[자격증] 정보보안기사.03

1. 악성코드의 한 유형으로 감염 시 시스템에 대한 접근이 제한되며 제한을 풀기 위해서는 악성코드 제작자에게 돈을 지불해야한다. 주요 증상으로는 다음과 같다. 무엇에 대한 설명인지 기술하시오.

- 시스템을 잠그고 돈을 요구하는 안내 문구를 띄운다.

- 하드디스크에 저장된 파일을 암호화하여 사용이 불가능하도록 한다.

 

-> 랜섬웨어

 

2. 정보보호목표 5가지에 대한 설명이다. 빈 칸에 적절한 용어를 기술하시오.

- 기밀성 : 오직 인가된 사람, 프로세스, 시스템 만이 알 필요성에 근거하여 시스템에 접근해야 한다는 성질.

- 무결성 : 정보의 내용이 불법적으로 생성 또는 변경되거나 삭제되지 않도록 보호되어야 하는 성질

- ( A ) : 정당한 사용자가 정보시스템의 데이터 또는 자원을 필요할 때 지체 없이 접근하여 사용할 수 있는 성질.

- ( B ) : 정보에 접근할 수 있는 객체의 자격이나 객체의 내용을 검증하는데 사용되는 성질 

- ( C ) : 행위나 이벤트의 발생을 증명하여 나중에 그런 행위나 이벤트를 부인할 수 없도록 하는 것.

 

A - 가용성

B - 인증

C - 부인 방지

 

3. 다음의 빈 칸 ( A ) , ( B ) ,  ( C ) , ( D ) 각각에 대한 적절한 용어를 기술하시오.

 

정보보호정책이란 조직의 정보보호에 대한 방향과 전략을 제시하고 조직이 수행하는 모든 정보보호 활동의 근거가 되는 것으로써 어떤 조직의 기술과 정보자산에 접근하려는 사람이 따라야 하는 규칙의 형식적인 진술이자 정보보호업무를 관리하기 위한 수단이다. 따라서 정보보호정책에는 최소한 중요한 정보자산이 무엇인지 식별하고 정보의 어떤 특성이 만족되어야 하는지를 선언하는 정보보호정책의 (A) 가 제시되어야 하고, 조직에 미치는 영향을 고려하여 중요한 업무, 서비스, 조직, 사람, 자산들을 포함할 수 있도록 정보보호정책의 (B) 를 설정해야 한다. 또한 누구든지 쉽게 숙지할 수 있도록 중요한 사항만을 간단하고 명료하게 작성한 정보보호정책의 내용이 있어야 하고, 정보보호 정책 수행에 필요한 경영진, 정보보호조직, 일반직원등의 (C) 를 명확히 정의해야 하며, 정보보호정책은 조직의 최고경영자의 의지를 확인할 수 있도록 (D)로 승인되어야 한다. 

 

A - 목적

B - 적용범위

C - 책임

D - 문서

 

4. 다음 보기에서 설명하는 용어를 쓰시오.

 

기업의 내/외부 환경과 업무성격에 맞는 효과적인 정보보호 활동을 위하여 기본적으로 무엇이 수행되어야 하는가를 일목요연하게 기술한 지침과 규약으로, 정보보호 목적과 활동에 관한 사항을 정의하는 최상위 문서를 말한다.

 

-> 정보보호정책

 

5. 다음의 빈 칸 ( A ) , ( B ) , ( C )를 채우시오.

조직이 필요로 하는 정보보호 요구사항들이 무엇인지를 분석하기 위해서 정보나 정보처리 기기에 대한 위협의 종류, 위협의 영향, 위협의 발생가능성 등을 평가하는 과정을 ( A )라고 한다. 이 과정의 결과를 통해 정보보호의 위협을 인식하고, 적절한 비용 이내에서 필요한 통제 방안을 선택함으로써 위협을 적절히 통제하는 과정을 ( B )라고 한다. 또한, 선택된 통제의 목적과 통제방안이 무엇인지, 그리고 이렇게 선택한 이유 등을 문서로 정리한 것을 ( C )라고 하며, 여기에는 선택된 통제방안들을 누가, 언제 , 어디서 , 무엇에게 , 어떻게 적용할 것인지를 언급하게 된다.

 

A - 위험 평가

B - 위험 관리

C - 위험관리계획

 

6. 위험관리란 위험을 평가하고, 피해자가 수용할 수 있는 수준까지 위험 부담을 줄이기 위한 조치를 강구하며, 그러한 위험을 용인할 수 있는 수준으로 유지하는 것이다. 다음은 위험관리의 과정이다.

 

위험관리 전략 및 계획 수립 -> ( A ) -> ( B ) -> 정보보호 대책 수립 -> 정보보호 계획 수립 -> 대책 설정

 

A - 위험분석

B - 위험평가.

 

7. 다음은 위험을 평가하기 위하여 사용되는 요소에 대한 설명이다. ( A ) , ( B ), ( C ) 각각에 적절한 용어를 기술하시오.

( A ) 는 위험을 보유하고 있는 대상을 말하며, 위험이 발생할 경우 피해 규모를 측정하기 위하여 반드시 포함되는 요소이다.

( B ) 는 외부에서 발생하여 ( A ) 에 손실을 일으키는 요소로서 발생가능성으로 측정하기도 한다.

( C ) 는 ( A) 의 내부에 존재하는 약점으로서 ( B ) 는 이 요소를 활용하여 위험을 발생시킨다.

 

A - 자산

B - 위협

C - 취약점

 

8. 다음의 빈 칸 ( A ) , ( B ) ,  ( C ) 에 적절한 용어를 기술하시오.

위험분석을 구성하는 요소는 다음 세 가지가 있다.

( A ) 는 조직이 보호해야 할 대상으로 조직의 업무와 연관된 정보, 정보시스템 시설, 인력 등으로 구분 된다.

( B ) 는 정보 및 유형 등에 피해를 주어 시스템이나 조직에 손실을 유발 할 수 있는 잠재적인 요소를 말한다.

( C) 는 ( A ) 의 잠재적 속성으로서 ( B ) 의 이용 대상으로 정의 하나 때로는 정보보호 대책의 미비로 정의하기도 한다.

 

A - 자산

B - 위협

C - 취약점

 

9. 다음의 빈 칸 ( A ) , ( B ) ,  ( C ) 에 적절한 용어를 기술하시오.

정보자산에 대한 잠재적 및 알려진 ( A ) 와 ( B ) 로 인해 발생할 수 있는 조직의 피해와 현재 구현된 통제의 실패 가능성 및 영향을 평가 시 ( C ) 를 포함하여야 한다. 이를 통해 정보자산의 위험을 관리할 수 있는 적절한 정보보호 대책 선택 및 우선순위의 확보를 지원하여야 한다.

 

A - 취약점 

B - 위협

C - 위험 허용 수준

 

10. 다음 보기는 위험 분석 단계를 나열한 것이다. 빈 칸 ( A) , ( B ) , ( C ) 에 적절한 용어를 쓰시오

 

1. ( A ) 

2. ( B )

3. ( C )

4. 취약성 평가

5. 기존 보안대책 평가

6. 위험 평가

 

 

A - 자산 식별

B - 자산 가치( 중요도) 평가

C - 위협 평가

 

11. 정성적 위험 분석 방법론에 대한 설명이다. ( A) , ( B) , ( C) 각 설명에 알맞는 방법론에 대하여 답하시오.

 

A - 시스템에 관한 전문적인 지식을 가진 전문가의 집단을 구성하고 위험을 분석 및 평가하여 정보 시스템이 직면한 다양한 위험과 취약성을 토론을 통해 분석하는 방법으로 , 위험분석을 짧은 기간에 도출할 수 있어 시간과 비용을 절약할 수 있으나 위험 추정의 정확도가 낮다.

B - 어떤 사건도 기대대로 발생하지 않는다는 사실에 근거하여 일정 조건하에서 위험에 대한 발생가능한 결과들을 추정하는 방법으로 적은 정보를 가지고 전반적인 가능성을 추론할 수 있고, 위험분석팀과 관리자간의 원활한 의사소통을 가능케 한다. 그러나 발생 가능한 사건의 이론적인 추측에 불과하고 정확도, 완성도, 이용기수르이 수준 등이 낮다.

C - 각가의 위협을 상호 비교하여 각종 위협요인의 우선순위를 도출하는 방법으로 위험 분석에 소모되는 시간과 분석하여야 하는 자원의 양이 적다는 장점이 있으나 위험추정의 정확도가 낮은 단점이 있다.

 

A - 델파이법

B - 시나리오법

C - 순위결정법

 

12. 다음 보기에서 설명하고 있는 위험 분석 방법론은 무엇인가?

 

업계에서 보편적 보안 기준으로 제시하는 보안 표준 문서, 가이드 등을 기반으로 일반적인 수준의 보안 통제 수단을 구현하는 방법으로 공통적인 위협들에 대한 보호를 제공하기 위해 일반적으로 동의된 통제수단을 구현하는 것을 목표로 한다. 분석의 비용과 시간을 절약할 수 있다는 장점이 있지만 조직의 특징과 조직 내의 시스템이 사용되는 방법에 따른 위험의 차이를 특별히 고려하지 않기 때문에 과보호 또는 부족한 보호가 될 가능성이 있다.

 

-> 기준선 접근법

 

 13. 위험 관리에서 정량적 위험분석을 위한 단일예상손실액과 연간예상손실액을 계산하기 위한 계산식이다. A, B에 적절한 용어를 기술하시오.

 

1. 단일예상손실액(SLE) = 자산 가치 x ( A )

2. 연간예상손실액(ALE) = 단일예상손실액(SLE) X ( B )

 

A - 노출 계수

B - 연간 발생률

 

14. 다음 보기에서 설명하고 있는 위험 관리 기법은 무엇인가?

 

A회사는 고액의 전자거래 시스템을 운영하기 위해 위험분석을 수행한 결과 고액의 온라인 전송에 따른 거래 금액 노출, 변조, 거래 사실 부인의 위험이 높게 나타났다. 이 위험을 처리하기 이ㅜ해서 이미 이러한 거래 시스템을 안전하게 운영하고 있는 B 업체에 위탁하거나 문제가 발생할 경우 배상해주는 C회사의 보험에 가입하는 방식으로 처리하기로 결정하였다.

 

- 위험전가.

 

15. 다음의 빈 칸 ( A) , (B ) , ( C) 에 적절한 용어를 기술하시오.

정보보호대책은 안전대책, 통제 혹은 위협을 감소시키기 위한 정보보호조치를 의미한다. 크게 3가지로 구분되는데 통제 중에서 ( A ) 는 발생 가능한 잠재적인 문제들을 식별하여 사전에 대처하는 능동적인 개념의 통제이며 크게 2가지로 나눌 수 있다. 

( B ) 란 관계자 이외의 사람이 특정 시설이나 설비에 접근할 수 없게 하는 각종의 통제를 의미하며 ( C ) 란 승인을 받지 못한 사람이 정보통신망을 통하여 자산에 대한 접근을 막기 위한 통제방법이다.

 

A - 예방통제

B - 물리적 접근통제

C - 논리적 접근통제

 

16. 정보보호대책은 평가된 위험을 허용 가능한 수준으로 줄이기 위한 안전대책 , 통제 혹은 위협을 감소시키기 위한 정보보호조치를 의미한다. 

A : 사전에 위협과 취약점에 대처하는 통제로 발생 가능한 잠재적인 문제들을 식별하여 사전에 대처하는 능동적인 개념의 통제

B : 위협을 탐지하는 통제로 ( A ) 를 우회하여 발생되는 문제점을 찾아내기 위한 통제

C : 탐지된 위협이나 취약점에 대처하거나 위협을 줄이거나 취약점을 감소시키는 통제.

 

A - 예방통제

B - 탐지통제

C - 교정통제

 

재해복구시스템 복구 수준

1. 미러 사이트

주 센터와 동일한 수준의 정보기술자원을 원격지에 구축하여 두고 주센터와 재해복구센터 모두 액티브 상태(Active-Active)로 실시간에 동시서비스를 하는 방식이다.

재해발생시 복구까지의 소유시간(RTO)는 즉시다. 

초기투자 및 유지보수에 높은 비용이 소모된다.

 

2. 핫 사이트

주센터와 동일한 수준의 정보기술자원을 원격지 사이트에 대기상태로 보유하면서, 동기적 또는 비동기적 방식의 실시간 미러링을 통하여 데이터를 최신 상태로 유지하고 있다가 주센터 재해시 재해복구센터의 정보시스템을 액티브로 전환하여 서비스하는 방식 

 

---

 

다음 보기에서 설명하고 있는 위험 관리 용어는 무엇인가?

 

- 각종 재해, 장애, 재난으로부터 위기관리를 기반으로 업무 연속성을 보장하는 계획을 말한다. 재해, 장애, 재난 시에도 재해복구, 업무복구 및 재개, 비상계획 등을 통해 정상적인 핵심 업무 수행이 가능한 환경을 조성하여 고객에게 서비스 연속성을 보장하는 것을 목적으로 한다. 

 

-> 업무 연속성 계획 (BCP)

 

침해사고 대응 절차를 보여주고 있다. 빈 칸 (  ) 에 적절한 용어를 쓰시오.

 

1 단계 : 사고 전 준비 2 단계 : 사고 탐지 3단계 : (  )

4 단계 : 대응 전략 체계화  5단계 : 사고 조사 6 단계 : 보고서 작성 7 단계  :해결

 

-> 초기 대응

 

보안조사를 위한 포렌식의 기본 원칙 중 연계 보관성에 대해 설명하되, 각 단계의 명칭을 순서에 맞게 명시하시오.

 

- 연계 보관성

> 보안사고 조사를 위한 증거 수집부터 법정제출까지의 여러 단계 중 해당 증거물에 어떠한 변경도 발생되지 않았다는 것을 보장하기 위한 절차와 과정을 말한다. 연계 보관성이 지켜지지 않으면 해당 증거물은 법적 효력을 갖지 못하므로 이는 매우 중요하다.

증거획득 -> 이송 -> 분석 -> 보관 -> 법정제출

 

다음은 정보시스템 공통평가기준의 내용이다.빈 칸 (  ) 에 적절한 용어를 기술하시오.

 

A - 평가 대상 범주를 위한 특정 소비자의 요구에 부합하는 구현에 독립적인 보안요구사항의 집합을 말한다.

B - 식별된 평가대상의 평가를 위한 근거로 사용되는 보안요구사항과 구현 명제의 집합을 말한다.

C - 공통평가기준에서 미리 정의된 보증수준을 가지는 보증 컴포넌트로 이루어진 패키지를 말한다.

 

A : 보호프로파일 (PP)

B : 보안목표명세서 (ST)

C : 평가보증등급(EAL)