101. 다음에서 설명하는 것으로 가장 적절한 것은?
장치나 시스템 구조를 분석하여 원리를 발견하는 과정을 의미하며, 이미 만든 프로그램의 동작원리를 이해하여 유사한 프로그램을 만드는 데 사용하기도 하고 프로그램의 보안 문제, 동작 문제, 오류 등을 제거/검토하는데 사용하기도 한다.
|
① 백도어(backdoor)
② 포맷 스트링(format string)
③ 문맥교환(context switching)
④ 리버스 엔지니어링(reverse engineering)
102. OTP(One-Time Password)는 고정된 비밀번호 대신 일회용으로 생성되는 패스워드를 사용하는 사용자 인증 방식이다. 다음 설명에 해당하는 OTP 생성 방식으로 가장 적절한 것은?
서버에서 난수 생성 등을 통해 임의의 수를 생성하고 클라이언트에 임의의 수를 전송하게 된다.
클라이언트는 전송받은 임의의 수를 사용하여 OTP를 생성하여 사용한다. |
① S/KEY 방식
② 시간 동기화 방식
③ 도전-응답 방식
④ 이벤트 동기화 방식
103. 다음 중 전자서명에 대한 설명으로 가장 적절하지 않은 것은?
① 서명자가 서명한 후에 원본 메시지와 전자서명의 내용을 수정할 수 없다.
② 개인키를 가진 사용자만이 생성할 수 있는 정보로 서명자를 인증할 수 있다.
③ 개인키를 아는 사용자만이 생성할 수 있는 정보 이므로 부인 방지 기능을 제공한다.
④ 디지털 정보이므로 한 문서의 전자서명을 복사하여 다른 문서의 서명으로 사용할 수 있다.
104. 타원곡선 암호기술(ECC : Elliptic Curve Cryptography) 에 대한 설명으로 가장 적절하지 않은 것은?
① 타원곡선 암호기술은 소인수분해 문제에 기반을 둔다.
② 타원곡선 암호기술은 키 교환, 전자서명에 사용 될 수 있다.
③ 타원곡선 암호기술은 다른 공개키 알고리즘에 비해 계산량이 적다는 장점을 갖는다.
④ 타원곡선 암호기술은 비교적 짧은 키 길이를 이용하여 RSA와 동일한 수준의 보안을 제공한다.
105. 다음 중 무선 통신 암호화 기술에 대한 설명으로 가장 적절하지 않은 것은?
① WPA2는 CCMP 알고리즘을 사용하여 암호화한다.
② WPA2는 Access Point에 접속하는 단말기마다 지정된 암호화 키를 재사용한다.
③ WPA-EAP는 사용자가 입력하는 아이디, 패스워드를 사용하는 사용자 인증 방식이다.
④ WPA-EAP는 사용자별 무선랜 연결 세션마다 지정된 암호화 키를 재사용한다.
106. SHA-2를 대체하기 위해서 발표한 해시함수인 SHA-3에 대한 설명으로 가장 적절하지 않은 것은?
① SHA-3의 입력되는 데이터의 크기는 2128-1로 제한된다.
② SHA-1, SHA-2와는 전혀 다른 스펀지 구조가 사용되고 있다.
③ 출력 비트열의 길이에 따라 SHA3-224, SHA3-256,SHA3-384, SHA3-512의 4종류가 있다.
④ SHA-3는 해시값 생성 뿐만 아니라 의사난수 생성기,스트림 암호 등의 기능에도 활용할 수 있다.
107. 다음 중 데이터베이스 보안 요구사항으로 가장 적절하지 않은 것은?
① 데이터에 대한 허용 값을 통제함으로써, 변경 데이터의 논리적 일관성을 보장한다.
② 중요 데이터에 대한 기밀성을 보호하고, 인가된 사용자만 접근을 허용해야 한다.
③ 사용자가 통계 집합적 데이터로부터 개별적인 데이터 항목에 대한 정보를 추적할 수 있어야 한다.
④ 트랜잭션의 병행처리시 데이터에 대한 논리적 일관성이 보장되어야 한다.
108. 다음 iptables의 규칙을 사용하여 방어 가능한 네트워크 공격으로 가장 적절한 것은?
$ iptables –A INPUT –p icmp - - icmp-type
echo-request –j DROP |
① Ping of Death
② HTTP Get Flooding
③ ARP Spoofing
④ DNS Amplification
109. 모바일 운영체제의 보안 위협에 대한 설명으로 가장 적절하지 않은 것은?
① iOS는 기본적으로 유닉스에 바탕을 두고 있으나, 원격지에서 iOS를 구동하는 단말기에 명령어 입력이 가능한 응용 프로그램을 허용하지 않는다.
② iOS와 안드로이드 모두 샌드박스(sandbox)를 활용하고 있으나, 안드로이드가 iOS에 비해 상대적으로 애플리케이션 간 통신과 데이터 전달이 자유롭다.
③ 안드로이드는 모든 앱에 대해서 코드 서명(code signature)을 등록하도록 하고 있으며, CA를 통해 각 응용 프로그램을 서명하여 배포한다.
④ 안드로이드는 설치된 모든 응용 프로그램이 일반 사용자 권한으로 실행되며, 사용자의 데이터에 접근할 때 모든 사항을 응용 프로그램 사양에 명시한다.
110. 보안 취약점을 점검하는데 사용하는 도구에 대한 설명으로 가장 적절하지 않은 것은?
① netstat : 대부분의 운영체제에 기본으로 탑재된 도구이며, 네트워크 상태를 확인하기 위해 사용 한다.
② tcpdump : 네트워크 패킷 출력 도구로 특정 구간의 장비들 사이에서 네트워크 통신이 되는지 확인하기 위해 사용한다.
③ nmap : 포트 스캔 뿐만 아니라 대상 시스템의 운영체제나 네트워크 장치 정보 등을 수집할 수 있는 보안 스캐너이다.
④ WireShark : 네트워크 패킷 생성 및 재전송 도구로 네트워크 침해사고 분석 중 확보한 패킷 파일을 시뮬레이션 하기 위해 사용한다.
111. TCP 세션 하이재킹 공격을 탐지하는 방법으로 가장 적절하지 않은 것은?
① 서버와 시퀀스 넘버를 주기적으로 체크하여 비동기화 상태에 빠지는지 탐지한다.
② 공격자가 중간에 끼어 작동하므로 패킷의 유실 및 재전송이 증가하는지 탐지한다.
③ SYN 패킷의 비율이 급격히 늘어나는 현상인 SYN Storm이 발생하는지 탐지한다.
④ 세션을 빼앗기거나 공격에 실패하는 경우 세션이 리셋되므로 예상치 못한 접속의 리셋을 탐지한다.
112. 다음 중 블록체인 기술의 특성으로 가장 적절하지 않은 것은?
① 암호기술을 적용하여 인증 및 검증 가능한 트랜잭션을 보장한다.
② 블록체인 플랫폼에 참여하는 노드들의 합의를 통해 신뢰를 형성한다.
③ 블록체인에 기록된 민감 정보들은 선택적 비공개가 가능하며 일부 수정이 가능하다.
④ 스마트 계약은 블록체인 트랜잭션 데이터베이스에 포함되어 트랜잭션과 함께 실행되는 비즈니스 규약이다.
113. 다음 SW 개발과정에서 발생할 수 있는 취약점 설명에 대한 내용으로 가장 적절한 것은?
악성 스크립트가 포함된 URL을 공격자가 클라이언트에게 노출시켜 클릭을 유도하고, 쿠키 정보를 탈취하거나 피싱 사이트, 불법 광고 사이트로 이동하게 만든다.
|
① Stored XSS ② Reflective XSS
③ SQL Injection ④ Command Injection
114. 다음 중 개인정보 비식별화 방법(조치)으로 가장 적절하지 않은 것은?
① 데이터 합성(data synthesis)
② 데이터 삭제(data reduction)
③ 데이터 범주화(data suppression)
④ 총계처리(aggregation)
115. HTTP 프록시 서버를 이용하는 브라우저가 HTTPS를 적용하는 상황에 대한 설명으로 가장 적절한 것은?
① 가, 나 ② 가, 라
③ 나, 다 ④ 다, 라
116. 다음의 SW를 대상으로 한 공격방식에 대한 설명으로 가장 적절한 것은?
① 데이터 디들링(data diddling)
② 살라미 공격(salami attack)
③ 이블 트윈 공격(evil twin attack)
④ 익스플로잇 공격(exploit attack)
117. 패스워드 기반 암호(PBE : Password Based Encryption) 방식에 대한 설명으로 가장 적절하지 않은 것은?
① PBE는 Java의 java.crypto 패키지에 내장되어 있으며, PGP에서 키를 관리할 때도 사용되고 있다.
② 키를 암호화하는데 사용하는 키(KEK : Key Encryption Key)와 메시지를 암호화하는데 사용하는 키 (CEK : Contents Encryption Key)가 필요하다.
③ KEK를 생성하는데 솔트(salt) 값을 이용하면 중간자 공격(man-in-the-middle attack)을 방지할 수 있다.
④ KEK를 생성하기 위해 패스워드와 의사난수 생성기로 만들어진 솔트(salt)를 입력으로 사용한다.
118.‘개인정보보호법’ 및 ‘개인정보의 안전성 확보 조치 기준’에 따라 개인정보처리자가 주민등록 번호, 비밀번호, 바이오정보 등을 저장할 때 적용할 암호화 알고리즘으로 가장 적절한 것은?
주민등록번호 비밀번호 바이오정보
① SHA-256 AES-256 SHA-256
② SHA-256 SHA-256 AES-256
③ AES-256 SHA-256 AES-256
④ AES-256 AES-256 SHA-256
119. 다음의 C 코드가 갖는 문제점으로 가장 적절하지 않은 것은?
int CheckLogin()
{ char* _username = (char*) malloc(32); char username[32]; scanf("%s", _username); strcpy(username, _username); ... } |
① 스택 오버플로우(stack overflow)
② 힙 오버플로우(heap overflow)
③ 메모리 접근 위반(memory access violation)
④ 정수 오버플로우(integer overflow)
120.‘개인정보 보호법’에서 정하고 있는 개인정보 보호 원칙에 관한 규정으로 가장 적절하지 않은 것은?
① 개인정보처리자는 정보주체의 사생활 침해를 최소화하는 방법으로 개인정보를 처리하여야 한다.
② 개인정보처리자는 개인정보 처리방침 등 개인정보의 처리에 관한 사항은 비공개하여야 하며, 열람
청구권 등 정보주체의 권리를 보장하여야 한다.
③ 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 개인정보의 정확성, 완전성 및 최신성이 보장되도록 하여야 한다.
④ 개인정보처리자는 개인정보를 익명 또는 가명으로 처리하여도 개인정보 수집목적을 달성할 수 있는 경우 익명처리가 가능한 경우에는 익명에 의하여 처리하고, 익명처리로 목적을 달성할 수 없는 경우에는 가명에 의하여 처리될 수 있도록 하여야 한다.
정답)
101
|
102
|
103
|
104
|
105
|
④
|
③
|
④
|
①
|
④
|
106
|
107
|
108
|
109
|
110
|
①
|
③
|
①
|
③
|
④
|
111
|
112
|
113
|
114
|
115
|
③
|
③
|
②
|
①
|
②
|
116
|
117
|
118
|
119
|
120
|
②
|
③
|
③
|
④
|
②
|
'정보시스템감리 > 보안' 카테고리의 다른 글
(제 19회) 보안 / (101)~(120) (1) | 2024.01.07 |
---|---|
(제 20회) 보안 / (101)~(120) (1) | 2024.01.06 |
(제 21회) 보안 / (101)~(120) (23) | 2024.01.04 |
(제 23회) 보안 / (101)~(120) (46) | 2024.01.02 |
(제 24회) 보안 / (101)~(120) (1) | 2024.01.02 |