1. 윈도우 시스템에서 사용자 계정과 패스워드 인증을 위해 서버나 도메인 컨트롤러에 증명하는 Challenge & Response 기반의 인증 프로토콜은?

• 1
   LSA
• 2
   SAM
• 3
   NTLM
• 4
   SRM

2. 다음 중에서 버퍼 오버플로우(Buffer Overflow)에 대한 설명으로 옳지 않은 것은?

• 1
   버퍼에 저장된 프로세스들 간의 자원경쟁을 야기 시켜 권한을 획득하는 기법으로 공격한다.
• 2
   메모리에서 스택영역에 복귀주소를 가진다. 스택 오버플로우(Stack Overflow)는 복귀주소에 악성 모듈을 삽입하여 공격할 수 있다.
• 3
   힙(Heap)영역은 malloc 혹은 new의 동적 함수로 할당된다.
• 4
   버퍼 오버플로우(Buffer Overflow)는 제한된 메모리를 초과한다.

3. 다음 중 비선점 스케줄링에 해당되는 것은?

• 1
   SJF(Shortest Job First)
• 2
   MLQ(Multi Level Queue)
• 3
   SRT(Shortest Remaining Time)
• 4
   RR(Round Robin)

4. 다음은 NTFS와 FAT 파일 시스템에 대한 설명이다. 틀린 것을 고르시오.

• 1
   FAT32등 FAT뒤에 붙은 숫자로 클러스터 수를 계산할 수 있다.
• 2
   FAT는 최대 파일 크기가 4G로 제한되지만 NTFS는 16EiB까지 가능하다.
• 3
   NTFS는 다른 운영체제와 호환성이 좋다.
• 4
   작은 크기의 파일 시스템을 사용하는 경우 NTFS보다 FAT 가 더 빠르다.

5. 유닉스 파일시스템 설명으로 옳지 않은 것은?

• 1
   파일의 권한은 소유자, 그룹, 일반 사용자로 구성되어 있다.
• 2
   파일의 변경 또는 삭제는 소유자만 가능하다.
• 3
   유닉스 파일 시스템은 NFS(Network File System)를 통해서 파일을 공유할 수 있다.
• 4
   파일 시스템은 계층 형으로 구성되어 있다.

6. 다음 중 윈도우 인증 구성요소와 가장 거리가 먼 것은?

• 1
   LSA(Local Security Authority)
• 2
   SAM(Security Account Manager)
• 3
   L2PT(Layer 2 Tunneling Protocol)
• 4
   SRM(Security Reference Monitor)

7. AI나 머신러닝의 이미지 인식에 있어서 이미지 속에 인간이 감지할 수 없는 노이즈나 작은 변화를 주어 AI 알고리즘의 특성을 악용하여 잘못된 판단을 유도하는 공격은?

• 1
   Membership inversion 공격
• 2
   Adversarial 공격
• 3
   Poisoning 공격
• 4
   Model inversion 공격

8. 만약 Setuid 사용을 허락하고 싶은 계정인 ‘user-name’을 임의의 그룹에 추가하고 싶을 때 알맞은 명령어는?

• 1
   #usermod –F 200 user-name
• 2
   #usermod –G 100 user-name
• 3
   #usermod –F 100 user-name
• 4
   #useradd –G 100 user-name

9. 윈도우 레지스트리 하이브 파일이 아닌것은?

• 1
   HKEY_CLASSES_ROOT
• 2
   HKEY_LOCAL_MACHINE
• 3
   HKEY_CURRENT_SAM
• 4
   HKEY_CURRENT_USER

10. 다음은 passwd 파일 구조를 나타내는 그림이다. “G”가 의미하는 것은?

• 1
   홈디렉터리 위치
• 2
   지정된 셸(Shell)
• 3
   패스워드
• 4
   설명

11. 다음 중 소유자에게 읽기 쓰기 권한을 부여하고, 일반사용자에게 읽기 권한을 제거하는 리눅스 명령은?

• 1
   chmod 604
• 2
   chmod 504
• 3
   chmod o+rw a-r
• 4
   chmod u=rw o-r

12. 다음 중 레이스 컨디션(Race Condition) 공격을 가능하게 하는 상황으로 가장 옳지 않은 것은?

• 1
   SetUID가 설정되어 있어야 한다.
• 2
   임시 파일을 생성해야 한다.
• 3
   임시 파일을생성할 때 레이스 컨디셔닝에 대응하지 않아야 한다.
• 4
   공격자는 임시 파일 이름을 몰라도 된다.

13. 윈도우 사용자 권한 통제 방법으로서 낮은 권한을 가진 사용자가 관리자 권한을 쓰려고 하면 경고창과 함께 관리자 계정 인증을 요구한다. 이러한 매커니즘을 무엇이라고 하는가?

• 1
   Privileged Account Management
• 2
   User Account Control
• 3
   User Access Control
• 4
   Privileged Access Management

14. 다음 중 세마포어에 대한 설명으로 올바르지 못한 것은?

• 1
   여러 개의 프로세스가 동시에 그 값을 수정하지 못한다.
• 2
   상호배제 문제를 해결하기 위해 사용된다.
• 3
   세마포어에 대한 연산은 처리 중에 인터럽트 되어야 한다.
• 4
   다익스트라(E.J. Dijkstra)가 제안한 방법이다.

15. 유닉스계열의 시스템에서 핵심부분인 커널(Kernel)에 대한 설명으로 옳지 않은 것은?

• 1
   유닉스 시스템의 구성은 커널(Kernel), 셀(Shell), 파일시스템(File System)으로 구성되며, 커널은 프로세스 관리, 메모리 관리, 입출력 관리를 수행한다.
• 2
   커널(Kernel)은 데몬(Daemon) 프로세스를 실행하고 관리한다.
• 3
   유닉스계열의 시스템이 부팅될 때 가장 먼저 읽혀지는 핵심 부분으로 보조기억장치에 상주한다.
• 4
   커널(Kernel)은 셀(Shell)과 상호 연관되며 작업을 수행한다.

16. Window에서 파일이 삭제된 직후 일정 시간(기본 15초)안에 동일한 이름의 파일이 생성되는 경우 방금 삭제된 파일의 테이블 레코드를 재사용하는 경우가 있다. 이러한 특징을 갖는 기능은?

• 1
   파일시스템 터널링(File system tunneling)
• 2
   Shellbags
• 3
   윈도우 파일 프로텍션
• 4
   타임스톰핑

17. 다음 그림은 a.a.a.a 시스템에서 UDP 패킷을 TTL=1부터 하나씩 늘려가면서 b.b.b.b로 전송하고, TTL=4일 때 b.b.b.b 시스템에 UDP 패킷이 도달하고 ICMP Port Unreachable(Type 3) 패킷이 a.a.a.a 시스템으로 돌아왓다. 무엇을 하기 위한 과정인가?

• 1
   ICMP scan
• 2
   traceroute
• 3
   ping
• 4
   UDP scan

18. Brute Force Attack 및 Dictionary Attack 등과 가장 거리가 먼 것은?

• 1
   John the Ripper
• 2
   L0phtcrack
• 3
   Pwdump
• 4
   WinNuke

19. 다음 보여주고 있는 아파치 관련 설정파일은 무엇인가?

DocumentRoot /home/abc
  ServerName abc.example.com

• 1
   httpd.conf
• 2
   apache.conf
• 3
   virtualhost.conf
• 4
   server.conf

20. 대부분의 응용 프로그램에서 생성된 파일은 그 응용 프로그램이 생성한 파일임을 인식할 수 있도록 항상 동일한 몇 바이트를 파일 내부의 특정 위치에 가지고 있다. 특정위치의 고정값이 의미하는 것은?

• 1
   시그니처(Signature)
• 2
   확장자(Extensions)
• 3
   메타데이터(Metadata)
• 4
   레코드(Record)

21. 다음 설명으로 알맞은 명령어는?

ㅇ 목적지까지의 데이터 도달 여부를 획인하는 도구이다
ㅇ 네트워크와 라우팅의 문제점을 찾아내는 목적으로 많이 사용되며, UDP 패킷을 이용해 진행경로의 추적과 패킷이 지나가는 IP 주소나 이름을 알아낼 수 있다.
ㅇ 결과에서 응답시간이 *로 표시되는 경우 침입차단시스템 등의 접근통제리스트에 의해 패킷이 차단되었음을 확인할 수 있다.

• 1
   Ping
• 2
   Traceroute
• 3
   Tcpdump
• 4
   Netstat

22. 다음 중 무선 암호 프로토콜 WPA, WPA2를 정의하는 표준은?

• 1
   IEEE802.11i
• 2
   IEEE 802.11w
• 3
   IEEE 802.11ad
• 4
   IEEE 802.11z

23. 스위치 장비가 동작하는 방식 중 전체 프레임을 모두 받고 오류 검출 후 전달하는 방식은?

• 1
   Cut - through 방식
• 2
   Fragment - Free 방식
• 3
   Stored and Forwading 방식
• 4
   Direct Switching 방식

24. DoS 공격의 일종으로 공격대상자는 스푸핑된 소스 IP로부터 ICMP reply를 동시에 수신하는 현상을 갖는 공격은 무엇인가?

• 1
   Ping of death
• 2
   Smurf attack
• 3
   Teardrop attack
• 4
   Land attac

25. 다음의 공격 방법을 방어하기 위한 침입차단시스템의 유형으로 가장 적절한 것은?

침입차단시스템을 우회하기 위하여 침입차단시스템 내부망에 있는 시스템의 서비스 요청을 받은 것으로 가장하여 패킷을 전송한다.

• 1
   응용레벨 게이트웨이
• 2
   회로레벨 게이트웨이
• 3
   패킷 필터링 라우터
• 4
   상태검사 패킷 필터

26. 다음 보기에서 설명하고 있는 공격에 대한 방식은?

ICMP Echo Request 패킷의 크기를 정상적인 크기보다 크게 만들어 공격 대상 네트워크에 송신하고 네트워크를 통해 라우팅되어 공격 대상 네트워크에 도달하는 과정에서 작은 조각(Fragment)들로 분할된다.

• 1
   Teardrop 공격
• 2
   Ping of Death 공격
• 3
   UDP Traffic Flooding 공격
• 4
   Tiny Fragmentation 공격

27. 정찰공격(reconnaissance attack)을 위해 사용되는 도구가 아닌 것은?

• 1
   핑 스윕
• 2
   포트 스캔
• 3
   패킷 스니퍼
• 4
   포트 리다이랙션

28. 다음 그림에서 설명하고 있는 포트 스캔은 무엇인가?

• 1
   TCP Open 스캔
• 2
   TCP Half Open 스캔
• 3
   TCP 단편화 (fragementation) 스캔
• 4
   TCP FIN 스캔

29. 리눅스 환경에서 트래픽을 분석하기 위해 MRTG(Multi Router Traffic Grapher)를 사용한다. 다음 중 MRTG를 설치 및 수행하는데 필요없는 프로그램은?

• 1
   C Compiler
• 2
   Perl
• 3
   Gd Library
• 4
   Libpcap

30. 다음 중 네트워크 기반 서비스 거부 공격이 아닌 것은?

• 1
   버퍼 오버플로우
• 2
   스머프
• 3
   SYN 플러딩
• 4
   티어드랍

31. 공격자가 자신이 전송하는 패킷에 다른 호스트 IP주소를 담아서 전송하는 공격은?

• 1
   패킷스니핑
• 2
   포맷스트링
• 3
   IP 스푸핑
• 4
   버퍼오버플로우

32. 다음 중 TCP신호를 보내는 Flag 종류 연결로 올바르지 못한 것은?

• 1
   SYN – 요청 Flag로써 초기에 세션을 설정하는데 사용된다.
• 2
   ACK – 요청에 대한 응답을 하는 Flag이다.
• 3
   FIN – 세션을 종료시키기 위한 Flag이다.
• 4
   RST – 패킷을 보내면 3way핸드쉐이킹 후 Closed모드에 들어간다.

33. 침입탐지 시스템(Intrusion Detection System)의 이상 탐지(anomaly detection) 방법 중 다음 문장에서 설명하는 방법은 무엇인가?

• 1
   예측 가능한 패턴 생성(Predictive Pattern Generation)
• 2
   통계적 접근법(Statictical Approaches)
• 3
   비정상적인 행위 측정 방법들의 결합(anomaly measures)의 결합
• 4
   특징 추출(Feature Selection)

34. Snort의각 규칙은 고정된 헤더와 옵션을 가지고 있다. 패킷의 payload 데이터를 검사할때 사용되는 옵션에 포함되지 않는 필드는?

• 1
   ttl
• 2
   content
• 3
   depth
• 4
   offset

35. 다음 문장에서 설명하는 VPN(Virtual Private Network)으로 옳은 것은?

• 1
   PPTP
• 2
   L2TP
• 3
   SSTP
• 4
   SSH

36. 다음 IPS종류 중 어플리케이션게이트웨이 방식 설명으로 옳지 않은것은?

• 1
   내부와 외부 네트워크가 프록시 서버를 통해서만 연결이 된다.
• 2
   각 서비스별 프록시 데몬이 존재한다.
• 3
   1세대 방화벽에 속 한다
• 4
   일부 서비스에 대해 투명성을 제공하기 어렵다.

37. IP 스푸핑 공격을 수행하기 위해 시스템 간 설정되어야 하는 것은?

• 1
   트러스트
• 2
   SSL
• 3
   SSO
• 4
   SSID

38. 다음 중 VPN에 대한 설명으로 가장 옳지 않은 것은?

• 1
   SSL VPN은 웹브라우저만 있으면 언제 어디서나 사용이 가능하다.
• 2
   IPsec VPN은 네트워크 계층에서 안전하게 정보를 전송하는 방법이다.
• 3
   IPsec VPN은 운영방식에 따라 트랜스포트 모드만 지원하고 암호화 여부에 따라 ESP, AH 프로토콜을 사용한다.
• 4
   기본적으로 SSL VPN과 IPsec VPN은 데이터의 기밀성과 무결성은 동일하며, 단지 데이터의 암호화 구현 방식에 차이가 있다.

39. 서브넷팅에 대한 설명 중 틀린 것은?

• 1
   서브넷이란 네트워크 세그먼트로 나눈 개별 네트워크를 말한다.
• 2
   서브넷 마스크는 네트워크 ID와 호스트 ID를 구분 짓는 역할을 한다.
• 3
   서브넷 마스크는 32비트의 값으로 표현된다.
• 4
   서브넷팅은 하나의 큰 네트워크를 여러개의 물리적인 서브넷으로 나누는 것을 의미한다.

40. 암호가 걸려 해당 자료들을 열지 못하게 하는공격을 의미하는 것은?

• 1
   Ransomware
• 2
   DRDos
• 3
   Stuxnet
• 4
   APT

41. FTP 전송모드에 대한 설명으로 옳은 것은?

• 1
   디폴트는 active 모드이며, passive 모드로의 변경은FTP 서버가 결정한다.
• 2
   디폴트는 active 모드이며, passive 모드로의 변경은FTP 클라이언트가 결정한다.
• 3
   디폴트는 passive 모드이며, active 모드로의 변경은FTP 서버가 결정한다.
• 4
   디폴트는 passive 모드이며, active 모드로의 변경은FTP 클라이언트가 결정한다.

42. 다음 중 대표적인 윈도우 OSS 웹 방화벽은 무엇인가?

• 1
   Inflex
• 2
   WebKnight
• 3
   Mod_Security
• 4
   Public Web

43. 다음의 보기에서 설명하고 있는 프로토콜은?

ㅇ 1994년 네스케이프사의 웹 브라우저를 위한 보안 프로토콜이다. 
ㅇ 1999년 TLS(Transparent Layer fecurity) 라는 이름으로 표준화되었다.
ㅇ TCP 계층과 응용 계층 사이에서 동작한다.

• 1
   HTTP
• 2
   SSL
• 3
   HTTPS
• 4
   SET

44. 다음 문장에서 설명하는 것은?

• 1
   SSL(Secure Socket Layter)
• 2
   SET(Secure Electronic Transaction)
• 3
   SOC(Security Operation Center)
• 4
   Lattice Security Model

45. DoS 공격엔 다양한 종류가 있다. 다음 중 웹서버 운영체제(OS) 자원을 고갈시키는 DoS는 무엇인가?

• 1
   Syn Flooding
• 2
   GET Flooding
• 3
   Teardrop
• 4
   Syn Cookie

46. 다음 보기에서 설명하고 있는 전자투표 방식은?

- 지정된 투표소에서 하는 방식이다.
- 선거인단이 관리하고 국민투표 활용성이 가장 크다.
- 확인키 발급시 투표매매 가능성도 존재한다.

• 1
   키오스크방식
• 2
   REV방식
• 3
   PSEV방식
• 4
   LKR방식

47. 다음의 SSL 핸드셰이킹 과정 중 보기에서 설명 하고 있는 과정은 어느 단계인가?

서버에서 클라이언트를 인증하기 위한 과정으로, 생략 가능하다.

• 1
   Hello Request
• 2
   Client Hello
• 3
   Certificate Request
• 4
   Client Certificate

48. 다음 중 전자 우편 프로토콜과 관련성이 적은 것은?

• 1
   MDM
• 2
   MUA
• 3
   MDA
• 4
   MRA

49. 디지털 워터마킹 기술의 응용 분야와 거리가 먼 것은?

• 1
   저작권 보호
• 2
   이미지 인증
• 3
   데이터 은닉
• 4
   도청 방지

50. DNS 캐시 포이즈닝으로 분류되는 공격은?

• 1
   DNS 서버의 소프트웨어 버전 정보를 얻어 DNS 서버의 보안 취약점을 판단한다.
• 2
   PC가 참조하는 DNS 서버에 잘못된 도메인 관리 정보를 주입하여 위장된 웹서버로 PC 사용자를 유도한다.
• 3
   공격 대상의 서비스를 방해하기 위해 공격자가 DNS 서버를 이용하여 재귀적인 쿼리를 대량으로 발생시킨다.
• 4
   내부 정보를 얻기 위해 DNS 서버에 저장된 영역 정보를 함께 전송한다.

51. 메일과 관련이 없는 서비스 포트는?

• 1
   109
• 2
   995
• 3
   993
• 4
   163

52. 다음 설명하고 있는 DB접근 제어방식은 무엇인가?

개별 데이터의 접근은 허용되지 않고 통계함수에 의한 접근만 가능할 때 통계에 의해 얻은 데이터로부터 개별 데이터를 얻어낼 수 있는 경우를 말한다.

• 1
   접근통제
• 2
   흐름제어
• 3
   추론제어
• 4
   데이터 제어

53. 다음과 같은 DNS Cache를 확인하기 위한 윈도우 명령어는?

    q.fran.kr
    ----------------------------------------
    데이터 이름 . . . . . : q.fran.kr
    데이터 유형 . . . . . : 5
    TTL(Time To Live) . : 877
    데이터 길이 . . . . . : 8
    섹션 . . . . . . . : 응답
    CNAME 레코드  . . . . : fran.kr


    데이터 이름 . . . . . : fran.kr
    데이터 유형 . . . . . : 1
    TTL(Time To Live) . : 877
    데이터 길이 . . . . . : 4
    섹션 . . . . . . . : 응답
    (호스트) 레코드 . . . : 115.71.236.146

• 1
   ipconfig/showcaches
• 2
   ipconfig/displaydns
• 3
   ipconfig/flushdns
• 4
   ipconfig/all

54. 이메일 클라이언트를 이용해 이메일을 발송하는 경우 SMTP가 사용된다. 인증절차 후 이메일을 발송하는 절차로 옳은 것은?(문제 오류로 가답안 발표시 2번으로 발표되었지만 확정답안 발표시 모두 정답처리 되었습니다. 여기서는 가답안인 2번을 누르면 정답 처리 됩니다.)

• 1
   EHLO＞MAIL＞RCPT＞DATA＞QUIT
• 2
   EHLO＞AUTH＞RCPT＞MAIL＞DATA＞QUIT
• 3
   AUTH＞EHLO＞RCTP＞DATA＞QUIT
• 4
   AUTH＞EHLO＞RCTP＞MAIL＞DATA＞QUIT

55. 다음 암호화 구현에 대한 설명으로 잘못된 것은?

• 1
   대칭키 알고리즘 이용시에는 키 길이를 128비트 이상으로 사용하는 것이 안전하다.
• 2
   비대칭키 알고리즘 이용시에는 키 길이를 2,048비트 이상으로 사용하는 것이 안전하다.
• 3
   입력된 메시지는 취약한 AES(Advanced Encryption Standard) 대신 안전한 DES(Data Encryption Standard) 알고리즘으로 암호화한다.
• 4
   해쉬함수 사용시 Salt 값을 사용한다.

56. 다음 중 SQL Injection의 공격 유형이 아닌 것은?

• 1
   인증 우회
• 2
   데이터 노출
• 3
   원격 명령 실행
• 4
   서비스 거부

57. 다음 중 FTP 명령의 수행 기능을 올바르게 설명한 것은?

• 1
   RMD : 파일 다운로드
• 2
   STOR : 원격지 파일 저장
• 3
   CWD : 디렉터리 생성
• 4
   MKD : 디렉터리 목록 보기

58. 다음 중 PGP의 기능이 아닌 것은?

• 1
   기밀성
• 2
   전자서명
• 3
   단편화와 재조립
• 4
   송수신 부인방지

59. 다음 중 이중서명 구조를 가지는 전자상거래 프레임워크는?

• 1
   ebXML
• 2
   SET
• 3
   eCash
• 4
   PKI

60. 다음 사항들 중 웹 서비스에 대한 취약점의 조치사항과 가장 거리가 먼 것은?

• 1
   폐쇄형 사이트로 운영
• 2
   해외 IP차단
• 3
   쿠키의 활용
• 4
   세션 정당성 검증

61. 역할기반 접근통제에 대한 설명으로 올바른 것은?

• 1
   중앙집권적 관리에 유리하다.
• 2
   사용자 기반 접근통제로 이루어진다.
• 3
   인사이동이 빈번한 조직에 효율적이다.
• 4
   객체의 소유주에 의하여 권한이 변경된다.

62. 다음은 각 암호 알고리즘이 개발된 배경을 설명한 것이다.틀린 것은?

• 1
   스트림 암호는 One Time Pad를 실용적으로 구현할 목적으로 개발되었다.
• 2
   블록 암호는 암호문의 위·변조를 막기 위해서 개발되었다.
• 3
   공개키 암호는 키 관리 문제를 극복하기 위해 개발되었다.
• 4
   해시 함수는 디지털 서명을 효과적으로 수행하기 위해 개발되었다.

63. 다음의〈보기〉에서 설명하고 있는 서명 방식은무엇인가?

사용자 A가 서명자 B에게 자신의 메시지를 보여주지 않고, 서명을 얻는 방법을 말한다. 메시지의 기밀성을 지키면서 타인에게 인증을 받고자 하는 경우에 주로 사용한다.

• 1
   이중 서명
• 2
   은닉 서명
• 3
   전자 서명
• 4
   영지식증명

64. 접근통제 정책에서 역할기반접근통제(RBAC)에 대한 설명으로 올바른 것은?

• 1
   사용자 기반과 ID기반 접근통제이다.
• 2
   모든 개개의 주체와 객체 단위로 접근 권한이 설정되어 있다.
• 3
   기밀성이 매우 중요한 조직에서 사용되는 접근통제이다.
• 4
   주체의 역할에 따라 접근할 수 있는 객체를 지정하는 방식을 말한다.

65. 대칭키 암호 알고리즘이 아닌 것은?

• 1
   DES
• 2
   SEED
• 3
   3DES
• 4
   DSA

66. 다음 중 접근통제정책에 포함되지 않는 것은?

• 1
   DAC
• 2
   MAC
• 3
   NAC
• 4
   RBAC

67. 그림은 사용자 A가 사용자 B에게 암호문을 전달하는 과정 이다. Key_x와 Key_y가 동일하다면 이에 대한 설명으로 옳지 않은 것은?

• 1
   n명의 사용자가 암호화 시스템에 참여하는 경우 n(n-1)/2)개의 키가 필요하다.
• 2
   암호화 시스템 사용자가 1명씩 증가할 때마다 키의 개수는 기하급수적으로 증가한다.
• 3
   동일한 키를 사용함으로써 비밀성 및 부인방지의 기능을제공한다.
• 4
   Decrypt(C)의 알고리즘은 Encrypt(M) 알고리즘의 역순이다.

68. 다음 중 WPKI의 구성 요소가 아닌 것은?

• 1
   RA
• 2
   WPKI CA
• 3
   CP 서버
• 4
   OCSP 서버

69. 강제적 접근통제(MAC)의 특징으로 올바른 것은?

• 1
   중앙에서 정책을 주고 관리한다.
• 2
   사용자 역할에 따라 지정하고 권한을 부여한다.
• 3
   주체에 대응하는 행과 객체에 대응하는 열을 통하여 권한을 부여한다.
• 4
   어떠한 사용자는 다른 사용자에 대한 접근을 허용한다.

70. 10명의 사람이 있다. 각 개인간 비밀키를 구성할 경우 몇개의 키가 필요한가?

• 1
   35
• 2
   45
• 3
   55
• 4
   65

71. 다음 중 디바이스 인증 기술에 포함되지 않는 것은?

• 1
   아이디 패스워드 인증
• 2
   암호 프로토콜 인증
• 3
   시도 응답 인증
• 4
   커버로스

72. 다음 중 전자 서명의 특징으로 올바르지 않는것은?

• 1
   재사용 가능
• 2
   위조 불가
• 3
   부인 불가
• 4
   서명자 인증

73. 다음 보기에서 설명하는 올바른 암호문 공격방법은 무엇인가?

암호기에 접근할 수 있는 상태이며, 평문을 선택하여 대응하는 암호문을 얻는다.

• 1
   선택암호문 공격
• 2
   암호문단독 공격
• 3
   선택평문 공격
• 4
   기지평문 공격

74. 접근통제 모델 중 정보의 소유자가 정보의 보안 수준을 결정하고 이에 대한 정보의 접근 통제까지 설정하는 모델은 무엇인가?

• 1
   DAC
• 2
   MAC
• 3
   RBAC
• 4
   HAC

75. 키 분배 문제를 해결할 수 있는 방법에 해당하지 않는 것은?

• 1
   키 배포 센터에 의한 해결
• 2
   디피-헬만 키 교환 방법에 의한 해결
• 3
   전자서명에 의한 해결
• 4
   공개키 암호에 의한 해결

76. 강제적 접근통제 정책에 대한 설명으로 옳지 않은 것은?

• 1
   모든 주체와 객체에 보안관리자가 부여한 보안레이블이부여되며 주체가 객체를 접근할 때 주체와 객체의 보안레이블을 비교하여 접근허가 여부를 결정한다.
• 2
   미리 정의된 보안규칙들에 의해 접근허가 여부가 판단되므로 임의적 접근통제 정책에 비해 객체에 대한 중앙 집중적인 접근통제가 가능하다.
• 3
   강제적 접근통제 정책을 지원하는 대표적 접근통제 모델로는 BLP(Bell-Lapadula), Biba 등이 있다.
• 4
   강제적 접근통제 정책에 구현하는 대표적 보안 메커니즘으로Capability List와 ACL(Access Control List) 등 이 있다

77. 다음 지문이 설명하는 것은?

이것은 MIT(Massachusetts Institute of Technology) 대학에서 개발한 분산 환경 하에서 개체 인증서비스를 제공하는 네트워크 인증시스템이다. 비밀키 암호작성법에 기초를 둔 지주 이용되는 온라인 암호키 분배방법이다. 이 시스템의 목적은 인증된 클라이언트만이 서버에 접속하도록 하는 것이다. 이것의 장점으로는 데이터의 기밀성과 무결성을 보장한다는 점을 들 수 있고, 이것의 단점으로는 키 분배센터에 장애 발생 시 전체서비스가 사용 불가 상태가 됨을 들 수 있다

• 1
   Diffie-Hellman Protocol
• 2
   Kerberos Protocol
• 3
   Needham-schroeder Protocol
• 4
   SET Protocol

78. 커버로스 프로토콜에서 티켓에 포함되는 사항이 아닌 것은?

• 1
   서버ID
• 2
   클라이언트ID
• 3
   서버의 네트워크주소
• 4
   티켓의 유효기간

79. 다음에서 수동적 공격에 해당하는 것은 무엇인가?

• 1
   스니핑
• 2
   스푸핑
• 3
   인젝션공격
• 4
   삭제공격

80. 다음 중 디바이스 인증 기술에 대한 설명으로 옳지 않은 것은?

• 1
   서버의 데이터베이스에 저장된 아이디와 비밀번호를 비교하여 인증하는 방식을 아이디 패스워드 기반 인증방식이라 한다.
• 2
   MAC 주소값 인증 방식은 아이디 없이 MAC 주소만으로 인증하는 방식이다.
• 3
   암호 프로토콜을 활용한 인증 방식은 중간에 키나 세션을 가로 채어 중요 정보를 유출하는 시도를 차단한다.
• 4
   시도-응답 인증 방식은 키를 생성하여 사용자를 인증하는 방식이다.

81. 다음 에서 정의하고 있는 용어는 무엇인가?

이용자 또는 개인정보취급자 등이 시스템 또는 정보통신망에 접속할 때 식별자와 함께 입력하여 정당한 접속권한을 가지는 자라는 것을 식별할 수 있으며 시스템에 전달해야 하는 고유 문자열로서 타인에게 공개되지 않는 정보를 말한다,

• 1
   망분리
• 2
   접속기록
• 3
   비밀번호
• 4
   계정정보

82. 다음 재난 복구 계획 중 서버와 단말기까지 모든 컴퓨터 설비를 완전히 갖추고, 실제로 운영되 는 환경과 동일한 상태로 지속 관리되는 사이트는 무엇인가?

• 1
   웜사이트
• 2
   핫사이트
• 3
   콜드사이트
• 4
   상호 지원계약

83. 정량적 위험 분석과 정성적 위험 분석에 대한 다음의 설명 중 틀린 것은?

• 1
   정량적 분석은 객관적인 평가 기준이 적용된다.
• 2
   정량적 분석은 위험 관리 성능 평가가 용이하다.
• 3
   정성적 분석은 계산에 대한 노력이 적게 소요된다.
• 4
   정성적 분석은 비용과 이익에 대한 평가가 필수적으로 요구된다.

84. 다음은 개인정보의 안전성 확보조치 기준에서의 인터넷 홈 페이지 취약점 점검과 관련한 설명이다. 옳은 것들을 모두 고른 것은?

a. 인터넷 홈페이지를 통해 고유식별정보를 처리하는 개인정보처리자는 해당 인터넷 홈페이지에 대해 연 1회 이상 취약점을 점검하고 필요한 보완 조치를 하여야 한다.
b. 인터넷 홈페이지의 취약점 점검은 개인정보처리자의 자체인력, 보안업체 등을 활용할 수 있으며, 취약점 점검은 상용도구, 공개용 도구, 자체제작 도구 등을 사용할 수 있다.
c. 웹 취약점 점검과 함께 정기적으로 웹쉘 등을 점검하고 조치하는 경우 취급 중인 개인정보가 인터넷 홈페이지를 통 해 열람권한이 없는 자에게 공개되거나 유출되는 위험성을 더욱 줄일 수 있다.

• 1
   a,b
• 2
   b,c
• 3
   a,c
• 4
   a,b,c

85. 고유식별정보는 법령에 따라 개인을 고유하게 구별하기 위하여 부여된 식별정보로서대통령령으로 정하는 정보이다. 다음 중 개 인정보처리자가고유식별정보를 처리할 수 있는 경우에 해당하 는 것은?

• 1
   정보주체의 동의를 받지 않은 경우
• 2
   법령에서 구체적으로 고유식별정보의 처리를 요구하거나허용하는 경우
• 3
   교통단속을 위하여 필요한 경우
• 4
   시설 안전 및 화재 예방을 위하여 필요한 경우

86. 다음은 정보통신망법과 관련법률간 관계에 대한 설명이다. 아래 빈칸에 들어갈 말을 바르게 나열한 것은?

ㅇ 정보통신망 이용촉진 및 정보보호등에 관하여는 다른 법률에서 특별히 규정된 경우 외에는 이 법으로 정하는 바에 따른다. 
ㅇ 만약 통신과금서비스에 관하여 이 법과 ( A )의 적용이 경합하는 때에는 ( B )을 우선 적용한다. 
ㅇ ( C )의 개정에 따라 개인정보 보호에 관련한 조항은 본 법에서 삭제되었다.

• 1
   전자상거래법 - 전자상거래법 - 정보화진흥법
• 2
   전자상거래법 - 정보통신망법 - 개인정보 보호법
• 3
   전자금융거래법 - 전자금융거래법 - 정보화진흥법
• 4
   전자금융거래법 - 정보통신망법 - 개인정보 보호법

87. 개인정보처리자가 시스템에 접속한 기록을 최소한 보관해야 하는 기간은 얼마인가?

• 1
   6개월
• 2
   1년
• 3
   3년
• 4
   5년

88. 다음 중 용어에 대한 설명으로 옳지 않은 것은 무엇인가?

• 1
   정성적 기준 : 자산 도입비용, 자산복구비용, 자산복구비용의 기준이 됨
• 2
   정성적 기준 : 정보자산의 우선순위 식별
• 3
   정량적 기준 : 정보자산의 취약점에 대한 피해를 산정
• 4
   정량적 기준 : 영향도 분석 결과를 수치화하여 산정

89. 다음 중 개인정보보호법에 따른 개인정보 수집 시 반드시 정보주체의 동의가 필요한 경우는?

• 1
   인터넷 홈페이지 등에 공개 된 전화번호 또는 이메일을 통해 직장인 우대 대출, 홍보성 이벤트를 하는 경우
• 2
   동호회의 운영을 위하여 회원의 개인정보를 수집, 이용하는 경우
• 3
   자동차 구매를 위해 고객의 명함을 받은 자동차판매점 담당 직원이 자동차 구매 관련 정보 제공을 위해 명함에 기재 된 연락처를 이용하는 경우
• 4
   소방서에서 홍수로 고립된 사람을 구조하기 위해 위치정보를 수집하는 경우

90. 다음 중 ISMS(Information Security Management System) 의 각 단계에 대한 설명으로 옳은 것은?

• 1
   계획 : ISMS 모니터링과 검토
• 2
   조치 : ISMS 관리와 개선
• 3
   수행 : ISMS 수립
• 4
   점검 : ISMS 구현과 운영

91. 다음은 정보통신기반 보호법에 따른 주요정보통신기반시의 지 정요건이다. 빈 칸 (가) ~ (마)에 들어갈 알맞은 단어를 바르게 나열한 것은?

중앙행정기관의 장은 소관분야의 정보통신기반시설중 다음의 사항을 고려하여 전자적 침해행위로부터의 보호가 필요하다고 인정되는 정보통신기반시설을 주요정보통신기반시설로 지정할 수 있다.
1. 당해 정보통신기반시설을 관리하는 기관이 수행하는 업무의 국가 사회적 ( 가 )
2. 당해 정보통신기반시설을 관리하는 기관이 수행하는 업무의 정보통신기반시설에 대한 ( 나 )
3. 다른 정보통신기반시설과의 ( 다 )
4. 침해사고가 발생할 경우 국가안전보장과 경제사회에 미치는 피해규모 및 범위
5. 침해사고의 ( 라 ) 또는 그 복구의 ( 마 )

• 1
   가:중요성 나:기밀성 다:의존도 라:발생가능성 마:용이성
• 2
   가:기밀성 나:중요성 다:의존도 라:용이성 마:경제성
• 3
   가:중요성 나:의존도 다:상호연계성 라:발생가능성 마:용이성
• 4
   가:중요성 나:의존도 다:관련성 라:발생가능성 마:용이성

92. 위험분석 방법론으로 적절히 짝지은 것은?

(가) 그 어떤 사건도 기대대로 발생하지 않는다는 사실에 근거하여 일정 조건 하에서 위협에 대한 발생 가능한 결과를 추정하는 방법
(나) 시스템에 관한 전문적인 지식을 가진 전문가 집단을 구성하고 위협을 분석 및 평가하여 정보시스템이 직면한 다양 한 위협과 취약성을 토론을 통해 분석하는 방법

• 1
   가:확률분포법 나: 순위결정법
• 2
   가:시나리오법 나:델파이법
• 3
   가:델파이법 나:확률분포법
• 4
   가:순위결정법 나:시나리오법

93. 주요 정보S신기반시설에 대한 취약점 분석 평가를 수행할 수 있는 기관이 아닌 것은?

• 1
   한국인터넷진흥원
• 2
   정보보호 전문서비스 기업
• 3
   한국전자통신연구원
• 4
   한국정보화진홍원

94. 다음 중 법에 따른 암호화 대상이 아닌 것은?

• 1
   주민등록번호
• 2
   바이오정보
• 3
   비밀번호
• 4
   전화번호

95. 다음 중 정성적 위험 분석에 포함되지 않는 것은?

• 1
   객관적인 평가 기준이 적용된다.
• 2
   위험 분석 과정이 지극히 주관적이다.
• 3
   계산에 대한 노력 이 적게 든다.
• 4
   측정 결과를 화폐로 표현하기 어렵다.

96. 다음 중 주요 정보통신 기반 시설 보호 계획의 수립에 포함되지 않는 것은?

• 1
   주요 정보통신 기반 시설의 침해 사고에 대한 예방 및 복구 대책에 관한 사항
• 2
   주요 정보통신 기반 시설의 취약점 분석, 평가에 관한 사항
• 3
   그 밖에 주요 정보통신 기반 시설의 보호에 관하여 필요한 사항
• 4
   주요 정보통신 기반 시설 보호 대책 이행 여부의 확인 절차

97. 개인정보보호법에서 개인정보처리자는 개인정보 열람요구서를 받은날부터 며칠 이내에 정보주체에게 해당 개인정보를 열람 할수 있도록 알려주어야 하는가?

• 1
   3일
• 2
   5일
• 3
   7일
• 4
   10일

98. 다음 중 정보통신서비스 제공자 등이 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체 없이 개인정보처리 시스템의 접근권한을 변경 또는 말소하기 위한 방법 중 가장 적합한 것은 무엇인가?

• 1
   개인정보처리시스템의 접근권한은 변경일자를 정해서 해당일자에만 변경처리를 한다.
• 2
   인사 DB와 개인정보처리시스템을 실시간 연동시켜 개인정보취급자가 자동적으로 전보 또는 퇴직 시스템의 계정도 동시 삭제한다.
• 3
   개인정보처리시스템에서 권한관리는 담당자를 지정해서 담당자에 의해서만 관리하고 담당자는 보안상 반드시 1인으로 한다.
• 4
   접근권한에 대한 말소는 개인정보취급자가 퇴사 이후에도 업무인수인계 측면에서 일정한 기간 동안 권한을 유지해야 한다.

99. 다음 중 정보통신기반보호법에 의거하여 국가, 사회적으로 중대한 영향을 미치는 주요정보통신기반시설이 아닌 것은?

• 1
   방송중계, 국가지도통신망 시설
• 2
   인터넷포털, 전자상거래업체 등 주요 정보통신시설
• 3
   도로, 철도, 지하철, 공항, 항만 등 주요 교통시설
• 4
   전력, 가스, 석유 등 에너지·수자원 시설

100. 다음 중 전자서명법에 의거하여 공인인증기관이 발공하는 공인인증서에 포함되는 사항이 아닌 것은?

• 1
   가입자와 공인인증기관이 이용하는 전자인증 방식
• 2
   공인인증서의 일련번호
• 3
   공인인증기관의 명칭 등 공인인증기관임을 확인할 수 있는 정보
• 4
   공인인정서의 이용범위 또는 용도를 제한하는 경우 이에 관한 사항