정보보안기사 19회 기출문제 총정리(단답형/서술형/실무형)
앞선 시리즈에 이어 이번에는 19회 기출문제를 분석해보겠습니다. 1
9회에서는 위험관리, 시스템 보안, 네트워크 보안 등 다양한 영역에서 실무적이고 심도 있는 문제들이 출제되었습니다.
문제를 먼저 풀어보고 고민한 후 답안을 확인하는 과정이 효과적인 학습방법입니다.
각 문제의 개념과 실무 적용 방안을 이해하면서 학습하시기 바랍니다.
📚 단답형 문제
문제 1번 (정보보안 일반 - 위험관리) 위험관리와 관련하여 ( )에 들어갈 용어를 기술하시오.
(A): (B)으로부터 보호해야 할 대상 (B): (A)에 손실을 발생시키는 원인이나 행위 (C): (B)에 의하여 손실이 발생하게 되는 (A)에 내재된 약점
문제 2번 (네트워크 - 접근통제) 네트워크 진입 시 단말과 사용자를 인증하고, 단말에 대한 지속적인 보안 취약점 점검과 통제를 통해 내부 시스템을 보호하는 솔루션을 무엇입니까?
문제 3번 (시스템 - 시스템 해킹) 여러 개의 프로세스가 공유자원에 동시에 접근할 때 접근하는 순서에 따라 비정상적인 결과가 발생하는 상황을 악용하는 공격기법을 무엇입니까?
문제 4번 (네트워크 - MAC 스푸핑) 네트워크 상에서 다른 사용자의 MAC 주소를 도용하여 정상적인 통신을 가로채는 공격 기법의 명칭은 무엇입니까?
문제 5번 (네트워크 - IDS 유형) 침입탐지시스템(IDS)은 크게 두 가지 유형으로 나뉩니다. 네트워크 트래픽을 모니터링하는 (A)형 IDS와 개별 서버에 설치되어 시스템 동작을 감시하는 (B)형 IDS입니다. 각각의 유형을 구분하는 용어는 무엇입니까?
문제 6번 (정보보안 일반 - BCP) 업무연속성계획(BCP) 수립 시 재해나 장애 상황을 대비하여 업무 영향도를 평가하고, 복구 목표시간(RTO)과 복구 목표시점(RPO)을 설정하는 핵심 분석 절차를 무엇이라고 합니까?
문제 7번 (어플리케이션 - 웹서버로그) 아파치 웹서버에는 두 가지 주요 로그 파일이 있습니다. 정상적인 접속 기록을 저장하는 (A) 로그, 오류 상황을 기록하는 (B) 로그, 그리고 이들의 경로를 설정하는 (C) 파일입니다. 각각의 명칭은 무엇입니까?
문제 8번 (네트워크 - 이메일보안) 필 짐머만이 개발한 이메일 보안 기술로, PEM보다는 보안성이 다소 낮지만 공개 프로그램으로 제공되어 현재 가장 널리 사용되는 이메일 암호화 표준은 무엇입니까?
문제 9번 (정보보안 일반 - 위험평가) 정보자산 위험 평가 시 자산을 식별하고, 기밀성(C), 무결성(I), 가용성(A)을 기준으로 자산의 가치를 평가할 때 산정하는 핵심 지표는 무엇입니까?
문제 10번 (네트워크 - TCP 공격) 공격자가 이미 연결이 수립된 정상적인 TCP 세션을 중간에서 가로채어 장악하는 공격 기법은 무엇입니까?
📚 서술형 문제
문제 11번 (시스템 - 특수권한 비트) 다음 파일들의 접근권한에 설정된 특수비트의 의미를 각각 설명하시오.
bash
1) -r-sr-xr-x root sys /etc/chk/passwd
2) -r-xr-sr-x root mail /etc/chk/mail
3) drwxrwxrwt sys sys /tmp
문제 12번 (법규 - 개인정보처리방침) 공공기관의 개인정보처리방침과 관련하여 다음 사항에 답하시오.
- 개인정보처리방침 수립 시 포함해야 할 사항을 4가지 이상 기술하시오.
- 수립된 개인정보처리방침을 알리는 방법을 3가지 이상 기술하시오.
문제 13번 (네트워크 - 패킷 스니핑) 다음 시스템 로그와 관련하여 답하시오.
device eth0 entered Promiscuous mode
- Promiscuous mode의 의미는 무엇입니까?
- 이 모드를 활용한 공격 유형은 무엇입니까?
- 이러한 공격에 대한 대응 방안을 1가지 이상 설명하시오.
📚 실무형 문제
문제 14번 (침해사고 분석 및 대응 - 자산 취약점 분석) 다음 정보 자산의 구성도와 자산목록을 보고 답하시오.
[구성도]
- 인터넷과 내부망 사이에 방화벽으로 DMZ zone 구성, web서버/mail서버 배치
- web 서버 앞단에 웹방화벽 배치
- 내부망은 방화벽으로 업무망, VDI망, 서버망으로 분리
- 서버망 내에 dns서버, db서버, was 서버, 개발 서버 위치
[자산목록]
- db서버: OS(AIX 6.4), 호스트명(krserver1), 관리책임자(홍과장)
- was 서버: OS(AIX 8.0), 호스트명(krserver1), 관리책임자(김부장)
- dns 서버: OS(AIX 6.4), 호스트명(dns_srv), 관리책임자(홍대리)
- web 서버: OS(Window 2003), 호스트명(web1), 관리책임자(김부장)
- mail 서버: OS(Centos 7), 호스트명(krmail01), 관리책임자(김사원)
- 자산 식별의 문제점 1개를 설명하시오.
- 보안 취약 문제점 1개를 설명하시오.
문제 15번 (어플리케이션 - 파일 업로드 취약점) 파일 업로드 취약점 대응을 위한 다음 .htaccess 파일 설정의 의미를 설명하시오.
apache
1) <FilesMatch \\.(ph|lib|sh|)>
order Allow DENY
Deny From ALL
</FilesMatch>
2) AddType text/html .php .php1 .php2 .php3 .php4 .phtml
문제 16번 (정보보안 일반 - 위험평가) 다음 위험평가서 양식을 보고 답하시오.
[위험 평가서 양식]
자산명 | 자산 중요도(C,I,A) | 우려사항 | 가능성 | 위험도(C,I,A)
1) ERP데이터 | H,H,M | DB의 접근 통제 위반이나 위반 시도를 적시에 발견하여 처리할 수 없다 | H | H,H,M
2) 워드문서 | L,L,L | 적절한 보안 규정이 부족하여 자산이 제대로 보호되지 않을 수 있음 | M | L,L,L
- 자산 중요도 평가의 목적은 무엇입니까?
- 위 표에서 '우려사항'이란 무엇을 의미합니까?
- 위 표에서 '가능성'이란 무엇을 의미합니까?
- 아래 자산 평가 테이블을 참고하여 위험분석기법을 적용한 위험분석을 수행하시오.
자산명 | 설명 | 소유자 | 자산 중요도(C,I,A)
1) ERP데이터 | ERP에서 사용하는 DB데이터 | 관리팀장 | H,H,M
2) ERP서버 | ERP 프로그램이 탑재된 시스템 | 관리팀장 | H,H,M
3) 워드문서 | 문서작성을 위한 임시문서 | 관리팀장/생산부장 | L,L,L
📚 학습 전략 및 핵심 포인트
- 19회 시험의 주요 특징
- 위험관리 프레임워크 심화 출제
- 시스템/네트워크 보안 실무 강화
- 자산 분석과 취약점 평가 중요도 증가
- 영역별 핵심 포인트
- 정보보안 관리
- 위험관리 기본 개념
- BCP/DRP 수립 절차
- 자산 평가와 위험분석
- 시스템 보안
- 특수권한 비트 설정
- Race Condition 공격
- 로그 분석과 모니터링
- 네트워크 보안
- NAC 구축과 운영
- IDS 유형과 특징
- ARP 스푸핑 대응
- 정보보안 관리
- 실전 대비 전략
- 위험분석 방법론 실습
- 서버 설정 직접 구현
- 취약점 분석 연습
모든 문제를 차근차근 풀어보신 후, 모범답안을 확인하면서 학습하시기 바랍니다.
특히 위험관리와 취약점 분석 관련 문제가 비중있게 출제되었으니, 관련 개념 학습에 중점을 두시기 바랍니다.
여러분의 합격을 응원합니다! 💪
[모든 문제를 다 풀어보셨다면 👉 정보보안기사 19회 모범답안 확인하러가기]