1. 다음 중 운영체계 5계층이 순서대로 나열된 것은?

• 1
   메모리 관리 - 프로세스 관리 - 프로세서 관리 - 주변장치 관리 - 파일관리
• 2
   프로세스 관리 - 주변장치 관리 - 파일 관리 - 프로세서 관리 - 메모리 관리
• 3
   프로세서 관리 - 메모리 관리 - 프로세스 관리 - 주변장치 관리 - 파일 관리
• 4
   파일 관리 - 메모리 관리 - 프로세스 관리 - 프로세서 관리 - 주변장치 관리

2. 랜섬웨어에 대한 설명으로 틀린 것은?

• 1
   단방향 암호화 방식을 주로 사용한다.
• 2
   파일 확장자를 임의 변경한다
• 3
   안티바이러스 프로그램을 강제 종료한다.
• 4
   윈도우 복원 시점을 제거한다.

3. 다음 보기와 관련있는 공격법은?

John the ripper, Cain and abel

• 1
   스니핑
• 2
   스푸핑
• 3
   무차별 대입 공격
• 4
   바운스 공격

4. 리눅스 시스템에 대하여, 다음 보기에서 설명하는 파일을 바르게 나열한 것은?

ㄱ. 시스템의 환경 설정 및 주요 설정 파일
ㄴ. 프로그램 실행 시 생성되는 임시 파일
ㄷ. 프린터나 터미널 같은 물리적인 장치를 다루기 위한 특수파일

• 1
   ㉠ /usr ㉡ /temp ㉢ /dev
• 2
   ㉠ /usr ㉡ /tmp ㉢ /var
• 3
   ㉠ /etc ㉡ /temp ㉢ /var
• 4
   ㉠ /etc ㉡ /tmp ㉢ /dev

5. 다음 중 가장 옳지 않은 것은?

• 1
   wtmp : 사용자들이 로그인, 로그아웃한 정보를 가지고 있다.
• 2
   pacct : 사용자가 로그인한 후부터 로그아웃할 때까지 입력한 명령과 시간, 작동된 tty 등에 대한 정보를 가지고 있다.
• 3
   utmp : 시스템에 현재 로그인한 사용자들에 대한 상태정보를 가지고 있다.
• 4
   btmp : 사용자별로 가장 마지막에 로그인한 시간과 접속 IP, tty 등에 대한 정보를 가지고 있다.

6. 다음은 SUID 프로그램이 일반 권한에서 관리자 권한으로 상승하여 처리하는 정상적인 과정을 나타내고 있다. 심볼릭 링크를 이용한 레이스 컨디션 공격이 실행되는 단계는?

• 1
   1단계
• 2
   2단계
• 3
   3단계
• 4
   4단계

7. 다음 중 은폐형 바이러스에 대한 설명으로 가장 적합한 것은?

• 1
   파일이 감염될 경우 그 파일의 내용을 확인할 수 없다.
• 2
   감염된 파일의 길이가 증가하지 않은 것처럼 보이게 하고, 감염전의 내용을 보여주어 바이러스가 없는 것처럼 백신과 사용자를 속인다.
• 3
   바이러스 분석가에게 분석을 어렵게 하고 백신 개발을 지연시키도록 여러 단계의 기법을 사용한다.
• 4
   백신으로 진단이 어렵도록 바이러스 프로그램의 일부 또는 전체를 암호화한다.

8. 다음 중 리눅스 lastb 명령어을 통하여 확인할 수 있는 로그파일은?

• 1
   utmp
• 2
   btmp
• 3
   dmGsg
• 4
   secure

9. 다음 중 리눅스 PAM(Pluggable Authentication Module) 에 대한 설명으로 옳지 않은 것은?

• 1
   인증 모듈을 별도로 개발하지 않고 공유 라이브러리 형태로 적용시킬 수 있다.
• 2
   각 사용자가 프로그램별 인증 방법을 자유롭게 선택할 수 있게 해준다.
• 3
   관리자가 인증을 중앙에서 통제할 수 있게 해 준다.
• 4
   PAM을 적용하기 위해 프로그램 재컴파일할 필요는 없다.

10. 취약점 점검용으로 사용되는 도구가 아닌것은?

• 1
   SATAN
• 2
   Nessus
• 3
   Snort
• 4
   ISS

11. 다음 중 트로이목마 프로그램인 루트킷에 대한 설명으로 가장 부적절한 것은?

• 1
   루트킷의 목적은 자신과 다른 소프트웨어를 보이지 않게 숨기고 사용자가 공격자의 소프트웨어를 인지하고 제거할 가능성을 피한다.
• 2
   윈도우용 루트킷에는 FU-Rootkit, Hxdef100, NTRRootkit 등이 있다.
• 3
   리눅스용 루트킷에는 Suckit, lrk4, lrk5, adore 등이 있다.
• 4
   자기 복제를 하여 다른 컴퓨터에 루트킷을 설치함으로써 그 피해가 커질 수 있다.

12. 다음 중 악성코드의 치료 방법이 다른 것은?

• 1
   바이러스
• 2
   웜
• 3
   트로이목마
• 4
   스파이웨어

13. 다음 중에서 시스템의 취약성 점검을 위하여 사용할 수 있는 도구가 아닌 것은?

• 1
   ping
• 2
   SATAN
• 3
   SAINT
• 4
   NESSUS

14. 다음 중 윈도우 루트키에 해당하지 않는 레지스트리는?

• 1
   HKEY_CLASSES_ROOT
• 2
   HKEY_USERS
• 3
   HKEY_LOCAL_MACHINE
• 4
   HKEY_SYS_PROGRAMS

15. 휘발성 증거들의 수집 순서를 우선순위가 높은 것부터 올바르게 배열한 것은?

• 1
   레지스터와 캐시, 시스템 메모리의 내용, 임시파일시스템, 디스크의 데이터
• 2
   시스템 메모리의 내용, 레지스터와 캐시, 임시파일시스템, 디스크의 데이터
• 3
   레지스터와 캐시, 임시파일시스템, 시스템 메로리의 내용, 디스크의 데이터
• 4
   레지스터와 캐시, 디스크 데이터, 시스템 메모리의 내용, 임시파일 시스템

16. 다음 중 C언어 함수 중에서 버퍼 오버플로우 취약점이 발생하지 안도록 하기 위해 권장하는 함수가 아닌 것은?

• 1
   strncat()
• 2
   strncpy()
• 3
   snprintf( )
• 4
   gets()

17. 다음 문장에서 설명하고 있는 내용의 괄호 안에 들어갈 올바른 항목은?

• 1
   MBR
• 2
   BIOS
• 3
   FAT
• 4
   NTFS

18. 다음 에서 설명하는 공격기법은 무엇인가?

이 방법은 올바른 암호를 찾기 위해 가능한 모든 조합을 시도하여 공격하는 방법을 말한다. 이론적으로 대부분의 암호는 이 공격에 대해 안전하지 못하며, 충분한 시간이 존재한다면 암호화된 정보를 해독할 수 있다.

• 1
   Brute Force 공격
• 2
   알려진 암호문 공격
• 3
   암호 패턴공격
• 4
   사전공격

19. 다음 시나리오와 같은 상황에서 사용할 수 있는 가장 적절한 명령줄은?

111.11.11.1 아이피로부터 HTTP를 이용한 DoS공격이 들어오는 것을 확인하였다. 111.11.11.1은 협력사의 서버로 HTTP 통신은 하지 않지만 다른 업무상 통신은 주고 받아야 하는 상황이다. 일단 최소한으로 차단을 하되 차단되고 있다는 응답을 주고자 한다.

• 1
   /sbin/iptables -A INPUT -s 111.11.11.1 -p tcp -dport 80 -j DROP
• 2
   /sbin/iptables -A OUTPUT -s 111.11.11.1 -p tcp -dport 80 -j ACCEPT
• 3
   /sbin/iptables -A INPUT -s 111.11.11.1 -p tcp -dport 80 -j REJECT
• 4
   /sbin/iptables -A FORWARD -s 111.11.11.1 -p tcp -dport 80 -j BLOCK

20. 다음에서 설명하고 있는 접근 제어 정책으로 올바른 것은?

ㅇ 권한을 사용지가 아닌 그룹에 부여하고, 그룹이 수행하여야 할 역할을 정의한다.
ㅇ 초기 관리의 오버헤드를 줄이고, 직무를 기반으로 하는 접근 통제 모델이다.
ㅇ 접근 수준과 등급에 대한 정의는 관리자에 의해 설정 및 변경이 가능하다.

• 1
   MAC
• 2
   DAC
• 3
   RBAC
• 4
   HMAC

21. 무선랜 보안에 대한 설명으로 가장 옳지 않은 것은?

• 1
   Open System 인증방식은 어떤 무선 단말이라도 AP를 경유하여 인터넷에 접속하도록 허용하는 방식을 의미하여, 실질적인 인증을 하지 않고 무선 단말과 AP간 전달되는 데이터가 평문 형태로 전달된다.
• 2
   Shared Key(SK) 인증방식은 무선 단말 사용자가 AP에 설정된 키와 동일한 키를 입력하는 경우 AP를 경유하여 인터넷에 접속을 허용한다.
• 3
   무선 단말과 AP간 전달되는 데이터를 암호화하는 경우 WEP 암호 방식이 이용될 수 있으며, 이 방식은 AES 대칭키 암호 알고리즘을 이용하여 매우 높은 강도의 비밀성을 제공한다.
• 4
   RSN(Robust Security Network)에서는 WPA-Personal과 WPA-Enterprise 모드가 있는데, WPA-Personal 모드에서는 미리 설정된 비밀키를 이용하는 반면 WPA-Enterprise 모드에서는 RADIUS 서버를 이용한다.

22. 다음 화면은 DoS 공격을 실시한 TCP Dump이다. 네트워크 패킷들의 특징으로 보았을 때 무슨 공격을 한 것으로 보이는가?

• 1
   UDP 플러딩(flooding)
• 2
   SYN 플러딩(flooding)
• 3
   Bonk 공격
• 4
   Land 공격

23. VPN(Virtual Private Network)의 보안적 기술 요소와 거리 가 먼 것은?

• 1
   터널링 기술 : 공중망에서 전용선과 같은 보안 효과를 얻기 위한 기술
• 2
   침입탐지 기술 : 서버에 대한 침입을 판단하여 서버의 접근제어를 하는 기술
• 3
   인증 기술 : 접속 요청자의 적합성을 판단하기 위한 인증기술
• 4
   암호 기술 : 데이터에 대한 기밀성과 무결성을 제공하기위해 사용되는 암호 알고리즘 적용 기술

24. 스위칭 환경에서 스니핑을 하기 위한 공격과 가장 거리가 먼 것은?

• 1
   DNS Spoofing
• 2
   ARP Broadcast
• 3
   ARP Jamming
• 4
   Switch Jamming

25. 서브넷팅에 대한 설명 중 틀린 것은?

• 1
   서브넷이란 네트워크 세그먼트로 나눈 개별 네트워크를 말한다.
• 2
   서브넷 마스크는 네트워크 ID와 호스트 ID를 구분 짓는 역할을 한다.
• 3
   서브넷 마스크는 32비트의 값으로 표현된다.
• 4
   서브넷팅은 하나의 큰 네트워크를 여러개의 물리적인 서브넷으로 나누는 것을 의미한다.

26. 다음 중 TCP신호를 보내는 Flag 종류 연결로 올바르지 못한 것은?

• 1
   SYN – 요청 Flag로써 초기에 세션을 설정하는데 사용된다.
• 2
   ACK – 요청에 대한 응답을 하는 Flag이다.
• 3
   FIN – 세션을 종료시키기 위한 Flag이다.
• 4
   RST – 패킷을 보내면 3way핸드쉐이킹 후 Closed모드에 들어간다.

27. 다음 설명에 해당하는 서비스거부(DoS) 공격은?

• 1
   Teardrop
• 2
   Land attack
• 3
   Syn Flooding
• 4
   Smurf attack

28. 다음 공개 해킹도구 중 사용용도가 다른 도구(소프트웨어)는?

• 1
   넷버스(Netbus)
• 2
   스쿨버스(Schoolbus)
• 3
   백오리피스(Back Orifice)
• 4
   키로그23(Keylog23)

29. 다음의 보기에서 설명하고 있는 웹 취약점 공격 기술은?

SQL 삽입 후 결과 화면의 차이 즉, 참과 거짓이라는 결과만으로데이터베이스 내의 정보를 빼내는 방법

• 1
   세션 하이잭킹
• 2
   파일 업로드 공격
• 3
   Blind SQL Injection 공격
• 4
   XSS 공격

30. traceroute에 대한 설명 중 옳지 않은 것은?

• 1
   목적지까지의 데이터 도달 여부를 확인하는 도구이다.
• 2
   네트워크와 라이팅의 문제점을 찾아낼 목적으로 사용되는 도구이다.
• 3
   컴퓨터 자신의 내부 네트워크 상태를 다양하게 보영주는 명령어이다.
• 4
   결과값이 * 로 표시되는 경우 침입차단시스템 등의 접근통제 장치에 의해 UDP 패킷이 차단되었음을 확인 할수 있다.

31. 다음 문장은 무선랜 환경에서 어떠한 AP(Access Point)를 설명하고 있는가?

• 1
   Normal AP
• 2
   Rogue AP
• 3
   Honeypot AP
• 4
   Ad-hoc AP

32. 4000바이트의 ICMP 데이터를 포함한 TCP 패킷이 MTU가 1500인 네트워크를 통해 전송될 때 세번째 패킷의 크기는?

• 1
   헤더 40, ICMP 데이터 1048byte
• 2
   헤더 40, ICMP 데이터 1056byte
• 3
   헤더 20, ICMP 데이터 1048byte
• 4
   헤더 20 ICMP 데이터 1056byte

33. 다음 에서 설명하고 있는 침입차단시스템 방식은 무엇인가?

ㅇ 세션레이어와 어플리케이션 레이어에서 하나의 일반 게이트웨이로 동작한다.
ㅇ 내부 IP주소를 숨기는 것이 가능하다.
ㅇ 게이트웨이 사용을 위해 수정된 클라이언트 모듈이 필요하다.

• 1
   서킷게이트웨이 방식
• 2
   패킷 필터링 방식
• 3
   어플리케이션 게이트웨이 방식
• 4
   스테이트폴 인스펙션 방식

34. 다음 보기는 어떤 공격에 대한 설명인가?

웹사이트에서 입력을 엄밀하게 검증하지 않는 취약점을 이용하는 공격으로, 사용자로 위장한 공격자가 웹사이트에 프로그램 코드를 삽입하여 나중에 다시 이 사이트를 방문하는 다른 사용자의 웹 브라우저에서 해당 코드가 실행되도록 한다.

• 1
   세션하이재킹
• 2
   소스코드 삽입공격
• 3
   사이트간 스크립팅(xss)
• 4
   게시판 업로드공격

35. 아래와 같은 방화벽 정책이 적용되어 있을 때, 다음 보기 중 옳지 않은 것은?

A: 15.10.12.0/24 -> 168.30.22.0/24 거부
B: 192.20.0.0/16 -> 168.15.0.0/16 허용
C: any -> any 거부

• 1
   출발지 15.10.12.2로 부터 도착지 168.30.22.11로 가는 패킷은 A 정책에 의해 거부된다.
• 2
   출발지 15.10.22.2로 부터 도착지 168.15.0.4로 가는 패킷은 B 정책에 의해 허용된다.
• 3
   출발지 192.20.5.11로 부터 도착이 162.15.43.7로 가는 패킷은 B 정책에 의해 허용된다.
• 4
   A, B 정책에 포함되지 않는 다른 모든 전송은 C 정책에 의해 차단된다.

36. 공격자는 공격 대상 서버에 파일을 업로드한 후에 웹을 이용하여 시스템 명령어를 수행하므로 네트워크 방화벽 등의 영향력을 받지 않고 서버를 제어 할 수 있는 공격 기술을 무엇이라 하는가?

• 1
   SQL 인젝션
• 2
   파일 업로드
• 3
   XSS
• 4
   웹 쉘

37. 다음 중 스니핑 방지 대책으로 올바르지 못한것은?

• 1
   SSL 암호화 프로토콜을 사용한다.
• 2
   원격 접속 시 SSH를 통해 접속한다.
• 3
   MAC 테이블을 동적으로 지정해 놓는다.
• 4
   스니핑 탐지 도구를 이용하여 정기적으로 점검한다.

38. 네트워크를 통해 무선 LAN을 공격하기 위한 기술적 공격 방식이 아닌 것은?

• 1
   구성 설정 초기화
• 2
   무선 전파 전송 방해
• 3
   불법 AP를 통한 전송 데이터 수집
• 4
   암호화 되지 않은 통신 데이터 도청

39. ㉠ ~ ㉢에 들어가야 할 단어로 적절 한 것은?

IPv6는 ( ㉠ )비트 주소체계를 사용하여, IPv4의 문제점 중이 하나인 규모 조정이 불가능한 라우팅 방법을 획기적으로 개선한 것으로 사용하지 않은 IP에 대해 통제를 할 수 있다. IPv6는 ( ㉡ ) 개의 필드로 구성된 헤더와 가변 길이 변수로 이루어진 확장 헤더 필드를 사용한다. 보안과 ( ㉢ ) 확장 헤더를 사용함으로써 인터넷 계층의 보안기능을 강화한다.

• 1
   ㉠ 128 ㉡ 8 ㉢ 인증
• 2
   ㉠ 128 ㉡ 4 ㉢ 인식
• 3
   ㉠ 64 ㉡ 8 ㉢ 인식
• 4
   ㉠ 64 ㉡ 4 ㉢ 인증

40. 패킷 필터링을 위한 규칙에 대한 설명으로 틀린 것은? (단, 서비스에 사용되는 포트는 기본값이며, Internal은 내부, External은 외부 네트워크를 의미한다.)

• 1
   내부에서 외부로 나가는 웹 서비스에 대해서 허용한다.
• 2
   서버(169.168.2.25)로 FTP 서비스 연결은 어디에서나 가능하나 데이터 전송은 원활하게 이루어지지 않을 수 있다.
• 3
   필터링 규칙에 명시하지 않은 모든 프로토콜에 대해서는 거부한다.
• 4
   서버(169.168.10.10)로 DNS 서비스는 내부에서 이용이 가능하나 Message 정보가 512 바이트보다 클 경우에는 허용하지 않는다.

41. 다음 중 리버스도메인에 대한 설명이 잘못된 것은?

• 1
   도메인이름을 IP주소로 변환하기 위해 네임서버에 설정하는 특수 도메인이다.
• 2
   IP주소를 도메인 이름으로 변환하기 위해 네임서버에 설정하는 특수 도메인이다.
• 3
   “역질의”라고도 한다.
• 4
   IP주소에 해당하는 숫자와 특수 문자열 in-addr.arpa로 구성되어 있다.

42. 권장하는 함수에 속하는 것은?

• 1
   strcat( )
• 2
   gets( )
• 3
   sprintf( )
• 4
   strncpy( )

43. 다음 중 메일 서비스 관련 프로토콜이 아닌 것은?

• 1
   MUA
• 2
   MDA
• 3
   MTA
• 4
   MDM

44. 다음중 가치 저장형 전자화폐 프로토콜이 아닌 것은?

• 1
   몬덱스
• 2
   Visa Cash
• 3
   PC Pay
• 4
   Milicent

45. 다음 보기 중 오용 탐지(Misuse Detection) 방법과 관련된 설명으로 옳은 것을 2개 고르시오.

a. 통계적 분석이나 신경망 모델을 이용한다.
b. 이미 알려진 패턴을 기반으로 하므로 오탐률이 낮다.
c. 정상적인 행위와 비교해서 비정상적인 행위를 탐지한다.
d. 새로운 공격에 대응이 어려운 단점이 있다.

• 1
   a, c
• 2
   a, d
• 3
   b, d
• 4
   c, d

46. 다음 중 PGP에 대한 설명으로 올바르지 못한 것은?

• 1
   PGP는 메시지인증 기능도 지원한다.
• 2
   IDEA암호알고리즘을 이용하여 암호화 한다.
• 3
   세션 키 로서 128비트 랜덤 키를 사용한다.
• 4
   수신자는 세션 키를 자신이 생성한다.

47. 다음의 보기에서 설명하고 있는 프로토콜은?

ㅇ 1994년 네스케이프사의 웹 브라우저를 위한 보안 프로토콜이다. 
ㅇ 1999년 TLS(Transparent Layer fecurity) 라는 이름으로 표준화되었다.
ㅇ TCP 계층과 응용 계층 사이에서 동작한다.

• 1
   HTTP
• 2
   SSL
• 3
   HTTPS
• 4
   SET

48. 다음 중 지불브로커 시스템 특징이 아닌 것은 무엇인가?

• 1
   독립적 신용구조를 갖지 않는다.
• 2
   신용카드, 은행을 이용하여 지불하도록 연결하는 구조이다.
• 3
   현실적 전자 지불 시스템이다.
• 4
   실제 화폐를 대치할 수 있다.

49. 다음과 같은 DNS Cache를 확인하기 위한 윈도우 명령어는?

    q.fran.kr
    ----------------------------------------
    데이터 이름 . . . . . : q.fran.kr
    데이터 유형 . . . . . : 5
    TTL(Time To Live) . : 877
    데이터 길이 . . . . . : 8
    섹션 . . . . . . . : 응답
    CNAME 레코드  . . . . : fran.kr


    데이터 이름 . . . . . : fran.kr
    데이터 유형 . . . . . : 1
    TTL(Time To Live) . : 877
    데이터 길이 . . . . . : 4
    섹션 . . . . . . . : 응답
    (호스트) 레코드 . . . : 115.71.236.146

• 1
   ipconfig/showcaches
• 2
   ipconfig/displaydns
• 3
   ipconfig/flushdns
• 4
   ipconfig/all

50. 홀·가전 IOT 제품들의 주요 보안위협 원인으로 틀린 것은?

• 1
   인증메커니즘 부재
• 2
   물리적 보안 취약점
• 3
   강도가 약한 비밀번호
• 4
   취약한 DBMS 버전

51. 다운로드를 위한 게시판 파일을 이용하여 임의의 문자나 주요 파일명의 입력을 통해 웹 서버 홈 디렉토리를 벗어나 시스템 내부의 다른 파일로 접근하여 다운로드하는 공격은?

• 1
   CSS
• 2
   파일다운로드
• 3
   인젝션
• 4
   쿠키/세션위조

52. MS SQL 서버의 인증 모드에 대한 설명 중 성격이 다른 하나는?

• 1
   SQL Server 기본 인증 모드이다.
• 2
   데이터베이스 관리자가 사용자에게 접근 권한 부여가 가능하다.
• 3
   윈도우즈 인증 로그온 추적시 SID 값을 사용한다.
• 4
   트러스트되지 않은 연결(SQL 연결)을 사용한다.

53. 다음 중 SSO에 대한 설명 중 적절하지 않은 것은?

• 1
   한번 인증을 받으면 다양안 서비스에 재인증 절차 없이 접근할 수 있다.
• 2
   SSO 서버가 단일 실패 지점이 된다.
• 3
   사용사는 다수의 서비스를 이용하기 위해 여러 개의 계정을 관리하지 않아도 된다.
• 4
   사용 편의성은 증가하지만 운영비용도 증가한다.

54. Mod_security 아파치 모듈 기능에 포함되지 않는 것은?

• 1
   Request filtering : 요청이 들어와서 웹서버나 다른 모듈에 의해 사용되기전에 요청을 분석한다.
• 2
   Anti-evasion TechnIques : 회피공격에 대응하기 위해 분석 전에경로나 파라미터 값들을 표준화 한다.
• 3
   Audit Logging : 사후 사고에 대한 분석을 위한 세부 상황 기록기능은 없다.
• 4
   HTTPS Filtering : 웹서버에 모듈로 끼워지기 때문에 요청된 데이터가 복호화 된 후 에 접근이 가능하다.

55. 다음 중 SSO(Single Sign On)의 장점이 아닌 것은?

• 1
   운영 비용 감소
• 2
   Single Point of Failure에 대한 안전성
• 3
   사용자 편의성 증가
• 4
   중앙 집중 관리를 통한 효율성 증대

56. 다음 중 오픈소스 스팸 필터링 도구인 SpamAssassin에서 스팸 분류 방법으로 사용하는 것이 아닌 것은?

• 1
   제목·본문 규칙 검사
• 2
   첨부파일 검사
• 3
   베이시언 필터링
• 4
   헤더 검사

57. 웹 응용프로그램에서 사용자로부터 입력 문자열을 처리하기 전에 <, >등을 치환하는 것은 어떤 공격에 대응하기 위한 것인가?

• 1
   크로스사이트스크립트
• 2
   SQL Injection
• 3
   버퍼 오버플로우
• 4
   Race Condition

58. 다음 중 E-mail 전송 시 보안성을 제공하기 위한 보안 전자 우편 시스템이 아닌 것은?

• 1
   PGP(Pretty Good Privacy)
• 2
   S/MIME(Secure Multipurpose Internet Mail Extension)
• 3
   PEM(Privacy Enhanced Mail)
• 4
   SSL(Secure Socket Layer)

59. ebXML의 구성요소가 아닌 것은?

• 1
   비즈니스 프로세스
• 2
   EDI 문서
• 3
   핵심컴포넌트
• 4
   전송, 교환 및 패키징

60. 소프트웨어 보안약점 중 보안기능을 적절하지 않게 구현했을 때 발생할 수 있는 보안 약점이 아닌 것은?

• 1
   부적절한 인가
• 2
   패스워드 평문저장
• 3
   제어문을 사용하지 않는 재귀함수
• 4
   사용자 중요정보 평문 전송

61. 다음 중 송신자가 랜덤으로 생성한 세션키를 수신자의 공개키로 암호화하여 전달하는 세션키 공유 기법에 해당하는 것은?

• 1
   Challenge-Response 프로토콜
• 2
   Diffie-Hellman 프로토콜
• 3
   RSA 이용 키 분배 프로토콜
• 4
   공개키 인증서 관리 프로토콜

62. 다음 중 SPN 구조와 Feistel 구조에 대한 설명으로 틀린 것은?

• 1
   Feistel 구조는 평문 두 개의 블록으로 나누어 배타적 논리합과 라운드를 가진다.
• 2
   Feistel 구조는 전형적인 라운드 함수로 16라운드를 거친다.
• 3
   SPN 구조는 역 변환 함수에 제약이 없다.
• 4
   SPN 구조는 S-BOX와 P-BOX를 사용한다.

63. 이중서명의 특징에 대한 설명으로 옳지 않은 것은?

• 1
   분쟁에 대한 대비를 위해 두 메시지 간의 연관성이 구현되어야 함
• 2
   구매자의 자세한 주문정보와 지불정보를 판매자와 금융기관에 필요 이상으로 전달하지 않아야 함
• 3
   이중 서명은 SSL에서 도입된 기술로 고객의 카드 정보를 상인에게 전달하면 상인은 그 요청에 유효성을 확인하게 됨
• 4
   구매자는 최종 메시지 다이제스트를 자신의 개인 서명키로 암호화 하여 이중서명을 생성함

64. 접근통제 정책에서 역할기반접근통제(RBAC)에 대한 설명으로 올바른 것은?

• 1
   사용자 기반과 ID기반 접근통제이다.
• 2
   모든 개개의 주체와 객체 단위로 접근 권한이 설정되어 있다.
• 3
   기밀성이 매우 중요한 조직에서 사용되는 접근통제이다.
• 4
   주체의 역할에 따라 접근할 수 있는 객체를 지정하는 방식을 말한다.

65. 다음 그림은 블록암호 운용모드의 한 종류를 나타낸 것이다. 다음 그림에 해당하는 블록암호 운용모드는?

• 1
   CBC(Cipher Block Chaining)
• 2
   ECB(Electronic CodeBook)
• 3
   CTR(CounTeR)
• 4
   CFB(Cipher FeedBack)

66. 다음에서 설명하고 있는 프로토콜은 무엇인가?

ㅇ MIT에서 개발한 분산 환경에서 개체 인증 서비스를 제공하는 네트워크 인증 시스템이다.
ㅇ 4개의 개체로 구성되어 있다.
ㅇ "지옥에서 온 머리가 3개 달린 경비견”이라는 유래가있다.

• 1
   KDC
• 2
   Kerberos
• 3
   PPP
• 4
   ECC

67. 다음 중 주체가 속해 있는 그룹의 신원에 근거해 객체에 대한 접근을 제한하는 방법은?

• 1
   역할기반 접근통제
• 2
   강제적 접근통제
• 3
   임의적 접근 통제
• 4
   상호적 접근 통제

68. 메시지의 무결성 보장과 송신자에 대한 인증을 목적으로 공유 비밀키와 메시지로부터 만들어지는 것은?

• 1
   의사 난수
• 2
   메시지 인증 코드
• 3
   해시
• 4
   인증서

69. 다음 중 대칭키 배송 문제를 해결할 수 있는 방법에 해당하 지 않는 것은?

• 1
   키 배포 센터에 의한 해결
• 2
   Diffie-Hellman 키 교환 방법에 의한 해결
• 3
   전자서명에 의한 해결
• 4
   공개키 암호에 의한 해결

70. 다음에서 설명하는 인증 기술은?

메시지와 비밀키를 입력하여 인증값으로 사용될 고정된 길이의 어떤 값을 생성한다.

• 1
   디지털서명
• 2
   해시 함수
• 3
   메시지 인증 코드
• 4
   메시지 암호화

71. ISMS-P에 대한 설명으로 옳지 않은 것은?

• 1
   한국인터넷진흥원에서 제도 운영을 담당한다.
• 2
   3개 분류에서 총 102개 항목을 심사한다.
• 3
   인증심사기관 지정 유효기간은 5년이며, 6개월 전에 갱신 신청을 해야 한다.
• 4
   ISMS-P가 아닌 ISMS만 취득하고자 할 경우 일부 항목에 대한 평가는 생략된다.

72. DES 및 3-DES에 관한 설명으로 잘못된 것은?

• 1
   DES의 F-함수는 8개의 S-box로 구성되어 있으며, 각 S-box는 6비트 입력, 4비트 출력을 갖는다.
• 2
   DES의 S-box는 모두 선형(Linear) 구조이며 DES의 안전성의 핵심 모듈이다.
• 3
   DES의 F-함수의 확장(Expansion)은 입력 32비트를 출력 48비트로 확장하는 과정이다.
• 4
   3-DES는 2개 또는 3개의 서로 다른 키를 이용하여 DES를 반복 적용하는 것이다.

73. 우리나라 표준 서명 알고리즘으로 가장 적절한 것은?

• 1
   RSA
• 2
   KCDSA
• 3
   ECC
• 4
   ECDSA

74. 사용자 인증에서는 3가지 유형의 인증방식을 사용하고 있으며, 보안을 강화하기 위하여2가지 유형을 결합하여 2 factor 인증을 수행한다. 다음 중 2 factor 인증으로 적절하지 않은 것은?

• 1
   USB 토큰, 비밀번호
• 2
   스마트카드, PIN(Personal Identification Number)
• 3
   지문, 비밀번호
• 4
   음성인식, 수기서명

75. 다음과 같은 특성을 가지는 접근통제 모델은 무엇인가?

- no read up
- no write down

• 1
   클락윌슨모델
• 2
   벨-라파듈라 모델
• 3
   비바모델
• 4
   내부접근통제 모델

76. 다음 중 스트림 암호의 특징으로 알맞지 않은 것은?

• 1
   원타임 패스워드를 실용적으로 구현할 목적으로 개발되었다.
• 2
   짧은 주기와 높은 선형복잡도가 요구되며 주로 LFSR을이용한다.
• 3
   블록단위 암호화 대비 비트단위로 암호화하여 암호화 시간이 더 빠르다.
• 4
   블록 암호의 CFB, OFB 모드는 스트림 암호와 비슷한 역할을 한다.

77. 다음 중 Diffie-Hellman 키 교환 프로토콜에 대한설명으로 올바르지 못한 것은?

• 1
   1976년에 발표 되었으며，공개키 암호에 대한 시초가 되었다.
• 2
   신분 위장이나 재전송 공격에 강하다.
• 3
   DH 알고리즘은 이산 대수 계산의 어려움에의존한다.
• 4
   네트워크상에서 A와 B가 비밀키를 서로 만나지 않고도 공유할 수 있는 방법을 제시하였다.

78. 다음은 Diffie-Hellman 키(Key) 사전 분배 방법이다. 옳게 나열한 것은?

1. B는 A의 인증서로부터 공개된 값 ba와 자신의 비밀키 aa를 함께 사용하여 Ka,b 값을 계산한다.
2. 소수 p와 a∈Zp*를 공개한다.
3. A는 B의 인증서로부터 공개된 값 ba와 자신의 비밀키 aa를 함께 사용하여 Ka, B값을 계산한다.

• 1
   1-2-3
• 2
   3-1-2
• 3
   1-3-2
• 4
   2-1-3

79. 다음 설명 중 가장 옳지 않은 것은?

• 1
   평문을 일정한 단위로 나누어서 각 단위마다 암호화 과정을 수행하여 블록 단위로 암호문을 얻는 대칭 암호화 방식이다.
• 2
   Electronic Code Book Mode, Output FeedBack Mode는 블록암호의 운용모드이다.
• 3
   AES,SEED 등은 블록 크기로 128 비트를 사용한다.
• 4
   SPN 구조를 사용하는 알고리즘은 대표적으로 AES, DES등이 있다.

80. 다음 중 메시지 인증 코드(MAC)에 대한 설명으로 올바르지 못한 것은?

• 1
   송신자와 수신자가 서로 동일한 공개키를 가지고 메시지를 대조한다.
• 2
   송신자를 보증하는 디지털 서명을 지원하지 않는다.
• 3
   송신자와 수신자 사이에 메시지 무결성을 보장한다.
• 4
   송신자 인증에 사용된다.

81. 다음 정보보호 관리체계 인증제도에 대한 설명으로 가장 적절하 지 않은 것은?

• 1
   정보통신서비스와 직접적인 관련성이 낮은 전사적 자원관 리시스템(ERP),분석용 데이터베이스(DW), 그룹웨어 등 기업 내부 시스템,영업/마케팅 조직은 일반적으로 인증 범위에서 제외해도 된다.
• 2
   인증범위는 신청기관이 제공하는 정보통신서비스를 기준으로 해당 서비스에 포함되거나 관련 있는 자산(시스템,설비, 시설 등), 조직 등을 포함하여야 한다.
• 3
   ISMS 의무인증범위 내에 있는 서비스, 자산, 조직(인력)을보호하기 위한 보안시스템은 포함 대상에서 제외해도 된다.
• 4
   해당 서비스의 직접적인 운영 및 관리를 위한 백오피스 시스템은 인증범위에 포함되며, 해당 서비스와 관련이 없더라도 그 서비스의 핵심정보자산에 접근가능 하다면 포함 하여야 한다.

82. 다음 중 위험의 3요소에 해당하지 않는 것은?

• 1
   자산
• 2
   취약점
• 3
   위협
• 4
   정책

83. 다음 중 유럽의 보안성 평가 기준은 무엇인가?

• 1
   ITSEC
• 2
   TCSEC
• 3
   CTCPEG
• 4
   DTIEC

84. 다음 보기에서 설명하는 위험 분석 접근법은 무엇인가?

자산 분석, 위협 분석, 취약성 분석의 각 단계를수행하여 위험을 분석하는 것을 말한다.

• 1
   베이스 라인 접근법
• 2
   비정형 접근법
• 3
   상세 위험 분석
• 4
   혼합 접근법

85. 다음 중 개인정보보호법상 개인정보 영향평가 시 고려 사항이 아닌것은?

• 1
   처리하는 개인정보의 수
• 2
   개인정보 제3자 제공여부
• 3
   개인정보영향평가기관 능력
• 4
   민감 정보 또는 고유 식별정보 처리여부

86. 통신과금 서비스에 대하여 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’과 ‘전자금융거래법’이 경합이 되었을 때 우선 적용되는 법률은 무엇인가?

• 1
   정보통신망 이용촉진 및 정보보호 등에 관한 법률
• 2
   전자금융거래법
• 3
   통신과금거래법
• 4
   신용정보보호법

87. 정보통신망법상 개인정보 처리방침에 포함되어야 할 사항이 아닌 것은?

• 1
   이용자 및 법정대리인의 권리와 그 행사 방법
• 2
   개인정보에 대한 내부 관리 계획
• 3
   인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치·운영 및 그 거부에 관한 사항
• 4
   개인정보의 수집·이용 목적, 수집하는 개인정보의 항목 및 수집 방법

88. 다음 중 정보보호관리체계 의무 대상자에 해당하지 않는 것은?

• 1
   고객의 개인정보를 100만명 이상 보유하고 있는 전자상거래 사업자
• 2
   전기통신사업법의 전기통신사업자로 서울 특별시 및 모든 광역시에서 정보통신망 서비스를 제공하는 사업자
• 3
   상급 종합병원
• 4
   정보통신서비스 부문 전년도 매출액이 100억 이상인 사업자

89. 다음 지문은 무엇에 대한 설명인가?

이것은 각종 재해 시 재난의 발생을 대비하기 위하여 핵심 시스템의 가용성과 신뢰성을 회복하고 사업의 연속성을 유지하기 위한 일련의 사업지속성 개획과 절차를 말한다. 단순한 데이터의 복구나 신뢰도를 유지하며 나아가 기업의 전체적인 신뢰성 유지와 가치를 최대화 하는 방법과 절차이다.

• 1
   위험관리
• 2
   업무 연속성 계획
• 3
   재난 대비 가용성 확보대책
• 4
   피해 복구 대책

90. 「개인정보보호법」에 의거하여 개인정보처리자가 정보주체 이외로부터수집한 개인정보를 처리하는 때에는 정보주체의 요구가 있으면즉시 정보주체에게 알려야 하는 사항들에 해 당되지 않는 것은?

• 1
   개인정보 처리의 정지를 요구할 권리가 있다는 사실
• 2
   개인정보의 보유·이용 기간
• 3
   개인정보의 수집 출처
• 4
   개인정보의 처리 목적

91. 정량적 위험분석과 정성적 위험분석에 대한 다음의 설명 중 틀린 것은?

• 1
   정량적 분석은 객관적인 평가기준이 적용된다.
• 2
   정략적 분석은 위험관리 성능평가가 용이하다.
• 3
   정성적 분석은 계산에 대한 노력이 적게 소요된다.
• 4
   정성적 분석은 비용과 이익에 대한 평가가 필수적으로 요구된다.

92. 다음 중 정량적 위험분석 방법이 아닌 것은?

• 1
   과거자료분석방법
• 2
   확률분포법
• 3
   수학공식법
• 4
   시나리오법

93. 보안의 특정 요소에 관한 설명이다. 괄호 안에 들어갈 말은?한 것은?

(     )은 정보시스템 또는 정보보호시스템의 결함 또는 손실에 의하여 발생되고, 정보보호 대책을 적용함으로써 감소시킬 수 있다. 그러나
(     )이 없는 시스템은 존재하지 않고, 주기적인 진단과 패치의 적용에도 불구하고, 새로운 (     )이 발생되기 때문에 완전제거는 불가능하다.

• 1
   취약점
• 2
   위협
• 3
   위험
• 4
   침해

94. 현재 존재하는 위험이 조직에서 수용할 수 있는 수준을 넘어 선다면, 이 위험을 어떤 방식으로든 처리해야 된다. 다음의 지문이 설명하고 있는 위험 처리 방식은?

보험이나 외주 등으로 위험 처리에 소요될 잠재적 비용을 제 3자에게 이전하거나 할당하는 위험처리방식

• 1
   위험 수용
• 2
   위험 감소
• 3
   위험 회피
• 4
   위험 전가

95. 다음 중 중앙행정기관에 속하는 위원회는?

• 1
   정보통신기반보호위원회
• 2
   개인정보보호위원회
• 3
   과학기술자문회원회
• 4
   4차산업혁명위원회

96. 위험분석 방법론은 통상적으로 정량적 위험분석과 정성적 위험분석으로 분류된다. 다음 중 정량적 위험분석 방법이 아닌 것은?

• 1
   연간 예상 손실 계산법
• 2
   과거 통계자료 분석법
• 3
   수학공식 접근법
• 4
   시나리오 기반 분석법

97. 다음 중 OECD의 개인정보 8원칙에 포함되지 않는 것은?

• 1
   정보 정확성의 원칙
• 2
   안전 보호의 원칙
• 3
   이용 제한의 원칙
• 4
   비밀의 원칙

98. 다음 중 정량적 위험분석 기법으로 보기 어려운 것은?

• 1
   과거자료분석법
• 2
   수학공식접근법
• 3
   확률분포법
• 4
   델파이법

99. 다음 중 개인정보 유출 시 신고해야 하는 기관과가장 관련이 깊은 곳은?

• 1
   한국산업기술진흥원
• 2
   한국콘덴츠진흥원
• 3
   한국인터넷진흥원
• 4
   한국정보통신진흥원

100. 다음 중 ISMS(Information Security Management System) 의 각 단계에 대한 설명으로 옳은 것은?

• 1
   계획 : ISMS 모니터링과 검토
• 2
   조치 : ISMS 관리와 개선
• 3
   수행 : ISMS 수립
• 4
   점검 : ISMS 구현과 운영