1. 윈도우 사용자 권한 통제 방법으로서 낮은 권한을 가진 사용자가 관리자 권한을 쓰려고 하면 경고창과 함께 관리자 계정 인증을 요구한다. 이러한 매커니즘을 무엇이라고 하는가?

• 1
   Privileged Account Management
• 2
   User Account Control
• 3
   User Access Control
• 4
   Privileged Access Management

2. 서버사이드에서 동작하는 웹페이지 아닌 것은?

• 1
   html
• 2
   php
• 3
   asp
• 4
   jsp

3. 멜트다운 취약점의 특징으로 잘못된 것은?

• 1
   CPU 성능을 높이기 위한 메커니즘을 악용하는 취약점이다.
• 2
   메모리보다 하드디스크 영역에 접근하는 것이 빠른 점을 이용했다
• 3
   사용자가 커널에서 관리하는 메모리영역에 접근할 수 있다
• 4
   부채널 공격의 일종이다

4. 리눅스 시스템에서 시스템의 주요 설정파일이 위치한 디렉토리와 임시파일을 저장하는 디렉토리, 물리적 장치가 파일화되어 저장된 디렉토리를 나열한 것은?

• 1
   /etc /temp /mnt
• 2
   /sys /tmp /mnt
• 3
   /sys /temp /dev
• 4
   /etc /tmp /dev

5. 윈도우에서 사용자 계정을 추가하면 일반 사용자 그룹인 User 그룹에 자동 포함된다. 이 User 그룹의 권한에 대한 설명으로 옳지 않은 것을 고르시오.

• 1
   User는 워크스테이션을 종료할 수 있고 서버에도 종료 명령을 내릴 수 있다.
• 2
   User가 로컬 그룹을 만들수는 있지만 자신이 만든 로컬 그룹만 관리한다.
• 3
   관리자가 설치하거나 배포한 인증된 Windows 프로그램을 실행할 수 있다.
• 4
   User 그룹의 구성원은 자신의 모든 데이터파일 및 레지스트리에서 자신의 부분을 완전히 제어할 수 있다.

6. 윈도우 운영체제 최상위 레지스트리 중 확장자와 응용프로그램 관계를 보여주는 레지스트리는 무엇인가?

• 1
   HKEY_CLASSES_ROOT
• 2
   HKEY_LOCAL_MACHINE
• 3
   HKEY_CURRENT_CONFIG
• 4
   HKEY_CURRENT_USER

7. 다음은 어떠한 파일시스템에 대한 설명이다. 설명하고 있는 파일 시스템을 고르시오.

리눅스 운영체제를 목표로 만들어진 첫 번째 파일 시스템으로, Remy Card가 MFS(MINIX FIle System)의 한계를 극복하기 위해 개발하였다. 최대 용량을 2GB까지 늘렸고 파일이름의 최대 길이는 255자 까지 지원한다. 오래 사용하면 파일 시스템의 단편화가 발생한다는 단점이 있다.

• 1
   FAT16
• 2
   MFS
• 3
   NTFS
• 4
   EXT

8. 윈도우에서 관리 목적상 기본적으로 공유되는 폴더 중에서 Null Session Share 취약점을 갖는 것은?

• 1
   C$
• 2
   G$
• 3
   IPC$
• 4
   ADMIN$

9. 아래의 명령어 수행 후 test.out 의 속성에 관한 설명으로 옳은 것은?

[localhost@staff]$ chmod 4755 test.out

• 1
   해당 파일은 모두(everyone)에게 쓰기 권한이 있다.
• 2
   파일은 staff 계정으로만 읽기가 가능하다.
• 3
   실행하는 사용자 권한에 상관 없이 test.out은 staff권한으로 실행된다.
• 4
   실행하는 사용자 권한에 상관 없이 test.out은 root권한으로 실행된다.

10. 다음 중 리눅스 시스템에서 좀비 프로세스를 찾기 위해 사용할 수 있는 명령어로 옳은 것 2가지를 선택하시오.

• 1
   ps -ef | grep defunct
• 2
   top -b -n 1 | grep defunct
• 3
   ps -ef | grep zombie
• 4
   top -b -n 1 | grep zombie

11. 리눅스 시스템의 기본 방화벽인 iptables에서 현재 정책을 별도 파일로 저장하고자 한다. 아래 명령어 중 옳은 것을 고르시오.

• 1
   iptables -config > etc/iptables.conf
• 2
   iptables -store > etc/iptables.conf
• 3
   iptables -save > etc/iptables.conf
• 4
   iptables -restore> etc/iptables.conf

12. 다음 저장장치 중 휘발성이 가장 높은 저장 장치 및 파일은?

• 1
   보조기억장치 파일
• 2
   임시 인터넷 파일
• 3
   ARP Cache, rouring table
• 4
   레지스터, 캐시

13. 랜섬웨어의 특징으로 옳지 않은 것은?

• 1
   CryptoLocker는 중요 파일을 암호화하고 돈을 요구한다.
• 2
   Browlock은 경찰로 위장하여 불법사이트 접속에 대한 벌금 납부를 유도한다.
• 3
   주로 파일 암호화 알고리즘인 RSA를 이용한다.
• 4
   돈을 지급하더라도 복구가 제대로 이루어지지 않는 경우가 많다.

14. 다음 중 FIDO에 대한 설명으로 옳지 않은 것은?

• 1
   기존 비밀번호의 단점을 보완하기 위해 등장하였다.
• 2
   스마트폰 등 디바이스에서 제공하는 생체인증 기능을 활용한다.
• 3
   기존 인증을 강화하기 위한 U2F와, 기존 인증을 대체하기 위한 UAF가 있다.
• 4
   UAF는 소유기반 인증 방식으로 비밀번호의 단점을 보완한다.

15. 다음 중 하드웨어에 기반한 보안 취약점 및 공격은?

• 1
   shellshock
• 2
   heartbleed
• 3
   WannaCry
• 4
   spectre

16. 다음 중 트로이 목마(Trojan)의 일반적인 특징 및 기능으로 옳지 않은 것은?

• 1
   패스워드 가로채기
• 2
   악성코드 전파
• 3
   파일 파괴
• 4
   원격 조정

17. 라우터(Router)를 이용한 네트워크 보안 설정 방법 중에서 내부 네트워크에서 외부 네트어크로 나가는 패킷의 소스 IP나 목적지 포트 등을 체크하여 적용하거나 거부하도록 필터링 과정을 수행하는 것은?

• 1
   TCP-Wrapper
• 2
   Egress Filtering
• 3
   Unicast RFP
• 4
   Packet Sniffing

18. 리눅스 시스템에서 패스워드 복잡도를 설정하기 위해 /etc/pam.d/system-auth 를 편집하고 있다. 아래와 같은 설정을 위해 사용하는 옵션으로 옳지 않은 것은?

ㅇ 숫자를 1자 이상 포함
ㅇ 특수문자를 1자 이상 포함
ㅇ 영어 대문자를 1자 이상 포함
ㅇ 기존 패스워드와의 일치율 50%이상 금지

• 1
   ucredit=-1
• 2
   difok=10
• 3
   scredit=-1
• 4
   dcredit=-1

19. 윈도우의 인증 시스템인 LSA(Local Security Authority)에 대한 설명으로 옳은 것을 모두 고르시오.

a. 로컬 및 원격 로그인에 대한 검증 수행
b. 시스템 자원(파일)에 대한 접근 권한 검사
c. SRM이 생성한 감사 로그를 기록
d. 보안 서브시스템(Security Subsystem)이라고 불림

• 1
   a, b
• 2
   b, c, d
• 3
   a, c, d
• 4
   a, b, c, d

20. 리눅스 시스템에서 FTP에 대한 불법적인 접속을 감시하기 위해 로그를 검토하고자 한다. 어떤 로그를 보는 것이 가장 적절한지 고르시오.

• 1
   sulog
• 2
   wtmp
• 3
   utmp
• 4
   xferlog

21. 스위치 장비를 대상으로 행해지는 침해 행위가 아닌것은?

• 1
   ICMP Redirect
• 2
   Switch Jamming
• 3
   ARP Broadcast
• 4
   IP Spoofing

22. 다음 포트스캔 방법들 중 포트가 닫혀있을 때 동작이 다른 스캔방법은?

• 1
   SYN Scan
• 2
   Xmas Scan
• 3
   Null Scan
• 4
   FIN Scan

23. 공격대상이 방문할 가능성이있는 합법적인 웹 사이트를 미리 감염시키고 잠복하고 있다가 공격대상이 방문하면 악성코드를 감염시키는 공격 방법은?

• 1
   파밍
• 2
   워터링 홀
• 3
   스피어 피싱
• 4
   DNS 스푸핑

24. 리눅스 시스템에서 rlogin를 통합 접근을 허용하는 호스트를 설정하는 파일은?

• 1
   /etc/hosts.equiv
• 2
   /etc/allow
• 3
   /etc/hosts.allow
• 4
   /etc/rlogin.allow

25. 다음 중 인터넷 프로토콜(IP)에서 TTL을 사용하는 가장 큰 이유는 무엇인가?

• 1
   혼잡 제어
• 2
   응답 시간 감소
• 3
   무한루프 방지
• 4
   오류 제어

26. 중앙집중관리 방식의 강제적 접근 통제(MAC)에 대한 장점으로 옳지 않은 것은?

• 1
   규칙이 단순해 관리가 용이하다.
• 2
   중앙에서 강력하게 통제할 수 있다.
• 3
   이직률이 높은 회사에 유리하다.
• 4
   개인, 데이터별로 명확한 보안등급을 가진다.

27. 포트 스캔 방식 중 TCP 플래그 값을 모두 off로 설정한 패킷을 이용한 스캔 기법은?

• 1
   SYN Scan
• 2
   Xmas Scan
• 3
   Null Scan
• 4
   FIN Scan

28. 4000바이트의 ICMP 데이터를 포함한 TCP 패킷이 MTU가 1500인 네트워크를 통해 전송될 때 세번째 패킷의 크기는?

• 1
   헤더 40, ICMP 데이터 1048byte
• 2
   헤더 40, ICMP 데이터 1056byte
• 3
   헤더 20, ICMP 데이터 1048byte
• 4
   헤더 20 ICMP 데이터 1056byte

29. VLAN에 대한 설명이다. 순서대로 나열한 것은?

VLAN이란 (     ) 트래픽을 제한하여 불필요한 트래픽을 차단하기 위한 (     ) LAN이다. 스위치는 허브처럼 한 포트에서 발생한 데이터를 전 포트에 전달하지 않기 때문에 스위치에 흐르는 데이터를 분석하려면 허브와는 달리 (       ) 기능을 사용해야한다.

• 1
   멀티캐스팅, 논리적인, Port Mirroring
• 2
   멀티캐스팅, 물리적인, Port Filtering
• 3
   브로드캐스팅, 물리적인, Port Filtering
• 4
   브로드캐스팅, 논리적인, Port Mirroring

30. 아래 보기의 명령과 가장 관련있는 서비스 거부 공격은?

hping q.fran.kr -a 10.10.10.5 --icmp --flood

• 1
   Ping of Death
• 2
   Land Attack
• 3
   Teardrop
• 4
   Smurf

31. 스위칭 환경에서 스니핑을 하기 위한 공격과 가장 거리가 먼 것은?

• 1
   DNS Spoofing
• 2
   ARP Broadcast
• 3
   ARP Jamming
• 4
   Switch Jamming

32. 3계층에서 전송 시 기밀성을 보장하는 매커니즘을 적용하여 공중망에서 마치 사설망을 이용하는 것과 유사한 효과를 얻기 위한 기술은?

• 1
   L2TP VPN
• 2
   PPTP VPN
• 3
   IPsec VPN
• 4
   SSL VPN

33. 아래와 같은 방화벽 정책이 적용되어 있을 때, 다음 보기 중 옳지 않은 것은?

A: 15.10.12.0/24 -> 168.30.22.0/24 거부
B: 192.20.0.0/16 -> 168.15.0.0/16 허용
C: any -> any 거부

• 1
   출발지 15.10.12.2로 부터 도착지 168.30.22.11로 가는 패킷은 A 정책에 의해 거부된다.
• 2
   출발지 15.10.22.2로 부터 도착지 168.15.0.4로 가는 패킷은 B 정책에 의해 허용된다.
• 3
   출발지 192.20.5.11로 부터 도착이 162.15.43.7로 가는 패킷은 B 정책에 의해 허용된다.
• 4
   A, B 정책에 포함되지 않는 다른 모든 전송은 C 정책에 의해 차단된다.

34. 공인인증서의 유효성을 검사하는 OCSP와 CRL에 대한 설명으로 옳지 않은 것은?

• 1
   OCSP는 인증서 폐기시 실시간으로 반영된다.
• 2
   CRL은 제한된 네트워크 환경에서 사용하기 유리하다.
• 3
   CRL은 CA를 통해서 서비스된다.
• 4
   OCSP는 Batch형태로 동기화 비용이 들지 않는다.

35. 다음 중 리눅스 시스템의 TCP Wrapper에서 제공하는 기능이 아닌 것은?

• 1
   로깅
• 2
   포트 접근통제
• 3
   IP기반 접근통제
• 4
   네트워크 서비스 기반 통제

36. 스위치 장비가 동작하는 방식 중 전체 프레임을 모두 받고 오류 검출 후 전달하는 방식은?

• 1
   Cut-through 방식
• 2
   Fragment-Free 방식
• 3
   Direct Switching 방식
• 4
   Store and Forward 방식

37. 리눅스 환경에서 의심으로운 접근기록이 확인되어 로그인 실패 기록을 살펴보려고 한다. 어떤 로그 파일을 참조하는 것이 가장 적절한가?

• 1
   pacct
• 2
   wtmp
• 3
   btmp
• 4
   utmp

38. 사내 네트워크 보안 실태를 점검하고자 한다. 다음 중 가장 옳지 않은 내용은?

• 1
   전송 정보의 신뢰성 확보를 위해 UDP보단 TCP를 사용한다.
• 2
   서비스 안정성을 위해 IPS보다 IDS를 사용할 수 있다.
• 3
   웹서비스를 운영하는 경우 WAF를 설치한다.
• 4
   강한 보안 통제를 위해 화이트리스트 방식 보단 블랙리스트 방식을 사용한다.

39. 보안 위협과 공격에 대한 설명 중 옳지 않은 것은?

• 1
   분산 반사 서비스 거부 공격(DRDoS : Distributed Reflection DoS)은 DDoS의 발전된 공격 기술로서 공격 자의 주소를 위장하는IP Spoofing 기법과 실제 공격을 수행하는 좀비와 같은 감염된 반사체 시스템을통한 트래픽 증폭 기법을 이용한다.
• 2
   봇넷을 이용한 공격은 봇에 의해 감염된 다수의 컴퓨터가좀비와 같이 C&C 서버를 통해 전송되는 못 마스터의 명령에 의해공격이 이루어지므로 공격자 즉 공격의 진원지를 추적하는데 어려움이 있다.
• 3
   Smurf 공격은 ICMP Flooding 기법을 이용한 DoS 공격으로 Broadcast address 주소의 동작특성과 IP Spoofing 기법을 악용하고 있다.
• 4
   XSS(Cross-Site Scripting) 공격은 공격 대상 사용자가이용하는 컴퓨터 시스템의 브라우저 등에서 악성코드가 수행되도록 조작하여사용자의 쿠키 정보를 탈취, 세션 하이재킹과 같은 후속 공격을 가능하게 한다.

40. TCP/IP의 4계층에 해당하지 않는 것은?

• 1
   인터넷 계층
• 2
   전송 계층
• 3
   응용 계층
• 4
   물리 계층

41. 다음은 어떤 공격에 대한 설명인가?

공격자는 보안이 취약한 사이트를 공격하여 암호화되지 않은 아이디와 비밀번호를 취득했다. 공격자는 이 아이디 비밀번호를 인터넷 뱅킹에 그대로 입력하여 피해자의 금융정보에 접근할 수 있었다. 취약한 웹사이트에 무분별하게 가입하고 모든 사이트의 아이디 비밀번호를 동일하게 사용할 경우 이 공격에 노출되기 쉽다.

• 1
   무차별 대입 공격
• 2
   크로스 사이트 스크립팅
• 3
   크리덴셜 스터핑
• 4
   로그인 우회 기법

42. DoS 공격엔 다양한 종류가 있다. 다음 중 웹서버 운영체제(OS) 자원을 고갈시키는 DoS는 무엇인가?

• 1
   Syn Flooding
• 2
   GET Flooding
• 3
   Teardrop
• 4
   Syn Cookie

43. 다음 중 아파치 로그 분석 방법으로 가장 적절하지 않은 것은?

• 1
   하루에 같은 파일이 여러번 호출되었을 경우 분석
• 2
   없는 페이지 경로가 자주 호출되는 경우 분석
• 3
   클라이언트 IP, 접속시간 등을 종합적으로 고려
• 4
   PUT 메소드로의 접근 분석

44. 다음은 SET에서 사용하는 보안 메커니즘을 설명한 것이다. 다음의 내용에 해당하는 것은 무엇인가?

고객의 결제정보가 판매자를 통하여 해당 지급정보중계기관(PG)으로 전송됨에따라 고객의 결제정보가 판매자에게 노출될 가능성과 판매자에 의한 결제 정보의 위·변조의 가능성이 있으므로, 판매자에게 결제정보를 노출시키지 않으면서도 판매자가 해당 고객의 정당성 및 구매내용의 정당성을 확인 할 수 있고 PG는 판매자가 전송한 결제요청이 실제고객이 의뢰한 전문인지를 확인할 수 있도록 하였다.

• 1
   전자서명
• 2
   이중서명
• 3
   은닉서명
• 4
   비밀서명

45. FTP는 Active 모드와 Passive 모드를 지원한다. Passive 모드를 사용한다면 예상되는 가장 적절한 이유는 무엇인가?

• 1
   Passive 모드가 전송속도가 더 우수하기 때문에
• 2
   서버에서 20, 21포트를 사용하기 위해
• 3
   Passive 모드에서 지원되는 암호화 기능 때문에
• 4
   Active 모드는 Client에서 방화벽 차단 시 사용 불가하므로

46. 해커가 리눅스 시스템을 해킹하여 백도어 프로그램을 설치하였다. 만약 시스템이 재시작되어도 본인이 설치한 프로그램이 실행되도록 하고 싶다면 다음중 어떤 파일에 접근해야 하는가?

• 1
   resolv
• 2
   hosts
• 3
   crontab
• 4
   rc.d/rc.local

47. FTP 전송모드에 대한 설명으로 옳은것은?

• 1
   디폴트는 active 모드이며, passive 모드로의 변경은 FTP 서버가 결정한다.
• 2
   디폴트는 active 모드이며, passive 모드로의 변경은 FTP 클라이언트가 결정한다.
• 3
   디폴트는 passive 모드이며, active 모드로의 변경은 FTP 서버가 결정한다.
• 4
   디폴트는 passive 모드이며, active 모드로의 변경은 FTP 클라이언트가 결정한다.

48. 다음 설명하고 있는 보안 전자우편시스템 프로토콜은?

ㅇ RSA Data Security, INC 개발
ㅇ 전자우편 메세지 표준 기반
ㅇ 다양한 상용툴킷
ㅇ X.509 지원

• 1
   PEM
• 2
   MIME
• 3
   S/MIME
• 4
   PGP

49. 다음은 FTP 로그를 조회한 결과이다. 틀린 설명을 고르시오.

Thu May 17 11:54:41 2018 6 q.fran.kr 1234567 /home/user/test1.mp3 b _ i r itwiki ftp 0 * c 

• 1
   itwiki 는 사용자 계정이다.
• 2
   1234567은 파일 크기이다.
• 3
   b는 바이너리 파일이 전달되었음을 나타낸다.
• 4
   c는 전송이 중도 취소되었음을 나타낸다.

50. 문자열 단위로 문자열의 일치 여부(참/거짓) 값 만을 반환받는 과정을 수없이 반복하여 테이블 정보나 데이터 값을 추출해내는 공격법은?

• 1
   SQL injection
• 2
   Blind SQL injection
• 3
   Mass SQL injection
• 4
   Union SQL injection

51. 다음 사항들 중 웹 서비스에 대한 취약점의 조치사항과 가장 거리가 먼 것은?

• 1
   폐쇄형 사이트로 운영
• 2
   해외 IP차단
• 3
   쿠키의 활용
• 4
   세션 정당성 검증

52. 다음에서 설명하는 취약점(또는 공격 메커니즘)은 무엇인가?

공유 자원에 대해 여러 개의 프로세스가 동시에 접근을 시도할 때 접근의 타이밍이나 순서 등이 결과값에 영향을 줄 수 있는 상태로, 프로세스 간의 자원 경쟁을 유발하여 권한을 획득하는 기법으로 활용된다

• 1
   Drive by download
• 2
   Exploit
• 3
   Race Condition
• 4
   Buffer Overflow

53. 다음 보기 중 오용 탐지(Misuse Detection) 방법과 관련된 설명으로 옳은 것을 2개 고르시오.

a. 통계적 분석이나 신경망 모델을 이용한다.
b. 이미 알려진 패턴을 기반으로 하므로 오탐률이 낮다.
c. 정상적인 행위와 비교해서 비정상적인 행위를 탐지한다.
d. 새로운 공격에 대응이 어려운 단점이 있다.

• 1
   a, c
• 2
   a, d
• 3
   b, d
• 4
   c, d

54. 다음 사항들 중 재전송 공격 방지 대책으로 보기 어려운 것은?

• 1
   해시함수의 사용
• 2
   1씩 증가하는 순서번호 사용
• 3
   타임스탬프 사용
• 4
   일회용 nonce 비표 사용

56. 다음 중 CSRF 취약점의 특징이 아닌 것은?

• 1
   특정 소수가 아닌 불특정 다수를 대상으로 한다.
• 2
   원래 의도된 기능이 아닌, 데이터 변경, 삭제등이 가능해진다.
• 3
   XSS에서 진보한 공격이라고 보는 의견이 있다.
• 4
   XSS는 서버에서, CSRF는 클라이언트에서 악성 코드가 실행된다.

58. 다음 중 SSL에 대한 설명으로 옳지 않은 것은?

• 1
   넷스케이프사에서 처음 개발하였다.
• 2
   TFTP, FTP, SYSLOG 등에 주로 사용된다.
• 3
   SSL은 기본적으로 443번 포트를 사용한다
• 4
   SSL이 적용된 웹사이트는 https:// 로 접속한다.

59. 다음 중 버퍼 오버플로우에 취약한 함수가 아닌 것은?

• 1
   strcpy
• 2
   fgets
• 3
   getbyhostname
• 4
   scanf

61. 다음은 블록 암호의 운영 모드에 관한 설명이다. 지문에서 설명하는 운영 모드는?

이전 암호 알고리즘의 출력을 암호화하여 평문과 XOR한다. 즉 평문에 대한 직접 암호화는 이루어지지 않는다. Initial Vector를 사용하지만 오류의 파급은 없다. 암호문을 동일하게 한번 더 암호화하면 복호화된다.

• 1
   ECB
• 2
   CBC
• 3
   CFB
• 4
   OFB

62. 다음 중 자동화된 위험분석도구의 특성으로 볼 수 없는 것은?

• 1
   일반적인 위험 분석 요구사항과 절차를 자동화한 도구를 말한다.
• 2
   인력만으로 분석하는 것에 비해 시간과 비용을 감소시킬 수 있다.
• 3
   인적 분석에 비해 실수로 인한 오차 줄일수 있어 신뢰도가 높다.
• 4
   분석에 필요한 입력값을 정확히 넣지 않으면 잘못된 결과가 도출된다.

63. 단순 치환 암호를 분석하고자 한다. 가장 간편하고 효과적인 방법은?

• 1
   선형 공격
• 2
   차분 공격
• 3
   전수 공격
• 4
   통계적 분석

65. 다음에서 설명하는 접근통제 모델로 알맞은 것은?

미 국방부 지원 보안 모델로 보안 요소 중 기밀성을 강조한 모델이다. 최초의 수학적 모델로 강제적 정책에 의해 접근을 통제한다. 보안 정책은 정보가 높은 레벨에서 낮은 레벨로 흐르는 것을 방지하며 No Read Up, No Write Down으로 표현된다.

• 1
   비바 모델
• 2
   벨-라파툴라 모델
• 3
   만리장성 모델
• 4
   클락윌슨 모델

66. 전자상거래에서 이용자간 안전한 거래를 위한 방법으로, 아래 지문에서 설명하는 방식을 무엇이라 하는가?

중개 업체에서 구매자의 대금을 받아서 보관하고 있다가 판매자가 물건을 발송하고 구매자가 물건을 정상적으로 수령한 경우 판매자에게 대금을 지급한다. 이 과정에서 일정량의 수수료를 수취한다.

• 1
   Escrow
• 2
   PG
• 3
   ZeroPay
• 4
   SET

67. ISMS-P에 대한 설명으로 옳지 않은 것은?

• 1
   한국인터넷진흥원에서 제도 운영을 담당한다.
• 2
   3개 분류에서 총 102개 항목을 심사한다.
• 3
   인증심사기관 지정 유효기간은 5년이며, 6개월 전에 갱신 신청을 해야 한다.
• 4
   ISMS-P가 아닌 ISMS만 취득하고자 할 경우 일부 항목에 대한 평가는 생략된다.

68. 암호화 등에 사용되는 해시는 동일한 출력을 산출하는 서로 다른 두 입력을 계산적으로 찾기가 어려워야 한다. 이러한 특성을 무엇이라 부르는가?

• 1
   일방향성
• 2
   해시 무결성
• 3
   역상 저항성
• 4
   충돌 저항성

69. 다음 보기 중 인증 방식과 그에 대한 예시가 잘못 연결된 것은?

• 1
   존재 기반 : 지문, OTP
• 2
   소유 기반 : 스마트카드, 신분증
• 3
   지식 기반: 패스워드, ID
• 4
   위치기반: IP, 콜백함수

70. 다음 보기 중 [Active Attack] - [Passive Attack]으로 짝지어진 것은?

• 1
   트래픽 분석 - 도청
• 2
   데이터 삭제 - 데이터 삽입
• 3
   메시지 변조 - 트래픽 분석
• 4
   도청 - 메시지 변조

71. 방송통신위원회에서 바이오정보 보호 가이드라인을 발간하였다. 가이드라인과 내용과 다른 것을 2가지 고르시오.

a. 루팅이나 탈옥 등 모바일 취약점에 대비하기 위해 바이오 샘플은 안전한 하드웨어 장치에 보관하여야 한다. 
b. 생체정보 인증 실패는 횟수 제한을 두지 말고, 비밀번호에 실패 횟수 제한을 둬야 한다.
c. 바이오인증 성능 지표인 FAR의 충족 기준 비율은 5%미만이다.
d. 스마트폰 기기에서 바이오인증 취약점이 발견되는 즉시 대응해야 한다.

• 1
   a, b
• 2
   b, c
• 3
   c, d
• 4
   a, d

72. 다음 중 DRM(Digital Rights Management)에 관한 설명 중 틀린 것은?

• 1
   디지털 자산을 보호하는 기술로, 대표적으로 문서를 암호화하는 기술이 포함된다.
• 2
   전자문서, 음악, SW, E-Book 등 모든 전자적 형태의 컨텐츠가 보호 대상에 포함된다.
• 3
   인가된 사용자만 접근할 수 있도록 자산을 암호화하거나 접근 통제를 적용한다.
• 4
   과거의 IP기반 접근통제가 확장되어 MAC 주소 기반으로 접근제어가 이루어진다.

73. 네트워크 접속 시 단말의 보안정책 준수 여부 등을 검사하여 접속 허용 여부 등을 관리하는 단말 보안 솔루션은?

• 1
   NAC
• 2
   DLP
• 3
   NAT
• 4
   WAF

74. 키 분배 문제를 해결할 수 있는 방법에 해당하지 않는 것은?

• 1
   키 배포 센터에 의한 해결
• 2
   디피-헬만 키 교환 방법에 의한 해결
• 3
   전자서명에 의한 해결
• 4
   공개키 암호에 의한 해결

75. 다음 중 전자상거래 보안과 가장 관련이 적은 것은?

• 1
   ebXML
• 2
   SET
• 3
   OAuth
• 4
   EMV

76. 암호문에 대응하는 평문 일부를 사용하는 암호 공격 방법은?

• 1
   암호문 단독 공격
• 2
   기지 평문 공격
• 3
   선택 평문 공격
• 4
   선택 암호문 공격

77. 메시지의 무결성 보장과 송신자에 대한 인증을 목적으로 공유 비밀키와 메시지로부터 만들어지는 것은?

• 1
   의사 난수
• 2
   메시지 인증 코드
• 3
   해시
• 4
   인증서

79. 한 번의 인증으로 모든 시스템에 로그인되도록 할 경우 해당 인증이 침해될 경우 모든 시스템이 위험해지는 단점이 있다. 이러한 취약성을 무엇이라고 하는가?

• 1
   SPF(Single Point of Failure)
• 2
   SSO(Single Sign On)
• 3
   OSMU(One Source Multi Use)
• 4
   Credential Stuffing

80. 공개키 암호화 구조에서 송신자는 수신자에게 정보를 암호화하여 전송하기 위해 어떤 암호를 사용해야 하는가?

• 1
   송신자의 공개키
• 2
   송신자의 개인키
• 3
   수신자의 공개키
• 4
   수신자의 개인키

81. 다음중 기술적 보호조치와 가장 거리가 먼 것은?

• 1
   인증된 사람만 시스템에 접근 가능하도록 접근권한을 설정하고 관리한다.
• 2
   위탁, 외주개발에 따라 발생할 수 있는 위험을 미리 분석하고 규정을 정비한다.
• 3
   인가되지 않은 보조저장매체를 사용할 수 없도록 차단한다.
• 4
   해킹 등 침해사고 발생 위험을 분석하고 그에 따른 대응방안을 마련해놓는다.

82. 다음 중 정보통신기반보호위원회의 역할이 아닌 것은?

• 1
   주요정보통신기반시설 지정 및 취소
• 2
   주요정보통신기반시설 보호 계획 조정
• 3
   주요정보통신기반시설 관련 제도 개성
• 4
   주요정보통신기반시설 정보보호 대책 수립

83. 다음 중 공인인증서의 폐지 사유가 아닌 것은?

• 1
   가입자 또는 그 대리인이 공인인증서의 폐지를 신청한 경우
• 2
   공인인증서의 유효기간이 경과한 경우
• 3
   가입자가 사위 기타 부정한 방법으로 공인인증서를 발급받은 사실을 인지한 경우
• 4
   가입자의 전자서명생성정보가 분실ㆍ훼손 또는 도난ㆍ유출된 사실을 인지한 경우

84. 다음 중 취약점 분석이 가능한 기관으로 가장 거리가 먼 곳은?

• 1
   한국정보화진흥원
• 2
   정보공유분석센터
• 3
   지식정보컨설팅업체
• 4
   한국전자통신연구원

85. 다음 중 정보공유분석센터에 대한 설명 중 옳지 않은 것은?

• 1
   정보통신기반보호법에 근거하여 역할을 가진다.
• 2
   해킹 시도나 바이러스에 대한 정보를 수집하여 분석한다.
• 3
   여러 참가기관 간 정보를 연계하거나 공유한다.
• 4
   정보통신분야는 KISA, 금융분야는 금융보안원이 수행한다.

86. 다음 중 정량적 위험분석 기법으로 보기 어려운 것은?

• 1
   과거자료분석법
• 2
   수학공식접근법
• 3
   확률분포법
• 4
   델파이법

87. 디지털 포렌식에 관하여 아래 지문에서 설명하는 것은?

증거물 수집부터 제출(증거획득 → 이송 → 분석 → 보관 → 법정제출)까지의 각 단계에서 담당자 및 책임자를 명확히 해야 한다.

• 1
   재현의 원칙
• 2
   독수 독과 이론
• 3
   연계 보관성의 법칙
• 4
   무결성의 원칙

88. 다음 중 위험의 3요소에 해당하지 않는 것은?

• 1
   자산
• 2
   취약점
• 3
   위협
• 4
   정책

89. 다음 지문에 해당하는 위험관리 방법으로 옳은 것은?

정보보호 점검 과정에서 기업내 자료 전송간 유출 위험이 탐지되었다. 이에 암호화 솔루션을 구매하여 전송 구간을 암호화하였다.

• 1
   위험 수용
• 2
   위험 감소
• 3
   위험 회피
• 4
   위험 전가

90. 다음 중 개인정보 처리방침에 의무적으로 포함되어야 할 내용이 아닌 것은?

• 1
   개인정보 처리 및 보유 기간
• 2
   개인정보 침해 시 구제 방안
• 3
   개인정보의 제3자 제공에 관한 사항
• 4
   개인정보 보호책임자 및 조직 정보

91. 정보보호 대책 마련과 관련된 절차이다. 올바른 순서대로 나열한 것은?

ㄱ. 위험관리
ㄴ. 경영진 책임 및 조직 구성
ㄷ. 사후관리
ㄹ. 정보보호대책 수립
ㅁ. 정책 수립 및 범위 설정

• 1
   ㄱ-ㄴ-ㄷ-ㄹ-ㅁ
• 2
   ㄴ-ㄱ-ㄹ-ㅁ-ㄷ
• 3
   ㄷ-ㄱ-ㄴ-ㅁ-ㄹ
• 4
   ㅁ-ㄴ-ㄱ-ㄹ-ㄷ

92. 클라우드 시스템 운영 중 사고가 발생하였다. 다음 대응 방법 중 틀린 내용은?

• 1
   개인정보가 유출되었음을 알게 되었을 경우 지체없이 해당 정보주체에게 알린다.
• 2
   1천명 이상의 개인정보가 노출된 경우 통지 및 조치 결과를 개인정보보호위원회에 신고한다.
• 3
   개인정보처리시스템의 예기치 않은 시스템 중단이 발생한 경우 한국인터넷진흥원에 보고한다.
• 4
   중대한 침해사고가 발생할 경우 과학기술정보통신부장관에게 지원을 요청할 수 있다.

93. 다음은 정보통신망법과 관련법률간 관계에 대한 설명이다. 아래 빈칸에 들어갈 말을 바르게 나열한 것은?

ㅇ 정보통신망 이용촉진 및 정보보호등에 관하여는 다른 법률에서 특별히 규정된 경우 외에는 이 법으로 정하는 바에 따른다. 
ㅇ 만약 통신과금서비스에 관하여 이 법과 ( A )의 적용이 경합하는 때에는 ( B )을 우선 적용한다. 
ㅇ ( C )의 개정에 따라 개인정보 보호에 관련한 조항은 본 법에서 삭제되었다.

• 1
   전자상거래법 - 전자상거래법 - 정보화진흥법
• 2
   전자상거래법 - 정보통신망법 - 개인정보 보호법
• 3
   전자금융거래법 - 전자금융거래법 - 정보화진흥법
• 4
   전자금융거래법 - 정보통신망법 - 개인정보 보호법

94. 개인정보 보호책임자와 관련된 설명이다. 옳지 않은 것을 고르시오.

• 1
   개인정보 보호책임자는 기업의 임원이 수행함이 원칙이다.
• 2
   개인정보 보호책임자를 별도로 지정하지 않으면 정보보호 최고책임자가 개인정보 보호책임자가 된다.
• 3
   임원이 없는 기업의 경우 관련 부서장이 개인정보 보호책임자로 임명될 수 있다.
• 4
   개인정보 보호책임자는 정당한 업무 수행에 따른 불이익을 받지 않는다.

95. 다음 중 개인정보 보호 관련 법제에서 개인정보 제공 정보주체의 권리로 가장 거리가 먼 것은?

• 1
   개인정보의 처리에 관한 정보를 제공받을 권리
• 2
   개인정보의 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리
• 3
   개인정보의 처리로 인하여 발생한 피해를 신속하고 공정한 절차에 따라 구제받을 권리
• 4
   개인정보 활용으로 얻은 금전적 이익에 대한 보상을 청구할 권리

96. 다음 중 전자서명법에서 정의한 용어와 다른 것은?

• 1
   전자문서: 전자적 형태로 작성되어 송신 또는 수신되거나 저장된 정보
• 2
   전자서명: 서명자가 전자문서에 서명을 하였음을 나타내기 위하여 전자문서에 첨부되거나 논리적으로 결합된 전자적 형태의 정보
• 3
   검증정보: 전자서명을 생성하기 위하여 이용하는 전자적 정보
• 4
   공인인증업무: 공인인증서의 발급, 인증관련 기록의 관리등 공인인증역무를 제공하는 업무

97. 재해 및 재난에 대비하기 위한 설비 중 전산센터와 동일한 설비와 자원을 보유하며, 데이터를 동기화 받으며 항상 stand-by 상태로 있다가 유사 시 수 시간 이내에 전환 가능한 설비는?

• 1
   핫 사이트
• 2
   웜 사이트
• 3
   콜드 사이트
• 4
   미러 사이트

98. 개인정보 영향평가 시 반드시 고려해야 할 사항이 아닌 것은?

• 1
   처리하는 개인정보의 수
• 2
   개인정보의 제3자 제공 여부
• 3
   정보주체의 권리를 해할 가능성 및 그 위험 정도
• 4
   개인정보 수탁자에 대한 관리 감독

99. 다음 중 데이터베이스와 관련된 조직 구성원들의 역할로 가장 옳지 못한 것은?

• 1
   최고 경영자 또는 최고 정보보호 책임자가 보안의 최종 책임을 진다.
• 2
   정보보호 관리조직은 데이터 관리자에게 지침을 내리고 데이터 보안을 지원한다,
• 3
   데이터 관리조직은 민감 데이터와 일반 데이터를 분류하고, 데이터의 정확성과 무결성을 보장한다.
• 4
   정보보호위원회는 독립된 권한을 가지고 보안정책의 이행여부를 검토하고 미흡사항에 대한 조치 필요사항을 통지한다.

100. 각종 재해, 재난 및 기타 장애로부터의 피해를 최대한 경함하고 빠르게 대응 및 복구하기 위한 지침으로 아래와 같은 내용이 포함된다. 이 지침은 무엇인가?

- 재해 예방
- 대응 계획
- 복구 계획
- 모의 훈련

• 1
   재해복구 훈련 지침
• 2
   위험 관리 지침
• 3
   업무 연속성 관리 지침
• 4
   침해사고 대응 지침