101. UNIX 시스템의 패스워드 암호화에 활용되는 것으로 다음 내용에 대한 설명으로 가장 적절한 것은?
|
사용자의 패스워드에 덧붙여져서 암호 함수의 입력을 정해진 길이로 만들기 위해 활용된다. 이를 통해 패스워드의 길이가 늘어나고, 동일한 패스워드를 사용하는 사용자의 암호화 된 값이 다른 값을 갖게 되는 효과가 있다.
|
① 솔트(salt)
② 키(key)
③ 해쉬값(hash value)
④ 사전(dictionary)
102. 다음 중「개인정보 보호법」에서 규정하고 있지 않은 것은?
① 개인정보의 수집 제한
② 개인정보의 목적 외 이용·제공 제한
③ 개인정보 이용내역의 통지
④ 개인정보영향평가
103. 다음과 같은 네트워크 구축 요구사항을 충족하기 위한 것으로 가장 거리가 먼 것은?
|
우리 기업의 네트워크를 내부망과 외부망으로 구분하고 외부에 공개해야 하는 웹서비스는 구분된 네트워크에서 운영하고자 한다. 또한 외부망에서 내부망으로 암호터널을 이용하여 안전한 통신을 제공하고자 한다.
|
① 방화벽(Firewall)
② 중간지점(DMZ)
③ 가상사설망(VPN)
④ 안티바이러스(Anti-Virus)
104. “소프트웨어 개발 보안 가이드(2013.11)”에서 보안 약점은 7개의 유형으로 분류하여 정의하고 있다. 다음 중 ‘입력데이터 검증 및 표현’ 유형에 해당하는 보안약점과 가장 거리가 먼 것은?
① 부적절한 인가
② 경로 조작 및 자원 삽입
③ XPath 삽입
④ 정수형 오버플로우
105. 시큐어코딩 점검 시 보안약점 탐지에 관한 설명으로 가장 거리가 먼 것은?
① 보안약점이 내포된 Bad 코드에서 취약한 함수의 위치를 정확하게 탐지한 경우 True Positive로 판정한다.
② 보안약점이 존재하지 않는 Good 코드에서 보안 약점의 위치를 탐지하지 못한 경우 False Positive로 판정한다.
③ 보안약점이 내포된 Bad 코드에서 취약한 함수의 위치를 탐지하지 못한 경우 False Negative로 판정한다.
④ 시큐어코딩 점검 시 False Positive에 대해 효과적으로 관리하지 못하면 Good 코드에 대해서 계속적인 분석을 하게 되어 점검효율이 떨어진다.
106. 정보보호 위험관리에서 정성적(Qualitative) 위험분석이 갖는 특징으로 틀린 것은?
① 손실크기를 화폐가치로 측정할 수 없어 위험을 기술변수로 표현하는 경우 주관적이며, 근거가 제공되지 않지만 시간, 노력, 비용이 적게 든다.
② 델파이법, 시나리오법, 순위결정법, 질문서법 등이 해당된다.
③ 위험의 우선순위 파악이 용이하다는 장점이 있다.
④ 많은 데이터의 입력과 복잡한 계산이 필요하다는 단점이 있다.
107. 다음은 위험관리 국제표준 ISO/IEC 13335의 위험 처리 절차이다. (가) ~ (라)에 해당되는 위험 처리 방법으로 올바르게 짝지어진 것은?
 |
① (가)위험 회피, (나)위험 감소, (다)위험 전가, (라)위험 수용
② (가)위험 수용, (나)위험 감소, (다)위험 전가, (라)위험 회피
③ (가)위험 감소, (나)위험 회피, (다)위험 전가, (라)위험 수용
④ (가)위험 수용, (나)위험 회피, (다)위험 전가, (라)위험 감소
108. 데이터베이스에 대한 감사에서 수집하는 정보로 적절하지 않은 것은?
① 데이터베이스 서버의 설정 및 운영과 관련된 정보 변경
② 데이터베이스 암호화 키
③ 객체 생성 및 변경 내역
④ 주요 데이터의 조회 및 이동 내역
109. 다음과 같은 네트워크 보안관리 요구사항에서 제시하고 있는 기능을 수행하기 위한 네트워크 장비로 가장 적절한 것은?
|
내부망의 컴퓨터가 사용하는 IP 주소와 port 번호를 외부망에서 알아낼 수 없도록 하고, 특히 외부망에서 스니퍼를 통해서 패킷을 수집해서 보더라도 내부망의 어떤 IP 주소 및 port 번호와 통신하는지 알아내지 못하게 하고 싶다.
|
① IDS
② Anti-Virus
③ NAT
④ Honeypot
110. OWASP TOP 10 애플리케이션 보안 위험(2013)에 대한 설명으로 가장 적절하지 않은 것은?
① 인젝션은 신뢰할 수 없는 데이터가 명령어나 질의문의 일부분으로서 인터프리터에 보내질 때 발생한다.
② 크로스 사이트 스크립팅(XSS)은 로그온 된 피해자의 취약한 웹 애플리케이션에 피해자의 세션 쿠키와 기타 다른 인증정보를 자동으로 포함하여 위조된 HTTP 요청을 강제로 보내도록 하는 것이다.
③ 취약한 직접 객체 참조는 개발자가 파일, 디렉토리, 데이터베이스 키와 같은 내부 구현 객체를 참조하는 것을 노출시킬 때 발생한다.
④ 인증 및 세션 관리 취약점은 공격자가 로그인을 하지 않은 상태로 서비스에 접근하거나, 다른 사용자 ID로 가장할 수 있는 방법을 제공한다.
111. 시스템 또는 네트워크에 손상을 입히는 악성 소프트웨어에 대한 다음 설명으로 가장 적절한 것은?
① 트랩도어(Trap Doors)는 세션 하이제킹의 기본이 되는 기술로 IP 주소를 속여서 공격하는 기법이다.
② 논리 폭탄(Logic Bomb)은 특정한 조건이 만족되면 특정형태의 공격을 하는 기법이다.
③ 트로이목마(Trojan Horses)는 자기 복제 능력이 있으며 다른 파일을 감염시키는 기법이다.
④ 웜(Worms)은 인증절차 없이 시스템에 접근하기 위한 방법을 미리 설정해 놓는 기법이다.
112. 개인정보의 기술적·관리적 보호조치 기준과 관련 하여 암호화 방식이 다른 것은?
① 비밀번호
② 신용카드번호
③ 계좌번호
④ 주민등록번호
113. DRM의 요소 기술에 관한 설명 중 가장 거리가 먼 것은?
① 메타데이터는 저자, 저작권자, 발행일 등 저작권 관리를 위해 필요한 데이터 구조 및 정보이다.
② 권리 표현 언어는 DOI, MPEG-21 DII 등이 있다.
③ 패키징은 시큐어 콘테이너를 구성하는 과정을 의미한다.
④ DRM에서 인증은 사용자 인증, 디바이스 인증 그리고 이 둘을 결합한 방식으로 나뉜다.
114. 다음 중 분석대상 네트워크에 현재 열려 있는 포트를 확인하여 어떤 서비스가 운영 중인지를 파악하기 위한 것으로 가장 적절한 것은?
① iptable
② snort
③ nmap
④ tripwire
115. S/MIME에서는 암호처리 외에도 부가적인 전자우편 보안 서비스들을 제공한다. 다음 중 S/MIME 보안 서비스와 가장 거리가 먼 것은?
① 신뢰망(Web of Trust)
② 서명된 수령증(Signed Receipts)
③ 보안 레이블(Security Labels)
④ 안전한 메일링리스트(Secure Mailing Lists)
116. 디지털 포렌식 과정에서 수집된 디지털 증거가 법적 효력을 가지고 증거 능력을 인정받기 위한 원칙 중 다음 설명에 가장 적절한 것은?
|
증거는 획득되고 난 뒤 이송/분석/보관/법정 제출이라는 일련의 과정이 명확해야 하고 이러한 과정에 대한 추적이 가능해야 한다.
|
① 정당성의 원칙
② 무결성의 원칙
③ 재현의 원칙
④ 연계 보관성의 원칙(Chain of Custody)
117. ISO/IEC 27014에서 명시하고 있는 정보보호 거버 넌스 프로세스에 대한 설명 중 가장 거리가 먼
것은?
① Evaluate: 정보보호 활동의 조직 목표 지원 여부를 확인하기 위해 현재의 정보보호 수준을 평가해야 한다.
② Direct: 최고경영층은 정보보호 목표 및 전략에 대한 방향을 제시해야 한다.
③ Monitor: 정보보호 활동의 모니터링을 위해서는 비즈니스 관점의 성과척도를 적용해야 한다.
④ Assure: 최고경영층은 정보보호 활동의 적절성을 외부 이해관계자들에게 보고해야 한다.
118. 다음 중 커버로스(Kerberos)에 대한 설명으로 가장 거리가 먼 것은?
① 커버로스는 키분배센터(KDC: Key Distribution Center) 기반의 키 관리를 수행한다.
② 커버로스는 타임스탬프를 이용하여 재전송 공격을 방지한다.
③ 커버로스는 RFC 표준으로 키분배뿐만 아니라 사용자 인증을 제공한다.
④ 커버로스를 이용하여 사용자는 키분배 센터로 부터 상대방의 공개키를 안전하게 수신한다.
119. 다음 설명과 관련성이 가장 많은 프로토콜은?
|
- 동일 LAN 상에서 동작하는 컴퓨터들 간에 공격 발생이 가능함
- MITM(Man-in-the-Middle) 형태의 공격 발생이 가능함 - IP 주소를 MAC 주소로 대응시키기 위해 사용됨 |
① ARP
② RIP
③ TCP
④ ICMP
120. 정보보호 관리과정 중 다음과 같은 요구사항에 해당하는 것은?
|
- 정보보호 관리체계를 운영하는 과정에서 상시적인 모니터링을 수행
- 정기적인 내부감사를 통해 정책 준수 상황을 확인 - 정보보호 관리체계를 재검토 - 관리 체계 개선 |
① 정보보호 정책 수립 및 범위설정
② 경영진 책임 및 조직구성
③ 정보보호대책 구현
④ 사후관리
정답)
|
101
|
102
|
103
|
104
|
105
|
|
①
|
③
|
④
|
①
|
②
|
|
106
|
107
|
108
|
109
|
110
|
|
④
|
②
|
②
|
③
|
②
|
|
111
|
112
|
113
|
114
|
115
|
|
②
|
①
|
②
|
③
|
①
|
|
116
|
117
|
118
|
119
|
120
|
|
④
|
④
|
④
|
①
|
④
|
'정보시스템감리 > 보안' 카테고리의 다른 글
| (제 15회) 보안 / (101)~(120) (2) | 2024.01.11 |
|---|---|
| (제 16회) 보안 / (101)~(120) (31) | 2024.01.10 |
| (제 18회) 보안 / (101)~(120) (2) | 2024.01.08 |
| (제 19회) 보안 / (101)~(120) (1) | 2024.01.07 |
| (제 20회) 보안 / (101)~(120) (1) | 2024.01.06 |