1. 파일 업로드 공격에 관한 설명과 가장 거리가 먼 것은?

• 1
   공격자가 웹 서버 쪽에 업로드한 파일을 실행시키는 형태로 공격이 이루어진다.
• 2
   업로드 된 파일에 대해 실행 속성을 제거함으로써 피해를 방지할 수 있다.
• 3
   화이트리스트 방식으로 허용된 확장자를 갖는 파일에 대해서만 업로드를 허용함으로써 공격을 방지할 수 있다.
• 4
   업로드 파일의 저장 경로를 '웹문서 루트'안으로 제한함으로써 공격자의 접근을 차단한다.

2. 리눅스 시스템에서 패스워드 복잡도를 설정하기 위해 /etc/pam.d/system-auth 를 편집하고 있다. 아래와 같은 설정을 위해 사용하는 옵션으로 옳지 않은 것은?

ㅇ 숫자를 1자 이상 포함
ㅇ 특수문자를 1자 이상 포함
ㅇ 영어 대문자를 1자 이상 포함
ㅇ 기존 패스워드와의 일치율 50%이상 금지

• 1
   ucredit=-1
• 2
   difok=10
• 3
   scredit=-1
• 4
   dcredit=-1

3. 다음 중 버퍼오버플로우 대한 설명으로 올바르지 못한 것은?

• 1
   버퍼에 저장된 프로세스 간의 자원 경쟁을 야기해 권한을 획득하는 기법으로 공격하는 방법이다.
• 2
   메모리에 할당된 버퍼의 양을 초과하는 데이터를 입력하여 프로그램의 복귀 주소를 조작하는 기법을 사용하여 해킹을 한다.
• 3
   스택 버퍼오버플로우와 힙 오버플로우 공격이 있다.
• 4
   버퍼오버플로우가 발생하면 저장된 데이터는 인접한 변수영역까지침범하여 포인터 영역까지 침범하므로 해커가 특정코드를 실행하도록 하는 공격기법이다.

4. 다음 중 취약점 점검 도구에 대한 설명으로 틀린 것은?

• 1
   COPS/COPE : 네트워크 기반의 취약점 분석도구로 컴퓨터, 서버, N/W IDS의 보안 취약점을 분석한다.
• 2
   Nessus : 네트워크 취약점 점검도구로써 클라이언트-서버 구조로 클라이언트의 취약점을 점검하는 기능이 있다.
• 3
   nmap : 시스템 내부에 존재하는 취약성을 점검하는 도구로써 취약한 패스워드 브루트포스 기능 등이 있다.
• 4
   SAINT : 네트워크 취약점 분석도구로써 HTML 형식의 보고서 기능이 있으며 원격으로 취약점을 점검하는 기능을 가지고 있다.

5. 다음 중 소유자에게 읽기 쓰기 권한을 부여하고, 일반사용자에게 읽기 권한을 제거하는 리눅스 명령은?

• 1
   chmod 604
• 2
   chmod 504
• 3
   chmod o+rw a-r
• 4
   chmod u=rw o-r

6. 윈도우 시스템 암호화에 대한 설명으로 틀린 것은?

• 1
   BitLocker는 윈도우 운영체제에서 제공하는 볼륨 단위의 암호화 기능이다.
• 2
   BitLocker는 컴퓨터를 시작하는데 필요한 시스템 파티션 부분도 암호화한다.
• 3
   EFS(Encrypted File Service)는 사용자 단위 데이터 암호화 기능을 제공한다.
• 4
   EFS(Encrypted File Service)는 컴퓨터 단일 또는 복수 사용자에 대한 파일 및 폴더 단위 암호화를 지원한다.

7. 리눅스 서버에서 외부의 모든 Ping of Death 공격을 방어하기 위하여 리눅스의 기본 커널 옵션을 조정하려고 한다. 적절한 명령어는?

• 1
   sysctl -w net, ipv4, icmp_echo_ignore_all=0
• 2
   sysctl -w net, ipv4, icmp_echo_ignore_all=1
• 3
   sysctl -n net, ipv4, icmp_echo_ignore_broadcasts=1
• 4
   sysctl -n net, ipv4, icmp_echo_ignore_broadcasts=0

8. NTFS에서 Sector_per_cluster로 정할 수 없는 것은 무엇인가?

• 1
   1
• 2
   6
• 3
   8
• 4
   16

9. 다음 중 로그의 성격이 다른 것은?

• 1
   데이터베이스 로그
• 2
   웹서버 로그
• 3
   메일서버 로그
• 4
   유닉스 계열의 syslog

10. 윈도우의 SAM(Security Account Manager)에 대한 설명이다. 틀린 것을 고르시오.

• 1
   사용자 계정의 비밀번호를 관리한다.
• 2
   해시된 비밀번호는 한 번 더 암호화되어 저장된다.
• 3
   SID를 이용해 사용자를 식별한다.
• 4
   액티브 디렉터리(AD)의 원격 사용자 인증에 사용된다.

11. 다음 보기의 프로세스 스케줄링 방식 중 비선점형 스케줄링만 고르 것은?

ㄱ. FCFS
ㄴ. SJF
ㄷ. RR
ㄹ. SRT
ㅁ. MLQ

• 1
   ㉠, ㉡
• 2
   ㉠, ㉢
• 3
   ㉠, ㉣
• 4
   ㉢, ㉤

12. 다음은 리눅스 파일권한에 대한 설명이다. 올바르지 못한 것은?

• 1
   ls –al 명령어로 권한을 자세히 볼 수 있다.
• 2
   chmod 명령어는 파일, 디렉토리 소유그룹을 수정할 수 있다.
• 3
   맨앞에 문자가‘-’이면 파일, ‘d’이면 디렉토리, ‘l’이면 링크이다.
• 4
   chown 명령어는 파일소유자, 파일소유그룹을 수정 할 수 있다.

13. 시스템 무결성을 유지하기 위한 명령어는 무엇인가?

• 1
   halt
• 2
   shutdown
• 3
   reload
• 4
   reboot

14. 다음 중 아이 노드(i-node)에 포함하고 있는 정보가 아닌 것은?

• 1
   파일 유형
• 2
   파일 이름
• 3
   링크 수
• 4
   수정시각

15. UNIX 시스템에서 다음의 chmod 명령어 실행 후의 파일 test1의 허가비트(8진법 표현)는?

$ ls -l test1
-rw-r--r-- 1 root user 2320 Jan 1 12:00 test1
$ chmod o-r test1
$ chmod g-r test1

• 1
   644
• 2
   244
• 3
   600
• 4
   640

16. 리눅스 부팅 레벨(Run Level)중 아래 설명에 맞게 나열한 것을 고르시오.

A: 단일 사용자 모드
B: 재시작
C: 다중 사용자 모드

• 1
   A: 레벨1, B:레벨3, C:레벨2
• 2
   A: 레벨1, B:레벨3, C:레벨6
• 3
   A: 레벨1, B:레벨6, C:레벨3
• 4
   A: 레벨1, B:레벨6, C:레벨2

17. 다음은 IDS Snort Rule이다. Rule이 10~11번째 2바이트의 값이 0xFFFF인지를 검사하는 Rule이라 할 때 ㄱ.~ㄷ.의 올바른 키워드는 무엇인가?

• 1
   ㉠ : value, ㉡ : offset, ㉢ : content
• 2
   ㉠ : value, ㉡ : content, ㉢ : offset
• 3
   ㉠ : content, ㉡ : depth, ㉢ : offset
• 4
   ㉠ : content, ㉡ : offset, ㉢ : depth

18. 다음 중 FIDO에 대한 설명으로 옳지 않은 것은?

• 1
   기존 비밀번호의 단점을 보완하기 위해 등장하였다.
• 2
   스마트폰 등 디바이스에서 제공하는 생체인증 기능을 활용한다.
• 3
   기존 인증을 강화하기 위한 U2F와, 기존 인증을 대체하기 위한 UAF가 있다.
• 4
   UAF는 소유기반 인증 방식으로 비밀번호의 단점을 보완한다.

19. 리버스엔지니어링 분석 방법 중 소스코드를 이해하고 분석하는 방법으로 소프트웨어의 프로그래밍 오류와 구현 오류를 찾을 때 유용한 분석 방법은?

• 1
   블랙박스 분석
• 2
   화이트박스 분석
• 3
   그레이박스 분석
• 4
   그린박스 분석

20. 다음 중 하드웨어에 기반한 보안 취약점 및 공격은?

• 1
   shellshock
• 2
   heartbleed
• 3
   WannaCry
• 4
   spectre

21. 아래 보기의 명령과 가장 관련있는 서비스 거부 공격은?

hping q.fran.kr -a 10.10.10.5 --icmp --flood

• 1
   Ping of Death
• 2
   Land Attack
• 3
   Teardrop
• 4
   Smurf

22. 다음 중 가상 사설망(VPN)으로 사용되는 프로토콜로 구성된 것은?

가. PPTP     나. L2F 
다. IPSEC    라. SSH

• 1
   가
• 2
   가, 나
• 3
   가, 나, 다
• 4
   가, 나, 다, 라

23. 공격자가 자신이 전송하는 패킷에 다른 호스트 IP주소를 담아서 전송하는 공격은?

• 1
   패킷스니핑
• 2
   포맷스트링
• 3
   IP 스푸핑
• 4
   버퍼오버플로우

24. 다음의 공격 방법을 방어하기 위한 침입차단시스템의 유형으로 가장 적절한 것은?

침입차단시스템을 우회하기 위하여 침입차단시스템 내부망에 있는 시스템의 서비스 요청을 받은 것으로 가장하여 패킷을 전송한다.

• 1
   응용레벨 게이트웨이
• 2
   회로레벨 게이트웨이
• 3
   패킷 필터링 라우터
• 4
   상태검사 패킷 필터

25. 다음은 IPSec의 AH 프로토콜이 하는 역할에 대한 설명이다. 맞는 것은?

• 1
   라우터와 라우터 간의 IP 패킷을 암호화한다.
• 2
   단말과 단말 간의 IP 패킷을 암호화한다.
• 3
   단말과 라우터 간의 IP 패킷에 대한 송신 인증 및 무결성 서비스를 제공한다.
• 4
   단말과 라우터 간의 IP 패킷에 대한 송신 인증, 무결성 그리고 암호화 서비스를 제공한다.

26. 다음의〈보기〉에서 설명하고 있는 기술은 무엇인가?

ㅇ 물리적으로 하나인 단말기를 개인 영역과 업무 영역을 완벽히 분리해 마치 2개의 독자적인 단말기를 사용하는 것처럼 해 준다.
ㅇ 개인 영역이 악성 코드에 감염되어도 업무 영역의 모바일 메신저 대화나 문자, 통화 내역에 접근하는것이 불가능하다.

• 1
   BYD
• 2
   MDM
• 3
   VDI
• 4
   MPS

27. 다음 중 랜드 어택에 대한 대응법으로 가장 거리가 먼 것은?

• 1
   현재는 대부분 패치가 완료되었으므로 최신 OS 및 SW를 이용한다.
• 2
   출발지와 목적지 IP주소가 다른 패킷은 기본적으로 차단한다.
• 3
   신뢰된 호스트만 접속할 수 있도록 White List기반으로 정책을 운용한다.
• 4
   침입차단시스템을 이용한다.

28. 다음은 특정 시스템에 대한 분류 또는 기능에 대한 정의이다. 특성이 다른 하나는 무엇인가?

• 1
   단일 호스트 기반
• 2
   네트워크 기반
• 3
   베스천 호스트
• 4
   비정상적인 행위탐지

29. 다음 보기의 빈칸에 알맞은 단어는 무엇인가?

(   A   )은(는) printf 등의 함수에서 문자열 입력 포맷을 잘못된 형태로 입력하는 경우 나타나는 버그이다. (   B   ) 특정 프로그램을 이용하여 네트워크상의 데이 터를 몰래 캡처하는 행위를 말한다.

• 1
   A-포맷 스트링, B-스니핑
• 2
   A-버퍼 오버플로우, B-하이젝킹
• 3
   A-스니핑, B-버퍼 오버플로우
• 4
   A-스니핑, B-스푸핑

30. VLAN에 대한 설명이다. 순서대로 나열한 것은?

VLAN이란 (     ) 트래픽을 제한하여 불필요한 트래픽을 차단하기 위한 (     ) LAN이다. 스위치는 허브처럼 한 포트에서 발생한 데이터를 전 포트에 전달하지 않기 때문에 스위치에 흐르는 데이터를 분석하려면 허브와는 달리 (       ) 기능을 사용해야한다.

• 1
   멀티캐스팅, 논리적인, Port Mirroring
• 2
   멀티캐스팅, 물리적인, Port Filtering
• 3
   브로드캐스팅, 물리적인, Port Filtering
• 4
   브로드캐스팅, 논리적인, Port Mirroring

31. 다옴 설명에 해당하는 시스템은?

ㅇ 네트워크에 접근하는 접속 단말의 보안성을 검증하여 접속을 통제할 수 있는 End-Point 보안 인프라이다.
ㅇ 사용 단말이 내부 네트워크에 접속하기 전에 보안 정책 준수여부를 검사해 네트워크 접속을 통제하는 보안 솔루션이다.

• 1
   NAC(Network Access Control)
• 2
   ESM(Enterprise Security Management)
• 3
   SIEM(Security Information Event Management)
• 4
   APT(Advanced Persistent Threat)

32. 다음 중 무결성 점검을 위해 사용하는 프로그램은?

• 1
   tripwire
• 2
   tcpdump
• 3
   hunt
• 4
   dsniff

33. 다음 중 에서 설명하고 있는 웹보안 취약점은 무엇인가?

로그온된 피해자의 취약한 웹 애플리케이션에 피해자의 세션 쿠키와 기타 다른 인증정보를 자동으로 포함하여 위조된 HTTP 요청을 강제로 보내도록 하는 것이다. 이것은 공격자가 취약한 애플리케이션의 피해자로부터의 정당한 요청이라고 오해할 수 있는 요청들을 강제로 만들 수 있다.

• 1
   XSS
• 2
   CSRF(Cross-Site Request Forgery)
• 3
   Injection
• 4
   Data Exposure

34. 네트워크 도청을 예방하기 위한 대책으로 틀린 것은?

• 1
   업무용 무선 AP와 방문자용 AP를 같이 사용한다.
• 2
   무선 AP의 비밀번호는 쉽게 예측하지 못하는 안전한 비밀번호로 설정한다.
• 3
   업무용 단말기는 방문자용 AP에 접속하지 않도록 조치한다.
• 4
   중요 정보는 암호화 통신을 이용하여 전송한다.

35. 다음에 설명하는 유닉스 파일시스템의 영역은 무엇인가?

파일시스템 내의 파일이나 디렉터리의 소유자, 소유그룹, 접근 모드(읽기, 쓰기, 실행 권한), 크기, 속성, 시간 및 디스크 블록 내의 포인터 등에 대한 각종 정보를 저장하고 있는 영역으로서 각 파일이나 디렉터리별로 고유한 식별번호를 가지고 있다.

• 1
   boot 블록
• 2
   super 블록
• 3
   inode 블록
• 4
   data 블록

36. 내부 네트워크와 외부 네트워크 사이에 위치하여 외부에서의 침입을 1차로 방어해 주며 불법 사용자의 침입차단을 한 정책과 이를 지원하는 소프트웨어 및 하드웨어를 제공 는 것은?

• 1
   IDS(Intrusion Detection System)
• 2
   Firewall
• 3
   Bridge
• 4
   Gateway

37. DoS 공격 중 Land 공격이 조작하는 IP 프로토콜의 필드에 해당하는 것은 무엇인가?

• 1
   출발지 주소
• 2
   목적지 주소
• 3
   Time-To-Live 값
• 4
   헤더의 길이

38. 다음 보기에서 설명하고 있는 네트워크 공격기법은 무엇인가?

- 공격자는 출발지 IP로 스푸핑하여 SYN패킷을 공격 경유지 서버로 전송한다.
- SYN패킷을 받은 경유지 서버는 스푸핑된 IP로 타겟 서버에 SYN/ACK을 전송한다.
- 타겟 서버는 수많은 SYN/ACK를 받아 이용 불능이 된다.

• 1
   dos
• 2
   ddos
• 3
   drdos
• 4
   syn flooding

39. 다음 용어 중 개념상 나머지와 가장 거리가 먼 것은?

• 1
   sniffing
• 2
   eavesdropping
• 3
   tapping
• 4
   spoofing

40. 다음은 IPSec 프로토콜에 대한 설명이다. 괄호안에 알맞은 내용으로 연결된 것은?

IPSec은 IP계층에서 데이터를 안전하게 보호하기위하여 인증에 필요한 ( ㄱ ) 과 암호에 필요한 ( ㄴ )를 이용하고 키 관리에는 ( ㄷ )이 이용된다.

• 1
   AH-ESP-IKE
• 2
   ESP-IKE-AH
• 3
   ESP-AH-IKE
• 4
   IKE-ESP-AH

41. 다음 중 한국인터넷진흥원의 홈페이지 취약점 진단제거 가이드, 행정안전부의 소프트웨어 개발 보안 가이드, 행정안전부의 주요 정보통신기반시설 가술적 취약점 분석 평가 방법상세가이드 등에서 공통적으로 언급하고 있는 웹 애플리케이션 취약점과 가장 관계가 없는 항목은?

• 1
   XSS (Cross-site Scripting)
• 2
   GET Flooding
• 3
   CSRF (Cross-site request forgery)
• 4
   SQL Injection

42. 권장하는 함수에 속하는 것은?

• 1
   strcat( )
• 2
   gets( )
• 3
   sprintf( )
• 4
   strncpy( )

43. 다음 중 공격기법과 그에 대한 설명으로 옳은 것은 무엇인가?

• 1
   Smurf Attack : IP Broadcast Address로 전송된 ICMP 패킷에 대해 응답하지 않도록 시스템을 설정하여 방어할 수 있다.
• 2
   Heap Spraying : 아이디와 패스워드 같이 사용자의 입력이 요구되는 정보를 프로그램 소스에 기록하여 고정시키는 방식이다.
• 3
   Backdoor : 조직 내에 신뢰할 만한 발신인으로 위장해 ID 및 패스워드 정보를 요구하는 공격이다.
• 4
   CSRF : 다른 사람의 세션 상태를 훔치거나 도용하여 액세스하는 해킹 기법을 말한다.

44. 다음 보기에서 설명하고 있는 프로토콜은 무엇인가?

ㅇ 전자상거래에서 판매자는 주문 정보만 알아야 하고 PG는 지불 정보만 알아야 한다. 
ㅇ 지불 정보 와 주문 정보를 해시한 후에 이것을 다시 고객의 서명용 개인키로 암호화한다.

• 1
   블라인드서명
• 2
   이중 서명
• 3
   은닉 서명
• 4
   전자봉투

45. 다음 중 SSL에 대한 설명으로 옳지 않은 것은?

• 1
   넷스케이프사에서 처음 개발하였다.
• 2
   TFTP, FTP, SYSLOG 등에 주로 사용된다.
• 3
   SSL은 기본적으로 443번 포트를 사용한다
• 4
   SSL이 적용된 웹사이트는 https:// 로 접속한다.

46. 다음 전자투표 방식 중 군중이 밀집한 지역에 투표기가 설치되어 투표할 수 있는 무인투표 시스템방식은 무엇인가?

• 1
   키오스크방식
• 2
   PSEV방식
• 3
   REV방식
• 4
   LKR방식

47. 다음 중 S/MIME이 제공하는 보안 서비스가 아닌 것은?

• 1
   메시지 무결성
• 2
   메시지 기밀성
• 3
   부인 방지
• 4
   메시지 가용성

48. HTTP의 요청방식에 대한 다음 설명 중 옳지 않은 것은?

• 1
   GET은 요청 받은 정보를 다운로드하는 메소드이다.
• 2
   POST는 서버가 전송된 정보를 받아들이고 서버에서 동작하도록 하는 메소드이다.
• 3
   PUT은 내용이 주어진 리소스에 저장되기를 원하는 요청과 관련된 메소드이다.
• 4
   TRACE는 요청 받은 리소스에서 가능한 통신 옵션에 대한 정보를 요청하는 메소드이다.

49. 다크웹(Dark Web)에 대한 설명으로 틀린 것은?

• 1
   공공인터넷을 사용하는 오버레이 네트워크(Overlay Network)이다.
• 2
   딥웹(Deep web)은 다크웹의 일부부인다.
• 3
   토르(TOR)같은 특수한 웹브라우저를 사용해야만 접근할 수 있다.
• 4
   다크넷에 존해하는 웹사이트를 의미한다.

50. 다음 설명하고 있는 보안 전자우편시스템 프로토콜은?

ㅇ RSA Data Security, INC 개발
ㅇ 전자우편 메세지 표준 기반
ㅇ 다양한 상용툴킷
ㅇ X.509 지원

• 1
   PEM
• 2
   MIME
• 3
   S/MIME
• 4
   PGP

51. 전자상거래 프로토콜 중에서 주문정보와 지불정보를 안전하게 이용할 수 있도록 하는 프로토콜은 무엇인가?

• 1
   단체서명
• 2
   단독서명
• 3
   이중서명
• 4
   은닉서명

52. 다음 중 전자입찰시스템에서 요구하는 안전성에 포함되지 않는 것은?

• 1
   단일성
• 2
   비밀성
• 3
   무결성
• 4
   공평성

53. 다음은 SET에서 사용하는 보안 메커니즘을 설명한 것이다. 다음의 내용에 해당하는 것은 무엇인가?

고객의 지불정보(신용카드번호 등)는 상점이 알지 못하게 하고, 주문정보(상품 등)는 은행이 알지 못하게 함으로써 프라이버시를 보호한다.

• 1
   은닉서명
• 2
   전자서명
• 3
   이중서명
• 4
   영지식증명

54. FTP 서비스 중에서 패시브모드에 대한 설명으로 올바른 것은?

• 1
   데이터포트로 서버가 클라이언트에 접속한다.
• 2
   서버가 먼저 Command 포트로 접속을 시도한다.
• 3
   PASV 명령어를 사용한다.
• 4
   방화벽 때문에 주로 사용하는 것은 액티브모드이다.

55. 다음 중 아파치 로그 분석 방법으로 가장 적절하지 않은 것은?

• 1
   하루에 같은 파일이 여러번 호출되었을 경우 분석
• 2
   없는 페이지 경로가 자주 호출되는 경우 분석
• 3
   클라이언트 IP, 접속시간 등을 종합적으로 고려
• 4
   PUT 메소드로의 접근 분석

56. 데이터베이스 내의 자료 값들을 잘못된 갱신이나 불법조작으로부터 보호함으로써, 정확성을 유지하고자 하는 것은 아래의 DB보안 요구 사항 중 어느 것인가?

• 1
   데이터 일관성
• 2
   데이터 무결성
• 3
   데이터 보안
• 4
   데이터 접근제어

57. 버퍼오버플로우 공격을 막기 위해 사용을 권장하는 프로그램 함수는?

• 1
   strcat()
• 2
   strncat()
• 3
   gets()
• 4
   sscanf()

58. 다음 문장에서 설명하는 웹 공격의 명칭은?

• 1
   XSS(Cross Site Scripting)
• 2
   SQL(Structured Query Language) Ingection
• 3
   CSRF(Cross-site request forgery)
• 4
   쿠키(Cookie) 획득

59. DNS(Domain Name System)에 대한 설명으로 틀린 것은?

• 1
   DNS 서비스는 클라이언트에 해당하는 리졸버(resolver)와 서버에 해당하는 네임서버(name server)로 구성되며, DNS 서비스에 해당되는 포트 번호는 53번이다.
• 2
   주(primary) 네임서버와 보조(secondary) 네임서버는 DNS 서비스 제공에 필요한 정보가 포함된 존(zone) 파일을 기초로 리졸버로부터의 요청을 처리한다.
• 3
   ISP 등이 운영하는 캐시 네임서버가 관리하는 DNS 캐시에 IP 주소, UDP 포트번호, DNS 메시지 ID값이 조작된 정보를 추가함으로써 DNS 캐시 포이즈닝(poisoning) 공격이 가능하다.
• 4
   DNSSEC 보안 프로토콜은 초기 DNS 서비스가 보안 기능이 포함되지 않았던 문제점을 해결하기 위해 개발되었으며, DNS 데이터의 비밀성, 무결성, 출처 인증 등의 기능을 제공한다.

60. 어플리케이션의 공유 라이브러리에 대한 호출을 확인하기 위해 사용되는 리눅스의 디버깅 유틸리티는?

• 1
   windbg
• 2
   jdbc
• 3
   ltrace
• 4
   tcpdump

61. "한 단계 앞의 암호문 블록"을 대신할 비트열을 무엇이라 하는가?

• 1
   패딩
• 2
   초기화 벡터
• 3
   스트림 블록
• 4
   운영모드

62. 다음 중 공개키 인증서의 구성 요소에 포함되지않는 것은?

• 1
   인증서 정책
• 2
   인증서 경로
• 3
   비밀키 인증서
• 4
   인증서 철회 리스트

63. 다음과 같은 특성을 가지는 접근통제 모델은 무엇인가?

- no read up
- no write down

• 1
   클락윌슨모델
• 2
   벨-라파듈라 모델
• 3
   비바모델
• 4
   내부접근통제 모델

64. 다음 접근통제 중에서 사용자 신분에 맞게 관련된 보안정책은 무엇인가?

• 1
   DAC
• 2
   MAC
• 3
   RBAC
• 4
   NAC

65. 다음 중 대칭키 암호화 알고리즘이 아닌 것은?

• 1
   BlowFish
• 2
   SEED
• 3
   Diffie-Hellman
• 4
   3DES

66. 다음의 암호 관련 용어에 대한 설명 중 옳지 않은 것은?

• 1
   평문은 송신자와 수신자 사이에 주고받는 일반적인 문장으로서 암호화의 대상이 된다.
• 2
   암호문은 송신자와 수신자 사이에 주고받고자 하는 내용을 제 3자가 이해할 수 없는 형태로 변형한 문장이다.
• 3
   암호화는 평문을 제 3자가 알 수 없도록 암호문으로 변형하는 과정으로서 수신자가 수행한다.
• 4
   공격자는 암호문으로부터 평문을 해독하려는 제 3자를 가리키며, 특히 송/수신자 사이의 암호 통신에 직접 관여하지 않고, 네트워크상의 정보를 관찰하여 공격을 수행하는 공격자를 도청자라고 한다.

67. 스트림 암호에 관한 설명으로 잘못된 것은?

• 1
   이진 수열(비트)로 된 평문과 키 이진 수열 비트 단위로 XOR하여 암호화 한다.
• 2
   암호화 알고리즘에 치환변환과 전치변환이 주로 쓰인다.
• 3
   주로 유럽을 중심으로 발전하였으며 군사용으로 쓰인다.
• 4
   일회용 패드는 스트림 암호화의 한 예이다.

68. 전자상거래의 요구사항과 해결 방법을 옳게 연결한 것은?

• 1
   인증 – 사용자 데이터를 암호화
• 2
   식별 – 패스워드로 사용자를 확인
• 3
   재사용 – 거래된 서명 재사용 가능
• 4
   거래 당사자의 거래행위 부인 - 전자서명 및 공인인증제도 활용

69. 다음에서 설명하는 DRM기술은 무엇인가?

인간의 감지 능력으로는 검출 할 수 없도록 사용자의 정보를 멀티미디어 콘텐츠 내에 삽입하는 기술로 콘텐츠를 구매한 사용자의 정보를 삽입함으로써 이후에 발생학 될 콘텐츠 불법 배포자를 추적하는데 사용하는 기술이다.

• 1
   워터마킹
• 2
   핑거프린팅
• 3
   템퍼링기술
• 4
   DOI

70. 다음 인증 기술 중에서 종류가 다른 한 가지는?

• 1
   개체 인증
• 2
   사용자 인증
• 3
   신원 인증
• 4
   메시지 인증

71. 공개키 암호 알고리즘과 비밀키 암호 알고리증에 대한 설명 으로 률린 것온?

• 1
   RSA, ElGamal, ECC, Knapsack 암호 알고리즘은 공개 키 알고리즘이다.
• 2
   비밀키 암호 알고리즘 방식은 암호화와 복호화에 동일한 키를 사용한다.
• 3
   대칭키 암호 알고리즘은 스트림 암호 알고림즘과 블록 암호 알고리즘으로 나눌 수 있다.
• 4
   공개키 암호 알고리즘은 비밀키 암호 알고리즘보다 연산 속도가 빠르다.

72. 다음 중 전자 서명과 공개키 암호화 방식에서 사용되는 키로 알맞게 연결된 것은?

[서명자가 사용하는 키] - [서명을 검증하는데 사용하는 키] 순서

• 1
   공개키 - 공개키
• 2
   개인키 - 공개키
• 3
   개인키 - 개인키
• 4
   공개키 - 개인키

73. 다음 중 전자 서명의 특징으로 올바르지 않는것은?

• 1
   재사용 가능
• 2
   위조 불가
• 3
   부인 불가
• 4
   서명자 인증

74. 다음 지문이 설명하고 있는 프로토콜은?

ㅇ 공유할 암호키를 계산하여 만들어낸다.
ㅇ 유한체상의 이산대수문제를 풀기 어려움에 기반한다.
ㅇ 중간자 공격이나 재전송 공격에는 취약하다.

• 1
   Needham-Schroeder 프로토콜
• 2
   공개키 암호
• 3
   KDC 기반 키 분배
• 4
   Diffie-Hellman 프로토콜

75. 암호해독의 목적과 가장 거리가 먼 것은?

• 1
   암호에 사용된 키를 찾아내려는 시도
• 2
   암호문으로부터 평문을 복원하는 시도
• 3
   암호 알고리즘의 구조를 알아내려는 시도
• 4
   암호시스템의 안전성을 정량적으로 측정하려는 시도

76. 키 관리는 키 생성, 분배, 설치, 갱신, 취소 폐기, 저장, 복구 등 을 요구하는 포괄적인 개념이다.한 사용자 또는 기관이 비밀키 를 설정하여 다른 사용자에게 전달하는 기술을 키 분배라고 하며,둘 또는 그 이상의 사용자가 공개된 통신 채널을 통하여 비밀 키를 설정하는 것을 키 합의라고 한다.다음 중 키 분배 방식에 해당되는 것은?

• 1
   Diffie-Hellman 방식
• 2
   Matsumoto-Takashima-lmai 방식
• 3
   Okamoto-Nakamura 방식
• 4
   Needham-Schroeder 방식

77. 다음 중 대칭 암호 알고리즘이 아닌 것은?

• 1
   BlowFish
• 2
   SEED
• 3
   Diffie-Hellman
• 4
   3DES

78. KDC(신뢰분배센터)에 사용자 수가 증가 될 때 영향으로 올바르지 못한 것은?

• 1
   가입자 n의 증가에 따른 키 관리가 복잡해진다.
• 2
   장기간 사용 시 세션 키가 노출 될 위험성이 발생한다.
• 3
   KDC 키가 늘어나지 않는다.
• 4
   가입자 수 N에 따라 한 가입자마다 상대가입자수(N-1)만큼의 상호세션키를 비밀리에 보관해야 한다.

79. 다음 중 임의적 접근통제(DAC : Dscretionary access control) 에 해당하는 특징이 아닌 것은?

• 1
   사용자 기반 및 ID 기반 접근통제
• 2
   중앙 집중적 관리가 가능
• 3
   모든 개개의 주체와 객체 단위로 접근권한 설정
• 4
   객체의 소유주가 주체와 객체 간의 접근통제 관계를 정의

80. One Time Pad에 대한 설명 중 옳지 않은 것은?

• 1
   최소한 평문 메시지 길이와 같은 키 스트림을 생성해야 한다.
• 2
   암호화 키와 복호화 키가 동일하다.
• 3
   One Time Pad 암호를 사용하려면 키 배송이 먼저 이루어져야 한다.
• 4
   전사 공격을 받게 되면 시간이 문제이지 궁극적으로 해독된다.

81. 다음 중 개인정보 유출 시 신고해야 하는 기관과가장 관련이 깊은 곳은?

• 1
   한국산업기술진흥원
• 2
   한국콘덴츠진흥원
• 3
   한국인터넷진흥원
• 4
   한국정보통신진흥원

82. 아래는 정보통신망법에 대한 내용이다. ( )안에 들어갈 말로서 바르게 나열된 것은?

정보통신서비스제공자는 이용자의 개인정보를 (  )하려고 (  )하는 때에는 다음 각 호의 (  ) 사항에 대하여 이용자에게 알리고 (  )를 얻어야 한다. 다음 각 호의 어느 하나의 사항을 (  )하려는 때에도 또한 같다.
1. 개인정보 수집·이용 목적
2. 수집하는 개인정보의 항목
3. 개인정보의 보유 및 이용 기간

• 1
   이용, 수집, 모든, 동의, 변경
• 2
   이용, 보유, 개별, 양해, 수정
• 3
   사용, 보유, 개별, 양해, 수정
• 4
   이용, 수집, 모든, 양해, 변경

83. 개인정보처리자는 다음 지문의 사항이 포함된 것을 정하고 이를 정보 주체가 쉽게 확인할 수 있게 공개하도록 되어 있다. 다음 지문의 사항이 포함된 문서의 법률적 명칭은 무엇인가?[보기]

1. 개인정보의 처리 목적
2. 개인정보의 처리 및 보유 기간
3. 개인정보의 제 3자의 제공에 관한 사항(해당되는 경우에만 정한다)
4. 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다)
5. 정보주체의 권리의무 및 그 행사방법에 관한 사항
6. 그 밖에 개인정보의 처리에 관하여 대통령령으로 정한 사항

• 1
   개인정보 보호 정책
• 2
   표준 개인정보 보호지침
• 3
   개인정보 내부 관리계획
• 4
   개인정보 처리방침

84. "개인정보 보호법”에서 개인정보의 파기 및 보존 시 가장 적 절하지 않은 경우는?

• 1
   개인정보의 이용목적이 달성된 때에는 즉시 파기하여야 한다.
• 2
   개인정보 삭제 시 만일의 경우에 대비하여 일정기간 보관한다.
• 3
   개인정보를 파기하지 않고 보관할 시에는 다른 개인정보와 분리하여 저장 · 관리한다.
• 4
   전자적 파일 형태인 경우, 복원이 불가능한 방법으로 영구 삭제한다.

85. 다음 중 외주 및 협력업체의 인력에 대한 보안을 강화하기 위한 보호대책으로 적절하지 않은 것은?

• 1
   외부위탁 용역 및 협력업체 인력과의 계약서에 보안 관련 사항을 포함시켜야 한다.
• 2
   협력업체 직원 등의 외주 인력은 회사 업무 수행 시 내부 직원과 동일한 수준으로 정보보호 정책을 준수하여야 한다.
• 3
   외부 인력에게 회사의 중요 정보의 접근을 허용하는 경우 한시적으로 제한하여 허용하고, 주기적인 점검이 이루어져야 한다.
• 4
   업무상 필요에 의해 협력업체 직원이 회사 정보 시스템에 대한 접속 및 외부로의 접속이 요구되는 경우 협력업체 책임자의 승인을 받는다.

86. 고유식별정보는 법령에 따라 개인을 고유하게 구별하기 위하여 부여된 식별정보로서대통령령으로 정하는 정보이다. 다음 중 개 인정보처리자가고유식별정보를 처리할 수 있는 경우에 해당하 는 것은?

• 1
   정보주체의 동의를 받지 않은 경우
• 2
   법령에서 구체적으로 고유식별정보의 처리를 요구하거나허용하는 경우
• 3
   교통단속을 위하여 필요한 경우
• 4
   시설 안전 및 화재 예방을 위하여 필요한 경우

87. 위험의 구성요소가 아닌 것은?

• 1
   자산
• 2
   위협
• 3
   손실
• 4
   취약성

88. 다음 같은 개인정보보호에 대한 시책 마련은 어느 법률에서 규정하고 있는가?

미래창조과학부장관 또는 방송통신위원회는 정보통신망의 이용촉진 및 안정적 관리⦁운영과 이용자의 개인정보보호 등을 통하여 정보사회의 기반을 조성하기 위한 시책을 마련하여야 한다.

• 1
   개인정보보호법
• 2
   전자서명법
• 3
   정보통신망 이용촉진 및 정보보호 등에 관한 법률
• 4
   정보통신기반 보호법

89. 클라우드 시스템 운영 중 사고가 발생하였다. 다음 대응 방법 중 틀린 내용은?

• 1
   개인정보가 유출되었음을 알게 되었을 경우 지체없이 해당 정보주체에게 알린다.
• 2
   1천명 이상의 개인정보가 노출된 경우 통지 및 조치 결과를 개인정보보호위원회에 신고한다.
• 3
   개인정보처리시스템의 예기치 않은 시스템 중단이 발생한 경우 한국인터넷진흥원에 보고한다.
• 4
   중대한 침해사고가 발생할 경우 과학기술정보통신부장관에게 지원을 요청할 수 있다.

90. 위험관리에 대한 설명으로 적절하지 않은 것은?

• 1
   정보보호를 위한 기술적, 관리적, 물리적 분야 등에 다양한 측면으로 발생할 수 있는 위험을 식별하고 평가할 수 있는 방법을 정의한다.
• 2
   조직의 위험을 식별하고 이에 대한 적절한 보호 대책을 수립하기 위하여 정기 또는 수시로 위험에 대처할 수 있도록 위험관리 계획을 수립한다.
• 3
   위험관리 수행 인력은 위험관리 방법, 조직의 업무 및 시스템에 대한 전문성을 갖춘 내부인력만으로 위험관리를 수행한다.
• 4
   위험관리 방법론은 베이스라인 접근법, 복합 접근법 등의 다양한 조직에 적합한 방법을 찾을 때까지 위험관리 방법론을 개선할 수 있다.

91. 개인정보보호법에서 개인정보 수집 시 고지 항목으로 올바르지 못한것은?

• 1
   이용목적
• 2
   이용항목
• 3
   이용기간
• 4
   파기방법

92. 다음은 전자서명법에서 공인인증기관의 업무수행에 관한 조항이다. 괄호 안에 들어갈 말은?

(         )은 인증업무의 안전성과 신뢰성 확보를 위하여 공인인증기관이 인증업무 수행에 있어 지켜야 할 구체적 사항을 전자서명인증업무지침으로 정하여 고시할 수 있다.

• 1
   과학기술정보통신부장관
• 2
   개인정보보호위원장
• 3
   국가정보원장
• 4
   산업통상자원부장관

93. 다음 중 CCTV를 설치할 수 있는 곳이 아닌 것은?

• 1
   교도소
• 2
   교통단속을 위한 도로
• 3
   범죄 예방을 위한 발열 실(목욕탕, 사우나)
• 4
   병원

94. 「개인정보 보호법」에서 규정하고 있는 개인정보 중 민감정 보에 해당하지 않는 것은?

• 1
   주민등록번호
• 2
   노동조합 · 정당의 가입·탈퇴에 관한 정보
• 3
   건강에 관한 정보
• 4
   사상 · 신념에 관한 정보

95. 정량적 위험분석 기법에 해당하는 것은?

• 1
   델파이법
• 2
   시나리오법
• 3
   순위결정법
• 4
   확률분포법

96. 전자서명법에서 전자서명에 대한 설명이다. 올바르지 않은 것은 무엇인가?

• 1
   누구든지 타인의 명의로 공인인증서를 발급받거나 발급받을 수 있도록 하여서는 아니 된다.
• 2
   누구든지 공인인증서가 아닌 인증서 등을 공인인증서로 혼돈하게 하거나 혼동할 우려가 있는 유사한 표시를 사용하거나 허위로 공인인증서의 사용을 표시하여서는 아니 된다.
• 3
   누구든지 공인인증서를 이용범위 또는 용도에서 벗어나 부정하게 사용하여서는 아니 된다,
• 4
   법원이 허락하는 경우 타인의 명의로 공인인증서를 발급받을 수 있다.

97. 최근 개인정보보호법이 개정이 되었다. 개인정보보호법상 주민번호 수집 후 유출시 얼마의 과징금이 부과되는가?

• 1
   1억
• 2
   3억
• 3
   5억
• 4
   7억

98. 다음 중 데이터베이스와 관련된 조직 구성원들의 역할로 가장 옳지 못한 것은?

• 1
   최고 경영자 또는 최고 정보보호 책임자가 보안의 최종 책임을 진다.
• 2
   정보보호 관리조직은 데이터 관리자에게 지침을 내리고 데이터 보안을 지원한다,
• 3
   데이터 관리조직은 민감 데이터와 일반 데이터를 분류하고, 데이터의 정확성과 무결성을 보장한다.
• 4
   정보보호위원회는 독립된 권한을 가지고 보안정책의 이행여부를 검토하고 미흡사항에 대한 조치 필요사항을 통지한다.

99. 다음 중 정보보호의 주요 목적이 아닌 것은 무엇인가?

• 1
   기밀성
• 2
   무결성
• 3
   정합성
• 4
   가용성

100. 다음 중 사례 연구 또는 시나리오 기반으로 복구, 운영 계획 집행 및 절차에 대한 제반 사항에대해 1차 사이트에서 가상으로 수행하는 복구 테스트 방법은?

• 1
   체크 리스트
• 2
   구조적 점검
• 3
   시뮬레이션
• 4
   병렬테스트