[ISMSP] 2022년 공개 모의고사 4회 1차
1. 개인정보보호위원회
보호위원회는 삼임위원 2명(위원장 1명, 부위원장 1명)을 포함한 9명의 위원
판사 검사 변호사의 직에 10년 이상 있거나 있어썯ㄴ 사람은 보호위원회 위원으로 임명 위촉 가능
고등교육법 제2조제1호에 따른 부교수 이상 5년 이상재직
위원장과 부위원장은 국무총리의 제청
2. 손해배상책임
전년도 매출액이 5천만원, 이용자수가 일평균 1천명이상인 병원
-> 학교 병원 등 공공의 목적으로 설립된 비영리기관 단체는 정보통신서비스 제공자에 해당하지 않아 적용대상 아님
이용자의 개인정보를 수집한 경로가 온/오프라인 여부와는 상관없이 이용자수 전부가 포함됨
3. 2.6.5 무선 네트워크 접근
보안지침상 SSID가 드러나지 않도록 브로드캐스팅 중지하고 복잡한 SSID사용하도록 되어 있으나
추측이 가능한 SSID를 사용하고 권한이 없는 사람도 SSID를 볼 수 있음
6. 1.2.4 보호대책 선정
위험수용 -> EOS대한 패치 이슈가 있지만 안전하게 관리되고 있다고 판단 교체 없이 사용하기로 결정
위험회피 -> 30여대의 AP를 리스크 차단을 위해 AP 사용 중지
7. 2.4.5 보호구역 내 작업
인터뷰와 증거자료로 결함을 판단할 수 없음
작업 절차를 수립 이행하고, 작업 기록을 주기적으로 검토
11. 2.2.1 주요 직무자 지정 및 관리
보안팀 승인 및 보안서약서 작성 없이 등록된 인원이 다수 있다 결함 사례
13. 해킹 대응 방법
XSS -> 입력값 필터링
버퍼오버플로 -> canary word
14. Tiny Fragment
첫번째 fragment 사이즈는 16바이트
두번째는 4바이트
15. crontab
0 6 1 */4 * /batch.sh
분 시 일 월 요일
*/4가 매분기가 아니고 4월 8월 12월임
17. 신용정보법
신용정보법내 신용정보활용체제 공시와 개보법상 개인정보처리방침과는 적용대상 및 기재항목이 상이함 -> 개인정보처리방침과 별도로 수립 공개해야함
통지사항은 개보법상 통지사항이 준용, 1만건 이상일 경우 금융위원회 및 금융감독원
1천건 이상일 경우 개보위 KISA에 신고
즉 1만건이면 4곳에 신고해야함
20. CISO
망법 및 시행령 개정안은 CISO의 일반 자격요건으로 임원급의 지위와 학력 경력 등만을 규정하고 있음
다른 기업의 재직여부 및 해당 기업의 상근여부는 자격요건 관계없음
21. 유출발생 분석
DB서버에 로그인 횟수제한, session timeout, MFA 설정 구현되지 않음
대입공격으로 비밀번호가 탈취 비밀번호가 취약한 것
악성코드 감염 여부 모니터링 체계 부족
PC, 서버 주기적인 취약점 점검 및 조치가 부족
22. 망분리
정보통신서비스부문 매출액 1000억원, 이용자수 500만명 -> 망분리 구현
24. 인증제도
30% 할인 -> 중소기업, 정보보호공 공시
20% 할인 -> 심사 일부생략(ISO27001인증, 주요정보통신기반시설의 취약점 점검)
25. 용어
인증심사 품질 향상을 위해서 심사수행기관은 신청인과의 협의를 통해
-> 과학기술정보통신부장과과 보호위원회는
업무특성 -> 업무특성, 기업규모
인증심사 항목을 조정 -> 구체적인 확인사항을 관보 또는 인터넷 홈페이지에 공고 변경
심사팀장은 심사수행기관 소속의 심사원 이상으로 선정 -> 삭제
인증심사의 일부 생략 신청
교육부 정보보안 기본지침 평가결과가 만점의 100분의 80 이상
26. 인증
재난의 발생시 심사수행기관은 인증심사를 중단할 수 있다. 해당 사항은 심사수행기관에서 결정할 수 있다
28. 안전조치 기준
유형2 10만명 중소기업 -> 2위재수
29. 2.5.1 사용자 계정 관리 / 2.5.2 사용자 식별
2.5.1 -> 입/퇴사자 목록이 잘 준수되고, 해당 프로세스가 잘 이루어지고 있다하여도 정책서 또는 절차서가 없으면 결함
2.5.2 -> 허가 메일은 통상적으로 권한 있는 자의 승인으로 부족해 보임, 책임추적성 확보 등 보안통제가 없음
30. 2.5.2 사용자 식별 / 2.5.3 사용자 인증
안전한 인증수단(OTP 등) 안전한 접속수단(VPN) -> 2.5.3
불법 로그인 시도 경고 -> 2.5.3
로그인 실패시 아이디인지 비밀번호지 알려줌 -> 2.5.3
사용자 계정이 타당성 검토 및 승인절차 없이 공유 -> 2.5.2
31. 1.1.4 범위 설정
관리체계 범위 설정시 개발 부분을 누락
클라우드형태의 정보자산 식별되지 않음 -> 2.3.1, 1.2.1 결함
실무협의에서 의사결정 -> 1.1.3 조직 구성 결함
35. 로그
syslog에 의한 로그인/설정/장치 정보 로그파일 root만 열람 가능
utmp -> 현재 로그인 사용자 -> /var/run/utmp -> w, who, finger
wtmp -> 성공한 로그인/아웃 시스템 부팅 -> /var/log/wtmp -> last
btmp -> 실패한 로그인 정보 -> /var/log/btmp -> lastb
last log -> 마지막 성공한 로그인정보 -> /var/log/lastlog -> lastlog
36. 가상화
가상머신 -> 컴퓨팅 환경을 소프트웨어로 구현한 것으로 컴퓨터 시스템을 에뮬레이션 하는 소프트웨어
하이퍼바이저 -> 호스트 컴퓨터에서 다수의 운영 체제를 동시에 실행하기 위한 논리적 플랫폼
도커 -> 컨테이너 기술을 사용해서 블라블라
SDN -> 소프트웨어를 통해 네트워크 리소스를 가상화하고 추상화하는 네트워크 인프라에 대한 접근 방식
NFV -> 통신서비스를 만들기 위해 IT가상화 기술을 사용하여 모든 계열의 네트워크 노드 기능을 함께 묶거나 연결이 가능한 빌딩 블록으로 가상화
40. 1.2.1 정보자산 식별 / 2.11.3 이상행위 분석 및 모니터링
1.2.1 -> 공개용 서비스는 모두 자산범위에 포함해야함
검색엔진을 통해 노출된 서브도메인이 인증범위 자산목록에 포함되지 않음
2.11.3 -> AWS WAF가 설정되어 있으나, IDC의 경우 보안장비가 미적요 ㅇ되어 IP로 직접 접근시 모니터링 부재
41. Log4j
키바나 로그를 통해 log4j 공격확인
요청헤더내 GET메서드는 POST메서드보다 안전하지 않은 방식
x-forwared-for는 원래 ip주소를 알 수 있음
웹서버는 노출되나 버전은 노출안됨
42. 2.5.1 사용자 계정 관리 / 2.5.6 접근권한 검토
2.5.1 -> 계정 신청 프로세스 있으나, 베스천호스트 내 sudo권한이 많음, 즉 적절성 검토가 미흡한 상황
2.5.6 -> 주기적으로 계정, 권한 등을 검토하나 일부 정뵈스템에서 퇴사자 계정이 삭제되지 않고 존재함
43. 방화벽 구성
베스천 호스트 -> 내부와 외부 네트워크 사이에서 일종의 게이트웨이 역할
스크리닝 라우터 -> 패킷 헤더 내용을 필터링 할 수 있는 라우터 3,4계층, ip/port분석
듀얼 홈드 게이트웨이 -> 두 개의 네트워크 인터페이스를 가진 베스천 호스트, 양 네트워크간 라우팅을 제거
스크린드 호스트 게이트웨이 -> 베스천 호스트와 스크리닝 라우터의 혼합
스크린드 서브넷 게이트웨이 -> 내부 네트워크와 외부 네트워크를 이중 분리, 고비용, 속도저하, DMZ역할
45. 1.2.1 정보자산 식별 / 1.4.1 법적 요구사항 준수 검토
1.2.1 -> EC2, RDS만 자산관리대장으로 관리 S3에 대해서도 중요도 산정, ELB도 자산목록에 포함
1.4.1 -> 개인정보처리방침에는 개인정보가 국외 이전되고 있지 않으나, 인터뷰상 도쿄리전에 백업됨, 해당 기관은 isms심사이므로 1.4.1 결함(ismsp명 3.3.4 개인정보의 국외이전 결함)
50. 2.6.6 원격접근 통제
월렛관련 시스템의 접속은 예외없이 외부 네트워크를 통한 원격 접근을 금지
하지만 외부 접속 가능하도록 inboun security group허용