자격증 필기 기출문제




위 이미지를 클릭하시면 인터넷으로 바로 문제를 풀어 보실수 있습니다.

(해설, 모의고사, 오답노트, 워드, 컴활, 정보처리 상설검정 프로그램 기능 포함)


전자문제집 CBT란?
종이 문제집이 아닌 인터넷으로 문제를 풀고 자동으로 채점하며 모의고사, 오답 노트, 해설까지 제공하는
무료 기출문제 학습 프로그램으로 실제 상설검정에서 사용하는 OMR 형식의 CBT를 제공합니다.


최신 정보보안기사 필기 기출문제(해설) : [다운로드]


정보보안기사 필기 기출문제(해설) 및 전자문제집 CBT 2021년09월04일


1과목 : 시스템 보안


1. NTFS 파일 시스템의 메타 데이터 해당하지 않는 것은?
     1. $MFT
     2. $Logfile
     3. $Volume
     4. $Bios

     정답 : [4]☜ 블럭 설정하면 보임
     정답률 : 68%
     <문제 해설>
-$MFT: MFT 의 전반적인 레이아웃과 크기 설명
-$Logfile: 트랜잭션 저널 기록을 담음
-$Volume: 볼륨의 레이블, 버전 등 볼륨에 대한 정보를 담음
-$Boot:부트레코드 영역의 정보를 담음
-$Secure:파일들의 보안과 접근권한에 대한 정보를 담음

그외 여러가지 파일들이 있다.
[해설작성자 : 시원한물]

2. 다음 지문에서 설명하는 공격은 무엇인가?

   

     1. 힙 오버플로우 공격
     2. 레이스 컨디션 공격
     3. 스택 오버플로우 공격
     4. 코드 기반 공격

     정답 : [2]☜ 블럭 설정하면 보임
     정답률 : 92%

3. 리눅스에서 새로 생성되는 사용자 계정의 홈 디렉터리는 .bashrc 등과 같이 모든 사용자가 필요로 하는 파일들을 만들어줄 필요가 있다. 이러한 공통 파일들을 미리 만들어 특정 디렉터리에 넣어두면 사용자 계정 생성 시 자동복사 되도록 설정할 수 있는데, 이러한 용도의 디렉터리는 무엇인가?
     1. /etc/init
     2. /etc/services
     3. /etc/login.defs
     4. /etc/skel

     정답 : [4]☜ 블럭 설정하면 보임
     정답률 : 55%
     <문제 해설>
/etc/skel :
새로운 사용자가 로그인할 때 생성되는 파일과 디렉토리 포함.
새로운 사용자의 홈 디렉토리에 복사되어 사용자에게 초기 설정을 제공.
예)    .bashrc, .profile, .bash_logout과 같은 쉘 설정 파일 포함.
[해설작성자 : nico1006]

4. 2016년에 처음 발견되었으며 IP 카메라나 가정용 라우터와 같은 IoT 장치를 주요 공격 대상으로 삼는 DDoS 공격용 봇넷 악성코드는 무엇인가?
     1. 님다
     2. 미라이
     3. 스턱스넷
     4. SQL 슬래머

     정답 : [2]☜ 블럭 설정하면 보임
     정답률 : 87%
     <문제 해설>
-미라이 봇넷: ARC 프로세서에서 실행되는 IoT 장치를 주요 공격대상으로 삼는 DDos 공격용 봇넷 악성코드
-님다 바이러스: 윈도우 계열의 서버를 공격대상으로 파일 통해서 서버 감염. admin을 거꾸로 한듯. 감염되면 속도가 느려지고 해커가 원격으로 조정가능
-스턱스넷: 악성컴퓨터 웜 바이러스, 산업시설을 감시하고 파괴, 이란의 핵시설 등등. 특정 조건을 만족하는 컴퓨터에만 작동.
-SQL 슬래머 : MS SQL서버의 버퍼 오버프로우 버그를 이용해서 공격하는 웜 바이러스
[해설작성자 : 시원한물]

5. 다음 지문에서 설명하는 내용은 스푸핑 공격 중 어떤 공격에 해당하는가?

   

     1. DHCP 스푸핑
     2. IP 스푸핑
     3. DNS 스푸핑
     4. ARP 스푸핑

     정답 : [4]☜ 블럭 설정하면 보임
     정답률 : 91%
     <문제 해설>
스푸핑 공격
: 공격자가 자신의 신원을 위조하여 다른 개체로 가장하여 공격하는 것.
-ARP스푸핑:MAC주소를 위조하여 네트워크 트래픽을 가로채거나 조작
-DNS스푸핑:DNS서버의 응답을 위조하여 악성 웹사이트로 리다이렉션
-IP스푸핑:공격자가 IP주소를 위조하여 통신상대방을 속임
-이메일 스푸핑: 이메일 헤더를 위조
-웹사이트 스푸핑: 웹사이트의 도메인 이름을 위조
[해설작성자 : 시원한물]

6. 디지털저장매체 중 하드디스크 구조에서 물리적으로는 할당된 공간이지만 논리적으로는 사용할 수 없는 공간을 무엇이라고 하는가?
     1. 슬랙
     2. CHS
     3. 클러스터
     4. 확장 공간

     정답 : [1]☜ 블럭 설정하면 보임
     정답률 : 73%
     <문제 해설>
슬랙 (Slack):
- 파일: 비어 있거나 사용되지 않는 공간
- 할당되지 않은 공간
- 데이터: 불필요한 공간

CHS (Cylinder, Head, Sector):
- 디스크: 물리적인 기하학적 구성
- 헤드: 디스크의 표면 위의 리더/라이터 헤드
- 실린더: 디스크의 같은 반경에 있는 트랙들의 집합
- 섹터: 디스크 표면에 있는 데이터 저장 단위

클러스터 (Cluster):
- 파일 시스템: 논리적 데이터 저장 단위
- 디스크: 연속된 데이터 저장 공간
- 파일: 클러스터에 할당됨
- 공간 절약: 작은 파일들을 하나의 클러스터에 저장
[해설작성자 : nico1006]

7. 윈도우 레지스트리 키 중에서 파일의 각 확장자에 대한 정보와 프로그램의 맵핑 정보가 저장된 키로 옳은 것은?
     1. HKEY_CLASSES_ROOT
     2. HKEY_CURRENT_USER
     3. HKEY_FILE_EXT
     4. HKEY_LOCAL_MACHINE

     정답 : [1]☜ 블럭 설정하면 보임
     정답률 : 67%
     <문제 해설>
HKEY_CLASSES_ROOT:
- 파일 형식과 관련된 정보
- 프로그램 연결 및 파일 탐색 정보
- 레지스트리의 시작점

HKEY_CURRENT_USER:
- 현재 사용자와 관련된 설정 및 프로필 정보
- 로그인한 사용자의 레지스트리 설정

HKEY_LOCAL_MACHINE:
- 컴퓨터의 전체적인 구성 정보
- 하드웨어, 소프트웨어, 운영 체제 등의 정보
- 모든 사용자에 대한 레지스트리 설정
[해설작성자 : nico1006]

8. 다음 지문에서 설명하고 있는 시스템 보안은?

   

     1. TPM
     2. SRM
     3. SAM
     4. SID

     정답 : [1]☜ 블럭 설정하면 보임
     정답률 : 59%
     <문제 해설>
TPM(Trusted Platform Module)
컴퓨터 시스템의 보안 강화를 위해 설계된 특수 칩이나 모듈을 가리킴.
TPM은 주로 하드웨어 수준에서 보안 기능을 제공.

디스크 암호화:
디스크 암호화 키를 안전하게 보호하여 데이터를 보호.    
데이터가 저장 장치에 저장될 때 암호화되고, TPM이 없는 컴퓨터에서는 액세스 불가

부트 보안:
시스템 부팅 프로세스의 보안 강화.
시스템 부트 전에 TPM은 부트로더 및 운영 체제가 변경되지 않았음을 확인하고
부트 프로세스의 무결성 검증.

인증 및 식별:
디지털 인증서 및 키를 안전하게 저장하여 컴퓨터와 네트워크 리소스에 대한
신뢰할 수 있는 인증 제공.    사용자 인증 및 디지털 서명 강화.

보안 원격 부팅:
원격 서버에서 컴퓨터를 안전하게 부팅하고 식별할 수 있는 원격 부팅 기능 제공.
클라우드 환경에서 보안을 강화하고 인프라를 안전하게 관리하는 데 도움.
[해설작성자 : nico1006]

1. TPM (Trusted Platform Module): 하드웨어 기반 보안 모듈로, 인증, 암호화 키 저장 등을 지원합니다.
2. SRM (Security Reference Monitor): 운영 체제의 보안 기능을 관리하고 모니터링하는 소프트웨어 구성 요소입니다.
3. SAM (Security Account Manager): 윈도우 운영 체제에서 사용자 계정과 암호 정보를 관리하는 시스템입니다.
4. SID (Security Identifier): 윈도우 운영 체제에서 사용자나 그룹을 고유하게 식별하는 식별자입니다.
[해설작성자 : SJ]

9. 아래 지문의 척도들과 가장 관련성이 높은 보안 서비스는?

   

     1. 기밀성
     2. 무결성
     3. 가용성
     4. 유지보수성

     정답 : [3]☜ 블럭 설정하면 보임
     정답률 : 78%

10. IoT 위협 및 보안에 대한 설명으로 올바르지 않은 것은?
     1. 홈가전 IoT 제품의 보안 요구사항에는 시큐어 코딩, 알려진 보안약점 및 취약점 제거, 최신 제3자(3rd party) 소프트웨어 사용 등이 있다.
     2. 홈캠, 네트워크 카메라 등의 네트워크 제품에 대한 주요 보안 위협에는 사진 및 동영상을 공격자의 서버 및 이메일로 전송하는 것이 있다. 이에 대한 원인으로는 접근통제 및 전송 데이터 보호의 부재가 있다.
     3. 시큐어 코딩이 적용되지 않은 스마트 홈가전 제품의 경우 입력 데이터 검증 및 표현, 보안 기능, 시간 및 상태, 에러처리 등에서 보안 취약점이 발생할 수 있다.
     4. 스마트 홈가전 제품의 데이터 기밀성 및 무결성을 위해 안전한 암호인 MD5, SHA-1 등의 사용이 권장된다.

     정답 : [4]☜ 블럭 설정하면 보임
     정답률 : 86%
     <문제 해설>
강력한 대칭키 및 공개키 암호 알고리즘 및 TLS/SSL 프로토콜과 같은 보안 프로토콜을 사용하여 데이터 통신을 암호화가 권장됨.
예)AES (Advanced Encryption Standard),RSA, ECC (Elliptic Curve Cryptography),ChaCha20-Poly1305
[해설작성자 : comcbt.com 이용자]

MD5와 SHA-1은 현재 새로운 보안 표준을 충족하지 못하고 보안적으로 취약한 해시 함수로 간주됨.
MD5와 SHA-1 대신에 SHA-256, SHA-3, 또는 bcrypt와 같은 보다 안전하고 강력한 해시 함수를 사용하는 것이 권장됨
[해설작성자 : nico1006]

11. 기존 파일 시스템에 새로운 파일 시스템을 하위 디렉터리로 연결하기 위해 사용하는 명령어는 무엇인가?
     1. mkfs
     2. mount
     3. fsck
     4. mknod

     정답 : [2]☜ 블럭 설정하면 보임
     정답률 : 87%
     <문제 해설>
1. mkfs: 새로운 파일 시스템을 생성하는 명령어.
2. mount: 파일 시스템을 특정 디렉터리에 연결하는 명령어.
3. fsck: 파일 시스템의 무결성을 검사하고 복구하는 명령어.
4. mknod: 특수 파일(디바이스 파일)을 생성하는 명령어.
[해설작성자 : SJ]

12. ㉠에 들어갈 내용으로 적절한 것은?

    

     1. 해시 암호화 패스워드 파일
     2. 섀도(Shadow) 패스워드 파일
     3. 익명(Anonymity) 패스워드 파일
     4. PAM(Pluggable Authentication Module) 패스워드 파일

     정답 : [2]☜ 블럭 설정하면 보임
     정답률 : 80%
     <문제 해설>
PAM(Pluggable Authentication Modules)
- 리눅스 시스템에서 인증 및 계정 관리를 관리하는 데 사용되는 시스템
- 다양한 인증 메커니즘을 지원
- 사용자가 시스템에 로그인하거나 특정 작업을 수행할 때 인증 및 권한 부여.

PAM에서 패스워드 관리는 주로 /etc/passwd와 /etc/shadow 파일에서 처리
- /etc/passwd 파일은 사용자 계정에 대한 기본 정보 저장
- /etc/shadow 파일에는 사용자의 암호화된 비밀번호 및 관련된 설정 저장

- /etc/shadow 파일은 일반적으로 root 계정만 읽을 수 있도록 권한 설정됨
- 암호화된 비밀번호와 함께 사용자 계정에 대한 다양한 보안 설정 포함.
- 시스템의 보안성을 유지위해 /etc/shadow 파일의 직접 편집을 피하고,
    대신 passwd 명령어나 관련된 시스템 도구를 사용하여 사용자의 암호 관리 권장
[해설작성자 : nico1006]

추가
리눅스에서 익명패스워드 파일이란 없음.
[해설작성자 : comcbt.com 이용자]

13. [그림1]은 어떤 리눅스 시스템에 존재하는 특정 /home 디렉터리와 그 아래에 존재하는 디렉터리 및 파일들의 속성 중 name, permission, user, group 등에 대한 정보만 요약한 것이며, [그림2]는 이 시스템에 존재하는 /etc/group 파일의 일부분이다. 이를 통하여 확인할 수 있는 파일 및 디렉터리의 permission에 관한 설명 중 올바르지 않은 것은?

    

     1. user1이란 사용자는 /home/user1 디렉터리로 이동할 수 있다
     2. user2란 사용자는 exam.txt란 파일의 내용을 읽을 수 있다.
     3. user3란 사용자는 exam.txt란 파일을 삭제할 수 있다.
     4. 시스템 내에 존재하는 user4란 사용자는 /home/user1 디렉터리로 이동할 수 없다.

     정답 : [3]☜ 블럭 설정하면 보임
     정답률 : 79%

14. 로그파일은?

    

     1. btmp
     2. wtmp
     3. syslog
     4. messages

     정답 : [4]☜ 블럭 설정하면 보임
     정답률 : 42%
     <문제 해설>
리눅스 로그파일 설명 /var/log/
-secure로그 : 사용자의 원격 로그인 정보저장
-dmesg로그: 시스템 부팅관련 시스템 메시지 저장
-lastlog : 사용자가 로그인한 마지막 로그
-wtmp: 최근의 접속사항이 기록, 성공한 로그인/로그아웃 정보를 담고있는 로그
-sulog:사용자의 루트접속기록 저장 로그
-messages : syslog.conf에서 지정된 내용을 제외하고 모든 항목이 기록, 내용이 많기 때문에 grep 명령어와 함께 사용
-btmp: 실패한 로그인 정보를 담고 있는 로그
-utmp: 현재 로그인한 사용자 정보를 담고 있는 로그
[해설작성자 : 시원한물]

15. 랜섬웨어에 해당하지 않는 것은?
     1. 페트야(Petya)
     2. 크립토월(CryptoWall)
     3. 워너크라이(WannaCry)
     4. 크립토재커(CryptoJacker)

     정답 : [4]☜ 블럭 설정하면 보임
     정답률 : 58%
     <문제 해설>
랜섬웨어(Ransomware)
악성 소프트웨어로, 파일이나 시스템에 대한 액세스를 차단하고 사용자로부터
금전적 보상을 요구하는 공격 형태. 암호화, 마스터부트, 노멀웨어, 도박, 모바일
랜섬 웨어 이 5가지가 대표적이다.

암호화 랜섬웨어 (Encrypting Ransomware):
파일을 암호화하여 사용자가 파일에 액세스할 수 없도록 만듭니다.
보통 AES, RSA와 같은 강력한 암호화 알고리즘을 사용합니다.
예: WannaCry, CryptoLocker

마스터 부트 랜섬웨어 (MBR Ransomware):
마스터 부트 레코드(Master Boot Record)를 수정하여 컴퓨터 부팅을 방해하고,
사용자가 부팅할 때 요구 사항을 표시함.
예: Petya, Satana

노멀웨어 랜섬웨어 (Locker Ransomware):
파일을 암호화하지 않고, 대신 사용자가 시스템에 로그인하는 것을 방해함.
화면 잠금을 통해 사용자가 컴퓨터를 사용할 수 없도록 만듦.
예: Reveton

도박 랜섬웨어 (Scareware Ransomware):
사용자를 협박하여 허위 보고서나 경고 메시지를 표시하고, 금전적 보상 요구.
예: FBI MoneyPak

모바일 랜섬웨어 (Mobile Ransomware):
모바일 기기에서 작동하며, 파일 또는 기기의 암호를 변경하거나
잠금 화면을 표시하여 사용자를 협박.
예: Android의 SLocker, WannaLocker
[해설작성자 : nico1006]

Cryptojacker :
암호화폐(Cryptocurrency) 채굴을 목적으로 사용자의 컴퓨터나 기기를 몰래 이용하는 악성 소프트웨어를 일컫는 용어
주로 웹사이트나 앱을 통해 사용자의 기기에서 암호화폐 채굴을 수행합니다.
[해설작성자 : nico1006]

페트야 (Petya): 시스템의 마스터 부트 레코드를 덮어쓰고 파일을 암호화하는 랜섬웨어.
크립토월 (CryptoWall): 파일을 암호화하고 몸값을 요구하는 랜섬웨어.
워너크라이 (WannaCry): SMB 취약점을 악용하여 전파되는 파일 암호화 랜섬웨어.
크립토재커 (CryptoJacker): 사용자 몰래 암호화폐를 채굴하는 악성 소프트웨어.
[해설작성자 : SJ]

16. 서버의 파일 시스템에 대한 시간 속성이 잘못 기술된 것은?
     1. mtime: 파일을 생성하거나 내용을 수정한 시간
     2. atime: 최근 파일을 읽거나 실행시킨 시간
     3. ctime: 파일 속성이 변경된 시간
     4. rtime: 파일을 실시간 실행시킨 시간

     정답 : [4]☜ 블럭 설정하면 보임
     정답률 : 70%
     <문제 해설>
mtime: 파일의 수정 시간
atime: 파일의 접근 시간
ctime: 파일의 변경 시간 (메타데이터 변경)
rtime: 파일의 읽기 시간 (특정 애플리케이션에서 사용될 때)
[해설작성자 : nico1006]

17. 다음에서 설명하고 있는 것은 무엇인가?

    

     1. sudo
     2. PAM
     3. Batch file
     4. Shell script

     정답 : [2]☜ 블럭 설정하면 보임
     정답률 : 68%
     <문제 해설>
1. sudo: 특정 명령어를 다른 사용자(주로 root) 권한으로 실행할 수 있게 해주는 프로그램.
2. PAM (Pluggable Authentication Modules): 다양한 인증 방법을 쉽게 추가하고 변경할 수 있게 해주는 모듈형 인증 시스템.
3. Batch file: 윈도우 운영체제에서 명령어를 순차적으로 실행하기 위해 사용하는 스크립트 파일.
4. Shell script: 리눅스나 유닉스 운영체제에서 명령어를 순차적으로 실행하기 위해 사용하는 스크립트 파일.
[해설작성자 : SJ]

18. 윈도우 NTFS 파일 시스템의 특징으로 옳지 않은 것은?
     1. 파일과 폴더에 개별 권한을 설정할 수 있어 강력한 보안정책 설정이 가능하다.
     2. 이벤트 뷰어를 사용하여 MFT(Master File Table)의 내용을 확인할 수 있다.
     3. FAT 파일 시스템에 없는 보안 속성(사용자 접근제어) 정보를 내장하고 있다.
     4. 파일 압축 및 암호화를 위한 구조를 갖는다.

     정답 : [2]☜ 블럭 설정하면 보임
     정답률 : 65%

19. rlogin 접속을 허용하는 설정 파일들로 올바르게 짝지어진 것은?
     1. /etc/hosts.allow, /etc/exports
     2. /etc/hosts.allow, /.rhosts
     3. /etc/hosts.equiv, /etc/exports
     4. /etc/hosts.equiv, /.rhosts

     정답 : [4]☜ 블럭 설정하면 보임
     정답률 : 58%
     <문제 해설>
rlogin은 사용자의 이름과 패스워드를 평문으로 전송하기 때문에 네트워크 상에서 중간자 공격과 같은 보안 위협에 취약.
rlogin은 보안성이 낮고 권장되지 않음. 대신 SSH와 같은 안전한 원격 로그인 프로토콜을 사용 권장.
[해설작성자 : nico1006]

/etc/hosts.allow: 특정 호스트나 네트워크를 통한 접속 허용.
                                    주로 TCP Wrappers와 함께 사용, 네트워크 서비스에 대한 접속 제어 관리.

/etc/hosts.equiv: 특정 호스트나 사용자에 대한 원격 로그인 접속 허용.
                                    로 rlogin, rsh 등의 서비스에 대한 접속 권한 설정
[해설작성자 : nico1006]

20. 다음 지문에서 설명하고 있는 안전한 보안 인증 방식은?

    

     1. SSH(Secure Shell)
     2. SAM(Secure Access Module)
     3. SSO(Single Sign On)
     4. PAM(Pluggable Authentication Module)

     정답 : [4]☜ 블럭 설정하면 보임
     정답률 : 84%

2과목 : 네트워크 보안


21. ㉠에 들어갈 용어로 적절한 것은?

    

     1. Duplex Mode
     2. MAC 변조
     3. Promiscuous Mode
     4. ARP

     정답 : [3]☜ 블럭 설정하면 보임
     정답률 : 80%
     <문제 해설>
프로미스쿠스 모드는 일반적으로 시스템에 부하를 주기때문에 대부분 해당기능은 디폴트로 disabled되어있다.
만약 필요에 따라서 해당기능을 인터페이스에서 활성화하게되면, 해당인터페이스는 자기에게 온 패킷이 아님에도 불구하고 해당패킷을 받아 유지하게되고, 해당데이터를 조합하여 다른 정보를 스틸할수도있다. 이것이 스니핑임
[해설작성자 : 세모]

22. 다음 지문에서 설명하는 공격 대응 방법은 무엇인가?

    

     1. DNS 라우팅
     2. DNS 스푸핑
     3. DNS 웜홀
     4. DNS 싱크홀

     정답 : [4]☜ 블럭 설정하면 보임
     정답률 : 78%

23. Firewall, IDS, IPS의 비교 중 올바른 것으로 짝지어진 것은?

    

     1. ㉠, ㉢
     2. ㉡, ㉢
     3. ㉠, ㉣, ㉤
     4. ㉠, ㉢, ㉣

     정답 : [4]☜ 블럭 설정하면 보임
     정답률 : 64%

24. 다음 지문에서 설명하는 용어는 무엇인가?

    

     1. HSM
     2. 비트라커
     3. OTP
     4. TCB

     정답 : [1]☜ 블럭 설정하면 보임
     정답률 : 64%

25. 침입차단시스템에 대한 설명으로 옳지 않은 것은?
     1. 패킷 필터링 방화벽은 패킷의 통과여부를 결정하기 위해 프로토콜 종류, 출발지 또는 목적지 IP 주소, TCP/UDP 포트 번호 등을 이용한다.
     2. 응용 게이트웨이 방식 방화벽은 내부망으로 패킷이 전송되는 것을 방지할 수 있으며 사용자 인증 기능도 제공할 수 있다.
     3. 상태 기반 패킷 검사(SPI) 방식 방화벽은 프로토콜 종류, 출발지 또는 목적지 IP 주소, TCP/UDP 포트 번호 외에 패킷의 데이터 부분에 대한 점검도 수행하지만, nmap 도구에 의해 ACK 스캔을 차단하지 못하는 단점이 있다.
     4. 심층 패킷 분석(DPI) 방식 방화벽은 패킷의 데이터 부분에 포함된 바이러스 등 악성코드를 검사할 수 있다.

     정답 : [3]☜ 블럭 설정하면 보임
     정답률 : 76%
     <문제 해설>
상태 기반 패킷 검사(SPI) 방식 방화벽: 프로토콜 종류, 출발지 또는 목적지 IP 주소, TCP/UDP 포트 번호 외에 패킷의 데이터 부분에 대한 점검도 수행하지만, nmap 도구에 의해 ACK 스캔을 차단하지 못하는 단점이 있습니다. 이는 옳지 않은 설명입니다. SPI 방식 방화벽은 일반적으로 이런 종류의 스캔도 차단할 수 있습니다.

올바른 문장 : 상태 기반 패킷 검사(SPI) 방식 방화벽은 프로토콜 종류, 출발지 또는 목적지 IP 주소, TCP/UDP 포트 번호를 기반으로 패킷의 상태를 추적하여 트래픽을 필터링하며, 연결의 상태를 기반으로 필터링 결정을 내린다.
[해설작성자 : SJ]

26. 서비스의 가용성과 성능뿐만 아니라 DDoS 공격 대응에도 효과적이서 최근 Anycast DNS가 많이 도입되어 있다. 다음 중 이 기술에 대해 잘못 설명한 것은?
     1. 사용자가 접속에 사용하는 IP 주소의 패킷은 해당 주소를 갖는 가장 가까운 호스트로 라우팅된다.
     2. 주요 라우팅 프로토콜로 OSPF가 사용된다.
     3. IPv4/IPv6 anycast 모두 적용 가능하다.
     4. 1.1.1.1이나 8.8.8.8 등의 Public DNS뿐만 아니라 kr root DNS 등이 대표적인 예이다.

     정답 : [2]☜ 블럭 설정하면 보임
     정답률 : 50%
     <문제 해설>
Anycast는 BGP(Border Gateway Protocol)를 주로 사용하여 여러 네트워크 간의 경로를 설정하고 최적 경로를 찾습니다.
[해설작성자 : SJ]

27. 다음 지문에서 설명하는 시스템으로 옳은 것은?

    

     1. SIEM
     2. UTM
     3. EMS
     4. ESM

     정답 : [1]☜ 블럭 설정하면 보임
     정답률 : 73%

28. ㉠, ㉡, ㉢, ㉣에 들어갈 내용으로 적절한 것은?

    

     1. ㉠ LAND ㉡ SYN Flooding ㉢ Smurf ㉣ DoS
     2. ㉠ SYN Flooding ㉡ Smurf ㉢ LAND ㉣ Sniffing
     3. ㉠ SYN Flooding ㉡ LAND ㉢ Smurf ㉣ DoS
     4. ㉠ LAND ㉡ Smurf ㉢ SYN Flooding ㉣ Sniffing

     정답 : [3]☜ 블럭 설정하면 보임
     정답률 : 86%

29. 애플리케이션 계층 취약점을 이용하는 공격유형과 거리가 먼 것은?
     1. Heartbleed
     2. Memcached DDoS
     3. Meltdown, Spectre
     4. Shell Shock

     정답 : [2]☜ 블럭 설정하면 보임
     정답률 : 45%
     <문제 해설>
애플리케이션 계층 취약점을 이용하는 공격 유형 중에서 거리가 먼 것은 "2. Memcached DDoS"입니다.
Heartbleed: OpenSSL 라이브러리의 취약성을 이용하여 SSL/TLS 통신에서 개인 정보를 유출할 수 있는 공격입니다. 애플리케이션 계층의 보안 결함을 이용하는 대표적인 예입니다.
Meltdown, Spectre: CPU 칩에 존재하는 설계 결함을 악용하여 메모리 정보를 탈취할 수 있는 공격입니다. 애플리케이션 계층보다는 하드웨어와 관련된 취약점을 이용합니다.
Shell Shock: Bash 쉘에 있는 취약성을 이용하여 원격 코드 실행 및 명령어 인젝션 등의 공격을 수행할 수 있습니다. 서버 환경에서 실행되는 애플리케이션에 영향을 주는 공격으로, 애플리케이션 계층의 취약점을 타깃으로 합니다.
반면, "2. Memcached DDoS"는 애플리케이션 계층의 취약점보다는 네트워크 프로토콜과 관련된 DDoS(Distributed Denial of Service) 공격 유형입니다. Memcached 서버를 악용하여 대규모 트래픽으로 인한 서비스 거부 상태를 유발하는 것으로, 일반적으로 UDP 프로토콜과 관련됩니다.
[해설작성자 : ㅇㅇ]

Memcached DDoS: 전송 계층
나머지는 애플리케이션 계층
(Meltdown, Spectre는 하드웨어 취약점이나 애플리케이션 계층에서 순차/비순차 명령어를 이용해서 발생시킴)
[해설작성자 : 든든하게]

30. 스푸핑 공격에 따른 침해사고 발생 시 네트워크 기반 증거의 출처 장비 중 물리적인 포트와 MAC 주소 간의 매핑을 저장하는 CAM 테이블을 포함하고 있으며, 조사관이 트래픽을 캡처하거나 저장할 수 있는 플랫폼을 갖는 장비는 무엇인가?
     1. 방화벽
     2. 스위치
     3. IDS
     4. IPS

     정답 : [2]☜ 블럭 설정하면 보임
     정답률 : 69%

31. 다음 지문에서 설명하는 ICMP 메시지 타입은?

    

     1. Source Quench
     2. Destination Unreachable
     3. Time Exceeded
     4. Parameter Problem

     정답 : [1]☜ 블럭 설정하면 보임
     정답률 : 67%
     <문제 해설>
1. Source Quench: 네트워크의 혼잡으로 인해 데이터그램이 유실될 때 송신자에게 통신량을 줄이라는 메시지를 보내는 역할을 합니다.
2. Destination Unreachable: 목적지에 도달할 수 없을 때 송신자에게 알려주는 메시지입니다.
3. Time Exceeded: 데이터그램의 TTL(Time to Live)이 초과되어 폐기될 때 송신자에게 알려주는 메시지입니다.
4. Parameter Problem: IP 헤더의 필드에 잘못된 값이 있을 때 송신자에게 알려주는 메시지입니다.
[해설작성자 : SJ]

32. 다음 중 파일을 안전하게 전송하기 위하여 SSH(Secure Shell)를 사용하는 프로토콜은?
     1. SFTP(Secure FTP)
     2. TFTP(Trivial FTP)
     3. FTPS(FTP-SSL)
     4. HTTPS(HTTP-Secure)

     정답 : [1]☜ 블럭 설정하면 보임
     정답률 : 83%

33. 무선 네트워크 보안 프로토콜에 관한 다음 설명 중 틀린 것은?
     1. WEP, WPA, WPA2 모두 통신 기기들에 대한 인증과 메시지 암호화 기능을 제공한다.
     2. WEP에서는 암호 강도가 높지 않은 RC4를 암호화 알고리즘으로 사용하였으며, AES 기반의 강력한 암호화 방식을 의무화한 것은 WPA에서부터이다.
     3. WEP에서는 인증이나 암호화에 사전 공유키를 사용할 수 있지만, WPA나 WPA2에서처럼 동적으로 암호키를 변경하는 기능을 제공하지는 않는다.
     4. WPA, WPA2 등에서는 WEP에는 없는 엔터프라이즈 모드를 제공하며, 엔터프라이즈 모드에서는 인증 및 키 관리 기능을 수행하는 중앙 서버를 이용할 수 있다.

     정답 : [2]☜ 블럭 설정하면 보임
     정답률 : 56%
     <문제 해설>
WEP가 RC4를 사용한것은 맞으나, AES 기반 암호화는 WPA2부터 사용하였습니다.
[해설작성자 : 피오]

34. 네트워크 방화벽(Firewall)의 주요 기능과 거리가 먼 것은?
     1. 접근 제어
     2. 로깅과 감사 추적
     3. 인증
     4. 개인정보 마스킹

     정답 : [4]☜ 블럭 설정하면 보임
     정답률 : 80%

35. Smurf 공격은 보통 라우터가 패킷을 받아서 다른 포트로 forwarding할 때 목적지 IP 주소의 네트워크 부분만 참조하고 라우팅 테이블을 검색하여 패킷을 전달하는 점을 이용한 공격 방법이다. Source IP 주소를 자신의 IP 주소가 아닌 공격대상 시스템의 IP 주소로 변조한 후 subnet의 broadcast 주소로 ICMP Echo Request를 보내면 이 패킷은 라우터를 거쳐서 특정 네트워크에 도착하여 모든 시스템이 받게 된다. 그러면 네트워크의 모든 시스템은 위조된 IP 주소로 ICMP Echo Reply 패킷을 전송하게 된다. 결과적으로 시스템은 Congestion 상태에 빠지게 되어 심각한 서비스 장애를 일으킨다. 이러한 공격 방법을 방지하기 위한 설명 중 내용이 적절하지 못한 것은?
     1. 라우터에서 Direct Broadcast를 Disable시킨다.
     2. IP Broadcast 주소로 도착한 ICMP 패킷에 대한 Reply를 금지시킨다.
     3. 라우터의 Ingress Filtering을 이용하여 Spoof된 패킷을 막는다.
     4. 65,535byte보다 큰 ICMP Echo 패킷을 IP Fragmentation을 이용하여 전송한다.

     정답 : [4]☜ 블럭 설정하면 보임
     정답률 : 81%
     <문제 해설>
Smurf 공격은 ICMP Echo Request의 브로드캐스트와 스푸핑된 소스 IP를 이용하는 공격이며, 패킷 크기나 IP Fragmentation과는 관계가 없습니다.
[해설작성자 : SJ]

36. VPN을 구현하는 프로토콜과 해당 프로토콜이 속하는 계층이 바르게 연결된 것은?
     1. L2TP – Data Link Layer
     2. SSH – Session Layer
     3. IPSec – Transport Layer
     4. SSL – Network Layer

     정답 : [1]☜ 블럭 설정하면 보임
     정답률 : 70%

37. 파일에 숨겨진 악성코드만 골라 막는 콘텐츠 보안 솔루션으로 파일을 분해해 악성파일 혹은 불필요한 파일을 제거하고 콘텐츠는 원본과 동일하게 새로운 파일을 만드는 솔루션은?
     1. CDR(Content Disarm & Reconstruction)
     2. WAF(Web Application Firewall)
     3. DLP(Data Loss Prevention)
     4. 스팸 필터 솔루션

     정답 : [1]☜ 블럭 설정하면 보임
     정답률 : 81%

38. 침입 탐지에 대한 설명 중 옳은 것은?
     1. 침입을 하는 전문적인 집단으로 CERT가 있다.
     2. Honey pot을 이용하면 공격자의 행동 정보를 수집할 수 있다.
     3. 침입을 탐지 못하고, 통과시키는 것을 False Positive라고 한다.
     4. 내부 공격자의 위협을 줄이기 위해서는 보안 설정을 Blacklist 방식으로 해야 한다.

     정답 : [2]☜ 블럭 설정하면 보임
     정답률 : 68%

39. 올바르지 않은 것은?
     1. TCP SYN 플러딩 공격은 서버의 시스템 자원에 대한 공격이며, 일반 사용자들이 서버로 접속을 못하도록 하는 공격으로 서버 측의 대기 큐의 크기를 늘리는 방법이 대응 방안이 될 수 있다.
     2. 스머프 공격은 UDP 플러딩 공격으로 IP 주소의 브로드캐스트 주소대역을 이용한다.
     3. Teardrop 공격은 IP 단편들이 서로 중첩되도록 IP 패킷 헤더를 조작해서 수신 측의 IP 패킷의 재조합 과정에서 오류를 발생시키도록 하는 공격이나, 최신 운영체제로의 업데이트로 문제를 해결할 수 있다.
     4. HTTP GET 플러딩 공격은 공격자가 에이전트 다수에게 원격에서 명령을 보내어 동시에 특정 웹 페이지를 요청하는 형태로 공격이 이루어질 수 있으며, DDoS 공격 대응 장비에서 임계치 기반 방어 기법을 사용하면 해결에 도움이 된다.

     정답 : [2]☜ 블럭 설정하면 보임
     정답률 : 51%
     <문제 해설>
스머프 공격은 UDP 플러딩 공격이 아니라 ICMP 에코 요청을 이용한 공격입니다.
[해설작성자 : SJ]

40. 아래의 결과를 보았을 때 이 네트워크는 어떠한 공격에 취약하다고 추측할 수 있는가?

    

     1. Land Attack
     2. Smurf Attack
     3. Syn Flooding Attack
     4. Ping of Death Attack

     정답 : [2]☜ 블럭 설정하면 보임
     정답률 : 64%

3과목 : 어플리케이션 보안


41. 다음 지문에서 설명하고 있는 API는?

    

     1. WebCrypto API
     2. REST API
     3. SOAP API
     4. Indexing API

     정답 : [1]☜ 블럭 설정하면 보임
     정답률 : 55%

42. 다음 중 DB 암호화 유형 중 애플리케이션의 수정 없이 사용될 수 있는 유형으로 올바르게 짝지어진 것은?
     1. Plug-In 유형 – API 유형
     2. TDE 방식 – 파일 암호화
     3. API 유형 – TDE 방식
     4. Plug-In 유형 – 파일 암호화

     정답 : [2]☜ 블럭 설정하면 보임
     정답률 : 40%
     <문제 해설>
DB 암호화 유형
API방식: 데이터베이스에 직접 코드를 구현 / 세밀한 제어 가능/더 많은 개발 및 유지보수 비용
                 Java Cryptography Extension (JCE),Microsoft CryptoAPI, Python Cryptography Toolkit(PyCrypto)
Plug-in : 외부 플러그인 설치 사용 / 데이터베이스 시스템의 내부 동작에 더 밀접하게 통합/ 개발 및 유지보수 비용 상대적으로
                    낮음.
                    MySQL Enterprise Transparent Data Encryption (TDE) Plugin, Oracle Advanced Security Option (ASO),
                    Microsoft SQL Server Transparent Data Encryption (TDE):
[해설작성자 : nico1006]

추가
DB 암호화 유형에는 아래 네 가지가 있고
1.전체 DB 암호화 (Full Database Encryption)
2.필드 수준 암호화 (Field-level Encryption)
3.투명한 데이터 암호화 (Transparent Data Encryption, TDE)
    저장소 수준에서 데이터를 암호화. 데이터베이스가 디스크에 저장될 때 자동 암호화.
    애플리케이션 코드 수정 없이 데이터베이스 전체 보호. 보안 강화하지만 암호화 및 복호화 비용.
4.암호화된 연결 (Encrypted Connections)
    데이터베이스와 클라이언트 간의 통신 암호화. SSL 또는 TLS 사용. 데이터가 전송되는 동안 암호화되어 도청 방지
[해설작성자 : nico1006]

43. CAPTCHA에 대한 설명으로 잘못된 것은?
     1. HIP(Human Interaction Proof) 기술의 일종이다.
     2. 웹사이트 회원가입 시 자동가입방지 등을 위해 사용된다.
     3. 튜링 테스트(Turing Test)라고도 부른다.
     4. 인공지능의 한계를 이용한 인증 기법이다.

     정답 : [3]☜ 블럭 설정하면 보임
     정답률 : 57%
     <문제 해설>
CAPTCHA는 "Completely Automated Public Turing test to tell Computers and Humans Apart"의 약자로
이름에 Turing test라는 단어가 있기는 하지만 앨런튜링이 실행했던 turing test를 역으로 이용한 것이다.
(원래 튜링테스트는 사람에게 방금 대화한 상대가 사람이냐 기계이냐 물었던 거고
CAPTCHA는 기계에게 방금 상호작용한 상대가 사람이냐 기계이냐고 물어보는 방식)
보기에는 단지 튜링테스트라고도 부른다고 해서 꼭 틀린 답이라고 할 수는 없으나 다른 보기들에 오류가 없으므로
굳이 따지자면 3번이 답인 듯.
[해설작성자 : nico1006]

44. XML 기반의 보안기술에 대한 설명 중 옳지 않은 것은?
     1. XML Signature – 무결성 및 부인방지 기능
     2. XKMS – PKI 서비스 기능
     3. SAML – 가용성 보장 기능
     4. XACML – 접근제어 기능

     정답 : [3]☜ 블럭 설정하면 보임
     정답률 : 60%
     <문제 해설>
1. XML Signature :
     XML 문서의 인증과 무결성을 보장하기 위한 표준 기술

2. XKMS(XML Key Management Specification) :
     XML 기반의 키 관리 및 인증 서비스를 제공하기 위한 표준

3. SAML(Security Assertion Markup Language):
        인증 및 권한 부여를 위한 XML 기반의 보안 표준. 신원 제공자(IdP, Identity Provider)와 서비스 제공자(SP, Service
        Provider) 간에 사용자 인증 및 권한 정보를 안전하게 전달하고 교환하는 데 사용.
        SAML은 단일 로그인(SSO, Single Sign-On) 및 서비스 접근 제어 등의 보안 기능 제공
        웹 기반의 인증 및 권한 관리를 간편하게 구현.

4. XACML(eXtensible Access Control Markup Language):
     XML 기반의 접근 제어 규칙 및 정책을 정의하기 위한 표준.권한 부여 및 접근 제어를 효율적으로 관리.
     사용자, 리소스, 액션 등의 속성을 기반으로 접근 제어 결정을 내리며, 보안 정책의 중앙 집중식 관리와
     유연한 구현을 지원
[해설작성자 : nico1006]

45. WPKI에 대한 설명으로 적절하지 않은 것은?
     1. 무선 인터넷 상에서의 인터넷 뱅킹, 사이버 주식 거래 시 외부 침입이나 정보 누출로부터 보호받을 수 있도록 하는 무선 인터넷 공개키 기반 구조이다.
     2. PKI 기술의 핵심인 비밀성, 무결성 및 신원 확인과 부인방지 같은 서비스를 무선 환경에서 구현함으로써 무선 보안을 가능하게 한다.
     3. 모바일의 특성을 고려하지 않은 솔루션으로 무선 인터넷기기와 주고받는 데이터나 애플리케이션에 보안을 지원한다.
     4. 규격 내용은 전자서명, WTLS(Wireless Transport Layer Security) 인증서 프로파일, 인증서 DN(Distinguished Name), 인증서 및 알고리즘 관련 OID(Object Identifier) 등으로 구성되어 있다.

     정답 : [3]☜ 블럭 설정하면 보임
     정답률 : 82%
     <문제 해설>
WPKI는 모바일 환경의 특성을 고려한 솔루션입니다.
[해설작성자 : SJ]

46. 모바일 앱(App) 보안에 관한 내용으로 틀린 것은?
     1. 서비스 지속성을 위해 루팅이나 탈옥된 단말에서도 서비스가 정상적으로 동작되어야 한다.
     2. 정상 기능 오동작이나 취약점을 통해 배터리 고갈, 과도한 트래픽 유발, 허가되지 않은 주소로 정보 전송 등이 되어서는 안 된다.
     3. 디컴파일 도구를 이용 시 실행파일을 소스코드로 쉽게 변환시킬 수 있으며, 이를 이용하여 앱 위변조 발생이 가능하다. 이를 예방하기 위해 난독화 도구를 사용하여 패키징한 후 배포해야 한다.
     4. 앱 설치 시 비정상적인 파일/디렉터리가 생성되지 않아야 하며, 실행 시에는 불필요한 접근 권한이 존재해서는 안된다. 또한 앱 삭제 시에는 관련된 파일이 완전히 삭제되어야 한다.

     정답 : [1]☜ 블럭 설정하면 보임
     정답률 : 81%

47. 다음 중 메일 서버의 구성요소로만 이루어진 것은?
     1. MUA, MTA, SPF
     2. MUA, URLBL, PGP
     3. IMAP, MDA, POP3
     4. SMTP, SPF, MTA

     정답 : [3]☜ 블럭 설정하면 보임
     정답률 : 69%
     <문제 해설>
MUA(User Agent)
사용자가 메일을 송수신하기 위해 사용하는 메일 클라이언트 프로그램
Outlook, 썬더버드 등

MTA(Message Transfer Agent)
메일 서버프로그램으로 수신한 메일을 분석하여 수신자가 자신이 아닌 메일주소라면 해당 주소의 메일 서버로 전송(메일 릴레이 기능)하고 수신자 자신의 메일의 주소라면 MDA를 통해 각 사용자 메일함에 저장하도록 한다.
Sendmail, Microsoft Exchange 등(전자 우편 서버에 설치되어있는 CS 프로그램)

MDA(Mail Delivery Agent)
사용자의 메일함으로 메일을 저장해주는 프로그램으로 메일이 최종 수신 메일서버(MTA)에 도착했을 때 메일 서버는 MDA에 메일을 전달하고 MDA는 사용자 메일함에 메일을 저장한다.
Porcmail

MRA(Mail Retrieval Agent)
메일 클라이언트(MUA)가 확인을 요청하는 메일을 사용자 메일함에서 사용자로 전달해주는 프로그램으로 MUA와 MRA간 통신은 POP3 또는 IMAP 프로토콜을 사용한다.
[해설작성자 : 호서혀ㅇㅇㄴ]

48. 다음은 HTTP 프로토콜 중 Header 옵션에 대한 설명이다. 가장 알맞은 것은?

    

     1. Cookie
     2. User-Agent
     3. Cache-Control
     4. Content-Length

     정답 : [3]☜ 블럭 설정하면 보임
     정답률 : 76%

49. FTP Passive 모드에 대한 설명으로 옳지 않은 것은?
     1. 데이터 전송을 위해 1024번 이전 포트를 사용한다.
     2. 서버에서 클라이언트를 접속해야 하는 모순을 해결하기 위해 고안된 방식이다.
     3. 보안을 위해서는 서버에서 Passive 모드로 사용할 포트를 제한한다.
     4. 제어 전송을 위해 서버에서는 21번 포트를 사용한다.

     정답 : [1]☜ 블럭 설정하면 보임
     정답률 : 68%
     <문제 해설>
FTP는 크게 Active / Passive 모드로 나뉩니다
Active: 데이터는 20번, 명령어는 21번 포트 사용
Passive: 명령어는 21번, 데이터는 1024번 이후 포트 사용
[해설작성자 : c0d1n9]

50. DNSSEC의 전자서명과 서명검증 절차를 지원하기 위하여 추가한 신규 리소스 레코드와 관련이 없는 것은?
     1. DNSCA
     2. DNSKEY
     3. RRSIG
     4. NSEC/NSEC3

     정답 : [1]☜ 블럭 설정하면 보임
     정답률 : 39%
     <문제 해설>
DNSSEC 레코드:
- DNSKEY: 도메인 존의 공개키를 저장
- RRSIG: 존(Zone)내의 RRSET에 대한 개인키의 전자서명 결과
- DS: 보안 측면의 인증된 위임 체계를 구성하는 데이터
- NSEC/NSEC3: DNS 데이터 부재 인증을 위한 리소스
[해설작성자 : 든든하게]

1.DNSCA(DNS Certification Authority)
    DNSSEC(Domain Name System Security Extensions)에서 사용되는 인증서를 발급하고 관리하는 인증 기관.
    DNS데이터의 무결성 보호를 위한 보안기술의 구현 지원
2.DNSKEY(DNS Key Record)
    DNSSEC에서 사용되는 공개 키를 포함하는 DNS 레코드.    DNSKEY는 DNS 데이터의 인증을 위해 사용,
    디지털 서명을 검증하고 인증된 DNS 데이터의 무결성을 보장하는데 사용.
3.RRSIG (Resource Record Signature)
    DNSSEC에서 사용되는 리소스 레코드의 디지털 서명을 포함하는 레코드.특정 DNS 데이터 레코드의 무결성 증명,
    해당 데이터가 실제로 DNS 서버에서 발행된 것임을 검증.
4.NSEC/NSEC3 (Next Secure/NSEC3)
    인접한 DNS 레코드의 존재 여부를 증명하는 데 사용.이러한 레코드들은 DNSSEC의 무결성을 유지하고
    DNS 데이터의 변조나 변조 시도를 탐지하기 위해 사용됨
[해설작성자 : nico1006]

문제는 레코드가 아닌 것을 고르는 것이고 DNSCA는 인증기관이고
DNSKEY, RRSIG, NSEC/NSEC3은 레코드들임.
[해설작성자 : nico1006]

51. 개발된 소스 코드를 살펴봄으로써 코드 상의 취약점을 찾는 방식은?
     1. Black Box Testing
     2. White Box Testing
     3. Green Box Testing
     4. Brown Box Testing

     정답 : [2]☜ 블럭 설정하면 보임
     정답률 : 81%

52. 메일 수신 서버 또는 웹 메일 서버로부터 전자우편 메시지를 자신의 컴퓨터 단말 장치로 전송받는 데 사용되는 프로토콜이 아닌 것은?
     1. IMAP(Internet Mail Access Protocol)
     2. RTP(Realtime Transport Protocol)
     3. POP(Post Office Protocol)
     4. HTTP(HyperText Transfer Protocol)

     정답 : [2]☜ 블럭 설정하면 보임
     정답률 : 61%
     <문제 해설>
RTP(Real-time Transport Protocol)는 실시간으로 오디오 및 비디오 스트리밍과 같은 멀티미디어 데이터를 전송하기 위한 프로토콜
[해설작성자 : nico1006]

53. ㉠, ㉡에 들어갈 용어로 올바르게 짝지어진 것은?

    

     1. ㉠ 작업증명 ㉡ 채굴
     2. ㉠ 작업증명 ㉡ 송금
     3. ㉠ 지분증명 ㉡ 채굴
     4. ㉠ 지분증명 ㉡ 송금

     정답 : [1]☜ 블럭 설정하면 보임
     정답률 : 83%

54. HWP, TXT, PDF, 도면 등 업무에 사용하는 파일을 암호화하여, 외부자는 물론 허가된 내부자에 의한 주요 정보유출을 원천 차단함으로써 기업 정보 유출을 막는 솔루션은?
     1. IPS(Intrusion Prevention System)
     2. DRM(Digital Rights Management)
     3. ESM(Enterprise Security Management)
     4. VPN(Virtual Private Network)

     정답 : [2]☜ 블럭 설정하면 보임
     정답률 : 59%

55. 다음 중 SSO에 대한 설명으로 적절하지 못한 것은?
     1. 하나의 아이디로 여러 사이트를 이용할 수 있는 시스템이다.
     2. 싱글사인온(SSO)을 사용하면 응용서비스 로그인 시간을 줄여준다.
     3. SSO를 이용하면 개별 애플리케이션 단위로 동일한 암호를 설정하게 되므로 편리하기는 하지만 보안의 입장에서는 권장하지 않는다.
     4. SSO 솔루션을 통해 직원이 어디서 어떤 응용서비스에 접속하여 무엇을 하는지에 대한 로그정보 저장이 가능하다.

     정답 : [3]☜ 블럭 설정하면 보임
     정답률 : 70%
     <문제 해설>
개별 애플리케이션 단위로 동일한 암호를 설정하는 것이 아니라 하나의 안전한 인증 메커니즘으로
여러 애플리케이션에 접근하므로 보안 향상.
[해설작성자 : nico1006]

SSO는 실제로 동일한 암호를 설정하지 않습니다. SSO의 목적은 사용자가 여러 애플리케이션에 대해 각각 다른 암호를 기억하지 않아도 되도록 하는 것이지, 동일한 암호를 사용하는 것이 아닙니다. 이 설명은 부적절합니다.
[해설작성자 : SJ]

56. 디지털 포렌식의 원칙 중 어느 원칙에 대한 설명인가?

    

     1. 연계보관성의 원칙
     2. 정당성의 원칙
     3. 무결성의 원칙
     4. 재현의 원칙

     정답 : [1]☜ 블럭 설정하면 보임
     정답률 : 80%

57. 다음 지문이 설명하는 소프트웨어 보안 약점을 고르면?

    

     1. 크로스사이트 요청 위조 공격(CSRF)
     2. 크로스 사이트 스크립트(XSS)
     3. 경로 조작 및 자원 삽입
     4. SQL 삽입

     정답 : [1]☜ 블럭 설정하면 보임
     정답률 : 71%
     <문제 해설>
CSRF 공격:
사용자가 이미 인증된 상태에서 악의적인 요청을 실행
XSS 공격:
웹 애플리케이션에서 실행되는 스크립트 코드를 이용하여 사용자의 브라우저에서 악의적인 동작 수행
[해설작성자 : nico1006]

58. 다음 지문에서 설명하는 것은?

    

     1. 이상행위 탐지시스템(FDS)
     2. 침입탐지시스템(IDS)
     3. 블록체인(Blockchain)
     4. SET(Secure Electronic Transaction)

     정답 : [1]☜ 블럭 설정하면 보임
     정답률 : 78%
     <문제 해설>
1. 이상행위 탐지시스템(FDS): 결제 패턴을 분석하고 이상한 결제 행위를 탐지하여 차단하는 시스템.
2. 침입탐지시스템(IDS): 네트워크 또는 시스템에서 비정상적인 활동을 탐지하는 보안 시스템.
3. 블록체인(Blockchain): 거래의 투명성과 보안을 강화하는 분산 원장 기술.
4. SET(Secure Electronic Transaction): 전자 결제 과정의 보안을 강화하기 위한 프로토콜.
[해설작성자 : SJ]

59. 다음 지문의 빈칸 ㉠, ㉡에 들어갈 내용이 올바르게 짝지어진 것은?

    

     1. A의 공개키, B의 개인키
     2. 비밀키, A의 개인키
     3. 비밀키, B의 공개키
     4. A의 개인키, B의 공개키

     정답 : [3]☜ 블럭 설정하면 보임
     정답률 : 39%
     <문제 해설>
SET(Secure Electronic Transaction)에서 전자봉투를 생성하여 전송할 때
세션키(Session Key), 비밀키(Secret Key), 공개키(Public Key) 3개의 키가 필요함.
1.세션키(Session Key) : 전자봉투의 보안성과 무결성을 보장하기 위해
2.비밀키(Secret Key) : 전자봉투를 열기 위해 사용되는 대칭키
3.공개키(Public Key) : 전자봉투의 암호화에 사용되며, 수신자 B가 전자봉투를 복호화하는 데 필요
4.디지털 인증서(Digital Certificate):공개키의 유효성을 증명하기 위한 전자적인 문서.
                                                공개키와 해당 키를 소유한 개체(A 또는 B)의 신원 인증.
[해설작성자 : nico1006]

SET(Secure Electronic Transaction)에서 A와 B간에는 비밀키와 공개키가 필요.
비밀키는
전자봉투를 열기 위해 사용되는 대칭키
전자봉투를 생성하는 과정에서 사용되며,
A와 B 간에 공유되어야 함.

공개키는
전자봉투를 생성하는 과정에서 사용되는 비대칭키
전자봉투의 암호화에 사용,
수신자 B가 전자봉투를 복호화하는 데 필요.
수신자 B에게 안전하게 전송되어야 함.
[해설작성자 : nico1006]

60. 다음 지문에서 설명하는 보안 기술은 무엇인가?

    

     1. SOAP(Security Orchestration Automation Platform)
     2. SOAR(Security Orchestration Automation and Response)
     3. SIEM(Security Information and Events Management)
     4. UEBA(User and Entity Behavior Analytics)

     정답 : [2]☜ 블럭 설정하면 보임
     정답률 : 53%
     <문제 해설>
SOAP : 보안 작업을 자동화하는 플랫폼
SOAR : SOAP + 응답 관리 기능-> 통합 플랫폼
SIEM : 보안 정보와 이벤트 관리를 위한 시스템
UEBA : 사용자 및 엔터티의 행동 분석을 통해 보안 위협 탐지하는 분석 기술
[해설작성자 : nico1006]

더 간단하게 통합플랫폼은 SOAR
[해설작성자 : nico1006]

4과목 : 정보 보안 일반


61. 다음 지문이 설명하고 있는 암호 공격방식은?

    

     1. 암호문 단독 공격
     2. 기지 평문 공격
     3. 선택 평문 공격
     4. 선택 암호문 공격

     정답 : [3]☜ 블럭 설정하면 보임
     정답률 : 67%
     <문제 해설>
암호문 단독 공격
(ciphertext only)
상대방에 대한 정보가 전혀 없는 상태에서 암호문만으로 평문과 암호키를 알아내는 공격
많은 암호문이 필요하고 시간도 많이 걸림(일반적으로 불가능)
암호알고리즘/해독될 암호문

알려진 평문 공격
(know plaintext)
평문에 대한 암호문을 일부 알고 있는 상황에서 평문을 알아내는 공격
암호문 단독 공격보다 정보가 어느 정도 있는 상태에서 해독을 하기 때문에 좋은 방법
암호알고리즘/해독될 암호문 / 하나 이상의 비밀키에 의한 일정량의 평문과 암호문 쌍

선택 평문 공격
(chosen plaintext)
공격자가 적의 암호기에 접근할 수 있어 공격자가 선택한 평문을 암호기에 입력했을 때 나온 암호문을 알고서 전체 암호문을 해독하는 공격
암호알고리즘/해독될 암호문 / 해독자가 선택한 평문과 비밀키로 생성된 평문에 대한 암호문

선택 암호문 공격
(chosen ciphertext)
공격자가 선택한 암호문들에 대한 평문이 주어진다는 가정하에 복호화 키를 찾는 공격
암호알고리즘 / 해독될 암호문 / 해독자가 선택한 목적 암호문과 그에 해당하는 평문
[해설작성자 : 세모]

62. 수동적, 능동적 공격 방식의 예가 올바르게 짝지어진 것은?

    

     1.
     2.
     3.
     4.

     정답 : [1]☜ 블럭 설정하면 보임
     정답률 : 87%

63. 블록 암호 알고리즘을 사용하여 메시지 인증 코드(MAC)를 생성할 때 가장 적합한 블록 암호 모드는 무엇인가?
     1. CBC 모드
     2. ECB 모드
     3. OFB 모드
     4. CTR 모드

     정답 : [1]☜ 블럭 설정하면 보임
     정답률 : 64%

64. 인증 수단으로는 일반적으로 알고 있는 것, 자신의 모습, 가지고 있는 것, 위치하는 곳 등의 방식을 사용한다. 다음 인증 방식의 예로 옳지 않은 것은?
     1. 알고 있는 것(something you know) - 사용자 아이디, 아이디에 해당하는 패스워드, OTP(One Time Password) 생성기
     2. 자신의 모습(something you are) - 지문, 망막, 홍채
     3. 가지고 있는 것(something you have) - 스마트 카드, 신분증
     4. 위치하는 곳(somewhere you are) - 사용자 IP 주소, 콜백(call back)

     정답 : [1]☜ 블럭 설정하면 보임
     정답률 : 72%
     <문제 해설>
OTP 생성기는 가지고 있는 것에 포함됨
[해설작성자 : 세모]

65. 다음 중 사용자 인증 및 개인 식별에 대한 설명으로 옳지 않은 것은?
     1. 사용자 인증 기술은 A가 B에게 자신이 A임을 확인시켜 줄 수 있는 기술이다.
     2. 개인 식별 기술은 B가 C에게 자신이 B가 아니라고 확인시켜 줄 수 있는 기술이다.
     3. 개인을 식별하는 방법으로 지문(생체정보), 보안 토큰(사용자 소유), 비밀번호(사용자 지식) 등이 사용될 수 있다.
     4. 사용자 인증서 보안 요구사항으로는 식별과 인증, 인가 및 책임추적성 등을 들 수 있다.

     정답 : [2]☜ 블럭 설정하면 보임
     정답률 : 79%
     <문제 해설>
개인 식별 기술은 B가 C에게 자신이 B임을 확인시켜 줄 수 있는 기술이다.
[해설작성자 : SJ]

사용자 인증 기술은 A가 B에게 자신이 A임을 확인시켜 줄 수 있는 기술이다.
개인 식별 기술은 특정 사용자가 누구인지를 고유하게 식별할 수 있는 기술이다.
[해설작성자 : SJ]

66. 다음 중 인증서 폐지 목록의 기본 영역에 포함되지 않는 것은?
     1. 서명 알고리즘
     2. 발급자
     3. 버전
     4. 유효 기간

     정답 : [4]☜ 블럭 설정하면 보임
     정답률 : 41%
     <문제 해설>
① CRL 기본 영역
    ㄱ. 서명 알고리즘 : CRL에 서명한 서명 알고리즘 ID 및 관련 데이터
    ㄴ. CRL 발급자 : 발급자 CA의 X.509 이름
    ㄷ. 최근 발급 일자 : 최근 수정 일자
    ㄹ. 다음 발급 일자 : 다음 수정 일자
    ㅁ. 취소 인증서 목록 : 취소된 인증서 목록들
    ㅂ. CRL확장자 : CRL 확장자 유무 및 내용
    ㅅ. 발급자 서명 : 발급자의 서명
② CRL 확장 영역
    ㄱ. CA 키 고유 번호 : CRL에 서명한 키 번호
    ㄴ. 발급자 대체 이름 : CRL 발급자의 대체 이름(e-mail, IP주소 등)
    ㄷ. CRL 발급자 번호 : CRL에 대한 일련 번호
    ㄹ. 발급 분배점 : CRL 분배점 이름
    ㅁ. 델타 CRL지시자 : 최근에 취소된 목록만을 저장한 델타 CRL 지시자
[출처] CRL 구조 및 기능|작성자 루카스
[해설작성자 : 호서혀ㅇㅇㄴ]

ㅇ인증서 효력정지 및 폐지목록 기본필드
    1. 버전
    2. 서명 알고리즘
    3. 발급자
    4. 발급일자
    5. 다음 발급일자
    6. 효력정지 및 폐지목록

ㅇ인증서 효력정지 및 폐지 목록 확장필드
    1. 발급자 공개키 식별자
    2. 발급자 대체 명칭
    3. 인증서 효력정지 및 폐지목록번호
    4. 인증서 효력정지 및 폐지목록 발급 분배점
[해설작성자 : 호서혀ㅇㅇㄴ]

67. 다음은 접근통제가 이루어지는 과정을 설명한 것이다. 빈칸 ㉠에 공통적으로 들어갈 용어는?

    

     1. 상주엔진
     2. 접근통제 API
     3. 시스템호출
     4. 보안커널

     정답 : [4]☜ 블럭 설정하면 보임
     정답률 : 50%

68. 생체인식 기술이 가져야 할 보안 요구조건과 거리가 먼 것은?
     1. 보편성(Universality)
     2. 구별성(Uniqueness)
     3. 일시성(Temporality)
     4. 획득성(Collectability)

     정답 : [3]☜ 블럭 설정하면 보임
     정답률 : 80%

69. 다음 중 전자서명의 요구사항으로 가장 적절하지 않은 것은?
     1. 전자서명 생성이 비교적 용이해야 한다.
     2. 전자서명을 위조하는 것이 계산적으로 실행 불가능해야 한다.
     3. 기억장소에 전자서명의 복사본을 유지하는 것이 실용적이어야 한다.
     4. 위조와 부인을 방지하기 위하여 수신자에 대한 정보를 사용해야 한다.

     정답 : [4]☜ 블럭 설정하면 보임
     정답률 : 55%
     <문제 해설>
4. 위조와 부인을 방지하기 위하여 서명자의 신원 확인과 서명 데이터의 무결성을 보장해야 한다.
[해설작성자 : SJ]

70. 다음 중 해시함수가 적용되는 분야를 모두 고른 것은?

    

     1. 가, 나
     2. 가, 나, 라
     3. 가, 나, 다, 라
     4. 나, 라

     정답 : [2]☜ 블럭 설정하면 보임
     정답률 : 53%
     <문제 해설>
아래와 같은 오류 신고가 있었습니다.
여러분들의 많은 의견 부탁 드립니다.
추후 여러분들의 의견을 반영하여 정답을 수정하도록 하겠습니다.
참고로 정답 변경은 오류 신고 5회 이상일 경우 수정합니다.

[오류 신고 내용]
해시 함수 적용분야에는 가,나,다,라 4개 다 사용됩니다.
[해설작성자 : comcbt.com 이용자]

71. 다음은 메시지 인증 절차를 설명한 것이다. 괄호 안에 들어 갈 단어가 순서대로 나열된 것은?

    

     1. a 송신자 - b 개인키 - c 송신자 - d 공개키
     2. a 송신자 - b 개인키 - c 송신자 - d 개인키
     3. a 수신자 - b 개인키 - c 수신자 - d 공개키
     4. a 송신자 - b 공개키 - c 수신자 - d 개인키

     정답 : [1]☜ 블럭 설정하면 보임
     정답률 : 65%

72. 공개키 암호방식에 이용되는 이론적으로 풀기 어려운 수학 문제들은 대부분 소인수 분해 문제, 이산대수 문제, NP-complete 문제 등으로 분류할 수 있다. 다음 중 이산대수 문제에 기반한 공개키 알고리즘과 가장 거리가 먼 것은?
     1. ECC
     2. Knapsack
     3. DSA
     4. ElGamal

     정답 : [2]☜ 블럭 설정하면 보임
     정답률 : 61%

73. 패스워드는 사용자 인증에 흔히 사용되는 기법이지만 보안에 매우 취약한 문제가 있다. 다음 지문의 빈칸 ㉠에 들어갈 용어로 적절한 것은?

    

     1. 핀(PIN)
     2. 패스프레이즈(Passphrase)
     3. 풀(Pool)
     4. 사전(Dictionary)

     정답 : [4]☜ 블럭 설정하면 보임
     정답률 : 83%

74. 자신의 비밀을 노출하지 않으면서 자신이 비밀을 알고 있다는 것을 증명하는 인증 방법은?
     1. 패스워드
     2. 영지식 인증
     3. 바이오매트릭스
     4. 시도-응답 인증

     정답 : [2]☜ 블럭 설정하면 보임
     정답률 : 71%

75. 다음 지문에서 설명하는 암호방식은?

    

     1. 동형(Homomorphic) 암호화
     2. 형태보존(Format Preserving) 암호화
     3. 순서보존(Order Preserving) 암호화
     4. 블록체인(Block Chain) 암호화

     정답 : [1]☜ 블럭 설정하면 보임
     정답률 : 49%

76. MAC에 대한 설명 중 잘못된 것은?
     1. 메시지 인증은 메시지 송수신자 사이에 문서의 위⋅변조공격에 대한 대응 방안으로 활용한다.
     2. MAC 생성에 키를 사용하는 해시함수가 널리 사용된다.
     3. MAC 자체만으로는 재전송 공격에 취약하다.
     4. 메시지 인증은 송신자와 수신자의 안전하고 훼손되지 않는 Key 관리가 목표이다.

     정답 : [4]☜ 블럭 설정하면 보임
     정답률 : 51%
     <문제 해설>
메시지의 내용이 전송 도중 불법적으로 위변조되지 않고 정확하고 완전하게 수신되었는지 확인
[해설작성자 : 세모]

77. 다음 중 정보자원에 접근하기 위한 3단계 절차에 해당하지 않는 보안 요구사항은 무엇인가?
     1. 식별(Identification)
     2. 인증(Authentication)
     3. 인가(Authorization)
     4. 책임추적성(Accountability)

     정답 : [4]☜ 블럭 설정하면 보임
     정답률 : 80%

78. 메시지 인증 코드의 구조적 제약사항에 따른 재전송 공격을 막는 방법과 거리가 먼 것은?
     1. Sequence Number
     2. Hash
     3. Nonce
     4. Timestamp

     정답 : [2]☜ 블럭 설정하면 보임
     정답률 : 63%

79. 다음 지문에서 설명하는 것은?

    

     1. SSO(Single Sign On)
     2. OAuth
     3. OpenID
     4. OIDC(OpenID Connect)

     정답 : [2]☜ 블럭 설정하면 보임
     정답률 : 73%
     <문제 해설>
1. SSO (Single Sign On): 하나의 로그인으로 여러 애플리케이션이나 시스템에 접근할 수 있도록 하는 인증 방식입니다.
2. OAuth: 인터넷 애플리케이션에서 사용자 인증을 위해 공개 API로 구현된 표준 인증 방법으로, 다른 애플리케이션이 사용자 자원에 접근할 수 있도록 합니다.
3. OpenID: 사용자가 하나의 ID로 여러 웹사이트에 로그인할 수 있도록 하는 분산된 디지털 신원 인증 시스템입니다.
4. OIDC (OpenID Connect): OAuth 2.0을 기반으로 한 인증 프로토콜로, OAuth 2.0의 권한 부여 기능에 사용자 인증 기능을 추가한 것입니다.
[해설작성자 : SJ]

80. 다음 지문에서 설명하는 용어는 무엇인가?

    

     1. 혼돈
     2. 확산
     3. 차분(Differential)
     4. 선형(Linear)

     정답 : [2]☜ 블럭 설정하면 보임
     정답률 : 44%

81. 정보를 전송하는 과정에서 송신자와 수신자가 해당 자원에 대한 사용이 정당한지를 확인하기 위한 절차를 무엇이라고 하는가?
     1. 인증
     2. 인가(Authorization)
     3. 감사(Auditing)
     4. 관리

     정답 : [2]☜ 블럭 설정하면 보임
     정답률 : 59%

82. 다음 중 주요정보통신기반시설 관리기관이 취약점 분석⋅평가를 의뢰할 수 없는 기관은?
     1. 「국가정보화기본법」 에 의한 한국정보화진흥원
     2. 「정보통신기반보호법」 에 의한 정보공유⋅분석센터
     3. 「정보보호산업의 진흥에 관한 법률」 에 따라 지정된 정보보호 전문서비스 기업
     4. 「정부출연연구기관 등의 설립⋅운영 및 육성에 관한 법률」 에 의한 한국전자통신연구원

     정답 : [1]☜ 블럭 설정하면 보임
     정답률 : 43%
     <문제 해설>
주요 오답 빈출로 나오는건
- 국정원, 한국정보화진흥원(NIA) 나오면 오답임 ㅇㅇㅇ
- 인터넷진흥원이 맞음 ㅇㅇ
[해설작성자 : 제쥬수달91]

83. 이것은 영국표준협회(BSI)에서 만든 정보보호관리체계에 대한 표준으로, 최상의 정보보호관리를 위한 포괄적인 일련의 관리 방법에 대하여 요건 별로 해석해 놓은 규격으로, 기업이 고객 정보의 기밀성, 무결성, 가용성을 보장한다는 것을 공개적으로 확인하는 것이 목적이다. 이것은 현재 국제표준기구인 ISO에 의해 ISO 27000 시리즈로 발전하였다. 이것은 무엇인가?
     1. ITSEC(Information Technology Security Evaluation Criteria)
     2. TCSEC(Trusted Computer System Evaluation Criteria)
     3. CC(Common Criteria)
     4. BS7799(British Standard 7799)

     정답 : [4]☜ 블럭 설정하면 보임
     정답률 : 55%

84. 사이버 폭력의 특징이 아닌 것은?
     1. 사이버 폭력 행위는 빠르게 확산된다.
     2. 익명성으로 인해 사이버 폭력 행위를 쉽게 하게 된다.
     3. 가해자를 찾아내기 쉽다.
     4. 자신도 모르는 사이에 사이버 폭력 행위를 할 수 있다.

     정답 : [3]☜ 블럭 설정하면 보임
     정답률 : 90%

85. 개인정보보호법에서 정한 '민감정보'에 해당하지 않는 것은?
     1. 장애 등급
     2. 지문 인증 방식에 사용되는 지문 정보
     3. 인종에 관한 정보
     4. 혈액형

     정답 : [4]☜ 블럭 설정하면 보임
     정답률 : 62%

86. 위험분석 방법론으로 적절히 짝지은 것은?

    

     1. ㉠ 확률분포법 ㉡ 순위결정법
     2. ㉠ 시나리오법 ㉡ 델파이법
     3. ㉠ 델파이법 ㉡ 확률분포법
     4. ㉠ 순위결정법 ㉡ 시나리오법

     정답 : [2]☜ 블럭 설정하면 보임
     정답률 : 88%

87. 개인정보의 가명정보 처리에 대한 설명으로 틀린 것은?
     1. 개인정보처리자는 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 정보주체의 동의 없이 가명정보를 처리할 수 있다.
     2. 누구든지 특정 개인을 알아보기 위한 목적으로 가명정보를 처리해서는 아니 된다.
     3. 가명정보 및 가명정보를 원래의 상태로 복원하기 위한 추가 정보에 대하여 안전성 확보 조치는 개인정보처리자가 임의로 처리하여야 한다.
     4. 개인정보처리자는 가명정보를 처리하는 과정에서 특정 개인을 알아볼 수 있는 정보가 생성된 경우에는 즉시 해당 정보의 처리를 중지하고 지체 없이 회수⋅파기하여야 한다.

     정답 : [3]☜ 블럭 설정하면 보임
     정답률 : 67%

88. '위치정보'란 이동성 있는 물건 또는 개인이 특정한 시간에 존재하거나 존재하였던 장소에 관한 정보를 말한다. 다음 중 「위치정보보호를 위한 관리적⋅기술적 보호조치 권고」와 관련한 설명으로 적절하지 않은 것은?
     1. 관리적⋅기술적 보호조치에 의해 보호되어야 하는 위치정보의 범위는 개인위치정보뿐 아니라 이동성 있는 물건의 위치정보를 포함한다.
     2. 위치 좌표값이 그 자체만으로는 특정인의 위치를 나타내지 못하나 통신단말기 번호 또는 단말기 소지자의 이름 등과 결합하여 특정인의 위치를 알 수 있을 때에는 개인위치정보로 볼 수 있다.
     3. 결합 가능한 정보들이 여러 DB로 분산되어 있거나 제휴회사 등이 별도로 보유하고 있더라도 서비스 제공을 위해 상호 결합될 가능성이 많다면 개인위치정보에 해당될 수 있다.
     4. 법인이나 단체 등의 위치정보도 개인위치정보 보호대상에 포함된다.

     정답 : [4]☜ 블럭 설정하면 보임
     정답률 : 71%

89. 개인정보의 안전성 확보조치 기준에서 사용되는 용어 정의이다. 올바르지 않은 것은?
     1. '개인정보파일'이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물을 말한다.
     2. '개인정보처리시스템'이란 개인정보를 처리할 수 있도록 데이터베이스시스템에 직접 접속하는 단말기를 말한다.
     3. '바이오정보'란 지문, 얼굴, 홍채, 정맥, 음성, 필적 등 개인을 식별할 수 있는 신체적 또는 행동적 특징에 관한 정보로서 그로부터 가공되거나 생성된 정보를 포함한다.
     4. '내부망'이란 물리적 망분리, 접근통제시스템 등에 의해 인터넷 구간에서의 접근이 통제 또는 차단되는 구간을 말한다.

     정답 : [2]☜ 블럭 설정하면 보임
     정답률 : 67%
     <문제 해설>
개인정보처리시스템: 데이터베이스(DB) 내의 데이터에 접근할 수 있도록 해주는 응용시스템을 의미하며, 데이터베이스를 구축하거나 운영하는데 필요한 시스템을 말함
[해설작성자 : 세모]

90. 다음은 개인정보보호법상 개인정보의 처리기준 및 정보주체의 권리에 관한 설명이다. 설명이 가장 올바른 것은?
     1. 주소불명 등으로 정보주체의 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우에 동의 없이 개인정보를 수집⋅이용할 수 있다.
     2. 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우에는 정보주체의 동의 없이 개인정보를 제3자에게 제공할 수 있다.
     3. 정보주체에게 재화나 서비스를 홍보하거나 판매를 권유하기 위하여 개인정보처리위탁에 대한 동의를 받으려는 때에는 정보주체가 이를 명확하게 인지할 수 있도록 알리고 동의를 받아야 한다.
     4. 개인정보보호법상 바이오정보(생체정보)는 민감정보에 해당하므로 건강정보와 마찬가지로 별도의 동의를 받아야 한다.

     정답 : [1]☜ 블럭 설정하면 보임
     정답률 : 34%

91. 개인정보취급자 등의 금지행위에 관한 설명이다. 가장 부적절한 것은?
     1. 정보보호 관리체계 인증 업무에 종사했던 자가 그 직무상 알게 된 비밀을 학생들에게 인증 업무 사례로 소개한 경우 형사처벌을 받을 수 있다.
     2. 보험회사의 직원이 친구의 부탁을 받고 친구에게 돈을 빌려간 채무자의 주소, 전화번호 등 연락처를 알려준 경우 형사처벌을 받을 수 있다.
     3. 회사의 개발업무에 종사하고 있는 직원이 학위논문 연구를 위해 고객의 개인정보의 일부를 노트북에 내려받아 실험한 것은 유출로 간주되지 않는다.
     4. 개인정보를 처리하던 자가 위계의 방법으로 개인정보처리에 관한 동의를 받는 경우 형사처벌을 받을 수 있다.

     정답 : [3]☜ 블럭 설정하면 보임
     정답률 : 81%

92. 위험 처리 방안 중 보안 솔루션을 도입하여 보안 통제를 수립하는 방안에 해당하는 것은?
     1. 위험 감소
     2. 위험 수용
     3. 위험 회피
     4. 위험 전가

     정답 : [1]☜ 블럭 설정하면 보임
     정답률 : 75%
     <문제 해설>
● 위험 수용
위험 수용이란 현재의 위험을 받아들이고 잠재적 손실 비용을 감수하는 것을 말한다. 어떠한 대책을 도입하더라도 위험을 완전히 제거할 수는 없으므로, 일정 수준 이하의 위험은 어쩔 수 없는 것으로 인정하고 사업을 진행하는 것이다.

● 위험 감소
위험 감소란 위험을 감소시킬 수 있는 대책을 채택하여 구현하는 것이다. 대책의 채택 시에는 이에 따른 비용이 소요되기 때문에 이 비용과 실제 감소되는 위험의 크기를 비교하는 비용 효과 분석을 실시한다.

● 위험 회피
위험 회피는 위험이 존재하는 프로세스나 사업을 수행하지 않고 포기하는 것이다.

● 위험 전가
위험 전가란 보험이나 외주 등으로 잠재적 비용을 제3자에게 이전하거나 할당하는 것이다.
[해설작성자 : 세모]

93. 다음 중 조직의 정보보호 조직체계와 역할 및 책임에 대한 사항으로 가장 부적절한 것은?
     1. 정보보호 최고책임자 및 개인정보 보호책임자는 예산, 인력 등 자원을 할당할 수 있는 임원급으로 지정하고 관련 법령에 따른 자격요건을 충족하여야 한다.
     2. 모든 정보통신서비스제공자는 정보보호 최고책임자를 지정 및 신고하여야 한다.
     3. 조직 전반에 걸쳐 중요한 정보보호 및 개인정보 보호 관련사항에 대한 검토, 승인 및 의사결정(위험평가 결과, 내부감사 결과 등)을 할 수 있는 위원회를 구성하여 운영하여야 한다.
     4. 주요 직무를 수행하는 임직원 및 외부자를 주요 직무자로 지정하고, 주요 직무자를 최소한으로 지정하여 그 목록을 최신으로 관리하여야 한다.

     정답 : [2]☜ 블럭 설정하면 보임
     정답률 : 61%

94. 위험관리 절차를 순서대로 배열한 것을 고르면?

    

     1. ㉠ - ㉡ - ㉢ - ㉣ - ㉤
     2. ㉠ - ㉣ - ㉢ - ㉡ - ㉤
     3. ㉠ - ㉡ - ㉣ - ㉢ - ㉤
     4. ㉠ - ㉣ - ㉡ - ㉢ - ㉤

     정답 : [2]☜ 블럭 설정하면 보임
     정답률 : 64%

95. 다음은 업무연속성 5단계 방법론 중 특정 단계를 설명한 것이다. 어떤 단계를 설명한 것인가?

    

     1. 사업영향평가
     2. 위험분석
     3. 복구계획 수립
     4. 정보보호 대책 구현

     정답 : [1]☜ 블럭 설정하면 보임
     정답률 : 58%

96. 조직이 수행하는 모든 정보보호 활동의 근거가 되는 최상위 수준의 정보보호 정책 수립 시, 포함하여야 할 사항과 가장 거리가 먼 것은?
     1. 조직의 정보보호 활동을 실행하기 위한 절차, 주기, 수행주체 등에 관한 사항
     2. 조직의 정보보호에 대한 최고경영자 등 경영진의 의지 및 방향
     3. 조직의 정보보호를 위한 역할과 책임, 대상과 범위에 관한 사항
     4. 조직이 수행하는 관리적, 기술적, 물리적 정보보호 활동의 근거

     정답 : [1]☜ 블럭 설정하면 보임
     정답률 : 32%

97. 용어에 대한 설명으로 옳지 않은 것은?
     1. '침해사고'란 정보통신망 또는 이와 관련된 정보 시스템을 공격하는 행위로 인하여 발생한 사태를 말한다.
     2. '정보통신기반시설'이라 함은 국가안전보장⋅행정⋅국방⋅치안⋅금융⋅통신⋅운송⋅에너지 등의 업무와 관련된 전자적 제어⋅관리시스템 및 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」에 따른 정보통신망을 말한다.
     3. '개인위치정보'라 함은 특정 개인의 위치정보(위치정보만으로는 특정 개인의 위치를 알 수 없는 경우에도 다른 정보와 용이하게 결합하여 특정 개인의 위치를 알 수 있는 것을 포함한다)를 말한다.
     4. '개인신용정보'란 기업 및 법인에 관한 정보를 제외한 생존 여부와 상관없는 개인에 관한 신용정보로서 해당 정보의 성명, 주민등록번호 및 영상 등을 통하여 특정 개인을 알아볼 수 있는 정보만 말한다.

     정답 : [4]☜ 블럭 설정하면 보임
     정답률 : 79%

98. 인증제도는?

    

     1. ISO 27001
     2. ITSEC
     3. CC
     4. TCSEC

     정답 : [3]☜ 블럭 설정하면 보임
     정답률 : 55%

99. 업무연속성 5단계 방법론 중 특정 단계를 설명한 것이다. 어떤 단계를 설명한 것인가?

    

     1. 사업영향평가
     2. 위험분석
     3. 정보보호 대책 구현
     4. 복구계획 수립

     정답 : [1]☜ 블럭 설정하면 보임
     정답률 : 45%

100. “개인정보보호법”상의 “개인정보처리자의 개인정보 보호 원칙”에 관한 설명 중 가장 부적절할 것은?
     1. 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집한다.
     2. 정보주체의 사생활 침해를 최소화하는 방법으로 개인정보를 처리하여야 한다.
     3. 개인정보의 정확성, 완전성 및 최신성이 보장되도록 하여야 한다.
     4. 개인정보는 반드시 실명으로 처리되어야 한다.

     정답 : [4]☜ 블럭 설정하면 보임
     정답률 : 79%

정보보안기사 필기 기출문제(해설) 및 CBT 2021년09월04일을 이용해 주셔서 감사합니다.
, 필기, 기출문제, 전자문제집, CBT, 온라인, 모의테스트, 모의고사



List of Articles
번호 제목 글쓴이 날짜 조회 수
19298 경비지도사 2차(경비업법) 필기 기출문제(해설) 및 전자문제집 CBT 2023년11월11일(16000) 좋은아빠되기 2024.09.16 18
19297 경비지도사 1차(법학개론,민간경비론) 필기 기출문제(해설) 및 전자문제집 CBT 2023년11월11일(15999) 좋은아빠되기 2024.09.16 43
19296 네트워크관리사 2급 필기 기출문제(해설) 및 전자문제집 CBT 2023년11월05일(15998) 좋은아빠되기 2024.09.16 21
19295 PC정비사 2급 필기 기출문제(해설) 및 전자문제집 CBT 2023년11월05일(15997) 좋은아빠되기 2024.09.16 8
19294 소방시설관리사 필기 기출문제(해설) 및 전자문제집 CBT 2023년05월20일(15996) 좋은아빠되기 2024.09.16 9
19293 국내여행안내사 1차 필기 기출문제(해설) 및 전자문제집 CBT 2023년11월04일(15995) 좋은아빠되기 2024.09.16 5
19292 공인중개사 2차 필기 기출문제(해설) 및 전자문제집 CBT 2023년10월28일(15994) 좋은아빠되기 2024.09.16 2
19291 공인중개사 1차 필기 기출문제(해설) 및 전자문제집 CBT 2023년10월28일(15993) 좋은아빠되기 2024.09.16 27
19290 네트워크관리사 1급 필기 기출문제(해설) 및 전자문제집 CBT 2023년10월29일(15992) 좋은아빠되기 2024.09.16 4
19289 PC정비사 1급 필기 기출문제(해설) 및 전자문제집 CBT 2023년10월29일(15991) 좋은아빠되기 2024.09.16 3
19288 인터넷보안전문가 2급 필기 기출문제(해설) 및 전자문제집 CBT 2023년10월29일(15990) 좋은아빠되기 2024.09.16 7
19287 한국사능력검정시험 기본 필기 기출문제(해설) 및 전자문제집 CBT 2023년10월21일(15989) 좋은아빠되기 2024.09.16 3
19286 한국사능력검정시험 심화 필기 기출문제(해설) 및 전자문제집 CBT 2023년10월21일(15988) 좋은아빠되기 2024.09.16 4
19285 무선설비기사 필기 기출문제(해설) 및 전자문제집 CBT 2023년10월07일(15987) 좋은아빠되기 2024.09.16 2
19284 정보보안기사 필기 기출문제(해설) 및 전자문제집 CBT 2019년09월07일(15986) 좋은아빠되기 2024.09.16 7
19283 정보보안기사 필기 기출문제(해설) 및 전자문제집 CBT 2019년03월23일(15985) 좋은아빠되기 2024.09.16 3
» 정보보안기사 필기 기출문제(해설) 및 전자문제집 CBT 2021년09월04일(15984) 좋은아빠되기 2024.09.16 44
19281 정보보안기사 필기 기출문제(해설) 및 전자문제집 CBT 2021년03월27일(15983) 좋은아빠되기 2024.09.16 13
19280 정보보안기사 필기 기출문제(해설) 및 전자문제집 CBT 2020년09월05일(15982) 좋은아빠되기 2024.09.16 11
19279 정보보안기사 필기 기출문제(해설) 및 전자문제집 CBT 2020년05월30일(15981) 좋은아빠되기 2024.09.16 10
Board Pagination Prev 1 ... 780 781 782 783 784 785 786 787 788 789 ... 1749 Next
/ 1749