101. 다음과 같은 침입차단시스템(firewall)의 기본구조로 가장 적절한 것은?
|
이 방식은 외부 네트워크와 내부 네트워크가 분리되어 있는 네트워크를 구성하며, 내외부 네트워크 사이에 DMZ라고 불리는 완충지대를 둔다. 이를 위해 이중 라우터 구조를 사용한다.
|
① 단일 홈 게이트웨이(single homed gateway)
② 이중 홈 게이트웨이(dual homed gateway)
③ 스크리닝 라우터(screening router)
④ 스크린드 서브넷 게이트웨이(screened subnet gateway)
102. 공개키 암호 알고리즘을 이용하는 전자서명에 대한 설명으로 가장 적절한 것을 모두 고르시오.(2개 선택)
① 권한이 있는 사용자들만 서명의 정당성을 검증할 수 있다.
② 한 번 생성된 서명은 동일한 서명자의 다른 문서에 재사용할 수 있다.
③ 서명된 문서가 변경된 경우에 수신자는 변경 여부를 확인할 수 있다.
④ 전자서명을 생성한 서명자는 나중에 서명한 사실을 부인할 수 없다.
103. DRM(Digital Right Management) 시스템에서 권리 표현에 관한 설명으로 가장 거리가 먼 것은?
① REL(Rights Expression Language)은 XML을 기반으로 이루어져 있다.
② XACML(eXtensible Access Control Markup Language) 은 대표적인 DRM 권리 표현 언어이다.
③ 대부분의 REL은 일반 언어와 똑같이 어휘(semantics)와 어휘에 대한 구조(syntax)를 포함한다.
④ MPEG-21 REL에서는 리소스를 디지털 포맷으로 제한하나, ODRL(Open Digital Right Language)에서는 모든 포맷을 허용한다.
104. 리눅스 시스템에서는 파일 생성시 기본 권한이 부여되는데, 이 기본 권한을 결정할 때 사용되는 것은?
① chmod ② umask ③ fdisk ④ dmesg
105. 접근제어 모델에 관한 설명 중 가장 적절하지 않은 것은?
① 임의적 접근제어는 정보의 소유자가 보안 레벨을 결정하고 이에 대한 정보의 접근 제어를 설정하는 방식이다.
② 강제적 접근제어는 중앙에서 정보를 수집하고 분류하여 보안 레벨을 결정하고 정책적으로 접근제어를 수행하는 방식이다.
③ 강제적 접근제어 방식인 벨 라파둘라 모델에서는 자신보다 높은 보안 레벨의 문서에 대해 읽기와 쓰기가 불가능하다.
④ 역할기반 접근제어는 사람이 아닌 직책에 대해권한을 부여함으로써 효율적인 권한 관리가 가능하다.
106. SSO(Single Sign-On)에 대한 설명 중 가장 적절하지 않은 것은?
① SSO는 인증 정책과 절차를 일관되게 적용하기 위해 분산화된 관리를 제공한다.
② 사용자는 단 한번만 로그인 하면 되므로 보다 강력한 패스워드를 사용해야 한다.
③ 정적 패스워드는 보안에 취약하므로 이중요소 인증이나 동적(일회용) 패스워드가 필요하다.
④ SSO 서버는 타임아웃 임계치의 설정을 허용하고 일정 기간 동작하지 않은 경우 연결을 종료한다.
107. 다음 중 일방향 해시 함수의 응용 예로 가장 적절하지 않은 것은?
① 재전송 공격 방지
② 메시지 인증 코드 생성
③ 소프트웨어 변경 여부 검출
④ 패스워드 기반 암호 시스템
108. 다음 설명에 해당하는 제도로 가장 적절한 것은?
|
- 조직이 보존해야 할 정보 자산의 기밀성, 무결성, 가용성을 실현하는 절차와 과정을 체계적으로 수립하고 이를 문서화함
- 관리 및 운영하는 조직의 체계가 인증 기준에 적합한지 심사하여 인증을 부여하는 제도 |
① CC(Common Criteria) 인증
② ISMS(Information Security Management System) 인증
③ TCSEC(Trusted Computer Security Evaluation Criteria)
④ PIMS(Personal Information Management System) 인증
109. 정량적 위험분석 과정에서 파일서버에 대한 위험, 가치, 노출 인자(EF : Exposure Factor), 연간 발생빈도(ARO : Annual Rate of Occurrence)가 다음과 같을 때, 단일 예상손실액(SLE : Single Loss Expectancy) 과 연간 예상 손실액(ALE : Annual Loss Expectancy)은 각각 얼마인가?
 |
① $50,000, $5,000 ② $25,000, $5,000
③ $50,000, $10,000 ④ $25,000, $10,000
110. 유닉스/리눅스 환경에서 다음 설명에 해당하는 것으로 가장 적절한 것은?
|
- 본 설정을 하게 되면 프로세스가 실행 도중 일시적으로 특정한 권한을 갖게 되어 보안상의 문제를 일으킬 수 있음
- 해당 설정이 버퍼 오버플로우 공격을 통해 악용 될 경우 루트 권한의 쉘을 공격자가 소유하게 되기도 함 |
① 환경변수 PATH 설정
② 디렉토리에 대한 sticky 비트 설정
③ 일반 사용자로의 chown 설정
④ 실행 파일에 대한 SetUID 설정
111. 다음 설명에 해당하는 공격 방법으로 가장 적절한 것은?
|
공개키 암호 방식을 사용하는 프로토콜에서 통신객체(송/수신자)가 전송하는 공개키를 공격자의 공개키로 바꾸는 공격으로, 사용자의 공개키가 인증되지 않은 경우에 가능한 공격 기법
|
① 재전송 공격 ② 사전 공격
③ 중간자 공격 ④ 반사 공격
112. 다음에 제시한 취약점을 이용한 공격 기법으로 가장 적절한 것은?
|
공격자가 작성한 스크립트가 다른 사용자에게 전달되는 것으로, 다른 사용자의 웹브라우저 안에서 적절한 검증 없이 실행되어 사용자의 세션을 탈취하거나 웹사이트를 변조하기도 하며 악의적인 사이트로 이동할 수 있음
|
① XSS 공격 ② 레이스 컨디션 공격
③ SQL 인젝션 ④ 디렉토리 리스팅
113. 안드로이드 개발 환경에서 안드로이드 단말기 내의 보호대상 자원 혹은 정보에 접근하기 위해 개발자가 필요한 권한을 명시해 놓은 파일은?
① AndroidManifest.xml
② strings.xml
③ res/layout activity_프로젝트명.xml
④ styles.xml
114. 디지털 포렌식과 관련하여 다음에 제시된 하드디스크 상의 특정 위치를 지칭하는 용어는?
|
- 물리적으로 파일에 할당된 공간이지만 논리적으로 사용할 수 없는 공간을 말함
- 디스크의 경우 512바이트 단위로 접근을 하기 때문에 해당 공간에 300바이트만 채워진 경우 212바이트의 유휴 공간이 발생하여 공격자의 정보 은닉이나 제대로 지워지지 않은 데이터의 유출이 발생 가능함 |
① 부트 블록 공간 ② 수퍼 블록 공간
③ 주 파티션 공간 ④ 슬랙 공간
115. 개인정보의 안전성 확보조치 기준에서 명시하고 있는 정보통신망에 대한 불법적인 접근 및 침해사고 방지를 위한 접근 통제 조치에 대한 설명으로 가장 적절하지 않은 것은?
① 개인정보처리시스템에 대한 접속 권한을 IP(Internet Protocol) 주소 등으로 제한하여 인가받지 않은 접근을 제한해야 한다.
② 개인정보처리시스템에 접속한 IP 주소 등을 분석하여 불법적인 개인정보 유출 시도를 탐지 및 대응해야 한다.
③ 개인정보처리자는 개인정보의 유출을 방지하기 위해 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속할 수 없도록 해야 한다.
④ 고유식별 정보를 처리하는 개인정보처리자는 인터넷 홈페이지를 통해 고유식별 정보가 유출·변조·훼손되지 않도록 연 1회 이상 취약점을 점검하고 필요한 보완 조치를 하여야 한다.
116. 다음에 제시된 시스템으로 가장 적절한 것은?
|
- 수많은 IT 시스템 및 보안 시스템에서 발생하는 로그를 분석하여 이상징후를 파악하고 그 결과를 경영진에게 보고할 수 있도록 분석결과를 종합해 주는 시스템
- 최근 빅데이터 분석 및 인공지능 기술의 발전으로 정보보안 분야에 적극적으로 활용 되는 시스템 |
① DLP(Data Loss Prevention)
② IPS(Intrusion Prevention System)
③ MDM(Mobile Device Management)
④ SIEM(Security Information Event Management)
117. 정보보호 관리체계 인증 등에 관한 고시(과기정 통부고시 제2017-7호)의 [별표 7] 정보보호 관리 체계 인증기준 중 물리적 보안 통제분야의 통제 사항과 가장 거리가 먼 것은?
① 개발과 운영환경 분리 ② 출입통제
③ 시스템 배치 및 관리 ④ 개인업무 환경보안
118. 주요 통제 목표가 목표복구시간과 목표복구대상 이며, 전사적인 차원에서 이루어지는 관리활동으로 가장 적절한 것은?
① 위험관리 ② 전사적 자원 관리
③ 업무 연속성 관리 ④ 재난 복구 계획 관리
119. 정보통신서비스 제공자가 이용자의 동의 없이 개인정보를 수집·이용할 수 있는 경우로 가장 거리가 먼 것은?
① 이용자 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우
② 정보통신서비스의 제공에 관한 계약을 이행하기 위하여 필요한 개인정보로서 경제적·기술적인 사유로 통상적인 동의를 받는 것이 뚜렷하게 곤란한 경우
③ 정보통신서비스의 제공에 따른 요금정산을 위하여 필요한 경우
④ 정보통신망법 또는 다른 법률에 특별한 규정이 있는 경우
120. 위험관리 과정에서 위험완화 방법에 대한 설명으로 가장 거리가 먼 것은?
① 회피(avoidance): 위험이 존재하는 프로세스나 사업을 수행하지 않는 것
② 이전(transfer): 위험의 잠재적 비용을 상대방에게 이전하거나 분배하는 것
③ 감소(reduction): 위험을 감소시킬 수 있는 대책을 채택하여 구현하는 것
④ 수용(acceptance): 위험을 받아들이고 비용을 감수하는 것
정답)
|
101
|
102
|
103
|
104
|
105
|
|
④
|
③,④
|
②
|
②
|
③
|
|
106
|
107
|
108
|
109
|
110
|
|
①
|
①
|
②
|
②
|
④
|
|
111
|
112
|
113
|
114
|
115
|
|
③
|
①
|
①
|
④
|
③
|
|
116
|
117
|
118
|
119
|
120
|
|
④
|
①
|
③
|
①
|
②
|
'정보시스템감리 > 보안' 카테고리의 다른 글
| (제 17회) 보안 / (101)~(120) (3) | 2024.01.09 |
|---|---|
| (제 18회) 보안 / (101)~(120) (2) | 2024.01.08 |
| (제 20회) 보안 / (101)~(120) (1) | 2024.01.06 |
| (제 21회) 보안 / (101)~(120) (23) | 2024.01.04 |
| (제 22회) 보안 / (101)~(120) (4) | 2024.01.03 |