정보보호위험관리사(ISRM) 샘플문제(3) - 정보보호 위험 대응

 

Ⅲ. 정보보호 위험 대응 – 1. 보호대책 구현

[문제 1] 다음 중 네트워크 접근통제를 위한 보안 조치로서 옳은 것은?

① 외부자(외부 개발자, 방문자 등)에게 제공되는 네트워크를 별도의 통제 없이 내부 업무 네트워크와 분리하지 않았다.
② 서버팜이 구성되어 있으나, 네트워크 접근제어 설정 미흡으로 내부망에서 서버팜으로의 접근이 과도하게 허용하였다.
③ 내부 규정과 같이 MAC주소 인증, 필수 보안 소프트웨어 설치 등의 보호대책을 적용한 상태이다.
④ 내부망에 위치한 데이터베이스 서버 등 일부 중요 서버의 IP주소가 내부 규정과 달리 공인 IP로 설정되어 있다.

 

결함 사례 1: 네트워크 구성도와 인터뷰를 통하여 확인한 결과, 외부 지점에서 사용하는 정보시스템 및 개인정보처리시스템과 IDC에 위치한 서버 간 연결 시 일반 인터넷 회선을 통하여 데이터 송수신을 처리하고 있어 내부 규정에 명시된 VPN이나 전용망 등을 이용한 통신이 이루어지고 있지 않은 경우

 

결함 사례 2: 내부망에 위치한 데이터베이스 서버 등 일부 중요 서버의 IP주소가 내부 규정과 달리 공인 IP로 설정되어 있고, 네트워크 접근 차단이 적용되어 있지 않은 경우

 

결함 사례 3: 서버팜이 구성되어 있으나, 네트워크 접근제어 설정 미흡으로 내부망에서 서버팜으로의 접근이 과도하게 허용되어 있는 경우

 

결함 사례 4: 외부자(외부 개발자, 방문자 등)에게 제공되는 네트워크를 별도의 통제 없이 내부 업무 네트워크와 분리하지 않은 경우

결함 사례 5 : 내부 규정과는 달리 MAC주소 인증, 필수 보안 소프트웨어 설치 등의 보호대책을 적용하지 않은 상태로 네트워크 케이블 연결만으로 사내 네트워크에 접근 및 이용할 수 있는 경우

 

[문제 2] 데이터베이스 내 정보에 접근이 필요한 응용프로그램, 정보시스템(서버) 및 사용자를 명확히 식별 하고 접근통제 정책에 따라 통제하여야 한다. 통제 방안 중 옳지 않은 것은?

① 응용프로그램에서 사용하는 계정과 사용자 계정의 공용 사용 허용
② 다른 네트워크 영역 및 다른 서버에서의 비인가 접근 차단
③ 중요정보가 포함된 테이블, 컬럼은 업무상 처리 권한이 있는 자만 접근할 수 있도록 제한
④ 개인정보를 저장하고 있는 데이터베이스는 DMZ 등 공개된 네트워크에 위치하지 않도록 제한

 

> 응용프로그램에서 사용하는 계정과 사용자 계정의 공용 사용 제한 

 

[문제 3] 다음 중 정보시스템의 도입․개발․변경 시 필요한 보안 요구사항 조치를 바르게 수행한 것은?

① 정보시스템 인수 전 보안성 검증 기준 및 절차가 마련되어 있지 않았다.
② 신규 시스템 도입 시 기존 운영환경에 대한 영향 및 보안성을 검토하도록 내부 규정을 마련하고 있다.
③ 개발 관련 내부 지침에 개발과 관련된 주요 보안 요구사항(인증 및 암호화, 보안로그 등)을 정의하지 않았다.
④ 개발표준정의서의 사용자 패스워드 암호화에 MD5를 사용할 것을 적용하였다.

 

결함 사례 1 : 정보시스템 인수 전 보안성 검증 기준 및 절차가 마련되어 있지 않은 경우
결함 사례 2 : 신규 시스템 도입 시 기존 운영환경에 대한 영향 및 보안성을 검토하도록 내부 규정을 마련하고 있으나, 최근 도입한 일부 시스템에 대하여 인수테스트(취약점 점검) 등의 관련 보안성검토 수행 증적이 확인되지 않은 경우
결함  사례 3 : 개발 관련 내부 지침에 개발과 관련된 주요 보안 요구사항(인증 및 암호화, 보안로그 등)이 정의되어 있지 않은 경우
결함 사례 4 : ʻ안전하지 않은 암호화 알고리즘(MD5, SHA1)에 해당하므로 적절하지 않음

 

[문제 4] 다음 중 네트워크 보안시스템이 아닌 것은?

① DRM (Digital Rights Management)
② IDS (Intrusion Detection System)
③ Firewall
④ NAC (Network Access Control)

 

[문제 5] 다음 중 무선 네트워크 접근에 대한 보안관리 방법으로 옳은 것은?

① 무선 AP 설정 시 안전하지 않은 방식으로 정보 송수신 암호화 기능을 설정하였다.
② 외부인용 무선 네트워크와 내부 무선 네트워크 영역대를 분리하고 있다.
③ 업무 목적으로 내부망에 연결된 무선AP에 대하여 SSID 브로드캐스팅이 가능하도록 조치하였다.
④ 무선AP 관리자 비밀번호에 디폴트 비밀번호를 사용하고 있다.

 

결함 사례 1 : 외부인용 무선 네트워크와 내부 무선 네트워크 영역대가 동일하여 외부인도 무선네트워크를 통하여 별도의 통제 없이 내부 네트워크에 접근이 가능한 경우
결함 사례 2 : 무선 AP 설정 시 정보 송수신 암호화 기능을 설정하였으나, 안전하지 않은 방식으로 설정한 경우
결함 사례 3 : 업무 목적으로 내부망에 연결된 무선AP에 대하여 SSID 브로드캐스팅 허용, 무선AP 관리자 비밀번호 노출(디폴트 비밀번호 사용), 접근제어 미적용 등 보안 설정이 미흡한 경우

 

[문제 6] 다음 문장이 설명하는 보안시스템은?

네트워크 방화벽과 달리 OWASP(Open Web Application Security Project) Top10, 국가정보원의 8대 웹 취약점, 웹페이지 위변조 등 다양한 형태의 웹 기반 해킹 및 유해트래픽을 실시간 감시하여 탐지하고 차단하는 보안 솔루션

① UTM (Unified Threat Management)
② WIPS (Wireless Intrusion Prevention System) 
③ DLP (Data Loss Prevention) 
④ WAF (Web Application Firewall)

 

웹방화벽: 네트워크 방화벽과 달리 OWASP(Open Web Application Security Project) Top10, 국가정보원의 8대 웹 취약점, 웹페이지 위변조 등 다양한 형태의 웹 기반 해킹 및 유해트래픽을 실시간 감시하여 탐지하고 차단하는 보안 솔루션

방화벽(네트워크 방화벽, UTM, NGFW 등): 시스템의 보안을 위해 네트워크 상에서 외부에서 내부로, 내부에서 외부로의 불법적인 접근을 차단하는 보안솔루션

침입방지시스템(IPS): 네트워크 패킷을 분석하여 공격 시그니처를 찾아내 제어함으로써 비정상적인 트래픽을 중단시키는 보안 솔루션

DDoS 차단 시스템: 대량의 트래픽을 전송해 시스템을 마비시키는 DDoS 공격 전용의 차단 솔루션

가상사설망(VPN): 인터넷망 또는 공중망을 사용하여 둘 이상의 네트워크를 안전하게 연결하기 위하여 가상의 터널을 만들어 암호화된 데이터를 전송할 수 있도록 만든 네트워크로 공중망 상에서 구축되는 논리적인 전용망

네트워크 접근제어(NAC): 네트워크에 접근하는 접속단말의 보안성을 강제화할 수 있는 보안인프라로, 허가되지 않거나 웜, 바이러스 등 악성코드에 감염된 PC 또는 노트북, 모바일 단말기 등이 회사 네트워크에 접속되는 것을 원천적으로 차단해 시스템 전체를 보호하는 보안 솔루션

무선 네트워크 보안: 무선(전파)을 이용하는 통신 네트워크 상에서의 인증, 키 교환 및 데이터 암호화 등을 통해 위협으로부터 보호하기 위한 보안솔루션

 

[문제 7] 보안시스템 운영 시 보안관리 조치로 옳지 않은 것은?

① 보안시스템 유형별로 책임자 및 관리자를 지정하고 있다. 
② 보안시스템 보안정책의 신청, 변경, 삭제, 주기적 검토에 대한 절차 및 기준을 설정하고 있다. 
③ 침입차단시스템 보안정책 검토는 운영상 장애가 발생할 때만 수행한다. 
④ 내부 지침에 정보보호 담당자가 보안시스템의 보안정책 변경 이력을 기록·보관하도록 정하고 있다.

 

[문제 8] 다음 중 응용 프로그램에 대한 잘못된 접근통제 사례가 아닌 것은? 

① 응용프로그램의 개인정보 처리화면 중 일부 화면의 권한 제어 기능에 오류가 존재하여 개인 정보 열람 권한이 없는 사용자에게도 개인정보가 노출되고 있는 경우 
② 응용프로그램의 관리자 페이지가 외부인터넷에 오픈되어 있으면서 안전한 인증수단이 적용되지 않은 경우 
③ 응용프로그램에 대하여 세션 타임아웃 또는 동일 사용자 계정의 동시 접속을 제한하고 있는 경우 
④ 응용프로그램의 개인정보 조회화면에서 like 검색을 과도하게 허용하고 있는 경우

 

[문제 9] 다음은 물리보안 강화 기준에 대한 설명이다. 괄호 안에 들어갈 적합한 내용은?

물리적·환경적 위협으로부터 개인정보 및 중요정보, 문서, 저장매체, 주요 설비 및 시스템 등을 보호하기 위하여 물리적 ( )을 지정하고 구역별 보호대책을 수립·이행하여야 한다.

① 보호구역 
② 통제구역 
③ 제한구역 
④ 접견구역

 

[문제 10] 물리적으로 정보시스템을 보호하기 위한 보안조치로서 옳지 않은 것은?

① 자산목록 등에 물리적 위치 항목을 포함하고 현행화하여 최신본을 유지하여야 한다. 
② 케이블 매설 등은 물리적으로 구분·배선, 식별 표시, 상호 간섭 여부와 관계없이 조치하여야 한다. 
③ 정보시스템, 개인정보처리시스템, 네트워크 장비, 보안시스템, 백업 장비 등 정보시스템의 특성에 따라 전산랙을 이용하여 시스템을 외부로부터 보호하여야 한다. 
④ 개인정보처리시스템 등 중요도가 높은 경우에는 최소한의 인원만 접근이 가능하도록 전산랙에 잠금 장치 설치, 별도의 물리적 안전장치가 있는 케이지(cage) 등에서 관리하여야 한다.

 

물리적으로 구분 배선, 식별 표시, 상호 간섭받지 않도록 거리 유지, 케이블 매설 등 조치 필요

 

반응형

III. 정보보호 위험 대응 – 2. 정보통신서비스제공자 적용 보호대책

[문제 11] 다음 괄호에 들어갈 적합한 단어는 무엇인가?

정보보호 ( )은(는) 정보통신서비스 구축·개발 단계별 정보보호 조치를 수행하는 것으로 금융감독원의 보안성 심의, 국가정보원의 보안성 검토와 정보보호 관리체계(ISMS: Information Security Management Systems)와는 차이가 있다.

① 보안관제 
② 사전점검 
③ 인증제도 
④ 사후점검

 

[문제 12] 다음 문장이 설명하는 정보보호 사전점검 수행단계는?

개발하고자 하는 목표시스템 서비스 특성과 구성환경을 고려하여 보안점검 및 정밀 취약점 진단을 수행하고 모의해킹을 통해 외부로부터의 침입을 차단하고 내부로부터의 정보유출을 방지한다. 정보보호 보안점검을 완료 한 후, 목표시스템을 운영시스템으로 안전하게 이관(전환)하여야 한다.

① 요구사항정의 단계 
② 설계 단계 
③ 구현 단계 
④ 테스트 단계

 

테스트 단계: 보안점검 수행, 이관(전환) 보안대책

 

[문제 13] 다음 문장의 괄호 안에 들어갈 적합한 용어는?

정보통신망법 제76조에 근거하여, 정보보호 관리체계 인증 의무대상자가 인증을 받지 아니한 경우 ( ) 이하의 과태료를 부과한다.

① 1000만원 
② 3000만원 
③ 4000만원 
④ 6000만원

 

III. 정보보호 위험 대응 – 3. 개인정보처리자/신용정보업자 적용 보호대책

[문제 14] 다음 문장은 인터넷 망분리를 해야 하는 의무가 있는 사업자에 대한 설명이다. 괄호 안에 들어갈 적합한 내용은?

전년도 말 기준 직전 3개월간 그 개인정보가 저장·관리되고 있는 이용자 수가 일일평균 ( )만 명 이상인 개인정보처리자는 개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 수 있거나 개인정보처리시스템에 대한 접근 권한을 설정할 수 있는 개인정보취급자의 컴퓨터 등에 대한 인터넷망 차단 조치를 하여야 한다.

① 1000 
② 10 
③ 100
④ 1

 

[문제 15] 다음 문장은 개인정보 영향평가 의무 대상의 조건이다. 괄호 안에 들어갈 적합한 내용은?

▸( ᄀ )만 명 이상의 정보주체에 관한 민감정보 또는 고유식별정보의 처리가 수반되는 개인정보파일
▸공공기관 내부 또는 외부에서 구축·운용하고 있는 다른 개인정보파일과 연계하려는 경우로서 연계 결과 ( ᄂ )만 명 이상의 정보주체에 관한 개인정보가 포함되는 개인정보파일

ㄱ: 5
ㄴ: 50

 

※ 개인정보 영향평가 의무 대상

1. (5만 명 조건) 5만 명 이상의 정보주체에 관한 민감정보 또는 고유식별정보의 처리가 수반되는 개인정보파일

2. (50만 명 조건) 공공기관 내부 또는 외부에서 구축·운용하고 있는 다른 개인정보파일과 연계하려는 경우로서 연계 결과 50만 명 이상의 정보주체에 관한 개인정보가 포함되 는 개인정보파일

3. (100만 명 조건) 100만 명 이상의 정보주체에 관한 개인정보파일
4. (변경 시) 영향평가를 받은 후 개인정보파일의 운용체계를 변경하는 경우 변경된 부분에 대해서는 영향평가를 실시

 

[문제 16] 다음은 개인정보 접속기록 보존기간에 대한 설명이다. 괄호 안에 들어갈 적합한 내용은?

※ 개인정보 접속기록 보존기간 개인정보처리자는 개인정보취급자의 개인정보처리시스템에 대한 접속기록을 ( ᄀ )년 이상 보관·관리하여야 한다. 다만, 5만명 이상의 정보주체에 관한 개인정보를 처리하는 개인정보처리시스템에 해당하는 경우, ( ᄂ )년 이상 보관·관리하여야 한다.

ㄱ: 1
ㄴ: 2

제8조(접속기록의 보관 및 점검) 1 개인정보처리자는 개인정보취급자의 개인정보처리시스템에 대한 접속기록을 1년 이상 보관·관리하여야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 2년 이상 보관·관리하여야 한다.
1. 5만명 이상의 정보주체에 관한 개인정보를 처리하는 개인정보처리시스템에 해당하는 경우
2. 고유식별정보 또는 민감정보를 처리하는 개인정보처리시스템에 해당하는 경우
3. 개인정보처리자로서 「전기통신사업법」제6조제1항에 따라 등록을 하거나 같은 항 단서에 따라 신고한 기간통신사업자에 해당하는 경우

 

[문제 17] 다음 중 개인정보 보호법에 따라 개인정보처리시스템에 저장할 때 반드시 암호화하여 저장해야 하는 개인정보에 포함되지 않는 것은?

① 휴대폰번호
② 여권번호
③ 신용카드번호
④ 주민등록번호

 

암호화 필수: 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호, 신용카드 정보, 계좌번호, 생체인식정보

 

[문제 18] 정보시스템 도입 및 개발 단계에서 의무적으로 개인정보 영향평가를 받아야 하는 조건이 아닌 것은?

① 5만 명 이상의 정보주체에 관한 민감정보 또는 고유식별정보의 처리가 수반되는 개인정보파일 
② 공공기관 내부 또는 외부에서 구축·운용하고 있는 다른 개인정보파일과 연계 결과 50만 명 이상의 정보주체에 관한 개인정보가 포함되는 개인정보파일 
③ 100만 명 이상의 정보주체에 관한 개인정보파일 
④ 영향평가를 받은 후 개인정보파일의 운용체계에 변경이 없더라도 1년에 한 번 정기적으로 실시

 

[문제 19] 정보보호 공시제도의 추진 근거가 되는 법령은?

① 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제4조 
② 정보보호산업의 진흥에 관한 법률 제13조 
③ 개인정보 보호법 시행령 제11조 
④ 사이버안전 업무규정 제10조

 

[문제 20] 다음 중 정보보호 공시제도의 의무공시 대상 기준이 아닌 것은? 

① 회선설비 보유 기간통신사업자(ISP) 
② 집적정보통신시설 사업자(IDC) 
③ 클라우드컴퓨팅 서비스 제공자 
④ 정보보호 최고책임자 지정.신고 상장법인 중 금융회사

 

정보보호위험관리사(ISRM) 자격증 샘플문제(1) - 정보보호위험관리계획

정보보호위험관리사(ISRM) 샘플문제(1) - 정보보호위험관리계획

 

정보보호위험관리사(ISRM) 샘플문제(2) - 정보보호위험평가

정보보호위험관리사(ISRM) 샘플문제(2) - 정보보호위험평가

 

정보보호위험관리사(ISRM) 샘플문제(4) - 정보보호 관리체계 운영(심화)

 

정보보호위험관리사(ISRM) 샘플문제(4) - 정보보호 관리체계 운영(심화)