61번
문제
Smurf attack 을 방지하기 위하여, 신뢰할 수 있는 네트워크 범위(192.168.1.0/24)에서 시작하는 UDP 패킷으로 ip directed broadcast 를 제한 설정하는 라우터 명령어를 기술하시오. (config)# ( A ) (config)# ( B ) (config-if)# ( C ) ^z Router#
답
(A) : access-list 100 permit udp
192.168.1.0 0.0.0.255 any (B) : interface FastEthernet 0/0 (C) : no ip directed-broadcast 100
62번
문제
위험관리와 관련하여 ( )에 들어갈 용어를 기술하시오. ( A ) : ( B )로 부터 보호해야 할 대상 ( B ) : ( A ) 에 손실을 발생시키는 원인이나 행위 ( C ) : ( B ) 에 의하여 손실이 발생하게 되는 ( A )에 내재된 약점
답
자산, 위협, 취약점
63번
문제
네트워크 진입 시 단말과 사용자를 인증하고, 단말에 대한 지속적인 보안 취약점 점검과 통제를 통해 내부 시스템을 보호하는 솔루션을 무엇이라고 하나?
답
NAC(Network Access Control)
64번
문제
여러 개의 프로세스가 공유자원에 동시에 접근할 때 접근하는 순서에 따라 비정상적인 결과가 발생하는 상황을 악용하는 공격기법을 무엇이라고 하나?
답
Race Condition 공격
65번
문제
Victim 의 MAC 주소를 위조하여 해당 IP 로 전달되는 데이터를 중간에서 가로채기 하는 공격 기법을 무엇이라고 하나?
답
ARP 스푸핑
66번
문제
IDS 와 관련하여 ( )에 들어갈 용어를 기술하시오. IDS 는 네트워크의 패킷만 보고 공격을 탐지하는 ( A ) IDS 와 서버에 직접 설치되어 관리자 권한 탈취 등으로 인해 발생되는 공격을 탐지하는 ( B ) IDS 로 구분된다.
답
네트워크, 호스트
67번
문제
BCP(업무연속성 계획) 수립 시 장애나 재해 발생으로 업무 프로세스가 중단되는 경우 예상되는 재무적 손실, 외부 규제 요건 등을 고려하여 업무 중요도를 평가하고 이에 따른 RTO(목표 복구 시간), RPO(목표 복구 지점)를 결정하는 절차를 무엇이라고 하나?
답
BIA(Business Impact Analysis, 업무영향도 분석)
68번
문제
Apache 로그와 관련하여 ( ) 에 들어갈 용어를 기술하시오. Apache 서버의 로그파일은 정상적인 접속 로그가 기록되는 ( A ) 로그, 접속 에러가 기록되는 ( B ) 로그가 존재한다. 로그 파일의 경로를 확인할 수 있는 파일은 ( C ) 이다.
답
Access, Error, httpd.conf
69번
문제
필 짐머만에 의해 개발되었으며 PEM 에 비해 보안성은 떨어지나, 이것을 실장한 프로그램이 공개되어 있어서 현재 가장 많이 사용되고 있는 이메일 보안 기술을 무엇이라 하나?
답
PGP(Pretty Good Privacy)
70번
문제
( ) 에 들어갈 용어를 기술하시오. 위험 평가 수행 시 자산을 식별하고, 식별된 자산의 가치를 평가하는 기준으로 CIA(기밀성, 무결성, 가용성) 측면을 고려하여 자산의 ( ) 를 산정한다.
답
중요도
71번
문제
공격 대상이 이미 시스템에 접속되어 세션이 연결되어 있는 상태를 가로채는 공격 기법을 무엇이라고 하나?
답
세션 하이재킹
72번
문제
EAP 를 통해 인증을 수행하고 AES- CCMP 기반 암호화를 지원하는 무선랜 보안 표준은?
답
WPA2
73번
문제
바이러스 토탈(Virustotal)에서 제작하였고, 악성코드의 특성과 행위에 포함된 패턴을 이용하여 악성코드를 분류하는 툴의 이름은?
답
YARA
74번
문제
SW 개발 보안과 관련하여 ( )에 들어갈 취약점명(공격기법)을 기술하시오. ( A ) : DB 와 연결되어 있는 애플리케이션의 입력값을 조작하여 의도하지 않은 결과를 반환하도록 하는 공격 기법 ( B ) : 게시판, 웹, 메일 등에 삽입된 악의적인 스크립트에 의해 쿠키 및 기타 개인정보를 특정 사이트로 전송시키는 공격 기법 ( C ) : 적절한 검증 절차를 수행하지 않은 사용자 입력값이 운영체제 명령어의 일부로 전달되어 의도하지 않은 시스템 명령어가 실행되도록 하는 공격 기법
답
SQL Injection, XSS, 운영체제 명령어 삽입
75번
문제
마이크로소프트 오피스와 애플리케이션 사이 데이터를 전달하는 프로토콜로 엑셀에서 이 기능이 활성화될 시 악용될 수 있다. 해당 프로토콜의 이름을 기술하시오.
답
DDE(Dynamic Data Exchange)
76번
문제
위험관리와 관련하여 ( )에 들어갈 용어를 기술하시오. ( A ) : ( B )로 부터 보호해야 할 대상 ( B ) : ( A ) 에 손실을 발생시키는 원인이나 행위 ( C ) : ( B ) 에 의하여 손실이 발생하게 되는 ( A )에 내재된 약점
답
자산, 위협, 취약점
77번
문제
정보의 무결성, 서비스의 연속성, 정보자산의 보호를 위한 것으로 기업 거버넌스의 부분집합으로서 전략적 방향을 제시하며 목적 달성, 적절한 위험관리, 조직 자산의 책임 있는 사용, 기업 보안 프로그램의 성공과 실패가 모니터링됨을 보장하는 것을 무엇이라고 하나?
답
정보보안 거버넌스
78번
문제
DDoS, APT 등 공격 수행 시 C&C 서버와 접속하기 위한 도메인명을 지속적으로 변경하여 보안장비의 탐지를 우회하기 위한 기법을 무엇이라고 하는가?
답
DGA(Domain Generation Algorithm)
79번
문제
위험분석절차 중 다음 ( )안에 들어갈 절차명을 기술하시오.
1) ( A ) 2) ( B ) 3) 기존 보안대책 평가
4) 취약성 평가 5) 위험평가
답
자산식별, 자산 가치 및 의존도 평가
80번
문제
HTTP 관련 공격 중 헤더의 CRLF(개행문자) 필드 부분을 조작함으로써 웹서버로 조작된 HTTP 헤더를 지속적으로 보내 서비스의 가용성을 떨어뜨리는 공격은?
답
Slow HTTP Header DoS 공격(Slowloris)
81번
문제
모바일 앱의 특정화면으로 바로 이동할 수 있도록 지원하는 기능으로 공격자에 의하여 악용되는 경우 앱내 민감한 개인정보(카드정보, 주소 등)가 노출될 수 있는 취약점이 있다. 이 기능의 이름은 무엇인가?
답
모바일 딥링크
82번
문제
mimikaz 와 같은 툴로 메모리에 저장된 NTLM, LanMan 해시를 탈취하여 원격 서버 인증을 시도하는 공격 기법명을 기술하시오.
답
pass the hash
83번
문제
DNS 의 캐시 정보를 조작하여 가짜 사이트로 접속을 유도하는 공격 기법명을 기술하시오.
답
DNS 캐시 포이즈닝
84번
문제
사이버 공격의 흐름을 분류하는 기준으로 사이버 킬 체인의 7 단계를 확장하여 14 단계로 구성된 모델명을 기술하시오.
답
MITRE ATT&CK
85번
문제
공격자가 미리 확보해 놓은 로그인 자격증명(*ID, 패스워드)을 이용하여 사용자가 이용할만한 다른 사이트에 무작위로 대입하여 비인가 접속을 시도하는 공격기법명을 기술하시오.
답
크리덴셜 스터핑(Credential Stuffing)
86번
문제
취약점의 여러 가지 요소(코드베이스, 시간성(유효성), 악영향, 환경적 요소)를 고려하여 공격의 난이도와 피해 규모를 평가하고 점수화하는 보안 취약점 평가 기준을 무엇이라 하는가?
답
CVSS(Common Vulnerability Scoring System)
87번
문제
정보보호 관련 법령과 관련하여 ( )에 들어갈 용어를 기술하시오. ( A ) : 정보통신서비스 제공자 등이 개인정보의 안전한 처리를 위하여 개인정보보호 조직의 구성, 개인정보취급자의 교육, 개인정보 보호조치 등을 규정한 계획 ( B ) : 정상적인 보호,인증 절차를 우회하여 정보통신기반시설에 접근할 수 있도록 하는 프로그램이나 기술적 장치 등을 정보통신기반시설에 설치하는 방법으로 정보통신망 또는 이와 관련된 정보시스템을 공격하는 행위 ( C ) : 정보통신망의 구축 또는 정보통신서비스의 제공 이전에 계획 또는 설계 등의 과정에서 정보보호를 고려하여 필요한 조치를 하거나 계획을 마련하는 것
답
내부관리계획, 전자적 침해행위, 정보보호사전점검
88번
문제
침해사고 대응 7 단계에서 다음 ( )에 들어갈 절차를 기술하시오. 사고 전 준비과정 > 사고 탐지 > ( ) > 대응 전략 체계화 > 사고 조사 > 보고서 작성 > 해결
답
초기 대응
89번
문제
정보보호 관련 법령과 관련하여 ( )에 들어갈 용어를 기술하시오. ( A ): 전기통신설비를 이용하거나 전기통신설비와 컴퓨터 및 컴퓨터의 이용기술을 활용하여 정보를 수집ㆍ가공ㆍ저장ㆍ검색ㆍ송신 또는 수신하는 정보통신체제 ( B ): 정보의 수집․저장․검색․송신․수신시 정보의 유출, 위․변조, 훼손 등을 방지하기 위한 하드웨어 및 소프트웨어 일체 ( C ): 국가안전보장ㆍ행정ㆍ국방ㆍ치안ㆍ금융ㆍ통신 ㆍ운송ㆍ에너지 등의 업무와 관련된 전자적 제어ㆍ관리시스템
답
정보통신망, 정보보호시스템, 정보통신기반시설
90번
문제
ISO 27005 에 포함된 위험평가(Risk Assessment) 절차와 관련하여 ( ) 에 들어갈 절차명을 기술하시오. ( A ): 잠재적인 손해 발생의 근원을 밝혀내기 위하여, 자산, 위협, 현 통제 현황, 취약점을 식별하는 단계 ( B ): 시나리오별 영향 및 발생 가능성을 객관적, 주관적인 방법으로 분석하는 단계 ( C ): 사전에 마련된 기준에 따라 분석된 위험 목록의 우선순위를 산정하는 단계
답
위험식별(Risk identification), 위험분석(Risk Analysis), 위험수준평가(Risk Evaluation)