1. 다음 보기 괄호 안에 공통으로 들어갈 적당한 단어는?

(         )은 하드웨어 특성으로 부터 프로그램들을 격리시키고, 하드웨어와 직접적으로 상호 작동함으로써 프로그램들에게 일관된 서비스를 제공한다. (          )의 기본 개념은 프롯스와 파일의 관리이다. 그밖에 입출력장치 관리, 메모리 관리 및 시스템 호출 인터페이스등이다.

• 1
   유틸리티(Utilities)
• 2
   커널(Kernel)
• 3
   셀(Shell)
• 4
   데몬(Daemon)

2. 다음 지문의 특징을 가진 악성 프로그램으로 볼 수 있는 것은?

일반 프로그램에 악의적인 루틴을 추가하여 그 프로그램을 사용할 때 본래의 기능 이외에 악의적인 기능까지 은밀히 수행하도록 하는 공격을 말한다. 예를 들어 사용자 암호를 도출 하기 위해서 합법적인 로그인(login) 프로그램으로 가장하고 정상적인 로그인 순서와 대화를 모방하여 작성될 수 있다.

• 1
   트로이목마(Netbus)
• 2
   매크로 바이러스(Macro virus)
• 3
   웜(I-Worm/Hybris)
• 4
   악성 스크립트(mIRC)

3. 매크로 바이러스에 대한 설명으로 틀린 것은?

• 1
   플랫폼과 무관하에 실행된다.
• 2
   주로 이메일을 통해 감염된다.
• 3
   문서 파일의 기능을 악용한다.
• 4
   EXE 형태의 자동화된 기능을 포함한다.

4. 다음의 취약성 점검 도구 중 NESSUS에서 제공하는 기능으로 가장 거리가 먼 것은?

• 1
   열린 포트 스캔
• 2
   쿠키 점검
• 3
   악성 코드 점검
• 4
   웹 취약점 점검

5. 데이터베이스의 보안을 위해 사용할 수 있는 기능으로, 다음 질문에서 설명하는 것은?

전체 데이터셋 중 자신이 허가 받은 정해진 관점으로만 필드, 로우 등을 제한하여 열람할 수 있도록 한다. 이 기능을 이용하여 데이터베이스 접근 허용 시 데이터 접근 가능 범위를 제한할 수 있다.

• 1
   Access Control
• 2
   Encryption
• 3
   Views
• 4
   Authorization Rules

6. 다음 보기에 해당하는 로그 파일은 무엇인가?

- 시스템 로그인에 실패할 경우 이 파일에 저장된다.
- lastb 명령어를 통해 확인이 가능하다.

• 1
   wtmp
• 2
   btmp
• 3
   utmp
• 4
   pact

7. 서버 시스템의 접근통제 관리에 대한 설명으로 틀린 것은?

• 1
   윈도우 시스템 이벤트에는 시스템, 어플리케이션, 보안 이벤트가 있으며 감사로그는 제어판-관리도구-로컬보안설정-감사정책에서 각각 설정할 수 있다.
• 2
   윈도우 시스템은 도메인 환경에서 사용자 인증을 위하여 레지스트리가 익명의 사용자에 의해 접근할 수 있도록 설정하여야 한다.
• 3
   iptables, tcp wrapper 도구를 사용하면 서버 시스템의 네트워크 접근통제 기능을 설정할 수 있다.
• 4
   Unix 서버 시스템에서 불필요한 파일에 설정된 SUID와 SGID 비트를 제거하여 실행 권한이 없는 프로그램의 비인가된 실행을 차단하여야 한다.

8. 리모트 컴퓨터로부터의 ping 명령에 대한 응답으로 "Destination Unreachable"을 되돌려 주고, 접속을 거절하기 위해 리눅스 방화벽에서 설정하는 타깃 명령어는 무엇인가?

• 1
   DROP
• 2
   DENY
• 3
   REJECT
• 4
   RETURN

9. 다음은 리눅스 파일권한에 대한 설명이다. 올바르지 못한 것은?

• 1
   ls –al 명령어로 권한을 자세히 볼 수 있다.
• 2
   chmod 명령어는 파일, 디렉토리 소유그룹을 수정할 수 있다.
• 3
   맨앞에 문자가‘-’이면 파일, ‘d’이면 디렉토리, ‘l’이면 링크이다.
• 4
   chown 명령어는 파일소유자, 파일소유그룹을 수정 할 수 있다.

10. 리눅스 PAM의 동작 절차를 바르게 나열한 것은?

(1) 해당 애플리케이션의 PAM 설정 파일을 확인한다.
(2) PAM모듈은 성공 또는 실패 상태를 반환(Return)한다.
(3) 사용자나 프로세스가 애플리케이션의 접근(Access)을 요청한다.
(4) 스택은 계속해서 순서대로 확인되며, 실패 상태를 반환한다해서 중단되지 않는다.
(5)스택의 PAM모듈이 리스트상의 순서대로 호출된다.
(6) 모든 PAM모듈의 상태 결과가 종합되어 전체 인증 과정의 성공 또는 실패 상태를 반환한다.

• 1
   3 - 2 - 1 - 5 - 4 - 6
• 2
   3 - 2 - 1 - 5 - 6 - 4
• 3
   3 - 1 - 2 - 5 - 4 - 6
• 4
   3 - 1 - 5 - 2 - 4 - 6

11. 다음 중 포맷 스트링(Format String)공격에 대해 잘못 설명한 것은?

• 1
   시스템 자원을 고갈시켜 가용성을 공격하는 기법이다.
• 2
   대표적으로 printf() 함수를 공격 대상으로 삼는다.
• 3
   포맷 스트링을 취약점으로 stack에 비정상적으로 접근한다.
• 4
   Write가 허용된 Memory Segment에 원하는 값을 삽입할수 있다.

12. 다음 중 디스크 공간 할당의 논리적 단위를 표현하는 용어는?

• 1
   Volume
• 2
   Page
• 3
   Cluster
• 4
   Stream

13. 다음 중 MAC 주소를 속여서 공격하는 기법을 무엇이라 하는가?

• 1
   포맷 스트링
• 2
   ARP 스푸핑
• 3
   세션하이젝킹
• 4
   버퍼오버플로우

14. 다음 중 바이러스나 웜에 감염되었을 때 숨기기 쉬운 파일은 무엇인가?

• 1
   explore.exe
• 2
   winupdate.exe
• 3
   svchost.exe
• 4
   hosts

15. 다음 중 소유자에게 읽기 쓰기 권한을 부여하고, 일반사용자에게 읽기 권한을 제거하는 리눅스 명령은?

• 1
   chmod 604
• 2
   chmod 504
• 3
   chmod o+rw a-r
• 4
   chmod u=rw o-r

16. 다음 중 HTTP 프로토콜의 상태 코드로 올바르지 못한 것은?

• 1
   200: HTTP 요청에 대해 에러 없이 성공
• 2
   300: 클라이언트가 선택할 수 있는 리소스에 대한 다중 옵션 표시
• 3
   403: 유효한 요청에 대한 클라이언트가 응답 거부
• 4
   404: 현재 요청한 리소스를 찾을 수 없음

17. 다음 중 리눅스 시스템에서 좀비 프로세스를 찾기 위해 사용할 수 있는 명령어로 옳은 것 2가지를 선택하시오.

• 1
   ps -ef | grep defunct
• 2
   top -b -n 1 | grep defunct
• 3
   ps -ef | grep zombie
• 4
   top -b -n 1 | grep zombie

18. 다음 중 동작 계층이 다른 하나는?

• 1
   S/MIME
• 2
   PGP
• 3
   S-HTTP
• 4
   SSL

19. Syslog와 같은 시스템 로그를 주기적으로 스캔하여 어떠한 행위가 발생했는지를 분석하는 시스템 로깅 도구는?

• 1
   Nikto
• 2
   X-scan
• 3
   N-stealth
• 4
   Swatch(Simple WATCHer)

20. 다음 중 리눅스 inode 블럭에 포함되지 않는 것은 ?

• 1
   파일 유형
• 2
   파일 이름
• 3
   파일 수정시간
• 4
   파일 link 수

21. 다음 중 랜드 어택에 대한 대응법으로 가장 거리가 먼 것은?

• 1
   현재는 대부분 패치가 완료되었으므로 최신 OS 및 SW를 이용한다.
• 2
   출발지와 목적지 IP주소가 다른 패킷은 기본적으로 차단한다.
• 3
   신뢰된 호스트만 접속할 수 있도록 White List기반으로 정책을 운용한다.
• 4
   침입차단시스템을 이용한다.

22. 4000바이트의 ICMP 데이터를 포함한 TCP 패킷이 MTU가 1500인 네트워크를 통해 전송될 때 세번째 패킷의 크기는?

• 1
   헤더 40, ICMP 데이터 1048byte
• 2
   헤더 40, ICMP 데이터 1056byte
• 3
   헤더 20, ICMP 데이터 1048byte
• 4
   헤더 20 ICMP 데이터 1056byte

23. ICMP에서 TTL=0이 되어 도달할 때 메시지는 무엇인가?

• 1
   ICMP unreachable
• 2
   echo reply
• 3
   TTL exceeded
• 4
   echo request

24. DoS 공격의 일종으로 공격대상자는 스푸핑된 소스 IP로부터 ICMP reply를 동시에 수신하는 현상을 갖는 공격은 무엇인가?

• 1
   Ping of death
• 2
   Smurf attack
• 3
   Teardrop attack
• 4
   Land attac

25. 다음의 보기에서 설명하고 있는 기술은?

ㅇ 물리적으로 하나인 단말기를 개인 영역과 업무 영역을 완벽히 분리해 마치 2개의 독자적인 단말기를 사용하는 것처럼 해준다. 
ㅇ 개인 영역이 악성 코드에 감염되어도 업무 영역의 정보는 유출되지 않는다.

• 1
   MAM
• 2
   MDM
• 3
   VDI
• 4
   WIPS

26. 다음 지문이 설명하는 것은?

ㅇ 엔드포인트(End-Point) 보안문제를 해결하기 위해 고려된 방식
ㅇ 접근제어를 위한 사용자 인증과 백신 관리, 패치 관리 등 무결성 체크과 같은 핵심 기능 포함

• 1
   Network Access Control
• 2
   Network Management System
• 3
   Enterprise Security Management
• 4
   Unified Threat Manager

27. 다음 문장에서 설명하는 해커의 분류는?

• 1
   Elite
• 2
   Script Kiddie
• 3
   Developed Kiddie
• 4
   Lamer

28. 다음 중 DMZ(Demilitarized Zone) 구간에 위치하고 있으면 안되는 시스템은?

• 1
   웹서버
• 2
   디비 서버
• 3
   네임 서버
• 4
   FTP 서버

29. 다음의 보기에서 설명하고 있는 공격은?

ㅇ 헤더 옵션 값을 사용함으로써 웹 서버에 더 많은 부하를 유발시키는 지능화된 DDoS 공격 기법이다. 
ㅇ 웹 트랜잭션의 효율을 이용하여 사용하게 되는 Cache 기능을 사용하지 않고, 자주 변경되는 데이터에 대해 새롭게 HUP 요청 및 응답을 요구하기 위하여 사용되는 옵션이다.

• 1
   CSRF 공격
• 2
   HTTP CC Attack
• 3
   Blind SQL Injection 공격
• 4
   XSS 공격

30. 클라이언트는 DNS 질의가 요청되었을 경우 제일 먼저 DNS Cache를 확인하게 되는데, 다음에서 수행된 DNS Cache를 확인하는 명령어는?

ds.kisa.or.kr
______________________
데이터 이름  ds.kisa.or.kr
데이터 유형  1
TTL(Time To Live)  7972
데이터 길이  4
섹션  응답
(호스트) 레코드  123.123.123.123

• 1
   ipconfig /dnsdisplay
• 2
   ipconfig /displaydns
• 3
   ipconfig /flushdns
• 4
   ipconfig /dnsflush

31. 다음 보기의 현상이 나타나게 된 공격에 대한 설명으로 옳은 것은?

• 1
   공격 성공 후 패킷은 공격자가 설정해 놓은 시스템으로 전송된다.
• 2
   ARP Cache Table을 정적으로 설정하기 위해서는 arp –d 옵션을 사용한다.
• 3
   네트워크를 주기적으로 모니터링 한다고 해서 예방할 수 없다.
• 4
   ARP Broadcast를 사용하는 공격기법이고 ARP Broadcast시에 인증을 수행한다.

32. 다음 중 가상 사설망(VPN) 구현 기술과 가장 거리가 먼 것은?

• 1
   터널링
• 2
   패킷 필터링
• 3
   인증
• 4
   암호화

33. 어떤 프로토콜에 대한 DoS 공격인가?

ㅇ "목적지 도달 불가(Destination Unreachable)' 메시지가 일부 방화벽에서 상당히 많은 리소스를 소비한다는 사실을 이용한다.
ㅇ 이 DoS 기술은 방화벽을 트래픽으로 뒤덮어버리는 것이 아니라, CPU를 high load 시키기 때문에 공격자 입장에서 효율적이다.

• 1
   ICMP
• 2
   HTTP
• 3
   TCP
• 4
   SMTP

34. 스위칭 환경에서 스니핑을 하기 위한 공격과 가장 거리가 먼 것은?

• 1
   DNS Spoofing
• 2
   ARP Broadcast
• 3
   ARP Jamming
• 4
   Switch Jamming

35. 서브넷팅에 대한 설명 중 틀린 것은?

• 1
   서브넷이란 네트워크 세그먼트로 나눈 개별 네트워크를 말한다.
• 2
   서브넷 마스크는 네트워크 ID와 호스트 ID를 구분 짓는 역할을 한다.
• 3
   서브넷 마스크는 32비트의 값으로 표현된다.
• 4
   서브넷팅은 하나의 큰 네트워크를 여러개의 물리적인 서브넷으로 나누는 것을 의미한다.

36. 패킷 필터링을 위한 규칙에 대한 설명으로 틀린 것은? (단, 서비스에 사용되는 포트는 기본값이며, Internal은 내부, External은 외부 네트워크를 의미한다.)

• 1
   내부에서 외부로 나가는 웹 서비스에 대해서 허용한다.
• 2
   서버(169.168.2.25)로 FTP 서비스 연결은 어디에서나 가능하나 데이터 전송은 원활하게 이루어지지 않을 수 있다.
• 3
   필터링 규칙에 명시하지 않은 모든 프로토콜에 대해서는 거부한다.
• 4
   서버(169.168.10.10)로 DNS 서비스는 내부에서 이용이 가능하나 Message 정보가 512 바이트보다 클 경우에는 허용하지 않는다.

37. 리눅스 환경에서 의심으로운 접근기록이 확인되어 로그인 실패 기록을 살펴보려고 한다. 어떤 로그 파일을 참조하는 것이 가장 적절한가?

• 1
   pacct
• 2
   wtmp
• 3
   btmp
• 4
   utmp

38. Snort에서 Rule에 대한 정보제공을 위해 사용되며, 탐지에 영향이 없는 옵션의 명령어 형식은?

• 1
   msg
• 2
   rawbytes
• 3
   drop
• 4
   reject

39. 클라우드 컴퓨팅 보안에 대한 설명으로 가장 옳지 않은 것은?

• 1
   가상화 시스템의 취약점을 상속한다.
• 2
   정보 위탁에 따른 정보 유출의 가능성이 있다.
• 3
   집중화로 보안 적용이 용이하다.
• 4
   자원 공유 및 집중화에 따른 서비스 장애가 발생할 수 있다.

40. 다음의 TCP Flag 중에서 연결 시작을 나타내기 위해 사용하는 Flag는 무엇인가?

• 1
   FIN
• 2
   SYN
• 3
   ACK
• 4
   RST

41. 다음 중 OWASP TOP10 2013에 포함되지 않는 것은?

• 1
   인젝션
• 2
   URL접근제한 실패
• 3
   XSS
• 4
   크로스사이트 요청변조

42. HTTP에 기본으로 정의된 요청 메소드가 아닌 것은?

• 1
   GET
• 2
   POST
• 3
   PUSH
• 4
   PUT

43. 다음 설명하고 있는 보안 전자우편시스템 프로토콜은?

ㅇ RSA Data Security, INC 개발
ㅇ 전자우편 메세지 표준 기반
ㅇ 다양한 상용툴킷
ㅇ X.509 지원

• 1
   PEM
• 2
   MIME
• 3
   S/MIME
• 4
   PGP

44. 다음 문장의 괄호 안에 알맞은 용어는?

• 1
   워터링 홀
• 2
   스팸
• 3
   스피어피싱
• 4
   랜섬웨어

45. 다음 에서 설명하고 있는 프로토콜은 무엇인가?

인증서를 검증하는 신뢰 당사자가 CRL, 전체를 다운받지 않고 필요한 인증서만을 네트워크를 통해 실시간으로 확인할 수 있는 효율적인 방법을 말한다.

• 1
   CRL
• 2
   OCSP
• 3
   PKI
• 4
   X.509

46. 다음 중 버퍼 오버플로우(Buffer Overflow)에 대한 대책으로 옳지 않은 것은?

• 1
   경계 검사를 하는 컴파일러 및 링크를 사용한다.
• 2
   경계를 검사하는 함수를 사용한다.
• 3
   운영체제 커널 패치를 실시한다.
• 4
   최대 권한으로 프로그램을 실행한다.

47. 디지털 워터마킹 기술의 응용 분야와 거리가 먼 것은?

• 1
   저작권 보호
• 2
   이미지 인증
• 3
   데이터 은닉
• 4
   도청 방지

48. DoS 공격엔 다양한 종류가 있다. 다음 중 웹서버 운영체제(OS) 자원을 고갈시키는 DoS는 무엇인가?

• 1
   Syn Flooding
• 2
   GET Flooding
• 3
   Teardrop
• 4
   Syn Cookie

49. 다음 중 SQL Injection의 공격 유형이 아닌 것은?

• 1
   인증 우회
• 2
   데이터 노출
• 3
   원격 명령 실행
• 4
   서비스 거부

50. 다음 중 SSL(Secure Socket Layter) 프로토콜에 대한 설명으로 잘못된 것은?

• 1
   웹 서버와 브라우저간의 안전한 통신을 위해 넷스케이프사에 의해 개발되었다.
• 2
   세션계층에서 적용되며, 응용계층의 FTP, TELNET, HTTP 등의 프로토콜의 안전성 보장을 위해 사용된다.
• 3
   SSL 프로토콜은 TCP/IP상의 444/tcp 포트만을 사용하여야 한다.
• 4
   SSL을 사용하기 위해서는 우리가 흔히 사용하는 URL 표기 방식인 “http://*” 대신에 “https://*”을 사용해야 한다.

51. FTP는 Active 모드와 Passive 모드를 지원한다. Passive 모드를 사용한다면 예상되는 가장 적절한 이유는 무엇인가?

• 1
   Passive 모드가 전송속도가 더 우수하기 때문에
• 2
   서버에서 20, 21포트를 사용하기 위해
• 3
   Passive 모드에서 지원되는 암호화 기능 때문에
• 4
   Active 모드는 Client에서 방화벽 차단 시 사용 불가하므로

52. 다음은 인터넷 등록서비스의 일종에 대한 접속방식 연결순서를 개념적으로 설명한 것이다. 이 접속방식의 등록서비스에 대한 설명으로 가장 거리가 먼 것은?

• 1
   데이터 전송을 위해 1024 이후 포트를 사용한다.
• 2
   서버에서 21번 포트와 1024 이후 포트를 사용하여 연결한다.
• 3
   Exit는 연결을 종료하기 위한 Command Line 명령어이다.
• 4
   보안을 위해서 서버에서 Passive 모드로 사용한 포트를 제한한다.

53. 다음 문장에서 설명하는 것은?

• 1
   이상행위 탐지시스템(FDS)
• 2
   침입탐지시스템(IDS)
• 3
   블록체인(Blockchain)
• 4
   SET(Secure Electronic Transaction)

54. 다음 중 안드로이드 시스템 권한에 대한 설명으로 틀린 것은?

• 1
   ACCESS_CHECKIN_PROPERTIES : 체크인 데이터베이스의 속성테이블 액세스 권한
• 2
   LOADER_USAGE_STATS : 액세스 로그 읽기 권한
• 3
   SET_PROCESS_LIMIT : 제한처리 지정 권한
• 4
   CHANGE_COMPONENT_ENABLED_STATE : 환경 설정 변경 권한

55. E-mail의 첨부파일을 열었을 대 악성코드가 실행되거나 특정파일을 선택했을 때 바이러스가 확산되는 공격유형은?

• 1
   Shell Script 공격
• 2
   Trojan Horse 공격
• 3
   Buffer Overflow 공격
• 4
   Active Contents 공격

56. 다음 중 인간의 감지 능력으로는 검출할 수 없도록 사용자 정보를 멀티미디어 콘텐츠에 삽입하여 콘텐츠 불법 배포자를 추적할 수 있도록 하는 기술을 무엇이라 하는가?

• 1
   핑거 프린팅(Digital Fingerprinting)
• 2
   워터 마킹(Water Marking)
• 3
   포렌식 마킹(Forensic Marking)
• 4
   태그 마킹(Tag Marking)

57. 다음과 같은 DNS Cache를 확인하기 위한 윈도우 명령어는?

    q.fran.kr
    ----------------------------------------
    데이터 이름 . . . . . : q.fran.kr
    데이터 유형 . . . . . : 5
    TTL(Time To Live) . : 877
    데이터 길이 . . . . . : 8
    섹션 . . . . . . . : 응답
    CNAME 레코드  . . . . : fran.kr


    데이터 이름 . . . . . : fran.kr
    데이터 유형 . . . . . : 1
    TTL(Time To Live) . : 877
    데이터 길이 . . . . . : 4
    섹션 . . . . . . . : 응답
    (호스트) 레코드 . . . : 115.71.236.146

• 1
   ipconfig/showcaches
• 2
   ipconfig/displaydns
• 3
   ipconfig/flushdns
• 4
   ipconfig/all

58. 다음 중 전자입찰시스템에서 요구하는 안전성에 포함되지 않는 것은?

• 1
   단일성
• 2
   비밀성
• 3
   무결성
• 4
   공평성

59. 다음 문장에서 설명하는 웹 공격의 명칭은?

• 1
   XSS(Cross Site Scripting)
• 2
   SQL(Structured Query Language) Ingection
• 3
   CSRF(Cross-site request forgery)
• 4
   쿠키(Cookie) 획득

60. 다음 중 SET 프로토콜에 대한 특징으로 올바르지 못한 것은?

• 1
   전자상거래 사기를 방지한다.
• 2
   구현이 용이하다.
• 3
   기존 신용 카드 기반 그대로 활용이 가능하다.
• 4
   상점에 대한 인증을 할 수 있다.

61. 다음 중 비대칭키에 대한 설명으로 올바르지 못한 것은?

• 1
   키 분배가 용이하다.
• 2
   확장 가능성이 높다.
• 3
   암/복호화 처리 시간이 빠르다.
• 4
   복잡한 키 관리 구조를 가지고 있다.

62. 다음 중 인증 기관의 역할별로 올바르게 연결되지 못한 것은?

• 1
   PAA - 정책 승인 기관
• 2
   PCA - 정책 승인 기관
• 3
   CA _ 인증 기관
• 4
   RA - 등록 기관

63. 접근통제 모델 중 기밀성을 강조한 최초의 수학적 모데롤 시스템 보안을 위한 규칙 준수 규정과 주체의 객체 접근 허용 범위를 규정한 것으로 옳은 것은?

• 1
   벨-라파둘라 모델
• 2
   비바 모델
• 3
   클락-윌슨 모델
• 4
   만리장성 모델

64. 메시지 출처 인증기술의 요소 중 하나인 해시함수의 특징으로 옳지 않은 것은?

• 1
   Message Authentication Code와는 달리 키를 사용하지 않는다.
• 2
   메시지 길이에 상관없이 적용 가능하다.
• 3
   생성되는 해시 코드(Hash code)의 길이는 가변적이다.
• 4
   일방향(one-way)으로 변환이 이루어진다.

65. 보기의 ㉠, ㉡이 설명하는 블록 암호 알고리즘의 동작모드는?

㉠: 가장 단순한 방식으로 각 블록을 독립적으로 암호화하여 동일한 평문블록이 동일한 암호문을 생성히여 안전하지 않음
㉡: 초기 벡터값올 암호화한 값과 평문블록을 XOR하여 암호문 블록을 생성하고, 그 암호문을 다시 암호화한 값과 평문블록을 XOR하여 암호문블록올 반복하여 생성하는 방식

• 1
   ㉠ CFB ㉡ CBC
• 2
   ㉠ CFB ㉡ OFB
• 3
   ㉠ ECB ㉡ CFB
• 4
   ㉠ ECB ㉡ OFB

66. 스트림 암호 방식의 블록 암호 모드들로만 구성된 것은?

• 1
   ECB, CBC, CTR
• 2
   CFB, OFB, CTR
• 3
   CBC, CFB, OFB
• 4
   ECB, CFB, CTR

67. 다음 중 디바이스 인증 기술에 대한 설명으로 옳지 않은 것은?

• 1
   서버의 데이터베이스에 저장된 아이디와 비밀번호를 비교하여 인증하는 방식을 아이디 패스워드 기반 인증방식이라 한다.
• 2
   MAC 주소값 인증 방식은 아이디 없이 MAC 주소만으로 인증하는 방식이다.
• 3
   암호 프로토콜을 활용한 인증 방식은 중간에 키나 세션을 가로 채어 중요 정보를 유출하는 시도를 차단한다.
• 4
   시도-응답 인증 방식은 키를 생성하여 사용자를 인증하는 방식이다.

68. 다음 설명 중 가장 옳지 않은 것은?

• 1
   평문을 일정한 단위로 나누어서 각 단위마다 암호화 과정을 수행하여 블록 단위로 암호문을 얻는 대칭 암호화 방식이다.
• 2
   Electronic Code Book Mode, Output FeedBack Mode는 블록암호의 운용모드이다.
• 3
   AES,SEED 등은 블록 크기로 128 비트를 사용한다.
• 4
   SPN 구조를 사용하는 알고리즘은 대표적으로 AES, DES등이 있다.

69. 메시지의 무결성 보장과 송신자에 대한 인증을 목적으로 공유 비밀키와 메시지로부터 만들어지는 것은?

• 1
   의사 난수
• 2
   메시지 인증 코드
• 3
   해시
• 4
   인증서

70. 전자인증 방식의 하나인 Password 방식의 문제점으로 옳지 않은 것은?

• 1
   패스워드 전송 노출
• 2
   패스워드 재전송
• 3
   별도의 키 분배 방식 필요
• 4
   클라이언트 인증 정보 공격

71. 블록 암호는 기밀성이 요구되는 정보를 정해진 블록 단위로 암호화 하는 대칭키 암호 시스템으로 알고리즘 구조는 파이 스텔(Feistel) 구조와 SPN 구조가 있다. 다음 중 파이스텔 구 조 블록암호가 아닌 것은?

• 1
   DES
• 2
   AES
• 3
   SEED
• 4
   RC5

72. 암호 공격 유형에 대한 설명 중 적절하지 못한 것은?

• 1
   선택 암호문 공격(Chosen-Ciphertext Attack) : 공격자가 선택한 암호문에 대한 평문을 얻을 수있다는 가정하에 수행하는 공격법
• 2
   선택 평문 공격(Chosen-Plaintext Attack) : 공격자가 선택한 평문에 대한 키를 얻을 수 있어서 키 암호문의 쌍을 이용하는 공격법
• 3
   기지 평문 공격(Known-Plaintext Attack) : 공격자가 여러가지 암호뿐만 아니라 평문에 대응되는 암호문을 수집하여 암호화에 사용된 키를 찾아내는 공격법
• 4
   암호문 단독 공격(Ciphertext-Only Attack) : 공격자가 여러 평문에 대한 암호문을 수집하여 암호문만으로 평무을 유추하거나 키를 찾아내는 공격법

73. 다음 중 전자 서명의 특징으로 올바르지 않는것은?

• 1
   재사용 가능
• 2
   위조 불가
• 3
   부인 불가
• 4
   서명자 인증

74. 전자서명에 대한 설명으로 옳지 않은 것은?

• 1
   전자문서의 서명은 다른 전자문서의 서명과 항상 동일해야 누구든지 검증할 수 있다.
• 2
   전자서명을 계산하기 위해 송신자는 문서에 대해 해시값을 계산한 후 그 값올 자신의 개인키로 암호화한다.
• 3
   합법적인 서명자만이 전자문서에 대한 전자서명을 생성할 수 있어야 한다.
• 4
   어떠한 문서에 대해서도 서명의 위조가 불가능하며, 서명 한 문서의 내용은 변경될 수 없어야 한다

75. 다음 보기 중 인증 방식과 그에 대한 예시가 잘못 연결된 것은?

• 1
   존재 기반 : 지문, OTP
• 2
   소유 기반 : 스마트카드, 신분증
• 3
   지식 기반: 패스워드, ID
• 4
   위치기반: IP, 콜백함수

76. 다음 중 무결성 점검을 위한 해시 함수가 아닌 것은?

• 1
   tripwire
• 2
   MD5
• 3
   SHA-256
• 4
   CRC-32

77. 보기 지문의 ㉠, ㉡ 에 들어갈 말로 적절한 것은?

소인수분해란 하나의 ( ㉠ )를 소인수로 분해하는 것을 말한다. 충분히 큰 두 개의 ( ㉡ )를 곱하는 것은 쉽지만, 이들 결과를 소인수 분해한다는 것은 계산적으로 매우 어렵다. 일부 공개키 암호알고리즘은 이렇게 소인수 분해의 어려움에 기반을 두고 설계되었다.

• 1
   ㉠ 정수 ㉡ 소수
• 2
   ㉠ 정수 ㉡ 대수
• 3
   ㉠ 실수 ㉡ 소수
• 4
   ㉠ 실수 ㉡ 대수

78. 생체인식 기술에서 요구하는 사항에 포함되지 않는 것은?

• 1
   보편성
• 2
   구별성
• 3
   일시성
• 4
   획득성

79. 다음 중 메시지 인증 코드(MAC)에 대한 설명으로 올바르지 못한 것은?

• 1
   송신자와 수신자가 서로 동일한 공개키를 가지고 메시지를 대조한다.
• 2
   송신자를 보증하는 디지털 서명을 지원하지 않는다.
• 3
   송신자와 수신자 사이에 메시지 무결성을 보장한다.
• 4
   송신자 인증에 사용된다.

80. 커버로스(Kerberos)의 기능과 가장 거리가 먼 것은?

• 1
   네트워크 응용 프로그램이 상대방의 신원을 식별할 수 있도록 한다.
• 2
   파일 서버, 터미널 서버, 데이터베이스 서버 등 다양한 서버들을 지원할 수 있다.
• 3
   기밀성, 가용성, 무결성과 같은 보안 서비스를 제공한다.
• 4
   한 번의 인증으로 여러 서버에 접근 할 수 있다.

81. 정보통신망 이용 촉진 및 정보보호 등에 관한 법률에서 개인정보 유효 기간제로 인하여 로그인하지 않는 개인정보는 별도 보관이나 파기해야한다. 다음 중 개인정보 유효 기간은 얼마인가?

• 1
   1년
• 2
   3년
• 3
   5년
• 4
   7년

82. 다음 괄호 안에 들어갈 용어로 적절한 것은?

(         )은 정보시스템 또는 정보보호시스템의 결함 또는 손실에 의하여 발생되고, 정보보호 대책을 적용함으로써 감소시킬 수 있다.
그러나 (         )이 없는 시스템은 존재하지 않고, 주기적인 진단과 패치의 적용에도 불구하고, 새로운 (         )이 발생되기 때문에 완전제거는 불가능하다.

• 1
   취약점
• 2
   위협
• 3
   위험
• 4
   침해

83. 다음중 기술적 보호조치와 가장 거리가 먼 것은?

• 1
   인증된 사람만 시스템에 접근 가능하도록 접근권한을 설정하고 관리한다.
• 2
   위탁, 외주개발에 따라 발생할 수 있는 위험을 미리 분석하고 규정을 정비한다.
• 3
   인가되지 않은 보조저장매체를 사용할 수 없도록 차단한다.
• 4
   해킹 등 침해사고 발생 위험을 분석하고 그에 따른 대응방안을 마련해놓는다.

84. 공인인증서 폐지요건으로 올바르지 못한것은?

• 1
   공인인증서 효력이 정지된 경우
• 2
   사기 기타 부정한 방법으로 발급받은 사실을 인지한 경우
• 3
   사망•실종선고 또는 해산 사실을 인지한 경우
• 4
   전자서명생성정보가 분실•훼손 또는 도난•유출된 사실을 인지한경우

85. 침해사고의 유형별 통계, 해당 정보통신망의 소통량 통계 및 접속경로별 이용 통계 등의 침해사고 관련 정보를 과학기술 정보통신부장곤이나 한국인터넷 진흥원에 제공해야 하는 기관이 아닌 것은?

• 1
   정보보호 전문서비스 기업
• 2
   주요 정보통신서비스 제공자
• 3
   컴퓨터 바이러스 백신 소프트웨어 제조자
• 4
   집적정보통신시설 사업자

86. 보안인증 평가에 대한 설명으로 올바르지 않은 것은?

• 1
   IPSEC은 새로운 유럽공통평가기준으로 1991년에 발표하였다.
• 2
   TCSEC은 일명 ‘오렌지북’이라고도 불린다.
• 3
   EAL 등급은 9가지로 분류된다.
• 4
   TCSEC은 기밀성을 우선으로 하는 군사 및 정보기관에 적용된다.

87. 개인정보영향평가 대상 범위에 포함되지 않는 것은?

• 1
   구축 또는 변경하려는 개인정보파일 중 민감 정보, 고유 식별정보 5만 명 처리
• 2
   구축 또는 운영하려는 개인정보파일이 내•외적으로 50만 명 이상연계
• 3
   구축 또는 변경하려는 개인정보 파일 중 정보추체가 100만 명 이상
• 4
   구축 또는 변경하려는 개인정보 파일 중 주민등록번호가 포함시

88. 다음 중 개인정보 파기와 관련하여 잘못된 것은?

• 1
   타 법령에 따라 보존해야 하는 경우에는 예외적으로 개인정보를 파기하지 않고 다른 개인정보와 함께 저장·관리할 수 있다.
• 2
   개인정보를 수집할 때 동의 받았던 보유기간이 경과한 경우에 지체 없이 파기해야 한다.
• 3
   하드디스크 등 매체에 전자기적으로 기록된 개인정보는 물리적인 방법으로 매체를 파괴하여 복구할 수 없도록 한다.
• 4
   이미 요금정산이 끝난 소비자의 개인정보는 채권 소멸기간까지 남아있다고 하더라도 개인정보를 보관할 수 없다.

89. 다음은 정보통신망법의 목정규정 내용 중 ( )에 들어갈 내용을 나열한 것으로 옿은 것은?

이 법은 정보통신망의 이용을 촉진하고 정보통신서비스를 이용하는 자의 (   )을 보호함과 아울러 정보통신망을 건전하고 안전하게 이용할 수 있는 환경을 조성함으로써 (   )의 향상과 (   )의 증진에 이바지함을 목적으로 한다.

• 1
   권익, 서비스의 품질, 공공복리
• 2
   인격보호, 보안의식, 표준화
• 3
   이용권, 정보통신기술, 정보화
• 4
   개인정보, 국민생활, 공공복리

90. 다음 중 전자서명법에 의거하여 공인인증기관이 발공하는 공인인증서에 포함되는 사항이 아닌 것은?

• 1
   가입자와 공인인증기관이 이용하는 전자인증 방식
• 2
   공인인증서의 일련번호
• 3
   공인인증기관의 명칭 등 공인인증기관임을 확인할 수 있는 정보
• 4
   공인인정서의 이용범위 또는 용도를 제한하는 경우 이에 관한 사항

91. 다음 중 외주 및 협력업체의 인력에 대한 보안을 강화하기 위한 보호대책으로 적절하지 않은 것은?

• 1
   외부위탁 용역 및 협력업체 인력과의 계약서에 보안 관련 사항을 포함시켜야 한다.
• 2
   협력업체 직원 등의 외주 인력은 회사 업무 수행 시 내부 직원과 동일한 수준으로 정보보호 정책을 준수하여야 한다.
• 3
   외부 인력에게 회사의 중요 정보의 접근을 허용하는 경우 한시적으로 제한하여 허용하고, 주기적인 점검이 이루어져야 한다.
• 4
   업무상 필요에 의해 협력업체 직원이 회사 정보 시스템에 대한 접속 및 외부로의 접속이 요구되는 경우 협력업체 책임자의 승인을 받는다.

92. 정보주체의 권리에 따른 설명으로 올바르지 않은 것은?

• 1
   다른 사람의 생명•신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우 열람을 제한할 수 있다.
• 2
   개인정보 열람에 대한 “대통령령으로 정하는 기간”이란 5일을 말한다.
• 3
   개인정보를 삭제할 때에는 복구 또는 재생되지 아니하도록 조치하여야 한다.
• 4
   만 14세 미만 아동의 법정대리인은 개인정보처리자에게 그 아동의 개인정보 열람 등을 요구할 수 있다.

93. 다음 중 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’에서 규정하는 이용자에게 알리고 동의 받아야 할 사항이 아닌 것은?

• 1
   개인정보 수집 이용목적
• 2
   개인정보 수집 이용기간
• 3
   수집하는 개인정보항목
• 4
   개인정보 수집을 거부할 수 있는 권리

94. 다음 중 정보보호 정책에 포함되지 않아도 되는 것은?

• 1
   자산의 분류
• 2
   비인가자의 접근 원칙
• 3
   법 준거성
• 4
   기업 보안 문화

95. 정량적 위험 분석과 정성적 위험 분석에 대한 다음의 설명 중 틀린 것은?

• 1
   정량적 분석은 객관적인 평가 기준이 적용된다.
• 2
   정량적 분석은 위험 관리 성능 평가가 용이하다.
• 3
   정성적 분석은 계산에 대한 노력이 적게 소요된다.
• 4
   정성적 분석은 비용과 이익에 대한 평가가 필수적으로 요구된다.

96. 다음 정보보호 교육에 대한 설명으로 옳지 않은 것은 무엇인가?

• 1
   정보보호 교육은 정기적으로 실시하며 교육은 온라인과 오프라인으로 진행할 수 있다.
• 2
   정보보호 교육 담당자는 교육과정 개발, 교육 실시를 주관하며 교육완료 후 교육효과에 대한 내용을 관리해야 한다.
• 3
   훈련 받는 대상자는 정보보호에 관련된 업무를 수행하는 직원만 교육을 평가하여 다음 교육에 반영할 수 있도록 노력해야 한다.
• 4
   교육은 수시교육, 정기교육, 정보공유 형태로 1년 2회 이상 실시한다.

97. 지식정보보안 컨설팅 전문업체 지정에 대한 근거 법은 무엇인가?

• 1
   전자서명법
• 2
   정보통신기반 보호법
• 3
   정보통신산업진흥법
• 4
   정보통신망 이용촉진 및 정보보호 등에 관한법률

98. ‘개인정보보호법’에 따라 개인정보가 유출되었음을 알게 되었을 때에는 지체 없이 정보주체에게 알려야 한다. 해당되지 않는 내용은?

• 1
   유출된 시점과 그 경위
• 2
   유출된 개인정보 항목
• 3
   개인정보보호 책임자 또는 담당자
• 4
   개인정보처리자의 대응조치 및 피해구제절차

99. 다음 중 정보통신기반보호위원회의 역할이 아닌 것은?

• 1
   주요정보통신기반시설 지정 및 취소
• 2
   주요정보통신기반시설 보호 계획 조정
• 3
   주요정보통신기반시설 관련 제도 개성
• 4
   주요정보통신기반시설 정보보호 대책 수립

100. 다음 중 정보보호 관리 체계의 정보보호 관리 과정에 포함되지 않는 것은?

• 1
   정보보호 정책 수립 및 범위 설정
• 2
   사후 관리
• 3
   정보보호 대책 구현
• 4
   구현