101. 다음에서 설명하는 것으로 가장 적절한 것은?
|
장치나 시스템 구조를 분석하여 원리를 발견하는 과정을 의미하며, 이미 만든 프로그램의 동작원리를 이해하여 유사한 프로그램을 만드는 데 사용하기도 하고 프로그램의 보안 문제, 동작 문제, 오류 등을 제거/검토하는데 사용하기도 한다.
|
① 백도어(backdoor)
② 포맷 스트링(format string)
③ 문맥교환(context switching)
④ 리버스 엔지니어링(reverse engineering)
102. OTP(One-Time Password)는 고정된 비밀번호 대신 일회용으로 생성되는 패스워드를 사용하는 사용자 인증 방식이다. 다음 설명에 해당하는 OTP 생성 방식으로 가장 적절한 것은?
|
서버에서 난수 생성 등을 통해 임의의 수를 생성하고 클라이언트에 임의의 수를 전송하게 된다.
클라이언트는 전송받은 임의의 수를 사용하여 OTP를 생성하여 사용한다. |
① S/KEY 방식
② 시간 동기화 방식
③ 도전-응답 방식
④ 이벤트 동기화 방식
103. 다음 중 전자서명에 대한 설명으로 가장 적절하지 않은 것은?
① 서명자가 서명한 후에 원본 메시지와 전자서명의 내용을 수정할 수 없다.
② 개인키를 가진 사용자만이 생성할 수 있는 정보로 서명자를 인증할 수 있다.
③ 개인키를 아는 사용자만이 생성할 수 있는 정보 이므로 부인 방지 기능을 제공한다.
④ 디지털 정보이므로 한 문서의 전자서명을 복사하여 다른 문서의 서명으로 사용할 수 있다.
104. 타원곡선 암호기술(ECC : Elliptic Curve Cryptography) 에 대한 설명으로 가장 적절하지 않은 것은?
① 타원곡선 암호기술은 소인수분해 문제에 기반을 둔다.
② 타원곡선 암호기술은 키 교환, 전자서명에 사용 될 수 있다.
③ 타원곡선 암호기술은 다른 공개키 알고리즘에 비해 계산량이 적다는 장점을 갖는다.
④ 타원곡선 암호기술은 비교적 짧은 키 길이를 이용하여 RSA와 동일한 수준의 보안을 제공한다.
105. 다음 중 무선 통신 암호화 기술에 대한 설명으로 가장 적절하지 않은 것은?
① WPA2는 CCMP 알고리즘을 사용하여 암호화한다.
② WPA2는 Access Point에 접속하는 단말기마다 지정된 암호화 키를 재사용한다.
③ WPA-EAP는 사용자가 입력하는 아이디, 패스워드를 사용하는 사용자 인증 방식이다.
④ WPA-EAP는 사용자별 무선랜 연결 세션마다 지정된 암호화 키를 재사용한다.
106. SHA-2를 대체하기 위해서 발표한 해시함수인 SHA-3에 대한 설명으로 가장 적절하지 않은 것은?
① SHA-3의 입력되는 데이터의 크기는 2128-1로 제한된다.
② SHA-1, SHA-2와는 전혀 다른 스펀지 구조가 사용되고 있다.
③ 출력 비트열의 길이에 따라 SHA3-224, SHA3-256,SHA3-384, SHA3-512의 4종류가 있다.
④ SHA-3는 해시값 생성 뿐만 아니라 의사난수 생성기,스트림 암호 등의 기능에도 활용할 수 있다.
107. 다음 중 데이터베이스 보안 요구사항으로 가장 적절하지 않은 것은?
① 데이터에 대한 허용 값을 통제함으로써, 변경 데이터의 논리적 일관성을 보장한다.
② 중요 데이터에 대한 기밀성을 보호하고, 인가된 사용자만 접근을 허용해야 한다.
③ 사용자가 통계 집합적 데이터로부터 개별적인 데이터 항목에 대한 정보를 추적할 수 있어야 한다.
④ 트랜잭션의 병행처리시 데이터에 대한 논리적 일관성이 보장되어야 한다.
108. 다음 iptables의 규칙을 사용하여 방어 가능한 네트워크 공격으로 가장 적절한 것은?
|
$ iptables –A INPUT –p icmp - - icmp-type
echo-request –j DROP |
① Ping of Death
② HTTP Get Flooding
③ ARP Spoofing
④ DNS Amplification
109. 모바일 운영체제의 보안 위협에 대한 설명으로 가장 적절하지 않은 것은?
① iOS는 기본적으로 유닉스에 바탕을 두고 있으나, 원격지에서 iOS를 구동하는 단말기에 명령어 입력이 가능한 응용 프로그램을 허용하지 않는다.
② iOS와 안드로이드 모두 샌드박스(sandbox)를 활용하고 있으나, 안드로이드가 iOS에 비해 상대적으로 애플리케이션 간 통신과 데이터 전달이 자유롭다.
③ 안드로이드는 모든 앱에 대해서 코드 서명(code signature)을 등록하도록 하고 있으며, CA를 통해 각 응용 프로그램을 서명하여 배포한다.
④ 안드로이드는 설치된 모든 응용 프로그램이 일반 사용자 권한으로 실행되며, 사용자의 데이터에 접근할 때 모든 사항을 응용 프로그램 사양에 명시한다.
110. 보안 취약점을 점검하는데 사용하는 도구에 대한 설명으로 가장 적절하지 않은 것은?
① netstat : 대부분의 운영체제에 기본으로 탑재된 도구이며, 네트워크 상태를 확인하기 위해 사용 한다.
② tcpdump : 네트워크 패킷 출력 도구로 특정 구간의 장비들 사이에서 네트워크 통신이 되는지 확인하기 위해 사용한다.
③ nmap : 포트 스캔 뿐만 아니라 대상 시스템의 운영체제나 네트워크 장치 정보 등을 수집할 수 있는 보안 스캐너이다.
④ WireShark : 네트워크 패킷 생성 및 재전송 도구로 네트워크 침해사고 분석 중 확보한 패킷 파일을 시뮬레이션 하기 위해 사용한다.
111. TCP 세션 하이재킹 공격을 탐지하는 방법으로 가장 적절하지 않은 것은?
① 서버와 시퀀스 넘버를 주기적으로 체크하여 비동기화 상태에 빠지는지 탐지한다.
② 공격자가 중간에 끼어 작동하므로 패킷의 유실 및 재전송이 증가하는지 탐지한다.
③ SYN 패킷의 비율이 급격히 늘어나는 현상인 SYN Storm이 발생하는지 탐지한다.
④ 세션을 빼앗기거나 공격에 실패하는 경우 세션이 리셋되므로 예상치 못한 접속의 리셋을 탐지한다.
112. 다음 중 블록체인 기술의 특성으로 가장 적절하지 않은 것은?
① 암호기술을 적용하여 인증 및 검증 가능한 트랜잭션을 보장한다.
② 블록체인 플랫폼에 참여하는 노드들의 합의를 통해 신뢰를 형성한다.
③ 블록체인에 기록된 민감 정보들은 선택적 비공개가 가능하며 일부 수정이 가능하다.
④ 스마트 계약은 블록체인 트랜잭션 데이터베이스에 포함되어 트랜잭션과 함께 실행되는 비즈니스 규약이다.
113. 다음 SW 개발과정에서 발생할 수 있는 취약점 설명에 대한 내용으로 가장 적절한 것은?
|
악성 스크립트가 포함된 URL을 공격자가 클라이언트에게 노출시켜 클릭을 유도하고, 쿠키 정보를 탈취하거나 피싱 사이트, 불법 광고 사이트로 이동하게 만든다.
|
① Stored XSS ② Reflective XSS
③ SQL Injection ④ Command Injection
114. 다음 중 개인정보 비식별화 방법(조치)으로 가장 적절하지 않은 것은?
① 데이터 합성(data synthesis)
② 데이터 삭제(data reduction)
③ 데이터 범주화(data suppression)
④ 총계처리(aggregation)
115. HTTP 프록시 서버를 이용하는 브라우저가 HTTPS를 적용하는 상황에 대한 설명으로 가장 적절한 것은?
① 가, 나 ② 가, 라
③ 나, 다 ④ 다, 라
116. 다음의 SW를 대상으로 한 공격방식에 대한 설명으로 가장 적절한 것은?
① 데이터 디들링(data diddling)
② 살라미 공격(salami attack)
③ 이블 트윈 공격(evil twin attack)
④ 익스플로잇 공격(exploit attack)
117. 패스워드 기반 암호(PBE : Password Based Encryption) 방식에 대한 설명으로 가장 적절하지 않은 것은?
① PBE는 Java의 java.crypto 패키지에 내장되어 있으며, PGP에서 키를 관리할 때도 사용되고 있다.
② 키를 암호화하는데 사용하는 키(KEK : Key Encryption Key)와 메시지를 암호화하는데 사용하는 키 (CEK : Contents Encryption Key)가 필요하다.
③ KEK를 생성하는데 솔트(salt) 값을 이용하면 중간자 공격(man-in-the-middle attack)을 방지할 수 있다.
④ KEK를 생성하기 위해 패스워드와 의사난수 생성기로 만들어진 솔트(salt)를 입력으로 사용한다.
118.‘개인정보보호법’ 및 ‘개인정보의 안전성 확보 조치 기준’에 따라 개인정보처리자가 주민등록 번호, 비밀번호, 바이오정보 등을 저장할 때 적용할 암호화 알고리즘으로 가장 적절한 것은?
주민등록번호 비밀번호 바이오정보
① SHA-256 AES-256 SHA-256
② SHA-256 SHA-256 AES-256
③ AES-256 SHA-256 AES-256
④ AES-256 AES-256 SHA-256
119. 다음의 C 코드가 갖는 문제점으로 가장 적절하지 않은 것은?
|
int CheckLogin()
{ char* _username = (char*) malloc(32); char username[32]; scanf("%s", _username); strcpy(username, _username); ... } |
① 스택 오버플로우(stack overflow)
② 힙 오버플로우(heap overflow)
③ 메모리 접근 위반(memory access violation)
④ 정수 오버플로우(integer overflow)
120.‘개인정보 보호법’에서 정하고 있는 개인정보 보호 원칙에 관한 규정으로 가장 적절하지 않은 것은?
① 개인정보처리자는 정보주체의 사생활 침해를 최소화하는 방법으로 개인정보를 처리하여야 한다.
② 개인정보처리자는 개인정보 처리방침 등 개인정보의 처리에 관한 사항은 비공개하여야 하며, 열람
청구권 등 정보주체의 권리를 보장하여야 한다.
③ 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 개인정보의 정확성, 완전성 및 최신성이 보장되도록 하여야 한다.
④ 개인정보처리자는 개인정보를 익명 또는 가명으로 처리하여도 개인정보 수집목적을 달성할 수 있는 경우 익명처리가 가능한 경우에는 익명에 의하여 처리하고, 익명처리로 목적을 달성할 수 없는 경우에는 가명에 의하여 처리될 수 있도록 하여야 한다.
정답)
|
101
|
102
|
103
|
104
|
105
|
|
④
|
③
|
④
|
①
|
④
|
|
106
|
107
|
108
|
109
|
110
|
|
①
|
③
|
①
|
③
|
④
|
|
111
|
112
|
113
|
114
|
115
|
|
③
|
③
|
②
|
①
|
②
|
|
116
|
117
|
118
|
119
|
120
|
|
②
|
③
|
③
|
④
|
②
|
'정보시스템감리 > 보안' 카테고리의 다른 글
| (제 19회) 보안 / (101)~(120) (1) | 2024.01.07 |
|---|---|
| (제 20회) 보안 / (101)~(120) (1) | 2024.01.06 |
| (제 21회) 보안 / (101)~(120) (23) | 2024.01.04 |
| (제 23회) 보안 / (101)~(120) (46) | 2024.01.02 |
| (제 24회) 보안 / (101)~(120) (1) | 2024.01.02 |