close
프로필 배경
프로필 로고

N-hustler's Tech Lab 비전공부터 IT전문가까지의 기술노트

IT 전문가의 길: 기술과 자격/정보보안기사 · 2025. 2. 13. fullscreen 넓게보기

정보보안기사 12회 기출문제 총정리 (단답형/서술형/실무형)

안녕하세요! 현직 IT 보안 전문가입니다.
15년간의 실무 경험과 정보관리기술사, 정보보안기사, 정보처리기사 등 다수의 IT 자격증 취득 경험을 바탕으로,
오늘은 정보보안기사 12회 기출문제를 체계적으로 분석해드리고자 합니다. 

이번 포스팅에서는 단답형, 서술형, 실무형으로 구분하여 각 문제의 출제 의도와 핵심 개념을 상세히 살펴보겠습니다. 

특히 실무 관점에서의 문제 해결 접근법과 답안 작성 전략을 중점적으로 다루어, 여러분의 시험 준비에 실질적인 도움이 되도록 하겠습니다.

정보보안기사 10회 실기 대비 이미지
정보보안 기본 이미지

목차

  1. 시험 개요 및 출제 경향
  2. 단답형 문제 (1-10번)
  3. 서술형 문제 (11-13번)
  4. 실무형 문제 (14-16번)
  5. 학습 전략 및 핵심 포인트

1. 시험 개요 및 출제 경향

정보보안기사 12회 실기시험은 크게 세 파트로 구성됩니다:

  • 단답형 (10문제): 기본 개념과 용어의 정확한 이해도 평가
  • 서술형 (3문제): 심화 개념의 논리적 설명 능력 평가
  • 실무형 (3문제): 실제 보안 환경에서의 문제 해결 능력 평가

이번 12회 시험의 주요 특징은 다음과 같습니다:

  • 어플리케이션 보안 비중 증가
  • 네트워크 보안 실무 문제 강화
  • 개인정보보호법 관련 문제 출제

2. 📚 단답형 문제(1-10번)

문제 1번 (어플리케이션 - 취약점 공격)

( )은 악성 소프트웨어를 뜻하는 멀웨어(Malware)와 광고(Advertising)의 합성어로 온라인 광고를 통해 악성코드를 유포시키는 행위를 말한다.

( )은(는) 공격자 측면에서 악성코드를 대량 유포하는데 매우 유리하다.

사용자는 익숙하고 정상적인 사이트에 접속하였음에도 불구하고 정상적인 사이트에 설치된 광고를 통해 Drive by download로 악성코드에 감염될 수 있다.

최근 ( )와 ExploitKit가 함께 사용되어 위험성이 더 증대되고 있다.

문제 2번 (네트워크 - VPN)

가상사설망(VPN)에서 사용되는 IPSec과 관련하여 아래 괄호 안에 들어갈 말을 적으시오.

  • IPSec은 OSI 모델에서 (A) 계층에 속한다.
  • IPSec에서 (B)는 무결성 보장, 메시지 인증을 위해 사용된다.
  • IPSec에서 (C)는 암호화를 통해 기밀성을 유지하기 위해 사용된다.

문제 3번 (어플리케이션 - HTTP 공격)

HTTP Request에 있는 파라미터가 HTTP Response의 응답헤더로 다시 전달되는 경우, 파라미터 내 개행문자 CR(Carrige Return (0D) 혹은 LF(Line Feed (0A))가 존재하면 HTTP가 여러 개로 나누어질 수 있다. 이 공격은 이러한 취약점을 통해 응답 메시지에 악의적인 코드를 주입함으로써 XSS 및 캐시를 훼손하는 취약점이다.

문제 4번 (어플리케이션 - 데이터베이스 보안 위협)

다음은 데이터베이스를 타겟으로 하는 공격에 관한 설명이다. 설명에 해당하는 공격을 차례로 적으시오.

  1. 낮은 보안 등급의 정보 조각을 조합하여 높은 등급의 정보를 알아내는 것
  2. 보안으로 분류되지 않은 정보에 접근한 후 기밀 정보를 유추하는 것
  3. 처리할 자료를 다른 자료와 바꿔서 처리하는 것. 즉 입력값이나 출력값을 부정한 의도로 수정하여 잘못된 결과가 나오도록 유도하는 것

문제 5번 (시스템 - 시스템 로그파일)

다음은 리눅스 logrotate.conf 파일의 일부이다. wtmp 로그에 대해 로그파일을 압축하고 주 단위로 새로 생성하고자 할 때, 아래 빈칸에 들어갈 알맞은 옵션을 차례로 적으시오.

  • (A)
  • /var/log/wtmp Y
  • (B)
  • (C)
  • minsize 1M
  • rotate 1

문제 6번 (어플리케이션 - 클라우드 서비스)

클라우드 서비스의 유형 3가지를 적으시오.

문제 7번 (법규 - 개인정보 안전성 확보조치)

다음은 개인정보 보호법상의 접속기록에 관한 설명이다. 빈칸에 들어갈 말을 적으시오.

"접속기록이란 개인정보취급자 등이 (A)에 접속한 사실을 알 수 있는 계정, 접속일시, 접속자 정보 (B) 등을 (C)으로 기록한 것을 말한다. 이 경우 '접속'이란 개인정보처리 시스템과 연결되어 데이터 송신 또는 수신이 가능한 상태를 말한다."

문제 8번 (정보보안 일반 - 위험관리)

아래의 식을 참고하여 위험의 구성요소 3가지를 적으시오.

위험 = (A) × (B) × (C) - 정보보호대책

문제 9번 (침해사고 분석 및 대응 - 정보보호제품 인증)

CC 공통 평가 기준의 구성요소를 적으시오.

(A): 보증요구에 관련된 컴포넌트의 집합으로 구성된 패키지의 일종

(B): 보호 프로파일

(C): 보안 목표 명세서

문제 10번 (정보보안 일반 - 복구전략)

다음은 재난복구시스템 유형에 대한 설명이다. 설명에 맞는 유형을 차례로 적으시오.

  1. 메인 사이트와 동일한 수준의 정보 기술 자원을 실시간 상태에서 동작하는 방식
  2. 장소 또는 전산실만 준비, 비용은 저렴하지만 상당한 지연 시간이 발생
  3. 미러 사이트와 달리 대기 상태에서 동작하는 방식
  4. 콜드 사이트와 핫 사이트의 중간, 중요성이 높은 정보만 부분적으로 보유

3. 📚 서술형 문제(11-13번)

문제 11번 (정보보안 일반 - 망분리: 논리적 망분리)

논리적 망분리 시 인터넷망 가상화와 업무망 가상화의 장점을 각각 2가지 이상 서술하시오.

문제 12번 (보안관리솔루션 - 보안장비 취약점 관리)

사이트 보안 담당자는 신규 도입된 보안 장비(방화벽, IPS, IDS, VPN 등)에 대해 취약점 분석 평가를 실시하고자 한다. 보안 장비의 계정관리 취약점 측면에서 조치해야 할 사항을 4가지 이상 서술하시오.

문제 13번 (침해사고 분석 및 대응 - 침입탐지시스템 Snort Rule)

다음은 HTTP GET Flooding 공격에 대한 스노트 탐지 규칙입니다. 다음 각각의 질문에 답하시오.

alert tcp any any -> any 80 (msg: "HTTP Get Flooding Detect"; content: "GET X HTTP/1."; nocase; threshold: type threshold, track by_src, count 10, seconds 1; sid:1000999)
  1. 스노트 룰의 action은 패킷이 탐지되었을 때의 처리방식을 의미한다. 탐지된 패킷을 차단하고 로그를 남기는 action 유형 2가지를 쓰시오.
  2. 스노트 룰의 content 옵션은 패킷의 페이로드에서 검사할 문자열을 지정하기 위한 옵션이다. 보기의 룰에서 content 옵션으로 지정한 문자열을 페이로드의 첫 번째 바이트로부터 13번째 바이트 범위 내에서 검사하고자 할 때, 빈칸에 들어갈 옵션을 문법에 맞게 정확히 기술하시오.
  3. 스노트 룰의 threshold 옵션은 특정 시간 동안 발생하는 이벤트 수를 제한하여 과도하게 많은 이벤트가 발생하는 것을 방지하기 위한 옵션이다. 보기의 룰에서 alert 이벤트 발생 수를 제한하는 기준과 방식을 정확히 기술하시오.

4. 📚 실무형 문제(14-16번)

문제 14번 (침해사고 분석 및 대응 - 침해사고 사례분석: 루트킷 공격)

리눅스에서 아래의 질문에 답하시오.

  1. 최근 사용한 명령어를 확인하기 위한 명령어
  2. 파일 속성을 확인하기 위한 명령어
  3. root 권한으로 삭제되지 않는 파일의 속성을 변경하기 위한 명령어

문제 15번 (침입 차단 시스템 - DRODS, iptables)

최근 알려진 NTP 취약점을 이용한 분산 서비스 거부 공격은 공격 대상 IP로 출발지 IP를 변경한 monlist 요청을 다수의 NTP 서버로 전달하여 대량의 monlist 응답 패킷이 공격 대상으로 향하도록 하는 공격이다. 다음과 같은 보안 권고안에 대하여 그 의미를 설명하시오.

  1. ntp -version
  2. disable monlist
  3. ntpdc -n -c monlist < 점검 대상 NTP 서버 IP >
  4. iptables -A OUTPUT -p udp --sport 123 -m length --length 100: -j DROP

문제 16번 (법규 - 개인정보 안전성 확보조치)

정보통신서비스를 제공하는 사이트의 개인정보 관리 실태를 점검한 결과 개인정보파일에 다음 항목이 모두 암호화되지 않은 것을 확인하였다. 이 중 **최소한 암호화가 필요한 항목(A)**와 **대상별 안정성 기준 및 암호 알고리즘(B)**에 대해 서술하시오.

다음은 암호화되지 않은 항목의 목록이다:

  1. 이름
  2. 성별
  3. 전화번호
  4. 비밀번호
  5. 주민등록번호
  6. 여권번호
  7. 신용카드번호

5. 📚 학습 전력 및 핵심 포인트

  1. 출제 경향 분석
    • 실무 중심의 문제 출제 증가
    • 최신 보안 위협 대응 능력 평가
    • 법규 및 규정 준수 중요성 강화
  2. 효과적인 학습 방법
    • 개념 이해와 실무 적용 병행
    • 관련 법규 및 지침 숙지
    • 실제 보안 사고 사례 연구
  3. 답안 작성 요령
    • 키워드 중심의 명확한 서술
    • 실무 경험 연계한 설명
    • 논리적 구조화된 답안 구성

📚 관련 포스팅

💡 정보보안기사 12회 기출문제 모범답안 보러가기

마무리

이상으로 정보보안기사 12회 기출문제 분석을 마치겠습니다.

각 문제의 상세한 해설과 모범답안은 다음 포스팅에서 다루도록 하겠습니다.

추가 질문이나 궁금한 점이 있으시다면 댓글로 남겨주세요!

'IT 전문가의 길: 기술과 자격 > 정보보안기사' 카테고리의 다른 글

정보보안기사 24회 기출문제 총정리(단답형/서술형/실무형)  (0) 2025.02.13
정보보안기사 12회 기출문제 모범답안 완벽 해설  (1) 2025.02.13
정보보안기사 실기 기출문제 시리즈: 11회 기출 분석과 모범 답안  (0) 2025.01.17
정보보안기사 실기 기출문제 시리즈: 10회 기출 분석과 모범 답안  (0) 2025.01.16
정보보안기사 실기 기출문제 시리즈: 9회 기출 분석과 모범 답안  (0) 2025.01.16
IT 전문가의 길: 기술과 자격/정보보안기사 관련 글
더 보기

티스토리툴바