[ISMSP] 2023년 비공개 모의고사 1회 1차
1. 인증
개인정보 흐름이 포함되어 있다고 ISMSP를 꼭 취득할 필요는 없다
권고다
7. 손해배상책임
적용대상
매출액이 5천만원이상
3개월간 일일평균 1천명이상
개인정보 업무를 위탁받은 수탁자에 대하여는 고유의 사업을 영위하지 않는 한 대상에 해당하지 않는다
-> 수탁자는 의무대상자로 규정
8. 심사팀장의 역할
보완조치의 이행계획만 존재하는 것은 보완조치로 판단하지 않는다
11. 3.1.5 간접수집 보호조치
출목정인데 정이 없다
가명처리는
사전준비-가명처리-적정성검토-사후관리
14. 3.4.1 개인정보의 파기
개인정보가 포함된 문서가 보존기간이 지났음에도 즉시 파기되지 않고 방치되고 있음
16. 영상정보처리기기 운영관리
거부사유를 10일이내 서면으로 통지
영상정보처리기기의 설치를 AA시스템에 위탁, 운영을 BB시스템
영상정보처리기기 운영 관리 방침에는 BB시스템 누락
17. 결함찾기
수탁자의 보안요구사항 준수여부 확인 -> 2.3.3 외부자 보안 이행 관리
NAC보안정책 적용되어 있지 않음 -> 2.3.3 외부자 보안 이행 관리(수탁사 직원 단말)
19. 결함찾기
SAST(정적분석도구) / DAST(동적분석도구)
sast는 소스코드내 발견될 수 있는 취약점
23. 결함찾기
일방향 암호인데 ARIA-256을 적음(대칭키)
24. 결함찾기
공공기간 6만명 개인정보 -> 개인정보 영향평가 의무대상아님
기준
5만명 민감 고유
50만명 연계
100만명 개인정보
영향평가 받은 후 변경시 변경부분만
공공기관 개인정보 파일을 운영하는 경우 관련사항을 등록
개보위 60일이내 등록
25. 결함찾기
차분프라이버시 : 프라이버시를 정량적으로 모델화 하여 프라이버시 보호 정도를 측정할 수 있는 방법론
콜드 월렛 : 오프라인에서도 사용할 수 있는 가상 지갑
보안성이 높고, 거래가 실시간 처리되지 않음, 네트워크와 연결되어 있지 않음
동형암호화
암호화된 상태에서의 연산이 가능한 암호화 방식
원래의 값을 암호화한 상태로 연산 처리 하여 다양한 분석에 이용가능
26. 결함찾기
심사원의 개인의견 말하는건 적절치 않음
-> 개인정보 보호책임자로서 역량이 부족해보입니다.
현금영수증 주민번호
-> 수집가능.현금영수증 사업자의 경우만
분리 보관중인 개인정보의 접근 통제
-> 1.4.1 법적요구사항 준수 검토 또는 2.6.4 데이터베이스 접근 결함
-> 또한 시노님을 제거하라는 등의 방안을 말하는건 올바르지 않음
27. 결함찾기
동종 재화의경우 6개월
-> 개보법이 아닌 망법 확인
현금영수증 발급, 제세공과금 처리는 3년
29. 손해배상책임
탈퇴회원 또는 서비스 미이용자의 개인정보도 이용자수에 포함
휴업이지만 향후 영업 운영을 목적으로 1천명, 매출액 5천만원이상 발생하면 보험 가입 대상임
30. 2.5.1 사용자 계정관리
계정신청이 메일을 통해서 전달받음
계정신청에 대한 적절성 검토 및 승인 여부가 누락
세션타임아웃 -> 2.6.3 응용프로그램 접근
개인정보 처리시스템이 아니고 책임자 승인이 있었다면 결함이 아니다
31. 2.5.6 접근권한 검토
서버 계정권한 관리대장상 1년 이상 미접속한 계정이 존재
6개월 이상 미접속한 사용자의 계정이 활성화되어 있는 경우는 접근권한 검토가 없었다
2.5.5 특수 계정 및 권한 관리는
인터뷰상으로 구체적인 결함명세를 확인하기 힘듬
33. 방화벽 정책
내부PC에서 외부 서버 웹서비스 접속이 가능
NAT정책이 존재하지 않아 사설IP인 192.168.10.1이 외부와 직접 통신할 수 없음
34. DDoS유형
CoAP Reflection Attack
피해자IP로 스푸핑한 출발지IP에서 외부 노출된 IoT기기 및 모바일 장치들을 대상으로 변조된 GET Request를 보내고,
돌아오는 응답 Packet을 피해자 시스템으로 보내서 피해시스템 회선 대역폭을 고갈시키는 공격
ARMS Reflection Attack
Apple Mac컴퓨터를 대상
35. 클라우드 용어
CASB(Cloud Access Security Broker)
클라우드 및 애플리케이션에 대해 가시화 그리고 데이터 보호 및 거버넌스를 실현하는 서비스
데이터에 대한 가시성을 확보, 사용자 접근통제를 적용
CWPP(Cloud Workload Protection Platform)
서버 워크로드 중심의 방어
클라우드 네이티브 애플리케이션, 컨테이너, 쿠버네티스에서 지속적으로 안정적인 클라우드 구성을 보장하기 위한 클라우드 보안형상 관리의 개념
HCI(Hyper Converged Infrastructure)
서버, 스토리지, 네트워크 등의 하드웨어 자원과 하이퍼바이저 등 가상화 및 관리 영역의 소프트웨어까지를 아울러 단일 플랫폼으로 통합해 제공되는 인프라 시스템
36. 와이파이 연결여부 확인
netsh명령
원격컴퓨터와 로컬컴퓨터 구성
38. 클라우드 보안통제
외부에서 모바일기기로 클라우드 서비스로 구축된 업무프로그램을 접속하고 데이터 조회를 했으나
이력이 없다
39. 3.4.1 개인정보의 파기
신용정보법에 의거 일정기간 전에 파기하면 안되는 정보는 개인신용정보임
그외는 개인정보는 정보주체가 파기를 요구할 경우 지체없이 파기해야함
40. 가명처리
대출이 승인된 고객대상으로만 가명정보 처리하여 이용하여야한다
대출거절 고객의 정보는 파기해야하고
보전하는 정보는 법적의무사항 이행 외엔 이용하면 안된다
42. 결함찾기
솔루션내에서 MD5로 암호화하고 있지만
실제로 저장되는 테이블에는 안전한 암호화 알고리즘으로 저장되어 2.7.1 암호화 적용 결함이 어려움
배치는 7일단위지만 영업일 기준으로 5일이기 때문에 결함이 아니다
43. 마이데이터
휴면고객의 정보는 특별 규정이 있는 경우를 제외하고 이용 및 제공이 불가, 대상에서 제외함
1년내 탈퇴한 고객에게도 통지하여야함, 탈퇴전 통지를 하고 연1회 통지 요건을 충족시켯을 경우 별도 통지 불필요
정보수신자에겐 통지의무가 없음
44. 결함찾기
전자금융감독규정상 정보보호위원회의 장은 정보보호최고책임자로함
준법업무 관련 부서의 장이 누락됨
정보보호위원회 위원은
정보보호업무 관련 부서장
전산운영 및 개발 관련 부서장
준법업무 관련 부서장
45. 금융회사 재택
임직원 IT개발 운영 업무 직원 모두 사내 업무망으로 원격 접속 할수 있게 허용중
IT개발 등 정보처리시스템에 직접 접속하여 개발하는 경우 원격접속이 허용되지 않음
46. 2.6.6 원격접근 통제
root계정으로 ssh원격 접속제한되어 있으나
ssh설정파일상 permitrootlogin no가 주석처리되어 있음
48. 연구개발 목적의 망분리
연구개발 완료후업무망에서 서비스 제공시
개인신용정보 등을 처리하더라도, 연구개발시 개인신용정보 등을 미처리하는 경우 망분리 대상 에외
무선AP 숨김기능 잘하고 있으나 차단시스템을 구축하여 모니터링해야하는데 심사원 단말기가 차단되지 않고 접속되고 있음
