정보시스템 감리 기출해설/보안 해설

(제 22회) 보안 / (119)~(120) 해설

아이티신비 2024. 12. 26. 09:00

119. 다음의 C 코드가 갖는 문제점으로 가장 적절하지 않은 것은?

 
int CheckLogin()
{
char* _username = (char*) malloc(32);
char username[32];
scanf("%s", _username);
strcpy(username, _username);
...
}

 

① 스택 오버플로우(stack overflow)

② 힙 오버플로우(heap overflow)

③ 메모리 접근 위반(memory access violation)

④ 정수 오버플로우(integer overflow)

 

▣ 정수형 오버플로우

  • 사용자 입력값을 정부형으로 사용할 때 입력값의 크기를 검증하지 않을 경우 발생
  • 정수값이 허용된 가장 큰 값보다 더 커져서 실제 저장되는 값은 아주 작은 수 이거나 음수로 되는 현상

 

● 메모리 버퍼 오버플로우

  • 연속된 메모리 공간을 사용하는 프로그램에서 할당된 메모리의 범위를 넘어선 위치에 자료를 읽거나 쓰려고 할 때 발생
  • 메모리의 종류에 따라 stack, heap overflow 가 있음
  • 메모리 상의 중요한 정보를 읽거나 시스템 충돌을 발생, 리턴주소를 조작하여 임의의 코드가 실행

 

 

● 문제의 상황

 
int CheckLogin()
{
char* _username = (char*) malloc(32); // heap 메모리 생성
char username[32]; // stack 메모리 생성
scanf("%s", _username); // heap overflow 메모리 생성
strcpy(username, _username); // heap overflow 메모리 생성
...
}

 

정답 : ④

 

 

120.‘개인정보 보호법’에서 정하고 있는 개인정보 보호 원칙에 관한 규정으로 가장 적절하지 않은 것은?

 

① 개인정보처리자는 정보주체의 사생활 침해를 최소화하는 방법으로 개인정보를 처리하여야 한다.

② 개인정보처리자는 개인정보 처리방침 등 개인정보의 처리에 관한 사항은 비공개하여야 하며, 열람

청구권 등 정보주체의 권리를 보장하여야 한다.

③ 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 개인정보의 정확성, 완전성 및 최신성이 보장되도록 하여야 한다.

④ 개인정보처리자는 개인정보를 익명 또는 가명으로 처리하여도 개인정보 수집목적을 달성할 수 있는 경우 익명처리가 가능한 경우에는 익명에 의하여 처리하고, 익명처리로 목적을 달성할 수 없는 경우에는 가명에 의하여 처리될 수 있도록 하여야 한다.

 

▣ 개인정보 보호법[시행 2020.8.5] [법률 제 16930호, 2020.2.4., 일부개정]

 
제 3조 (개인정보 보호 원칙)
① 개인정보처리자는 개인정보의 처리 목적을 명확하게 하여야 하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집하여야 한다
② 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 적합하게 개인정보를 처리하여야 하며, 그 목적 외의 용도로 활용하여서는 아니된다
③ 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 개인정보의 정확성, 완전성 및 최신성이 보장되도록 하여야 한다
④ 개인정보처리자는 개인정보의 처리 방법 및 종류 등에 따라 정보주체의 권리가 침해받을 가능성과 그 위험 정도를 고려하여 개인정보를 안전하게 관리하여야 한다
⑤ 개인정보처리자는 개인정보 처리방침 등 개인정보의 처리에 관한 사항을 공개하여야 하며, 열람청구권 등 정보주체의 권리를 보장하여야 한다
⑥ 개인정보처리자는 정보주체의 사생활 침해를 최소화하는 방법으로 개인정보를 처리하여야 한다
⑦ 개인정보처리자는 개인정보를 익명 또는 가명으로 처리하여도 개인정보 수집목적을 달성할 수 있는 경우 익명처리자가 가능한 경우에는 익명에 의하여, 익명처리로 목적을 달성할 수 없는 경우에는 가명에 의하여 처리될 수 있도록 하여야 한다
⑧ 개인정보처리자는 이 법 및 관계 법령에서 규정하고 있는 책임과 의무를 준수하고 실천함으로써 정보주체의 신뢰를 얻기 위하여 노력하여야 한다

 

정답 : ②

 

 


 

공감과 댓글은 아이티신비에게 큰 힘이 됩니다.

블로그 글이 유용하다면 블로그를 구독해주세요.♥

'정보시스템 감리 기출해설 > 보안 해설' 카테고리의 다른 글

(제 22회) 보안 / (117)~(118) 해설  (1) 2024.12.25
(제 22회) 보안 / (115)~(116) 해설  (0) 2024.12.24
(제 22회) 보안 / (113)~(114) 해설  (0) 2024.12.23
(제 22회) 보안 / (111)~(112) 해설  (1) 2024.12.22
(제 22회) 보안 / (109)~(110) 해설  (0) 2024.12.21

'정보시스템 감리 기출해설/보안 해설'의 다른글

  • 현재글(제 22회) 보안 / (119)~(120) 해설

관련글

티스토리툴바