1. 다음에서 설명하고 있는 접근 제어 정책으로 올바른 것은?

ㅇ 권한을 사용지가 아닌 그룹에 부여하고, 그룹이 수행하여야 할 역할을 정의한다.
ㅇ 초기 관리의 오버헤드를 줄이고, 직무를 기반으로 하는 접근 통제 모델이다.
ㅇ 접근 수준과 등급에 대한 정의는 관리자에 의해 설정 및 변경이 가능하다.

• 1
   MAC
• 2
   DAC
• 3
   RBAC
• 4
   HMAC

2. 침해 당한 리눅스 서버의 하드 디스크를 umount 명령을 통해 분리하는 과정에서 "Device is busy"라는 문구 때문에 분리하지 못하고 있는 상황이다. 디바이스를 사용 중인 프로세스를 찾기 위해 사용할 수 있는 명령어로 옳은 것은?

• 1
   mount
• 2
   losf
• 3
   ps
• 4
   netstat

3. 다음 보기와 관련있는 공격법은?

John the ripper, Cain and abel

• 1
   스니핑
• 2
   스푸핑
• 3
   무차별 대입 공격
• 4
   바운스 공격

4. 재귀 함수의 종료 조건을 잘못 프로그래밍하여 재귀함수의 호출이 무한히 반복될 경우, 메모리의 어떤 영역에서 문제가 발생하는가?

• 1
   Text
• 2
   Data
• 3
   Heap
• 4
   Stack

5. 가상메모리를 지원하는 운영체제에서 성능은 가상주소를 실주소로 변환하는 DAT(Dynamic Address Translation)에 의해 영향을 받는다. DAT를 빠른 순서에서 느린 순서로 나열한 것은?

• 1
   직접사상 – 연관사상 – 직접/연관사상
• 2
   연관사상 – 직접사상 – 직접/연관사상
• 3
   직접/연관사상 – 직접사상 – 연관사상
• 4
   연관사상 – 직접/연관사상 – 직접사상

6. 다음 중 취약성 점검도구가 아닌 것은 무엇인가?

• 1
   NESSUS
• 2
   SARA
• 3
   NIKTO2
• 4
   TRIPWIRE

7. 유닉스계열의 시스템에서 일반 계정의 비밀번호를 저장할 때 암호화하여 저장한다. 일반적으로 어떤 알고리즘을 이용하여 저장하는가?

• 1
   DES
• 2
   MD5
• 3
   SHA
• 4
   RSA

8. 리눅스 Capabilities에서 실행 바이너리에 커널 모듈을 올리거나 내릴 수 있는 권한을 할당할 수 있는 Capability는 무엇인가?

• 1
   CAP_CHOWN
• 2
   CAP_AUDIT_CONTROL
• 3
   CAP_SYS_MODULE
• 4
   CAP_MAC_ADMIN

9. 윈도우 시스템에서 사용자 계정과 패스워드 인증을 위해 서버나 도메인 컨트롤러에 증명하는 Challenge & Response 기반의 인증 프로토콜은?

• 1
   LSA
• 2
   SAM
• 3
   NTLM
• 4
   SRM

10. 다음 문장의 괄호 안에 해당하는 것은 무엇인가?

• 1
   버퍼오버플로우
• 2
   루팅
• 3
   인젝션
• 4
   접근 제어

11. 다음 중 취약성 점검 도구가 아닌 것은?

• 1
   nikto2
• 2
   SARA
• 3
   NESSUS
• 4
   Tripwire

12. 다음의 방어 기법으로 예방할 수 있는 공격으로 가장 알맞은 것은?

Data Execution Prevention(DEP), No-eXecute

• 1
   랜섬웨어 공
• 2
   힙 스프레이
• 3
   SQL 인젝션
• 4
   ATP 공격

13. 다음 중 시스템에서 FTP로 어떤 파일을 주고 받았는지를 기록하는 로그는 무엇인가?

• 1
   xferlog
• 2
   last
• 3
   lastlog
• 4
   sulog

14. 워너크라이 랜섬웨어와 페트야 랜섬웨어의 차이점을 바르게 설명한 것은?

• 1
   워너크라이 랜섬웨어에 네트워크 웜 기능이 추가되었다.
• 2
   MFT(Master File Table) 영역 암호화가 추가되었다.
• 3
   워너크라이 랜섬웨어와 달리 SMB 취약점을 기반으로 한다.
• 4
   MBR(Master Boot Record) 영역을 감염시켜서 부팅을 불가능하게 만든다.

15. Window에서 파일이 삭제된 직후 일정 시간(기본 15초)안에 동일한 이름의 파일이 생성되는 경우 방금 삭제된 파일의 테이블 레코드를 재사용하는 경우가 있다. 이러한 특징을 갖는 기능은?

• 1
   파일시스템 터널링(File system tunneling)
• 2
   Shellbags
• 3
   윈도우 파일 프로텍션
• 4
   타임스톰핑

16. 다음 중 설치된 하드웨어를 구동시키는데 필요한 정보를 포함하는 윈도우 레지스트리 루트 키는?

• 1
   HKEY_LOCAL_MANCHINE
• 2
   HKEY_USERS
• 3
   HKEY_CLASSES_ROOT
• 4
   HKEY_CURRENT_CONFIG

17. 백도어를 사용하여 접근하는 경우 정상적인 인증을 거치지 않고 관리자의 권한을 얻을 수 있다. 이에 대한 대응책으로 옳지 않은 것은?

• 1
   주기적으로 파일의 해쉬값을 생성하여 무결성 검사를 수행한다.
• 2
   불필요한 서비스 포트가 열려있는지 확인한다.
• 3
   윈도우의 작업관리자나 리눅스시스템의 ps 명령어를 통해 비정상적인 프로세스가 있는지 확인한다.
• 4
   promiscuous로 변경되어 있는지를 주기적으로 검사한다.

18. 다음은 NTFS와 FAT 파일 시스템에 대한 설명이다. 틀린 것을 고르시오.

• 1
   FAT32등 FAT뒤에 붙은 숫자로 클러스터 수를 계산할 수 있다.
• 2
   FAT는 최대 파일 크기가 4G로 제한되지만 NTFS는 16EiB까지 가능하다.
• 3
   NTFS는 다른 운영체제와 호환성이 좋다.
• 4
   작은 크기의 파일 시스템을 사용하는 경우 NTFS보다 FAT 가 더 빠르다.

19. 인적자원 관리자가 특정 부서 사용자들에게 같은 직무를 수행할 수 있는 접근 권한을 할당하고 있다. 이것은 다음 중 어느 것이 예인가?

• 1
   역할기반 접근 통제
• 2
   규칙기반 접근 통제
• 3
   중앙집중식 접근 통제
• 4
   강제적 접근 통제

20. 다음은 크래커 A가 남긴 C소스 코드와 바이너리 파일이다. 이에 대한 설명으로 적합한 것은?

$ls -l
total 20
-rwsr-wr-x 1 root root 1435 Oct 7 21:13 test
-rw-rw-r-- 1 root root 88 Oct 7 21:12 test.c

$ cat test.c
#include 
void main() {
  setuid(0);
  setgid(0);
  system("/bin/bash");
}

• 1
   setgid 시스템 콜의 인자를0으로 준 것으로 보아 Race Condition 기법의 공격이다.
• 2
   /bin/sh를 실행시키는 것으로 보아 Sniffing 기법이다.
• 3
   setuid 시스템 콜의 인자가 0이고 컴파일된 바이너리 파일의 퍼미션이 4755인 것으로 보아 루트 권한을 탈취하는 백도어이다.
• 4
   main 함수의 리턴형태가 void 이므로 Format String Attack으로 보인다.

21. 다음에서 설명하는 프로세스 스케줄링 방법은 무엇인가?

CPU를 기다리는 프로세스를 여러 큐에 줄을 세운다는 측면에서 멀티레벨 큐와 동일하나 프로세스가 하나의 큐에서 다른 큐로 이동가능하다는 점이 다르다.

• 1
   FIFO
• 2
   SJF
• 3
   RR
• 4
   MLFQ

22. 다음 중 스위치 환경에서의 스니핑 공격 유형이 아닌 것은?

• 1
   ARP Injection
• 2
   Switch Jamming
• 3
   ARP Redirect
• 4
   ARP Spoofing

23. 다음 문장은 어떤 스푸핑(spoofing) 공격인가?

• 1
   e-mail 스푸핑
• 2
   IP 스푸핑
• 3
   DNS 스푸핑
• 4
   ARP 스푸핑

24. 전체 프레임을 모두 검사 후 데이터를 전송하는 스위치 전송 방식은?

• 1
   Cut Thought
• 2
   Store & Forwarding
• 3
   Fragment Free
• 4
   Full Detection

25. 다음 지문이 설명하는 것은?

ㅇ 엔드포인트(End-Point) 보안문제를 해결하기 위해 고려된 방식
ㅇ 접근제어를 위한 사용자 인증과 백신 관리, 패치 관리 등 무결성 체크과 같은 핵심 기능 포함

• 1
   Network Access Control
• 2
   Network Management System
• 3
   Enterprise Security Management
• 4
   Unified Threat Manager

26. 다음 설명에 해당하는 서비스거부(DoS) 공격은?

• 1
   Teardrop
• 2
   Land attack
• 3
   Syn Flooding
• 4
   Smurf attack

27. 다음 중 제시된 Well Known Port 번호에 해당하는 프로토 콜을 순서대로 가장 적합하게 제시한 것은?

(가) 22번 포트 (나) 53번 포트 (다) 161번 포트

• 1
   (가) SSH (나) Gopher (다) NetBIOS
• 2
   (가) SSH (나) DNS (다) SNMP
• 3
   (가) FTP (나) Gopher (다) SNMP
• 4
   (가) FTP (나) DNS (다) NetBIOS

28. 다음 에서 설명하고 있는 공격 기법은 무엇인가?

모든 패킷을 DHCP 서버로 향하게 하고 공격자는 DHCP 서버보다 DHCP Relay 패킷을 전송한다. DHCP 서버처럼 동작하게 하는 공격이다.

• 1
   Smurf 공격
• 2
   Arp spoofing 공격
• 3
   DHCP spoofing 공격
• 4
   Gateway 공격

29. 다음에서 설명하고 있는 네트워크 공격방법은 무엇인가?

스위치에 주소테이블이 가득차게 되면 모든 네트워크 세그먼트로 브로드 캐스팅하게 된다. 공격자는 위조된 MAC주소를 지속적으로 네트워크에 보냄으로써 스위칭 허브의 주소 테이블을 오버플로우시켜 다른 네트워크 세그먼트의 데이터를 스니핑할수 있게 된다.

• 1
   ARP스니핑
• 2
   ICMP Redirect
• 3
   ARP스푸핑
• 4
   스위치재밍

30. 다음 보기에서 설명하고 있는 네트워크 활용공격 방법은 무엇인가?

하나의 IP 패킷이 분할된 IP 단편의 offset값을 서로 중첩되도록 조작하여 이를 재조합하는 공격 대상 시스템에 에러와 부하는 유발시키는 공격이다. 유사한 공격으로 Bonk, Boink가 있다.

• 1
   DDoS
• 2
   Smurf
• 3
   Land 공격
• 4
   Teardrop 공격

31. 다음 에서 설명하고 있는 네트워크 장비는 무엇인가?

전자적 신호만 증폭시키는 것이 아니라 프레임을 다시 만들어 전송하는 기능을 한다. 허브와는 달리 2계층 주소인 MAC주소를 보고 프레임 전송포트를 결정할 수 있는 장비이다.

• 1
   허브
• 2
   스위치
• 3
   라우터
• 4
   브릿지

32. 다음 중 NAT에 대한 설명으로 가장 부적절한 것은?

• 1
   인터넷으로 라우팅할 수 없는 사설 주소를 공인 인터넷 주소로 전환하여 라우 팅이 가능하도록 한다.
• 2
   호스트는 사설 IP를 사용하면서 인터넷 및 통신을 할 수 있으므로 공인 IP 주소의 낭비를 방지할 수 있다.
• 3
   주소 관련 디렉토리 데이터를 저장하고 로그온 프로세스, 인증 및 디렉토리 검색과 같은 사용자와 도메인 간의 통신을 관리한다.
• 4
   외부 컴퓨터에서 사설 IP를 사용하는 호스트에 대한 직접접근이 어려워 보안 측면에서도 장점이 있다.

33. 다음 보기의 내용에 대한 설명으로 올바르지 못한 것은?

Switch#conf t 
Enter configuration commands, one per line.? 
End with CNTL/Z. 
Switch(config)#ip access-list extended UDP—DENY j
Switch(config)#ip access—list extended TCP—DENY 
Switch(config-ext-nacl)#deny udp any host
192.168.1.100 eq 80 
Switch(config-ext-nacl)#deny tcp any host
192,168.1.100 eq 21 
Switch(config-ext-nacl)#deny tcp any host
192,168.1.100 eq 23 
Switch(config-ext-nacl)#deny udp any host
192.168.1.100 eq 53
Switch(config-ext-nacl)#permit ip any any
Switch(config)#interface vlan 300
Switch(config)#ip access-group UDP-DENY out
Switch(config)#ip access-group TCP-DENY in

• 1
   DNS 서비스를 거부한다.
• 2
   웹(HTTP) 서비스를 차단하고 있다.
• 3
   FTP를 사용할 수 없다.
• 4
   텔넷을 사용할 수 없다.

34. 내부에서 백신설치 여부나 컴퓨터 이름 등으로 pc나 노트북 등 매체등을 제어할 수 있는 솔루션을 무엇이라 하는가?

• 1
   ESM
• 2
   MDM
• 3
   NAC
• 4
   SEIM

35. 무선망에서의 공개키 기반 구조를 의미하는 것은?

• 1
   WPKI
• 2
   WML
• 3
   WTLS
• 4
   WIPI

36. 포트 스캔에 관한 설명 중 옳은 것은?

• 1
   TCP 스캔시 포트가 열려있으면 응답이 없다.
• 2
   NULL 스캔시 포트가 닫혀있으면 응답이 없다.
• 3
   UDP 스캔시 포트가 닫혀있으면 ICMP 메세지를 받는다.
• 4
   스텔스 스캔은 세션을 완전히 성립하여 정상 공격으로 위장한다.

37. 다음 중 OSI 7 계층의 데이터 링크 계층과 관련성이 가장 적은 것은?

• 1
   통신 경로상의 지점간(Link-to-Link)의 오류 없는 데이터 전송
• 2
   멀티포인트 회선제어 기능
• 3
   데이터 압축 및 암호화
• 4
   정지-대기 흐름제어 기법

38. 다익스트라(Dijkstra) 알고리즘을 사용하는 라우팅 프로토콜에 대한 설명으로 틀린 것은?

• 1
   대규모 망에 적합한 알고리즘이다.
• 2
   커리벡터 알고리즘이다.
• 3
   OSPF에서 사용된다.
• 4
   링크상태 알고리즘이다.

39. IPSec 보안 프로토콜에서 메시지 출처 인증, 메시지 무결성, 메시지 기밀성 서비스를 지원하는 프로토콜과 새로운 IP 헤 더가 추가되는 동작모드가 잘 묶여진 것은?

• 1
   ESP 프로토콜, Transport 동작모드
• 2
   ESP 프로토콜, Tunnel 동작모드
• 3
   AH 프로토콜, Transport 동작모드
• 4
   AH 프로토콜, Tunnel 동작모드

40. IPv6에 대한 특•장점이 아닌 것은 무엇인가?

• 1
   IPv4의 주소 고갈로 만들어졌다.
• 2
   IPv6는 128 비트 주소공간을 제공한다.
• 3
   보안과 확장 헤더가 생겼다.
• 4
   offset, ttl 필드가 없어졌다.

41. 검증되지 않는 외부 입력값에 의해 웹 브라우저에서 악의적인 코드가 실행되는 보안 취약점을 무엇이라 하는가?

• 1
   SQL 삽입
• 2
   XSS
• 3
   부적절한 인가
• 4
   LDAP 삽입

42. SSL handshake과정이다. 순서를 옳게 나열한 것은?

A. 세션키용 pre_master_secret을 암호화 전송(클라이언트 ▶ 서버)
B. 서버의 인증서 전송(서버 ▶ 클라이언트)
C. 클라이언트의 인증서 전송(클라이언트 ▶ 서버)
D. 클라이언트의 SSL 버전번호 등을 전송(클라이언트 ▶ 서버)
E. 서버의 SSL 버전정보 등을 전송(서버 ▶ 클라이언트)
F. 클라이언트에 Change Cipher Spec 전송(서버 ▶ 클라이언트)

• 1
   A, B, C, D, E, F
• 2
   D. E, A, B, C, F
• 3
   D, E, B, C, A, F
• 4
   D, B, C, A, F, E

43. E-mail의 첨부파일을 열었을 대 악성코드가 실행되거나 특정파일을 선택했을 때 바이러스가 확산되는 공격유형은?

• 1
   Shell Script 공격
• 2
   Trojan Horse 공격
• 3
   Buffer Overflow 공격
• 4
   Active Contents 공격

44. 권장하는 함수에 속하는 것은?

• 1
   strcat()
• 2
   gets()
• 3
   sprintf()
• 4
   strncpy()

45. DRM(Digital Right Management)에 대한 설명으로 옳지 않은 것은?

• 1
   디지털 콘텐츠의 불법 복제와 유포를 막고, 저작권 보유자의 이익과 권리를 보호해 주는 기술과 서비스를 말한다.
• 2
   DRM은 파일을 저장할 때, 암호화를 사용한다.
• 3
   DRM 탬퍼 방지(tamper resistance) 기술은 라이선스 생성 및 발급관리를 처리한다.
• 4
   DRM은 온라인 음악 서비스, 인터넷 동영상 서비스, 전자책 CD/DVD 등의 분야에서 불법 복제 방지 기술로 활용된다.

46. 다음 중 OWASP TOP 10 2017에서 새로 선정된 보안취약 점은?

• 1
   인젝션
• 2
   인증 취약점
• 3
   크로스사이트 스크립트
• 4
   XXE

47. 어플리케이션의 공유 라이브러리에 대한 호출을 확인하기 위해 사용되는 리눅스의 디버깅 유틸리티는?

• 1
   windbg
• 2
   jdbc
• 3
   ltrace
• 4
   tcpdump

48. 다음 중 OTP(One Time Password) 방식에 대한설명으로 올바르지 못한 것은?

• 1
   동기화 방식은 OTP 토큰과 서버간에 미리공유된 비밀 정보와 동기화 정보에 의해 생성되는 방식이다.
• 2
   동기화 방식 중 시간 동기화 방식은 취약하여 잘 사용되지 않는다.
• 3
   이벤트 동기화 방식은 서버와 OTP 토큰이동일한 카운트 값을 기준으로 비밀번호를 생성한다.
• 4
   S/KEY 방식은 유닉스 계열 운영체제에 사용된다.

49. 메일과 관련이 없는 서비스 포트는?

• 1
   109
• 2
   995
• 3
   993
• 4
   163

50. 서버에서 전자메일을 주고받는데 사용되는 기본적인 프로토콜을 무엇이라 하는가?

• 1
   IMAP
• 2
   SMTP
• 3
   POP3
• 4
   MDA

51. 다음 중 SSL 프로토콜 핸드쉐이킹에 대한 설명으로 올바르지 않은 것은?

• 1
   Hello: 서버가 클라이언트에게 전송하는 초기 메시지이다.
• 2
   Client Hello: 클라이언트가 서버에게 연결을 시도하는 메시지이다.
• 3
   Server Hello: 서버가 처리한 후 압축방법, cipher suit 등의 정보를 클라이언트에 전송한다.
• 4
   Certification Request: 서버는 스스로 자신을 인증할 수 있도록 한다.

52. S/MIME은 기존 전자우편 보안시스템인 PEM의 구현 복잡성, PGP의 낮은 보안성 등을 보완한 프로토콜이다. 다음 중 S/MIME이 달성하고자 하는 목표가 아닌 것은?

• 1
   강력한 암호화
• 2
   디지털 서명
• 3
   상호 운영성
• 4
   키 관리의 간소화

53. 웹 어플리케이션 취약성 조치방안에 대한 설명으로 틀린 것은?

• 1
   server side session 방식은 침해 가능성도 있고, 구조상 다양한 취약점에 노출될 수 있으므로 가볍고 안전한 client side의 cookie를 사용한다.
• 2
   모든 인자에 대해 사용 전에 입력값 검증을 수행하도록 구성한다.
• 3
   파일 다운로드시 위치는 지정된 데이터 저장소를 지정하여 사용하고 데이터 저장소 상위로 이동되지 않도록 구성한다.
• 4
   SSL/TLS와 같은 기술을 이용하여 로그인 트랙잭션 전체를 암호화한다.

54. 다음 중 아파치 로그 분석 방법으로 가장 적절하지 않은 것은?

• 1
   하루에 같은 파일이 여러번 호출되었을 경우 분석
• 2
   없는 페이지 경로가 자주 호출되는 경우 분석
• 3
   클라이언트 IP, 접속시간 등을 종합적으로 고려
• 4
   PUT 메소드로의 접근 분석

55. 다음 SSL에 대한 설명 중 틀린 것은?

• 1
   SSL은 SSL Handshake Protocol, SSL Change Cipher Spec, SSL Alert Protocol 부분과 실질적인 보안 서비스를 제공하는 SSL Record Protocol 부분으로 나누어져 있다.
• 2
   SSL은 상호인증과 무결성을 위한 메시지 코드, 기밀성을 위한 암호화 방법을 제공한다.
• 3
   실제 SSL Record Protocol 부분은 TCP 계층 하단에서 동작한다.
• 4
   SSL에서는 RSA, 디피헬만 알고리즘을 이용한다.

56. 다음에서 설명하는 취약점(또는 공격 메커니즘)은 무엇인가?

공유 자원에 대해 여러 개의 프로세스가 동시에 접근을 시도할 때 접근의 타이밍이나 순서 등이 결과값에 영향을 줄 수 있는 상태로, 프로세스 간의 자원 경쟁을 유발하여 권한을 획득하는 기법으로 활용된다

• 1
   Drive by download
• 2
   Exploit
• 3
   Race Condition
• 4
   Buffer Overflow

57. 클라이언트(웹 브라우저)와 서버(웹 서버)간에 개인정보, 금융정보, 패스워드 등의 중요정보를 안전하게 전송하기 위해 사용되는 암호 채널은?

• 1
   S/MIME
• 2
   PGP
• 3
   SSH
• 4
   SSL

58. 다음 중 FTP 서버의 Bounce Attack에 대해 바르게 설명한 것은?

• 1
   분산 반사 서비스 거부 공격(DRDoS)으로 악용할 수 있다.
• 2
   접근이 FTP의 PORT command를 악용하여 외부에서 직접 접근 불가능한 내부망 컴퓨터상의 포트에 FTP 서버를 통해 접근할 수 있다.
• 3
   login id를 입력 후 다음 응답 코드를 줄 때까지의 반응 속도 차이를 이용하여 실제 계정이 존재하는지 여부를 추측할 수 있다.
• 4
   active, passive 모드를 임의로 변경할 수 있다.

59. 다음 지문이 설명하는 기술의 명칭은?

분산 데이터베이스의 한 형태로, 지속적으로 성장하는 데이터 기록 리스트로서 분산 노드의 운영자에 의한 임의 조작이 불가능하도록 고안되었다.

• 1
   블록체인
• 2
   라이트닝 네트워크
• 3
   ECDSA
• 4
   인공지능

60. 다음 중 전자화폐시스템의 특징으로 옳지 않은 것은?

• 1
   독립적인 신용 구조를 가진다.
• 2
   실제 화폐를 대체할 수 있다.
• 3
   사용자의 거래 추적 가능성으로 프라이버시 우려가 있다.
• 4
   IC카드형 전자화폐로 Mondex, Visa Cash등이 있다.

61. 다음에서 설명하는 키 교환 알고리즘은 무엇인가?

1976년 미국 스탠퍼드 대학의 연구원이 개발한 것으로 공개키는 하나의 정수와 한 개의 소수로 통신직전에 통신 상대방과 공유하도록 해두고, 다른 비밀키 전용의 숫자를 통신 상대방 양쪽에서 각각 가지도록 하여 이들과 공개키의 수치를 사용하여 공통 암호키용 수치를 산출한다.

• 1
   Diffie-Hellman
• 2
   DES
• 3
   AES
• 4
   SEED

62. 역할기반 접근통제에 대한 설명으로 올바른 것은?

• 1
   중앙집권적 관리에 유리하다.
• 2
   사용자 기반 접근통제로 이루어진다.
• 3
   인사이동이 빈번한 조직에 효율적이다.
• 4
   객체의 소유주에 의하여 권한이 변경된다.

63. 암호 해독자가 일정량의 평문에 해당하는 암호문을 알고 있을 경우 암호 키를 찾아내는 암호 공격 방식은?

• 1
   암호문 단독 공격
• 2
   기지 평문 공격
• 3
   선택 평문 공격
• 4
   선택 암호문 공격

64. 커버로스(Kerberos)에 대한 설명으로 올바르지 못한 것은?

• 1
   비밀키 인증프로토콜이다.
• 2
   SSO 기능을 지원한다.
• 3
   암호화 인증을 위해 RSA를 사용한다.
• 4
   사용자와 네트워크 서비스에 대한 인증이 가능하다.

65. 다음 중 접근통제정책에 포함되지 않는 것은?

• 1
   DAC
• 2
   MAC
• 3
   NAC
• 4
   RBAC

66. 다음 중 x.509 v3에서 확장 영역을 구분하는 것에 포함되지 않는 것은?

• 1
   인증서 경로 및 규제 정보
• 2
   CRL을 위한 확장자
• 3
   키 및 정책 확장자
• 4
   공개키 정보

67. 다음 중 스트림 암호 기술에 포함되지 않는 것은?

• 1
   OTP
• 2
   Feistel
• 3
   LFSR
• 4
   FSR

68. 스트림 암호에 관한 설명으로 잘못된 것은?

• 1
   이진 수열(비트)로 된 평문과 키 이진 수열 비트 단위로 XOR하여 암호화 한다.
• 2
   암호화 알고리즘에 치환변환과 전치변환이 주로 쓰인다.
• 3
   주로 유럽을 중심으로 발전하였으며 군사용으로 쓰인다.
• 4
   일회용 패드는 스트림 암호화의 한 예이다.

69. 다음은 X.509 인증서 폐지에 관련된 설명이다. 틀린 설명은?

• 1
   인증서 폐지 메커니즘 : X.509에 정의된 인증서 폐지목록(CRL)으로 관리
• 2
   폐지 사유 : 인증서 발행 조직 탈퇴, 개인키의 손상, 개인키의 유출 의심
• 3
   인증서 폐지 요청 : 인증서 소유자 또는 인증서 소유자의 대리인이 요청
• 4
   폐지된 인증서 : 목록을 비공개하고 디렉터리에만 보관

70. DES에 대한 설명으로 옳지 않은 것은?

• 1
   Feistel암호방식을 따른다.
• 2
   1970년대 블록암호 알고리즘이다.
• 3
   한 블록의 크기는 64비트이다.
• 4
   한 번의 암호화를 거치기 위하여 10라운드를 거친다.

71. 다음은 무엇에 대한 설명인가?

IP 계층에서 패킷에 대해 보안을 제공하기 위해 IETF표준이다

• 1
   SSL
• 2
   SET
• 3
   IPSec
• 4
   S-HTTP

72. 전자인증 방식의 하나인 Password 방식의 문제점으로 옳지 않은 것은?

• 1
   패스워드 전송 노출
• 2
   패스워드 재전송
• 3
   별도의 키 분배 방식 필요
• 4
   클라이언트 인증 정보 공격

73. 공개키 기반 구조(PKI)에 대한 설명으로 올바르지 못한 것은?

• 1
   인증서버 버전, 일련번호, 서명, 발급자, 유효기간 등의 데이터 구조를 포함하고 있다.
• 2
   공개키 암호시스템을 안전하게 사용하고 관리하기 위한 정보보호방식이다.
• 3
   인증서 폐지 여부는 인증서폐지목록(CRL)과 온라인 인증서 상태 프로토콜(OCSP)확인을 통해서 이루어진다.
• 4
   인증서는 등록기관(RA)에 의해 발행된다.

74. 다음 중 Diffi-Hallman 알고리즘 특징이 아닌 것은?

• 1
   단순하고 효율적이다.
• 2
   인증 메시지에 비밀 세션 키를 포함하여 전달할 필요가 없다.
• 3
   세션 키를 암호화한 전달이 필요하지 않다.
• 4
   사용자 A와 B만이 키를 계산할 수 있기 때문에 무결성이 제공된다.

75. 사용자 인증에서는 3가지 유형의 인증방식을 사용하고 있으며, 보안을 강화하기 위하여2가지 유형을 결합하여 2 factor 인증을 수행한다. 다음 중 2 factor 인증으로 적절하지 않은 것은?

• 1
   USB 토큰, 비밀번호
• 2
   스마트카드, PIN(Personal Identification Number)
• 3
   지문, 비밀번호
• 4
   음성인식, 수기서명

76. 대칭키 암호화 알고리즘으로 묶여진 것은?

• 1
   DES, AES, MAC
• 2
   RC5, AES, OFB
• 3
   SEED, DES, IDEA
• 4
   Rabin, ECDSA, ARIA

77. Diffie- Hellman 키 교환에 대한 설명 중 옳지 않은 것은?

• 1
   인수분해의 어려움에 기반한다.
• 2
   중간자 공격에 취약하다.
• 3
   두 사용자가 사용할 소수와 원시근을 사전에 결정해야 한다.
• 4
   인증 메시지에 비밀 세션키를 포함하여 전달할 필요가 없다.

78. 10명의 사람이 있다. 각 개인간 비밀키를 구성할 경우 몇개의 키가 필요한가?

• 1
   35
• 2
   45
• 3
   55
• 4
   65

79. 커버로스 프로토콜에서 티켓에 포함되는 사항이 아닌 것은?

• 1
   서버ID
• 2
   클라이언트ID
• 3
   서버의 네트워크주소
• 4
   티켓의 유효기간

80. 다음 중 2 Factor 요소로 올바르게 짝지은 것은?

• 1
   홍채-지문
• 2
   PIN-USB 토큰
• 3
   패스워드-PIN
• 4
   스마트 카드-토큰

81. 클라우드 시스템 운영 중 사고가 발생하였다. 다음 대응 방법 중 틀린 내용은?

• 1
   개인정보가 유출되었음을 알게 되었을 경우 지체없이 해당 정보주체에게 알린다.
• 2
   1천명 이상의 개인정보가 노출된 경우 통지 및 조치 결과를 개인정보보호위원회에 신고한다.
• 3
   개인정보처리시스템의 예기치 않은 시스템 중단이 발생한 경우 한국인터넷진흥원에 보고한다.
• 4
   중대한 침해사고가 발생할 경우 과학기술정보통신부장관에게 지원을 요청할 수 있다.

82. 다음은 정보통신서비스 제공자가 정보통신망 법의 규정을 위하여 부담하게 되는 손해배상액에 관한 규정이다. ( )에 적합한 것을 선택하시오.

공인인증기관은 인증업무 수행과 관련하여 가입자 또는 공인인증서를 신뢰한 이용하에게 (  A  )를 입힌 때에는 그 (  A  )를 배상하여야 한다. 다만, 공인인증기관이 (  B  ) 없음을 입증하면 그 배상책임이 면제된다.

• 1
   피해, 책임
• 2
   피해, 과실
• 3
   손해, 책임
• 4
   손해, 과실

83. 위험분석 방법론으로 적절히 짝지은 것은?

ㄱ. 어떤 사건도 기대대로 발생하지 않는다는 사실에 근거하여 일정 조건 하에서 위협에 대한 발생 가능한 결과를 추정하는 방법
ㄴ. 시스템에 관한 전문적인 지식을을 가진 전문가 집단을 구성하고 위협을 분석 및 평가하여 정보시스템이 직면한 디양한 위협과 취약성을 토론을 통해 분석하는 방법

• 1
   ㉠ 확률분포법 ㉡ 순위결정법
• 2
   ㉠ 시나리오법 ㉡ 델파이법
• 3
   ㉠ 델파이법 ㉡ 확률분포법
• 4
   ㉠ 순위결정법 ㉡ 시나리오법

84. 개인정보 3자 제공 및 동의에 대한 설명으로 올바르지 못한 것은?

• 1
   동의를 받은 경우
• 2
   개인의 불이익 항목을 고지(알린다)한다.
• 3
   법률에 정한경우
• 4
   정보서비스보다 개인의 이익이 상당한 때

85. 다음 중 전자적 침해행위에 포함되지 않는 것은 무엇인가?

• 1
   고출력 전자기파
• 2
   상업용 이메일 발송
• 3
   컴퓨터 바이러스
• 4
   서비스거부

86. 다음 보기에서 정성적 위험 분석 방법으로연결된 것은?

가. 과거 자료 분석법
나. 수학 공식 접근법
다. 확률 분포법
라. 델파이법
마. 시나리오법

• 1
   나，다，라
• 2
   가，나，다
• 3
   라，마
• 4
   가，나，마

87. 정보보호 사전점검에 대한 설명으로 옳은 것은?

• 1
   정보보호 사전점검은 전자적 침해행위에 대비하기 위한 정보시스템의 취약점 분석 평가와 이에 기초한 보호대책의 제시 또는 정보보호 관리체계 구축 등을 주된 목적으로 한다.
• 2
   방송통신위원회는 사업자가 사전점검을 실시하거나 실시계약을 체결한 경우 해당 사업 또는 서비스에 대하여 가점을 부여하는 등 우대조치를 할 수 있다.
• 3
   사전점검 수행기관으로 지정 받으려는 자는 수행기관 지정 신청서를 방송통신위원회에 제출하여야 한다.
• 4
   사전점검 대상 범위는 제공하려는 사업 또는 정보통신 서비스를 구성하는 하드웨어, 소프트웨어, 네트워크 등의 유무형 설비 및 시설을 대상으로 한다.

88. 전자서명법에서 전자서명에 대한 설명이다. 올바르지 않은 것은 무엇인가?

• 1
   누구든지 타인의 명의로 공인인증서를 발급받거나 발급받을 수 있도록 하여서는 아니 된다.
• 2
   누구든지 공인인증서가 아닌 인증서 등을 공인인증서로 혼돈하게 하거나 혼동할 우려가 있는 유사한 표시를 사용하거나 허위로 공인인증서의 사용을 표시하여서는 아니 된다.
• 3
   누구든지 공인인증서를 이용범위 또는 용도에서 벗어나 부정하게 사용하여서는 아니 된다,
• 4
   법원이 허락하는 경우 타인의 명의로 공인인증서를 발급받을 수 있다.

89. 다음 중 다음 상황에 맞는 위험 대응 전략은 무엇인가?

A사는 개인정보 유출로 과태료 처분을 받았다. A사는 불가피하게 사고가 재발하여 다시 과태료 처분을 받을 경우 경영 상황이 회복하지 못할 정도로 악화될 것을 우려하여 개인정보유출배상책임 보험을 가입하기로 결정하였다.

• 1
   위험 회피
• 2
   위험 감소
• 3
   위험 수용
• 4
   위험 전가

90. 다음 중 개인정보 처리방침에 의무적으로 포함되어야 할 내용이 아닌 것은?

• 1
   개인정보 처리 및 보유 기간
• 2
   개인정보 침해 시 구제 방안
• 3
   개인정보의 제3자 제공에 관한 사항
• 4
   개인정보 보호책임자 및 조직 정보

91. 다음 중 ebXML(Electronic Business Extensible Markup Language)의 구성 요소가 아닌 것은?

• 1
   핵심 컴포넌트(Core Components)
• 2
   거래 당사자(Tranding Partners)
• 3
   비즈니스 파트너(Business Partners)
• 4
   등록저장소(Registry / Repository)

92. 개인정보영향평가 시 반드시 고려할 사항이 아닌 것은?

• 1
   처리하는 개인정보의 수
• 2
   개인정보 취급자의 인가 여부
• 3
   개인정보의 제3자 제공 여부
• 4
   정보주체의 권리를 해할 가능성 및 그 위협

93. 다음의 지문이 설명하는 정보보호 용어는?

이것은 각종 재해나 재난의 발생을 대비하기 위하여 핵심시스템의 가용성과 신뢰성을 회복하고 시업의 지속성을유지하기 위한 일련의 계획과 절차를 말한다.이것은 단순한 데이터의 복구나 신뢰도를 유지하는 것 뿐 아니라나아가 기업의 전체적인 신뢰성 유지와 가치를 최대화하는 방법과 절차이다.

• 1
   재난 예방 계획
• 2
   업무 연속성 계획
• 3
   기업 안정성 확보 계획
• 4
   시스템 운영 계획

94. 다음 중 위험관리 방법론과 가장 거리가 먼 것은?

• 1
   국내 ISMS 인증체계
• 2
   ISO/IEC 27001
• 3
   ISO/IEC TR 13335-3
• 4
   ISO/IEC 15408

95. 다음 중 이래 지문의 빈칸 안에 들어가야 할 단어를 올바르게 나열한 것은?

1. "개인정보"란 살아 있는 개인에 관한 정보로서 다음 각 목의 어느 하나에 해당하는 정보를 말한다.
가. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보
나. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 (         )하여 알아볼 수 있는 정보
다. 개인정보를 (            )함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용ㆍ결합 없이는 특정 개인을 알아볼 수 없는 정보

※원본 문제가 예전 법을 기준으로 하고 있어서 최신법 내용으로 수정함

• 1
   구분, 비식별화
• 2
   유추, 비식별화
• 3
   결합, 가명처리
• 4
   구분, 가명처리

96. 다음 중 정보보호정책에 포함되지 않아도 되는 것은 무엇인가?

• 1
   자산의 분류
• 2
   비인가자의 접근원칙
• 3
   법 준거성
• 4
   기업보안문화

97. 다음에 설명하고 있는 재난복구 대체처리 사이트는 무엇인가?

- 하드웨어가 있고 연결이 이미 확립되어 있지만 애플리케이션이 설치되어 있지 않다.
- 전체 워크스테이션은 설치되어 있지 않다.

• 1
   쿨사이트
• 2
   핫사이트
• 3
   웜사이트
• 4
   콜드사이트

98. 다음 중 전자서명법에 의거하여 공인인증기관이 발공하는 공인인증서에 포함되는 사항이 아닌 것은?

• 1
   가입자와 공인인증기관이 이용하는 전자인증 방식
• 2
   공인인증서의 일련번호
• 3
   공인인증기관의 명칭 등 공인인증기관임을 확인할 수 있는 정보
• 4
   공인인정서의 이용범위 또는 용도를 제한하는 경우 이에 관한 사항

99. 개인정보 수집 시 정보 주체의 동의를 얻어야 한다. 다음 중 포함되지 않는 사항은?

• 1
   개인정보 수집 목적
• 2
   개인정보 수집 항목
• 3
   개인정보 보유 기간
• 4
   개인정보 파기 방법

100. 전자서명법상 전자서명의 효력으로 옳지 않은 것은?

• 1
   다른 법령에서 문서 또는 서면에 서명, 서명날인 또는 기명날인을 요하는 경우 전자문서에 공인전자서명이 있는 때에는 이를 충족한것으로 본다.
• 2
   공인전자서명이 있는 경우에는 당해 전자서명이 서명자의 서명, 서명날인 또는 기명날인이고, 당해 전자문서가 전자서명 된 후 그 내용이 변경되지 아니하였다고 추정한다.
• 3
   공인전사저명외의 전자서명은 당사자 간의 약정에 따른 서명, 서명날인 또는 기명날인으로서의 효력을 가진다.
• 4
   공인전자서명이 있는 경우에는 당해 전자서명이 서명자의 서명, 서명날인 또는 기명날인이고, 당해 전자문서가 전자서명 된 후 그 내용이 변경되지 아니한 것으로 본다.