정보보안기사 필기 1회 기출문제 오답노트 정리 - 81번~100번

81번 - 정성적 위험분석 방법

정성적 위험 평가 방법

1. 델파이법 - 전문가 집단의 의견과 판단을 추출하고 종합하기 위하여 동일한 전문가 집단에게 설문조사를 실시하여 의견을 정리하는 분석방법이다. 짧은 시간에 도출할 수 있기 때문에 시간과 비용이 절약되지만 전문가의 추정이라 정확도가 낮다는 단점이 있다. 
2. 시나리오법 - 어떠한 사실도 기대대로 발생하지 않는다는 조건하에서 특정 시나리오를 통하여 발생 가능한 위협의 결과를 우선순위로 도출해 내는 방법을 말한다. 적은 정보를 가지고 전반적인 가능성을 추론할 수 있지만 발생 가능성의 이론적 추측에 불과하여 정확성이 낮다
3. 순위결정법 - 비교우위순위 결정표에 위험 항목들의 서술적 순위를 결정하는 방식. 위험의 추정 정확도가 낮다는 단점이 있다.

82번 - 개인정보의 처리 제한

제26조(업무위탁에 따른 개인정보의 처리 제한) - http://glaw.scourt.go.kr/wsjo/lawod/sjo192.do?contId=2232242&jomunNo=26&jomunGajiNo=0

83번 - 사이버 침해대응 절차

1. 침해사고의 인식 및 신고
2. 긴급조치
3. 분석
4. 재발방지 조치
5. 침해사고 결과 분석 및 보고서 작성
6. 침해사고 분석 및 대응 결과 승인

84번 - 공인인증서의 폐지

http://www.law.go.kr/%EB%B2%95%EB%A0%B9/%EC%A0%84%EC%9E%90%EC%84%9C%EB%AA%85%EB%B2%95

제18조(공인인증서의 폐지) ①공인인증기관은 공인인증서에 관하여 다음 각호의 1에 해당하는 사유가 발생한 경우에는 당해 공인인증서를 폐지하여야 한다.  <개정 2001. 12. 31.>

1. 가입자 또는 그 대리인이 공인인증서의 폐지를 신청한 경우
2. 가입자가 사위 기타 부정한 방법으로 공인인증서를 발급받은 사실을 인지한 경우
3. 가입자의 사망·실종선고 또는 해산 사실을 인지한 경우
4. 가입자의 전자서명생성정보가 분실·훼손 또는 도난·유출된 사실을 인지한 경우

②공인인증기관은 제1항의 규정에 의하여 공인인증서를 폐지한 경우에는 그 사실을 항상 확인할 수 있도록 지체없이 필요한 조치를 취하여야 한다.

85번 - 정보통신 이용촉진 및 정보보호 등에 관한 시책의 마련

http://www.law.go.kr/%EB%B2%95%EB%A0%B9/%EC%A0%95%EB%B3%B4%ED%86%B5%EC%8B%A0%EB%A7%9D%20%EC%9D%B4%EC%9A%A9%EC%B4%89%EC%A7%84%20%EB%B0%8F%20%EC%A0%95%EB%B3%B4%EB%B3%B4%ED%98%B8%20%EB%93%B1%EC%97%90%20%EA%B4%80%ED%95%9C%20%EB%B2%95%EB%A5%A0

제4조(정보통신망 이용촉진 및 정보보호등에 관한 시책의 마련) ① 과학기술정보통신부장관 또는 방송통신위원회는 정보통신망의 이용촉진 및 안정적 관리·운영과 이용자의 개인정보보호 등(이하 "정보통신망 이용촉진 및 정보보호등"이라 한다)을 통하여 정보사회의 기반을 조성하기 위한 시책을 마련하여야 한다.  <개정 2011. 3. 29., 2013. 3. 23., 2017. 7. 26.>

② 제1항에 따른 시책에는 다음 각 호의 사항이 포함되어야 한다.

1. 정보통신망에 관련된 기술의 개발·보급
2. 정보통신망의 표준화
3. 정보내용물 및 제11조에 따른 정보통신망 응용서비스의 개발 등 정보통신망의 이용 활성화
4. 정보통신망을 이용한 정보의 공동활용 촉진
5. 인터넷 이용의 활성화
6. 정보통신망을 통하여 수집·처리·보관·이용되는 개인정보의 보호 및 그와 관련된 기술의 개발·보급
7. 정보통신망에서의 청소년 보호
8. 정보통신망의 안전성 및 신뢰성 제고
9. 그 밖에 정보통신망 이용촉진 및 정보보호등을 위하여 필요한 사항

③ 과학기술정보통신부장관 또는 방송통신위원회는 제1항에 따른 시책을 마련할 때에는 「국가정보화 기본법」 제6조에 따른 국가정보화 기본계획과 연계되도록 하여야 한다.  <개정 2011. 3. 29., 2013. 3. 23., 2017. 7. 26.>

86번 - 전자서명생성정보의 보호 등

http://www.law.go.kr/%EB%B2%95%EB%A0%B9/%EC%A0%84%EC%9E%90%EC%84%9C%EB%AA%85%EB%B2%95

제23조(전자서명생성정보의 보호 등) ①누구든지 타인의 전자서명생성정보를 도용 또는 누설하여서는 아니된다.  <개정 2001. 12. 31.>

②누구든지 타인의 명의로 공인인증서를 발급받거나 발급받을 수 있도록 하여서는 아니된다.  <개정 2001. 12. 31.>

③누구든지 공인인증서가 아닌 인증서 등을 공인인증서로 혼동하게 하거나 혼동할 우려가 있는 유사한 표시를 사용하거나 허위로 공인인증서의 사용을 표시하여서는 아니된다.  <신설 2001. 12. 31.>

④누구든지 공인인증서를 이용범위 또는 용도에서 벗어나 부정하게 사용하여서는 아니된다.  <신설 2005. 12. 30.>

⑤누구든지 행사하게 할 목적으로 다른 사람에게 공인인증서를 양도 또는 대여하거나 행사할 목적으로 다른 사람의 공인인증서를 양도 또는 대여 받아서는 아니된다.  <신설 2005. 12. 30.>

[제목개정 2001. 12. 31.]

87번 - 위험

정보보호 관리 측면에서 '비정상적인 일이 발생할 수 있는 가능성'을 말한다.

88번 - 정보보호의 예방대책

정보보안은 관리적, 기술적, 물리적 대응으로 분류할 수 있다. 관리적 보안은 보안지침, 범위, 보안 조직, 보안 프로세스 및 표준, 교육과 훈련 등의 내용을 포함하며 기술적 보안은 접근 통제, 암호화 등의 기술적 요소이다.

89번 - 정보보호 교육

정보보호 교육은 정보보안 관련 업무 담당자만을 대상으로 하는 것이 아니고, 정보보호 관련 업무 담당자는 전문교육, 개인정보 취급자는 개인정보보호 관리체계, 전 직원을 대상으로 하는 전사교육 형태로 구분되어서 실시된다.

90번 - 정보시스템 관리 책임자의 주요 임무

오답노트 - 조직 전반의 보안 인식 프로그램 관리는 정보보호 책임자의 역할이다. 기본적으로 정보시스템 개발자, 운영자, 보안 관리자를 분리해서 역할을 부여하는 것은 직무분리의 원칙이다.

91번 - 전자서명법 정의 용어

http://www.law.go.kr/%EB%B2%95%EB%A0%B9/%EC%A0%84%EC%9E%90%EC%84%9C%EB%AA%85%EB%B2%95

제2조(정의) 이 법에서 사용하는 용어의 정의는 다음과 같다.

1. "전자문서"라 함은 정보처리시스템에 의하여 전자적 형태로 작성되어 송신 또는 수신되거나 저장된 정보를 말한다.

2. "전자서명"이라 함은 서명자를 확인하고 서명자가 당해 전자문서에 서명을 하였음을 나타내는데 이용하기 위하여 당해 전자문서에 첨부되거나 논리적으로 결합된 전자적 형태의 정보를 말한다.

3. "공인전자서명"이라 함은 다음 각목의 요건을 갖추고 공인인증서에 기초한 전자서명을 말한다.

가. 전자서명생성정보가 가입자에게 유일하게 속할 것

나. 서명 당시 가입자가 전자서명생성정보를 지배·관리하고 있을 것

다. 전자서명이 있은 후에 당해 전자서명에 대한 변경여부를 확인할 수 있을 것

라. 전자서명이 있은 후에 당해 전자문서의 변경여부를 확인할 수 있을 것

4. "전자서명생성정보"라 함은 전자서명을 생성하기 위하여 이용하는 전자적 정보를 말한다.

5. "전자서명검증정보"라 함은 전자서명을 검증하기 위하여 이용하는 전자적 정보를 말한다.

6. "인증"이라 함은 전자서명생성정보가 가입자에게 유일하게 속한다는 사실을 확인하고 이를 증명하는 행위를 말한다.

7. "인증서"라 함은 전자서명생성정보가 가입자에게 유일하게 속한다는 사실 등을 확인하고 이를 증명하는 전자적 정보를 말한다.

8. "공인인증서"라 함은 제15조의 규정에 따라 공인인증기관이 발급하는 인증서를 말한다.

9. "공인인증업무"라 함은 공인인증서의 발급, 인증관련 기록의 관리등 공인인증역무를 제공하는 업무를 말한다.

10. "공인인증기관"이라 함은 공인인증역무를 제공하기 위하여 제4조의 규정에 의하여 지정된 자를 말한다.

11. "가입자"라 함은 공인인증기관으로부터 전자서명생성정보를 인증받은 자를 말한다.

12. "서명자"라 함은 전자서명생성정보를 보유하고 자신이 직접 또는 타인을 대리하여 서명을 하는 자를 말한다.

13. "개인정보"라 함은 생존하고 있는 개인에 관한 정보로서 성명·주민등록번호 등에 의하여 당해 개인을 알아볼 수 있는 부호·문자·음성·음향·영상 및 생체특성 등에 관한 정보(당해 정보만으로는 특정 개인을 알아볼 수 없는 경우에도 다른 정보와 용이하게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다.

[전문개정 2001. 12. 31.]

92번 - 생략

93번 - 정성적 기준, 정량적 기준

정성적 기준 : 정보자산의 우선순위 식별

정량적 기준 : 정보자산의 취약점에 대한 피해를 산정, 영향도 분석 결과를 수치화하여 산정

94번 - 정보통신망법 배상책임

1. 공인인증기관은 인증업무 수행과 관련하여 가입자 또는 공인인증서를 신뢰한 이용자에게 손해를 입힌 때는 그 손해를 배상하여야 한다. 다만, 공인인증기관이 과실 없음을 증명하면 그 배상책임이 면제된다.
2. 공인인증기관은 제1항의 규정에 따른 손해를 배상하기 위한 보험에 가입하여야 한다.

95번 - 위험관리계획의 과정

오답노트 - 위험대응에서 대책은 하나의 단일화된 대응책이 아니라 해당 위험에 대한 대응책이어야 한다.

96번 - 위험분석 - 정량적 분석의 단점

계산이 복잡하여 분석하는데 시간, 노력, 비용이 많이 든다.

97번 - 암호 알고리즘에 대한 안정성 평가

암호 알고리즘 나무위키 링크 - https://namu.wiki/w/%EC%95%94%ED%98%B8%20%EC%95%8C%EA%B3%A0%EB%A6%AC%EC%A6%98

98번 - 개인정보 취급위탁

http://glaw.scourt.go.kr/wsjo/lawod/sjo192.do?contId=2232475&jomunNo=25&jomunGajiNo=0

제25조(개인정보의 처리위탁)

① 정보통신서비스 제공자와 그로부터 제24조의2제1항에 따라 이용자의 개인정보를 제공받은 자(이하 "정보통신서비스 제공자등"이라 한다)는 제3자에게 이용자의 개인정보를 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(정정), 복구, 이용, 제공, 공개, 파기(파기), 그 밖에 이와 유사한 행위(이하 "처리"라 한다)를 할 수 있도록 업무를 위탁(이하 "개인정보 처리위탁"이라 한다)하는 경우에는 다음 각 호의 사항 모두를 이용자에게 알리고 동의를 받아야 한다. 다음 각 호의 어느 하나의 사항이 변경되는 경우에도 또한 같다. <개정 2016.3.22>

1. 개인정보 처리위탁을 받는 자(이하 "수탁자"라 한다)

2. 개인정보 처리위탁을 하는 업무의 내용

② 정보통신서비스 제공자등은 정보통신서비스의 제공에 관한 계약을 이행하고 이용자 편의 증진 등을 위하여 필요한 경우로서 제1항 각 호의 사항 모두를 제27조의2제1항에 따라 공개하거나 전자우편 등 대통령령으로 정하는 방법에 따라 이용자에게 알린 경우에는 개인정보 처리위탁에 따른 제1항의 고지절차와 동의절차를 거치지 아니할 수 있다. 제1항 각 호의 어느 하나의 사항이 변경되는 경우에도 또한 같다. <개정 2014.5.28, 2016.3.22>

③ 정보통신서비스 제공자등은 개인정보 처리위탁을 하는 경우에는 수탁자가 이용자의 개인정보를 처리할 수 있는 목적을 미리 정하여야 하며, 수탁자는 이 목적을 벗어나서 이용자의 개인정보를 처리하여서는 아니 된다. <개정 2016.3.22>

④ 정보통신서비스 제공자등은 수탁자가 이 장의 규정을 위반하지 아니하도록 관리ㆍ감독 및 교육하여야 한다. <개정 2016.3.22>

⑤ 수탁자가 개인정보 처리위탁을 받은 업무와 관련하여 이 장의 규정을 위반하여 이용자에게 손해를 발생시키면 그 수탁자를 손해배상책임에 있어서 정보통신서비스 제공자등의 소속 직원으로 본다. <개정 2016.3.22>

⑥ 정보통신서비스 제공자등이 수탁자에게 개인정보 처리위탁을 할 때에는 문서에 의하여야 한다. <신설 2016.3.22>

⑦ 수탁자는 개인정보 처리위탁을 한 정보통신서비스 제공자등의 동의를 받은 경우에 한하여 제1항에 따라 위탁받은 업무를 제3자에게 재위탁할 수 있다. <신설 2016.3.22>

[전문개정 2008.6.13][제목개정 2016.3.22]

99번 - 정보보호의 주요 목적

기밀성, 무결성, 가용성

100번 - 공인인증기관이 발급하는 공인인증서에 포함되어야 하는 것

1. 가입자의 이름 (법인의 경우 명칭)
2. 가입자의 전자서명 검증 정보
3. 가입자와 공인인증기관이 이용하는 전자서명 방식
4. 공인인증서의 일련번호
5. 공인인증서의 유효기간
6. 공인인증기관의 명칭 등 공인인증기관임을 확인할 수 있는 정보
7. 공인인증서의 이용 범위 또는 용도를 제한하는 경우 이에 관한 사항
8. 가입자가 제3자를 위한 대리권 등을 갖는 경우 또는 직업상 자격 등의 표시를 요청한 경우 이에 관한 사항
9. 공인인증서임을 나타내는 표시

* 이 포스팅은 이기적 정보보안기사 필기 기출문제집을 기반으로 작성되었습니다.