122번
문제
Httpd.conf 파일에서 디렉터리에 업로드 가능한 최대 파일 사이즈를 제한하는 명령어는?
답
LimitRequestBody 파일사이즈 *단위는 바이트
123번
문제
다음의 정보보호 관련 법률의 명칭(약칭)을 기술하시오. ( A) : 정보통신망에 관한 법률의 명칭 ( B) : 주요 정보통신 기반 시설에 관한 법률의 명칭 ( C) : 위치정보에 관한 관한 법률의 명칭
답
정보통신망법(정보통신망 이용 촉진 및 정보보호 등에 관한 법률), 정보통신 기반보호법, 위치정보법(위치정보의 이용 및 보호 등에 관한 법률)
124번
문제
ISMS-P 인증 평가 항목에 대한 설명이다. ( ) 안에 들어갈 적절한 명칭을 기술하시오.
1.2.1(정보자산 식별) : 조직의 업무특성에 따라 정보자산 분류 기준을 수립하여 관리체계 범위 내 모든 정보자산을 식별/분류하고, (A)를 산정한 후 그 목록을 최신으로 관리하여야 한다.
1.2.3 (위험평가) : 조직의 대내외 환경분석을 통해 유형별 (B)를 수집하고, 조직에 적합한 위험 평가 방법을 선정하여 관리체계 전 영역에 대하여 연 1 회 이상 위험을 평가하여, 수용할 수 있는 위험은 (C)의 승인을 받아 관리하여야 한다.
답
중요도, 위협 정보, 경영진
125번
문제
Victim 의 MAC 주소를 위조한 스니핑 공격은?
답
ARP 스푸핑
126번
문제
침해사고 발생시 실시간 경보, 분석체계를 운영하며 금융, 통신 분야별 정보통신 기반 시설을 보호하기 위한 업무를 수행하는 기관은?
답
ISAC(Information Sharing Analysis Center), 정보공유분석센터
127번
문제
침입탐지시스템(IDS)의 침입탐지 정책에 대하여 기술하시오.
(1) 미리 등록된 패턴을 기반으로 이상행위를 탐지하는 기법은?
(2) 정상행위와 이상행위를 프로파일링 하여 통계적인 방법으로 이상행위를 탐지하는 기법은?
(3) 정상행위를 이상행위로 판단하거나 이상행위를 탐지하지 못하는 상황은?
답
(1) 오용탐지(Misuse) or 지식기반 탐지
(2) 이상탐지(Anormaly) or 행위기반 탐지
(3) 오탐(False Positive), 미탐(False Negative)
128번
문제
Github 의 DDoS 공격에 악용된 캐시솔루션은?
답
Memcached
129번
문제
리눅스의 /etc 아래에 위치하고 있으며 패스워드의 사용기간 만료, 최대 사용기간, 최소 변경 기간 등의 패스워드 정책을 설정할 수 있는 파일은?
답
login.defs
130번
문제
웹 애플리케이션의 소스 코드를 보지 않고 외부 인터페이스나 구조를 분석하여 취약적을 발견하는 방식을 (1)이라 하고, 개발된 소스 코드를 살펴봄으로써 코딩 상의 취약점을 찾는 방식을 (2)라고 한다.
답
블랙박스 테스트, 화이트 박스 테스트
131번
문제
정성적 위험분석 방법론 2 가지에 대해 답하시오.
(1) 어떤 사건도 기대대로 발생하지 않는다는 사실에 근거하여 일정 조건하에서 위험에 대한 발생 가능한 결과들을 추정하는 방법
(2) 시스템에 관한 전문적인 지식을 가진 전문가의 집단을 구성하고 위험을 분석 및 평가하여 정보시스템이 직면한 다양한 위험과 취약성을 토론을 통해 분석하는 방법
답
시나리오법, 델파이법
132번
문제
자산에 대해 보험을 들어 손실에 대비하는 등 조직의 자산에 대한 위협, 위험, 취약점 등을 제 3 자에게 전가하는 위험관리 방식은?
답
위험전가
133번
문제
모든 시스템에 대하여 보호의 기본 수준을 정하고 이를 달성하기 위하여 일련의 보호대책을 선택하는 방식은?
답
기준접근법 (Baseline 접근법)
134번
문제
비즈니스 연속성을 보장하기 위한 계획을 무엇이라 하는가?
답
BCP(Business Continuity Plan)
135번
문제
다음은 윈도우 OS 의 계정 그룹 5 가지 유형에 대한 설명이다. ( ) 에 들어갈 그룹명을 기술하시오. Administrators : 도메인 또는 로컬 컴퓨터에 대한 모든 권한 보유 ( A ) : 일반 사용자보다는 많은 권한을 가지나, Administrators 그룹보다는 제한적인 권한 보유 ( B ) : 시스템 백업을 목적으로 모든 파일과 디렉터리 접근 가능 ( C ) : 도메인 및 로컬 컴퓨터를 일반적으로 사용하는 그룹 Guests : 제한된 권한을 가지며 일시적으로 시스템을 사용하는 사용자를 위해 설계됨
답
Power Users, Backup Operators, Users
136번
문제
전자기기에서 발생되는 불필요한 전자 방사를 통해 민감한 정보를 도청하거나 유출하는 것을 방지하기 위한 일련의 표준과 기술을 무엇이라 하나?
답
TEMPEST (Telecommunications Electronics Material Protected from Emanating Spurious Transmissions)
137번
문제
IPSec 이 제공하는 보안 기능 3 가지를 기술하시오.
답
접근제어, 비연결형 무결성, 데이터 근원지 인증, 재전송 방지, 기밀성, 제한적 트래픽 흐름의 기밀성
138번
문제
공격자가 사용자와 서버 간의 활성화된 세션을 가로채어 사용자의 신원으로 서버와 통신을 시도하는 공격 기법을 무엇이라 하나?
답
세션 하이재킹(Session Hijacking)
139번
문제
정보보호대책은 안전대책, 통제 혹은 위협을 감소시키기 위한 정보보호조치를 의미하며, 크게 다음과 같이 3 가지로 구분된다. ( A ) 은/는 발생 가능한 잠재적인 문제들을 식별하여 사전에 대처하는 능동적인 개념의 통제로 2 가지로 나눌 수 있다. ( B ) 란 관계자 이외의 사람이 특정 시설이나 설비에 접근할 수 없게 하는 각종의 통제를 의미하며, ( C )란 승인을 받지 못한 사람이 정보통신망을 통하여 자산에 대한 접근을 막기 위한 통제방법이다.
답
예방 통제, 물리적 접근 통제, 논리적 접근 통제
140번
문제
메일 보안을 위하여 릴레이 설정을 하려고 한다. 다음 보기에 기술된 요구사항을 충족시키기 위하여 /etc/mail/access 에 설정해야할 옵션값()을 기술하시오. (보기) kca.or.kr 도메인의 메일은 릴레이를 허용한다. spam.com 도메인의 메일은 폐기한다. (/etc/mail/access 설정) kca.or.kr ( A ) spam.com ( B )
답
RELAY, DISCARD
141번
문제
다음 기능을 제공하는 도구를 무엇이라 하나?
- 사용자가 웹 사이트와 주고받는
HTTP/HTTPS 요청과 응답을 중간에서
가로채어, 수정하거나 분석할 수 있게 해주는 도구이다.
- Paros, Burp Suite, ZAP(Zed Attack Proxy) 가 대표적이며, 해킹 공격에도 사용되고, 웹 사이트의 보안 취약점 테스트 목적으로도 사용된다.
답
웹 프락시(Web Proxy)
142번
문제
IP 주소가 200.100.50.25 (C 클래스)이고, 서브넷 마스크가
255.255.255.192 일 때, 서브넷 마스크를 2 진수로 작성하시오.
답
11111111.11111111.11111111.11000000
143번
문제
프로그램에 의도적으로 잘못된 형식의 데이터 또는 무작위 데이터를 입력하여 프로그램의 취약점이나 버그를 찾는 SW 테스트 기법을 무엇이라고 하나?
답
Fuzzing(퍼징)
144번
문제
SSRF(Server Side Request Forgery)는 공격자가 서버가 신뢰하는 특정 서버나 네트워크 리소스에 대해 임의의 요청을 보내도록 서버를 속이는 웹 보안 취약점이다. 주로 서버가 외부 입력을 기반으로 HTTP 요청을 생성하는 기능을 가지고 있을 때 발생한다. SSRF 공격 대응 기법에 대하여 ( )에 들어갈 용어를 기술하시오.
[공격 대응 기법]
• 사용자 입력을 기반으로 요청을 생성할 때는 허용된 도메인이나 IP 주소에 대하여 ( A ) 리스트를 사용하여 필터링한다. • 만일, 무작위의 입력값을 사용해야 한다면 ( B ) 리스트 방식으로 필터링한다.
답
화이트, 블랙
145번
문제
위험 평가 이후 위험의 중요도에 따라 위험 처리 방안을 결정한다. ( )에 들어갈 위험 처리 방안을 기술하시오. 위험 감소 : 잠재적인 위험에 대해 정보보호 대책을 구현하여 자산, 취약점, 위협 중 하나의 수준을 낮춤 ( A ) : 현재의 위험을 받아들이고 잠재적 손실 비용을 감수 ( B ) : 위험이 존재하는 프로세스나 사업을 수행하지 않고 포기 ( C ) : 보험이나 외주 등으로 잠재적 비용을 제 3 자에게 이전
답
위험 수용, 위험 회피, 위험 전가
146번
문제
다음 설명에 해당하는 보안 솔루션 명칭을 기술하시오.
[설명]
-
2015 년 가트너에서 처음 제시하였음
-
인공지능이 적용되어 지능형 탐지가 가능하고 빅데이터 기반 솔루션보다 진보된 형태의 보안 관제 솔루션
답
SOAR
147번
문제
리눅스에서 패스워드 최소 길이를 8 자리 이상으로 설정하려고 한다. 패스워드 설정을 위한 파일명(A)과 설정 내용(B,C)을 기술하시오. #cat /etc/ ( A ) ( B ) ( C )
답
login.defs, PASS_MIN_LEN, 8
148번
문제
무선 네트워크에서는 다중 접속시 상호 충돌을 회피하기 위하여 CSMA/CA 프로토콜을 사용한다. 이 경우, 타임아웃 설정은 어느 신호에 포함되는지 보기에서 2 개를 선택하여 답하시오. (보기) CTS, DATA, RST, SYN, ACK, RTS
답
RTS, CTS
149번
문제
Domain Name(URL) 에 대한 IP 정보를 찾아주는 DNS 는, 먼저 클라이언트 영역에 위치한 ( A ) DNS 서버에 질의하여 IP 정보를 찾고, 없으면 ( B ) DNS 서버에 추가로 요청하여 IP 정보를 찾는다.
답
Recursive (Cache), Authoritative
150번
문제
공격자가 HTTP 패킷의 헤더(Content- Length, Transfer Encoding: Chunked 등)를 변조하여 일반 사용자가 접근할 수 없는 Back-end 서버로 직접 보내 중요 정보 획득, XSS 공격유도, 서버 웹 캐시 포이즈닝 등을 수행하는 공격 기법을 무엇이라 하나? (보기) XSS, CSRF, SQL Injection, HTTP request smuggling
답
HTTP request smuggling
151번
문제
침입 탐지 시스템에서 공격이 아닌데 공격이라고 오판하는 것을 ( A )라 하고, 공격인데 공격이 아니라고 오판하는 것을 ( B ) 라고 한다.
답
오탐(False Positive), 미탐(False Negative)