1. 다음 올바르게 설명하고 있는 것은 무엇인가?

HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonShutdownWithoutLogon 값이 '0' 일때

• ①
   해당 사용자에 대한 시스템 종료 금지
• ②
   해당 사용자에 대한 시스템 종료권한 부여
• ③
   로그온창에 시스템 종료 버튼을 표시
• ④
   로그온창에 시스템 종료 버튼을 삭제

2. 대부분의 응용 프로그램에서 생성된 파일은 그 응용 프로그램이 생성한 파일임을 인식할 수 있도록 항상 동일한 몇 바이트를 파일 내부의 특정 위치에 가지고 있다. 특정위치의 고정값이 의미하는 것은?

• ①
   시그니처(Signature)
• ②
   확장자(Extensions)
• ③
   메타데이터(Metadata)
• ④
   레코드(Record)

3. 다음 지문에서 설명하고 있는 보안 기술은 무엇인가?

ㅇ 동일한 패스워드를 사용하는 보안상의 취약점을 극복하여 일회성의 서로 다른 패스워드를 생성하게 함으로써 안전한 전자상거래를 진행한다.
ㅇ 온라인 뱅킹, 전자상거래, 온라인 게임, 기업 네트워크 등에서 사용한다.
ㅇ 하드웨어적 또는 소프트웨어적으로 모두 구현 가능하다.

• ①
   스마트 토큰
• ②
   보안카드
• ③
   OTP
• ④
   HSM

4. 사용자 PC가 언제 부팅되었는지를 확인하기 위해 입력해야 하는 명령어는?

• ①
   net statistics workstation
• ②
   net computer boot time
• ③
   net reboot time
• ④
   net time boot

5. 리눅스 PAM의 동작 절차를 바르게 나열한 것은?

(1) 해당 애플리케이션의 PAM 설정 파일을 확인한다.
(2) PAM모듈은 성공 또는 실패 상태를 반환(Return)한다.
(3) 사용자나 프로세스가 애플리케이션의 접근(Access)을 요청한다.
(4) 스택은 계속해서 순서대로 확인되며, 실패 상태를 반환한다해서 중단되지 않는다.
(5)스택의 PAM모듈이 리스트상의 순서대로 호출된다.
(6) 모든 PAM모듈의 상태 결과가 종합되어 전체 인증 과정의 성공 또는 실패 상태를 반환한다.

• ①
   3 - 2 - 1 - 5 - 4 - 6
• ②
   3 - 2 - 1 - 5 - 6 - 4
• ③
   3 - 1 - 2 - 5 - 4 - 6
• ④
   3 - 1 - 5 - 2 - 4 - 6

6. 다음 중 취약점 점검과 가장 거리가 먼 보안 도구는?

• ①
   SATAN
• ②
   COPS
• ③
   Nmap
• ④
   Tripwire

7. 백도어를 사용하여 접근하는 경우 정상적인 인증을 거치지 않고 관리자의 권한을 얻을 수 있다. 이에 대한 대응책으로 옳지 않은 것은?

• ①
   주기적으로 파일의 해쉬값을 생성하여 무결성 검사를 수행한다.
• ②
   불필요한 서비스 포트가 열려있는지 확인한다.
• ③
   윈도우의 작업관리자나 리눅스시스템의 ps 명령어를 통해 비정상적인 프로세스가 있는지 확인한다.
• ④
   promiscuous로 변경되어 있는지를 주기적으로 검사한다.

8. 다음은 크래커 A가 남긴 C소스 코드와 바이너리 파일이다. 이에 대한 설명으로 적합한 것은?

$ls -l
total 20
-rwsr-wr-x 1 root root 1435 Oct 7 21:13 test
-rw-rw-r-- 1 root root 88 Oct 7 21:12 test.c

$ cat test.c
#include 
void main() {
  setuid(0);
  setgid(0);
  system("/bin/bash");
}

• ①
   setgid 시스템 콜의 인자를0으로 준 것으로 보아 Race Condition 기법의 공격이다.
• ②
   /bin/sh를 실행시키는 것으로 보아 Sniffing 기법이다.
• ③
   setuid 시스템 콜의 인자가 0이고 컴파일된 바이너리 파일의 퍼미션이 4755인 것으로 보아 루트 권한을 탈취하는 백도어이다.
• ④
   main 함수의 리턴형태가 void 이므로 Format String Attack으로 보인다.

9. 서버사이드에서 동작하는 웹페이지 아닌 것은?

• ①
   html
• ②
   php
• ③
   asp
• ④
   jsp

10. 다음 중 설치된 하드웨어를 구동시키는데 필요한 정보를 포함하는 윈도우 레지스트리 루트 키는?

• ①
   HKEY_LOCAL_MANCHINE
• ②
   HKEY_USERS
• ③
   HKEY_CLASSES_ROOT
• ④
   HKEY_CURRENT_CONFIG

11. 다음은 윈도우의 SID를 조회한 것이다. 사용자의 고유한 ID를 나타내는 필드는?

• ①
   1번 필드
• ②
   2번 필드
• ③
   3번 필드
• ④
   4번 필드

12. 다음의 공격도구들이 공통적으로 제공하는 기능은?

John the Ripper, Wfuzz, Cain and Abel, THC Hydra

• ①
   무차별대입공격
• ②
   SQL Injection
• ③
   스니핑 공격
• ④
   사회 공학 공격

13. 다음 나열된 도구들이 공통적으로 가지고 있는 특징은 무엇인가?

CGISCAN, WINSCAN, RPCSCAN

• ①
   다중취약점 스캔
• ②
   특정취약점 스캔
• ③
   은닉스캔
• ④
   네트워크 구조 스캔

14. 다음은 IDS Snort Rule이다. Rule이 10~11번째 2바이트의 값이 0xFFFF인지를 검사하는 Rule이라 할 때 ㄱ.~ㄷ.의 올바른 키워드는 무엇인가?

• ①
   ㉠ : value, ㉡ : offset, ㉢ : content
• ②
   ㉠ : value, ㉡ : content, ㉢ : offset
• ③
   ㉠ : content, ㉡ : depth, ㉢ : offset
• ④
   ㉠ : content, ㉡ : offset, ㉢ : depth

15. 다음 지문에서 설명하는 유닉스 시스템의 명령어는?

시스템의 파일 또는 레터리가 만들어질 때의허가권의 기본값을 지정하기 위해서 사용한다. 해당 설정은 모든 계정 사용자들에게 존재하는 값으로서 각 계정 사용자들이 생성하는 파일 또는 디렉터리의 허가권을 결정하기 위한 값이다.

• ①
   chmod
• ②
   umask
• ③
   chown
• ④
   touch

16. 다음 중 프로세스 스케줄링과 관계가 가장 먼 것은?

• ①
   페이징(Paging)
• ②
   스와핑(Swapping)
• ③
   레이스컨디션(Race condition)
• ④
   환형대기(Circular wait)

17. 아래의 명령어 수행 후 test.out 의 속성에 관한 설명으로 옳은 것은?

[localhost@staff]$ chmod 4755 test.out

• ①
   해당 파일은 모두(everyone)에게 쓰기 권한이 있다.
• ②
   파일은 staff 계정으로만 읽기가 가능하다.
• ③
   실행하는 사용자 권한에 상관 없이 test.out은 staff권한으로 실행된다.
• ④
   실행하는 사용자 권한에 상관 없이 test.out은 root권한으로 실행된다.

18. 다음 그림은 a.a.a.a 시스템에서 UDP 패킷을 TTL=1부터 하나씩 늘려가면서 b.b.b.b로 전송하고, TTL=4일 때 b.b.b.b 시스템에 UDP 패킷이 도달하고 ICMP Port Unreachable(Type 3) 패킷이 a.a.a.a 시스템으로 돌아왓다. 무엇을 하기 위한 과정인가?

• ①
   ICMP scan
• ②
   traceroute
• ③
   ping
• ④
   UDP scan

19. 데이터베이스의 보안을 위해 사용할 수 있는 기능으로, 다음 질문에서 설명하는 것은?

전체 데이터셋 중 자신이 허가 받은 정해진 관점으로만 필드, 로우 등을 제한하여 열람할 수 있도록 한다. 이 기능을 이용하여 데이터베이스 접근 허용 시 데이터 접근 가능 범위를 제한할 수 있다.

• ①
   Access Control
• ②
   Encryption
• ③
   Views
• ④
   Authorization Rules

20. 다음은 sudo 설정파일 (/etc/sudoers)의 내용이다. sudo를 통한 명령 사용이 불가능한 사용자는?

%admin ALL=(ALL) ALL
%sudo ALL=(ALL:ALL) ALL
root ALL=(ALL:ALL) ALL
guest3 ALL=(ALL:ALL) ALL

• ①
   uid=(10)guest1, gid=(10)guest 1, groups=(10)guest1,3(admin)
• ②
   uid=(11)guest2, gid=(11)guest 2, groups=(11)guest2,4(sudo)
• ③
   uid=(12)guest3, gid=(12)guest 3, groups=(12)guest3,5(admin)
• ④
   uid=(13)guest4, gid=(13)guest 4, groups=(13)guest4,5(admin)

21. 다음중 스니핑 기법과 가장 거리가 먼 것은?

• ①
   스위치 재밍
• ②
   ICMP Redirect
• ③
   ARP 스푸핑
• ④
   세션하이재킹

22. 다음 중 사용자로부터 파라미터를 입력받아 동적으로 SQL Query를 만드는 웹 페이지에서 임의의 SQL Ojery와 Command를 삽입하여 웹 사이트를 해킹하는 기법은?

• ①
   SQL Spoofing
• ②
   Smurf
• ③
   SQL Injection
• ④
   SQL Redirect

23. 다음 중 Window 계열의 시스템에 대한 포트 스캐닝을 할 수 없는 것은?

• ①
   TCP SYN Scan
• ②
   TCP FIN Scan
• ③
   TCP Connect Scan
• ④
   UDP Scan

24. 다음에서 설명하고 있는 네트워크 공격 기법은 무엇인가?

로컬에서 통신하고 있는 서버와 클라이언트 IP주소에 대한 2계층 MAC주소를 공격자의 MAC주소로 속여 클라이언트가 서버로 가는 패킷이나 서버에서 클라이언트로 가는 패킷을 중간에서 가로채는 공격을 말한다.

• ①
   세션하이재킹
• ②
   IP스푸핑
• ③
   ARP스푸핑
• ④
   스니핑공격

25. 다음 지문에서 설명하고 있는 스니핑 공격은?

공격자는 위조된 MAC주소를 지속적으로 네트워크에 흘림으로써 스위칭 허브의 주소 테이블을 오버플로우시켜 허브처럼 동작하게 하여 다른 네트워크 세그먼트의 데이터를 스니핑 할 수 있다.

• ①
   ARP Redirect
• ②
   ICMP Redirect
• ③
   Switch Jamming
• ④
   ARP Spoofing

26. 도메인을 탈취하거나 도메인 네임 시스템 또는 프록시 서버 의 주소를 변조함으로써 사용자들로 하여금 진짜 사이트로 오인해 접속하도록 유도한 뒤, 개인 정보를 탈취하는 해킹 기법은?

• ①
   피싱
• ②
   파밍
• ③
   스미싱
• ④
   봇넷

27. 다음 문장의 괄호 안에 들어갈 알맞은 용어는?

• ①
   PLC
• ②
   SCADA
• ③
   Stuxnet
• ④
   Modbus

28. 스위치 장비가 동작하는 방식 중 전체 프레임을 모두 받고 오류 검출 후 전달하는 방식은?

• ①
   Cut-through 방식
• ②
   Fragment-Free 방식
• ③
   Direct Switching 방식
• ④
   Store and Forward 방식

29. 다음 지문이 설명하고 있는 것은?

C&C라는 중앙집중형 명령/제어 방식에서 탈피하여 웹 프로토콜인 HTTP를 기반으로 하거나 모든 좀비들이 C&C가 될 수 있는 분산형 명령/제어 방식으로 진화하고 있다.

• ①
   Trojan Horse
• ②
   Botnet
• ③
   Backdoor
• ④
   Worn

30. 가상 사설망(VPN) 터널에 사용되지 않는 것은?

• ①
   IPSec
• ②
   PPTP
• ③
   SSL
• ④
   RTP

31. 다음 중 괄호 안에 들어갈 말로 알맞게 짝지은 것은?

라우터에서 패킷 필터링하는데 바깥에서 들어오는 패킷의 출발지가 내부 IP 대역이면 필터링한다. 이를 통해 (   A   )을(를) 막을 수 있는데, 이러한 필터링 방법을 (   B   )라고 한다.

• ①
   A-ARP 스푸핑，B-EGRESS
• ②
   A-IP 스푸핑，B-INGRESS
• ③
   A-스니핑，B-INGRES
• ④
   A-DNS 스푸핑，B-EGRESS

32. 네트워크 침입탐지와 방지를 위해 ModSecurity 를 설치 운용하고자 한다. ModSecurity 정책 설정을 위해 SecAuditEngine에 설정할 수 없는 것은?

• ①
   DetectionOnly
• ②
   On
• ③
   Off
• ④
   RelevantOnly

33. 침입탐지 시스템(Intrusion Detection System)의 이상 탐지(anomaly detection) 방법 중 다음 문장에서 설명하는 방법은 무엇인가?

• ①
   예측 가능한 패턴 생성(Predictive Pattern Generation)
• ②
   통계적 접근법(Statictical Approaches)
• ③
   비정상적인 행위 측정 방법들의 결합(anomaly measures)의 결합
• ④
   특징 추출(Feature Selection)

34. 클라이언트는 DNS 질의가 요청되었을 경우 제일 먼저 DNS Cache를 확인하게 되는데, 다음에서 수행된 DNS Cache를 확인하는 명령어는?

ds.kisa.or.kr
______________________
데이터 이름  ds.kisa.or.kr
데이터 유형  1
TTL(Time To Live)  7972
데이터 길이  4
섹션  응답
(호스트) 레코드  123.123.123.123

• ①
   ipconfig /dnsdisplay
• ②
   ipconfig /displaydns
• ③
   ipconfig /flushdns
• ④
   ipconfig /dnsflush

35. 모든 IT시스템에서 생성되는 로그와 이벤트를 통합관리 해 외부 위험을 사전에 예측하고 내부 정보 유출을 방지할 수 있도록 하는 개념의 보안 솔루션은 무엇인가?

• ①
   ESM
• ②
   IAM
• ③
   SIEM
• ④
   DLP

36. 다음 중 랜드 어택에 대한 대응법으로 가장 거리가 먼 것은?

• ①
   현재는 대부분 패치가 완료되었으므로 최신 OS 및 SW를 이용한다.
• ②
   출발지와 목적지 IP주소가 다른 패킷은 기본적으로 차단한다.
• ③
   신뢰된 호스트만 접속할 수 있도록 White List기반으로 정책을 운용한다.
• ④
   침입차단시스템을 이용한다.

37. 다음 용어 중 개념상 나머지와 가장 거리가 먼 것은?

• ①
   sniffing
• ②
   eavesdropping
• ③
   tapping
• ④
   spoofing

38. VLAN에 대한 설명으로 올바르지 않은 것은?

• ①
   VLAN은 논리적으로 분할된 스위치 네트워크를 말한다.
• ②
   브로드캐스트 도메인을 여러 개의 도메인으로 나눈다.
• ③
   MAC 기반 VLAN이 가장 일반적으로 사용된다.
• ④
   불필요한 트래픽 차단과 보안성 강화가 목적이다.

39. 방화벽을 지나는 패킷에 대해 출발지와 목적지의 IP 주소 및 포트 번호를 특정주소 및 포트로 매핑하는 기능을 무엇이라 하는가?

• ①
   Gateway
• ②
   Packet Filtering
• ③
   NAT
• ④
   NAU

40. 관계형 데이터베이스 모델의 구성요소 중 한 릴레이션에서 특정 속성이 가질 수 있는 모든 가능한 값의 집합을 무엇이라고 하는가?

• ①
   튜플(Tuple)
• ②
   도메인(Domain)
• ③
   키(Key)
• ④
   속성(Attribute)

41. X.509 표준 인증서 규격을 관리하기 위한 표준 프로토콜은 무엇인가?

• ①
   CRL
• ②
   PKI
• ③
   OCSP
• ④
   CA

42. 다음 중 웹 브라우저와 웹 서버 간에 안전한 정보 전송을 위해 사용되는 암호화 방법으로 가장 적절한 것은?

• ①
   SSH(Secure Shell)
• ②
   PGP(Pretty Good Privacy)
• ③
   SSL(Secure Socket Layer)
• ④
   S/MIME(Secure Multipurpose Internet Mail Extension)

43. 다음 중 PGP(pretty good privacy)의 기능이 아닌 것은?

• ①
   전자서명
• ②
   기밀성
• ③
   단편화와 재조립
• ④
   송수신 부인방지

44. S/MIME의 주요 기능이 아닌 것은?

• ①
   봉인된 데이터(Enveloped data)
• ②
   서명 데이터(Signed data)
• ③
   순수한 데이터(Clear-signed data)
• ④
   비순수 서명과 봉인된 데이터(Unclear Signed and Enveloped data)

45. 컴퓨터시스템에 대한 공격 방법 중에서 메모리에 할당된 버퍼의 양을 초과하는 데이터를 입력하여 프로그램의 복귀 주소(return address)를 조작, 궁극적으로 공격자가 원하는 코드를 실행하도록 하는 공격은?

• ①
   버퍼 오버플로우 공격
• ②
   Race Condition
• ③
   Active Contents
• ④
   Memory 경합

46. 다음 중 전자입찰시스템에서 요구하는 안전성에 포함되지 않는 것은?

• ①
   단일성
• ②
   비밀성
• ③
   무결성
• ④
   공평성

47. 다음 OTP 토큰에 대한 설명으로 적절하지 않은 것은?

• ①
   OTP 자체 생성할 수 있는 연산기능과 암호 알고리즘 등을 내장한 별도의 단말기이다.
• ②
   외형은 USB 메모리와 비슷하다.
• ③
   토큰은 별도로 구매해야 한다.
• ④
   서버가 OTP 정보를 SMS로 전송하고 사용자는 이 정보를 이용한다.

48. 다음 표의 소극적·적극적 암호공격 방식의 구분이 옳은 것은?

• ①
   소극적 공격: 트래픽 분석, 적극적 공격: 삽입 공격
• ②
   소극적 공격: 재생공격, 적극적 공격: 삭제 공격
• ③
   소극적 공격: 메시지 변조, 적극적 공격: 재생 공격
• ④
   소극적 공격: 메시지 변조, 적극적 공격: 삽입 공격

49. 다음 문장에서 설명하는 웹 공격의 명칭은?

• ①
   XSS(Cross Site Scripting)
• ②
   SQL(Structured Query Language) Ingection
• ③
   CSRF(Cross-site request forgery)
• ④
   쿠키(Cookie) 획득

50. 다음 중 XML 기반 Web 기술과 관련성이 가장 적은 것은?

• ①
   OCSP
• ②
   UDDI
• ③
   WSDL
• ④
   SOAP

51. 다음 중 PGP에 대한 설명으로 올바르지 못한 것은?

• ①
   이메일 어플리케이션에 플러그인으로 사용이 가능하다.
• ②
   키분배센터와 연결되어 공개키 취득이 어렵다.
• ③
   메뉴 방식을 통한 기능 등에 쉽게 접근이 가능하다.
• ④
   필 짐버만이 독자적으로 개발하였다.

52. 다음 중 전자입찰 시스템 요구 조건으로 올바르지 못한 것은?

• ①
   독립성
• ②
   공평성
• ③
   인식가능성
• ④
   안전성

53. SSL/TLS에 대한 설명으로 옳은 것은?

• ①
   PKI를 이용하여 상위계층 프로토콜의 메시지에 대한 인증과 기밀성을 제공한다.
• ②
   종단 대 종단 간의 안전한 서비스를 제공하기 위해UDP를 사용하도록 설계하였다.
• ③
   레코드(Record) 프로토콜에서는 응용계층의 메시지에 대해 단편화, 압축, MAC 첨부, 암호화 등을 수행한다.
• ④
   암호명세 변경(Change Cipher Spec) 프로토콜에서는클라이언트와 서버가 사용할 알고리즘과 키를 협상한다.

54. DRM의 세부 기술 중에서 다음 보기에 해당하는 것은?

보호 대상인콘텐츠를메타 데이터와 함께 시큐어 콘테이너 포맷 구조로 패키징하는 모듈이다.

• ①
   식별자
• ②
   메타데이터
• ③
   패키져
• ④
   콘텐츠

55. 웹상에서 보안을 강화하기 위하여 해야 할 것으로 가장 바람직한 것은?

• ①
   리눅스 아파치 웹서버 이용시 WebKnight와 같은 전용 방화벽을 사용하는 것이 좋다.
• ②
   인증 등 중요 정보가 오갈 땐 세션만을 신뢰하기 보단 토큰을 추가로 검증하는 것이 도움이 된다.
• ③
   서버엔 웹방화벽보단 침입탐지시스템을 설치하여 SQL 인젝션을 차단 하는 것이 유리하다.
• ④
   XSS와 같은 클라이언트를 대상으로 한 공격은 웹페이지에 스크립트를 이용해서 막는 것이 안전하다.

56. 다음에서 설명하고 있는 웹 공격 방법은 무엇인가?

로그인된 피해자의 취약한 웹어플리케이션에 피해자의 세션쿠키와 기타 다른 인증정보를 자동으로 포함하여 위조된 HTTP요청을 강제로 보내도록 하는 것이다. 이것은 취약한 어플리케이션 피해자로부터 정당한 요청이라고 오해 할 수 있는 요청을 강제로 만들 수 있다.

• ①
   알려진 취약점 컴포넌트 사용
• ②
   크로스사이트 요청변조(CSRF)
• ③
   민감한 데이터 노출
• ④
   인증 및 세션관리 취약점

57. 다음 중 E-mail 전송 시 보안성을 제공하기 위한 보안 전자 우편 시스템이 아닌 것은?

• ①
   PGP
• ②
   S/MIME
• ③
   PEM
• ④
   SSL

58. 다음은 HTTP 접속 시 노출되는 URL의 예를 보여주고 있다. URL에 보이는 메타문자를 잘못 해석한 것은?

http://q.fran.kr/?gfe_rd=cr&gws_rd=cr#newwindow=1&q=%EC%B4+%EB%B3

• ①
   ? : URL 과 파라미터 구분자
• ②
   = : 파라미터 대입 연산자
• ③
   % : HEX 값 표현에 사용
• ④
   + : 파라미터 구분자

59. 다음 설명 중 SSL프로토콜에 대한 설명으로 올바르지 못한 것은?

• ①
   1994년 네스케이프사에서 처음 제안하였다.
• ②
   1996년 IETF에서 SSL3.0을 제안하였다.
• ③
   SSL이 적용되었다는 표시로 SHTTP라고 사용한다.
• ④
   SSL프로토콜은 TCP계층과 응용계층 사이에서 동작한다.

60. 다음 중 SSL에 대한 설명으로 옳지 않은 것은?

• ①
   넷스케이프사에서 처음 개발하였다.
• ②
   TFTP, FTP, SYSLOG 등에 주로 사용된다.
• ③
   SSL은 기본적으로 443번 포트를 사용한다
• ④
   SSL이 적용된 웹사이트는 https:// 로 접속한다.

61. Kerberos 프로토콜에 대한 설명으로 옳지 않은 것은?

• ①
   비밀키 암호작성법에 기초를 둔 온라인 암호키 분배방법이다.
• ②
   Kerberos 프로토콜의 목적은 인증되지 않은 클라이언트도 서버에 접속할 수 있도록 하는 것이다.
• ③
   키 분배 센터에 오류 발생시, 전체 서비스를 사용할 수 없게 된다.
• ④
   Kerberos 프로토콜은 데이터의 기밀성과 무결성을 보장한다.

62. One Time Pad에 대한 설명 중 옳지 않은 것은?

• ①
   최소한 평문 메시지 길이와 같은 키 스트림을 생성해야 한다.
• ②
   암호화 키와 복호화 키가 동일하다.
• ③
   One Time Pad 암호를 사용하려면 키 배송이 먼저 이루어져야 한다.
• ④
   전사 공격을 받게 되면 시간이 문제이지 궁극적으로 해독된다.

63. 다음 중 DRM(Digital Rights Management)에 관한 설명 중 틀린 것은?

• ①
   디지털 자산을 보호하는 기술로, 대표적으로 문서를 암호화하는 기술이 포함된다.
• ②
   전자문서, 음악, SW, E-Book 등 모든 전자적 형태의 컨텐츠가 보호 대상에 포함된다.
• ③
   인가된 사용자만 접근할 수 있도록 자산을 암호화하거나 접근 통제를 적용한다.
• ④
   과거의 IP기반 접근통제가 확장되어 MAC 주소 기반으로 접근제어가 이루어진다.

64. 다음 중 디바이스 인증 기술에 대한 설명으로 옳지 않은 것은?

• ①
   서버의 데이터베이스에 저장된 아이디와 비밀번호를 비교하여 인증하는 방식을 아이디 패스워드 기반 인증방식이라 한다.
• ②
   MAC 주소값 인증 방식은 아이디 없이 MAC 주소만으로 인증하는 방식이다.
• ③
   암호 프로토콜을 활용한 인증 방식은 중간에 키나 세션을 가로 채어 중요 정보를 유출하는 시도를 차단한다.
• ④
   시도-응답 인증 방식은 키를 생성하여 사용자를 인증하는 방식이다.

65. 생일역설(Birthday attack)에 안전한 해시함수 비트는?

• ①
   64비트
• ②
   32비트
• ③
   180비트
• ④
   128비트

66. 무결성에 기반 한 접근통제 모델로 낮은 무결성 등급의 데이터는 읽을 수 없고, 높은 등급의 데이터는 수정 할 수 없는 접근 통제 모델은?

• ①
   비바모델
• ②
   벨-라파듈라모델
• ③
   클락윌슨모델
• ④
   접근통제모델

67. 공개키 인증서에 포함되지 않는 내용은 무엇인가?

• ①
   버전
• ②
   일련번호
• ③
   유효기간
• ④
   개인키 정보

68. 소프트웨어로 구성되는 난수 생성기를 가장 적절하게 표현한 것은?

• ①
   SRNG
• ②
   HRNG
• ③
   PRNG
• ④
   RRNG

69. 암호 해독자가 일정량의 평문에 해당하는 암호문을 알고 있을 경우 암호 키를 찾아내는 암호 공격 방식은?

• ①
   암호문 단독 공격
• ②
   기지 평문 공격
• ③
   선택 평문 공격
• ④
   선택 암호문 공격

70. 다음은 CRL 개체 확장자를 구성하는 필드에 대한 설명이다. 잘못된 설명은?

• ①
   Reason Code : 인증서가 갱신된 이유를 나타내기 위해사용되는 코드
• ②
   Hold Instruction Code : 인증서의 일시적인 유보를 지원하기 위해 사용되는 코드
• ③
   Certificate Issuer : 인증서 발행자의 이름
• ④
   Invalidity Date : 개인키 손상이 발생하는 등의 이유로인증서가 유효하지 않게 된 날짜와 시간에 대한 값

71. DES에 대한 설명으로 옳지 않은 것은?

• ①
   Feistel암호방식을 따른다.
• ②
   1970년대 블록암호 알고리즘이다.
• ③
   한 블록의 크기는 64비트이다.
• ④
   한 번의 암호화를 거치기 위하여 10라운드를 거친다.

72. 다음 중 2 Factor 요소로 올바르게 짝지은 것은?

• ①
   홍채-지문
• ②
   PIN-USB 토큰
• ③
   패스워드-PIN
• ④
   스마트 카드-토큰

73. n명의 사람이 대칭키 암호화 통신을 할 경우 몇 개의 대칭키가 필요한가?

• ①
   n(n+1)/2
• ②
   n(n-1)/2
• ③
   n(n-1)
• ④
   n(n+1)

74. 다음에서 설명하고 있는 프로토콜은 무엇인가?

ㅇ MIT에서 개발한 분산 환경에서 개체 인증 서비스를 제공하는 네트워크 인증 시스템이다.
ㅇ 4개의 개체로 구성되어 있다.
ㅇ "지옥에서 온 머리가 3개 달린 경비견”이라는 유래가있다.

• ①
   KDC
• ②
   Kerberos
• ③
   PPP
• ④
   ECC

75. 다음 중 공인인증서 유효성 확인과 관련하여 올바르지 못한 것은?

• ①
   CRL은 갱신되어야만 폐기로 판단한다.
• ②
   CA가 인증서 폐기 시 폐기 목록을 일정한 주기마다 생성한다.
• ③
   OCSP는 무료로 사용이 가능하다.
• ④
   인증서 폐기 여부를 확인하기 위해 CRL 전체를 다운받아야 한다.

76. 다음 중 커버로스에 대한 설명으로 올바르지 못한 것은 무엇인가?

• ①
   MIT에서 개발한 분산 환경 하에 개체인증 서비스를 제공한다.
• ②
   클라이언트, 인증서버, 티켓서버, 서버로 구성된다.
• ③
   커버로스는 공개키 기반으로 만들어 졌다.
• ④
   커버로스 버전4에선 DES알고리즘을 사용한다.

77. 다음 중 블록 암호 알고리즘의 종류가 아닌 것은?

• ①
   RC5
• ②
   MD5
• ③
   DES
• ④
   IDEA

78. 다음 기법 중 E-Mail 메시지 인증에 대한 설명으로 가장 옳은 것은?

• ①
   수신자의 공개키를 이용하여 메시지에 서명하고, 수신자의 공개키를 이용하여 메시지를 암호화 한다.
• ②
   송신자의 개인키를 이용하여 메시지에 서명하고, 수신자의 공개키를 이용하여 메시지를 암호화 한다.
• ③
   수신자의 개인키를 이용하여 메시지에 서명하고, 송신자의 공개키를 이용하여 메시지를 암호화 한다.
• ④
   송신자의 개인키를 이용하여 메시지에 서명하고, 송신자의 공개키를 이용하여 메시지를 암호화 한다.

79. 커버로스 프로토콜에서 티켓에 포함되는 사항이 아닌 것은?

• ①
   서버ID
• ②
   클라이언트ID
• ③
   서버의 네트워크주소
• ④
   티켓의 유효기간

80. 다음은 Diffie-Hellman 키(Key) 사전 분배 방법이다. 옳게 나열한 것은?

1. B는 A의 인증서로부터 공개된 값 ba와 자신의 비밀키 aa를 함께 사용하여 Ka,b 값을 계산한다.
2. 소수 p와 a∈Zp*를 공개한다.
3. A는 B의 인증서로부터 공개된 값 ba와 자신의 비밀키 aa를 함께 사용하여 Ka, B값을 계산한다.

• ①
   1-2-3
• ②
   3-1-2
• ③
   1-3-2
• ④
   2-1-3

81. 다음 중 주요정보통신기반시설의 보호 및 침해사고의 대응을 위한 주요정보통신기반시설의 보호지침의 내용에 일반적으로 포함되는 내용과 가장 거리가 먼 것은?

• ①
   시스템 개발 관리
• ②
   정보보호체계 관리 및 운영
• ③
   침해사고 대응 및 복구
• ④
   취약점 분석·평가 및 침해사고 예방

82. 개인정보 수집 시 정보 주체의 동의를 얻어야 한다. 다음 중 포함되지 않는 사항은?

• ①
   개인정보 수집 목적
• ②
   개인정보 수집 항목
• ③
   개인정보 보유 기간
• ④
   개인정보 파기 방법

83. 다음 중 전자서명법에 의거하여 공인인증 기관이 발급하는 공인인증서에 포함되는 사항이 아닌 것은?

• ①
   가입자와 공인인증기관이 이용하는 전자인증 방식
• ②
   공인인증서의 일련번호
• ③
   공인인증기관의 명칭 등 공인인증기관임을 확인할 수 있는 정보
• ④
   공인인증서의 이용범위 또는 용도를 제한하는 경우 이에 관한 사항

84. 개인정보처리자가 개인정보의 수집 시 정보주체의 동의를 받지 않아도 되는 경우로 가장 적절한 것은?

• ①
   개인정보취급 방침에 명시한 경우
• ②
   경제적, 기술적인 사유로 통상적인 동의를 받는 것이 뚜렷하게 곤란한 경우
• ③
   법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
• ④
   요금 부과를 위해 필요한 경우

85. 다음 중 위험관리계획의 과정에 대한 설명으로 옳지 않은 것은 무엇인가?

• ①
   일반적으로 효과적인 보안에는 자산에 대한 보안계층이 단일화 되어 있는 하나의 단일화된 대책의 조합이 요구된다.
• ②
   위험관리 시에 가장 먼저 수행하는 것이 위험관리계획이다.
• ③
   위험관리계획은 위험관리 범위와 조직, 책임과 역할 등이 나와 있다.
• ④
   위험관리계획은 최초작성 이후에 변경될 수 있다.

86. 빈 칸에 들어가야 할 단어로 옳은 것은?

송수신자, 전송자, 이용자, 관리자들이 제 3자에게 자신이 적법한 사용자라는 것을 증명할 수 있는 것을 ( 가 ) 기술이라 하며, 지문, 목소리, 눈동자 등 사람마다 다른 특징을 인식시켜 비밀번호로 활용하는 것을 ( 나 ) 기술이라 한다.

• ①
   (가) 인증 (나) 생체인식
• ②
   (가) 인증 (나) 패스워드
• ③
   (가) 기밀성 (나) 생체인식
• ④
   (가) 기밀성 (나) 패스워드

87. 다음 지문이 설명하는 인증제도는?

현재 사용되는 IT 보안제품에 대해 보안성을 평가하는 제도로 제품유형별 PP(Protection Profile)를 정의하고、8개 군의 평가 항목을 대상으로 평가가 이루어진다. 평가결과는 IT 보안제품의 보안위협 및 자산가치의 정도에 따라 EAL1(Evaluation Assurance Level 1) - EAL7(Evaluation Assuraxe Level 7) 까지 7단계로 부여하여 인증서가 제공된다.

• ①
   CC(Common Criteria)
• ②
   ITSEC
• ③
   BS7799
• ④
   ISMS

88. 다음 지문에 해당하는 위험관리 방법으로 옳은 것은?

정보보호 점검 과정에서 기업내 자료 전송간 유출 위험이 탐지되었다. 이에 암호화 솔루션을 구매하여 전송 구간을 암호화하였다.

• ①
   위험 수용
• ②
   위험 감소
• ③
   위험 회피
• ④
   위험 전가

89. 다음 중 개인정보 이용 및 수집 시 동의 없이 처리할 수 있는 개인정보라는 입증 책임은 누구에 게 있는가?

• ①
   개인정보 처리자
• ②
   개인정보보호 책임자
• ③
   개인정보 담당자
• ④
   개인정보 취급자

90. 다음 중 정량적 위험분석 기법으로 보기 어려운 것은?

• ①
   과거자료분석법
• ②
   수학공식접근법
• ③
   확률분포법
• ④
   델파이법

91. 다음 중 정보통신기반보호법에 의거하여 국가, 사회적으로 중대한 영향을 미치는 주요정보통신기반시설이 아닌 것은?

• ①
   방송중계, 국가지도통신망 시설
• ②
   인터넷포털, 전자상거래업체 등 주요 정보통신시설
• ③
   도로, 철도, 지하철, 공항, 항만 등 주요 교통시설
• ④
   전력, 가스, 석유 등 에너지·수자원 시설

92. 전자서명법 제15조(인증서 발급 등) 2항에서 정한 공인인증기관이 발급하는 인증서에 포함되어야 하는 것이 아닌 것은 무엇인가?

• ①
   가입자의 이름
• ②
   가입자의 전자서명검증정보
• ③
   공인인증서 일련번호
• ④
   인증서 취소목록 및 가입자의 전자서명생성

93. 다음 중 개인정보보호법에 대한 설명으로 올바른 것은?

• ①
   개인정보보호 위원회 위원은 대통령이 임명한다.
• ②
   정보주체란 개인정보를 생성, 처리하는 자를 의미한다.
• ③
   개인정보는 어떤 경우에도 위탁이나 제 3자제공이 돼서는 안된다.
• ④
   개인정보 목적 달성 후 1년간 보관한다.

94. 개인정보보보헙에 의한 대리인의 권한 행사 나이는?

• ①
   만13세 이상
• ②
   만14세 미만
• ③
   만16세 이상
• ④
   만18세 미만

95. 개인정보영향평가 대상 범위에 포함되지 않는 것은?

• ①
   구축 또는 변경하려는 개인정보파일 중 민감 정보, 고유 식별정보 5만 명 처리
• ②
   구축 또는 운영하려는 개인정보파일이 내•외적으로 50만 명 이상연계
• ③
   구축 또는 변경하려는 개인정보 파일 중 정보추체가 100만 명 이상
• ④
   구축 또는 변경하려는 개인정보 파일 중 주민등록번호가 포함시

96. 다음 중 용어에 대한 설명이 옳지 않은 것은?

• ①
   정성적 기준: 자산 도입 비용, 자산 복구 비용, 자산 교체 비용이 기준이 됨
• ②
   정보보호 관리체계: 정보보호의 목적인 정보자산의 기밀성, 무결성, 가용성을 실현하기 위한 절차 및 과정을 수립하고, 문서화하여 지속적으로 관리, 운영하는 것을 의미
• ③
   정보보호의 정책: 어떤 조직의 기술과 정보자산에 접근하려는 사람이 따라야 하는 규칙의 형식적인 진술을 의미
• ④
   위험분석: 위험을 분석하고, 해석하는 과정으로 조직 자산의 취약점을 식별, 위협분석을 통해 위협의 내용과 정도를 결정하는 과정을 의미

97. 다음 중 정보보호 관리 체계(ISMS) 의무 인증 대상에 포함되지 않는 것은?

• ①
   서울 및 모든 광역시에서 정보통신망 서비 스 제공
• ②
   정보통신 서비스 부문 전년도 매줄액 100 억 이상
• ③
   전년도말 기준 직전 3개월간 일일 평균 이용 자 수 100만명 이상 사업자
• ④
   매출액 100억 이하인 영세 VIDC

98. 다음 중 위험도 산정 시 고려할 구성요소가 아닌 것은?

• ①
   자산(Asset)
• ②
   위협(Threat)
• ③
   취약성(Vulnerability)
• ④
   직원(Employee)

99. 다음 지문은 무엇에 대한 설명인가?

이것은 각종 재해 시 재난의 발생을 대비하기 위하여 핵심 시스템의 가용성과 신뢰성을 회복하고 사업의 연속성을 유지하기 위한 일련의 사업지속성 개획과 절차를 말한다. 단순한 데이터의 복구나 신뢰도를 유지하며 나아가 기업의 전체적인 신뢰성 유지와 가치를 최대화 하는 방법과 절차이다.

• ①
   위험관리
• ②
   업무 연속성 계획
• ③
   재난 대비 가용성 확보대책
• ④
   피해 복구 대책

100. 정보통신기반보호법상 중앙행정기관의 장은 소관분야의 정보통신기반시설 중 전자적 침해행위로부터의 보호가 필요하다고 인정되는 경우 주요정보통신기반시설로 지정할 수 있는데, 이 경우에 고려하는 사항이 아닌 경우?

• ①
   당해정보통신기반시설을 관리하는 기관이 수행하는 업무의 국가 사회적 중요성
• ②
   침해사고가 발생할 경우 국제적으로 미칠 수 있는 피해의 범위
• ③
   다른 정보통신기반시설과의 상호 연계성
• ④
   침해사고의 발생가능성 또는 그 복구의 용이성