[문제1] 다음은 개인정보처리자가 신규 서비스를 기획하면서 준수해야 할 개인정보 보호 원칙을 근거로 해서 법적 위험을 고려해야 할 사항에 대한 설명이다. 밑줄 친 단어에 법적 용어가 적절하지 않은 것을 짝지어진 것을 고르시오.
O 개인정보처리자는 개인정보의 처리 목적을 명확하게 하여야 하고 그 목적에 필요한 범위에서 최소 한의의 개인정보만을 ⓐ 적법하고 정당하게 수집하여야 한다. O 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 적합하게 개인정보를 처리하여야 하며, 그 목적 외의 용도로 활용하여서는 아니 된다. O 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 개인정보의 ⓑ 기밀성, 무결성 및 가용성이 보장되도록 하여야 한다. O 개인정보처리자는 개인정보의 처리 방법 및 종류 등에 따라 정보주체의 권리가 침해받을 가능성과 그 위험 정도를 고려하여 개인정보를 안전하게 관리하여야 한다. O 개인정보처리자는 제30조에 따른 ⓒ 이용약관 등 개인정보의 처리에 관한 사항을 공개하여야 하며, 열람청구권 등 정보주체의 권리를 보장하여야 한다. O 개인정보처리자는 정보주체의 사생활 침해를 최소화하는 방법으로 개인정보를 처리하여야 한다. O 개인정보처리자는 개인정보를 익명 또는 가명으로 처리하여도 개인정보 수집목적을 달성할 수 있는 경우 ⓓ 익명처리가 가능한 경우에는 ⓓ 익명처리에 의하여, ⓓ 익명처리 처리로 목적을 달성할 수 없는 경우에는 가명에 의하여 처리될 수 있도록 하여야 한다. O 개인정보처리자는 이 법 및 관계 법령에서 규정하고 있는 책임과 의무를 준수하고 실천함으로써 정보주체의 신뢰를 얻기 위하여 노력하여야 한다.
① ⓐ, ⓑ ② ⓑ, ⓒ ③ ⓒ, ⓓ ④ ⓓ, ⓐ
ⓑ : 정확성, 완전성 및 최신성 ⓒ : 개인정보처리방침
[문제2] 다음은 정보보호 최고책임자(CISO)의 직위와 지위 및 겸직금지 관련 사항으로 적정하지 않은 것 으로 짝지어진 것을 고르시오.
ⓐ 겸직금지 대상 기업은 직전 사업년도 말 기준 자산총액이 5조원 이상이거나 정보보호 관리체계 인증의무 대상자 중 직전 사업 연도 말 기준 자산총액이 5천억 이상인 정보통신서비스 제공자를 의 미한다. ⓑ 겸직금지에 해당하는 대상기업은 임원급으로 직무상 독립하여 권한과 책임을 가진 자를 지정하여야 한다는 점을 고려하여 CEO 직속 또는 해당 부서의 장으로 정보보호 조직과 위임전결을 가지고 있는 팀장급 이상으로 지정한다. ⓒ 겸직이 가능한 업무에는 정보보호 공시에 관한 업무, 정보통신기반보호법에 따른 정보보호책임자 업무 모두가 겸직이 가능한 업무이다. ⓓ 정보보호 최고책임자는 일반 자격요건을 충족하고 임원급으로 비상근 정보보호 업무를 수행하는 경우에도 자격 요건을 충족하는 것으로 간주한다. ⓔ 정보보호 및 정보기술 업무경력이 10년 이상인 경우, 정보보호 관리체계 인증심사원 자격 보유한 경우는 정보보호 최고책임자의 자격요건을 갖추고 있다고 볼 수 있다. ⓕ 정보기술 업무를 수행 총괄하고 있는 CIO가 산하의 정보보호 업무를 포괄하여 정보기술 관련한 정보보호 관련 사항을 반드시 고려할 수 있도록 겸직이 가능하다.
① ⓐ, ⓑ, ⓒ ② ⓑ, ⓓ, ⓕ ③ ⓐ, ⓒ, ⓔ ④ ⓓ, ⓔ, ⓕ
ⓑ:겸직금지에 해당하는 대상기업은이사(상법 제401조의2제1항제3호)에 따른 자 또는 같은 법 제408조의2에 따른 집행 임원 포함)로 직무상 독립하여 권한과 책임을 가진 자 를 지정하여야 한다는 점을 고려하여 CEO 직속 또는 해당 부서의 장으로 정보보호 조 직과 위임전결을 가지고 있는임원급 이상으로 지정한다. (팀장 X -> 임원)
ⓓ:정보보호 최고책임자는 일반 자격요건을 충족하고 임원급으로상근(날마다 일정한 시간 에 출근하여 정해진 시간동안 근무하는 것)정보보호 업무를 수행하는 경우에도 자격 요건을 충족하는 것으로 간주한다. (비상근 X -> 상근)
ⓕ:정보기술 업무를 수행 총괄하고 있는 CIO가 산하의 정보보호 업무를 포괄하여 정보기술 관련한 정보보호 관련 사항을 반드시 고려할 수 있도록 겸직을 수행할 수 없는 업무이다. (겸직 가능 X -> 겸직 불가)
[문제3] 다음은 조직의 정보보호 정책 및 관련 하위지침에 관련된 사항 중에서 적절하지 않은 것으로 짝지어진 것을 고르시오.
ⓐ 정보보호 및 개인정보보호 정책서 제·개정 시에는 정보보호 위원회의 의결을 거치도록 하고 있으나 내부 문서규정에 따라서 정책서 검토 이후에 개정사항이 없는 경우에는 위원회 의결이 아닌 정보보호 최고책임자가 직접 결정할 수 있다는 내용에 따라서 위원회 승인을 받지 않는 경우
ⓑ 정보보호 및 개인정보보호에 관련된 정책 및 지침서는 주로 관련된 정보보호 및 개인정보보호 부서의 운영 사항이므로 정보보호 부서의 게시판에 게시하여 관리하고 내부에서 참조할 수 있게 편리성을 제공한 경우
ⓒ 조직의 정보보호 및 개인정보보호 활동의 근거를 포함하고 있는 것이므로 최고경영자의 의지 및 방향이 반드시 포함되어야만 하는 경우
ⓓ 법령 및 규제, 상위 조직 및 관련기관의 정책과의 연계성, 조직의 대내외 환경변화 등을 반영할 수 있도록 위험평가 및 새로운 위협에 대한 사항은 반드시 정책과 지침 등에 반영을 해야 하는 경우
ⓔ 정보보호 및 개인정보보호 관련 정책 및 시행문서를 제·개정하는 경우 관련 정보보호 부서이외의 이해관계자가 관련사항을 검토하고 문제가 있어 이해관계자가 이의를 제기하였으나 정보보호 및 개인정보보호에 대한 정보보호 부서의 의지이므로 정책 및 시행문서에 반영하는 않는 경우
① ⓐ, ⓓ ② ⓑ, ⓔ ③ ⓒ, ⓓ ④ ⓐ, ⓒ
ⓑ : 정보보호 및 개인정보보호에 관련된 정책 및 지침서는 주로 관련된 정보보호 및 개인정보보호 부서의 운영 사항이므로 정보보호 부서의 게시판에 게시하여 관리하고 내부에서 참조할 수 있게 편리성을 제공한 경우에는 문제가 발생된다. 즉 정책 및 지침 등은 정보호관련 부서만 아니라 전 임직원 손쉽게 열람(게시판, 문서 등)할 수 있도록 제공해야 한다.
ⓔ: 이해관계자의 검토가 반드시 필요하고 이의제기에 대하여 모든 사항을 반영할 수 없지만, 충분한 검토를 통해서 이의제기한 사항이 보안부서의 의견과 맞지 않는다고 모두 반영하지 않는 것은 현실성 없는 정책 및 지침이 될 수 있는 요소가 된다.
[문제4] 다음은 조직의 정보보호 및 개인정보보호 관리체계 수립을 위한 생명주기에 대한 사항에 대한 설명으로 적절하지 않은 것을 고르시오.
ⓐ 정보보호 정책은 관련 시행문서(지침, 절차, 가이드 문서 등)에 대하여 정기적인 타당성 검토 절차 를 수립·이행하고, 필요시 관련 정책 및 시행문서를 제·개정하여야 한다. 최소 연1회 이상 정기 타당성 검토를 수행하여야 한다.
ⓑ 정보보호 교육은 임직원을 채용 및 외부자 신규 계약 시에 업무 시작 전에 정보보호 교육을 수행 하여 조직의 정책, 주의사항, 규정 위반 시 법적 책임 등에 대한 내용을 숙지할 수 있도록 고려해야 하며, 교육시행에 대한 기록을 남기고 교육 효과성을 위해 개선사항을 차기 교육에 반드시 반영 하여야 한다.
ⓒ 개인정보보호 정책은 개인정보보호 관련 법률 개정이 발생되면, 시행되기 전에 내부적으로 검토한 이후에 반드시 정책에 반영해야 하며, 법령 적용 시점보다 항상 먼저 정책에 반영될 수 있도록 개정 작업이 필수적이다.
ⓓ 개인정보보호 교육은 개인정보취급자를 대상으로 교육을 시행하며 법정 의무교육이므로 반드시 이수해야 하는 교육이며, 개인정보를 처리하는 임직원을 개인정보취급자로 판단하지만 그 대상을 판단하기 어려워 전 임직원을 개인정보취급자로 판단하여 일반적인 개인정보보호 교육을 수행하는 것이 필요하다.
ⓔ 정보보호 조직은 정보보호 업무 수행과 관련된 조직의 특성을 고려하여 관련 책임자와 담당자의 역할 및 책임을 시행문서에 구체적으로 정의하여야 한다.
ⓕ 개인정보보호 점검은 개인정보의 안전성 확보조치에 대한 고시에 따라서 내부관리계획을 수립하고 연1회 이상 개인정보의 기술적, 관리적, 물리적 보호조치에 대하여 점검하여야 한다.
ⓖ 개인정보보호 조직은 정보보호와 업무 연관성이 높아 같은 정보보호 조직 내에서 개인정보보호 업무를 수행할 수 있으나, 정보보호 부서의 장이 정보보호의 최고책임자 및 개인정보 보호책임자는 겸직금지 대상이므로 개인정보 보호책임자는 개인정보 업무를 다루고 있는 부서의 장으로 분리하여 업무를 수행하여야 한다.
ⓗ 정보보호 점검은 정보보호 및 개인정보보호 관련 법적 요구사항을 주기적으로 파악하여 규정에 반영하고, 준수 여부를 지속적으로 검토하여야 한다. 내부 정책 및 법적 요구사항에 따라 효과적으로 운영되고 있는지를 정보보호부서 인력으로 점검팀을 구성하여 연 1회 이상 점검하고, 발견된 문제점을 경영진에게 보고하여야 한다.
① ⓐ, ⓑ ② ⓒ, ⓓ ③ ⓔ, ⓕ ④ ⓖ, ⓗ ( + ⓓ ?)
ⓓ: 개인정보취급자는 일반 직원의 개인정보보호 교육과 차별화하여 전문성 있는 교육을 시행하여야 한다.
ⓖ: 정보보호 최고책임자와 개인정보 보호책임자는 겸직이 가능한다.
ⓗ: 점검팀은 전문성, 독립성을 고려하여 정보보호 부서이외의 관련 부서와 같이 진행하여야 함
[문제5] 다음 절차는 개인정보보호에 관련한 위험평가 절차 중의 하나이며, 공공기관의 대상의 「개인정보 보호법」 제33조(개인정보 영향평가)에 절차이다. ⓐ, ⓑ, ⓒ, ⓓ, ⓔ 각 빈칸에 적절한 항목을 순서대로 나열한 것을 고르시오
① 평가팀 구성, 개인정보처리업무 현황 분석, 대상시스템 관련 자료 분석, 개인정보 위험도 산정, 평가항목 작성 ② 개인정보처리업무 현황 분석, 평가팀 구성, 대상시스템 관련 자료 분석 개인정보 위험도 산정, 평가항목 작성 ③ 대상시스템 관련 자료 분석, 평가팀 구성, 개인정보처리업무 현황 분석, 평가항목 작성, 개인정보 위험도 산정 ④ 평가팀 구성, 대상시스템 관련 자료 분석, 개인정보처리업무 현황 분석, 평가항목 작성, 개인정보 위험도 산정
ⓐ 평가팀 구성 : 평가기관의 PM(Project Manager : 프로젝트 책임자)은 대상기관 사업관리 담당자의 협조 하에 개인정보보호 담당자, 유관부서 담당자, 외부전문가 등의 참여를 요청 ⓑ 대상시스템 관련 자료 분석 : 대상사업 및 개인정보보호 관련 기관 내·외부 정책환경분석을 위한 자료 수집 ⓒ 개인정보처리업무 현황 분석 : 대상사업에서 처리되는 개인정보 흐름에 대한 파악을위해 정보시스템 내 개인정보 흐름 분석 ⓓ 평가항목 작성 : 개인정보 처리업무 현황 분석을 위해서는 평가자료 수집 단계에서 수집한 산출물 분석을 수행하고 업무 담당자 인터뷰 및 현장 실사 등을 통해 업무 이해 ⓔ 개인정보 위험도 산정 : 도출된 침해요인은 모두 개선하는 것이 원칙이나, 기관내 예산이 부족한 경우 등 불가피한 사유가 있는 경우에는 위험분석 결과에 따라 개선사항의우선 순위를 정하여 선택적 조치 가능
[문제6] 다음은 내부감사계획을 수립하여 감사를 수행한 결과, 다음과 같이 일부 미흡한 사항을 발견한 내용을 감사보고서에 기술하였다. 위험관리 관점으로 해당 문제점을 보고 개선대책으로 적절하지 않은 것으로 짝지어진 것을 고르시오.
① ⓐ 권한 신청을 내부 결재절차에 따라서 신청서를 받아서 해당 시스템 담당자가 관리대장으로 전자적으로만 권한을 관리한다. ⓑ 접속기록을 Secure OS에 설치된 서버에 기록하고, 별도의 접근통제를 한다.
② ⓐ 퇴사자가 발생 시에 인사팀에게 통보하도록 하여 퇴사자의 권한을 담당자가 직접 삭제한다. ⓑ 접속기록은 해당 서버에 계속 기록하고, 다른 서버에 복제본을 전송하여 별도 접근통제를 한다.
③ ⓐ 업무 변경으로 권한 유지 여부를 보안팀에서 확인하기 어렵기 때문에 연1회 장기미사용자에 대한 권한을 삭제한다. ⓑ 접속기록은 해당 서버에 계속 기록하고, DVD-RW에 복제본을 기록하여 별도 금고에 보관한다.
④ ⓐ 계정 및 권한관리시스템을 도입하여 회사 내의 조직변경이 발생되면, 모든 권한을 반납 받고 신규 조직에서 권한을 새로 승인받고 사용할 수 있도록 관리한다. ⓑ 접속기록은 해당 서버에 계속 기록하고, 로그서버를 별도로 구축하여 별도의 접근통제를 한다.
업무 변경에 대해서는 보안팀에서 직접 확인하기 어렵고 해당 조직장 또는 본인이 관련 권한이 불필요하다고 판단하면 반납 또는 삭제해야 하지만, 운영의 어려움이 있어서 통상 1~3개월 정도 해당 권한을 사용하지 않을 경우에는 일시 잠금을 하거나 삭제하는 것이 바람직하며, 접속기록은 기록을 수정할 수 없도록 조치가 필요하여 DVD-RW 매체보다는 재사용되지 않은 미디어를 사용하는 것이 바람직함
반응형
Ⅳ. 정보보호 관리체계 운영 (심화) ② 정보보호 위험 평가
[문제7] 다음은 정량, 정성적 위험분석 방법론과 각 방법론에 대한 설명 중에서 적절하지 않은 것을 짝지은 것을 고르시오
ⓐ 수학공식 접근법은 정량적 위험분석의 방법 중의 하나로 위협의 발생빈도를 계산하는 식을 이용하여 위험을 계량하는 방법으로 이 방법은 현재 자료의 획득이 어려울 경우 위험 발생 빈도를 추정하여 분석하는데 유용하다.
ⓑ 확률 분포법은 정량적 위험분석의 방법 중의 하나로 미지의 사건을 추정하는데 사용되는 방법이다. 이 방법은 미지의 사건을 확률적(통계적)편차를 이용하여 최저, 보통, 최고의 위험평가를 예측할 수 있 다.
ⓒ 순위결정법은 정성적 위험분석 방법 중의 하나로 시스템에 관한 전문적인 지식을 가진 전문가의 집단을 구성하고 위험을 분석 및 평가하여 정보시스템이 직면한 다양한 위협과 취약성을 토론을 통해 분석하는 방법으로, 위험 분석을 짧은 기간에 도출할 수 있어 시간과 비용을 절약할 수 있지만 추정의 정확도가 낮다.
ⓓ 시나리오법은 정성적 위험분석 방법 중의 하나로 어떤 사건도 기대대로 발생하지 않는다는 사실에 근거하여 일정 조건하에서 위협에 대한 발생 가능한 결과들을 추정하는 방법으로, 적은 정보를 가지고 전반적인 가능성을 추론할 수 있고, 위험분석팀과 관리층 간의 원활한 의사소통을 가능케 한다. 그러 나 발생 가능한 사건의 이론적인 추측에 불과하고 정확도, 완성도, 이용기술의 수준 등이 낮다.
① ⓐ, ⓒ ② ⓑ, ⓓ ③ ⓑ, ⓒ ④ ⓓ, ⓐ
ⓐ: 수학공식접근법: 현재 자료의 획득 X > 과거 자료의 획득 O
ⓒ: 순위결정법 X > 델파이법
정량적 위험분석 1) ALE(연간예상손실) o 자산가치 * 노출계수 = 단일예상손실 (SLE) o 단일예상손실 * 연간발생률 = 연간예상손실 (ALE) 2) 과거자료 분석법은 과거의 자료를 통해 위험발생 가능성을 예측하는 방법. 이 방법은 위협에 대한 과거 자료가 많을수록 분석의 정확도가 높아진다. 3) 수학공식 접근법은 수학공식 접근법은 위협의 발생빈도를 계산하는 식을 이용하여 위험 을 계량하는 방법으로 이 방법은 과거자료의 획득이 어려울 경우 위험 발생 빈도를 추정 하여 분석하는데 유용하다. 4) 확률 분포법은 미지의 사건을 추정하는데 사용되는 방법이다. 이 방법은 미지의 사건을 확률적(통계적)편차를 이용하여 최저, 보통, 최고의 위험평가를 예측할 수 있다.
정성적 위험분석 1) 델파이법은 시스템에 관한 전문적인 지식을 가진 전문가의 집단을 구성하고 위험을 분석 및 평가하여 정보시스템이 직면한 다양한 위협과 취약성을 토론을 통해 분석하는 방법으로, 위험 분석을 짧은 기간에 도출할 수 있어 시간과 비용을 절약할 수 있지만 추정의정확도가 낮다. 2) 시나리오법은 어떤 사건도 기대대로 발생하지 않는다는 사실에 근거하여 일정 조건하에서 위협에 대한 발생 가능한 결과들을 추정하는 방법으로, 적은 정보를 가지고 전반적인 가능성을 추론할 수 있고, 위험분석팀과 관리층 간의 원활한 의사소통을 가능케 한다. 그러나 발생 가능한 사건의 이론적인 추측에 불과하고 정확도, 완성도, 이용기술의 수준 등이 낮다. 3) 순위 결정법은 각각의 위협을 상호 비교하여 최종 위협요인의 우선순위를 도출하는 방법으로, 위험 분석에 소요되는 시간과 분석하여야 하는 자원의 양이 적다는 장점이 있으나, 위험 추정의 정확도가 낮은 단점이 있다.
[문제8] 다음의 개인정보 흐름표는 OOO 공공기관 홈페이지 시스템 보유·이용단계 개인정보 흐름 중 회원 관리 관련해서 개인정보보호 영향 평가기관에서 작성한 위험평가 보고서의 일부 내용이다. 개인정보 흐름표를 통해서 파악한 현황 중에서 가장 적절하지 않은 것을 선택하고 그 이유를 설명하시오.
① 회원관리(아이디/비밀번호 찾기) 업무에서 비밀번호를 암호화하였으나, 비밀번호를 이메일로 사용자에게 전달하는 것은 일방향 암호화가 아닌 대칭키 암호화 방식을 사용하거나 평문으로 저장되어 있어 개선이 필요함
② 회원관리(탈퇴) 업무에서 회원탈퇴 시 본인확인 절차(휴대폰 인증 등) 없이 로그인 확인 후 회웥탈퇴하는 절차는 문제가 없음
③ OO신청관리 업무에서 ‘휴대전화번호’ 는 반드시 연락에 필요한 필수정보이므로 필수항목으로 변경하는 것이 필요함
④ 회원관리(가입) 업무에서 ‘병명’은 민감정보이지만 법률적 암호화 대상은 아니기 때문에 반드시 암호화 처리가 필요하지 않음
회원들에게 휴대전화번호 이외에 연락할 수 있는 이메일 정보가 있기 때문에 휴대폰번호가 반드시 필요한 필수정보로 판단하여 필수정보로 변경하도록 하는 것은 바람직하지 않음
[문제9] 아래 지문의 문제점은 위험분석을 통해서 도출된 문제점이다. 다음 중 위험처리 전략에 따라서 해당 문제점을 적절한 보호대책을 선정해야 한다. 법적 요구사항 준수로 인하여 부득이하게 ‘위험 수용’으로 처리하기 가장 적절하지 못한 것은 총 몇 개인가?
ⓐ 고객 비밀번호 변경 주기가 미흡함 ⓑ 서버 관리자 계정 및 권한 공유 ⓒ 내부 시스템 간의 전송구간 암호화 미적용 ⓓ 내부 중요 정보(제조관련 설계도면) 저장 시 암호화 미흡 ⓔ 신분증 이미지 파일 저장 시 암호화 미흡 ⓕ 이름, 전화번호, 이메일 주소의 안전한 암호 알고리즘 미사용 ⓖ 개인정보처리스템 접속기록 보관 및 검토 미흡 ⓗ 출력물에 대한 보호대책 미 적용 / 출력된 프린트물 방치 ⓘ 정보보호 업무 담당자의 업무 겸직 수행 ⓙ 정보보호 담당자 정보보호 교육 미참석 ⓚ 개발 완료 후, 시큐어코딩 표준 가이드 이행 여부 및 소스코드에 대한 미점검 ⓛ 고객정보를 처리하고 있는 시스템의 사용자 비밀번호를 MD5로 해쉬하여 저장 ⓜ 해지고객 정보 미파기 ⓝ 개인정보 취급자 PC에 백신 미설치 ⓞ 정보보호 정책 및 지침 정기적 미개정
① 3개 ② 4개 ③ 5개 ④ 6개
개인정보보호 법적 준거성이 반드시 필요한 사항이므로 위험수용을 사용하는 방법은 적절하지 않은 위험처리 전략이다.
ⓔ 신분증 이미지 파일 저장 시 암호화 >> 에는 미흡이라는 단어가 빠져 있는 듯
[문 제] 다음은 OOO기업이 어플리케이션 서버 자산에 대하여 위험분석을 통해서 도출된 결과이다. 단일 손실 예상 금액과 연간 손실 예상 금액을 산출하여 맞는 것으로 짝지어진 것을 고르시오.
자산적 가치가 2천만원에 해당하는 어플리케이션 서버의 취약점 중에서 최신 OS 및 보안 업데이트를 실시하지 않음으로 노출인자는 50%에 해당되는데 이에 따라서 발생되는 단일 손실 예상은 ( ⓐ )로 산정되고 있으며, 이를 통해서 연간 분기별로 발생되고 있는 경우 연간 손실 예상 금액은 ( ⓑ )로 추 정된다.
① 1천만원, 4천만원 ② 5백만원, 2천5백만원 ③ 1천만원, 2천5백만원 ④ 5백만원, 4천만원
