정보처리기사

5과목 오답(2021)

pringspring 2022. 2. 22. 00:37

*2021-08

 

82.정보 시스템 내에서 어떤 주체가 특정 개체에 접근하려 할 때 양쪽의 보안 레이블(Security Label)에 기초하여 높은 보안 수준을 요구하는 정보(객체)가 낮은 보안 수준의 주체에게 노출되지 않도록 하는 접근 제어 방법은?

→ Mandatory Access Control

  • 강제 접근 통제 : 주체와 객체의 등급을 비교하여 접근 권한을 부여하는 방식
  • 임의 접근 통제 : 접근하는 사용자의 신원에 따라 접근 권한을 부여
  • 사용자 계정 컨트롤 : 프로그램에서 관리자 수준의 권한이 필요한 작업을 수행할 때 사용자에게 알려서 제어할 수 있도록 함
  • 자료별 접근 통제 : 개별 행, 열에 대해 쓰기 권한, 읽기 권한을 가졌는지를 명확하게 결정하는 제어 방식

 

84.국내 IT 서비스 경쟁력 강화를 목표로 개발되었으며 인프라 제어 및 관리 환경, 실행 환경, 개발 환경, 서비스 환경, 운영환경으로 구성되어 있는 개방형 클라우드 컴퓨팅 플랫폼은?

→ PaaS-TA

 

 

85.정보 보안을 위한 접근 제어(Access Control)과 관련한 설명으로 틀린 것은?

→ DBMS에 보안 정책을 적용하는 도구인 8XDMCP를 통해 데이터베이스에 대한 접근제어를 수행할 수 있다.

 

 

89.비대칭 암호화 방식으로 소수를 활용한암호화 알고리즘은?

→ RSA

 

*개인키 암호화

  1. 블록 암호화 방식 : DES,SEED,AES,ARIA
  2. 스트림 암호화 방식 : LFSR,RC4

*공개키 암호화(비대칭 암호) : RSA

 

 

91.Cocomo model 중 기관 내부에서 개발된 중소규모의 소프트웨어로 일괄 자료 처리나 과학기술계산용, 비즈니스 자료 처리용으로 5만 라인이하의 소프트웨어를 개발하는 유형은?

→ Organic

 

*Organic : 5만 라인 이하의 프로젝트에 적합, 소규모 팀이 개발에 사용

*Semidetached: 30만 라인 이하의 프로젝트에 적합, 트랜잭션 처리시스템 등

*Embeded: 30만 라인 이상의 프로젝트에 적합, 하드웨어가 포함된 실스간 시스템 등

 

 

95.특정 사이트에 매우 많은 ICMP Echo를 보내면, 이에 대한 응답(Respond)을 하기 위해 시스템 자원을 모두 사용해버려 시스템이 정상적으로 동작하지 못하도록 하는 공격방법은?

→ Ping Flood

 

*ICMP(Internet Control Message Protocol)

  -IP 동작에서 네트워크 진단이나 제어 목적으로 사용

 

*ICMP Flooding

  -서비스 거부 Dos공격의 한 방법으로 사용

  -보통 스머프 공격이라 부름

  -공격 방법에는 "Ping Flooding"과 "SYN Flooding"이 있음

 

*Ping Flooding

  -공격대상에 막대한 양의 ICMP 에코 요청 패킷(ping)을 보내는 방법

  -보내는 쪽의 네트워크 대역폭이 대상 시스템이 확보한 네트워크 대역폭보다 더 크면 됨

 

*SYN Flooding

  -막대한 양의 TCP SYN 패킷을 대상 시스템으로 보내서 시스템을 마비 시키는 공격 방법

 

 

98. 시스템에 저장되는 패스워드들은 Hash 또는 암호화 알고리즘의 결과 값으로 저장된다. 이때 암호공격을 막기 위해 똑같은 패스워드들이 다른 암호 값으로 저장되도록 추가되는 값을 의미하는 것은?

→ Salt

 

*Hash와 Encryption 차이

  • Hash : 단방향,복호화 X
  • Encryption : 양방향,역으로 복호화 O
  • password : 보통 단방향 Hash를 기본으로 저장

 

 

99.S/W 각 기능의 원시 코드 라인수의 비관치, 낙관치, 기대치를 측정하여 예측치를 구하고 이를 이용하여 비용을 산정하는 기법은?

→ LOC기법

  • Effort Per Task 기법 : (LOC기법을 보완하기위함)각 기능을 구현시키는 데 필요한 노력을 생명 주기의 각 단계별로 산정
  • 전문가 감정 기법 : 두 명이상의 전문가에게 비용 산정을 의뢰하는 기법, 개인적이고 주관적
  • 델파이 기법 : (전문가감정 기법의 주관적인 편견 보완하기위함)한명의 조정자와 여러 전문가의 의견을 종합하여 산정
  • LOC : 원시코드라인수(source line of code)의 비관치, 낙관치, 기대치를 측정 예측치 구함, 본문문제내용동일.

   2&3의 경우 - 하향식 비용 산정 기법이며 1&4의 경우 상향식 비용 산정 기법이다.

 

*2021-05

84. 다음 내용이 설명하는 접근 제어 모델은?

→ Bell-Lapadula Model

 

*BLP 기밀성 모델 : 정보의 불법적인 파괴나 변조보다는 불법적인 비밀 유출 방지에 중점 (기밀성 강조)

*Clark-Wilson 무결성 모델: 비밀 노출 방지보다 자료의 변조 방지가 더 중요함(금융, 회계관련 데이터, 기업 재무재표 등)

*Chinese Wall: 충돌을 야기시키는 어떠한 정보의 흐름도 없어야 한다. 이익의 충돌 금지, 최근 일을 한 적 있는 파트너는 동일 영역에 있는 다른 회사 자료에 접근해서는 안됨

 

 

85.하둡(Hadoop)과 관계형 데이터베이스간에 데이터를 전송할 수 있도록 설계된 도구는?

→ Sqoop

 

✔커넥터를 사용하여 RDBMS에서 HDFS로 데이터를 수집하는 빅데이터 기술

 

 

87.소프트웨어 비용 추정 모형(estimation models)이 아닌 것은?

→ PERT

 

  • COCOMO : 시스템의 비용을 산정하기 위해 시스템을 구성하고 있는 모듈과 서브 시스템의 비용 합계를 계산하는 방식
  • Putnam : 소프트웨어 개발 주기의 간 단계별로 요구할 인력의 분포를 가정하는 모형
  • Function-Point(FP) : 요구 기능을 증가시키는 인자별로 가중치를 부여하여 기능의 점수를 계산하여 비용을 산정하는 방식
  • PERT : 계획 평가 및 재검토 기술, 프로젝트 관리를 분석하거나 주어진 완성 프로젝트를 포함한 일을 묘사하는데 쓰이는 모델

 

88.코드의 기입 과정에서 원래 '12536‘으로 기입되어야 하는데 ’12936‘으로 표기되었을 경우, 어떤 코드 오류에 해당하는가?

→ Transcription Error

 

✔사본오류: 작업자나 광 문자 인식(OCR) 프로그램에서 발생하는 데이터 입력 오류

 

  • 생략오류 : 입력시 한자리 빼고 기록 (1234 - 123)
  • 필사오류 : 입력시 임의의 한자리를 잘못 기록 (1234 - 1235)
  • 전위오류 : 입력시 좌우 자리 바꿔 기록 (1234 - 1243)
  • 이중오류 : 전위 오류가 두 가지 이상 발생 (1234 -2413)
  • 추가오류 : 입력 시 한자리 추가로 기록 (1234 - 12345)
  • 임의오류: 위 오류가 두 가지 이상 발생 (1234 - 12367)

 

89.ISO 12207 표준의 기본 생명주기의 주요 프로세스에 해당하지 않는 것은?

→ 성능평가 프로세스

 

*소프트웨어의 생명 주기 동안 필요한 소프트웨어 제품의 획득, 공급, 개발, 운영, 유지보수 등으로 구성된다.

  • 기본 생명 주기 프로세스 : 획득, 공급, 개발, 운영, 유지보수 프로세스
  • 지원 생명 주기 프로세스 : 품질 보증, 검증, 확인, 활동 검토, 문제 해결 프로세스
  • 조직 생명 주기 프로세스 : 관리, 기반 구조, 훈련, 개선 프로세스

 

 

 

93.해쉬(Hash) 기법에 대한 설명으로 틀린 것은?

→ 주로 공개키 암호화 방식에서 키 생성을 위해 사용한다.

 

*단방향

  • 해시
  • 종류 : SHA, MD5, N-NASH, SNEFRU 등
  • 특징 : 임의의 길이의 입력 데이터나 메시지를  고정 길이의 값이나 키로 변환 , 암호화, 무결성 검증을 위하여 사용

 

*양방향

  • 개인키 : 암호화, 복호화 시 동일한 개인키를 이용
  • Stream 방식 (평문과 동일한 길이의 스트림을 생성하여 비트 단위로 암호화) - LFSR, RC4
  • Block 방식 (한 번에 하나의 데이터 블록을 암호화) - DES, SEED, AES, ARIA
  • 특징 : 암호화/복호화 속도가 빠르며, 알고리즘이 단순 //공개키 암호 기법보다 파일 크기가 작음
    사용자의 증가에 따라 관리해야 할 키의 수가 상대적으로 많아진다
  • 공개키 : 암호화 시 사용자에게 공개되는 공개키 사용, 복호화 시 비밀키 사용, 비대칭 암호 기법이라고도 함
  • 종류 : RSA
  • 특징 : 키의 분배가 용이하고, 관리해야 할 키 수가 적음
    암호화/복호화 속도가 느리며 알고리즘이 복잡, 개인키 암호화 방법보다 파일의 크기가 크다.

 

94.IPSec(IP Security)에 대한 설명으로 틀린 것은?

→ 암호화 수행시 일방향 암호화만 지원한다.

✔일방향 암호화는 해시 암호화

 

 

97.Secure OS의 보안 기능으로 거리가 먼 것은?

→ 고가용성 지원

 

*Secure Os 보안운영체제의 기능

  • 식별 및 인증, 계정관리
  • 강제적 접근통제
  • 임의적 접근통제
  • 객체 재사용 방지
  • 완전한 중재 및 고정
  • 감사 및 감사기록 축소
  • 안전한 경로
  • 보안 커널 변경 방지
  • 해킹방지
  • 통합관리

 

 

98.서버에 열린 포트 정보를 스캐닝해서 보안취약점을 찾는데 사용하는 도구는?

→ nmap

  • ftp : 응용계층 프로토콜

 

 

100.암호화 키와 복호화 키가 동일한 암호화 알고리즘은?

→ AES

 

✔암호화 기법은 단방향: Hash // 양방향 :  공개키&개인키 기법

  • RSA는 공개키 암호화 기법으로 암호화 키는 공개키를 복호화 키는 비밀키를 사용한다.
  • AES는 개인키 암호화 기법으로 암호화 키와 복호화 키가 동일하다.
  • DSA는 미국의 전자서명 표준이다.
  • ECC는 공개키 암호화 기법이다.

✔암호화키 = 복호화키 > 대칭키

-DES, TDES, AES, SEED, ARIA, IDEA

 

✔암호화키 복호화키 동일하지 않을경우 > 비대칭키 = 공개키

-RSA(소인수분해), EIGAMAI(이산대수), ECC(타원곡선)

 

 

암호화 키와 복호화 키가 동일한 암호화 알고리즘은 개인키(=대칭키=단일키) 암호화 기법이다

1.특징

  • 암호화/복호화 속도가 빠르다.
  • 알고리즘이 단순하다.
  • 파일의 크기가 작다.
  • 사용자의 증가에 따라 관리해야 할 키의 수가 상대적으로 많아진다.

2.분류

  • 블록 암호화 방식: 한번에 하나의 데이터 블록을 암호화함 ex)DES, SEED, AES, ARIA
  • 스트림 암호화 방식: 평문과 동일한 길이의 스트림을 생성하여 비트 단위로 암호화함 ex)LFSR, RC4

 

*2021-03

 

81.다음 암호 알고리즘 중 성격이 다른 하나는?

→ AES

 

✔AES = 대칭키 암호화 알고리즘

✔MD4/5 , SHA-1= 해시 암호화 알고리즘

 

 

82.크래커가 침입하여 백도어를 만들어 놓거나, 설정파일을 변경했을 때 분석하는 도구는?

→ tripwire

 

  • tripwire : 자신의 리눅스 시스템을 외부의 크래커 공격과 내부의 악의적인 사용자의 공격으로부터 시스템을 지켜냄
  • tcpdump : 컴퓨터에 부착된 네트워크를 통해 송수신되는 기타 패킷을 가로채고 표시할 수 있게 도와주는 SW
  • cron : 스케쥴러를 실행시키기 위해 작업이 실행되는 시간 및 주기 등을 설정하게 되는데 ()표현식을 통해 배치 수행시간 설정
  • netcat : TCP or UDP를 사용하여 네트워크 연결을 읽고 쓰는데 사용되는 컴퓨터 네트워킹 유틸리티

 

 

85.정보 보안을 위한 접근통제 정책 종류에 해당하지 않는 것은?

→ 데이터 전환 접근 통제

 

*정보보안을 위한 접근통제 정책 종류

  • 임의적 접근통제정책(DAC)
  • 강제적 접근통제정책(MAC)
  • 역할기반 접근통제정책(RBAC)

 

87.정형화된 분석 절차에 따라 사용자 요구사항을 파악, 문서화하는 체계적 분석방법으로 자료흐름도, 자료사전, 소단위명세서의 특징을 갖는 것은?

→ 구조적 개발 방법론

 

  1. 구조적 방법론 : 정형화된 분석절차에 따라 사용자 요구사항을 파악하여 문서화하는 처리중심 방법론
  2. 객체지향 방법론 : 현실세계의 개체를 기계의 부품처럼 하나의 객체로 만들어 SW를 개발할 때 기계의 부품을 조립하듯이 객체를 조립해 필요한 SW를 구현하는 방법론
  3. 정보공학 방법론 : 정보 시스템의 개발을 위해 계획,분석,설계,구축에 정형화된 기법들을 상호 연관성있게 통합 및 적용하는 자료중심의 방법론
  4. 컴포넌트 방법론 :  기존의 시스템이나 SW를 구성하는 컴포넌트를 조합하여 하나의 새로운 app을 만드는 방법론

 

 

94.스트림 암호화 방식의 설명으로 옳지 않은 것은?

→ 해쉬 함수를 이용한 해쉬 암호화 방식을 사용한다.

 

*양방향

 1.개인키

  • 스트림 방식 : RC4 , LFSR
  • 블록 방식 : DES, SEED , AES , ARIA

  2.공개키

 

*단방향

  1. 해시 : 단방향 암호화 방식으로 양방향 방식인 스트림 방식과는 다르게 구분

 

 

95.세션 하이재킹을 탐지하는 방법으로 거리가 먼 것은?

→ FTP SYN SEGNENT 탐지

 

*세션 하이재킹 탐지방법

  1. 비동기화 탐지 : 서버와 시퀀스 넘버를 주기적으로 탐지, 비동기 상태 탐지
  2. Ack Storm 탐지 : 급격한 ACK 비율 증가시 탐지
  3. 패킷의 유실 및 재전송 증가 탐지 : 공격자가 중간에 끼어 작동하므로 패킷의 유실과 서버와의 응답이 길어짐

 

 

98.정보 보안의 3요소에 해당하지 않는 것은?

→ 휘발성

 

*정보보안의 3요소

  • 기밀성
  • 무결성
  • 가용성

 

99.소셜 네트워크에서 악의적인 사용자가 지인 또는 특정 유명인으로 가장하여 활동하는 공격 기법은?

→ Evil Twin Attack

 

  • 논리 폭탄 (Logic Bomb) : 프로그램에 어떤 조건이 주어져 숨어 있던 논리에 만족되는 순간 폭탄처럼 자료나 SW를 파괴, 자동으로 잘못된 결과가 나타나게 한다. (트로이목마)
  • 사이버 불링 :  사이버 상에서 특정인을 집단적으로 따돌리거나 집요하게 괴롭히는 행위

 

100.공개키 암호에 대한 설명으로 틀린 것은?

→ 10명이 공개키 암호를 사용할 경우 5개의 키가 필요하다.

 

  1. N명의 암호통신을 위해 요구되는 암호키의 개수는 2*N
  2. RSA는 다수의 사용자가 하나의 공개키만 사용
  3. 비밀키는 서버만 보유한다.
  4. 공개키 방식에서 공개키는 방호화와 복호화방법만을 의미하고 필요한 키는 프로토콜에 따라 달라짐.