1. 윈도우에서 관리 목적상 기본적으로 공유되는 폴더 중에서 Null Session Share 취약점을 갖는 것은?

• ①
   C$
• ②
   G$
• ③
   IPC$
• ④
   ADMIN$

2. cron에 대한 설명으로 옳지 않은 것은?

• ①
   정기적인 작업을 지정시간에 처리하기 위해 사용한다.
• ②
   cron에 의해 수행된 작업에 관한 로그는 기본적으로 /etc/default/cron 파일에 저장된다.
• ③
   시간별, 일별, 주별, 월별로 작업을 정의할 수 있다.
• ④
   /etc/crontab 파일에 처리할 작업 목록이 정의되고 저장되어 있다.

3. 다음 시나리오와 같은 상황에서 사용할 수 있는 가장 적절한 명령줄은?

111.11.11.1 아이피로부터 HTTP를 이용한 DoS공격이 들어오는 것을 확인하였다. 111.11.11.1은 협력사의 서버로 HTTP 통신은 하지 않지만 다른 업무상 통신은 주고 받아야 하는 상황이다. 일단 최소한으로 차단을 하되 차단되고 있다는 응답을 주고자 한다.

• ①
   /sbin/iptables -A INPUT -s 111.11.11.1 -p tcp -dport 80 -j DROP
• ②
   /sbin/iptables -A OUTPUT -s 111.11.11.1 -p tcp -dport 80 -j ACCEPT
• ③
   /sbin/iptables -A INPUT -s 111.11.11.1 -p tcp -dport 80 -j REJECT
• ④
   /sbin/iptables -A FORWARD -s 111.11.11.1 -p tcp -dport 80 -j BLOCK

4. 다음 중 리눅스 계정 관리 파일 /etc/shadow를 통해서 알 수 없는 것은 무엇인가?

• ①
   사용자의 계정 이름
• ②
   암호화된 패스워드
• ③
   패스워드 최소 길이
• ④
   패스워드 만료까지 남은 기간

5. 다음 중 윈도우 운영체제에서 사용하는 파일 시스템이 아닌 것은?

• ①
   FAT16
• ②
   FAT32
• ③
   EXT3
• ④
   NTFS

6. 다음 지문에서 설명하는 공격은?

ㅇ 이 공격에 사용되는 메모리 영역은 malloc, free 등의 함수로 제어함
ㅇ 쉘 코드를 사용하기 위하여 함수의 반환 주소를 단순히 덮어 쓰는 방법은 사용할 수 없고, 버퍼에 할당된 포인터 값을 덮어 쓰는 방법이 일반적으로 사용됨

• ①
   스택 버퍼 오버플러우
• ②
   레이스 컨디셔닝
• ③
   힙 버퍼 오버플로우
• ④
   RTL(Return To Libc)

7. 다음 중 리눅스 시스템에서 좀비 프로세스를 찾기 위해 사용할 수 있는 명령어로 옳은 것 2가지를 선택하시오.

• ①
   ps -ef | grep defunct
• ②
   top -b -n 1 | grep defunct
• ③
   ps -ef | grep zombie
• ④
   top -b -n 1 | grep zombie

8. 랜섬웨어에 대한 설명으로 틀린 것은?

• ①
   단방향 암호화 방식을 주로 사용한다.
• ②
   파일 확장자를 임의 변경한다
• ③
   안티바이러스 프로그램을 강제 종료한다.
• ④
   윈도우 복원 시점을 제거한다.

9. 다음 중 리눅스 lastb 명령어을 통하여 확인할 수 있는 로그파일은?

• ①
   utmp
• ②
   btmp
• ③
   dmGsg
• ④
   secure

10. 다음 중 Telnet 보안에 대한 설명 중 틀린 것은?

• ①
   TELNET 세션은 암호화 및 무결성 검사를 지원하지 않는다.
• ②
   SSH(Secure Shell)는 암호화를 하지 않는다.
• ③
   패스워드가 암호화되어 있지 않아 스니퍼를 이용하여 제3자에게 노출 될 수 있다.
• ④
   UNIX 시스템에서 해커가 in.telnetd를 수정하여 클라이언트의 특정 터미널 종류에 대해 인증과정 없이 쉘을 부 여할 수도 있다.

11. cron 테이블에 대한 설명이다. 매주 토요일 오전 10시 정각에 mytest를 실행시키기 위한 내용으로 맞는 것은?

• ①
   0 10 6 * * mytest
• ②
   0 10 * * 6 mytest
• ③
   0 10 * 6 * mytest
• ④
   0 10 6 * * mytest

12. Visual Basic 스크립트를 이용한 악성코드에 대한 설명으로 맞는 것은?

• ①
   웹브라우저에서 실행될 경우 스크립트가 브라우저에 내장되므로 파일의 내용을 확인하기 어렵다.
• ②
   독립형으로 개발할 경우 파일 생성에 제한을 받아 윔형 악성코드를 만들지 못한다.
• ③
   확장자는 VBA다.
• ④
   이메일에 첨부되어 전파될 수 있다.

13. 다음 중 커널에 대한 설명으로 올바르지 못한 것은?

• ①
   커널은 프로세스, 파일시스템, 메모리 , 네트워크의 관리를 맡는다.
• ②
   컴퓨터 운영체제 핵심으로서 컴퓨터의 가장 기본적인 각 장치들을관리하고 제어하기 위한 소프트웨어이다.
• ③
   장치 혹은 시스템의 기능과 관련된 변화가 있을 경우 새로운 커널을 생성해야한다.
• ④
   유닉스 계열의 시스템이 부팅될 때 가장 먼저 읽히는 운영체제의핵심으로 보조기억장치에 상주한다.

14. 다음의 보기에서 빈칸에 알맞은 용어는 무엇인가?

(      )는 /etc/hosts.deny와 /etc/hosts.allow 파일을 통하여 접근 통제를 구현한다.

• ①
   TCP Wrapper
• ②
   Tripwire
• ③
   SARA
• ④
   NESSUS

15. 다음 중 취약점 점검 도구에 대한 설명으로 틀린 것은?

• ①
   COPS/COPE : 네트워크 기반의 취약점 분석도구로 컴퓨터, 서버, N/W IDS의 보안 취약점을 분석한다.
• ②
   Nessus : 네트워크 취약점 점검도구로써 클라이언트-서버 구조로 클라이언트의 취약점을 점검하는 기능이 있다.
• ③
   nmap : 시스템 내부에 존재하는 취약성을 점검하는 도구로써 취약한 패스워드 브루트포스 기능 등이 있다.
• ④
   SAINT : 네트워크 취약점 분석도구로써 HTML 형식의 보고서 기능이 있으며 원격으로 취약점을 점검하는 기능을 가지고 있다.

16. 보안 웹 취약점을 연구하는 세계적인 단체는 어느 곳인가?

• ①
   ISC2
• ②
   OWASP
• ③
   APACHE 연합
• ④
   RedHat

17. 다음의 공격도구들이 공통적으로 제공하는 기능은?

John the Ripper, Wfuzz, Cain and Abel, THC Hydra

• ①
   무차별대입공격
• ②
   SQL Injection
• ③
   스니핑 공격
• ④
   사회 공학 공격

18. 다음 보기를 보고 올바르게 설명하고 있는 것을 고르시오.

# iptables -A INPUT -s 172.10.10.10 -p tcp -j drop

• ①
   외부 ip 172.10.10.10에서 들어오는 패킷을 차단한다.
• ②
   내부 ip 172.10.10.10에서 나가는 패킷을 차단한다.
• ③
   외부 ip 172.10.10.10에서 나가는 패킷을 차단한다.
• ④
   내부 ip 172.10.10.10에서 들어오는 패킷을 차단한다.

19. 다음 중 운영체제 발전 흐름에 대한 설명으로 올바르지 못한 것은?

• ①
   다중처리시스템 : 여러 개의 CPU와 여러 개의 주기억장치를 이용하여 여러 개의 프로그램을 처리하는 방식이다.
• ②
   시분할시스템 : 여러 명의 사용하는 시스템에서 각 사용자는 독립된 컴퓨터를 사용하는 느낌으로 사용한다.
• ③
   다중프로그램 : 하나의 CPU와 주기억장치를 이용하여 여러개의 프로그램을 동시에 처리하는 방식이다.
• ④
   분산처리시스템 : 여러 개의 컴퓨터를 통신회선으로 연결하여 하나의 작업을 처리하는 방식을 말한다.

20. 다음중 NTFS에서 Sector_per_cluster로 정할 수 없는 것은?

• ①
   1
• ②
   6
• ③
   8
• ④
   16

21. RFID 보안 기술에서 암호 기술을 사용하는 보호대책은?

• ①
   Kill 명령어 기법
• ②
   블로커 태그 기법
• ③
   XOR(Exclusive OR) 기반 원타임 패드 기법
• ④
   Sleep 명령과 Wake 명령어 기법

22. 네트워크 공격 유형이 아닌 것은?

• ①
   패킷 스니핑 공격
• ②
   포맷스트링 공격
• ③
   서비스거부 공격
• ④
   스푸핑 공

23. 다음 중 스니핑 방지 대책으로 올바르지 못한것은?

• ①
   SSL 암호화 프로토콜을 사용한다.
• ②
   원격 접속 시 SSH를 통해 접속한다.
• ③
   MAC 테이블을 동적으로 지정해 놓는다.
• ④
   스니핑 탐지 도구를 이용하여 정기적으로 점검한다.

24. 다음 중 DDOS공격 프로그램이 아닌 것은 무엇인가?

• ①
   TRINOO
• ②
   TFN
• ③
   Stacheldraht
• ④
   Teardrop

25. I/O 중심 프로세스와 CPU 중심 프로세스 모두를 만족시키는 스케줄러로 가장 적합한 것은?

• ①
   MLFQ(Multi Level Feedback Queue)
• ②
   RR(Round Robin)
• ③
   SPF(Shortest Process First)
• ④
   SRT(Shortest Remaining Time)

26. 다음 설명으로 알맞은 명령어는?

ㅇ 목적지까지의 데이터 도달 여부를 획인하는 도구이다
ㅇ 네트워크와 라우팅의 문제점을 찾아내는 목적으로 많이 사용되며, UDP 패킷을 이용해 진행경로의 추적과 패킷이 지나가는 IP 주소나 이름을 알아낼 수 있다.
ㅇ 결과에서 응답시간이 *로 표시되는 경우 침입차단시스템 등의 접근통제리스트에 의해 패킷이 차단되었음을 확인할 수 있다.

• ①
   Ping
• ②
   Traceroute
• ③
   Tcpdump
• ④
   Netstat

27. IDS(Intrusion Detection System)에 대한 설명으로 틀린 것은?

• ①
   감사와 로깅할 때 네트워크 자원이 손실되거나 데이터가 변조되지 않는다.
• ②
   네트워크에서 백신과 유사한 역할을 하는 것으로 네트워크를 통한 공격을 탐지하는 위한 장비이다.
• ③
   네트워크를 통한 공격을 탐지할뿐 아니라 차단을 수행한다.
• ④
   설치 위치와 목적에 따라 HIDS와 NIDS로 나뉠 수 있다.

28. 다음 공개 해킹도구 중 사용용도가 다른 도구(소프트웨어)는?

• ①
   넷버스(Netbus)
• ②
   스쿨버스(Schoolbus)
• ③
   백오리피스(Back Orifice)
• ④
   키로그23(Keylog23)

29. 다음과 같이 서브넷을 생성했을 경우, 이에 대한 설명으로 틀린 것은?

어떤 기관에서 네트워크 블록 211.170.184.0/24가 할당 되었다. 네트워크 관리자는 이를 32개의 서브넷으로 나누고자 한다.

• ①
   서브넷 마스트는 255.255.255.31이다.
• ②
   각 서브넷의 호스트 개수는 8개이다.
• ③
   1번 서브넷의 주소 범위는 211.170.184.0 ~ 211.170.184.7이다.
• ④
   32번 서브넷의 주소 범위는 211.170.184.248 ~ 211.170.184.255이다.

30. IP 스푸핑 공격을 수행하기 위해 시스템 간 설정되어야 하는 것은?

• ①
   트러스트
• ②
   SSL
• ③
   SSO
• ④
   SSID

31. L2 스위치 환경의 스니핑 공격 방법으로 가장 옳지 않은 것은?

• ①
   L2스위치 환경의 공격의 공격법으로 ICMP Redirect, APR Spoofing ARP Redirect 등이 있다.
• ②
   ARP Reply를 지속적으로 날려 스위치를 더미허브로 만드는 방법으로 Sniffing을 수행한다.
• ③
   ICMP Redirect를 이용해 특정 목적지 주소가진 패킷을 공격자에게로 돌린다.
• ④
   ARP Request를 지속적으로 전송함으로써 ARP Cache Table을 가득채우는 DoS공격이 가능하다.

32. 다음에 나열된 공격이 사용되는 융복합 서비스는 무엇인가?

bye attack, cancel attack, RTP Flooding, ARP cache poisoning, ddos

• ①
   IPTV
• ②
   VoIP
• ③
   Smart TV
• ④
   CCTV

33. 다음 중 에서 설명하고 있는 웹보안 취약점은 무엇인가?

로그온된 피해자의 취약한 웹 애플리케이션에 피해자의 세션 쿠키와 기타 다른 인증정보를 자동으로 포함하여 위조된 HTTP 요청을 강제로 보내도록 하는 것이다. 이것은 공격자가 취약한 애플리케이션의 피해자로부터의 정당한 요청이라고 오해할 수 있는 요청들을 강제로 만들 수 있다.

• ①
   XSS
• ②
   CSRF(Cross-Site Request Forgery)
• ③
   Injection
• ④
   Data Exposure

34. 스위칭 환경에서의 스니핑 공격 유형 중 공격자가 "나의 MAC 주소가 라우터의 MAC 주소이다" 라는 위조된 ARP Reply를 브로드캐스트로 네트워크에 주기적으로 보내어 스위칭 네트워크상의 다른 모든 호스트들이 공격자 호스트를 라우터로 믿게 하는 공격은?

• ①
   Switching Jamming
• ②
   ICMP Redirect
• ③
   ARP Redirect
• ④
   DNS Spoofing

35. 다음 문장의 괄호 안에 들어갈 말은?

• ①
   Duplex Mode
• ②
   MAC
• ③
   Promiscuouse Mode
• ④
   ARP

36. 네트워크 로그 수집 및 분석을 위해 엘라스틱 스택을 구성하고자 한다. 엘라스틱서치(Elasticsearch)분석기 모듈의 순서로 옳은 것은?

• ①
   캐릭터 필터 - 토큰 필터 - 토크나이저
• ②
   캐릭터 필터 - 토크나이저 - 토큰 필터
• ③
   토크나이저 - 캐릭터 필터 - 토큰필터
• ④
   토크나이저 - 토큰 필터 - 캐릭터 필터

37. 다음 문장에서 설명하고 있는 것은 무엇인가?

• ①
   Intrusion Prevention System
• ②
   Screened Subnet
• ③
   Knowledge-Base IDS
• ④
   Singature-Base IDS

38. VPN 프로토콜 중 IPSEC에서 암호화 기능을 담당하는 프로토콜은?

• ①
   AH
• ②
   ESP
• ③
   IKE
• ④
   PPTP

39. 다음은 스노트(snot)룰 예시이다. 룰의 구성에 대한 설명으로 틀린 것은?

• ①
   alert를 발생하고 로그를 남긴다.
• ②
   패턴 매칭시 대소문자를 구분한다.
• ③
   content를 첫 번째 바이트로부터 13번째 바이트 범위안에서 검사한다.
• ④
   출발지를 기준으로 매 1초동안 10번째 이벤트마다 action을 수행한다.

40. 다음 설명의 공격 기법을 무엇이라 하는가?

공격 대상이 방문할 가능성이 있는 합법적 웹사이트를 미리 감염시킨 뒤 잠복하였다가 피해자가 접속하면 감염시키는 공격으로 보안이 상대적으로 강한 대상에 대한 길목을 만들어 나가는 순차적 공격 기법이다. 웹 사이트들을 통해 공격 대상 기관의 직원들을 감염시키고, 그 직원을 매개체로 기관 내부에 침투할 수 있다.

• ①
   워터링 홀
• ②
   파밍
• ③
   스피어 피싱
• ④
   CSRF 공격

41. 다음 중 안전한 전자 지불 서비스를 위한 보안 메커니즘 중에서 추적성과 가장 관련이 깊은 서명 메커니즘은?

• ①
   개인서명
• ②
   다중서명
• ③
   그룹서명
• ④
   은닉서명

42. 다음 중 전자상거래 프로토콜인 SET의 구성 요소에 포함되지 않는 것은?

• ①
   상점
• ②
   고객
• ③
   매입사
• ④
   등록기관

43. 다음 지문에서 설명하고 있는 보안 기술은 무엇인가?

동일한 패스워드를 사용하는 보안상의 취약점을 극복하여 일회성의 서로 다른 패스워드를 생성하게 함으로써 안전한 전자상거래를 진행한다.

• ①
   스마트 토큰
• ②
   OTP
• ③
   NFC
• ④
   보안카드

44. 다음 중 TFTP(Trivial File Transfer Protocol)에 대한 설명으로 틀린 것은?

• ①
   하드디스크가 없는 장비들이 네트워크를 통해 부팅 할 수 있도록 제안된 프로토콜이다.
• ②
   UDP 69번을 사용하며 특별한 인증 절차가 없다.
• ③
   TFTP 서비스를 위한 별도의 계정 파일을 사용하지 않는다.
• ④
   보안상 우수하여 Anonymous FTP 서비스를 대신하여 많이 사용한다.

45. 전자 입찰시스템에서 필요한 5가지 보안 요구사항과 가장 거리가 먼 것은?

• ①
   독립성
• ②
   효과성
• ③
   비밀성
• ④
   무결성

46. 다음 중에서 ebXML(Electronic business Extensible Markup Language)의 구성요소가 아닌 것은?

• ①
   CC(Core Component)
• ②
   RR(Registry and Repository)
• ③
   BP(Business Process)
• ④
   BP(Business Partners)

47. 다음 지문이 설명하고 있는것은?

이 솔루션은 인증을 통해 자산 및 사용자를 식별하고, 네트워크 접근권한 등을 부여하여 사용자 접속권한을 제어한다. 인가 받지 않은 단말에 대해 내부 네트워크 접근 통제가 가능하다.

• ①
   IPS
• ②
   Firewall
• ③
   NAC
• ④
   ESM

48. 다음 중 전자 서명의 특징에 포함되지 않는 것은?

• ①
   위조 불가
• ②
   부인 불가
• ③
   서명자 인증
• ④
   재사용 가능

49. 다음 중 FTP 서버의 Bounce Attack에 대해 바르게 설명한 것은?

• ①
   분산 반사 서비스 거부 공격(DRDoS)으로 악용할 수 있다.
• ②
   접근이 FTP의 PORT command를 악용하여 외부에서 직접 접근 불가능한 내부망 컴퓨터상의 포트에 FTP 서버를 통해 접근할 수 있다.
• ③
   login id를 입력 후 다음 응답 코드를 줄 때까지의 반응 속도 차이를 이용하여 실제 계정이 존재하는지 여부를 추측할 수 있다.
• ④
   active, passive 모드를 임의로 변경할 수 있다.

50. 다음 는 FTP 서비스로 인한 xferlog의 기록이다. 설명 중 올바르지 못한 것은?

Mon Feb 9 20:03:12 2014(1) 0 2*1.100.17.1*2 740(2) /home/boan/public_html/index.html(3) a U(4) d r boan FTP 0 * c

• ①
   파일이 전송된 날짜와 시간을 의미한다.
• ②
   파일 사이즈를 말한다.
• ③
   사용자가 작업한 파일명을 의미한다.
• ④
   압축이 되어 있다는 것을 의미한다.

51. 안드로이드(Android) 플랫폼을 기반으로 개발된 모바일 앱의 경우, 디컴파일 도구 이용시 실행파일(.apk)을 소스코드로 쉽게 변환시킬 수 있어 앱 구조 및 소스코드를 쉽게 분석할 수 있다. 이를 방지하기 위한 기술은?

• ①
   난독화
• ②
   무결성 점검
• ③
   안티 디버깅
• ④
   루

52. 다음 그림에 대한 ftp설명으로 올바르지 못한 것은?

1. 클라이언트 → 서버 (제어 연결)
2. 클라이언트 ← 서버 (데이터전송 연결)
3. 클라이언트 ↔ 서버 (데이터 전송)

• ①
   첫 번째 접속은 21번 포트로 이루어진다.
• ②
   두 번째 접속 포트는 클라이언트가 정한다.
• ③
   위 모드는 active모드이다.
• ④
   두 번째 접속은 세션 동안 연결된 상태로 계속 유지된다.

53. 다음 문장에서 설명하는 데이터베이스의 보안 사항은?

• ①
   DDL(Data Definition Language)
• ②
   뷰(View)
• ③
   SQL(Structed Query Language)
• ④
   DCL(Data Control Language)

54. 다음 중 신용 카드의 보안 코드 세 자리 번호와 관계가 없는 것은?

• ①
   CSS
• ②
   CID
• ③
   CVV
• ④
   CVC

55. 다음 보기가 설명하고 있는 공격 방식은?

해커가 특정 기업, 기관 등의 HW 및 SW 개발, 공급과정 등 에 침투하여 제품의 악의적 변조 또는 제품 내부에 악성코드 등을 숨기는 행위로 최근에 국내 SW 개발사를 대상으로 SW가 제작되는 단계에서 설치파일 변조 침해사고가 여러 차례 확인된 바 있다. 이러한 사고 예방을 위해서는 개발환경 은 외부 인터넷을 차단하여 운영하여야 한다.

• ①
   developer chain attack
• ②
   supply chain attack
• ③
   stuxnet attack
• ④
   scada attck

56. 아래 지문은 크로스사이트 요청 위조(CSRF)의 보안대책을 설명한 것이다. 다음 중 ( ) 안에 들어갈 내용이 맞게 구성된 것은?

입력화면 폼 작성 시 (A) 방식보다는 (B) 방식을 사용하고, 입력화면 폼과 해당 입력을 처리하는 프로그램 사이에 (C)를 사용하여, 공격자의 직접적인 URL 사용이 동작하지 않도록 한다. 특히 중요한 기능에 대해서는 (D)와 더불어 (E)를 유도한다.

• ①
   GET, POST, 세션, 사용자 세션 검증, 재사용
• ②
   POST, GET, 세션, 쿠키 식별, 재사용
• ③
   POST, GET, 토큰, 쿠키 식별, 재사용
• ④
   GET, POST, 토큰, 사용자 세션 검증, 재인증

57. 데이터베이스 보안 방법으로 틀린 것은?

• ①
   데이터베이스 서버를 백업하며 관리한다.
• ②
   Guest 계정을 사용하여 관리한다.
• ③
   데이터베이스 쿼리만 웹 서버와 데이터베이스 서버 사이에 통과할 수 있도록 방화벽을 설치한다.
• ④
   데이터베이스 관리자만 로그인 권한을 부여한다.

58. 웹상에서 보안을 강화하기 위하여 해야 할 것으로 가장 바람직한 것은?

• ①
   리눅스 아파치 웹서버 이용시 WebKnight와 같은 전용 방화벽을 사용하는 것이 좋다.
• ②
   인증 등 중요 정보가 오갈 땐 세션만을 신뢰하기 보단 토큰을 추가로 검증하는 것이 도움이 된다.
• ③
   서버엔 웹방화벽보단 침입탐지시스템을 설치하여 SQL 인젝션을 차단 하는 것이 유리하다.
• ④
   XSS와 같은 클라이언트를 대상으로 한 공격은 웹페이지에 스크립트를 이용해서 막는 것이 안전하다.

59. 다음 중 포맷 스트링 취약점 점검 툴이 아닌 것은?

• ①
   gdb
• ②
   objdump
• ③
   ltrace
• ④
   tcpdump

60. 다음 웹 서비스 공격 유형으로 적절한 것은?

• ①
   XSS
• ②
   SSRF
• ③
   HTTP Smuggling
• ④
   CSRF

61. 전자서명에 대한 설명으로 옳지 않은 것은?

• ①
   전자문서의 서명은 다른 전자문서의 서명과 항상 동일해야 누구든지 검증할 수 있다.
• ②
   전자서명을 계산하기 위해 송신자는 문서에 대해 해시값을 계산한 후 그 값올 자신의 개인키로 암호화한다.
• ③
   합법적인 서명자만이 전자문서에 대한 전자서명을 생성할 수 있어야 한다.
• ④
   어떠한 문서에 대해서도 서명의 위조가 불가능하며, 서명 한 문서의 내용은 변경될 수 없어야 한다

62. 보기 지문의 ㉠, ㉡ 에 들어갈 말로 적절한 것은?

소인수분해란 하나의 ( ㉠ )를 소인수로 분해하는 것을 말한다. 충분히 큰 두 개의 ( ㉡ )를 곱하는 것은 쉽지만, 이들 결과를 소인수 분해한다는 것은 계산적으로 매우 어렵다. 일부 공개키 암호알고리즘은 이렇게 소인수 분해의 어려움에 기반을 두고 설계되었다.

• ①
   ㉠ 정수 ㉡ 소수
• ②
   ㉠ 정수 ㉡ 대수
• ③
   ㉠ 실수 ㉡ 소수
• ④
   ㉠ 실수 ㉡ 대수

63. 보기에서 설명하는 ㉠ ~㉢ 에 해당하는 접근통제 정책은?

( ㉠ ) 접근통제 : 시스템 객체에 대한 접근을 사용자 개인 또는 그룹의 식별자를 기반으로 제한하며 어떤 종류의 접근 권한을 갖는 사용자는 다른 사용자에게 자신의 판단에 의해서 권한을 줄 수 있는 방법
( ㉡ ) 접근통제 : 정보 시스템 내에서 어떤 주체가 특정 객체에 접근하려 할 때 양쪽의 보안 라벨(Security Label)에 기초하여 높은 보안 수준을 요구하는 정보(객체)가 낮은 보안 수준의 주체에게 노출되지 않도록 접근을 제한하는 통제 방법
( ㉢ ) 접근통제 : 사용자가 객체에 접근할 때, 사용자와 접근 허가의 직접적인 관계가 아닌 조직의 특성에 따른 역할을 매개자로 하여 사용자-역할, 접근 허가-역할의 관계를 통해 접근을 제어하는 방법

• ①
   ㉠ 강제적 ㉡ 임의적 ㉢ 역할기반
• ②
   ㉠ 강제적 ㉡ 역할기반 ㉢ 임의적
• ③
   ㉠ 임의적 ㉡ 역할기반 ㉢ 강제적
• ④
   ㉠ 임의적 ㉡ 강제적 ㉢ 역할기반

64. 생체인식 기술에서 요구하는 사항에 포함되지 않는 것은?

• ①
   보편성
• ②
   구별성
• ③
   일시성
• ④
   획득성

65. 다음 중 사용자 인증에 적절치 않은 것은?

• ①
   비밀키(Private key)
• ②
   패스워드(Password)
• ③
   토큰(Token)
• ④
   지문(Fingerprint)

66. 다음의〈보기〉에서 설명하고 있는 서명 방식은무엇인가?

사용자 A가 서명자 B에게 자신의 메시지를 보여주지 않고, 서명을 얻는 방법을 말한다. 메시지의 기밀성을 지키면서 타인에게 인증을 받고자 하는 경우에 주로 사용한다.

• ①
   이중 서명
• ②
   은닉 서명
• ③
   전자 서명
• ④
   영지식증명

67. One Time Pad에 대한 설명 중 옳지 않은 것은?

• ①
   최소한 평문 메시지 길이와 같은 키 스트림을 생성해야 한다.
• ②
   암호화 키와 복호화 키가 동일하다.
• ③
   One Time Pad 암호를 사용하려면 키 배송이 먼저 이루어져야 한다.
• ④
   전사 공격을 받게 되면 시간이 문제이지 궁극적으로 해독된다.

68. 해시 함수에 대한 다음 설명 중 잘못된 것은?

• ①
   해시 함수는 디지털 서명에 이용되어 무결성을 제공한다.
• ②
   해시 함수는 임의의 길이를 갖는 메시지를 입력으로 하여 고정된 길이의 출력값을 갖는다.
• ③
   블록 암호를 이용한 해시 함수의 설계가 가능하다.
• ④
   해시 함수는 안전성을 위하여 키의 길이를 적절히 조정해야 한다.

69. SET에서 도입된 기술로 고객의 구매 정보는 은행이 모르게하고 지불 정보는 상점이 모르게 하기 위해 사용하는 서명 방식은?

• ①
   은닉 서명
• ②
   그룹 서명
• ③
   수신자 지정 서명
• ④
   이중 서명

70. 전자상거래에서 이용자간 안전한 거래를 위한 방법으로, 아래 지문에서 설명하는 방식을 무엇이라 하는가?

중개 업체에서 구매자의 대금을 받아서 보관하고 있다가 판매자가 물건을 발송하고 구매자가 물건을 정상적으로 수령한 경우 판매자에게 대금을 지급한다. 이 과정에서 일정량의 수수료를 수취한다.

• ①
   Escrow
• ②
   PG
• ③
   ZeroPay
• ④
   SET

71. 대칭암호화 매커니즘과 관련하여 올바른 설명이 아닌 것은?

• ①
   암호화 알고리즘은 평문에 transformation과 substitution을 적용하여 암호문을 만들어 낸다.
• ②
   평문 속의 요소(비트, 문자 등)를 다른 요소(비트, 문자 및 문자열)로 바꾸는 것을 transformation이라 한다.
• ③
   어떤 메시지가 주어졌을 때, 두 개의 다른 키는 두 개의 다른 암호문을 만든다.
• ④
   복호화 알고리즘은 암호화 알고리즘을 역순으로 실행하는 것이다.

72. 다음은 CRL 개체 확장자를 구성하는 필드에 대한 설명이다. 잘못된 설명은?

• ①
   Reason Code : 인증서가 갱신된 이유를 나타내기 위해사용되는 코드
• ②
   Hold Instruction Code : 인증서의 일시적인 유보를 지원하기 위해 사용되는 코드
• ③
   Certificate Issuer : 인증서 발행자의 이름
• ④
   Invalidity Date : 개인키 손상이 발생하는 등의 이유로인증서가 유효하지 않게 된 날짜와 시간에 대한 값

73. 사용자 인증을 위해 사용되는 생체인식 기술의 요구조건이 아닌 것은?

• ①
   보편성
• ②
   구별성
• ③
   영구성
• ④
   시간 의존성

74. 다음 중 전자서명의 특징이 아닌 것은?

• ①
   위조불가
• ②
   서명자 인증
• ③
   부인불가
• ④
   재사용가능

75. Bell-LaPadula 모델에 대한 설명으로 옳지 않은 것은?

• ①
   낮은 보안 레벨의 권한을 가진 이는 높은 보안 레벨의 문서를 읽을 수 없고, 자신의 권한보다 낮은 수준의 문서만 읽을 수 있다.
• ②
   자신보다 높은 보안 레벨의 문서에 쓰기는 가능하지만 보안 레벨이 낮은 문서에는 쓰기 권한이 없다.
• ③
   정보에 대한 기밀성을 보장하기 위한 방법으로 강제적 접근 모델 중 하나이다.
• ④
   낮은 보안 레벨의 권한을 가진 이가 높은 보안 레벨의 문서를 읽고 쓸 수는 없으나, 낮은 레벨의 문서에는 읽고 쓸 수 있다.

76. 사용자 인증에서는 3가지 유형의 인증방식을 사용하고 있으며, 보안을 강화하기 위하여2가지 유형을 결합하여 2 factor 인증을 수행한다. 다음 중 2 factor 인증으로 적절하지 않은 것은?

• ①
   USB 토큰, 비밀번호
• ②
   스마트카드, PIN(Personal Identification Number)
• ③
   지문, 비밀번호
• ④
   음성인식, 수기서명

77. 다음은 보안을 통해 제공되는 서비스들을 설명하고 있다. 다음 중 옳지 않은 것은?

• ①
   Capability List는 객체와 권한 연결 리스트 형태로 관리한다.
• ②
   Access Control List는 주체와 객체의 형태를 행렬형태로 구성하고 권한을 부여하여 관리한다.
• ③
   주체와 객체를 1:N으로 매핑하여 관리의 편의성을 높이는 방법이 RBAC이다.
• ④
   접근제어는 프로토콜 데이터 부분의 접근제어이다.

78. 다음 중 WPKI의 구성 요소가 아닌 것은?

• ①
   RA
• ②
   WPKI CA
• ③
   CP 서버
• ④
   OCSP 서버

79. 소프트웨어로 구성되는 난수 생성기를 가장 적절하게 표현 한 것은?

• ①
   SRNG
• ②
   HRNG
• ③
   PRNG
• ④
   RRNG

80. 커버로스에 대한 설명으로 올바르지 못한 것은 무엇인가?

• ①
   mit에서 개발한 분산환경하에서 개체인증 서비스를 제공한다.
• ②
   클라이언트, 인증서버, 티켓서버, 서버로 구성된다.
• ③
   커버로스는 공개키 기반으로 만들어졌다.
• ④
   단일실패지점(Single Point of Failure)이 될 수 있다.

81. ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’에서 수집해서는 안 되는 개인정보 항목은 무엇인가?

• ①
   이름, 연락처
• ②
   학력 등 사회활동 경력
• ③
   상세 집 주소
• ④
   비밀번호

82. 다음 중 정보통신망법 제 46조의 정보보호 관리체계 인증 제도에 대한 설명으로 옳지 않은 것은?

• ①
   정보보호 관리체계 인증의 유효기간은 3년이다.
• ②
   정보보호 관리체계 인증은 의무 대상자는 반드시 인증을 받아야 하며 의무 대상자가 아닌 경우에도 인증을 취득할 수 있다.
• ③
   정보보호 관리체계는 정보통신망의 안정석, 신뢰성을 확보하기 위하여 관리적, 기술적, 물리적 보호조치를 포함한 종합적 관리체계를 의미한다.
• ④
   정보보호 관리체계 의무대상자는 국제표준 정보보호 인증을 받거나 정보보호 조치를 취한 경우에는 인증 심사를 생략할 수 있다.

83. 인터넷 보안 프로토콜에 해당하지 않는 것은?

• ①
   SSL
• ②
   HTTPS
• ③
   S/MIME
• ④
   TCSEC

84. 다음 중 개인정보보호, 정보보호 교육에 대한 설명으로 올바르지 못한 것은?

• ①
   개인정보보호법에 따라 연 정기적으로 개인 정보보호 교육을 의무적으로 한다.
• ②
   정보보호 교육 시 자회사 직원만 교육하고 협력사는 제외한다.
• ③
   정보통신망법에 따라 연 2회 이상 개인정보 교육을 의무적으로 한다.
• ④
   개인정보보호, 정보보호에 대한 교육은 수준별, 대상별로 나누어 교육한다.

85. 다음 중 공인인증기관이 발급하는 공인인증서에 포함되어야 할 사항이 아닌 것은?

• ①
   가입자의 이름(법인의 경우에는 명칭을 말함)
• ②
   가입자의 생년월일(법인의 경우에는 고유 번호를 말함)
• ③
   가입자의 전자서명검증 정보
• ④
   가입자와 공인인증기관이 이용하는 전자서명 방식

86. 다음의 지문은 무엇에 대한 설명인가?

1983년에 제정된 것으로, 오렌지북이라 불린다. 미국에서 제정한 컴퓨터시스템 평가기준이다. 이 기준에서 보안등급은 A,B,C,D로 구분되며 기본 요구사항으로는 보안정책, 책임성, 보증, 문서화 등이 있다.

• ①
   ITSEC
• ②
   TCSEC
• ③
   CC
• ④
   K Series

87. 다음 중 주요정보통신기반시설의 보호 및 침해사고의 대응을 위한 주요정보통신기반시설의 보호지침의 내용에 일반적으로 포함되는 내용과 가장 거리가 먼 것은?

• ①
   시스템 개발 관리
• ②
   정보보호체계 관리 및 운영
• ③
   침해사고 대응 및 복구
• ④
   취약점 분석·평가 및 침해사고 예방

88. 정보통신망법에서 규정하고 있는 내용이 아닌 것은?

• ①
   주요정보통신기반시설의 보호체계
• ②
   정보통신망에서의 이용자 보호 등
• ③
   정보통신망의 안정성 확보 등
• ④
   개인정보의 보호

89. 다음 중 물리적 보안의 예방책으로 올바르지 못한 것은?

• ①
   화재 시 적절한 대처 방법을 철저히 교육한다.
• ②
   적합한 장비 구비 및 동작을 확인한다.
• ③
   물 공급원(소화전)을 멀리 떨어진 곳에 구비한다.
• ④
   가연성 물질을 올바르게 저장한다.

90. 다음 정보보호 교육에 대한 설명으로 옳지 않은 것은 무엇인가?

• ①
   정보보호 교육은 정기적으로 실시하며 교육은 온라인과 오프라인으로 진행할 수 있다.
• ②
   정보보호 교육 담당자는 교육과정 개발, 교육 실시를 주관하며 교육완료 후 교육효과에 대한 내용을 관리해야 한다.
• ③
   훈련 받는 대상자는 정보보호에 관련된 업무를 수행하는 직원만 교육을 평가하여 다음 교육에 반영할 수 있도록 노력해야 한다.
• ④
   교육은 수시교육, 정기교육, 정보공유 형태로 1년 2회 이상 실시한다.

91. 「개인정보보호법」에 의거하여 공공기관의 장은 대통령령으 로 정하는기준에 해당하는 개인정보 파일의 운용으로 인하여 정보주체의개인정보 침해가 우려되는 경우에는 그 위험 요인의 분석과 개선사항 도출을 위한영향평가를 하고 그 결 과를 행정안전부장관에게 제출하여야 한다.영향평가를 하 는 경우에 고려해야 할 사항으로 적합하지 않은 것은?

• ①
   처리하는 개인정보의 수
• ②
   개인정보의 제3자의 제공 여부
• ③
   정보주체의 권리를 해할 가능성 및 그 위험 정도
• ④
   개인정보를 처리하는 수탁업체 관리·감독의 여부

92. ISMS인증에서 정보보호관리 과정에 포함되지 않는 것은?

• ①
   정보보호 교육 및 훈련
• ②
   경영진 책임 및 조직구성
• ③
   위험관리
• ④
   사후관리

93. 다음은 정보관리 측면에서 무엇에 대한 설명인가?

비정상적인 일이 발생할 수 있는 가능성을 말한다.

• ①
   위협
• ②
   결함
• ③
   위험
• ④
   취약성

94. 다음 중 정보보호의 주요 목적이 아닌 것은 무엇인가?

• ①
   기밀성
• ②
   무결성
• ③
   정합성
• ④
   가용성

95. 다음 중 OECD 정보보호 가이드라인에 포함되지 않는 것은?

• ①
   대책
• ②
   대응
• ③
   책임
• ④
   인식

96. 다음 중 정보통신기반보호법에서 정의하는 주요 정보통신기반시설에 대한 취약점 분석 평가를 수행할 수 있는 기관이 아닌 곳은?

• ①
   한국인터넷진흥원
• ②
   정보보호 전문서비스 기업
• ③
   한국전자통신연구원
• ④
   한국정보화진흥원

97. 다음 지문이 설명하는 정보보호 관련 제도는?

민간업체 등에서 개발한 정보보호시스템을 국제표준인 ISO 15408 및 ISO 18045를 이용하여 보안기능에 대한 안정성과 신뢰성을 보증함으로써 사용자들이 안심하고 정보보호시스템 을 사용할 수 있도록 지원하는 제도

• ①
   정보보호제품 평가 · 인증 제도
• ②
   정보보호 관리체계 인증 제도
• ③
   보안적합성 검증 제도
• ④
   암호모들 검증 제도

98. 최근 개인정보보호법이 개정이 되었다. 개인정보보호법상 주민번호 수집 후 유출시 얼마의 과징금이 부과되는가?

• ①
   1억
• ②
   3억
• ③
   5억
• ④
   7억

99. 다음 중 현행 전자서명법상 공인인증서가 폐지되는 사유에 해당하지 않는 것은?

• ①
   가입자의 대리인이 공인인증서의 폐지를 신청한 경우
• ②
   가입자의 인증서를 발급한 공인인증기관의 지정이 취소된 경우
• ③
   가입자가 부정한 방법으로 공인인증서를 발급받은 경우
• ④
   가입자의 전자서명생성정보가 분실된 경우

100. 공인인증서 효력 소멸사유에 포함되지 않는 것은?

• ①
   공인인증서 효력이 정지된 경우
• ②
   공인인증서 기관이 취소된 경우
• ③
   공인인증서 유효기간이 경과한 경우
• ④
   공인인증서 분실된 경우