[ISMSP] 2022년 공개 모의고사 3회 1차
1. 인증 제도
수탁사가 ismsp인증 취득의 경우,
위탁사에서 ismsp 인증심사에 부수되느 ㄴ수탁사의 현장점검을 면제 받을 수 있다
의무대상자 중 집적정보통신시설 사업자, 정보통신망서비스제공자는 매출액 및 이용자 수와 상관없이 의무대상자임
3. isms 인증범위
금융분야는 isms의무대상에서 제외라 자율적으로 인증범위 선택 가능
4. 3.1.2 개인정보 수집 동의 / 3.5.1 개인정보처리방침 공개
3.1.2 -> 개인정보처리방침에는 선택항목에 전화번호가 누락, 고지없이 개인정보를 수집
3.5.1 -> 시행중인 안전성 확보조치에 관한 사항을 개인정보처리 방침에 누락
개인정보처리방침 -> 목기3위권책자안항파변
5. 3.1.5 간접수집 보호조치
5만명 이상 정보주체에 관한 민감정보의 경우 통지 의무 발생
(보기는 4만명)
통지 의무 -> 제공받는 날로부터 3개월
6. 1.3.1 보호대책 구현
1.3.1 -> 1.2.4 보호대책 선정이 끝난 상태에서 보호대책 이행 계획의 실시 결과를 보니
일부 이행이 미이행 또는 미흡하게 이행하면 해당 결함
1.2.4 -> 위험평가 결과 보호대책을 선정하는데 있어 위험에 대한 보호대책 누락, 이행 계획이 미흡할 경우 해당 결함
7. 1.4.2 관리체계 점검 / 1.4.3 관리체계 개선
1.4.2 -> 내부 감사에서 나왔던 문제를 이행조치하는거
1.4.3 -> 1.4.2가 반복적으로 문제가 나오거나 근본적인 문제가 해결되지 않음. 즉 재개선할 수 있는 목표수립에 주안점을 둠
8. ciso 지정
ciso 지정 신고 의무 위반은 망법 시행령 1회 750만, 2회 1500만, 3회 3000만원임
상법상 이사 자격 필요하므로, 이사 자격을 위한 승진이 필요함
9. 가명정보처리
개인정보처리자는 가명정보 및 추가정보를 안전하게 관리하기 위한 내부 관리계획을 수립 시행하여야 함
가명정보기록작성 보관 및 공개
추가정보는 분리 보관
접근권한의 분리(기록을 최소 3년 보관)
수탁자 관리 감독의 의무
10. 2.5.1 사용자 계정 관리
외부 위탁용 계정을 미리 생성하여 필요시 사용하지 않는 계정이 다수 존재
사용자를 즉시 식별할 수 있는 공식적인 절차가 없음
필요한 수만큼 위탁용 계정 생성 및 사용자 현황을 쉽게 파악할 수 있게 방안 마련
11. 2.6.7 인터넷접속 통제
업무 편의를 위해 망간 자료 전송시 사후 승인 절차가 있으나
미승인 내역과 자료 전송 내용에 대한 검토가 이루어지지 않고 있음
12. 1.4.1 법적 요구사항 준수 검토 / 3.1.7 홍보 및 마케팅 목적 활용시 조치
1.4.1 -> 대표자명, pc방 주소, 핸드폰 번호 수집에 대한 고지를 누락, 법적 근거 없이 수집하고 있음
isms심사이므로 해당 결함임
3.1.7 -> 이벤트 수신 동의는 회원 가입에서 선택 정보로 구현하고 있으므로 ismsp의 경우라도 해당 결함으로 판단하기 어려움
14. 2.10.4 전자거래 및 핀테크 보안
인증 신청기관은 이용자 출금 및 정보 변경시 추가 인증 및 ㅁ멀티시그 등을 적용하지 않음
가상 자산 거래기록을 3년만 보관하고 있음(5년임)
15. 1.2.3 위험평가
1.2.3 -> 부정거래, 노드서버 위험 식별, 멀티시그 지원 여부 등이 포함되어 있다
16. 개보법 제20조 정보주체 이외로부터 수집한 개인정보의 수집 출처 등 고지
신용정보법 등 다른 법령에 따른 동의를 받아 개인정보를 제공한자로부터 수집한 개인정보나 법령에 따라 제공한 개인정보에 대해서는 적용되지 않음
17. 내부 통제 구축 및 운영시 준수
정보통신서비스제공자는 취약점 점검이 년1회 이상은 의무사항이 아니다
18. 개보법과 신용정보법
신용정보법에서 가명정보에 관한 사항을 규정하고 있으므로 이에 관한 사항은 개보법보다 신용정보법이 우선 적용
19. 개인신용정보
개인정보는 신념, 사회적 지위, 신분 등과 같이 인격주체성을 특정 짓는 사항으로 개인의 동일성을 식별할 수 있게 하는 일체의 정보를 의미, 이미공개된 개인정보도 포함
휴대전화번호 뒤 4자리는 개인정보에 해당하지 않음
합리적으로 활용될 가능성이 있는 수단이면 향후 처리가 예정된 자도 포함
개보위 고용노동부 청년구직활동지원금 사업을 위한 주민번호처리 할 수 있음
21. 이용내역 통지
정보통신제공자는 이용자의 선태과 무관하게 반드시 이용내역을 통지
14일이내 피룡한 조치
1년 동안 서비스를 이용하지 않은 이용자에게 이용내역을 통지 안해도 됨
마케팅 동의를 철회한 경우 신의 기한 계약이라고 볼 수 없으므로 경품에 대한 반환 의무가 있다
이용자별 유효기간 경과시점이 다를 것이므로 매일 확인하여 파기, 다만 영업일 기준 5일이내는 적접하다고 판단
같은 내부 계열사라도 다른 법인이고 제3자에 해당, 따라서 제3자 제공에 따른 사항을 알리고 동의 받아야함
22. 이용내역
이용내역은 개별 통지(홈페이지 팝업 공지 안됨)
이용내역은 제공내역 없어도 무조건 통지
27. 가명처리 정의
가명처리란 개인정보의 "일부를" 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것을 말한다.
32. PAM
장착형 인증모듈
/lib/security or /usr/lib/security 저장
/etc/pam.d system-auth서비스 설정파일에 pam_tally2모듈 추가
deny=5 -> 5회 입력 실패시 패스워드 잠금
unlock_time=600 -> 600초간 계정 잠금, 설정 시간 경과후 잠금 해제
no_magic_root -> root계정은 패스워드 잠금 설정을 적용하지 않음
35. 프라이버시 보호 모델
연결공격
활용 정보의 일부가 다른 공개되어 있느 ㄴ정보등과 결합하여 개인을 식별할 수 있음
k-익명성
같은 값이 적어도 k개 이상 존재하도록 하여 다른 정보와 결합할 수 없게함
어떤 레코드인지 알아낼 수 없게 함
l-다양성
k-익명성에 대한 동질성 공격 및 배경지식에 의한 공격을 방어하기 위함
주어진 데이터 집합에서 함께 비식별되는 레코드들은 동질 집합에서 적어도 l개의 서로 다른 민감한 정보를 가져야함
t-근접성
정보가 특정한 값에 쏠려 있으면 l-다양성 모델이 보호하지 못함
특정 정보의 분포와 전체 데이터 집합에서 정보의 분포가 t이하의 차이를 보여야 함
t수치가 0에 가까울수록 전체 데이터의 분포와 특정 데이터 구간의 분포 유사성이 강해져 익명성의 방어가 더 강해지는 경향
36. 2.12.1 재해 재나 대비 안전조치
RTO(Recovery Time Objective, 목표복구시점)
rto가 3시간이면 3시간 이내 복구하는 것을 목표
RPO(Recovery Poin Objective, 목표복구시점)
rpo가 1시간이면 재해가 발생한 시점 기준으로 최소 1시간 데이터까지 복구 가능해야함
즉 백업주기가 rpo보다 최소한 같거나 작아야 한다
문제는 rpo가 8시간인데 백업주기는 1일임
37. 백업
자동화 백업(CDP, Continuous Data Protection)
이미지방식 분단위 백업, 백업주기가 짧은 경우 유용한 방식
증분 백업(Incremental backup)
전체 최종에서 변경된 파일만 백업
매일 백업해야되는 양이 적어 빠르다
복구시 모든 증분을 복구해야하므로 복구시간이 많이 소요됨
차등 백업(Differential backup)
최종 백업 후 변경된 모든 데이터 저장
매일 백업의 양이 증가
복구는 증분 백업보다는 빠름
합성 백업(Synthetic backup)
기존의 전체 백업본과 여러 개의 증분 백업본을 하나로 통합하는 백업
네트워크 사용량을 최소화하는 방식
38. 해킹공격 유형
smurf attack -> 출발지 IP를 희생자 IP로 위조 한후 ICMP Echo Request를 브로드캐스트함
41. 클라우드 유형
CWPP -> 서버 워크로드 보호, 개발부터 운영까지 워크로드 보안
SECaaS -> 클라우드 서비스에서 제공하지 안는 추가적인 보안기능
CSPM -> 공격이 발생할 가능성을 낮추기 위해 지속적으로 개선하는 프로세스
FaaS -> 어플리케이션의 기능을 만들어 실행하고 관리하게 하는 클라우드 서비스
CASB -> 클라우드 서비스 사용자와 제공자 사이 위치, 보안 기능을 제공, 일관된 보안정책 적용 통합 관리
42. 액세스 로그 분석
클라이언트 ip확인 가능
critical은 발생하지 않음
43. 1.2.1 정보자산 식별
자산 목록이 2019년 기준이고
보안등급을 일괄적으로 H로 산정
중요도 산정과 목록 최신화가 미비함
45. 2.8.1 보안 요구사항 정의
최근 도입한 PMS는 보안성검토를 수행하지 않음, 그래서 2.8.1 결함
46. 2.9.4 로그 및 접속기록 관리
로그 서버의 용량 부족으로 인해 지난주까지만 로그 저장, 그래서 2.94 결함
47. /etc/shadow 필드
사용자명:
암호화된 패스워드(!는 잠긴상태):
패스워드 최종 수정일:
패스워드 최소 유지기간:
패스워드 최대 유지기간:
패스워드 만료 경고 기간:
계정 잠김으로부터 남은 일수:
계정 만료 일자(비어있으면 만료 없음):
예약필드
48. snort룰
nocase 대소문자 구분하지 않음
offset 페이로드에서 패턴 매칭을 할 시작위치 지정
depth 페이로드에서 패턴 매칭을 할 끝 위치 지정
distance 이전 content에 매칭된 경우, 패턴 매칭을 시작할 상대 위치 지정
within 이전 content에 매칭된 경우, 패턴 매칭을 끝 낼 상대 위치 지정