9급 지방직 공무원 서울시 정보보호론 필기 기출문제복원 (2018-06-23)

9급 지방직 공무원 서울시 정보보호론 2018-06-23 필기 기출문제 해설

이 페이지는 9급 지방직 공무원 서울시 정보보호론 2018-06-23 기출문제를 CBT 방식으로 풀이하고 정답 및 회원들의 상세 해설을 확인할 수 있는 페이지입니다.

9급 지방직 공무원 서울시 정보보호론
(2018-06-23 기출문제)

목록

1과목: 과목 구분 없음

1. 2009년 Moxie Marlinspike가 제안한 공격 방식이며, 중간자 공격을 통해 사용자와 서버 사이의 HTTPS 통신을 HTTP로 변경해서 비밀번호 등을 탈취하는 공격 방식으로 가장 옳은 것은?

  1. SSL stripping
  2. BEAST attack
  3. CRIME attack
  4. Heartbleed
(정답률: 83%)
  • SSL stripping은 중간자 공격(MITM)을 통해 서버와 클라이언트 사이의 HTTPS 연결을 강제로 HTTP로 다운그레이드하여, 암호화되지 않은 평문 데이터를 가로채는 공격 방식입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

2. XSS(Cross Site Scripting) 공격에 대한 설명으로 가장 옳지 않은 것은?

  1. 게시판 등의 웹페이지에 악의적인 코드 삽입이 가능하다는 취약점이 있다.
  2. 공격 코드를 삽입하는 부분에 따라 저장 XSS 방식과 반사 XSS 방식이 있다.
  3. 악성코드가 실행되면서 서버의 정보를 유출하게 된다.
  4. Javascript, VBScript, HTML 등이 사용될 수 있다.
(정답률: 82%)
  • XSS 공격은 서버가 아닌 사용자의 브라우저(클라이언트)에서 악성 스크립트가 실행되게 하여 쿠키나 세션 토큰 같은 사용자 정보를 탈취하는 공격입니다. 서버의 정보를 직접 유출하는 공격이 아닙니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

3. <보기>에서 설명하는 보안 목적으로 가장 옳은 것은?

  1. 무결성(Integrity)
  2. 가용성(Availability)
  3. 인가(Authorization)
  4. 기밀성(Confidentiality)
(정답률: 96%)
  • 에서 설명하는 '정보가 허가되지 않은 방식으로 바뀌지 않는 성질'은 데이터의 정확성과 완전성을 보장하는 무결성(Integrity)의 핵심 정의입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

4. 「개인정보 보호법」상 용어 정의로 가장 옳지 않은 것은?

  1. 개인정보: 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보
  2. 정보주체: 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람
  3. 처리: 개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위
  4. 개인정보관리자: 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인
(정답률: 81%)
  • 제시된 정의는 개인정보관리자가 아니라 개인정보처리자에 대한 설명입니다.

    오답 노트
    개인정보: 살아 있는 개인을 식별할 수 있는 정보로 정확한 정의입니다.
    정보주체: 처리되는 정보에 의해 알아볼 수 있는 사람으로 정확한 정의입니다.
    처리: 수집, 저장, 이용, 제공, 파기 등 개인정보를 다루는 모든 행위를 포함하는 정확한 정의입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

5. Feistel 암호 방식에 대한 설명으로 가장 옳지 않은 것은?

  1. Feistel 암호 방식의 암호 강도는 평문 블록의 길이, 키의 길이, 라운드의 수에 의하여 결정된다.
  2. Feistel 암호 방식의 복호화 과정과 암호화 과정은 동일하다.
  3. AES 암호 알고리즘은 Feistel 암호 방식을 사용한다.
  4. Feistel 암호 방식은 대칭키 암호 알고리즘에서 사용된다.
(정답률: 90%)
  • AES 암호 알고리즘은 Feistel 구조가 아니라 SPN(Substitution-Permutation Network) 구조를 사용합니다.

    오답 노트
    복호화 과정과 암호화 과정은 동일: Feistel 구조의 핵심 특징입니다.
    암호 강도 결정 요소: 블록 길이, 키 길이, 라운드 수에 의해 결정되는 것이 맞습니다.
    대칭키 암호 알고리즘: Feistel 방식은 대표적인 대칭키 암호 구조입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

6. 디지털 서명에 대한 설명으로 옳은 것을 <보기>에서 모두 고른 것은?

  1. ㄱ, ㄴ
  2. ㄱ, ㄷ
  3. ㄴ, ㄷ
  4. ㄱ, ㄴ, ㄷ
(정답률: 54%)
  • 디지털 서명은 송신자의 개인키로 암호화하고 수신자의 공개키로 복호화하여 송신처 확인, 무결성 보장, 부인 방지를 실현하는 기술입니다.

    오답 노트
    기밀성: 디지털 서명은 인증과 무결성을 위한 것이며, 데이터 자체를 숨기는 기밀성은 공개키 암호화(수신자 공개키 사용)를 통해 달성합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

7. 분산반사 서비스 거부(DRDoS) 공격의 특징으로 가장 옳지 않은 것은?

  1. TCP 프로토콜 및 라우팅 테이블 운영상의 취약성을 이용한다.
  2. 공격자의 추적이 매우 어려운 공격이다.
  3. 악성 봇의 감염을 통한 공격이다.
  4. 출발지 IP 주소를 위조하는 공격이다.
(정답률: 68%)
  • 분산반사 서비스 거부(DRDoS) 공격은 출발지 IP 주소를 위조(Spoofing)하여 정상적인 서버에 요청을 보내고, 그 응답이 피해자에게 집중되게 하는 공격입니다. 악성 봇의 감염을 통해 공격하는 방식은 일반적인 DDoS 공격의 특징이며, DRDoS는 봇 감염 없이 취약한 서비스의 반사 메커니즘을 이용합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

8. 침입탐지시스템의 비정상행위 탐지 방법에 대한 설명으로 가장 옳지 않은 것은?

  1. 정상적인 행동을 기준으로 하여 여기서 벗어나는 것을 비정상으로 판단한다.
  2. 정량적인 분석, 통계적인 분석 등을 사용한다.
  3. 오탐률이 높으며 수집된 다양한 정보를 분석하는 데 많은 학습 시간이 소요된다.
  4. 알려진 공격에 대한 정보 수집이 어려우며, 새로운 취약성 정보를 패턴화하여 지식데이터베이스로 유지 및 관리하기가 쉽지 않다.
(정답률: 75%)
  • 알려진 공격 정보를 패턴화하여 지식 데이터베이스로 관리하는 방식은 비정상행위 탐지가 아니라 오용 탐지(Signature-based Detection) 방식에 대한 설명입니다. 비정상행위 탐지는 정상 프로파일을 생성하여 이와 다른 행동을 찾아내는 방식입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

9. 메모리 변조 공격을 방지하기 위한 기술 중 하나로, 프로세스의 중요 데이터 영역의 주소를 임의로 재배치하여 공격자가 공격대상 주소를 예측하기 어렵게 하는 방식으로 가장 옳은 것은?

  1. canary
  2. ASLR
  3. no-execute
  4. Buffer overflow
(정답률: 79%)
  • ASLR(Address Space Layout Randomization)은 스택, 힙, 라이브러리 등 프로세스의 주요 메모리 주소를 실행 시마다 임의로 배치하여, 공격자가 특정 함수나 데이터의 주소를 예측해 공격하는 것을 방지하는 기술입니다.

    오답 노트
    canary: 스택 버퍼 오버플로우 탐지를 위해 삽입하는 특수 값
    no-execute: 데이터 영역에서 코드 실행을 금지하는 기술
    Buffer overflow: 메모리 경계를 넘어 데이터를 쓰는 공격 기법
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

10. 퍼징(fuzzing)에 대한 설명으로 가장 옳은 것은?

  1. 사용자를 속여서 사용자의 비밀정보를 획득하는 방법이다.
  2. 실행코드를 난독화하여 안전하게 보호하는 방법이다.
  3. 소프트웨어 테스팅 방법 중 하나로 난수를 발생시켜서 대상 시스템에 대한 결함이 발생하는 입력을 주입하는 방법이다.
  4. 소스 코드를 분석하는 정적 분석 방법이다.
(정답률: 71%)
  • 퍼징은 소프트웨어의 취약점을 찾기 위해 무작위의 입력값(난수)을 지속적으로 주입하여 시스템의 비정상적인 동작이나 결함을 유도하는 동적 테스팅 방법입니다.

    오답 노트
    사용자를 속여 정보 획득: 사회 공학적 공격
    실행코드 난독화: 코드 보호 기법
    소스 코드 분석: 정적 분석
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

11. 보안 측면에서 민감한 암호 연산을 하드웨어로 이동함으로써 시스템 보안을 향상시키고자 나온 개념으로, TCG 컨소시엄에 의해 작성된 표준은?

  1. TPM
  2. TLS
  3. TTP
  4. TGT
(정답률: 73%)
  • TPM(Trusted Platform Module)은 암호 키 생성, 저장 및 민감한 암호 연산을 하드웨어 칩셋 내에서 처리하여 시스템 보안을 강화하는 TCG 컨소시엄 표준 기술입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

12. 사회 공학적 공격 방법에 해당하지 않는 것은?

  1. 피싱
  2. 파밍
  3. 스미싱
  4. 생일 공격
(정답률: 91%)
  • 사회 공학적 공격은 기술적 수단이 아닌 인간의 심리적 취약점을 이용해 정보를 탈취하는 기법입니다. 피싱, 파밍, 스미싱은 모두 사용자를 속이는 심리적 공격에 해당하지만, 생일 공격은 해시 함수의 충돌을 이용한 암호해독공격 방식입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

13. 접근 제어 방식 중, 주체의 관점에서 한 주체가 접근 가능한 객체와 권한을 명시한 목록으로 안드로이드 플랫폼과 분산시스템 환경에서 많이 사용되는 방식은?

  1. 접근 제어 행렬(Access Control Matrix)
  2. 접근 가능 목록(Capability List)
  3. 접근 제어 목록(Access Control List)
  4. 방화벽(Firewall)
(정답률: 63%)
  • 접근 제어 방식 중 주체(Subject)를 기준으로 해당 주체가 접근할 수 있는 객체들의 권한 목록을 관리하는 방식은 접근 가능 목록(Capability List)입니다. 이는 안드로이드 플랫폼 등 분산 시스템에서 효율적으로 사용됩니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

14. WPA2를 공격하기 위한 방식으로, WPA2의 4-way 핸드셰이크(handshake) 과정에서 메시지를 조작하고 재전송하여 정보를 획득하는 공격 방식으로 가장 옳은 것은?

  1. KRACK
  2. Ping of Death
  3. Smurf
  4. Slowloris
(정답률: 63%)
  • WPA2의 4-way 핸드셰이크 과정에서 메시지를 조작하고 재전송하여 암호화 키를 탈취하는 공격 방식은 KRACK(Key Reinstallation Attack)입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

15. 오일러 함수 ø( )를 이용해 정수 n=15에 대한 ø(n)을 구한 값으로 옳은 것은? (단, 여기서 오일러 함수 ø( )는 RSA 암호 알고리즘에 사용되는 함수이다.)

  1. 1
  2. 5
  3. 8
  4. 14
(정답률: 75%)
  • 오일러 함수 $\phi(n)$은 $n$보다 작거나 같고 $n$과 서로소인 정수의 개수를 구하는 함수입니다. $n$이 두 소수 $p, q$의 곱일 때 $\phi(n) = (p-1)(q-1)$ 공식을 사용합니다.
    ① [기본 공식] $\phi(n) = (p-1)(q-1)$
    ② [숫자 대입] $\phi(15) = (3-1)(5-1)$
    ③ [최종 결과] $\phi(15) = 8$
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

16. 능동적 공격으로 가장 옳지 않은 것은?

  1. 재전송
  2. 트래픽 분석
  3. 신분위장
  4. 메시지 변조
(정답률: 84%)
  • 네트워크 공격은 데이터의 흐름을 변경하는 능동적 공격과 단순히 엿보는 수동적 공격으로 나뉩니다.
    트래픽 분석은 데이터의 내용을 알지 못하더라도 패킷의 크기나 빈도를 분석하여 정보를 얻는 대표적인 수동적 공격입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

17. 무선랜 보안에 대한 설명으로 옳은 것을 <보기>에서 모두 고른 것은?

  1. ㄱ, ㄴ
  2. ㄱ, ㄷ
  3. ㄴ, ㄷ
  4. ㄱ, ㄴ, ㄷ
(정답률: 60%)
  • 무선랜 보안 표준의 암호화 알고리즘과 인증 방식을 묻는 문제입니다.
    WEP는 RC4 스트림 암호 알고리즘을 사용하며, WPA2는 강력한 보안을 위해 EAP 인증 프로토콜을 지원하므로 ㄱ과 ㄷ은 옳은 설명입니다.

    오답 노트
    WPA는 AES가 아닌 TKIP 암호화 방식을 사용합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

18. BLP(Bell & La Padula) 모델에 대한 설명으로 가장 옳지 않은 것은?

  1. 다단계 등급 보안(Multi Level Security) 정책에 근간을 둔 모델이다.
  2. 기밀성을 강조한 모델이다.
  3. 수학적 모델이다.
  4. 상업용 보안구조 요구사항을 충족하는 범용 모델이다.
(정답률: 78%)
  • BLP 모델은 군사적 목적의 다단계 보안 정책을 기반으로 기밀성을 극대화한 수학적 모델입니다. 상업용 보안 구조 요구사항을 충족하기 위해 개발된 범용 모델은 TCSEC(Orange Book)이나 Common Criteria 등을 참고해야 하며, BLP는 기밀성 중심의 특수 모델입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

19. <보기>와 관련된 데이터베이스 보안 요구 사항으로 가장 옳은 것은?

  1. 데이터 기밀성
  2. 추론 방지
  3. 의미적 무결성
  4. 운영적 무결성
(정답률: 79%)
  • 제시된 내용은 여러 트랜잭션이 동시에 접근할 때 데이터의 일관성을 유지하기 위한 병행 수행 제어(Locking 등)를 설명하고 있습니다. 이는 데이터베이스의 운영 과정에서 발생하는 무결성을 유지하는 운영적 무결성에 해당합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

20. RSA에 대한 설명으로 가장 옳지 않은 것은?

  1. AES에 비하여 암, 복호화 속도가 느리다.
  2. 키 길이가 길어지면 암호화 및 복호화 속도도 느려진다.
  3. 키 생성에 사용되는 서로 다른 두 소수(p, q)의 길이가 길어질수록 개인키의 안전성은 향상된다.
  4. 중간자(man-in-the-middle) 공격으로부터 안전하기 위해서는 2,048비트 이상의 공개키를 사용하면 된다.
(정답률: 79%)
  • 중간자(man-in-the-middle) 공격은 키의 길이와 상관없이 공개키의 소유권을 확인하지 못해 발생하는 공격이므로, 단순히 2,048비트 이상의 공개키를 사용한다고 해서 해결되지 않습니다. 이를 방지하기 위해서는 인증서(CA) 기반의 PKI 체계가 필요합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

< 이전회차목록 다음회차 >