1. 웹 브라우저가 웹서버에게 쿠키 값을 전송할 때 사용하는 HTTP 헤더는?

• 1
   Connection
• 2
   Proagrma
• 3
   Set-cookie :
• 4
   Cookie :

2. 악성프로그램에 대한 설명으로 틀린 것은?

• 1
   바이러스 : 한 시스템에서 다른 시스템으로 전파하기 위해서 사람이나 도구의 도움이 필요한 악성프로그램이다.
• 2
   웜 : 한 시스템에서 다른 시스템으로 전파하는데 있어서 외부의 도움이 필요하지 않은 악성프로그램이다.
• 3
   백도어 : 사용자의 동의없이 설치되어 컴퓨터 정보 및 사용자 개인정보를 수집하고 전송하는 악성프로그램이다.
• 4
   논리 폭탄 : 합법적 프로그램 안에 내장된 코드로서 특정한 조건이 만족되었을 때 작동하는 악성 코드이다.

3. 시스템 무결성을 유지하기 위한 명령어는 무엇인가?

• 1
   halt
• 2
   shutdown
• 3
   reload
• 4
   reboot

4. 다음은 어떤 접근제어 정책을 설명하고 있는 것인가?

주체나 또는 그들이 소속되어 있는 그룹들의 아이디(ID)에 근거하여 객체에 대한 접근을 제한한다. 즉, 접근통제는 객체의 소유자에 의하여 임의적으로 이루어진다. 그러므로 어떠한 접근 허가를 가지고 있는 한 주체는 임의의 다른 주체에게 자신의 접근 권한을 넘겨줄 수 있다.

• 1
   MAC
• 2
   RBAC
• 3
   Access Control List
• 4
   DAC

5. 다음 나열된 도구들이 공통적으로 가지고 있는 특징은 무엇인가?

CGISCAN, WINSCAN, RPCSCAN

• 1
   다중취약점 스캔
• 2
   특정취약점 스캔
• 3
   은닉스캔
• 4
   네트워크 구조 스캔

6. 다음 중 악성코드의 치료 방법이 다른 것은?

• 1
   바이러스
• 2
   웜
• 3
   트로이목마
• 4
   스파이웨어

7. 파일시스템 점검의 명령어는?

• 1
   chgrp
• 2
   mount
• 3
   fsck
• 4
   df

8. 패스워드 관리에 대한 설명으로 올바르지 않은 것은?

• 1
   /etc/passwd 퍼미션은 600으로 변경하는 것이 좋다.
• 2
   일반 권한보다 특수 권한인 setuid, setgid를 최대한 활용해주어야 한다.
• 3
   암호화된 패스워드는 /etc/shadow 파일에 저장이 된다.
• 4
   패스워드 없이 로그인할 수 있는 계정이 있는지 살펴본다.

9. 라우터(Router)를 이용한 네트워크 보안 설정 방법 중에서 내부 네트워크에서 외부 네트어크로 나가는 패킷의 소스 IP나 목적지 포트 등을 체크하여 적용하거나 거부하도록 필터링 과정을 수행하는 것은?

• 1
   TCP-Wrapper
• 2
   Egress Filtering
• 3
   Unicast RFP
• 4
   Packet Sniffing

10. UNIX 시스템에서 다음의 chmod 명령어 실행 후의 파일 test1의 허가비트(8진법 표현)는?

$ ls -l test1
-rw-r--r-- 1 root user 2320 Jan 1 12:00 test1
$ chmod o-r test1
$ chmod g-r test1

• 1
   644
• 2
   244
• 3
   600
• 4
   640

11. 다음 중 프로세스와 관련된 설명으로 가장 거리가 먼 것은?

• 1
   프로세스는 프로세스 제어블록(PCB)으로 나타내며 운영체제가 프로세스에 대한 중요한 정보를 저장해 놓은 저장소를 의미한다.
• 2
   하나의 프로세스는 생성, 실행, 준비, 대기, 보류, 교착, 종료의 상태 변화를 거치게 된다.
• 3
   프로세스란 스스로 자원을 요청하고 이를 할당받아 사용하는 능동적인 개체를 의미한다.
• 4
   스레드는 프로세스보다 큰 단위이며, 자원의 할당에는 관계하지 않고 프로세서 스케쥴링의 단위로써 사용하게 된다.

12. 다음의 운영 체제 구조에서 2계층부터 5계층까지 올바르게 나열한 것은?

• 1
   프로세스 관리 -> 메모리 관리 -> 주변 장치관리 -> 파일 관리
• 2
   메모리 관리-> 프로세스 관리-> 주변 장치관리 -> 파일 관리
• 3
   파일 관리 -> 프로세스 관리 -> 메모리 관리-> 주변 장치 관리
• 4
   주변 장치 관리 ->프로세스 관리 -> 파일 관리 -> 메모리 관리

13. 리모트 컴퓨터로부터의 ping 명령에 대한 응답으로 "Destination Unreachable"을 되돌려 주고, 접속을 거절하기 위해 리눅스 방화벽에서 설정하는 타깃 명령어는 무엇인가?

• 1
   DROP
• 2
   DENY
• 3
   REJECT
• 4
   RETURN

14. BIOS에 대한 설명으로 틀린 것은?

• 1
   하드디스키의 구성, 종류, 용량을 확인할 수 있다.
• 2
   전원이 공급되지 않으면 정보가 유지되지 않는다.
• 3
   운영체제와 하드웨어 사이의 입출력을 담당하는 펌웨어이다.
• 4
   BIOS에 저장된 시스템 시간은 포렌식 관점에서 중요하다.

15. 여러 프로세스가 자원의 이용을 위해 경쟁을 벌이는 현상을 이용하는 공격은 무엇인가?

• 1
   SQL 인젝션 공격
• 2
   LADP 인젝션 공격
• 3
   XML 인젝션 공격
• 4
   레이스 컨디션 공격

16. 공격의 종류가 적절하게 짝지어진 것은?

(A) 네트워크에서 IP 주소, 하드웨어 주소등의 정보를 속임으로써 권한을 획득 또는 중요 정보를 가로채어 서비스를 방해하는 공격행위
(B) 네트워크 패킷이나 버스를 통해 전달되는 중요 정보를 엿보고 가로채는 공격행위
(C) 메모리에 할당된 배열의 크기를 초과하는 데이터를 입력하여 프로그램의 복귀 주소를 조작하여 해커가 원하는 코드를 실행하는 공격행위

ㄱ. 스니핑
ㄴ. 스푸핑
ㄷ. 버퍼 오버플로우

• 1
   A-㉠ B-㉡ C-㉢
• 2
   A-㉡ B-㉢ C-㉠
• 3
   A-㉡ B-㉠ C-㉢
• 4
   A-㉢ B-㉠ C-㉡

17. 윈도우 운영체제 최상위 레지스트리 중 확장자와 응용프로그램 관계를 보여주는 레지스트리는 무엇인가?

• 1
   HKEY_CLASSES_ROOT
• 2
   HKEY_LOCAL_MACHINE
• 3
   HKEY_CURRENT_CONFIG
• 4
   HKEY_CURRENT_USER

18. 리눅스 시스템에서 시스템의 주요 설정파일이 위치한 디렉토리와 임시파일을 저장하는 디렉토리, 물리적 장치가 파일화되어 저장된 디렉토리를 나열한 것은?

• 1
   /etc /temp /mnt
• 2
   /sys /tmp /mnt
• 3
   /sys /temp /dev
• 4
   /etc /tmp /dev

19. 다음 중 운영체계 5계층이 순서대로 나열된 것은?

• 1
   메모리 관리 - 프로세스 관리 - 프로세서 관리 - 주변장치 관리 - 파일관리
• 2
   프로세스 관리 - 주변장치 관리 - 파일 관리 - 프로세서 관리 - 메모리 관리
• 3
   프로세서 관리 - 메모리 관리 - 프로세스 관리 - 주변장치 관리 - 파일 관리
• 4
   파일 관리 - 메모리 관리 - 프로세스 관리 - 프로세서 관리 - 주변장치 관리

20. 다음 그림은 a.a.a.a 시스템에서 UDP 패킷을 TTL=1부터 하나씩 늘려가면서 b.b.b.b로 전송하고, TTL=4일 때 b.b.b.b 시스템에 UDP 패킷이 도달하고 ICMP Port Unreachable(Type 3) 패킷이 a.a.a.a 시스템으로 돌아왓다. 무엇을 하기 위한 과정인가?

• 1
   ICMP scan
• 2
   traceroute
• 3
   ping
• 4
   UDP scan

21. 다음 중 악의적인 의도를 가진 소프트웨어로 이에 감염된 봇들 다수가 연결되어 네트워크를 만드는 것을 무엇이라 하는가?

• 1
   C&C
• 2
   봇 마스터
• 3
   봇넷
• 4
   봇클라이언트

22. 다음 중 전문가 시스템(Expert System)을 이용한 IDS에서 사용되는 침입 탐지기법은?

• 1
   Behavior Detection
• 2
   State Transition Detection
• 3
   Knowledge Based Detection
• 4
   Statistical Detection

23. 포트 스캔 방식 중 TCP 플래그 값을 모두 off로 설정한 패킷을 이용한 스캔 기법은?

• 1
   SYN Scan
• 2
   Xmas Scan
• 3
   Null Scan
• 4
   FIN Scan

24. 다음은 라우터(Router)를 이용한 네트워크 보안 설정에 대한 내용이다. 옳은 것을 모두 고르면?

가. Ingress Filtering은 Standard 또는 Extended Access-List를 활용한다.
나. Egress Filtering은 내부에서 라우터 외부로 나가는 패킷의 소스 IP를 필터링 한다.
다. Blackhole Filtering은 인터페이스를 통해 들어오는 패킷의 소스 IP에 대해 라우터 테이블을 확인하여 들어온 인터페이스로 다시 나가는지 확인한다.
라. Unicast RFP는 Access-List나 Blackhole 필터링을 이용한다.

• 1
   가, 나
• 2
   가, 나. 다, 라
• 3
   가, 나, 라
• 4
   나, 다, 라

25. 다음 중에서 TCP 프로토콜에 대한 설명으로 옳지 않은 것은?

• 1
   신뢰성 있는 연결지향
• 2
   3-Way Handshaking
• 3
   데이터를 세그먼트 단위로 전송
• 4
   모든 세그먼트는 순번을 지정하지만, 데이터 전달을 확인할 필요가 없다.

26. RFID 보안 기술에서 암호 기술을 사용하는 보호대책은?

• 1
   Kill 명령어 기법
• 2
   블로커 태그 기법
• 3
   XOR(Exclusive OR) 기반 원타임 패드 기법
• 4
   Sleep 명령과 Wake 명령어 기법

27. 지정된 네트워크 호스트 또는 네트워크 장비까지 어떤 경로를 거쳐서 통신이 되는지를 확인하는 도구는 무엇인가?

• 1
   PING
• 2
   ARP
• 3
   ICMP
• 4
   TRACEROUTE

28. 다음 중 APT(Advanced Persistent Threat)의 유형과 가장 관련이 적은 것은?

• 1
   워터링 홀
• 2
   Zero Day
• 3
   DDoS
• 4
   백도어

29. 무선LAN 통신에서 패스프레이즈와 같은 인증없이 단말과 액세스 포인트간의 무선 통신을 암호화하는 것은?

• 1
   Enhanced Open
• 2
   FIDO2
• 3
   WebAuthn
• 4
   WPA3

30. 다음 설명 중 SSL(Secure Sockets Layer) 프로토콜의 특•장점이 아닌 것은 무엇인가?

• 1
   SSL 서버 인증 : 사용자가 서버의 신원을 확인하도록 한다.
• 2
   암호화된 SSL 세션 : 브라우저와 서버 간에 전달되는 모든 정보는 송신 소프트웨어가 암호화하고 수신 소프트웨어가 복호화한다(메시지 무결성, 기밀성 확인).
• 3
   SSL 클라이언트 인증 : 서버가 사용자의 신원을 확인하도록 한다.
• 4
   SSL 프로토콜의 구조 중에서 세션키 생성은 Alert Protocol 이다.

31. 네트워크 도청을 예방하기 위한 대책으로 틀린 것은?

• 1
   업무용 무선 AP와 방문자용 AP를 같이 사용한다.
• 2
   무선 AP의 비밀번호는 쉽게 예측하지 못하는 안전한 비밀번호로 설정한다.
• 3
   업무용 단말기는 방문자용 AP에 접속하지 않도록 조치한다.
• 4
   중요 정보는 암호화 통신을 이용하여 전송한다.

32. 다음중 UDP flooding 공격 과정에서 지정된 UDP 포트가 나타내는 서비스가 존재하지 않을 때 발생되는 패킷은 무엇인가?

• 1
   ICMP Unreachable
• 2
   UDP Unreachble
• 3
   ICMP Drop
• 4
   UDP Drop

33. 다음은 TCP 프로토콜의 타이머에 대한 설명이다. 옳지 않은 것은?

• 1
   TCP 타이머에서 재전송 타이머(RTO, Retransmission Time Out)값으로 설정하고 타이머가 끝나기 전에 확인응답이 수신되면 타이머는 소멸한다.
• 2
   왕복시간(RTT, Round Trip Time)은 재전송 초과 값을 계산하기 위해서 왕복시간을 계산한다.
• 3
   영속 타이머는 교착상태를 해결하기 위해 사용된다.
• 4
   RTO 값은 설정된 RTT 값을 기준으로 고정된다.

34. 다음에서 설명하는 공격방식은 무엇인가?

㉠ 출발지와 목적지 IP주소를 공격대상의 IP주소로 동일하게 만들어 보내는 공격
㉡ 패킷 전송시 루프상태에 빠지게 되어 결국 IP 프로토콜 스택에 심각한 장애를 유발시키는 공격

• 1
   Land Attack
• 2
   Smurf Attack
• 3
   Ping of Death Attack
• 4
   Teardrop Attack

35. 다음 IPv4(IP version 4) 데이터그램에 대한 설명으로 옳은 것은?

• 1
   IPsec(IP Security) 터널모드(Tunnel)의 데이터그램이다.
• 2
   IPsec(IP Security)의 AH(Authentication Header)가 적용되어 TCP헤더와 TCP데이터는 암호화되어 있다.
• 3
   IPsec(IP Security)의 AH(Authentication Header)가 적용되어 SA(Security association)를 식별할 수 있다.
• 4
   IPsec(IP Security)의 AH(Authentication Header)가 적용되어 IPv4 헤더에 무결성, 인증을 위한 데이터가 추가된 데이터그램이다.

36. 다음 중 침입탐지시스템의 특징으로 보기 어려운 것은?

• 1
   외부로부터 공격뿐만 아니라 내부자의 오용행위도 탐지한다.
• 2
   접속하는 IP 주소에 상관없이 비정상적인 접근을 탐지할 수 있다.
• 3
   지식기반 침입탐지는 새로운 패턴을 탐지 가능한 반면 오탐률은 낮다.
• 4
   행위기반 침입탐지는 비정상 행위 탐지(Anomaly Detection)이라고도 한다.

37. 다음 중 보기의 DoS 공격의 대응 절차를 바르게 나열한 것은?

(1) 상세분석
(2) 침입탐지
(3) 모니터링
(4) 차단조치
(5) 초동조치

• 1
   모니터링 → 침입탐지 → 초동조치 → 차단조치 → 상세분석
• 2
   모니터링 → 침입탐지 → 초동조치 → 상세분석 → 차단조치
• 3
   침입탐지 → 초동조치 → 차단조치 → 모니터링 → 상세분석
• 4
   침입탐지 → 초동조치 → 차단조치 → 상세분석 → 모니터링

38. 다음 에서 설명하고 있는 공격 기법은 무엇인가?

모든 패킷을 DHCP 서버로 향하게 하고 공격자는 DHCP 서버보다 DHCP Relay 패킷을 전송한다. DHCP 서버처럼 동작하게 하는 공격이다.

• 1
   Smurf 공격
• 2
   Arp spoofing 공격
• 3
   DHCP spoofing 공격
• 4
   Gateway 공격

39. 다음 중 SIEM에 사용되는 프로그램과 가장 거리가 먼 것은?

• 1
   SPLUNK
• 2
   QRadar
• 3
   Arcsight
• 4
   EnCase

40. 다음 보기에서 설명하고 있는 공격에 대한 방식은?

ICMP Echo Request 패킷의 크기를 정상적인 크기보다 크게 만들어 공격 대상 네트워크에 송신하고 네트워크를 통해 라우팅되어 공격 대상 네트워크에 도달하는 과정에서 작은 조각(Fragment)들로 분할된다.

• 1
   Teardrop 공격
• 2
   Ping of Death 공격
• 3
   UDP Traffic Flooding 공격
• 4
   Tiny Fragmentation 공격

41. 웹에서 사용하는 HTTP 프로토콜 중 HTTP 응답(Response) 코드로 맞게 설명한 것은?

• 1
   100번 코드 - 정보 전송
• 2
   200번 코드 - 성공
• 3
   300번 코드 - 재전송
• 4
   400번 코드 - 서버 측 에러

42. 다음 보기 중 오용 탐지(Misuse Detection) 방법과 관련된 설명으로 옳은 것을 2개 고르시오.

a. 통계적 분석이나 신경망 모델을 이용한다.
b. 이미 알려진 패턴을 기반으로 하므로 오탐률이 낮다.
c. 정상적인 행위와 비교해서 비정상적인 행위를 탐지한다.
d. 새로운 공격에 대응이 어려운 단점이 있다.

• 1
   a, c
• 2
   a, d
• 3
   b, d
• 4
   c, d

43. 크래커들이 자주 사용하는 방법 중에는 한번 들어온 서버에 다시 쉽게 침입할 수 있도록 suid가 설정된 root 소유의 프로그램을 백도어로 설치하여 다음에는 손쉽게 root 권한을 획득 할 수 있도록 하는 방법이 있다. 아래으 명령어를 사용하여 시스템관리자는 주기적으로 suid로 설정된 파일을 모니터링 하여 시스템을 안전하게 보호할 필요가 있다. 괄호 안에 들어갈 옵션을 순서대로 바르게 나타낸 것은 어느 것인가?

#find / -(         ) root -(          ) 4000 -(           ) ls -l { } ,

• 1
   user, exec, perm
• 2
   exec, user, perm
• 3
   perm, user, exec
• 4
   user, perm, exec

44. /etc/mail/access에 관련된 설명 중 올바르지 못한 것은?

• 1
   고정IP의 릴레이의 허용 유무를 설정할 수 있다.
• 2
   REJECT: 메일의 수신과 발신을 거부한다.
• 3
   DISCARD: sendmail은 메일을 수신하지만 받은 메일을 통보하고 폐기 처분한다.
• 4
   “550 message”: 특정 도메인에 관련된 메일을 거부한다.

45. 다음 중 FTP 보안대책과 가장 거리가 먼 것은?

• 1
   anonymous 사용자의 루트 디렉터리, bin, etc, pub 디렉터리의 소유자와 permission 관리
• 2
   root 계정의 ftp 접속 제한
• 3
   최신 ftp 서버 프로그램 사용 및 주기적인 패치
• 4
   ftp 접근제어 설정 파일인 ftpusers 파일의 소유자를 root로 하고, 접근 허용할 계정을 등록

46. 다음 중 PGP에 대한 설명으로 올바르지 못한 것은?

• 1
   PGP는 메시지인증 기능도 지원한다.
• 2
   IDEA암호알고리즘을 이용하여 암호화 한다.
• 3
   세션 키 로서 128비트 랜덤 키를 사용한다.
• 4
   수신자는 세션 키를 자신이 생성한다.

47. 다음은 SET에서 사용하는 보안 메커니즘을 설명한 것이다. 다음의 내용에 해당하는 것은 무엇인가?

고객의 지불정보(신용카드번호 등)는 상점이 알지 못하게 하고, 주문정보(상품 등)는 은행이 알지 못하게 함으로써 프라이버시를 보호한다.

• 1
   은닉서명
• 2
   전자서명
• 3
   이중서명
• 4
   영지식증명

48. 웹 브라우저와 웹 서버 간에 안전한 정보 전송을 위해 사용되는 암호화 방법은?

• 1
   PGP
• 2
   SSH
• 3
   SSL
• 4
   S/MIME

49. 다음 중 전자상거래 프로토콜인 SET의 구성 요소에 포함되지 않는 것은?

• 1
   상점
• 2
   고객
• 3
   매입사
• 4
   등록기관

50. 전자투표와 전자화폐의 공통된 요구조건 사항은?

• 1
   양도성
• 2
   익명성(비밀성)
• 3
   단일성
• 4
   합법성

51. 다음 중 CSRF 취약점의 특징이 아닌 것은?

• 1
   특정 소수가 아닌 불특정 다수를 대상으로 한다.
• 2
   원래 의도된 기능이 아닌, 데이터 변경, 삭제등이 가능해진다.
• 3
   XSS에서 진보한 공격이라고 보는 의견이 있다.
• 4
   XSS는 서버에서, CSRF는 클라이언트에서 악성 코드가 실행된다.

52. 다음 중 전자입찰시스템에서 요구하는 안전성에 포함되지 않는 것은?

• 1
   단일성
• 2
   비밀성
• 3
   무결성
• 4
   공평성

53. 다음 중 전자화폐시스템의 요구사항으로 옳지 않은 것은?

• 1
   불연계성
• 2
   불추적성
• 3
   이중지불성
• 4
   분할지불성

54. 다음 중 전자화폐시스템의 특징으로 옳지 않은 것은?

• 1
   독립적인 신용 구조를 가진다.
• 2
   실제 화폐를 대체할 수 있다.
• 3
   사용자의 거래 추적 가능성으로 프라이버시 우려가 있다.
• 4
   IC카드형 전자화폐로 Mondex, Visa Cash등이 있다.

55. 다음 중 SET(Secure Electronic Transaction) 프로토콜에 대한 설명으로 옳지 않은 것은?

• 1
   RSA를 사용함으로써 프로토콜의 속도를 크게 저하시킨다.
• 2
   상점과 지불게이트웨이 거래를 전산적으로 처리하기 위한 별도의 하드웨어와 소프트웨어를 요구하지 않는다.
• 3
   암호프로토콜이 너무 복잡하다.
• 4
   사용자에게 전자지갑 소프트웨어를 요구한다.

56. 다음에서 설명하고 있는 웹 서비스 공격 유형은 무엇인가?

‧ 이 공격은 게시판의 글에 원본과 함께 악성코드를 삽입하여 웹 어플리케이션에 순수하게 제공되는 동작 외에 부정적으로 일어나는 액션
‧ 다른 기법과 차이점은 공격 대상이 서버가 아닌 클라이언트

• 1
   SQL Injection
• 2
   XSS(Cross Site Scripting)
• 3
   업로드 취약점
• 4
   CSRF(Cross Site Request Forgery)

57. FTP 바운스 공격의 주요 목적은?

• 1
   무작위 공격
• 2
   IP 스푸핑
• 3
   포트 스캐닝
• 4
   스위치 재밍

58. HTTP 응답 상태코드 기술이 잘못된 것은?

• 1
   200 - OK
• 2
   403 - Bad Gateway
• 3
   404 - Not Found
• 4
   500 - Internal Server Error

59. 다음 암호화 구현에 대한 설명으로 잘못된 것은?

• 1
   대칭키 알고리즘 이용시에는 키 길이를 128비트 이상으로 사용하는 것이 안전하다.
• 2
   비대칭키 알고리즘 이용시에는 키 길이를 2,048비트 이상으로 사용하는 것이 안전하다.
• 3
   입력된 메시지는 취약한 AES(Advanced Encryption Standard) 대신 안전한 DES(Data Encryption Standard) 알고리즘으로 암호화한다.
• 4
   해쉬함수 사용시 Salt 값을 사용한다.

60. SET에 대한 설명 중 적절하지 않은 것은?

• 1
   전자결제 시 교환되는 정보의 비밀 보장을 위해 공개키, 비밀키 암호 알고리즘을 사용한다.
• 2
   데이터의 무결성을 확보하고자 전자서명과 해시 알고리즘을 사용한다.
• 3
   주문 정보는 상점의 공개키로, 지불 정보는 은행의 공개키로 암호화한다.
• 4
   지불 정보와 주문 정보는 상점과 은행이 상호 협조하여 모두 볼 수 있도록 구성되어 있다.

61. 다음 지문이 설명하는 검증 제도는?

국가&공공기관 정보통신망에서 소통되는 자료 중에서 비밀로 분류되지 않은 중요 정보의 보호를 위해 사용되는 암호모듈의 안전성과 구현 적합성을 검증하는 제도이다.

• 1
   KCMVP 검중지제도
• 2
   V&V 검중재도
• 3
   NET 검증제도
• 4
   CAVP 감중제도

62. 다음 중 전자 서명 생성에 적용 가능한 공개키 알고리즘이 아닌 것은?

• 1
   RSA
• 2
   AES
• 3
   DSA
• 4
   Rabin

63. 국내 암호모듈 검증에 있어 검증대상 암호알고리즘으로 지정된 비밀키 &블록암호 알고리즘으로 구성된 것은?

• 1
   ㉠ AES ㉡ LEA ㉢ SEED
• 2
   ㉠ AES ㉡ LEA ㉢ ARIA
• 3
   ㉠ ARIA ㉡ SEED ㉢ LEA
• 4
   ㉠ ARIA ㉡ SEED ㉢ AES

64. 사용자는 특정 작업 또는 세션 동안 한 번 사용 하기 위해 키를 생성할 수 있다. 이를 무엇이라 하는가?

• 1
   공개키
• 2
   비밀키
• 3
   세션키
• 4
   암호키

65. 다음 중 스트림 암호의 특징으로 알맞지 않은 것은?

• 1
   원타임 패스워드를 실용적으로 구현할 목적으로 개발되었다.
• 2
   짧은 주기와 높은 선형복잡도가 요구되며 주로 LFSR을이용한다.
• 3
   블록단위 암호화 대비 비트단위로 암호화하여 암호화 시간이 더 빠르다.
• 4
   블록 암호의 CFB, OFB 모드는 스트림 암호와 비슷한 역할을 한다.

66. 적극적 공격에 해당되지 않는 것은?

• 1
   변조
• 2
   삽입
• 3
   트래픽분석
• 4
   재생

67. 다음 중 디바이스 인증 기술에 대한 설명으로 옳지 않은 것은?

• 1
   서버의 데이터베이스에 저장된 아이디와 비밀번호를 비교하여 인증하는 방식을 아이디 패스워드 기반 인증방식이라 한다.
• 2
   MAC 주소값 인증 방식은 아이디 없이 MAC 주소만으로 인증하는 방식이다.
• 3
   암호 프로토콜을 활용한 인증 방식은 중간에 키나 세션을 가로 채어 중요 정보를 유출하는 시도를 차단한다.
• 4
   시도-응답 인증 방식은 키를 생성하여 사용자를 인증하는 방식이다.

68. 능동적 공격에 해당되지 않는 것은?

• 1
   메시지 변조
• 2
   전송되는 파일을 도청
• 3
   삽입공격
• 4
   삭제공격

69. 보기에서 설명하는 ㉠ ~㉢ 에 해당하는 접근통제 정책은?

( ㉠ ) 접근통제 : 시스템 객체에 대한 접근을 사용자 개인 또는 그룹의 식별자를 기반으로 제한하며 어떤 종류의 접근 권한을 갖는 사용자는 다른 사용자에게 자신의 판단에 의해서 권한을 줄 수 있는 방법
( ㉡ ) 접근통제 : 정보 시스템 내에서 어떤 주체가 특정 객체에 접근하려 할 때 양쪽의 보안 라벨(Security Label)에 기초하여 높은 보안 수준을 요구하는 정보(객체)가 낮은 보안 수준의 주체에게 노출되지 않도록 접근을 제한하는 통제 방법
( ㉢ ) 접근통제 : 사용자가 객체에 접근할 때, 사용자와 접근 허가의 직접적인 관계가 아닌 조직의 특성에 따른 역할을 매개자로 하여 사용자-역할, 접근 허가-역할의 관계를 통해 접근을 제어하는 방법

• 1
   ㉠ 강제적 ㉡ 임의적 ㉢ 역할기반
• 2
   ㉠ 강제적 ㉡ 역할기반 ㉢ 임의적
• 3
   ㉠ 임의적 ㉡ 역할기반 ㉢ 강제적
• 4
   ㉠ 임의적 ㉡ 강제적 ㉢ 역할기반

70. 무결성에 기반 한 접근통제 모델로 낮은 무결성 등급의 데이터는 읽을 수 없고, 높은 등급의 데이터는 수정 할 수 없는 접근 통제 모델은?

• 1
   비바모델
• 2
   벨-라파듈라모델
• 3
   클락윌슨모델
• 4
   접근통제모델

71. 보기 지문의 ㉠, ㉡ 에 들어갈 말로 적절한 것은?

소인수분해란 하나의 ( ㉠ )를 소인수로 분해하는 것을 말한다. 충분히 큰 두 개의 ( ㉡ )를 곱하는 것은 쉽지만, 이들 결과를 소인수 분해한다는 것은 계산적으로 매우 어렵다. 일부 공개키 암호알고리즘은 이렇게 소인수 분해의 어려움에 기반을 두고 설계되었다.

• 1
   ㉠ 정수 ㉡ 소수
• 2
   ㉠ 정수 ㉡ 대수
• 3
   ㉠ 실수 ㉡ 소수
• 4
   ㉠ 실수 ㉡ 대수

72. 다음은 벨-라파둘라(BLP) 모델의 특성을 나타내고 있다. 높은 보안등급과 낮은 보안등급 사이에서 읽기와 쓰기 권한이 바르게 짝지어 진 것은?

미 국방부 지원 보안 모델로 보안 요소 중 기밀성 강조
최초의 수학적 모델로 강제적 정책에 의해 접근 통제하는 모델
보안 정책은 정보가 높은 레벨에서 낮은 레벨로 흐르는 것을 방지

• 1
   Read-Up 금지, Write-Up 금지
• 2
   Read-Down 금지, Write-Up 금지
• 3
   Read-Up 금지, Write-Down 금지
• 4
   Read-Down 금지, Write-Down 금지

73. 임의적 접근통제 방식에 대한 설명 중 옳지 않은 것은?

• 1
   모든 개별의 주체와 객체 단위로 접근 권한을 설정한다.
• 2
   객체의 소유주가 주체와 객체 간의 접근 통제 관계를 정의 한다.
• 3
   접근통제 목록(ACL)을 통해 구현한다.
• 4
   중앙집중적으로 통제 되는 환경에 적합하다.

74. “한 단계 앞의 암호문 블록"을 대신할 비트열을 무엇이라 하는가?

• 1
   패딩
• 2
   초기화 벡터
• 3
   스트림 블록
• 4
   운영모드

75. 다음은 CRL 개체 확장자를 구성하는 필드에 대한 설명이다. 잘못된 설명은?

• 1
   Reason Code : 인증서가 갱신된 이유를 나타내기 위해사용되는 코드
• 2
   Hold Instruction Code : 인증서의 일시적인 유보를 지원하기 위해 사용되는 코드
• 3
   Certificate Issuer : 인증서 발행자의 이름
• 4
   Invalidity Date : 개인키 손상이 발생하는 등의 이유로인증서가 유효하지 않게 된 날짜와 시간에 대한 값

76. 다음 보기의 역할을 하는 PKI 구성 요소는 무 엇인가?

ㅇ 인증서 발급
ㅇ 인증서 상태 관리, 인증서 철회를 위한 CRL 발급 
ㅇ 유효한 인증서와 CRL의 리스트 발행

• 1
   CA
• 2
   RA
• 3
   CRL
• 4
   PCA

77. 다음 인증 기술 중에서 종류가 다른 한 가지는?

• 1
   개체 인증
• 2
   사용자 인증
• 3
   신원 인증
• 4
   메시지 인증

78. 다음 중 알고 있는 것에 기반한 사용자 인증 기술은 무엇인가?

• 1
   핀 번호
• 2
   스마트 카드
• 3
   홍채
• 4
   목소리

79. 행동학적 특성을 이용한 바이오 인식 기술의 종류에 해당되지 않는 것은?

• 1
   음성
• 2
   얼굴인식
• 3
   키보드 입력
• 4
   지문

80. 다음 중 Diffi-Hallman 알고리즘 특징이 아닌 것은?

• 1
   단순하고 효율적이다.
• 2
   인증 메시지에 비밀 세션 키를 포함하여 전달할 필요가 없다.
• 3
   세션 키를 암호화한 전달이 필요하지 않다.
• 4
   사용자 A와 B만이 키를 계산할 수 있기 때문에 무결성이 제공된다.

81. 「개인정보 보호법」에서 규정하고 있는 개인정보 중 민감정 보에 해당하지 않는 것은?

• 1
   주민등록번호
• 2
   노동조합 · 정당의 가입·탈퇴에 관한 정보
• 3
   건강에 관한 정보
• 4
   사상 · 신념에 관한 정보

82. ISMS인증에서 정보보호관리 과정에 포함되지 않는 것은?

• 1
   정보보호 교육 및 훈련
• 2
   경영진 책임 및 조직구성
• 3
   위험관리
• 4
   사후관리

83. 다음 중 개인정보보호법에 대한 설명으로 올바른 것은?

• 1
   개인정보보호 위원회 위원은 대통령이 임명한다.
• 2
   정보주체란 개인정보를 생성, 처리하는 자를 의미한다.
• 3
   개인정보는 어떤 경우에도 위탁이나 제 3자제공이 돼서는 안된다.
• 4
   개인정보 목적 달성 후 1년간 보관한다.

84. 다음 중 개인정보 수집 및 이용 시 정보 주체의 동의를 받지않아도 되는 것은?

• 1
   제한구역에 신분증을 받고 다시 반납할 경우
• 2
   교사가 학생 상담을 위하여 수첩에 이름，주소 등을 기록할 경우
• 3
   치과에서 스켈링 후 의료 보험을 적용할 경우
• 4
   경품 제공을 위한 개인정보를 수집할 경우

85. 다음 중 나라별, 지역별로 서로 다른 평가기준을 가짐에 따라 동일한 제품에 대한 중폭평가를 피하고 해결하기위한 정보보호시스템 공통평가기준을 무엇이라 하는가?

• 1
   ITSEC
• 2
   TCSEC
• 3
   CC
• 4
   OCRA

86. 도출된 위험이 해당 사업에 심각한 영향을 주는 관계로 보험에 가입하였다. 이런 식으로 위험을 경감 또는 완화시키는 처리 유형은 무엇인가?

• 1
   위험 감소(Reduction)
• 2
   위험 전가(Transfer)
• 3
   위험 수용(Acceptance)
• 4
   위험 회피(Avoidance)

87. 전자서명법에서 전자서명에 대한 설명이다. 올바르지 않은 것은 무엇인가?

• 1
   누구든지 타인의 명의로 공인인증서를 발급받거나 발급받을 수 있도록 하여서는 아니 된다.
• 2
   누구든지 공인인증서가 아닌 인증서 등을 공인인증서로 혼돈하게 하거나 혼동할 우려가 있는 유사한 표시를 사용하거나 허위로 공인인증서의 사용을 표시하여서는 아니 된다.
• 3
   누구든지 공인인증서를 이용범위 또는 용도에서 벗어나 부정하게 사용하여서는 아니 된다,
• 4
   법원이 허락하는 경우 타인의 명의로 공인인증서를 발급받을 수 있다.

88. 지문에서 설명하는 위험분석 방법은 무엇인가?

이 방법은 시스템에 관리 전문적인 지식을 가진 전문가 집단을 구성하고, 토론을 통해 위험을 분석하는 정성적인 방법이다. 위험을 짧은 기간에 도출할 수 있고 시간과 비용이 적게 투입되나 신뢰도가 상대적으로 낮다는 문제점이 있다.

• 1
   연간예상손실 계산법
• 2
   과거 통계자료 분석법
• 3
   델파이법
• 4
   시나리오 기반 분석법

89. 다음 중 개인정보 처리방침에 의무적으로 포함되어야 할 내용이 아닌 것은?

• 1
   개인정보 처리 및 보유 기간
• 2
   개인정보 침해 시 구제 방안
• 3
   개인정보의 제3자 제공에 관한 사항
• 4
   개인정보 보호책임자 및 조직 정보

90. 다음은 정보보호 교육과 관련한 설명이다. 옳지 않은 것은?

• 1
   교육의 시기, 기간, 대상, 내용, 방법 등의 내용이 포함된 연간 정보보호 교육 계획을 수립하면서, 대상에는 정보보 호 관리체계 범위 내 임직원을 포함시켜야 하고, 외부용역 인력은 제외해도 무방하다.
• 2
   교육에는 정보보호 및 정보보호 관리 체계 개요, 보안사고 사례, 내부 규정 및 절차, 법적 책임 등의 내용을 포함 하고 일반 임직원, 책임자, IT 및 정보보호 담당자 등 각 직무별 전문성 제고에 적합한 교육내용 및 방법을 정하여야 한다.
• 3
   연 1회 이상 교육을 시행하고 정보보호 정책 및 절차의 중 대한 변경, 조직 내·외부 보안사고 발생, 관련 법규 변경등의 사유가 발생할 경우 추가 교육을 수행해야 한다.
• 4
   교육 내용에는 구성원들이 무엇을 해야 하며, 어떻게 할수 있는지에 대한 것을 포함해야 하며, 가장 기본적인 보 안 단계의 실행에서부터 좀 더 고급의 전문화된 기술에 이르기까지 다양한 단계로 나누어 구성할 수 있다.

91. 다음 중 개인정보보호, 정보보호 교육에 대한 설명으로 올바르지 못한 것은?

• 1
   개인정보보호법에 따라 연 정기적으로 개인 정보보호 교육을 의무적으로 한다.
• 2
   정보보호 교육 시 자회사 직원만 교육하고 협력사는 제외한다.
• 3
   정보통신망법에 따라 연 2회 이상 개인정보 교육을 의무적으로 한다.
• 4
   개인정보보호, 정보보호에 대한 교육은 수준별, 대상별로 나누어 교육한다.

92. 다음 설명에 해당하는 OECD 개인정보보호 8원칙으로 옳은 것은?

개인정보는 이용 목적상 필요한 범위 내에서 개인정보의 정확성, 완전성, 최신성이 확보되어야 한다.

• 1
   수집 제한의 원칙(Collection Limitation Principle)
• 2
   정보 정확성의 원칙(Data Quality Principle)
• 3
   안정성 확보의 원칙(Security Safeguards Principle)
• 4
   목정 명시의 원칙(Purpose Specification Principle)

93. 개인정보 보호책임자와 관련된 설명이다. 옳지 않은 것을 고르시오.

• 1
   개인정보 보호책임자는 기업의 임원이 수행함이 원칙이다.
• 2
   개인정보 보호책임자를 별도로 지정하지 않으면 정보보호 최고책임자가 개인정보 보호책임자가 된다.
• 3
   임원이 없는 기업의 경우 관련 부서장이 개인정보 보호책임자로 임명될 수 있다.
• 4
   개인정보 보호책임자는 정당한 업무 수행에 따른 불이익을 받지 않는다.

94. 보기의 ㉠, ㉡에 들어가야 할 단어로 적합한 것은?

접근통제는 （㉠ )와(과)（ ㉡ )(이)라는 두 부분으로 나누어진다. （㉠은(는) "그곳에 있는 사람은 누구인가?"를 의미하며, （ ㉡ ）은(는) "그 사람이 그것을 수행하는 것이 허용되었는가?"를 의미한다.

• 1
   ㉠ 보안 ㉡ 승인
• 2
   ㉠ 배치 ㉡ 허가
• 3
   ㉠ 인증 ㉡ 인가
• 4
   ㉠ 검토 ㉡ 확인

95. 다음 중 정성적 위험평가 방법에 대한 설명으로 올바르지 못한 것은?

• 1
   계산에 대한 노력이 적게 든다.
• 2
   위험분석과정이 지극히 주관적이다.
• 3
   측정결과를 화폐로 표현하기 어렵다.
• 4
   위험관리 성능평가가 용이하다.

96. 다음 중 위험분석 시 정량적 분석의 단점으로 올바른 것은 무엇인가?

• 1
   계산이 단순하고 정량적으로 측정할 수 있다.
• 2
   민간도 분석과 같은 독립변수와 종속변수 간의 관계를 수치화시켜서 정성적으로 분석을 수행한다.
• 3
   정성적 분석은 시나리오 법 등을 사용하고 정량적 분석은 델파이법을 사용한다.
• 4
   계산이 복잡하여 분석하는데 시간, 노력, 비용이 많이 든다.

97. 위험관리의 개념에서 위험 완화 방법에 대한 설명으로 옳지 않은 것은?

• 1
   회피는 특정 위험으로부터의 손실 부담 또는 위험 획득을 수용하는 것이다.
• 2
   전가는 잠재적 비용을 제3자에게 전가 하거나 할당하는 것이다.
• 3
   감소는 위험을 감소시킬 수 있는 대책을 채택하여 구현하는 것이다.
• 4
   수용은 위험을 받아들이고 비용을 감수하는 것이다.

98. 다음중 기술적 보호조치와 가장 거리가 먼 것은?

• 1
   인증된 사람만 시스템에 접근 가능하도록 접근권한을 설정하고 관리한다.
• 2
   위탁, 외주개발에 따라 발생할 수 있는 위험을 미리 분석하고 규정을 정비한다.
• 3
   인가되지 않은 보조저장매체를 사용할 수 없도록 차단한다.
• 4
   해킹 등 침해사고 발생 위험을 분석하고 그에 따른 대응방안을 마련해놓는다.

99. 정보통신망법상 정보통신 서비스 제공자는 임원급의 정보보호 최고책임자를 지정할 수 있도록 정하고 있다. 정보통신서비스 제공자의 정보보호 최고책임자가 총괄하는 업무에 해당하지 않는 것은? (단, 이 법에 명시된 것으로 한정함)

• 1
   정보보호관리체계 수집 및 관리·운영
• 2
   주요 정보통신기반시설의 지정
• 3
   정보보호 취약점 분석·평가 및 개선
• 4
   정보보호 사전 보안성 검토

100. 다음은 정보통신기반 보호법에 따른 주요정보통신기반시의 지 정요건이다. 빈 칸 (가) ~ (마)에 들어갈 알맞은 단어를 바르게 나열한 것은?

중앙행정기관의 장은 소관분야의 정보통신기반시설중 다음의 사항을 고려하여 전자적 침해행위로부터의 보호가 필요하다고 인정되는 정보통신기반시설을 주요정보통신기반시설로 지정할 수 있다.
1. 당해 정보통신기반시설을 관리하는 기관이 수행하는 업무의 국가 사회적 ( 가 )
2. 당해 정보통신기반시설을 관리하는 기관이 수행하는 업무의 정보통신기반시설에 대한 ( 나 )
3. 다른 정보통신기반시설과의 ( 다 )
4. 침해사고가 발생할 경우 국가안전보장과 경제사회에 미치는 피해규모 및 범위
5. 침해사고의 ( 라 ) 또는 그 복구의 ( 마 )

• 1
   가:중요성 나:기밀성 다:의존도 라:발생가능성 마:용이성
• 2
   가:기밀성 나:중요성 다:의존도 라:용이성 마:경제성
• 3
   가:중요성 나:의존도 다:상호연계성 라:발생가능성 마:용이성
• 4
   가:중요성 나:의존도 다:관련성 라:발생가능성 마:용이성