(제 25회) 보안 / (101)~(120)

101. 다음 리눅스 명령어 혹은 서비스 중 외부에서 시스템에 등록된 사용자의 정보를 확인하기 위해 직접적으로 활용되며 권한탈취를 위한 사전조사 용도로 사용되는 것으로 가장 적절한 것은?

 

① finger ② echo

③ NFS ④ talk

 

102. 제로 트러스트(Zero Trust) 개념에 대한 설명으로 가장 적절하지 않은 것은?

 

① 정보시스템 및 서비스에 대한 접속요구가 있을 때 네트워크가 이미 침해된 것으로 간주하고 불확실성을 최소화하도록 설계된 개념이다.

② 악의적인 상대에 의해 지속적으로 노출되고 잠재적으로 침해될 수 있는 시스템의 구성요소, 서비스 및 사용자를 다루는 일련의 원칙으로 정의할 수 있다.

③ 보안위협이 언제 어디서든 발생 가능하다는 전제하에 요건(신뢰도 평가, 인증, 권한부여 등)을 갖추지 않은 사용자·기기는 데이터, 컴퓨팅 서비스 등의 접근을 제한한다.

④ 내부 데이터 보호보다는 기관·기업의 경계 기반 보안체계 구축을 더욱 강화하여야 한다는 개념이다.

 

103. 보안 솔루션에 대한 설명으로 가장 적절한 것은?

 

① DNS : 메일 서버 앞단에 위치하여 프록시 메일 서버로 동작하며 SMTP 프로토콜을 이용한 DoS 공격이나 폭탄 메일, 스팸 메일을 차단한다.

② DLP : 문서 보안에 초점을 둔 기술로 문서의 열람, 편집, 인쇄에 접근권한을 설정하여 통제하는방식을 이용한다.

③ DRM : 사용자 수준에서 조직의 기밀정보가 유출되는 것을 막는 솔루션으로 사용자의 다양한 데이터 전송 인터페이스를 제어하는 방식을 이용한다.

④ NAC : 네트워크 접근제어 솔루션으로 엔드 포인트 단말기가 회사의 내부 네트워크에 접속을 시도할 때 이를 제어하고 통제한다.

 

104. 웹서버 보안을 위해 위험한 형식의 파일 업로드를 막기 위한 보안 대책으로 가장 적절하지 않은 것은?

 

① 파일들이 서버에서 실행될 수 없도록 실행 속성을 제거한다.

② 화이트 리스트 방식으로 허용된 형식의 파일만 업로드 되도록 한다.

③ 파일들이 저장되는 경로가 웹 서버의 문서 디렉터리 내부에 고정되도록 설정한다.

④ 서버에 파일을 저장할 때 파일 이름과 경로를 사용자가 유추할 수 없는 임의의 문자열로 변경하여 저장한다.

 

105. 다음 C언어 코드가 갖는 문제점을 지칭하는 취약점으로 가장 적절한 것은?

 

#include <stdio.h> int main() { char name[100]; printf("Enter your name: "); scanf("%99s", name); printf(name); ... return 0; }

 

① 스택 오버플로우 취약점

② 경쟁 조건 취약점

③ 포맷 스트링 취약점

④ 명령어 주입 취약점

 

106. 블록 암호 시스템의 운용 모드 중 GCM(Galois/ Counter Mode)에 대한 설명으로 가장 적절하지 않은 것은?

 

① 메시지 암호화를 위해 CTR 모드를 이용한다.

② 메시지 인증코드(MAC) 값을 생성하기 위해서는 해시 함수를 사용한다.

③ 각 블록을 병렬처리 하는 게 가능하므로 실행 속도를 높일 수 있다.

④ 전송하는 메시지에 대한 기밀성은 제공하지만 메시지 무결성은 보장하지 않는다.

 

107. 다음 설명에 해당하는 것으로 가장 적절한 것은?

 

조직이 자신에게 적합한 보안 정책을 수립하고 수립된 보안 정책에 의해 보안 관련 조직을 구성하여 일련의 보안 활동을 수행하는 것

 

① 권한관리 ② 보안 거버넌스

③ 위험분석 ④ 접근통제

 

108. 다음 「개인정보보호법」 제3절 가명정보의 처리에 관한 특례 사항에 대한 설명으로 가장 적절하지 않은 것은?

 

① 개인정보처리자는 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 정보주체의 동의 없이 가명정보를 처리할 수 있다.

② 개인정보처리자는 가명정보를 처리하는 과정에서 특정 개인을 알아볼 수 있는 정보가 생성된 경우에는 지체 없이 정보주체에게 통지한 후 정보를 처리할 수 있다.

③ 가명정보를 처리하는 자는 특정 개인을 알아보기 위한 목적으로 가명정보를 처리해서는 아니된다.

④ 개인정보처리자는 가명정보를 처리하고자 하는 경우에는 가명정보의 처리 목적, 제3자 제공 시 제공받는 자 등 가명정보의 처리 내용을 관리하기 위하여 대통령령으로 정하는 사항에 대한 관련 기록을 작성하여 보관하여야 한다.

 

109. 다음 중 VLAN에 대한 설명으로 가장 적절하지 않은 것은?

 

① 하나의 VLAN내 ARP Request, NetBIOS Name Query와 같은 브로드캐스트 패킷을 분할된 여러 개의 전체 네트워크로 확장·전송하는 기능을 제공한다.

② 웜과 같은 악성 코드가 발생하는 경우 범위는 제한할 수 있어 목적별로 네트워크를 분리하여 보안 수준을 높일 수 있다.

③ 하나의 스위치에 연결된 2계층 네트워크를 VLAN 으로 분할하면 여러개로 구별되는 브로드캐스트 도메인을 만들 수 있다.

④ 클라이언트가 특정 VLAN에 할당되어 있을 때, 클라이언트는 자신이 속한 VLAN을 인식하지 못 한 채 일반적인 통신을 할 때와 똑같이 프레임을 스위치에 전달한다.

 

110. 외부 IP 주소의 임의 포트에서 내부 ftp 서버로 접속하려는 트래픽을 탐지 및 차단하기 위한 Snort 탐지규칙으로 가장 적절한 것은?

 

① alert tcp !192.168.0.0/24 any → 192.168.0.0/24

21 (msg:“illegal ftp attempt”)

② drop tcp !192.168.0.0/24 any → 192.168.0.0/24

21 (msg:“illegal ftp attempt”)

③ alert tcp 192.168.0.0/24 any → !192.168.0.0/24

21 (msg:“illegal ftp attempt”)

④ drop tcp 192.168.0.0/24 any → !192.168.0.0/24

21 (msg:“illegal ftp attempt”)

 

 

111. 「개인정보보호법」에 따라 개인정보처리자는 개인정보가 분실·도난·유출되었음을 알게 되었을 때, 지체없이 정보주체에게 알려야 할 사항으로 가장 적절하지 않은 것은?

 

① 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당 부서 및 연락처

② 유출 등이 된 시점과 그 경위

③ 유출된 개인정보의 규모 및 피해액

④ 유출 등으로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보

 

112. 다음과 같은 업무 환경에서 사용자들이 활용하게 할 수 있는 정보보호 시스템으로 가장 적절한 것은?

 

감리 대상 기업 A는 외주 근로자가 많아 이들이 내부망에 접속 시 안전하게 관리해야 하는 필요성이 있음. 서울시에 본사 및 세종시에 지사가 존재하는 기업이며 이 두 개 지역의 네트워크를 안전하게 연결해야 함

 

① Firewall ② VPN

③ PGP ④ IPS

 

113. 스푸핑을 통해 공격자는 자신의 신분을 위장하여 정보시스템에서 허가되지 않은 정보의 열람 혹은 거짓정보의 전송이 가능해진다. 이러한 스푸핑 기술 중 IP 주소와 해당 MAC 주소의 매핑 정보를 위조하는 기법을 사용하는 것으로 가장 적절한 것은?

 

① ARP 스푸핑 ② IP 스푸핑

③ ICMP 리다이렉트 ④ DNS 스푸핑

 

 

114. SSO(Single Sign On)에 대한 설명으로 가장 적절하지 않은 것은?

 

① SSO 서버로부터 인증에 성공하면 SSO 서버가 관리하는 다른 시스템에 대한 접근권한을 모두 얻을 수 있다.

② 대표적인 인증 방법으로는 커버로스(Kerberos)를 이용한 윈도우 액티브 디렉터리가 있다.

③ 보안을 강화하기 위해 중요 정보에 접근할 때는 지속적인 재인증을 요구하기도 한다.

④ 각 시스템마다 인증 정보를 저장하므로 단일 장애점(single point of failure) 문제가 존재하지 않는다.

 

 

115. 공개키 암호 시스템에 대한 설명으로 가장 적절 하지 않은 것은?

 

① 공개키 암호 방식에서는 공개키와 개인키 키 쌍이 존재하며, 암복호화에 서로 다른 키를 사용 하므로 비대칭키 암호 방식이라고도 한다.

② 송신자가 수신자의 공개키를 이용하여 암호화한 메시지를 전송하면 수신자는 자신의 개인키를 이용하여 복호화를 수행한다.

③ 공개키 암호 방식은 대칭키 암호화 방식에 비해 관리해야 할 키의 개수가 많지만, 계산 속도가 빨라 메시지 암호화에 주로 사용한다.

④ 타원곡선 상의 이산대수 문제를 이용하는 ECC (Elliptic curve cryptography) 알고리즘은 RSA 등에 비해 상대적으로 짧은 길이의 키를 사용하여 대등한 수준의 안전성을 제공할 수 있다는 장점이 있다.

 

116. 해시 함수를 이용하는 메시지 인증 코드(HMAC : Hashed MAC)에 대한 설명으로 가장 적절하지 않은 것은?

 

① 수신자는 메시지의 변경 여부 뿐만 아니라 올바른 송신자가 생성한 메시지임을 확인할 수 있다.

② 송신자와 수신자 사이에 메시지 인증을 제공하지만, 제3자를 위한 증명은 제공할 수 없다.

③ 송신자가 메시지를 보낸 사실을 부인하는 경우 수신자는 송신자가 메시지를 보낸 사실을 증명 할 수 있다.

④ 메시지 인증코드를 생성하기 위해 송신자와 수신자는 사전에 공통의 비밀키를 공유해야 한다.

 

117. 하이브리드 암호 시스템에 대한 설명으로 가장 적절하지 않은 것은?

 

① 대칭키 암호화 방식에서 사용하는 세션키는 공격자의 추측 공격에 대응하기 위해 의사난수 생성기를 이용하여 생성한다.

② 메시지를 암호화할 때는 공개키 암호 시스템을 이용하므로 별도의 키 분배 과정을 필요로 하지 않는다.

③ 메시지 암호화에 사용한 세션키는 수신자의 공개키로 암호화하여 암호문과 결합하여 전송한다.

④ 전자메일 암호화 도구인 PGP에서도 하이브리드 암호 시스템을 이용하여 암호화를 수행한다.

 

118. 다음 중 인증 방식에 대한 설명으로 가장 적절 하지 않은 것은?

 

① 사용자가 알고있는 정보에 의존하는 지식 기반 인증방식은 관리 비용이 상대적으로 저렴하지만 공격자에 의한 추측 가능성의 위험이 있다.

② 사용자가 가지고 있는 인증 수단을 이용하는 소유 기반 인증 방식은 복제 가능성이 있고 분실·파손·고장 등이 발생하는 경우 인증이 불가능하다는 단점이 있다.

③ 지문, 망막, 홍채 등을 이용하는 생체 인증방식은 생체 템플릿이라고 불리는 자신의 생체 정보를 데이터베이스 등에 등록 없이 인증이 가능하다.

④ 지식, 소유, 존재 및 행위에 의한 인증 수단 중 2가지의 인증 수단을 결합하여 사용하는 인증 방식을 이중(Two-factor) 인증이라 한다.

 

119. 다음 중 정상적인 네트워크 접근을 공격시도로 오인하여 가용성이 침해받는 경우에 해당하는 것으로 가장 적절한 것은?

 

① True-Positive ② True-Negative

③ False-Positive ④ False-Negative

 

120. 다음 중 블록체인을 대상으로 한 보안 공격 유형으로 가장 적절하지 않은 것은?

 

① 이중 지불 공격(Double Spending Attack)

② 허위 정보 전파 공격(Eclipse Attack)

③ 재진입 공격(Reentrancy Attack)

④ 스머프 공격(Smurf Attack)

 

 

정답)

101	102	103	104	105
①	④	④	③	③
106	107	108	109	110
④	②	②	①	②
111	112	113	114	115
③	②	①	④	③
116	117	118	119	120
③	②	③	③	④

 

---

 

공감과 댓글은 아이티신비에게 큰 힘이 됩니다.

블로그 글이 유용하다면 블로그를 구독해주세요.♥