101. 다음과 같은 침입차단시스템(firewall)의 기본구조로 가장 적절한 것은?
이 방식은 외부 네트워크와 내부 네트워크가 분리되어 있는 네트워크를 구성하며, 내외부 네트워크 사이에 DMZ라고 불리는 완충지대를 둔다. 이를 위해 이중 라우터 구조를 사용한다.
|
① 단일 홈 게이트웨이(single homed gateway)
② 이중 홈 게이트웨이(dual homed gateway)
③ 스크리닝 라우터(screening router)
④ 스크린드 서브넷 게이트웨이(screened subnet gateway)
102. 공개키 암호 알고리즘을 이용하는 전자서명에 대한 설명으로 가장 적절한 것을 모두 고르시오.(2개 선택)
① 권한이 있는 사용자들만 서명의 정당성을 검증할 수 있다.
② 한 번 생성된 서명은 동일한 서명자의 다른 문서에 재사용할 수 있다.
③ 서명된 문서가 변경된 경우에 수신자는 변경 여부를 확인할 수 있다.
④ 전자서명을 생성한 서명자는 나중에 서명한 사실을 부인할 수 없다.
103. DRM(Digital Right Management) 시스템에서 권리 표현에 관한 설명으로 가장 거리가 먼 것은?
① REL(Rights Expression Language)은 XML을 기반으로 이루어져 있다.
② XACML(eXtensible Access Control Markup Language) 은 대표적인 DRM 권리 표현 언어이다.
③ 대부분의 REL은 일반 언어와 똑같이 어휘(semantics)와 어휘에 대한 구조(syntax)를 포함한다.
④ MPEG-21 REL에서는 리소스를 디지털 포맷으로 제한하나, ODRL(Open Digital Right Language)에서는 모든 포맷을 허용한다.
104. 리눅스 시스템에서는 파일 생성시 기본 권한이 부여되는데, 이 기본 권한을 결정할 때 사용되는 것은?
① chmod ② umask ③ fdisk ④ dmesg
105. 접근제어 모델에 관한 설명 중 가장 적절하지 않은 것은?
① 임의적 접근제어는 정보의 소유자가 보안 레벨을 결정하고 이에 대한 정보의 접근 제어를 설정하는 방식이다.
② 강제적 접근제어는 중앙에서 정보를 수집하고 분류하여 보안 레벨을 결정하고 정책적으로 접근제어를 수행하는 방식이다.
③ 강제적 접근제어 방식인 벨 라파둘라 모델에서는 자신보다 높은 보안 레벨의 문서에 대해 읽기와 쓰기가 불가능하다.
④ 역할기반 접근제어는 사람이 아닌 직책에 대해권한을 부여함으로써 효율적인 권한 관리가 가능하다.
106. SSO(Single Sign-On)에 대한 설명 중 가장 적절하지 않은 것은?
① SSO는 인증 정책과 절차를 일관되게 적용하기 위해 분산화된 관리를 제공한다.
② 사용자는 단 한번만 로그인 하면 되므로 보다 강력한 패스워드를 사용해야 한다.
③ 정적 패스워드는 보안에 취약하므로 이중요소 인증이나 동적(일회용) 패스워드가 필요하다.
④ SSO 서버는 타임아웃 임계치의 설정을 허용하고 일정 기간 동작하지 않은 경우 연결을 종료한다.
107. 다음 중 일방향 해시 함수의 응용 예로 가장 적절하지 않은 것은?
① 재전송 공격 방지
② 메시지 인증 코드 생성
③ 소프트웨어 변경 여부 검출
④ 패스워드 기반 암호 시스템
108. 다음 설명에 해당하는 제도로 가장 적절한 것은?
- 조직이 보존해야 할 정보 자산의 기밀성, 무결성, 가용성을 실현하는 절차와 과정을 체계적으로 수립하고 이를 문서화함
- 관리 및 운영하는 조직의 체계가 인증 기준에 적합한지 심사하여 인증을 부여하는 제도 |
① CC(Common Criteria) 인증
② ISMS(Information Security Management System) 인증
③ TCSEC(Trusted Computer Security Evaluation Criteria)
④ PIMS(Personal Information Management System) 인증
109. 정량적 위험분석 과정에서 파일서버에 대한 위험, 가치, 노출 인자(EF : Exposure Factor), 연간 발생빈도(ARO : Annual Rate of Occurrence)가 다음과 같을 때, 단일 예상손실액(SLE : Single Loss Expectancy) 과 연간 예상 손실액(ALE : Annual Loss Expectancy)은 각각 얼마인가?
|
① $50,000, $5,000 ② $25,000, $5,000
③ $50,000, $10,000 ④ $25,000, $10,000
110. 유닉스/리눅스 환경에서 다음 설명에 해당하는 것으로 가장 적절한 것은?
- 본 설정을 하게 되면 프로세스가 실행 도중 일시적으로 특정한 권한을 갖게 되어 보안상의 문제를 일으킬 수 있음
- 해당 설정이 버퍼 오버플로우 공격을 통해 악용 될 경우 루트 권한의 쉘을 공격자가 소유하게 되기도 함 |
① 환경변수 PATH 설정
② 디렉토리에 대한 sticky 비트 설정
③ 일반 사용자로의 chown 설정
④ 실행 파일에 대한 SetUID 설정
111. 다음 설명에 해당하는 공격 방법으로 가장 적절한 것은?
공개키 암호 방식을 사용하는 프로토콜에서 통신객체(송/수신자)가 전송하는 공개키를 공격자의 공개키로 바꾸는 공격으로, 사용자의 공개키가 인증되지 않은 경우에 가능한 공격 기법
|
① 재전송 공격 ② 사전 공격
③ 중간자 공격 ④ 반사 공격
112. 다음에 제시한 취약점을 이용한 공격 기법으로 가장 적절한 것은?
공격자가 작성한 스크립트가 다른 사용자에게 전달되는 것으로, 다른 사용자의 웹브라우저 안에서 적절한 검증 없이 실행되어 사용자의 세션을 탈취하거나 웹사이트를 변조하기도 하며 악의적인 사이트로 이동할 수 있음
|
① XSS 공격 ② 레이스 컨디션 공격
③ SQL 인젝션 ④ 디렉토리 리스팅
113. 안드로이드 개발 환경에서 안드로이드 단말기 내의 보호대상 자원 혹은 정보에 접근하기 위해 개발자가 필요한 권한을 명시해 놓은 파일은?
① AndroidManifest.xml
② strings.xml
③ res/layout activity_프로젝트명.xml
④ styles.xml
114. 디지털 포렌식과 관련하여 다음에 제시된 하드디스크 상의 특정 위치를 지칭하는 용어는?
- 물리적으로 파일에 할당된 공간이지만 논리적으로 사용할 수 없는 공간을 말함
- 디스크의 경우 512바이트 단위로 접근을 하기 때문에 해당 공간에 300바이트만 채워진 경우 212바이트의 유휴 공간이 발생하여 공격자의 정보 은닉이나 제대로 지워지지 않은 데이터의 유출이 발생 가능함 |
① 부트 블록 공간 ② 수퍼 블록 공간
③ 주 파티션 공간 ④ 슬랙 공간
115. 개인정보의 안전성 확보조치 기준에서 명시하고 있는 정보통신망에 대한 불법적인 접근 및 침해사고 방지를 위한 접근 통제 조치에 대한 설명으로 가장 적절하지 않은 것은?
① 개인정보처리시스템에 대한 접속 권한을 IP(Internet Protocol) 주소 등으로 제한하여 인가받지 않은 접근을 제한해야 한다.
② 개인정보처리시스템에 접속한 IP 주소 등을 분석하여 불법적인 개인정보 유출 시도를 탐지 및 대응해야 한다.
③ 개인정보처리자는 개인정보의 유출을 방지하기 위해 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속할 수 없도록 해야 한다.
④ 고유식별 정보를 처리하는 개인정보처리자는 인터넷 홈페이지를 통해 고유식별 정보가 유출·변조·훼손되지 않도록 연 1회 이상 취약점을 점검하고 필요한 보완 조치를 하여야 한다.
116. 다음에 제시된 시스템으로 가장 적절한 것은?
- 수많은 IT 시스템 및 보안 시스템에서 발생하는 로그를 분석하여 이상징후를 파악하고 그 결과를 경영진에게 보고할 수 있도록 분석결과를 종합해 주는 시스템
- 최근 빅데이터 분석 및 인공지능 기술의 발전으로 정보보안 분야에 적극적으로 활용 되는 시스템 |
① DLP(Data Loss Prevention)
② IPS(Intrusion Prevention System)
③ MDM(Mobile Device Management)
④ SIEM(Security Information Event Management)
117. 정보보호 관리체계 인증 등에 관한 고시(과기정 통부고시 제2017-7호)의 [별표 7] 정보보호 관리 체계 인증기준 중 물리적 보안 통제분야의 통제 사항과 가장 거리가 먼 것은?
① 개발과 운영환경 분리 ② 출입통제
③ 시스템 배치 및 관리 ④ 개인업무 환경보안
118. 주요 통제 목표가 목표복구시간과 목표복구대상 이며, 전사적인 차원에서 이루어지는 관리활동으로 가장 적절한 것은?
① 위험관리 ② 전사적 자원 관리
③ 업무 연속성 관리 ④ 재난 복구 계획 관리
119. 정보통신서비스 제공자가 이용자의 동의 없이 개인정보를 수집·이용할 수 있는 경우로 가장 거리가 먼 것은?
① 이용자 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우
② 정보통신서비스의 제공에 관한 계약을 이행하기 위하여 필요한 개인정보로서 경제적·기술적인 사유로 통상적인 동의를 받는 것이 뚜렷하게 곤란한 경우
③ 정보통신서비스의 제공에 따른 요금정산을 위하여 필요한 경우
④ 정보통신망법 또는 다른 법률에 특별한 규정이 있는 경우
120. 위험관리 과정에서 위험완화 방법에 대한 설명으로 가장 거리가 먼 것은?
① 회피(avoidance): 위험이 존재하는 프로세스나 사업을 수행하지 않는 것
② 이전(transfer): 위험의 잠재적 비용을 상대방에게 이전하거나 분배하는 것
③ 감소(reduction): 위험을 감소시킬 수 있는 대책을 채택하여 구현하는 것
④ 수용(acceptance): 위험을 받아들이고 비용을 감수하는 것
정답)
101
|
102
|
103
|
104
|
105
|
④
|
③,④
|
②
|
②
|
③
|
106
|
107
|
108
|
109
|
110
|
①
|
①
|
②
|
②
|
④
|
111
|
112
|
113
|
114
|
115
|
③
|
①
|
①
|
④
|
③
|
116
|
117
|
118
|
119
|
120
|
④
|
①
|
③
|
①
|
②
|
'정보시스템감리 > 보안' 카테고리의 다른 글
(제 17회) 보안 / (101)~(120) (3) | 2024.01.09 |
---|---|
(제 18회) 보안 / (101)~(120) (2) | 2024.01.08 |
(제 20회) 보안 / (101)~(120) (1) | 2024.01.06 |
(제 21회) 보안 / (101)~(120) (23) | 2024.01.04 |
(제 22회) 보안 / (101)~(120) (4) | 2024.01.03 |