1. 아래 지문은 리눅스 시스템에서 명령어들을 수행한 결과이다. (가)에서 수행하면 실패하는 것은?

$ ls -al
drwxr-xr-x 3 testuser testuser 1234 Jan 1 12:00 testuser/
drwxr-x--- 3 testuser testuser2 1234 Jan 1 12:00 testuser2/
drwxr-x--- 3 testuser testuser3 1234 Jan 1 12:00 testuser3/

$ id
uid=1001(testuser), gid=1001(testuser)
groups=1001(testuser), 1004(testuser3)

$ ( 명령어 )

• 1
   ls testuser2
• 2
   cd testuser2
• 3
   cd testuser3
• 4
   ls testuser3

2. 다음 중 프로세스와 관련된 설명으로 가장 거리가 먼 것은?

• 1
   프로세스는 프로세스 제어블록(PCB)으로 나타내며 운영체제가 프로세스에 대한 중요한 정보를 저장해 놓은 저장소를 의미한다.
• 2
   하나의 프로세스는 생성, 실행, 준비, 대기, 보류, 교착, 종료의 상태 변화를 거치게 된다.
• 3
   프로세스란 스스로 자원을 요청하고 이를 할당받아 사용하는 능동적인 개체를 의미한다.
• 4
   스레드는 프로세스보다 큰 단위이며, 자원의 할당에는 관계하지 않고 프로세서 스케쥴링의 단위로써 사용하게 된다.

3. 다음 중 프로세스 스케쥴링을 통한 CPU 성능요소가 아닌 것은?

• 1
   CPU 이용률(Utilization)
• 2
   시스템처리율(Throughput)
• 3
   대기시간(Waiting time)
• 4
   확장성(Expansibility)

4. 서버에 연결된 디스크가 여러 개의 배열로 구성되어 있을 때, 이를 안전하게 관리하기 위한 기술로서 RAID를 사용한다. 다음에 설명하는 각 RAID 레벨로서 옳은 것은?

ㄱ. 미러링 기술을 이용하여 하나의 디스크에 저장된 데이터를 다른 디스크에 동일하게 저장한다.
ㄴ. 데이터를 여러 개의 디스크에 분산 저장하도록 하며, 페리티 정보 또한 여러 디스크에 분산 저장한다.

• 1
   (ㄱ) RAID-0 (ㄴ) RAID-1
• 2
   (ㄱ) RAID-1 (ㄴ) RAID-5
• 3
   (ㄱ) RAID-1 (ㄴ) RAID-4
• 4
   (ㄱ) RAID-1 (ㄴ) RAID-3

5. 리모트 컴퓨터로부터의 ping 명령에 대한 응답으로 "Destination Unreachable"을 되돌려 주고, 접속을 거절하기 위해 리눅스 방화벽에서 설정하는 타깃 명령어는 무엇인가?

• 1
   DROP
• 2
   DENY
• 3
   REJECT
• 4
   RETURN

6. 증거수집 대상 중 휘발성 데이터와 가장 거리가 먼 것은?

• 1
   시간정보와 로그온 사용자 정보
• 2
   이벤트 로그
• 3
   클립보드 데이터
• 4
   프로세스 정보

7. 다음은 트로이목마의 특징에 대한 설명이다. 성격이 가장 다른 하나는?

• 1
   원격조정
• 2
   시스템 파일 파괴
• 3
   자기복제
• 4
   데이터 유출

8. 재귀 함수의 종료 조건을 잘못 프로그래밍하여 재귀함수의 호출이 무한히 반복될 경우, 메모리의 어떤 영역에서 문제가 발생하는가?

• 1
   Text
• 2
   Data
• 3
   Heap
• 4
   Stack

9. 트로이목마 프로그램으로 사용자의 키보드 입력을 가로채는 목적으로 사용되는 프로그램은?

• 1
   포트스캔
• 2
   쿠키
• 3
   DoS
• 4
   키로그

10. 리눅스 시스템의 커널에 내장된 툴로서 rule 기반의 패킷 필터링 기능, connection tracking 기능 등 다양한 기능을 제공하는 것은?

• 1
   TCP-Wrapper
• 2
   netcat
• 3
   iptables
• 4
   xinetd

11. 다음 중 Windows OS에서 'ADMIN$'라는 공유자원의 공유를 제거하는 명령어로 옳은 것은?

• 1
   net share ADMIN$ /remove
• 2
   net share ADMIN$ /delete
• 3
   net user share ADMIN$ /remove
• 4
   net user share ADMIN$ /delete

12. 다음 중 취약점 점검과 가장 거리가 먼 보안 도구는?

• 1
   SATAN
• 2
   COPS
• 3
   Nmap
• 4
   Tripwire

13. 파일시스템 점검의 명령어는?

• 1
   chgrp
• 2
   mount
• 3
   fsck
• 4
   df

14. 윈도우에서 시스템의 전체적인 설정 정보를 담고 있는 레지스트리 파일은 %SystemRoot%System32config 디렉터리에 저장된다. 이곳에 저장되는 주요 레지스트리 파일에 대한 설명으로 옳지 않은 것은?

• 1
   SECURITY : 시스템의 보안과 권한 관련 정보
• 2
   SAM : 로컬 계정과 그룹 정보
• 3
   SOFTWARE : 시스템 부팅에 필요한 전역 설정 정보
• 4
   NTUSER.DAT : 사용자별 설정 정보

15. UNIX 시스템에서 다음의 chmod 명령어 실행 후의 파일 test1의 허가비트(8진법 표현)는?

$ ls -l test1
-rw-r--r-- 1 root user 2320 Jan 1 12:00 test1
$ chmod o-r test1
$ chmod g-r test1

• 1
   644
• 2
   244
• 3
   600
• 4
   640

16. 중요한 시스템에 접근하는 공격자를 다른 곳으로 끌어내도록 유도하는 시스템은?

• 1
   Spoofing
• 2
   Honeypot
• 3
   Sniffing
• 4
   Switching

17. 다음 내용은 어느 공격기법에 관한 설명인가?

침해 시스템을 분석하던 중 test라는 계정의 홈 디렉터리에서 C언어로 작성된 Exploit 코드와 컴파일된 바이너리 파일을 발견할 수 있었다. 이 Exploit은 stack에서 할당되어진 변수에 데이터를 초과 입력하여 RET를 덮어 씌워 ShellCode를 실행하는 코드였다.

• 1
   Buffer Overflow
• 2
   Fotmat String
• 3
   Race Condition
• 4
   Brute Force

18. Brute Force Attack 및 Dictionary Attack 등과 가장 거리가 먼 것은?

• 1
   John the Ripper
• 2
   L0phtcrack
• 3
   Pwdump
• 4
   WinNuke

19. 서버관리자를 위한 보안 지침 중 옳지 않은 것은?

• 1
   관리자 그룹 사용자의 계정을 최소화한다.
• 2
   정기적으로 파일과 디렉터리의 퍼미션을 점검한다.
• 3
   관리자로 작업한 후에는 반드시 패스워드를 변경한다.
• 4
   웹 서버에서 생성되는 프로세스를 관리자 권한으로 실행되지 않도록 한다.

20. 다음 중 리눅스 계정 관리 파일 /etc/shadow를 통해서 알 수 없는 것은 무엇인가?

• 1
   사용자의 계정 이름
• 2
   암호화된 패스워드
• 3
   패스워드 최소 길이
• 4
   패스워드 만료까지 남은 기간

21. 다음과 같은 기능을 수행하는 보안도구는 무엇인가?

- 사용자 시스템 행동의 모니터링 및 분석
- 시스템 설정 및 취약점에 대한 감시기록
- 알려진 공격에 대한 행위 패턴 인식
- 비정상적 행위 패턴에 대한 통계적 분석

• 1
   침입차단시스템(IPS)
• 2
   침입탐지시스템(IDS)
• 3
   가상사설망(VPN)
• 4
   공개키기반구조(PKI)

22. 다음 중 UDP Flooding 공격의 대응 방안으로 옳지 않은 것은?

• 1
   다른 네트워크로부터 자신의 네트워크로 들어오는 IP Broadcast 패킷을 받도록 설정한다.
• 2
   사용하지 않는 UDP 서비스를 중지한다.
• 3
   방화벽 등을 이용하여 패킷을 필터링한다.
• 4
   리눅스 시스템인 경우 chargen 또는 echo 서비스를 중지한다.

23. 다음 중 침입탐지시스템의 특징으로 보기 어려운 것은?

• 1
   외부로부터 공격뿐만 아니라 내부자의 오용행위도 탐지한다.
• 2
   접속하는 IP 주소에 상관없이 비정상적인 접근을 탐지할 수 있다.
• 3
   지식기반 침입탐지는 새로운 패턴을 탐지 가능한 반면 오탐률은 낮다.
• 4
   행위기반 침입탐지는 비정상 행위 탐지(Anomaly Detection)이라고도 한다.

24. 다음은 DOS 창에서 어떤 명령어를 실행시킨 결과인가?

[172.217.31.174] 32바이트 데이터 사용:
172.217.31.174의 응답: 바이트=32 시간=32ms TTL=53
172.217.31.174의 응답: 바이트=32 시간=31ms TTL=53
172.217.31.174의 응답: 바이트=32 시간=32ms TTL=53
172.217.31.174의 응답: 바이트=32 시간=31ms TTL=53

172.217.31.174에 대한 통계:
    패킷: 보냄 = 4, 받음 = 4, 손실 = 0 (0% 손실),
왕복 시간(밀리초):
    최소 = 31ms, 최대 = 32ms, 평균 = 31ms

• 1
   ping
• 2
   traceroute
• 3
   date
• 4
   netstat

25. 다음에서 설명하는 네트워크는?

ㅇ 일반적으로 안전하지 않은 공용 네트워크를 이용하여 사설 네트워크를 구성하는 기술로서, 전용선을 이용한 사설 네트워크에 비해 저렴한비용으로 안전한 망을 구성할 수 있다.
ㅇ 공용 네트워크로 전달되는 트래픽은 암호화 및 메시지 인증 코드 등을 사용하여 기밀성과 무결성을 제공한다.

• 1
   LAN
• 2
   WAN
• 3
   MAN
• 4
   VPN

26. 다음 중 네트워크 기반 서비스 거부 공격이 아닌 것은?

• 1
   버퍼 오버플로우
• 2
   스머프
• 3
   SYN 플러딩
• 4
   티어드랍

27. 다음은 어떠한 형태의 공격에 대비 또는 대응방법인가?

1. 시스템 백로그 큐 크기를 늘려준다.
2. 리눅스 계열의 경우 syncookies 기능을 이용하고 Windows 계열의 경우 레지스트리를 변경한다.
3. 라우터에서는 방어 솔루션인 tcp intercept를 설정한다.

• 1
   Land Attack
• 2
   Smurf Attack
• 3
   Syn Flooding Attack
• 4
   Ping of Death Attack

28. VLAN에 대한 설명이다. 순서대로 나열한 것은?

VLAN이란 (     ) 트래픽을 제한하여 불필요한 트래픽을 차단하기 위한 (     ) LAN이다. 스위치는 허브처럼 한 포트에서 발생한 데이터를 전 포트에 전달하지 않기 때문에 스위치에 흐르는 데이터를 분석하려면 허브와는 달리 (       ) 기능을 사용해야한다.

• 1
   멀티캐스팅, 논리적인, Port Mirroring
• 2
   브로드캐스팅, 논리적인, Port Mirroring
• 3
   브로드캐스팅, 물리적인, Port Filtering
• 4
   멀티캐스팅, 물리적인, Port Filtering

29. DoS 공격의 일종으로 공격대상자는 스푸핑된 소스 IP로부터 ICMP reply를 동시에 수신하는 현상을 갖는 공격은 무엇인가?

• 1
   Ping of death
• 2
   Smurf attack
• 3
   Teardrop attack
• 4
   Land attac

30. 다음 중 가상 사설망(VPN) 구현 기술과 가장 거리가 먼 것은?

• 1
   터널링
• 2
   패킷 필터링
• 3
   인증
• 4
   암호화

31. 다음 설명에 적합한 방화벽의 구축 형태는?

외부 네트워크와 내부 네트워크의 완충지대를 두는 방식으로서 이 완충지대의 앞뒤에 방화벽을 위치시키고, 완충지대에는 메일서버나 웹서버 등을 설치하는 것이 일반적이다.

• 1
   Screened Host
• 2
   Screened Subnet
• 3
   Dual Homed Host
• 4
   Bastion Host

32. 방화벽과 침입탐지시스템(IDS)의 설명으로 부적합한 것은?

• 1
   방화벽의 종류에는 스크리닝 라우터, 베스쳔 호스트, 프락시 서버 게이트웨이, 듀얼 홈 게이트웨이 등이 있다.
• 2
   서킷 게이트웨이 방식 방화벽은 3계층에서 동작한다.
• 3
   오용탐지 IDS는 알려진 공격에 대한 Signature의 유지를 통해서만 탐지가 가능하다.
• 4
   IDS에서 공격인데도 공격이라고 판단하지 않는 경우를 False Negative라고 한다.

33. 다음 지문이 설명하고 있는 것은?

C&C라는 중앙집중형 명령/제어 방식에서 탈피하여 웹 프로토콜인 HTTP를 기반으로 하거나 모든 좀비들이 C&C가 될 수 있는 분산형 명령/제어 방식으로 진화하고 있다.

• 1
   Trojan Horse
• 2
   Botnet
• 3
   Backdoor
• 4
   Worn

34. 다음 설명 중 옳지 않은 것은?

• 1
   브로드캐스트는 하나의 송신자가 같은 서브 네트워크 상의 모든 수신자에게 데이터를 전송하는 방식이다.
• 2
   브로드캐스트 IP 주소는 호스트 필드의 비트값이 모두 1인 주소를 말하며, 이러한 값을 갖는 IP 주소는 일반 호스트에 설정하여 널리 사용한다.
• 3
   멀티캐스트 전송이 지원되면 데이터의 중복 전송으로 인한 네트워크 자원 낭비를 최소화 할 수 있게 된다.
• 4
   유니캐스트는 네트워크상에서 단일 송신자와 단일 수신자간의 통신이다.

35. TCP 연결 과정 중 3-way handshaking의 half open 취약점을 이용한 공격은?

• 1
   Land 공격
• 2
   Syn Flooding 공격
• 3
   Smurf 공격
• 4
   Trinoo 공격

36. 방화벽을 지나는 패킷에 대해 출발지와 목적지의 IP 주소 및 포트 번호를 특정주소 및 포트로 매핑하는 기능을 무엇이라 하는가?

• 1
   Gateway
• 2
   Packet Filtering
• 3
   NAT
• 4
   NAU

37. 다음의 라우팅 프로토콜 중 AS 사이에 구동되는 라우팅 프로토콜은 무엇인가?

• 1
   OSPF
• 2
   RIP
• 3
   BGP
• 4
   IGRP

38. 다음 지문에서 설명하고 있는 스니핑 공격은?

공격자는 위조된 MAC주소를 지속적으로 네트워크에 흘림으로써 스위칭 허브의 주소 테이블을 오버플로우시켜 허브처럼 동작하게 하여 다른 네트워크 세그먼트의 데이터를 스니핑 할 수 있다.

• 1
   ARP Redirect
• 2
   ICMP Redirect
• 3
   Switch Jamming
• 4
   ARP Spoofing

39. 다음은 특정 시스템에 대한 분류 또는 기능에 대한 정의이다. 특성이 다른 하나는 무엇인가?

• 1
   단일 호스트 기반
• 2
   네트워크 기반
• 3
   베스천 호스트
• 4
   비정상적인 행위탐지

40. 방화벽을 통과하는 모든 패킷을 방화벽에서 정의한 보안 정책에 따라 패킷의 통과 여부를 결정하는 역할을 수행하는 기법은?

• 1
   Packet Filtering
• 2
   NAT
• 3
   Proxy
• 4
   Logging

41. 다음 중 공격기법과 그에 대한 설명으로 옳은 것은 무엇인가?

• 1
   Smurf Attack : IP Broadcast Address로 전송된 ICMP 패킷에 대해 응답하지 않도록 시스템을 설정하여 방어할 수 있다.
• 2
   Heap Spraying : 아이디와 패스워드 같이 사용자의 입력이 요구되는 정보를 프로그램 소스에 기록하여 고정시키는 방식이다.
• 3
   Backdoor : 조직 내에 신뢰할 만한 발신인으로 위장해 ID 및 패스워드 정보를 요구하는 공격이다.
• 4
   CSRF : 다른 사람의 세션 상태를 훔치거나 도용하여 액세스하는 해킹 기법을 말한다.

42. 웹페이지 입력화면 폼 작성 시 GET 방식을 사용할 경우 폼 데이터가 URL 뒤에 첨가되어 전송되며, 이 때문에 그 내용이 쉽게 노출되어 공격에 이용당할 수 있다. 어떤 공격이 이러한 약점을 이용할 수 있는가?

• 1
   XPath 삽입
• 2
   크로스사이트 스크립트
• 3
   크로스사이트 요청 위조
• 4
   운영체제 명령어 삽입

43. 다음 보기 중 그 성질이 다른 것은?

• 1
   SQL Injection
• 2
   XSS or CSS
• 3
   Cookie sniffing
• 4
   Whois

44. 다음 중 TFTP(Trivial File Transfer Protocol)에 대한 설명으로 틀린 것은?

• 1
   하드디스크가 없는 장비들이 네트워크를 통해 부팅 할 수 있도록 제안된 프로토콜이다.
• 2
   UDP 69번을 사용하며 특별한 인증 절차가 없다.
• 3
   TFTP 서비스를 위한 별도의 계정 파일을 사용하지 않는다.
• 4
   보안상 우수하여 Anonymous FTP 서비스를 대신하여 많이 사용한다.

45. 다음 중 버퍼 오버플로우(Buffer Overflow)에 대한 대책으로 옳지 않은 것은?

• 1
   경계 검사를 하는 컴파일러 및 링크를 사용한다.
• 2
   경계를 검사하는 함수를 사용한다.
• 3
   운영체제 커널 패치를 실시한다.
• 4
   최대 권한으로 프로그램을 실행한다.

46. 다음 중 PGP(Pretty Good Privacy)의 기능과 거리가 먼 것은?

• 1
   전자서명
• 2
   권한 관리
• 3
   압축
• 4
   단편화와 재조립

47. 데이터베이스 복구를 위해 만들어지는 체크포인트에 대한 설명으로 가장 적절한 것은?

• 1
   장애를 일으킨 트랜잭션들의 기록
• 2
   데이터베이스 장애 발생 직전에 수행된 트렌잭션 기록
• 3
   이미 처리된 트랜젝션 중 영구 저장장치에 반영되지 않은 부분
• 4
   일정 시간 간격으로 만들어지는 DBMS의 현재 상태에 대한 기록

48. 다음 중 데이터베이스 보안 유형을 구분하였을 때 보안 유형으로 구분되기에 가장 적절하지 않은 것은?

• 1
   DBMS 관리자 보안
• 2
   부적절한 접근방지
• 3
   운영적 무결성 보장
• 4
   의미적 무결성 보장

49. 다음 중 SET(Secure Electronic Transaction) 프로토콜에 대한 설명으로 옳지 않은 것은?

• 1
   RSA를 사용함으로써 프로토콜의 속도를 크게 저하시킨다.
• 2
   상점과 지불게이트웨이 거래를 전산적으로 처리하기 위한 별도의 하드웨어와 소프트웨어를 요구하지 않는다.
• 3
   암호프로토콜이 너무 복잡하다.
• 4
   사용자에게 전자지갑 소프트웨어를 요구한다.

50. 다음 중 데이터베이스에 대한 보안 요구사항으로 가장 거리가 먼 것은?

• 1
   데이터에 대한 추론통제 기능
• 2
   데이터에 대한 흐름통제 기능
• 3
   데이터에 대한 부인방지 기능
• 4
   허가 받지 않은 사용자에 대한 접근통제 기능

51. 다음 중 게시판의 글에 원본과 함께 악성코드를 삽입함으로써 글을 읽을 경우 악성코드가 실행되도록 하는 공격은?

• 1
   쿠키/세션 위조
• 2
   File Download Attack
• 3
   SQL Injection
• 4
   Cross Site Scripting

52. 다음 중 웹을 통한 sql injection 공격 방지 방법으로 가장 부적절한 것은?

• 1
   원시 ODBC 에러를 사용자가 볼 수 없도록 코딩
• 2
   데이터베이스 애플리케이션을 최소 권한으로 구동
• 3
   데이터베이스 확장 프로시저 사용
• 4
   테이블 이름, 컬럼 이름 등이 외부에 노출되지 않도록 설정

53. 다음 SSL에 대한 설명 중 틀린 것은?

• 1
   SSL은 SSL Handshake Protocol, SSL Change Cipher Spec, SSL Alert Protocol 부분과 실질적인 보안 서비스를 제공하는 SSL Record Protocol 부분으로 나누어져 있다.
• 2
   SSL은 상호인증과 무결성을 위한 메시지 코드, 기밀성을 위한 암호화 방법을 제공한다.
• 3
   실제 SSL Record Protocol 부분은 TCP 계층 하단에서 동작한다.
• 4
   SSL에서는 RSA, 디피헬만 알고리즘을 이용한다.

54. 다음 지문에서 설명하고 있는 보안 기술은 무엇인가?

동일한 패스워드를 사용하는 보안상의 취약점을 극복하여 일회성의 서로 다른 패스워드를 생성하게 함으로써 안전한 전자상거래를 진행한다.

• 1
   스마트 토큰
• 2
   OTP
• 3
   NFC
• 4
   보안카드

55. TLS(Transport Layer Security)의 기본 구조에서 그 구성 요소가 아년 것은 무엇인가?

• 1
   Handshake Protocol
• 2
   Http protocol
• 3
   Alert Protocol
• 4
   Record Protocol

56. 다음 중 생체인증 시스템의 요구사항이 아닌 것은?

• 1
   유일성
• 2
   영속성
• 3
   정량성
• 4
   가변성

57. 다음 중 버퍼오버플로우 공격을 방지하기 위해 사용이 권장되지 않는 함수는?

• 1
   sprintf()
• 2
   strncpy()
• 3
   fgets()
• 4
   strncat()

58. 웹 응용프로그램에서 사용자로부터 입력 문자열을 처리하기 전에 <, >등을 치환하는 것은 어떤 공격에 대응하기 위한 것인가?

• 1
   크로스사이트스크립트
• 2
   SQL Injection
• 3
   버퍼 오버플로우
• 4
   Race Condition

59. 디지털 워터마킹 기술의 응용 분야와 거리가 먼 것은?

• 1
   저작권 보호
• 2
   이미지 인증
• 3
   데이터 은닉
• 4
   도청 방지

60. 전자지불 시스템의 기술 요건이 아닌 것은?

• 1
   거래 상대방의 신원 확인
• 2
   전송 내용의 비밀 유지
• 3
   전자문서의 위조 및 부인 방지
• 4
   전자지불의 추적 가능성

61. 무결성 레벨에 따라서 정보에 대한 접근을 제어하는 접근통제 모델은 무엇인가?

• 1
   비바 모델
• 2
   벨-라파듈라 모델
• 3
   클락-윌슨 모델
• 4
   비선형 모델

62. 대칭키 암호화시스템에 대한 설명으로 가장 적절하지 않은 것은?

• 1
   제3자에게 키가 누설될 가능성이 항상 존재한다.
• 2
   사전에 키 공유가 필요하다.
• 3
   공개키 암호화시스템에 비해 상대적으로 속도가 빠르다.
• 4
   수학적으로 어려운 문제에 기반을 두고 있다.

63. 사용자 A가 서명자 B에게 자신의 메시지를 보여 주지 않고 서명을 받는 방법으로서 이용자의 프라이버시를 보호하기 위해 전자 화폐나 전자 투표에 활용되는 방식은?

• 1
   은닉 서명
• 2
   그룹 서명
• 3
   수신자 지정 서명
• 4
   부인 방지 서명

64. 다음은 IDEA에 대한 설명이다. 잘못된 것은?

• 1
   IDEA는 DES를 대체하기 위해서 스위스에서 개발한 것이다.
• 2
   IDEA는 128비트 키를 사용하여 128비트 블록을 함호화 한다.
• 3
   IDEA는 하나의 블록을 4개의 서브 블록으로 나눈다.
• 4
   4개의 서브 블록은 각 라운드에 입력값으로 들어가며 총 8개의 라운드로 구성되어 있다.

65. 다음 중 AES 알고리즘의 설명 중 틀린 것은?

• 1
   128/192/256 비트의 키 단위로 암호화를 수행할 수 있다.
• 2
   마지막을 뺸 각 라운드는 바이트 대치, 행 옮김, 열 조합, 라운드 키 XOR로 구성된다.
• 3
   마지막 라운드에서는 열 조합 연산을 수행하지 않는다.
• 4
   AES는 페이스텔 구조이기 때문에 복호화 과정은 암호화 과정과 같다.

66. 임의적 접근통제(DAC) 방식에 대한 설명으로 옳지 않은 것은?

• 1
   개별 주체와 객체 단위로 접근 권한 설정
• 2
   객체의 소유주가 주체와 객체 간의 접근 통제 관계를 정의
• 3
   ACL을 통해 구현
• 4
   중앙집중적으로 통제하는 환경에 적합

67. 일방향 해시함수를 이용했을 때 제공되는 가장 효과적인 보안 서비스는?

• 1
   무결성
• 2
   기밀성
• 3
   부인방지
• 4
   인증

68. 해시 함수에 대한 다음 설명 중 잘못된 것은?

• 1
   해시 함수는 디지털 서명에 이용되어 무결성을 제공한다.
• 2
   해시 함수는 임의의 길이를 갖는 메시지를 입력으로 하여 고정된 길이의 출력값을 갖는다.
• 3
   블록 암호를 이용한 해시 함수의 설계가 가능하다.
• 4
   해시 함수는 안전성을 위하여 키의 길이를 적절히 조정해야 한다.

69. MAC 접근정책에 대한 설명으로 옳지 않은 것은?

• 1
   접근 규칙 수가 적어 통제가 용이하다.
• 2
   보안관리자 주도하에 중앙 집중적 관리가 가능하다.
• 3
   개별 객체에 대해 접근 가능한 주체를 설정할 수 있다.
• 4
   사용자와 데이터는 보안 취급허가를 부여 받아 적용한다.

70. 사용자 인증에 사용되는 기술이 아닌 것은?

• 1
   Snort
• 2
   OTP
• 3
   SSO
• 4
   스마트카드

71. 다음 중 디피-헬만 키 교환 방식에서 발생할 수 있는 보안 공격에 해당하는 것은 무엇인가?

• 1
   재전송 공격
• 2
   중간자 공격
• 3
   반사 공격
• 4
   위장 공격

72. 키 분배 문제를 해결할 수 있는 방법에 해당하지 않는 것은?

• 1
   키 배포 센터에 의한 해결
• 2
   디피-헬만 키 교환 방법에 의한 해결
• 3
   전자서명에 의한 해결
• 4
   공개키 암호에 의한 해결

73. 암호해독의 목적과 가장 거리가 먼 것은?

• 1
   암호에 사용된 키를 찾아내려는 시도
• 2
   암호문으로부터 평문을 복원하는 시도
• 3
   암호 알고리즘의 구조를 알아내려는 시도
• 4
   암호시스템의 안전성을 정량적으로 측정하려는 시도

74. 메시지 출처 인증기술의 요소 중 하나인 해시함수의 특징으로 옳지 않은 것은?

• 1
   Message Authentication Code와는 달리 키를 사용하지 않는다.
• 2
   메시지 길이에 상관없이 적용 가능하다.
• 3
   생성되는 해시 코드(Hash code)의 길이는 가변적이다.
• 4
   일방향(one-way)으로 변환이 이루어진다.

75. 다음에서 설명하는 키 교환 알고리즘은?

1976년에 발명한 키 교환 알고리즘으로 타인에게 알려져도 상관없는 정보를 두 사람이 교환하는 것만으로 공통의 비밀값을 만들어 내는 방법이다. 만들어낸 비밀 값을 대칭암호키로 사용한다.

• 1
   PKI
• 2
   Rabin
• 3
   RSA
• 4
   Diffie-Hellman

76. 사용자가 알고 있는 지식, 예를 들면 아이디, 패스워드, 신용카드에 대한 개인식별번호 등의 지식을 기초로 접근제어를 수행하는 사용자 인증기법은 무엇인가?

• 1
   지식 기반 사용자 인증기법
• 2
   소유 기반 사용자 인증기법
• 3
   생체 기반 사용자 인증기법
• 4
   혼합형 사용자 인증기법

77. 다음은 X.509 인증서 폐지에 관련된 설명이다. 틀린 설명은?

• 1
   인증서 폐지 메커니즘 : X.509에 정의된 인증서 폐지목록(CRL)으로 관리
• 2
   폐지 사유 : 인증서 발행 조직 탈퇴, 개인키의 손상, 개인키의 유출 의심
• 3
   인증서 폐지 요청 : 인증서 소유자 또는 인증서 소유자의 대리인이 요청
• 4
   폐지된 인증서 : 목록을 비공개하고 디렉터리에만 보관

78. AES 알고리즘에 대한 설명으로 옳지 않은 것은?

• 1
   키의 길이에 따라 라운드 수가 달라진다.
• 2
   블록의 길이가 128비트인 대칭키 블록 암호 알고리즘이다.
• 3
   페이스텔 구조를 기반으로 알고리즘이 작동한다.
• 4
   DES 알고리즘을 대신하는 새로운 표준이다.

79. 전자인증 방식의 하나인 Password 방식의 문제점으로 옳지 않은 것은?

• 1
   패스워드 전송 노출
• 2
   패스워드 재전송
• 3
   별도의 키 분배 방식 필요
• 4
   클라이언트 인증 정보 공격

80. 다음 중 전자 서명 생성에 적용 가능한 공개키 알고리즘이 아닌 것은?

• 1
   RSA
• 2
   AES
• 3
   DSA
• 4
   Rabin

81. 아래 지문은 보안 서비스 중 어느 항목을 나타내는 것인가?

수신된 데이터가 인증된 개체가 보낸 것과 정확히 일치하는 지에 대한 확신을 주는 서비스

• 1
   데이터 기밀성
• 2
   데이터 무결성
• 3
   부인봉쇄
• 4
   가용성

82. 다음 중 정보통신기반보호법에서 정의하는 주요 정보통신기반시설에 대한 취약점 분석 평가를 수행할 수 있는 기관이 아닌 곳은?

• 1
   한국인터넷진흥원
• 2
   정보보호 전문서비스 기업
• 3
   한국전자통신연구원
• 4
   한국정보화진흥원

83. 다음 중 정보통신기반보호법에 의거하여 국가, 사회적으로 중대한 영향을 미치는 주요정보통신기반시설이 아닌 것은?

• 1
   방송중계, 국가지도통신망 시설
• 2
   인터넷포털, 전자상거래업체 등 주요 정보통신시설
• 3
   도로, 철도, 지하철, 공항, 항만 등 주요 교통시설
• 4
   전력, 가스, 석유 등 에너지·수자원 시설

84. 정보통신기반보호법상 중앙행정기관의 장은 소관분야의 정보통신기반시설 중 전자적 침해행위로부터의 보호가 필요하다고 인정되는 경우 주요정보통신기반시설로 지정할 수 있는데, 이 경우에 고려하는 사항이 아닌 경우?

• 1
   당해정보통신기반시설을 관리하는 기관이 수행하는 업무의 국가 사회적 중요성
• 2
   침해사고가 발생할 경우 국제적으로 미칠 수 있는 피해의 범위
• 3
   다른 정보통신기반시설과의 상호 연계성
• 4
   침해사고의 발생가능성 또는 그 복구의 용이성

85. 정보통신기반보호법 제10조 보호지침에 의하면 관계중앙행정기관의 장은 소관분야의 주요정보통신기반시설에 대하여 보호지침을 제정하고 해당분야의 ( )에게 이를 지키도록 ( )할 수 있다. 괄호속에 들어갈 말은?

• 1
   관리기관의 장, 권고
• 2
   관리기관의 장, 명령
• 3
   관리기관의 장, 요청
• 4
   사업자, 권고

86. 다음 중 위험관리 방법론과 가장 거리가 먼 것은?

• 1
   국내 ISMS 인증체계
• 2
   ISO/IEC 27001
• 3
   ISO/IEC TR 13335-3
• 4
   ISO/IEC 15408

87. 주요정보통신기반시설 관리기관의 복무가 아닌 것은?

• 1
   정기적인 취약점 분석·평가
• 2
   관계행정기관 또는 한국인터넷진흥원에 대한 침해사고 사실 통지
• 3
   주요정보통신기반시설 보호대책 수립·시행
• 4
   주요정보통신기반시설 보호대책을 수립하여 기반보호위원회에 상정

88. 다음의 지문은 무엇에 대한 설명인가?

1983년에 제정된 것으로, 오렌지북이라 불린다. 미국에서 제정한 컴퓨터시스템 평가기준이다. 이 기준에서 보안등급은 A,B,C,D로 구분되며 기본 요구사항으로는 보안정책, 책임성, 보증, 문서화 등이 있다.

• 1
   ITSEC
• 2
   TCSEC
• 3
   CC
• 4
   K Series

89. 다음 지문을 모두 만족하는 기관은?

ㅇ 금융, 통신 등 분야별 정보통신기반시설을 보호하기 위하여 구축·운영
ㅇ 취약점 및 침해요인과 그 대응방인에 관한 정보 제공
ㅇ 침해사고가 발생하는 경우 실시간 경보·분석 체계 운영

• 1
   정보공유 분석센터(ISAC)
• 2
   한국인터넷진흥원
• 3
   관리기관
• 4
   정보보호 전문서비스 기업

90. 다음은 개인정보의 수집 이용에 대한 사항이다. 동의를 받아야 할 항목만을 모두 고른 것은?

ㄱ. 개인정보 수집·이용 목적
ㄴ. 수집하는 개인정보의 항목
ㄷ. 개인정보의 보유 및 이용기간
ㄹ. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용

• 1
   ㄱ, ㄴ
• 2
   ㄴ, ㄷ, ㄹ
• 3
   ㄱ, ㄷ, ㄹ
• 4
   ㄱ, ㄴ, ㄷ, ㄹ

91. 다음 중 현행 전자서명법상 공인인증서가 폐지되는 사유에 해당하지 않는 것은?

• 1
   가입자의 대리인이 공인인증서의 폐지를 신청한 경우
• 2
   가입자의 인증서를 발급한 공인인증기관의 지정이 취소된 경우
• 3
   가입자가 부정한 방법으로 공인인증서를 발급받은 경우
• 4
   가입자의 전자서명생성정보가 분실된 경우

92. 다음 중 개인정보 파기와 관련하여 잘못된 것은?

• 1
   타 법령에 따라 보존해야 하는 경우에는 예외적으로 개인정보를 파기하지 않고 다른 개인정보와 함께 저장·관리할 수 있다.
• 2
   개인정보를 수집할 때 동의 받았던 보유기간이 경과한 경우에 지체 없이 파기해야 한다.
• 3
   하드디스크 등 매체에 전자기적으로 기록된 개인정보는 물리적인 방법으로 매체를 파괴하여 복구할 수 없도록 한다.
• 4
   이미 요금정산이 끝난 소비자의 개인정보는 채권 소멸기간까지 남아있다고 하더라도 개인정보를 보관할 수 없다.

93. 다음 중 위험도 산정 시 고려할 구성요소가 아닌 것은?

• 1
   자산(Asset)
• 2
   위협(Threat)
• 3
   취약성(Vulnerability)
• 4
   직원(Employee)

94. 다음은 전자서명법에서 공인인증기관의 업무수행에 관한 조항이다. 괄호 안에 들어갈 말은?

(         )은 인증업무의 안전성과 신뢰성 확보를 위하여 공인인증기관이 인증업무 수행에 있어 지켜야 할 구체적 사항을 전자서명인증업무지침으로 정하여 고시할 수 있다.

• 1
   과학기술정보통신부장관
• 2
   개인정보보호위원장
• 3
   국가정보원장
• 4
   산업통상자원부장관

95. 위험분석 방법론은 통상적으로 정량적 위험분석과 정성적 위험분석으로 분류된다. 다음 중 정량적 위험분석 방법이 아닌 것은?

• 1
   연간 예상 손실 계산법
• 2
   과거 통계자료 분석법
• 3
   수학공식 접근법
• 4
   시나리오 기반 분석법

96. 다음 중 정보통신망법 제 46조의 정보보호 관리체계 인증 제도에 대한 설명으로 옳지 않은 것은?

• 1
   정보보호 관리체계 인증의 유효기간은 3년이다.
• 2
   정보보호 관리체계 인증은 의무 대상자는 반드시 인증을 받아야 하며 의무 대상자가 아닌 경우에도 인증을 취득할 수 있다.
• 3
   정보보호 관리체계는 정보통신망의 안정석, 신뢰성을 확보하기 위하여 관리적, 기술적, 물리적 보호조치를 포함한 종합적 관리체계를 의미한다.
• 4
   정보보호 관리체계 의무대상자는 국제표준 정보보호 인증을 받거나 정보보호 조치를 취한 경우에는 인증 심사를 생략할 수 있다.

97. 다음 설명에 해당하는 OECD 개인정보보호 8원칙으로 옳은 것은?

개인정보는 이용 목적상 필요한 범위 내에서 개인정보의 정확성, 완전성, 최신성이 확보되어야 한다.

• 1
   수집 제한의 원칙(Collection Limitation Principle)
• 2
   정보 정확성의 원칙(Data Quality Principle)
• 3
   안정성 확보의 원칙(Security Safeguards Principle)
• 4
   목정 명시의 원칙(Purpose Specification Principle)

98. 다음 중 주요정보통신기반시설의 보호 및 침해사고의 대응을 위한 주요정보통신기반시설의 보호지침의 내용에 일반적으로 포함되는 내용과 가장 거리가 먼 것은?

• 1
   시스템 개발 관리
• 2
   정보보호체계 관리 및 운영
• 3
   침해사고 대응 및 복구
• 4
   취약점 분석·평가 및 침해사고 예방

99. 개인정보보호법상 자신의 개인정보 처리와 관련한 정보주체의 권리에 대한 설명으로 옳지 않은 것은?

• 1
   개인정보의 처리에 관한 정보를 제공받을 수 있다.
• 2
   개인정보의 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 수 있다.
• 3
   개인정보의 처리로 인하여 발생한 피해를 신속하고 공정한 절차에 따라 구제받을 수 있다.
• 4
   개인정보에 대하여 열람을 할 수 있으나, 사본의 발급은 요구할 수 없다.

100. 다음 중 전자서명법에 의거하여 공인인증 기관이 발급하는 공인인증서에 포함되는 사항이 아닌 것은?

• 1
   가입자와 공인인증기관이 이용하는 전자인증 방식
• 2
   공인인증서의 일련번호
• 3
   공인인증기관의 명칭 등 공인인증기관임을 확인할 수 있는 정보
• 4
   공인인증서의 이용범위 또는 용도를 제한하는 경우 이에 관한 사항