2 미러사이트 (Mirror Site) 3 웜사이트 (Warm Site) 4 콜드사이트 (Cold Site) - 미러사이트 (Mirror Site) : 메인센터와동일한수준의정보기술자원을원격지에구축하고, 메인센터와재해복구센터모두액티브상태로실시간동시서비스를하는방식이다. R

Size: px

Start display at page:

Download "2 미러사이트 (Mirror Site) 3 웜사이트 (Warm Site) 4 콜드사이트 (Cold Site) - 미러사이트 (Mirror Site) : 메인센터와동일한수준의정보기술자원을원격지에구축하고, 메인센터와재해복구센터모두액티브상태로실시간동시서비스를하는방식이다. R"

누리 서
5 years ago
Views:

1 2015 년도국가직 9 급정보보호론 문 1. 다음에서설명하는공격방법은? 2 정보보안에서사람의심리적인취약점을악용하여비밀정보를취득하거나컴퓨터접근권한등을얻으려고하는공격방법이다 1 스푸핑공격 2 사회공학적공격 3 세션가로채기공격 4 사전공격 - 사회공학적공격 : 시스템이나네트워크의취약점을이용한해킹기법이아니라사회적이고심리적인요인을이용하여해킹하는것을가리키는말이다. 문 2. 능동적보안공격에해당하는것만을모두고른것은? 4 도청 감시 신분위장 서비스거부 1 ㄱ, ㄴ 2 ㄱ, ㄷ 3 ㄴ, ㄷ 4 ㄷ, ㄹ - 능동적공격 ( 적극적공격 ) 은데이터에대한변조를하거나직접패킷을보내서시스템의무결성, 가용성, 기밀성을공격하는것으로직접적인피해를입힌다. - 수동적공격 ( 소극적공격 ) 은데이터도청, 수집된데이터분석등이있으며, 직접적인피해를입히지는않는다.. 문 3. 다음에서설명하는재해복구시스템의복구방식은? 1 재해복구센터에주센터와동일한수준의시스템을대기상태로두어 동기적또는비동기적방식으로실시간복제를통하여최신의데이터상태를유지하고있다가 재해시재해복구센터의시스템을활성화상태로전환하여복구하는방식이다 1 핫사이트 (Hot Site) - 1 -

2 2 미러사이트 (Mirror Site) 3 웜사이트 (Warm Site) 4 콜드사이트 (Cold Site) - 미러사이트 (Mirror Site) : 메인센터와동일한수준의정보기술자원을원격지에구축하고, 메인센터와재해복구센터모두액티브상태로실시간동시서비스를하는방식이다. RTO( 복구소요시간 ) 은이론적으로 0이다. - 핫사이트 (Hot Site) : 메인센터와동일한수준의정보기술자원을대기상태로사이트에보유하면서, 동기적또는비동기적방식으로실시간미러링을통하여데이터를최신상태로유지한다. RTO( 복구소요시간 ) 은수시간이내이다. - 웜사이트 (Warm Site) : 메이센터와동일한수준의정보기술자원을보유하는대신중요성이높은기술자원만부분적으로보유하는방식이다. 실시간미러링을수행하지않으며데이터의백업주기가수시간 ~1일 (RTO) 정도로핫사이트에비해다소길다 - 콜드사이트 (Cold Site) : 데이터만원격지에보관하고서비스를위한정보자원은확보하지않거나최소한으로만확보하는유형이다. 메인센터의데이터는주기적수일~ 수주 (RTO) 으로원격지에백업한다. 문 4. 정보보안의기본개념에대한설명으로옳지않은것은? 3 1 Kerckhoff 의원리에따라암호알고리즘은비공개로할필요가없다. 2 보안의세가지주요목표에는기밀성, 무결성, 가용성이있다. 3 대칭키암호알고리즘은송수신자간의비밀키를공유하지않아도된다. 4 가용성은인가된사용자에게서비스가잘제공되도록보장하는것이다. - 대칭키암호알고리즘은송수신자간의비밀키를공유하여야한다. 이는대칭키암호알고리즘의단점이기도하다. - Kerckhoff 의원리 : Kerckhoff 에따르면암호문의안전성은비밀키의비밀성에만기반을두라고권장한다. 키를알아내는것이매우여러워서암 / 복호화알고리즘을비밀로한필요가없어야한다는것이다. 문 5. 공개키기반구조 (PKI : Public Key Infrastructure) 의인증서에대한설명으로옳은것만을모두고른것은? 1 인증기관은인증서및인증서취소목록등을관리한다 인증기관이발행한인증서는공개키와공개키의소유자를공식적으로연결해준다 인증서에는소유자정보 공개키 개인키 발행일 유효기간등의정보가담겨있다 공인인증서는인증기관의전자서명없이사용자의전자서명만으로공개키를공증한다 - 2 -

3 1 ㄱ, ㄴ 2 ㄱ, ㄷ 3 ㄴ, ㄷ 4 ㄷ, ㄹ - 인증서의구조 : 버전 (Version), 일련번호 (Serial Number), 알고리즘식별자 (Algorithm Identifier), 발행자 (Issuer), 유효기간 (Period of validity), 주체 (Subject), 공개키정보 (Public-key information), 서명 (Signature) -인증서에는인증기관 (CA : Certificate Authority) 의서명문을포함한다. 문 6. 위험분석에대한설명으로옳지않은것은? 4 1 자산의식별된위험을처리하는방안으로는위험수용, 위험회피, 위험전가등이있다. 2 자산의가치평가를위해자산구입비용, 자산유지보수비용등을고려할수있다. 3 자산의적절한보호를위해소유자와책임소재를지정함으로써자산의책임추적성을보장받을수있다. 4 자산의가치평가범위에데이터베이스, 계약서, 시스템유지보수인력등은제외된다. - 자산의가치평가범위에는서버시스템, 네트워크, 정보시스템, 보안시스템, 데이터베이스, 문서, 소프트웨어, 물리적환경등이포함된다. 문 7. 메시지인증코드 (MAC:Message Authentication Code) 를이용한메시지인증방법에대한설명으로옳지않은것은? 4 1 메시지의출처를확신할수있다. 2 메시지와비밀키를입력받아메시지인증코드를생성한다. 3 메시지의무결성을증명할수있다. 4 메시지의복제여부를판별할수있다. - MAC 값은검증자 ( 비밀키를소유한사람 ) 의허가에의해서메시지의데이터인증과더불어무결성을보호한다. 문 8. 유닉스 (Unix) 의로그파일과기록되는내용을바르게연결한것은? 1-3 -

4 명령창에실행했던명령내역 명령어사용내역 실패한로그인시도내역 파일전송내역 1 ㄱ, ㄴ 2 ㄱ, ㄷ 3 ㄴ, ㄷ 4 ㄷ, ㄹ - xferlog : FTP 서버의데이터전송관련로그 - loginlog : 5번이상로그인에실패한정보기록 문 9. 전송계층보안프로토콜인 TLS(Transport Layer Security) 가제공하는보안서비스에해당하지않는것은? 1 1 메시지부인방지 2 클라이언트와서버간의상호인증 3 메시지무결성 4 메시지기밀성 - 상호인증 : 클라이언트와서버간의상호인증 (RSA, DSS, X.509) - 기밀성 : 대칭키암호화알고리즘을통한데이터의암호화 (DES, 3DES, RC4 등 ) - 데이터무결성 : MAC 기법을이용해데이터변조여부확인 (HMAC-md5, HMAC-SHA-1) 문 10. 다음에서설명하는스니퍼탐지방법에이용되는것은? 3 스니핑공격을하는공격자의주요목적은사용자 와패스워드의획득에있다 보안관리자는이점을이용하가짜 와패스워드를네트워크에계속보내고 공격자가이 와패스워드를이용하여접속을시도할때스니퍼를탐지한다 1 ARP 2 DNS 3 Decoy 4 ARP watch - 유인 (Decoy) 을이용한스니퍼탐지 : 스니핑공격을하는공격자의주요목적은 ID와패스워드의획득에있다. 가짜 ID와패스워드를네트워크에계속뿌려공격자가이 ID와패스워드를이용하여접속을 - 4 -

5 시도할때공격자를탐지할수있다. 문 11. 다음에제시된 < 보기 1> 의사용자인증방법과 < 보기 2> 의사용자인증도구를바르게연결한것은? 3 보기 지식기반인증 소지기반인증 생체기반인증 보기 토큰 패스워드 홍채 ㄱ ㄴ ㄷ 1 A B C 2 A C B 3 B A C 4 B C A - 지식기반인증 : 패스워드 - 소유 ( 소지 ) 기반인증 : 스마트카드, 토큰 - 존재 ( 생체 ) 인증기반 : 지문, 홍채, 망막 - 행위기반인증 : 서명, 움직임 문 12. 정보통신망이용촉진및정보보호등에관한법률 상용어의정의에대한설명으로옳지않은것은? 3 1 정보통신서비스 : 전기통신사업법 제2조제 6호에따른전기통신역무와이를이용하여정보를제공하거나정보의제공을매개하는것 2 정보통신망 : 전기통신사업법 제2조제 2호에따른전기통신설비를이용하거나전기통신설비와컴퓨터및컴퓨터의이용기술을활용하여정보를수집 가공 저장 검색 송신또는수신하는정보통신체제 3 통신과금서비스이용자 : 정보보호제품을개발 생산또는유통하는사람이나정보보호에관한컨설팅등과관련된사람 4 침해사고 : 해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스거부또는고출력전자기파등의방법으로정보통신망또는이와관련된정보시스템을공격하는행위를하여발생한사태 정보통신망이용촉진및정보보호등에관한법률제2조 ( 정의 ) - 통신과금서비스이용자 : 통신과금서비스제공자로부터통신과금서비스이용하여재화등을구입 이용하는자를말한다

6 문 13. 안드로이드보안에대한설명으로옳지않은것은? 4 1 리눅스운영체제와유사한보안취약점을갖는다. 2 개방형운영체제로서의보안정책을적용한다. 3 응용프로그램에대한서명은개발자가한다. 4 응용프로그램간데이터통신을엄격하게통제한다. 안드로이드환경은앱의파일복제가자유롭고마켓의검증과정이철저하지않으며 개발과배포가자유로운오픈소스플랫폼과오픈마켓의특성으로인한보안에대한본질적인문제는극복하기가쉽지않다 문 14. 개인정보보호인증 (PIPL) 제도에대한설명으로옳은것은? 2 1 물리적안전성확보조치심사영역에는악성소프트웨어통제심사항목이있다. 2 인증절차는인증심사준비단계, 심사단계, 인증단계로구성되며, 인증유지관리를위한유지관리단계가있다. 3 개인정보보호를위해관리계획수립과조직구축은정보주체권리보장심사영역에속한다. 4 인증을신청할수있는기관은공공기관에한정한다. 악성소프트웨어통제는기술적안전성확보조치에포함되며 물리적안전성확보조치는 의설치및운영에대한보호조치및물리적출입통제등에대한보호조치사항을정한다 정보주체권리보장심사영역에속하는것은개인정보의열람 정정 삭제 개인정보의처리정지 권리행사의방법및절차이며 관리계획수립은보호관리체계의수립심사영역이다 개인정보보호인증 의적용대상은업무를목적으로개인정보를처리하는공공기관 민간기업 법인 단체및개인등모든공공기관및민간개인정보처리자를대상으로한다 문 15. 해킹에대한설명으로않은것은? 2 1 SYN Flooding 은 TCP 연결설정과정의취약점을악용한서비스거부공격이다. 2 Zero Day 공격은시그니처 (signature) 기반의침입탐지시스템으로방어하는것이일반적이다. 3 APT 는공격대상을지정하여시스템의특성을파악한후지속적으로공격한다. 4 Buffer Overflow 는메모리에할당된버퍼의양을초과하는데이터를입력하는공격이다. - 침입탐지시스템에서시그니처 (signature) 기반은오용탐지에해당되며, 오용탐지는 Zero Day 공격을탐지할수없다. 비정상행위탐지가 Zero Day 공격을탐지할수는있다. 문 16. 다음에서설명하는웹서비스공격은? 4-6 -

7 공격자가사용자의명령어나질의어에특정한코드를삽입하여 인증을우회하거나데이터를조작한다 1 직접객체참조 2 Cross Site Request Forgery 3 Cross Site Scripting 4 SQL Injection - SQL Injection : 응용프로그램보안상의허점을의도적으로이용해, 개발자가생각지못한 SQL문을실행되게함으로써데이터베이스를비정상적으로조작하는공격방법이다. 문 17. 사용자와인증서버간대칭키암호를이용한시도 - 응답 (Challenge-Response) 인증방식에대한설명으로옳지않은것은? 3 1 재전송공격으로부터안전하게사용자를인증하는기법이다. 2 인증서버는사용자인증을위해사용자의비밀키를가지고있다. 3 사용자시간과인증서버의시간이반드시동기화되어야한다. 4 Response 값은사용자의비밀키를사용하여인증서버에서전달받은 Challenge 값을암호화한값이다. - OTP(One Time Password) 의구현에이용되는방식은비동기화방식과동기화방식이있다. 비동기화방식은미리설정되어있는동기화기준정보가없어난수값을이용하며, 대표적인예가시도 - 응답 (Challenge-Response) 인증방식이다. 문 18. 국제공통평가기준 (Common Criteria) 에대한설명으로옳지않은것은? 2 1 국가마다서로다른정보보호시스템평가기준을연동하고평가결과를상호인증하기위해제정된평가기준이다. 2 보호프로파일 (Protection Profiles) 은특정제품이나시스템에만종속되어적용하는보안기능수단과보증수단을기술한문서이다. 3 평가보증등급 (EAL:Evaluation Assurance Level) 에서가장엄격한보증 (formally verified) 등급은 EAL7 이다. 4 보안요구조건을명세화하고평가기준을정의하기위한 ISO/IEC 표준이다. 보안목표명세서가특정 평가대상물 을서술하는반면 보호프로파일은 유형을서술한다 따라서동일한보호프로파일이여러평가에사용될다양한보안목표명세서들에대한기본모델 로써사용된다 - 7 -

8 문 19. 개인정보보호법 상주민등록번호처리에대한설명으로옳지않은것은? 1 1 주민등록번호를목적외의용도로이용하거나이를제3자에게제공하지아니하면다른법률에서정하는소관업무를수행할수없는경우, 개인인개인정보처리자는개인정보보호위원회의심의 의결을거쳐목적외의용도로이용하거나이를제3자에게제공할수있다. 2 행정자치부장관은개인정보처리자가처리하는주민등록번호가유출된경우에는 5억원이하의과징금을부과 징수할수있으나, 주민등록번호가유출되지아니하도록개인정보처리자가 개인정보보호법 에다른안전성확보에필요한조치를다한경우에는그러하지아니하다. 3 개인정보처리자는정보주체가인터넷홈페이지를통하여회원으로가입하는단계에서는주민등록번호를사용하지아니하고도회원으로가입할수있는방법을제공하여야한다. 4 개인정보처리자는주민등록번호가분실 도난 유출 변조또는훼손되지아니하도록암호화조치를통하여안전하게보관하여야한다. - 보기1 번은주민등록번호가아니라, 개인정보이다. 주민등록번호는개인정보보호법제24 조의2 에서명시하는경우를제외하고는처리 / 수집 / 제공할수없다. - 제24 조의2( 주민등록번호처리의제한 ) 1 제24 조제1 항에도불구하고개인정보처리자는다음각호의어느하나에해당하는경우를제외하고는주민등록번호를처리할수없다. 1. 법령에서구체적으로주민등록번호의처리를요구하거나허용한경우 2. 정보주체또는제3자의급박한생명, 신체, 재산의이익을위하여명백히필요하다고인정되는경우 3. 제1호및제2호에준하여주민등록번호처리가불가피한경우로서안전행정부령으로정하는경우 - 제18 조 ( 개인정보의목적외이용ㆍ제공제한 ) 1 개인정보처리자는개인정보를제15 조제1 항에따른범위를초과하여이용하거나제17 조제1 항및제3항에따른범위를초과하여제3자에게제공하여서는아니된다. 2 제1항에도불구하고개인정보처리자는다음각호의어느하나에해당하는경우에는정보주체또는제3자의이익을부당하게침해할우려가있을때를제외하고는개인정보를목적외의용도로이용하거나이를제3자에게제공할수있다. 다만, 제5호부터제9호까지의경우는공공기관의경우로한정한다. 문 20. 다음에서설명하는윈도우인증구성요소는? 2 사용자의계정과패스워드가일치하는사용자에게고유의 를부여한다 에기반을두어파일이나디렉터리에대한접근의허용여부를결정하고이에대한감사메시지를생성한다 1 LSA(Local Security Authority) 2 SRM(Security Reference Monitor) 3 SAM(Security Account Manager) - 8 -

9 4 IPSec(IP Security) - SRM (Security Reference Monitor) : SAM 이사용자의계정과패스워드가일치하는지를확인하여 SRM (Security Refenrnce Monitor) 에게알려주면, SRM은사용자에게고유의 SID(Security Identifier) 를부여한다. SRM은 SID에기반하여파일이나디렉토리에접근 (access) 제어를하게되고, 이에대한감사메시지를생성한다.( 실질적으로 SAM에서인증을거치고나서권한을부여하는모듈이라고생각하면된다 ) - LSA (Local security Authority) : 모든계정의로그인에대한검증, 시스템자원및파일등에대한접근권한을검사한다. SRM이생성한감사로그를기록하는역할을한다.( 즉, NT 보안의중심요소, 보안서브시스템 (Security subsystem) 이라고부르기도한다.) - SAM (Security Account Manager) : 사용자 / 그룹계정정보에대한데이터베이스를관리한다. 사용자의로그인입력정보와 SAM 데이터베이스정보를비교하여인증여부를결정하도록해주는것이다

< F B3E22039B1DE20B1B9B0A1C1F7BDC3C7E D20B9E8BACEBFEB2E687770>

< F B3E22039B1DE20B1B9B0A1C1F7BDC3C7E D20B9E8BACEBFEB2E687770> 2015 년국가직 9 급정보보호론총평 - 지안학원조상진교수 1. 문제분석 ( 가 ) 전년도에비해난이도상승 2014년에정보보호론은총 7회 (5회공개, 2회비공개 ) 실시되었습니다. 전년도가장난이도있게출제된시험이지방직시험이었는데, 이와비슷하거나약간어려운것같습니다. 전체적으로지문도길어졌고, 문제도천천히읽고생각하지않으면틀릴수있는함정이있는문제들이많이보입니다. 정보보호론을전체적으로이해하지않고,