9급 지방직 공무원 서울시 정보보호론 필기 기출문제복원 (2016-06-25)

9급 지방직 공무원 서울시 정보보호론 2016-06-25 필기 기출문제 해설

이 페이지는 9급 지방직 공무원 서울시 정보보호론 2016-06-25 기출문제를 CBT 방식으로 풀이하고 정답 및 회원들의 상세 해설을 확인할 수 있는 페이지입니다.

9급 지방직 공무원 서울시 정보보호론
(2016-06-25 기출문제)

목록

1과목: 과목 구분 없음

1. 다음 중 X.509 v3 표준 인증서에 포함되지 않는 것은?

  1. 인증서의 버전(Version)
  2. 서명 알고리즘 식별자(Signature Algorithm ID)
  3. 유효기간(Validity Period)
  4. 디렉토리 서비스 이름(Directory Service Name)
(정답률: 86%)
  • X.509 v3 표준 인증서는 공개키 기반 구조(PKI)에서 사용되는 표준 인증서 형식으로, 버전, 서명 알고리즘 식별자, 유효기간, 발행자, 주체, 공개키, 확장 필드 등을 포함합니다. 디렉토리 서비스 이름은 인증서 표준 구성 요소에 해당하지 않습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

2. 다음 중 성격이 다른 공격 유형은?

  1. Session Hijacking Attack
  2. Targa Attack
  3. Ping of Death Attack
  4. Smurf Attack
(정답률: 70%)
  • 공격의 목적에 따라 분류하면 Session Hijacking Attack은 세션을 가로채어 정보를 탈취하는 기밀성 공격에 해당하지만, Targa Attack, Ping of Death Attack, Smurf Attack은 시스템 자원을 고갈시켜 서비스를 중단시키는 가용성 공격(DoS/DDoS)에 해당합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

3. Stack에 할당된 Buffer overflow Attack에 대응할 수 있는 안전한 코딩(Secure Coding) 기술의 설명으로 옳지 않은 것은?

  1. 프로그램이 버퍼가 저장할 수 있는 것보다 많은 데이터를 입력하지 않는다.
  2. 프로그램은 할당된 버퍼 경계 밖의 메모리 영역은 참조하지 않으므로 버퍼 경계 안에서 발생될 수 있는 에러를 수정해 주면 된다.
  3. gets()나 strcpy()와 같이 버퍼 오버플로우에 취약한 라이브러리 함수는 사용하지 않는다.
  4. 입력에 대해서 경계 검사(Bounds Checking)를 수행해준다.
(정답률: 89%)
  • 버퍼 오버플로우 공격은 할당된 버퍼의 경계를 넘어 인접한 메모리 영역을 침범하여 실행 흐름을 조작하는 공격입니다. 따라서 버퍼 경계 안의 에러만 수정하는 것이 아니라, 경계 밖의 메모리 영역을 참조하거나 덮어쓰지 않도록 철저한 경계 검사와 안전한 함수 사용이 필수적입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

4. 전자화폐(Electronic Cash)에 대한 설명으로 옳지 않은 것은?

  1. 전자화폐의 지불 과정에서 물품 구입 내용과 사용자 식별 정보가 어느 누구에 의해서도 연계되어서는 안된다.
  2. 전자화폐는 다른 사람에게 즉시 이전할 수 있어야 한다.
  3. 일정한 가치를 가지는 전자화폐는 그 가치만큼 자유롭게 분산이용이 가능해야 한다.
  4. 대금 지불 시 전자화폐의 유효성 확인은 은행이 개입하여 즉시 이루어져야 한다.
(정답률: 86%)
  • 전자화폐는 익명성과 효율성을 위해 지불 시마다 은행이 즉시 개입하여 확인하는 방식보다는, 오프라인 결제나 디지털 서명 등을 통해 유효성을 검증하고 사후에 정산하는 방식을 지향합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

5. Linux system의 바이너리 로그파일인 btmp(솔라리스의 경우는 loginlog 파일)를 통해 확인할 수 있는 공격은?

  1. Password Dictionary Attack
  2. SQL Injection Attack
  3. Zero Day Attack
  4. SYN Flooding Attack
(정답률: 84%)
  • btmp 파일은 로그인 실패 기록을 저장하는 로그 파일입니다. 따라서 무작위로 비밀번호를 대입하여 로그인을 시도하는 Password Dictionary Attack의 흔적을 확인할 수 있습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

6. 다음 바이러스 발전 단계에 따른 분류에 대한 설명으로 옳지 않은 것은?

  1. 원시형 바이러스는 가변 크기를 갖는 단순하고 분석하기 쉬운 바이러스이다.
  2. 암호화 바이러스는 바이러스 프로그램 전체 또는 일부를 암호화시켜 저장하는 바이러스이다.
  3. 갑옷형 바이러스는 백신 개발을 지연시키기 위하여 다양한 암호화 기법을 사용하는 바이러스이다.
  4. 매크로 바이러스는 매크로를 사용하는 프로그램 데이터를 감염시키는 바이러스이다.
(정답률: 74%)
  • 원시형 바이러스는 단순하고 분석하기 쉬운 것은 맞으나, 가변 크기가 아닌 고정 크기를 갖는 것이 특징입니다.

    오답 노트
    암호화 바이러스: 일부 또는 전체를 암호화함
    갑옷형 바이러스: 분석 방해를 위해 다양한 암호화 기법 사용
    매크로 바이러스: 매크로 기능이 있는 문서 파일 등을 감염시킴
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

7. 공개키 기반구조(Public Key Infrastructure, PKI)를 위한 요소 시스템으로 옳지 않은 것은?

  1. 인증서와 인증서 폐지 목록을 공개하기 위한 디렉토리
  2. 사용자 신원을 확인하는 등록기관
  3. 인증서 발행업무를 효율적으로 수행하기 위한 인증기관 웹 서버
  4. 인증서를 발행 받는 사용자(최종 개체)
(정답률: 65%)
  • PKI의 핵심 구성 요소는 인증기관(CA), 등록기관(RA), 저장소(디렉토리), 최종 사용자입니다. 인증기관 웹 서버는 서비스를 제공하기 위한 수단일 뿐 PKI의 필수 논리적 요소 시스템으로 분류되지 않습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

8. 공격자가 인터넷을 통해 전송되는 데이터의 TCP Header에서 검출할 수 없는 정보는 무엇인가?

  1. 수신 시스템이 처리할 수 있는 윈도우 크기
  2. 패킷을 송신하고 수신하는 프로세스의 포트 번호
  3. 수신측에서 앞으로 받고자 하는 바이트의 순서 번호
  4. 송신 시스템의 TCP 패킷의 생성 시간
(정답률: 78%)
  • TCP 헤더에는 윈도우 크기, 포트 번호, 시퀀스 번호(순서 번호) 등 통신 제어를 위한 정보가 포함되어 있지만, 패킷의 생성 시간 정보는 포함되지 않습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

9. 아래 <보기>의 지문은 신문에서 발췌한 기사이다. 빈칸에 들어갈 단어로 적절한 것은?

  1. 하트블리드(Heart bleed)
  2. 랜섬웨어(Ransomware)
  3. 백오리피스(Back Orifice)
  4. 스턱스넷(Stuxnet)
(정답률: 97%)
  • 사용자의 데이터를 암호화하여 사용할 수 없게 만든 뒤, 이를 복구해 주는 대가로 금전(랜섬 비용)을 요구하는 공격 방식은 랜섬웨어(Ransomware)입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

10. 다음 중 Cipher Block Chaining 운용 모드의 암호화 수식을 제대로 설명한 것은? (단, Pi는 i번째 평문 블록을, Ci는 i번째 암호문 블록을 의미한다.)

  1. Ci=Ek(Pi)
  2. Ci=Ek(Pi⊕Ci-1)
  3. Ci=Ek(Ci-1)⊕Pi
  4. Ci=Ek(Pi)⊕Ci-1
(정답률: 82%)
  • CBC(Cipher Block Chaining) 모드는 현재의 평문 블록을 이전 단계의 암호문 블록과 XOR 연산한 후 암호화하는 체인 구조를 가집니다.
    $$C_{i} = E_{k}(P_{i} \oplus C_{i-1})$$
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

11. 공통평가기준(Common Criteria, CC)에 대한 설명 중 옳지 않은 것은?

  1. 보호프로파일(Protection Profile)과 보안목표명세서(Security Target) 중 제품군에 대한 요구사항 중심으로 기술되어 있는 것은 보안목표명세서(Security Target)이다.
  2. 평가대상에는 EAL 1에서 EAL 7까지 보증등급을 부여할 수 있다.
  3. CC의 개발은 오렌지북이라는 기준서를 근간으로 하였다.
  4. CC의 요구사항은 class, family, component로 분류한다.
(정답률: 66%)
  • 제품군에 대한 일반적인 보안 요구사항을 정의한 것은 보호프로파일(Protection Profile)이며, 보안목표명세서(Security Target)는 특정 제품이 보호프로파일의 요구사항을 어떻게 구현했는지를 기술한 문서입니다.

    오답 노트
    보증등급: EAL 1부터 EAL 7까지 부여하는 것이 맞습니다.
    근간: TCSEC(오렌지북)을 기반으로 발전되었습니다.
    분류: class, family, component 계층 구조로 분류됩니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

12. <보기>에서 설명하는 암호화 알고리즘으로 옳은 것은?

  1. RC5
  2. SEED
  3. SKIPJACK
  4. RC4
(정답률: 84%)
  • Ron Rivest가 1987년에 설계한 스트림 암호이며, 랜덤 치환에 기초하여 바이트 단위로 작동하는 알고리즘은 RC4의 핵심 특징입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

13. 다음 중 Spoofing 공격에 대한 설명으로 옳지 않은 것은?

  1. ARP Spoofing : MAC주소를 속임으로써 통신 흐름을 왜곡시킨다.
  2. IP Spoofing : 다른이가 쓰는 IP를 강탈해 특정 권한을 획득한다.
  3. DNS Spoofing : 공격대상이 잘못된 IP주소로 웹 접속을 하도록 유도하는 공격이다.
  4. ICMP Redirect : 공격자가 클라이언트의 IP주소를 확보하여 실제 클라이언트처럼 패스워드 없이 서버에 접근한다.
(정답률: 84%)
  • ICMP Redirect는 라우팅 경로를 변경하여 패킷을 공격자에게 유도하는 공격이지, 클라이언트의 IP를 확보하여 패스워드 없이 서버에 접근하는 공격이 아닙니다.

    오답 노트
    IP Spoofing: 공격자가 자신의 IP 주소를 신뢰받는 IP 주소로 위장하여 권한을 획득하는 공격입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

14. 다음 중 ISMS(Information Security Management System)의 각 단계에 대한 설명으로 옳은 것은?

  1. 계획 : ISMS 모니터링과 검토
  2. 조치 : ISMS 관리와 개선
  3. 수행 : ISMS 수립
  4. 점검 : ISMS 구현과 운영
(정답률: 78%)
  • ISMS의 PDCA 모델 단계별 핵심 활동은 다음과 같습니다.

    오답 노트
    계획: ISMS 수립
    수행: ISMS 구현과 운영
    점검: ISMS 모니터링과 검토
    조치: ISMS 관리와 개선
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

15. 중앙집중식 인증 방식인 커버로스(Kerberos)에 대한 다음 설명 중 옳은 것은 무엇인가?

  1. TGT(Ticket Granting Ticket)는 클라이언트가 서비스를 받을 때마다 발급 받아야 한다.
  2. 커버로스는 독립성을 증가시키기 위해 키 교환에는 관여하지 않아 별도의 프로토콜을 도입해야 한다.
  3. 커버로스 방식에서는 대칭키 암호화 방식을 사용하여 세션 통신을 한다.
  4. 공격자가 서비스 티켓을 가로채어 사용하는 공격에는 취약한 방식이다.
(정답률: 72%)
  • 커버로스는 KDC(Key Distribution Center)를 통해 세션 키를 배포하며, 기본적으로 대칭키 암호화 방식을 사용하여 클라이언트와 서버 간의 안전한 세션 통신을 수행합니다.

    오답 노트
    TGT: 서비스 이용 시마다 발급받는 것이 아니라, 최초 인증 시 발급받아 일정 기간 동안 서비스 티켓을 요청하는 데 사용함
    키 교환: KDC가 직접 키 교환을 관리하므로 별도의 프로토콜 도입이 필요 없음
    서비스 티켓: 티켓 내에 타임스탬프와 세션 키가 포함되어 있어 단순 가로채기 공격에 강함
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

16. 다음 중 시스템 내부의 트로이목마 프로그램을 감지하기 위한 도구로 가장 적절한 것은?

  1. Saint
  2. Snort
  3. Nmap
  4. Tripwire
(정답률: 64%)
  • Tripwire는 시스템 파일의 해시값을 생성하여 저장한 뒤, 주기적으로 비교함으로써 파일의 변조 여부를 감지하는 무결성 검사 도구입니다. 이를 통해 시스템 내부에 설치된 트로이목마와 같은 악성 프로그램의 변경 사항을 찾아낼 수 있습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

17. ROT13 암호로 "info"를 암호화한 결과는?

  1. jvxv
  2. foin
  3. vasb
  4. klmd
(정답률: 85%)
  • ROT13은 알파벳을 13칸 뒤로 밀어 암호화하는 방식입니다.
    i $\rightarrow$ v
    n $\rightarrow$ a
    f $\rightarrow$ s
    o $\rightarrow$ b
    따라서 결과는 vasb가 됩니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

18. 무선랜에서의 인증 방식에 대한 설명 중 옳지 않은 것은?

  1. WPA 방식은 48비트 길이의 초기벡터(Ⅳ)를 사용한다.
  2. WPA2 방식은 AES 암호화 알고리즘을 사용하여 좀 더 강력한 보안을 제공한다.
  3. WEP 방식은 DES 암호화 방식을 이용한다.
  4. WEP 방식은 공격에 취약하며 보안성이 약하다.
(정답률: 75%)
  • WEP 방식은 DES가 아니라 RC4 스트림 암호 알고리즘을 사용하여 데이터를 암호화합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

19. 다음 중 ISO 27001의 통제 영역별 주요 내용으로 옳은 것은?

  1. 정보보안 조직: 정보보호에 대한 경영진의 방향성 및 지원을 제공
  2. 인적 자원 보안 : 정보에 대한 접근을 통제
  3. 정보보안 사고 관리: 사업장의 비인가된 접근 및 방해 요인을 예방
  4. 통신 및 운영 관리: 정보처리시설의 정확하고 안전한 운영을 보장
(정답률: 64%)
  • ISO 27001의 통신 및 운영 관리 영역은 정보처리시설이 정확하고 안전하게 운영되도록 보장하는 것을 핵심 목적으로 합니다.

    오답 노트
    정보보안 조직: 경영진의 방향성 및 지원은 '정보보안 정책' 영역에 해당함
    인적 자원 보안: 정보에 대한 접근 통제는 '접근 제어' 영역에 해당함
    정보보안 사고 관리: 비인가 접근 및 방해 요인 예방은 '물리적 및 환경적 보안' 영역에 해당함
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

20. 「개인정보보호법」에 따르면 주민등록번호를 처리하기 위해서는 법에서 정하는 바에 따라야 하는데, 그에 대한 내용 중 옳지 않은 것은?

  1. 주민등록번호 처리는 원칙적으로 금지되고 예외적인 경우에만 허용한다.
  2. 주민등록번호는 암호화 조치를 통해 보관해야 한다.
  3. 개인정보처리자는 법령에서 주민등록번호의 처리를 허용한 경우에도 주민등록번호를 사용하지 않는 인터넷 회원가입 방법을 정보주체에게 제공해야 한다.
  4. 기 보유한 주민등록번호는 수집 시 동의 받은 보유기간까지만 보유하고 이후에는 즉시 폐기해야 한다.
(정답률: 59%)
  • 개인정보보호법에 따라 주민등록번호는 법령에서 구체적으로 처리를 허용한 경우에만 처리할 수 있으며, 법령에 근거하여 처리하는 경우라도 보유기간이 경과하거나 처리 목적이 달성되면 지체 없이 파기해야 합니다. 단순히 수집 시 동의받은 보유기간에 의존하는 것이 아니라 법적 근거와 파기 원칙을 엄격히 준수해야 합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

< 이전회차목록 다음회차 >