101. 개인정보보호법상 암호화하여야 하는 개인정보 대상이 아닌 것은?
① 비밀번호 ② 고유식별번호
③ 바이오정보 ④ 신용카드정보
102. S/MIME(Secure/Multipurpose Internet Mail Extension) 에 대한 설명 중 틀린 것은?
① 네트워크계층에서의 보안을 제공한다.
② 평문메시지에 공개키 암호방식을 적용하여 보안성을 제공한다.
③ 이진값으로 암호화된 본문이나 서명 부분은 모두 MIME으로 변환되어 전송한다.
④ 세션키를 분배하기 위하여 Diffie-Hellman 방식과 RSA 공개키 방식을 사용한다.
103. SSL(Secure Socket Layer)에 관한 설명 중 틀린 것은?
① SSL 레코드 프로토콜은 기밀성과 메시지 무결성, 부인 방지 서비스를 제공한다.
② SSL 레코드 프로토콜은 단편화, 압축, 메시지 인증 코드 계산, 암호화의 순서로 수행된다.
③ SSL은 TCP를 이용하여 신뢰할 수 있는 종단-대- 종단 보안 서비스를 제공하기 위해 설계되었다.
④ 경고(Alert) 프로토콜은 SSL 관련 경고를 전달 하기 위해 사용된다.
104. 국내 정보보호관리체계(ISMS) 인증기준 중 정보 보호 대책에 해당되지 않는 것은?
① 정보보호 조직
② 정보보호 교육
③ 침해사고 관리
④ 법적 요구사항 준수 검토
105. 정보보호관리체계에 대한 설명 중 가장 거리가 먼 것은?
① 취약성은 자산의 잠재적 속성으로서 위협의 이용 대상으로 정의된다.
② 관리체계 인증기준과 기업 내 현재의 보호대책 적용 현황과의 수준 차이를 파악하기 위해 위협 분석을 수행한다.
③ 정보보호관리체계 구축을 위한 수행조직은 프로 젝트팀으로 구성될 수 있으며 우선적으로 관리 체계 도입 배경과 경영진을 이해시키고 설득할 수 있는 자료 등을 준비한다.
④ 정보보호대책이란 위험에 대응하여 자산을 보호하기 위한 관리적, 물리적, 기술적 대책으로 정의된다.
106. 개인정보처리자가 개인정보의 수집 시 정보주체의 동의를 받지 않아도 되는 경우로 가장 적절한 것은?
① 개인정보취급 방침에 명시한 경우
② 경제적, 기술적인 사유로 통상적인 동의를 받는 것이 뚜렷하게 곤란한 경우
③ 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
④ 요금 부과를 위해 필요한 경우
107. 해시 함수(hash function)의 특성에 대한 설명 으로 틀린 것은?
① 임의의 크기를 갖는 메시지에 고정된 길이의 해시 값을 생성한다.
② 해시 값을 계산하기 쉽다.
③ 해시 값에 대한 해시 함수의 입력 메시지를 찾는 것이 불가능하다는 것은 해시 함수의 충돌방지 특성이다.
④ 해시 알고리즘으로 MD5, SHA-1, SHA-2가 있다.
108. 포렌식을 통해 획득한 증거는 법적인 효력을 가져야할 필요가 있다. 포렌식의 기본원칙에 대한 설명 중 가장 거리가 먼 것은?
① 재현의 원칙 : 증거를 복구하는 과정에서 똑같은 환경에서 같은 결과가 나오도록 재현할 수 있어야 함.
② 신속성의 원칙 : 시스템 안의 디스크 또는 메모리 정보가 휘발되기 전에 빠르게 획득하여야 함.
③ 정당성의 원칙 : 모든 증거는 적법한 절차를 거쳐서 획득하여야 함.
④ 무결성의 원칙 : 증거의 이송/분석/보관/법정 제출 이라는 일련의 과정에 대한 추적이 가능해야 함.
109. “소프트웨어 개발 보안 가이드(2013.11)”에서 제시한 안전한 코딩 기법 중, 프로그램 입력값에 대한 검증 누락 또는 부적절한 검증, 데이터의 잘못된 형식지정으로 인해 발생할 수 있는 공격을 예방하기 위한 기법과 가장 거리가 먼 것은?
① 외부의 입력을 자원(파일, 소켓 등) 식별자로 사용하는 경우, 적절한 검증을 거치도록 한다.
② 쿠키의 만료시간은 세션이 지속되는 시간과 관련하여 최소한으로 설정하고 영속적인 쿠키에는 사용자 권한 등급, 세션 ID가 포함되지 않도록 한다.
③ HTML 태그를 허용하는 게시판에서는 지원가능한 태그리스트를 선정한 후 해당 태그만 허용한다.
④ 사용자 입력값을 자동 연결할 사이트 주소로 사용 하는 경우에는 입력된 값이 화이트 리스트에 존재하는지 확인하도록 한다.
110. 위험분석 방법 중 정성적 분석방법이 아닌 것은?
① 델파이법 ② 시나리오법
③ 확률분포법 ④ 순위결정법
111. 스마트폰 애플리케이션과 관련하여 악성 애플리케이션이 유통되지 않도록 마켓에서 판매되는 애플리케이션에 대한 보안성 검증을 강화하면서 애플리케이션 개발자의 신원 확인/인증을 강화 하기 위해 사용된 기술은?
① repackaging
② decompile
③ code signing
④ mobile trusted module
112. 다음은 C 프로그램의 일부분이다. 진하게 표시 된 부분에는 어떤 보안 약점이 존재하는가?
|
int main()
{ char* rPort = getenv(“rPort”); struct sockaddr_in serv_addr; int sockfd = 0; ... serv_addr.sin_port = htons(atoi(rPort)); if (connect(sockfd, &serv_addr, sizeof(serv_addr)) < 0) { exit(1); } return 0; } |
① 부적절한 인가
② 포맷 스트링 삽입
③ 경로 조작 및 자원 삽입
④ 시스템 데이터 정보 노출
113. 모바일 단말기를 통해 외부에서 업무를 처리하는 모바일 오피스 환경에서 BYOD(Bring Your Own Device) 서비스 제공을 위한 보안 강화 기술과 가장 관련된 것은? (2개 선택)
① NAC(Network Access Control)
② proof carrying code
③ MDM(Mobile Device Management)
④ SecureMSM(Mobile Station Modem)
114. 스마트카드를 이용하여 동적 데이터 인증 과정을 수행하기 위해 스마트카드 단말기에 배포되어야 하는 것은?
① 인증기관(CA)의 공개키
② 스마트카드의 개인키
③ 응용 프로그램 데이터와 스마트카드 공개키에 대해 발행자의 개인키를 이용하여 서명한 값
④ 발행자의 공개키에 대해 인증기관(CA)의 개인키를 이용하여 서명한 값
115. 위장 공격(masquerade attack)을 통해 발생 가능한 인증(authentication) 보안 위협을 방지하기 위한 암호 기술과 가장 거리가 먼 것은?
① 공개키 암호 ② 일방향 해시 함수
③ 메시지 인증 코드 ④ 디지털 서명
116. 다음 보기의 설명을 통해 기업에서 설치해야하는 정보보호 시스템을 올바르게 짝지은 것은?
|
IP주소 및 port 번호를 기반으로 외부에서 유입되는 트래픽을 사전에 차단하기를 원하며, 기업외부에서 내부망으로 접근하여 업무를 수행할 경우 암호통신을 통한 통신내용 보호를 원한다.
|
① 침입차단시스템 - VPN
② 웹방화벽 - 침입탐지시스템
③ 침입차단시스템 - 안티바이러스
④ 안티바이러스 - VPN
117. 패킷의 헤더 뿐만 아니라 메시지 수준에서 모니터링 및 차단이 가능하도록 하기를 원할 때 활용할 수 있는 침입차단시스템 유형으로 가장 적절한 것은?
① 어플리케이션 프록시
② 패킷 필터링 라우터
③ 상태검사 패킷필터
④ 회로레벨 게이트웨이
118. 개인정보보호인증(PIPL) 기준 중 인증 신청 기관이 중소기업인 경우, 필수 적용되는 기준과 가장 거리가 먼 것은?
① 개인정보보호 관리계획 수립을 통해 명확한 방침 및 방향 제시를 보증하여야 하며, 이에 대해 개인 정보보호 책임자의 검토와 승인을 거쳐야 한다.
② 개인정보보호 활동을 수행하고 관리하는 구성원들에 대한 책임, 역할 및 권한을 정의하여야 한다.
③ 개인정보처리자는 개인정보를 취급하는 업무(서비스)에 대하여 적합한 위험관리 계획을 수립하고, 위험관리 계획에 따라 보호대책을 수립하여야 한다.
④ 식별된 개인정보 자산에 영향을 줄 수 있는 모든 위협과 취약성, 위험을 개인정보의 흐름에 따라 식별하고 분류하여야 하며, 이 개인정보 자산의 가치와 위험을 고려하여 잠재적 손실에 대한 영향을 식별·분석하여야 한다.
119. 최근 최고경영층의 정보보호에 대한 역할과 책임을 강조하는 정보보호 거버넌스의 중요성이 인식되고 있다. 관련 국제표준인 ISO/IEC 27014 에서 명시하고 있는 정보보호 거버넌스의 원칙과 가장 거리가 먼 것은?
① 현업부서를 포함하는 전사적 보안 구현
② 효율적 보안운영을 위한 계획 수립
③ 긍정적 보안문화 형성
④ 정보보호 투자에 대한 방향 설정
120. 2013년에 개정된 국제표준 ISO/IEC 27001에서 ISMS 구현을 위해 요구하는 일곱 가지 사항과 가장 거리가 먼 것은?
① 조직의 보안환경 분석
② 최고경영층의 리더십
③ 컴플라이언스 관리
④ 위험관리
정답)
|
101
|
102
|
103
|
104
|
105
|
|
④
|
①
|
①
|
④
|
②
|
|
106
|
107
|
108
|
109
|
110
|
|
③
|
③
|
④
|
②
|
③
|
|
111
|
112
|
113
|
114
|
115
|
|
③
|
③
|
①,③
|
①
|
②
|
|
116
|
117
|
118
|
119
|
120
|
|
①
|
①
|
④
|
②
|
③
|
'정보시스템감리 > 보안' 카테고리의 다른 글
| (제 14회) 보안 / (101)~(120) (31) | 2024.01.12 |
|---|---|
| (제 15회) 보안 / (101)~(120) (2) | 2024.01.11 |
| (제 17회) 보안 / (101)~(120) (3) | 2024.01.09 |
| (제 18회) 보안 / (101)~(120) (2) | 2024.01.08 |
| (제 19회) 보안 / (101)~(120) (1) | 2024.01.07 |