9급 지방직 공무원 서울시 정보보호론 필기 기출문제복원 (2019-06-15)

9급 지방직 공무원 서울시 정보보호론
(2019-06-15 기출문제)

목록

1. 해시와 메시지 인증코드에 대한 <보기>의 설명에서 ㉠, ㉡에 들어갈 말을 순서대로 나열한 것은? (순서대로 ㉠, ㉡)

  1. 무결성, 상호
  2. 무결성, 서명자
  3. 비밀성, 상호
  4. 비밀성, 서명자
(정답률: 76%)
  • ㉠ - 해시는 메시지의 무결성을 보장하기 위해 사용되며, 메시지를 변경하면 해시값도 변경되기 때문에 무결성을 확인할 수 있습니다.
    ㉡ - 메시지 인증코드는 메시지의 상호 인증을 보장하기 위해 사용되며, 메시지와 함께 전송되어 메시지가 변조되지 않았음을 확인할 수 있습니다. 따라서 "무결성, 상호"가 정답입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

2. 바이러스의 종류 중에서 감염될 때마다 구현된 코드의 형태가 변형되는 것은?

  1. Polymorphic Virus
  2. Signature Virus
  3. Generic Decryption Virus
  4. Macro Virus
(정답률: 88%)
  • Polymorphic Virus는 감염될 때마다 자신의 코드를 변형하여 새로운 형태로 나타나는 바이러스입니다. 이러한 변형은 바이러스의 시그니처를 변경하여 탐지를 어렵게 만들어 보안 소프트웨어의 탐지를 회피할 수 있습니다. 따라서 이 문제에서 정답은 Polymorphic Virus입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

3. 침입탐지시스템(IDS)에 대한 설명으로 가장 옳지 않은 것은?

  1. 오용탐지는 새로운 침입 유형에 대한 탐지가 가능하다.
  2. 기술적 구성요소는 정보 수집, 정보 가공 및 축약, 침입 분석 및 탐지, 보고 및 조치 단계로 이루어진다.
  3. 하이브리드 기반 IDS는 호스트 기반 IDS와 네트워크 기반 IDS가 결합한 형태이다.
  4. IDS는 공격 대응 및 복구, 통계적인 상황 분석 보고 기능을 제공한다.
(정답률: 80%)
  • "오용탐지는 새로운 침입 유형에 대한 탐지가 가능하다."가 가장 옳지 않은 설명인 이유는, 오용탐지는 이전에 발생한 침입 패턴을 기반으로 하기 때문에 새로운 침입 유형에 대한 탐지는 제한적일 수 있다는 점입니다. 따라서 새로운 침입 유형에 대한 탐지를 위해서는 시스템을 지속적으로 업데이트하고 개선해야 합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

4. <보기>에서 블록암호 모드 중 초기 벡터(Initialization Vector)가 필요하지 않은 모드를 모두 고른 것은?

  3. ㄴ, ㄷ
  4. ㄱ, ㄴ, ㄷ
(정답률: 84%)
  • 보기에서 블록암호 모드 중 초기 벡터가 필요하지 않은 모드는 ECB(Electronic Codebook) 모드입니다. ECB 모드는 평문 블록을 고정된 크기의 블록으로 나누어 각 블록을 독립적으로 암호화하는 방식으로, 초기 벡터가 필요하지 않습니다. 따라서 정답은 "ㄷ"입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

5. 스트림 암호(Stream Cipher)에 대한 설명으로 가장 옳지 않은 것은?

  1. Key Stream Generator 출력값을 입력값(평문)과 AND 연산하여, 암호문을 얻는다.
  2. 절대 안전도를 갖는 암호로 OTP(One-Time Pad)가 존재한다.
  3. LFSR(Linear Feedback Shift Register)로 스트림 암호를 구현할 수 있다.
  4. Trivium은 현대적 스트림 암호로 알려져 있다.
(정답률: 83%)
  • 스트림 암호에서는 Key Stream Generator가 생성한 비트 스트림과 평문을 XOR 연산하여 암호문을 생성한다. 따라서 "Key Stream Generator 출력값을 입력값(평문)과 AND 연산하여, 암호문을 얻는다."는 옳지 않은 설명이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

6. <보기>에서 설명하는 DRM 구성요소는?

  1. 식별자
  2. 클리어링 하우스
  3. 애플리케이션
  4. 시큐어 컨테이너
(정답률: 79%)
  • 시큐어 컨테이너는 DRM(Digital Rights Management) 시스템에서 중요한 역할을 하는 구성요소로, 디지털 콘텐츠를 안전하게 보호하기 위해 사용됩니다. 시큐어 컨테이너는 콘텐츠를 암호화하고, 접근 권한을 제어하며, 불법 복제를 방지하는 등의 보안 기능을 제공합니다. 이러한 기능들은 디지털 콘텐츠의 무단 유통을 막고, 저작권자의 권리를 보호하는 데 큰 역할을 합니다. 따라서 시큐어 컨테이너가 DRM 시스템에서 중요한 구성요소로 간주됩니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

7. 이더넷(Ethernet)상에서 전달되는 모든 패킷(Packet)을 분석하여 사용자의 계정과 암호를 알아내는 것은?

  1. Nessus
  2. SAINT
  3. Sniffing
  4. IPS
(정답률: 82%)
  • 이더넷은 물리적으로 공유되는 네트워크이기 때문에, 다른 사용자들이 전송하는 패킷도 모두 수신할 수 있습니다. 이러한 상황에서 Sniffing은 이더넷 상에서 전달되는 모든 패킷을 분석하여 사용자의 계정과 암호를 알아내는 공격 기법입니다. 따라서, 이 문제에서 정답은 Sniffing입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

8. 리눅스 시스템에서 패스워드 정책이 포함되고, 사용자 패스워드가 암호화되어 있는 파일은?

  1. /etc/group
  2. /etc/passwd
  3. /etc/shadow
  4. /etc/login.defs
(정답률: 88%)
  • "/etc/shadow" 파일은 리눅스 시스템에서 사용자 패스워드를 암호화하여 저장하는 파일입니다. 이 파일은 root 권한으로만 접근이 가능하며, 패스워드 정책과 관련된 설정도 포함되어 있습니다. 따라서, 패스워드 보안을 강화하기 위해 "/etc/shadow" 파일을 사용합니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

9. 타원곡선 암호에 대한 설명으로 가장 옳지 않은 것은?

  1. 타원곡선 암호의 단점은 보안성 향상을 위하여 키 길이가 길어진다는 것이다.
  2. 타원곡선에서 정의된 연산은 덧셈이다.
  3. 타원곡선을 이용하여 디피-헬먼(Diffie-Hellman) 키 교환을 수행할 수 있다.
  4. 타원곡선은 공개키 암호에 사용된다.
(정답률: 74%)
  • 타원곡선 암호의 단점은 보안성 향상을 위하여 키 길이가 길어진다는 것이 아니라, 타원곡선 암호는 기존의 RSA 알고리즘과 비교하여 상대적으로 구현이 어렵고 속도가 느리다는 것이 단점이다. 따라서 타원곡선 암호를 사용할 때는 키 길이가 길어지는 것이 아니라, 구현 및 속도 문제를 고려해야 한다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

10. 영지식 증명(Zero-Knowledge Proof)에 대한 설명으로 가장 옳지 않은 것은?

  1. 영지식 증명은 증명자(Prover)가 자신의 비밀 정보를 노출하지 않고 자신의 신분을 증명하는 기법을 의미한다.
  2. 영지식 증명에서 증명자 인증 수단으로 X.509 기반의 공개키 인증서를 사용할 수 있다.
  3. 최근 블록체인상에서 영지식 증명을 사용하여 사용자의 프라이버시를 보호하고자 하며, 이러한 기술로 zk-SNARK가 있다.
  4. 영지식 증명은 완정성(Completeness), 건실성(Soundness), 영지식성(Zero-Knowledgeness) 특성을 가져야 한다.
(정답률: 64%)
  • 영지식 증명에서 증명자 인증 수단으로 X.509 기반의 공개키 인증서를 사용할 수 있다는 것은 옳은 설명이 아니다. 영지식 증명은 증명자가 자신의 비밀 정보를 노출하지 않고 자신의 신분을 증명하는 기법으로, 인증서와는 별개의 개념이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

11. 「개인정보 보호법」상 주민등록번호의 처리에 대한 설명으로 가장 옳지 않은 것은?

  1. 개인정보처리자는 주민등록번호가 분실·도난·유출·위조· 변조 또는 훼손되지 아니하도록 암호화 조치를 통하여 안전하게 보관하여야 한다.
  2. 행정안전부장관은 개인정보처리자가 처리하는 주민등록번호가 분실·도난·유출·위조· 변조 또는 훼손된 경우에는 5억원 이하의 과징금을 부과·징수할 수 있으나, 개인정보처리자가 안전성 확보에 필요한 조치를 다한 경우에는 그러하지 아니하다.
  3. 개인정보처리자는 정보주체가 인터넷 홈페이지를 통하여 회원으로 가입하는 단계에서는 주민등록번호를 사용하지 아니하고도 회원으로 가입할 수 있는 방법을 제공하여야 한다.
  4. 개인정보처리자로부터 주민등록번호를 제공받은 자는 개인정보 보호 위원회의 심의· 의결을 거쳐 제공받은 주민등록번호를 목적 외의 용도로 이용하거나 이를 제3자에게 제공할 수 있다.
(정답률: 83%)
  • "개인정보처리자로부터 주민등록번호를 제공받은 자는 개인정보 보호 위원회의 심의· 의결을 거쳐 제공받은 주민등록번호를 목적 외의 용도로 이용하거나 이를 제3자에게 제공할 수 있다."가 가장 옳지 않은 설명입니다. 이유는 개인정보 보호법에서는 주민등록번호를 제공받은 자도 개인정보처리자와 동일하게 주민등록번호를 안전하게 보호하고 목적 외의 용도로 이용하거나 제3자에게 제공할 수 없도록 규정하고 있기 때문입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

12. <보기>의 설명에 해당되는 공격 유형으로 가장 적합한 것은?

  1. Smurf Attack
  2. Land Attack
  3. Teardrop Attack
  4. Ping of Death Attack
(정답률: 93%)
  • 이 그림은 하나의 서버에 대한 공격을 나타내고 있으며, 이 서버는 인터넷에 직접 연결되어 있습니다. 이러한 상황에서, 공격자는 대량의 패킷을 서버에 보내서 서버를 다운시키는 공격을 시도할 수 있습니다. 이러한 공격은 "Land Attack"로 알려져 있습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

13. TLS 및 DTLS 보안 프로토콜에 대한 설명으로 가장 옳지 않은 것은?

  1. TLS 프로토콜에서는 인증서(Certificate)를 사용하여 인증을 수행할 수 있다.
  2. DTLS 프로토콜은 MQTT 응용 계층 프로토콜의 보안에 사용될 수 있다.
  3. TLS 프로토콜은 Handshake · Change Cipher Spec · Alert 프로토콜과 Record 프로토콜 등으로 구성되어 있다.
  4. TCP 계층 보안을 위해 TLS가 사용되며, UDP 계층 보안을 위해 DTLS가 사용된다.
(정답률: 71%)
  • "TCP 계층 보안을 위해 TLS가 사용되며, UDP 계층 보안을 위해 DTLS가 사용된다."는 옳은 설명입니다.

    DTLS 프로토콜은 UDP 기반의 프로토콜에 보안 기능을 제공하기 위해 개발된 프로토콜입니다. MQTT는 TCP 기반의 프로토콜이므로, DTLS는 MQTT의 보안에 사용될 수 없습니다. 따라서, "DTLS 프로토콜은 MQTT 응용 계층 프로토콜의 보안에 사용될 수 있다."는 옳지 않은 설명입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

14. 무선 통신 보안 기술에 대한 설명으로 가장 옳지 않은 것은?

  1. 무선 네트워크 보안 기술에 사용되는 WPA2 기술은 AES/CCMP를 사용한다.
  2. 무선 네트워크에서는 인증 및 인가, 과금을 위해 RADIUS 프로토콜을 사용할 수 있다.
  3. 무선 AP의 SSID값 노출과 MAC 주소 기반 필터링 기법은 공격의 원인이 된다.
  4. 무선 네트워크 보안 기술인 WEP(Wired Equivalent Privacy) 기술은 유선 네트워크 수준의 보안성을 제공하므로 기존의 보안 취약성 문제를 극복했다.
(정답률: 88%)
  • "무선 네트워크 보안 기술인 WEP(Wired Equivalent Privacy) 기술은 유선 네트워크 수준의 보안성을 제공하므로 기존의 보안 취약성 문제를 극복했다."가 가장 옳지 않은 설명입니다. WEP는 보안 취약점이 많아서 현재는 사용되지 않으며, 유선 네트워크 수준의 보안성을 제공하지 않습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

15. 서비스 거부 공격(DoS)에 대한 설명으로 가장 옳지 않은 것은?

  1. 공격자가 임의로 자신의 IP 주소를 속여서 다량으로 서버에 보낸다.
  2. 대상 포트 번호를 확인하여 17, 135, 137번, UDP 포트 스캔이 아니면, UDP Flooding 공격으로 간주한다.
  3. 헤더가 조작된 일련의 IP 패킷 조각들을 전송한다.
  4. 신뢰 관계에 있는 두 시스템 사이에 공격자의 호스트를 마치 하나의 신뢰 관계에 있는 호스트인 것처럼 속인다.
(정답률: 79%)
  • 신뢰 관계에 있는 두 시스템 사이에 공격자의 호스트를 마치 하나의 신뢰 관계에 있는 호스트인 것처럼 속인다는 것은 서비스 거부 공격과는 관련이 없는 용어입니다. 따라서 이 보기가 가장 옳지 않은 것입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

16. 윈도우 운영체제에서의 레지스트리(Registry)에 대한 설명으로 가장 옳은 것은?

  1. 레지스트리 변화를 분석함으로써 악성코드를 탐지할 수 있다.
  2. 레지스트리는 운영체제가 관리하므로 사용자가 직접조작할 수 없다.
  3. 레지스트리 편집기를 열었을 때 보이는 다섯 개의 키를 하이브(Hive)라고 부른다.
  4. HKEY_CURRENT_CONFIG는 시스템에 로그인하고 있는 사용자와 관련된 시스템 정보를 저장한다.
(정답률: 66%)
  • 정답은 "레지스트리 변화를 분석함으로써 악성코드를 탐지할 수 있다."입니다.

    레지스트리는 윈도우 운영체제에서 중요한 역할을 합니다. 레지스트리는 운영체제가 시스템 구성 정보, 하드웨어 정보, 소프트웨어 정보 등을 저장하는 데이터베이스입니다. 따라서 레지스트리는 시스템의 안정성과 성능에 매우 중요한 역할을 합니다.

    악성코드는 시스템의 레지스트리를 수정하거나 새로운 항목을 추가하여 시스템을 감염시키는 경우가 많습니다. 따라서 레지스트리 변화를 분석함으로써 악성코드를 탐지할 수 있습니다. 레지스트리 변화를 모니터링하고, 이상한 동작이나 새로운 항목이 추가되는 것을 감지하면 악성코드 감염 여부를 판단할 수 있습니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

17. 침입차단시스템에 대한 설명으로 가장 옳은 것은?

  1. 스크린드 서브넷 구조(Screened Subnet Architecture)는 DMZ와 같은 완충 지역을 포함하며 구축 비용이 저렴하다.
  2. 스크리닝 라우터 구조(Screening Router Architecture)는 패킷을 필터링하도록 구성되므로 구조가 간단하고 인증 기능도 제공할 수 있다.
  3. 이중 네트워크 호스트 구조(Dual-homed Host Architecture)는 내부 네트워크를 숨기지만, 베스천 호스트가 손상되면 내부 네트워크를 보호할 수 없다.
  4. 스크린드 호스트 게이트웨이 구조(Screened Host Gateway Architecture)는 서비스 속도가 느리지만, 베스천 호스트에 대한 침입이 있어도 내부 네트워크를 보호할 수 있다.
(정답률: 62%)
  • 이중 네트워크 호스트 구조는 내부 네트워크를 외부로부터 숨기는 역할을 하지만, 베스천 호스트가 손상되면 내부 네트워크를 보호할 수 없다는 것은 이중 네트워크 호스트 구조가 단일 지점 장애(single point of failure)를 가지기 때문이다. 즉, 베스천 호스트가 고장나면 내부 네트워크에 대한 보호 기능이 상실되어 침입자가 내부 네트워크에 쉽게 침입할 수 있다는 것이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

18. 최근 알려진 Meltdown 보안 취약점에 대한 설명으로 가장 옳은 것은?

  1. CPU가 사용하는 소비 전력 패턴을 사용하여 중요한 키 값이 유출되는 보안 취약점이다.
  2. CPU의 특정 명령어가 실행될 때 소요되는 시간을 측정하여 해당 명령어와 주요한 키 값이 유출될 수 있는 보안 취약점이다.
  3. SSL 설정 시 CPU 실행에 영향을 미쳐 CPU 과열로 인해 오류를 유발하는 보안 취약점이다.
  4. CPU를 고속화하기 위해 사용된 비순차적 명령어 처리(Out-of-Order Execution) 기술을 악용한 보안 취약점이다.
(정답률: 68%)
  • CPU를 고속화하기 위해 사용된 비순차적 명령어 처리(Out-of-Order Execution) 기술을 악용한 보안 취약점이다. 이는 CPU가 명령어를 순차적으로 처리하지 않고, 미리 처리할 수 있는 명령어를 먼저 처리하여 성능을 향상시키는 기술을 이용하여 공격자가 중요한 정보를 유출하는 것이 가능해진 것이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

19. <보기>는 TCSEC(Trusted Computer System Evaluation Criteria)에 의하여 보안 등급을 평가할 때 만족해야 할 요건들에 대한 설명이다. 보안 등급이 높은 것부터 순서대로 나열된 것은?

  1. ㄱ-ㄴ-ㄷ
  2. ㄱ-ㄷ-ㄴ
  3. ㄴ-ㄱ-ㄷ
  4. ㄴ-ㄷ-ㄱ
(정답률: 65%)
  • 보기에서는 TCSEC의 보안 등급을 평가할 때 만족해야 할 요건들을 나열하고 있다. 이 중 보안 등급이 높은 것부터 순서대로 나열된 것은 "ㄴ-ㄱ-ㄷ"이다. 이유는 TCSEC에서는 보안 등급이 높을수록 보안 요건이 더욱 엄격하게 적용되기 때문이다. 따라서 "ㄴ-ㄱ-ㄷ" 순서로 나열된 것이다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

20. 정보보호 및 개인정보보호 관리체계인증(ISMS-P)에 대한 설명으로 가장 옳지 않은 것은?

  1. 정보보호 관리체계 인증만 선택적으로 받을 수 있다.
  2. 개인정보 제공 시뿐만 아니라 파기 시의 보호조치도 포함한다.
  3. 위험 관리 분야의 인증기준은 보호대책 요구사항 영역에서 규정한다.
  4. 관리체계 수립 및 운영 영역은 Plan, Do, Check, Act의 사이클에 따라 지속적이고 반복적으로 실행 되는지 평가한다.
(정답률: 62%)
  • "위험 관리 분야의 인증기준은 보호대책 요구사항 영역에서 규정한다." 이 설명이 옳지 않은 이유는, 위험 관리 분야의 인증기준은 위험관리 요구사항 영역에서 규정하기 때문입니다. 보호대책 요구사항 영역은 정보보호 대책을 수립하고 운영하기 위한 요구사항을 규정하는 영역입니다.
profile_image
1

*오류신고 접수시 100포인트 지급해드립니다.

목록 다음회차 >