 >