정보보안기사 2022년 2회
시스템 보안
1. 서버 시스템의 접근통제 관리에 대한 설명으로 틀린 것은?
- 1윈도우 시스템 이벤트에는 시스템, 어플리케이션, 보안 이벤트가 있으며 감사로그는 제어판-관리도구-로컬보안설정-감사정책에서 각각 설정할 수 있다.
- 2윈도우 시스템은 도메인 환경에서 사용자 인증을 위하여 레지스트리가 익명의 사용자에 의해 접근할 수 있도록 설정하여야 한다.
- 3iptables, tcp wrapper 도구를 사용하면 서버 시스템의 네트워크 접근통제 기능을 설정할 수 있다.
- 4Unix 서버 시스템에서 불필요한 파일에 설정된 SUID와 SGID 비트를 제거하여 실행 권한이 없는 프로그램의 비인가된 실행을 차단하여야 한다.
2. 다음은 passwd 파일 구조를 나타내는 그림이다. “G”가 의미하는 것은?
- 1홈디렉터리 위치
- 2지정된 셸(Shell)
- 3패스워드
- 4설명
3. 안드로이드 adb를 통해 접속 후 쓰기 가능한 디렉터리는?
- 1/system/
- 2/data/app
- 3/data/local/tmp/
- 4/bin/
4. 다음 문장에서 설명하는 공격 위협은?
- 1XPath 인젝션
- 2디렉터리 인덱싱
- 3운영체제 명령 실행
- 4정보 누출
5. 인증 장치에 대한 설명으로 옳은 것은?
- 1USB 메모리에 디지털 증명서를 넣어 인증 디바이스로 하는 경우 그 USB 메모리를 접속하는 PC의 MAC 어드레스가 필요하다.
- 2성인의 홍채는 변화가 없고 홍채 인증에서는 인증 장치에서의 패턴 갱신이 불필요하다.
- 3정전용량 방식의 지문인증 디바이스 LED 조명을 설치한 실내에서는 정상적으로 인증할 수 없게 될 가능성이 높다.
- 4인증에 이용되는 접촉형 IC 카드는 카드 내의 코일의 유도 기전력을 이용하고 있다.
6. 컴퓨터 시스템에 대한 하드닝(Hardening) 활동으로 틀린 것은?
- 1사용하지 않는 PDF 소프트웨어를 제거하였다.
- 2시스템 침해에 대비하여 전체 시스템에 대한 백업을 받아두었다.
- 3운영체제의 감사 기능과 로깅 기능을 활성화하였다.
- 4운영체제 보안 업데이트를 수행하였다.
7. 다음 문장에서 설명하는 기억 장치의 메모리 반입 정책은?
- 1최초 적합(First fit)
- 2최상 적합(Best fit)
- 3최악 적합(Worst fit)
- 4다음 적합(Next fit)
위키해설
클릭하면 보입니다.
메모리_할당 8. 악성프로그램에 대한 설명으로 틀린 것은?
- 1바이러스 : 한 시스템에서 다른 시스템으로 전파하기 위해서 사람이나 도구의 도움이 필요한 악성프로그램이다.
- 2웜 : 한 시스템에서 다른 시스템으로 전파하는데 있어서 외부의 도움이 필요하지 않은 악성프로그램이다.
- 3백도어 : 사용자의 동의없이 설치되어 컴퓨터 정보 및 사용자 개인정보를 수집하고 전송하는 악성프로그램이다.
- 4논리 폭탄 : 합법적 프로그램 안에 내장된 코드로서 특정한 조건이 만족되었을 때 작동하는 악성 코드이다.
위키해설
클릭하면 보입니다.
백도어 9. 다음은 SUID 프로그램이 일반 권한에서 관리자 권한으로 상승하여 처리하는 정상적인 과정을 나타내고 있다. 심볼릭 링크를 이용한 레이스 컨디션 공격이 실행되는 단계는?
- 11단계
- 22단계
- 33단계
- 44단계
10. 다음은 IDS Snort Rule이다. Rule이 10~11번째 2바이트의 값이 0xFFFF인지를 검사하는 Rule이라 할 때 ㄱ.~ㄷ.의 올바른 키워드는 무엇인가?
- 1㉠ : value, ㉡ : offset, ㉢ : content
- 2㉠ : value, ㉡ : content, ㉢ : offset
- 3㉠ : content, ㉡ : depth, ㉢ : offset
- 4㉠ : content, ㉡ : offset, ㉢ : depth
11. 매크로 바이러스에 대한 설명으로 틀린 것은?
- 1플랫폼과 무관하에 실행된다.
- 2주로 이메일을 통해 감염된다.
- 3문서 파일의 기능을 악용한다.
- 4EXE 형태의 자동화된 기능을 포함한다.
12. Window에서 파일이 삭제된 직후 일정 시간(기본 15초)안에 동일한 이름의 파일이 생성되는 경우 방금 삭제된 파일의 테이블 레코드를 재사용하는 경우가 있다. 이러한 특징을 갖는 기능은?
- 1파일시스템 터널링(File system tunneling)
- 2Shellbags
- 3윈도우 파일 프로텍션
- 4타임스톰핑
13. 리눅스 Capabilities에서 실행 바이너리에 커널 모듈을 올리거나 내릴 수 있는 권한을 할당할 수 있는 Capability는 무엇인가?
- 1CAP_CHOWN
- 2CAP_AUDIT_CONTROL
- 3CAP_SYS_MODULE
- 4CAP_MAC_ADMIN
14. 다음 중 로그의 성격이 다른 것은?
- 1데이터베이스 로그
- 2웹서버 로그
- 3메일서버 로그
- 4유닉스 계열의 syslog
15. 윈도우 운영체제의 레지스트리에 대한 설명으로 틀린 것은?
- 1시스템 구성정보를 저장하는 데이터베이스로 SYSTEM.DAT, USER.DAT 파일을 말한다.
- 2레지스트리는 regedit.exe 전용 편집기에 의해서만 편집이 가능하다.
- 3윈도우 레지스트리 키는 HKEY_CLASS_ROOT, HKEY_CURRENT_USER, HKEY_LOCAL_MACHINE, HKEY_USERS, HKEY_CURRENT_CONFIG 등이 있다.
- 4레지스트리 백업 및 복구는 regedit.exe를 구동하여 할 수 있다.
위키해설
클릭하면 보입니다.
윈도우 레지스트리 16. 대부분의 응용 프로그램에서 생성된 파일은 그 응용 프로그램이 생성한 파일임을 인식할 수 있도록 항상 동일한 몇 바이트를 파일 내부의 특정 위치에 가지고 있다. 특정위치의 고정값이 의미하는 것은?
- 1시그니처(Signature)
- 2확장자(Extensions)
- 3메타데이터(Metadata)
- 4레코드(Record)
17. 다음 그림은 a.a.a.a 시스템에서 UDP 패킷을 TTL=1부터 하나씩 늘려가면서 b.b.b.b로 전송하고, TTL=4일 때 b.b.b.b 시스템에 UDP 패킷이 도달하고 ICMP Port Unreachable(Type 3) 패킷이 a.a.a.a 시스템으로 돌아왓다. 무엇을 하기 위한 과정인가?
- 1ICMP scan
- 2traceroute
- 3ping
- 4UDP scan
18. 다음 문장에서 설명하는 Window 시스템의 인증 구성 요소는?
- 1LSA(Local Security Authority)
- 2LAM(Local Authentication Manager)
- 3SAM(Security Account Manager)
- 4SRM(Security Reference Monitor)
위키해설
클릭하면 보입니다.
/윈도우_SRM 19. BIOS에 대한 설명으로 틀린 것은?
- 1하드디스키의 구성, 종류, 용량을 확인할 수 있다.
- 2전원이 공급되지 않으면 정보가 유지되지 않는다.
- 3운영체제와 하드웨어 사이의 입출력을 담당하는 펌웨어이다.
- 4BIOS에 저장된 시스템 시간은 포렌식 관점에서 중요하다.
20. 다음 중 인증의 방법이 아닌 것은?
- 1당신이 알고 있는 것(Something You Know)
- 2당신이 위치를 알고 있는 곳(Somewhere You Know)
- 3당신이 가지고 있는 것(Something You Have)
- 4당신 모습 자체(Something You Are)
네트워크 보안
21. 패킷 필터링을 위한 규칙에 대한 설명으로 틀린 것은? (단, 서비스에 사용되는 포트는 기본값이며, Internal은 내부, External은 외부 네트워크를 의미한다.)
- 1내부에서 외부로 나가는 웹 서비스에 대해서 허용한다.
- 2서버(169.168.2.25)로 FTP 서비스 연결은 어디에서나 가능하나 데이터 전송은 원활하게 이루어지지 않을 수 있다.
- 3필터링 규칙에 명시하지 않은 모든 프로토콜에 대해서는 거부한다.
- 4서버(169.168.10.10)로 DNS 서비스는 내부에서 이용이 가능하나 Message 정보가 512 바이트보다 클 경우에는 허용하지 않는다.
22. UDP Flooding의 대응 방안으로 틀린 것은?
- 1미사용 프로토콜 필터링
- 2도착지 IP별 임계치 기반 차단
- 3패킷 크기 기반 차단
- 4Anycast를 이용한 대응
23. 클라우드 시스템 및 서비스와 관련한 보안 측면의 설명으로 틀린 것은?
- 1클라우드 서비스를 구동하기 위해 필수적인 가상화 시스템 내 하이퍼바이저가 취약할 경우 이를 활용하는 여러개의 가상머신(VM)이 동시에 피해를 입을 가능성을 고려해야 한다.
- 2기존 네트워크 보안기술(방화벽, IPS/IDS)로는 가상화 내부 영역에 대한 침입탐지가 어렵다.
- 3사용자의 가상머신들의 상호 연결되어 내부의 가상머신에서 다른 가상 머신으로서 패킷스니핑, 해킹, DDoS 공격, 악성코드전파 등의 공격 경로가 존재한다.
- 4가상화 기술 중 스토리지 가상화와 네트워크 가상화에 보안 위협이 존재하나 메모리 가상화에는 보안 위협이 존재하지 않는다.
24. 다음 중 원격지 서버의 스니핑 모니터링 프로그램인 sentinal을 이용하여 스니퍼를 탐지하는 예시와 그에 대한 의미로 틀린 것은?
- 1./sentinel –a –t 211.47.65.4 : ARP 테스트
- 2./sentinel –d –f 1.1.1.1 –t 211.47.65.4 : DNS 테스트
- 3./sentinel–e –t 211.47.65.4 : Etherping 테스트
- 4./sentinel–t 211.47.65.4 –f 1.1.1.1 –d –a - : 3개의 테스트 중 하나만 테스트
25. 다음 문장의 괄호 안에 들어갈 명령어를 순서대로 나열한 것은?
- 1㉠ : show process, ㉡ : show controllers, ㉢ : show flash
- 2㉠ : show process, ㉡ : show controllers, ㉢ : show memory
- 3㉠ : show process, ㉡ : show interface, ㉢ : show flash
- 4㉠ : show process, ㉡ : show interface, ㉢ : show memory
26. 다음 문장에서 설명하는 해커의 분류는?
- 1Elite
- 2Script Kiddie
- 3Developed Kiddie
- 4Lamer
26. 다음 문장에서 설명하는 해커의 분류는?
- 1Elite
- 2Script Kiddie
- 3Developed Kiddie
- 4Lamer
27. SNMP 커뮤니티 스트링에 대한 설명으로 틀린 것은?
- 1기본적으로 Public, Private으로 설정된 경우가 많다.
- 2모든 서버 및 클라이언트에서 동일한 커뮤니티 스트링을 사용해야만 한다.
- 3MIB 정보를 주고 받기 위하여 커뮤니티 스트링을 사용한다.
- 4유닉스 환경에서 커뮤니티 스트링 변경은 일반 권한으로 설정한다.
29. 침입탐지 시스템(Intrusion Detection System)의 이상 탐지(anomaly detection) 방법 중 다음 문장에서 설명하는 방법은 무엇인가?
- 1예측 가능한 패턴 생성(Predictive Pattern Generation)
- 2통계적 접근법(Statictical Approaches)
- 3비정상적인 행위 측정 방법들의 결합(anomaly measures)의 결합
- 4특징 추출(Feature Selection)
위키해설
클릭하면 보입니다.
침입탐지시스템 30. 다음 중 일반적으로 사용되는 서비스와 해당 서비스의 기본 설정 포트연결이 틀린 것은?
- 1SSH(Secure Shell) - 22
- 2SMTP(Simple Mail Transfer Protocol) - 25
- 3FTP(File Transfer Protocol) - 28
- 4HTTPS(Hyper-Text Transfer Protocol over Secure layer) - 443
31. 네트워크 도청을 예방하기 위한 대책으로 틀린 것은?
- 1업무용 무선 AP와 방문자용 AP를 같이 사용한다.
- 2무선 AP의 비밀번호는 쉽게 예측하지 못하는 안전한 비밀번호로 설정한다.
- 3업무용 단말기는 방문자용 AP에 접속하지 않도록 조치한다.
- 4중요 정보는 암호화 통신을 이용하여 전송한다.
32. 다익스트라(Dijkstra) 알고리즘을 사용하는 라우팅 프로토콜에 대한 설명으로 틀린 것은?
- 1대규모 망에 적합한 알고리즘이다.
- 2커리벡터 알고리즘이다.
- 3OSPF에서 사용된다.
- 4링크상태 알고리즘이다.
33. IPSec을 구축하기 위해 SA를 사용한다. SA 매개변수에 포함되는 내용으로 틀린 것은?
- 1AH Information
- 2Routing Protocol
- 3IPSec Protocol Mode
- 4Sequence Number Counter
34. 최근 장시간 악성코드를 잠복시킨 후 일정 시간이 되면 공격을 시도하여 정보 유출 및 내부망 마비 등 피해를 유발시키는 APT 공격이 잦아지고 있다. APT는 무엇의 약자인가?
- 1Advanced Pain Threat
- 2Advanced Post Threat
- 3Advanced Persistent Target
- 4Advanced Persistent Threat
위키해설
클릭하면 보입니다.
APT 35. BYOD(Bring Your Own Device)의 보안 기술 중 다음 문장에서 설명하는 모바일 기기 보안 기술은?
- 1클라우드 DaaS(Desktop As A Service)
- 2모바일 가상화(Hypervisors)
- 3컨테이너화(Containerization)
- 4가상데스크톱 인프라(Virtual Desktop Infrastructure)
36. 다음 문장의 괄호 안에 들어갈 말은?
- 1Duplex Mode
- 2MAC
- 3Promiscuouse Mode
- 4ARP
37. 다음 공개 해킹도구 중 사용용도가 다른 도구(소프트웨어)는?
- 1넷버스(Netbus)
- 2스쿨버스(Schoolbus)
- 3백오리피스(Back Orifice)
- 4키로그23(Keylog23)
38. RFID 보안 기술에서 암호 기술을 사용하는 보호대책은?
- 1Kill 명령어 기법
- 2블로커 태그 기법
- 3XOR(Exclusive OR) 기반 원타임 패드 기법
- 4Sleep 명령과 Wake 명령어 기법
위키해설
클릭하면 보입니다.
RFID 39. 포트 스캐너로 유명한 Nmap에서 대상 시스템의 운영체제를 판단할 때 이용하는 기법을 가장 잘 표현하고 있는 것은?
- 1Telnet 접속시 운영체제가 표시하는 고유한 문자열을 분석하는 배너 그래빙(banner grabbing)
- 2운영체제별로 지원하는 서비스 및 열려 있는 포트의 차이
- 3운영체제별로 고유한 식별자 탐지
- 4TCP/IP 프로토콜 표준이 명시하지 않은 패킷 처리 기능의 운영체제별 구현
위키해설
클릭하면 보입니다.
Nmap 40. 리눅스 환경에서 트래픽을 분석하기 위해 MRTG(Multi Router Traffic Grapher)를 사용한다. 다음 중 MRTG를 설치 및 수행하는데 필요없는 프로그램은?
- 1C Compiler
- 2Perl
- 3Gd Library
- 4Libpcap
어플리케이션 보안
41. PGP 서비스와 관련하여 디지털 서명 기능을 위해 사용되는 알고리즘은?
- 13DES
- 2DSS/SHA
- 3PEM
- 4Radix-64
위키해설
클릭하면 보입니다.
PGP 42. OTP에 대한 설명으로 틀린 것은?
- 1의미있는 숫자로 구성된다.
- 2비밀번호 재사용이 불가능하다.
- 3비밀번호 유추가 불가능하다.
- 4사전 공격(Dictionary Attack)에 안전하다.
43. 웹 어플리케이션 취약성 조치방안에 대한 설명으로 틀린 것은?
- 1server side session 방식은 침해 가능성도 있고, 구조상 다양한 취약점에 노출될 수 있으므로 가볍고 안전한 client side의 cookie를 사용한다.
- 2모든 인자에 대해 사용 전에 입력값 검증을 수행하도록 구성한다.
- 3파일 다운로드시 위치는 지정된 데이터 저장소를 지정하여 사용하고 데이터 저장소 상위로 이동되지 않도록 구성한다.
- 4SSL/TLS와 같은 기술을 이용하여 로그인 트랙잭션 전체를 암호화한다.
44. 다음 문장에서 설명하는 FTP 공격은?
- 1FTP Bounce Attack
- 2Anonymous FTP Attack
- 3TFTP Attack
- 4FTP Anyconnect Attack
45. 웹 어플리케이션의 취약성을 악용하는 공격 방법 중 웹 페이지에 입력한 문자열이 perl의 system 함수나 PHP의 exec 함수 등에 건네지는 것을 이용해 부정하게 쉘 스크립트를 실행시키는 것은?
- 1HTTP header injection
- 2OS command injection
- 3CSRF(cross-site request forgery)
- 4Session hijacking
46. 다크웹(Dark Web)에 대한 설명으로 틀린 것은?
- 1공공인터넷을 사용하는 오버레이 네트워크(Overlay Network)이다.
- 2딥웹(Deep web)은 다크웹의 일부부인다.
- 3토르(TOR)같은 특수한 웹브라우저를 사용해야만 접근할 수 있다.
- 4다크넷에 존해하는 웹사이트를 의미한다.
위키해설
클릭하면 보입니다.
딥웹 47. 다음 문장에서 설명하는 것은?
- 1SSL(Secure Socket Layter)
- 2SET(Secure Electronic Transaction)
- 3SOC(Security Operation Center)
- 4Lattice Security Model
48. DNS 캐시 포이즈닝으로 분류되는 공격은?
- 1DNS 서버의 소프트웨어 버전 정보를 얻어 DNS 서버의 보안 취약점을 판단한다.
- 2PC가 참조하는 DNS 서버에 잘못된 도메인 관리 정보를 주입하여 위장된 웹서버로 PC 사용자를 유도한다.
- 3공격 대상의 서비스를 방해하기 위해 공격자가 DNS 서버를 이용하여 재귀적인 쿼리를 대량으로 발생시킨다.
- 4내부 정보를 얻기 위해 DNS 서버에 저장된 영역 정보를 함께 전송한다.
49. DDoS 공격 형태 중 자원 소진 공격이 아닌 것은?
- 1GET Flooding
- 2SYN Flooding
- 3ACK Flooding
- 4DNS Query Flooding
위키해설
클릭하면 보입니다.
DDoS 50. 다음 표의 소극적·적극적 암호공격 방식의 구분이 옳은 것은?
- 1소극적 공격: 트래픽 분석, 적극적 공격: 삽입 공격
- 2소극적 공격: 재생공격, 적극적 공격: 삭제 공격
- 3소극적 공격: 메시지 변조, 적극적 공격: 재생 공격
- 4소극적 공격: 메시지 변조, 적극적 공격: 삽입 공격
51. 다음 문장의 괄호 안에 알맞은 용어는?
- 1워터링 홀
- 2스팸
- 3스피어피싱
- 4랜섬웨어
52. MS SQL 서버의 인증 모드에 대한 설명 중 성격이 다른 하나는?
- 1SQL Server 기본 인증 모드이다.
- 2데이터베이스 관리자가 사용자에게 접근 권한 부여가 가능하다.
- 3윈도우즈 인증 로그온 추적시 SID 값을 사용한다.
- 4트러스트되지 않은 연결(SQL 연결)을 사용한다.
위키해설
클릭하면 보입니다.
MS SQL 53. 다음 문장에서 설명하는 보안솔루션은?
- 1DRM
- 2SSO
- 3OTP
- 4APT
54. 데이터베이스 보안 방법으로 틀린 것은?
- 1데이터베이스 서버를 백업하며 관리한다.
- 2Guest 계정을 사용하여 관리한다.
- 3데이터베이스 쿼리만 웹 서버와 데이터베이스 서버 사이에 통과할 수 있도록 방화벽을 설치한다.
- 4데이터베이스 관리자만 로그인 권한을 부여한다.
55. 다음 문장에서 설명하는 웹 공격의 명칭은?
- 1XSS(Cross Site Scripting)
- 2SQL(Structured Query Language) Ingection
- 3CSRF(Cross-site request forgery)
- 4쿠키(Cookie) 획득
56. 버퍼오버플로우에 대한 보안 대책이 아닌 것은?
- 1운영체제 커널 패치
- 2경계 검사를 하는 컴파일러 및 링크 사용
- 3스택내의 코드 실행 금지
- 4포맷 스트링 검사
위키해설
클릭하면 보입니다.
버퍼 오버플로우 57. SSO(Single Sign On)와 관련이 없는 것은?
- 1Delegation 검사
- 2Propagation 방식
- 3웹 기반 쿠키 도메인 SSO
- 4보안토큰
위키해설
클릭하면 보입니다.
SSO 58. S/MIME의 주요 기능이 아닌 것은?
- 1봉인된 데이터(Enveloped data)
- 2서명 데이터(Signed data)
- 3순수한 데이터(Clear-signed data)
- 4비순수 서명과 봉인된 데이터(Unclear Signed and Enveloped data)
59. DNS(Domain Name System)에 대한 설명으로 틀린 것은?
- 1DNS 서비스는 클라이언트에 해당하는 리졸버(resolver)와 서버에 해당하는 네임서버(name server)로 구성되며, DNS 서비스에 해당되는 포트 번호는 53번이다.
- 2주(primary) 네임서버와 보조(secondary) 네임서버는 DNS 서비스 제공에 필요한 정보가 포함된 존(zone) 파일을 기초로 리졸버로부터의 요청을 처리한다.
- 3ISP 등이 운영하는 캐시 네임서버가 관리하는 DNS 캐시에 IP 주소, UDP 포트번호, DNS 메시지 ID값이 조작된 정보를 추가함으로써 DNS 캐시 포이즈닝(poisoning) 공격이 가능하다.
- 4DNSSEC 보안 프로토콜은 초기 DNS 서비스가 보안 기능이 포함되지 않았던 문제점을 해결하기 위해 개발되었으며, DNS 데이터의 비밀성, 무결성, 출처 인증 등의 기능을 제공한다.
60. 다음 문장에서 설명하는 전자서명 기법은?
- 1다중서명
- 2그룹서명
- 3은닉서명
- 4검증자 지정서명
위키해설
클릭하면 보입니다.
전자서명 정보 보안 일반
61. 다음은 특정 블록 암호 운영 모드의 암호화 과정이다. 해당하는 모드는?
- 1ECB 모드(Electronic Code Book Mode)
- 2CBC 모드(Cipher Block Chaining Mode)
- 3CFB 모드(Cipher Feedback Mode)
- 4OFB 모드(Output Feedback Mode)
62. 접근통제 모델에 대한 각각의 설명 중 옳은 것은?
- 1비바(Biba) 모델 : 임의적 접근통제(DAC: Doscretionary Access Control)를 기반으로 하는 상태 머신 모델이다.
- 2벨-라파듈라(Bell-Lapadula) 모델 : 객체애 대한 무결성 또는 가용성을 유지하는데 중점을 두고 있으며, 기밀성의 측면에는 대처하지 않는다.
- 3비바(Biba) 모델 : 비밀 채널을 방지하며, 내부 및 외부 객체 일관성을 보호한다.
- 4클락-윌슨(Clark-Wilson) 모델 : 허가 받은 사용자가 허가 받지 않고 데이터를 수정하는 것을 방지한다.
63. 해시함수의 분류 중 MDC(Modification Detection Cryptography)에 포함되지 않는 알고리즘은?
- 1MD(Message Digest)
- 2SHA(Secure Hash Algorithm)
- 3LSH(Lightweight Secure Hash)
- 4H-MAC(Hash-MAC)
63. 해시함수의 분류 중 MDC(Modification Detection Cryptography)에 포함되지 않는 알고리즘은?
- 1MD(Message Digest)
- 2SHA(Secure Hash Algorithm)
- 3LSH(Lightweight Secure Hash)
- 4H-MAC(Hash-MAC)
65. 접근통제정책 구성요소에 대한 설명으로 틀린 것은?
- 1사용자 : 시스템을 사용하는 주체이다.
- 2자원 : 사용자가 사용하는 객체이다.
- 3행위 : 객체가 행하는 논리적 접근통제이다.
- 4관계 : 사용자에게 승인된 허가(읽기, 쓰기, 실행)이다.
66. 다음 중 전자서명인증업무지침에 따라 공인인증기관이 지켜야 할 구체적인 사항이 아닌 것은?
- 1공인인증서의 관리에 관한 사항
- 2전자서명생성정보의 관리에 관한 사항
- 3공인인증기관 시설의 보호에 관한 사항
- 4공인인증기관 지정 절차에 관한 사항
67. IAM(Identity Access Management)에 대한 설명으로 틀린 것은?
- 1전사적 계정관리, 권한관리의 구현에 필요한 모든 요소들을 일반적으로 IAM이라고 부른다.
- 2IAM은 계정관리를 담당하는 IM분야와 권한통제를 담당하는 AM으로 나눠진다.
- 3사용자가 시스템을 사용하기 위해 로그인 ID를 발급하는 과정을 프로비저닝이라고 한다.
- 4사용자가 시스템에 로그인할 때 본인임을 증빙하는 과정을 인가(Authorization)라고 한다.
68. 전자서명을 적용한 예에 해당되지 않는 것은?
- 1Code Signing
- 2X.509 Certificate
- 3SSL/TLS Protocol
- 4Kerberos Protocol
69. 다음 문장과 같이 처리되는 프로토콜은?
- 1Diffie-Hellman
- 2Needhan-Schroeder
- 3Otway-Rees
- 4Kerberos
70. 송신자 A와 수신자 B가 RSA를 이용하여 키를 공유하는 방법에 대한 설명으로 틀린 것은?
- 1미국 MIT의 Rivest, Shamir, Adelman이 발표한 공개키 암호화 방식으로 이해와 구현이 쉽고, 검증이 오랫동안 되어서 가장 널리 쓰이고 있다.
- 2A가 암호화 되지 않은 평문으로 A의 공개키를 B에게 전송한다.
- 3B는 공유 비밀키를 생성, A에게서 받은 A의 공개키로 암호화 전송한다.
- 4A는 자신의 공개키로 공유 비밀키를 추출하고 데이터를 암호화 전송한다.
71. 암호문에 대응하는 일부 평문이 가용한 상황에서의 암호 공격 방법은?
- 1암호문 단독 공격
- 2알려진 평문 공격
- 3선택 평문 공격
- 4선택 암호문 공격
72. 합성수 n을 사용하는 RSA 전자서명 환경에서 메시지 M에 대해 난수 r에 공개 검증키 e를 가지고 reM mod n값을 서명자에게 전송하는 전자서명 기법은 무엇인가?
- 1은닉서명
- 2위임서명
- 3부인방지 서명
- 4이중서명
73. 다음 문장에서 설명하는 위험분석 방법론을 옳게 연결한 것은?
- 1㉠ : 확률 분포법, ㉡ : 순위결정법
- 2㉠ : 시나리오법, ㉡ : 델파이법
- 3㉠ : 델파이법, ㉡ : 확률 분포법
- 4㉠ : 시나리오법, ㉡ : 순위결정법
74. 다음 중 공개키 암호의 필요성으로 틀린 것은?
- 1무결성
- 2키 관리 문제
- 3인증
- 4부인방지
75. 다음 중 커버로스(Kerberos)의 구성요소가 아닌 것은?
- 1KDC(Key Distribution Center)
- 2TGS(Ticket Granting Service)
- 3AS(Authetication Service)
- 4TS(Token Service)
위키해설
클릭하면 보입니다.
커버로스 76. 공개키 암호 알고리즘이 아닌 것은?
- 1RSA(Rivest, Shamir, Adelman)
- 2ECC(Elliptic, Curvem Cryptosystems)
- 3ElGamal
- 4Rijndeal
77. 키를 분배하는 방법이 아닌 것은?
- 1KDC(Key Distribution Center)
- 2공개키 암호시스템
- 3Diffie-Hellman 키 분배 알고리즘
- 4Kerberos
78. 해시함수 h와 주어진 입력값 x에 대해 h(x)=h(x′)을 만족하는 x′(≠x)를 찾는 것이 계산적으로 불가능한 것을 의미하는 것은?
- 1압축성
- 2일방향성
- 3두 번째 역상저항성
- 4충돌 저항성
위키해설
클릭하면 보입니다.
해시함수 79. 다음 문장에서 설명하는 것은?
- 1타원 곡선 암호 시스템
- 2하이브리드 암호 시스템
- 3세션 키(의사난수 생성기)
- 4이중 암호 시스템
80. 메시지 출처 인증(Message Origin Authentication)에 활용되는 암호 기술 중 대칭키 방식에 해당하는 것은?
- 1전자서명
- 2해시함수
- 3이중서명
- 4메시지 인증 코드
정보보안 관리 및 법규
81. 주요 직무자 지정 및 관리시 고려해야 할 사항으로 틀린 것은?
- 1개인정보 및 중요정보의 취급, 주요 시스템 접근 등 주요 직무의 기준을 명확히 정의하여야 한다.
- 2주요 직무를 수행하는 임직원 및 외부자를 주요 직무자로 지정하고 그 목록을 최신으로 관리하여야 한다.
- 3업무 필요성에 따라 주요 직무자 및 개인정보취집자 지정을 최소화하는 등 관리방안을 수립·이행하여야 한다.
- 4파견근로자, 시간제근로자 등을 제외한 임직원 중 업무상 개인정보를 취급하는 자를 개인정보취급자로 지정하고 목록을 관리하여야 한다.
82. 정보통신기반보호법에서 정하는 주요 정보통신기반시설 보호계획의 수립 등에 포함되지 않는 사항은?
- 1주요정보통신기반시설의 취약점 분석·평가에 관한 사항
- 2정보보호 책임자 지정에 관한 사항
- 3주요정보통신기반시설 및 관리 정보의 침해사고에 대한 예방, 백업, 복구대책에 관한 사항
- 4주요정보통신기반시설의 보호에 관하여 필요한 사항
83. 다음 내용에 따른 국내대리인의 필수 공개 정보로 잘못된 것은?
- 1법인명, 대표명
- 2주소
- 3고객센터 연락처
- 4이메일
84. 정보통신기반 보호법에 의거하여 주요정보통신기반시설을 지정할 때 주요 고려사항으로 틀린 것은?
- 1다른 정보통신기반시설과의 상호연계성
- 2업무의 정보통신기반시설에 대한 의존도
- 3업무의 개인정보 보유 건수
- 4정보통신기반시설을 관리하는 기관이 수행하는 업무의 국가사회적 중요성
85. 정보통신망 이용 촉진 및 정보 보호 등에 관한 법률에서 정의하는 용어에 대한 설명으로 틀린 것은?
- 1㉠, ㉡
- 2㉡, ㉢
- 3㉢, ㉣
- 4㉡, ㉣
86. 조직의 정보보호 교육 대상자에 해당되지 않는 사람은?
- 1조직의 중요한 고객
- 2최고 경영자
- 3조직의 신입직원
- 4조직이 제공하는 정보를 이용하는 일부 외부 이용자 그룹
87. 다음 문장은 위험분석에 관한 설명이다. 괄호 안에 들어갈 내용은?
- 1㉠ : 위협, ㉡ : 위험, ㉢ : 발생가능성, ㉣ : 취약성
- 2㉠ : 취약성, ㉡ : 위험, ㉢ : 발생가능성, ㉣ : 위협
- 3㉠ : 위험, ㉡ : 취약성, ㉢ : 위협, ㉣ : 발생가능성
- 4㉠ : 발생가능성, ㉡ : 위협, ㉢ : 취약성, ㉣ : 위험
88. 다음 문장에서 설명하는 위험평가 방법은?
- 1기준선 접근법
- 2비정형 접근법
- 3상세 위험분석
- 4복합 접근방법
89. 정보보호관리체계 구축시 발생 가능한 문제점과 해결방안에 대한 설명으로 틀린 것은?
- 1관련 부서와의 조정이 곤란하다.
- 2직원들이 일상 업무에 바빠 관리체계 구축사업에 시간을 내기 어렵다.
- 3직원들은 자신의 책임을 피하기 위해 문제점이 발생하면 즉시 상사에게 보고하는 경향을 보인다.
- 4관리체계 구축에는 경영자의 리더십이 필수적으로 요구된다.
90. 다음 문장에서 설명하는 시스템 보안평가 기준은?
- 1TCSEC
- 2ITSEC
- 3CTCPEC
- 4CC
91. 100만명 미만의 정보주체에 관한 개인정보를 보유한 중소기업의 내부관리계획의 내용에 포함되지 않아도 될 사항은?
- 1개인정보 보호책임자의 지정에 관한 사항
- 2개인정보 유출사고 대응 계획 수립·시행에 관한 사항
- 3개인정보의 암호화 조치에 관한 사항
- 4개인정보 처리업무를 위탁하는 경우 수탁자에게 대한 관리 및 감독에 관한 사항
92. 비즈니스 연속성에서 고장과 관계된 수용될 수 없는 결과를 피하기 위해 재해 후에 비즈니스가 복귀되어야 하는 최단 시간 및 서비스 수준을 의미하는 것은?
- 1RTO
- 2WRT
- 3RP
- 4MTD
93. 정보의 수집·가공·저장·검색·송신·수신 중에 정보의 훼손·변조·유출 등을 방지하기 위한 관리적·기술적 수단인 정보보호의 목적으로 틀린 것은?
- 1기밀성 서비스 제공
- 2무결성 서비스 제공
- 3가용성 서비스 제공
- 4추적성 서비스 제공
94. 위험분석의 구성요소가 아닌 것은?
- 1비용
- 2취약점
- 3위협
- 4자산
95. 정보보호의 예방대책을 관리적 예방대책과 기술적 예방대책으로 나누어 볼 때 관리적 예방대책에 속하는 것은?
- 1안전한 패스워드를 강제로 사용
- 2침입차단 시스템을 이용하여 접속을 통제
- 3가상 사설망을 이용하여 안전한 통신 환경 구현
- 4문서처리 순서의 표준화
96. 건물 관리 및 화재 등 사고관리를 위해 건물입구를 비추도록 설치된 영상정보처리기기에서 사용할 수 있는 기능으로 옳은 것은?
- 1사고를 확인하기 위한 카메라 줌인, 줌아웃
- 2범인을 추적하기 위한 카메라 이동
- 3사고 내용을 확인하기 위한 음성 녹음
- 4사고 내용을 전달하기 위한 영상 전송
97. 다음 문장의 정보보호대책 선정시 영향을 주는 제약사항으로 옳은 것은?
- 1환경적 제약
- 2법적 제약
- 3시간적 제약
- 4사회적 제약
98. 개인정보보호 법령에 따른 영상정보처리기기의 설치·운영과 관련하여 정보주체가 쉽게 인식할 수 있도록 설치하는 안내판의 기재 항목이 아닌 것은?
- 1설치 목적
- 2영상정보 보관기관
- 3설치 장소
- 4촬영 범위
99. 개인정보보호법상 개인정보 유출사고의 통지, 신고 의무에 대한 설명으로 틀린 것은?
- 1정보통신서비스 제공자등은 개인정보의 유출등의 사실을 안 때에는 지체 없이 유출 등의 내역을 해당 이용자에게 알려야 한다.
- 2정보통신서비스 제공자등은 1천면 이상의 정보주체에 관한 개인정보의 유출등의 사실을 안 때에는 지체 없이 유출 등의 내역을 방송통신위원회 또는 한국인터넷진흥원에 신고하여야 한다.
- 3정보통신서비스 제공자등은 정당한 사유 없이 유출 등의 사실을 안 때에는 24시간을 경과하여 통지·신고해서는 아니 된다.
- 4정보통신서비스 제공자 등은 이용자의 연락처를 알 수 없는 등 정당한 사유가 있는 경우에는 유출 등의 내역을 자신의 인터넷 홈페이지에 30일 이상 게시하여야 한다.
100. 정보보호 거버넌스 국제 표준으로 옳은 것은?
- 1ISO27001
- 2BS10012
- 3ISO27014
- 4ISO27018
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
26
27
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
63
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
채점하기
hide
reset
타이머