정보보안기사 실기 모의고사 (2025년 개정형)
최근 7개년 기출문제를 반영한 정보보안기사 실기 모의고사로, 2023년 개정된 문제유형(단답형 12문항/서술형 4문항/실무형 2문항)을 준수하며 현직 금융권 정보보안 담당자의 실무 경험을 반영하였습니다. 본 시험은 개인정보보호법, 정보통신망법, ISMS-P 인증기준 등 최신 법규와 공급망 공격(Supply Chain Attack), AI 기반 위협 탐지 등 최신 보안 이슈를 종합적으로 평가합니다.
■ 단답형 (12문항 × 3점 = 36점)
1. 전자기기 전자파 도청 방어 기술로, 차폐 시설과 백색 잡음 발생을 포함하는 개념은?
2. arp -s 192.168.0.1 aa:bb:cc:dd:ee:ff 명령어의 목적은?
3. 정보통신망법 제29조에 따른 접속기록 보관 기간은 최소 몇 개월인가?
4. HTTPS에서 SSL/TLS 핸드셰이크 단계에 사용되는 키 교환 알고리즘으로 ECDHE가 속하는 분류는?
5. BCP(Business Continuity Plan) 5단계 중 BIA(Business Impact Analysis)의 다음 단계는?
6. find / -user root -perm -4000 명령어가 탐지하는 파일 유형은?
7. CVE-2024-1234와 같이 공개된 취약점을 이용한 공격을 방지하는 MS사의 월별 패치 정책 명칭은?
8. EU GDPR 제37조에 따라 필수적으로 지정해야 하는 직책은?
9. ; DROP TABLE users-- 주입 공격이 가능한 취약점 유형은?
10. FIDO2 인증에서 공개키 암호화를 위한 표준 프로토콜은?
11. NIST CSF(Cybersecurity Framework) 핵심 구성 요소 중 "Identify" 다음 단계는?
12. ISO 27001:2022에서 추가된 공급자 관계 관리 항목 번호는?
■ 서술형 (4문항 × 12점 = 48점)
1. 위험관리 프로세스에서 위험 분석(Risk Analysis)과 위험 평가(Risk Assessment)의 차이를 법적 근거(개인정보보호법 제32조)와 함께 설명하시오.
2. 다음 조건을 모두 만족하는 MFA(Multi-Factor Authentication) 시스템을 설계할 때 고려해야 할 NIST SP 800-63B 기준을 항목별로 서술하시오.
- 조건: 지문 인식 + 6자리 OTP + 행동 생체정보 활용
3. 아래 IIS 로그를 분석하여 의심되는 공격 유형과 증거를 제시하고, 해당 공격을 방지하기 위한 웹방화벽(WAF) 설정 조치 3가지를 기술하시오.
2025-02-19 21:45:10 192.168.0.5 GET /index.php?id=1'%20OR%201=1 --
4. ISMS-P 인증 심사 시 "개인정보 처리 시스템 접근통제" 항목(관리적·기술적 조치)을 준수하기 위한 금융기관의 4대 중점 과제를 서술하시오.
■ 실무형 (2문항 × 16점 = 32점)
1. [개인정보 처리방침 검토]
다음은 여행사 웹사이트의 개인정보 수집 동의서 일부입니다. 정보통신망법 제22조·제24조와 개인정보보호법 제15조를 기준으로 3가지 위반 사항을 찾아 설명하고, 각 항목별 시정 방안을 제시하시오.
"㈜모두의여행은 고객의 원활한 서비스 제공을 위해 아래와 같이 개인정보를 수집합니다.
- 필수 항목: 이름, 생년월일, 여권번호, 신용카드 정보
- 보유 기간: 서비스 제공 종료 후 1년
※ 정보는 제3자 제공 시 사전 동의를 득합니다."
2. [침해사고 대응 시나리오]
2025년 1월, A은행 인터넷뱅킹 서버에서 아래와 같은 이상 증상이 발생했습니다. 증상을 분석하여 공격 유형을 특정하고, 3단계 복구 프로세스(확인·분석·대응)를 ISMS-P 인증 기준에 따라 작성하시오.
- 증상1:
/var/log/auth.log에Failed password for root from 203.0.113.5다수 기록 - 증상2:
netstat -ano결과ESTABLISHED상태의 비정상 포트(6667/TCP) 다수 확인 - 증상3: CPU 사용률 95% 이상 지속,
/tmp/.ssh/경로에update.sh파일 생성
정답 및 해설
----------------------------------------
■ 단답형 정답
1. TEMPEST
2. ARP 스푸핑 방지를 위한 정적 ARP 테이블 설정
3. 6개월(정보통신망법 제29조)
4. 하이브리드 암호화
5. 복구전략개발
6. SetUID 파일
7. 화요일 패치(Patch Tuesday)
8. DPO(Data Protection Officer)
9. SQL 삽입(SQL Injection)
10. WebAuthn
11. Protect
12. ISO/IEC 27001:2022 A.15
■ 서술형 해설
1. **위험 분석**은 위협·취약점·영향도를 정량화하며, **위험 평가**는 처리기관의 위험 수용 기준 대비 판정합니다.
- 법적 근거: 개인정보보호법 제32조(안전성 확보조치)
2. NIST SP 800-63B 기준 충족 요건:
- 지문: 생체인증 오류율 ≤ 1% (FAR/FRR)
- OTP: 6자리 이상·60초 이내 유효시간
- 행동 생체: 연속 3회 실패 시 계정 잠금
3. **공격 유형**: Blind SQL Injection
- 증거: `id=1'%20OR%201=1 --` (논리식 조작)
- WAF 조치:
① 입력값 특수문자 필터링(`'`, `--`)
② 쿼리 파라미터 암호화
③ 오류 메시지 일반화
4. 금융기관 4대 중점 과제:
① DB 암호화(개인정보보호법 제24조)
② 로그 집중관리체계(SIEM) 구축
③ 접근권한 최소화(Need-to-Know)
④ 반기별 접근통제 점검
■ 실무형 해설
1. **위반 사항**:
① 여권번호·신용카드 정보 과다 수집(정보통신망법 제22조)
② 제3자 제공 시 구체적 고지 미흡(개인정보보호법 제15조)
③ 보유기간 미명시(동법 제21조)
- **시정방안**:
⓵ 민감정보 분리 수집
⓶ 제3자 목적·기간 명시적 동의
⓷ 보유기간 '탈퇴 후 즉시 삭제'로 변경
2. **공격 유형**: SSH 무차별 대입 → CryptoJacking 설치
- **복구 프로세스**:
① **확인**: /var/log/secure·/tmp/.ssh/ 파일 무결성 검증
② **분석**: CVE-2024-5678(OpenSSH 취약점) 패치 여부 점검
③ **대응**: 감염 서버 격리 후 HSM 기반 키 교체