혁준 블로그

문제) 정보통신기반 보호법상 국가안전 보장에 중대한 영향을 미치는 주요 정보통신기반 시설로서 규정되지 않은 것은

1) 도로, 지하철, 공항, 항만등 주요 교통시설

2) 자동차, 전차, 철강 등 국가기간 산업시설

3) 방송중계, 국가지도통신망 시설

4) 원자력, 국방과학, 첨단방위산업 관련 정부 출연 연구기관의 연구시설

2번

개념) 

정보 통신 기반 보호 위원회

대통령령

국무총리 소속

위원장 - 국무총리

위원 - 중앙행정기관의 장, 위원장이 위촉한 자

지식 정보 보안 컨설팅

미래창조 과학부령

미래창조 과학부 장관이 지정

법인만 지정

청문회로 지정 취소

주요 정보통신 기반 시설

도로, 철도, 지하철, 공항, 항만 등 주요 교통시설

전력, 가스, 석유 등 에너지 수자원시설

방송중계, 국가지도 통신망 시설

원자력, 국방과학, 첨단 방위 산업관련 정부출연 연구기관의 연구시설

침해사고 발생 사실을 통지해야 하는 기관

중앙행정기관

검찰

한국 정보 보호 진흥원

경찰

문제) 업무연속성 계획의 초기 시험 목표가 아닌것은 

1) 조직의 모든 기능적 분야에 대해서 다양한 재해위협과 관련된 잠재적인 위험과 영향을 분석

2) 업무 복구 전략들에 대한 실질적인 평가

3) 업무 복구 계획에서 세부적으로 기술된 작업과 절차가 복구목표를 달성하기 위해 필요한 실제 작업, 절차와 일치하는지에 대한 보장

4) 전략, 계획, 절차의 변경을 위해 필요한 요구사항 파악 보장

1번

문제) 다음에서 설명하는 업무 연속성 관리 단계로 적절한 것은

재해발생시 재해를 복구하고 위험을 감소시키며 업무에 신속히 복귀하기 위해 마스터 플랜, 긴급대응 계획, 피해 평가 계획, 구제 계획, 중요 기록물 보호 계획, 위기 관리와 대외 홍보 계획등을 개발하는 단계이다 

1) 시작단계

2) 전략수립단계

3) 구현단계

4) 운영 관리 단계

3번

개념) 

업무연속성 계획

프로젝트 범위 설정 및 기획

-> 사업 영향 평가

-> 복구 전략 개발

-> 복구 계획 수립

-> 프로젝트 수행 및 테스트

프로젝트의 범위설정 및 기획

정보시스템의 지원서비스를 조사하여 다음 활동 단계를 수해하기 위한 프로젝트 계획을 수립하는 단계로 범위, 조직, 시간, 인원 등을 정의 함.

사업영향평가(BIA)

사업중단 사태 발생 시 기업에 미칠 수 있는 재정적 손실에 대한 영향도를 평가하는 단계

복구적략 개발

BIA단계에서 수집된 정보를 활용하여 Time Critical한 사업기능을 지원하는데 필요한 복구자원을 추정하며 가능한 복구방안들에 대한 평가와 이에 따른 예상비용에 대한 자료를 경영자 층에 제시하는 단계

복구계획 수립

사업을 지속하기 위해 실제 복구계획을 수립하는 단계로 명시적인 문서화가 반드시 요구되며 경영재산 목록정보와 상세한 복구 팀 행동계획이 포함 됨.

프로젝트 수행 테스트 및 유지보수

테스트와 유지보수 활동 현황을 포함하여 향후에 수행할 테스트 및 유지보수 관리절차를 수립 함

문제) 정보보호 관리체계가 지속적으로 운영되기 위해서 경영진의 참여와 역할을 요구하는 ISMS 관리과정은 몇단계인가 

1) 1단계

2) 2단계

3) 3단계

4) 4단계

2번

문제) 개정된 정보보호 관리체계(ISMS)에 대한 설명으로 옳지 않은 것은

1) 정보보호의 목적을 실현하기 위한 절차와 과정을 수립

2) 관리과정은 5단계 12개 통제사항으로 구성

3) 문서화 부분은 3개 통제사항으로 구성

4) 정보보호 정책 부분은 13개 분야 92개 통제사항으로 구성

3번

개념) 

정보보호 관리체계(ISMS)

 정보의 기밀성, 무결성, 가용성를 실현하기 위한 일련의 정보보호 활동

 정보보호 관리과정(5단계 12개 통제사항) + 정보보호 정책(13개 분야 92개 통제사항)

정보보호 관리체계(ISMS) 5단계

정보보호 정책수립

-> 정보보호 관리체계 범위 설정, 경영진 책임 및 조직 구성 

-> 위험관리

-> 정보보호 대책 구현 

-> 사후관리

문제) 정보 보호 관리 책임자(CISO)의 역활이 아닌 것은 

1) 정보 보호 관리체계 수립 및 운영 

2) CERT 구성 등 침해사고 예방, 대응, 복구

3) 정보보호 관리체계 운영에 필요한 자원을 확보

4) 임직원 대상 정보보호 교육

3번

문제) 조직내에서 정보보호 체계를 수립했을 때 각 구성원의 지위와 책임이 잘못 연결된 것은 

1) 최고 경영자 - 정보보호에 대한 궁극적인 책임이 있다

2) 정보시스템 감시자 - 조직의 정보보호 정책, 표준, 대책, 실무절차를 설계, 구현, 관리, 조사할 책임이 있다

3) 정보보호 최고 책임자 - 정보보호 관리체계 수립 및 운영에 대한 책임이 있다

4) 프로세스 관리자 - 해당 정보 시스템에 대한 조직의 정보보호 정책에 따라 적절한 보안을 보증할 책임이 있다

2번

개념)

정보보호 관리체계 운영에 필요한 자원(예산, 인력)을 확보하는 것은 최고 경영자의 역할이다

정보보호조직 역할과 책임

정보보호 책임자 : 정보보호 조직의 구성 및 운영 총괄

 정보보호 방침 및 계획 실무지침 수립 및 승인

 침해사고 등 비상상황시 긴급조치 수해

정보보호 관리자 : 정보보호 활동의 계획 및 관리

 위험분석 및 관리

 보안사고 대응 및 복구관리

정보보호 담당자 : 구현된 보안 대책의 운영관리

 보안사고 모니터링 및 대응

정보시스템 감시자 : 정보보호 정책, 표준, 대책, 실무 및 절차가 적절하게 이 루어지고 있을을 보증

문제) 다음 중 CRL(인증서 취소 목록)에 대한 내용으로 옳지 않은 것은 

1) 공개키 체계에서 해지되었거나 더이상 유효하지 않은 인증서의 목록이다

2) CRL에 포함된 인증서는 유효하지 않으므로 신뢰해선 안된다

3) CRL은 안전한 디렉토리에 보관하여 사용자가 접속할 수 없도록 한다

4) 인증서 발급시 CRL도 CA(인증기관)에서 서명하고 발급한다

3번

개념) 

CRL(인증서 취소 목록)

해지되었거나 더이상 유효하지 않은 인증서의 목록

공유디렉토리에 보관하여 사용자가 접속할 수 있도록한다

인증서 발급시 CRL도 CA(인증기관)에서 서명하고 발급한다

인증서 취소 사유

인증서 발행조직에서 탈퇴

비밀키의 손상

비밀키 유출 의심

국내공인 CA기관 

: 금융결제원, 한국전자인증, 코스콤, 한국정보인증, 한국무역정보통신

문제) 은행의 업무에 따른 사용자의 역할을 직무별로 나누었을때 이들에 대한 접근통제 정책을 정의한 경우로 옳지 않은것은 

1) 출납계는 예금을 처리하기 위하여 고객의 계정기록을 수정하고 출금은 지정된 금액범위까지만 허용하며 모든 계정기록에 대한 조회를 할 수 있도록 권한을 부여한다

2) 지점장은 예금 및 출금거래를 하는 고객의 계정기록을 금액의 한도없이 허용하고 모든 계정기록의 조회와 계정의 개설 및 폐지를 할 수 있도록 권한을 부여한다 

3) 시스템 관리자는 시스템 운영과 시스템 기록에 대한 조회만을 할 수 있으며 고객의 계정정보는 읽거나 수정할 수 없도록 한다

4) 감사는 시스템에 있는 어느 데이터든지 읽을 수 있고 수정할 수 있는 권한을 부여한다

4번

문제) 강제적 접근통제 정책(MAC)의 특성이 아닌것은 

1) 객체의 소유자가 변경할 수 없는 주체들과 객체들간의 접근제어 관계를 정의한다

2) 한 주체가 한 객체를 읽고 그 내용을 다른 객체에게 복사하는 경우 원래의 객체에 내포된 MAC 제약사항이 복사된 객체에 전파된다

3) 모든 주체 및 객체에 대하여 일정하지 않고 어느 하나의 주체/객체 단위로 접근제한을 설정할 수 있다

4) 객체에 포함된 정보의 비밀성과 이러한 비밀성의 접근정보에 대해 주체가 갖는 접근허가에 근거하여 객체에 대한 접근을 제한한다

3번

문제) 접근통제 기법에 대한 설명 중 성격이 다른 것은 

1) 규칙기반 접근통제

2) 관리기반 접근통제

3) 강제적 접근통제

4) 사용자기반 접근 통제

4번 

개념) 

감사는 시스템에 있는 어느 데이터든지 읽을 수 있지만 아무것도 수정할 수 없어야한다

접근통제 정책

임의적 접근통제(DAC) : 사용자기반, ID기반 접근통제,

  접근통제 목록(ACL) 사용

강제적 접근통제(MAC) : 규칙기반, 관리기반 접근통제

   중앙집중적 관리

역할기반 접근통제(RBAC) : 사용자의 역할에 근거한 접근관리 

 레티스기반 접근통제(직무를 분리시켜 지정하는 방식)

 중앙집중적관리

 인사이동이 빈번한 조직에 효율적

임의적 접근통제(DAC)

: 모든 주체 및 객체에 대하여 일정하지 않고 어느 하나의 주체/객체 단위로 접근 제한을 설정할 수 있다

강제적 접근통제(MAC)

: 모든 주체 및 객체에 대하여 일정하며 어느 하나의 주체/객체 단위로 접근 제한을 설정할 수 없다

접근통제 목적

기밀성, 무결성, 가용성

접근통제 방법

식별, 인증, 권한부여

문제) 다음 중 전자투표를 구현할때 부정투표자에 의한 선거방해를 막기위해 요구되는 조건은 

1) 건전성

2) 완전성

3) 익명성

4) 검증가능

1번 

개념) 

전자투표 요구사항

완전성 : 모든 유효투표가 정확하게 집계되어야 한다

건정성 : 부정한 투표자에 의해 선거가 방해되는 일이 없어야한다

기밀성 : 비밀투표

단일성 : 1인 1투표

적임성 : 권한을 가진 사람만 투표할수 있다

공정성 : 투표에 영향을 미치는 것이 없어야 한다

검증성 : 누구라도 투표결과를 확인하여 검증할 수 있어야한다

위조불가능성

투표권 매매방지

전자화폐 요구사항

안정성, 프라이버시, 이중사용방지, 오프라인, 양도성, 분할성

전자입찰 요구사항

독립성, 비밀성, 무결성, 공평성, 안정성

문제) 강제적 접근통제 정책(MAC)의 특성이 아닌것은 

1) 객체의 소유자가 변경할 수 없는 주체들과 객체들간의 접근제어 관계를 정의한다

2) 한 주체가 한 객체를 읽고 그 내용을 다른 객체에게 복사하는 경우 원래의 객체에 내포된 MAC 제약사항이 복사된 객체에 전파된다

3) 모든 주체 및 객체에 대하여 일정하지 않고 어느 하나의 주체/객체 단위로 접근제한을 설정할 수 있다

4) 객체에 포함된 정보의 비밀성과 이러한 비밀성의 접근정보에 대해 주체가 갖는 접근허가에 근거하여 객체에 대한 접근을 제한한다

3번

문제) 접근통제 기법에 대한 설명 중 성격이 다른 것은 

1) 규칙기반 접근통제

2) 관리기반 접근통제

3) 강제적 접근통제

4) 사용자기반 접근 통제

4번 

개념) 

접근통제 정책

임의적 접근통제(DAC) : 사용자기반, ID기반 접근통제,

  접근통제 목록(ACL) 사용

강제적 접근통제(MAC) : 규칙기반, 관리기반 접근통제

   중앙집중적 관리

역할기반 접근통제(RBAC) : 사용자의 역할에 근거한 접근관리 

 레티스기반 접근통제(직무를 분리시켜 지정하는 방식)

 중앙집중적관리

 인사이동이 빈번한 조직에 효율적

임의적 접근통제(DAC)

: 모든 주체 및 객체에 대하여 일정하지 않고 어느 하나의 주체/객체 단위로 접근 제한을 설정할 수 있다

강제적 접근통제(MAC)

: 모든 주체 및 객체에 대하여 일정하며 어느 하나의 주체/객체 단위로 접근 제한을 설정할 수 없다

접근통제 목적

기밀성, 무결성, 가용성

접근통제 방법

식별, 인증, 권한부여

문제) 각 암호 알고리즘들이 개발된 배경을 설명한 것으로 틀린것은 

1) 스트림 암호는 One Time Pad를 실용적으로 구현할 목적으로 개발되었다

2) 블록 암호는 암호문의 위,변조를 막기 위해서 개발되었다

3) 공개키 암호는 키 전달 문제를 해결하기 위해 개발되었다

4) 해시함수는 메시지의 기밀성을 효과적으로 수행하기 위해 개발되었다

4번 

개념) 

해시함수 : 메시지에 무결성을 제공

해시함수 요구사항

일방향성 

: 입력을 모르는 해시값 y가 주어졌을때 H(x) = y를 만족하는 x를 찾는것은 계산적으로 어려워야한다

약한충돌 회피성 

: x가 주어졌을때 H(x) = H(x')인 x'를 찾는것은 계산적으로 어려워야한다

강한충돌 회피성

: H(x) = H(x') 인 서로 다른 임의의 두입력 x, x'를 찾는 것은 계산적으로 어려워야한다

문제) 블록암호의 공격법에 대한 설명으로 옳지 않은 것은 

1) 차분공격 - 암호 함수의 입력을 특정한 형태로 변경 시켰을때 높은 확률로 출력이 특정한 형태로 변경되는 특성을 찾아 공격하는 방법

2) 선형공격 - 비선형성 암호 논리와 높은 확률로 일치하는 선형 함수를 찾아 공격하는 방법

3) 포화공격 - 여러개의 입력을 변화시켰을때 암호함수의 출력이 유사한 유형으로 변경되는 특성을 찾아 공격하는 방법

4) 슬라이드 공격 - 라운드 함수와 라운드 키가 동일한 경우 효과적으로 키를 찾는 방법

3번 

개념) 

블록암호 공격법

차분공격 - 암호 함수의 입력을 특정한 형태로 변경 시켰을때 높은 확률로 

출력이 특정한 형태로 변경되는 특성을 찾아 공격

선형공격 - 비선형성 암호 논리와 높은 확률로 일치하는 선형 함수를 찾아 

공격

전수공격

통계적 분석

수학적 분석

포화공격 - 입력값이 여러번 나타나는 포화집합의 성질 및 균일집합의 성질

을 이용한 공격

슬라이드 공격 - 라운드 함수와 라운드 키가 동일한 경우 효과적으로 키를 

찾는 방법