1. 윈도우에서 관리 목적상 기본적으로 공유되는 폴더 중에서 Null Session Share 취약점을 갖는 것은?

• 1
   C$
• 2
   G$
• 3
   IPC$
• 4
   ADMIN$

2. 다음 중 포맷 스트링(Format String)공격에 대해 잘못 설명한 것은?

• 1
   시스템 자원을 고갈시켜 가용성을 공격하는 기법이다.
• 2
   대표적으로 printf() 함수를 공격 대상으로 삼는다.
• 3
   포맷 스트링을 취약점으로 stack에 비정상적으로 접근한다.
• 4
   Write가 허용된 Memory Segment에 원하는 값을 삽입할수 있다.

3. 랜섬웨어에 대한 설명으로 틀린 것은?

• 1
   단방향 암호화 방식을 주로 사용한다.
• 2
   파일 확장자를 임의 변경한다
• 3
   안티바이러스 프로그램을 강제 종료한다.
• 4
   윈도우 복원 시점을 제거한다.

4. 랜섬웨어의 특징으로 옳지 않은 것은?

• 1
   CryptoLocker는 중요 파일을 암호화하고 돈을 요구한다.
• 2
   Browlock은 경찰로 위장하여 불법사이트 접속에 대한 벌금 납부를 유도한다.
• 3
   주로 파일 암호화 알고리즘인 RSA를 이용한다.
• 4
   돈을 지급하더라도 복구가 제대로 이루어지지 않는 경우가 많다.

5. 다음 윈도우(Windows)의 Administrators 그룹에 대한 설명으로 틀린 것은?

• 1
   대표적인 관리자 그룹으로 윈도우 시스템의 모든 권한을 가지고 있다.
• 2
   사용자 계정을 만들거나 없앨 수 있다.
• 3
   윈도우가 사용 가능한 모든 자원에 대한 권한을 설정할 수 있다.
• 4
   해당 컴퓨터 밖의 네트워크에서도 일반 사용자보다 특별한 권한을 행사할 수 있다.

6. Window에서 파일이 삭제된 직후 일정 시간(기본 15초)안에 동일한 이름의 파일이 생성되는 경우 방금 삭제된 파일의 테이블 레코드를 재사용하는 경우가 있다. 이러한 특징을 갖는 기능은?

• 1
   파일시스템 터널링(File system tunneling)
• 2
   Shellbags
• 3
   윈도우 파일 프로텍션
• 4
   타임스톰핑

7. 다음의 방어 기법으로 예방할 수 있는 공격으로 가장 알맞은 것은?

Data Execution Prevention(DEP), No-eXecute

• 1
   랜섬웨어 공
• 2
   힙 스프레이
• 3
   SQL 인젝션
• 4
   ATP 공격

8. 다음중 레지스트리 키 값에 없는 것은?

• 1
   HKEY_CLASSES_ROOT
• 2
   HKEY_CURRENT_MACHINE
• 3
   HKEY_USERS
• 4
   HKEY_CURRENT_USER

9. 공유폴더 사용권한의 특징에 대한 설명으로 올바르지 못한 것은?

• 1
   공유폴더 사용권한은 파일에도 적용된다.
• 2
   NTFS사용권한보다 약한 보안을 제공한다.
• 3
   네트워크 접근 사용만을 제한하고 로컬접속을 제어할 수 없다.
• 4
   기본 공유폴더 사용권한은 Everyone 그룹에게 모든 권한이 주어진다.

10. TCP_WRAPPER 활용시에 로그파일은 일반적으로 ( )과 ( )파일에 기록된다. 괄호안에 순서대로 알맞은 내용은?

• 1
   dmessage, secure
• 2
   message, secure
• 3
   btmp, message
• 4
   wtmp, secure

11. 유닉스 파일시스템 설명으로 옳지 않은 것은?

• 1
   파일의 권한은 소유자, 그룹, 일반 사용자로 구성되어 있다.
• 2
   파일의 변경 또는 삭제는 소유자만 가능하다.
• 3
   유닉스 파일 시스템은 NFS(Network File System)를 통해서 파일을 공유할 수 있다.
• 4
   파일 시스템은 계층 형으로 구성되어 있다.

12. 아래의 명령어 수행 후 test.out 의 속성에 관한 설명으로 옳은 것은?

[localhost@staff]$ chmod 4755 test.out

• 1
   해당 파일은 모두(everyone)에게 쓰기 권한이 있다.
• 2
   파일은 staff 계정으로만 읽기가 가능하다.
• 3
   실행하는 사용자 권한에 상관 없이 test.out은 staff권한으로 실행된다.
• 4
   실행하는 사용자 권한에 상관 없이 test.out은 root권한으로 실행된다.

13. 다음 중 루트킷에 대한 설명으로 올바르지 못한 것은?

• 1
   로그 파일을 수정한다.
• 2
   루트킷은 자기 복제가 가능해 다른 PC에도 설치된다.
• 3
   시스템 흔적을 제거한다.
• 4
   기존 시스템 도구들을 수정한다.

14. 윈도우 시스템 암호화에 대한 설명으로 틀린 것은?

• 1
   BitLocker는 윈도우 운영체제에서 제공하는 볼륨 단위의 암호화 기능이다.
• 2
   BitLocker는 컴퓨터를 시작하는데 필요한 시스템 파티션 부분도 암호화한다.
• 3
   EFS(Encrypted File Service)는 사용자 단위 데이터 암호화 기능을 제공한다.
• 4
   EFS(Encrypted File Service)는 컴퓨터 단일 또는 복수 사용자에 대한 파일 및 폴더 단위 암호화를 지원한다.

15. 다음은 IDS Snort Rule이다. Rule이 10~11번째 2바이트의 값이 0xFFFF인지를 검사하는 Rule이라 할 때 ㄱ.~ㄷ.의 올바른 키워드는 무엇인가?

• 1
   ㉠ : value, ㉡ : offset, ㉢ : content
• 2
   ㉠ : value, ㉡ : content, ㉢ : offset
• 3
   ㉠ : content, ㉡ : depth, ㉢ : offset
• 4
   ㉠ : content, ㉡ : offset, ㉢ : depth

16. 다음은 어떤 접근제어 정책을 설명하고 있는 것인가?

주체나 또는 그들이 소속되어 있는 그룹들의 아이디(ID)에 근거하여 객체에 대한 접근을 제한한다. 즉, 접근통제는 객체의 소유자에 의하여 임의적으로 이루어진다. 그러므로 어떠한 접근 허가를 가지고 있는 한 주체는 임의의 다른 주체에게 자신의 접근 권한을 넘겨줄 수 있다.

• 1
   MAC
• 2
   RBAC
• 3
   Access Control List
• 4
   DAC

17. 다음 보기의 보안 지침 중 옳은 내용을 모두 고른 것은?

ㄱ. Windows는 관리 특성상 ADMN$, C$, D$, IPC$ 등을 기본적으로 공유한다.
ㄴ. IPC$ 및 nulSeessionShare는 제거하는 편이 안전하다.
ㄷ. IPC$는 Windows Server 초기 버전에서 해킹된 사례가 있다.
ㄹ. 숨김 공유를 설정해 놓으면 침입자의 위협을 막을 수 있다.

• 1
   ㄱ, ㄷ
• 2
   ㄱ, ㄴ, ㄷ
• 3
   ㄱ, ㄹ
• 4
   ㄷ, ㄹ

18. 재귀 함수의 종료 조건을 잘못 프로그래밍하여 재귀함수의 호출이 무한히 반복될 경우, 메모리의 어떤 영역에서 문제가 발생하는가?

• 1
   Text
• 2
   Data
• 3
   Heap
• 4
   Stack

19. 다음중 패스워드로 가장 강력한 것은?

• 1
   478939834891324
• 2
   youbad262!
• 3
   ASDqwe221aH
• 4
   !qwerasdfqwd!

20. 윈도우에서 사용자 계정을 추가하면 일반 사용자 그룹인 User 그룹에 자동 포함된다. 이 User 그룹의 권한에 대한 설명으로 옳지 않은 것을 고르시오.

• 1
   User는 워크스테이션을 종료할 수 있고 서버에도 종료 명령을 내릴 수 있다.
• 2
   User가 로컬 그룹을 만들수는 있지만 자신이 만든 로컬 그룹만 관리한다.
• 3
   관리자가 설치하거나 배포한 인증된 Windows 프로그램을 실행할 수 있다.
• 4
   User 그룹의 구성원은 자신의 모든 데이터파일 및 레지스트리에서 자신의 부분을 완전히 제어할 수 있다.

21. 스위치 장비를 대상으로 행해지는 침해 행위가 아닌것은?

• 1
   ICMP Redirect
• 2
   Switch Jamming
• 3
   ARP Broadcast
• 4
   IP Spoofing

22. 다음 중 Window 계열의 시스템에 대한 포트 스캐닝을 할 수 없는 것은?

• 1
   TCP SYN Scan
• 2
   TCP FIN Scan
• 3
   TCP Connect Scan
• 4
   UDP Scan

23. 다음 중 파일 업로드 공격의 취약점에 대한 설명으로 틀린 것은?

• 1
   게시판 글쓰기 권한이 있는지 확인한다.
• 2
   쉘 획득이 가능한 공격 이다.
• 3
   업로드에는 파일 확장자 필터가 적용되어야 한다.
• 4
   업로드 폴더를 제거한다

24. 다음 중 DMZ(Demilitarized Zone) 구간에 위치하고 있으면 안되는 시스템은?

• 1
   웹서버
• 2
   디비 서버
• 3
   네임 서버
• 4
   FTP 서버

25. 보기의 내용은 어떤 공격을 탐지하기 위한 내용들이다. 해당 공격으로 가장 알맞은 것은?

Ack Storm 탐지
패킷의 재전송 증가 탐지
예기치 못한 RST 증가 탐지

• 1
   TCP 세션 하이재킹
• 2
   TCP 하프 스캔
• 3
   하트 블리드
• 4
   DRDoS

26. 다음에서 설명하는 네트워크는?

ㅇ 일반적으로 안전하지 않은 공용 네트워크를 이용하여 사설 네트워크를 구성하는 기술로서, 전용선을 이용한 사설 네트워크에 비해 저렴한비용으로 안전한 망을 구성할 수 있다.
ㅇ 공용 네트워크로 전달되는 트래픽은 암호화 및 메시지 인증 코드 등을 사용하여 기밀성과 무결성을 제공한다.

• 1
   LAN
• 2
   WAN
• 3
   MAN
• 4
   VPN

27. 다음은 TCP 연결 해제 과정의 4-Way Handshaking과정이다. 괄호 안에 들어갈 값으로 적절한 것은?

  

    
flag
    
Seq
    
Ack
    
direction
  
  

    
[FIN, ACK]
    
5000
    
-
    
Client→Server
  
  

    
[ACK]
    
7500
    
5001
    
Server→Client
  
  

    
[FIN,ACK]
    
(  ㄱ  )
    
5001
    
Server→Client
  
  

    
[ACK]
    
(  ㄴ  )
    
7502
    
Client→Server
  

• 1
   7500, 5001
• 2
   7500, 5002
• 3
   7501, 5001
• 4
   7501, 5002

28. 다음 중 제시된 Well Known Port 번호에 해당하는 프로토 콜을 순서대로 가장 적합하게 제시한 것은?

(가) 22번 포트 (나) 53번 포트 (다) 161번 포트

• 1
   (가) SSH (나) Gopher (다) NetBIOS
• 2
   (가) SSH (나) DNS (다) SNMP
• 3
   (가) FTP (나) Gopher (다) SNMP
• 4
   (가) FTP (나) DNS (다) NetBIOS

29. 무선랜 보안에 대한 설명으로 옳지 않은 것은?

• 1
   WEP 보안프로토콜은 RC4 암호 알고리즘을 기반으로 개발되었으나 암호 알고리즘의 구조적 취약점으로 인해 공격자에 의해 암호키가 쉽게 크래킹되는 문제를 가지고 있다.
• 2
   소규모 네트워크에서는 PSK(PreShared Key) 방식의 사용자 인증이, 대규모 네트워크인 경우에는 별도의 인증서버를 활용한 802.1x 방식의 사용자 인증이 많이 활용된다.
• 3
   WPA/WPA2 방식의 보안프로토콜은 키 도출과 관련된 파 라미터 값들이 암호화되지 않은 상태로 전달되므로 공격자 는 해당 피라미터 값들을 스니핑한 후 사전공격(Dictionary attack)을 시도하여 암호키를 크래킹할 수 있다.
• 4
   현재 가장 많이 사용 중인 암호 프로토콜은 CCMP TKIP이며 이 중 여러 개의 암호키를 사용하는 'TKIP역 보안성이 더욱 우수하며 사용이 권장되고 있다.

30. 다음 중 각 OSI7 모델 중 계층과 프로토콜이 올바르게 연결된 것은?

• 1
   L2TP - 데이터 링크 계층
• 2
   IP - 전송 계층
• 3
   PPP - 물리 계층
• 4
   IEEE 802.11 - 데이터 링크 계층

31. 공격자는 공격 대상 서버에 파일을 업로드한 후에 웹을 이용하여 시스템 명령어를 수행하므로 네트워크 방화벽 등의 영향력을 받지 않고 서버를 제어 할 수 있는 공격 기술을 무엇이라 하는가?

• 1
   SQL 인젝션
• 2
   파일 업로드
• 3
   XSS
• 4
   웹 쉘

32. 다음 중 VPN에 대한 설명으로 올바르지 못한 것은?

• 1
   SSL VPN은 웹 어플리케이션 기반으로 구성된다.
• 2
   SSL VPN이 설치가 더 용이하다.
• 3
   IPSEC VPN은 시간과 장소에 제약이 없다.
• 4
   IPSEC VPN은 규정된 사용자, 제한된 사용자만 수용한다.

33. IPSec을 구축하기 위해 SA를 사용한다. SA 매개변수에 포함되는 내용으로 틀린 것은?

• 1
   AH Information
• 2
   Routing Protocol
• 3
   IPSec Protocol Mode
• 4
   Sequence Number Counter

34. 다음 중 TCP 헤더 Flag의 종류가 아닌 것은 무엇인가?

• 1
   RST
• 2
   PSH
• 3
   SET
• 4
   FIN

35. 포트 스캔 방식 중 TCP 플래그 값을 모두 off로 설정한 패킷을 이용한 스캔 기법은?

• 1
   SYN Scan
• 2
   Xmas Scan
• 3
   Null Scan
• 4
   FIN Scan

36. 4000byte의 패킷을 전송하고자 하는데 최대 MTU가 1500이다. 다음과 같이 분할된 패킷에서 괄호 안에 들어갈 적절한 값은?

  

    
순서
    
패킷 사이즈
    
More Flag
    
offset
  
  

    
1
    
1500
    
1
    
0
  
  

    
2
    
1500
    
1
    
185
  
  

    
3
    
(  ㄱ  )
    
0
    
(  ㄴ  )
  

• 1
   1000, 370
• 2
   1000, 375
• 3
   1040, 370
• 4
   1040, 375

37. 다음의 보기에서 설명하고 있는 공격은?

ㅇ 헤더 옵션 값을 사용함으로써 웹 서버에 더 많은 부하를 유발시키는 지능화된 DDoS 공격 기법이다. 
ㅇ 웹 트랜잭션의 효율을 이용하여 사용하게 되는 Cache 기능을 사용하지 않고, 자주 변경되는 데이터에 대해 새롭게 HUP 요청 및 응답을 요구하기 위하여 사용되는 옵션이다.

• 1
   CSRF 공격
• 2
   HTTP CC Attack
• 3
   Blind SQL Injection 공격
• 4
   XSS 공격

38. 다음 공개 해킹도구 중 사용용도가 다른 도구(소프트웨어)는?

• 1
   넷버스(Netbus)
• 2
   스쿨버스(Schoolbus)
• 3
   백오리피스(Back Orifice)
• 4
   키로그23(Keylog23)

39. 다음 지문에서 설명하는 것은?

침입탐지시스템은 Telnet 접속 시 사용되는 계정이나, 메일의 첨부파일 형태, 웹서버에 전송되는 패킷의 내용 등에서 미리 정의된 공격자 패턴과 일치하는지에 따라 비정상 행위여부를 결정하는 탐지방법을 사용한다.

• 1
   Signature-based Detection
• 2
   Anomaly-based Detection
• 3
   Network Behavior Detection
• 4
   Stateful Protocol Detection

40. 다음 설명에 해당하는 서비스거부(DoS) 공격은?

• 1
   Teardrop
• 2
   Land attack
• 3
   Syn Flooding
• 4
   Smurf attack

41. 다음 중 FTP에 대한 설명으로 알맞은 것은?

• 1
   제어용으로 21번 포트, 데이터 전송용으로 512번 이상 임의의 포트을 사용한다.
• 2
   암호화 여부에 따라 Active 모드와 Passive 모드로 나누어진다.
• 3
   구조적으로 데이터를 전송할 때 목적지가 어디인지 검사하지 않는 취약점이 있다.
• 4
   보안이 강화된 TFTP, SFTP 사용이 권장된다.

42. 다음 중 윈도우 운영체제 상에서 IIS FTP 서버 설정에서 지정할 사항으로 가장 부적절한 것은?

• 1
   가상 디렉터리 설정
• 2
   active/passive 모드 지원 여부
• 3
   FTP 메시지 지정
• 4
   홈 디렉토리 지정

43. DDoS 공격 형태 중 자원 소진 공격이 아닌 것은?

• 1
   GET Flooding
• 2
   SYN Flooding
• 3
   ACK Flooding
• 4
   DNS Query Flooding

44. 다음 설명하고 있는 보안 전자우편시스템 프로토콜은?

ㅇ RSA Data Security, INC 개발
ㅇ 전자우편 메세지 표준 기반
ㅇ 다양한 상용툴킷
ㅇ X.509 지원

• 1
   PEM
• 2
   MIME
• 3
   S/MIME
• 4
   PGP

45. 다음에서 설명하고 있는 FTP공격 형태는 무엇인가?

FTP서버가 데이터를 전송할 목적지가 어디인지 검사하지 않는 설계상의 문제점을 이용한 공격이다.

• 1
   익명FTP공격
• 2
   FTP서버 자체 취약점
• 3
   바운스공격
• 4
   무작위 전송 공격

46. 다음 중 취약점 점검 도구와 가장 거리가 먼 것은?

• 1
   SATAN
• 2
   Tripwire
• 3
   Nessus
• 4
   OOPS

47. 다음 중 Mod_Security 기능에 포함되지 않는것은?

• 1
   Request Filtering
• 2
   Audit Logging
• 3
   Unified Threat Management
• 4
   HTTPS Filtering

48. 다음 중 웹 브라우저와 웹 서버 간에 안전한 정보 전송을 위해 사용되는 암호화 방법으로 가장 적절한 것은?

• 1
   SSH(Secure Shell)
• 2
   PGP(Pretty Good Privacy)
• 3
   SSL(Secure Socket Layer)
• 4
   S/MIME(Secure Multipurpose Internet Mail Extension)

49. OTP에 대한 설명으로 틀린 것은?

• 1
   의미있는 숫자로 구성된다.
• 2
   비밀번호 재사용이 불가능하다.
• 3
   비밀번호 유추가 불가능하다.
• 4
   사전 공격(Dictionary Attack)에 안전하다.

50. 웹 어플리케이션 취약성 조치방안에 대한 설명으로 틀린 것은?

• 1
   server side session 방식은 침해 가능성도 있고, 구조상 다양한 취약점에 노출될 수 있으므로 가볍고 안전한 client side의 cookie를 사용한다.
• 2
   모든 인자에 대해 사용 전에 입력값 검증을 수행하도록 구성한다.
• 3
   파일 다운로드시 위치는 지정된 데이터 저장소를 지정하여 사용하고 데이터 저장소 상위로 이동되지 않도록 구성한다.
• 4
   SSL/TLS와 같은 기술을 이용하여 로그인 트랙잭션 전체를 암호화한다.

51. 다음 중 전자 화폐의 성질이 다른 하나는 무엇인가?

• 1
   eCash
• 2
   Netcash
• 3
   Payme
• 4
   Mondex

52. 다음은 보안 기술에 대해 설명한 것이다. 괄호 안에 들어갈 가장 올바른 것은?

• 1
   DRM(Digital Rights Management)
• 2
   스테가노그래피(Steganography)
• 3
   디지털 워터마크(Digital Watermark)
• 4
   보안토큰(Security Token)

53. PGP 서비스와 관련하여 디지털 서명 기능을 위해 사용되는 알고리즘은?

• 1
   3DES
• 2
   DSS/SHA
• 3
   PEM
• 4
   Radix-64

54. S/MIME의 주요 기능이 아닌 것은?

• 1
   봉인된 데이터(Enveloped data)
• 2
   서명 데이터(Signed data)
• 3
   순수한 데이터(Clear-signed data)
• 4
   비순수 서명과 봉인된 데이터(Unclear Signed and Enveloped data)

55. 다음에서 설명하고 있는 DNS공격 방법은 무엇인가?

취약한 DNS서버에 조작된 쿼리를 전송하여 DNS서버가 저장하고 있는 주소 캐시정보를 임으로 변조하는 공격을 말한다.

• 1
   DNS DDOS
• 2
   DNS하이재킹
• 3
   DNS 캐시 포이즈닝 공격
• 4
   DNSSEC

56. 아래 지문은 크로스사이트 요청 위조(CSRF)의 보안대책을 설명한 것이다. 다음 중 ( ) 안에 들어갈 내용이 맞게 구성된 것은?

입력화면 폼 작성 시 (A) 방식보다는 (B) 방식을 사용하고, 입력화면 폼과 해당 입력을 처리하는 프로그램 사이에 (C)를 사용하여, 공격자의 직접적인 URL 사용이 동작하지 않도록 한다. 특히 중요한 기능에 대해서는 (D)와 더불어 (E)를 유도한다.

• 1
   GET, POST, 세션, 사용자 세션 검증, 재사용
• 2
   POST, GET, 세션, 쿠키 식별, 재사용
• 3
   POST, GET, 토큰, 쿠키 식별, 재사용
• 4
   GET, POST, 토큰, 사용자 세션 검증, 재인증

57. 다음 중 전자화폐시스템에 대한 일반적 모델로 프로토콜 구성이 올바르지 않은 것은?

• 1
   예치 : 상점서버 - 금융기관
• 2
   지불 : 상점서버 - 사용자
• 3
   인출 : 사용자 - 금융기관
• 4
   인증 : 지불서버 – 인증기관

58. 다음 중 디지털 핑거프린팅 기술에 대한 설명으로 옮지 않은 것은?

• 1
   디지털 핑거프린팅 기술은 콘텐츠 내에 소유자 정보와 구매자 정보를 함께 포함하는 핑거프린트 경보를 사입하여 후에 불법으로 배포된 콘텐츠로부터배포자가 누구인지를 역추적 할 수 있도록 해 주는 기술이다.
• 2
   핑거프린팅된 콘텐츠는 서로 다른 구매자 정보를 삽입하기 때문에 구매자에 따라 콘텐츠의 데이터가 조금씩 다르다.
• 3
   공모공격 (collusion attack)이란 여러 개의 콘텐츠를 서로 비교하여 워터마킹된 정보를 제거하거나 유추하여 다른 워터마크 정보를 삽입할 수 있는 것을 의미하는데, 디지털 핑거프린팅 기술은 워터마크 기술 보다 이 공격에 더 안전하다.
• 4
   디지털 핑거프린팅 기술은 워터마킹 기술과 같이 삽입과 추출기술로 분류하는데삽입기술은 삽입하는 정보만 다 를 뿐 워터마킹 기술과 동일하다.

59. 메일과 관련이 없는 서비스 포트는?

• 1
   109
• 2
   995
• 3
   993
• 4
   163

60. XML기반 보안 기술이 아닌 것은?

• 1
   XPKI
• 2
   SAML
• 3
   XKMS
• 4
   XACML

61. 다음 보기에서 설명하고 있는 보안 기술은 무엇인가?

- 기본 채널에 기생하는 통신 채널이다.
- 기본 채널에서 신호대 잡음비를 축소해서 기본 채널의 대역폭을 축소시킨 것으로 은닉 메세지는 다른 사람 눈으로는 볼 수 없으며, 송신자와 수신자만 볼 수 있다.

• 1
   SSH터널링
• 2
   은닉채널
• 3
   전송터널
• 4
   이중터널

62. 최근 입사하여 소속 부서의 프린터 관리를 담당하게 된 홍길동은 이전 담당자의 자원 접근 권한을 그대로 인계 받아 업무를 수행하게 되었다. 이러한 상황과 가장 관련성이 높은 접근 통제 기술은 무엇인가?

• 1
   강제적 접근통제(MAC)
• 2
   임의적 접근통제(DAC)
• 3
   역할기반 접근통제(RBAC)
• 4
   다단계 보안정책(MLS)

63. 대칭암호화 매커니즘과 관련하여 올바른 설명이 아닌 것은?

• 1
   암호화 알고리즘은 평문에 transformation과 substitution을 적용하여 암호문을 만들어 낸다.
• 2
   평문 속의 요소(비트, 문자 등)를 다른 요소(비트, 문자 및 문자열)로 바꾸는 것을 transformation이라 한다.
• 3
   어떤 메시지가 주어졌을 때, 두 개의 다른 키는 두 개의 다른 암호문을 만든다.
• 4
   복호화 알고리즘은 암호화 알고리즘을 역순으로 실행하는 것이다.

64. 다음은 어떤 전자서명 방식에 대한 설명인가?

1. 미국의 NIST에서 발표한 표준 전자서명 방식이다.
2. DSA 알고리즘을 사용한다.
3. 트랩도어가 존재할 가능성이 있다.
4. Schnorr 방식과 비슷한 구조를 가지고 있다.

• 1
   KCDSA
• 2
   DSS
• 3
   FFS
• 4
   ElGamel

65. 다음 중 대칭키 암호화 알고리즘이 아닌 것은?

• 1
   BlowFish
• 2
   SEED
• 3
   Diffie-Hellman
• 4
   3DES

66. 이중서명의 특징에 대한 설명으로 옳지 않은 것은?

• 1
   분쟁에 대한 대비를 위해 두 메시지 간의 연관성이 구현되어야 함
• 2
   구매자의 자세한 주문정보와 지불정보를 판매자와 금융기관에 필요 이상으로 전달하지 않아야 함
• 3
   이중 서명은 SSL에서 도입된 기술로 고객의 카드 정보를 상인에게 전달하면 상인은 그 요청에 유효성을 확인하게 됨
• 4
   구매자는 최종 메시지 다이제스트를 자신의 개인 서명키로 암호화 하여 이중서명을 생성함

67. 다음 중 공개키 암호에 대한 설명으로 옳은 것은?

• 1
   일반적으로 같은 양 데이터를 암호화한 암호문이 대칭키 암호보다 현저히 짧다.
• 2
   대표적인 암호로 DES, AES가 있다.
• 3
   대표적인 암호로 RSA가 있다.
• 4
   대칭키 암호보다 수년전 고안된 개념이다.

68. 아래의 대창키 암호 알고리즘 중 Feistel 암호 구조와 SPN 구조끼리 올바르게 묶인 것은?

• 1
   (DES. SEED) : (AES. ARIA)
• 2
   (DES. ARIA) : (AES. SEED)
• 3
   (DES. AES) : (SEED. ARIA)
• 4
   (DES) : (SEED. AES. ARIA)

69. RFID 태그와 판독기 사이에 사전에 약속된 형태의 무의미한 전자 신호를 지속적으로 발생시켜 불법적인 판독기가 태그와 통신하지 못하도록 함으로써 RFID 태그의 프라이버시를 보호하는 기법은?

• 1
   Faraday Cage
• 2
   Active Jamming
• 3
   Kill Tag
• 4
   Blocker Tag

70. 한 번의 인증으로 모든 시스템에 로그인되도록 할 경우 해당 인증이 침해될 경우 모든 시스템이 위험해지는 단점이 있다. 이러한 취약성을 무엇이라고 하는가?

• 1
   SPF(Single Point of Failure)
• 2
   SSO(Single Sign On)
• 3
   OSMU(One Source Multi Use)
• 4
   Credential Stuffing

71. 메시지 출처 인증기술의 요소 중 하나인 해시함수의 특징으로 옳지 않은 것은?

• 1
   Message Authentication Code와는 달리 키를 사용하지 않는다.
• 2
   메시지 길이에 상관없이 적용 가능하다.
• 3
   생성되는 해시 코드(Hash code)의 길이는 가변적이다.
• 4
   일방향(one-way)으로 변환이 이루어진다.

72. 암호해독의 목적과 가장 거리가 먼 것은?

• 1
   암호에 사용된 키를 찾아내려는 시도
• 2
   암호문으로부터 평문을 복원하는 시도
• 3
   암호 알고리즘의 구조를 알아내려는 시도
• 4
   암호시스템의 안전성을 정량적으로 측정하려는 시도

73. 능동적 공격에 해당되지 않는 것은?

• 1
   메시지 변조
• 2
   전송되는 파일을 도청
• 3
   삽입공격
• 4
   삭제공격

74. 다음 중 공개키 인증서의 구성 요소에 포함되지않는 것은?

• 1
   인증서 정책
• 2
   인증서 경로
• 3
   비밀키 인증서
• 4
   인증서 철회 리스트

75. 다음 중 생체 인식의 요구사항과 기장 거리가 먼 것은?

• 1
   획득성
• 2
   영구성
• 3
   구별성
• 4
   유연성

76. 일방향 해시함수를 이용했을 때 제공되는 가장 효과적인 보안 서비스는?

• 1
   무결성
• 2
   기밀성
• 3
   부인방지
• 4
   인증

77. ISMS-P에 대한 설명으로 옳지 않은 것은?

• 1
   한국인터넷진흥원에서 제도 운영을 담당한다.
• 2
   3개 분류에서 총 102개 항목을 심사한다.
• 3
   인증심사기관 지정 유효기간은 5년이며, 6개월 전에 갱신 신청을 해야 한다.
• 4
   ISMS-P가 아닌 ISMS만 취득하고자 할 경우 일부 항목에 대한 평가는 생략된다.

78. 공개키 인증서에 포함되지 않는 내용은 무엇인가?

• 1
   버전
• 2
   일련번호
• 3
   유효기간
• 4
   개인키 정보

79. A, B, C에 들어갈 가장 적합한 용어는 무엇인가?

ㅇ 접근 통제의 세 가지 중요한 요소는 ( A ), ( B ), 그리고 ( C )이다. ( A )은(는) ( B ) 서비스에 스스로를 확인시키기 위하여 정보를 공급하는 주체의 활동이다. ( B )은(는) 주체의 신원을 검증하기 위한 사용자 증명의 두 번째 부분이다.
ㅇ ( C )은(는) ( B )을(를) 통해 ( A )된 주체의 실제 접근 가능 여부와 주체가 수행 가능한 일을 결정하는 과정이다.

• 1
   A: 인가 B: 인증 C: 식별
• 2
   A: 식별 B: 인증 C: 인가
• 3
   A: 인가 B: 식별 C: 인증
• 4
   A: 식별 B: 인가 C: 인증

80. 다음의 지문이 설명하고 있는 접근 통제 보안모델은?

이 모델은 데이터 무결성에 초점을 둔 상업용 접근 통제 보안 모델이다. 이 모델에서는 비인가자들의 데이터 변형에 대한 방 지만 취급하며, 주체는 보다 낮은 무결성의 정보를 읽을 수 없 다.(no read down policy) 주체는 또한 자신보다 높은 무결성 수준의 객체를 수정할 수 없다.(no wile up policy) 이 모델은 상태 머신(state mechine) 모델에 기반을 두고 있다.

• 1
   Bell-LaPadula Model
• 2
   Biba Model
• 3
   Clark-Wilson Model
• 4
   Lattice Model

81. 위험관리에 대한 설명으로 적절하지 않은 것은?

• 1
   정보보호를 위한 기술적, 관리적, 물리적 분야 등에 다양한 측면으로 발생할 수 있는 위험을 식별하고 평가할 수 있는 방법을 정의한다.
• 2
   조직의 위험을 식별하고 이에 대한 적절한 보호 대책을 수립하기 위하여 정기 또는 수시로 위험에 대처할 수 있도록 위험관리 계획을 수립한다.
• 3
   위험관리 수행 인력은 위험관리 방법, 조직의 업무 및 시스템에 대한 전문성을 갖춘 내부인력만으로 위험관리를 수행한다.
• 4
   위험관리 방법론은 베이스라인 접근법, 복합 접근법 등의 다양한 조직에 적합한 방법을 찾을 때까지 위험관리 방법론을 개선할 수 있다.

82. 다음과 같은 개인정보보호에 대한 시책 마련은 어느 법률에서 규정하고 있는가?

미래창조과학부장관 또는 발송통신위원회는 정보통신망의 이용 촉진 및 안정적 권리 운영과 이용자의 개인정보보호 등을 통해 정보사회의 기반을 조성하기 위한 시책을 마련하여야 한다.

• 1
   국가정보화 기본법
• 2
   개인정보보호법
• 3
   정보통신기반 보호법
• 4
   정보통신망법

83. 정보통신망법상 정보통신 서비스 제공자는 임원급의 정보보호 최고책임자를 지정할 수 있도록 정하고 있다. 정보통신서비스 제공자의 정보보호 최고책임자가 총괄하는 업무에 해당하지 않는 것은? (단, 이 법에 명시된 것으로 한정함)

• 1
   정보보호관리체계 수집 및 관리·운영
• 2
   주요 정보통신기반시설의 지정
• 3
   정보보호 취약점 분석·평가 및 개선
• 4
   정보보호 사전 보안성 검토

84. 다음 지문이 설명하는 정보보호 관련 제도는?

민간업체 등에서 개발한 정보보호시스템을 국제표준인 ISO 15408 및 ISO 18045를 이용하여 보안기능에 대한 안정성과 신뢰성을 보증함으로써 사용자들이 안심하고 정보보호시스템 을 사용할 수 있도록 지원하는 제도

• 1
   정보보호제품 평가 · 인증 제도
• 2
   정보보호 관리체계 인증 제도
• 3
   보안적합성 검증 제도
• 4
   암호모들 검증 제도

85. 개인정보보호법상 자신의 개인정보 처리와 관련한 정보주체의 권리에 대한 설명으로 옳지 않은 것은?

• 1
   개인정보의 처리에 관한 정보를 제공받을 수 있다.
• 2
   개인정보의 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 수 있다.
• 3
   개인정보의 처리로 인하여 발생한 피해를 신속하고 공정한 절차에 따라 구제받을 수 있다.
• 4
   개인정보에 대하여 열람을 할 수 있으나, 사본의 발급은 요구할 수 없다.

86. 개인정보보호법에서 개인정보 수집 시 고지 항목으로 올바르지 못한것은?

• 1
   이용목적
• 2
   이용항목
• 3
   이용기간
• 4
   파기방법

87. 다음 중 개인정보 파기와 관련하여 잘못된 것은?

• 1
   타 법령에 따라 보존해야 하는 경우에는 예외적으로 개인정보를 파기하지 않고 다른 개인정보와 함께 저장·관리할 수 있다.
• 2
   개인정보를 수집할 때 동의 받았던 보유기간이 경과한 경우에 지체 없이 파기해야 한다.
• 3
   하드디스크 등 매체에 전자기적으로 기록된 개인정보는 물리적인 방법으로 매체를 파괴하여 복구할 수 없도록 한다.
• 4
   이미 요금정산이 끝난 소비자의 개인정보는 채권 소멸기간까지 남아있다고 하더라도 개인정보를 보관할 수 없다.

88. 다음 중 정보통신서비스 제공자 등이 개인정보의 분실, 도난, 누출 사실을 안 때에는 지체 없이 수행하혀야 할 행동으로 잘못 기술된 것은?

• 1
   방송통신위원회 또는 한국인터넷진흥원에 신고하여야 한다.
• 2
   정당한 사유 없이 그 사실을 안 때부터 5일을 경과하여 통지 및 신고해서는 아니된다.
• 3
   이용자에게 알릴 때에는 누출 등이 된 개인정보 항목이 포함된다.
• 4
   한국인터넷진흥원이 신고를 받았다면 그 사실을 방송통신위원회에 알려야 한다.

89. 정보보호 사전점검에 대한 설명으로 옳은 것은?

• 1
   정보보호 사전점검은 전자적 침해행위에 대비하기 위한 정보시스템의취약점 분석 평가와 이에 기초한 보호대책 의 제시 또는 정보보호 관리체계구축 등을 주된 목적으로 한다.
• 2
   방송통신위원회는 사업자가 사전점검을 실시하거나 실시 계약을 체결한 경우해당 사업 또는 서비스에 대하여 가점을 부여하는 등 우대조치를 할 수 있다.
• 3
   사전점검 수행기관으로 지정받으려는 자는 수행기관 지정신청서를 방송통신위원회에 제출하여야 한다.
• 4
   사전점검 대상 범위는 제공하려는 사업 또는 정보통신 서비스를 구성하는하드웨어, 소프트웨어, 네트워크 등의 유무형 설비 및 시설을 대상으로 한다.

90. 다음 중 위험 분석에 포함된 핵심 개념이 아닌 것은?

• 1
   자산
• 2
   위협
• 3
   취약점
• 4
   손실

91. OECD의 개인정보 8원칙에 포함되지 않는 것은?

• 1
   정보정확성의 원칙
• 2
   안전보호의 원칙
• 3
   이용제한의 원칙
• 4
   비밀의 원칙

92. 다음 중 전자서명법에서 정의한 용어와 다른 것은?

• 1
   전자문서: 전자적 형태로 작성되어 송신 또는 수신되거나 저장된 정보
• 2
   전자서명: 서명자가 전자문서에 서명을 하였음을 나타내기 위하여 전자문서에 첨부되거나 논리적으로 결합된 전자적 형태의 정보
• 3
   검증정보: 전자서명을 생성하기 위하여 이용하는 전자적 정보
• 4
   공인인증업무: 공인인증서의 발급, 인증관련 기록의 관리등 공인인증역무를 제공하는 업무

93. 정량적 위험분석과 정성적 위험분석에 대한 다음의 설명 중 틀린 것은?

• 1
   정량적 분석은 객관적인 평가기준이 적용된다.
• 2
   정략적 분석은 위험관리 성능평가가 용이하다.
• 3
   정성적 분석은 계산에 대한 노력이 적게 소요된다.
• 4
   정성적 분석은 비용과 이익에 대한 평가가 필수적으로 요구된다.

94. 다음 중 정량적 위험분석 방법론에 속하지 않는 것은?

• 1
   과거자료 분석법
• 2
   확률분포법
• 3
   순위결정법
• 4
   수학공식접근법

95. 최근 개인정보보호법이 개정이 되었다. 개인정보보호법상 주민번호 수집 후 유출시 얼마의 과징금이 부과되는가?

• 1
   1억
• 2
   3억
• 3
   5억
• 4
   7억

96. 개인정보보호법에서 개인정보처리자는 개인정보 열람요구서를 받은날부터 며칠 이내에 정보주체에게 해당 개인정보를 열람 할수 있도록 알려주어야 하는가?

• 1
   3일
• 2
   5일
• 3
   7일
• 4
   10일

97. 다음 중 정성적 위험 분석에 포함되지 않는 것은?

• 1
   객관적인 평가 기준이 적용된다.
• 2
   위험 분석 과정이 지극히 주관적이다.
• 3
   계산에 대한 노력 이 적게 든다.
• 4
   측정 결과를 화폐로 표현하기 어렵다.

98. 지식정보보안 컨설팅 전문업체 지정 결격사유에 해당하지 않는 것은?

• 1
   파산선고를 받고 복권되지 않는 사람
• 2
   미성년자, 금치산자 또는 한정치산자
• 3
   금고 이상의 실형을 선고받고 면제된 날로부터 1년이 지나지 않는 사람
• 4
   금고이상의 형의 집행유예 선고나 그 유예기간에 있는 사람

99. 다음 중 개인정보 이용 및 수집 시 동의 없이 처리할 수 있는 개인정보라는 입증 책임은 누구에 게 있는가?

• 1
   개인정보 처리자
• 2
   개인정보보호 책임자
• 3
   개인정보 담당자
• 4
   개인정보 취급자

100. 다음은 지식정보보안 컨설팅 업체 지정인가에 대한 설명이다. 올바른 것은?

• 1
   재지정의 기준, 절차 및 방법 등에 관하여 필요한 사항은 방송통신위원회령으로 정한다.
• 2
   지식정보보안 컨설팅전문업체로 지정받을 수 있는 자는 법인과 개인으로 한정한다.
• 3
   지식정보보안 컨설팅전문업체의 지정을 취소하려면 미래창조과학부장관에게 신고하여야 한다.
• 4
   3년마다 갱신해야 하고 재지정할 수 있다.