1. 다음의 방어 기법으로 예방할 수 있는 공격으로 가장 알맞은 것은?

Data Execution Prevention(DEP), No-eXecute

• 1
   랜섬웨어 공
• 2
   힙 스프레이
• 3
   SQL 인젝션
• 4
   ATP 공격

2. 리눅스 부팅 레벨(Run Level)중 아래 설명에 맞게 나열한 것을 고르시오.

A: 단일 사용자 모드
B: 재시작
C: 다중 사용자 모드

• 1
   A: 레벨1, B:레벨3, C:레벨2
• 2
   A: 레벨1, B:레벨3, C:레벨6
• 3
   A: 레벨1, B:레벨6, C:레벨3
• 4
   A: 레벨1, B:레벨6, C:레벨2

3. 윈도우의 SAM(Security Account Manager)에 대한 설명이다. 틀린 것을 고르시오.

• 1
   사용자 계정의 비밀번호를 관리한다.
• 2
   해시된 비밀번호는 한 번 더 암호화되어 저장된다.
• 3
   SID를 이용해 사용자를 식별한다.
• 4
   액티브 디렉터리(AD)의 원격 사용자 인증에 사용된다.

4. 윈도우 이벤트 로그(Event Log)에 대한 설명이다. 틀린 것을 고르시오.

• 1
   로그를 보기 위한 이벤트 뷰어(eventvwr.msc)가 제공된다.
• 2
   기본 로그로 응용 프로그램 로그, 보안 로그, 시스템 로그 등이 있다.
• 3
   메모장으로 직접 열람 및 수정이 가능하다.
• 4
   이벤트 뷰어를 이용해 CSV로 내보내기 할 수 있다.

5. 다음은 윈도우 사용자 유형에 대한 설명이다. 가장 적절하지 않은 것은?

• 1
   Administrator : 모든 권한을 가진다.
• 2
   Power User : 일반 유저지만 관리자의 권한을 가진다.
• 3
   Guest: 임시 사용자 계정으로 제한된 권한을 가진다.
• 4
   Backup Operator: 백업을 위해 모든 디렉토리에 접근 가능한 권한을 가진다.

6. UNIX에서 로그인 패스워드와 함께 일방향 해시함수에 입력되는 12비트 난수 값을 무엇이라 하는가?

• 1
   솔트
• 2
   멜로리
• 3
   세션
• 4
   메시지

7. 다음중 UNIX기반 시스템에서 Log 분석을 위한 문자열 처리와 관련이 가장 적은 명령어는?

• 1
   wc
• 2
   awk
• 3
   grep
• 4
   nohup

8. 다음 중 리눅스 inode 블럭에 포함되지 않는 것은 ?

• 1
   파일 유형
• 2
   파일 이름
• 3
   파일 수정시간
• 4
   파일 link 수

9. 다음 보기와 관련있는 공격법은?

John the ripper, Cain and abel

• 1
   스니핑
• 2
   스푸핑
• 3
   무차별 대입 공격
• 4
   바운스 공격

10. 다음은 NTFS와 FAT 파일 시스템에 대한 설명이다. 틀린 것을 고르시오.

• 1
   FAT32등 FAT뒤에 붙은 숫자로 클러스터 수를 계산할 수 있다.
• 2
   FAT는 최대 파일 크기가 4G로 제한되지만 NTFS는 16EiB까지 가능하다.
• 3
   NTFS는 다른 운영체제와 호환성이 좋다.
• 4
   작은 크기의 파일 시스템을 사용하는 경우 NTFS보다 FAT 가 더 빠르다.

11. 다음 중 설치된 하드웨어를 구동시키는데 필요한 정보를 포함하는 윈도우 레지스트리 루트 키는?

• 1
   HKEY_LOCAL_MANCHINE
• 2
   HKEY_USERS
• 3
   HKEY_CLASSES_ROOT
• 4
   HKEY_CURRENT_CONFIG

12. 다음 중 포맷 스트링(Format String)공격에 대해 잘못 설명한 것은?

• 1
   시스템 자원을 고갈시켜 가용성을 공격하는 기법이다.
• 2
   대표적으로 printf() 함수를 공격 대상으로 삼는다.
• 3
   포맷 스트링을 취약점으로 stack에 비정상적으로 접근한다.
• 4
   Write가 허용된 Memory Segment에 원하는 값을 삽입할수 있다.

13. 리눅스 PAM의 동작 절차를 바르게 나열한 것은?

(1) 해당 애플리케이션의 PAM 설정 파일을 확인한다.
(2) PAM모듈은 성공 또는 실패 상태를 반환(Return)한다.
(3) 사용자나 프로세스가 애플리케이션의 접근(Access)을 요청한다.
(4) 스택은 계속해서 순서대로 확인되며, 실패 상태를 반환한다해서 중단되지 않는다.
(5)스택의 PAM모듈이 리스트상의 순서대로 호출된다.
(6) 모든 PAM모듈의 상태 결과가 종합되어 전체 인증 과정의 성공 또는 실패 상태를 반환한다.

• 1
   3 - 2 - 1 - 5 - 4 - 6
• 2
   3 - 2 - 1 - 5 - 6 - 4
• 3
   3 - 1 - 2 - 5 - 4 - 6
• 4
   3 - 1 - 5 - 2 - 4 - 6

14. 다음 중 리눅스에서 로그를 확인하는 것과 가장 거리가 먼 명령어는?

• 1
   wtmp
• 2
   history
• 3
   pacct
• 4
   find

15. 다음 중 소유자에게 읽기 쓰기 권한을 부여하고, 일반사용자에게 읽기 권한을 제거하는 리눅스 명령은?

• 1
   chmod 604
• 2
   chmod 504
• 3
   chmod o+rw a-r
• 4
   chmod u=rw o-r

16. 다음 중 윈도우 인증 구성요소와 가장 거리가 먼 것은?

• 1
   LSA(Local Security Authority)
• 2
   SAM(Security Account Manager)
• 3
   L2PT(Layer 2 Tunneling Protocol)
• 4
   SRM(Security Reference Monitor)

17. 다음은 UTM(Unified Threat Management)의 특징에 대한 설명이다. 틀린 것을 고르시오.

• 1
   여러 보안 장비를 하나의 장비로 통합한 것을 말한다
• 2
   보안 로그를 모아 취합하여 심층분석을 수행한다.
• 3
   경제성이 있고 관리가 용이하지만 장애 발생시 보안기능에 심각한 영향을 미칠수 있다.
• 4
   일반적으로 방화벽의 기능을 포함한다.

18. 다음 중 무결성을 점검하는 방법과 거리가 먼 것은?

• 1
   소유자 그룹 권한을 확인한다.
• 2
   파일의 크기를 확인한다.
• 3
   파일의 수정시간을 확인한다.
• 4
   파일의 심볼릭 링크 수를 확인한다.

19. 침입 탐지 시스템(IDS)의 탐지 기술 중 전문가 탐지 기법은 어떤 방법론에 속하는가?

• 1
   Knowledge-based Detection
• 2
   Signature-based Detection
• 3
   Stateful Detection
• 4
   Anomaly Detection

20. 워너크라이 랜섬웨어와 페트야 랜섬웨어의 차이점을 바르게 설명한 것은?

• 1
   워너크라이 랜섬웨어에 네트워크 웜 기능이 추가되었다.
• 2
   MFT(Master File Table) 영역 암호화가 추가되었다.
• 3
   워너크라이 랜섬웨어와 달리 SMB 취약점을 기반으로 한다.
• 4
   MBR(Master Boot Record) 영역을 감염시켜서 부팅을 불가능하게 만든다.

21. 다음의 지문이 설명하는 무선 랜 보안 표준은?

이 무선 랜 보안 표준은 IEEE 802.11을 준수하며, 별도의 인증 서버를 이용하는 EAP 인증 프로토콜을 사용하고 암호 키를 동적으로 변경 가능하며, AES 등 강력한 블록 암호 알고리즘을 사용한다.

• 1
   WLAN
• 2
   WEP
• 3
   WPA
• 4
   WPA2

22. 도메인을 탈취하거나 도메인 네임 시스템 또는 프록시 서버 의 주소를 변조함으로써 사용자들로 하여금 진짜 사이트로 오인해 접속하도록 유도한 뒤, 개인 정보를 탈취하는 해킹 기법은?

• 1
   피싱
• 2
   파밍
• 3
   스미싱
• 4
   봇넷

23. 다음 중 패킷의 출발지와 목적지 모두를 반영하여 주소 변환을 수행하는 NAT(Network Address Translation)는?

NAT

• 1
   Static NAT
• 2
   Dynamic NAT
• 3
   Bypass NAT
• 4
   Policy NAT

24. 다음 설명의 공격 기법을 무엇이라 하는가?

공격 대상이 방문할 가능성이 있는 합법적 웹사이트를 미리 감염시킨 뒤 잠복하였다가 피해자가 접속하면 감염시키는 공격으로 보안이 상대적으로 강한 대상에 대한 길목을 만들어 나가는 순차적 공격 기법이다. 웹 사이트들을 통해 공격 대상 기관의 직원들을 감염시키고, 그 직원을 매개체로 기관 내부에 침투할 수 있다.

• 1
   워터링 홀
• 2
   파밍
• 3
   스피어 피싱
• 4
   CSRF 공격

25. 다음 중 SYN, ACK, FIN 플래그를 모두 사용하지 않는 스캔 공격은?

• 1
   TCP Half Scan
• 2
   UDP Scan
• 3
   NULL Scan
• 4
   XMAS Scan

26. 다음 설명의 취약점을 무엇이라 가는가?

ㅇ OpenSSL 1.01f이전 버전에서 발생한다.
ㅇ 서버의 정상 기동 여부를 진단하기 위한 프로토콜을 이용한다.
ㅇ 임의의 메모리 데이터가 누출된다.

• 1
   브랜치스콥
• 2
   하트 블리드
• 3
   멜트다운
• 4
   셸 쇼크

27. 다음 용어 중 개념상 나머지와 가장 거리가 먼 것은?

• 1
   sniffing
• 2
   eavesdropping
• 3
   tapping
• 4
   spoofing

28. Snort의 각 규칙은 고정된 헤더와 옵션을 가지고 있다. 패킷 의 payload 데이터를 검사할 때 사용되는 옵션에 포함되지 않는 필드는?

• 1
   ttl
• 2
   content
• 3
   depth
• 4
   offset

29. 다음 중 전문가 시스템(Expert System)을 이용한 IDS에서 사용 되는 침입 탐지기법은?

• 1
   Behavior Detection
• 2
   State Transition Detection
• 3
   Knowledge Based Detection
• 4
   Statistical Detection

30. 전체 프레임을 모두 검사 후 데이터를 전송하는 스위치 전송 방식은?

• 1
   Cut Thought
• 2
   Store & Forwarding
• 3
   Fragment Free
• 4
   Full Detection

31. 다음 중 보기의 DoS 공격의 대응 절차를 바르게 나열한 것은?

(1) 상세분석
(2) 침입탐지
(3) 모니터링
(4) 차단조치
(5) 초동조치

• 1
   모니터링 → 침입탐지 → 초동조치 → 차단조치 → 상세분석
• 2
   모니터링 → 침입탐지 → 초동조치 → 상세분석 → 차단조치
• 3
   침입탐지 → 초동조치 → 차단조치 → 모니터링 → 상세분석
• 4
   침입탐지 → 초동조치 → 차단조치 → 상세분석 → 모니터링

32. 다음 중 APT(Advanced Persistent Threat)의 유형과 가장 관련이 적은 것은?

• 1
   워터링 홀
• 2
   Zero Day
• 3
   DDoS
• 4
   백도어

33. 포트 스캔에 관한 설명 중 옳은 것은?

• 1
   TCP 스캔시 포트가 열려있으면 응답이 없다.
• 2
   NULL 스캔시 포트가 닫혀있으면 응답이 없다.
• 3
   UDP 스캔시 포트가 닫혀있으면 ICMP 메세지를 받는다.
• 4
   스텔스 스캔은 세션을 완전히 성립하여 정상 공격으로 위장한다.

34. 다음 공격 중 '소극적 공격'에 해당하는 것은?

• 1
   메시지 변조
• 2
   서비스 거부
• 3
   신분 위장
• 4
   트래픽 분석

35. L2 스위치 환경의 스니핑 공격 방법으로 가장 옳지 않은 것은?

• 1
   L2스위치 환경의 공격의 공격법으로 ICMP Redirect, APR Spoofing ARP Redirect 등이 있다.
• 2
   ARP Reply를 지속적으로 날려 스위치를 더미허브로 만드는 방법으로 Sniffing을 수행한다.
• 3
   ICMP Redirect를 이용해 특정 목적지 주소가진 패킷을 공격자에게로 돌린다.
• 4
   ARP Request를 지속적으로 전송함으로써 ARP Cache Table을 가득채우는 DoS공격이 가능하다.

36. 보기의 내용은 어떤 공격을 탐지하기 위한 내용들이다. 해당 공격으로 가장 알맞은 것은?

Ack Storm 탐지
패킷의 재전송 증가 탐지
예기치 못한 RST 증가 탐지

• 1
   TCP 세션 하이재킹
• 2
   TCP 하프 스캔
• 3
   하트 블리드
• 4
   DRDoS

37. 4000byte의 패킷을 전송하고자 하는데 최대 MTU가 1500이다. 다음과 같이 분할된 패킷에서 괄호 안에 들어갈 적절한 값은?

  

    
순서
    
패킷 사이즈
    
More Flag
    
offset
  
  

    
1
    
1500
    
1
    
0
  
  

    
2
    
1500
    
1
    
185
  
  

    
3
    
(  ㄱ  )
    
0
    
(  ㄴ  )
  

• 1
   1000, 370
• 2
   1000, 375
• 3
   1040, 370
• 4
   1040, 375

38. 다음은 TCP 연결 해제 과정의 4-Way Handshaking과정이다. 괄호 안에 들어갈 값으로 적절한 것은?

  

    
flag
    
Seq
    
Ack
    
direction
  
  

    
[FIN, ACK]
    
5000
    
-
    
Client→Server
  
  

    
[ACK]
    
7500
    
5001
    
Server→Client
  
  

    
[FIN,ACK]
    
(  ㄱ  )
    
5001
    
Server→Client
  
  

    
[ACK]
    
(  ㄴ  )
    
7502
    
Client→Server
  

• 1
   7500, 5001
• 2
   7500, 5002
• 3
   7501, 5001
• 4
   7501, 5002

39. 다음 중 기존 DDoS 공격과 차별화되는 DRDoS 공격에 대한 설명으로 옳은 것은?

• 1
   IP Spoofing을 이용하여 정상적인 호스트를 공격수단으로 이용한다.
• 2
   분산된 다수의 좀비 PC를 이용하여 한꺼번에 공격한다.
• 3
   대량의 호스트가 일시에 접근하는 것만으로도 공격을 수행할 수 있다.
• 4
   C&C를 이용해 좀비 PC를 능동적으로 조종할 수 있다.

40. 다음 중 랜드 어택에 대한 대응법으로 가장 거리가 먼 것은?

• 1
   현재는 대부분 패치가 완료되었으므로 최신 OS 및 SW를 이용한다.
• 2
   출발지와 목적지 IP주소가 다른 패킷은 기본적으로 차단한다.
• 3
   신뢰된 호스트만 접속할 수 있도록 White List기반으로 정책을 운용한다.
• 4
   침입차단시스템을 이용한다.

41. 다음 중 XML 기반 Web 기술과 관련성이 가장 적은 것은?

• 1
   OCSP
• 2
   UDDI
• 3
   WSDL
• 4
   SOAP

42. 전자입찰시스템 및 프로토콜의 특징에 대한 설명 중 틀린 것은?

• 1
   전자 입찰 도구로는 자바, 디지털서명, XML 등이 이용될 수 있다.
• 2
   입찰 기간 마감은 여러 개의 입찰 서버가 있을 경우 단계적으로 마감된다.
• 3
   전자 입찰은 입찰자, 입찰 공고자, 전자입찰시스템으로 구성된다.
• 4
   전자 입찰 시 독립성, 비밀성, 무결성 등이 요구된다.

43. 다음은 여러가지 멀웨어에 대한 설명이다. 올바르지 않은 것은?

• 1
   바이러스와 트로이 목마는 자가 복제되서 스스로 전파되는 특징이 있다.
• 2
   바이러스가 다른 실행프로그램에 기생하는데 반해 웜은 독자적으로 실행된다.
• 3
   스파이웨어는 사용자의 동의 없이 설치되어 사용자의 행동을 감시하고 개인정보를 유출한다.
• 4
   애드웨어는 사용자의 동의 기반으로 설치된 경우 멀웨어로 구분할 수 없다.

44. 권장하는 함수에 속하는 것은?

• 1
   strcat()
• 2
   gets()
• 3
   sprintf()
• 4
   strncpy()

45. 보안담당자 A씨는 자바스크립트 코드를 분석하기 위해 파일을 열었더니 아래와 같은 내용을 확인할 수 있었다.아래와 같은 기 법의 명칭은?

• 1
   암호화
• 2
   난독화
• 3
   복호화
• 4
   정규화

46. 다음은 전자화폐의 구성 프로토콜에 대한 설명이다. 지문에서 설명한 프로토콜을 올바르게 나열한 것은?

(가) 사용자와 은행 사이에서 수행되는 프로토콜로서 은행이 사용자
에게 전자 화폐를 발급해 주는 절차를 명세한 프로토콜이다.
(나) 사용자와 상점 사이에서 수행되는 프로토콜로서 사용자가
구매 대금으로 자신의 전자 화폐를 상점에 지불하는 과정
을 명세한 프로토콜이다.
(다) 상점과 은행 사이에서 수행되는 프로토콜로서 상점이 사용자
로부터 받은 전자 화를 은행이 결제해 주는 프로토콜이다.

• 1
   가:인출 프로토콜 나:지불 프로토콜 다:예치 프로토콜
• 2
   가:인출 프로토콜 나:예치 프로토콜 다:지불 프로토콜
• 3
   가:지불 프로토콜 나:인출 프로토콜 다:예치 프로토콜
• 4
   가:예치 프로토콜 나:지불 프로토콜 다:인출 프로토콜

47. 다음과 같은 DNS Cache를 확인하기 위한 윈도우 명령어는?

    q.fran.kr
    ----------------------------------------
    데이터 이름 . . . . . : q.fran.kr
    데이터 유형 . . . . . : 5
    TTL(Time To Live) . : 877
    데이터 길이 . . . . . : 8
    섹션 . . . . . . . : 응답
    CNAME 레코드  . . . . : fran.kr


    데이터 이름 . . . . . : fran.kr
    데이터 유형 . . . . . : 1
    TTL(Time To Live) . : 877
    데이터 길이 . . . . . : 4
    섹션 . . . . . . . : 응답
    (호스트) 레코드 . . . : 115.71.236.146

• 1
   ipconfig/showcaches
• 2
   ipconfig/displaydns
• 3
   ipconfig/flushdns
• 4
   ipconfig/all

48. 다음 중 FTP에 대한 설명으로 알맞은 것은?

• 1
   제어용으로 21번 포트, 데이터 전송용으로 512번 이상 임의의 포트을 사용한다.
• 2
   암호화 여부에 따라 Active 모드와 Passive 모드로 나누어진다.
• 3
   구조적으로 데이터를 전송할 때 목적지가 어디인지 검사하지 않는 취약점이 있다.
• 4
   보안이 강화된 TFTP, SFTP 사용이 권장된다.

49. HTTP의 요청 메소드가 아닌 것은?

• 1
   GET
• 2
   POST
• 3
   PUSH
• 4
   PUT

50. 다음 중 디지털 핑거프린팅 기술에 대한 설명으로 옮지 않은 것은?

• 1
   디지털 핑거프린팅 기술은 콘텐츠 내에 소유자 정보와 구매자 정보를 함께 포함하는 핑거프린트 경보를 사입하여 후에 불법으로 배포된 콘텐츠로부터배포자가 누구인지를 역추적 할 수 있도록 해 주는 기술이다.
• 2
   핑거프린팅된 콘텐츠는 서로 다른 구매자 정보를 삽입하기 때문에 구매자에 따라 콘텐츠의 데이터가 조금씩 다르다.
• 3
   공모공격 (collusion attack)이란 여러 개의 콘텐츠를 서로 비교하여 워터마킹된 정보를 제거하거나 유추하여 다른 워터마크 정보를 삽입할 수 있는 것을 의미하는데, 디지털 핑거프린팅 기술은 워터마크 기술 보다 이 공격에 더 안전하다.
• 4
   디지털 핑거프린팅 기술은 워터마킹 기술과 같이 삽입과 추출기술로 분류하는데삽입기술은 삽입하는 정보만 다 를 뿐 워터마킹 기술과 동일하다.

51. 다음 중 메일 서버의 구성요소로 적절하지 않은 것은?

• 1
   MTA
• 2
   MUA
• 3
   MDA
• 4
   MFA

52. 아래는 vsftp의 설정파일인 vsftpd.conf에 대한 설명이다. 올바 른 내용으로 짝지은 것은?

(가) amonymous_erable : 익명 접속 설정으로 권장은 NO이다.
(나) port_enable : YES 값은 데이터 전송을 위해서 Passive Mode
를 사용하도록 설정한다.
(다) xferlog_enable : FTP 로그를 남길 것인지에 대한 설정으로 로
그 위치는 vsftpd_log file에서 설정한다.
(라) local enable : 로컬 계정 사용자들의 접속 허용을 설정한다.

• 1
   가,나,다
• 2
   가,다
• 3
   가,나,다,라
• 4
   가,다,라

53. 다음에서 설명하는 정보보호 기술은?

전달하려는 정보를 이미지, 오디오 파일에 인간이 감지할 수 없도록 숨겨 상대방에게 전달하는 기술을 총칭한다. 일반 암호화 방법은 암호화를 통해 정보의 내용을 보호하는 기술인 반면에 이 기술은 정보의 존재 자체를 숨기는 보안 기술이다.

• 1
   핑거프린트(Fingerprint)
• 2
   DOI(Digital Object Identifier)
• 3
   디지털 워터마크(Digital watermark)
• 4
   스테가노그래피(Steganography)

54. 다음 지문은 무엇을 설명한 것인가?

사용자 상호인증, 데이터 기밀성, 메시지 무결성 등의 보안 서비스를 제공하는 프로토콜로, 세부 적으로는 Handshake 프로토콜, Change Cipher Spec, Alert 프로토콜, Record 프로토콜로 구성된다.

• 1
   IPSec
• 2
   PGP
• 3
   SSL/TLS
• 4
   SHTTP

55. 다음 지문이 설명하는 전자 거래 문서의 유형으로 알맞은 것은?

데이터의 저장 및 교환을 위한 대표적 문서교환 표준인 SGML(Standard Generalized Markup Language)과 HTML(HyperText Markup Language)의 장점을 모두 가지고 있다. 1996년 W3C에서 제안하였으며, 웹상에서 구조화된 문서를 전송 가능하도록 설계된 웹표준이며, 최근 전자거래 및 각종 업무에서 표준으로 폭넓게 채택되어 사용되고 있다.

• 1
   SWIFT
• 2
   ebXML
• 3
   EDI(Electronic Data Interchange)
• 4
   XML(eXtensible Markup Language)

56. 다음 중 이중서명 구조를 가지는 전자상거래 프레임워크는?

• 1
   ebXML
• 2
   SET
• 3
   eCash
• 4
   PKI

57. 다음 표는 Apache 웹 서버의 주요 파일에 대한 접근권한을 나타 낸다. 각각에 들어갈 내용으로 적절한 것은?

bin        :  root  : root   : 755
httpd      :  root  : root   : 가
passwd     :  root  :  나    : 640
httpd.conf :  root  : nobody : 다
log        :  root  : root   : 755

• 1
   가:640 나:root 다:511
• 2
   가:511 나:nobody 다:640
• 3
   가:640 나:nobody 다:511
• 4
   가:511 나:root 다:640

58. SSL/TLS에 대한 설명으로 옳은 것은?

• 1
   PKI를 이용하여 상위계층 프로토콜의 메시지에 대한 인증과 기밀성을 제공한다.
• 2
   종단 대 종단 간의 안전한 서비스를 제공하기 위해UDP를 사용하도록 설계하였다.
• 3
   레코드(Record) 프로토콜에서는 응용계층의 메시지에 대해 단편화, 압축, MAC 첨부, 암호화 등을 수행한다.
• 4
   암호명세 변경(Change Cipher Spec) 프로토콜에서는클라이언트와 서버가 사용할 알고리즘과 키를 협상한다.

59. 다음 중 PGP의 기능이 아닌 것은?

• 1
   기밀성
• 2
   전자서명
• 3
   단편화와 재조립
• 4
   송수신 부인방지

60. 다음 중 데이터베이스 보안 유형이 아닌 것은?

• 1
   접근 제어(Access Control)
• 2
   허가 규칙(Authorization Rule)
• 3
   암호화(Encryption)
• 4
   집합(Aggregation)

61. 국내 암호모듈 검증에 있어 검증대상 암호알고리즘으로 지 정된 비밀키 블록암호 알고리즘으로 구성된 것은?

• 1
   가:AES, 나:LEA 다:SEED
• 2
   가:AES, 나:LEA 다:ARIA
• 3
   가:ARIA, 나:LEA 다:SEED
• 4
   가:ARIA, 나:AES 다:SEED

62. 사용자 인증에서는 3가지 유형의 인증방식을 사용하고 있으며, 보안을 강화하기 위하여2가지 유형을 결합하여 2 factor 인증을 수행한다. 다음 중 2 factor 인증으로 적절하지 않은 것은?

• 1
   USB 토큰, 비밀번호
• 2
   스마트카드, PIN(Personal Identification Number)
• 3
   지문, 비밀번호
• 4
   음성인식, 수기서명

63. 강제적 접근통제 정책에 대한 설명으로 옳지 않은 것은?

• 1
   모든 주체와 객체에 보안관리자가 부여한 보안레이블이부여되며 주체가 객체를 접근할 때 주체와 객체의 보안레이블을 비교하여 접근허가 여부를 결정한다.
• 2
   미리 정의된 보안규칙들에 의해 접근허가 여부가 판단되므로 임의적 접근통제 정책에 비해 객체에 대한 중앙 집중적인 접근통제가 가능하다.
• 3
   강제적 접근통제 정책을 지원하는 대표적 접근통제 모델로는 BLP(Bell-Lapadula), Biba 등이 있다.
• 4
   강제적 접근통제 정책에 구현하는 대표적 보안 메커니즘으로Capability List와 ACL(Access Control List) 등 이 있다

64. 다음 지문이 설명하고 있는 프로토콜은?

ㅇ 공유할 암호키를 계산하여 만들어낸다.
ㅇ 유한체상의 이산대수문제를 풀기 어려움에 기반한다.
ㅇ 중간자 공격이나 재전송 공격에는 취약하다.

• 1
   Needham-Schroeder 프로토콜
• 2
   공개키 암호
• 3
   KDC 기반 키 분배
• 4
   Diffie-Hellman 프로토콜

65. 아래 보기에서 설명하고 있는 공격기법은?

1997년 Diffie와 Hellman이 제안하였으며 암호화할 때 일어날 수 있는모든 가능한 경우에 대하여 조사하는 방법으로 경우 의 수가 적을 때는가장 정확한 방법이지만, 일반적으로 경우의 수가 많은 경우에는 실현 불가능하다.

• 1
   차분 공격(Differential Cryptanalysis)
• 2
   선형 공격(Linear Cryptanalysis)
• 3
   전수 공격(Exhaustive key search)
• 4
   통계적 분석(Statistical analysis)

66. 소프트웨어로 구성되는 난수 생성기를 가장 적절하게 표현 한 것은?

• 1
   SRNG
• 2
   HRNG
• 3
   PRNG
• 4
   RRNG

67. 아래 보기에서 설명하고 있는 공격기법은?

1990년 Bham과 Sharir에 의하여 개발된 선택 평문 공격법 으로,두 개의 평문 블록의 비트 차이에 대하여 대응되는 암호문 블록들의비트 차이를 이용하여 사용된 암호키를 찾아 내는 방법이다.

• 1
   차분 공격(Differential Cryptanalysis)
• 2
   선형 공격(Linear Cryptanalysis)
• 3
   전수 공격(Exhaustive key search)
• 4
   통계적 분석(Statistical analysis)

68. 다음의 장·단점을 가진 인증기술은?

ㅇ 장점 : 데이터의 기밀성, 무결성 보장
ㅇ 단점 : 키 분배센터의 SPoF 문제

• 1
   커버로스(Kerberos)
• 2
   OTP 인증
• 3
   FIDO
• 4
   메시지 출처 인증

69. 키 관리는 키 생성, 분배, 설치, 갱신, 취소 폐기, 저장, 복구 등 을 요구하는 포괄적인 개념이다.한 사용자 또는 기관이 비밀키 를 설정하여 다른 사용자에게 전달하는 기술을 키 분배라고 하며,둘 또는 그 이상의 사용자가 공개된 통신 채널을 통하여 비밀 키를 설정하는 것을 키 합의라고 한다.다음 중 키 분배 방식에 해당되는 것은?

• 1
   Diffie-Hellman 방식
• 2
   Matsumoto-Takashima-lmai 방식
• 3
   Okamoto-Nakamura 방식
• 4
   Needham-Schroeder 방식

70. 다음 중 해시함수의 특징이 아닌 것은?

• 1
   고정된 크기의 해시코드를 생성함
• 2
   일방향성(one-wayness)
• 3
   강 · 약 충돌 회피성이 보장됨
• 4
   안전한 키를 사용할 경우 결과값의 안전성이 보장됨

71. 다음 중 암호시스템에 대한 수동적 공격은?

• 1
   트래픽 분석
• 2
   메시지 순서 변경
• 3
   메시지 위조
• 4
   삭제 공격

72. 다음 중 스트림 암호의 특징으로 알맞지 않은 것은?

• 1
   원타임 패스워드를 실용적으로 구현할 목적으로 개발되었다.
• 2
   짧은 주기와 높은 선형복잡도가 요구되며 주로 LFSR을이용한다.
• 3
   블록단위 암호화 대비 비트단위로 암호화하여 암호화 시간이 더 빠르다.
• 4
   블록 암호의 CFB, OFB 모드는 스트림 암호와 비슷한 역할을 한다.

73. “한 단계 앞의 암호문 블록"을 대신할 비트열을 무엇이라 하는가?

• 1
   패딩
• 2
   초기화 벡터
• 3
   스트림 블록
• 4
   운영모드

74. 이중서명(Dual Signature)은 사용자가 구매정보와 지불정보를각각 해시한 후 해시값을 합하여 다시 해시 그리고 최종 해시값을카드 사용자의 개인키로 암호화한 서명을 말하는 것으로다음 그림은 이중서명 절차도이다.아래와 같이 이중서명을 사용하는 것으로 적합한 것은?

• 1
   SET
• 2
   PKI
• 3
   전자화폐
• 4
   전자수표

75. 다음 지문이 설명하는 것은?

이것은 MIT대학에서 개발한 분산 환경 하에서 개체 인증서비스를 제공하는네트워크 인증시스템이다. 비밀키 암호작성법에 기초를 둔자주 이용되는 온라인 암호키 분배방법이다. 이 시스템의 목적은인증된 클라이언트만이 서버에 접속하도록 하는 것이다.이것의 장점으로는 데이터의 기밀성과 무결성을 보장한다는 점을 들 수 있고,이것의 단점으로는 키 분배센터에 장애 발생 시전체서비스가 사용 불가 상태가 됨을 들 수 있다.

• 1
   Diffie-Hellman Protocol
• 2
   Kerberos Protocol
• 3
   Needham-schroeder Protocol
• 4
   SET Protocol

76. 다음 중 임의적 접근통제(DAC : Dscretionary access control) 에 해당하는 특징이 아닌 것은?

• 1
   사용자 기반 및 ID 기반 접근통제
• 2
   중앙 집중적 관리가 가능
• 3
   모든 개개의 주체와 객체 단위로 접근권한 설정
• 4
   객체의 소유주가 주체와 객체 간의 접근통제 관계를 정의

77. 다음 중 대칭 암호 알고리즘이 아닌 것은?

• 1
   BlowFish
• 2
   SEED
• 3
   Diffie-Hellman
• 4
   3DES

78. 다음 중 인증서가 폐지되는 사유가 아닌 것은?

• 1
   인증서 발행 조직에서 탈퇴
• 2
   개인키의 손상
• 3
   개인키의 유출 의심
• 4
   인증서의 유효기간 만료

79. 다음 그림은 블록암호 운용모드의 한 종류를 나타낸 것이다. 다음 그림에 해당하는 블록암호 운용모드는?

• 1
   CBC(Cipher Block Chaining)
• 2
   ECB(Electronic CodeBook)
• 3
   CTR(CounTeR)
• 4
   CFB(Cipher FeedBack)

80. n명의 사람이 대칭키 암호화 통신을 할 경우 몇 개의 대칭키가 필요한가?

• 1
   n(n+1)/2
• 2
   n(n-1)/2
• 3
   n(n-1)
• 4
   n(n+1)

81. 다음 괄호 안에 들어갈 용어로 적절한 것은?

(         )은 정보시스템 또는 정보보호시스템의 결함 또는 손실에 의하여 발생되고, 정보보호 대책을 적용함으로써 감소시킬 수 있다.
그러나 (         )이 없는 시스템은 존재하지 않고, 주기적인 진단과 패치의 적용에도 불구하고, 새로운 (         )이 발생되기 때문에 완전제거는 불가능하다.

• 1
   취약점
• 2
   위협
• 3
   위험
• 4
   침해

82. 위험분석 방법론으로 적절히 짝지은 것은?

(가) 그 어떤 사건도 기대대로 발생하지 않는다는 사실에 근거하여 일정 조건 하에서 위협에 대한 발생 가능한 결과를 추정하는 방법
(나) 시스템에 관한 전문적인 지식을 가진 전문가 집단을 구성하고 위협을 분석 및 평가하여 정보시스템이 직면한 다양 한 위협과 취약성을 토론을 통해 분석하는 방법

• 1
   가:확률분포법 나: 순위결정법
• 2
   가:시나리오법 나:델파이법
• 3
   가:델파이법 나:확률분포법
• 4
   가:순위결정법 나:시나리오법

83. 「개인정보보호법」에 의거하여 개인정보처리자는 개인정보의 처리에대하여 정보주체의 동의를 받을 때에는 각각의 동이 사항을 구분하여정보주체가 이를 명확하게 인지할 수 있도 록 알리고 각각 동의를 받아야 한다.동의를 서면으로 받을 때에는 중요한 내용을 정하는 방법에 따라 명확히 표시하여알아보기 쉽게 하도록 되어 있다. 이때 중요한 내용에 해당 되지 않는 것은?

• 1
   동의를 거부할 권리가 있다는 사실 및 거부에 따른 불이익이이 있을 경우에는 불이익에 대한 내용
• 2
   개인정보를 제공받는 자
• 3
   개인정보를 제공받는 자의 개인정보 이용 목적
• 4
   개인정보의 보유 및 이용 기간

84. 「개인정보보호법」에 의거하여 공공기관의 장은 대통령령으 로 정하는기준에 해당하는 개인정보 파일의 운용으로 인하여 정보주체의개인정보 침해가 우려되는 경우에는 그 위험 요인의 분석과 개선사항 도출을 위한영향평가를 하고 그 결 과를 행정안전부장관에게 제출하여야 한다.영향평가를 하 는 경우에 고려해야 할 사항으로 적합하지 않은 것은?

• 1
   처리하는 개인정보의 수
• 2
   개인정보의 제3자의 제공 여부
• 3
   정보주체의 권리를 해할 가능성 및 그 위험 정도
• 4
   개인정보를 처리하는 수탁업체 관리·감독의 여부

85. "개인정보 보호법”에서 개인정보의 파기 및 보존 시 가장 적 절하지 않은 경우는?

• 1
   개인정보의 이용목적이 달성된 때에는 즉시 파기하여야 한다.
• 2
   개인정보 삭제 시 만일의 경우에 대비하여 일정기간 보관한다.
• 3
   개인정보를 파기하지 않고 보관할 시에는 다른 개인정보와 분리하여 저장 · 관리한다.
• 4
   전자적 파일 형태인 경우, 복원이 불가능한 방법으로 영구 삭제한다.

86. 「개인정보보호법」에 의거하여 개인정보처리자가 정보주체 이외로부터수집한 개인정보를 처리하는 때에는 정보주체의 요구가 있으면즉시 정보주체에게 알려야 하는 사항들에 해 당되지 않는 것은?

• 1
   개인정보 처리의 정지를 요구할 권리가 있다는 사실
• 2
   개인정보의 보유·이용 기간
• 3
   개인정보의 수집 출처
• 4
   개인정보의 처리 목적

87. 다음 지문이 설명하는 위험분석 방법은?

ㅇ 시스템에 관한 전문적인 지식을 가진 전문가의 집단을 구성하고 위험을 분석 및 평가하여 정보시스템이 직면한 다양한위협과 취약성을 토론을 통해 분석하는 방법이다.
ㅇ 위험 분석을 짧은 기간에 도출할 수 있어 시간과 비용을 절약할 수 있지만, 추정의 정확도가 낮다.

• 1
   과거자료 분석법
• 2
   확률 분포법
• 3
   델파이법
• 4
   시나리오법

88. 정보보호 사전점검에 대한 설명으로 옳은 것은?

• 1
   정보보호 사전점검은 전자적 침해행위에 대비하기 위한 정보시스템의취약점 분석 평가와 이에 기초한 보호대책 의 제시 또는 정보보호 관리체계구축 등을 주된 목적으로 한다.
• 2
   방송통신위원회는 사업자가 사전점검을 실시하거나 실시 계약을 체결한 경우해당 사업 또는 서비스에 대하여 가점을 부여하는 등 우대조치를 할 수 있다.
• 3
   사전점검 수행기관으로 지정받으려는 자는 수행기관 지정신청서를 방송통신위원회에 제출하여야 한다.
• 4
   사전점검 대상 범위는 제공하려는 사업 또는 정보통신 서비스를 구성하는하드웨어, 소프트웨어, 네트워크 등의 유무형 설비 및 시설을 대상으로 한다.

89. 도출된 위힘이 해당 사업에 심각한 영향을 주는 관계로 보험에 가입하였다.이런 식으로 위험을 경감 또는 완화시키는 처리 유형은 무엇인가?

• 1
   위험 감소(reduction)
• 2
   위험 전가(transfer)
• 3
   위험 수용(acceptance)
• 4
   위험 회피(avoidance)

90. 다음 중 공인인증기관이 발급하는 공인인증서에 포함되어야 하는 사항이 아닌 것은 무엇인가?

• 1
   가입자의 전자서명검증정보
• 2
   암호화된 공인인증서 비밀번호
• 3
   가입자와 공인인증기관이 이용하는 전자서명방식
• 4
   공인인증기관의 명칭 등 공인인증기관을 확인할 수 있는 정보

91. 고유식별정보는 법령에 따라 개인을 고유하게 구별하기 위하여 부여된 식별정보로서대통령령으로 정하는 정보이다. 다음 중 개 인정보처리자가고유식별정보를 처리할 수 있는 경우에 해당하 는 것은?

• 1
   정보주체의 동의를 받지 않은 경우
• 2
   법령에서 구체적으로 고유식별정보의 처리를 요구하거나허용하는 경우
• 3
   교통단속을 위하여 필요한 경우
• 4
   시설 안전 및 화재 예방을 위하여 필요한 경우

92. 다음 중 이래 지문의 빈칸 안에 들어가야 할 단어를 올바르게 나열한 것은?

1. "개인정보"란 살아 있는 개인에 관한 정보로서 다음 각 목의 어느 하나에 해당하는 정보를 말한다.
가. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보
나. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 (         )하여 알아볼 수 있는 정보
다. 개인정보를 (            )함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용ㆍ결합 없이는 특정 개인을 알아볼 수 없는 정보

※원본 문제가 예전 법을 기준으로 하고 있어서 최신법 내용으로 수정함

• 1
   구분, 비식별화
• 2
   유추, 비식별화
• 3
   결합, 가명처리
• 4
   구분, 가명처리

93. 개인정보영향평가 시 반드시 고려할 사항이 아닌 것은?

• 1
   처리하는 개인정보의 수
• 2
   개인정보 취급자의 인가 여부
• 3
   개인정보의 제3자 제공 여부
• 4
   정보주체의 권리를 해할 가능성 및 그 위협

94. 개인정보의 안정성 확보조치 기준(고시)의 제7조(개인정보의 암호화)에따라 반드시 암호화하여 저장해야하는 개인정보가 아닌 것은?

• 1
   비밀번호
• 2
   고유식별번호
• 3
   바이오 정보
• 4
   전화번호

95. 다음은 정보통신기반 보호법에 따른 주요정보통신기반시의 지 정요건이다. 빈 칸 (가) ~ (마)에 들어갈 알맞은 단어를 바르게 나열한 것은?

중앙행정기관의 장은 소관분야의 정보통신기반시설중 다음의 사항을 고려하여 전자적 침해행위로부터의 보호가 필요하다고 인정되는 정보통신기반시설을 주요정보통신기반시설로 지정할 수 있다.
1. 당해 정보통신기반시설을 관리하는 기관이 수행하는 업무의 국가 사회적 ( 가 )
2. 당해 정보통신기반시설을 관리하는 기관이 수행하는 업무의 정보통신기반시설에 대한 ( 나 )
3. 다른 정보통신기반시설과의 ( 다 )
4. 침해사고가 발생할 경우 국가안전보장과 경제사회에 미치는 피해규모 및 범위
5. 침해사고의 ( 라 ) 또는 그 복구의 ( 마 )

• 1
   가:중요성 나:기밀성 다:의존도 라:발생가능성 마:용이성
• 2
   가:기밀성 나:중요성 다:의존도 라:용이성 마:경제성
• 3
   가:중요성 나:의존도 다:상호연계성 라:발생가능성 마:용이성
• 4
   가:중요성 나:의존도 다:관련성 라:발생가능성 마:용이성

96. 「개인정보보호법 상에서 민감정보로 명시되어 있는 것은?

• 1
   혈액형
• 2
   사상·신념
• 3
   결혼 여부
• 4
   성별

97. 다음 정보보호 관리체계 인증제도에 대한 설명으로 가장 적절하 지 않은 것은?

• 1
   정보통신서비스와 직접적인 관련성이 낮은 전사적 자원관 리시스템(ERP),분석용 데이터베이스(DW), 그룹웨어 등 기업 내부 시스템,영업/마케팅 조직은 일반적으로 인증 범위에서 제외해도 된다.
• 2
   인증범위는 신청기관이 제공하는 정보통신서비스를 기준으로 해당 서비스에 포함되거나 관련 있는 자산(시스템,설비, 시설 등), 조직 등을 포함하여야 한다.
• 3
   ISMS 의무인증범위 내에 있는 서비스, 자산, 조직(인력)을보호하기 위한 보안시스템은 포함 대상에서 제외해도 된다.
• 4
   해당 서비스의 직접적인 운영 및 관리를 위한 백오피스 시스템은 인증범위에 포함되며, 해당 서비스와 관련이 없더라도 그 서비스의 핵심정보자산에 접근가능 하다면 포함 하여야 한다.

98. 다음 지문이 설명하는 인증제도는?

현재 사용되는 IT 보안제품에 대해 보안성을 평가하는 제도로 제품유형별PP(Prolection Profile)를 정의하고, 8개 군의 평가항 목을 대상으로 평가가이루어진다. 평가결과는 IT 보안제품의 보안위협 및 자산가치의 정도에 따라EAL1(Evalualion Assurance Level 1) - EAL7(Evaluation Assurance Level 7) 까지7단계로 부여하여 인증서가 제공된다.

• 1
   ISO 27001
• 2
   ITSEC
• 3
   CC
• 4
   ISMS

99. 다음의 지문이 설명하는 정보보호 용어는?

이것은 각종 재해나 재난의 발생을 대비하기 위하여 핵심시스템의 가용성과 신뢰성을 회복하고 시업의 지속성을유지하기 위한 일련의 계획과 절차를 말한다.이것은 단순한 데이터의 복구나 신뢰도를 유지하는 것 뿐 아니라나아가 기업의 전체적인 신뢰성 유지와 가치를 최대화하는 방법과 절차이다.

• 1
   재난 예방 계획
• 2
   업무 연속성 계획
• 3
   기업 안정성 확보 계획
• 4
   시스템 운영 계획

100. 개인정보처리자는 다음 지문의 사항이 포함된 것을 정하고 이를 정보 주체가 쉽게 확인할 수 있게 공개하도록 되어 있다. 다음 지문의 사항이 포함된 문서의 법률적 명칭은 무엇인가?

1. 개인정보의 처리 목적
2. 개인정보의 처리 및 보유 기간
3. 개인정보의 제 3자의 제공에 관한 사항(해당되는 경우에만 정한다)
4. 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다)
5. 정보주체의 권리의무 및 그 행사방법에 관한 사항
6. 그 밖에 개인정보의 처리에 관하여 대통령령으로 정한 사항

• 1
   개인정보 보호 정책
• 2
   개인정보 처리방침
• 3
   표준 개인정보 보호지침
• 4
   개인정보 내부 관리계획