정보시스템감리/보안

(제 16회) 보안 / (101)~(120)

아이티신비 2024. 1. 10. 09:40

101. 개인정보보호법상 암호화하여야 하는 개인정보 대상이 아닌 것은?

 

① 비밀번호 ② 고유식별번호

③ 바이오정보 ④ 신용카드정보

 

102. S/MIME(Secure/Multipurpose Internet Mail Extension) 에 대한 설명 중 틀린 것은?

 

① 네트워크계층에서의 보안을 제공한다.

② 평문메시지에 공개키 암호방식을 적용하여 보안성을 제공한다.

③ 이진값으로 암호화된 본문이나 서명 부분은 모두 MIME으로 변환되어 전송한다.

④ 세션키를 분배하기 위하여 Diffie-Hellman 방식과 RSA 공개키 방식을 사용한다.

 

103. SSL(Secure Socket Layer)에 관한 설명 중 틀린 것은?

 

① SSL 레코드 프로토콜은 기밀성과 메시지 무결성, 부인 방지 서비스를 제공한다.

② SSL 레코드 프로토콜은 단편화, 압축, 메시지 인증 코드 계산, 암호화의 순서로 수행된다.

③ SSL은 TCP를 이용하여 신뢰할 수 있는 종단-대- 종단 보안 서비스를 제공하기 위해 설계되었다.

④ 경고(Alert) 프로토콜은 SSL 관련 경고를 전달 하기 위해 사용된다.

 

104. 국내 정보보호관리체계(ISMS) 인증기준 중 정보 보호 대책에 해당되지 않는 것은?

 

① 정보보호 조직

② 정보보호 교육

③ 침해사고 관리

④ 법적 요구사항 준수 검토

 

105. 정보보호관리체계에 대한 설명 중 가장 거리가 것은?

 

① 취약성은 자산의 잠재적 속성으로서 위협의 이용 대상으로 정의된다.

② 관리체계 인증기준과 기업 내 현재의 보호대책 적용 현황과의 수준 차이를 파악하기 위해 위협 분석을 수행한다.

③ 정보보호관리체계 구축을 위한 수행조직은 프로 젝트팀으로 구성될 수 있으며 우선적으로 관리 체계 도입 배경과 경영진을 이해시키고 설득할 수 있는 자료 등을 준비한다.

④ 정보보호대책이란 위험에 대응하여 자산을 보호하기 위한 관리적, 물리적, 기술적 대책으로 정의된다.

 

106. 개인정보처리자가 개인정보의 수집 시 정보주체의 동의를 받지 않아도 되는 경우로 가장 적절한 것은?

 

① 개인정보취급 방침에 명시한 경우

② 경제적, 기술적인 사유로 통상적인 동의를 받는 것이 뚜렷하게 곤란한 경우

③ 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우

④ 요금 부과를 위해 필요한 경우

 

107. 해시 함수(hash function)의 특성에 대한 설명 으로 틀린 것은?

 

① 임의의 크기를 갖는 메시지에 고정된 길이의 해시 값을 생성한다.

② 해시 값을 계산하기 쉽다.

③ 해시 값에 대한 해시 함수의 입력 메시지를 찾는 것이 불가능하다는 것은 해시 함수의 충돌방지 특성이다.

④ 해시 알고리즘으로 MD5, SHA-1, SHA-2가 있다.

 

108. 포렌식을 통해 획득한 증거는 법적인 효력을 가져야할 필요가 있다. 포렌식의 기본원칙에 대한 설명 중 가장 거리가 것은?

 

① 재현의 원칙 : 증거를 복구하는 과정에서 똑같은 환경에서 같은 결과가 나오도록 재현할 수 있어야 함.

② 신속성의 원칙 : 시스템 안의 디스크 또는 메모리 정보가 휘발되기 전에 빠르게 획득하여야 함.

③ 정당성의 원칙 : 모든 증거는 적법한 절차를 거쳐서 획득하여야 함.

④ 무결성의 원칙 : 증거의 이송/분석/보관/법정 제출 이라는 일련의 과정에 대한 추적이 가능해야 함.

 

109. “소프트웨어 개발 보안 가이드(2013.11)”에서 제시한 안전한 코딩 기법 중, 프로그램 입력값에 대한 검증 누락 또는 부적절한 검증, 데이터의 잘못된 형식지정으로 인해 발생할 수 있는 공격을 예방하기 위한 기법과 가장 거리가 것은?

 

① 외부의 입력을 자원(파일, 소켓 등) 식별자로 사용하는 경우, 적절한 검증을 거치도록 한다.

② 쿠키의 만료시간은 세션이 지속되는 시간과 관련하여 최소한으로 설정하고 영속적인 쿠키에는 사용자 권한 등급, 세션 ID가 포함되지 않도록 한다.

③ HTML 태그를 허용하는 게시판에서는 지원가능한 태그리스트를 선정한 후 해당 태그만 허용한다.

④ 사용자 입력값을 자동 연결할 사이트 주소로 사용 하는 경우에는 입력된 값이 화이트 리스트에 존재하는지 확인하도록 한다.

 

110. 위험분석 방법 중 정성적 분석방법이 아닌 것은?

 

① 델파이법 ② 시나리오법

③ 확률분포법 ④ 순위결정법

 

 

 

111. 스마트폰 애플리케이션과 관련하여 악성 애플리케이션이 유통되지 않도록 마켓에서 판매되는 애플리케이션에 대한 보안성 검증을 강화하면서 애플리케이션 개발자의 신원 확인/인증을 강화 하기 위해 사용된 기술은?

 

① repackaging

② decompile

③ code signing

④ mobile trusted module

 

112. 다음은 C 프로그램의 일부분이다. 진하게 표시 된 부분에는 어떤 보안 약점이 존재하는가?

int main()
{
char* rPort = getenv(“rPort”);
struct sockaddr_in serv_addr;
int sockfd = 0;
...
serv_addr.sin_port = htons(atoi(rPort));
if (connect(sockfd, &serv_addr, sizeof(serv_addr)) < 0) {
exit(1);
}
return 0;
}

① 부적절한 인가

② 포맷 스트링 삽입

③ 경로 조작 및 자원 삽입

④ 시스템 데이터 정보 노출

 

113. 모바일 단말기를 통해 외부에서 업무를 처리하는 모바일 오피스 환경에서 BYOD(Bring Your Own Device) 서비스 제공을 위한 보안 강화 기술과 가장 관련된 것은? (2개 선택)

 

① NAC(Network Access Control)

② proof carrying code

③ MDM(Mobile Device Management)

④ SecureMSM(Mobile Station Modem)

 

114. 스마트카드를 이용하여 동적 데이터 인증 과정을 수행하기 위해 스마트카드 단말기에 배포되어야 하는 것은?

 

① 인증기관(CA)의 공개키

② 스마트카드의 개인키

③ 응용 프로그램 데이터와 스마트카드 공개키에 대해 발행자의 개인키를 이용하여 서명한 값

④ 발행자의 공개키에 대해 인증기관(CA)의 개인키를 이용하여 서명한 값

 

115. 위장 공격(masquerade attack)을 통해 발생 가능한 인증(authentication) 보안 위협을 방지하기 위한 암호 기술과 가장 거리가 것은?

 

① 공개키 암호 ② 일방향 해시 함수

③ 메시지 인증 코드 ④ 디지털 서명

 

116. 다음 보기의 설명을 통해 기업에서 설치해야하는 정보보호 시스템을 올바르게 짝지은 것은?

IP주소 및 port 번호를 기반으로 외부에서 유입되는 트래픽을 사전에 차단하기를 원하며, 기업외부에서 내부망으로 접근하여 업무를 수행할 경우 암호통신을 통한 통신내용 보호를 원한다.

① 침입차단시스템 - VPN

② 웹방화벽 - 침입탐지시스템

③ 침입차단시스템 - 안티바이러스

④ 안티바이러스 - VPN

 

117. 패킷의 헤더 뿐만 아니라 메시지 수준에서 모니터링 및 차단이 가능하도록 하기를 원할 때 활용할 수 있는 침입차단시스템 유형으로 가장 적절한 것은?

 

① 어플리케이션 프록시

② 패킷 필터링 라우터

③ 상태검사 패킷필터

④ 회로레벨 게이트웨이

 

118. 개인정보보호인증(PIPL) 기준 중 인증 신청 기관이 중소기업인 경우, 필수 적용되는 기준과 가장 거리가 것은?

 

① 개인정보보호 관리계획 수립을 통해 명확한 방침 및 방향 제시를 보증하여야 하며, 이에 대해 개인 정보보호 책임자의 검토와 승인을 거쳐야 한다.

② 개인정보보호 활동을 수행하고 관리하는 구성원들에 대한 책임, 역할 및 권한을 정의하여야 한다.

③ 개인정보처리자는 개인정보를 취급하는 업무(서비스)에 대하여 적합한 위험관리 계획을 수립하고, 위험관리 계획에 따라 보호대책을 수립하여야 한다.

④ 식별된 개인정보 자산에 영향을 줄 수 있는 모든 위협과 취약성, 위험을 개인정보의 흐름에 따라 식별하고 분류하여야 하며, 이 개인정보 자산의 가치와 위험을 고려하여 잠재적 손실에 대한 영향을 식별·분석하여야 한다.

 

119. 최근 최고경영층의 정보보호에 대한 역할과 책임을 강조하는 정보보호 거버넌스의 중요성이 인식되고 있다. 관련 국제표준인 ISO/IEC 27014 에서 명시하고 있는 정보보호 거버넌스의 원칙과 가장 거리가 것은?

 

① 현업부서를 포함하는 전사적 보안 구현

② 효율적 보안운영을 위한 계획 수립

③ 긍정적 보안문화 형성

④ 정보보호 투자에 대한 방향 설정

 

120. 2013년에 개정된 국제표준 ISO/IEC 27001에서 ISMS 구현을 위해 요구하는 일곱 가지 사항과 가장 거리가 것은?

 

① 조직의 보안환경 분석

② 최고경영층의 리더십

③ 컴플라이언스 관리

④ 위험관리

 


 

 

정답)

101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
①,③
116
117
118
119
120

 

 

'정보시스템감리 > 보안' 카테고리의 다른 글

(제 14회) 보안 / (101)~(120)  (31) 2024.01.12
(제 15회) 보안 / (101)~(120)  (2) 2024.01.11
(제 17회) 보안 / (101)~(120)  (3) 2024.01.09
(제 18회) 보안 / (101)~(120)  (2) 2024.01.08
(제 19회) 보안 / (101)~(120)  (1) 2024.01.07