정보보안기사

8회

시스템 보안


1. 다음의 공격도구들이 공통적으로 제공하는 기능은?
John the Ripper, Wfuzz, Cain and Abel, THC Hydra
  • 1
    무차별대입공격
  • 2
    SQL Injection
  • 3
    스니핑 공격
  • 4
    사회 공학 공격

2. 괄호 안에 들어갈 말로 옳은 것은?
운영체제의 구조는 이중 모드(dual mode)로 되어있는데, 이는 사용자 모드(user mode)와 커널 모드(kernel mode, 또는 운영체제 실행 모드)이다. 이 중 사용자 모드는 특권 명령어를 사용할 수 없으며, 이러한 경우에 사용자 프로세스는 운영체제에게 도움을 요청하게 되는데 이를 (   )(이)라 한다. 즉, (    )(은)는 실행중인 프로그램과 운영체제 사이에 인터페이스를 제공하는 것이다.
  • 1
    시스템 관리(system management)
  • 2
    시스템 호출(system call)
  • 3
    프로세스 관리(process management)
  • 4
    스케쥴링(scheduling)

3. 다음을 운영체제의 5계층에 따라 계층별로 올바르게 나열한 것은?
1. 프로세서 관리
2. 파일 관리
3. 메모리 관리
4. 주변장치 관리
5. 프로세스 관리
  • 1
    1-3-5-4-2
  • 2
    1-3-5-2-4
  • 3
    5-4-2-3-1
  • 4
    5-1-2-4-3

4. 휘발성 증거들의 수집 순서를 우선순위가 높은 것부터 올바르게 배열한 것은?
  • 1
    레지스터와 캐시, 시스템 메모리의 내용, 임시파일시스템, 디스크의 데이터
  • 2
    시스템 메모리의 내용, 레지스터와 캐시, 임시파일시스템, 디스크의 데이터
  • 3
    레지스터와 캐시, 임시파일시스템, 시스템 메로리의 내용, 디스크의 데이터
  • 4
    레지스터와 캐시, 디스크 데이터, 시스템 메모리의 내용, 임시파일 시스템

5. cron 테이블에 대한 설명이다. 매주 토요일 오전 10시 정각에 mytest를 실행시키기 위한 내용으로 맞는 것은?
  • 1
    0 10 6 * * mytest
  • 2
    0 10 * * 6 mytest
  • 3
    0 10 * 6 * mytest
  • 4
    0 10 6 * * mytest

6. 사용자가 자신의 홈 디렉터리 내에서 새롭게 생성되는 서브 파일에 디폴트 파일 허가권을 파일 소유자에게는 읽기와 쓰기, 그룹과 other에게는 읽기만 가능하도록 부여하고 싶다. 로그인 셸에 정의해야 하는 umask 설정 값은?
  • 1
    umask 644
  • 2
    umask 022
  • 3
    umask 330
  • 4
    umask 033

7. cron에 대한 설명으로 옳지 않은 것은?
  • 1
    정기적인 작업을 지정시간에 처리하기 위해 사용한다.
  • 2
    cron에 의해 수행된 작업에 관한 로그는 기본적으로 /etc/default/cron 파일에 저장된다.
  • 3
    시간별, 일별, 주별, 월별로 작업을 정의할 수 있다.
  • 4
    /etc/crontab 파일에 처리할 작업 목록이 정의되고 저장되어 있다.

8. 개인 PC 보안에 관한 점검 사항으로 적절하지 않은 것은?
  • 1
    디렉터리(데이터 공유), 페스워드 미설치 점검
  • 2
    바이러스 백신을 활용한 바이러스 웜 점검
  • 3
    화면 보호기 암호 설정
  • 4
    라우팅 테이블 점검

9. 하드웨어와 소프트웨어 설치 드라이버 설정에 대한 정보를 포함하고 있는 윈도우 레지스트리 키(Registry Key)는?
  • 1
    HKEY_LOCAL_MACHINE
  • 2
    HKEY_CLASS_ROOT
  • 3
    HKEY_CURRENT_USER
  • 4
    HKEY_USERS

10. 다음 xinetd에 대한 설정으로 틀린 설명은?
#cat telnet
service telnet
{
  disable = no
  flags = REUSE
  socket_type = stream
  wait = no
  user = root
  server = /usr/sbin/in.telnetd
  log_on_failure += USERID
}
  • 1
    현재 tenet 서비스는 동작 중에 있다.
  • 2
    wait 값이 no인 것으로 보아 단일 쓰레드로 실행됨을 알수 있다.
  • 3
    소켓 형태는 스트림 기반의 서비스이다.
  • 4
    해당 서비스를 실행할 데몬 프로그램은 /usr/sbin/in.telnetd이다.

11. 버퍼 오버플로우 공격의 대응수단으로 적절하지 않은 것은?
  • 1
    스택상에 있는 공격자의 코드가 실행되지 못하도록 한다.
  • 2
    프로세스 주소 공간에 있는 중요 데이터 구조의 위치가 변경되지 않도록 적재 주소를 고정시킨다.
  • 3
    함수의 진입(entry)과 종료(exit) 코드를 조사하고 함수의 스택 프레임에 대해 손상이 있는지를 검사한다.
  • 4
    변수 타입과 그 타임에 허용되는 연산들에 대해 강력한 표기법을 제공하는 고급수준의 프로그래밍 언어를 사용한다.

12. 다음 중 가장 옳지 않은 것은?
  • 1
    wtmp : 사용자들이 로그인, 로그아웃한 정보를 가지고 있다.
  • 2
    pacct : 사용자가 로그인한 후부터 로그아웃할 때까지 입력한 명령과 시간, 작동된 tty 등에 대한 정보를 가지고 있다.
  • 3
    utmp : 시스템에 현재 로그인한 사용자들에 대한 상태정보를 가지고 있다.
  • 4
    btmp : 사용자별로 가장 마지막에 로그인한 시간과 접속 IP, tty 등에 대한 정보를 가지고 있다.

13. 다음에서 설명하는 악성코드는 무엇인가?
이 악성코드는 컴퓨터 시스템에 저장된 사용자 문서 파일을 암호화하거나 컴퓨터 시스템을 잠그고 돈을 요구하는 악성 프로그램으로 전자메일이나 웹사이트 등 다양한 경로를 통해 감염된다. 이러한 악성코드로는 크립토월, 크립토락커, CoinVault 등이 대표적으로 알려져 있다.
  • 1
    바이러스
  • 2
    루트킷
  • 3
  • 4
    랜섬웨어

14. 스택 버퍼 오버플로우 공격의 수행 절차를 순서대로 바르게 나열한 것은?
ㄱ. 특정 함수의 호출이 완료되면 조작된 반환 주소인 공격 셸 코드의 주소가 반환된다.
ㄴ. 루트 권한으로 실행되는 프로그램 상에서 특정 함수의 스택 버퍼를 오버플로우시켜서 공격 셸 코드가 저장되어 있는 버퍼의 주소로 반환 주소를 변경한다.
ㄷ. 공격 셸 코드를 버퍼에 저장한다.
ㄹ. 공격 셸 코드가 실행되어 루트 권한을 획득하게 된다.
  • 1
    ㄱ-ㄴ-ㄷ-ㄹ
  • 2
    ㄱ-ㄷ-ㄴ-ㄹ
  • 3
    ㄷ-ㄴ-ㄱ-ㄹ
  • 4
    ㄷ-ㄱ-ㄴ-ㄹ

15. Process ID(PID) 1번을 가지고 있는 프로세스는 무엇인가?
  • 1
    init
  • 2
    부트로더
  • 3
    OS 커널
  • 4
    BIOS

16. 백도어를 사용하여 접근하는 경우 정상적인 인증을 거치지 않고 관리자의 권한을 얻을 수 있다. 이에 대한 대응책으로 옳지 않은 것은?
  • 1
    주기적으로 파일의 해쉬값을 생성하여 무결성 검사를 수행한다.
  • 2
    불필요한 서비스 포트가 열려있는지 확인한다.
  • 3
    윈도우의 작업관리자나 리눅스시스템의 ps 명령어를 통해 비정상적인 프로세스가 있는지 확인한다.
  • 4
    promiscuous로 변경되어 있는지를 주기적으로 검사한다.

17. 해킹기법과 그 대응책에 대한 설명으로 옳지 않은 것은?
  • 1
    Buffer Overflow 공격 : 프로그래밍 시 경계값 검사를 적용하고 최신 운영체제로 패치
  • 2
    Format String Bug 공격 : 데이터 형태(포맷 스트링)에 대한 명확한 정의
  • 3
    Denial of Service 공격 : MAC 주소값을 고정으로 설정
  • 4
    SYN Flooding 공격 : SYN Received의 대기시간을 축소

18. 다음 설명에 해당되는 공격 유형은?
버그를 갖고 있는 System Program과 침입자의 Exploit Program이 거의 같은 시간대에 실행되어 System Program이 갖는 권한으로 Exploit Program이 실행되는 경우를 말한다.
  • 1
    Stack Buffer Overflow
  • 2
    Format String
  • 3
    Race Condition
  • 4
    Synchronization

19. 리눅스 서버에서 외부의 모든 Ping of Death 공격을 방어하기 위하여 리눅스의 기본 커널 옵션을 조정하려고 한다. 적절한 명령어는?
  • 1
    sysctl -w net, ipv4, icmp_echo_ignore_all=0
  • 2
    sysctl -w net, ipv4, icmp_echo_ignore_all=1
  • 3
    sysctl -n net, ipv4, icmp_echo_ignore_broadcasts=1
  • 4
    sysctl -n net, ipv4, icmp_echo_ignore_broadcasts=0

20. 다음은 크래커 A가 남긴 C소스 코드와 바이너리 파일이다. 이에 대한 설명으로 적합한 것은?
$ls -l
total 20
-rwsr-wr-x 1 root root 1435 Oct 7 21:13 test
-rw-rw-r-- 1 root root 88 Oct 7 21:12 test.c

$ cat test.c
#include 
void main() {
  setuid(0);
  setgid(0);
  system("/bin/bash");
}
  • 1
    setgid 시스템 콜의 인자를0으로 준 것으로 보아 Race Condition 기법의 공격이다.
  • 2
    /bin/sh를 실행시키는 것으로 보아 Sniffing 기법이다.
  • 3
    setuid 시스템 콜의 인자가 0이고 컴파일된 바이너리 파일의 퍼미션이 4755인 것으로 보아 루트 권한을 탈취하는 백도어이다.
  • 4
    main 함수의 리턴형태가 void 이므로 Format String Attack으로 보인다.

네트워크 보안


21. 다음 지문에 해당하는 ICMP 오류 메시지는?
데이터그램(Datagram)이 라우터를 방문할 때, 이 필드의 값은 1씩 감소되며, 이 필드 값이 0이 되면 라우터는 데이터그램을 폐기한다. 데이터그램이 폐기될 때 라우터는 오류 메시지를 원 발신지에 송신한다.
  • 1
    목적지 도달 불가능
  • 2
    시간 경과
  • 3
    매개변수 문제
  • 4
    발시지억제

22. 네트워크에 존재하는 많은 종류의 장비 중 리피터에 대한 설명으로 옳지 않은 것은?
  • 1
    물리계층에서 동작하는 장비이다.
  • 2
    감쇄되는 신호를 증폭하고 재생하여 전송한다.
  • 3
    연속적으로 2개 이상의 케이블을 연결함으로써 케이블의 거리 제한을 극복한다.
  • 4
    이더넷 멀티포트 리피터 또는 연결 집중 장치라고도 한다.

23. 다음 중 전문가 시스템(Expert System)을 이용한 IDS에서 사용되는 침입 탐지기법은?
  • 1
    Behavior Detection
  • 2
    State Transition Detection
  • 3
    Knowledge Based Detection
  • 4
    Statistical Detection

24. 다음 중 프로토콜과 포트번호의 연결이 옳지 않은 것은 무엇인가?
  • 1
    HTTP - 80
  • 2
    SMTP - 25
  • 3
    DNS - 53
  • 4
    TELNET - 20

25. 다음 지문이 설명하는 것은?
ㅇ 엔드포인트(End-Point) 보안문제를 해결하기 위해 고려된 방식
ㅇ 접근제어를 위한 사용자 인증과 백신 관리, 패치 관리 등 무결성 체크과 같은 핵심 기능 포함
  • 1
    Network Access Control
  • 2
    Network Management System
  • 3
    Enterprise Security Management
  • 4
    Unified Threat Manager

26. 다음 지문에서 설명하는 것은?
침입탐지시스템은 Telnet 접속 시 사용되는 계정이나, 메일의 첨부파일 형태, 웹서버에 전송되는 패킷의 내용 등에서 미리 정의된 공격자 패턴과 일치하는지에 따라 비정상 행위여부를 결정하는 탐지방법을 사용한다.
  • 1
    Signature-based Detection
  • 2
    Anomaly-based Detection
  • 3
    Network Behavior Detection
  • 4
    Stateful Protocol Detection

27. 서브넷팅에 대한 설명 중 틀린 것은?
  • 1
    네트워크 세그먼트로 나눈 개별 네트워크를 말한다.
  • 2
    서브넷 마스크는 네트워크 ID와 호스트 ID를 구분 짓는 역할을 한다.
  • 3
    서브넷 마스크는 32비트의 값을 가진다.
  • 4
    각각의 서브넷들이 모여 물리적인 네트워크를 이루며 상호 접속을 수행한다.

28. 다음 중 무결성 점검을 위해 사용하는 프로그램은?
  • 1
    tripwire
  • 2
    tcpdump
  • 3
    hunt
  • 4
    dsniff

29. 다음 중 호스트 서버와 인터넷 게이트웨이 사이에서 메시지를 제어하고, 오류를 알려주는 프로토콜은 어느 것인가?
  • 1
    SMTP
  • 2
    SSh
  • 3
    ICMP
  • 4
    IGMP

30. 다음 중 SIEM에 사용되는 프로그램과 가장 거리가 먼 것은?
  • 1
    SPLUNK
  • 2
    QRadar
  • 3
    Arcsight
  • 4
    EnCase

31. VPN 터널에 사용되지 않는 것은?
  • 1
    IPSec
  • 2
    PPTP
  • 3
    SSL
  • 4
    RTP

32. 다음 지문은 어떤 종류의 ICMP 메시지를 설명하는 것인가?
데이터를 보내는 호스트에게 IP 데이터그램의 라우터 집중 현상에 의해 패킷이 손실되고 있음을 알리기 위해 라우터가 보내는 메시지
  • 1
    Source Quench
  • 2
    Echo Request
  • 3
    Echo Reply
  • 4
    Destination Unreachable

33. 네트워크를 통해 무선 LAN을 공격하기 위한 기술적 공격 방식이 아닌 것은?
  • 1
    구성 설정 초기화
  • 2
    무선 전파 전송 방해
  • 3
    불법 AP를 통한 전송 데이터 수집
  • 4
    암호화 되지 않은 통신 데이터 도청

34. 다음은 IPSec의 AH 프로토콜이 하는 역할에 대한 설명이다. 맞는 것은?
  • 1
    라우터와 라우터 간의 IP 패킷을 암호화한다.
  • 2
    단말과 단말 간의 IP 패킷을 암호화한다.
  • 3
    단말과 라우터 간의 IP 패킷에 대한 송신 인증 및 무결성 서비스를 제공한다.
  • 4
    단말과 라우터 간의 IP 패킷에 대한 송신 인증, 무결성 그리고 암호화 서비스를 제공한다.

35. 다음은 IPSec 터널모드에서 IP 패킷을 암호화하고 인증 기능을 수행하는 그림이다. ㄱ과 ㄴ에 추가되는 헤더 정보를 바르게 연결한 것은?
IP Header data
IP Header data
  • 1
    new IP header, ESP/AH
  • 2
    ESP/AH, new IP header
  • 3
    IKE header, new IP header
  • 4
    new IP header, IKE header

36. DDoS 긴급 대응 절차 순서를 올바르게 나열한 것은?
가. 모니터링
나. 상세분석
다. 공격탐지
라. 초동조치
마. 차단조치
  • 1
    라, 다, 가, 나, 마
  • 2
    라, 가, 마, 다, 나
  • 3
    가, 다, 라, 나, 마
  • 4
    가, 다, 나, 라, 마

37. 전통적인 응용 게이트웨이 방식의 방화벽에 대한 설명 중 옳지 않은 것은?
  • 1
    외부 네트워크에 연결된 컴퓨터는 내부 네트워크에 연결된 컴퓨터에 직접 연결되지 않고 프락시를 통해서만 연결된다.
  • 2
    외부 네트워크와 내부 네트워크 간에 전달되는 모든 데이터는 하나의 프락시를 통해 처리된다.
  • 3
    프락시를 통해 2개의 서로 다른 연결이 설정되므로 외부 네트워크에 연결된 사용자들에게 내부 네트워크 정보를 숨기는 효과가 있다.
  • 4
    응용 계층에서 처리하는 데이터에 대한 점검 기능을 수행하므로 패킷 필터링 수준의 방화벽보다 우수한 보안 서비스를 제공한다.

38. 다음 중 패킷 필터링 시에 패킷 헤더에서 검출할 수 있는 정보가 아닌것은?
  • 1
    목적지 IP 주소
  • 2
    TCP/UDP 소스 포트
  • 3
    ICMP 메시지 타입
  • 4
    패킷의 생성 시간

39. 다음 중 보기의 특성을 갖는 공격 방법은?
에이전트 설치의 어려움을 보완한 공격 기법으로 TCP 프로토콜 및 라우팅 테이블 운영상의 취약성을 이용하여 정상적인 서비스를 제공 중인 서버를 Agent로 활용하는 공격 기법이다.
  • 1
    Botnet
  • 2
    DRDoS
  • 3
    APT
  • 4
    Sniffing

40. 다음의 공격 방법을 방어하기 위한 침입차단시스템의 유형으로 가장 적절한 것은?
침입차단시스템을 우회하기 위하여 침입차단시스템 내부망에 있는 시스템의 서비스 요청을 받은 것으로 가장하여 패킷을 전송한다.
  • 1
    응용레벨 게이트웨이
  • 2
    회로레벨 게이트웨이
  • 3
    패킷 필터링 라우터
  • 4
    상태검사 패킷 필터

애플리케이션 보안


41. 다음 중 이메일(E-mail) 송수신을 위해서 사용되는 프로토콜로 가장 적절하지 않은 것은?
  • 1
    SMTP
  • 2
    POP3
  • 3
    IMAP
  • 4
    SNMP

42. 전자 상거래에 활용되는 암호화에 대한 설명이 적당하지 않은 것은?
  • 1
    전자상거래에 사용되는 암호시스템은 공개키보다 대칭키를 사용하는 시스템이다.
  • 2
    전통적으로 정보의 보안을 유지하는 가장 효과적인 방법은 암호화를 도입하는 것이다.
  • 3
    암호화(Encryption)는 데이터를 읽을 수 없는 형태로 만드는 것을 의미한다.
  • 4
    암호를 이용한 방법은 자격이 없는 임의의 방문자로부터 정보를 숨김으로써 개인의 프라이버시를 보장하는데 의의가 있다.

43. 파일 업로드 취약점을 이용한 공격으로 가장 많이 사용되는 유형은 무엇인가?
  • 1
    SQL 삽입 공격
  • 2
    웹셸 공격
  • 3
    CSRF 공격
  • 4
    쿠키 하이재킹 공격

44. 다음 OTP의 생성 방식은 무엇인가?
OTP 토큰과 OTP 인증서버의 동기화된 인증 횟수를 기준으로 사용자가 인증을 요청할 때마다 OTP 값을 생성한다.
  • 1
    질의-응답 방식
  • 2
    이벤트 동기화 방식
  • 3
    시간 동기화 방식
  • 4
    S/KEY 방식

45. 다음 중 웹 브라우저와 웹 서버 간에 안전한 정보 전송을 위해 사용되는 암호화 방법으로 가장 적절한 것은?
  • 1
    SSH(Secure Shell)
  • 2
    PGP(Pretty Good Privacy)
  • 3
    SSL(Secure Socket Layer)
  • 4
    S/MIME(Secure Multipurpose Internet Mail Extension)

46. 다음 전자메일 프로토콜은 무엇인가?
ㅇ 메일을 안전하게 전송하기 위한 프로토콜로서 디지털 서명과 메시지 암호화 기능을 제공한다.
ㅇ 공개키 인증서는 반드시 X.509형식을 사용한다.
  • 1
    IMAP
  • 2
    SMTP
  • 3
    S/MIME
  • 4
    POP

47. 다음 지문이 설명하는 공격기법은 무엇인가?
게시판이나 웹 메일 등에 악의적인 스크립트를 삽입함으로써 사용자의 쿠키 및 기타 개인정보를 특정 사이트로 전송하게 하거나 악성파일을 다운로드하여 실행하도록 하는 공격
  • 1
    파라미터 변조 공격
  • 2
    쿠키/세션 위조
  • 3
    XSS
  • 4
    SQL Injection

48. 다음 중 FTP 명령의 수행 기능을 올바르게 설명한 것은?
  • 1
    RMD : 파일 다운로드
  • 2
    STOR : 원격지 파일 저장
  • 3
    CWD : 디렉터리 생성
  • 4
    MKD : 디렉터리 목록 보기

49. 입력 값에 대한 검증을 누락하거나 부적절한 검증, 데이터의 잘못된 형식지정 등으로 인해 발생할 수 있는 보안취약점과 가장 거리가 먼 것은?
  • 1
    SQL 삽입
  • 2
    크로스사이트 스크립트
  • 3
    CMD 삽입
  • 4
    경쟁 조건

50. 다음 중 커버로스(Kerberos)의 특징이 아닌 것은?
  • 1
    재생공격을 예방할 수 있다.
  • 2
    데이터의 무결성을 제공한다.
  • 3
    타임스탬프는 필요하지 않다.
  • 4
    대칭키를 이용한 기밀성 제공이 가능하다.

51. 메일 서비스를 대상으로 할 수 있는 공격 기법으로 가장 적절한 것은 무엇인가?
  • 1
    Active Contents 공격
  • 2
    트로이목마 공격
  • 3
    서비스 거부 공격
  • 4
    Mail Bomb

52. 컴퓨터 메모리는 사용되는 방식에 따라 여러 개의 영역으로 나누어 생각할 수 있는데 프로그램 실행 중 함수 호출 시 생성되는 지역변수와 매개변수가 저장되었다가 함수가 종료되면 시스템에 반환되는 영역은 무엇인가?
  • 1
    Text 영역
  • 2
    Data 영역
  • 3
    Stack 영역
  • 4
    Heap 영역

53. 다음 설명에 해당하는 것은?
ㅇ 송신자 측에서는 전송할 이메일(email)에 대한 전자서명 생성에 사용되며, 수신자 측에서는 이메일에 포함된 전자서명의 확인 작업에 사용된다.
ㅇ 비대칭 암호 기술을 사용한다.
ㅇ 이메일 어플리케이션에 플러그인 방식으로 확장이 가능하다.
ㅇ 최초 개발자는 Phil Zimmermann이다.
  • 1
    PGP(Pretty Good Privacy)
  • 2
    PKI(Public-Key Infrastructure)
  • 3
    MIME(Multipurpose Internet Mail Extension)
  • 4
    IKE(Internet Key Exchange)

54. S/MIME이 수행하는 기능이 아닌 것은?
  • 1
    메시지 기밀성 보호
  • 2
    메시지 무결성 보호
  • 3
    송신자 인증
  • 4
    악성 메일 차단

55. 다음 중 포맷 스트링 취약점 점검 툴이 아닌 것은?
  • 1
    gdb
  • 2
    objdump
  • 3
    ltrace
  • 4
    tcpdump

56. 다음은 웹서버 로그에서 볼 수 있는 상태코드로 HTTP/1.1에서 정의한 것이다. 이 중 잘못된 것은?
  • 1
    304 : Not Modified
  • 2
    403 : Forbidden
  • 3
    404 : Method Not Allowed
  • 4
    504 : Gateway Timeout

57. 다음 중 SSO(Single Sign On)의 장점이 아닌 것은?
  • 1
    운영 비용 감소
  • 2
    관리자 서버의 업무 부담이 상대적으로 크다
  • 3
    사용자 편의성 증가
  • 4
    중앙 집중 관리를 통한 효율성 증대

58. 아래 지문은 크로스사이트 요청 위조(CSRF)의 보안대책을 설명한 것이다. 다음 중 ( ) 안에 들어갈 내용이 맞게 구성된 것은?
입력화면 폼 작성 시 (A) 방식보다는 (B) 방식을 사용하고, 입력화면 폼과 해당 입력을 처리하는 프로그램 사이에 (C)를 사용하여, 공격자의 직접적인 URL 사용이 동작하지 않도록 한다. 특히 중요한 기능에 대해서는 (D)와 더불어 (E)를 유도한다.
  • 1
    GET, POST, 세션, 사용자 세션 검증, 재사용
  • 2
    POST, GET, 세션, 쿠키 식별, 재사용
  • 3
    POST, GET, 토큰, 쿠키 식별, 재사용
  • 4
    GET, POST, 토큰, 사용자 세션 검증, 재인증

59. S/MIME은 기존 전자우편 보안시스템인 PEM의 구현 복잡성, PGP의 낮은 보안성 등을 보완한 프로토콜이다. 다음 중 S/MIME이 달성하고자 하는 목표가 아닌 것은?
  • 1
    강력한 암호화
  • 2
    디지털 서명
  • 3
    상호 운영성
  • 4
    키 관리의 간소화

60. 소프트웨어 수명주기 모델 중 프로토타입 모델의 장점으로 가장 적절한 것은?
  • 1
    개발비용의 절감
  • 2
    4세대 언어의 적용
  • 3
    개발단계의 명확성
  • 4
    사용자 요구사항의 정확한 파악

정보보안 일반


61. 다음 중 DES 및 3-DES에 관한 설명으로 잘못된 것은?
  • 1
    DES의 F-함수는 8개의 S-box로 구성되어 있으며, 각 S-box는 6비트 입력 4비트 출력을 갖는다.
  • 2
    DES의 S-box는 모두 선형(Linear) 구조이며 DES의 안전성의 행심 모듈이다.
  • 3
    DES의 F-함수의 확장은 입력 32비트를 출력 48비트로 확장하는 것이다.
  • 4
    3-DES는 2개 또는 3개의 서로 다른 키를 이용하여 DES를 반복 적용하는 것이다.

62. 사용자 인증을 위해 사용되는 생체인식 기술의 요구조건이 아닌 것은?
  • 1
    보편성
  • 2
    구별성
  • 3
    영구성
  • 4
    시간 의존성

63. 스트림 암호에 관한 설명으로 잘못된 것은?
  • 1
    이진 수열(비트)로 된 평문과 키 이진 수열 비트 단위로 XOR하여 암호화 한다.
  • 2
    암호화 알고리즘에 치환변환과 전치변환이 주로 쓰인다.
  • 3
    주로 유럽을 중심으로 발전하였으며 군사용으로 쓰인다.
  • 4
    일회용 패드는 스트림 암호화의 한 예이다.

64. 전사서명에서 사용되는 해시 함수와 관련된 설명으로 옳지 않은 것은?
  • 1
    해시 값 h가 주어져 있을 때 h = H(M) 인 메시지를 M을 찾는 일은 시간이 아주 많이 걸리는 일이어야 한다.
  • 2
    메시지 M이 주어져 있을 때, H(M) = (M')인 다른 메시지 M'를 찾는 일은 시간이 아주 많이 걸리는 일이어야 한다.
  • 3
    H(M) = H(M')인 서로 다른 두 메세지 M과 M'를 찾는 일은 시간이 아주 많이 걸리는 일이어야 한다.
  • 4
    해시 함수의 출력 크리는 해시 함수의 안전성과는 무관하지만, 해시 함수 계산 시간에는 많은 영향을 미친다.

65. 다음 중 무결성 점검을 위한 해시 함수가 아닌 것은?
  • 1
    tripwire
  • 2
    MD5
  • 3
    SHA-256
  • 4
    CRC-32

66. 최근 입사하여 소속 부서의 프린터 관리를 담당하게 된 홍길동은 이전 담당자의 자원 접근 권한을 그대로 인계 받아 업무를 수행하게 되었다. 이러한 상황과 가장 관련성이 높은 접근 통제 기술은 무엇인가?
  • 1
    강제적 접근통제(MAC)
  • 2
    임의적 접근통제(DAC)
  • 3
    역할기반 접근통제(RBAC)
  • 4
    다단계 보안정책(MLS)

67. 일방향 해시(hash) 함수 MD5의 출력 해시 크기는?
  • 1
    128비트
  • 2
    256비트
  • 3
    512비트
  • 4
    1024비트

68. 아래 지문에 가장 적합한 세션키(Session Key) 키 분배 방법은?
A가 생성한 세션키를 B에게 분배하고자 할 때 A는 자신이 생성한 B의 공개키로 암호화하여 B에게 보낸다. 이를 받은 B는 자신의 개인키로 복호화하여 세션키를 얻는다. 이렇게 하면 A와 B는 같은 키를 공유하게 된다.
  • 1
    Diffie-Hellman 키 분배
  • 2
    KDC 기반 키 분배
  • 3
    RSA 알고리즘을 이용한 키 분배
  • 4
    Needham-Schroeder 키 분배

69. 메시지의 무결성 보장과 송신자에 대한 인증을 목적으로 공유 비밀키와 메시지로부터 만들어지는 것은?
  • 1
    의사 난수
  • 2
    메시지 인증 코드
  • 3
    해시
  • 4
    인증서

70. 다음 중 아래 괄호 부분에 들어갈 내용으로 적합한 것은?
( ㄱ ) 기술은 암호화와 복호화에 서로 다른 키를 이용하는 압호 비법으로 메시지의 기밀성을 제공하기 위해 사용되며, 이는 ( ㄴ ) 기술에 비해 속도가 매우 느리기 때문에 하이브리드 암호 방식으로 사용된다. ( ㄱ ) 기술은 ( ㄴ )의 키 배송 문제를 해결할 수 있지만, 중간자 공격에 의해 위장공격이 가능하기 때문에 ( ㄷ )을 이용한 공개키 인증이 필요하다.
  • 1
    ㄱ : 일방향 해시함수, ㄴ : 대칭키 암호, ㄷ : 공개키 암호기술
  • 2
    ㄱ : 일방향 해시함수, ㄴ : 메시지 인증코드, ㄷ : 전자 서명
  • 3
    ㄱ : 공개키 암호, ㄴ : 메시지 인증코드, ㄷ : 대칭키 암호기술
  • 4
    ㄱ : 공개키 암호, ㄴ : 대칭키 암호, ㄷ : 전자서명

71. 컴퓨터 보안에서 사용되는 암호에 관한 설명 중 옳은 것은?
  • 1
    암호는 정당한 권한이 부여된 사용자만이 데이터의 내용을 파악할 수 있는 데이터의 가용성을 보장해 준다.
  • 2
    암호는 수신된 메시지가 불법적으로 재생된 것인지 또는 전송과정에서 변조, 재구성되었는지 등을 확인할 수 있는 무결성을 보장한다.
  • 3
    암호는 수신된 메시지가 정당한 송신자로부터 전송된 것인지를 확인할 수 있는 기밀성을 제공한다.
  • 4
    암호는 메시지를 특정 수신자에게 전송할 때 송신자는 그 메시지의 발송을 나중에 부인할 수 없도록 인증기능을 제공한다.

72. 전자입찰시스템의 요구조건을 기술한 다음 지문의 ( ) 안에 들어갈 단어를 순서대로 나열한 것은?
(  ) : 전자입찰 시스템의 각 구성요소들은 자신들의 독자적인 자율성을 보장 받아야 한다.
(  ) : 입찰이 수행될 때 모든 정보는 공개되어야 한다.
(  ) : 네트워크상에 각 구성요소 간에 개별정보는 누구에게도 노출되어서는 안된다.
(  ) : 입찰 시 입찰자 자신의 정보를 확인 가능하게 함으로써 누락 및 변조 여부를 확인할 수 있어야 한다.
(  ) : 각 입찰 참여자 간의 공모는 방지되어야 하고 입찰 공고자와 서버의 독단이 발생하면 안된다.
  • 1
    비밀성, 안전성, 독립성, 무결성, 공평성
  • 2
    비밀성, 공평성, 독립성, 무결성, 안전성
  • 3
    독립성, 안전성, 비밀성, 무결성, 공평성
  • 4
    독립성, 공평성, 비밀성, 무결성, 안전성

73. 암호 해독자가 일정량의 평문에 해당하는 암호문을 알고 있을 경우 암호 키를 찾아내는 암호 공격 방식은?
  • 1
    암호문 단독 공격
  • 2
    기지 평문 공격
  • 3
    선택 평문 공격
  • 4
    선택 암호문 공격

74. 접근통제 모델 중 기밀성을 강조한 최초의 수학적 모데롤 시스템 보안을 위한 규칙 준수 규정과 주체의 객체 접근 허용 범위를 규정한 것으로 옳은 것은?
  • 1
    벨-라파듈라 모델
  • 2
    비바 모델
  • 3
    클락-윌슨 모델
  • 4
    만리장성 모델

75. 접근통제 모델 중 정보의 소유자가 정보의 보안 수준을 결정하고 이에 대한 정보의 접근 통제까지 설정하는 모델은 무엇인가?
  • 1
    DAC
  • 2
    MAC
  • 3
    RBAC
  • 4
    HAC

76. 다음 중 블록 암호 알고리즘의 종류가 아닌 것은?
  • 1
    RC5
  • 2
    MD5
  • 3
    DES
  • 4
    IDEA

77. SET에서 도입된 기술로 고객의 구매 정보는 은행이 모르게하고 지불 정보는 상점이 모르게 하기 위해 사용하는 서명 방식은?
  • 1
    은닉 서명
  • 2
    그룹 서명
  • 3
    수신자 지정 서명
  • 4
    이중 서명

78. 다음은 어떤 전자서명 방식에 대한 설명인가?
1. 미국의 NIST에서 발표한 표준 전자서명 방식이다.
2. DSA 알고리즘을 사용한다.
3. 트랩도어가 존재할 가능성이 있다.
4. Schnorr 방식과 비슷한 구조를 가지고 있다.
  • 1
    KCDSA
  • 2
    DSS
  • 3
    FFS
  • 4
    ElGamel

79. 다음에서 설명하는 블록 암호 공격 기법은?
선택 평문 공격으로서 두 개의 평문 블록들의 비트 차이에 대응되는 암호문 블록의 비트 차이를 이용하여 사용된 암호키를 찾아내는 방식이다.
  • 1
    차분 공격
  • 2
    선형 공격
  • 3
    통계적 분석
  • 4
    치환 공격

80. 우리나라 표준 서명 알고리즘으로 가장 적절한 것은?
  • 1
    RSA
  • 2
    KCDSA
  • 3
    ECC
  • 4
    ECDSA

정보보안 관리 및 법률


81. 지문에서 설명하는 위험분석 방법은 무엇인가?
이 방법은 시스템에 관리 전문적인 지식을 가진 전문가 집단을 구성하고, 토론을 통해 위험을 분석하는 정성적인 방법이다. 위험을 짧은 기간에 도출할 수 있고 시간과 비용이 적게 투입되나 신뢰도가 상대적으로 낮다는 문제점이 있다.
  • 1
    연간예상손실 계산법
  • 2
    과거 통계자료 분석법
  • 3
    델파이법
  • 4
    시나리오 기반 분석법

82. 인터넷 보안 프로토콜에 해당하지 않는 것은?
  • 1
    SSL
  • 2
    HTTPS
  • 3
    S/MIME
  • 4
    TCSEC

83. 다음 설명은 정보의 속성 중에서 무엇을 설명한 것인가?
송신자와 수신자 간에 전송된 메시지를 놓고 전송치 않았음을 또는 발송되지 않은 메시지를 받았음을 주장할 수 없게 한다.
  • 1
    비밀성
  • 2
    인증
  • 3
    부인방지
  • 4
    엑세스제어

84. 다음은 정보통신망법의 목정규정 내용 중 ( )에 들어갈 내용을 나열한 것으로 옿은 것은?
이 법은 정보통신망의 이용을 촉진하고 정보통신서비스를 이용하는 자의 (   )을 보호함과 아울러 정보통신망을 건전하고 안전하게 이용할 수 있는 환경을 조성함으로써 (   )의 향상과 (   )의 증진에 이바지함을 목적으로 한다.
  • 1
    권익, 서비스의 품질, 공공복리
  • 2
    인격보호, 보안의식, 표준화
  • 3
    이용권, 정보통신기술, 정보화
  • 4
    개인정보, 국민생활, 공공복리

85. 다음 지문은 무엇에 대한 설명인가?
이것은 각종 재해 시 재난의 발생을 대비하기 위하여 핵심 시스템의 가용성과 신뢰성을 회복하고 사업의 연속성을 유지하기 위한 일련의 사업지속성 개획과 절차를 말한다. 단순한 데이터의 복구나 신뢰도를 유지하며 나아가 기업의 전체적인 신뢰성 유지와 가치를 최대화 하는 방법과 절차이다.
  • 1
    위험관리
  • 2
    업무 연속성 게회
  • 3
    재난 대비 가용성 확보대책
  • 4
    피해 복구 대책

86. 다음과 같은 개인정보보호에 대한 시책 마련은 어느 법률에서 규정하고 있는가?
미래창조과학부장관 또는 발송통신위원회는 정보통신망의 이용 촉진 및 안정적 권리 운영과 이용자의 개인정보보호 등을 통해 정보사회의 기반을 조성하기 위한 시책을 마련하여야 한다.
  • 1
    국가정보화 기본법
  • 2
    개인정보보호법
  • 3
    정보통신기반 보호법
  • 4
    정보통신망법

87. 정량적 위험분석과 정성적 위험분석에 대한 다음의 설명 중 틀린 것은?
  • 1
    정량적 분석은 객관적인 평가기준이 적용된다.
  • 2
    정략적 분석은 위험관리 성능평가가 용이하다.
  • 3
    정성적 분석은 계산에 대한 노력이 적게 소요된다.
  • 4
    정성적 분석은 비용과 이익에 대한 평가가 필수적으로 요구된다.

88. 정보통신망법에서 규정하고 있는 내용이 아닌 것은?
  • 1
    주요정보통신기반시설의 보호체계
  • 2
    정보통신망에서의 이용자 보호 등
  • 3
    정보통신망의 안정성 확보 등
  • 4
    개인정보의 보호

89. 다음의 ISMS 인증 의무 대상자에 대한 설명으로 잘못 기술된 것은?
  • 1
    전기통신사업법의 전기통신사업자로 전국적으로 정보통신망 서비스를 제공하는 사업자
  • 2
    타인의 정보통신서비스 제공을 위하여 집적된 정보통신시설을 운영·관리하는 사업자
  • 3
    정보통신서비스 부문 전년도 매출액 100억 이상 사업자
  • 4
    전년도말 기준 직전 6개월간 일일 평균 이용자 수 100만명 이상 사업자

90. 다음 중 정보통신기반보호법 상 국가안전보장에 중대한 영향을 미치는 것으로서 관리기관의 장이 기술적 지원을 요청하는 경우 국가정보원장에게 우선적으로 그 지원을 요청하여야 하는 주요정보통신기반시설에 해당하지 아니하는 것은?
  • 1
    도로, 철도, 지하철, 공항, 항만 등 주요 교통시설
  • 2
    전력, 가스, 석유 등 에너지 수자원 시설
  • 3
    방송중계, 금융정보통신기반시설
  • 4
    원자력, 국방과학, 첨단방위산업관련 정부출연 연구기관의 연구시설

91. 다음의 보기 중에서 일반직원 대상의 통상적인 정보보호 교육 및 훈련의 내용에 해당되지 않는 것은?
  • 1
    정보보호 요구사항
  • 2
    정보호 사고 발생 시의 사용자의 법적인 책임
  • 3
    조직의 정보보호 관리통제 방법
  • 4
    조직의 정보보호 시스템 구성도 및 운영방법

92. 다음 중 정보통신서비스 제공자 등이 개인정보의 분실, 도난, 누출 사실을 안 때에는 지체 없이 수행하혀야 할 행동으로 잘못 기술된 것은?
  • 1
    방송통신위원회 또는 한국인터넷진흥원에 신고하여야 한다.
  • 2
    정당한 사유 없이 그 사실을 안 때부터 5일을 경과하여 통지 및 신고해서는 아니된다.
  • 3
    이용자에게 알릴 때에는 누출 등이 된 개인정보 항목이 포함된다.
  • 4
    한국인터넷진흥원이 신고를 받았다면 그 사실을 방송통신위원회에 알려야 한다.

93. 다음은 정보통신서비스 제공자가 정보통신망법의 규정을 위반하여 부담하게 되는 손해배상책임에 관한 규정이다. ( )에 적합한 용어는?
이용자는 정보통신서비스 제공자 등이 이 장의 규정을 위반한 행위로 (ㄱ)를 입으면 그 정보통신서비스 제공자 등에게 손해배상을 청구할 수 있다. 이 경우 해당 정보통신서비스 제공자 등은 고의 또는 (ㄴ)이 없음을 입증하지 아니하면 책임을 면할 수 없다.
  • 1
    ㄱ : 불명예, ㄴ : 과실
  • 2
    ㄱ : 손해, ㄴ : 부주의
  • 3
    ㄱ : 이익, ㄴ : 대가
  • 4
    ㄱ : 손해, ㄴ : 과실

94. 위험관리의 개념에서 위험 완화 방법에 대한 설명으로 옳지 않은 것은?
  • 1
    회피는 특정 위험으로부터의 손실 부담 또는 위험 획득을 수용하는 것이다.
  • 2
    전가는 잠재적 비용을 제3자에게 전가 하거나 할당하는 것이다.
  • 3
    감소는 위험을 감소시킬 수 있는 대책을 채택하여 구현하는 것이다.
  • 4
    수용은 위험을 받아들이고 비용을 감수하는 것이다.

95. 아래는 정보통신망법에 대한 내용이다. ( )안에 들어갈 말로서 바르게 나열된 것은?
정보통신서비스제공자는 이용자의 개인정보를 (  )하려고 (  )하는 때에는 다음 각 호의 (  ) 사항에 대하여 이용자에게 알리고 (  )를 얻어야 한다. 다음 각 호의 어느 하나의 사항을 (  )하려는 때에도 또한 같다.
1. 개인정보 수집·이용 목적
2. 수집하는 개인정보의 항목
3. 개인정보의 보유 및 이용 기간
  • 1
    이용, 수집, 모든, 동의, 변경
  • 2
    이용, 보유, 개별, 양해, 수정
  • 3
    사용, 보유, 개별, 양해, 수정
  • 4
    이용, 수집, 모든, 양해, 변경

96. 다음 중 전자서명법에 의거하여 공인인증기관이 발공하는 공인인증서에 포함되는 사항이 아닌 것은?
  • 1
    가입자와 공인인증기관이 이용하는 전자인증 방식
  • 2
    공인인증서의 일련번호
  • 3
    공인인증기관의 명칭 등 공인인증기관임을 확인할 수 있는 정보
  • 4
    공인인정서의 이용범위 또는 용도를 제한하는 경우 이에 관한 사항

97. 다음의 지문은 무엇에 관한 설명인가?
이것은 부분적으로 설비를 가지고 있는 백업 사이트로서, 대개 디스크 드라이브, 테이프 드라이브와 같이 가격이 저렴한 주변기기를 가지고 있으나, 주 컴퓨터는 가지고 있지 않은 재난복구 서비스의 일종이다.
  • 1
    핫 사이트
  • 2
    웜 사이트
  • 3
    쿨 사이트
  • 4
    콜드 사이트

98. 정보통신망법상 개인정보 처리방침에 포함되어야 할 사항이 아닌 것은?
  • 1
    이용자 및 법정대리인의 권리와 그 행사 방법
  • 2
    개인정보에 대한 내부 관리 계획
  • 3
    인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치·운영 및 그 거부에 관한 사항
  • 4
    개인정보의 수집·이용 목적, 수집하는 개인정보의 항목 및 수집 방법

99. 정보통신망법상 정보통신 서비스 제공자는 임원급의 정보보호 최고책임자를 지정할 수 있도록 정하고 있다. 정보통신서비스 제공자의 정보보호 최고책임자가 총괄하는 업무에 해당하지 않는 것은? (단, 이 법에 명시된 것으로 한정함)
  • 1
    정보보호관리체계 수집 및 관리·운영
  • 2
    주요 정보통신기반시설의 지정
  • 3
    정보보호 취약점 분석·평가 및 개선
  • 4
    정보보호 사전 보안성 검토

100. 다음 보기 중에서 통상적으로 정보보호 정책서에 기술하지 않는 항목은?
  • 1
    정보보호 목적과 구성
  • 2
    정보보호 실행 계획 수립
  • 3
    보안에 대한 역할과 책임
  • 4
    정보보호 선언

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
채점하기
상기 문제들은 웹상에 공개되어 있는 문제들을 수집한 것으로, 혹시 저작권등 문제가 있는 경우 연락 주시면 지체없이 조치하겠습니다.
광고 등 제휴 문의 : salvo1661@gmail.com
대한민국 대표 음악 커뮤니티 미딕스 지하철 역세권 커뮤니티 소개팅어플 인기순위 소개팅어플 인기순위 공대 위키 대한민국 대표 부동산계산기