정보시스템감리/보안

(제 15회) 보안 / (101)~(120)

아이티신비 2024. 1. 11. 09:30

101. 대칭키 암호시스템의 단점 중 하나는 암호화 통신을 위해 한 네트워크에서 비밀리 관리되는 키의 총 개수가 공개키 암호시스템에 비해 많다는 점이다. 100명의 직원이 있는 조직이 대칭키 암호시스템을 이용한 암호화 통신 기능을 제공하고자 한다면 조직 내에서 관리해야 하는 키의 적정한 총 개수는?

 

① 1,225

② 4,950

③ 5,100

④ 10,100

 

102. 다음 생체인식(biometrics)의 정확도를 측정하는 매개변수 중 인식되어서는 안 될 사람이 얼마나 자주 시스템에 의해서 인식되는지를 나타내는 것은?

 

① 정상 거부율(TRR: True Rejection Rate)

② 부정 거부율(FRR: False Rejection Rate)

③ 정상 허용율(TAR: True Acceptance Rate)

④ 부정 허용율(FAR: False Acceptance Rate)

 

103. 다음에 가장 적합한 해킹 기법은?

AA 은행에 접근하려고 하였던 K씨는 자신의 PC가 해킹되어 정상적으로 AA은행에 접속하려해도 해커의 가짜은행 사이트로 접속되는 것을 알게 되었다. 또한 해커가 구축해 놓은 가짜 은행 웹사이트에서는 개인정보를 불법적으로 수집하고 있었다

① Pharming

② Phishing

③ SQL Injection

④ Smishing

 

104. IPSec에 대한 설명으로 틀린 것은?

 

① 네트워크 계층에서 패킷을 보호하기 위한 목적으로 IETF (Internet Engineering Task Force)가 정의한 프로토콜 집합이다.

② IPv4와 IPv6 둘 다 지원 가능하다.

③ AH(Authentication Header) 프로토콜과 ESP (Encapsulating Security Payload) 프로토콜은 모두 메시지 인증 서비스를 제공할 수 있다.

④ AH 프로토콜은 재사용 공격 보호를 위한 서비스는 지원하지 않는다.

 

105. 다음의 공격 방법을 방어하기 위한 침입차단 시스템의 유형으로 가장 적절한 것은?

침입차단시스템을 우회하기 위하여 침입차단 시스템 내부망에 있는 시스템의 서비스 요청을 받은 것을 가장하여 패킷을 전송한다.

① 응용레벨 게이트웨이(Application level Gateway)

② 회로레벨 게이트웨이(Circuit level gateway)

③ 패킷 필터링 라우터(Packet filtering router)

④ 상태검사 패킷 필터 (State inspection packet filter)

 

106. 다음 중 패킷 필터의 방어를 우회하기 위해 사용되는 공격 기법과 가장 거리가 것은?

 

① IP 주소 스푸핑(IP address spoofing)

② 근원지 경로배정 공격(Source routing attacks)

③ 소형 단편 공격(Tiny fragment attacks)

④ ARP 스푸핑(ARP Spoofing)

 

107. 다음이 설명하는 블루투스 공격은?

블루투스 장치끼리 인증없이 정보를 교환할 수 있는 OPP(OBEX Push Profile) 기능을 이용하여 다른 블루투스 장치의 주소록, 달력 등의 내용을 열람하거나 파일에 접근하는 공격이다.

① 블루프린팅(Blueprinting)

② 블루재밍(BlueJamming)

③ 블루스나핑(BlueSnarfing)

④ 블루버깅(BlueBugging)

 

108. VPN(Virtual Private Network) 구현을 위해 사용하는 프로토콜과 가장 거리가 것은?

 

① SSL(Secure Socket Layer)

② IMAP(Internet Message Access Protocol)

③ IPSec(IP Security Protocol)

④ L2F(Layer2 Forwording)

 

109. 무선 전송계층 보안 프로토콜인 WTLS(Wireless Transport Layer Security)에 대한 설명으로 가장 거리가 것은?

 

① TLS(Transport Layer Security)에 기반한 무선 보안 프로토콜이다.

② 프라이버시, 인증은 제공하지만 무결성 및 부인방지 서비스는 제공하지 않는다.

③ 서비스 제공을 위하여 Handshake Protocol, Alert Protocol, Change Cipher Spec Protocol, Record

Protocol을 포함한다.

④ 인증을 위하여 WTLS 인증서와, X9.68인증서, X.509 인증서를 지원한다.

 

110. 시스템 취약성과 관련된 공격방법 중 성격이 다른 하나는?

 

① 버퍼 오버플로우(Buffer Overflow)

② 레이스 컨디션(Race Condition)

③ 포맷 스트링(Format String)

④ 스니핑(Sniffing)

 

 

 

111. 시스템 보안 설정에 대한 설명으로 가장 거리가 것은?

 

① 윈도우 NTFS 파일 구조에서 파일이나 디렉토리에 대한 접근 권한은 누적된다.

② 유닉스 계열 시스템은 사용자 패스워드를 암호화 하여 /etc/shadow에 저장한다.

③ 유닉스 계열 시스템은 PAM모듈을 이용하여 특정 그룹 및 계정의 접속을 제한한다.

④ 윈도우 시스템에서 ‘Administrator’ 계정은 관리자 계정이므로 계정 이름을 변경할 수 없다.

 

112. OWASP Top 10 어플리케이션 보안 위험 중에서 로그인 상태의 취약한 웹 어플리케이션에 피해자의 세션 쿠키와 기타 인증정보를 자동으로 포함하여 위조된 HTTP 요청을 강제로 보내도록 하는 방식은?

 

① HTTP 인젝션

② 크로스사이트 스크립팅

③ 취약한 직접 객체 참조

④ 크로스사이트 요청 변조

 

113. 다음 중 국가사이버안전관리규정에 따라 국가 사이버안전센터에서 정의한 사이버위기경보 단계 중에서 “경계” 단계에 해당하는 것은?

 

① 국가적 차원에서 네트워크 및 정보시스템 사용 불가능

② 복수의 정보통신서비스 제공자(ISP)망 및 기간 망의 장애 또는 마비

③ 침해사고가 일부 기관에서 발생하여 다수기관 확산 가능성 증가

④ 해외 사이버공격 피해가 확산되어 국내 유입우려 존재

 

114. 아래의 코드는 어떤 소프트웨어 보안약점 유형에 대한 보안대책으로 작성된 것인가?

<%
String input = request.getParameter(“input”);
if (input != null) {
input = input.replaceAll(“<”, “<”);
input = input.replaceAll(“>”, “>”);
input = input.replaceAll(“&”, “&”);
input = input.replaceAll(““””, “"”);
input = input.replaceAll(“””, “'”);
input = input.replaceAll(“/”, “/”);
} else { input = “”; }
%>

① SQL 삽입

② 경로 조작 및 자원 삽입

③ 크로스사이트 스크립트

④ 위험한 형식 파일 업로드

 

115. ISO/IEC 21827(SSE-CMM : System Security Engineering-Capability Maturity Model)의 제정 목적으로 가장 적절한 것은?

 

① 다양한 환경에서 소프트웨어를 안전하게 사용하기 위한 대책 제공

② 정보시스템 제품의 보안 기능을 구현한 적합성에 대한 품질 보증

③ 정보보호관리체계를 평가하고 인증하는 심사 기관에 대한 요건 설정

④ 조직의 보안 공학 실무와 조직적 관리 프로세스에 대한 능력 평가

 

116. 한국인터넷진흥원(KISA) 정보보호관리체계(ISMS)의 정보보호 관리과정에 대한 인증 기준의 “사후관리” 과정에 포함되는 세부 관리과정은? (2개 선택)

 

① 내부감사

② 내부 공유 및 교육

③ 경영진 참여

④ 법적요구사항 준수검토

 

117. 다음 설명과 가장 관련 있는 것은?

기업에 물리적 설비, 전력, 난방, 통풍 및 온도 조절기 등을 제공하는 백업 설비로 조직이 이를 이용할 경우 다른 백업 설비보다 비용이 적게 드는 장점을 가진다.

① 콜드 사이트(cold site)

② IDC(Internet Data Center)

③ 핫 사이트(hot site)

④ 기업 간 사이트 공유

 

118. 다음 중 조직 내에서 정보보호와 관련된 활동을 평가, 지시, 감독, 소통할 수 있도록 정보보호 거버넌스에 대한 개념과 원칙을 지침으로 제공 하는 국제표준은?

 

① ISO/IEC 27004

② ISO/IEC 27006

③ ISO/IEC 27011

④ ISO/IEC 27014

 

119. 다음은 개인정보 보호법 시행령 제35조에서 명시하고 있는 개인정보 영향평가 대상에 대한 조항의 일부이다. (가), (나), (다)에 들어갈 내용으로 가장 적절한 것은?

1. 구축ㆍ운용 또는 변경하려는 개인정보파일로서 (가) 이상의 정보주체에 관한 법 제23조에 따른 민감정보 또는 고유식별정보의 처리가 수반되는 개인정보파일
2. 구축ㆍ운용하고 있는 개인정보파일을 해당 공공기관 내부 또는 외부에서 구축ㆍ운용하고 있는 다른 개인정보파일과 연계하려는 경우 로서 연계 결과 (나) 이상의 정보주체에 관한 개인정보가 포함되는 개인정보파일
3. 구축ㆍ운용 또는 변경하려는 개인정보파일로서 (다) 이상의 정보주체에 관한 개인정보파일

① (가) 1만명, (나) 10만명, (다) 50만명

② (가) 1만명, (나) 50만명, (다) 100만명

③ (가) 5만명, (나) 10만명, (다) 50만명

④ (가) 5만명, (나) 50만명, (다) 100만명

 

120. 다음 중 위험관리에 관련된 용어와 그 의미의 연결이 가장 거리가 것은?

 

① 통제 – 위험을 변경시키기 위한 대책

② 위험 수준 – 결과와 가능성의 조합으로 표현되는 위험의 크기

③ 잔여 위험 – 위험 처리를 수행하기 이전에 잔여하는 위험

④ 위험 분석 – 위험의 본질을 이해하고 위험 수준을 결정하는 과정

 


 

 

정답)

101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
①,④

 

 

'정보시스템감리 > 보안' 카테고리의 다른 글

(제 14회) 보안 / (101)~(120)  (31) 2024.01.12
(제 16회) 보안 / (101)~(120)  (31) 2024.01.10
(제 17회) 보안 / (101)~(120)  (3) 2024.01.09
(제 18회) 보안 / (101)~(120)  (2) 2024.01.08
(제 19회) 보안 / (101)~(120)  (1) 2024.01.07