1. 다음은 SUID 프로그램이 일반 권한에서 관리자 권한으로 상승하여 처리하는 정상적인 과정을 나타내고 있다. 심볼릭 링크를 이용한 레이스 컨디션 공격이 실행되는 단계는?

• 1
   1단계
• 2
   2단계
• 3
   3단계
• 4
   4단계

2. 인증 장치에 대한 설명으로 옳은 것은?

• 1
   USB 메모리에 디지털 증명서를 넣어 인증 디바이스로 하는 경우 그 USB 메모리를 접속하는 PC의 MAC 어드레스가 필요하다.
• 2
   성인의 홍채는 변화가 없고 홍채 인증에서는 인증 장치에서의 패턴 갱신이 불필요하다.
• 3
   정전용량 방식의 지문인증 디바이스 LED 조명을 설치한 실내에서는 정상적으로 인증할 수 없게 될 가능성이 높다.
• 4
   인증에 이용되는 접촉형 IC 카드는 카드 내의 코일의 유도 기전력을 이용하고 있다.

3. 다음에서 설명하는 악성코드는 무엇인가?

이 악성코드는 컴퓨터 시스템에 저장된 사용자 문서 파일을 암호화하거나 컴퓨터 시스템을 잠그고 돈을 요구하는 악성 프로그램으로, 전자메일이나 웹사이트 등 다양한 경로를 통해 감염된다. 대표적으로 크립토월, 크립토락커, CoinVault 등이 있다.

• 1
   바이러스
• 2
   루트킷
• 3
   웜
• 4
   랜섬웨어

4. 웹 쿠키(Cookies)에 대한 설명 중 올바른 것은?

• 1
   쿠키는 서버가 아닌 클라이언트에 저장된다.
• 2
   쿠키는 웹 서버에 저장되므로 클라이언트에서 제어할 수 없다.
• 3
   쿠키는 실행가능한 파일로 바이러스로 동작할 수 있다.
• 4
   쿠키는 강력한 인증 기능을 제공한다.

5. 파일이 생성되는 순간부터 로그인가 로그아웃의 정보를 보여주는 로그 파일은 무엇인가?

• 1
   wtmp
• 2
   utmp
• 3
   last
• 4
   secure

6. 다음은 윈도우의 SID를 조회한 것이다. 사용자의 고유한 ID를 나타내는 필드는?

• 1
   1번 필드
• 2
   2번 필드
• 3
   3번 필드
• 4
   4번 필드

7. 중요한 시스템에 접근하는 공격자를 다른 곳으로 끌어내도록 유도하는 시스템은?

• 1
   Spoofing
• 2
   Honeypot
• 3
   Sniffing
• 4
   Switching

8. 다음은 NTFS와 FAT 파일 시스템에 대한 설명이다. 틀린 것을 고르시오.

• 1
   FAT32등 FAT뒤에 붙은 숫자로 클러스터 수를 계산할 수 있다.
• 2
   FAT는 최대 파일 크기가 4G로 제한되지만 NTFS는 16EiB까지 가능하다.
• 3
   NTFS는 다른 운영체제와 호환성이 좋다.
• 4
   작은 크기의 파일 시스템을 사용하는 경우 NTFS보다 FAT 가 더 빠르다.

9. 실행 레벨을 적절하게 고른 것은?

ㄱ. 단일 사용자 모드
ㄴ. 재부팅
ㄷ. 다중 사용자 모드

• 1
   ㉠ 실행레벨 1 ㉡ 실행레벨 6 ㉢ 실행레벨 3
• 2
   ㉠ 실행레벨 0 ㉡ 실행레벨 5 ㉢ 실행레벨 3
• 3
   ㉠ 실행레벨 3 ㉡ 실행레벨 6 ㉢ 실행레벨 2
• 4
   ㉠ 실행레벨 0 ㉡ 실행레벨 5 ㉢ 실행레벨 3

10. 공유폴더 사용권한의 특징에 대한 설명으로 올바르지 못한 것은?

• 1
   공유폴더 사용권한은 파일에도 적용된다.
• 2
   NTFS사용권한보다 약한 보안을 제공한다.
• 3
   네트워크 접근 사용만을 제한하고 로컬접속을 제어할 수 없다.
• 4
   기본 공유폴더 사용권한은 Everyone 그룹에게 모든 권한이 주어진다.

11. 서버사이드에서 동작하는 웹페이지 아닌 것은?

• 1
   html
• 2
   php
• 3
   asp
• 4
   jsp

12. 사용자 로그인과 로그아웃 정보를 누적하여 저장하는 파일은?

• 1
   utmp
• 2
   wtmp
• 3
   lastlog
• 4
   xferlog

13. 다음 지문에서 설명하고 있는 침입탐지 기술이 무엇인지 고르시오.

ㅇ 공격자의 동작에 관한 정보를 수집한다.
ㅇ 공격자가 시스템에 충분히 오랜 시간 동안 머무르기를 유도함으로써 관리자가 반응할 수 있도록 한다.

• 1
   IDS(Instrusion Detection System)
• 2
   IPS(Instrusion Prevention System)
• 3
   UTM(Unified Threat Management)
• 4
   Honeypot

14. Process ID(PID) 1번을 가지고 있는 프로세스는 무엇인가?

• 1
   init
• 2
   부트로더
• 3
   OS 커널
• 4
   BIOS

15. 다음의 취약성 점검 도구 중 NESSUS에서 제공하는 기능으로 가장 거리가 먼 것은?

• 1
   열린 포트 스캔
• 2
   쿠키 점검
• 3
   악성 코드 점검
• 4
   웹 취약점 점검

16. 트로이목마의 특징이 아닌 것은?

• 1
   백도어(Back Door)로 사용할 수 있다.
• 2
   자기복제 능력이 있다.
• 3
   유용한 프로그램에 내장되어 배포될 수 있다.
• 4
   정보유출이나 자료파괴 같은 피해를 입힐 수 있다.

17. 리눅스 시스템의 커널에 내장된 툴로서 rule 기반의 패킷 필터링 기능, connection tracking 기능 등 다양한 기능을 제공하는 것은?

• 1
   TCP-Wrapper
• 2
   netcat
• 3
   iptables
• 4
   xinetd

18. 다음 중 버퍼 오버플로우 대응책으로 올바르지 못한 것은?

• 1
   버퍼 오퍼플로우 취약점이 생기지 않도록 패치를 정기적으로 한다.
• 2
   문자길이를 검사하지 않는 함수를 사용하지 않고 안전한 프로그래밍을 해야 한다.
• 3
   함수로부터 복귀할 때 스택의 무결성을 검사한다.
• 4
   사용자의 스택 혹은 힙 영역의 쓰기 및 실행권한을 준다.

19. 윈도우 운영체제의 레지스트리에 대한 설명으로 틀린 것은?

• 1
   시스템 구성정보를 저장하는 데이터베이스로 SYSTEM.DAT, USER.DAT 파일을 말한다.
• 2
   레지스트리는 regedit.exe 전용 편집기에 의해서만 편집이 가능하다.
• 3
   윈도우 레지스트리 키는 HKEY_CLASS_ROOT, HKEY_CURRENT_USER, HKEY_LOCAL_MACHINE, HKEY_USERS, HKEY_CURRENT_CONFIG 등이 있다.
• 4
   레지스트리 백업 및 복구는 regedit.exe를 구동하여 할 수 있다.

20. 버퍼오버플로우 공격을 완화할 수 있는 방법으로 스택과 힙 영역에 쉘코드 등을 실행하지 못하도록 하는 메모리 보호기법에 해당하는 것은?

• 1
   ASLR
• 2
   DEP/NX bit
• 3
   Format String
• 4
   Stack Canary

21. 다음 중 IPSEC 프로토콜에 대한 설명으로 올바르지 않은 것은?

• 1
   VPN의 3계층 프로토콜이다.
• 2
   보안 서비스 제공을 위하여 AH와 ESP 기능을 이용한다.
• 3
   AH헤더에서 전송모드와 터널모드로 나누어진다.
• 4
   전송모드는 데이터그룹 전체를 AH로 캡슐화하고 새로운 IP헤더를 추가한다.

22. 다음 중 원격지 서버의 스니핑 모니터링 프로그램인 sentinal을 이용하여 스니퍼를 탐지하는 예시와 그에 대한 의미로 틀린 것은?

• 1
   ./sentinel –a –t 211.47.65.4 : ARP 테스트
• 2
   ./sentinel –d –f 1.1.1.1 –t 211.47.65.4 : DNS 테스트
• 3
   ./sentinel–e –t 211.47.65.4 : Etherping 테스트
• 4
   ./sentinel–t 211.47.65.4 –f 1.1.1.1 –d –a - : 3개의 테스트 중 하나만 테스트

23. 리눅스 환경에서 트래픽을 분석하기 위해 MRTG(Multi Router Traffic Grapher)를 사용한다. 다음 중 MRTG를 설치 및 수행하는데 필요없는 프로그램은?

• 1
   C Compiler
• 2
   Perl
• 3
   Gd Library
• 4
   Libpcap

24. VPN 구현 기술과 가장 거리가 먼 것은?

• 1
   터널링
• 2
   패킷 필터링
• 3
   인증
• 4
   암호화

25. 다음은 IPSec의 AH 프로토콜이 하는 역할에 대한 설명이다. 맞는 것은?

• 1
   라우터와 라우터 간의 IP 패킷을 암호화한다.
• 2
   단말과 단말 간의 IP 패킷을 암호화한다.
• 3
   단말과 라우터 간의 IP 패킷에 대한 송신 인증 및 무결성 서비스를 제공한다.
• 4
   단말과 라우터 간의 IP 패킷에 대한 송신 인증, 무결성 그리고 암호화 서비스를 제공한다.

26. 다음 설명 중 옳지 않은 것은?

• 1
   인터넷에 연결된 2대의 컴퓨터에서 동작하는 응용들 간의 연결을 유일하게 식별하기 위한 출발지/목적지 IP주소, 출발지/목적지 포트번호, TCP 또는 UDP등과 같은 프로토콜 종류 등의 정보가 이용된다.
• 2
   프트 번호 중 0번 - 1023번은 잘 알려진 포트(well-known port)로 불리며 이포트 번호들은 클라이언트 기능을 수행하는 응용쪽에 배정된다.
• 3
   포트 번호의 범위는 0번에서 65535번이며 이 포트번호는 TCP와 UDP 프로토콜에 각각 부여된다.
• 4
   자주 이용되는 서비스에 대한 포트 번호로는 SSH(22번), SMIP(25번), FIP(20, 21번), DNS(53번) 등이 있다.

27. TCP 연결 과정 중 3-way handshaking의 half open 취약점을 이용한 공격은?

• 1
   Land 공격
• 2
   Syn Flooding 공격
• 3
   Smurf 공격
• 4
   Trinoo 공격

28. 4000byte의 패킷을 전송하고자 하는데 최대 MTU가 1500이다. 다음과 같이 분할된 패킷에서 괄호 안에 들어갈 적절한 값은?

  

    
순서
    
패킷 사이즈
    
More Flag
    
offset
  
  

    
1
    
1500
    
1
    
0
  
  

    
2
    
1500
    
1
    
185
  
  

    
3
    
(  ㄱ  )
    
0
    
(  ㄴ  )
  

• 1
   1000, 370
• 2
   1000, 375
• 3
   1040, 370
• 4
   1040, 375

29. 중앙집중관리 방식의 강제적 접근 통제(MAC)에 대한 장점으로 옳지 않은 것은?

• 1
   규칙이 단순해 관리가 용이하다.
• 2
   중앙에서 강력하게 통제할 수 있다.
• 3
   이직률이 높은 회사에 유리하다.
• 4
   개인, 데이터별로 명확한 보안등급을 가진다.

30. 다음 그림에서 IPS 위치로 가장 올바르지 않은 것은?

PC -1- 방화벽 -2- 스위치 -3- 라우터 -4- 서버

• 1
   (1)
• 2
   (2)
• 3
   (3)
• 4
   (4)

31. 다음은 특정 시스템에 대한 분류 또는 기능에 대한 정의이다. 특성이 다른 하나는 무엇인가?

• 1
   단일 호스트 기반
• 2
   네트워크 기반
• 3
   베스천 호스트
• 4
   비정상적인 행위탐지

32. 다음 문장에서 설명하는 해커의 분류는?

• 1
   Elite
• 2
   Script Kiddie
• 3
   Developed Kiddie
• 4
   Lamer

33. 다음 중 네트워크의 공격 대응 방법으로 올바르지 못한 것은?

• 1
   Ping of Death 공격은 UDP를 차단한다.
• 2
   Syn Flooding 공격은 최신 패치를 한다.
• 3
   스니핑 공격을 SSL 암호화 프로토콜 사용으로 패킷을 보호한다.
• 4
   DDoS 공격은 적절한 라우팅 설정 및 Null 처리를 한다.

34. 방화벽 구축에 관한 그림의 설명으로 옳은 것은?

• 1
   Dual Homed
• 2
   Bastion Host
• 3
   Screened Host
• 4
   Screened Subnet

35. 다음 IPS종류 중 어플리케이션게이트웨이 방식 설명으로 옳지 않은것은?

• 1
   내부와 외부 네트워크가 프록시 서버를 통해서만 연결이 된다.
• 2
   각 서비스별 프록시 데몬이 존재한다.
• 3
   1세대 방화벽에 속 한다
• 4
   일부 서비스에 대해 투명성을 제공하기 어렵다.

36. 스위칭 환경에서 스니핑을 하기 위한 공격과 가장 거리가 먼 것은?

• 1
   DNS Spoofing
• 2
   ARP Broadcast
• 3
   ARP Jamming
• 4
   Switch Jamming

37. 다익스트라(Dijkstra) 알고리즘을 사용하는 라우팅 프로토콜에 대한 설명으로 틀린 것은?

• 1
   대규모 망에 적합한 알고리즘이다.
• 2
   커리벡터 알고리즘이다.
• 3
   OSPF에서 사용된다.
• 4
   링크상태 알고리즘이다.

38. BYOD(Bring Your Own Device)의 보안 기술 중 다음 문장에서 설명하는 모바일 기기 보안 기술은?

• 1
   클라우드 DaaS(Desktop As A Service)
• 2
   모바일 가상화(Hypervisors)
• 3
   컨테이너화(Containerization)
• 4
   가상데스크톱 인프라(Virtual Desktop Infrastructure)

39. 다음 중 end point 에 설치되어 다양한 보안 기능을 통합적으로 수행하는 보안 시스템을 지칭하는 것은?

• 1
   IPS
• 2
   NAC
• 3
   Firewall
• 4
   UTM

40. 다음 보기 괄호 안에 들어갈 가장 적절한 단어는?

VPN에 사용되는 (              )은 인터넷 상에서 외부의 영향을 받지 않는 가상적인 경로를 형성해 정보를 주고 받도록 하는 기술이다.

• 1
   터널링
• 2
   인증기술
• 3
   접근통제기술
• 4
   인식기술

41. 다음 중 정적 분석의 특징이 아닌 것은?

• 1
   소프트웨어 실행 불필요
• 2
   stress test 나 penetration test 등의 기법
• 3
   compile time 이나 source 수준에서 검증 가능한 coding 이나 API 보안 등의 항목 점검 수행
• 4
   실행 결과 보다는 실행 전 구현에 초점

42. 다음 표는 Apache 웹 서버의 주요 파일에 대한 접근권한을 나타 낸다. 각각에 들어갈 내용으로 적절한 것은?

bin        :  root  : root   : 755
httpd      :  root  : root   : 가
passwd     :  root  :  나    : 640
httpd.conf :  root  : nobody : 다
log        :  root  : root   : 755

• 1
   가:640 나:root 다:511
• 2
   가:511 나:nobody 다:640
• 3
   가:640 나:nobody 다:511
• 4
   가:511 나:root 다:640

43. 메일 서버 서비스에 대해서 할 수 있는 서버공격 기법은?

• 1
   Active Contents
• 2
   UDP Bomb
• 3
   Syn Flooding
• 4
   Mail Bomb

44. 다음 보기에서 설명하고 있는 보안 전자 우편 프로토콜은?

ㅇ IETF 이메일 보안 표준
ㅇ 중앙 집중화된 키 인증
ㅇ 구현의 어려움
ㅇ 군사용, 은행용 시스템에 주로 사용

• 1
   PEM
• 2
   S/MIME
• 3
   PGP
• 4
   MIME

45. 다음 중 전자 서명의 특징에 포함되지 않는 것은?

• 1
   위조 불가
• 2
   부인 불가
• 3
   서명자 인증
• 4
   재사용 가능

46. 데이터베이스 내의 자료 값들을 잘못된 갱신이나 불법조작으로부터 보호함으로써, 정확성을 유지하고자 하는 것은 아래의 DB보안 요구 사항 중 어느 것인가?

• 1
   데이터 일관성
• 2
   데이터 무결성
• 3
   데이터 보안
• 4
   데이터 접근제어

47. 문자열 단위로 문자열의 일치 여부(참/거짓) 값 만을 반환받는 과정을 수없이 반복하여 테이블 정보나 데이터 값을 추출해내는 공격법은?

• 1
   SQL injection
• 2
   Blind SQL injection
• 3
   Mass SQL injection
• 4
   Union SQL injection

48. SSO(Single Sign On)와 관련이 없는 것은?

• 1
   Delegation 검사
• 2
   Propagation 방식
• 3
   웹 기반 쿠키 도메인 SSO
• 4
   보안토큰

49. TLS(Transport Layer Security)의 기본 구조에서 그 구성 요소가 아년 것은 무엇인가?

• 1
   Handshake Protocol
• 2
   Http protocol
• 3
   Alert Protocol
• 4
   Record Protocol

50. 다음 에서 설명하고 있는 프로토콜은 무엇인가?

인증서를 검증하는 신뢰 당사자가 CRL, 전체를 다운받지 않고 필요한 인증서만을 네트워크를 통해 실시간으로 확인할 수 있는 효율적인 방법을 말한다.

• 1
   CRL
• 2
   OCSP
• 3
   PKI
• 4
   X.509

51. 다음 중 E-mail 전송 시 보안성을 제공하기 위한 보안 전자 우편 시스템이 아닌 것은?

• 1
   PGP
• 2
   S/MIME
• 3
   PEM
• 4
   SSL

52. 다음 중 커버로스(Kerberos)의 특징이 아닌 것은?

• 1
   재생공격을 예방할 수 있다.
• 2
   데이터의 무결성을 제공한다.
• 3
   타임스탬프는 필요하지 않다.
• 4
   대칭키를 이용한 기밀성 제공이 가능하다.

53. 다음 중 메일 서버의 구성요소로 적절하지 않은 것은?

• 1
   MTA
• 2
   MUA
• 3
   MDA
• 4
   MFA

54. 다음에서 설명하고 있는 웹 공격 방법은 무엇인가?

로그인된 피해자의 취약한 웹어플리케이션에 피해자의 세션쿠키와 기타 다른 인증정보를 자동으로 포함하여 위조된 HTTP요청을 강제로 보내도록 하는 것이다. 이것은 취약한 어플리케이션 피해자로부터 정당한 요청이라고 오해 할 수 있는 요청을 강제로 만들 수 있다.

• 1
   알려진 취약점 컴포넌트 사용
• 2
   크로스사이트 요청변조(CSRF)
• 3
   민감한 데이터 노출
• 4
   인증 및 세션관리 취약점

55. DRM의 세부 기술 중에서 다음 보기에 해당하는 것은?

보호 대상인콘텐츠를메타 데이터와 함께 시큐어 콘테이너 포맷 구조로 패키징하는 모듈이다.

• 1
   식별자
• 2
   메타데이터
• 3
   패키져
• 4
   콘텐츠

56. 전자입찰시스템 및 프로토콜의 특징에 대한 설명 중 틀린 것은?

• 1
   전자 입찰 도구로는 자바, 디지털서명, XML 등이 이용될 수 있다.
• 2
   입찰 기간 마감은 여러 개의 입찰 서버가 있을 경우 단계적으로 마감된다.
• 3
   전자 입찰은 입찰자, 입찰 공고자, 전자입찰시스템으로 구성된다.
• 4
   전자 입찰 시 독립성, 비밀성, 무결성 등이 요구된다.

57. 다음 중 ebXML 구성요소에 대한 설명으로 올바르지 않은 것은?

• 1
   비즈니스프로세스: 비즈니스 거래 절차에 대한 표준화된 모델링
• 2
   등록저장소: 거래 당사자들에 의해 제출된 정보를 저장하는 장소
• 3
   핵심 컴포넌트: 전자문서의 항목을 잘 정의해 표준화하고 재사용할 수 없다.
• 4
   거래 당사자 정보를 CPP라 한다.

58. 다음 문장에서 설명하는 데이터베이스 보안 솔루션 종류는?

• 1
   데이터베이스 백업 솔루션
• 2
   데이터베이스 감사 솔루션
• 3
   데이터베이스 암호화 솔루션
• 4
   데이터베이스 접근 제어 솔루션

59. 다음 중 E-mail 전송 시 보안성을 제공하기 위한 보안 전자 우편 시스템이 아닌 것은?

• 1
   PGP(Pretty Good Privacy)
• 2
   S/MIME(Secure Multipurpose Internet Mail Extension)
• 3
   PEM(Privacy Enhanced Mail)
• 4
   SSL(Secure Socket Layer)

60. 다음 지문에서 설명하고 있는 보안 기술은 무엇인가?

동일한 패스워드를 사용하는 보안상의 취약점을 극복하여 일회성의 서로 다른 패스워드를 생성하게 함으로써 안전한 전자상거래를 진행한다.

• 1
   스마트 토큰
• 2
   OTP
• 3
   NFC
• 4
   보안카드

61. 다음 중 Kerberos 인증 프로토콜에 대한 설명으로 옳지 않은 것은?

• 1
   중앙서버 개입 없이 분산형태로 인증을 수행한다.
• 2
   티켓 안에는 자원 활용을 위한키와 정보가 포함되어 있다.
• 3
   대칭키 알고리즘을 사용한다.
• 4
   TGT를 이용해 자원사용을 위한 티켓을 획득한다.

62. 보기의 ㉠, ㉡이 설명하는 블록 암호 알고리즘의 동작모드는?

㉠: 가장 단순한 방식으로 각 블록을 독립적으로 암호화하여 동일한 평문블록이 동일한 암호문을 생성히여 안전하지 않음
㉡: 초기 벡터값올 암호화한 값과 평문블록을 XOR하여 암호문 블록을 생성하고, 그 암호문을 다시 암호화한 값과 평문블록을 XOR하여 암호문블록올 반복하여 생성하는 방식

• 1
   ㉠ CFB ㉡ CBC
• 2
   ㉠ CFB ㉡ OFB
• 3
   ㉠ ECB ㉡ CFB
• 4
   ㉠ ECB ㉡ OFB

63. 다음 중 대칭 암호 알고리즘이 아닌 것은?

• 1
   BlowFish
• 2
   SEED
• 3
   Diffie-Hellman
• 4
   3DES

64. Kerberos 프로토콜을 개발함에 있어 요구사항으로 고려 지 않은 특성은?

• 1
   보안성
• 2
   재사용성
• 3
   투명성
• 4
   확장성

65. 다음 중 대칭키 배송 문제를 해결할 수 있는 방법에 해당하 지 않는 것은?

• 1
   키 배포 센터에 의한 해결
• 2
   Diffie-Hellman 키 교환 방법에 의한 해결
• 3
   전자서명에 의한 해결
• 4
   공개키 암호에 의한 해결

66. 다음 중 공인인증서 구성요소 내용으로 올바르지 않은 것은?

• 1
   공인인증서 일련번호
• 2
   소유자 개인키
• 3
   발행기관 식별명칭
• 4
   유효기간

67. 다음 중 AES 알고리즘의 설명 중 틀린 것은?

• 1
   128/192/256 비트의 키 단위로 암호화를 수행할 수 있다.
• 2
   마지막을 뺸 각 라운드는 바이트 대치, 행 옮김, 열 조합, 라운드 키 XOR로 구성된다.
• 3
   마지막 라운드에서는 열 조합 연산을 수행하지 않는다.
• 4
   AES는 페이스텔 구조이기 때문에 복호화 과정은 암호화 과정과 같다.

68. 블록 암호는 기밀성이 요구되는 정보를 정해진 블록 단위로 암호화 하는 대칭키 암호 시스템으로 알고리즘 구조는 파이 스텔(Feistel) 구조와 SPN 구조가 있다. 다음 중 파이스텔 구 조 블록암호가 아닌 것은?

• 1
   DES
• 2
   AES
• 3
   SEED
• 4
   RC5

69. 다음에서 수동적 공격에 해당하는 것은 무엇인가?

• 1
   스니핑
• 2
   스푸핑
• 3
   인젝션공격
• 4
   삭제공격

70. 능동적 공격에 해당되지 않는 것은?

• 1
   메시지 변조
• 2
   전송되는 파일을 도청
• 3
   삽입공격
• 4
   삭제공격

71. 강제적 접근통제(MAC)의 특징으로 올바른 것은?

• 1
   중앙에서 정책을 주고 관리한다.
• 2
   사용자 역할에 따라 지정하고 권한을 부여한다.
• 3
   주체에 대응하는 행과 객체에 대응하는 열을 통하여 권한을 부여한다.
• 4
   어떠한 사용자는 다른 사용자에 대한 접근을 허용한다.

72. Kerberos 프로토콜에 대한 설명으로 옳지 않은 것은?

• 1
   비밀키 암호작성법에 기초를 둔 온라인 암호키 분배방법이다.
• 2
   Kerberos 프로토콜의 목적은 인증되지 않은 클라이언트도 서버에 접속할 수 있도록 하는 것이다.
• 3
   키 분배 센터에 오류 발생시, 전체 서비스를 사용할 수 없게 된다.
• 4
   Kerberos 프로토콜은 데이터의 기밀성과 무결성을 보장한다.

73. 이중 서명을 사용하는 경우로 옳은 것은?

• 1
   송신자와 수신자 간에 문서의 위변조를 방지하기 위한 방법이다.
• 2
   서명 이용자의 신원 노출이나 문서정보의 노출 없이 서명자로부터 서명을 받고 싶을 때 사용한다.
• 3
   구매자의 구매품목 등의 주문정보와 결제 계좌 등의 지불 정보를 분리시켜 서명하며 판매자의 금융기관에 제공되는 정보를 최소화하기 위해 사용된다.
• 4
   문서 송수신 시, 중간자 공격을 방지하기 위해 Salt 및 Nonce를 활용하는 서명 방식을 말한다.

74. 접근통제 모델 중 기밀성을 강조한 최초의 수학적 모데롤 시스템 보안을 위한 규칙 준수 규정과 주체의 객체 접근 허용 범위를 규정한 것으로 옳은 것은?

• 1
   벨-라파둘라 모델
• 2
   비바 모델
• 3
   클락-윌슨 모델
• 4
   만리장성 모델

75. 메시지 인증에 사용하기 위한 해시 함수의 특성 중 약한 충돌 저항성이라고 부르는 해시함수 특성은?

• 1
   H(x)는 어떤 x에 대해서도 계산이 쉬워야 하고 H는 일정한 크기의 출력을 생성해야 한다.
• 2
   어떤 주어진 값 h에 대해서 H(x)=h 가 성립하는 x를 찾는 것이 계산적으로 불가능해야 한다.
• 3
   어떤 주어진 블록 x 에 대해서 H(x)=H(y)를 만족하는 y(≠x)를 찾는 것이 계산적으로 불가능 해야 한다.
• 4
   H(x)=H(y)를 만족하는 쌍 (x, y)을 찾는 것이 계산적으로 불가능해야 한다.

76. 암호 공격 유형에 대한 설명 중 적절하지 못한 것은?

• 1
   선택 암호문 공격(Chosen-Ciphertext Attack) : 공격자가 선택한 암호문에 대한 평문을 얻을 수있다는 가정하에 수행하는 공격법
• 2
   선택 평문 공격(Chosen-Plaintext Attack) : 공격자가 선택한 평문에 대한 키를 얻을 수 있어서 키 암호문의 쌍을 이용하는 공격법
• 3
   기지 평문 공격(Known-Plaintext Attack) : 공격자가 여러가지 암호뿐만 아니라 평문에 대응되는 암호문을 수집하여 암호화에 사용된 키를 찾아내는 공격법
• 4
   암호문 단독 공격(Ciphertext-Only Attack) : 공격자가 여러 평문에 대한 암호문을 수집하여 암호문만으로 평무을 유추하거나 키를 찾아내는 공격법

77. 다음 중 대칭키 암호화 알고리즘이 아닌 것은?

• 1
   BlowFish
• 2
   SEED
• 3
   Diffie-Hellman
• 4
   3DES

78. 공개키 기반 구조(PKI)에 대한 설명으로 올바르지 못한 것은?

• 1
   인증서버 버전, 일련번호, 서명, 발급자, 유효기간 등의 데이터 구조를 포함하고 있다.
• 2
   공개키 암호시스템을 안전하게 사용하고 관리하기 위한 정보보호방식이다.
• 3
   인증서 폐지 여부는 인증서폐지목록(CRL)과 온라인 인증서 상태 프로토콜(OCSP)확인을 통해서 이루어진다.
• 4
   인증서는 등록기관(RA)에 의해 발행된다.

79. 다음 에서 스트림 암호형식을 사용한 것을 모두 고르시오.

(가) CBC        (나) ECB
(다) OFB        (라) CFB
(마) CTR

• 1
   (가), (나), (다)
• 2
   (가), (다), (라), (마)
• 3
   (나), (다), (라)
• 4
   (다), (라), (마)

80. 다음에서 설명하는 접근통제 모델로 알맞은 것은?

미 국방부 지원 보안 모델로 보안 요소 중 기밀성을 강조한 모델이다. 최초의 수학적 모델로 강제적 정책에 의해 접근을 통제한다. 보안 정책은 정보가 높은 레벨에서 낮은 레벨로 흐르는 것을 방지하며 No Read Up, No Write Down으로 표현된다.

• 1
   비바 모델
• 2
   벨-라파툴라 모델
• 3
   만리장성 모델
• 4
   클락윌슨 모델

81. 개인정보의 안정성 확보조치 기준(고시)의 제 7조(개인정보의 암호화)에 따라 반드시 암호화하여 저장해야하는 개인정보가 아닌 것은?

• 1
   비밀전호
• 2
   고유식별번호
• 3
   바이오 정보
• 4
   전화번호

82. 빈 칸에 들어가야 할 단어로 옳은 것은?

송수신자, 전송자, 이용자, 관리자들이 제 3자에게 자신이 적법한 사용자라는 것을 증명할 수 있는 것을 ( 가 ) 기술이라 하며, 지문, 목소리, 눈동자 등 사람마다 다른 특징을 인식시켜 비밀번호로 활용하는 것을 ( 나 ) 기술이라 한다.

• 1
   (가) 인증 (나) 생체인식
• 2
   (가) 인증 (나) 패스워드
• 3
   (가) 기밀성 (나) 생체인식
• 4
   (가) 기밀성 (나) 패스워드

83. 개인정보보호법에서 정의하는 개인정보을 수집할 경우에 해당되지 않는 것은?

• 1
   정보주체의 동의을 받는 경우
• 2
   법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
• 3
   정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우
• 4
   정보주체의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 개인정보처리자의 권리보다 우선하는 경우

84. 보기의 ㉠, ㉡에 들어가야 할 단어로 적합한 것은?

접근통제는 （㉠ )와(과)（ ㉡ )(이)라는 두 부분으로 나누어진다. （㉠은(는) "그곳에 있는 사람은 누구인가?"를 의미하며, （ ㉡ ）은(는) "그 사람이 그것을 수행하는 것이 허용되었는가?"를 의미한다.

• 1
   ㉠ 보안 ㉡ 승인
• 2
   ㉠ 배치 ㉡ 허가
• 3
   ㉠ 인증 ㉡ 인가
• 4
   ㉠ 검토 ㉡ 확인

85. 보안인증 평가에 대한 설명으로 올바르지 않은 것은?

• 1
   IPSEC은 새로운 유럽공통평가기준으로 1991년에 발표하였다.
• 2
   TCSEC은 일명 ‘오렌지북’이라고도 불린다.
• 3
   EAL 등급은 9가지로 분류된다.
• 4
   TCSEC은 기밀성을 우선으로 하는 군사 및 정보기관에 적용된다.

86. 도출된 위힘이 해당 사업에 심각한 영향을 주는 관계로 보험에 가입하였다.이런 식으로 위험을 경감 또는 완화시키는 처리 유형은 무엇인가?

• 1
   위험 감소(reduction)
• 2
   위험 전가(transfer)
• 3
   위험 수용(acceptance)
• 4
   위험 회피(avoidance)

87. 정보보호 사전점검에 대한 설명으로 옳은 것은?

• 1
   정보보호 사전점검은 전자적 침해행위에 대비하기 위한 정보시스템의취약점 분석 평가와 이에 기초한 보호대책 의 제시 또는 정보보호 관리체계구축 등을 주된 목적으로 한다.
• 2
   방송통신위원회는 사업자가 사전점검을 실시하거나 실시 계약을 체결한 경우해당 사업 또는 서비스에 대하여 가점을 부여하는 등 우대조치를 할 수 있다.
• 3
   사전점검 수행기관으로 지정받으려는 자는 수행기관 지정신청서를 방송통신위원회에 제출하여야 한다.
• 4
   사전점검 대상 범위는 제공하려는 사업 또는 정보통신 서비스를 구성하는하드웨어, 소프트웨어, 네트워크 등의 유무형 설비 및 시설을 대상으로 한다.

88. 업무영향분석 시 고려해야 할 내용으로 가장 거리가 먼 것은?

• 1
   복구 정확성, 비상시 의무사항 수행, 대체 백업 사이트의 처리 역량 검증
• 2
   사건 발생 이후 시간이 경과함에 따라 손해 혹은 손실이 점증되는 정도
• 3
   최소한의 운영에 필요한 직원, 시설, 서비스를 복구하는데 소요되는 시간
• 4
   수입상실, 추가적 비용부담, 신용상실 등과 같은 형태의 손실

89. 개인정보의 안정성 확보조치 기준(고시)의 제7조(개인정보의 암호화)에따라 반드시 암호화하여 저장해야하는 개인정보가 아닌 것은?

• 1
   비밀번호
• 2
   고유식별번호
• 3
   바이오 정보
• 4
   전화번호

90. 다음은 정보보호 관리측면에서 무엇에 대한 정의인가?

비정상적인 일이 발생할 수 있는 가능성을 말함

• 1
   자산
• 2
   취약점
• 3
   위험
• 4
   손실

91. 다음 중 공인인증기관이 발급하는 공인인증서에 포함되어야 하는 사항이 아닌 것은 무엇인가?

• 1
   가입자의 전자서명검증정보
• 2
   암호화된 공인인증서 비밀번호
• 3
   가입자와 공인인증기관이 이용하는 전자서명방식
• 4
   공인인증기관의 명칭 등 공인인증기관을 확인할 수 있는 정보

92. 정보보호관리체계(ISMS) 5단계 수립을 하려고 한다. 올바른 진행 순서는 무엇인가?

• 1
   경영조직 – 정책 수립 및 범위설정 – 위험관리 – 구현 - 사후관리
• 2
   정책 수립 및 범위설정 – 경영조직 – 위험관리 – 구현 - 사후관리
• 3
   정책 수립 및 범위설정 – 경영조직 – 구현 – 위험관리 - 사후관리
• 4
   경영조직 – 위험관리 – 정책 수립 및 범위설정 – 구현 – 사후관리

93. OECD 개인정보보안 8원칙에 포함되지 않는 것은 무엇인가?

• 1
   이용제한의 원칙
• 2
   정보 정확성의 원칙
• 3
   비공개의 원칙
• 4
   안전성 확보의 원칙

94. 다음 중 정보통신망법 제 46조의 정보보호 관리체계 인증 제도에 대한 설명으로 옳지 않은 것은?

• 1
   정보보호 관리체계 인증의 유효기간은 3년이다.
• 2
   정보보호 관리체계 인증은 의무 대상자는 반드시 인증을 받아야 하며 의무 대상자가 아닌 경우에도 인증을 취득할 수 있다.
• 3
   정보보호 관리체계는 정보통신망의 안정석, 신뢰성을 확보하기 위하여 관리적, 기술적, 물리적 보호조치를 포함한 종합적 관리체계를 의미한다.
• 4
   정보보호 관리체계 의무대상자는 국제표준 정보보호 인증을 받거나 정보보호 조치를 취한 경우에는 인증 심사를 생략할 수 있다.

95. 고유식별정보는 법령에 따라 개인을 고유하게 구별하기 위하여 부여된 식별정보로서대통령령으로 정하는 정보이다. 다음 중 개 인정보처리자가고유식별정보를 처리할 수 있는 경우에 해당하 는 것은?

• 1
   정보주체의 동의를 받지 않은 경우
• 2
   법령에서 구체적으로 고유식별정보의 처리를 요구하거나허용하는 경우
• 3
   교통단속을 위하여 필요한 경우
• 4
   시설 안전 및 화재 예방을 위하여 필요한 경우

96. 다음 중 용어에 대한 설명으로 옳지 않은 것은 무엇인가?

• 1
   정성적 기준 : 자산 도입비용, 자산복구비용, 자산복구비용의 기준이 됨
• 2
   정성적 기준 : 정보자산의 우선순위 식별
• 3
   정량적 기준 : 정보자산의 취약점에 대한 피해를 산정
• 4
   정량적 기준 : 영향도 분석 결과를 수치화하여 산정

97. 다음 중 정보시스템 관리 책임자의 주요 임무가 아닌 것은 무엇인가?

• 1
   정보기술 표준 지침 실행여부 확인
• 2
   정보시스템에 대한 주기적인 백업과 복구
• 3
   정보시스템 운영 매뉴얼 변경관리 및 현행화
• 4
   조직의 전반적인 보안인식 프로그램 관리

98. 개인정보의 기술적 관리적 보호조치 기준에 따른 접속기록에서 필수 항목이 아닌 것은?

• 1
   개인정보취급자 식별정보
• 2
   접속포트
• 3
   수행업무
• 4
   접속지 정보

99. 정보통신망법에서 규정하고 있는 내용이 아닌 것은?

• 1
   주요정보통신기반시설의 보호체계
• 2
   정보통신망에서의 이용자 보호 등
• 3
   정보통신망의 안정성 확보 등
• 4
   개인정보의 보호

100. 도출된 위험이 해당 사업에 심각한 영향을 주는 관계로 보험에 가입하였다. 이런 식으로 위험을 경감 또는 완화시키는 처리 유형은 무엇인가?

• 1
   위험 감소(Reduction)
• 2
   위험 전가(Transfer)
• 3
   위험 수용(Acceptance)
• 4
   위험 회피(Avoidance)