2 미러사이트 (Mirror Site) 3 웜사이트 (Warm Site) 4 콜드사이트 (Cold Site) - 미러사이트 (Mirror Site) : 메인센터와동일한수준의정보기술자원을원격지에구축하고, 메인센터와재해복구센터모두액티브상태로실시간동시서비스를하는방식이다. R

Similar documents
< F B3E22039B1DE20B1B9B0A1C1F7BDC3C7E D20B9E8BACEBFEB2E687770>


RHEV 2.2 인증서 만료 확인 및 갱신


본 강의에 들어가기 전

1. 제품 개요 WeGuardia WIPS V2.0(이하 TOE)은 특정 조직에서 운영되는 무선랜에 대한 지속적인 모니터을 통해 내 외부로부터 발생할 수 있는 각종 침입을 탐지 및 차단하여 내부의 네트워크를 보호하는 무선침입방지시스템이다. TOE의 세부 식별자 및 배포

1. 제품 개요 AhnLab Policy Center 4.6 for Windows(이하 TOE)는 관리대상 클라이언트 시스템에 설치된 안랩의 안티바이러스 제품인 V3 제품군에 대해 보안정책 설정 및 모니터링 등의 기능을 제공하여 관리대상 클라이언트 시스템에 설치된 V3

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자

1 - 서울특별시강서구누리소통망서비스 (SNS) 관리및 운영에관한조례제정안 검토보고서 1. 회부경위 가. 의안번호 : 나. 제출자 : 서울특별시강서구청장다. 제출일 : 2017 년 5월 2일라. 회부일자 : 2017 년 5월 8일 2. 제안이유 인터넷,

< FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>

untitled

슬라이드 1

이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론

Windows 8에서 BioStar 1 설치하기

목 차 1. 개요 1 2. 규격의구성및범위 1 3. 관련표준및규격 국외표준및규격 국내표준및규격 기타 2 4. 정의 전자서명법용어정의 용어의정의 용어의효력 2 5. 약어 3 6. 사용자인증 3 7. 전송채널

암호내지

PowerPoint 프레젠테이션

개인정보보호지침 개인정보보호지침 제 6 장영상정보처리기기설치 운영 제 1 절영상정보처리기기의설치 제61조 ( 적용범위 ) 이장은본교가공개된장소에설치 운영하는영상정보처리기기와이기기를통하여처리되는개인영상정보를대상으로한다. 제62조 ( 영상정보처리기기운영 관리방침 ) 1 영

Microsoft PowerPoint - chap06.ppt

yessign Version 3.1 (yessign). ccopyright 2009 yessign ALL RIGHTS RESERVED

<4D F736F F D205B46696E616C5DB0B3C0CEC1A4BAB8C3B3B8AEB9E6C4A75FC1F7BFF8BFEB5F E30332E3239>

HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 :


TTA Journal No.157_서체변경.indd

1. 정보보호 개요

CR HI-TAM 4.0 인증보고서 인증번호 : CISS 년 12 월 IT 보안인증사무국

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

동양미래대학교규정집제 8 편정보보안 ~2 제4조 ( 책임사항 ) 1. 정보보안담당관 : 대학의전반적인보안계획을수립관리하는자로대학에서 1명을선정하여, 암호화기술및프로그램등암호와관련된모든사항들에대해서최종승인과총괄적인관리를담당한다. 그리고기술의발달에따라암호화기술및

Zentralanweisung

Observational Determinism for Concurrent Program Security

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

PowerPoint Template

Lecture22

A Study on the efficient mutual authentication mechanism using the agent server

취약점분석보고서 [Photodex ProShow Producer v ] RedAlert Team 안상환

개인정보보호담당자 란개인정보책임자가업무를수행함에있어보조적인역할을하는자를말하며개인정보보호책임자가일정요건의자격을갖춘이를지정한다 개인정보취급자 란개인정보처리자의지휘 감독을받아개인정보를처리하는업무를담당하는자로서직접개인정보에관한업무를담당하는자와그밖에업무상필요에의해개인정보에접근하

[ 목차 ]

0. 들어가기 전

- - yessign Version 3.5 (yessign)

SSL Strip Attack JAC (SemiDntmd) 이우승 semidntmd.tistory.com

개인정보처리방침 제1조 ( 개인정보의처리목적 ) 1 정보통신정책연구원 ( 이하 연구원 이라한다 ) 은개인정보의처리목적에필요한최소한의개인정보를처리하고있으며, 연구원홈페이지 ( 또는소관부서의홈페이지에게재하여정보주체가확인할수있도록안내를하고있습니다

1장. 유닉스 시스템 프로그래밍 개요

1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대

All your private keys are belong to us_번역중.doc

개인정보수집 제공동의서작성가이드라인 업무처리에필요한개인정보파악 처리하고자하는업무에꼭필요한최소한의개인정보는어떤것들이있는지파악합니다 고유식별정보나민감정보는일반개인정보와구분하여처리하여야하므로처리하고자하는개인정보중에고유식별정보나민감정보가있는지확인해야합니다 개인정보의보유기간확인

< FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770>

인증기관간상호연동을위한 CTL 기술규격 CTL Technical Specification for the Interoperability of Certification Authorities 년 월

슬라이드 1

좀비PC

Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University

프랑스 (Loi n du 6 janvier 1978 relative a l'informatique, aux fichiers et aux libertes L'Assemblee nationale et le Senat ont adopte) 독일 (Bundesdat

서비스) 와서버( 관리대상서버) 간에자격증명을사용하여서로의 ID 를확인하고서로주고받는데이터를검사하고암호화하는프로세스 이다. 높은인증수준은일반적으로성능의저하를가져올수있지만높은 수준의보안과데이터무결성을제공한다. 기본값 - 관리대상서버에설정되어있는 DCOM 인증수준기본 값을

대림코퍼레이션은 ( 이하 ' 회사 ' 라칭함 ) 개인정보보호법, 정보통신망이용촉진및정보보호에관한법률 을준수하고있으며, 정보주체의개인정보보호및권익을보호하고개인정보와관련한정보주체의고충을원활하게처리할수있도록다음과같은개인정보처리방침을제정하고이를준수하고있습니다. 회사의 " 개인

개인정보처리방침 ( 개정 ) 한국교육개발원 ' 방송통신중 고등학교운영센터 ( 이하 운영센터 )' 에서취급하는모든개인정보는관련법령에근거하여수집 보유및처리되고있습니다. 개인정보보호법 은이러한개인정보의취급에대한일반적규범을제시하고있으며, < 방송중 고사이버교

05 암호개론 (2)

Microsoft PowerPoint - 6.pptx

정보보안 개론과 실습:네트워크

DBMS & SQL Server Installation Database Laboratory

Zentralanweisung

Tomcat 4.x 웹서버에 J2SE 를설치를확인합니다. java -version java version "1.4.2_05" Java(TM) 2 Runtime Environment, Standard Edition (build 1.4.2_05-b04) Java HotSp

07.기업의 정보보호를 위한 암호 정책 수립 지침_KCS.KO hwp

취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환

말은 많은 Blockchain 2

정보보안 개론과 실습:네트워크

Subnet Address Internet Network G Network Network class B networ

Microsoft PowerPoint - chap09.ppt

범정부서비스참조모형 2.0 (Service Reference Model 2.0)

<B0B3C0CEC1A4BAB8C3B3B8AEB9E6C4A728BFCDC0CCBFA1BDBAC0E5292E687770>

PowerPoint Template

120330(00)(1~4).indd

1장 암호의 세계

<4D F736F F D205B D D20C0CFC8B8BFEBC6D0BDBABFF6B5E55F4F54505F20C5E4C5AB20BAB8BEC820BFE4B1B8BBE7C7D72E646F63>

개인

Microsoft Word - TTAK.KO doc

목 차 1. 정보보호시스템평가 인증제도 2. 국내외평가 인증제도비교 3. 국제공통평가기준 (CC: Common Criteria) 4. 국외 CC 활용동향 5. CC 수용효과 2

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

1아이리포 기술사회 모의고사 참조답안

....

< F5320B4EBC0C0C0E5BAF1BFA120B4EBC7D120BAB8BEC8B1E2B4C920B0A1C0CCB5E528C3D6C1BE292E687770>

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

20 여상수(763~772).hwp

개인정보취급방침 제정 개정 개정 베스타스자산운용 ( 주 )( 이하 " 회사 " 이라한다 ) 는개인정보보호법제 30 조에따라정보주체의개인 정보를보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여다음과 같이

AISF2014_template

디지털컨버전스시대의사용자인증혁신 디지털컨버전스시대가도래하면서디지털세상으로진입하는관문인사용자인증이더욱중요해지고있습니다. 기업과서비스공급자는사용자가본인의정보에더욱안전하게접속할수있도록다양한인증수단을적용하고있습니다. 그러나복잡한인증과정은사용자의피로도를증가시켰으며, 이로인해발생

목차 Ⅰ. 개인정보의안전성확보조치기준 1 Ⅱ. 개인정보의안전성확보조치기준해설 9 [ 제1조 ] 목적 10 [ 제2조 ] 정의 12 [ 제3조 ] 안전조치기준적용 26 [ 제4조 ] 내부관리계획의수립 시행 28 [ 제5조 ] 접근권한의관리 41 [ 제6조 ] 접근통제 4

untitled

bn2019_2

[로플랫]표준상품소개서_(1.042)

1. 제품 개요 GuardCom V1.0(이하 TOE)은 사내에서 이용하는 업무용 PC에 저장되어 있는 민감한 콘텐츠(주민등록번호, 운전면허번호, 여권번호 등의 개인정보 또는 TOE 관리자가 정의한 데이터)를 주기적 혹은 사용자 요청 시 검색 및 관리하여 유출 가능성이

PowerPoint Template

1. WLAN - IEEE MAC - WLAN 카드 Mode - MAC Frame Type 과무선네트워크연결과정 2. WEP - WEP 란? 3. WEP Crack 4. WPA - IEEE 802.1x - WPA 5. WPA Crack 6. 대

PowerPoint 프레젠테이션

PowerPoint Presentation

DB 암호화상식백과는 DB 암호화상식백과는 DB 암호화구축을고려하는담당자들이궁금해하는점들을모아만든자료 집입니다. 법률적인부분부터시스템적인부분까지, DB 암호화에대한궁금증을해소해드리겠습니 다. DB 암호화상식백과목차 1. DB 암호화기본상식 1) DB암호화근거법조항 2)

메일서버등록제(SPF) 인증기능적용안내서 (AIX - sendmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 AIX 5.3 sendmail spf-filter 년 6 월

< C617720BBF3B4E3BBE7B7CAC1FD20C1A632B1C72E687770>

개인정보처리방침_성동청소년수련관.hwp

The Pocket Guide to TCP/IP Sockets: C Version

제 1 장개요 1 1. 배경 2 2. 가이드목적및구성 4 제 2 장중앙관리소프트웨어악용사례 5 제 3 장중앙관리소프트웨어보안가이드 9 1. 중앙관리소프트웨어보안체계 9 2. 관리프로그램보안 중앙관리소프트웨어운영보안 11 제 4 장중앙관리소프트웨어보안가이드항목

메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - qmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i qmail 1.03 spf-filter 년 6 월

Transcription:

2015 년도국가직 9 급정보보호론 문 1. 다음에서설명하는공격방법은? 2 정보보안에서사람의심리적인취약점을악용하여비밀정보를취득하거나컴퓨터접근권한등을얻으려고하는공격방법이다 1 스푸핑공격 2 사회공학적공격 3 세션가로채기공격 4 사전공격 - 사회공학적공격 : 시스템이나네트워크의취약점을이용한해킹기법이아니라사회적이고심리적인요인을이용하여해킹하는것을가리키는말이다. 문 2. 능동적보안공격에해당하는것만을모두고른것은? 4 도청 감시 신분위장 서비스거부 1 ㄱ, ㄴ 2 ㄱ, ㄷ 3 ㄴ, ㄷ 4 ㄷ, ㄹ - 능동적공격 ( 적극적공격 ) 은데이터에대한변조를하거나직접패킷을보내서시스템의무결성, 가용성, 기밀성을공격하는것으로직접적인피해를입힌다. - 수동적공격 ( 소극적공격 ) 은데이터도청, 수집된데이터분석등이있으며, 직접적인피해를입히지는않는다.. 문 3. 다음에서설명하는재해복구시스템의복구방식은? 1 재해복구센터에주센터와동일한수준의시스템을대기상태로두어 동기적또는비동기적방식으로실시간복제를통하여최신의데이터상태를유지하고있다가 재해시재해복구센터의시스템을활성화상태로전환하여복구하는방식이다 1 핫사이트 (Hot Site) - 1 -

2 미러사이트 (Mirror Site) 3 웜사이트 (Warm Site) 4 콜드사이트 (Cold Site) - 미러사이트 (Mirror Site) : 메인센터와동일한수준의정보기술자원을원격지에구축하고, 메인센터와재해복구센터모두액티브상태로실시간동시서비스를하는방식이다. RTO( 복구소요시간 ) 은이론적으로 0이다. - 핫사이트 (Hot Site) : 메인센터와동일한수준의정보기술자원을대기상태로사이트에보유하면서, 동기적또는비동기적방식으로실시간미러링을통하여데이터를최신상태로유지한다. RTO( 복구소요시간 ) 은수시간이내이다. - 웜사이트 (Warm Site) : 메이센터와동일한수준의정보기술자원을보유하는대신중요성이높은기술자원만부분적으로보유하는방식이다. 실시간미러링을수행하지않으며데이터의백업주기가수시간 ~1일 (RTO) 정도로핫사이트에비해다소길다 - 콜드사이트 (Cold Site) : 데이터만원격지에보관하고서비스를위한정보자원은확보하지않거나최소한으로만확보하는유형이다. 메인센터의데이터는주기적수일~ 수주 (RTO) 으로원격지에백업한다. 문 4. 정보보안의기본개념에대한설명으로옳지않은것은? 3 1 Kerckhoff 의원리에따라암호알고리즘은비공개로할필요가없다. 2 보안의세가지주요목표에는기밀성, 무결성, 가용성이있다. 3 대칭키암호알고리즘은송수신자간의비밀키를공유하지않아도된다. 4 가용성은인가된사용자에게서비스가잘제공되도록보장하는것이다. - 대칭키암호알고리즘은송수신자간의비밀키를공유하여야한다. 이는대칭키암호알고리즘의단점이기도하다. - Kerckhoff 의원리 : Kerckhoff 에따르면암호문의안전성은비밀키의비밀성에만기반을두라고권장한다. 키를알아내는것이매우여러워서암 / 복호화알고리즘을비밀로한필요가없어야한다는것이다. 문 5. 공개키기반구조 (PKI : Public Key Infrastructure) 의인증서에대한설명으로옳은것만을모두고른것은? 1 인증기관은인증서및인증서취소목록등을관리한다 인증기관이발행한인증서는공개키와공개키의소유자를공식적으로연결해준다 인증서에는소유자정보 공개키 개인키 발행일 유효기간등의정보가담겨있다 공인인증서는인증기관의전자서명없이사용자의전자서명만으로공개키를공증한다 - 2 -

1 ㄱ, ㄴ 2 ㄱ, ㄷ 3 ㄴ, ㄷ 4 ㄷ, ㄹ - 인증서의구조 : 버전 (Version), 일련번호 (Serial Number), 알고리즘식별자 (Algorithm Identifier), 발행자 (Issuer), 유효기간 (Period of validity), 주체 (Subject), 공개키정보 (Public-key information), 서명 (Signature) -인증서에는인증기관 (CA : Certificate Authority) 의서명문을포함한다. 문 6. 위험분석에대한설명으로옳지않은것은? 4 1 자산의식별된위험을처리하는방안으로는위험수용, 위험회피, 위험전가등이있다. 2 자산의가치평가를위해자산구입비용, 자산유지보수비용등을고려할수있다. 3 자산의적절한보호를위해소유자와책임소재를지정함으로써자산의책임추적성을보장받을수있다. 4 자산의가치평가범위에데이터베이스, 계약서, 시스템유지보수인력등은제외된다. - 자산의가치평가범위에는서버시스템, 네트워크, 정보시스템, 보안시스템, 데이터베이스, 문서, 소프트웨어, 물리적환경등이포함된다. 문 7. 메시지인증코드 (MAC:Message Authentication Code) 를이용한메시지인증방법에대한설명으로옳지않은것은? 4 1 메시지의출처를확신할수있다. 2 메시지와비밀키를입력받아메시지인증코드를생성한다. 3 메시지의무결성을증명할수있다. 4 메시지의복제여부를판별할수있다. - MAC 값은검증자 ( 비밀키를소유한사람 ) 의허가에의해서메시지의데이터인증과더불어무결성을보호한다. 문 8. 유닉스 (Unix) 의로그파일과기록되는내용을바르게연결한것은? 1-3 -

명령창에실행했던명령내역 명령어사용내역 실패한로그인시도내역 파일전송내역 1 ㄱ, ㄴ 2 ㄱ, ㄷ 3 ㄴ, ㄷ 4 ㄷ, ㄹ - xferlog : FTP 서버의데이터전송관련로그 - loginlog : 5번이상로그인에실패한정보기록 문 9. 전송계층보안프로토콜인 TLS(Transport Layer Security) 가제공하는보안서비스에해당하지않는것은? 1 1 메시지부인방지 2 클라이언트와서버간의상호인증 3 메시지무결성 4 메시지기밀성 - 상호인증 : 클라이언트와서버간의상호인증 (RSA, DSS, X.509) - 기밀성 : 대칭키암호화알고리즘을통한데이터의암호화 (DES, 3DES, RC4 등 ) - 데이터무결성 : MAC 기법을이용해데이터변조여부확인 (HMAC-md5, HMAC-SHA-1) 문 10. 다음에서설명하는스니퍼탐지방법에이용되는것은? 3 스니핑공격을하는공격자의주요목적은사용자 와패스워드의획득에있다 보안관리자는이점을이용하가짜 와패스워드를네트워크에계속보내고 공격자가이 와패스워드를이용하여접속을시도할때스니퍼를탐지한다 1 ARP 2 DNS 3 Decoy 4 ARP watch - 유인 (Decoy) 을이용한스니퍼탐지 : 스니핑공격을하는공격자의주요목적은 ID와패스워드의획득에있다. 가짜 ID와패스워드를네트워크에계속뿌려공격자가이 ID와패스워드를이용하여접속을 - 4 -

시도할때공격자를탐지할수있다. 문 11. 다음에제시된 < 보기 1> 의사용자인증방법과 < 보기 2> 의사용자인증도구를바르게연결한것은? 3 보기 지식기반인증 소지기반인증 생체기반인증 보기 토큰 패스워드 홍채 ㄱ ㄴ ㄷ 1 A B C 2 A C B 3 B A C 4 B C A - 지식기반인증 : 패스워드 - 소유 ( 소지 ) 기반인증 : 스마트카드, 토큰 - 존재 ( 생체 ) 인증기반 : 지문, 홍채, 망막 - 행위기반인증 : 서명, 움직임 문 12. 정보통신망이용촉진및정보보호등에관한법률 상용어의정의에대한설명으로옳지않은것은? 3 1 정보통신서비스 : 전기통신사업법 제2조제 6호에따른전기통신역무와이를이용하여정보를제공하거나정보의제공을매개하는것 2 정보통신망 : 전기통신사업법 제2조제 2호에따른전기통신설비를이용하거나전기통신설비와컴퓨터및컴퓨터의이용기술을활용하여정보를수집 가공 저장 검색 송신또는수신하는정보통신체제 3 통신과금서비스이용자 : 정보보호제품을개발 생산또는유통하는사람이나정보보호에관한컨설팅등과관련된사람 4 침해사고 : 해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스거부또는고출력전자기파등의방법으로정보통신망또는이와관련된정보시스템을공격하는행위를하여발생한사태 정보통신망이용촉진및정보보호등에관한법률제2조 ( 정의 ) - 통신과금서비스이용자 : 통신과금서비스제공자로부터통신과금서비스이용하여재화등을구입 이용하는자를말한다. - 5 -

문 13. 안드로이드보안에대한설명으로옳지않은것은? 4 1 리눅스운영체제와유사한보안취약점을갖는다. 2 개방형운영체제로서의보안정책을적용한다. 3 응용프로그램에대한서명은개발자가한다. 4 응용프로그램간데이터통신을엄격하게통제한다. 안드로이드환경은앱의파일복제가자유롭고마켓의검증과정이철저하지않으며 개발과배포가자유로운오픈소스플랫폼과오픈마켓의특성으로인한보안에대한본질적인문제는극복하기가쉽지않다 문 14. 개인정보보호인증 (PIPL) 제도에대한설명으로옳은것은? 2 1 물리적안전성확보조치심사영역에는악성소프트웨어통제심사항목이있다. 2 인증절차는인증심사준비단계, 심사단계, 인증단계로구성되며, 인증유지관리를위한유지관리단계가있다. 3 개인정보보호를위해관리계획수립과조직구축은정보주체권리보장심사영역에속한다. 4 인증을신청할수있는기관은공공기관에한정한다. 악성소프트웨어통제는기술적안전성확보조치에포함되며 물리적안전성확보조치는 의설치및운영에대한보호조치및물리적출입통제등에대한보호조치사항을정한다 정보주체권리보장심사영역에속하는것은개인정보의열람 정정 삭제 개인정보의처리정지 권리행사의방법및절차이며 관리계획수립은보호관리체계의수립심사영역이다 개인정보보호인증 의적용대상은업무를목적으로개인정보를처리하는공공기관 민간기업 법인 단체및개인등모든공공기관및민간개인정보처리자를대상으로한다 문 15. 해킹에대한설명으로않은것은? 2 1 SYN Flooding 은 TCP 연결설정과정의취약점을악용한서비스거부공격이다. 2 Zero Day 공격은시그니처 (signature) 기반의침입탐지시스템으로방어하는것이일반적이다. 3 APT 는공격대상을지정하여시스템의특성을파악한후지속적으로공격한다. 4 Buffer Overflow 는메모리에할당된버퍼의양을초과하는데이터를입력하는공격이다. - 침입탐지시스템에서시그니처 (signature) 기반은오용탐지에해당되며, 오용탐지는 Zero Day 공격을탐지할수없다. 비정상행위탐지가 Zero Day 공격을탐지할수는있다. 문 16. 다음에서설명하는웹서비스공격은? 4-6 -

공격자가사용자의명령어나질의어에특정한코드를삽입하여 인증을우회하거나데이터를조작한다 1 직접객체참조 2 Cross Site Request Forgery 3 Cross Site Scripting 4 SQL Injection - SQL Injection : 응용프로그램보안상의허점을의도적으로이용해, 개발자가생각지못한 SQL문을실행되게함으로써데이터베이스를비정상적으로조작하는공격방법이다. 문 17. 사용자와인증서버간대칭키암호를이용한시도 - 응답 (Challenge-Response) 인증방식에대한설명으로옳지않은것은? 3 1 재전송공격으로부터안전하게사용자를인증하는기법이다. 2 인증서버는사용자인증을위해사용자의비밀키를가지고있다. 3 사용자시간과인증서버의시간이반드시동기화되어야한다. 4 Response 값은사용자의비밀키를사용하여인증서버에서전달받은 Challenge 값을암호화한값이다. - OTP(One Time Password) 의구현에이용되는방식은비동기화방식과동기화방식이있다. 비동기화방식은미리설정되어있는동기화기준정보가없어난수값을이용하며, 대표적인예가시도 - 응답 (Challenge-Response) 인증방식이다. 문 18. 국제공통평가기준 (Common Criteria) 에대한설명으로옳지않은것은? 2 1 국가마다서로다른정보보호시스템평가기준을연동하고평가결과를상호인증하기위해제정된평가기준이다. 2 보호프로파일 (Protection Profiles) 은특정제품이나시스템에만종속되어적용하는보안기능수단과보증수단을기술한문서이다. 3 평가보증등급 (EAL:Evaluation Assurance Level) 에서가장엄격한보증 (formally verified) 등급은 EAL7 이다. 4 보안요구조건을명세화하고평가기준을정의하기위한 ISO/IEC 15408 표준이다. 보안목표명세서가특정 평가대상물 을서술하는반면 보호프로파일은 유형을서술한다 따라서동일한보호프로파일이여러평가에사용될다양한보안목표명세서들에대한기본모델 로써사용된다 - 7 -

문 19. 개인정보보호법 상주민등록번호처리에대한설명으로옳지않은것은? 1 1 주민등록번호를목적외의용도로이용하거나이를제3자에게제공하지아니하면다른법률에서정하는소관업무를수행할수없는경우, 개인인개인정보처리자는개인정보보호위원회의심의 의결을거쳐목적외의용도로이용하거나이를제3자에게제공할수있다. 2 행정자치부장관은개인정보처리자가처리하는주민등록번호가유출된경우에는 5억원이하의과징금을부과 징수할수있으나, 주민등록번호가유출되지아니하도록개인정보처리자가 개인정보보호법 에다른안전성확보에필요한조치를다한경우에는그러하지아니하다. 3 개인정보처리자는정보주체가인터넷홈페이지를통하여회원으로가입하는단계에서는주민등록번호를사용하지아니하고도회원으로가입할수있는방법을제공하여야한다. 4 개인정보처리자는주민등록번호가분실 도난 유출 변조또는훼손되지아니하도록암호화조치를통하여안전하게보관하여야한다. - 보기1 번은주민등록번호가아니라, 개인정보이다. 주민등록번호는개인정보보호법제24 조의2 에서명시하는경우를제외하고는처리 / 수집 / 제공할수없다. - 제24 조의2( 주민등록번호처리의제한 ) 1 제24 조제1 항에도불구하고개인정보처리자는다음각호의어느하나에해당하는경우를제외하고는주민등록번호를처리할수없다. 1. 법령에서구체적으로주민등록번호의처리를요구하거나허용한경우 2. 정보주체또는제3자의급박한생명, 신체, 재산의이익을위하여명백히필요하다고인정되는경우 3. 제1호및제2호에준하여주민등록번호처리가불가피한경우로서안전행정부령으로정하는경우 - 제18 조 ( 개인정보의목적외이용ㆍ제공제한 ) 1 개인정보처리자는개인정보를제15 조제1 항에따른범위를초과하여이용하거나제17 조제1 항및제3항에따른범위를초과하여제3자에게제공하여서는아니된다. 2 제1항에도불구하고개인정보처리자는다음각호의어느하나에해당하는경우에는정보주체또는제3자의이익을부당하게침해할우려가있을때를제외하고는개인정보를목적외의용도로이용하거나이를제3자에게제공할수있다. 다만, 제5호부터제9호까지의경우는공공기관의경우로한정한다. 문 20. 다음에서설명하는윈도우인증구성요소는? 2 사용자의계정과패스워드가일치하는사용자에게고유의 를부여한다 에기반을두어파일이나디렉터리에대한접근의허용여부를결정하고이에대한감사메시지를생성한다 1 LSA(Local Security Authority) 2 SRM(Security Reference Monitor) 3 SAM(Security Account Manager) - 8 -

4 IPSec(IP Security) - SRM (Security Reference Monitor) : SAM 이사용자의계정과패스워드가일치하는지를확인하여 SRM (Security Refenrnce Monitor) 에게알려주면, SRM은사용자에게고유의 SID(Security Identifier) 를부여한다. SRM은 SID에기반하여파일이나디렉토리에접근 (access) 제어를하게되고, 이에대한감사메시지를생성한다.( 실질적으로 SAM에서인증을거치고나서권한을부여하는모듈이라고생각하면된다 ) - LSA (Local security Authority) : 모든계정의로그인에대한검증, 시스템자원및파일등에대한접근권한을검사한다. SRM이생성한감사로그를기록하는역할을한다.( 즉, NT 보안의중심요소, 보안서브시스템 (Security subsystem) 이라고부르기도한다.) - SAM (Security Account Manager) : 사용자 / 그룹계정정보에대한데이터베이스를관리한다. 사용자의로그인입력정보와 SAM 데이터베이스정보를비교하여인증여부를결정하도록해주는것이다. - 9 -

2024 © docsplayer.org 개인정보보호 | 약관 | 지원