| 3과목 : 어플리케이션 보안 |
41. PGP 서비스와 관련하여 디지털 서명 기능을 위해 사용되는 알고리즘은?
① 3DES
② DSS/SHA
③ RSA
④ Radix-64
42. OTP에 대한 설명으로 틀린 것은?
① 의미있는 숫자로 구성된다.
② 비밀번호 재사용이 불가능하다.
③ 비밀번호 유추가 불가능하다.
④ 사전 공격(Dictionary Attack)에 안전하다.
43. 웹 어플리케이션 취약성 조치방안에 대한 설명으로 틀린 것은?
① server side session 방식은 침해 가능성도 있고, 구조상 다양한 취약점에 노출될 수 있으므로 가볍고 안전한 client side의 cookie를 사용한다.
② 모든 인자에 대해 사용 전에 입력값 검증을 수행하도록 구성한다.
③ 파일 다운로드시 위치는 지정된 데이터 저장소를 지정하여 사용하고 데이터 저장소 상위로 이동되지 않도록 구성한다.
④ SSL/TLS와 같은 기술을 이용하여 로그인 트랙잭션 전체를 암호화한다.
44. 다음 문장에서 설명하는 FTP 공격은?
| – FTP서버가 데이터를 전송할 때 목적지가 어디인지 검사하지 않는 설계상의 문제점을 이용한 공격이다. – FTP서버의 전송 목적지 주소를 임의로 지정하여 FTP 서버를 경유해 임의의 목적지로 메시지나 자료를 전송하도록 할 수 있다. |
① FTP Bounce Attack
② Anonymous FTP Attack
③ TFTP Attack
④ FTP Anyconnect Attack
45. 웹 어플리케이션의 취약성을 악용하는 공격 방법 중 웹 페이지에 입력한 문자열이 perl의 system 함수나 PHP의 exec 함수 등에 건네지는 것을 이용해 부정하게 쉘 스크립트를 실행시키는 것은?
① HTTP header injection
② OS command injection
③ CSRF(cross-site request forgery)
④ Session hijacking
46. 다크웹(Dark Web)에 대한 설명으로 틀린 것은?
① 공공인터넷을 사용하는 오버레이 네트워크(Overlay Network)이다.
② 딥웹(Deep web)은 다크웹의 일부분이다.
③ 토르(TOR)같은 특수한 웹브라우저를 사용해야만 접근할 수 있다.
④ 다크넷에 존해하는 웹사이트를 의미한다.
47. 다음 문장에서 설명하는 것은?
| – 카드사용자, 상점, 지불-게이트웨이 간에 안전한 채널을 제공한다. – 신용카드번호가 상점에는 알려지지 않고 지불-게이트웨이에 알려진다. – 상점에 의한 사기 가능성이 감소한다. – 서명 기능이 있어 부인방지 서비스를 제공한다. |
① SSL(Secure Socket Layter)
② SET(Secure Electronic Transaction)
③ SOC(Security Operation Center)
④ Lattice Security Model
48. DNS 캐시 포이즈닝으로 분류되는 공격은?
① DNS 서버의 소프트웨어 버전 정보를 얻어 DNS 서버의 보안 취약점을 판단한다.
② PC가 참조하는 DNS 서버에 잘못된 도메인 관리 정보를 주입하여 위장된 웹서버로 PC 사용자를 유도한다.
③ 공격 대상의 서비스를 방해하기 위해 공격자가 DNS 서버를 이용하여 재귀적인 쿼리를 대량으로 발생시킨다.
④ 내부 정보를 얻기 위해 DNS 서버에 저장된 영역 정보를 함께 전송한다.
49. DDos 공격 형태 중 자원 소진 공격이 아닌 것은?
① ICMP Flooding
② SYN Flooding
③ ACK Flooding
④ DNS Query Flooding
50. 다음 표의 소극적·적극적 암호공격 방식의 구분이 옳은 것은?
| 소극적 공격 | 적극적 공격 | |
| ① | 트래픽 분석 | 삽입공격 |
| ② | 재생공격 | 삭제공격 |
| ③ | 메시지 변조 | 재생공격 |
| ④ | 메시지 변조 | 삽입공격 |
51. 다음 문장의 괄호 안에 알맞은 용어는?
| 과거 ( 랜섬웨어) 공격은 불특정 다수를 대상으로 데이터를 암호화하고 이에 대한 몸값을 요구하는 방식이 대부분이었다. 그러나 최근에는 높은 금액을 지불할 수 있는 대규모 엔터프라이즈 환경이 주로 공격 대상이 되고 있고 암호화 뿐만 아니라 데이터 유출 후 인터넷 공개를 미끼로 협박하는 형태의 공격 방식으로 진화되고 있다. 컴퓨터 시스템을 감염시켜 접근을 제한하고 일종의 몸값을 요구하는 악성 소프트웨어의 한 종류이다. |
① 워터링 홀
② 스팸
③ 스피어피싱
④ 랜섬웨어
52. MS SQL 서버의 인증 모드에 대한 설명 중 성격이 다른 하나는?
① SQL Server 기본 인증 모드이다.
② 데이터베이스 관리자가 사용자에게 접근 권한 부여가 가능하다.
③ 윈도우즈 인증 로그온 추적시 SID 값을 사용한다.
④ 트러스트되지 않은 연결(SQL 연결)을 사용한다.
53. 다음 문장에서 설명하는 보안솔루션은?
| – 한 번의 로그인만으로 기업의 각종 시스템이나 인터넷 서비스에 접속하게 해주는 보안 응용 솔루션이다. – 각각의 시스템마다 인증 절차를 밟지 않고도 1개의 계정만으로 다양한 시스템에 접근할 수 있어 ID, 비밀번호에 대한 보안 위험 예방과 사용자 편의 증진, 인증 관리비용의 절감 효과가 있다. |
① DRM
② SSO
③ OTP
④ APT
54. 데이터베이스 보안 방법으로 틀린 것은?
① 데이터베이스 서버를 백업하며 관리한다.
② Guest 계정을 사용하여 관리한다.
③ 데이터베이스 쿼리만 웹 서버와 데이터베이스 서버 사이에 통과할 수 있도록 방화벽을 설치한다.
④ 데이터베이스 관리자만 로그인 권한을 부여한다.
55. 다음 문장에서 설명하는 웹 공격의 명칭은?
| 브라우저로 전달되는 데이터에 포함된 악성 스크립트가 개인의 브라우저에서 실행되어 공격이 진행되는 웹 해팅의 일종이다. |
① XSS(Cross Site Scripting)
② SQL(Structured Query Language) Ingection
③ CSRF(Cross-site request forgery)
④ 쿠키(Cookie) 획득
56. 버퍼오버플로우에 대한 보안 대책이 아닌 것은?
① 운영체제 커널 패치
② 경계 검사를 하는 컴파일러 및 링크 사용
③ 스택내의 코드 실행 금지
④ 포맷 스트링 검사
57. SSO(Single Sign On)와 관련이 없는 것은?
① Delegation 검사
② Propagation 방식
③ 웹 기반 쿠키 도메인 SSO
④ 보안토큰
58. S/MIME의 주요 기능이 아닌 것은?
① 봉인된 데이터(Enveloped data)
② 서명 데이터(Signed data)
③ 순수한 데이터(Clear-signed data)
④ 비순수 서명과 봉인된 데이터(Unclear Signed and Enveloped data)
59. DNS(Domain Name System)에 대한 설명으로 틀린 것은?
① DNS 서비스는 클라이언트에 해당하는 리졸버(resolver)와 서버에 해당하는 네임서버(name server)로 구성되며, DNS 서비스에 해당되는 포트 번호는 53번이다.
② 주(primary) 네임서버와 보조(secondary) 네임서버는 DNS 서비스 제공에 필요한 정보가 포함된 존(zone) 파일을 기초로 리졸버로부터의 요청을 처리한다.
③ ISP 등이 운영하는 캐시 네임서버가 관리하는 DNS 캐시에 IP 주소, UDP 포트번호, DNS 메시지 ID값이 조작된 정보를 추가함으로써 DNS 캐시 포이즈닝(poisoning) 공격이 가능하다.
④ DNSSEC 보안 프로토콜은 초기 DNS 서비스가 보안 기능이 포함되지 않았던 문제점을 해결하기 위해 개발되었으며, DNS 데이터의 비밀성, 무결성, 출처 인증 등의 기능을 제공한다.
60. 다음 문장에서 설명하는 전자서명 기법은?
| 전자화폐의 일종인 E-cash는 익명성을 제공하기 위해 서명자가 문서의 내용을 보지 않은 상태에서 전자서명을 생성하는 기법을 사용한다. |
① 다중서명
② 그룹서명
③ 은닉서명
④ 검증자 지정서명
