정보보안기사(2022. 6. 25.) 시험일자 : 2022년 6월 25일
1과목 : 시스템 보안
1. 서버 시스템의 접근통제 관리에 대한 설명으로 틀린 것은?
- ① 윈도우 시스템 이벤트에는 시스템, 어플리케이션, 보안 이벤트가 있으며 감사로그는 제어판-관리도구-로컬보안설정-감사정책에서 각각 설정할 수 있다.
- ② 윈도우 시스템은 도메인 환경에서 사용자 인증을 위하여 레지스트리가 익명의 사용자에 의해 접근할 수 있도록 설정하여야 한다.
- ③ iptables, tcp wrapper 도구를 사용하면 서버 시스템의 네트워크 접근통제 기능을 설정할 수 있다.
- ④ Unix 서버 시스템에서 불필요한 파일에 설정된 SUID와 SGID 비트를 제거하여 실행 권한이 없는 프로그램의 비인가된 실행을 차단하여야 한다.
등록된 댓글이 없습니다.
2. 다음은 passwd 파일 구조를 나타내는 그림이다. “G”가 의미하는 것은?
- ① 홈디렉터리 위치
- ② 지정된 셸(Shell)
- ③ 패스워드
- ④ 설명
등록된 댓글이 없습니다.
3. 안드로이드 adb를 통해 접속 후 쓰기 가능한 디렉터리는?
- ① /system/
- ② /data/app
- ③ /data/local/tmp/
- ④ /bin/
등록된 댓글이 없습니다.
4. 다음 문장에서 설명하는 공격 위협은?
- ① XPath 인젝션
- ② 디렉터리 인덱싱
- ③ 운영체제 명령 실행
- ④ 정보 누출
등록된 댓글이 없습니다.
5. 인증 장치에 대한 설명으로 옳은 것은?
- ① USB 메모리에 디지털 증명서를 넣어 인증 디바이스로 하는 경우 그 USB 메모리를 접속하는 PC의 MAC 어드레스가 필요하다.
- ② 성인의 홍채는 변화가 없고 홍채 인증에서는 인증 장치에서의 패턴 갱신이 불필요하다.
- ③ 정전용량 방식의 지문인증 디바이스 LED 조명을 설치한 실내에서는 정상적으로 인증할 수 없게 될 가능성이 높다.
- ④ 인증에 이용되는 접촉형 IC 카드는 카드 내의 코일의 유도 기전력을 이용하고 있다.
ㅇㅇ2024. 6. 21. 00:23삭제
개개인 고유의 특징을 지닌 홍채가 변하게 되는 경우도 있 을까요? 일반적인 경우, 생후 18개월 정도 지나면 홍채 모 양이 고정이 되기 때문에 고유한 무늬로서 모두에게 적용 할 수 있다고 봅니다. https://m.post.naver.com/viewer/postView.naver?volumeNo=33285851&memberNo=46004708
algisa2024. 3. 2. 18:10삭제
해설과 답이 서로 일치 하지 않습니다.
6. 컴퓨터 시스템에 대한 하드닝(Hardening) 활동으로 틀린 것은?
- ① 사용하지 않는 PDF 소프트웨어를 제거하였다.
- ② 시스템 침해에 대비하여 전체 시스템에 대한 백업을 받아두었다.
- ③ 운영체제의 감사 기능과 로깅 기능을 활성화하였다.
- ④ 운영체제 보안 업데이트를 수행하였다.
등록된 댓글이 없습니다.
7. 다음 문장에서 설명하는 기억 장치의 메모리 반입 정책은?
- ① 최초 적합(First fit)
- ② 최상 적합(Best fit)
- ③ 최악 적합(Worst fit)
- ④ 다음 적합(Next fit)
카리스마김2024. 3. 4. 17:55삭제
□ 기억장치 메모리 할당기법
∘ 정의 : 기억장소에 프로그램이나 데이터가 들어올 경우 기억장소의 위치를 결정
‐ 최적 적합(Best Fit) : 입력된 프로그램을 수용할 수 있는 공간 중 가장 작은 공간을 할당
‐ 최초 적합(First Fit) : 입력된 프로그램을 수용할 수 있는 공간 중 가장 먼저 발견된 공간을 할당
‐ 최악 적합(Worst Fit) : 입력된 프로그램을 수용할 수 있는 공간 중 가장 큰 공간을 할당
8. 악성프로그램에 대한 설명으로 틀린 것은?
- ① 바이러스 : 한 시스템에서 다른 시스템으로 전파하기 위해서 사람이나 도구의 도움이 필요한 악성프로그램이다.
- ② 웜 : 한 시스템에서 다른 시스템으로 전파하는데 있어서 외부의 도움이 필요하지 않은 악성프로그램이다.
- ③ 백도어 : 사용자의 동의없이 설치되어 컴퓨터 정보 및 사용자 개인정보를 수집하고 전송하는 악성프로그램이다.
- ④ 논리 폭탄 : 합법적 프로그램 안에 내장된 코드로서 특정한 조건이 만족되었을 때 작동하는 악성 코드이다.
등록된 댓글이 없습니다.
9. 다음은 SUID 프로그램이 일반 권한에서 관리자 권한으로 상승하여 처리하는 정상적인 과정을 나타내고 있다. 심볼릭 링크를 이용한 레이스 컨디션 공격이 실행되는 단계는?
- ① 1단계
- ② 2단계
- ③ 3단계
- ④ 4단계
등록된 댓글이 없습니다.
10. 다음은 IDS Snort Rule이다. Rule이 10~11번째 2바이트의 값이 0xFFFF인지를 검사하는 Rule이라 할 때 ㉠~㉢의 올바른 키워드는 무엇인가?
- ① ㉠ : value, ㉡ : offset, ㉢ : content
- ② ㉠ : value, ㉡ : content, ㉢ : offset
- ③ ㉠ : content, ㉡ : depth, ㉢ : offset
- ④ ㉠ : content, ㉡ : offset, ㉢ : depth
카리스마김2024. 3. 4. 19:08삭제
∘ flow : 전송되는(to_server , to_client , from_server , from_client )패킷지정
∘ content : 전송하는 페이로드(Payload)를 검색해서 지정한 문자열이 있는지 확인
‐ 검색 문자열 지정은 단순 문자열과 바이너리 문자열로 지정할 수 있음
(content:"문자열" : text형식의 해당 문자열 검사)
‐ 단순 문자열은 대문자와 소문자를 구분
‐ 바이너리 문자열은 16진수를 사용
(content:"|00 11|" : 바이너리형식의 해당 값 검사)
∘ offset : 검사 시작 위치 ( offset은 0부터 시작 )
∘ depth : 검사 시작 위치 기준으로 몇 바이트 검사 할 것인지 결정
11. 매크로 바이러스에 대한 설명으로 틀린 것은?
- ① 플랫폼과 무관하에 실행된다.
- ② 주로 이메일을 통해 감염된다.
- ③ 문서 파일의 기능을 악용한다.
- ④ EXE 형태의 자동화된 기능을 포함한다.
등록된 댓글이 없습니다.
12. Window에서 파일이 삭제된 직후 일정 시간(기본 15초)안에 동일한 이름의 파일이 생성되는 경우 방금 삭제된 파일의 테이블 레코드를 재사용하는 경우가 있다. 이러한 특징을 갖는 기능은?
- ① 파일시스템 터널링(File system tunneling)
- ② Shellbags
- ③ 윈도우 파일 프로텍션
- ④ 타임스톰핑
등록된 댓글이 없습니다.
13. 리눅스 Capabilities에서 실행 바이너리에 커널 모듈을 올리거나 내릴 수 있는 권한을 할당할 수 있는 Capability는 무엇인가?
- ① CAP_CHOWN
- ② CAP_AUDIT_CONTROL
- ③ CAP_SYS_MODULE
- ④ CAP_MAC_ADMIN
등록된 댓글이 없습니다.
14. 다음 중 로그의 성격이 다른 것은?
- ① 데이터베이스 로그
- ② 웹서버 로그
- ③ 메일서버 로그
- ④ 유닉스 계열의 syslog
등록된 댓글이 없습니다.
15. 윈도우 운영체제의 레지스트리에 대한 설명으로 틀린 것은?(문제 오류로 확정답안 발표시 3, 4번이 정답처리 되었습니다. 여기서는 3을 누르시면 정답 처리 됩니다.)
- ① 시스템 구성정보를 저장하는 데이터베이스로 SYSTEM.DAT, USER.DAT 파일을 말한다.
- ② 레지스트리는 regedit.exe 전용 편집기에 의해서만 편집이 가능하다.
- ③ 윈도우 레지스트리 키는 HKEY_CLASS_ROOT, HKEY_CURRENT_USER, HKEY_LOCAL_MACHINE, HKEY_USERS, HKEY_CURRENT_CONFIG 등이 있다.
- ④ 레지스트리 백업 및 복구는 shell.exe를 구동하여 행한다.
파이톤2024. 6. 16. 15:44삭제
해설) HKEY_CLASS_ROOT가 아니라 HKEY_CLASSES_ROOT 입니다.
16. 대부분의 응용 프로그램에서 생성된 파일은 그 응용 프로그램이 생성한 파일임을 인식할 수 있도록 항상 동일한 몇 바이트를 파일 내부의 특정 위치에 가지고 있다. 특정위치의 고정값이 의미하는 것은?
- ① 시그니처(Signature)
- ② 확장자(Extensions)
- ③ 메타데이터(Metadata)
- ④ 레코드(Record)
등록된 댓글이 없습니다.
17. 다음 그림은 a.a.a.a 시스템에서 UDP 패킷을 TTL=1부터 하나씩 늘려가면서 b.b.b.b로 전송하고, TTL=4일 때 b.b.b.b 시스템에 UDP 패킷이 도달하고 ICMP Port Unreachable(Type 3) 패킷이 a.a.a.a 시스템으로 돌아왓다. 무엇을 하기 위한 과정인가?
- ① ICMP scan
- ② traceroute
- ③ ping
- ④ UDP scan
카리스마김2024. 3. 4. 20:00삭제
□ 경로추적(traceroute)
∘종단(End) 노드 사이에 있는 여러 중계 노드 각 구간에 대한 네트워크 상태를 관리하기 위한 명령어로 네트워크의 라우팅 문제점을 찾아내는 목적으로 많이 사용
∘동작 원리
‐ 패킷의 TTL(Time to Live)을 하나씩 증가시켜 보낸다.
‐ Unreachable Port라는 ICMP 메시지를 받으면 trace가 목적지에 도달했음을 알 수 있다.
‐ 우연히 도달하는 것을 방지하기 위해 정확히 3개의 UDP 패킷을 보낸다.
‐ traceroute 결과에서 응답시간이 *로 표시되는 경우 침입차단시스템 등의 접근통제 리스트에 의해 traceroute의 UDP 패킷이 보안상이 이유로 차단되었거나 실제 해당 구간에 문제가 발생한 경우이다
18. 다음 문장에서 설명하는 Window 시스템의 인증 구성 요소는?
- ① LSA(Local Security Authority)
- ② LAM(Local Authentication Manager)
- ③ SAM(Security Account Manager)
- ④ SRM(Security Reference Monitor)
카리스마김2024. 3. 4. 20:05삭제
윈도우 인증과정에서 사용되는 주요 서비스에는 LSA(Local Security Authority), SAM(Security Account Manager), SRM(Security Reference Monitor) 등이 있다.
□ LSA (Local Security Authority)
∘ 모든 계정의 로그인에 대한 검증 및 시스템 자원(파일 등)에 대한 접근 권한을 검사(로컬 및 원격 로그인 포함)
∘ 계정명과 SID(Security ID)를 매칭하며 SRM이 생성한 감사 로그를 기록
∘ NT 보안의 중심 서비스이며 보안 서브시스템(Security Subsystem)이라 불림
□ SAM(Security Account Manager)
∘ 사용자/그룹 계정 정보에 대한 데이터베이스를 관리
∘ 사용자 로그인 정보와 SAM 파일에 저장된 사용자 패스워드 정보를 비교해 인증 여부를 결정
∘ SAM 파일은 사용자, 그룹 계정 및 암호화된 패스워드정보를 저장하고 있는 데이터베이스로 윈도우 설치 디렉터리에 위치하고 있다
□ SRM(Security Reference Monitor)
∘ 인증된 사용자에게 SID(Security ID)를 부여
∘ SID를 기반으로 하여 파일이나 디렉터리에 대한 접근을 허용할지 여부를 결정하고 이에 대한 감사 메시지를 생성
19. BIOS에 대한 설명으로 틀린 것은?
- ① 하드디스키의 구성, 종류, 용량을 확인할 수 있다.
- ② 전원이 공급되지 않으면 정보가 유지되지 않는다.
- ③ 운영체제와 하드웨어 사이의 입출력을 담당하는 펌웨어이다.
- ④ BIOS에 저장된 시스템 시간은 포렌식 관점에서 중요하다.
카리스마김2024. 3. 4. 20:10삭제
전원이 공급되지 않더라도 정보가 유지될 수 있습니다. 예를 들어, 데이터는 배터리 또는 대체 전원 공급 장치로 지원되는 장치에 저장될 수 있습니다. 또는 데이터가 비 휘발성 메모리에 저장되어 전원이 다시 공급될 때까지 유지될 수도 있습니다. 따라서 전원이 공급되지 않더라도 정보가 손실되지 않을 수 있습니다.
algisa2024. 3. 3. 11:41삭제
2. bios에 전원이 공급되지 않더라도 정보가 유지된다
20. 다음 중 인증의 방법이 아닌 것은?
- ① 당신이 알고 있는 것(Something You Know)
- ② 당신이 위치를 알고 있는 곳(Somewhere You Know)
- ③ 당신이 가지고 있는 것(Something You Have)
- ④ 당신 모습 자체(Something You Are)
등록된 댓글이 없습니다.
2과목 : 네트워크 보안
21. 패킷 필터링을 위한 규칙에 대한 설명으로 틀린 것은? (단, 서비스에 사용되는 포트는 기본값이며, Internal은 내부, External은 외부 네트워크를 의미한다.)
- ① 내부에서 외부로 나가는 웹 서비스에 대해서 허용한다.
- ② 서버(169.168.2.25)로 FTP 서비스 연결은 어디에서나 가능하나 데이터 전송은 원활하게 이루어지지 않을 수 있다.
- ③ 필터링 규칙에 명시하지 않은 모든 프로토콜에 대해서는 거부한다.
- ④ 서버(169.168.10.10)로 DNS 서비스는 내부에서 이용이 가능하나 Message 정보가 512 바이트보다 클 경우에는 허용하지 않는다.
lover42024. 9. 21. 17:52삭제
dns 서비스의 경우 udp 일때는 512 바이트로 크기가 제한 되지만(그 이상 크기는 보낼 수 없음) tcp로 되어 있어 그 이상도 보낼 수 있다는 것일 거 같네요. 그래서 4번 보기가 틀린 것.
파이톤2024. 6. 16. 15:53삭제
512바이트보다 작을 경우에는 허용되지 않는다. (UDP이기 때문)
22. UDP Flooding의 대응 방안으로 틀린 것은?
- ① 미사용 프로토콜 필터링
- ② 도착지 IP별 임계치 기반 차단
- ③ 패킷 크기 기반 차단
- ④ Anycast를 이용한 대응
그르2024. 9. 11. 11:23삭제
도착지 IP가 아니라 발신지 IP로 수정해야 맞는표현
23. 클라우드 시스템 및 서비스와 관련한 보안 측면의 설명으로 틀린 것은?
- ① 클라우드 서비스를 구동하기 위해 필수적인 가상화 시스템 내 하이퍼바이저가 취약할 경우 이를 활용하는 여러개의 가상머신(VM)이 동시에 피해를 입을 가능성을 고려해야 한다.
- ② 기존 네트워크 보안기술(방화벽, IPS/IDS)로는 가상화 내부 영역에 대한 침입탐지가 어렵다.
- ③ 사용자의 가상머신들의 상호 연결되어 내부의 가상머신에서 다른 가상 머신으로서 패킷스니핑, 해킹, DDoS 공격, 악성코드전파 등의 공격 경로가 존재한다.
- ④ 가상화 기술 중 스토리지 가상화와 네트워크 가상화에 보안 위협이 존재하나 메모리 가상화에는 보안 위협이 존재하지 않는다.
등록된 댓글이 없습니다.
24. 다음 중 원격지 서버의 스니핑 모니터링 프로그램인 sentinal을 이용하여 스니퍼를 탐지하는 예시와 그에 대한 의미로 틀린 것은?
- ① ./sentinel –a –t 211.47.65.4 : ARP 테스트
- ② ./sentinel –d –f 1.1.1.1 –t 211.47.65.4 : DNS 테스트
- ③ ./sentinel–e –t 211.47.65.4 : Etherping 테스트
- ④ ./sentinel–t 211.47.65.4 –f 1.1.1.1 –d –a - : 3개의 테스트 중 하나만 테스트
등록된 댓글이 없습니다.
25. 다음 문장의 괄호 안에 들어갈 명령어를 순서대로 나열한 것은?
- ① ㉠ : show process, ㉡ : show controllers, ㉢ : show flash
- ② ㉠ : show process, ㉡ : show controllers, ㉢ : show memory
- ③ ㉠ : show process, ㉡ : show interface, ㉢ : show flash
- ④ ㉠ : show process, ㉡ : show interface, ㉢ : show memory
등록된 댓글이 없습니다.
26. 다음 문장에서 설명하는 해커의 분류는?
- ① Elite
- ② Script Kiddie
- ③ Developed Kiddie
- ④ Lamer
카리스마김2024. 2. 28. 10:34삭제
1. 5등급 라메르(Lamer)
- 해커가 되고 싶긴하나 경험도 없고, 컴퓨터 관련 지식도 많지않은 해커.
- 네트워크나 운영체제에 대한 지식도 없다.
- 와레즈사이트에서 트로이안 목마프로그램이나 DoS공격 툴등을 내려받아 이용하면서 실력있는 해커인것처럼 생각한다.
- 컴퓨터에 지식이 없는채 단순히 해커를 동경하는 사람.
2. 4등급 스크립트 키디(Script Kiddie)
- 네트워크와 운영체제에 대한 약간의 기술적인 지식을 갖고 있는 해커.
- 다만 GUI환경의 운영체제에만 익숙하며 공격 기법도 기존에 잘 알려진 툴 이용하여 인터넷사용자들을 괴롭히는것이 전부.
3. 3등급 디벨롭트 키디(Developed Kiddie)
- 대부분의 해킹 기법을 알고 있다.
- 해킹 수행 코드가 적용될수 있는 취약점을 발견할 때까지여러번 시도해 침투에 성공할수 있는 해커들.
- 보안상의 새로운 취약점 발견하거나 최근에 발견된 취약점을 주어진 상황에 맞게 바꿀 만한 실력은 없다.
4. 2등급세미 엘리트(Semi Elite)
- 컴퓨터에 대한 포괄적인 지식이 있고 운영체제와 네트워크에 대한 지식도 갖추고 있으며, 운영체제에 존재하는 특정 취약점을 알고 이 취약점을 공격할수 있는 해킹 코드를 만들수 있다.
- 하지만 해킹 흔적을 완벽히 지우지 못해 추적당할수 있다.
5. 1등급 엘리트(Elite)
- 컴퓨터, 네트워크, 운영체제, 프로그래밍 등에 대한 포괄적인 지식을 갖추고 있으며, 해킹하고자 하는 시스템의 새로운 취약점 찾아내어 해킹 할 수 있는 최고 수준의 해커다.
- 또한 해킹 한 후 흔적 완벽히 지울수 있어 추적하기 힘들다.
27. SNMP 커뮤니티 스트링에 대한 설명으로 틀린 것은?
- ① 기본적으로 Public, Private으로 설정된 경우가 많다.
- ② 모든 서버 및 클라이언트에서 동일한 커뮤니티 스트링을 사용해야만 한다.
- ③ MIB 정보를 주고 받기 위하여 커뮤니티 스트링을 사용한다.
- ④ 유닉스 환경에서 커뮤니티 스트링 변경은 일반 권한으로 설정한다.
ㅇㅇ2024. 6. 21. 01:05삭제
SNMP Manager 와 SNMP Agent 가 서로 동일한 Community String을 가지고 있어야 통신이 성립됩니다. Community String 이 다르면 통신이 이루어지지 않습니다.
28. TCP 세션 하이재킹의 공격 순서로 옳은 것은?
- ① ㉠→㉡→㉢→㉣→㉤
- ② ㉠→㉣→㉢→㉡→㉤
- ③ ㉠→㉡→㉣→㉢→㉤
- ④ ㉠→㉢→㉣→㉡→㉤
등록된 댓글이 없습니다.
29. 침입탐지 시스템(Intrusion Detection System)의 이상 탐지(anomaly detection) 방법 중 다음 문장에서 설명하는 방법은 무엇인가?
- ① 예측 가능한 패턴 생성(Predictive Pattern Generation)
- ② 통계적 접근법(Statictical Approaches)
- ③ 비정상적인 행위 측정 방법들의 결합(anomaly measures)의 결합
- ④ 특징 추출(Feature Selection)
카리스마김2024. 3. 4. 21:05삭제
① 예측 가능한 패턴 생성(Predictive Pattern Generation)
- 기존의 정상적인 패턴과 현재 사건 간 상호작용을 분석한 후 패턴 범위를 벗어났을 경우 비정상적인 행위로 판단한다.
③ 비정상적인 행위 측정방법들의 결합의 결합
④ 특징 추출 : 이상탐지(행위기반 침입탐지)
- 특정 침입패턴을 추출하는 방법
30. 다음 중 일반적으로 사용되는 서비스와 해당 서비스의 기본 설정 포트연결이 틀린 것은?
- ① SSH(Secure Shell) - 22
- ② SMTP(Simple Mail Transfer Protocol) - 25
- ③ FTP(File Transfer Protocol) - 28
- ④ HTTPS(Hyper-Text Transfer Protocol over Secure layer) - 443
등록된 댓글이 없습니다.
31. 네트워크 도청을 예방하기 위한 대책으로 틀린 것은?
- ① 업무용 무선 AP와 방문자용 AP를 같이 사용한다.
- ② 무선 AP의 비밀번호는 쉽게 예측하지 못하는 안전한 비밀번호로 설정한다.
- ③ 업무용 단말기는 방문자용 AP에 접속하지 않도록 조치한다.
- ④ 중요 정보는 암호화 통신을 이용하여 전송한다.
등록된 댓글이 없습니다.
32. 다익스트라(Dijkstra) 알고리즘을 사용하는 라우팅 프로토콜에 대한 설명으로 틀린 것은?
- ① 대규모 망에 적합한 알고리즘이다.
- ② 커리벡터 알고리즘이다.
- ③ OSPF에서 사용된다.
- ④ 링크상태 알고리즘이다.
등록된 댓글이 없습니다.
33. IPSec을 구축하기 위해 SA를 사용한다. SA 매개변수에 포함되는 내용으로 틀린 것은?
- ① AH Information
- ② Routing Protocol
- ③ IPSec Protocol Mode
- ④ Sequence Number Counter
등록된 댓글이 없습니다.
34. 최근 장시간 악성코드를 잠복시킨 후 일정 시간이 되면 공격을 시도하여 정보 유출 및 내부망 마비 등 피해를 유발시키는 APT 공격이 잦아지고 있다. APT는 무엇의 약자인가?
- ① Advanced Pain Threat
- ② Advanced Post Threat
- ③ Advanced Persistent Target
- ④ Advanced Persistent Threat
등록된 댓글이 없습니다.
35. BYOD(Bring Your Own Device)의 보안 기술 중 다음 문장에서 설명하는 모바일 기기 보안 기술은?
- ① 클라우드 DaaS(Desktop As A Service)
- ② 모바일 가상화(Hypervisors)
- ③ 컨테이너화(Containerization)
- ④ 가상데스크톱 인프라(Virtual Desktop Infrastructure)
할수있다2024. 6. 26. 19:02삭제
문장이 등록되지 않았습니다.
-> 한 개의 모바일 기기에 동일한 OS의 다중 인스턴스를 제공하는 소프트웨어 기반의 방법으로서 업무용과 개인용의 두 모드를 동시에 사용할 수 있도록 하는 기술
36. 다음 문장의 괄호 안에 들어갈 말은?
- ① Duplex Mode
- ② MAC
- ③ Promiscuouse Mode
- ④ ARP
등록된 댓글이 없습니다.
37. 다음 공개 해킹도구 중 사용용도가 다른 도구(소프트웨어)는?
- ① 넷버스(Netbus)
- ② 스쿨버스(Schoolbus)
- ③ 백오리피스(Back Orifice)
- ④ 키로그23(Keylog23)
허2024. 6. 13. 13:59삭제
스쿨버스..라니... 노란색 버스를 말하는줄 알았네요
38. RFID 보안 기술에서 암호 기술을 사용하는 보호대책은?
- ① Kill 명령어 기법
- ② 블로커 태그 기법
- ③ XOR(Exclusive OR) 기반 원타임 패드 기법
- ④ Sleep 명령과 Wake 명령어 기법
등록된 댓글이 없습니다.
39. 포트 스캐너로 유명한 Nmap에서 대상 시스템의 운영체제를 판단할 때 이용하는 기법을 가장 잘 표현하고 있는 것은?
- ① Telnet 접속시 운영체제가 표시하는 고유한 문자열을 분석하는 배너 그래빙(banner grabbing)
- ② 운영체제별로 지원하는 서비스 및 열려 있는 포트의 차이
- ③ 운영체제별로 고유한 식별자 탐지
- ④ TCP/IP 프로토콜 표준이 명시하지 않은 패킷 처리 기능의 운영체제별 구현
등록된 댓글이 없습니다.
40. 리눅스 환경에서 트래픽을 분석하기 위해 MRTG(Multi Router Traffic Grapher)를 사용한다. 다음 중 MRTG를 설치 및 수행하는데 필요없는 프로그램은?
- ① C Compiler
- ② Perl
- ③ Gd Library
- ④ Libpcap
등록된 댓글이 없습니다.
3과목 : 어플리케이션 보안
41. PGP 서비스와 관련하여 디지털 서명 기능을 위해 사용되는 알고리즘은?(문제 오류로 확정답안 발표시 2, 3번이 정답처리 되었습니다. 여기서는 2번을 누르시면 정답 처리 됩니다.)
- ① 3DES
- ② DSS/SHA
- ③ RSA
- ④ Radix-64
등록된 댓글이 없습니다.
42. OTP에 대한 설명으로 틀린 것은?
- ① 의미있는 숫자로 구성된다.
- ② 비밀번호 재사용이 불가능하다.
- ③ 비밀번호 유추가 불가능하다.
- ④ 사전 공격(Dictionary Attack)에 안전하다.
등록된 댓글이 없습니다.
43. 웹 어플리케이션 취약성 조치방안에 대한 설명으로 틀린 것은?
- ① server side session 방식은 침해 가능성도 있고, 구조상 다양한 취약점에 노출될 수 있으므로 가볍고 안전한 client side의 cookie를 사용한다.
- ② 모든 인자에 대해 사용 전에 입력값 검증을 수행하도록 구성한다.
- ③ 파일 다운로드시 위치는 지정된 데이터 저장소를 지정하여 사용하고 데이터 저장소 상위로 이동되지 않도록 구성한다.
- ④ SSL/TLS와 같은 기술을 이용하여 로그인 트랙잭션 전체를 암호화한다.
등록된 댓글이 없습니다.
44. 다음 문장에서 설명하는 FTP 공격은?
- ① FTP Bounce Attack
- ② Anonymous FTP Attack
- ③ TFTP Attack
- ④ FTP Anyconnect Attack
등록된 댓글이 없습니다.
45. 웹 어플리케이션의 취약성을 악용하는 공격 방법 중 웹 페이지에 입력한 문자열이 perl의 system 함수나 PHP의 exec 함수 등에 건네지는 것을 이용해 부정하게 쉘 스크립트를 실행시키는 것은?
- ① HTTP header injection
- ② OS command injection
- ③ CSRF(cross-site request forgery)
- ④ Session hijacking
등록된 댓글이 없습니다.
46. 다크웹(Dark Web)에 대한 설명으로 틀린 것은?
- ① 공공인터넷을 사용하는 오버레이 네트워크(Overlay Network)이다.
- ② 딥웹(Deep web)은 다크웹의 일부부인다.
- ③ 토르(TOR)같은 특수한 웹브라우저를 사용해야만 접근할 수 있다.
- ④ 다크넷에 존해하는 웹사이트를 의미한다.
algisa2024. 3. 3. 13:11삭제
딥웹의 범위가 더 넓다.
47. 다음 문장에서 설명하는 것은?
- ① SSL(Secure Socket Layter)
- ② SET(Secure Electronic Transaction)
- ③ SOC(Security Operation Center)
- ④ Lattice Security Model
등록된 댓글이 없습니다.
48. DNS 캐시 포이즈닝으로 분류되는 공격은?
- ① DNS 서버의 소프트웨어 버전 정보를 얻어 DNS 서버의 보안 취약점을 판단한다.
- ② PC가 참조하는 DNS 서버에 잘못된 도메인 관리 정보를 주입하여 위장된 웹서버로 PC 사용자를 유도한다.
- ③ 공격 대상의 서비스를 방해하기 위해 공격자가 DNS 서버를 이용하여 재귀적인 쿼리를 대량으로 발생시킨다.
- ④ 내부 정보를 얻기 위해 DNS 서버에 저장된 영역 정보를 함께 전송한다.
등록된 댓글이 없습니다.
49. DDos 공격 형태 중 자원 소진 공격이 아닌 것은?
- ① ICMP Flooding
- ② SYN Flooding
- ③ ACK Flooding
- ④ DNS Query Flooding
ㅇㅇㅇ2024. 9. 30. 01:02삭제
이거 문제 지문이 개에바라 개어려움. '웹서버' 기준으로 봤을때 자원 소진임.
ICMP 는 거의 무한 ping 이라고 생각하면 되기때문에 자원소진보단 네트워크 통신시 대역폭이 줄어드는거.
lover42024. 9. 21. 18:37삭제
이거 답 혹시 4번 아닌가요? icmp도 udp, http 처럼 대역폭 소진공격 중 하나라고 나오는데. dns query flooding 은 서비스 소진 공격 같은데요.
50. 다음 표의 소극적·적극적 암호공격 방식의 구분이 옳은 것은?
- ① ①
- ② ②
- ③ ③
- ④ ④
algisa2024. 3. 3. 13:36삭제
트래픽 분석을 제외한 다른 공격은 모두 적극적 공격이다.
51. 다음 문장의 괄호 안에 알맞은 용어는?
- ① 워터링 홀
- ② 스팸
- ③ 스피어피싱
- ④ 랜섬웨어
등록된 댓글이 없습니다.
52. MS SQL 서버의 인증 모드에 대한 설명 중 성격이 다른 하나는?
- ① SQL Server 기본 인증 모드이다.
- ② 데이터베이스 관리자가 사용자에게 접근 권한 부여가 가능하다.
- ③ 윈도우즈 인증 로그온 추적시 SID 값을 사용한다.
- ④ 트러스트되지 않은 연결(SQL 연결)을 사용한다.
돌고래2024. 3. 4. 09:35삭제
https://learn.microsoft.com/ko-kr/sql/relational-databases/security/choose-an-authentication-mode?view=sql-server-ver16
MS SQL의 기본 인증 모드는 Windows 인증입니다.
53. 다음 문장에서 설명하는 보안솔루션은?
- ① DRM
- ② SSO
- ③ OTP
- ④ APT
등록된 댓글이 없습니다.
54. 데이터베이스 보안 방법으로 틀린 것은?
- ① 데이터베이스 서버를 백업하며 관리한다.
- ② Guest 계정을 사용하여 관리한다.
- ③ 데이터베이스 쿼리만 웹 서버와 데이터베이스 서버 사이에 통과할 수 있도록 방화벽을 설치한다.
- ④ 데이터베이스 관리자만 로그인 권한을 부여한다.
등록된 댓글이 없습니다.
55. 다음 문장에서 설명하는 웹 공격의 명칭은?
- ① XSS(Cross Site Scripting)
- ② SQL(Structured Query Language) Ingection
- ③ CSRF(Cross-site request forgery)
- ④ 쿠키(Cookie) 획득
등록된 댓글이 없습니다.
56. 버퍼오버플로우에 대한 보안 대책이 아닌 것은?
- ① 운영체제 커널 패치
- ② 경계 검사를 하는 컴파일러 및 링크 사용
- ③ 스택내의 코드 실행 금지
- ④ 포맷 스트링 검사
에휴2024. 9. 23. 22:28삭제
57. SSO(Single Sign On)와 관련이 없는 것은?
- ① Delegation 검사
- ② Propagation 방식
- ③ 웹 기반 쿠키 도메인 SSO
- ④ 보안토큰
등록된 댓글이 없습니다.
58. S/MIME의 주요 기능이 아닌 것은?
- ① 봉인된 데이터(Enveloped data)
- ② 서명 데이터(Signed data)
- ③ 순수한 데이터(Clear-signed data)
- ④ 비순수 서명과 봉인된 데이터(Unclear Signed and Enveloped data)
등록된 댓글이 없습니다.
59. DNS(Domain Name System)에 대한 설명으로 틀린 것은?
- ① DNS 서비스는 클라이언트에 해당하는 리졸버(resolver)와 서버에 해당하는 네임서버(name server)로 구성되며, DNS 서비스에 해당되는 포트 번호는 53번이다.
- ② 주(primary) 네임서버와 보조(secondary) 네임서버는 DNS 서비스 제공에 필요한 정보가 포함된 존(zone) 파일을 기초로 리졸버로부터의 요청을 처리한다.
- ③ ISP 등이 운영하는 캐시 네임서버가 관리하는 DNS 캐시에 IP 주소, UDP 포트번호, DNS 메시지 ID값이 조작된 정보를 추가함으로써 DNS 캐시 포이즈닝(poisoning) 공격이 가능하다.
- ④ DNSSEC 보안 프로토콜은 초기 DNS 서비스가 보안 기능이 포함되지 않았던 문제점을 해결하기 위해 개발되었으며, DNS 데이터의 비밀성, 무결성, 출처 인증 등의 기능을 제공한다.
돌고래2024. 3. 4. 09:42삭제
④ DNSSEC 보안 프로토콜은 초기 DNS 서비스가 보안 기능이 포함되지 않았던 문제점을 해결하기 위해 개발되었으며, DNS 데이터의 비밀성, 무결성, 출처 인증 등의 기능을 제공한다.
해당 보기가 답인 이유는
DNSSEC은 무결성, 출처 인증(인증) 서비스를 제공하는데
기밀성(비밀성)을 제공하지 않기 때문이 아닐까요?
60. 다음 문장에서 설명하는 전자서명 기법은?
- ① 다중서명
- ② 그룹서명
- ③ 은닉서명
- ④ 검증자 지정서명
등록된 댓글이 없습니다.
4과목 : 정보 보안 일반
61. 다음은 특정 블록 암호 운영 모드의 암호화 과정이다. 해당하는 모드는?
- ① ECB 모드(Electronic Code Book Mode)
- ② CBC 모드(Cipher Block Chaining Mode)
- ③ CFB 모드(Cipher Feedback Mode)
- ④ OFB 모드(Output Feedback Mode)
등록된 댓글이 없습니다.
62. 접근통제 모델에 대한 각각의 설명 중 옳은 것은?
- ① 비바(Biba) 모델 : 임의적 접근통제(DAC: Doscretionary Access Control)를 기반으로 하는 상태 머신 모델이다.
- ② 벨-라파듈라(Bell-Lapadula) 모델 : 객체애 대한 무결성 또는 가용성을 유지하는데 중점을 두고 있으며, 기밀성의 측면에는 대처하지 않는다.
- ③ 비바(Biba) 모델 : 비밀 채널을 방지하며, 내부 및 외부 객체 일관성을 보호한다.
- ④ 클락-윌슨(Clark-Wilson) 모델 : 허가 받은 사용자가 허가 받지 않고 데이터를 수정하는 것을 방지한다.
돌고래2024. 3. 4. 09:52삭제
③ 비바(Biba) 모델은 비밀 채널을 방지하며, 내부 및 외부 객체 일관성을 보호합니다.
해당 지문이 애매하네요
"인가자"란 키워드가 추가 됐으면 틀린 지문인데.. "비인가자"가 될 수 있으니...
1. 비바는 비인가자의 비밀 채널을 방지, 내/외부 객체 일관성을 보호
2. 비바는 인가자의 비밀 채널을 방지, 내/외부 객체 일관성 보호에는 다루지 않음
63. 해시함수의 분류 중 MDC(Modification Detection Cryptography)에 포함되지 않는 알고리즘은?
- ① MD(Message Digest)
- ② SHA(Secure Hash Algorithm)
- ③ LSH(Lightweight Secure Hash)
- ④ H-MAC(Hash-MAC)
등록된 댓글이 없습니다.
64. 실시간으로 인증서 유효성을 검증하는 OCSP(Online Certificate Status Protocol)의 서비스가 아닌 것은?
- ① ORS : 온라인 취소상태 확인서비스
- ② DPD : 대리인증 경로 발전 서비스
- ③ CRL : 인증서 폐지 목록 확인서비스
- ④ DPV : 대리인증 경로 검증 서비스
등록된 댓글이 없습니다.
65. 접근통제정책 구성요소에 대한 설명으로 틀린 것은?
- ① 사용자 : 시스템을 사용하는 주체이다.
- ② 자원 : 사용자가 사용하는 객체이다.
- ③ 행위 : 객체가 행하는 논리적 접근통제이다.
- ④ 관계 : 사용자에게 승인된 허가(읽기, 쓰기, 실행)이다.
등록된 댓글이 없습니다.
66. 다음 중 전자서명인증업무지침에 따라 공인인증기관이 지켜야 할 구체적인 사항이 아닌 것은?
- ① 공인인증서의 관리에 관한 사항
- ② 전자서명생성정보의 관리에 관한 사항
- ③ 공인인증기관 시설의 보호에 관한 사항
- ④ 공인인증기관 지정 절차에 관한 사항
등록된 댓글이 없습니다.
67. IAM(Identity Access Management)에 대한 설명으로 틀린 것은?
- ① 전사적 계정관리, 권한관리의 구현에 필요한 모든 요소들을 일반적으로 IAM이라고 부른다.
- ② IAM은 계정관리를 담당하는 IM분야와 권한통제를 담당하는 AM으로 나눠진다.
- ③ 사용자가 시스템을 사용하기 위해 로그인 ID를 발급하는 과정을 프로비저닝이라고 한다.
- ④ 사용자가 시스템에 로그인할 때 본인임을 증빙하는 과정을 인가(Authorization)라고 한다.
등록된 댓글이 없습니다.
68. 전자서명을 적용한 예에 해당되지 않는 것은?
- ① Code Signing
- ② X.509 Certificate
- ③ SSL/TLS Protocol
- ④ Kerberos Protocol
등록된 댓글이 없습니다.
69. 다음 문장과 같이 처리되는 프로토콜은?
- ① Diffie-Hellman
- ② Needhan-Schroeder
- ③ Otway-Rees
- ④ Kerberos
등록된 댓글이 없습니다.
70. 송신자 A와 수신자 B가 RSA를 이용하여 키를 공유하는 방법에 대한 설명으로 틀린 것은?
- ① 미국 MIT의 Rivest, Shamir, Adelman이 발표한 공개키 암호화 방식으로 이해와 구현이 쉽고, 검증이 오랫동안 되어서 가장 널리 쓰이고 있다.
- ② A가 암호화 되지 않은 평문으로 A의 공개키를 B에게 전송한다.
- ③ B는 공유 비밀키를 생성, A에게서 받은 A의 공개키로 암호화 전송한다.
- ④ A는 자신의 공개키로 공유 비밀키를 추출하고 데이터를 암호화 전송한다.
등록된 댓글이 없습니다.
71. 암호문에 대응하는 일부 평문이 가용한 상황에서의 암호 공격 방법은?
- ① 암호문 단독 공격
- ② 알려진 평문 공격
- ③ 선택 평문 공격
- ④ 선택 암호문 공격
등록된 댓글이 없습니다.
72. 합성수 n을 사용하는 RSA 전자서명 환경에서 메시지 M에 대해 난수 r에 공개 검증키 e를 가지고 reM mod n값을 서명자에게 전송하는 전자서명 기법은 무엇인가?
- ① 은닉서명
- ② 위임서명
- ③ 부인방지 서명
- ④ 이중서명
등록된 댓글이 없습니다.
73. 다음 문장에서 설명하는 위험분석 방법론을 옳게 연결한 것은?
- ① ㉠ : 확률 분포법, ㉡ : 순위결정법
- ② ㉠ : 시나리오법, ㉡ : 델파이법
- ③ ㉠ : 델파이법, ㉡ : 확률 분포법
- ④ ㉠ : 시나리오법, ㉡ : 순위결정법
등록된 댓글이 없습니다.
74. 다음 중 공개키 암호의 필요성으로 틀린 것은?
- ① 무결성
- ② 키 관리 문제
- ③ 인증
- ④ 부인방지
등록된 댓글이 없습니다.
75. 다음 중 커버로스(Kerberos)의 구성요소가 아닌 것은?
- ① KDC(Key Distribution Center)
- ② TGS(Ticket Granting Service)
- ③ AS(Authetication Service)
- ④ TS(Token Service)
등록된 댓글이 없습니다.
76. 공개키 암호 알고리즘이 아닌 것은?
- ① RSA(Rivest, Shamir, Adelman)
- ② ECC(Elliptic, Curvem Cryptosystems)
- ③ ElGamal
- ④ Rijndeal
등록된 댓글이 없습니다.
77. 키를 분배하는 방법이 아닌 것은?
- ① KDC(Key Distribution Center)
- ② 공개키 암호시스템
- ③ Diffie-Hellman 키 분배 알고리즘
- ④ Kerberos
등록된 댓글이 없습니다.
78. 해시함수 h와 주어진 입력값 x에 대해 h(x)=h(x′)을 만족하는 x′(≠x)를 찾는 것이 계산적으로 불가능한 것을 의미하는 것은?
- ① 압축성
- ② 일방향성
- ③ 두 번째 역상저항성
- ④ 충돌 저항성
등록된 댓글이 없습니다.
79. 다음 문장에서 설명하는 것은?
- ① 타원 곡선 암호 시스템
- ② 하이브리드 암호 시스템
- ③ 세션 키(의사난수 생성기)
- ④ 이중 암호 시스템
카리스마김2024. 3. 7. 17:55삭제
대칭 키 암호를 사용하면 기밀성을 유지한 통신이 가능하지만 키 배송 문제를 해결할 필요가 있으며,공개 키 암호를 사용하면 키 배송 문제가 해결되지만 대칭 키 암호에 비해 느린 처리 속도와 중간자 공격에 취약하다는 문제가 있다.
하이브리드 암호 시스템은 위 공개 키 방식의 처리 속도 문제를 해결하여 대칭 키 암호와 공개 키 암호의 장점을 살릴 수 있도록 조합한 방법이다.
80. 메시지 출처 인증(Message Origin Authentication)에 활용되는 암호 기술 중 대칭키 방식에 해당하는 것은?
- ① 전자서명
- ② 해시함수
- ③ 이중서명
- ④ 메시지 인증 코드
등록된 댓글이 없습니다.
5과목 : 정보보안 관리 및 법규
81. 주요 직무자 지정 및 관리시 고려해야 할 사항으로 틀린 것은?
- ① 개인정보 및 중요정보의 취급, 주요 시스템 접근 등 주요 직무의 기준을 명확히 정의하여야 한다.
- ② 주요 직무를 수행하는 임직원 및 외부자를 주요 직무자로 지정하고 그 목록을 최신으로 관리하여야 한다.
- ③ 업무 필요성에 따라 주요 직무자 및 개인정보취집자 지정을 최소화하는 등 관리방안을 수립·이행하여야 한다.
- ④ 파견근로자, 시간제근로자 등을 제외한 임직원 중 업무상 개인정보를 취급하는 자를 개인정보취급자로 지정하고 목록을 관리하여야 한다.
등록된 댓글이 없습니다.
82. 정보통신기반보호법에서 정하는 주요 정보통신기반시설 보호계획의 수립 등에 포함되지 않는 사항은?
- ① 주요정보통신기반시설의 취약점 분석·평가에 관한 사항
- ② 정보보호 책임자 지정에 관한 사항
- ③ 주요정보통신기반시설 및 관리 정보의 침해사고에 대한 예방, 백업, 복구대책에 관한 사항
- ④ 주요정보통신기반시설의 보호에 관하여 필요한 사항
등록된 댓글이 없습니다.
83. 다음 내용에 따른 국내대리인의 필수 공개 정보로 잘못된 것은?
- ① 법인명, 대표명
- ② 주소
- ③ 고객센터 연락처
- ④ 이메일
카리스마김2024. 3. 5. 14:25삭제
개인정보 보호법
한글 조문
[시행 2020. 8. 5.] [법률 제16930호, 2020. 2. 4., 일부개정]
제39조의11(국내대리인의 지정) ① 국내에 주소 또는 영업소가 없는 정보통신서비스 제공자등으로서 이용자 수, 매출액 등을 고려하여 대통령령으로 정하는 기준에 해당하는 자는 다음 각 호의 사항을 대리하는 자(이하 "국내대리인"이라 한다)를 서면으로 지정하여야 한다.
1. 제31조에 따른 개인정보 보호책임자의 업무
2. 제39조의4에 따른 통지·신고
3. 제63조제1항에 따른 관계 물품·서류 등의 제출
② 국내대리인은 국내에 주소 또는 영업소가 있는 자로 한다.
③ 제1항에 따라 국내대리인을 지정한 때에는 다음 각 호의 사항 모두를 제30조에 따른 개인정보 처리방침에 포함하여야 한다.
1. 국내대리인의 성명(법인의 경우에는 그 명칭 및 대표자의 성명을 말한다)
2. 국내대리인의 주소(법인의 경우에는 영업소 소재지를 말한다), 전화번호 및 전자우편 주소
④ 국내대리인이 제1항 각 호와 관련하여 이 법을 위반한 경우에는 정보통신서비스 제공자등이 그 행위를 한 것으로 본다.
[본조신설 2020. 2. 4.]
84. 정보통신기반 보호법에 의거하여 주요정보통신기반시설을 지정할 때 주요 고려사항으로 틀린 것은?
- ① 다른 정보통신기반시설과의 상호연계성
- ② 업무의 정보통신기반시설에 대한 의존도
- ③ 업무의 개인정보 보유 건수
- ④ 정보통신기반시설을 관리하는 기관이 수행하는 업무의 국가사회적 중요성
등록된 댓글이 없습니다.
85. 정보통신망 이용 촉진 및 정보 보호 등에 관한 법률에서 정의하는 용어에 대한 설명으로 틀린 것은?
- ① ㉠, ㉡
- ② ㉡, ㉢
- ③ ㉢, ㉣
- ④ ㉡, ㉣
dgb2024. 7. 1. 19:27삭제
욕나오네요 ㅠ 암호화되어
카리스마김2024. 3. 5. 14:13삭제
5. "전자문서"란 컴퓨터 등 정보처리능력을 가진 장치에 의하여 전자적인 형태로 작성되어 송수신되거나 저장된 문서형식의 자료로서 표준화된 것을 말한다.
6. "개인정보"란 생존하는 개인에 관한 정보로서 성명ㆍ주민등록번호 등에 의하여 특정한 개인을 알아볼 수 있는 부호ㆍ문자ㆍ음성ㆍ음향 및 영상 등의 정보(해당 정보만으로는 특정 개인을 알아볼 수 없어도 다른 정보와 쉽게 결합하여 알아볼 수 있는 경우에는 그 정보를 포함한다)를 말한다.
7. "침해사고"란 해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스 거부 또는 고출력 전자기파 등의 방법으로 정보통신망 또는 이와 관련된 정보시스템을 공격하는 행위를 하여 발생한 사태를 말한다.
9. "게시판"이란 그 명칭과 관계없이 정보통신망을 이용하여 일반에게 공개할 목적으로 부호ㆍ문자ㆍ음성ㆍ음향ㆍ화상ㆍ동영상 등의 정보를 이용자가 게재할 수 있는 컴퓨터 프로그램이나 기술적 장치를 말한다.
86. 조직의 정보보호 교육 대상자에 해당되지 않는 사람은?
- ① 조직의 중요한 고객
- ② 최고 경영자
- ③ 조직의 신입직원
- ④ 조직이 제공하는 정보를 이용하는 일부 외부 이용자 그룹
등록된 댓글이 없습니다.
87. 다음 문장은 위험분석에 관한 설명이다. 괄호 안에 들어갈 내용은?
- ① ㉠ : 위협, ㉡ : 위험, ㉢ : 발생가능성, ㉣ : 취약성
- ② ㉠ : 취약성, ㉡ : 위험, ㉢ : 발생가능성, ㉣ : 위협
- ③ ㉠ : 위험, ㉡ : 취약성, ㉢ : 위협, ㉣ : 발생가능성
- ④ ㉠ : 발생가능성, ㉡ : 위협, ㉢ : 취약성, ㉣ : 위험
등록된 댓글이 없습니다.
88. 다음 문장에서 설명하는 위험평가 방법은?
- ① 기준선 접근법
- ② 비정형 접근법
- ③ 상세 위험분석
- ④ 복합 접근방법
등록된 댓글이 없습니다.
89. 정보보호관리체계 구축시 발생 가능한 문제점과 해결방안에 대한 설명으로 틀린 것은?
- ① 관련 부서와의 조정이 곤란하다.
- ② 직원들이 일상 업무에 바빠 관리체계 구축사업에 시간을 내기 어렵다.
- ③ 직원들은 자신의 책임을 피하기 위해 문제점이 발생하면 즉시 상사에게 보고하는 경향을 보인다.
- ④ 관리체계 구축에는 경영자의 리더십이 필수적으로 요구된다.
등록된 댓글이 없습니다.
90. 다음 문장에서 설명하는 시스템 보안평가 기준은?
- ① TCSEC
- ② ITSEC
- ③ CTCPEC
- ④ CC
등록된 댓글이 없습니다.
91. 100만명 미만의 정보주체에 관한 개인정보를 보유한 중소기업의 내부관리계획의 내용에 포함되지 않아도 될 사항은?
- ① 개인정보 보호책임자의 지정에 관한 사항
- ② 개인정보 유출사고 대응 계획 수립·시행에 관한 사항
- ③ 개인정보의 암호화 조치에 관한 사항
- ④ 개인정보 처리업무를 위탁하는 경우 수탁자에게 대한 관리 및 감독에 관한 사항
카리스마김2024. 3. 7. 20:39삭제
내부관리계획에 포함되어야 하는 사항
1. 개인정보 보호책임자의 지정에 관한사항
2. 개인정보 보호책임자 및 개인정보취급자의 역할 및 책임에 관한 사항
3. 개인정보취급자에 대한 교육에 관한 사항
4. 접근 권한의 관리에 관한 사항
5. 접근 통제에 관한 사항
6. 개인정보의 암호화 조치에 관한 사항
7. 접속기록 보관 및 점검에 관한 사항
8. 악성프로그램 등 방지에 관한 사항
9. 물리적 안전조치에 관한 사항
10. 개인정보 보호조직에 관한 구성 및 운영에 관한 사항
11. 개인정보 유출사고 대응 계획 수립ㆍ시행에 관한 사항
12. 위험도 분석 및 대응방안 마련에 관한 사항
13. 재해 및 재난 대비 개인정보처리시스템의 물리적 안전조치에 관한 사항
14. 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항
15. 그 밖에 개인정보 보호를 위하여 필요한 사항
* 개인정보가 1만명 미만 개인, 소상공인, 단체의 경우 내부관리계획을 하지 아니할 수 있고, 100만명 미만 12에서 14를 포함하지 아니할 수 있다.
92. 비즈니스 연속성에서 고장과 관계된 수용될 수 없는 결과를 피하기 위해 재해 후에 비즈니스가 복귀되어야 하는 최단 시간 및 서비스 수준을 의미하는 것은?
- ① RTO
- ② WRT
- ③ RP
- ④ MTD
등록된 댓글이 없습니다.
93. 정보의 수집·가공·저장·검색·송신·수신 중에 정보의 훼손·변조·유출 등을 방지하기 위한 관리적·기술적 수단인 정보보호의 목적으로 틀린 것은?
- ① 기밀성 서비스 제공
- ② 무결성 서비스 제공
- ③ 가용성 서비스 제공
- ④ 추적성 서비스 제공
등록된 댓글이 없습니다.
94. 위험분석의 구성요소가 아닌 것은?
- ① 비용
- ② 취약점
- ③ 위협
- ④ 자산
등록된 댓글이 없습니다.
95. 정보보호의 예방대책을 관리적 예방대책과 기술적 예방대책으로 나누어 볼 때 관리적 예방대책에 속하는 것은?
- ① 안전한 패스워드를 강제로 사용
- ② 침입차단 시스템을 이용하여 접속을 통제
- ③ 가상 사설망을 이용하여 안전한 통신 환경 구현
- ④ 문서처리 순서의 표준화
등록된 댓글이 없습니다.
96. 건물 관리 및 화재 등 사고관리를 위해 건물입구를 비추도록 설치된 영상정보처리기기에서 사용할 수 있는 기능으로 옳은 것은?
- ① 사고를 확인하기 위한 카메라 줌인, 줌아웃
- ② 범인을 추적하기 위한 카메라 이동
- ③ 사고 내용을 확인하기 위한 음성 녹음
- ④ 사고 내용을 전달하기 위한 영상 전송
카리스마김2024. 3. 7. 20:45삭제
영상정보처리 시에 녹음 기능은 사용하면 안되며,
개인영상정보의 제공은
① 정보주체의 동의가 있는 경우
② 정보주체 또는 제3자의 급박한 생명, 신체, 자산의 이익을 위해서 인정된 경우
③ 알아볼 수 없는 형태로 개인 영상정보를 제공하는 경우
④ 보호위원회 심의 의결을 거친 경우
⑤ 국제기구에 제공하기 위한 경우
⑥ 범죄의 수사와 공소의 제기 및 유지에 필요한 경우
⑦ 법원의 재판업무 수행에 필요한 경우
⑧ 형 및 감호, 보호처분의 집행에 필요한 경우
보기에서 범인을 추적하기 위해서 카메라를 이동하는 것은 해당되지 않는다.
사고 내용을 전달하기 위한 영상 전송은 가능하다.
97. 다음 문장의 정보보호대책 선정시 영향을 주는 제약사항으로 옳은 것은?
- ① 환경적 제약
- ② 법적 제약
- ③ 시간적 제약
- ④ 사회적 제약
카리스마김2024. 3. 7. 17:24삭제
ㅁ 환경적 제약
ㅁ 법적 제약
관련 법규는 사회적 책임을 지는 최소한의 이행 규범입니다.
갈수록 많은 사고가 발생할수록 그에 맞게 정보보호에 관련된 법률이 강화되고 있으며,
이를 어길 경우에 대한 책임 소재가 강해지고 있습니다.
따라서 법규에 대한 제약을 만족하는 정보 보호 대책을 마련해야 합니다.
ㅁ 시간적 제약
관리를 위하여 허용하는 기간 내에 이루어질 수 있도록 수립해야 합니다.
즉, 주요 자산이 장기간 위험에 노출되지 않도록 적절한 시간 내 이루어져야 합니다.
위험에 노출되는 시간이 길어질수록 위험이 발생할 가능성이 높아지기 때문입니다.
ㅁ 사회적 제약
조직의 목표와 업무 특성 등 조직의 사회적 환경을 고려한 보호대책이 나와야 합니다.
보호대책의 실현과 관리는 조직의 임직원이 이행합니다.
직원들의 이해가 없이는 성공적인 보호대책을 적용하기는 어렵습니다.
모든 대책은 이론으로 그칠게 아니라 현실적으로 실현 가능하도록 세울 필요가 있습니다.
ㅁ 제정적 제약(비용)
예산을 고려하되 보호대책을 수립
보호 대책의 구현에 필요한 비용이 자산의 가치보다 높아서는 안 된다는 제약
ㅁ 기술적 제약
프로그램 및 H/W의 호환성 기술구현 용이성과 같은 기술적인 문제를 고려해야 합니다.
이 역시 고려되지 않을 경우 비용의 증가와 관련이 있습니다.
98. 개인정보보호 법령에 따른 영상정보처리기기의 설치·운영과 관련하여 정보주체가 쉽게 인식할 수 있도록 설치하는 안내판의 기재 항목이 아닌 것은?
- ① 설치 목적
- ② 영상정보 보관기관
- ③ 설치 장소
- ④ 촬영 범위
카리스마김2024. 3. 7. 20:47삭제
영상정보 안내판에는 설치 목적 및 장소, 촬영 범위 및 시간, 관리책임자 성명 및 연락처(수탁자가 있는 경우 포함)
99. 개인정보보호법상 개인정보 유출사고의 통지, 신고 의무에 대한 설명으로 틀린 것은?
- ① 정보통신서비스 제공자등은 개인정보의 유출등의 사실을 안 때에는 지체 없이 유출 등의 내역을 해당 이용자에게 알려야 한다.
- ② 정보통신서비스 제공자등은 1천면 이상의 정보주체에 관한 개인정보의 유출등의 사실을 안 때에는 지체 없이 유출 등의 내역을 방송통신위원회 또는 한국인터넷진흥원에 신고하여야 한다.
- ③ 정보통신서비스 제공자등은 정당한 사유 없이 유출 등의 사실을 안 때에는 24시간을 경과하여 통지·신고해서는 아니 된다.
- ④ 정보통신서비스 제공자 등은 이용자의 연락처를 알 수 없는 등 정당한 사유가 있는 경우에는 유출 등의 내역을 자신의 인터넷 홈페이지에 30일 이상 게시하여야 한다.
카리스마김2024. 3. 7. 20:57삭제
ㅁ 개인정보 유출 사고 신고(대상/신고 기준/신고 기한/신고처)
1) 개인정보처리자 / 1천명 이상 정보주체의 개인정보 유출된 경우 / 지체없이(5일 이내) / 한국인터넷진흥원
* 7일 동안 홈페이지 게시
2) 정보통신서비스 제공자 등 / 1명 이상 이용자의 개인정보가 유출(분실,도난,유출)된 경우 / 지체없이(24시간 이내) / 방송통신위원회 또는 한국인터넷진흥원
* 30일 동안 홈페이지 게시
3) 상거래기업 및 법인 / 1만명 이상 신용정보주체의 개인정보가 유출된 경우 / 지체없이(5일 이내)
100. 정보보호 거버넌스 국제 표준으로 옳은 것은?
- ① ISO27001
- ② BS10012
- ③ ISO27014
- ④ ISO27018
dd2024. 9. 30. 07:04삭제
27001 - 정보보호 관리 시스템 요구사항
27014 - 정보보호 거버넌스 및 리스크 관리
27017 & 27018 - 클라우드 정보보호 및 개인정보보호
뒤지게 많네 ㅋㅋ