1번
문제
개인정보보호위원회와 한국인터넷진흥원에서 발간한 “개인정보영향평가 수행 안내서”에 따르면 위험도 산정 공식을 다음과 같이 제시하고 있다. ( )에 들어갈 항목명을 기술하시오.
[위험도 산정 공식] 위험도 =
자산가치(영향도) + ((A) * (B)) * (C)
답
침해요인 발생 가능성, 법적 준거성, 2
2번
문제
DB 암호화 기법에 대한 설명이다. ( )에 해당하는 기법의 명칭을 기술하시오. ( A ) : 암복호화 모듈이 API 라이브러리 형태로 각 애플리케이션 서버에 설치되고, 응용프로그램에서 암복화 모듈을 호출하는 방식 ( B ) : 암복호화 모듈이 DB 서버에 설치되고 DBMS 에서 플러그인으로 연결된 암복화 모듈을 호출하는 방 ( C ) : DBMS 에 내장되어 있는 암호화 기능을 이용하여 암복호화 처리를 수행하는 방식
답
API, Plug-in, TDE(Transparent Data Encryption)
3번
문제
LAN 스위칭 기법에 대한 설명이다. ( )에 해당하는 기법의 명칭을 기술하시오. ( A ) : 프레임의 헤더(목적지 주소)만을 보고 경로를 결정해 주는 방식 ( B ) : 프레임의 앞 64 바이트만을 읽어 에러를 처리하고, 목적지 포트로 포워드 하는 방식 ( C ) : 전체 프레임을 다 받은 다음에 경로를 결정하는 방식
답
Cut through, Modified Cut through (Fragment Free), Store and Forward
4번
문제
EAP 를 통해 인증을 수행하고 AES-CCMP 기반 암호화를 지원하는 무선랜 보안 표준은?
답
WPA2
5번
문제
VLAN(Virtual LAN) 의 주소 할당 방법에 대한 설명이다. ( ) 에 해당하는 방식명을 기술하시오. ( A ) : VLAN 할당을 관리자가 각 스위치에서 직접 할당하는 방식 ( B ) : MAC 주소 등을 기반으로 VLAN 할당이 자동으로 이루어지는 방식
답
정적 VLAN(포트 주소 기반), 동적 VLAN(MAC 주소 기반)
6번
문제
검색로봇에게 웹사이트의 페이지를 수집할 수 있도록 허용/제한하는 국제 권고안으로 웹사이트의 루트 디렉터리에 위치해야 하며, 로봇 배제 표준을 따르는 일반 텍스트 파일(text/plain)로 작성해야 하는 파일명은 무엇인가?
답
robots.txt
7번
문제
ISO 31000 위험평가 방법론에 따른 위험평가 절차에 대한 설명이다. ( )에 들어갈 위험평가 단계명을 기술하시오. ( A ) : 운영 실패, 공급망 중단 또는 인재 격차와 같은 외부 및 내부 위험을 고려하여 잠재된 위험 식별 ( B ) : 확인된 위험이 조직의 목표 및 운영에 미칠 가능성과 잠재적 영향을 분석 ( C ) : 조직의 위험 감수성(Risk Appetite), 수용 능력, 위험과 보상 간의 균형을 고려하여 위험 허용 수준(DoA) 결정하고, 위험의 중요성에 따라 위험 처리 필요성을 결정
답
위험식별, 위험분석, 위험평가
8번
문제
다음과 같은 기능을 수행하는 정보보호 솔루션의 이름은 무엇인가?
-
PC 에 설치된 에이전트, 네트워크 센서를 통하여, 이동식 디스크, 이메일, 메신저, 웹사이트 파일 업로드를 이용한 내부 문서 이동 탐지
-
HTTPS 와 같은 암호화 통신에서도 중요 내부 문서 이동 탐지 가능
-
일부 솔루션에서는 파일 암호화, 파일 삭제와 같은 부가 기능 탑재
답
DLP(Data Loss Prevention)
9번
문제
유닉스에서 현재 실행되고 있는 프로세스 정보가 기록되며, 숨겨진 프로세스를 찾기 위해 참조하는 경로는 ( A )이다.
답
/proc
10번
문제
개인정보 가명처리 기법 중 수치 데이터를 임의의 수인 자리 수, 실제 수 기준으로 올림 또는 내림 처리하는 기법의 명칭은 무엇인가?
답
랜덤 라운딩
11번
문제
아파치 SW 재단에서 개발한 JAVA 기반의 오픈소스 프로그램으로 자바기반 프로그램을 개발할 때 로그를 쉽고 편하게 남기기 위한 목적으로 사용된다. 2021 년말 이 프로그램의 JNDI Lookup 메소드를 호출할 때 입력 값에 대한 검증 없이, 임의의 코드가 실행되는 취약점이 발견되어 전세계를 떠들썩하게 만들었던 프로그램의 이름은 무엇인가?
답
Log4J
12번
문제
A 기업에서는 다양한 유닉스 계열 서버를 운영하고 있다. Solaris, Linux, AIX, HP-UX 서버에서 패스워드 최소 길이를 8 자리 이상으로 강화하기 위한 설정 방법을 기술하시오.
답
1) Solaris
-
설정대상 파일 : /etc/default/passwd
-
설정값 : PASSLENGTH = 8
2) Linux
-
설정대상 파일 : /etc/login.defs
-
설정값 : PASS_MIN_LEN 8
3) AIX
-
설정대상 파일 : /etc/security/user
-
설정값 : minlen = 8
4) HP-UX
-
설정대상 파일 : /etc/default/security
-
설정값 : MIN_PASSWORD_LENGTH = 8
13번
문제
xinetd 서비스에 대한 환경설정 파일에서
(1) ~(4)에 적절한 값을 기술하시오. # cd /etc/xinetd.d/ # cat telnet
service telnet {
flags = REUSE # 서비스 포트가 사용중인 경우 해당포트 재사용 허용 socket_type = stream #TCP 프로토콜 선택 wait = no # 한 번에 다중사용자에게 서비스 제공 user = root # root 권한으로 실행 server = /usr/sbin/in.telnetd #실행할 데몬 파일 log_on_failure += USERID #서버 접속 실패시 USERID 를 로그에 기록 disable = no # 서비스 사용 ( 1 ) = 10.0.0.0/8 # 10.0.0.0/8 대역은 서비스 미허용 ( 2 ) = 192.168.10.0/24 # 192.168.10.0/24 대역은 서비스 허용 ( 3 ) = 3 # 동시에 접속가능한 최대 세션 수 3 개 access_time = ( 4 ) #접속을 허용할 시간 (9 시 ~ 18 시) }
답
1) no_access
2) only_from
3) instances
4) 09:00~18:00
14번
문제
윈도우 OS 환경에서 특정 서비스의 로그 파일 저장 경로에 대한 문제이다. ( )에 들어갈 로그 파일 경로명을 기술하시오.
[IIS 로그]
C:\Windows\inetpub\logs\Logfiles\W3SVC 1 C:\Windows\inetpub\logs\Logfiles\MSFTPS VC1 C:\Windows\System32\Logfiles\ ( A )
[DHCP 로그]
C:\Windows\System32\Logfiles\ ( B )
답
HTTPERR, DHCP
15번
문제
64 비트 리눅스에서 아래 프로그램 코드를 실행하려고 한다. printf 를 통해 함수가 호출될 때 A, B, C 각 파라미터가 저장되는 레지스터 명을 기술하시오. int main() { printf (“%c, %c, %c\n”, ‘A’,’B’,’C’); }
답
RSI, RDX, RCX
16번
문제
리눅스 환경에서 컴파일 과정에 관한 설명이다. ( )에 들어갈 용어를 기술하시오.
-
리눅스 환경에서 ( A ) 방식으로 컴파일 하는 경우, 외부 라이브러리 함수를 사용할 수 있도록 주소를 프로그램에 연결시켜주는 테이블인 ( B ) 를 참조한다.
-
( B ) 는 실제 해당 함수의 주소가 들어 있는 ( C )를 참조하여 함수 주소를 얻어 온다.
답
Dynamic Linking, PLT(Procedure Linkage Table), GOT(Global Offset Table)
17번
문제
정보보호 및 개인정보 관리체계 인증(ISMS-P)은 인증 기준이 3 개 영역, 102 개 항목으로 세분화되어 있다. 이 중 3 개 영역을 기술하시오.
답
관리체계 수립 및 운영, 보호대책 요구사항, 개인정보 처리 단계별 요구사항
18번
문제
유닉스의 /var/log/message 로그가 다음과 같이 기록되어 있다. 로그의 내용을 5 개 항목으로 나누었을 때 ( ) 가 의미하는 바를 기술하시오.
[/var/log/message 샘플]
Mar 29 14:23:57 alex kernel:(A)
[295087,236116](B) Call Trace:(C)
Mar 29 14:23:57 alex kernel:
[295087,236131] do_idle+0x83/0xf0
Mar 29 14:23:57 alex systemd [1] apt-daily- upgrade.service: Consumed 50.187s CPU time
답
로그를 생성한 프로세스명, 로그를 생성한 프로세스의 프로세스 번호, 상세 로그 메시지
19번
문제
SQL Injection 취약점을 대응하는 방법을 설명하시오.
[공격 대상 SQL 구문]
string query = “select * from member a where gubun = ‘” + a.gubun “’”
[대응 방법]
답
Prepared Statement
20번
문제
리눅스의 PAM(Pluggable Authentication Module) 모듈의 종류에 대한 설명이다. ( )에 들어갈 모듈명을 기술하시오.
1) ( A ) : 실질적인 인증기능, 패스워드 확인을 담당하는 모듈
2) ( B ) : 사용자의 시스템 사용 권한을 확인하는 모듈
3) ( C ) : 사용자가 인증 성공 시 세션을 맺어주는 모듈
답
auth, account, session
21번
문제
Salvatore Sanfilippo 가 개발한 보안 테스트 툴로 ICMP, TCP, UDP 등과 같은 다양한 프로토콜을 지원한다. 다량의 공격용 패킷을 생성하여 DDoS 훈련 목적으로도 사용하는 이 툴의 이름은 무엇인가?
답
hping3
22번
문제
보안 점검 도구에 대하여 ( )에 들어갈 명칭을 기술하시오.
-
Tripwire 은 ( A ) 을 점검하는 도구이다.
-
( B ) 는 미국 Tenable 사가 개발하였고, 네트워크에 연결된 다양한 종류의 시스템에 대하여 자동화된 취약점 스캔을 지원하며 광범위한 취약점 DB 를 가지고 있다.
답
무결성, NESSUS
23번
문제
CVE-2014-0160 으로 알려진 오픈 SSL 취약점이다. 오픈 SSL 의 하트비트 체크 로직의 취약점을 악용하여 시스템 메모리에서 중요 데이터를 탈취할 수 있는 이 취약점의 이름은 무엇인가?
답
하트블리드 (HeartBleed)
24번
문제
위험관리 3 단계에 대한 설명이다. ( )에 들어갈 단계명을 기술하시오. ( A ) : 자산의 위협과 취약점을 분석하여 보안 위험의 종류와 규모를 결정하는 과정 ( B ) : 식별된 자산, 위협 및 취약점을 기준으로 위험도를 산출하여 기존의 보호대책을 파악하고 위험의 대응 여부와 우선 순위를 결정하기 위한 평가 과정 (대책 선정) : 허용가능 수준으로 위험을 줄이기 위해 적절하고 정당한 정보보호 대책을 선정하고 이행 계획을 수립하는 과정
답
위험분석, 위험 평가
25번
문제
위험관리를 위한 정보자산 분석 절차에 대한 설명이다. ( )에 들어갈 단계명을 기술하시오. ( A ) : 보호받을 가치가 있는 자산을 식별하고, 이를 정보자산의 형태, 소유자, 관리자, 특성 등을 포함하여 자산 목록을 작성 (자산 관리자 지정) : 식별된 정보자산에 대하여 책임자 및 관리자 지정 ( B ) : 식별된 자산에 대해 침해 사고가 발생할 경우 그 영향을 기밀성, 무결성, 가용성 측면에서 파악하여 자산의 중요도를 산정
답
정보자산 식별, 정보자산 중요도 평가
26번
문제
라우팅 프로토콜에 대한 설명이다. ( )에 들어갈 프로토콜명을 기술하시오.
1) ( A ) : 거리 벡터 알고리즘을 사용하며, 가장 오래되고 널리 사용되는 내부 라우팅 프로토콜
2) ( B ) : 링크 상태 알고리즘을 사용하며, 링크 상태 변화시에만 라우팅 정보를 교환하는 내부 라우팅 프로토콜
3) ( C ) : 시스코에서 제안하였으며, 거리벡터와 링크 상태 알고리즘의 장점을 수용한 하이브리드 라우팅 프로토콜. 효율성과 수렴 속도가 개선되어 안정적인 라우팅을 지원함.
답
RIP, OSPF, EIGRP
27번
문제
다음 ( ) 에 들어갈 유닉스 로그 파일명을 기술하시오(경로는 생략해도 됨)
1) ( A ) : 사용자의 가장 최근 로그인 시각, 접근 호스트 정보 기록
2) ( B ) : SU(Swift User) 권한 변경(성공 or 실패) 로그 기록
3) ( C ) : 시스템에 로그인한 모든 사용자가 실행한 명령어 정보 기록
답
lastlog, sulog, acct/pacct
28번
문제
유닉스의 /etc/passwd 에 등록된 정보이다. 밑줄 친 값의 의미를 설명하시오. (정보) test01:x:100:1000:/home/exam:/bin/bash
1) 1000 : ( A )
2) /home/exam : ( B )
3) /bin/bash : ( C )
답
GID(그룹 ID), 사용자 홈디렉토리, 로그인쉘
29번
문제
HTTP Request 입력값에 개행문자가 포함되면 HTTP 응답이 2 개 이상으로 분리되어, 공격자는 첫 응답을 종료시킨 후 다음 응답에 악의적인 코드를 삽입/실행할 수 있는 HTTP 응답 분할 공격이 가능해진다. 위에서 언급한 개행 문자 2 가지를 기술하시오.
답
CR(Carriage Return, \r, %0D), LF(Line Feed, \n, %0A)
30번
문제
파일 삽입 취약점은 공격자가 악성 스크립트를 서버에 전달하여 해당 코드가 실행되도록 할 수 있다. PHP 를 사용하는 경우 이에 대한 대응책에 대하여 ( )에 들어갈 값을 기술하시오.
1) PHP 소스 코드에 ( A ) 함수가 존재하는지 확인
2) PHP 설정 파일 ( B )에서 allow_url_fopen 값을 ( C )로 설정
답
require or include, PHP.ini, Off