정보보안기사 14회 필기 시험일자 : 2019년 3월 23일
1. 윈도우 사용자 권한 통제 방법으로서 낮은 권한을 가진 사용자가 관리자 권한을 쓰려고 하면 경고창과 함께 관리자 계정 인증을 요구한다. 이러한 매커니즘을 무엇이라고 하는가?
- ① Privileged Account Management
- ② User Account Control
- ③ User Access Control
- ④ Privileged Access Management
ㅇㅇ2020. 5. 3. 18:17삭제
윈도우에서 머 설치할때 반짝하면서 뜨는거 말하는겅가
2. 서버사이드에서 동작하는 웹페이지 아닌 것은?
- ① html
- ② php
- ③ asp
- ④ jsp
등록된 댓글이 없습니다.
3. 멜트다운 취약점의 특징으로 잘못된 것은?
- ① CPU 성능을 높이기 위한 메커니즘을 악용하는 취약점이다.
- ② 메모리보다 하드디스크 영역에 접근하는 것이 빠른 점을 이용했다
- ③ 사용자가 커널에서 관리하는 메모리영역에 접근할 수 있다
- ④ 부채널 공격의 일종이다
야돈2021. 8. 17. 22:09삭제
비순차적 명령어 처리(Out-of-order Execution) 기술을 악용한 보안 취약점
4. 리눅스 시스템에서 시스템의 주요 설정파일이 위치한 디렉토리와 임시파일을 저장하는 디렉토리, 물리적 장치가 파일화되어 저장된 디렉토리를 나열한 것은?
- ① /etc /temp /mnt
- ② /sys /tmp /mnt
- ③ /sys /temp /dev
- ④ /etc /tmp /dev
등록된 댓글이 없습니다.
5. 윈도우에서 사용자 계정을 추가하면 일반 사용자 그룹인 User 그룹에 자동 포함된다. 이 User 그룹의 권한에 대한 설명으로 옳지 않은 것을 고르시오.
- ① User는 워크스테이션을 종료할 수 있고 서버에도 종료 명령을 내릴 수 있다.
- ② User가 로컬 그룹을 만들수는 있지만 자신이 만든 로컬 그룹만 관리한다.
- ③ 관리자가 설치하거나 배포한 인증된 Windows 프로그램을 실행할 수 있다.
- ④ User 그룹의 구성원은 자신의 모든 데이터파일 및 레지스트리에서 자신의 부분을 완전히 제어할 수 있다.
등록된 댓글이 없습니다.
6. 윈도우 운영체제 최상위 레지스트리 중 확장자와 응용프로그램 관계를 보여주는 레지스트리는 무엇인가?
- ① HKEY_CLASSES_ROOT
- ② HKEY_LOCAL_MACHINE
- ③ HKEY_CURRENT_CONFIG
- ④ HKEY_CURRENT_USER
등록된 댓글이 없습니다.
7. 다음은 어떠한 파일시스템에 대한 설명이다. 설명하고 있는 파일 시스템을 고르시오. 리눅스 운영체제를 목표로 만들어진 첫 번째 파일 시스템으로, Remy Card가 MFS(MINIX FIle System)의 한계를 극복하기 위해 개발하였다. 최대 용량을 2GB까지 늘렸고 파일이름의 최대 길이는 255자 까지 지원한다. 오래 사용하면 파일 시스템의 단편화가 발생한다는 단점이 있다.
- ① FAT16
- ② MFS
- ③ NTFS
- ④ EXT
등록된 댓글이 없습니다.
8. 윈도우에서 관리 목적상 기본적으로 공유되는 폴더 중에서 Null Session Share 취약점을 갖는 것은?
- ① C$
- ② G$
- ③ IPC$
- ④ ADMIN$
등록된 댓글이 없습니다.
9. 아래의 명령어 수행 후 test.out 의 속성에 관한 설명으로 옳은 것은? chmod 4755 test.out
- ① 파일 실행시 읽기 실행 가능
- ② 파일 실행시 staff권한으로 실행되어 읽기 / 실행 가능
- ③ 실행하는 사용자 권한에 상관 없이 test.out은 root권한으로 실행
- ④ 실행하는 사용자 권한에 상관 없이 test.out은 staff권한으로 실행
등록된 댓글이 없습니다.
10. 다음 중 리눅스 시스템에서 좀비 프로세스를 찾기 위해 사용할 수 있는 명령어로 옳은 것 2가지를 선택하시오.
- ① ps -ef | grep defunct
- ② top -b -n 1 | grep defunct
- ③ ps -ef | grep zombie
- ④ top -b -n 1 | grep zombie
답2개2021. 8. 30. 11:48삭제
답 두개인데 하나만 체크되네요. 1,4가 답
11. 리눅스 시스템의 기본 방화벽인 iptables에서 현재 정책을 별도 파일로 저장하고자 한다. 아래 명령어 중 옳은 것을 고르시오.
- ① iptables -config > etc/iptables.conf
- ② iptables -store > etc/iptables.conf
- ③ iptables -save > etc/iptables.conf
- ④ iptables -restore> etc/iptables.conf
ㅇㅇ2024. 9. 4. 17:51삭제
리눅스 시스템의 기본 방화벽인 iptables에서 현재 정책을 별도 파일로 저장하려면 다음 명령어를 사용해야 합니다:
**③ iptables -save > /etc/iptables.conf**
이 명령어는 현재 iptables 규칙을 `/etc/iptables.conf` 파일에 저장합니다. 이제 다른 보기들이 왜 틀렸는지 자세히 설명드리겠습니다:
1. **iptables -config > /etc/iptables.conf**
- `-config` 옵션은 존재하지 않습니다. 따라서 이 명령어는 유효하지 않습니다.
2. **iptables -store > /etc/iptables.conf**
- `-store` 옵션도 존재하지 않습니다. 이 명령어 역시 유효하지 않습니다.
3. **iptables -save > /etc/iptables.conf**
- **정답**입니다. `-save` 옵션은 현재 iptables 규칙을 표준 출력으로 내보내며, 이를 리다이렉션(`>`)하여 파일에 저장할 수 있습니다.
4. **iptables -restore > /etc/iptables.conf**
- `-restore` 옵션은 파일에서 iptables 규칙을 불러오는 데 사용됩니다. 따라서 이 명령어는 규칙을 저장하는 것이 아니라 불러오는 용도로 사용됩니다.
12. 다음 저장장치 중 휘발성이 가장 높은 저장장치는?
- ① 보조기억장치 파일
- ② 임시 인터넷 파일
- ③ ARP Cache, rouring table
- ④ 레지스터, 캐시
등록된 댓글이 없습니다.
13. 랜섬웨어의 특징으로 옳지 않은 것은?
- ① CryptoLocker는 중요 파일을 암호화하고 돈을 요구한다.
- ② Browlock은 경찰로 위장하여 불법사이트 접속에 대한 벌금 납부를 유도한다.
- ③ 주로 파일 암호화 알고리즘인 RSA를 이용한다.
- ④ 돈을 지급하더라도 복구가 제대로 이루어지지 않는 경우가 많다.
등록된 댓글이 없습니다.
14. 다음 중 FIDO에 대한 설명으로 옳지 않은 것은?
- ① 기존 비밀번호의 단점을 보완하기 위해 등장하였다.
- ② 스마트폰 등 디바이스에서 제공하는 생체인증 기능을 활용한다.
- ③ 기존 인증을 강화하기 위한 U2F와, 기존 인증을 대체하기 위한 UAF가 있다.
- ④ UAF는 소유기반 인증 방식으로 비밀번호의 단점을 보완한다.
ANO2022. 6. 13. 10:09삭제
생체정보 인증 방식, 비밀번호를 대체
15. 다음 중 하드웨어에 기반한 보안 취약점 및 공격은?
- ① shellshock
- ② heartbleed
- ③ WannaCry
- ④ spectre
ANO2022. 6. 13. 10:17삭제
shellshock : 환경변수에 설정된 함수 선언 시 함수 선언의 끝을 인지하지 못하고 삽입한 명령어까지 실행하는 취약점
heartbleed : 오픈 소스 암호화 라이브러리인 OpenSSL의 소프트웨어 취약점
WannaCry : Microsft Windows를 사용하는 컴퓨터를 대상으로 하는 랜섬웨어
Spectre : CPU 취약점
16. 다음 중 트로이 목마(Trojan)의 일반적인 특징 및 기능으로 옳지 않은 것은?
- ① 패스워드 가로채기
- ② 악성코드 전파
- ③ 파일 파괴
- ④ 원격 조정
등록된 댓글이 없습니다.
17. 라우터(Router)를 이용한 네트워크 보안 설정 방법 중에서 내부 네트워크에서 외부 네트어크로 나가는 패킷의 소스 IP나 목적지 포트 등을 체크하여 적용하거나 거부하도록 필터링 과정을 수행하는 것은?
- ① TCP-Wrapper
- ② Egress Filtering
- ③ Unicast RFP
- ④ Packet Sniffing
등록된 댓글이 없습니다.
18. 리눅스 시스템에서 패스워드 복잡도를 설정하기 위해 /etc/pam.d/system-auth 를 편집하고 있다. 아래와 같은 설정을 위해 사용하는 옵션으로 옳지 않은 것은? ㅇ 숫자를 1자 이상 포함 ㅇ 특수문자를 1자 이상 포함 ㅇ 영어 대문자를 1자 이상 포함 ㅇ 기존 패스워드와의 일치율 50%이상 금지
- ① ucredit=-1
- ② difok=10
- ③ scredit=-1
- ④ dcredit=-1
GPT-42024. 9. 6. 13:09삭제
이 문제는 정답이 없습니다. 주어진 보기 중 패스워드 복잡도를 설정하기 위해 사용하는 옵션으로 옳지 않은 것은 없습니다. 모두 패스워드 복잡도 설정에 관련된 옵션입니다:
ucredit=-1: 영어 대문자를 최소 1자 이상 포함.
difok=10: 기존 패스워드와의 일치율 50% 이상 금지.
scredit=-1: 특수문자를 최소 1자 이상 포함.
dcredit=-1: 숫자를 최소 1자 이상 포함.
주어진 보기 중에서 모두 패스워드 복잡도 설정에 관련된 옵션이기 때문에, 특정 옵션이 옳지 않다고 할 수 없습니다. 따라서, 이 문제에는 정답이 없습니다.
ANO2022. 6. 13. 10:22삭제
ucredit=-1 : 영어 대문자를 최소 1자 이상 사용
difok=10 : 기존 패스워드와 비교하는 정도, 기본값 10(50%)
ocredit=-1 : 특수문자를 1자 이상 포함
dcredit=-1 : 숫자를 1자 이상 포함
19. 윈도우의 인증 시스템인 LSA(Local Security Authority)에 대한 설명으로 옳은 것을 모두 고르시오. a. 로컬 및 원격 로그인에 대한 검증 수행 b. 시스템 자원(파일)에 대한 접근 권한 검사 c. SRM이 생성한 감사 로그를 기록 d. 보안 서브시스템(Security Subsystem)이라고 불림
- ① a, b
- ② b, c, d
- ③ a, c, d
- ④ a, b, c, d
ANO2022. 6. 13. 10:28삭제
1. 윈도우에 등록된 모든 계정의 로그인 시도에 대한 검증 및 시스템 자원에 대한 접근 권한 검사
2. 로컬 및 원격 로그인에 대해서도 검사를 수행
3.윈도우 계정명과 SID를 매칭하고 SRM이 생성한 감사 로그를 기록
4. 보안서브시스템으로도 부름,
SRM
1. 인증된 사용자에게 SID를 부여
2. SID는 파일 및 디렉터리에 대한 접근을 허용할지 결정하고 감사 메시지를 생성
3.SID 500은 Admin, 501은 Guest, 일반 유저는 1000 이상의 값을가진다.
20. 리눅스 시스템에서 FTP에 대한 불법적인 접속을 감시하기 위해 로그를 검토하고자 한다. 어떤 로그를 보는 것이 가장 적절한지 고르시오.
- ① sulog
- ② wtmp
- ③ utmp
- ④ xferlog
ANO2022. 6. 13. 10:54삭제
sulog : 사용자에서 root로의 전환에 사용되는 su 시도뿐 아니라 사용자 전환(su) 명령의 모든 사용을 나열
wtmp : 로그인/로그아웃, 시스템 boot/shutdown 의 History
utmp : 현재 로그인 한 사용자 상태 정보를 담고 있는 로그 파일
btmp : 실패한 로그인 정보를 담고 있는 로그 파일
xferlog : FTP 등을 통해 파일이 전송된 기록이 저장된 로그 파일 위치
21. 스위치 장비를 대상으로 행해지는 침해 행위가 아닌것은?
- ① ICMP Redirect
- ② Switch Jamming
- ③ ARP Broadcast
- ④ IP Spoofing
ANO2022. 6. 17. 14:25삭제
스위치 장비에서는 스니핑, 스푸핑이 안된다.
22. 다음 포트스캔 방법들 중 포트가 닫혀있을 때 동작이 다른 스캔방법은?
- ① SYN Scan
- ② Xmas Scan
- ③ Null Scan
- ④ FIN Scan
등록된 댓글이 없습니다.
23. 공격대상이 방문할 가능성이있는 합법적인 웹 사이트를 미리 감염시키고 잠복하고 있다가 공격대상이 방문하면 악성코드를 감염시키는 공격 방법은?
- ① 파밍
- ② 워터링 홀
- ③ 스피어 피싱
- ④ DNS 스푸핑
현이마누라2022. 3. 22. 16:15삭제
스피어 피싱 : 특정인을 표적으로 삼아 악성메일을 발송하고, 컴퓨터를 감염시켜 정보를 빼가는 '표적형 악성 메일' 공격
24. 리눅스 시스템에서 rlogin를 통합 접근을 허용하는 호스트를 설정하는 파일은?
- ① /etc/hosts.equiv
- ② /etc/allow
- ③ /etc/hosts.allow
- ④ /etc/rlogin.allow
ANO2022. 6. 13. 13:57삭제
rlogin : .rhosts 파일 또는 /etc/hosts.equiv 파일에 호스트 등록
Tcp_wrapper : /etc/hosts.allow, /etc/hosts.deny 파일에 호스트 등록
25. 다음 중 인터넷 프로토콜(IP)에서 TTL을 사용하는 가장 큰 이유는 무엇인가?
- ① 혼잡 제어
- ② 응답 시간 감소
- ③ 무한루프 방지
- ④ 오류 제어
ANO2022. 6. 13. 13:58삭제
Time To Live 의 약자, IP 패킷 내에 있는 값으로서 그 패킷이 네트워크 내에 너무 오래 있어서 버려져야 하는 지의 여부를 라우터에게 알려주는 역할을 한다.
26. 중앙집중관리 방식의 강제적 접근 통제(MAC)에 대한 장점으로 옳지 않은 것은?
- ① 규칙이 단순해 관리가 용이하다.
- ② 중앙에서 강력하게 통제할 수 있다.
- ③ 이직률이 높은 회사에 유리하다.
- ④ 개인, 데이터별로 명확한 보안등급을 가진다.
ANO2022. 6. 13. 14:08삭제
이직률이 높은 회사에 유리한 통제는 RBAC(Role Based Access Control, 역할 기반 접근 통제)
27. 포트 스캔 방식 중 TCP 플래그 값을 모두 off로 설정한 패킷을 이용한 스캔 기법은?
- ① SYN Scan
- ② Xmas Scan
- ③ Null Scan
- ④ FIN Scan
등록된 댓글이 없습니다.
28. 4000바이트의 ICMP 데이터를 포함한 TCP 패킷이 MTU가 1500인 네트워크를 통해 전송될 때 세번째 패킷의 크기는?
- ① 헤더 40, ICMP 데이터 1048byte
- ② 헤더 40, ICMP 데이터 1056byte
- ③ 헤더 20, ICMP 데이터 1048byte
- ④ 헤더 20 ICMP 데이터 1056byte
ANO2022. 6. 14. 09:28삭제
4000바이트에 ICMP 패킷헤더(8바이트)를 붙여 4008바이트가 되는데 이것을 순서대로 분할한다 첫번째 패킷 : 1480 두번째 패킷: 1480 세번째 패킷 : 1048
1500 인데 1480으로 분할하는 이유는 20바이트를 IP헤더로 사용하기 때문이다.
29. VLAN에 대한 설명이다. 순서대로 나열한 것은? VLAN이란 ( ) 트래픽을 제한하여 불필요한 트래픽을 차단하기 위한 ( ) LAN이다. 스위치는 허브처럼 한 포트에서 발생한 데이터를 전 포트에 전달하지 않기 때문에 스위치에 흐르는 데이터를 분석하려면 허브와는 달리 ( ) 기능을 사용해야한다.
- ① 멀티캐스팅, 논리적인, Port Mirroring
- ② 멀티캐스팅, 물리적인, Port Filtering
- ③ 브로드캐스팅, 물리적인, Port Filtering
- ④ 브로드캐스팅, 논리적인, Port Mirroring
등록된 댓글이 없습니다.
30. 아래 보기의 명령과 가장 관련있는 서비스 거부 공격은? hping q.fran.kr -a 10.10.10.5 --icmp --flood
- ① Ping of Death
- ② Land Attack
- ③ Teardrop
- ④ Smurf
ANO2022. 6. 14. 09:50삭제
Ping of Death : 규정 크기 이상의 ICMP 패킷으로 시스템을 마비시키는 공격
Land Attack(Local Area Network Denial Attack) : 네트워크 패킷의 출발지 IP를 변조해 공격 대상의 자원을 소모시키는 공격( 공격자가 피해자에게 네트워크 패킷을 보낼 때 패킷의 출발지와 도착지의 IP를 피해자의 IP로 동일하게 하는 것)
Teardrop : IP 패킷의 fragment offset 값을 서로 중첩되도록 조작하여 전송하고 IP 패킷의 재조합과정에서 오류가 발생하여 시스템 기능을 마비시키는 공격
Smurf : 스푸핑된 원본 ip를 가진 수많은 인터넷 제어 메시지 프로토콜(icmp) 패킷들이 ip 브로드캐스트 주소를 사용하여 컴퓨터 네트워크로 브로드캐스트하는분산 서비스 거부 공격이다.
31. 스위칭 환경에서 스니핑을 하기 위한 공격과 가장 거리가 먼 것은?
- ① DNS Spoofing
- ② ARP Broadcast
- ③ ARP Jamming
- ④ Switch Jamming
등록된 댓글이 없습니다.
32. 3계층에서 전송 시 기밀성을 보장하는 매커니즘을 적용하여 공중망에서 마치 사설망을 이용하는 것과 유사한 효과를 얻기 위한 기술은?
- ① L2TP VPN
- ② PPTP VPN
- ③ IPsec VPN
- ④ SSL VPN
등록된 댓글이 없습니다.
33. 아래와 같은 방화벽 정책이 적용되어 있을 때, 다음 보기 중 옳지 않은 것은? A: 15.10.12.0/24 -> 168.30.22.0/24 거부 B: 192.20.0.0/16 -> 168.15.0.0/16 허용 C: any -> any 거부
- ① 출발지 15.10.12.2로 부터 도착지 168.30.22.11로 가는 패킷은 A 정책에 의해 거부된다.
- ② 출발지 15.10.22.2로 부터 도착지 168.15.0.4로 가는 패킷은 B 정책에 의해 허용된다.
- ③ 출발지 192.20.5.11로 부터 도착이 162.15.43.7로 가는 패킷은 B 정책에 의해 허용된다.
- ④ A, B 정책에 포함되지 않는 다른 모든 전송은 C 정책에 의해 차단된다.
zz2024. 9. 26. 13:47삭제
3도 틀림. 168을 162로 오타 낸 듯.
34. 공인인증서의 유효성을 검사하는 OCSP와 CRL에 대한 설명으로 옳지 않은 것은?
- ① OCSP는 인증서 폐기시 실시간으로 반영된다.
- ② CRL은 제한된 네트워크 환경에서 사용하기 유리하다.
- ③ CRL은 CA를 통해서 서비스된다.
- ④ OCSP는 Batch형태로 동기화 비용이 들지 않는다.
ANO2022. 6. 14. 10:25삭제
OCSP(Online Certificate Status Protocol) : 온라인 인증서 상태 프로토콜, 인증서 유효성 확인을 제공하는 방법, 인증서가 폐끼된것인지 정상인지 빠르게 확인이 가능하다.
CRL : 인증서 폐기 목록, 현재 사용중인 인증서가 만료된 것인지 정상인지를 판단 할 수 있는 신뢰 할 수 있는 인증서 폐기목록, 클라이언트에서 모두 다운받아 확인해야 해서 처리시간이 매우 느리다. CA기관에서 상기 항목을 계속해서 갱신하고 클라이언트 또한 계속 갱신하여 확인해야 한다.
35. 다음 중 리눅스 시스템의 TCP Wrapper에서 제공하는 기능이 아닌 것은?
- ① 로깅
- ② 포트 접근통제
- ③ IP기반 접근통제
- ④ 네트워크 서비스 기반 통제
ANO2022. 6. 14. 10:34삭제
리눅스 접근통제, 외부에서 들어오는 클라이언트에 대해 접근통제 기능을 제공
36. 스위치 장비가 동작하는 방식 중 전체 프레임을 모두 받고 오류 검출 후 전달하는 방식은?
- ① Cut-through 방식
- ② Fragment-Free 방식
- ③ Direct Switching 방식
- ④ Store and Forward 방식
등록된 댓글이 없습니다.
37. 리눅스 환경에서 의심으로운 접근기록이 확인되어 로그인 실패 기록을 살펴보려고 한다. 어떤 로그 파일을 참조하는 것이 가장 적절한가?
- ① pacct
- ② wtmp
- ③ btmp
- ④ utmp
ANO2022. 6. 14. 10:43삭제
pacct 로그 : 사용자별 시간대별 명령어 기록
wtmp : 성공한 로그인/로그아웃 정보
btmp : 실패한 로그인 정보를 담고 있는 로그 파일
utmp : 현재 로그인한 사용자 상태 정보를 담고 있는 로그파일
38. 사내 네트워크 보안 실태를 점검하고자 한다. 다음 중 가장 옳지 않은 내용은?
- ① 전송 정보의 신뢰성 확보를 위해 UDP보단 TCP를 사용한다.
- ② 서비스 안정성을 위해 IPS보다 IDS를 사용할 수 있다.
- ③ 웹서비스를 운영하는 경우 WAF를 설치한다.
- ④ 강한 보안 통제를 위해 화이트리스트 방식 보단 블랙리스트 방식을 사용한다.
등록된 댓글이 없습니다.
39. 보안 위협과 공격에 대한 설명 중 옳지 않은 것은?
- ① 분산 반사 서비스 거부 공격(DRDoS : Distributed Reflection DoS)은 DDoS의 발전된 공격 기술로서 공격 자의 주소를 위장하는IP Spoofing 기법과 실제 공격을 수행하는 좀비와 같은 감염된 반사체 시스템을통한 트래픽 증폭 기법을 이용한다.
- ② 봇넷을 이용한 공격은 봇에 의해 감염된 다수의 컴퓨터가좀비와 같이 C&C 서버를 통해 전송되는 못 마스터의 명령에 의해공격이 이루어지므로 공격자 즉 공격의 진원지를 추적하는데 어려움이 있다.
- ③ Smurf 공격은 ICMP Flooding 기법을 이용한 DoS 공격으로 Broadcast address 주소의 동작특성과 IP Spoofing 기법을 악용하고 있다.
- ④ XSS(Cross-Site Scripting) 공격은 공격 대상 사용자가이용하는 컴퓨터 시스템의 브라우저 등에서 악성코드가 수행되도록 조작하여사용자의 쿠키 정보를 탈취, 세션 하이재킹과 같은 후속 공격을 가능하게 한다.
등록된 댓글이 없습니다.
40. TCP/IP의 4계층에 해당하지 않는 것은?
- ① 인터넷 계층
- ② 전송 계층
- ③ 응용 계층
- ④ 물리 계층
현이마누라2022. 3. 22. 16:32삭제
TCP/IP 계층 : 네트워크, 인터넷, 전송, 응용
41. 다음은 어떤 공격에 대한 설명인가? 공격자는 보안이 취약한 사이트를 공격하여 암호화되지 않은 아이디와 비밀번호를 취득했다. 공격자는 이 아이디 비밀번호를 인터넷 뱅킹에 그대로 입력하여 피해자의 금융정보에 접근할 수 있었다. 취약한 웹사이트에 무분별하게 가입하고 모든 사이트의 아이디 비밀번호를 동일하게 사용할 경우 이 공격에 노출되기 쉽다.
- ① 무차별 대입 공격
- ② 크로스 사이트 스크립팅
- ③ 크리덴셜 스터핑
- ④ 로그인 우회 기법
ANO2022. 6. 15. 09:47삭제
크리덴셜 스터핑 : 공격자가 수집한 사용자들의 로그인 인증 정보를 다른 사이트의 계정 정보에 무차별 대입하여 사용자 계정에 부정하게 액세스 하려는 공격
42. DoS 공격엔 다양한 종류가 있다. 다음 중 웹서버 운영체제(OS) 자원을 고갈시키는 DoS는 무엇인가?
- ① Syn Flooding
- ② GET Flooding
- ③ Teardrop
- ④ Syn Cookie
등록된 댓글이 없습니다.
43. 다음 중 아파치 로그 분석 방법으로 가장 적절하지 않은 것은?
- ① 하루에 같은 파일이 여러번 호출되었을 경우 분석
- ② 없는 페이지 경로가 자주 호출되는 경우 분석
- ③ 클라이언트 IP, 접속시간 등을 종합적으로 고려
- ④ PUT 메소드로의 접근 분석
등록된 댓글이 없습니다.
44. 다음은 SET에서 사용하는 보안 메커니즘을 설명한 것이다. 다음의 내용에 해당하는 것은 무엇인가? 고객의 결제정보가 판매자를 통하여 해당 지급정보중계기관(PG)으로 전송됨에따라 고객의 결제정보가 판매자에게 노출될 가능성과 판매자에 의한 결제 정보의 위·변조의 가능성이 있으므로, 판매자에게 결제정보를 노출시키지 않으면서도 판매자가 해당 고객의 정당성 및 구매내용의 정당성을 확인 할 수 있고 PG는 판매자가 전송한 결제요청이 실제고객이 의뢰한 전문인지를 확인할 수 있도록 하였다.
- ① 전자서명
- ② 이중서명
- ③ 은닉서명
- ④ 비밀서명
등록된 댓글이 없습니다.
45. FTP는 Active 모드와 Passive 모드를 지원한다. Passive 모드를 사용한다면 예상되는 가장 적절한 이유는 무엇인가?
- ① Passive 모드가 전송속도가 더 우수하기 때문에
- ② 서버에서 20, 21포트를 사용하기 위해
- ③ Passive 모드에서 지원되는 암호화 기능 때문에
- ④ Active 모드는 Client 방화벽차단시 사용 불가하므로
ANO2022. 6. 15. 10:38삭제
Active mode의경우 클라이언트 측의 방화벽에 20번 포트가 차단되어 있다면, 데이터 채널 연결이 불가능해짐.
Passive Mode의 경우 서버 측의 데이터 채널 포트가 막혀있는 경우 데이터 채널 연결이 불가능함.
46. 해커가 리눅스 시스템을 해킹하여 백도어 프로그램을 설치하였다. 만약 시스템이 재시작되어도 본인이 설치한 프로그램이 실행되도록 하고 싶다면 다음중 어떤 파일에 접근해야 하는가?
- ① resolv
- ② hosts
- ③ crontab
- ④ rc.d/rc.local
ANO2022. 6. 15. 13:08삭제
resolv : DNS 서버를 설정하는 파일
hosts : Domain 명의 IP로 변환을 위한 파일
crontab : 작업스케쥴러 파일
rc.d/rc.local : 부팅 시 자동실행 등록 파일
47. FTP 전송모드에 대한 설명으로 옳은것은?
- ① 디폴트는 active 모드이며, passive 모드로의 변경은 FTP 서버가 결정한다.
- ② 디폴트는 active 모드이며, passive 모드로의 변경은 FTP 클라이언트가 결정한다.
- ③ 디폴트는 passive 모드이며, active 모드로의 변경은 FTP 서버가 결정한다.
- ④ 디폴트는 passive 모드이며, active 모드로의 변경은 FTP 클라이언트가 결정한다.
등록된 댓글이 없습니다.
48. 다음 설명하고 있는 보안 전자우편시스템 프로토콜은? ㅇ RSA Data Security, INC 개발 ㅇ 전자우편 메세지 표준 기반 ㅇ 다양한 상용툴킷 ㅇ X.509 지원
- ① PEM
- ② MIME
- ③ S/MIME
- ④ PGP
ANO2022. 6. 15. 14:06삭제
PEM : 프라이버시 강화 메일, 1993 IETF 표준 세트를 기반으로 암호화 키, 인증서 및 기타 데이터를 저장하고 보내기 위한 사실상의 파일형식, base64를사용하여 이진 데이터를 인코딩하여 전자 메일 시스템의파일전송 문제점 해결
MIME : 전자 우편을 위한 인터넷 표준 포맷, 전자 우편은 7비트 ASCII 문자를 사용하여 전송되기 때문에 8비트 이상의 코드를 사용하는 문자나 이진 파일들은 MIME 포캣으로 변환되어 SMTP로전송, 대부분의 전자 우편은 MIME 형식
S/MIME(Secure/MIME) : 응용 계층에서 보안을 제공하는 가장 대표적인 시스템으로 MIME 객체에 암호화와 전자서명 기능을 추가한 프로토콜, S/MIME는 기존 전자우편 보안 시스템의 문제점인 PEM 구현의 복잡성, PGP의 낮은 보안성과 기존 시스템과의 통합이 용이하지 않다는 점을 보완
S/MIME 이 제공하는 보안 서비스
1. 암호화 = Triple-DES, RC2/40bit
2. 해시함수 = SHA-1,MD5
3.공개키 인증 = X.509 v3 인증서
4.전자서명 = DSS, RSA
PGP = 컴퓨터 파일을 암호화화고 복호화하는 프로그램,
49. 다음은 FTP 로그를 조회한 결과이다. 틀린 설명을 고르시오. Thu May 17 11:54:41 2018 6 q.fran.kr 1234567 /home/user/test1.mp3 b _ i r itwiki ftp 0 * c
- ① itwiki 는 사용자 계정이다.
- ② 1234567은 파일 크기이다.
- ③ b는 바이너리 파일이 전달되었음을 나타낸다.
- ④ c는 전송이 중도 취소되었음을 나타낸다.
ANO2022. 6. 15. 14:13삭제
인증된사용자(r)itwiki 사용자(ID)가 q.fran.kr 사이트에서 Thu May 17 11:54:41 2018 6월에 /home/user/test1.mp3 바이너리파일(1234567파일크기)을 업로드 함.
c = 전송완료 i= 전송미완료
50. 문자열 단위로 문자열의 일치 여부(참/거짓) 값 만을 반환받는 과정을 수없이 반복하여 테이블 정보나 데이터 값을 추출해내는 공격법은?
- ① SQL injection
- ② Blind SQL injection
- ③ Mass SQL injection
- ④ Union SQL injection
등록된 댓글이 없습니다.
51. 다음 사항들 중 웹 서비스에 대한 취약점의 조치사항과 가장 거리가 먼 것은?
- ① 폐쇄형 사이트로 운영
- ② 해외 IP차단
- ③ 쿠키의 활용
- ④ 세션 정당성 검증
등록된 댓글이 없습니다.
52. 다음에서 설명하는 취약점(또는 공격 메커니즘)은 무엇인가? 공유 자원에 대해 여러 개의 프로세스가 동시에 접근을 시도할 때 접근의 타이밍이나 순서 등이 결과값에 영향을 줄 수 있는 상태로, 프로세스 간의 자원 경쟁을 유발하여 권한을 획득하는 기법으로 활용된다
- ① Drive by download
- ② Exploit
- ③ Race Condition
- ④ Buffer Overflow
12342022. 6. 15. 14:33삭제
DbD 공격예
1. 사용자들이 자주 방문하는 사이트를 해킹
2. 해킹한사이트의 소스코드에 iframe, script, meta, embed와 같은 리디렉션 코드를 삽입(사용자가 웹서비스를 이용할 때 브라우저 내부에서 다른 서버의 파일을 호출)
3. 리디렉션된 파일이나 페이지를 호출하고 악성코드 유포 페이지로 이동시킴
(즉 의도되지 않게 사이트 방문후 사용자 디바이스에 악성sw를download시키는 공격)
Exploit : 보안결함을 이용해 공격자가 공격하는 행위
Buffer Overflow : 프로그램에 버퍼를 조작할 수 있는 버그가 존재할 경우 컴퓨터에게 해커가 원하는 일을 하도록 지시시켜 공격하는 것
53. 다음 보기 중 오용 탐지(Misuse Detection) 방법과 관련된 설명으로 옳은 것을 2개 고르시오. a. 통계적 분석이나 신경망 모델을 이용한다. b. 이미 알려진 패턴을 기반으로 하므로 오탐률이 낮다. c. 정상적인 행위와 비교해서 비정상적인 행위를 탐지한다. d. 새로운 공격에 대응이 어려운 단점이 있다.
- ① a, c
- ② a, d
- ③ b, d
- ④ c, d
ANO2022. 6. 16. 10:10삭제
오용탐지(규칙기반침입탐지) : 시스템 로그, 네트워크 입력정보, 알려진 침입방법, 비정상적인 행위패턴 등의 특징을 비교하여 탐지하는 방법
장점 : 오탐률 낮음, 전문가 시스템(추론기반지식베이스)이용, 트로이목마, 백도
54. 다음 사항들 중 재전송 공격 방지 대책으로 보기 어려운 것은?
- ① 해시함수의 사용
- ② 1씩 증가하는 순서번호 사용
- ③ 타임스탬프 사용
- ④ 일회용 nonce 비표 사용
ANO2022. 6. 16. 10:10삭제
해시함수는 무결성을 보장하는 용도로 사용이 됨
전송된 데이터의 내용의 변경(변조)발생 여부를 판단 하기 위한 기준으로 해시 함수를 이용한 해시값을 사용함, 재전송은 무결성과 무관, 인증에 사용된다고 보면됨
55. 문제복원 중
- ① 문제복원 중
- ② 문제복원 중
- ③ 문제복원 중
- ④ 문제복원 중
등록된 댓글이 없습니다.
56. 다음 중 CSRF 취약점의 특징이 아닌 것은?
- ① 특정 소수가 아닌 불특정 다수를 대상으로 한다.
- ② 원래 의도된 기능이 아닌, 데이터 변경, 삭제등이 가능해진다.
- ③ XSS에서 진보한 공격이라고 보는 의견이 있다.
- ④ XSS는 서버에서, CSRF는 클라이언트에서 악성 코드가 실행된다.
등록된 댓글이 없습니다.
57. 문제복원 중
- ① 문제복원 중
- ② 문제복원 중
- ③ 문제복원 중
- ④ 문제복원 중
등록된 댓글이 없습니다.
58. 다음 중 SSL에 대한 설명으로 옳지 않은 것은?
- ① 넷스케이프사에서 처음 개발하였다.
- ② TFTP, FTP, SYSLOG 등에 주로 사용된다.
- ③ SSL은 기본적으로 443번 포트를 사용한다
- ④ SSL이 적용된 웹사이트는 https:// 로 접속한다.
등록된 댓글이 없습니다.
59. 다음 중 버퍼 오버플로우에 취약한 함수가 아닌 것은?
- ① strcpy
- ② fgets
- ③ getbyhostname
- ④ scanf
ANO2022. 6. 16. 10:15삭제
BOF 취약 함수
strchar, strcpy, gets, scanf, sscanf, vscanf, vsscanf, sprintf, vsprintf, gethostname
60. 문제복원 중
- ① 문제복원 중
- ② 문제복원 중
- ③ 문제복원 중
- ④ 문제복원 중
등록된 댓글이 없습니다.
61. 다음은 블록 암호의 운영 모드에 관한 설명이다. 지문에서 설명하는 운영 모드는? 이전 암호 알고리즘의 출력을 암호화하여 평문과 XOR한다. 즉 평문에 대한 직접 암호화는 이루어지지 않는다. Initial Vector를 사용하지만 오류의 파급은 없다. 암호문을 동일하게 한번 더 암호화하면 복호화된다.
- ① ECB
- ② CBC
- ③ CFB
- ④ OFB
ANO2022. 6. 16. 10:44삭제
ECB 모드 (전자부호표모드): 평문은 N개의 n비트 블록으로 분할된다.
평문의 마지막 블록에는 다른 블록들과 동일한 크기로 만들기 위하여 덧붙이기(패딩)이 필요하다. 각각의 블록을 암호화 혹은 복호화하기 위하여 사용되는 키는 동일
장점 : 블록간 독립성, 다수 블록의 암복호화를 병력적으로 수행, 오류가 다른 블록에 영향을 주지않음.
단점: 평문 블록 패턴과 암호문 블록 패턴이 동일하게 유지
CBC모드 : CBC 모드에서 각각의 평문 블록은 암호화 되기 전에 이전 암호문 블록과 XOR 된다.(OFB= 평문과XOR, CBC = 이전암호문블록과XOR),3DES,DEF,AES,에서사용
CFB모드: 어떤 블록 암호도 스트림 암호로 바꿀 수 있다. 패딩을 할 필요가 없으며 실시간으로 사용할 수 있다.(비동기식 스트림암호)
OFB모드: ECB,CBC,CFB모드를 개선한 동작모드, 암호기의 출력과 평문을 EX-OR하여 암호문을 생성하고 있으므로 오류전파가 발생하지 않음, 평문에 직접 암호화는 이루어지지않는다, 암호문을 동일하게 한번더 암호화하면 복호화된다.
62. 다음 중 자동화된 위험분석도구의 특성으로 볼 수 없는 것은?
- ① 일반적인 위험 분석 요구사항과 절차를 자동화한 도구를 말한다.
- ② 인력만으로 분석하는 것에 비해 시간과 비용을 감소시킬 수 있다.
- ③ 인적 분석에 비해 실수로 인한 오차 줄일수 있어 신뢰도가 높다.
- ④ 분석에 필요한 입력값을 정확히 넣지 않으면 잘못된 결과가 도출된다.
등록된 댓글이 없습니다.
63. 단순 치환 암호를 분석하고자 한다. 가장 간편하고 효과적인 방법은?
- ① 선형 공격
- ② 차분 공격
- ③ 전수 공격
- ④ 통계적 분석
등록된 댓글이 없습니다.
64. 문제복원 중
- ① 문제복원 중
- ② 문제복원 중
- ③ 문제복원 중
- ④ 문제복원 중
등록된 댓글이 없습니다.
65. 다음에서 설명하는 접근통제 모델로 알맞은 것은? 미 국방부 지원 보안 모델로 보안 요소 중 기밀성을 강조한 모델이다. 최초의 수학적 모델로 강제적 정책에 의해 접근을 통제한다. 보안 정책은 정보가 높은 레벨에서 낮은 레벨로 흐르는 것을 방지하며 No Read Up, No Write Down으로 표현된다.
- ① 비바 모델
- ② 벨-라파툴라 모델
- ③ 만리장성 모델
- ④ 클락윌슨 모델
ANO2022. 6. 16. 10:58삭제
-MAC(강제적 접근 통제)-
비바모델(비바무결성모델)
: 무결성을 위한 최초의 상업적 모델, 비인가자에의한 데이터 변형 방지만 취급(변조방지를목적)
벨-라파툴라 모델
:기밀성을 강조하고 최초의 수학적모델,
단순 보안속성(No read Up): 주체는 같거나 낮은 계층만 읽을 수 있다.
성형 보안 속성(No write Down):주체는 같거나 높은 계층만 쓸 수 있다.
특수 속성 규칙(Storg star propery rule) : 주체는 동일레벨에서 읽기 쓰기가 가능하다.
만리장성모델
:사용자의 이전 동작에 따라 변화할 수 있는 접근 통제를 제공
클락-윌슨 무결성 모델
:무결성 중심의 상업적 모델, 사용자가 직접 개체에 접근할 수 없고 프로그램을 통해서만 객체에 접근할 수 있게 하는 보안 모델
66. 전자상거래에서 이용자간 안전한 거래를 위한 방법으로, 아래 지문에서 설명하는 방식을 무엇이라 하는가? 중개 업체에서 구매자의 대금을 받아서 보관하고 있다가 판매자가 물건을 발송하고 구매자가 물건을 정상적으로 수령한 경우 판매자에게 대금을 지급한다. 이 과정에서 일정량의 수수료를 수취한다.
- ① Escrow
- ② PG
- ③ ZeroPay
- ④ SET
ANO2022. 6. 16. 11:10삭제
Escrow : 판매자와 구매자 사이에 신뢰할 수 있는 중립적인 제3자가 중개하여 금전 또는 물품 거래를 하도록 하는 것, 거래의 안전성을 확보하기 위해 이용된다.
PG(전자지급결제대행) : 온라인 상점에서 상품과 서비스 판매 시, 고객이 신용카드 및 다양한 결제수단을 이용하여 안전하게 결제할 수 있도록 지원하는 서비스
ZeroPay : 정부에서 소상공인 결제 수수료를 거의 줄이기 위해 금융회사, 결제회사와 공동으로 시행하는 qr코드기반 모바일 간편 결제 서비, 앱
SET : 지불정보를 안전하고 비용효과적으로 처리할 수 있도록 규정한 프로토콜
지불시스템에 대한 기술 표준
67. ISMS-P에 대한 설명으로 옳지 않은 것은?
- ① 한국인터넷진흥원에서 제도 운영을 담당한다.
- ② 3개 분류에서 총 102개 항목을 심사한다.
- ③ 인증심사기관 지정 유효기간은 5년이며, 6개월 전에 갱신 신청을 해야 한다.
- ④ ISMS-P가 아닌 ISMS만 취득하고자 할 경우 일부 항목에 대한 평가는 생략된다.
ANO2022. 6. 16. 11:14삭제
ISMS 인증의 유효기간은 3년, 3년 주기로 갱신 심사를 진행해야함, 인증발급 이후 매년 사후심사
68. 암호화 등에 사용되는 해시는 동일한 출력을 산출하는 서로 다른 두 입력을 계산적으로 찾기가 어려워야 한다. 이러한 특성을 무엇이라 부르는가?
- ① 일방향성
- ② 해시 무결성
- ③ 역상 저항성
- ④ 충돌 저항성
등록된 댓글이 없습니다.
69. 다음 보기 중 인증 방식과 그에 대한 예시가 잘못 연결된 것은?
- ① 존재 기반 : 지문, OTP
- ② 소유 기반 : 스마트카드, 신분증
- ③ 지식 기반: 패스워드, ID
- ④ 위치기반: IP, 콜백함수
등록된 댓글이 없습니다.
70. 다음 보기 중 [Active Attack] - [Passive Attack]으로 짝지어진 것은?
- ① 트래픽 분석 - 도청
- ② 데이터 삭제 - 데이터 삽입
- ③ 메시지 변조 - 트래픽 분석
- ④ 도청 - 메시지 변조
등록된 댓글이 없습니다.
71. 방송통신위원회에서 바이오정보 보호 가이드라인을 발간하였다. 가이드라인과 내용과 다른 것을 2가지 고르시오. a. 루팅이나 탈옥 등 모바일 취약점에 대비하기 위해 바이오 샘플은 안전한 하드웨어 장치에 보관하여야 한다. b. 생체정보 인증 실패는 횟수 제한을 두지 말고, 비밀번호에 실패 횟수 제한을 둬야 한다. c. 바이오인증 성능 지표인 FAR의 충족 기준 비율은 5%미만이다. d. 스마트폰 기기에서 바이오인증 취약점이 발견되는 즉시 대응해야 한다.
- ① a, b
- ② b, c
- ③ c, d
- ④ a, d
등록된 댓글이 없습니다.
72. 다음 중 DRM(Digital Rights Management)에 관한 설명 중 틀린 것은?
- ① 디지털 자산을 보호하는 기술로, 대표적으로 문서를 암호화하는 기술이 포함된다.
- ② 전자문서, 음악, SW, E-Book 등 모든 전자적 형태의 컨텐츠가 보호 대상에 포함된다.
- ③ 인가된 사용자만 접근할 수 있도록 자산을 암호화하거나 접근 통제를 적용한다.
- ④ 과거의 IP기반 접근통제가 확장되어 MAC 주소 기반으로 접근제어가 이루어진다.
등록된 댓글이 없습니다.
73. 네트워크 접속 시 단말의 보안정책 준수 여부 등을 검사하여 접속 허용 여부 등을 관리하는 단말 보안 솔루션은?
- ① NAC
- ② DLP
- ③ NAT
- ④ WAF
등록된 댓글이 없습니다.
74. 키 분배 문제를 해결할 수 있는 방법에 해당하지 않는 것은?
- ① 키 배포 센터에 의한 해결
- ② 디피-헬만 키 교환 방법에 의한 해결
- ③ 전자서명에 의한 해결
- ④ 공개키 암호에 의한 해결
등록된 댓글이 없습니다.
75. 다음 중 전자상거래 보안과 가장 관련이 적은 것은?
- ① ebXML
- ② SET
- ③ SSL
- ④ EMV
등록된 댓글이 없습니다.
76. 암호문에 대응하는 평문 일부를 사용하는 암호 공격 방법은?
- ① 암호문 단독 공격
- ② 기지 평문 공격
- ③ 선택 평문 공격
- ④ 선택 암호문 공격
등록된 댓글이 없습니다.
77. 메시지의 무결성 보장과 송신자에 대한 인증을 목적으로 공유 비밀키와 메시지로부터 만들어지는 것은?
- ① 의사 난수
- ② 메시지 인증 코드
- ③ 해시
- ④ 인증서
등록된 댓글이 없습니다.
78. 문제복원 중
- ① 문제복원 중
- ② 문제복원 중
- ③ 문제복원 중
- ④ 문제복원 중
등록된 댓글이 없습니다.
79. 한 번의 인증으로 모든 시스템에 로그인되도록 할 경우 해당 인증이 침해될 경우 모든 시스템이 위험해지는 단점이 있다. 이러한 취약성을 무엇이라고 하는가?
- ① SPF(Single Point of Failure)
- ② SSO(Single Sign On)
- ③ OSMU(One Source Multi Use)
- ④ Credential Stuffing
ANO2022. 6. 16. 12:51삭제
SSO의 문제점중 하나, 하나의 SSO서버를 사용할 경우 네트워크의 단일장애점이됨.
80. 공개키 암호화 구조에서 송신자는 수신자에게 정보를 암호화하여 전송하기 위해 어떤 암호를 사용해야 하는가?
- ① 송신자의 공개키
- ② 송신자의 개인키
- ③ 수신자의 공개키
- ④ 수신자의 개인키
등록된 댓글이 없습니다.
81. 다음중 기술적 보호조치와 가장 거리가 먼 것은?
- ① 인증된 사람만 시스템에 접근 가능하도록 접근권한을 설정하고 관리한다.
- ② 위탁, 외주개발에 따라 발생할 수 있는 위험을 미리 분석하고 규정을 정비한다.
- ③ 인가되지 않은 보조저장매체를 사용할 수 없도록 차단한다.
- ④ 해킹 등 침해사고 발생 위험을 분석하고 그에 따른 대응방안을 마련해놓는다.
등록된 댓글이 없습니다.
82. 다음 중 정보통신기반보호위원회의 역할이 아닌 것은?
- ① 주요정보통신기반시설 지정 및 취소
- ② 주요정보통신기반시설 보호 계획 조정
- ③ 주요정보통신기반시설 관련 제도 개성
- ④ 주요정보통신기반시설 정보보호 대책 수립
등록된 댓글이 없습니다.
83. 다음 중 공인인증서의 폐지 사유가 아닌 것은?
- ① 가입자 또는 그 대리인이 공인인증서의 폐지를 신청한 경우
- ② 공인인증서의 유효기간이 경과한 경우(답)
- ③ 가입자가 사위 기타 부정한 방법으로 공인인증서를 발급받은 사실을 인지한 경우
- ④ 가입자의 전자서명생성정보가 분실ㆍ훼손 또는 도난ㆍ유출된 사실을 인지한 경우
등록된 댓글이 없습니다.
84. 다음 중 취약점 분석이 가능한 기관으로 가장 거리가 먼 곳은?
- ① 한국정보화진흥원
- ② 정보공유분석센터
- ③ 지식정보컨설팅업체
- ④ 한국전자통신연구원
등록된 댓글이 없습니다.
85. 다음 중 정보공유분석센터에 대한 설명 중 옳지 않은 것은?
- ① 정보통신기반보호법에 근거하여 역할을 가진다.
- ② 해킹 시도나 바이러스에 대한 정보를 수집하여 분석한다.
- ③ 여러 참가기관 간 정보를 연계하거나 공유한다.
- ④ 정보통신분야는 KISA, 금융분야는 금융보안원이 수행한다.
등록된 댓글이 없습니다.
86. 다음 중 정량적 위험분석 기법으로 보기 어려운 것은?
- ① 과거자료분석법
- ② 수학공식접근법
- ③ 확률분포법
- ④ 델파이법
등록된 댓글이 없습니다.
87. 디지털 포렌식에 관하여 아래 지문에서 설명하는 것은? 증거물 수집부터 제출(증거획득 → 이송 → 분석 → 보관 → 법정제출)까지의 각 단계에서 담당자 및 책임자를 명확히 해야 한다.
- ① 재현의 원칙
- ② 독수 독과 이론
- ③ 연계 보관성의 법칙
- ④ 무결성의 원칙
등록된 댓글이 없습니다.
88. 다음 중 위험의 3요소에 해당하지 않는 것은?
- ① 자산
- ② 취약점
- ③ 위협
- ④ 정책
등록된 댓글이 없습니다.
89. 다음 지문에 해당하는 위험관리 방법으로 옳은 것은? 정보보호 점검 과정에서 기업내 자료 전송간 유출 위험이 탐지되었다. 이에 암호화 솔루션을 구매하여 전송 구간을 암호화하였다.
- ① 위험 수용
- ② 위험 감소
- ③ 위험 회피
- ④ 위험 전가
등록된 댓글이 없습니다.
90. 다음 중 개인정보 처리방침에 의무적으로 포함되어야 할 내용이 아닌 것은?
- ① 개인정보 처리 및 보유 기간
- ② 개인정보 침해 시 구제 방안
- ③ 개인정보의 제3자 제공에 관한 사항
- ④ 개인정보 보호책임자 및 조직 정보
등록된 댓글이 없습니다.
91. 정보보호 대책 마련과 관련된 절차이다. 올바른 순서대로 나열한 것은? ㄱ. 위험관리 ㄴ. 경영진 책임 및 조직 구성 ㄷ. 사후관리 ㄹ. 정보보호대책 수립 ㅁ. 정책 수립 및 범위 설정
- ① ㄱ-ㄴ-ㄷ-ㄹ-ㅁ
- ② ㄴ-ㄱ-ㄹ-ㅁ-ㄷ
- ③ ㄷ-ㄱ-ㄴ-ㅁ-ㄹ
- ④ ㅁ-ㄴ-ㄱ-ㄹ-ㄷ
등록된 댓글이 없습니다.
92. 클라우드 시스템 운영 중 사고가 발생하였다. 다음 대응 방법 중 틀린 내용은?
- ① 개인정보가 유출되었음을 알게 되었을 경우 지체없이 해당 정보주체에게 알린다.
- ② 1천명 이상의 개인정보가 노출된 경우 통지 및 조치 결과를 개인정보보호위원회에 신고한다.
- ③ 개인정보처리시스템의 예기치 않은 시스템 중단이 발생한 경우 한국인터넷진흥원에 보고한다.
- ④ 중대한 침해사고가 발생할 경우 과학기술정보통신부장관에게 지원을 요청할 수 있다.
등록된 댓글이 없습니다.
93. 다음은 정보통신망법과 관련법률간 관계에 대한 설명이다. 아래 빈칸에 들어갈 말을 바르게 나열한 것은? ㅇ 정보통신망 이용촉진 및 정보보호등에 관하여는 다른 법률에서 특별히 규정된 경우 외에는 이 법으로 정하는 바에 따른다. ㅇ 만약 통신과금서비스에 관하여 이 법과 ( A )의 적용이 경합하는 때에는 ( B )을 우선 적용한다. ㅇ ( C )의 개정에 따라 개인정보 보호에 관련한 조항은 본 법에서 삭제되었다.
- ① 전자상거래법 - 전자상거래법 - 정보화진흥법
- ② 전자상거래법 - 정보통신망법 - 개인정보 보호법
- ③ 전자금융거래법 - 전자금융거래법 - 정보화진흥법
- ④ 전자금융거래법 - 정보통신망법 - 개인정보 보호법
ano2022. 6. 16. 14:08삭제
통신과금 서비스에 관하여 정보통신망법과 전자금융거래법의 적용이 경합하는 떄에는 정보통신망법을 우선 적용한다.
94. 개인정보 보호책임자와 관련된 설명이다. 옳지 않은 것을 고르시오.
- ① 개인정보 보호책임자는 기업의 임원이 수행함이 원칙이다.
- ② 개인정보 보호책임자를 별도로 지정하지 않으면 정보보호 최고책임자가 개인정보 보호책임자가 된다.
- ③ 임원이 없는 기업의 경우 관련 부서장이 개인정보 보호책임자로 임명될 수 있다.
- ④ 개인정보 보호책임자는 정당한 업무 수행에 따른 불이익을 받지 않는다.
등록된 댓글이 없습니다.
95. 다음 중 개인정보 보호 관련 법제에서 개인정보 제공 정보주체의 권리로 가장 거리가 먼 것은?
- ① 개인정보의 처리에 관한 정보를 제공받을 권리
- ② 개인정보의 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리
- ③ 개인정보의 처리로 인하여 발생한 피해를 신속하고 공정한 절차에 따라 구제받을 권리
- ④ 개인정보 활용으로 얻은 금전적 이익에 대한 보상을 청구할 권리
등록된 댓글이 없습니다.
96. 다음 중 전자서명법에서 정의한 용어와 다른 것은?
- ① 전자문서: 전자적 형태로 작성되어 송신 또는 수신되거나 저장된 정보
- ② 전자서명: 서명자가 전자문서에 서명을 하였음을 나타내기 위하여 전자문서에 첨부되거나 논리적으로 결합된 전자적 형태의 정보
- ③ 검증정보: 전자서명을 생성하기 위하여 이용하는 전자적 정보
- ④ 공인인증업무: 공인인증서의 발급, 인증관련 기록의 관리등 공인인증역무를 제공하는 업무
ㅁ2022. 11. 9. 16:59삭제
전자서명생성정보: 전자서명을 생성하기 위하여 이용하는 전자적 정보
97. 재해 및 재난에 대비하기 위한 설비 중 전산센터와 동일한 설비와 자원을 보유하며, 데이터를 동기화 받으며 항상 stand-by 상태로 있다가 유사 시 수 시간 이내에 전환 가능한 설비는?
- ① 핫 사이트
- ② 웜 사이트
- ③ 콜드 사이트
- ④ 미러 사이트
ANO2022. 6. 16. 15:10삭제
핫 사이트 : 주 센터와 동일한 수준의 정보 기술 자원을 대기 상태(Standard)로 사이트에 보유하면서, 동기적 또는 비동기적 방식으로 실시간 미러링을 통하여 데이터를 최신으로 유지
웜 사이트 : 핫사이트와 유하사나 중요성이 높은 정보기술자원만 부분적으로 재해복구 센터에 보유하는 방식이다.
콜드 사이트 : 데이터만 원격지에 보관, 재해시에 데이터를 근간으로 필요한 정보자원을 조달하여 복구하는 방삭이다.
미러 사이트 : 주 센터와 동일한 수준의 정보 기술 자원을 원격지에 구축, 모두 액티브 상태로 실시간 동시 서비스를 하는 방식
98. 개인정보 영향평가 시 반드시 고려해야 할 사항이 아닌 것은?
- ① 처리하는 개인정보의 수
- ② 개인정보의 제3자 제공 여부
- ③ 정보주체의 권리를 해할 가능성 및 그 위험 정도
- ④ 개인정보 수탁자에 대한 관리 감독
ANO2022. 6. 16. 15:14삭제
1. 처리하는 개인정보의 수
2. 개인정보의 제3자 제공 여부
3. 정보주체의 권리를 해할 가능성 및 그 위험 정도
4. 민감정보 또는 고유식별정보의 처리 여부
5. 개인정보 보유기간
99. 다음 중 데이터베이스와 관련된 조직 구성원들의 역할로 가장 옳지 못한 것은?
- ① 최고 경영자 또는 최고 정보보호 책임자가 보안의 최종 책임을 진다.
- ② 정보보호 관리조직은 데이터 관리자에게 지침을 내리고 데이터 보안을 지원한다,
- ③ 데이터 관리조직은 민감 데이터와 일반 데이터를 분류하고, 데이터의 정확성과 무결성을 보장한다.
- ④ 정보보호위원회는 독립된 권한을 가지고 보안정책의 이행여부를 검토하고 미흡사항에 대한 조치 필요사항을 통지한다.
등록된 댓글이 없습니다.
100. 각종 재해, 재난 및 기타 장애로부터의 피해를 최대한 경함하고 빠르게 대응 및 복구하기 위한 지침으로 아래와 같은 내용이 포함된다. 이 지침은 무엇인가? - 재해 예방 - 대응 계획 - 복구 계획 - 모의 훈련
- ① 재해복구 훈련 지침
- ② 위험 관리 지침
- ③ 업무 연속성 관리 지침
- ④ 침해사고 대응 지침
등록된 댓글이 없습니다.