21. 서비스 거부(DoS : Denial of Service) 공격 또는 분산 서비스거부(DDoS : Distributed DoS) 공격에 대한 설명으로 옳지 않은것은?

• 1
   TCP SYN이 DoS 공격에 활용된다.
• 2
   CPU, 메모리 등 시스템 자원에 과다한 부하를 가중시킨다.
• 3
   불특정 형태의 에이전트 역할을 수행하는 데몬 프로그램을변조하거나 파괴한다.
• 4
   네트워크 대역폭을 고갈시켜 접속을 차단시킨다.

22. 보안 프로토콜인 IPSec(IP Security)의 프로토콜 구조로 옳지않은 것은?

• 1
   Change Cipher Spec
• 2
   Encapsulating Security Payload
• 3
   Security Association
• 4
   Authentication Header

23. DRM(Digital Right Management)에 대한 설명으로 옳지 않은것은?

• 1
   디지털 컨텐츠의 불법 복제와 유포를 막고, 저작권 보유자의이익과 권리를 보호해 주는 기술과 서비스를 말한다.
• 2
   DRM은 파일을 저장할 때, 암호화를 사용한다.
• 3
   DRM 탬퍼 방지(tamper resistance) 기술은 라이센스 생성및 발급관리를 처리한다.
• 4
   DRM은 온라인 음악서비스, 인터넷 동영상 서비스, 전자책,CD/DVD 등의 분야에서 불법 복제 방지 기술로 활용된다.

24. 다음 설명에 해당하는 접근제어 모델은?

조직의 사용자가 수행해야 하는 직무와 직무 권한 등급을기준으로 객체에 대한 접근을 제어한다. 접근 권한은 직무에허용된 연산을 기준으로 허용함으로 조직의 기능 변화에따른 관리적 업무의 효율성을 높일 수 있다. 사용자가적절한 직무에 할당되고, 직무에 적합한 접근 권한이 할당된경우에만 접근할 수 있다.

• 1
   강제적 접근제어(Mandatory Access Control)
• 2
   규칙 기반 접근제어(Rule-Based Access Control)
• 3
   역할 기반 접근제어(Role-Based Access Control)
• 4
   임의적 접근제어(Discretionary Access Control)

25. 공개키 암호에 대한 설명으로 옳지 않은 것은?

• 1
   공개키 인증서를 공개키 디렉토리에 저장하여 공개한다.
• 2
   사용자가 증가할수록 필요한 비밀키의 개수가 증가하는 암호방식의 단점을 해결할 수 있다.
• 3
   일반적으로 대칭키 암호방식보다 암호화 속도가 느리다.
• 4
   n명의 사용자로 구성된 시스템에서는 n(n-1)/2개의 키가요구된다.

26. 웹 서버 보안에 대한 설명으로 옳지 않은 것은?

• 1
   웹 애플리케이션은 SQL 삽입공격에 안전하다.
• 2
   악성 파일 업로드를 방지하기 위하여 필요한 파일 확장자만업로드를 허용한다.
• 3
   웹 애플리케이션의 취약점을 방지하기 위하여 사용자의입력 값을 검증한다.
• 4
   공격자에게 정보 노출을 막기 위하여 웹 사이트의 맞춤형 오류페이지를 생성한다.

27. 개인정보 보호법 상 개인정보 유출 시 개인정보처리자가 정보주체에게 알려야 할 사항으로 옳은 것만을 모두 고르면?

ㄱ. 유출된 개인정보의 위탁기관 현황
ㄴ. 유출된 시점과 그 경위
ㄷ. 개인정보처리자의 개인정보 보관·폐기 기간
ㄹ. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수있는 담당부서 및 연락처

• 1
   ㄱ, ㄴ
• 2
   ㄷ, ㄹ
• 3
   ㄱ, ㄷ
• 4
   ㄴ, ㄹ

28. PGP(Pretty Good Privacy)에 대한 설명으로 옳지 않은 것은?

• 1
   PGP는 전자우편용 보안 프로토콜이다.
• 2
   대칭키 암호화 알고리즘으로 메시지를 암호화하며, 공개키 암호는 사용되지 않는다.
• 3
   PGP는 데이터를 압축해서 암호화한다.
• 4
   필 짐머만(Philip Zimmermann)이 개발하였다.

29. 컴퓨터 바이러스에 대한 설명으로 옳지 않은 것은?

• 1
   트랩도어(Trapdoor)는 정상적인 인증 과정을 거치지 않고프로그램에 접근하는 일종의 통로이다.
• 2
   웜(Worm)은 네트워크 등의 연결을 통하여 자신의 복제품을전파한다.
• 3
   트로이목마(Trojan Horse)는 정상적인 프로그램으로 가장한악성프로그램이다.
• 4
   루트킷(Rootkit)은 감염된 시스템에서 활성화되어 다른 시스템을공격하는 프로그램이다.

30. 정보보호 관리체계 인증 등에 관한 고시 에 의거한 정보보호관리체계(ISMS)에 대한 설명으로 옳지 않은 것은?

• 1
   정보보호관리과정은 정보보호정책 수립 및 범위설정, 경영진책임 및 조직구성, 위험관리, 정보보호대책 구현 등 4단계활동을 말한다.
• 2
   인증기관이 조직의 정보보호 활동을 객관적으로 심사하고,인증한다.
• 3
   정보보호 관리체계는 조직의 정보 자산을 평가하는 것으로물리적 보안을 포함한다.
• 4
   정보 자산의 기밀성, 무결성, 가용성을 실현하기 위하여 관리적․기술적 수단과 절차 및 과정을 관리, 운용하는 체계이다.

31. 공격자가 자신이 전송하는 패킷에 다른 호스트의 IP 주소를담아서 전송하는 공격은?

• 1
   패킷 스니핑(Packet Sniffing)
• 2
   스미싱(Smishing)
• 3
   버퍼 오버플로우(Buffer Overflow)
• 4
   스푸핑(Spoofing)

32. 정보보호의 주요 목적에 대한 설명으로 옳지 않은 것은?

• 1
   기밀성(confidentiality)은 인가된 사용자만이 데이터에 접근할수 있도록 제한하는 것을 말한다.
• 2
   가용성(availability)은 필요할 때 데이터에 접근할 수 있는능력을 말한다.
• 3
   무결성(integrity)은 식별, 인증 및 인가 과정을 성공적으로수행했거나 수행 중일 때 발생하는 활동을 말한다.
• 4
   책임성(accountability)은 제재, 부인방지, 오류제한, 침입탐지및 방지, 사후처리 등을 지원하는 것을 말한다.

33. 네트워크 각 계층별 보안 프로토콜로 옳지 않은 것은?

• 1
   네트워크 계층(network layer) : IPSec
• 2
   네트워크 계층(network layer) : FTP
• 3
   응용 프로그램 계층(application layer) : SSH
• 4
   응용 프로그램 계층(application layer) : S/MIME

34. 방화벽(firewall)에 대한 설명으로 옳지 않은 것은?

• 1
   패킷 필터링 방화벽은 패킷의 출발지 및 목적지 IP 주소,서비스의 포트 번호 등을 이용한 접속제어를 수행한다.
• 2
   패킷 필터링 기법은 응용 계층(application layer)에서 동작하며,WWW와 같은 서비스를 보호한다.
• 3
   NAT 기능을 이용하여 IP 주소 자원을 효율적으로 사용함과동시에 보안성을 높일 수 있다.
• 4
   방화벽 하드웨어 및 소프트웨어 자체의 결함에 의해 보안상취약점을 가질 수 있다.

35. 해시 함수(hash function)에 대한 설명으로 옳지 않은 것은?

• 1
   임의 길이의 문자열을 고정된 길이의 문자열로 출력하는함수이다.
• 2
   대표적인 해시 함수는 MD5, SHA-1, HAS-160 등이 있다.
• 3
   해시 함수는 메시지 인증과 메시지 부인방지 서비스에 이용된다.
• 4
   해시 함수의 충돌 회피성은 동일한 출력을 산출하는 서로 다른두 입력을 계산적으로 찾기 가능한 성질을 나타낸다.

36. 정보통신기반 보호법 에 대한 설명으로 옳지 않은 것은?

• 1
   주요정보통신기반시설을 관리하는 기관의 장은 침해사고가발생하여 소관 주요정보통신기반시설이 교란․마비 또는파괴된 사실을 인지한 때에는 관계 행정기관, 수사기관 또는한국인터넷진흥원에 그 사실을 통지하여야 한다.
• 2
   “전자적 침해행위”라 함은 정보통신기반시설을 대상으로 해킹,컴퓨터 바이러스, 서비스 거부 또는 고출력 전자기파 등에의한 공격행위를 말한다.
• 3
   관리기관의 장은 소관분야의 정보통신기반시설 중 전자적침해행위로부터의 보호가 필요하다고 인정되는 시설을 주요정보통신기반시설로 지정할 수 있다.
• 4
   주요정보통신기반시설의 취약점 분석․평가 방법 등에 관하여필요한 사항은 대통령령으로 정한다.

37. 개인정보 보호법 상 공공기관에서의 영상정보처리기기 설치 및운영에 대한 설명으로 옳지 않은 것은?

• 1
   공공기관의 사무실에서 민원인의 폭언․폭행 방지를 위해영상정보처리기기를 설치 및 녹음하는 것이 가능하다.
• 2
   영상정보처리기기의 설치 목적과 다른 목적으로 영상정보처리기기를 임의로 조작하거나 다른 곳을 비춰서는 안 된다.
• 3
   영상정보처리기기운영자는 영상정보처리기기의 설치․운영에관한 사무를 위탁할 수 있다.
• 4
   개인정보 보호법 에서 정하는 사유를 제외하고는 공개된장소에 영상정보처리기기를 설치하는 것은 금지되어 있다.

38. 국제공통평가기준(Common Criteria)에 대한 설명으로 옳지 않은것은?

• 1
   정보보호 측면에서 정보보호 기능이 있는 IT 제품의 안전성을보증․평가하는 기준이다.
• 2
   국제공통평가기준은 소개 및 일반모델, 보안기능요구사항,보증요구사항 등으로 구성되고, 보증 등급은 5개이다.
• 3
   보안기능요구사항과 보증요구사항의 구조는 클래스로 구성된다.
• 4
   상호인정협정(CCRA:Common Criteria Recognition Arrangement)은정보보호제품의 평가인증 결과를 가입 국가 간 상호 인정하는협정으로서 미국, 영국, 프랑스 등을 중심으로 시작되었다.

39. 위험관리 요소에 대한 설명으로 옳지 않은 것은?

• 1
   위험은 위협 정도, 취약성 정도, 자산 가치 등의 함수관계로산정할 수 있다.
• 2
   취약성은 자산의 약점(weakness) 또는 보호대책의 결핍으로정의할 수 있다.
• 3
   위험 회피로 조직은 편리한 기능이나 유용한 기능 등을 상실할 수 있다.
• 4
   위험관리는 위협 식별, 취약점 식별, 자산 식별 등의 순서로이루어진다.

40. 다음 설명에 해당하는 컴퓨터 바이러스는?

산업 소프트웨어와 공정 설비를 공격 목표로 하는 극도로정교한 군사적 수준의 사이버 무기로 지칭된다. 공정 설비와연결된 프로그램이 논리제어장치(Programmable LogicController)의 코드를 악의적으로 변경하여 제어권을 획득한다.네트워크와 이동저장매체인 USB를 통해 전파되며, SCADA(Supervisory Control and Data Acquisition) 시스템이 공격목표이다.

• 1
   오토런 바이러스(Autorun virus)
• 2
   백도어(Backdoor)
• 3
   스턱스넷(Stuxnet)
• 4
   봇넷(Botnet)