1. 서비스 거부(DoS : Denial of Service) 공격 또는 분산 서비스 거부(DDoS : Distributed DoS) 공격에 대한 설명으로 옳지 않은 것은?
① TCP SYN이 DoS 공격에 활용된다.
② CPU, 메모리 등 시스템 자원에 과다한 부하를 가중시킨다.
❸ 불특정 형태의 에이전트 역할을 수행하는 데몬 프로그램을 변조하거나 파괴한다.
④ 네트워크 대역폭을 고갈시켜 접속을 차단시킨다.
2. 보안 프로토콜인 IPSec(IP Security)의 프로토콜 구조로 옳지 않은 것은?
❶ Change Cipher Spec
② Encapsulating Security Payload
③ Security Association
④ Authentication Header
3. DRM(Digital Right Management)에 대한 설명으로 옳지 않은 것은?
① 디지털 컨텐츠의 불법 복제와 유포를 막고, 저작권 보유자의 이익과 권리를 보호해 주는 기술과 서비스를 말한다.
② DRM은 파일을 저장할 때, 암호화를 사용한다.
❸ DRM 탬퍼 방지(tamper resistance) 기술은 라이센스 생성 및 발급관리를 처리한다.
④ DRM은 온라인 음악서비스, 인터넷 동영상 서비스, 전자책, CD/DVD 등의 분야에서 불법 복제 방지 기술로 활용된다.
4. 다음 설명에 해당하는 접근제어 모델은?
① 강제적 접근제어(Mandatory Access Control)
② 규칙 기반 접근제어(Rule-Based Access Control)
❸ 역할 기반 접근제어(Role-Based Access Control)
④ 임의적 접근제어(Discretionary Access Control)
5. 공개키 암호에 대한 설명으로 옳지 않은 것은?
① 공개키 인증서를 공개키 디렉토리에 저장하여 공개한다.
② 사용자가 증가할수록 필요한 비밀키의 개수가 증가하는 암호방식의 단점을 해결할 수 있다.
③ 일반적으로 대칭키 암호방식보다 암호화 속도가 느리다.
❹ n명의 사용자로 구성된 시스템에서는 개의 키가 요구된다.
6. 웹 서버 보안에 대한 설명으로 옳지 않은 것은?
❶ 웹 애플리케이션은 SQL 삽입공격에 안전하다.
② 악성 파일 업로드를 방지하기 위하여 필요한 파일 확장자만 업로드를 허용한다.
③ 웹 애플리케이션의 취약점을 방지하기 위하여 사용자의 입력 값을 검증한다.
④ 공격자에게 정보 노출을 막기 위하여 웹 사이트의 맞춤형 오류 페이지를 생성한다.
7. 개인정보 보호법 상 개인정보 유출 시 개인정보처리자가 정보 주체에게 알려야 할 사항으로 옳은 것만을 모두 고르면?
① ㄱ, ㄴ ② ㄷ, ㄹ
③ ㄱ, ㄷ ❹ ㄴ, ㄹ
8. PGP(Pretty Good Privacy)에 대한 설명으로 옳지 않은 것은?
① PGP는 전자우편용 보안 프로토콜이다.
❷ 공개키 암호 알고리즘을 사용하지 않고, 대칭키 암호화 알고리즘으로 메시지를 암호화한다.
③ PGP는 데이터를 압축해서 암호화한다.
④ 필 짐머만(Philip Zimmermann)이 개발하였다.
9. 컴퓨터 바이러스에 대한 설명으로 옳지 않은 것은?
① 트랩도어(Trapdoor)는 정상적인 인증 과정을 거치지 않고 프로그램에 접근하는 일종의 통로이다.
② 웜(Worm)은 네트워크 등의 연결을 통하여 자신의 복제품을 전파한다.
③ 트로이목마(Trojan Horse)는 정상적인 프로그램으로 가장한 악성프로그램이다.
❹ 루트킷(Rootkit)은 감염된 시스템에서 활성화되어 다른 시스템을 공격하는 프로그램이다.
10. [정보보호 관리체계 인증 등에 관한 고시] 에 의거한 정보보호 관리체계(ISMS)에 대한 설명으로 옳지 않은 것은?
❶ 정보보호관리과정은 정보보호정책 수립 및 범위설정, 경영진 책임 및 조직구성, 위험관리, 정보보호대책 구현 등 4단계 활동을 말한다.
② 인증기관이 조직의 정보보호 활동을 객관적으로 심사하고, 인증한다.
③ 정보보호 관리체계는 조직의 정보 자산을 평가하는 것으로 물리적 보안을 포함한다.
④ 정보 자산의 기밀성, 무결성, 가용성을 실현하기 위하여 관리적?기술적 수단과 절차 및 과정을 관리, 운용하는 체계이다.
11. 공격자가 자신이 전송하는 패킷에 다른 호스트의 IP 주소를 담아서 전송하는 공격은?
① 패킷 스니핑(Packet Sniffing)
② 스미싱(Smishing)
③ 버퍼 오버플로우(Buffer Overflow)
❹ 스푸핑(Spoofing)
12. 정보보호의 주요 목적에 대한 설명으로 옳지 않은 것은?
① 기밀성(confidentiality)은 인가된 사용자만이 데이터에 접근할 수 있도록 제한하는 것을 말한다.
② 가용성(availability)은 필요할 때 데이터에 접근할 수 있는 능력을 말한다.
❸ 무결성(integrity)은 식별, 인증 및 인가 과정을 성공적으로 수행했거나 수행 중일 때 발생하는 활동을 말한다.
④ 책임성(accountability)은 제재, 부인방지, 오류제한, 침입탐지 및 방지, 사후처리 등을 지원하는 것을 말한다.
13. 네트워크 각 계층별 보안 프로토콜로 옳지 않은 것은?
① 네트워크 계층(network layer) : IPSec
❷ 네트워크 계층(network layer) : FTP
③ 응용 프로그램 계층(application layer) : SSH
④ 응용 프로그램 계층(application layer) : S/MIME
14. 방화벽(firewall)에 대한 설명으로 옳지 않은 것은?
① 패킷 필터링 방화벽은 패킷의 출발지 및 목적지 IP 주소, 서비스의 포트 번호 등을 이용한 접속제어를 수행한다.
❷ 패킷 필터링 기법은 응용 계층(application layer)에서 동작하며, WWW와 같은 서비스를 보호한다.
③ NAT 기능을 이용하여 IP 주소 자원을 효율적으로 사용함과 동시에 보안성을 높일 수 있다.
④ 방화벽 하드웨어 및 소프트웨어 자체의 결함에 의해 보안상 취약점을 가질 수 있다.
15. 해시 함수(hash function)에 대한 설명으로 옳지 않은 것은?
① 임의 길이의 문자열을 고정된 길이의 문자열로 출력하는 함수이다.
② 대표적인 해시 함수는 MD5, SHA-1, HAS-160 등이 있다.
③ 해시 함수는 메시지 인증과 메시지 부인방지 서비스에 이용된다.
❹ 해시 함수의 충돌 회피성은 동일한 출력을 산출하는 서로 다른 두 입력을 계산적으로 찾기 가능한 성질을 나타낸다.
16. [정보통신기반 보호법] 에 대한 설명으로 옳지 않은 것은?
① 주요정보통신기반시설을 관리하는 기관의 장은 침해사고가 발생하여 소관 주요정보통신기반시설이 교란?마비 또는 파괴된 사실을 인지한 때에는 관계 행정기관, 수사기관 또는 한국인터넷진흥원에 그 사실을 통지하여야 한다.
② “전자적 침해행위”라 함은 정보통신기반시설을 대상으로 해킹, 컴퓨터 바이러스, 서비스 거부 또는 고출력 전자기파 등에 의한 공격행위를 말한다.
❸ 관리기관의 장은 소관분야의 정보통신기반시설 중 전자적 침해행위로부터의 보호가 필요하다고 인정되는 시설을 주요 정보통신기반시설로 지정할 수 있다.
④ 주요정보통신기반시설의 취약점 분석?평가 방법 등에 관하여 필요한 사항은 대통령령으로 정한다.
17. [개인정보 보호법] 상 공공기관에서의 영상정보처리기기 설치 및 운영에 대한 설명으로 옳지 않은 것은?
❶ 공공기관의 사무실에서 민원인의 폭언?폭행 방지를 위해 영상정보처리기기를 설치 및 녹음하는 것이 가능하다.
② 영상정보처리기기의 설치 목적과 다른 목적으로 영상정보 처리기기를 임의로 조작하거나 다른 곳을 비춰서는 안 된다.
③ 영상정보처리기기운영자는 영상정보처리기기의 설치?운영에 관한 사무를 위탁할 수 있다.
④ 개인정보 보호법 에서 정하는 사유를 제외하고는 공개된 장소에 영상정보처리기기를 설치하는 것은 금지되어 있다.
18. 국제공통평가기준(Common Criteria)에 대한 설명으로 옳지 않은 것은?
① 정보보호 측면에서 정보보호 기능이 있는 IT 제품의 안전성을 보증?평가하는 기준이다.
❷ 국제공통평가기준은 소개 및 일반모델, 보안기능요구사항, 보증요구사항 등으로 구성되고, 보증 등급은 5개이다.
③ 보안기능요구사항과 보증요구사항의 구조는 클래스로 구성된다.
④ 상호인정협정(CCRA:Common Criteria Recognition Arrangement)은 정보보호제품의 평가인증 결과를 가입 국가 간 상호 인정하는 협정으로서 미국, 영국, 프랑스 등을 중심으로 시작되었다.
19. 위험관리 요소에 대한 설명으로 옳지 않은 것은?
① 위험은 위협 정도, 취약성 정도, 자산 가치 등의 함수관계로 산정할 수 있다.
② 취약성은 자산의 약점(weakness) 또는 보호대책의 결핍으로 정의할 수 있다.
③ 위험 회피로 조직은 편리한 기능이나 유용한 기능 등을 상실할 수 있다.
❹ 위험관리는 위협 식별, 취약점 식별, 자산 식별 등의 순서로 이루어진다.
20. 다음 설명에 해당하는 컴퓨터 바이러스는?
① 오토런 바이러스(Autorun virus)
② 백도어(Backdoor)
❸ 스턱스넷(Stuxnet)
④ 봇넷(Botnet)
1. 다음에서 설명하는 공격방법은?
① 스푸핑 공격 ❷ 사회공학적 공격
③ 세션 가로채기 공격 ④ 사전 공격
2. 능동적 보안 공격에 해당하는 것만을 모두 고른 것은?
① ㄱ, ㄴ ② ㄱ, ㄷ
③ ㄴ, ㄷ ❹ ㄷ, ㄹ
3. 다음에서 설명하는 재해복구시스템의 복구 방식은?
❶ 핫 사이트(Hot Site)
② 미러 사이트(Mirror Site)
③ 웜 사이트(Warm Site)
④ 콜드 사이트(Cold Site)
4. 정보보안의 기본 개념에 대한 설명으로 옳지 않은 것은?
① Kerckhoff의 원리에 따라 암호 알고리즘은 비공개로 할 필요가 없다.
② 보안의 세 가지 주요 목표에는 기밀성, 무결성, 가용성이 있다.
❸ 대칭키 암호 알고리즘은 송수신자 간의 비밀키를 공유하지 않아도 된다.
④ 가용성은 인가된 사용자에게 서비스가 잘 제공되도록 보장하는 것이다.
5. 공개키 기반 구조(PKI : Public Key Infrastructure)의 인증서에 대한 설명으로 옳은 것만을 모두 고른 것은?
❶ ㄱ, ㄴ ② ㄱ, ㄷ
③ ㄴ, ㄷ ④ ㄷ, ㄹ
6. 위험 분석에 대한 설명으로 옳지 않은 것은?
① 자산의 식별된 위험을 처리하는 방안으로는 위험 수용, 위험 회피, 위험 전가 등이 있다.
② 자산의 가치 평가를 위해 자산구입비용, 자산유지보수비용 등을 고려할 수 있다.
③ 자산의 적절한 보호를 위해 소유자와 책임소재를 지정함으로써 자산의 책임추적성을 보장받을 수 있다.
❹ 자산의 가치 평가 범위에 데이터베이스, 계약서, 시스템 유지 보수 인력 등은 제외된다.
7. 메시지 인증 코드(MAC :Message Authentication Code)를 이용한 메시지 인증 방법에 대한 설명으로 옳지 않은 것은?
① 메시지의 출처를 확신할 수 있다.
② 메시지와 비밀키를 입력받아 메시지 인증 코드를 생성한다.
③ 메시지의 무결성을 증명할 수 있다.
❹ 메시지의 복제 여부를 판별할 수 있다.
8. 유닉스(Unix)의 로그 파일과 기록되는 내용을 바르게 연결한 것은?
❶ ㄱ, ㄴ ② ㄱ, ㄷ
③ ㄴ, ㄷ ④ ㄷ, ㄹ
9. 전송계층 보안 프로토콜인 TLS(Transport Layer Security)가 제공하는 보안 서비스에 해당하지 않는 것은?
❶ 메시지 부인 방지
② 클라이언트와 서버 간의 상호 인증
③ 메시지 무결성
④ 메시지 기밀성
10. 다음에서 설명하는 스니퍼 탐지 방법에 이용되는 것은?
① ARP ② DNS
❸ Decoy ④ ARP watch
11. 다음에 제시된 <보기 1>의 사용자 인증방법과 <보기 2>의 사용자 인증도구를 바르게 연결한 것은? (순서대로 ㄱ, ㄴ, ㄷ)
① A, B, C ② A, C, B
❸ B, A, C ④ B, C, A
12. [정보통신망 이용촉진 및 정보보호 등에 관한 법률] 상 용어의 정의에 대한 설명으로 옳지 않은 것은?
① 정보통신서비스: 전기통신사업법 제2조제6호에 따른 전기 통신역무와 이를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 것
② 정보통신망: 전기통신사업법 제2조제2호에 따른 전기통신 설비를 이용하거나 전기통신설비와 컴퓨터 및 컴퓨터의 이용 기술을 활용하여 정보를 수집?가공?저장?검색?송신 또는 수신하는 정보통신체제
❸ 통신과금서비스이용자:정보보호제품을 개발?생산 또는 유통하는 사람이나 정보보호에 관한 컨설팅 등과 관련된 사람
④ 침해사고:해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스 거부 또는 고출력 전자기파 등의 방법으로 정보통신망 또는 이와 관련된 정보시스템을 공격하는 행위를 하여 발생한 사태
13. 안드로이드 보안에 대한 설명으로 옳지 않은 것은?
① 리눅스 운영체제와 유사한 보안 취약점을 갖는다.
② 개방형 운영체제로서의 보안정책을 적용한다.
③ 응용프로그램에 대한 서명은 개발자가 한다.
❹ 응용프로그램 간 데이터 통신을 엄격하게 통제한다.
14. 개인정보 보호 인증(PIPL) 제도에 대한 설명으로 옳은 것은?
① 물리적 안전성 확보조치 심사영역에는 악성 소프트웨어 통제 심사항목이 있다.
❷ 인증절차는 인증심사 준비단계, 심사단계, 인증단계로 구성되며, 인증유지관리를 위한 유지관리 단계가 있다.
③ 개인정보 보호를 위해 관리계획 수립과 조직구축은 정보주체권리보장 심사영역에 속한다.
④ 인증을 신청할 수 있는 기관은 공공기관에 한정한다.
15. 해킹에 대한 설명으로 옳지 않은 것은?
① SYN Flooding은 TCP 연결설정 과정의 취약점을 악용한 서비스 거부 공격이다.
❷ Zero Day 공격은 시그니처(signature) 기반의 침입탐지시스템으로 방어하는 것이 일반적이다.
③ APT는 공격대상을 지정하여 시스템의 특성을 파악한 후 지속적으로 공격한다.
④ Buffer Overflow는 메모리에 할당된 버퍼의 양을 초과하는 데이터를 입력하는 공격이다.
16. 다음에서 설명하는 웹 서비스 공격은?
① 직접 객체 참조
② Cross Site Request Forgery
③ Cross Site Scripting
❹ SQL Injection
17. 사용자와 인증 서버 간 대칭키 암호를 이용한 시도-응답(Challenge-Response) 인증방식에 대한 설명으로 옳지 않은 것은?
① 재전송 공격으로부터 안전하게 사용자를 인증하는 기법이다.
② 인증 서버는 사용자 인증을 위해 사용자의 비밀키를 가지고 있다.
❸ 사용자 시간과 인증 서버의 시간이 반드시 동기화되어야 한다.
④ Response값은 사용자의 비밀키를 사용하여 인증 서버에서 전달받은 Challenge값을 암호화한 값이다.
18. 국제공통평가기준(Common Criteria)에 대한 설명으로 옳지 않은 것은?
① 국가마다 서로 다른 정보보호시스템 평가기준을 연동하고 평가결과를 상호인증하기 위해 제정된 평가기준이다.
❷ 보호 프로파일(Protection Profiles)은 특정 제품이나 시스템에만 종속되어 적용하는 보안기능 수단과 보증수단을 기술한 문서이다.
③ 평가 보증 등급(EAL : Evaluation Assurance Level)에서 가장 엄격한 보증(formally verified) 등급은 EAL7이다.
④ 보안 요구조건을 명세화하고 평가기준을 정의하기 위한 ISO/IEC 15408 표준이다.
19. [개인정보 보호법] 상 주민등록번호 처리에 대한 설명으로 옳지 않은 것은?
❶ 주민등록번호를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우, 개인인 개인정보처리자는 개인정보 보호위원회의 심의의결을 거쳐 목적 외의 용도로 이용하거나 이를 제3자에게 제공할 수 있다.
② 행정자치부장관은 개인정보처리자가 처리하는 주민등록번호가 유출된 경우에는 5억원 이하의 과징금을 부과ㆍ징수할 수 있으나, 주민등록번호가 유출되지 아니하도록 개인정보처리자가 개인정보 보호법 에 따른 안전성 확보에 필요한 조치를 다한 경우에는 그러하지 아니하다.
③ 개인정보처리자는 정보주체가 인터넷 홈페이지를 통하여 회원으로 가입하는 단계에서는 주민등록번호를 사용하지 아니하고도 회원으로 가입할 수 있는 방법을 제공하여야 한다.
④ 개인정보처리자는 주민등록번호가 분실ㆍ도난ㆍ유출ㆍ변조 또는 훼손되지 아니하도록 암호화 조치를 통하여 안전하게 보관하여야 한다.
20. 다음에서 설명하는 윈도우 인증 구성요소는?
① LSA(Local Security Authority)
❷ SRM(Security Reference Monitor)
③ SAM(Security Account Manager)
④ IPSec(IP Security)
1. 사용자 인증에 사용되는 기술이 아닌 것은?
❶ Snort
② OTP(One Time Password)
③ SSO(Single Sign On)
④ 스마트 카드
2. 보안 요소에 대한 설명과 용어가 바르게 짝지어진 것은? (순서대로 ㄱ, ㄴ, ㄷ)
① 위협, 취약점, 위험 ❷ 위협, 위험, 취약점
③ 취약점, 위협, 위험 ④ 위험, 위협, 취약점
3. 공개키 암호 알고리즘에 대한 설명으로 옳은 것은?
① Diffie-Hellman 키 교환 방식은 중간자(man-in-the-middle) 공격에 강하고 실용적이다.
❷ RSA 암호 알고리즘은 적절한 시간 내에 인수가 큰 정수의 소인수분해가 어렵다는 점을 이용한 것이다.
③ 타원곡선 암호 알고리즘은 타원곡선 대수문제에 기초를 두고 있으며, RSA 알고리즘과 동일한 안전성을 제공하기 위해서 더 긴 길이의 키를 필요로 한다.
④ ElGamal 암호 알고리즘은 많은 큰 수들의 집합에서 선택된 수들의 합을 구하는 것은 쉽지만, 주어진 합으로부터 선택된 수들의 집합을 찾기 어렵다는 점을 이용한 것이다.
4. ISO/IEC 27001의 보안 위험 관리를 위한 PDCA 모델에 대한 설명으로 옳지 않은 것은?
① IT기술과 위험 환경의 변화에 대응하기 위하여 반복되어야 하는 순환적 프로세스이다.
② Plan 단계에서는 보안 정책, 목적, 프로세스 및 절차를 수립한다.
③ Do 단계에서는 수립된 프로세스 및 절차를 구현하고 운영한다.
❹ Act 단계에서는 성과를 측정하고 평가한다.
5. 메시지의 무결성을 검증하는 데 사용되는 해시와 메시지 인증코드(MAC)의 차이점에 대한 설명으로 옳은 것은?
❶ MAC는 메시지와 송?수신자만이 공유하는 비밀키를 입력받아 생성되는 반면에, 해시는 비밀키 없이 메시지로부터 만들어진다.
② 해시의 크기는 메시지 크기와 무관하게 일정하지만, MAC는 메시지와 크기가 같아야 한다.
③ 메시지 무결성 검증 시, 해시는 암호화되어 원본 메시지와 함께 수신자에게 전달되는 반면에, MAC의 경우에는 MAC로부터 원본 메시지 복호화가 가능하므로 MAC만 전송하는 것이 일반적이다.
④ 송?수신자만이 공유하는 비밀키가 있는 경우, MAC를 이용하여 메시지 무결성을 검증할 수 있으나 해시를 이용한 메시지 무결성 검증은 불가능하다.
6. DMZ(demilitarized zone)에 대한 설명으로 옳은 것만을 고른 것은?
① ㄱ, ㄷ ② ㄴ, ㄷ
❸ ㄴ, ㄹ ④ ㄱ, ㄹ
7. [정보통신망 이용촉진 및 정보보호 등에 관한 법률] 상 정보통신 서비스 제공자가 이용자의 개인정보를 이용하려고 수집하는 경우 이용자들에게 알리고 동의를 받아야 하는 내용이 아닌 것은?
① 개인정보의 수집?이용 목적
② 수집하는 개인정보의 항목
③ 개인정보의 보유?이용 기간
❹ 개인정보 처리의 위탁기관명
8. 임의접근제어(DAC)에 대한 설명으로 옳지 않은 것은?
❶ 사용자에게 주어진 역할에 따라 어떤 접근이 허용되는지를 말해주는 규칙들에 기반을 둔다.
② 주체 또는 주체가 소속되어 있는 그룹의 식별자(ID)를 근거로 객체에 대한 접근을 승인하거나 제한한다.
③ 소유권을 가진 주체가 객체에 대한 권한의 일부 또는 전부를 자신의 의지에 따라 다른 주체에게 부여한다.
④ 전통적인 UNIX 파일 접근제어에 적용되었다.
9. 식별된 위험에 대처하기 위한 정보보안 위험 관리의 위험 처리 방안 중, 불편이나 기능 저하를 감수하고라도, 위험을 발생시키는 행위나 시스템 사용을 하지 않도록 조치하는 방안은?
❶ 위험 회피 ② 위험 감소
③ 위험 수용 ④ 위험 전가
10. Bell-LaPadula 보안 모델의 *-속성(star property)이 규정하고 있는 것은?
① 자신과 같거나 낮은 보안 수준의 객체만 읽을 수 있다.
② 자신과 같거나 낮은 보안 수준의 객체에만 쓸 수 있다.
③ 자신과 같거나 높은 보안 수준의 객체만 읽을 수 있다.
❹ 자신과 같거나 높은 보안 수준의 객체에만 쓸 수 있다.
11. 버퍼 오버플로우에 대한 설명으로 옳지 않은 것은?
❶ 프로세스 간의 자원 경쟁을 유발하여 권한을 획득하는 기법으로 활용된다.
② C 프로그래밍 언어에서 배열에 기록되는 입력 데이터의 크기를 검사하지 않으면 발생할 수 있다.
③ 버퍼에 할당된 메모리의 경계를 침범해서 데이터 오류가 발생하게 되는 상황이다.
④ 버퍼 오버플로우 공격의 대응책 중 하나는 스택이나 힙에 삽입된 코드가 실행되지 않도록 하는 것이다.
12. 침입탐지시스템(IDS)에서 알려지지 않은 공격을 탐지하는 데 적합한 기법은?
① 규칙 기반의 오용 탐지
❷ 통계적 분석에 의한 이상(anomaly) 탐지
③ 전문가 시스템을 이용한 오용 탐지
④ 시그니처 기반(signature based) 탐지
13. [전자서명법] 상 공인인증기관이 발급한 공인인증서의 효력 소멸 또는 폐지의 사유에 해당하지 않는 것은?
① 공인인증서의 유효기간이 경과한 경우
❷ 가입자의 전자서명검증정보가 유출된 경우
③ 공인인증기관이 가입자의 사망?실종선고 또는 해산 사실을 인지한 경우
④ 가입자 또는 그 대리인이 공인인증서의 폐지를 신청한 경우
14. 가상사설망(VPN)에 대한 설명으로 옳지 않은 것은?
① 공중망을 이용하여 사설망과 같은 효과를 얻기 위한 기술로서, 별도의 전용선을 사용하는 사설망에 비해 구축비용이 저렴하다.
② 사용자들 간의 안전한 통신을 위하여 기밀성, 무결성, 사용자 인증의 보안 기능을 제공한다.
❸ 네트워크 종단점 사이에 가상터널이 형성되도록 하는 터널링 기능은 SSH와 같은 OSI 모델 4계층의 보안 프로토콜로 구현해야 한다.
④ 인터넷과 같은 공공 네트워크를 통해서 기업의 재택근무자나 이동 중인 직원이 안전하게 회사 시스템에 접근할 수 있도록 해준다.
15. ISO/IEC 27002 보안 통제의 범주에 대한 설명으로 옳지 않은 것은?
① 보안 정책:비즈니스 요구사항, 관련 법률 및 규정을 준수하여 관리 방향 및 정보 보안 지원을 제공
❷ 인적 자원 보안:조직 내의 정보 보안 및 외부자에 의해 사용되는 정보 및 자원 관리
③ 자산 관리:조직의 자산에 대한 적절한 보호를 성취하고 관리하며, 정보가 적절히 분류될 수 있도록 보장
④ 비즈니스 연속성 관리:비즈니스 활동에 대한 방해에 대처하고, 중대한 비즈니스 프로세스를 정보 시스템 실패 또는 재난으로 부터 보호하며, 정보 시스템의 시의 적절한 재개를 보장
16. OWASP(The Open Web Application Security Project)에서 발표한 2013년도 10대 웹 애플리케이션 보안 위험 중 발생 빈도가 높은 상위 3개에 속하지 않는 것은?
① Injection
② Cross-Site Scripting
❸ Unvalidated Redirects and Forwards
④ Broken Authentication and Session Management
17. 전자우편의 보안 강화를 위한 S/MIME(Secure/Multipurpose Internet Mail Extension)에 대한 설명으로 옳은 것은?
① 메시지 다이제스트를 수신자의 공개키로 암호화하여 서명한다.
② 메시지를 대칭키로 암호화하고 이 대칭키를 발신자의 개인키로 암호화한 후 암호화된 메시지와 함께 보냄으로써 전자우편의 기밀성을 보장한다.
③ S/MIME를 이용하면 메시지가 항상 암호화되기 때문에 S/MIME 처리 능력이 없는 수신자는 전자우편 내용을 볼 수 없다.
❹ 국제 표준 X.509 형식의 공개키 인증서를 사용한다.
18. 국내 정보보호관리체계(ISMS)의 관리 과정 5단계 중 위험 관리 단계의 통제항목에 해당하지 않는 것은?
① 위험 관리 방법 및 계획 수립
② 정보보호 대책 선정 및 이행 계획 수립
❸ 정보보호 대책의 효과적 구현
④ 위험 식별 및 평가
19. 공개키 기반 전자서명에서 메시지에 서명하지 않고 메시지의 해시값과 같은 메시지 다이제스트에 서명하는 이유는?
❶ 공개키 암호화에 따른 성능 저하를 극복하기 위한 것이다.
② 서명자의 공개키를 쉽게 찾을 수 있도록 하기 위한 것이다.
③ 서명 재사용을 위한 것이다.
④ 원본 메시지가 없어도 서명을 검증할 수 있도록 하기 위한 것이다.
20. 윈도우즈에서 지원하는 네트워크 관련 명령어와 주요 기능에 대한 설명으로 옳지 않은 것은?
① route :라우팅 테이블의 정보 확인
② netstat :연결 포트 등의 네트워크 상태 정보 확인
③ tracert :네트워크 목적지까지의 경로 정보 확인
❹ nslookup :사용자 계정 정보 확인
1. 컴퓨터 시스템 및 네트워크 자산에 대한 위협 중에서 기밀성 침해에 해당하는 것은?
① 장비가 불능 상태가 되어 서비스가 제공되지 않음
❷ 통계적 방법으로 데이터 내용이 분석됨
③ 새로운 파일이 허위로 만들어짐
④ 메시지가 재정렬됨
2. 공개키기반구조(PKI)에서 관리나 보안상의 문제로 폐기된 인증서들의 목록은?
① Online Certificate Status Protocol
② Secure Socket Layer
❸ Certificate Revocation List
④ Certification Authority
3. AES 알고리즘의 블록크기와 키길이에 대한 설명으로 옳은 것은?
① 블록크기는 64비트이고 키길이는 56비트이다.
② 블록크기는 128비트이고 키길이는 56비트이다.
③ 블록크기는 64비트이고 키길이는 128/192/256비트이다.
❹ 블록크기는 128비트이고 키길이는 128/192/256비트이다.
4. 우리나라 국가 표준으로 지정되었으며 경량 환경 및 하드웨어 구현에서의 효율성 향상을 위해 개발된 128비트 블록암호 알고리즘은?
① IDEA ② 3DES
③ HMAC ❹ ARIA
5. ‘정보시스템과 네트워크의 보호를 위한 OECD 가이드라인’ (2002)에서 제시한 원리(principle) 중 “참여자들은 정보시스템과 네트워크 보안의 필요성과 그 안전성을 향상하기 위하여 할 수 있는 사항을 알고 있어야 한다.”에 해당하는 것은?
❶ 인식(Awareness) ② 책임(Responsibility)
③ 윤리(Ethics) ④ 재평가(Reassessment)
6. 정보통신망 이용촉진 및 정보보호 등에 관한 법률 상 정보통신 서비스 제공자등이 이용자 개인정보의 국외 이전을 위한 동의 절차에서 이용자에게 고지해야 할 사항에 해당하지 않는 것은?
① 이전되는 개인정보 항목
② 개인정보가 이전되는 국가, 이전일시 및 이전방법
③ 개인정보를 이전받는 자의 개인정보 이용 목적 및 보유?이용 기간
❹ 개인정보를 이전하는 자의 성명(법인인 경우는 명칭 및 정보 관리책임자의 연락처)
7. IPSec에서 두 컴퓨터 간의 보안 연결 설정을 위해 사용되는 것은?
① Authentication Header
② Encapsulating Security Payload
❸ Internet Key Exchange
④ Extensible Authentication Protocol
8. 다음 설명에 해당하는 것은?
① Web Shell ❷ Ransomware
③ Honeypot ④ Stuxnet
9. 개인정보 보호법 시행령 상 개인정보처리자가 하여야 하는 안전성 확보 조치에 해당하지 않는 것은?
① 개인정보의 안전한 처리를 위한 내부 관리계획의 수립?시행
❷ 개인정보가 정보주체의 요구를 받아 삭제되더라도 이를 복구 또는 재생할 수 있는 내부 방안 마련
③ 개인정보를 안전하게 저장?전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치
④ 개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위조?변조 방지를 위한 조치
10. 공개키 암호시스템에 대한 설명 중 ㉠∼㉢에 들어갈 말로 옳게 짝지어진 것은? (순서대로 ㉠, ㉡, ㉢)
① ElGamal 암호시스템, DSS, RSA 암호시스템
② Knapsack 암호시스템, ECC, RSA 암호시스템
③ Knapsack 암호시스템, DSS, Rabin 암호시스템
❹ ElGamal 암호시스템, ECC, Rabin 암호시스템
11. 가상사설망에서 사용되는 프로토콜이 아닌 것은?
① L2F ② PPTP
❸ TFTP ④ L2TP
12. 메모리 영역에 비정상적인 데이터나 비트를 채워 시스템의 정상적인 동작을 방해하는 공격 방식은?
① Spoofing ❷ Buffer overflow
③ Sniffing ④ Scanning
13. 시스템과 관련한 보안기능 중 적절한 권한을 가진 사용자를 식별하기 위한 인증 관리로 옳은 것은?
① 세션 관리 ② 로그 관리
③ 취약점 관리 ❹ 계정 관리
14. 무선랜을 보호하기 위한 기술이 아닌 것은?
① WiFi Protected Access Enterprise
❷ WiFi Rogue Access Points
③ WiFi Protected Access
④ Wired Equivalent Privacy
15. 다음 정보통신 관계 법률의 목적에 대한 설명으로 옳지 않은 것은?
① [정보통신기반 보호법] 은 전자적 침해행위에 대비하여 주요정보통신기반시설의 보호에 관한 대책을 수립?시행함 으로써 동 시설을 안정적으로 운영하도록 하여 국가의 안전과 국민 생활의 안정을 보장하는 것을 목적으로 한다.
② [전자서명법] 은 전자문서의 안전성과 신뢰성을 확보하고 그 이용을 활성화하기 위하여 전자서명에 관한 기본적인 사항을 정함으로써 국가사회의 정보화를 촉진하고 국민생활의 편익을 증진함을 목적으로 한다.
③ [통신비밀보호법] 은 통신 및 대화의 비밀과 자유에 대한 제한은 그 대상을 한정하고 엄격한 법적절차를 거치도록 함으로써 통신비밀을 보호하고 통신의 자유를 신장함을 목적으로 한다.
❹ [정보통신산업 진흥법] 은 정보통신망의 이용을 촉진하고 정보통신서비스를 이용하는 자의 개인정보를 보호함과 아울러 정보통신망을 건전하고 안전하게 이용할 수 있는 환경을 조성하여 국민생활의 향상과 공공복리의 증진에 이바지함을 목적으로 한다.
16. 위험분석 및 평가방법론 중 성격이 다른 것은?
❶ 확률 분포법 ② 시나리오법
③ 순위결정법 ④ 델파이법
17. 보안 침해 사고에 대한 설명으로 옳은 것은?
❶ 크라임웨어는 온라인상에서 해당 소프트웨어를 실행하는 사용자가 알지 못하게 불법적인 행동 및 동작을 하도록 만들어진 프로그램을 말한다.
② 스니핑은 적극적 공격으로 백도어 등의 프로그램을 사용하여 네트워크상의 남의 패킷 정보를 도청하는 해킹 유형의 하나이다.
③ 파밍은 정상적으로 사용자들이 접속하는 도메인 이름과 철자가 유사한 도메인 이름을 사용하여 위장 홈페이지를 만든 뒤 사용자로 하여금 위장된 사이트로 접속하도록 한 후 개인 정보를 빼내는 공격 기법이다.
④ 피싱은 해당 사이트가 공식적으로 운영하고 있던 도메인 자체를 탈취하는 공격 기법이다.
18. 다음 설명에 해당하는 것은?
① Whitebox ❷ Sandbox
③ Middlebox ④ Bluebox
19. 각 주체가 각 객체에 접근할 때마다 관리자에 의해 사전에 규정된 규칙과 비교하여 그 규칙을 만족하는 주체에게만 접근 권한을 부여하는 기법은?
❶ Mandatory Access Control
② Discretionary Access Control
③ Role Based Access Control
④ Reference Monitor
20. 임의로 발생시킨 데이터를 프로그램의 입력으로 사용하여 소프트웨어의 안전성 및 취약성 등을 검사하는 방법은?
① Reverse Engineering ② Canonicalization
❸ Fuzzing ④ Software Prototyping
1. 전자우편 보안 기술이 목표로 하는 보안 특성이 아닌 것은?
❶ 익명성 ② 기밀성
③ 인증성 ④ 무결성
2. 프로그램이나 손상된 시스템에 허가되지 않는 접근을 할 수 있도록 정상적인 보안 절차를 우회하는 악성 소프트웨어는?
① 다운로더(downloader) ② 키 로거(key logger)
③ 봇(bot) ❹ 백도어(backdoor)
3. 프로그램을 감염시킬 때마다 자신의 형태뿐만 아니라 행동 패턴까지 변화를 시도하기도 하는 유형의 바이러스는?
① 암호화된(encrypted) 바이러스
② 매크로(macro) 바이러스
③ 스텔스(stealth) 바이러스
❹ 메타모픽(metamorphic) 바이러스
4. 증거의 수집 및 분석을 위한 디지털 포렌식의 원칙에 대한 설명으로 옳지 않은 것은?
① 정당성의 원칙-증거 수집의 절차가 적법해야 한다.
❷ 연계 보관성의 원칙-획득한 증거물은 변조가 불가능한 매체에 저장해야 한다.
③ 신속성의 원칙-휘발성 정보 수집을 위해 신속히 진행해야 한다.
④ 재현의 원칙-동일한 조건에서 현장 검증을 실시하면 피해 당시와 동일한 결과가 나와야 한다.
5. 웹 애플리케이션의 대표적인 보안 위협의 하나인 인젝션 공격에 대한 대비책으로 옳지 않은 것은?
❶ 보안 프로토콜 및 암호 키 사용 여부 확인
② 매개변수화된 인터페이스를 제공하는 안전한 API 사용
③ 입력 값에 대한 적극적인 유효성 검증
④ 인터프리터에 대한 특수 문자 필터링 처리
6. 개인정보 보호법 상의 개인정보의 수집?이용 및 수집 제한에 대한 설명으로 옳지 않은 것은?
① 개인정보처리자는 정보주체의 동의를 받은 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다.
② 개인정보처리자는 개인정보 보호법 에 따라 개인정보를 수집하는 경우에는 그 목적에 필요한 최소한의 개인정보를 수집하여야 한다. 이 경우 최소한의 개인정보 수집이라는 입증책임은 개인정보처리자가 부담한다.
③ 개인정보처리자는 정보주체의 동의를 받아 개인정보를 수집하는 경우 필요한 최소한의 정보 외의 개인정보 수집에는 동의하지 아니할 수 있다는 사실을 구체적으로 알리고 개인정보를 수집하여야 한다.
❹ 개인정보처리자는 정보주체가 필요한 최소한의 정보 외의 개인정보 수집에 동의하지 아니하는 경우 정보주체에게 재화 또는 서비스의 제공을 거부할 수 있다.
7. <보기 1>은 리눅스에서 일반 사용자(hello)가 ‘ls ?al’을 수행한 결과의 일부분이다. <보기 2>의 설명에서 옳은 것만을 모두 고른 것은?
① ㄱ ❷ ㄱ, ㄴ
③ ㄴ, ㄷ ④ ㄱ, ㄴ, ㄷ
8. 다음은 CC(Common Criteria)의 7가지 보증 등급 중 하나에 대한 설명이다. 시스템이 체계적으로 설계되고, 테스트되고, 재검토되도록 (methodically designed, tested and reviewed) 요구하는 것은?
① EAL 2 ② EAL 3
❸ EAL 4 ④ EAL 5
9. 다음에 설명한 Diffie-Hellman 키 교환 프로토콜의 동작 과정에서 공격자가 알지 못하도록 반드시 비밀로 유지해야 할 정보만을 모두 고른 것은?
① a, b
② p, g, a, b
❸ a, b, gab mod p
④ p, g, a, b, gab mod p
10. IEEE 802.11i에 대한 설명으로 옳지 않은 것은?
① 단말과 AP(Access Point) 간의 쌍별(pairwise) 키와 멀티캐스팅을 위한 그룹 키가 정의되어 있다.
② 전송되는 데이터를 보호하기 위해 TKIP(Temporal Key Integrity Protocol)와 CCMP(Counter Mode with Cipher Block Chaining MAC Protocol) 방식을 지원한다.
❸ 서로 다른 유무선랜 영역에 속한 단말들의 종단간(end-to-end) 보안 기법에 해당한다.
④ 802.1X 표준에서 정의된 방법을 이용하여 무선 단말과 인증 서버 간의 상호 인증을 할 수 있다.
11. SSL(Secure Socket Layer)에서 메시지에 대한 기밀성을 제공하기 위해 사용되는 것은?
① MAC(Message Authentication Code)
❷ 대칭키 암호 알고리즘
③ 해시 함수
④ 전자서명
12. 메시지 인증에 사용되는 해시 함수의 요건으로 옳지 않은 것은?
① 임의 크기의 메시지에 적용될 수 있어야 한다.
② 해시를 생성하는 계산이 비교적 쉬워야 한다.
❸ 다양한 길이의 출력을 생성할 수 있어야 한다.
④ 하드웨어 및 소프트웨어에 모두 실용적이어야 한다.
13. 사용자 A가 사용자 B에게 보낼 메시지 M을 공개키 기반의 전자 서명을 적용하여 메시지의 무결성을 검증하도록 하였다. A가 보낸 서명이 포함된 전송 메시지를 다음 표기법에 따라 바르게 표현한 것은?
① E(PUB, M) ② E(PRA, M)
③ M || E(PUB, H(M)) ❹ M || E(PRA, H(M))
14. 대칭키 블록 암호 알고리즘의 운영 모드 중에서 한 평문 블록의 오류가 다른 평문 블록의 암호 결과에 영향을 미치는 오류 전이 (error propagation)가 발생하지 않는 모드만을 묶은 것은? (단, ECB: Electronic Code Book, CBC: Cipher Block Chaining, CFB: Cipher Feedback, OFB: Output Feedback)
① CFB, OFB ❷ ECB, OFB
③ CBC, CFB ④ ECB, CBC
15. 유닉스/리눅스 시스템의 로그 파일에 기록되는 정보에 대한 설명으로 옳지 않은 것은?
① utmp-로그인, 로그아웃 등 현재 시스템 사용자의 계정 정보
❷ loginlog-성공한 로그인에 대한 내용
③ pacct-시스템에 로그인한 모든 사용자가 수행한 프로그램 정보
④ btmp-실패한 로그인 시도
16. 개인정보 보호법 상 개인정보처리자가 개인정보가 유출되었음을 알게 되었을 때에 지체 없이 해당 정보주체에게 알려야 할 사항에 해당하지 않는 것은?
① 유출된 개인정보의 항목
② 유출된 시점과 그 경위
❸ 조치 결과를 행정안전부장관 또는 대통령령으로 정하는 전문기관에 신고한 사실
④ 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처
17. 인증서를 발행하는 인증기관, 인증서를 보관하고 있는 저장소, 공개키를 등록하거나 등록된 키를 다운받는 사용자로 구성되는 PKI(Public Key Infrastructure)에 대한 설명으로 옳지 않은 것은?
① 인증기관이 사용자의 키 쌍을 생성할 경우, 인증기관은 사용자의 개인키를 사용자에게 안전하게 보내는 일을 할 필요가 있다.
② 사용자의 공개키에 대해 인증기관이 전자서명을 해서 인증서를 생성한다.
❸ 사용자의 인증서 폐기 요청에 대하여 인증기관은 해당 인증서를 저장소에서 삭제함으로써 인증서의 폐기 처리를 완료한다.
④ 한 인증기관의 공개키를 다른 인증기관이 검증하는 일이 발생할 수 있다.
18. 암호학적으로 안전한 의사(pseudo) 난수 생성기에 대한 설명으로 옳은 것은?
① 생성된 수열의 비트는 정규분포를 따라야 한다.
❷ 생성된 수열의 어느 부분 수열도 다른 부분 수열로부터 추정될 수 없어야 한다.
③ 시드(seed)라고 불리는 입력 값은 외부에 알려져도 무방하다.
④ 비결정적(non-deterministic) 알고리즘을 사용하여 재현 불가능한 수열을 생성해야 한다.
19. 사용자 워크스테이션의 클라이언트, 인증서버(AS), 티켓발행서버(TGS), 응용서버로 구성되는 Kerberos에 대한 설명으로 옳은 것은? (단, Kerberos 버전 4를 기준으로 한다)
① 클라이언트는 AS에게 사용자의 ID와 패스워드를 평문으로 보내어 인증을 요청한다.
❷ AS는 클라이언트가 TGS에 접속하는 데 필요한 세션키와 TGS에 제시할 티켓을 암호화하여 반송한다.
③ 클라이언트가 응용서버에 접속하기 전에 TGS를 통해 발급 받은 티켓은 재사용될 수 없다.
④ 클라이언트가 응용서버에게 제시할 티켓은 AS와 응용서버의 공유 비밀키로 암호화되어 있다.
20. 생체 인식 시스템은 저장되어 있는 개인의 물리적 특성을 나타내는 생체 정보 집합과 입력된 생체 정보를 비교하여 일치 정도를 판단한다. 다음 그림은 사용자 본인의 생체 정보 분포와 공격자를 포함한 타인의 생체 정보 분포, 그리고 본인 여부를 판정하기 위한 한계치를 나타낸 것이다. 그림 및 생체 인식 응용에 대한 설명으로 옳은 것만을 고른 것은?
❶ ㄱ, ㄷ ② ㄱ, ㄹ
③ ㄴ, ㄷ ④ ㄴ, ㄹ
1. 쿠키(Cookie)에 대한 설명으로 옳지 않은 것은?
① 쿠키는 웹사이트를 편리하게 이용하기 위한 목적으로 만들어졌으며, 많은 웹사이트가 쿠키를 이용하여 사용자의 정보를 수집하고 있다.
❷ 쿠키는 실행파일로서 스스로 디렉터리를 읽거나 파일을 지우는 기능을 수행한다.
③ 쿠키에 포함되는 내용은 웹 응용프로그램 개발자가 정할 수 있다.
④ 쿠키 저장 시 타인이 임의로 쿠키를 읽어 들일 수 없도록 도메인과 경로 지정에 유의해야 한다.
2. 악성프로그램에 대한 설명으로 옳지 않은 것은?
① Bot-인간의 행동을 흉내 내는 프로그램으로 DDoS 공격을 수행한다.
② Spyware-사용자 동의 없이 설치되어 정보를 수집하고 전송하는 악성 소프트웨어로서 금융정보, 신상정보, 암호 등을 비롯한 각종 정보를 수집한다.
❸ Netbus-소프트웨어를 실행하거나 설치 후 자동적으로 광고를 표시하는 프로그램이다.
④ Keylogging-사용자가 키보드로 PC에 입력하는 내용을 몰래 가로채 기록하는 행위이다.
3. 정보보호 서비스에 대한 설명으로 옳지 않은 것은?
① Authentication-정보교환에 의해 실체의 식별을 확실하게 하거나 임의 정보에 접근할 수 있는 객체의 자격이나 객체의 내용을 검증하는 데 사용한다.
② Confidentiality-온오프라인 환경에서 인가되지 않은 상대방에게 저장 및 전송되는 중요정보의 노출을 방지한다.
③ Integrity-네트워크를 통하여 송수신되는 정보의 내용이 불법적으로 생성 또는 변경되거나 삭제되지 않도록 보호한다.
❹ Availability-행위나 이벤트의 발생을 증명하여 나중에 행위나 이벤트를 부인할 수 없도록 한다.
4. 다음에서 설명하는 스캔방법은?
① TCP Half Open 스캔 ❷ NULL 스캔
③ FIN 패킷을 이용한 스캔 ④ 시간차를 이용한 스캔
5. SSL(Secure Socket Layer) 프로토콜에 대한 설명으로 옳지 않은 것은?
① ChangeCipherSpec-Handshake 프로토콜에 의해 협상된 암호규격과 암호키를 이용하여 추후의 레코드 계층의 메시지를 보호할 것을 지시한다.
② Handshake-서버와 클라이언트 간 상호인증 기능을 수행하고, 암호화 알고리즘과 이에 따른 키 교환 시 사용된다.
❸ Alert-내부적 및 외부적 보안 연관을 생성하기 위해 설계된 프로토콜이며, Peer가 IP 패킷을 송신할 필요가 있을 때, 트래픽의 유형에 해당하는 SA가 있는지를 알아보기 위해 보안 정책 데이터베이스를 조회한다.
④ Record-상위계층으로부터(Handshake 프로토콜, ChangeCipherSpec 프로토콜, Alert 프로토콜 또는 응용층) 수신하는 메시지를 전달하며 메시지는 단편화되거나 선택적으로 압축된다.
6. 블록체인에 대한 설명으로 옳지 않은 것은?
① 금융 분야에만 국한되지 않고 분산원장으로 각 분야에 응용할 수 있다.
② 블록체인의 한 블록에는 앞의 블록에 대한 정보가 포함되어 있다.
❸ 앞 블록의 내용을 변경하면 뒤에 이어지는 블록은 변경할 필요가 없다.
④ 하나의 블록은 트랜잭션의 집합과 헤더(header)로 이루어져 있다.
7. 다음의 결과에 대한 명령어로 옳은 것은?
① cat /var/adm/messages
❷ cat /var/log/xferlog
③ cat /var/adm/loginlog
④ cat /etc/security/audit_event
8. 다음 설명에 해당하는 DoS 공격을 옳게 짝 지은 것은? (순서대로 ㄱ, ㄴ, ㄷ)
① Smurf Attack, Land Attack, SYN Flooding Attack
❷ Smurf Attack, SYN Flooding Attack, Land Attack
③ SYN Flooding Attack, Smurf Attack, Land Attack
④ Land Attack, Smurf Attack, SYN Flooding Attack
9. 무선 LAN 보안에 대한 설명으로 옳지 않은 것은?
❶ WPA2는 RC4 알고리즘을 암호화에 사용하고, 고정 암호키를 사용한다.
② WPA는 EAP 인증 프로토콜(802.1x)과 WPA-PSK를 사용한다.
③ WEP는 64비트 WEP 키가 수분 내 노출되어 보안이 매우 취약하다.
④ WPA-PSK는 WEP보다 훨씬 더 강화된 암호화 세션을 제공한다.
10. 사용자 A가 사용자 B에게 해시함수를 이용하여 인증, 전자서명, 기밀성, 무결성이 모두 보장되는 통신을 할 때 구성해야 하는 함수로 옳은 것은?
① EK[M|| H(M)] ② M|| EK[H(M)]
③ M|| EKSa[H(M)] ❹ EK[M|| EKSa[H(M)]]
11. 다음 알고리즘 중 공개키 암호 알고리즘에 해당하는 것은?
① SEED 알고리즘 ❷ RSA 알고리즘
③ DES 알고리즘 ④ AES 알고리즘
12. 정보보안 관련 용어에 대한 설명으로 옳지 않은 것은?
① 부인방지(Non-repudiation)-사용자가 행한 행위 또는 작업을 부인하지 못하는 것이다.
② 최소권한(Least Privilege)-계정이 수행해야 하는 작업에 필요한 최소한의 권한만 부여한다.
③ 키 위탁(Key Escrow)-암호화 키가 분실된 경우를 대비하여 키를 보관하는 형태를 의미한다.
❹ 차분 공격(Differential Attack)-대용량 해쉬 테이블을 이용하여 충분히 작은 크기로 줄여 크랙킹 하는 방법이다.
13. 공통평가기준은 IT 제품이나 특정 사이트의 정보시스템의 보안성을 평가하는 기준이다. ‘보안기능요구사항’과 ‘보증요구사항’을 나타내는 보호프로파일(PP), 보호목표명세서(ST)에 대한 설명으로 옳지 않은 것은?
① 보호프로파일은 구현에 독립적이고, 보호목표명세서는 구현에 종속적이다.
❷ 보호프로파일은 보호목표명세서를 수용할 수 있고, 보호목표 명세서는 보호프로파일을 수용할 수 있다.
③ 보호프로파일은 여러 시스템?제품을 한 개 유형의 보호 프로파일로 수용할 수 있으나, 보호목표명세서는 한 개의 시스템?제품을 한 개의 보호목표명세서로 수용해야 한다.
④ 보호프로파일은 오퍼레이션이 완료되지 않을 수 있으나, 보호목표명세서는 모든 오퍼레이션이 완료되어야 한다.
14. 방화벽 구축 시 내부 네트워크의 구조를 외부에 노출하지 않는 방법으로 적절한 것은?
❶ Network Address Translation
② System Active Request
③ Timestamp Request
④ Fragmentation Offset
15. 개인정보 보호법 시행령 상 개인정보 영향평가의 대상에 대한 규정의 일부이다. ㉠, ㉡에 들어갈 내용으로 옳은 것은? (순서대로 ㉠, ㉡)
❶ 5만 명, 100만 명 ② 10만 명, 100만 명
③ 5만 명, 150만 명 ④ 10만 명, 150만 명
16. 버퍼 오버플로우(Buffer Overflow) 공격에 대한 대응으로 해당하지 않는 것은?
① 안전한 함수 사용
② Non-Executable 스택
③ 스택 가드(Stack Guard)
❹ 스택 스매싱(Stack Smashing)
17. 블록체인(Blockchain) 기술과 암호화폐(Cryptocurrency) 시스템에 대한 설명으로 옳지 않은 것은?
① 블록체인에서는 각 트랜잭션에 한 개씩 전자서명이 부여된다.
② 암호학적 해시를 이용한 어려운 문제의 해를 계산하여 블록체인에 새로운 블록을 추가할 수 있고 일정량의 암호화폐로 보상받을 수도 있다.
❸ 블록체인의 과거 블록 내용을 조작하는 것은 쉽다.
④ 블록체인은 작업증명(Proof-of-work)과 같은 기법을 이용하여 합의에 이른다.
18. [정보통신기반 보호법] 상 주요정보통신기반시설의 보호체계에 대한 설명으로 옳지 않은 것은?
① 주요정보통신기반시설 관리기관의 장은 정기적으로 소관 주요정보통신시설의 취약점을 분석?평가하여야 한다.
② 중앙행정기관의 장은 소관분야의 정보통신기반시설을 필요한 경우 주요정보통신기반시설로 지정할 수 있다.
❸ 지방자치단체의 장이 관리?감독하는 기관의 정보통신기반시설은 지방자치단체의 장이 주요정보통신기반시설로 지정한다.
④ 과학기술정보통신부장관과 국가정보원장등은 특정한 정보통신 기반시설을 주요정보통신기반시설로 지정할 필요가 있다고 판단하면 중앙행정기관의 장에게 해당 정보통신기반시설을 주요정보통신기반시설로 지정하도록 권고할 수 있다.
19. 업무연속성(BCP)에 대한 설명으로 옳지 않은 것은?
① 업무연속성은 장애에 대한 예방을 통한 중단 없는 서비스 체계와 재난 발생 후에 경영 유지?복구 방법을 명시해야 한다.
② 재해복구시스템의 백업센터 중 미러 사이트(Mirror Site)는 백업센터 중 가장 짧은 시간 안에 시스템을 복구한다.
❸ 콜드 사이트(Cold Site)는 주전산센터의 장비와 동일한 장비를 구비한 백업 사이트이다.
④ 재난복구서비스인 웜 사이트(Warm Site)는 구축 및 유지비용이 콜드 사이트(Cold Site)에 비해서 높다.
20. 개인정보 보호법 시행령 의 내용으로 옳지 않은 것은?
❶ 공공기관의 영상정보처리기기는 재위탁하여 운영할 수 없다.
② 개인정보처리자가 전자적 파일 형태의 개인정보를 파기하여야 하는 경우 복원이 불가능한 형태로 영구 삭제하여야 한다.
③ 개인정보처리자는 개인정보의 처리에 대해서 전화를 통하여 동의 내용을 정보주체에게 알리고 동의 의사표시를 확인하는 방법으로 동의를 받을 수 있다.
④ 공공기관이 개인정보를 목적 외의 용도로 이용하는 경우에는 ‘이용하거나 제공하는 개인정보 또는 개인정보파일의 명칭’을 개인정보의 목적 외 이용 및 제3자 제공 대장에 기록하고 관리하여야 한다.