정보보안기사

내가 낸 정보보안기사 문제 ( 401 ~ 466 )

김현17 2019. 8. 22. 18:07

401. 위험 처리 방식 4가지

 - 위험 수용, 위험 감소, 위험 전가, 위험 회피

 

402. BCP의 단계

 - 프로젝트 범위 및 설절 -> BIA -> 복구전략개발 -> 복구계획수립 -> 수행 및 유지보수

 

403. 재난복구서비스 5가지 종류

 - mirror, hot, warm, cold, 백업서비스

 

404. 침해사고대응 7단계 ?

 - 사고전 준비 -> 탐지 -> 초기 대응 -> 대응전략체계화 -> 사고조사 -> 보고서 작성 -> 해결

 

405. 포렌식 기본 원칙?

 - 무결성, 정당성, 신속성, 재현, 연계보관성

 

406. 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물?

 - 개인정보파일

 

407. 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인을 무엇이라 하는가?

 - 개인정보처리자

 

408. 개인정보 처리에 관한 업무를 총괄하는 책임자?

 - 개인정보 보호책임자

 

409. 개인정보처리자의 지휘/감독을 받아 개인정보를 처리하는 임직원, 파견근로자, 시간제근로자 등을 뭐라고 하는가?

 - 개인정보취급자

 

410. DB등 개인정보 처리 응용시스템?

 - 개인정보처리시스템&영상정보처리기기

 

411. 개인정보 처리 단계? 

 - 수집->이용->제공->관리->파기

 

412. 개인정보처리자는 다음의 경우에 개인정보를 수집할 수 있고 그 (              )에서 이용할 수 있다.

 -수집 목적 범위내

1) 정보 주체의 동의를 받은 경우

2) 법률에 특별한 규정이 있거나 법령상 의무 준수를 위해 불가피한 경우

3) 공공기관이 법령 등에서 정하는 소관업무 수행을 위해 불가피한 경우

4) 정보주체와의 계약의 체결 및 이행을 위해 불가피한 경우

5) 명백히 정보주체 등의 급박한 생명, 신체, 재산의 이익을 위해 필요한 경우

6) 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우

 

413. 정보 주체 동의 시 고지 의무 사항은?  + 정보통신망법은?

1) 개인정보 수집/이용 목적

2) 수집하려는 개인정보 항목

3) 개인정보의 보유 및 이용 기간

4) 동의를 거부할 권리가 있다는 사실 및 거부에 따른 불이익이 있는 경우에는 그 불이익 내용

+ 정보통신망법은 1),2),3)만 해당

 

414. 개인정보의 이전이 발생하는 경우 2가지를 비교하시오.

 - 제 3자 제공 : 제공받는 자의 이익/목적을 위해 개인정보 이전 ex) 제휴 업체

   위탁 : 위탁자의 이익/목적을 위해 개인정보 이전 ex) 택배 업체

 

415. 개인정보처리자는 어떠한 경우에 수집한 개인정보를 제 3자에게 제공할 수 있는가?

 - 412번 문제의 4),6)을 제외한 경우

 

416. 제 3자 제공에 따른 정보주체 동의 시 고지 의무 사항은? + 정보통신망법은??

1) 개인정보를 제공받는 자

2) 개인정보를 제공받는 자의 개인정보 이용 목적

3) 제공하는 개인정보의 항목

4) 개인정보를 제공받는 자의 개인정보 보유 및 이용기간

5) 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우 그 불이익의 내용

+ 5)번을 제외한 모두

 

417. 개인정보를 목적 외 이용하거나 제3자에게 제공하는 것은 원칙적으로 금지한다. 단, 정보주체 또는 제 3자의 이익을 부당하게 침해할 우려가 없는 경우에 예외적으로 허용하는 경우는?

1) 정보 주체의 별도의 동의를 받은 경우

2) 다른 법률에 특별한 규정이 있는 경우

3) 명백히 정보주체 또는 제 3자의 생명, 신체, 재산의 이익에 필요한 경우

4) 통계 작성 및 학술연구 목적에 필요한 경우로 특정개인을 알아볼 수 없는 형태로 제공하는 경우

 

418. 개인정보의 파기

1) 개인정보 처리자는 (               ), (               ) 등 그 개인정보가 불필요하게 되었을 때에는 (                                             ) 한다. 다만, 다른 법령에 규정이 있으면 보존이 가능하다.

2) 개인정보를 파기할 때에는 (            )되지 않도록 조치한다.

3) 파기 대상 개인정보의 보존 시 (                )하여 저장/관리해야 한다.

 - 보유기간의 경과, 개인정보의 처리 목적 달성, 지체 없이(정당한 사유가 없는 한 5일 이내) 그 개인 정보를 파기, 복구 또는 재생, 다른 개인정보와 분리

 

419. 정보주체의 동의를 받을 때에는 각각의 동의 사항을 구분하는 경우가 있다. 어떠한 경우?

 - 일반적인 개인정보 수집/이용 동의, 제 3자 제공 동의, 민감 정보 처리 동의, 고유식별정보 처리 약관

 

420. 마케팅 및 홍보 목적은 정보주체가 이를 명확하게 인식할 수 있도록 알리고 동의를 받아야 한다. (O,X)

 - O

421. 선택적으로 동의할 수 있는 사항을 동의하지 않는다는 이유로 재화 또는 서비스의 제공을 거부해서는 안된다.(O,X)

 - O

 

422. 만 14세 미만 아동의 개인정보를 처리하려면 (                   )의 동의를 받아야한다.

 - 법정대리인

 

423. 민감정보와 고유식별정보에는 무엇이 있는가?

 - 민감 정보 : 사상/신념,노동 조합/정당의 가입/탈퇴, 정치적 견해, 건강, 성생활

   고유식별정보 : 주민등록번호, 운전면허번호, 여권번호, 외국인 등록 번호

 

424. 민감정보와 고유식별정보는 원칙적으로 처리를 금지하는 데 예외는?

 - 다른 개인정보의 처리에 대한 동의와 별도로 동의를 얻은 경우, 법령에서 구체적으로 처리를 요구하거나 허용하는 경우 ( 규정에도 불구하도 주민등록번호는 법령에 구체적으로 처리 근거가 있어야 처리 가능 ( 주민번호 수집 법정주의) ) 

 

425. 누구든지 공개된 장소에서는 영상정보처리기기 설치 및 운영을 원칙적으로 금지한다. 예외는?

1) 법령에서 구체적으로 허용하는 경우

2) 범죄의 예방 및 수사

3) 시설 안전 및 화재 예방

4) 교통단속

5) 교통정보의 수집/분석 및 제공

 

426. 영상정보처리기기 안내문에 기재할 항목?

1) 설치 목적 및 장소

2) 촬영 범위 및 시간

3) 관리책임자 및 연락처

4) 그 밖에 대통령령으로 정하는 사항

 

427. 업무를 위탁하는 개인정보처리자는 정보주체가 언제든지 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 무엇을 공개해야 하는가? + 공개방법?

 - 위탁하는 업무의 내용과 수탁자 + 인터넷 홈페이지를 통한 공개

 

428. 개인정보처리자는 개인정보가 분실/도난/유출/위조/변조 또는 훼손되지 아니하도록 (              )수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적/관리적 및 물리적 조치를 하여야 한다. "개인정보 처리방침"을 정하여야 한다.

 - 내부관리계획

 

429. 공공기관의 장은 대통령령으로 정하는 기준에 해당하는 개인정보파일의 운용으로 인하여 정보주체의 개인정보 침해가 우려되는 경우에는 그 위험요인의 분석과 개선 사항 도출을 위한 평가를 하고 그 결과를 (           )에게 제출하여야 한다.  +위는 무엇에 관한 설명이고 대통령령으로 정한 기준 내용은?

 - 행정안전부장관 +개인정보 영향평가

1) 구축/운용 또는 변경하려는 개인정보파일로써 5만명 이상의 정보주체에 민감정보 또는 고유 정보의 처리가 수반되는 개인정보파일

2) 구축/운용하고 있는 개인정보파일을 해당 공공기관 내부 또는 외부에서 구축/운용하고 있는 다른 개인정보파일과 연계하려는 경우로서 연계 결과 50만명 이상의 정보주체에 관한 개인정보가 포함되는 개인정보파일

3) 구축/운용 또는 변경하려는 개인정보파일로써 100만명 이상의 정보주체에 관한 개인정보파일

4) 개인정보 영향평가를 받은 후에 개인정보 검색체계 등 개인정보파일의 운영체계를 변경하려는 경우, 영향평가 대상은 변경된 부분으로 한정한다.

 

430. 개인정보 영향평가의 고려 사항은?

1) 처리하는 개인정보의 수

2) 개인정보의 제3자 제공 여부

3) 정보주체의 권리를 해할 가능성 및 그 위험 정도

4) 대통령령(민감정보 또는 고유식별정보의 처리 여부, 개인정보 보유기간)

 

431. 개인정보 유출 시 신고 기관, 대상, 시기, 방법, 내용에 대해 설명하시오.

신고기관 : 1천명 이상의 개인정보가 유출된 경우 행정안전부, 전문기관(한국인터넷진흥원)

대상 : 정보 주체, 시기 : 지체 없이(5일 이내) 통지

방법 : 개별통지 -> 서면, 전자우편, 팩스, 문자전송, 전화 (1천명 이상의 경우 서면 등의 방법과 함께 인터넷 홈페이지에 7일이상 게재)

내용 : 유출된 개인 정보 항목, 유출된 시점과 그 경위, 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법, 개인정보처리자의 대응조치 및 피해구제절차, 피해 신고 등 접수 가능한 담당부서 및 연락처

 

432. 개인정보보보호법 시행령 中 개인정보의 안전성 확보 조치를 관리적/기술적/물리적으로 간단히 기술하시오.

관리적 조치 : 내부관리계획수립

기술적 조치 : 접근 통제 및 접근 권한, 암호화, 접속 기록의 보관&위/변조 방지, 보안 프로그램 설치 및 갱신

물리적 조치 : 보관 시설, 잠금 장치 등 물리적 조치

 

433. 개인정보 유출에 영향을 미칠 수 있는 다양한 위험요소를 식별/평가하고 해당 위험요소를 적절하게 통제할 수 있는 방안 마련을 위한 종합적으로 분석하는 행위?

 - 위험도 분석

 

434. 전기통신설비와 컴퓨터 및 컴퓨터의 응용기술을 활용하여 정보를 수집/가공/저장/검색/송신 또는 수신하는 정보통신체계?

 - 정보통신망

 

435. 불특정 다수가 AP를 통하여 인터넷을 이용할 수 있는 망?

 - 공개된 무선망

 

436. 물리적 망분리, 접근 통제시스템 등에 의해 인터넷 구간에서의 접근이 통제 또는 차단되는 구간을 말하는 것??

 - 내부망

 

437. (           ) : 개인정보취급자 등이 (                )에 접속한 사실을 알 수 있는 (         ), (          ), (          ), (          ) 등을 전자적으로 기록한 것

 - 접속기록, 개인정보처리시스템, 계정, 접속일시, 접속자 정보, 수행업무

 

438. 개인정보처리시스템에 직접 접속하는 단말기?

 - 관리용 단말기

 

439. 접근 권한의 관리기준 5가지.      +개인정보의 기술적&관리적 보호조치 기준은?

1) 최소한의 범위로 차등 부여

2) 개인정보취급자가 변경된 경우 접근 권한 변경 or 말소(권한부여, 변경, 말소, 기록은 최소 3년간 보관) +5년

3) 개인정보취급자별로 사용자계정 발급

4) 비밀번호 작성규칙 수립

5) 임계값 설정

 

440. 접근통제 관리기준 5가지.

1) 개인정보처리시스템 접속 권한 IP 주소 등으로 제한/분석

2) 외부에서 접속 시 안전한 접속수단(VPN, 접속선), 인증수단(PKI, 보안토근, OTP)적용

3) 고유식별정보, 연 1회 이상 취약점 

4) 타임 아웃 설정

5) 업무용 모바일 기기 비밀번호 설정

 

441. (          ), (           ), (           )를 정보통신망을 통하여 송신하거나 보조저장매체를 통해 전달하는 경우 암호화해야한다.

 - 고유식별정보, 비밀번호, 바이오정보

 

442. 개인정보처리자는 암호화된 개인정보를 안전하게 보관하기 위해 (                 )를 수립/시행해야한다.

 - 안전한 암호키 생성, 이용, 보관, 배포 및 파기 등에 관한 절차

 

443. 개인정보처리자는 개인정보취급자가 개인정보처리시스템에 접속한 기록을 (        ) 이상 보관/관리 또 접속기록을 (           ) 점검 +관리적&기술적 보호조치 기준은?

 - 6개월, 반기별로 1회 이상 +6개월, 월 1회 이상

 

444. 재해/재난 대비 안전조치

 - 위기 대응 메뉴얼, 개인정보처리시스템 백업 및 복구를 위한 계획

 

445. 개인정보 파기 조치 3가지

 - 완전파괴: 소각/파쇄, 전용 소자장비, 데이터가 복원되지 않도록 초기화 또는 덮어쓰기 수행

 

446. 해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스 거부 또는 고출력 전자기파 등의 방법으로 정보통신망 또는 이와 관련된 정보시스템을 공격하는 행위를 하여 발생한 사태?

 - 침해 사고

 

447. 접근 권한에 대한 동의에 대해 설명하시오.

 - 정보통신서비스 제공자는 이동통신단말장치 내에 저장되어 있는 정보 및 기능에 대한 접근 권한이 필요하다면 명백히 다음을 알리고 동의를 받아야한다. 

1) 서비스 제공을 위해 반드시 필요한 경우 ( 접근권한이 필요한 정보 및 기능의 항목 + 필요한 이유 )

2) 반드시 필요한 접근 권한이 아닌 경우 ( 동의하지 아니할 수 있다는 사실, 별도의 동의를 받아야 한다. )

 

448. 정보통신망법에서도 민감정보는 원칙적으로 수집이 금지다. 예외는?

 - 본인이 동의한 경우, 다른 법률에 개인정보 수집이 허용된 경우

 

449. 정보통신서비스 제공자가 주민등록번호를 수집/이용할 수 있는 경우는?

 - 본인확인기관, 법령에 따른 수집/이용, 영업상 목적을 위해 불가피한 경우로서 방통위가 고시하는 경우

 

450. 주민등록번호 이외의 본인확인을 위한 (           )을 제공해야한다.

 - 대체 수단 EX)휴대폰 본인인증, 아이핀 인증, 공인인증서 인증

 

451. 정보통신제공자는 개인정보 처리위탁을 하는 경우에 어떤 사항을 이용자에게 알리고 동의를 받아야 하는가

 - 개인정보 처리위탁을 받는 자, 처리위탁을 하는 업무의 내용

 

452. 정보통신서비스 제공자등은 이용자의 개인정보를 처리하는 경우에는 (               )을 정하여 이용자가 언제든지 쉽게 확인할 수 있도록 공개하여야 한다. 

 - 개인정보 처리방침

 

453. 정보통신망법에서 개인정보 유출 시, 신고하여야 하는곳/통지 사항/ 시기/ 통지방법?

 - 방송통신 위원회, 개인정보보호법과 같음, 24시간 이내, 인터넷 홈페이지 30일 이상 게시

 

454. 정보통신망법에 따른 개인정보의 안정성 확보를 위한 기술적/관리적 조치 5가지

1) 내부 관리 계획 수립/시행

2) 접근통제 장치 설치/운영

3) 접속기록 위/변조 방지를 위한 조치

4) 암호화

5) 백신 소프트웨어 설치/운영

 

455. 정보통신망법에 개인 정보 파기 경우 3가지 + 개인정보 유효기간제란?

 - 목적 달성, 보유 및 이용기간 종료, 폐업 => 기간 만료 30일 전까지 이용자에게 통지 +정보통신서비스를 1년동안 이용하지 않은 경우 경과 후 즉시 파기하거나 분리 보관 해야 한다.

 

456. 정보통신망법에서 개인정보 이용내역의 통지에 대해 설명하시오. + 통지사항

 - 정보통신 서비스 제공자는 연 1회 이상 이용내역을 이용자에게 통지해야한다.

통지사항 

1) 개인 정보 수집/이용 목적과 수집 항목

2) 개인정보를 제공받은 자와 제공 항목/목적

3) 수탁자와 위탁처리 업무 내용 

 

457. 개인정보의 기술적&관리적 보호조치 기준에서 접속기록 항목은?

 - 식별자, 접속일시, 접속지를 알 수 있는 정보, 수행 업무

 

458. 전년도 말 기준 직전 (             ) 그 개인정보가 저장/관리되고 있는 이용자 수가 (               )이거나 정보통신서비스 부문 전년도 (                 )인 정보통신서비스 제공자들은 개인정보처리시스템에서 개인정보를 (         )또는 (        ) 할 수 있거나 개인정보처리시스템에 대한 (                 ) 수 있는 개인정보취급자의 컴퓨터 등을 (                          )하여야 한다. 

 - 3개월간 일일 평균 100만명 이상, 매출액이 100억원 이상, 다운로드, 파기, 접근권한 설정, 물리적 또는 논리적으로 망분리

 

459. 비밀전호 작성 규칙 3가지.

1) 영문, 숫자, 특수문자 2가지 조합 10자리이상, 3가지 조합 8자리이상

2) 추측하기 쉬운 개인정보 및 아이디 비슷한 비밀번호 사용 x

3) 반기별 1회 이상 변경

 

460. 정보통신서비스 제공자가 운용하는 개인정보파일에서 최소한의 암호화가 필요한 항목과 각 항목별 안정성 기준 및 암호 알고리즘은?

 - 최소한의 암호화가 필요한 항목은 주민등록번호, 운전면허번호, 여권번호, 외국인등록번호, 바이오 정보, 비밀번호, 계좌번호, 신용카드번호가 있다. 이 中 비밀번호는 일방향 해시 알고리즘 인 SHA-2이상&솔트를 통해 암호화하고 나머지는 대칭키 알고리즘(SEED,ARIA,AES), 공개키 알고리즘 ( 키 길이 2048bit 이상의 RSA )를 통해 암호화 한다.

 

461. 정보통신서비스 제공자등은 정보통신망을 통해 이용자의 개인 정보 및 인증정보를 송/수신할 때에는 안전한 (        )구축 등의 조치를 통해 이를 암호화 해야 한다. (                )는 어떤한 기능을 갖추어야 하는가?

 - 보안서버, SSL 인증서 설치/보안 응용프로그램 설치

 

462. 호스트 컴퓨터에서 다수의 운영체제를 동시에 실행하기 위한 논리적 플랫폼?

 - 하이퍼 바이저

 

463. 망분리란?

 - 외부 인터넷망을 통한 불법적인 접근과 내부정보 유출을 차단하기 위해 "업무망"과 "인터넷망"을 분리하는 망 차단조치

 

464. 하이퍼바이저 타입 2가지

 - Bare-Metal타입 : 하드웨어 상에서 직접 동작, hosted : 호스트 운영체제 위에 위치

 

465. 물리적 망분리란?

 - 2pc는 보안성이 뛰어나지만 비용이 많이든다. 1pc는 공간 효율이 좋지만 불편하다.

 

466. 논리적 망분리란?

 - SBS는 인터넷망  가상화와 업무망 가상화가 있다. SBS는 인터넷 환경이 악성코드나 해킹에 노출되도 업무 환경은 안전하다. 단점은 여러 사용자가 가상화 서버를 이용해 트래픽 증가 및 속도 저하가 있을 수 있다.

업무망 가상화는 업무 데이터에 중앙 관리 및 백업이 용이하지만 가상화 서버에 문제가 생기면 업무가 중단되며 악성코드&해킹에 침해 위험이 있다. 호환성 검토 필요. CBC는 가상화 서버 구축이 불필요하여 비용이 절감되지만 지속적인 관리 및 지원이 필요하다.