1. 정보보호 위험관리에 대한 설명으로 옳지 않은 것은?

• 1
   자산은 조직이 보호해야 할 대상으로 정보, 하드웨어, 소프트웨어, 시설 등이 해당한다.
• 2
   위험은 자산에 손실이 발생할 가능성과 관련되어 있으나 이로 인한 부정적인 영향을 미칠 가능성과는 무관하다.
• 3
   취약점은 자산이 잠재적으로 가진 약점을 의미한다.
• 4
   정보보호대책은 위협에 대응하여 자산을 보호하기 위한 관리적, 기술적, 물리적 대책을 의미한다.

2. 공개키 암호화에 대한 설명으로 옳지 않은 것은?

• 1
   ECC(Elliptic Curve Cryptography)와 Rabin은 공개키 암호 방식이다.
• 2
   RSA는 소인수 분해의 어려움에 기초를 둔 알고리즘이다.
• 3
   전자서명 할 때는 서명하는 사용자의 공개키로 암호화한다.
• 4
   ElGamal은 이산대수 문제의 어려움에 기초를 둔 알고리즘이다.

3. X.509 인증서 형식 필드에 대한 설명으로 옳은 것은?

• 1
   Issuer name－인증서를 사용하는 주체의 이름과 유효기간 정보
• 2
   Subject name－인증서를 발급한 인증기관의 식별 정보
• 3
   Signature algorithm ID－인증서 형식의 버전 정보
• 4
   Serial number－인증서 발급 시 부여된 고유번호 정보

4. 일방향 해시함수를 사용하여 비밀번호를 암호화할 때 salt라는 난수를 추가하는 이유는?

• 1
   비밀번호 사전공격(Dictionary attack)에 취약한 문제를 해결할 수 있다.
• 2
   암호화된 비밀번호 해시 값의 길이를 줄일 수 있다.
• 3
   비밀번호 암호화의 수행 시간을 줄일 수 있다.
• 4
   비밀번호의 복호화를 빠르게 수행할 수 있다.

5. 윈도우 운영체제에서 TPM(Trusted Platform Module)에 대한 설명으로 옳지 않은 것은?

• 1
   TPM의 공개키를 사용하여 플랫폼 설정정보에 서명함으로써 디지털 인증을 생성한다.
• 2
   TPM은 신뢰 컴퓨팅 그룹(Trusted Computing Group)에서 표준화된 개념이다.
• 3
   TPM은 키 생성, 난수 발생, 암복호화 기능 등을 포함한 하드웨어 칩 형태로 구현할 수 있다.
• 4
   TPM의 기본 서비스에는 인증된 부트(authenticated boot), 인증, 암호화가 있다.

6. 키 k에 대한 블록 암호 알고리즘 Ek, 평문블록 Mi, Z0는 초기벡터, Zi＝Ek(Zi－1)가 주어진 경우, 이때 i＝1, 2, ..., n에 대해 암호블록 Ci를 Ci＝Zi⊕Mi로 계산하는 운영모드는? (단, ⊕는 배타적 논리합이다)

• 1
   CBC
• 2
   ECB
• 3
   OFB
• 4
   CTR

7. 정보보호 시스템 평가 기준에 대한 설명으로 옳은 것은?

• 1
   ITSEC의 레인보우 시리즈에는 레드 북으로 불리는 TNI(Trusted Network Interpretation)가 있다.
• 2
   ITSEC은 None부터 B2까지의 평가 등급으로 나눈다.
• 3
   TCSEC의 EAL2 등급은 기능시험 결과를 의미한다.
• 4
   TCSEC의 같은 등급에서는 뒤에 붙는 숫자가 클수록 보안 수준이 높다.

8. SSL(Secure Socket Layer)의 Handshake 프로토콜에서 클라이언트와 서버 간에 논리적 연결 수립을 위해 클라이언트가 최초로 전송하는 ClientHello 메시지에 포함되는 정보가 아닌 것은?

• 1
   세션 ID
• 2
   클라이언트 난수
• 3
   압축 방법 목록
• 4
   인증서 목록

9. ｢개인정보 보호법｣상 기본계획에 대한 조항의 일부이다. ㉠, ㉡에 들어갈 내용을 바르게 연결한 것은?

제9조(기본계획) ①보호위원회는 개인정보의 보호와 정보주체의 권익 보장을 위하여 (   ㉠   )년마다 개인정보 보호 기본계획(이하 “기본계획”이라 한다)을 관계 중앙행정기관의 장과 협의하여 수립한다.
②기본계획에는 다음 각 호의 사항이 포함되어야 한다.
1.개인정보 보호의 기본목표와 추진방향
2.개인정보 보호와 관련된 제도 및 법령의 개선
3.개인정보 침해 방지를 위한 대책
4.(   ㉡   )
5.개인정보 보호 교육․홍보의 활성화
6.개인정보 보호를 위한 전문인력의 양성
7.그 밖에 개인정보 보호를 위하여 필요한 사항

• 1
   ㉠ 1, ㉡ 개인정보 보호 자율규제의 활성화
• 2
   ㉠ 3, ㉡ 개인정보 보호 자율규제의 활성화
• 3
   ㉠ 1, ㉡ 개인정보 활용․폐지를 위한 계획
• 4
   ㉠ 3, ㉡ 개인정보 활용․폐지를 위한 계획

10. 소수 p＝13, 원시근 g＝2, 사용자 A와 B의 개인키가 각각 3, 2일 때, Diffie-Hellman 키 교환 알고리즘을 사용하여 계산한 공유 비밀키는?

• 1
   6
• 2
   8
• 3
   12
• 4
   16

11. NIST의 AES(Advanced Encryption Standard) 표준에 따른 암호화 시 암호키(cipher key) 길이가 256비트일 때 필요한 라운드 수는?

• 1
   8
• 2
   10
• 3
   12
• 4
   14

12. IPsec의 ESP(Encapsulating Security Payload)에 대한 설명으로 옳지 않은 것은?

• 1
   인증 기능을 포함한다.
• 2
   ESP는 암호화를 통해 기밀성을 제공한다.
• 3
   전송 모드의 ESP는 IP 헤더를 보호하지 않으며, 전송계층으로부터 전달된 정보만을 보호한다.
• 4
   터널 모드의 ESP는 Authentication Data를 생성하기 위해 해시 함수와 공개키를 사용한다.

13. 네트워크나 컴퓨터 시스템의 자원 고갈을 통해 시스템 성능을 저하시키는 공격에 해당하는 것만을 모두 고르면?

ㄱ.Ping of Death 공격
ㄴ.Smurf 공격
ㄷ.Heartbleed 공격
ㄹ.Sniffing 공격

• 1
   ㄱ, ㄴ
• 2
   ㄱ, ㄷ
• 3
   ㄴ, ㄷ
• 4
   ㄴ, ㄹ

14. 다음 설명에 해당하는 위험분석 및 평가 방법을 옳게 짝 지은 것은?

ㄱ.전문가 집단의 토론을 통해 정보시스템의 취약성과 위협 요소를 추정하여 평가하기 때문에 시간과 비용을 절약할 수 있지만, 정확도가 낮다. 
ㄴ.이미 발생한 사건이 앞으로 발생한다는 가정하에 수집된 자료를 통해 위험 발생 가능성을 예측하며, 자료가 많을수록 분석의 정확도가 높아진다. 
ㄷ.어떤 사건도 기대하는 대로 발생하지 않는다는 사실에 근거하여 일정 조건에서 위협에 대해 발생 가능한 결과들을 예측하며, 적은 정보를 가지고 전반적인 가능성을 추론할 수 있다.

• 1
   ㄱ.순위 결정법 ㄴ.과거자료 분석법 ㄷ.기준선 접근법
• 2
   ㄱ.순위 결정법 ㄴ.점수법 ㄷ.기준선 접근법
• 3
   ㄱ.델파이법 ㄴ.과거자료 분석법 ㄷ.시나리오법
• 4
   ㄱ.델파이법 ㄴ.점수법 ㄷ.시나리오법

15. ｢정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령｣ 제19조(국내대리인 지정 대상자의 범위)에 명시된 자가 아닌 것은?

• 1
   전년도(법인인 경우에는 전(前) 사업연도를 말한다) 매출액이 1,000억 원 이상인 자
• 2
   정보통신서비스 부전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억 원 이상인 자
• 3
   전년도 말 기준 직전 3개월간 그 개인정보가 저장․관리되고 있는 이용자 수가 일일평균 100만 명 이상인 자
• 4
   이 법을 위반하여 개인정보 침해 사건․사고가 발생하였거나 발생할 가능성이 있는 경우로서 법 제64조제1항에 따라 방송통신위원회로부터 관계 물품․서류 등을 제출하도록 요구받은 자

16. 다음 설명에 해당하는 악성코드 분석도구를 옳게 짝 지은 것은?

ㄱ.가상화 기술 기반으로 악성코드의 비정상 행위를 유발하는 실험과정에서 발생할 수 있는 분석시스템으로의 침해를 방지하여 통제된 환경과 분석 기능을 제공한다.
ㄴ.악성코드의 행위를 추출하기 위해 실제로 해당 코드를 실행함으로써 발생하는 비정상 행위 혹은 시스템 동작 환경의 변화를 살펴볼 수 있는 동적 분석 기능을 제공한다.		ㄱ	ㄴ

• 1
   ㄱ.Sandbox, ㄴ.Process Explorer
• 2
   ㄱ.Sandbox, ㄴ.Burp Suite
• 3
   ㄱ.Blackbox, ㄴ.IDA Pro
• 4
   ㄱ.Blackbox, ㄴ.OllyDBG

17. 윈도우 운영체제의 계정 관리에 대한 설명으로 옳은 것은?

• 1
   ‘net accounts guest /active:no’ 명령은 guest 계정을 비활성화한다.
• 2
   ‘net user’ 명령은 시스템 내 사용자 계정정보를 나열한다.
• 3
   ‘net usergroup’ 명령은 시스템 내 사용자 그룹정보를 표시한다.
• 4
   컴퓨터/도메인에 모든 접근권한을 가진 관리자 그룹인 ‘Admin’이 기본적으로 존재한다.

18. 커버로스(Kerberos) 프로토콜에 대한 설명으로 옳지 않은 것은?

• 1
   양방향 인증방식의 문제점을 보완하여 신뢰하는 제3자 인증 서비스를 제공한다.
• 2
   사용자의 패스워드를 추측하거나 캡처하지 못하도록 일회용 패스워드를 제공한다.
• 3
   버전 5에서는 이전 버전과 달리 DES가 아닌 다른 암호 알고리즘을 사용할 수 있다.
• 4
   클라이언트는 사용자의 식별정보를 평문으로 인증 서버(Authentication Server)에 전송한다.

19. 임의적 접근 통제(Discretionary Access Control) 모델에 대한 설명으로 옳은 것은?

• 1
   주체가 소유권을 가진 객체의 접근 권한을 다른 사용자에게 부여할 수 있으며, 사용자 신원에 따라 객체의 접근을 제한한다.
• 2
   주체와 객체가 어떻게 상호 작용하는지를 중앙 관리자가 관리하며, 사용자 역할을 기반으로 객체의 접근을 제한한다.
• 3
   주체와 객체에 각각 부여된 서로 다른 수준의 계층적인 구조의 보안등급을 비교하여 객체의 접근을 제한한다.
• 4
   주체가 접근할 수 있는 상위와 하위의 경계를 설정하여 해당 범위 내 임의 객체의 접근을 제한한다.

20. ｢정보통신망 이용촉진 및 정보보호 등에 관한 법률｣ 제45조(정보통신망의 안정성 확보 등)에 정보보호조치에 관한 지침에 포함되어야 할 보호조치로 명시되지 않은 것은?

• 1
   정보의 불법 유출․위조․변조․삭제 등을 방지하기 위한 기술적 보호조치
• 2
   사전 정보보호대책 마련 및 보안조치 설계․구현 등을 위한 기술적 보호조치
• 3
   정보통신망의 지속적인 이용이 가능한 상태를 확보하기 위한 기술적․물리적 보호조치
• 4
   정보통신망의 안정 및 정보보호를 위한 인력․조직․경비의 확보 및 관련 계획수립 등 관리적 보호조치