1. 윈도우 시스템의 사용자 계정 및 패스워드를 암호화하여 보관하고 있는 SAM(Security Account Manager)에 대한 설명으로 틀린 것은?

• 1
   HEKY_LOCAL_MACHINE/SAM에 저장된 키는 일반계정도 확인할 수 있다.
• 2
   크래킹을 통해 패스워드를 얻을 수 있다.
• 3
   운영체제가 작동하는 한 접근할 수 없도록 잠겨져 있다.
• 4
   레지스트리 HKEY_LOCAL_MACHINE/SAM에 구체화된 자료들을 실제로 저장한다.

2. 디스크 스케줄링 알고리즘 중 엘리베이터 알고리즘이라고 불리는 기법은?

• 1
   SCAN
• 2
   SSTF
• 3
   C-SCAN
• 4
   FCFS

3. 윈도우에서 제공하는 BitLocker에 대한 설명으로 틀린 것은?

• 1
   윈도우 7에서도 가능하다
• 2
   exFAT 파일 시스템은 지원하지 않는다
• 3
   USB 저장매체도 지원 가능하다.
• 4
   텍스트 파일 형태의 복구키를 제공한다.

4. EDR(Endpoint Detection Response) 솔루션의 주요 기능으로 옳지 않은 것은?

• 1
   보안사고 탐지 영역
• 2
   보안사고 통제 영역
• 3
   보안사고 확산 영역
• 4
   보안사고 치료 영역

5. Windows 서버의 보안 옵션 설정 중 보안 강화를 위한 설정으로 옳지 않은 것은?

• 1
   "로그온 하지 않고 시스템 종료 허용"을 "사용 안함"으로 설정하였다.
• 2
   원격 관리를 위해 "원격 시스템에서 강제로 종료" 정책의 Administrators" 외 서버에 등록된 계정을 모두 등록하였다.
• 3
   "이동식 미디어 포맷 및 꺼내기 허용" 정책이 "Administrators"로 되어 있다.
• 4
   "SAM 계정과 공유의 익명 열거 허용 안함" 정책을 설정하였다.

6. 웹사이트 쿠키(cookie)에 대한 설명으로 틀린 것은?

• 1
   Set-Cookie 헤더를 통해 쿠키를 설정
• 2
   여러개의 값을 추가시 "/" 특수문자를 사용
• 3
   쿠키의 구조는 이름=값 형태로 구성
• 4
   사용자 PC에 저장

7. 다음 문장에서 설명하는 공격으로 올바르게 짝지어진 것은?

ㄱ. (  ㄱ  ) :시스템 또는 서비스의 ID, 패스워드에 대해서 도구를 이용하여 ID, 패스워드를 자동 조합하여 크랙하는 공격
ㄴ. (  ㄴ  ) : 시스템 또는 서비스의 ID, 패스워드에 대해서 도구를 이용하여  ID, 패스워드를 크랙하기 위해서 ID 와 패스워드가 될 가능성이 있는 단어를 사전파일로 만들어놓고 사전파일의 단어를 대입하여 크랙하는 공격

• 1
   ㄱ : Warwalking ㄴ: Evil Twin
• 2
   ㄱ : 사전 공격 ㄴ: 무차별 공격
• 3
   ㄱ : 무차별 공격 ㄴ: 사전 공격
• 4
   ㄱ : Evil Twin ㄴ : Wardriving

8. 내부 정보 유출 차단용 보안솔루션에 대한 설명으로 틀린 것은?

• 1
   문서암호화 솔루션 : PC에 저장되는 파일을 암호화하고 외부로 유출시 복호화 가능
• 2
   내부정보 유출 방지 솔루션 : 메일, 메신저, 웹 등을 통해 발생할 수 있는 중요정보 유출을 탐지, 차단
• 3
   문서중앙화 시스템 : 문서 작업의 결과가 원천적으로 PC에 남지 않으므로 파일유출을 차단
• 4
   네트워크 방화벽 : PC 메신저나 웹 메일 등 내부 정보유출 수단으로 쓰이는 프로그램을 네트워크 방화벽에서 도메인 기준으로 차단

9. 리눅스 환경에서 로그에 대한 설명으로 틀린 것은?

• 1
   secure 로그: 사용자의 원격 로그인 정보를 저장
• 2
   dmesg 로그: 시스템 부팅 관련 시스템 메시지 저장
• 3
   lastlog 로그: 사용자가 로그인한 마지막 로그를 저장
• 4
   wtmp 로그: 사용자의 루트 접속 기록 저장

10. 윈도우 시스템 암호화에 대한 설명으로 틀린 것은?

• 1
   BitLocker는 윈도우 운영체제에서 제공하는 볼륨 단위의 암호화 기능이다.
• 2
   BitLocker는 컴퓨터를 시작하는데 필요한 시스템 파티션 부분도 암호화한다.
• 3
   EFS(Encrypted File Service)는 사용자 단위 데이터 암호화 기능을 제공한다.
• 4
   EFS(Encrypted File Service)는 컴퓨터 단일 또는 복수 사용자에 대한 파일 및 폴더 단위 암호화를 지원한다.

11. AI나 머신러닝의 이미지 인식에 있어서 이미지 속에 인간이 감지할 수 없는 노이즈나 작은 변화를 주어 AI 알고리즘의 특성을 악용하여 잘못된 판단을 유도하는 공격은?

• 1
   Membership inversion 공격
• 2
   Adversarial 공격
• 3
   Poisoning 공격
• 4
   Model inversion 공격

12. 다음은 포맷스트링의 종류를 설명하고 있다. 형식에 대한 매개변수는?

%d : 정수형 10진수 상수(integer)
(  ㄱ  ) : 문자스트링
(  ㄴ  ) : 16진수 양의 정수
(  ㄷ  ) : %n의 반인 2바이트 단위

• 1
   ㄱ : %s ㄴ: %o ㄷ : %lf
• 2
   ㄱ : %s ㄴ: %x ㄷ : %hn
• 3
   ㄱ : %c ㄴ: %o ㄷ : %lf
• 4
   ㄱ : %c ㄴ: %x ㄷ : %hn

13. netstat 명령어를 통해 확인할 수 없는 정보는?

• 1
   소켓을 열고 있는 프로세스 ID, 프로세스 이름
• 2
   라우팅 테이블 정보
• 3
   열린 포트 정보
• 4
   데이터 패킷

14. 리눅스에서 제공하는 Cron 기능에 대한 설명으로 틀린 것은?

• 1
   crontab -r 명령어로 등록된 데이터를 삭제할 수 있다.
• 2
   루트 권한으로 실행은 불가능하다
• 3
   특정 시간에 작업해야 하는 명령어 실행이 가능하다.
• 4
   파이썬, 펄 등의 스크립트 언어도 실행이 가능하다.

15. Visual Basic 스크립트를 이용한 악성코드에 대한 설명으로 옳은 것은?

• 1
   웹브라우저에서 실행될 경우 스크립트가 브라우저에 내장되므로 파일의 내용을 확인하기 어렵다.
• 2
   독립형으로 개발할 경우 파일 생성에 제한을 받아 웜형 악성코드를 만들지 못한다.
• 3
   확장자는 VBA이다.
• 4
   러브버그라고 불리는 이메일에 첨부되어 전파된 바이러스가 Visual Basic 스크립트로 개발되었다.

16. 다음은 sudo 설정파일 (/etc/sudoers)의 내용이다. sudo를 통한 명령 사용이 불가능한 사용자는?

%admin ALL=(ALL) ALL
%sudo ALL=(ALL:ALL) ALL
root ALL=(ALL:ALL) ALL
guest3 ALL=(ALL:ALL) ALL

• 1
   uid=(10)guest1, gid=(10)guest 1, groups=(10)guest1,3(admin)
• 2
   uid=(11)guest2, gid=(11)guest 2, groups=(11)guest2,4(sudo)
• 3
   uid=(12)guest3, gid=(12)guest 3, groups=(12)guest3,5(admin)
• 4
   uid=(13)guest4, gid=(13)guest 4, groups=(13)guest4,5(admin)

17. 랜섬웨어에 대한 설명으로 틀린 것은?

• 1
   단방향 암호화 방식을 주로 사용한다.
• 2
   파일 확장자를 임의 변경한다
• 3
   안티바이러스 프로그램을 강제 종료한다.
• 4
   윈도우 복원 시점을 제거한다.

18. 리버스엔지니어링 분석 방법 중 소스코드를 이해하고 분석하는 방법으로 소프트웨어의 프로그래밍 오류와 구현 오류를 찾을 때 유용한 분석 방법은?

• 1
   블랙박스 분석
• 2
   화이트박스 분석
• 3
   그레이박스 분석
• 4
   그린박스 분석

19. 침해 당한 리눅스 서버의 하드 디스크를 umount 명령을 통해 분리하는 과정에서 "Device is busy"라는 문구 때문에 분리하지 못하고 있는 상황이다. 디바이스를 사용 중인 프로세스를 찾기 위해 사용할 수 있는 명령어로 옳은 것은?

• 1
   mount
• 2
   losf
• 3
   ps
• 4
   netstat

20. 다음 중 파일 시스템의 무결성 보장을 위해 점검해야 할 사항으로 옳지 않은 것은?

• 1
   파일의 소유자, 소유그룹 등의 변경 여부 점검
• 2
   파일의 크기 변경 점검
• 3
   최근에 파일에 접근한 시간 점검
• 4
   파일의 symbolic link 의 수 점검

21. 다음 문장에서 설명하는 보안시스템은?

- 과거 IP 관리 시스템에서 발전한 솔루션으로 기본적인 개념은 IP관리 시스템과 거의 같고, IP 관리 시스템에 네트워크에 대한 통제를 강화한 보안 시스템이다.
- 접근 제어 및 인증 기능은 일반적으로 MAC 주소를 기반으로 수행된다.

• 1
   NAC
• 2
   DRM
• 3
   SSO
• 4
   IDS

22. 봇넷(Botnet) 또는 C&C(Command & Control)에 많이 사용되는 프로토콜로 IRC(Internet Relay Chat)프로토콜이 있다. 다음 중 IRC의 기능이 아닌 것은?

• 1
   다수의 사용자들과 텍스트 메시지를 공유
• 2
   사용자들 간의 파일 전송
• 3
   한 클라이언트의 사용자가 다른 클라이언트 상에서 실행 가능한 메시지 전송
• 4
   바이러스 프로그램의 제작

23. 어느 회사의 메일 서버가 스팸 메일 발송 경유지로 악용하는 사례가 발생하였다. 이 때 보안관리자는 pcap 파일을 통해 패킷 분석을 진행하고자 보기와 같은 필터링을 실행하였다. 다음 필터링 결과에 대한 설명으로 옳은 것은?

SMTP.req.command=="EHLO"

• 1
   이메일 서비스 확장 지원 세션을 시작한 것을 필터링
• 2
   SMTP 세션을 싲가한 것을 필터링
• 3
   서버에 인증을 시작한 것을 필터링
• 4
   메일 데이터 전송을 한 것을 필터링

24. 리버싱을 하기 위해서는 여러 가지 도구가 필요하다. 제시된 도구들과 그 역할이 올바르게 짝지어진 것은?

ㄱ OllyDbg              a PE 파일의 구조와 동작 확인
ㄴ Procexp             b 파일 이벤트 정보 확인
ㄷ FileMonitor      c 프로세스 동작 정보 확인

• 1
   ㄱ-a ㄴ-b ㄷ-c
• 2
   ㄱ-a ㄴ-c ㄷ-b
• 3
   ㄱ-c ㄴ-b ㄷ-a
• 4
   ㄱ-c ㄴ-a ㄷ-b

25. 스니핑 기법으로 틀린 것은?

• 1
   Switch Jamming
• 2
   Sync Flooding
• 3
   ARP Redirect
• 4
   ICMP Redirect

26. 2016년에 처음 발견되었으며, IP 카메라나 가정용 라우터와 같은 IoT 장치를 주요 공격 대상을 삼는 DDoS 공격용 봇넷은?

• 1
   님다(Nimda)
• 2
   미라이(Mirai)
• 3
   스턱스넷(Stuxnet)
• 4
   SQL슬래머(Slammer)

27. ARP 스푸핑(Spoofing)은 LAN(Local Area Network)상에서 MAC 주소를 조작하는 공격기법이다. 이에 대한 설명으로 옳은 것은?

• 1
   시스템의 ARP 테이블을 동적(Dynamic)으로 관리한다.
• 2
   ping [ip주소] 명령을 사용하여 시스템을 모니터링한다.
• 3
   arp -s [ip주소] [mac주소] 명령을 통해 ARP 테이블을 관리한다.
• 4
   nslookup [mac 주소] 명령을 사용해 통신 경로를 절대경로로 설정한다.

28. Tcpdump를 사용한 패킷 스니핑에 관한 설명이다. 괄호 안에 들어갈 적당한 말은?

ㄱ   : 동일 Segment 내 패킷을 복제하여 정보를 수집한다.
ㄴ   : 목적지의 MAC 주소가 같지 않아도  패킷을 폐기하지 않고 수신한다.

• 1
   ㄱ: 포트 스캐닝. ㄴ: 단일 모드
• 2
   ㄱ: 포트 미러링: ㄴ: 무차별 모드
• 3
   ㄱ: 포트 미러링 ㄴ: 단일 모드
• 4
   ㄱ: 포트 스캐닝 ㄴ : 무차별 모드

29. 네트워크 침입탐지와 방지를 위해 ModSecurity 를 설치 운용하고자 한다. ModSecurity 정책 설정을 위해 SecAuditEngine에 설정할 수 없는 것은?

• 1
   DetectionOnly
• 2
   On
• 3
   Off
• 4
   RelevantOnly

30. 정찰공격(reconnaissance attack)을 위해 사용되는 도구가 아닌 것은?

• 1
   핑 스윕
• 2
   포트 스캔
• 3
   패킷 스니퍼
• 4
   포트 리다이랙션

31. 다음 IPv4(IP version 4) 데이터그램에 대한 설명으로 옳은 것은?

• 1
   IPsec(IP Security) 터널모드(Tunnel)의 데이터그램이다.
• 2
   IPsec(IP Security)의 AH(Authentication Header)가 적용되어 TCP헤더와 TCP데이터는 암호화되어 있다.
• 3
   IPsec(IP Security)의 AH(Authentication Header)가 적용되어 SA(Security association)를 식별할 수 있다.
• 4
   IPsec(IP Security)의 AH(Authentication Header)가 적용되어 IPv4 헤더에 무결성, 인증을 위한 데이터가 추가된 데이터그램이다.

32. 네트워크 처리 능력을 개선하고자 VLAN을 구성할 때 VLAN 오/남용을 경감시키기 위한 방법으로 옳지 않은 것은? (단, 스위치에 연결된 호스트들을 그룹으로 나누어서 VLAN-1(native)과 VLAN-2로 그룹을 설정하였다고 가정한다.)

• 1
   관리상 VLAN 관리 정책 서버(VMPS)를 사용한다.
• 2
   native VLAN 포트 (VLAN ID 1)에 대한 접근을 제한한다.
• 3
   트렁크 포트들의 native VLAN에 신뢰할 수 없는 네트워크를 붙이지 않는다.
• 4
   모든 포트에 동적 트렁킹 프로토콜(DTP)을 꺼 놓는다.

33. 다음 문장은 어떤 스푸핑(spoofing) 공격인가?

• 1
   e-mail 스푸핑
• 2
   IP 스푸핑
• 3
   DNS 스푸핑
• 4
   ARP 스푸핑

34. 네트워크 공격 유형이 아닌 것은?

• 1
   패킷 스니핑 공격
• 2
   포맷스트링 공격
• 3
   서비스거부 공격
• 4
   스푸핑 공

35. IDS(Intrusion Detection System)에 대한 설명으로 틀린 것은?

• 1
   감사와 로깅할 때 네트워크 자원이 손실되거나 데이터가 변조되지 않는다.
• 2
   네트워크에서 백신과 유사한 역할을 하는 것으로 네트워크를 통한 공격을 탐지하는 위한 장비이다.
• 3
   네트워크를 통한 공격을 탐지할뿐 아니라 차단을 수행한다.
• 4
   설치 위치와 목적에 따라 HIDS와 NIDS로 나뉠 수 있다.

36. 윈도우즈 시스템에서 포트번호와 서비스명 및 전송 프로토콜이 올바르게 연결된 것은?

• 1
   138-NetBIOS 데이터그램 서비스-UDP
• 2
   139-NetBIOS 세션 서비스-UDP
• 3
   110-POP3-UDP
• 4
   143-IMAP-UDP

37. 다음 문장의 (가), (나)에 들어갈 말로 올바르게 연결된 것은?

• 1
   가 : Exploit, 나 : Trojan
• 2
   가 : Imapd, 나 : Trojan
• 3
   가 : Trojan, 나 : Exploit
• 4
   가 : Exploit, 나 : Imapd

38. 다음 문장에서 설명하는 VPN(Virtual Private Network)으로 옳은 것은?

• 1
   PPTP
• 2
   L2TP
• 3
   SSTP
• 4
   SSH

39. 다음은 스노트(snot)룰 예시이다. 룰의 구성에 대한 설명으로 틀린 것은?

• 1
   alert를 발생하고 로그를 남긴다.
• 2
   패턴 매칭시 대소문자를 구분한다.
• 3
   content를 첫 번째 바이트로부터 13번째 바이트 범위안에서 검사한다.
• 4
   출발지를 기준으로 매 1초동안 10번째 이벤트마다 action을 수행한다.

40. 무선LAN 통신에서 패스프레이즈와 같은 인증없이 단말과 액세스 포인트간의 무선 통신을 암호화하는 것은?

• 1
   Enhanced Open
• 2
   FIDO2
• 3
   WebAuthn
• 4
   WPA3

41. 다음 문장에서 설명하는 공격 위협은?

• 1
   정보 누출
• 2
   악성 콘텐츠
• 3
   크로스사이트 스크립팅
• 4
   디렉터리 인덱싱

42. 다음 중 무선 인터넷 보안 기술에 대한 설명이 맞게 짝지어진 것은?

• 1
   WAP(Wireless Application Protocol) - 무선 전송계층 보안을 위해 적용한다.
• 2
   WTLS(Wireless Transport Layer Security) - 이동형 단말기에서 인터넷에 접속하기 위해 고안된 통신 규약이다.
• 3
   WSP(Wireless Session Protocol) - 장시간 활용하는 세션을 정의하고 세션 관리를 위해 Suspend/Resume 기능과 프로토콜 기능에 대한 협상이 가능하다.
• 4
   WTP(Wireless Transaction Protocol) - IEEE 802.11i 표준에 정의된 보안규격으로 RC4 알고리즘을 기반으로 한다.

43. PGP(Pretty Good Privacy)에서 사용하는 암호 알고리즘이 아닌 것은?

• 1
   RSA
• 2
   SHA
• 3
   Diffie-Hellman
• 4
   AES

44. 익명 FTP 보안 대책 수립에서 익명 FTP에 불필요한 항목(계정 등)을 제거하기 위한 파일의 경로로 옳은 것은?

• 1
   /etc/pam.d/ftp
• 2
   /etc/ftpusers
• 3
   $root/etc/passwd
• 4
   /bin/etc/pub

45. 홀·가전 IOT 제품들의 주요 보안위협 원인으로 틀린 것은?

• 1
   인증메커니즘 부재
• 2
   물리적 보안 취약점
• 3
   강도가 약한 비밀번호
• 4
   취약한 DBMS 버전

46. 다음 중 SQL Injection의 공격 유형이 아닌 것은?

• 1
   인증 우회
• 2
   데이터 노출
• 3
   원격 명령 실행
• 4
   서비스 거부

47. 버퍼오버플로우 공격을 막기 위해 사용을 권장하는 프로그램 함수는?

• 1
   strcat()
• 2
   strncat()
• 3
   gets()
• 4
   sscanf()

48. 다음 문장에서 설명하는 것은?

• 1
   복합서명
• 2
   복합암호화
• 3
   이중서명
• 4
   이중암호화

49. 다음 문장에서 설명하는 공격 대응 방법은?

• 1
   DNS 라우팅
• 2
   DNS 스푸핑
• 3
   DNS 웜홀
• 4
   DNS 싱크홀

50. 안드로이드 앱 구조 요소 중 앱 실행시 반드시 필요한 권한을 선언하며, 안드로이드 빌드 도구 및 안드로이드 운영체제에 관한 필수 정보를 설명하는 파일은?

• 1
   AndroidManifest.xml
• 2
   MainActivity
• 3
   activity_main.xml
• 4
   build.gradle

51. 이메일 클라이언트를 이용해 이메일을 발송하는 경우 SMTP가 사용된다. 인증절차 후 이메일을 발송하는 절차로 옳은 것은?(문제 오류로 가답안 발표시 2번으로 발표되었지만 확정답안 발표시 모두 정답처리 되었습니다. 여기서는 가답안인 2번을 누르면 정답 처리 됩니다.)

• 1
   EHLO＞MAIL＞RCPT＞DATA＞QUIT
• 2
   EHLO＞AUTH＞RCPT＞MAIL＞DATA＞QUIT
• 3
   AUTH＞EHLO＞RCTP＞DATA＞QUIT
• 4
   AUTH＞EHLO＞RCTP＞MAIL＞DATA＞QUIT

52. 다음 중 안드로이드 시스템 권한에 대한 설명으로 틀린 것은?

• 1
   ACCESS_CHECKIN_PROPERTIES : 체크인 데이터베이스의 속성테이블 액세스 권한
• 2
   LOADER_USAGE_STATS : 액세스 로그 읽기 권한
• 3
   SET_PROCESS_LIMIT : 제한처리 지정 권한
• 4
   CHANGE_COMPONENT_ENABLED_STATE : 환경 설정 변경 권한

52. 검색엔진에서 자동으로 사이트를 수집 및 등록하기 위해서는 사용하는 크롤러(Crawler)로부터 사이트를 제어하기 위해서 사용하는 파일은?

• 1
   crawler.txt
• 2
   access.conf
• 3
   httpd.conf
• 4
   robots.txt

53. XSS(Cross-Site Scripting)에 대한 설명으로 틀린 것은?

• 1
   XSS 공격은 다른 사용자의 정보를 추출하기 위해 사용되는 공격 기법을 말한다.
• 2
   사용자가 전달하는 입력값 부분에 스크립트 태그를 필터링 하지 못하였을 때 XSS 취약점이 발생한다.
• 3
   Stored XSS는 게시판 또는 자료실과 같이 사용자가 글을 저장할 수 있는 부분에 정상적인 평문이 아닌 스크립트 코드를 입력하는 기법을 말한다.
• 4
   Reflected XSS는 웹 애플리케이션상에 스크립트를 저장해 놓은 것이다.

55. 안드로이드(Android) 플랫폼을 기반으로 개발된 모바일 앱의 경우, 디컴파일 도구 이용시 실행파일(.apk)을 소스코드로 쉽게 변환시킬 수 있어 앱 구조 및 소스코드를 쉽게 분석할 수 있다. 이를 방지하기 위한 기술은?

• 1
   난독화
• 2
   무결성 점검
• 3
   안티 디버깅
• 4
   루

56. 다음 중 DNS 증폭 공격(DNS Amplification DDoS Attack)에 대한 설명으로 틀린 것은?

• 1
   DNS 질의는 DNS 질의량에 비하여 DNS 서버의 응답량이 훨씬 크다는 점을 이용한다.
• 2
   DNS 프로토콜에는 인증 절차가 없다는 점을 이용한다.
• 3
   Open DNS Resolver 서버에 DNS Query의 Type을 “Any”로 요청한다.
• 4
   대응 방안으로 DNS 서버 설정을 통해 내부 사용자의 주소만 반복퀴리(Iterative Query)를 허용한다.

57. 다음 문장에서 설명하는 데이터베이스의 보안 사항은?

• 1
   DDL(Data Definition Language)
• 2
   뷰(View)
• 3
   SQL(Structed Query Language)
• 4
   DCL(Data Control Language)

58. 어플리케이션의 공유 라이브러리에 대한 호출을 확인하기 위해 사용되는 리눅스의 디버깅 유틸리티는?

• 1
   windbg
• 2
   jdbc
• 3
   ltrace
• 4
   tcpdump

59. 다음 문장에서 설명하는 것은?

• 1
   EDI(Electronic Data Interchange)
• 2
   XML/EDI
• 3
   XML(Extensible Markup Language)
• 4
   ebXML(Electronic Business Extensible Markup Language)

60. 다음 설명과 같이 서버에서 활성화 여부를 점검해야하는 프로토콜은?

• 1
   tftp
• 2
   vsftp
• 3
   ftp
• 4
   proftp

61. CRL(Cetificate Revocation List)에 포함되는 정보는?

• 1
   만료된 디지털 인증서의 공개키
• 2
   만료된 디지털 인증서 일련번호
• 3
   만료일 내에 만료된 디지털 인증서의 공개키
• 4
   만료일 내에 만료된 디지털 인증서 일련 번호

62. 다음 문장은 어떤 인증방식을 설명한 것인가?

• 1
   OTP
• 2
   UTP
• 3
   SEP
• 4
   전자화

63. SSL/TSL에 대한 설명으로 옳은 것은?

• 1
   SSL/TSL을 사용하고 있는 기업은 신뢰할 수 있기 때문에 신용카드 번호를 보내도 된다.
• 2
   SSL/TSL에서는 공개키가 서버로부터 오기 때문에 클라이언트는 공개키를 가지고 있지 않아도 서버를 인증할 수 있다.
• 3
   SSL/TSL 1.3을 사용하면 통신의 기밀성을 확보할 수 있다.
• 4
   SSL/TSL에서는 통신 전의 데이터, 통신 중의 데이터, 통신 후의 데이터를 보호해준다.

64. 해시값과 메시지 인증 코드(Message Authentication Code, MAC)에 대한 설명으로 틀린 것은?

• 1
   해시값만을 통해 두사람이 문서를 주고 받았을 때 MITM(Man-In-The-Middle, 중간자 공격)공격을 받을 수 있다. 즉, 해시값을 보고 수신된 문서 위변조에 대한 상호신뢰를 확신할 수 없다.
• 2
   해시값에 암호개념을 도입한 것이 HMAC(Hash Message Authentication Code)이며, 이때 메시지 송수신자는 비밀키(Encryption Key) 또는 세션키(session Code)를 사전에 안전한 채널을 통해 공유해야 한다.
• 3
   메시지 인증을 위해서는 사용되는 Message Digest(해시값)는 메시지 저장소에 파일이 위변조되지 않았다는 것을 보장하기 위해서 사용하기도 한다.
• 4
   메시지 크기와 상관없이 MAC 생성과정, 즉 해시값 생성, 암호화 등이 속도는 균일하여 다른 암호화 알고리즘에 비해 속도가 빠르다.

65. OTP(One Time Password)와 HSM(Hardware Security Module)에 대한 설명으로 틀린 것은?

• 1
   OTP는 공개키를 사용한다.
• 2
   OTP는 PKI를 개변 연동한다.
• 3
   HSM의 안정성 인증 적용 표준은 FIPS 140-2 이다.
• 4
   HSM은 공개키를 사용한다.

66. 다음 문장에서 설명하는 원칙은?

• 1
   최소 권한
• 2
   필요 권한
• 3
   불필요 권한
• 4
   등급 권

67. 다음 중 빅데이터 비식별화 처리기법 중 가명처리 방법에 해당하는 것은?(문제 오류로 가답안 발표시 3번으로 발표되었지만 확정답안 발표시 모두 정답처리 되었습니다. 여기서는 가답안인 3번을 누르면 정답 처리 됩니다.)

• 1
   총계처리
• 2
   랜덤 라운딩
• 3
   암호화
• 4
   재배열

68. 다음 그림의 Needham-Schroeder 프로토콜에 대한 설명으로 틀린 것은?

• 1
   사용자 Alice는 사용자 Bob과 공유할 대칭키를 KDC에게 생성해주도록 요청한 후 사용자 Bob과 안전하게 공유하게 된다.
• 2
   사용자 Alice와 KDC, 사용자 Bob과 KDC 간에 전달되는 메시지는 사전에 공유된 대칭키인 마스터키를 이용하여 암호화되어 전달되므로 안전하게 보호된다.
• 3
   사용자 Alice와 Bob이 난수 N2와 N3를 암호화해서 교환하고 암호화된 N2-1과 N3-1을 받는 이유는 상호인증 기능을 수행하는데 목적이 있다.
• 4
   이 방식은 공격자가 Ticketb와 Kab{N2}를 스니핑하여 복제한 후 복제된 메시지와 Alice로 위장한 자신의 신분정보를 보내는 재전송공격에 취약한 단점이 있다.

69. 보안 인증기법에 대한 설명으로 틀린 것은?

• 1
   OTP 인증기법은 지식기반 인증방식으로 고정된 시간 간격 주기로 난수값을 생성하고, 생성된 난수값과 개인 PIN 번호 입력을 통해 인증시스템의 정보와 비교하여 사용자 인증을 수행한다.
• 2
   ID/PW 인증기법은 지식기반 인증방식으로 타 인증방식에 비해 구축비용이 적고 사용하기 편리하다는 장점이 있다.
• 3
   공인인증서 인증기법은 소유기반 인증방식으로 별도 매체의 고유정보를 제시하도록 함으로써 사용자 인증을 수행한다.
• 4
   I-PIN(Internet Personal Identification Number)는 지식기반 인증방식으로 'ID/PW'와 주민번호를 대체하기 위하여 만들어졌다.

70. 다음 중 OCSP(Online Certificate Status Protocol : 온라인 인증서 상태 프로토콜) 서버의 응답값 중 인증서 상태표시 메시지가 아닌 것은?

• 1
   good
• 2
   revoked
• 3
   unknown
• 4
   bad

71. 다음 문장에서 설명하는 사전 키 분배 방식은?

• 1
   Blom 방식
• 2
   커버로스 방식
• 3
   공개키분배 방식
• 4
   키 로밍 방식

72. 다음은 Diffie-Hellman 알고리즘에 대한 내용을 설명한 것이다. 괄호 안에 들어가야 할 내용은?

• 1
   ㉠ : 공개키, ㉡ : 개인키
• 2
   ㉠ : 마스터키, ㉡ : 공개키
• 3
   ㉠ : 임시키, ㉡ : 고정키
• 4
   ㉠ : 개인키, ㉡ : 공개키

73. 다음 문장에서 설명하는 접근통제 구성요소는?

• 1
   정책
• 2
   매커니즘
• 3
   보안모델
• 4
   OSI 보안구

74. 온라인 인증서 상태 프로토콜(OCSP : Online Centificate Status Protocol)에 대한 설명으로 틀린 것은?

• 1
   OCSP는 X.509를 이용한 전자 서명 인증서의 폐지 상태를 파악하는데 사용되는 인터넷 프로토콜이다.
• 2
   RFC 6960으로 묘사되며, 인터넷 표준의 경로가 된다.
• 3
   온라인 인증서 상태 프로토콜을 통해 전달받는 메시지들을 AES로 암호화되며, 보통 HTTP로 전달받는다.
• 4
   이 프로토콜의 도입 이유 중 하나는 고가의 증권 정보나 고액의 현금 거래 등 데이터 트랜잭션의 중요성이 매우 높은 경우 실시간으로 인증서 유효성 검증이 필요하기 때문이다.

75. 다음 중 신규 OTP 기술에 대한 설명으로 틀린 것은?

• 1
   거래연동 OTP란 수신자계좌번호, 송금액 등의 전자금융거래 정보와 연동되어 OTP를 발생시키는 OTP로 정의된다.
• 2
   USIM OTP는 사용자의 휴대폰의 USIM내에 OTP모듈 및 주요정보를 저장하여 OTP를 안전하게 생성하고 인증을 수행하는 OTP이다.
• 3
   스마트 OTP란 IC칩 기반의 스마트카드와 NFC 기능을 지원하는 스마트폰에 OTP를 발생시크는 것이다.
• 4
   MicroSD OTP란 사용자 휴대폰의 MicroSD내에 OTP모듈 및 주요정보를 저장하여 복제가 되지 않는 안전한 IC칩 기반의 OTP이다.

76. 메시지 인증 코드(MAC)의 재전송 공격을 예방하기 위한 방법으로 옳지 않은 것은?

• 1
   순서 번호
• 2
   타임스탬프
• 3
   비표
• 4
   부인방지

77. 암호화 장치에서 암호화 처리시에 소비 전력을 측정하는 등 해당 장치 내부의 비밀 정보를 추정하는 공격은?

• 1
   키로거
• 2
   사이드채널 공격
• 3
   스미싱
• 4
   중간자 공격

78. RSA 암호시스템에서 다음의 값을 이용한 암호문 C값은?

• 1
   1
• 2
   3
• 3
   5
• 4
   7

79. 다음 중 스마트카드에 대한 설명으로 틀린 것은?

• 1
   접촉식 스마트카드는 리더기와 스마트카드의 접촉부(CHIP) 사이의 물리적 접촉에 의해 작동하는 스마트카드이다.
• 2
   SIM카드는 가입자 식별 모듈(Subscriber Identification Module)을 구현한 IC 카드이다.
• 3
   인증 데이터 저장을 위해 서명된 정적 응용 프로그램 데이터와 인증기관(CA)의 개인키로 발행자의 공개키를 암호화된 데이터를 스마트카드에 저장한다.
• 4
   인증기관(CA)의 개인키를 스마트카드 단말에 배포한다.

80. 다음 중 접근통제 정책이 아닌 것은?

• 1
   MAC
• 2
   DAC
• 3
   RBAC
• 4
   ACL