1. 실행 레벨을 적절하게 고른 것은?

ㄱ. 단일 사용자 모드
ㄴ. 재부팅
ㄷ. 다중 사용자 모드

• 1
   ㉠ 실행레벨 1 ㉡ 실행레벨 6 ㉢ 실행레벨 3
• 2
   ㉠ 실행레벨 0 ㉡ 실행레벨 5 ㉢ 실행레벨 3
• 3
   ㉠ 실행레벨 3 ㉡ 실행레벨 6 ㉢ 실행레벨 2
• 4
   ㉠ 실행레벨 0 ㉡ 실행레벨 5 ㉢ 실행레벨 3

2. 대부분의 응용 프로그램에서 생성된 파일은 그 응용 프로그램이 생성한 파일임을 인식할 수 있도록 항상 동일한 몇 바이트를 파일 내부의 특정 위치에 가지고 있다. 특정위치의 고정값이 의미하는 것은?

• 1
   시그니처(Signature)
• 2
   확장자(Extensions)
• 3
   메타데이터(Metadata)
• 4
   레코드(Record)

3. TCP_WRAPPER 활용시에 로그파일은 일반적으로 ( )과 ( )파일에 기록된다. 괄호안에 순서대로 알맞은 내용은?

• 1
   dmessage, secure
• 2
   message, secure
• 3
   btmp, message
• 4
   wtmp, secure

4. 다음 중 운영체제 5단계에 포함되지 않는 것은?

• 1
   메모리관리
• 2
   주변장치 관리
• 3
   파일관리
• 4
   사용자관리

5. 다음 문장에서 리눅스 시스템에 침해 흔적을 조사하기 위해 루트 권한을 가진 setuid를 찾는 명령어로 괄호안에 들어갈 적합한 것은?

• 1
   -perm –06000 \
• 2
   -perm –00100 \
• 3
   -perm –00400 \
• 4
   -perm –00200 \

6. 도메인을 탈취하거나 도메인 네임 시스템 또는 프록시 서버의 주소를 변조함으로써 사용자들로 하여금 진짜 사이트로 오인해 접속하도록 유도한 뒤, 개인 정보를 탈취하는 해킹 기법은?

• 1
   피싱
• 2
   파밍
• 3
   스미싱
• 4
   봇넷

7. 다음 지문에서 설명하는 RAID 레벨은 무엇인가?

(가) mirroring 기술을 이용하여 하나의 디스크에 저장된 데이터를 다른 디스크에 동일하게 저장하도록 함
(나) 데이터를 여러 개의 디스크에 분산 저장하도록 하며, 패리티 정보 또한 여러 디스크에 분산 저장하도록 함

• 1
   (가)RAID-0 (나)RAID-5
• 2
   (가)RAID-1 (나)RAID-5
• 3
   (가)RAID-1 (나)RAID-4
• 4
   (가)RAID-2 (나)RAID-4

8. 컴퓨터 시스템에 대한 하드닝(Hardening) 활동으로 틀린 것은?

• 1
   사용하지 않는 PDF 소프트웨어를 제거하였다.
• 2
   시스템 침해에 대비하여 전체 시스템에 대한 백업을 받아두었다.
• 3
   운영체제의 감사 기능과 로깅 기능을 활성화하였다.
• 4
   운영체제 보안 업데이트를 수행하였다.

9. 선택한 모든 파일을 백업하지만 백업이 완료된 파일의 Archive bit를 해제하지는 않으며, 스케줄링 백업 일정에 영향을 미치지 않는 백업방식은 어느 것인가?

• 1
   일반 백업
• 2
   증분 백업
• 3
   복사 백업
• 4
   차등 백업

10. 다음 중 버퍼 오버플로우 취약점이 존재하는 함수가 아닌 것은?

• 1
   strcpy
• 2
   strcat
• 3
   scanf
• 4
   printf

11. 다음 중 동작 계층이 다른 하나는?

• 1
   S/MIME
• 2
   PGP
• 3
   S-HTTP
• 4
   SSL

12. 다음 중 레이스 컨디션(Race Condition) 공격을 가능하게 하는 상황으로 가장 옳지 않은 것은?

• 1
   SetUID가 설정되어 있어야 한다.
• 2
   임시 파일을 생성해야 한다.
• 3
   임시 파일을생성할 때 레이스 컨디셔닝에 대응하지 않아야 한다.
• 4
   공격자는 임시 파일 이름을 몰라도 된다.

13. 다음에서 설명하고 있는 스캔탐지도구는 무엇인가?

포트스캔을 실시간으로 탐지하고 tcp_wrapper와 결합하여 hosts.deny 파일에 자동으로 ip를 등록하여 방어해주는 스캔 탐지형 도구이다.

• 1
   SARA
• 2
   NESSUS
• 3
   PORTSENTRY
• 4
   NIKTO2

14. 다음 중 분산처리시스템에 대한 설명으로 올바르지 않은 것은?

• 1
   투명성을 보장한다.
• 2
   연산속도, 신뢰도, 사용가능도가 향상된다.
• 3
   시스템 확장이 용이하다.
• 4
   보안성이 향상된다.

15. 사용자 PC가 언제 부팅되었는지를 확인하기 위해 입력해야 하는 명령어는?

• 1
   net statistics workstation
• 2
   net computer boot time
• 3
   net reboot time
• 4
   net time boot

16. 백도어를 사용하여 접근하는 경우 정상적인 인증을 거치지 않고 관리자의 권한을 얻을 수 있다. 이에 대한 대응책으로 옳지 않은 것은?

• 1
   주기적으로 파일의 해쉬값을 생성하여 무결성 검사를 수행한다.
• 2
   불필요한 서비스 포트가 열려있는지 확인한다.
• 3
   윈도우의 작업관리자나 리눅스시스템의 ps 명령어를 통해 비정상적인 프로세스가 있는지 확인한다.
• 4
   promiscuous로 변경되어 있는지를 주기적으로 검사한다.

17. 리모트 컴퓨터로부터의 ping 명령에 대한 응답으로 "Destination Unreachable"을 되돌려 주고, 접속을 거절하기 위해 리눅스 방화벽에서 설정하는 타깃 명령어는 무엇인가?

• 1
   DROP
• 2
   DENY
• 3
   REJECT
• 4
   RETURN

18. 소유권 없는 파일을 찾는 명령어 및 옵션이 아닌 것은?

• 1
   find / -ls 2 >/dev/null
• 2
   find / \( -nouser –o –nogroup \) -xdev –exec ls –al{} \; 2> /dev/null
• 3
   find / -nouser -print
• 4
   fine / -nogroup –print

19. 윈도우즈 운영체제에서 네트워크상 관리목적으로 기본 공유폴더를 삭제하는 알맞은 명령어는 무엇인가?

• 1
   net Share_Dir / delete
• 2
   net share Share_Dir /delete
• 3
   net delete
• 4
   net share delete

20. 데이터베이스의 보안을 위해 사용할 수 있는 기능으로, 다음 질문에서 설명하는 것은?

전체 데이터셋 중 자신이 허가 받은 정해진 관점으로만 필드, 로우 등을 제한하여 열람할 수 있도록 한다. 이 기능을 이용하여 데이터베이스 접근 허용 시 데이터 접근 가능 범위를 제한할 수 있다.

• 1
   Access Control
• 2
   Encryption
• 3
   Views
• 4
   Authorization Rules

21. 다음 중 ARP 스푸핑 공격에 대한 설명으로 올바르지 못한 것은?

• 1
   공격 대상은 같은 네트워크에 있어야 한다.
• 2
   랜 카드는 정상 모드로 동작해야 한다.
• 3
   ARP Table을 보았을 때 다른 IP에 대한 같은 MAC 주소가 보인다.
• 4
   공격자는 신뢰된 MAC 주소로 위장을 하고 악의적인 공격을 한다.

22. 다음 중 APT(Advanced Persistent Threat) 진행 형태에 속하지 않는 것은?

• 1
   침투(Incursion)
• 2
   탐색 (Discovery)
• 3
   수집 /공격 (Capture/Attack)
• 4
   방어 (Defence)

23. 다음 중 제시된 Well Known Port 번호에 해당하는 프로토 콜을 순서대로 가장 적합하게 제시한 것은?

(가) 22번 포트 (나) 53번 포트 (다) 161번 포트

• 1
   (가) SSH (나) Gopher (다) NetBIOS
• 2
   (가) SSH (나) DNS (다) SNMP
• 3
   (가) FTP (나) Gopher (다) SNMP
• 4
   (가) FTP (나) DNS (다) NetBIOS

24. Snort의각 규칙은 고정된 헤더와 옵션을 가지고 있다. 패킷의 payload 데이터를 검사할때 사용되는 옵션에 포함되지 않는 필드는?

• 1
   ttl
• 2
   content
• 3
   depth
• 4
   offset

25. 침입탐지 시스템(Intrusion Detection System)의 이상 탐지(anomaly detection) 방법 중 다음 문장에서 설명하는 방법은 무엇인가?

• 1
   예측 가능한 패턴 생성(Predictive Pattern Generation)
• 2
   통계적 접근법(Statictical Approaches)
• 3
   비정상적인 행위 측정 방법들의 결합(anomaly measures)의 결합
• 4
   특징 추출(Feature Selection)

26. 다음에서 설명하는 네트워크는?

ㅇ 일반적으로 안전하지 않은 공용 네트워크를 이용하여 사설 네트워크를 구성하는 기술로서, 전용선을 이용한 사설 네트워크에 비해 저렴한비용으로 안전한 망을 구성할 수 있다.
ㅇ 공용 네트워크로 전달되는 트래픽은 암호화 및 메시지 인증 코드 등을 사용하여 기밀성과 무결성을 제공한다.

• 1
   LAN
• 2
   WAN
• 3
   MAN
• 4
   VPN

27. 클라이언트는 DNS 질의가 요청되었을 경우 제일 먼저 DNS Cache를 확인하게 되는데, 다음에서 수행된 DNS Cache를 확인하는 명령어는?

ds.kisa.or.kr
______________________
데이터 이름  ds.kisa.or.kr
데이터 유형  1
TTL(Time To Live)  7972
데이터 길이  4
섹션  응답
(호스트) 레코드  123.123.123.123

• 1
   ipconfig /dnsdisplay
• 2
   ipconfig /displaydns
• 3
   ipconfig /flushdns
• 4
   ipconfig /dnsflush

28. 최근 장시간 악성코드를 잠복시킨 후 일정 시간이 되면 공격을 시도하여 정보 유출 및 내부망 마비 등 피해를 유발시키는 APT 공격이 잦아지고 있다. APT는 무엇의 약자인가?

• 1
   Advanced Pain Threat
• 2
   Advanced Post Threat
• 3
   Advanced Persistent Target
• 4
   Advanced Persistent Threat

29. 다음 중에서 침입탐지시스템을 도입하기 위한 과정에서 가장 먼저 선정해야 하는 것은?

• 1
   조직에서 보호해야할 자산 산정
• 2
   탐지기능 파악
• 3
   위험 분석을 통한 취약점 분석
• 4
   BMT 및 침입탐지시스템 설치

30. 다음의〈보기〉에서 설명하고 있는 기술은 무엇인가?

ㅇ 물리적으로 하나인 단말기를 개인 영역과 업무 영역을 완벽히 분리해 마치 2개의 독자적인 단말기를 사용하는 것처럼 해 준다.
ㅇ 개인 영역이 악성 코드에 감염되어도 업무 영역의 모바일 메신저 대화나 문자, 통화 내역에 접근하는것이 불가능하다.

• 1
   BYD
• 2
   MDM
• 3
   VDI
• 4
   MPS

31. IDS의 동작 순서를 바르게 나열한 것은?[보기]

ㄱ. 데이터 가공 및 축약
ㄴ. 데이터 수집
ㄷ. 분석 및 침입탐지 단계
ㄹ. 보고 및 대응(Reporting and Response)

• 1
   ㉠ - ㉡ - ㉢ - ㉣
• 2
   ㉡ - ㉠ - ㉢ - ㉣
• 3
   ㉡ - ㉢ - ㉠ - ㉣
• 4
   ㉡ - ㉢ - ㉣ - ㉠

32. 다음 중 NIDS에서 탐지할 수 없는 것은?

• 1
   악성 코드가 담긴 파일
• 2
   악성 코드가 담긴 메일
• 3
   Fragmentation
• 4
   포트 스캔

33. 다음의 공격 방법을 방어하기 위한 침입차단시스템의 유형으로 가장 적절한 것은?

침입차단시스템을 우회하기 위하여 침입차단시스템 내부망에 있는 시스템의 서비스 요청을 받은 것으로 가장하여 패킷을 전송한다.

• 1
   응용레벨 게이트웨이
• 2
   회로레벨 게이트웨이
• 3
   패킷 필터링 라우터
• 4
   상태검사 패킷 필터

34. 리눅스 환경에서 트래픽을 분석하기 위해 MRTG(Multi Router Traffic Grapher)를 사용한다. 다음 중 MRTG를 설치 및 수행하는데 필요없는 프로그램은?

• 1
   C Compiler
• 2
   Perl
• 3
   Gd Library
• 4
   Libpcap

35. 다음 지문은 OSI 네트워크 모델에 대한 설명이다. 괄호안에 들어가야 할 적당한 단어를 표시된 것은?

1계증인 물리계층은 기계적, 전기적, 절차적 특성을 정의하며 (        ) 을 물리적 매체를 통해 전송한다. 2계층인 데이터 링크 계층은 물리적 (        ) 를 통하여 패킷을 전송하며, 동기화, 오류 제어, 흐름 제어등을 제공한다. 3계층인 네트워크 계층은 경로 제어를 수행한다. 전송계층은 종단 간의 신회성 있고, 투명한 데이터 전송을 제공한다. 이를 위해 (         ) 통신량 제어, 다중화 등을 제공한다.

• 1
   프레임, 매체, 동기화 제어
• 2
   프레임, 링크, 오류 제어
• 3
   비트 스트림, 매체, 동기화 제어
• 4
   비트 스트림, 링크, 오류 제어

36. 무선랜 보안에 대한 설명으로 옳지 않은 것은?

• 1
   WEP 보안프로토콜은 RC4 암호 알고리즘을 기반으로 개발되었으나 암호 알고리즘의 구조적 취약점으로 인해 공격자에 의해 암호키가 쉽게 크래킹되는 문제를 가지고 있다.
• 2
   소규모 네트워크에서는 PSK(PreShared Key) 방식의 사용자 인증이, 대규모 네트워크인 경우에는 별도의 인증서버를 활용한 802.1x 방식의 사용자 인증이 많이 활용된다.
• 3
   WPA/WPA2 방식의 보안프로토콜은 키 도출과 관련된 파 라미터 값들이 암호화되지 않은 상태로 전달되므로 공격자 는 해당 피라미터 값들을 스니핑한 후 사전공격(Dictionary attack)을 시도하여 암호키를 크래킹할 수 있다.
• 4
   현재 가장 많이 사용 중인 암호 프로토콜은 CCMP TKIP이며 이 중 여러 개의 암호키를 사용하는 'TKIP역 보안성이 더욱 우수하며 사용이 권장되고 있다.

37. 다음 공개 해킹도구 중 사용용도가 다른 도구(소프트웨어)는?

• 1
   넷버스(Netbus)
• 2
   스쿨버스(Schoolbus)
• 3
   백오리피스(Back Orifice)
• 4
   키로그23(Keylog23)

38. 무선망에서의 공개키 기반 구조를 의미하는 것은?

• 1
   WPKI
• 2
   WML
• 3
   WTLS
• 4
   WIPI

39. VPN 프로토콜 중 IPSEC에서 암호화 기능을 담당하는 프로토콜은?

• 1
   AH
• 2
   ESP
• 3
   IKE
• 4
   PPTP

40. DoS 공격 중 Land 공격이 조작하는 IP 프로토콜의 필드에 해당하는 것은 무엇인가?

• 1
   출발지 주소
• 2
   목적지 주소
• 3
   Time-To-Live 값
• 4
   헤더의 길이

41. 전자상거래 프로토콜 중에서 주문정보와 지불정보를 안전하게 이용할 수 있도록 하는 프로토콜은 무엇인가?

• 1
   단체서명
• 2
   단독서명
• 3
   이중서명
• 4
   은닉서명

42. 권장하는 함수에 속하는 것은?

• 1
   strcat()
• 2
   gets()
• 3
   sprintf()
• 4
   strncpy()

43. 다음은 HTTP 접속 시 노출되는 URL의 예를 보여주고 있다. URL에 보이는 메타문자를 잘못 해석한 것은?

http://q.fran.kr/?gfe_rd=cr&gws_rd=cr#newwindow=1&q=%EC%B4+%EB%B3

• 1
   ? : URL 과 파라미터 구분자
• 2
   = : 파라미터 대입 연산자
• 3
   % : HEX 값 표현에 사용
• 4
   + : 파라미터 구분자

44. 웹 어플리케이션 취약성 조치방안에 대한 설명으로 틀린 것은?

• 1
   server side session 방식은 침해 가능성도 있고, 구조상 다양한 취약점에 노출될 수 있으므로 가볍고 안전한 client side의 cookie를 사용한다.
• 2
   모든 인자에 대해 사용 전에 입력값 검증을 수행하도록 구성한다.
• 3
   파일 다운로드시 위치는 지정된 데이터 저장소를 지정하여 사용하고 데이터 저장소 상위로 이동되지 않도록 구성한다.
• 4
   SSL/TLS와 같은 기술을 이용하여 로그인 트랙잭션 전체를 암호화한다.

45. 다음 사항들 중 웹 서비스에 대한 취약점의 조치사항과 가장 거리가 먼 것은?

• 1
   폐쇄형 사이트로 운영
• 2
   해외 IP차단
• 3
   쿠키의 활용
• 4
   세션 정당성 검증

46. 다음 중 메일 서비스 관련 프로토콜이 아닌 것은?

• 1
   MUA
• 2
   MDA
• 3
   MTA
• 4
   MDM

47. 다음은 에러 로그 위험도를 8가지로 분류하여 높은 에러에서 낮은 에러로 표시한 것이다. 빈 곳에 알맞은 용어는?

emeg -> (      ) -> crit -> error -> (     ) -> notice -> (      ) -> debug

• 1
   alert, warn, info
• 2
   info, alert, warn
• 3
   warn, info, alert
• 4
   alert, info, warn

48. 메일 서버 서비스에 대해서 할 수 있는 서버공격 기법은?

• 1
   Active Contents
• 2
   UDP Bomb
• 3
   Syn Flooding
• 4
   Mail Bomb

49. 다음 보기가 설명하고 있는 공격 방식은?

해커가 특정 기업, 기관 등의 HW 및 SW 개발, 공급과정 등 에 침투하여 제품의 악의적 변조 또는 제품 내부에 악성코드 등을 숨기는 행위로 최근에 국내 SW 개발사를 대상으로 SW가 제작되는 단계에서 설치파일 변조 침해사고가 여러 차례 확인된 바 있다. 이러한 사고 예방을 위해서는 개발환경 은 외부 인터넷을 차단하여 운영하여야 한다.

• 1
   developer chain attack
• 2
   supply chain attack
• 3
   stuxnet attack
• 4
   scada attck

50. 다음 웹 서비스 공격 유형으로 적절한 것은?

• 1
   XSS
• 2
   SSRF
• 3
   HTTP Smuggling
• 4
   CSRF

51. IMAP에 대한 설명으로 틀린 것은?

• 1
   IMAP은 사용자에게 원격지 서버에 있는 e-mail을 제공 해 주는 프로토콜 중의 하나이다.
• 2
   IMAP으로 접속하여 메일을 읽으면 메일 서버에는 메일이 계속 존재한다.
• 3
   IMAP의 경우 110번 포트 사용, IMAP3의 징우 220번 포트를 사용한다.
• 4
   프로토콜에서 지원하는 단순한 암호인증 이외에 암호화 된 채널을 SSH 클라이언트를 통해 구현할 수 있다.

52. 다음 중 SET(Secure Electronic Transaction) 프로토콜에 대한 설명으로 옳지 않은 것은?

• 1
   RSA를 사용함으로써 프로토콜의 속도를 크게 저하시킨다.
• 2
   상점과 지불게이트웨이 거래를 전산적으로 처리하기 위한 별도의 하드웨어와 소프트웨어를 요구하지 않는다.
• 3
   암호프로토콜이 너무 복잡하다.
• 4
   사용자에게 전자지갑 소프트웨어를 요구한다.

53. 컴퓨터시스템에 대한 공격 방법 중에서 메모리에 할당된 버퍼의 양을 초과하는 데이터를 입력하여 프로그램의 복귀 주소(return address)를 조작, 궁극적으로 공격자가 원하는 코드를 실행하도록 하는 공격은?

• 1
   버퍼 오버플로우 공격
• 2
   Race Condition
• 3
   Active Contents
• 4
   Memory 경합

54. 다음 중 FTP 서버의 Bounce Attack에 대해 바르게 설명한 것은?

• 1
   분산 반사 서비스 거부 공격(DRDoS)으로 악용할 수 있다.
• 2
   접근이 FTP의 PORT command를 악용하여 외부에서 직접 접근 불가능한 내부망 컴퓨터상의 포트에 FTP 서버를 통해 접근할 수 있다.
• 3
   login id를 입력 후 다음 응답 코드를 줄 때까지의 반응 속도 차이를 이용하여 실제 계정이 존재하는지 여부를 추측할 수 있다.
• 4
   active, passive 모드를 임의로 변경할 수 있다.

55. DRM(Digital Right Management)에 대한 설명으로 옳지 않은 것은?

• 1
   디지털 콘텐츠의 불법 복제와 유포를 막고, 저작권 보유자의 이익과 권리를 보호해 주는 기술과 서비스를 말한다.
• 2
   DRM은 파일을 저장할 때, 암호화를 사용한다.
• 3
   DRM 탬퍼 방지(tamper resistance) 기술은 라이선스 생성 및 발급관리를 처리한다.
• 4
   DRM은 온라인 음악 서비스, 인터넷 동영상 서비스, 전자책 CD/DVD 등의 분야에서 불법 복제 방지 기술로 활용된다.

56. 다음 중 스팸 필터 솔루션에 대한 설명 중 가장 부적절한 것은?

• 1
   메일 서버 앞단에 위치하며 프락시 메일 서버로 동작한다.
• 2
   SMTP 프로토콜을 이용한 DoS 공격이나 폭탄 메일, 스팸메일을 차단한다.
• 3
   메일헤더 및 제목 필터링은 제공하지만 본문에 대한 필터링은 제공하지 못한다.
• 4
   첨부파일 필터링 기능을 이용하여 특정 확장자를 가진 파일만 전송되도록 설정할 수 있다.

57. FTP 전송모드에 대한 설명으로 옳은 것은?

• 1
   디폴트는 active 모드이며, passive 모드로의 변경은FTP 서버가 결정한다.
• 2
   디폴트는 active 모드이며, passive 모드로의 변경은FTP 클라이언트가 결정한다.
• 3
   디폴트는 passive 모드이며, active 모드로의 변경은FTP 서버가 결정한다.
• 4
   디폴트는 passive 모드이며, active 모드로의 변경은FTP 클라이언트가 결정한다.

58. 다음 중 한국인터넷진흥원의 홈페이지 취약점 진단제거 가이드, 행정안전부의 소프트웨어 개발 보안 가이드, 행정안전부의 주요 정보통신기반시설 가술적 취약점 분석 평가 방법상세가이드 등에서 공통적으로 언급하고 있는 웹 애플리케이션 취약점과 가장 관계가 없는 항목은?

• 1
   XSS (Cross-site Scripting)
• 2
   GET Flooding
• 3
   CSRF (Cross-site request forgery)
• 4
   SQL Injection

59. 다음의 보기에서 설명하고 있는 프로토콜은?

ㅇ 1994년 네스케이프사의 웹 브라우저를 위한 보안 프로토콜이다. 
ㅇ 1999년 TLS(Transparent Layer fecurity) 라는 이름으로 표준화되었다.
ㅇ TCP 계층과 응용 계층 사이에서 동작한다.

• 1
   HTTP
• 2
   SSL
• 3
   HTTPS
• 4
   SET

60. 다음에서 설명하고 있는 웹 공격 방법은 무엇인가?

로그인된 피해자의 취약한 웹어플리케이션에 피해자의 세션쿠키와 기타 다른 인증정보를 자동으로 포함하여 위조된 HTTP요청을 강제로 보내도록 하는 것이다. 이것은 취약한 어플리케이션 피해자로부터 정당한 요청이라고 오해 할 수 있는 요청을 강제로 만들 수 있다.

• 1
   알려진 취약점 컴포넌트 사용
• 2
   크로스사이트 요청변조(CSRF)
• 3
   민감한 데이터 노출
• 4
   인증 및 세션관리 취약점

61. 메시지의 무결성 보장과 송신자에 대한 인증을 목적으로 공유 비밀키와 메시지로부터 만들어지는 것은?

• 1
   의사 난수
• 2
   메시지 인증 코드
• 3
   해시
• 4
   인증서

62. 국내기관에서 개발한 암호알고리즘은 무엇인가?

• 1
   AES
• 2
   DES
• 3
   ARIA
• 4
   IDEA

63. MAC 정책의 특징에 대한 설명으로 가장 부적절한 것은?

• 1
   객체의 소유주가 주체와 객체간의 접근 통제 관계를 정의
• 2
   보안관리자 주도 하에 중앙 집중적 관리가 가능
• 3
   접근 규칙수가 적어 통제가 용이
• 4
   사용자와 데이터는 보안 취급허가를 부여 받아 적용

64. 일방향 해시(hash) 함수 MD5의 출력 해시 크기는?

• 1
   128비트
• 2
   256비트
• 3
   512비트
• 4
   1024비트

65. 다음 보기에서 설명하고 있는 블록 암호 모드는 무엇인가?

- 패딩 작업이 필요하다.
- 블록크기보다 작은 데이터에도 적용 가능하다.
- 재전송공격에 취약하다.

• 1
   ECB
• 2
   CBC
• 3
   CTR
• 4
   CFB

66. 공개키 기반구조(PKI)의 응용분야가 아닌 것은?

• 1
   SET
• 2
   S/MIME
• 3
   PGP
• 4
   커버로스

67. 다음 중 아래 괄호 부분에 들어갈 내용으로 적합한 것은?

( ㄱ ) 기술은 암호화와 복호화에 서로 다른 키를 이용하는 압호 비법으로 메시지의 기밀성을 제공하기 위해 사용되며, 이는 ( ㄴ ) 기술에 비해 속도가 매우 느리기 때문에 하이브리드 암호 방식으로 사용된다. ( ㄱ ) 기술은 ( ㄴ )의 키 배송 문제를 해결할 수 있지만, 중간자 공격에 의해 위장공격이 가능하기 때문에 ( ㄷ )을 이용한 공개키 인증이 필요하다.

• 1
   ㄱ : 일방향 해시함수, ㄴ : 대칭키 암호, ㄷ : 공개키 암호기술
• 2
   ㄱ : 일방향 해시함수, ㄴ : 메시지 인증코드, ㄷ : 전자 서명
• 3
   ㄱ : 공개키 암호, ㄴ : 메시지 인증코드, ㄷ : 대칭키 암호기술
• 4
   ㄱ : 공개키 암호, ㄴ : 대칭키 암호, ㄷ : 전자서명

68. 전자상거래의 요구사항과 해결 방법을 옳게 연결한 것은?

• 1
   인증 – 사용자 데이터를 암호화
• 2
   식별 – 패스워드로 사용자를 확인
• 3
   재사용 – 거래된 서명 재사용 가능
• 4
   거래 당사자의 거래행위 부인 - 전자서명 및 공인인증제도 활용

69. 방송통신위원회에서 바이오정보 보호 가이드라인을 발간하였다. 가이드라인과 내용과 다른 것을 2가지 고르시오.

a. 루팅이나 탈옥 등 모바일 취약점에 대비하기 위해 바이오 샘플은 안전한 하드웨어 장치에 보관하여야 한다. 
b. 생체정보 인증 실패는 횟수 제한을 두지 말고, 비밀번호에 실패 횟수 제한을 둬야 한다.
c. 바이오인증 성능 지표인 FAR의 충족 기준 비율은 5%미만이다.
d. 스마트폰 기기에서 바이오인증 취약점이 발견되는 즉시 대응해야 한다.

• 1
   a, b
• 2
   b, c
• 3
   c, d
• 4
   a, d

70. 다음의 블록 암호 알고리즘 운영 방식 중에서 가장 단순하면서 권장하지 않는 방식은 무엇인가?

• 1
   ECC
• 2
   CBC
• 3
   OFB
• 4
   ECB

71. 다음 중 공인인증서 내용에 포함되지 않는 것은?

• 1
   발행자
• 2
   유효 기간
• 3
   비밀번호
• 4
   공개키정보

72. 다음은 보안을 통해 제공되는 서비스들을 설명하고 있다. 다음 중 옳지 않은 것은?

• 1
   Capability List는 객체와 권한 연결 리스트 형태로 관리한다.
• 2
   Access Control List는 주체와 객체의 형태를 행렬형태로 구성하고 권한을 부여하여 관리한다.
• 3
   주체와 객체를 1:N으로 매핑하여 관리의 편의성을 높이는 방법이 RBAC이다.
• 4
   접근제어는 프로토콜 데이터 부분의 접근제어이다.

73. 다음 중 공인인증서의 폐지의 사유와 가장 거리가 먼 것은?

• 1
   전자서명생성정보 분실
• 2
   가입자 사망
• 3
   대리인의 폐지 신청
• 4
   공개키 유출

74. 다음 중 DRM(Digital Rights Management)에 관한 설명 중 틀린 것은?

• 1
   디지털 자산을 보호하는 기술로, 대표적으로 문서를 암호화하는 기술이 포함된다.
• 2
   전자문서, 음악, SW, E-Book 등 모든 전자적 형태의 컨텐츠가 보호 대상에 포함된다.
• 3
   인가된 사용자만 접근할 수 있도록 자산을 암호화하거나 접근 통제를 적용한다.
• 4
   과거의 IP기반 접근통제가 확장되어 MAC 주소 기반으로 접근제어가 이루어진다.

75. 한 번의 인증으로 모든 시스템에 로그인되도록 할 경우 해당 인증이 침해될 경우 모든 시스템이 위험해지는 단점이 있다. 이러한 취약성을 무엇이라고 하는가?

• 1
   SPF(Single Point of Failure)
• 2
   SSO(Single Sign On)
• 3
   OSMU(One Source Multi Use)
• 4
   Credential Stuffing

76. 사용자 A가 서명자 B에게 자신의 메시지를 보여 주지 않고 서명을 받는 방법으로서 이용자의 프라이버시를 보호하기 위해 전자 화폐나 전자 투표에 활용되는 방식은?

• 1
   은닉 서명
• 2
   그룹 서명
• 3
   수신자 지정 서명
• 4
   부인 방지 서명

77. 임의적 접근통제 방식에 대한 설명 중 옳지 않은 것은?

• 1
   모든 개별의 주체와 객체 단위로 접근 권한을 설정한다.
• 2
   객체의 소유주가 주체와 객체 간의 접근 통제 관계를 정의 한다.
• 3
   접근통제 목록(ACL)을 통해 구현한다.
• 4
   중앙집중적으로 통제 되는 환경에 적합하다.

78. 임의적 접근통제(DAC) 방식에 대한 설명으로 옳지 않은 것은?

• 1
   개별 주체와 객체 단위로 접근 권한 설정
• 2
   객체의 소유주가 주체와 객체 간의 접근 통제 관계를 정의
• 3
   ACL을 통해 구현
• 4
   중앙집중적으로 통제하는 환경에 적합

79. 다음 중 인증서가 폐지되는 사유가 아닌 것은?

• 1
   인증서 발행 조직에서 탈퇴
• 2
   개인키의 손상
• 3
   개인키의 유출 의심
• 4
   인증서의 유효기간 만료

80. 생체인식 기술에서 요구하는 사항에 포함되지 않는 것은?

• 1
   보편성
• 2
   구별성
• 3
   일시성
• 4
   획득성

81. 다음 중 정량적 위험분석 방법론에 속하지 않는 것은?

• 1
   과거자료 분석법
• 2
   확률분포법
• 3
   순위결정법
• 4
   수학공식접근법

82. ‘정보통신망 이용촉진 및 정보보호등에 관한법률’ 에 따라 정보보호책임자를 지정해야 한다. 정보보호 최고책임자가 해야 할 업무가 아닌 것은?

• 1
   정보보호관리체계의 수립 및 관리/운영
• 2
   정보보호 취약점 분석/평가 및 개선
• 3
   정보보호 사전 보안성 검토
• 4
   주요 정보통신 기반시설 지정

83. 다음 중 개인정보 수집 및 이용 시 정보 주체의 동의를 받지않아도 되는 것은?

• 1
   제한구역에 신분증을 받고 다시 반납할 경우
• 2
   교사가 학생 상담을 위하여 수첩에 이름，주소 등을 기록할 경우
• 3
   치과에서 스켈링 후 의료 보험을 적용할 경우
• 4
   경품 제공을 위한 개인정보를 수집할 경우

84. 다음 중 정보보호 관리 체계(ISMS)의 관리 과정순서로 올바른 것은?

가. 정보보호 정책 수립 및 범위 설정 
나. 위험관리
다. 사후 관리
라. 경영진 책임 및 조직 구성 
마. 정보보호 대책 구현

• 1
   마-라-다-나-가
• 2
   가-나-다-라-마
• 3
   가-라-나-마-다
• 4
   나-가-다-라-마

85. 국가안전보장에 중대한 영향을 미치는 주요정보통신기반시 설에 대한 보호대책의 미흡으로 국가안전보장이나 경제사회 전반에 피해가 우려될 수 있으므로 기반시설을 지정하여야 한다. 다음 중 주요정보통신기반시설이 아닌 것은 무엇인가?

• 1
   전력, 가스, 석유 등 에너지 · 수자원시설
• 2
   인터넷포털, 전자상거래 등 인터넷시설
• 3
   도로·철도·지하철·공항·항만 등 주요 교통시설
• 4
   방송중계 국가지도통신망 시설

86. 다음 중 업무 연속성에서 업무 영향 분석의 주요 활동에 포함되지 않는 것은?

• 1
   핵심 우선 순위 결정
• 2
   복구 계획 수립
• 3
   중단시간 산정
• 4
   업무 프로세스의 식별

87. 디지털 포렌식에 관하여 아래 지문에서 설명하는 것은?

증거물 수집부터 제출(증거획득 → 이송 → 분석 → 보관 → 법정제출)까지의 각 단계에서 담당자 및 책임자를 명확히 해야 한다.

• 1
   재현의 원칙
• 2
   독수 독과 이론
• 3
   연계 보관성의 법칙
• 4
   무결성의 원칙

88. 다음 중 정보통신망 이용 촉진 및 정보보호 등에관한 법률에서 정보통신서비스 제공자가 이용자의 개인정보를 이용하려고 수집하는 경우 알려야하는 사항에 포함되지 않는 것은?

• 1
   개인정보수집 목적
• 2
   수집하려는 개인정보의 항목
• 3
   개인정보 보유 기간
• 4
   동의하지 않을 시 불이익

89. 다음 중 개인정보보호법에 따른 개인정보 수집 시 반드시 정보주체의 동의가 필요한 경우는?

• 1
   인터넷 홈페이지 등에 공개 된 전화번호 또는 이메일을 통해 직장인 우대 대출, 홍보성 이벤트를 하는 경우
• 2
   동호회의 운영을 위하여 회원의 개인정보를 수집, 이용하는 경우
• 3
   자동차 구매를 위해 고객의 명함을 받은 자동차판매점 담당 직원이 자동차 구매 관련 정보 제공을 위해 명함에 기재 된 연락처를 이용하는 경우
• 4
   소방서에서 홍수로 고립된 사람을 구조하기 위해 위치정보를 수집하는 경우

90. 다음 중 용어에 대한 설명으로 옳지 않은 것은 무엇인가?

• 1
   정성적 기준 : 자산 도입비용, 자산복구비용, 자산복구비용의 기준이 됨
• 2
   정성적 기준 : 정보자산의 우선순위 식별
• 3
   정량적 기준 : 정보자산의 취약점에 대한 피해를 산정
• 4
   정량적 기준 : 영향도 분석 결과를 수치화하여 산정

91. 다음 지문이 설명하는 인증제도는?

현재 사용되는 IT 보안제품에 대해 보안성을 평가하는 제도로 제품유형별 PP(Protection Profile)를 정의하고、8개 군의 평가 항목을 대상으로 평가가 이루어진다. 평가결과는 IT 보안제품의 보안위협 및 자산가치의 정도에 따라 EAL1(Evaluation Assurance Level 1) - EAL7(Evaluation Assuraxe Level 7) 까지 7단계로 부여하여 인증서가 제공된다.

• 1
   CC(Common Criteria)
• 2
   ITSEC
• 3
   BS7799
• 4
   ISMS

92. 전자서명법에서 규정하고 있는 용어에 대한 설명 중 옳지 않은 것은?

• 1
   전자서명 정보는 전자서명 생성정보가 가입자에게 유일하게 속한다는 사실을 확인하고 이를 증명하는 전자적 정보를 말한다.
• 2
   전자서명은 서명자를 확인하고 서명자가 해당 전자문서에 서명하였음을 나타내는 데 이용하기 위하여 전자문서에 첨부되거나 논리적으로 결합된 전자적 형태의 정ㅂ를 말한다.
• 3
   인증은 전자서명 생성정보가 가입자에게 유일하게 속한다는 사실을 확인하고 이를 증명하는 행위를 말한다.
• 4
   전자문서는 정보 처리 시스템에 의하여 전자적 형태로 작성되어 송신 또는 수신되거나 저장된 정보를 말한다.

93. 다음 업무 연속성 계획을 개발하는데 요구되는 다섯단계를 차례로 나열한 것은?

ㄱ. 프로젝트 계획 
ㄴ. 복구 전략 설계
ㄷ. 업무 영향 분석(BIA)
ㄹ. BCP 개발
ㅁ. 유지보수

• 1
   ㉠-㉡-㉢-㉣-㉤
• 2
   ㉠-㉡-㉣-㉢-㉤
• 3
   ㉠-㉢-㉣-㉡-㉤
• 4
   ㉠-㉢-㉡-㉣-㉤

94. 개인정보의 안정성 확보조치 기준(고시)의 제7조(개인정보의 암호화)에따라 반드시 암호화하여 저장해야하는 개인정보가 아닌 것은?

• 1
   비밀번호
• 2
   고유식별번호
• 3
   바이오 정보
• 4
   전화번호

95. 위험분석 방법론으로 적절히 짝지은 것은?

ㄱ. 어떤 사건도 기대대로 발생하지 않는다는 사실에 근거하여 일정 조건 하에서 위협에 대한 발생 가능한 결과를 추정하는 방법
ㄴ. 시스템에 관한 전문적인 지식을을 가진 전문가 집단을 구성하고 위협을 분석 및 평가하여 정보시스템이 직면한 디양한 위협과 취약성을 토론을 통해 분석하는 방법

• 1
   ㉠ 확률분포법 ㉡ 순위결정법
• 2
   ㉠ 시나리오법 ㉡ 델파이법
• 3
   ㉠ 델파이법 ㉡ 확률분포법
• 4
   ㉠ 순위결정법 ㉡ 시나리오법

96. 다음 중 정보통신서비스 제공자 등이 개인정보의 분실, 도난, 누출 사실을 안 때에는 지체 없이 수행하혀야 할 행동으로 잘못 기술된 것은?

• 1
   방송통신위원회 또는 한국인터넷진흥원에 신고하여야 한다.
• 2
   정당한 사유 없이 그 사실을 안 때부터 5일을 경과하여 통지 및 신고해서는 아니된다.
• 3
   이용자에게 알릴 때에는 누출 등이 된 개인정보 항목이 포함된다.
• 4
   한국인터넷진흥원이 신고를 받았다면 그 사실을 방송통신위원회에 알려야 한다.

97. 다음은 위험 분석 방법과 이에 대한 설명이다. 잘못 설명 된 것은?

• 1
   과거 자료 분석법은 과거의 자료를 통해 위험 발생 가능성을 예측하는 방법이다.
• 2
   확률 분포법은 미지의 사건을 추정하는 데 사용되는 방법이다.
• 3
   시나리오법은 어떤 사건도 기대대로 발생하지 않는다는 사실에 근거하여 일정 조건하에서 위험에 대한 발생 가능한 결과 등을 추정하는 방법이다.
• 4
   순위결정법은 전문적인 지식을 가진 전문가 집단을 구성하여 다양한 위험과 취약성을 토론을 통해 분석하는 기법이다.

98. 다음은 정보통신기반 보호법에 따른 주요정보통신기반시의 지 정요건이다. 빈 칸 (가) ~ (마)에 들어갈 알맞은 단어를 바르게 나열한 것은?

중앙행정기관의 장은 소관분야의 정보통신기반시설중 다음의 사항을 고려하여 전자적 침해행위로부터의 보호가 필요하다고 인정되는 정보통신기반시설을 주요정보통신기반시설로 지정할 수 있다.
1. 당해 정보통신기반시설을 관리하는 기관이 수행하는 업무의 국가 사회적 ( 가 )
2. 당해 정보통신기반시설을 관리하는 기관이 수행하는 업무의 정보통신기반시설에 대한 ( 나 )
3. 다른 정보통신기반시설과의 ( 다 )
4. 침해사고가 발생할 경우 국가안전보장과 경제사회에 미치는 피해규모 및 범위
5. 침해사고의 ( 라 ) 또는 그 복구의 ( 마 )

• 1
   가:중요성 나:기밀성 다:의존도 라:발생가능성 마:용이성
• 2
   가:기밀성 나:중요성 다:의존도 라:용이성 마:경제성
• 3
   가:중요성 나:의존도 다:상호연계성 라:발생가능성 마:용이성
• 4
   가:중요성 나:의존도 다:관련성 라:발생가능성 마:용이성

99. 다음은 위험 분석 방법론에 대한 설명이다. 올바르지 못한 것은?

• 1
   과거 자료 분석법 : 과거 자료를 통하여 위험 발생 가능성을 예측
• 2
   수학 공식 접근법 : 위험 발생 빈도를 계산하는 식을 이용하여 계량화
• 3
   우선 순위법 : 전문가 집단을 이용한 설문 조사를 통한 조사 방법
• 4
   시나리오법 : 특정 시나리오를 통해 발생 가능한 위협에 대해 결과를 도출해 내는 방법

100. 다음 중 위험 분석에 포함된 핵심 개념이 아닌 것은?

• 1
   자산
• 2
   위협
• 3
   취약점
• 4
   손실