정보보안기사/필기

[정보보안기사] 필기 기출 오답 study log (수정중)

멋쟁이천재사자 2023. 5. 31. 21:23

정보보안기사 필기를 6월 17일 토요일에 볼 예정입니다.

 

 

23년03월 기출 틀린 문제 

22년06월 기출 틀린 문제

 

회차 문항번호 질문 메모
23년03월 100 다음 중 공공기관이 개인정보 파일을 운용하거나 변경하는 경우 개인정보보호위원회에 등록하여 관리가 필요한 사항이 아닌 것은? 3.개인정보파일의 작성 일시

- 명칭 목적 항목 필요
  94 다음 중 정보보호관리체계 인증 범위 내 필수적으로 포함해야 할 자산이 아닌 것은? 3. ERP, DW, GroupWare
  92 다음은 CERT가 정의하는 보안사고를 서술한 것이다. 일반 보안사고가 아닌 중대 보안사고에 해당하는 것을 모두 고른 것은? 4.㉢, ㉣
 물리적 파괴. 대외 이미지 중대한 손상


  91 다음 중 정보자산 중요도 평가에 관한 설명으로 틀린 것은? 백업데이터는 내화금고에 보관하고 있으므로 무결성을 가장 낮게 평가
  86 다음 문장에서 설명하는 포렌식 수행 절차 단계는? 증거물 획득
  83 A 쇼핑몰에서 물품 배송를 위해 B 배송업체와 개인정보처리 업무 위탁 계약을 맺었고 이름, 주소, 핸드폰번호를 전달하였다. A 쇼핑몰이 B 배송업체를 대상으로 관리 감독할 수 없는 것은? 2. B 배송업체에서 개인정보취급자를 채용할 것을 요청해야 한다.

-- 필요한 것
교육. 점검. 재위탁 제재
  82 이 표준은 조직이나 기업이 정보보안 경영시스템을 수립하여 이행하고 감시 및 검토, 유지, 개선하기 위해 필요한 요구사항을 명시하며, 국제표준화기구 및 국제전기기술위원회에서 제정한 정보보호 관리체계에 대한 국제표준이다. 2. ISO27001
  78 RSA 암호시스템에서 다음의 값을 이용한 암호문 C값은? 1. 1

암호문은 평문 P를 공개값 e만큼 제곱한 값에 모듈러 n을 나눈 나머지값으로 표현할 수 있다
  77 암호화 장치에서 암호화 처리시에 소비 전력을 측정하는 등 해당 장치 내부의 비밀 정보를 추정하는 공격은? 2. 사이드채널 공격
  75 다음 중 신규 OTP 기술에 대한 설명으로 틀린 것은? 4. MicroSD OTP란 사용자 휴대폰의 MicroSD내에 OTP모듈 및 주요정보를 저장하여 복제가 되지 않는 안전한 IC칩 기반의 OTP이다.

MicroSD는 복제가 가능하다
  74 온라인 인증서 상태 프로토콜(OCSP : Online Centificate Status Protocol)에 대한 설명으로 틀린 것은? 3. 온라인 인증서 상태 프로토콜을 통해 전달받는 메시지들을 AES로 암호화되며, 보통 HTTP로 전달받는다.

전달받는 메시지들은 ASN.1로 암호화되며, 보통 HTTP로 전달받는다.
  73 다음 문장에서 설명하는 접근통제 구성요소는?
   - 시스템 자원에 접근하는 사용자 접근모드 및 모든 접근통제 조건 등을 정의
정책
  69 보안 인증기법에 대한 설명으로 틀린 것은? OTP 인증기법은 지식기반 인증방식으로 고정된 시간 간격 주기로 난수값을 생성하고, 생성된 난수값과 개인 PIN 번호 입력을 통해 인증시스템의 정보와 비교하여 사용자 인증을 수행한다.

OTP는 소유기반 인증방식입니다.
  68 다음 그림의 Needham-Schroeder 프로토콜에 대한 설명으로 틀린 것은? 4. 이 방식은 공격자가 Ticketb와 Kab{N2}를 스니핑하여 복제한 후 복제된 메시지와 Alice로 위장한 자신의 신분정보를 보내는 재전송공격에 취약한 단점이 있다
  65 OTP(One Time Password)와 HSM(Hardware Security Module)에 대한 설명으로 틀린 것은? 1. OTP는 공개키를 사용한다.
  64 해시값과 메시지 인증 코드(Message Authentication Code, MAC)에 대한 설명으로 틀린 것은? 4. 메시지 크기와 상관없이 MAC 생성과정, 즉 해시값 생성, 암호화 등이 속도는 균일하여 다른 암호화 알고리즘에 비해 속도가 빠르다.
  61 CRL(Cetificate Revocation List)에 포함되는 정보는? 2. 만료된 디지털 인증서 일련번호
  56 다음 중 DNS 증폭 공격(DNS Amplification DDoS Attack)에 대한 설명으로 틀린 것은? 대응 방안으로 DNS 서버 설정을 통해 내부 사용자의 주소만 반복퀴리(Iterative Query)를 허용한다.
  53 XSS(Cross-Site Scripting)에 대한 설명으로 틀린 것은? 4. Reflected XSS는 웹 애플리케이션상에 스크립트를 저장해 놓은 것이다.

Reflected XSS는 메일로 악스 스크립트가 포함된 첨부파일을 사용자에게 보내 사용자가 첨부파일을 열었을 때 악성 스크립트가 실행되는 방식이다.
  52 안드로이드 시스템 권한 4. CHANGE_COMPONENT_ENABLED_STATE : 환경 설정 변경 권한

컴포넌트의_실효성_변경

https://cago-young.tistory.com/120
  43 PGP(Pretty Good Privacy)에서 사용하는 암호 알고리즘이 아닌 것은?
 1.RSA
 2.SHA
 3.Diffie-Hellman
 4.AES
4.AES

문제 해설하고 답다 안맞고 모르겠음

<문제 해설>
PGP에서 AES는 암호화 및 복호화에 사용되는 대칭키 암호화 알고리즘입니다.
PGP에서 SHA는 데이터의 무결성을 확인하기 위해 사용되는 해시 함수입니다.
  42 다음 중 무선 인터넷 보안 기술에 대한 설명이 맞게 짝지어진 것은? WSP(Wrieless Session Protocol) - 장시간 활용하는 세션을 정의하고 세션 관리를 위해 Suspend/Resume 기능과 프로토콜 기능에 대한 협상이 가능하다.
  40 무선LAN 통신에서 패스프레이즈와 같은 인증없이 단말과 액세스 포인트간의 무선 통신을 암호화하는 것은? 1. Enhanced Open
  32 네트워크 처리 능력을 개선하고자 VLAN을 구성할 때 VLAN 오/남용을 경감시키기 위한 방법으로 옳지 않은 것은? Cisco가  최초로 주도한 ,VXLAN 기술은 이후 
DTP는 시스코  전용 츠로토콜로 두 스위치간 트렁킹 모드를 협상하는 데 사용된다
VMPS Vlan Membership Policy Server

검색해보자.  키워드.  VxLAN 기술사

SA Securiry Association
  31 다음 IPv4(IP version 4) 데이터그램에 대한 설명으로 옳은 것은? 3.IPsec(IP Security)의 AH(Authentication Header)가 적용되어 SA(Security association)를 식별할 수 있다.
23년03월 16 다음은 sudo 설정파일(/etc/sudoers)의 내용이다. sudo를 통한 명령 사용이 불가능한 사용자는? https://it-freelancer.tistory.com/1023
22년06월 100 100. 정보보호 거버넌스 국제 표준으로 옳은 것은? ISO27014

https://it-freelancer.tistory.com/1025
  99 개인정보보호법상 개인정보 유출사고의 통지, 신고 의무에 대한 설명으로 틀린 것은? 정보통신서비스 제공자등은 1천면 이상의 정보주체에 관한 개인정보의 유출등의 사실을 안 때에는 지체 없이 유출 등의 내역을 방송통신위원회 또는 한국인터넷진흥원에 신고하여야 한다.
  91 100만명 미만의 정보주체에 관한 개인정보를 보유한 중소기업의 내부관리계획의 내용에 포함되지 않아도 될 사항은? 개인정보 처리업무를 위탁하는 경우 수탁자에게 대한 관리 및 감독에 관한 사항
  90 다음 문장에서 설명하는 시스템 보안평가 기준은?

- 보안제품 개발자에게 제공되어야 할 서비스에 대한 지침을 제시한다
- 기능은 비밀성, 무결성, 가용성, 책임성 4가지로 분류된다. 
- 보증 평가등급은 7개 등급으로 분류된다.
CTCPEC
  87 다음 문장은 위험분석에 관한 설명이다. 괄호 안에 들어갈 내용은?

- 자산의 ( )을 식별하고 ...
- 잠재적 ( ) 이 현실화되어 나타날 ...
취약성
위협
  85 정보통신망 용 촉진 및 정보 보호 등에 관한 법률에서 정의하는 용어에 대한 설명으로 틀린 것은? 전자문서 개인정보
  81 주요 직무자 지정 및 관리시 고려해야 할 사항으로 틀린 것은? 파견근로자, 시간제근로자 등을 제외한 임직원 중 업무상 개인정보를 취급하는 자를 개인정보취급자로 지정하고 목록을 관리하여야 한다.
  80 메시지 출처 인증(Message Origin Authentication)에 활용되는 암호 기술 중 대칭키 방식에 해당하는 것은? 4. 메시지 인증 코드
  78 해시함수 h와 주어진 입력값 x에 대해 h(x)=h(x′)을 만족하는 x′(≠x)를 찾는 것이 계산적으로 불가능한 것을 의미하는 것은? 3. 두 번째 역상저항성
  75 다음 중 커버로스(Kerberos)의 구성요소가 아닌 것은?
4.TS(Token Service)


KDC TGS AS
  74 다음 중 공개키 암호의 필요성으로 틀린 것은? 1.무결성

키인부
  72 합성수 n을 사용하는 RSA 전자서명 환경에서 메시지 M에 대해 난수 r에 공개 검증키 e를 가지고 reM mod n값을 서명자에게 전송하는 전자서명 기법은 무엇인가? 1 은닉서명

좀더 연구 필요

https://blog.naver.com/newzio/222554048939
  71 암호문에 대응하는 일부 평문이 가용한 상황에서의 암호 공격 방법은? 2 알려진 평문 공격

대응하는 암호문이 있는 평문을 조금 갖고 있거나 많이 갖고 있다. 
조금 있을때는 그것 밖에 쓸수 없다. 
알려진 평문 공격이다.
많을 때는 제일 좋은 놈을 골라쓸 수 있을  것이다. 
그래서 선택 평문 공격이다.
  70 송신자 A와 수신자 B가 RSA를 이용하여 키를 공유하는 방법에 대한 설명으로 틀린 것은? 4.A는 자신의 공개키로 공유 비밀키를 추출하고 데이터를 암호화 전송한다.

2.A가 암호화 되지 않은 평문으로 A의 공개키를 B에게 전송한다.
  69 다음 문장과 같이 처리되는 프로토콜은?

- A는 자신의 비표인 Ra, 자신의 ID, B의 ID가 포함된 메시지를, KDC에 전송한다.
- KDC는 암호화된 메시지를 A에게 전송한다
...
2. Needhan-Schroeder
  65 접근통제정책 구성요소에 대한 설명으로 틀린 것은? 3. 행위 : 객체가 행하는 논리적 접근통제이다
  61 다음은 특정 블록 암호 운영 모드의 암호화 과정이다. 해당하는 모드는? 3.CFB 모드(Cipher Feedback Mode)

초기 IV값을 암호화한 값과 평문블록 XOR 후 암호문 블록 생성 다시 암호값과 평문블록 XOR 반복
  59 DNS(Domain Name System)에 대한 설명으로 틀린 것은? 4.DNSSEC 보안 프로토콜은 초기 DNS 서비스가 보안 기능이 포함되지 않았던 문제점을 해결하기 위해 개발되었으며, DNS 데이터의 비밀성, 무결성, 출처 인증 등의 기능을 제공한다.
  58 S/MIME의 주요 기능이 아닌 것은? 4.비순수 서명과 봉인된 데이터(Unclear Signed and Enveloped data)

봉서순 ESC
  57 SSO(Single Sign On)와 관련이 없는 것은? 4.보안토큰

DP웹
  56 버퍼오버플로우에 대한 보안 대책이 아닌 것은? 4.포맷 스트링 검사
  55 다음 문장에서 설명하는 웹 공격의 명칭은?
- 브라우저로 전달되는 데이터에 포함된 악성 스크립트가 개인의 브라우저에서 실행되어 공격이 진행되는 웹 해킹의일종이다
XSS(Cross Site Scripting)
  52 MS SQL 서버의 인증 모드에 대한 설명 중 성격이 다른 하나는? 트러스트되지 않은 연결(SQL 연결)을 사용한다.
  49 DDos 공격 형태 중 자원 소진 공격이 아닌 것은? ICMP Flooding = 대역폭 소진 공격

인터넷 진흥원의 DDos 대응가이드
DNS Query Flooding
대자웹
  46 다크웹(Dark Web)에 대한 설명으로 틀린 것은? 딥웹(Deep web)은 다크웹의 일부부인다.
  41 PGP 서비스와 관련하여 디지털 서명 기능을 위해 사용되는 알고리즘은? DSS/SHA 정답
RSA도 인정
  40 다음 중 MRTG를 설치 및 수행하는데 필요없는 프로그램은? Libpcap

C Compiler
Perl
Gd Library

pcap stackguard stackshield
  39 포트 스캐너로 유명한 Nmap에서 대상 시스템의 운영체제를 판단할 때 이용하는 기법을 가장 잘 표현하고 있는 것은? 4.TCP/IP 프로토콜 표준이 명시하지 않은 패킷 처리 기능의 운영체제별 구현

핑거프린팅
배너 그래빙
  37 다음 공개 해킹도구 중 사용용도가 다른 도구(소프트웨어)는? 4.키로그23(Keylog23)


대표적인 트로이목마
넷버스 백오리피스 스쿨버스
22년06월 32 다익스트라(Dijkstra) 알고리즘을 사용하는 라우팅 프로토콜에 대한 설명으로 틀린 것은?  
  29 침입탐지 시스템(Intrusion Detection System)의 이상 탐지(anomaly detection) 방법 중 다음 문장에서 설명하는 방법은 무엇인가? 경험적인 자료를 토대 => 통계적 접근법
  27 SNMP 커뮤니티 스트링에 대한 설명으로 틀린 것은? 유닉스 환경에서 커뮤니티 스트링 변경은 일반 권한으로 설정한다.

MIB OID 
  26 다음 문장에서 설명하는 해커의 분류는? lamer
  25 다음 문장의 괄호 안에 들어갈 명령어를 순서대로 나열한 것은?

시스케 라우터에서 CPU 평균 사용률을 보기 위해 서는 ( )의 명령어를 사용하고 라우터 인터페이스 하드웨어 정보를 보기 위해서는 ( )을 사용하며, 메모리의 전체 용량, 사용량, 남은 용량 등을 확인하기 위해서는 ( ) 명령어를 사용한다.
㉠ : show process, ㉡ : show interface, ㉢ : show memory

㉠ : show process, ㉡ : show controllers, ㉢ : show memory
  22 UDP Flooding의 대응 방안으로 틀린 것은? 미발패애
  18 다음 문장에서 설명하는 Window 시스템의 인증 구성 요소는? SRM
https://youtu.be/j8-fDnjGE6Q
whoami 
22년06월 15 윈도우 운영체제의 레지스트리에 대한 설명으로 틀린 것은?  
22년06월 10 10. 다음은 IDS Snort Rule이다. Rule이 10~11번째 2바이트의 값이 0xFFFF인지를 검사하는 Rule이라 할 때
alert tcp any any -> any any (flow: to_server;㉠:"IFF FFI:" ㉡:9; ㉢:2; msg:"Error";, sid:100000;)
3. ㉠ : content, ㉡ : depth, ㉢ : offset
4. ㉠ : content, ㉡ : offset, ㉢ : depth
22년06월 6 6. 컴퓨터 시스템에 대한 하드닝(Hardening) 활동으로 틀린 것은? 시스템 침해에 대비하여 전체 시스템에 대한 백업을 받아두었다.
22년06월 5 5. 인증 장치에 대한 설명으로 옳은 것은? 성인의 홍채는 변화가 없고 홍채 인증에서는 인증 장치에서의 패턴 갱신이 불필요하다.