2022. 2. 17. 20:08ㆍMisc.
1과목 : 시스템 보안
분석 시 사용될 수 있는 명령어에 대하여 잘못 나열한 것은?
① secure - 사용자 원격접속 정보 - text file - grep
② utmp - 현재 로그인 사용자 정보 - binary file - who
③ pacct - 사용자별 명령 실행 정보 - text file - history
④ wtmp - 최근 로그인 및 접속 호스트 정보 - binary file- last
정답 : ③
pacct - 사용자별 명령 실행 정보 - binary file - lastcomm
다음의 방어 기법으로 예방할 수 있는 공격으로 가장 알맞은 것은?
[ Data Execution Prevention(DEP), No-eXecute ]
① 랜섬웨어 공격
② 힙 스프레이
③ SQL 인젝션
④ ATP 공격
답 : ②
다음중 UNIX기반 시스템에서 Log 분석을 위한 문자열 처리와 관련이 가장 적은 명령어는?
① wc
② awk
③ grep
④ nohup
답 : ④
다음은 UTM(Unified Threat Management)의 특징에 대한 설명이다. 틀린 것을 고르시오.
① 여러 보안 장비를 하나의 장비로 통합한 것을 말한다
② 보안 로그를 모아 취합하여 심층분석을 수행한다.
③ 경제성이 있고 관리가 용이하지만 장애 발생시 보안기능에 심각한 영향을 미칠수 있다.
④ 일반적으로 방화벽의 기능을 포함한다.
답 : ②
다음 중 무결성을 점검하는 방법과 거리가 먼 것은?
① 소유자 그룹 권한을 확인한다.
② 파일의 크기를 확인한다.
③ 파일의 수정시간을 확인한다.
④ 파일의 심볼릭 링크 수를 확인한다.
답 : ④
2과목 : 네트워크 보안
지식기반 침입탐지이 아닌 것은?
① 통계적 분석(Statistical Analysis)
② 시그너처 분석(Signature Analysis)
③ 페트리넷(Petri-net)
④ 상태전이분석(State Transition Analysis)
정답 : ①
지식기반 침입탐지 : 시그니처 분석, 페트리넷, 상태전이 분석, 유전
행위기반 침입탐지 : 통계적 분석, 면역학, 데이터 마이닝, HMM, 기계학습
NAC의 주요기능과 가장 거리가 먼 것은?
① 접근제어/인증 : 네트워크의 모든 IP기반 장치 접근제어
② PC 및 네트워크 장치 통제 : 백신 및 패치 관리
③ 해킹/Worm/유해 트래픽 탐지 및 차단 : 해킹행위 차단및 완벽한 증거수집 능력
④ 컴플라이언스 : 내부직원 역할기반 접근제어
정답 : ④
다음 지문이 설명하는 것은?
트리누와 TFN을 참고하여 제작된 도구로서 이들이 갖고 있는 특성을 대부분 가지고 있는 공격도구이다. 마스터 시스템 및 에이전트 데몬 사이에 통신을 할 때 암호화 하는 기능이 추가 되었으며, TFN이나 TFN2K와 같이 ICMP Flood, SYN Flood, UDP Flood와 Smurt 등의 Ddos 공격을 할 수 있는 기능을 갖고 있다.
① Stacheldraht
② Targa
③ Bonk
④ Boink
정답 : ①
리모트 호스트로부터의 ping 명령에 대한 응답으로 "Destination Unreachable"을 되돌려 주고, 접속을 거절하기 위해 리눅스 방화벽에서 설정하는 타깃 명령어는 무엇인가?
① DROP
② DENY
③ REJECT
④ RETURN
정답 : ③
다음 중 스위치 환경에서의 스니핑 공격 유형이 아닌 것은?
① ARP Injection
② Switch Jamming
③ ARP Redirect
④ ARP Spoofing
정답 : ①
Enterprise Security Management의 구성요소에 대한 설명 으로 옳지 않은 것은?
① 에이전트 : 보안 장비에 탑재, 수집된 데이터를 매니저 서버에 전달하고 통제를 받음.
② 매니저 : 에이전트에서 받은 이벤트를 룰에 의해 분석 저장, Console Part에 그 내용을 인공 지능적으로 통보
③ 콘솔 : 매니저에게 받은 데이터의 시각적 전달, 상황 판단 기능
④ 보안 패치 : 다른 환경을 가진 컴퓨터를 대상으로 중앙에서 자동으로 통제 및 제어함으로써 각종 소프트웨어의 취 약점에 대한 보안 사고를 사전에 예방
정답 : ④
ESM의 구성요소 3가지
에이전트, 매니저, 콘솔
다음 중 APT(Advanced Persistent Threat)의 유형과 가장 관련이 적은 것은?
① 워터링 홀
② Zero Day
③ DDoS
④ 백도어
답 : ③
보기의 내용은 어떤 공격을 탐지하기 위한 내용들이다. 해당 공격으로 가장 알맞은 것은?
- Ack Storm 탐지
- 패킷의 재전송 증가 탐지
- 예기치 못한 RST 증가 탐지
① TCP 세션 하이재킹
② TCP 하프 스캔
③ 하트 블리드
④ DRDoS
답 : ①
Ack Storm : 세션 하이재킹에 의해 루핑이 발생하는 현상
세션 하이재킹을 위해 Server와 Victim Client를 강제로 비동기 상태로 만든다.
다음 중 기존 DDoS 공격과 차별화되는 DRDoS 공격에 대한 설명으로 옳은 것은?
① IP Spoofing을 이용하여 정상적인 호스트를 공격수단으로 이용한다.
② 분산된 다수의 좀비 PC를 이용하여 한꺼번에 공격한다.
③ 대량의 호스트가 일시에 접근하는 것만으로도 공격을 수행할 수 있다.
④ C&C를 이용해 좀비 PC를 능동적으로 조종할 수 있다.
답 : ①
스위칭 환경에서 스니핑을 하기 위한 공격과 가장 거리가 먼 것은?
① DNS Spoofing
② ARP Broadcast
③ ARP Jamming
④ Switch Jamming
답 : ①
DNS Spoofing은 변질된 DNS 데이터가 DNS 캐시에 유입되어 네임 서버가 유효하지 않은 IP 주소를 반환한다. -> 공격자의 컴퓨터로 공격 우회가 가능하다.
공인인증서의 유효성을 검사하는 OCSP와 CRL에 대한 설명으로 옳지 않은 것은?
① OCSP는 인증서 폐기시 실시간으로 반영된다.
② CRL은 제한된 네트워크 환경에서 사용하기 유리하다.
③ CRL은 CA를 통해서 서비스된다.
④ OCSP는 Batch 형태로 동기화 비용이 들지 않는다.
답 : ④
다음 중 리눅스 시스템의 TCP Wrapper에서 제공하는 기능이 아닌 것은?
① 로깅
② 포트 접근통제
③ IP기반 접근통제
④ 네트워크 서비스 기반 통제
답 : ②
TCP/IP의 4계층에 해당하지 않는 것은?
① 인터넷 계층
② 전송 계층
③ 응용 계층
④ 물리 계층
답 : ④
3과목 : 어플리케이션 보안
다음 지문이 설명하고 있는것은?
이 솔루션은 인증을 통해 자산 및 사용자를 식별하고, 네트워크 접근권한 등을 부여하여 사용자 접속권한을 제어한다. 인가 받지 않은 단말에 대해 내부 네트워크 접근 통제가 가능하다.
① IPS
② Firewall
③ NAC
④ ESM
정답 : ③
IMAP에 대한 설명으로 틀린 것은?
① IMAP은 사용자에게 원격지 서버에 있는 e-mail을 제공해주는 프로토콜 중의 하나이다.
② IMAP으로 접속하여 메일을 읽으면 메일 서버에는 메일이 계속 존재한다.
③ IMAP의 경우 110번 포트 사용, IMAP3의 경우 220번 포트를 사용한다.
④ 프로토콜에서 지원하는 단순한 암호인증 이외에 암호화 된 채널을 SSH 클라이언트를 통해 구현할 수 있다.
정답 : ③
IMAP 143번 포트, POP3가 110번 포트
다음 중 정적 분석의 특징이 아닌 것은?
① 소프트웨어 실행 불필요
② stress test나 penetration test 등의 기법
③ compile time 이나 source 수준에서 검증 가능한 coding 이나 API 보안 등의 항목 점검 수행
④ 실행 결과보다는 실행 전 구현에 초점
정답 : ②
다음 지문이 설명하는 악성코드를 지칭하는 말은?
[ 특수한 형태의 악성코드로, 감염이 되고 나면 지정된 주소에 접속하여 추가 악성코드를 다운받아 실행시킨다. 백신을 우회하는 목적으로 사용된다. ]
① 멀웨어
② 다운로더
③ 드롭퍼
④ 인젝터
정답 : ②
DNSSEC에 대한 설명 중 가장 적절하지 않은 것은?
① DNS 메시지에 대한 기밀성을 제공한다.
② 서비스 거부 공격에 대한 방지책은 없다.
③ DNS 데이터 위·변조 공격에 대응할 수 있다.
④ 메시지 송신자 인증과 전자서명을 제공한다.
정답 : ①
BYOD 보안솔루션과 가장 거리가 먼 것은?
① NAC
② MDM
③ MAM
④ ESM
정답 : ④
BYOD (Bring Your Own Device) : 스마트폰 이용의 증가로 회사에서 지급되는 모바일 단말기뿐만 아니라 개인의 모바일 단말기를 업무용으로 사용하고자 하는 요구에 따른 기업의 보안 정책 및 관리적 이슈
NAC (Network Access Control)
MDM (Mobile Device Management)
MAM (Mobile Application Management)
다음 중 PGP의 기능이 아닌 것은?
① 기밀성
② 전자서명
③ 단편화와 재조립
④ 송수신 부인방지
답 : ④
다음 중 데이터베이스 보안 유형이 아닌 것은?
① 접근 제어(Access Control)
② 허가 규칙(Authorization Rule)
③ 암호화(Encryption)
④ 집합(Aggregation)
답 : ④
키 관리는 키 생성, 분배, 설치, 갱신, 취소 폐기, 저장, 복구 등 을 요구하는 포괄적인 개념이다.한 사용자 또는 기관이 비밀키 를 설정하여 다른 사용자에게 전달하는 기술을 키 분배라고 하며,둘 또는 그 이상의 사용자가 공개된 통신 채널을 통하여 비밀 키를 설정하는 것을 키 합의라고 한다.다음 중 키 분배 방식에 해당되는 것은?
① Diffie-Hellman 방식
② Matsumoto-Takashima-lmai 방식
③ Okamoto-Nakamura 방식
④ Needham-Schroeder 방식
답 : ④
다음 중 인증서가 폐지되는 사유가 아닌 것은?
① 인증서 발행 조직에서 탈퇴
② 개인키의 손상
③ 개인키의 유출 의심
④ 인증서의 유효기간 만료
답 : ④
다음 보기가 설명하고 있는 공격 방식은?
해커가 특정 기업, 기관 등의 HW 및 SW 개발, 공급과정 등 에 침투하여 제품의 악의적 변조 또는 제품 내부에 악성코드 등을 숨기는 행위로 최근에 국내 SW 개발사를 대상으로 SW가 제작되는 단계에서 설치파일 변조 침해사고가 여러 차례 확인된 바 있다. 이러한 사고 예방을 위해서는 개발환경 은 외부 인터넷을 차단하여 운영하여야 한다.
① developer chain attack
② supply chain attack
③ stuxnet attack
④ scada attck
정답 : ②
DoS 공격엔 다양한 종류가 있다. 다음 중 웹서버 운영체제(OS) 자원을 고갈시키는 DoS는 무엇인가?
① Syn Flooding
② GET Flooding
③ Teardrop
④ Syn Cookie
답 : ①
SYN Flooding은 자원고갈, GET Flooding은 DB Connection 부하
FTP는 Active 모드와 Passive 모드를 지원한다. Passive 모드를 사용한다면 예상되는 가장 적절한 이유는 무엇인가?
① Passive 모드가 전송속도가 더 우수하기 때문에
② 서버에서 20, 21포트를 사용하기 위해
③ Passive 모드에서 지원되는 암호화 기능 때문에
④ Active 모드는 Client 방화벽차단시 사용 불가하므로
답 : ④
제어 포트 - 21번
데이터 전송 포트 – 액티브 모드 20번, 패시브 모드 1024번 이상
액티브 모드는 클라이언트 방화벽 차단 시 사용 불가
구조적으로 데이터를 전송할 때 목적지가 어디인지 검사하지 않는 취약점이 있다.
FTP 능동모드 20 / 수동모드 4900
4과목 : 정보보안 일반
해시함수의 요구사항과 가장 거리가 먼 것은?
① 계산용이성
② 역방향성
③ 약한 충돌회피성
④ 강한 충돌회피성
정답 : ②
계산 속도가 빨라서 계산용이성이 맞는 듯...
역방향성이 아니라 일방향성
다음은 블록 암호의 운영 모드에 관한 설명이다. 지문에서 설명하는 운영 모드는?
[ 이전 암호 알고리즘의 출력을 암호화하여 평문과 XOR한다. 즉 평문에 대한 직접 암호화는 이루어지지 않는다. Initial Vector를 사용하지만 오류의 파급은 없다. 암호문을 동일하게 한번 더 암호화하면 복호화된다. ]
① ECB
② CBC
③ CFB
④ OFB
답 : ④
오류의 파급은 없다.
암호화 등에 사용되는 해시는 동일한 출력을 산출하는 서로 다른 두 입력을 계산적으로 찾기가 어려워야 한다. 이러한 특성을 무엇이라 부르는가?
① 일방향성
② 해시 무결성
③ 역상 저항성
④ 충돌 저항성
답 : ④
강한 충돌 저항성
H(x) = H(y)인 서로 다른 임의의 두 입력 x, y를 찾는 것은 어려워야 됨.
해시값이 일치할 것 같은 서로 다른 2개의 메시지를 발견하는 것이 어려움
약한 충돌 저항성
x가 주어졌을 때, H(x) = H(y)인 x!=y인 것을 찾는 것이 어려워야 됨.
주어진 메시지와 같은 해시값을 갖는 다른 메시지를 발견하는 것이 어려움.
역상 저항성
해시값 m에 대해 H(X) = m을 만족하는 m값을 찾기 어려운 성질
제2 역상 저항성
해시값 m에 대해 h(x)=h(x'), x≠x'를 만족하는 x'를 찾는 것이 어려운 성질
다음 중 전자상거래 보안과 가장 관련이 적은 것은?
① ebXML
② SET
③ OAuth
④ EMV
답 : ③
암호문에 대응하는 평문 일부를 사용하는 암호 공격 방법은?
① 암호문 단독 공격
② 기지 평문 공격
③ 선택 평문 공격
④ 선택 암호문 공격
답 : ②
은닉서명에 대한 바른 설명은?
① 송신자와 수신자 간에 문서의 위변조를 방지하기 위한 방법이다.
② 은닉서명 사용자가 서명자에게 자신의 메시지를 보여주지 않고 서명을 받아내는 방식이다.
③ 은닉서명을 위한 서명자의 신원은 노출되지 않고 은닉서명 사용자는 노출될 수 있는 서명 방식이다.
④ 전자화폐 사용 시, 전자화폐 수신자의 신원 노출 방지 기능이 있다.
정답 : ②
은닉서명은 제공자의 신원과 서명문을 연결시킬 수 없기 때문에 익명성 유지가 가능하다.
One Time Pad에 대한 설명 중 옳지 않은 것은?
① 최소한 평문 메시지 길이와 같은 키 스트림을 생성해야 한다.
② 암호화 키와 복호화 키가 동일하다.
③ One Time Pad 암호를 사용하려면 키 배송이 먼저 이루어져야 한다.
④ 전사 공격을 받게 되면 시간이 문제이지 궁극적으로 해독된다.
정답 : ④
5과목 : 정보보안관리 및 법규
다음 중 정보통신기반보호위원회의 역할이 아닌 것은?
① 주요정보통신기반시설 지정 및 취소
② 주요정보통신기반시설 보호 계획 조정
③ 주요정보통신기반시설 관련 제도 개성
④ 주요정보통신기반시설 정보보호 대책 수립
답 : ④
정보통신기반시설의 보호에 관한 사항을 심의하기 위하여 설치된 대한민국 국무총리실 소속의 정부위원회
업무영향분석 시 고려해야 할 내용으로 가장 거리가 먼 것은?
① 복구 정확성, 비상시 의무사항 수행, 대체 백업 사이트의 처리 역량 검증
② 사건 발생 이후 시간이 경과함에 따라 손해 혹은 손실이 점증되는 정도
③ 최소한의 운영에 필요한 직원, 시설, 서비스를 복구하는 데 소요되는 시간
④ 수입상실, 추가적 비용부담, 신용상실 등과 같은 형태의 손실
정답 : ①
다음 중 개인정보 처리방침에 의무적으로 포함되어야 할 내용이 아닌 것은?
① 개인정보 처리 및 보유 기간
② 개인정보 침해 시 구제 방안
③ 개인정보의 제3자 제공에 관한 사항
④ 개인정보 보호책임자 및 조직 정보
답 : ②
정보보호 관리체계 인증제도에 대한 설명으로 가장 적절하지 않은 것은?
① 인증대상은 임의신청자와 의무대상자로 구분되며, 인공의무대상자가 인증을 받지 않으면 과태료 3천만원이 부과된다.
② 임의신청자의 경우 인증범위를 신청기관이 정하여 신청할수 있으며, 심사기준 및 심사절차는 의무대상자 심사와 동일하다.
③ 정보통신망법 제46조에 따른 집적정보통신시설 사업자는의무대상자이다.
④ 전년도 직전 3개월간 정보통신서비스 일일평균 이용자 수가 10만명 이상인 자는 대상이다.
정답 : ④
전년도 직전 3개월간 정보통신서비스 일일평균 이용자 수가 100만명 이상 또는 전년도 매출액이 100억 이상인 자는 대상이다.
OECD 개인정보보안 8원칙에 포함되지 않는 것은 무엇인가?
① 이용제한의 원칙
② 정보 정확성의 원칙
③ 비공개의 원칙
④ 안전성 확보의 원칙
정답 : ③
OECD 개인정보보안 8원칙
1. 수집제한
2. 정보 정확성
3. 목적 명확화
4. 이용 제한
5. 안정성 확보
6. 처리방침의 공개
7. 정보주체 참여
8. 책임
정보보호 대책 마련과 관련된 절차이다. 올바른 순서대로 나열한 것은?
ㄱ. 위험관리
ㄴ. 경영진 책임 및 조직 구성
ㄷ. 사후관리
ㄹ. 정보보호대책 수립
ㅁ. 정책 수립 및 범위 설정
① ㄱ-ㄴ-ㄷ-ㄹ-ㅁ
② ㄴ-ㄱ-ㄹ-ㅁ-ㄷ
③ ㄷ-ㄱ-ㄴ-ㅁ-ㄹ
④ ㅁ-ㄴ-ㄱ-ㄹ-ㄷ
답 : ④
정보보호 정책 및 조직 수립 → 정보보호 범위 설정 → 정보자산의 식별 → 위험관리 → 구현 → 사후관리
다음은 정보통신망법과 관련법률간 관계에 대한 설명이다. 아래 빈칸에 들어갈 말을 바르게 나열한 것은?
ㅇ 정보통신망 이용촉진 및 정보보호등에 관하여는 다른 법률에서 특별히 규정된 경우 외에는 이 법으로 정하는 바에 따른다.
ㅇ 만약 통신과금서비스에 관하여 이 법과 ( A )의 적용이 경합하는 때에는 ( B )을 우선 적용한다.
ㅇ ( C )의 개정에 따라 개인정보 보호에 관련한 조항은 본 법에서 삭제되었다.
① 전자상거래법 - 전자상거래법 - 정보화진흥법
② 전자상거래법 - 정보통신망법 - 개인정보 보호법
③ 전자금융거래법 - 전자금융거래법 - 정보화진흥법
④ 전자금융거래법 - 정보통신망법 - 개인정보 보호법
답 : ④
개인정보 보호책임자와 관련된 설명이다. 옳지 않은 것을 고르시오.
① 개인정보 보호책임자는 기업의 임원이 수행함이 원칙이다.
② 개인정보 보호책임자를 별도로 지정하지 않으면 정보보호 최고책임자가 개인정보 보호책임자가 된다.
③ 임원이 없는 기업의 경우 관련 부서장이 개인정보 보호책임자로 임명될 수 있다.
④ 개인정보 보호책임자는 정당한 업무 수행에 따른 불이익을 받지 않는다.
답 : ②
개인정보 보호책임자를 별도로 지정하지 않으면 대표자가 개인정보 보호책임자인 것으로 본다.
「개인정보보호법」에 의거하여 공공기관의 장은 대통령령으로 정하는 기준에 해당하는 개인정보 파일의 운용으로 인하여 정보주체의개인정보 침해가 우려되는 경우에는 그 위험 요인의 분석과 개선사항 도출을 위한 영향평가를 하고 그 결과를 행정안전부장관에게 제출하여야 한다. 영향평가를 하는 경우에 고려해야 할 사항으로 적합하지 않은 것은?
① 처리하는 개인정보의 수
② 개인정보의 제3자의 제공 여부
③ 정보주체의 권리를 해할 가능성 및 그 위험 정도
④ 개인정보를 처리하는 수탁업체 관리·감독의 여부
답 : ④
전자서명법에서 규정하고 있는 용어에 대한 설명 중 옳지 않은 것은?
① 전자서명 정보는 전자서명 생성정보가 가입자에게 유일하게 속한다는 사실을 확인하고 이를 증명하는 전자적 정보를 말한다.
② 전자서명은 서명자를 확인하고 서명자가 해당 전자문서에 서명하였음을 나타내는 데 이용하기 위하여 전자문서에 첨부되거나 논리적으로 결합된 전자적 형태의 정보를 말한다.
③ 인증은 전자서명 생성정보가 가입자에게 유일하게 속한다는 사실을 확인하고 이를 증명하는 행위를 말한다.
④ 전자문서는 정보 처리 시스템에 의하여 전자적 형태로 작성되어 송신 또는 수신되거나 저장된 정보를 말한다.
정답 : ①
'인증서'에 대한 설명이다.
인증서 : 전자서명 생성정보가 가입자에게 유일하게 속한다는 사실을 확인하고 이를 증명하는 전자적 정보
다음 중 아래에 대한 설명으로 가장 적합한 것은?
[ 정보보호 목적과 구성, 기본 방침, 정보보호 실행계획 수립, 보안에 대한 역할과 책임, 정보자산/정보시스템의 보안, 규정의 준수, 보안정책운용 정보를 포함한 문서 ]
① 위험분석서
② 정보보호정책서
③ 업무연속성계획서
④ 업무영향평가서
정답 : ②
개인정보영향평가 시 반드시 고려할 사항이 아닌 것은?
① 처리하는 개인정보의 수
② 개인정보 취급자의 인가 여부
③ 개인정보의 제3자 제공 여부
④ 정보주체의 권리를 해할 가능성 및 그 위협
정답 : ②
「개인정보보호법」에 의거하여 개인정보처리자는 개인정보의 처리에 대하여 정보주체의 동의를 받을 때에는 각각의 동의 사항을 구분하여 정보주체가 이를 명확하게 인지할 수 있도록 알리고 각각 동의를 받아야 한다. 동의를 서면으로 받을 때에는 중요한 내용을 정하는 방법에 따라 명확히 표시하여 알아보기 쉽게 하도록 되어 있다. 이때 중요한 내용에 해당 되지 않는 것은?
① 동의를 거부할 권리가 있다는 사실 및 거부에 따른 불이익이 있을 경우에는 불이익에 대한 내용
② 개인정보를 제공받는 자
③ 개인정보를 제공받는 자의 개인정보 이용 목적
④ 개인정보의 보유 및 이용 기간
답 : ①
「개인정보보호법」에 의거하여 개인정보처리자가 정보주체 이외로부터 수집한 개인정보를 처리하는 때에는 정보주체의 요구가 있으면 즉시 정보주체에게 알려야 하는 사항들에 해당되지 않는 것은?
① 개인정보 처리의 정지를 요구할 권리가 있다는 사실
② 개인정보의 보유·이용 기간
③ 개인정보의 수집 출처
④ 개인정보의 처리 목적
답 : ②
제20조 (정보주체 이외로부터 수집한 개인정보의 수집 출처 등 고지)
① 개인정보처리자가 정보주체 이외로부터 수집한 개인정보를 처리하는 때에는 정보주체의 요구가 있으면 즉시 다음 각 호의 모든 사항을 정보주체에게 알려야 한다.
1. 개인정보의 수집 출처
2. 개인정보의 처리 목적
3. 제37조에 따른 개인정보 처리의 정지를 요구할 권리가 있다는 사실
개인정보보호법 제3조(개인정보 보호 원칙)에 대한 내용 중 틀린 것은?
① 개인정보처리자는 개인정보의 처리 목적을 명확하게 하여야 하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집하여야 한다.
② 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 적합하게 개인정보를 처리하여야 하며, 그 목적 외의 용도로 활용하여서는 아니 된다.
③ 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 개인정보의 기밀성, 무결성 및 신뢰성이 보장되도록 하여야 한다.
④ 개인정보처리자는 개인정보의 처리 방법 및 종류 등에 따라 정보주체의 권리가 침해받을 가능성과 그 위험 정도를 고려하여 개인정보를 안전하게 관리하여야 한다.
정답 : ③
개인정보보호법 제3조 (개인정보 보호 원칙)
1. 개인정보처리자는 개인정보의 처리 목적을 명확하게 하여야 하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집하여야 한다.
2. 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 적합하게 개인정보를 처리하여야 하며, 그 목적 외의 용도로 활용하여서는 아니된다.
3. 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 개인정보의 정확성, 완전성 및 최신성이 보장되도록 하여야 한다.
4. 개인정보처리자는 개인정보의 처리 방법 및 종류 등에 따라 정보주체의 권리가 침해받을 가능성과 그 위험 정도를 고려하여 개인정보를 안전하게 관리하여야 한다.
5. 개인정보처리자는 개인정보 처리방침 등 개인정보의 처리에 관한 사항을 공개하여야 하며, 열람청구권 등 정보주체의 권리를 보장하여야 한다.
6. 개인정보처리자는 정보주체의 사생활 침해를 최소화하는 방법으로 개인정보를 처리하여야 한다.
7. 개인정보처리자는 개인정보를 익명 또는 가명으로 처리하여도 개인정보 수집목적을 달성할 수 있는 경우 익명처리가 가능한 경우에는 익명에 의하여, 익명처리로 목적을 달성할 수 없는 경우에는 가명에 의하여 처리될 수 있도록 하여야 한다.
8. 개인정보처리자는 이 법 및 관계 법령에서 규정하고 있는 책임과 의무를 준수하고 실천함으로써 정보주체의 신뢰를 얻기 위 하여 노력하여야 한다.
「개인정보 보호법」에서 규정하고 있는 개인정보 중 민감정보에 해당하지 않는 것은?
① 주민등록번호
② 노동조합 · 정당의 가입·탈퇴에 관한 정보
③ 건강에 관한 정보
④ 사상 · 신념에 관한 정보
정답 : ①
주민등록번호는 고유식별정보에 해당한다.
민감정보 : 사상·신념, 노동조합·정당의 가입·탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보로써 대통령령이 정하는 정보
정보보호 사전점검에 대한 설명으로 옳은 것은?
① 정보보호 사전점검은 전자적 침해행위에 대비하기 위한 정보시스템의 취약점 분석 평가와 이에 기초한 보호대책 의 제시 또는 정보보호 관리체계구축 등을 주된 목적으로 한다.
② 방송통신위원회는 사업자가 사전점검을 실시하거나 실시 계약을 체결한 경우해당 사업 또는 서비스에 대하여 가점을 부여하는 등 우대조치를 할 수 있다.
③ 사전점검 수행기관으로 지정받으려는 자는 수행기관 지정신청서를 방송통신위원회에 제출하여야 한다.
④ 사전점검 대상 범위는 제공하려는 사업 또는 정보통신 서비스를 구성하는하드웨어, 소프트웨어, 네트워크 등의 유무형 설비 및 시설을 대상으로 한다.
답 : ④
① 정보보호 사전점검 : 정보통신망의 구축 또는 정보통신서비스의 제공 이전에 계획 또는 설계 등의 과정에서 정보보호를 고려하여 필요한 조치를 하거나 계획을 마련하는 것
②, ③ 과학기술정보통신부
다음의 보기에서 정보통신기반보호법에서 규정된 주요정보 통신기반시설 지정 시 고려사항이 아닌 것은?
① 당해 정보통신기반시설을 관리하는 기관이 수행하는 업무의 국가사회적 중요성
② 다른 정보통신기반시설과의 상호연계성
③ 침해사고의 발생가능성 또는 그 복구의 용이성
④ 시설이 취급하고 있는 개인정보의 규모
정답 : ④
정보통신기반시설이 수행하는 업무의 국가·사회적 중요성, 업무 의존도, 다른 시설과의 연계성, 침해사고 발생시 국가안전과 경제사회에 미치는 피해 규모 등에 따라 주요정보통신기반시설을 지정
다음 중 ISMS(Information Security Management System)의 각 단계에 대한 설명으로 옳은 것은?
① 계획 : ISMS 모니터링과 검토
② 조치 : ISMS 관리와 개선
③ 수행 : ISMS 수립
④ 점검 : ISMS 구현과 운영
정답 : ②
1. 계획 : ISMS 수립
2. 수행 : ISMS 구현과 운영
3. 점검 : ISMS 모니터링과 검토
4. 조치 : ISMS 관리와 개선
도출된 위힘이 해당 사업에 심각한 영향을 주는 관계로 보험에 가입하였다. 이런 식으로 위험을 경감 또는 완화시키는 처리 유형은 무엇인가?
① 위험 감소(reduction)
② 위험 전가(transfer)
③ 위험 수용(acceptance)
④ 위험 회피(avoidance)
답 : ②
개인정보의 안정성 확보조치 기준(고시)의 제7조(개인정보의 암호화)에 따라 반드시 암호화하여 저장해야 하는 개인정보가 아닌 것은?
① 비밀번호
② 고유식별번호
③ 바이오 정보
④ 전화번호
답 : ④
전화번호는 개인정보의 기술적·관리적 보호조치 기준 제6조에 해당한다.
개인정보의 안정성 확보조치 기준 제7조 (개인정보의 암호화)
고유식별번호
바이오정보
비밀번호
개인정보의 기술적·관리적 보호조치 기준 제6조 (개인정보의 암호화)
1. 주민등록번호
2. 여권번호
3. 운전면허번호
4. 외국인등록번호
5. 신용카드번호
6. 계좌번호
7. 바이오정보
재해 및 재난에 대비하기 위한 설비 중 전산센터와 동일한 설비와 자원을 보유하며, 데이터를 동기화 받으며 항상 stand-by 상태로 있다가 유사 시 수 시간 이내에 전환 가능한 설비는?
① 핫 사이트
② 웜 사이트
③ 콜드 사이트
④ 미러 사이트
답 : ①
미러 - 즉시
핫 - 수 시간 이내
웜 - 수 일 ~ 수 주
콜드 - 수 주 ~ 수 개월
다음 지문이 설명하는 인증제도는?
현재 사용되는 IT 보안제품에 대해 보안성을 평가하는 제도로 제품유형별PP(Protection Profile)를 정의하고, 8개 군의 평가항 목을 대상으로 평가가 이루어진다. 평가결과는 IT 보안제품의 보안위협 및 자산가치의 정도에 따라 EAL1(Evaluation Assurance Level 1) - EAL7(Evaluation Assurance Level 7)까지 7단계로 부여하여 인증서가 제공된다.
① ISO 27001
② ITSEC
③ CC
④ ISMS
답 : ③
다음 업무 연속성 계획을 개발하는데 요구되는 다섯 단계를 차례로 나열한 것은?
ㄱ. 프로젝트 계획
ㄴ. 복구 전략 설계
ㄷ. 업무 영향 분석(BIA)
ㄹ. BCP 개발
ㅁ. 유지보수
① ㉠-㉡-㉢-㉣-㉤
② ㉠-㉡-㉣-㉢-㉤
③ ㉠-㉢-㉣-㉡-㉤
④ ㉠-㉢-㉡-㉣-㉤
정답 : ④
업무 연속성 계획
1. 프로젝트 계획 : 목표 및 범위 설정
2. 업무 영향 분석(BIA) : RTO, RPO, 복구 우선순위 설정
3. 복구 전략 설정 : 전략별 비용 분석, 전략 도출
4. BCP 계획 개발 : BCP 조직 구성 및 조직별 계획 수립
5. 유지보수 : 교육, 모의훈련 및 유지보수 수행
'Misc.' 카테고리의 다른 글
| 인프라 진단 진행 절차 (0) | 2022.11.02 |
|---|