9급 지방직 공무원 서울시 정보보호론 필기 기출문제복원 (2018-06-23)

9급 지방직 공무원 서울시 정보보호론
(2018-06-23 기출문제)

목록

1. 2009년 Moxie Marlinspike가 제안한 공격 방식이며, 중간자 공격을 통해 사용자와 서버 사이의 HTTPS 통신을 HTTP로 변경해서 비밀번호 등을 탈취하는 공격 방식으로 가장 옳은 것은?

  1. SSL stripping
  2. BEAST attack
  3. CRIME attack
  4. Heartbleed
(정답률: 85%)
  • SSL stripping은 HTTPS 통신을 HTTP로 변경하는 공격 방식으로, 중간자 공격을 통해 사용자와 서버 사이의 통신을 감청하고, HTTPS 연결을 HTTP로 변경하여 사용자가 보내는 정보를 탈취하는 공격 방식입니다. 따라서, 비밀번호 등의 중요한 정보가 포함된 HTTPS 통신에서 SSL stripping 공격이 성공하면 정보가 노출될 수 있습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

2. XSS(Cross Site Scripting) 공격에 대한 설명으로 가장 옳지 않은 것은?

  1. 게시판 등의 웹페이지에 악의적인 코드 삽입이 가능하다는 취약점이 있다.
  2. 공격 코드를 삽입하는 부분에 따라 저장 XSS 방식과 반사 XSS 방식이 있다.
  3. 악성코드가 실행되면서 서버의 정보를 유출하게 된다.
  4. Javascript, VBScript, HTML 등이 사용될 수 있다.
(정답률: 91%)
  • XSS 공격은 악의적인 코드를 웹페이지에 삽입하여 사용자의 브라우저에서 실행시키는 공격입니다. 따라서 악성코드가 실행되면서 서버의 정보를 유출하는 것은 옳지 않은 설명입니다. XSS 공격은 주로 사용자의 개인정보를 탈취하거나 세션 하이재킹 등의 공격을 수행하기 위해 사용됩니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

3. <보기>에서 설명하는 보안 목적으로 가장 옳은 것은?

  1. 무결성(Integrity)
  2. 가용성(Availability)
  3. 인가(Authorization)
  4. 기밀성(Confidentiality)
(정답률: 93%)
  • 이미지에서는 계좌 이체 과정에서 보안 키보드를 사용하여 비밀번호를 입력하도록 안내하고 있습니다. 이는 무결성을 보장하기 위한 것입니다. 즉, 정보가 정확하고 완전하게 유지되어야 하며, 무단 변경이나 조작이 없어야 합니다. 따라서 정답은 "무결성(Integrity)"입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

4. 「개인정보 보호법」상 용어 정의로 가장 옳지 않은 것은?

  1. 개인정보: 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보
  2. 정보주체: 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람
  3. 처리: 개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위
  4. 개인정보관리자: 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인
(정답률: 74%)
  • 정보주체: 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람이 가장 옳지 않은 것입니다.

    개인정보관리자는 개인정보를 처리하는 주체로서 공공기관, 법인, 단체 및 개인이 될 수 있습니다. 이들은 업무를 목적으로 개인정보파일을 운용하며, 개인정보를 처리하는 모든 과정에서 개인정보 보호법을 준수해야 합니다. 개인정보는 살아 있는 개인에 관한 정보로서 성명, 주민등록번호, 영상 등을 통해 개인을 알아볼 수 있는 정보를 말하며, 처리는 개인정보의 수집부터 파기까지 모든 과정을 포함합니다. 정보주체는 처리되는 정보에 의해 알아볼 수 있는 사람으로서, 개인정보 보호법에서는 개인정보를 처리하는 주체와 구분됩니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

5. Feistel 암호 방식에 대한 설명으로 가장 옳지 않은 것은?

  1. Feistel 암호 방식의 암호 강도는 평문 블록의 길이, 키의 길이, 라운드의 수에 의하여 결정된다.
  2. Feistel 암호 방식의 복호화 과정과 암호화 과정은 동일하다.
  3. AES 암호 알고리즘은 Feistel 암호 방식을 사용한다.
  4. Feistel 암호 방식은 대칭키 암호 알고리즘에서 사용된다.
(정답률: 91%)
  • AES 암호 알고리즘은 Feistel 암호 방식을 사용하지 않는다. AES는 대칭키 암호 알고리즘 중 하나이지만, Feistel 암호 방식을 사용하지 않는다. Feistel 암호 방식은 DES와 같은 알고리즘에서 사용된다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

6. 디지털 서명에 대한 설명으로 옳은 것을 <보기>에서 모두 고른 것은?

  1. ㄱ, ㄴ
  2. ㄱ, ㄷ
  3. ㄴ, ㄷ
  4. ㄱ, ㄴ, ㄷ
(정답률: 50%)
  • 디지털 서명은 전자 문서나 데이터의 무결성과 인증을 보장하기 위해 사용되는 기술입니다. 이를 위해 공개키 암호화 방식을 사용하며, 디지털 인증서를 발급받아야 합니다.

    ㄱ. 디지털 서명은 전자 문서나 데이터의 무결성과 인증을 보장하기 때문에, 디지털 서명이 적용된 문서나 데이터는 위변조가 불가능합니다.
    ㄴ. 디지털 서명은 공개키 암호화 방식을 사용하며, 디지털 인증서를 발급받아야 합니다. 따라서 디지털 서명이 적용된 문서나 데이터는 발신자의 신원이 확인되며, 수신자는 이를 신뢰할 수 있습니다.

    따라서 "ㄱ, ㄴ"이 정답입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

7. 분산반사 서비스 거부(DRDoS) 공격의 특징으로 가장 옳지 않은 것은?

  1. TCP 프로토콜 및 라우팅 테이블 운영상의 취약성을 이용한다.
  2. 공격자의 추적이 매우 어려운 공격이다.
  3. 악성 봇의 감염을 통한 공격이다.
  4. 출발지 IP 주소를 위조하는 공격이다.
(정답률: 58%)
  • DRDoS 공격은 악성 봇의 감염을 통한 공격이 아니라, 대규모의 가짜 요청을 보내서 대상 서버를 공격하는 것이 특징입니다. 따라서 "악성 봇의 감염을 통한 공격이다."는 옳지 않은 설명입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

8. 침입탐지시스템의 비정상행위 탐지 방법에 대한 설명으로 가장 옳지 않은 것은?

  1. 정상적인 행동을 기준으로 하여 여기서 벗어나는 것을 비정상으로 판단한다.
  2. 정량적인 분석, 통계적인 분석 등을 사용한다.
  3. 오탐률이 높으며 수집된 다양한 정보를 분석하는 데 많은 학습 시간이 소요된다.
  4. 알려진 공격에 대한 정보 수집이 어려우며, 새로운 취약성 정보를 패턴화하여 지식데이터베이스로 유지 및 관리하기가 쉽지 않다.
(정답률: 75%)
  • "알려진 공격에 대한 정보 수집이 어려우며, 새로운 취약성 정보를 패턴화하여 지식데이터베이스로 유지 및 관리하기가 쉽지 않다."는 침입탐지시스템의 비정상행위 탐지 방법에 대한 설명으로 옳지 않은 것이다. 이유는 현재 많은 보안 전문가들이 새로운 취약성 정보를 수집하고 패턴화하여 지식데이터베이스로 유지 및 관리하는 방법을 개발하고 있기 때문이다. 또한, 알려진 공격에 대한 정보 수집도 보안 전문가들이 지속적으로 수행하고 있으며, 이러한 정보를 활용하여 침입탐지시스템을 보완하고 개선하는 노력이 이루어지고 있다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

9. 메모리 변조 공격을 방지하기 위한 기술 중 하나로, 프로세스의 중요 데이터 영역의 주소를 임의로 재배치하여 공격자가 공격대상 주소를 예측하기 어렵게 하는 방식으로 가장 옳은 것은?

  1. canary
  2. ASLR
  3. no-execute
  4. Buffer overflow
(정답률: 73%)
  • ASLR은 Address Space Layout Randomization의 약자로, 프로세스의 중요 데이터 영역의 주소를 임의로 재배치하여 공격자가 공격대상 주소를 예측하기 어렵게 하는 방식입니다. 따라서 메모리 변조 공격을 방지할 수 있습니다. 다른 보기들은 메모리 변조 공격을 방지하기 위한 기술 중 하나이지만, ASLR은 주소를 임의로 재배치하여 예측을 어렵게 하는 방식으로 가장 효과적인 방법 중 하나입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

10. 퍼징(fuzzing)에 대한 설명으로 가장 옳은 것은?

  1. 사용자를 속여서 사용자의 비밀정보를 획득하는 방법이다.
  2. 실행코드를 난독화하여 안전하게 보호하는 방법이다.
  3. 소프트웨어 테스팅 방법 중 하나로 난수를 발생시켜서 대상 시스템에 대한 결함이 발생하는 입력을 주입하는 방법이다.
  4. 소스 코드를 분석하는 정적 분석 방법이다.
(정답률: 63%)
  • 퍼징은 소프트웨어 테스팅 방법 중 하나로, 난수를 발생시켜 대상 시스템에 대한 결함이 발생하는 입력을 주입하는 방법입니다. 이를 통해 시스템의 취약점을 찾아내고 보완할 수 있습니다. 따라서 정답은 "소프트웨어 테스팅 방법 중 하나로 난수를 발생시켜서 대상 시스템에 대한 결함이 발생하는 입력을 주입하는 방법이다."입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

11. 보안 측면에서 민감한 암호 연산을 하드웨어로 이동함으로써 시스템 보안을 향상시키고자 나온 개념으로, TCG 컨소시엄에 의해 작성된 표준은?

  1. TPM
  2. TLS
  3. TTP
  4. TGT
(정답률: 71%)
  • TPM은 Trusted Platform Module의 약자로, 시스템 보안을 강화하기 위해 개발된 하드웨어 보안 모듈입니다. TPM은 컴퓨터의 부팅 과정에서 시작되어, 암호화 키의 생성 및 보관, 디지털 서명, 인증 등의 보안 기능을 수행합니다. 따라서 TPM은 시스템 보안을 향상시키기 위한 핵심적인 역할을 수행하며, TCG 컨소시엄에서는 TPM을 표준으로 제정하고 있습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

12. 사회 공학적 공격 방법에 해당하지 않는 것은?

  1. 피싱
  2. 파밍
  3. 스미싱
  4. 생일 공격
(정답률: 88%)
  • 생일 공격은 사회 공학적 공격 방법에 해당하지 않습니다. 이유는 생일 공격은 개인의 생일을 이용하여 생일 축하 메시지나 선물을 보내는 것으로, 개인 정보를 노출시키거나 악성코드를 전파하는 등의 악의적인 목적이 없기 때문입니다. 반면, 피싱, 파밍, 스미싱은 모두 사회 공학적 공격 방법으로, 사람들의 신뢰를 이용하여 개인 정보를 빼내거나 악성코드를 전파하는 등의 악의적인 목적을 가지고 있습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

13. 접근 제어 방식 중, 주체의 관점에서 한 주체가 접근 가능한 객체와 권한을 명시한 목록으로 안드로이드 플랫폼과 분산시스템 환경에서 많이 사용되는 방식은?

  1. 접근 제어 행렬(Access Control Matrix)
  2. 접근 가능 목록(Capability List)
  3. 접근 제어 목록(Access Control List)
  4. 방화벽(Firewall)
(정답률: 59%)
  • 접근 가능 목록은 주체가 가지고 있는 권한을 명시한 목록으로, 주체가 접근 가능한 객체와 권한을 명시하여 접근 제어를 수행하는 방식입니다. 이 방식은 주체의 관점에서 접근 제어를 수행하기 때문에 주체가 가지고 있는 권한을 명확하게 파악할 수 있어 보안성이 높습니다. 또한 안드로이드 플랫폼과 분산시스템 환경에서 많이 사용되는 이유는 이러한 환경에서 주체가 다양하고 동적으로 변하기 때문에 접근 제어를 유연하게 수행할 수 있기 때문입니다. 따라서 정답은 "접근 가능 목록(Capability List)"입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

14. WPA2를 공격하기 위한 방식으로, WPA2의 4-way 핸드셰이크(handshake) 과정에서 메시지를 조작하고 재전송하여 정보를 획득하는 공격 방식으로 가장 옳은 것은?

  1. KRACK
  2. Ping of Death
  3. Smurf
  4. Slowloris
(정답률: 64%)
  • 정답은 "KRACK"입니다. KRACK는 Key Reinstallation Attack의 약자로, WPA2의 4-way 핸드셰이크 과정에서 중간자 공격을 통해 메시지를 조작하고 재전송하여 암호화된 키를 획득하는 공격 방식입니다. 이를 통해 공격자는 네트워크 트래픽을 복호화하고, 사용자의 개인 정보를 탈취할 수 있습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

15. 오일러 함수 ø( )를 이용해 정수 n=15에 대한 ø(n)을 구한 값으로 옳은 것은? (단, 여기서 오일러 함수 ø( )는 RSA 암호 알고리즘에 사용되는 함수이다.)

  1. 1
  2. 5
  3. 8
  4. 14
(정답률: 68%)
  • 오일러 함수 ø(n)은 n보다 작은 자연수 중 n과 서로소인 수의 개수를 나타내는 함수이다.

    n=15일 때, 1부터 15까지의 자연수 중 15과 서로소인 수는 다음과 같다.

    1, 2, 4, 7, 8, 11, 13, 14

    따라서 ø(15) = 8 이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

16. 능동적 공격으로 가장 옳지 않은 것은?

  1. 재전송
  2. 트래픽 분석
  3. 신분위장
  4. 메시지 변조
(정답률: 86%)
  • 트래픽 분석은 공격자가 네트워크 상에서 전송되는 데이터를 가로채서 분석하는 것으로, 이를 통해 사용자의 개인정보나 중요한 정보를 탈취할 수 있습니다. 따라서 이는 가장 옳지 않은 능동적 공격 방법입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

17. 무선랜 보안에 대한 설명으로 옳은 것을 <보기>에서 모두 고른 것은?

  1. ㄱ, ㄴ
  2. ㄱ, ㄷ
  3. ㄴ, ㄷ
  4. ㄱ, ㄴ, ㄷ
(정답률: 59%)
  • 무선랜 보안에 대한 설명으로 "WPA2"와 "MAC 주소 필터링"이 옳은 것입니다.

    - "WPA2"는 무선랜에서 데이터를 암호화하여 보안성을 높이는 기술입니다.
    - "MAC 주소 필터링"은 무선랜에 접속하는 기기의 MAC 주소를 미리 등록하여, 등록된 기기만 무선랜에 접속할 수 있도록 하는 보안 기술입니다.

    따라서, "ㄱ, ㄷ"가 정답입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

18. BLP(Bell & La Padula) 모델에 대한 설명으로 가장 옳지 않은 것은?

  1. 다단계 등급 보안(Multi Level Security) 정책에 근간을 둔 모델이다.
  2. 기밀성을 강조한 모델이다.
  3. 수학적 모델이다.
  4. 상업용 보안구조 요구사항을 충족하는 범용 모델이다.
(정답률: 72%)
  • BLP 모델은 상업용 보안구조 요구사항을 충족하는 범용 모델이 아니라, 다단계 등급 보안(Multi Level Security) 정책에 근간을 둔 모델이다. 다른 보기들은 모두 맞는 설명이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

19. <보기>와 관련된 데이터베이스 보안 요구 사항으로 가장 옳은 것은?

  1. 데이터 기밀성
  2. 추론 방지
  3. 의미적 무결성
  4. 운영적 무결성
(정답률: 80%)
  • 운영적 무결성은 데이터베이스에 저장된 데이터가 항상 정확하고 일관성 있게 유지되도록 보장하는 보안 요구 사항입니다. 이는 데이터의 무결성을 유지하기 위해 데이터의 입력, 수정, 삭제 등의 작업에 대한 제한과 감시가 필요하다는 것을 의미합니다. 따라서, 위의 보기에서 정답은 "운영적 무결성"입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

20. RSA에 대한 설명으로 가장 옳지 않은 것은?

  1. AES에 비하여 암, 복호화 속도가 느리다.
  2. 키 길이가 길어지면 암호화 및 복호화 속도도 느려진다.
  3. 키 생성에 사용되는 서로 다른 두 소수(p, q)의 길이가 길어질수록 개인키의 안전성은 향상된다.
  4. 중간자(man-in-the-middle) 공격으로부터 안전하기 위해서는 2,048비트 이상의 공개키를 사용하면 된다.
(정답률: 74%)
  • RSA에서 공개키의 길이가 길어질수록 중간자 공격으로부터 안전성이 향상된다는 것은 옳은 설명입니다. 따라서 정답은 없습니다.

    RSA에서 공개키의 길이가 길어질수록 중간자 공격으로부터 안전성이 향상되는 이유는, 공개키의 길이가 짧을 경우 중간자가 공개키를 빠르게 소인수분해하여 개인키를 알아낼 수 있기 때문입니다. 따라서 보안성을 높이기 위해서는 공개키의 길이를 적어도 2,048비트 이상으로 설정하는 것이 권장됩니다.

    그 외의 보기들은 모두 옳은 설명입니다. RSA는 대칭키 암호화 방식인 AES에 비해 암, 복호화 속도가 느리며, 키 길이가 길어질수록 암호화 및 복호화 속도도 느려집니다. 또한 RSA에서 개인키의 안전성은 키 생성에 사용되는 서로 다른 두 소수(p, q)의 길이가 길어질수록 향상됩니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

< 이전회차목록 다음회차 >