읽을거리
- 2018_제19회_정보시스템 감리사 필기시험 확정답안(보안) [file]
101. 다음과 같은 침입차단시스템(firewal)의 기본 구조로 가장 적절한 것은?
① 단일 홈 게이트웨이(single homed gateway)
② 이중 홈 게이트웨이(dual homed gateway)
③ 스크리닝 라우터(screning router)
④ 스크린드 서브넷 게이트웨이(screned subnet gateway)
102. 공개키 암호 알고리즘을 이용하는 전자서명에 대한 설명으로 가장 적절한 것을 모두 고르시오.(2개 선택)
① 권한이 있는 사용자들만 서명의 정당성을 검증할 수 있다.
② 한 번 생성된 서명은 동일한 서명자의 다른 문서에 재사용할 수 있다.
③ 서명된 문서가 변경된 경우에 수신자는 변경 여부를 확인할 수 있다.
④ 전자서명을 생성한 서명자는 나중에 서명한 사실을 부인할 수 없다.
103. DRM(Digital Right Management) 시스템에서 권리 표현에 관한 설명으로 가장 거리가 먼 것은?
① REL(Rights Expresion Language)은 XML을 기반으로 이루어져 있다.
② XACML(eXtensible Aces Control Markup Language)은 대표적인 DRM 권리 표현 언어이다.
③ 대부분의 REL은 일반 언어와 똑같이 어휘(semantics)와 어휘에 대한 구조(syntax)를 포함한다.
④ MPEG-21 REL에서는 리소스를 디지털 포맷으로 제한하나, ODRL(Open Digital Right Language)에서는 모든 포맷을 허용한다.
104. 리눅스 시스템에서는 파일 생성시 기본 권한이 부여되는데, 이 기본 권한을 결정할 때 사용되는 것은?
① chmod
② umask
③ fdisk
④ dmesg
105. 접근제어 모델에 관한 설명 중 가장 적절하지 않은 것은?
① 임의적 접근제어는 정보의 소유자가 보안 레벨을 결정하고 이에 대한 정보의 접근 제어를 설정하는 방식이다.
② 강제적 접근제어는 중앙에서 정보를 수집하고 분류하여 보안 레벨을 결정하고 정책적으로 접근제어를 수행하는 방식이다.
③ 강제적 접근제어 방식인 벨 라파둘라 모델에서는 자신보다 높은 보안 레벨의 문서에 대해 읽기와 쓰기가 불가능하다.
④ 역할기반 접근제어는 사람이 아닌 직책에 대해 권한을 부여함으로써 효율적인 권한 관리가 가능하다.
106. SSO(Single Sign-On)에 대한 설명 중 가장 적절하지 않은 것은?
① SSO는 인증 정책과 절차를 일관되게 적용하기 위해 분산화된 관리를 제공한다.
② 사용자는 단 한번만 로그인 하면 되므로 보다 강력한 패스워드를 사용해야 한다.
③ 정적 패스워드는 보안에 취약하므로 이중요소 인증이나 동적(일회용) 패스워드가 필요하다.
④ SO 서버는 타임아웃 임계치의 설정을 허용하고 일정 기간 동작하지 않은 경우 연결을 종료한다.
107. 다음 중 일방향 해시 함수의 응용 예로 가장 적절하지 않은 것은?
① 재전송 공격 방지
② 메시지 인증 코드 생성
③ 소프트웨어 변경 여부 검출
④ 패스워드 기반 암호 시스템
108. 다음 설명에 해당하는 제도로 가장 적절한 것은?
① CC(Comon Criteria) 인증
② ISMS(Information Security Management System) 인증
③ TCSEC(Trusted Computer Security Evaluation Criteria)
④ PIMS(Personal Information Management System) 인증
109. 정량적 위험분석 과정에서 파일서버에 대한 위험, 가치, 노출 인자(EF : Exposure Factor), 연간 발생빈도(ARO : Annual Rate of Occurrence)가 다음과 같을 때, 단일 예상손실액(SLE : Single Loss Expectancy)과 연간 예상 손실액(ALE : Annual Loss Expectancy)은 각각 얼마인가?
① $50,000, $5,000
② $25,000, $5,000
③ $50,000, $10,000
④ $25,000, $10,000
110. 유닉스/리눅스 환경에서 다음 설명에 해당하는 것으로 가장 적절한 것은?
① 환경변수 PATH 설정
② 디렉토리에 대한 sticky 비트 설정
③ 일반 사용자로의 chown 설정
④ 실행 파일에 대한 SetUID 설정
111. 다음 설명에 해당하는 공격 방법으로 가장 적절한 것은?
① 재전송 공격
② 사전 공격
③ 중간자 공격
④ 반사 공격
112. 다음에 제시한 취약점을 이용한 공격 기법으로 가장 적절한 것은?
① XSS 공격
② 레이스 컨디션 공격
③ SQL 인젝션
④ 디렉토리 리스팅
113. 안드로이드 개발 환경에서 안드로이드 단말기 내의 보호대상 자원 혹은 정보에 접근하기 위해 개발자가 필요한 권한을 명시해 놓은 파일은?
① AndroidManifest.xml
② strings.xml
③ res/layout activity_프로젝트명.xml
④ styles.xml
114. 디지털 포렌식과 관련하여 다음에 제시된 하드디스크 상의 특정 위치를 지칭하는 용어는?
① 부트 블록 공간
② 수퍼 블록 공간
③ 주 파티션 공간
④ 슬랙 공간
115. 개인정보의 안전성 확보조치 기준에서 명시하고 있는 정보통신망에 대한 불법적인 접근 및 침해사고 방지를 위한 접근 통제 조치에 대한 설명으로 가장 적절하지 않은 것은?
① 개인정보처리시스템에 대한 접속 권한을 IP(Internet Protocol) 주소 등으로 제한하여 인가받지 않은 접근을 제한해야 한다.
② 개인정보처리시스템에 접속한 IP 주소 등을 분석하여 불법적인 개인정보 유출 시도를 탐지 및 대응해야 한다.
③ 개인정보처리자는 개인정보의 유출을 방지하기 위해 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속할 수 없도록 해야 한다.
④ 고유식별 정보를 처리하는 개인정보처리자는 인터넷 홈페이지를 통해 고유식별 정보가 유출·변조·훼손되지 않도록 연 1회 이상 취약점을 점검하고 필요한 보완 조치를 하여야 한다
116. 다음에 제시된 시스템으로 가장 적절한 것은?
① DLP(Data Los Prevention)
② IPS(Intrusion Prevention System)
③ MDM(Mobile Device Management)
④ SIEM(Security Information Event Management)
117. 정보보호 관리체계 인증 등에 관한 고시(과기정통부고시 제2017-7호)의 [별표 7] 정보보호 관리 체계 인증기준 중 물리적 보안 통제분야의 통제사항과 가장 거리가 먼 것은?
① 개발과 운영환경 분리
② 출입통제
③ 시스템 배치 및 관리
④ 개인업무 환경보안
118. 주요 통제 목표가 목표복구시간과 목표복구대상이며, 전사적인 차원에서 이루어지는 관리활동으로 가장 적절한 것은?
① 위험관리
② 전사적 자원 관리
③ 업무 연속성 관리
④ 재난 복구 계획 관리
119. 정보통신서비스 제공자가 이용자의 동의 없이 개인정보를 수집·이용할 수 있는 경우로 가장 거리가 먼 것은?
① 이용자 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우
② 정보통신서비스의 제공에 관한 계약을 이행하기 위하여 필요한 개인정보로서 경제적·기술적인 사유로 통상적인 동의를 받는 것이 뚜렷하게 곤란한 경우
③ 정보통신서비스의 제공에 따른 요금정산을 위하여 필요한 경우
④ 정보통신망법 또는 다른 법률에 특별한 규정이 있는 경우
120. 위험관리 과정에서 위험완화 방법에 대한 설명으로 가장 거리가 먼 것은?
① 회피(avoidance): 위험이 존재하는 프로세스나 사업을 수행하지 않는 것
② 이전(transfer): 위험의 잠재적 비용을 상대방에게 이전하거나 분배하는 것
③ 감소(reduction): 위험을 감소시킬 수 있는 대책을 채택하여 구현하는 것
④ 수용(aceptance): 위험을 받아들이고 비용을 감수하는 것