본문 바로가기

주메뉴 바로가기

지안에듀 로고 빅모의고사 로고

문제은행 공통과목

이동할 직렬을 선택해주세요.

닫기
로그인 지안에듀 바로가기
문제은행

지안에듀의 문제은행을 실전처럼 활용해보세요.

2023 국가직 9급 정보보호론 시험 목록 바로가기

  2. 문제은행

20문제가 검색되었습니다.

  • 1

    SSS(Server Side Script) 언어에 해당하지 않는 것은?

     

    해설

    • 자바 스크립트와 같은 CSS(Client Side Script) 기반의 언어는 웹 프락시를 통해 웹 브라우저에 전달하기 때문에 웹 프락시를 통해 전달하는 과정에서 변조될 가능성이 있다. 따라서 CSS 기반의 언어로 필터링 할 경우 공격자가 필터링 로직만 파악하면 쉽게 필터링이 무력화된다. 즉, 필터링 로직은 ASP, JSP, PHP 등과 같은 SSS(Server Side Script)로 필터링을 수행해야 한다.
    ① 아파치(apache)와 마이크로 소프트 IIS(Internet Information Server)는 웹서버이다.

  • 2

    정보나 정보시스템을 누가, 언제, 어떤 방법을 통하여 사용했는지 추적할 수 있도록 하는 것은?

     

    해설

    ④ 책임추적성(accountability)은 시스템 내의 각 개인은 유일하게 식별되어야 한다는 정보 보호 원칙이다. 이 원칙에 따라 정보 처리 시스템은 누가, 언제, 어떠한 행동을 하였는지 기록하여 필요 시 그 행위자를 추적할 수 있게 하여 정보 보호 규칙을 위반한 개인을 추적할 수 있고, 각 개인은 자신의 행위에 대해서 책임을 진다.

  • 3

    디지털포렌식의 원칙에 대한 설명으로 옳지 않은 것은?

     

    해설

    ■ 디지털 포렌식의 기본원칙
    • 정당성: 디지털 자료증거는 적법한 절차를 거쳐 획득
    • 재현성: 피해 당시와 동일 조건에서 현장 검출 시 동일 결과 도출
    • 신속성: 휘발성 정보를 신속한 조치에 의해 수집
    • 연계보관성: 디지털 증거물의 획득, 이송, 분석, 보관, 법정 제출의 각 단계를 담당하는 책임자 명시
    • 무결성: 획득한 디지털 증거가 위조 또는 변조되지 않았음을 증명
    ① 무결성 원칙에 대한 설명이다.

  • 4

    다음에서 설명하는 국내 인증 제도는?

    ○「정보통신망 이용촉진 및 정보보호 등에 관한 법률」에 의한 정보보호 관리체계 인증과 「개인정보 보호법」에 의한 개인정보보호 관리체계 인증에 관한 사항을 통합하여 한국인터넷진흥원과 금융보안원에서 인증하고 있다.
    ○한국정보통신진흥협회, 한국정보통신기술협회, 개인정보보호협회에서 인증심사를 수행하고 있다.

     

    해설

    ■ ISMS-P 추진 체계
    • 정책기관: 과학기술정보통신부, 개인정보보호위원회
    • 인증기관: 한국인터넷진흥원과 금융보안원
    • 심사기관: 한국정보통신진흥협회, 한국정보통신기술협회, 개인정보보호협회
    ④ CC, TCSEC은 정보시스템 보안평가 기준이고, BS7799는 영국에서 만든 정보보호 관리체계 구축에 대한 표준이다. ISMS-P(Personal Information & Information Security Management System) 인증은 정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 인터넷진흥원 또는 인증기관이 증명하는 제도이다.

  • 5

    「개인정보 보호법」 제28조의2(가명정보의 처리 등)의 내용으로서 (가)와 (나)에 들어갈 용어를 바르게 연결한 것은?

     

    해설

    ■ 제28조의2(가명정보의 처리 등)
    ① 개인정보처리자는 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 정보주체의 동의 없이 가명정보를 처리할 수 있다.
    ② 개인정보처리자는 가명정보를 제3자에게 제공하는 경우에는 특정 개인을 알아보기 위하여 사용될 수 있는 정보를 포함해서는 아니 된다.
    ③ 가명정보를 정보주체의 동의 없이 처리할 수 있는 경우와 강행규정과 임의규정의 차이를 알고 있는지를 묻고 있다.

  • 6

    SSL을 구성하는 프로토콜에 대한 설명으로 옳은 것은?

     

    해설

    ■ ChangeCipherSpec 메시지
    • ChangeCipherSpec 메시지는 바로 직전에 협상된 CipherSpec과 키에 의하여 보호될 후속 레코드를 상대에게 알리기 위하여 클라이언트 또는 서버에 의해 전송된다.
    • 종단 간에 협상된 보안 파라미터를 이후부터 적용/변경함을 알리기 위해 사용하는 프로토콜이다. 예를 들어 이 메시지를 받으면 수신자측에서는 보류된 읽기 상태를 현재 읽기 상태로 변경한다.
    ① Handshake 과정은 크게 초기협상단계, 서버인증단계, 클라이언트인증단계, 종료단계로 분류된다.(크게 4단계, 세부적으로 13단계)
    ③ Record 프로토콜은 단편화, 압축, MAC 추가, 암호화, 레코드 헤더 추가의 과정으로 이루어진다.
    ④ Alert 프로토콜은 Record 프로토콜의 상위 프로토콜이다.

  • 7

    블록체인 기술의 하나인 하이퍼레저 패브릭에 대한 설명으로 옳지 않은 것은?

     

    해설

    ■ 하이퍼레저 패브릭
    • 기업형 블록체인이며 폐쇄형(프라이빗) 블록체인이다.
    • MSP(Membership Service Provider)를 통해 채널(Channel)의 관리 권한이나 접근 권한을 관리한다.
    • 체인코드는 이더리움과 같은 분산 플랫폼에 있는 스마트 컨트랙트에 해당한다. 체인코드는 자산과 자산을 변경하기 위한 트랜잭션 명령을 인코딩하는데 사용한다.
    • 분산 원장
    - 월드 스테이트(World State): 현재 상태를 저장해 놓은 데이터베이스
    - 블록체인(Blockchain): 상태변화에 대한 모든 로그 기록이 저장
    • 프라이빗 블록체인의 합의 알고리즘
    - Paxos: 가장 일반적인 합의 알고리즘이다.
    - PBFT(Practical Byzantine Fault Tolerance): 비잔틴 장군 문제를 해결하고자 고안된 합의 알고리즘이다.
    - Raft: Paxos를 보완한 형태이다.
    ④ 공개형 블록체인의 합의 알고리즘은 작업증명과 지분증명이 있으며, 폐쇄형 블록체인의 합의 알고리즘은 Paxos, PBFT 등이 있다.

  • 8

    「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제23조의3(본인확인기관의 지정 등)에 의거하여 다음의 사항을 심사하여 대체수단의 개발ㆍ제공ㆍ관리 업무(이하 “본인확인업무”라 한다)를 안전하고 신뢰성 있게 수행할 능력이 있다고 인정되는 자를 본인확인기관으로 지정할 수 있는 기관은?

    1.본인확인업무의 안전성 확보를 위한 물리적ㆍ기술적ㆍ관리적 조치계획
    2.본인확인업무의 수행을 위한 기술적ㆍ재정적 능력
    3.본인확인업무 관련 설비규모의 적정성

     

    해설

    ■ 제23조의3(본인확인기관의 지정 등)
    ① 방송통신위원회는 다음 각 호의 사항을 심사하여 대체수단의 개발ㆍ제공ㆍ관리 업무를 안전하고 신뢰성 있게 수행할 능력이 있다고 인정되는 자를 본인확인기관으로 지정할 수 있다.
    1. 본인확인업무의 안전성 확보를 위한 물리적ㆍ기술적ㆍ관리적 조치계획
    2. 본인확인업무의 수행을 위한 기술적ㆍ재정적 능력
    3. 본인확인업무 관련 설비규모의 적정성
    ② 본인확인기관이 본인확인업무의 전부 또는 일부를 휴지하고자 하는 때에는 휴지기간을 정하여 휴지하고자 하는 날의 30일 전까지 이를 이용자에게 통보하고 방송통신위원회에 신고하여야 한다. 이 경우 휴지기간은 6개월을 초과할 수 없다.
    ③ 본인확인기관이 본인확인업무를 폐지하고자 하는 때에는 폐지하고자 하는 날의 60일 전까지 이를 이용자에게 통보하고 방송통신위원회에 신고하여야 한다.
    ③ 본인확인기관의 지정은 방송통신위원회에서 하고, 정보보호 관리체계의 인증은 과학기술정보통신부에서 한다.

  • 9

    (가)와 (나)에 들어갈 용어를 바르게 연결한 것은?

     

    해설

    • Regshot은 오픈 소스 레지스트리 비교 유틸리티로 새로운 소프트웨어 설치 및 시스템 변경 등의 작업 시 레지스트리 스냅샷을 통해 변경된 레지스트리를 확인⋅비교 할 수 있다.
    • OllyDbg(만든이인 Oleh Yuschuk의 이름을 땀)는 바이너리 코드 분석을 위한 x86 디버거로서, 소스 코드가 없을 때 유용하게 사용된다.
    • 정적 분석이란 악성코드를 실행하지 않고 그 자체가 갖고 있는 내용들을 통해 진단하는 것이다. 비교적 쉽고 빠르며, 별도의 지식 없이 정보를 수집할 수 있다.
    • 악성코드 파일을 실행하지 않는 정적 분석과는 다르게 동적 분석은 해당 파일을 실행하여 나타나는 변화를 모니터링하여 어떠한 기능을 수행하는지 확인하는 분석 방법이다. 악성코드 파일이 실제 악성 행위를 할 수 있으므로 가상 환경에서 동적 분석을 수행한다.
    ④ 악성 코드 정적 분석은 디스어셈블링 과정을 통해 이루어지며, IDA, OllyDbg 등과 같은 도구를 이용한다.

  • 10

    프로그램 입력 값에 대한 검증 누락, 부적절한 검증 또는 데이터의 잘못된 형식 지정으로 인해 발생할 수 있는 보안 공격이 아닌 것은?

     

    해설

    ■ 입력데이터 검증 및 표현
    • 정의: 프로그램 입력값에 대한 검증 누락 또는 부적절한 검증, 데이터의 잘못된 형식지정으로 인해 발생할 수 있는 보안약점이다.
    • 종류: SQL 삽입, 경로 조작 및 자원 삽입, 크로스사이트 스크립트, 운영체제 명령어 삽입, 위험한 형식 파일 업로드, 신뢰되지 않은 URL 주소로 자동 접속 연결, XPath 삽입, XQuery 삽입, 크로스사이트 요청 위조, HTTP 응답분할, 메모리 버퍼 오버플로우, 포맷 스트링 삽입
    ① HTTP GET Flooding은 최신 DDoS 공격과 관련되어 있으며, 프로그램 입력 값에 대한 검증 누락, 부적절한 검증 또는 데이터의 잘못된 형식 지정으로 인해 발생할 수 있는 보안 공격과는 거리가 멀다.

  •  
  • 1
  • 2
  •