[ISMSP] 2023년 공개 모의고사 4회 1차
1. 인증심사
심사팀장은 심사 준비상태 점검을 통해 인증범위의 적정성, 필수 운영현황을 확인하고 심사 진행여부 및 심사 일정을 확정한다
보완조치 요청을 받은 날로부터 40일
공문을 통해 최대 60일간(재조치 기간 포함) 연장할 수 있다
2. 2.1.2 조직의 유지관리
서비스 영역에 따라서 정보보호 관리부서가 분리된 상황
관련 조직 및 구성원 간 상호 의사소통을 할 수 있는 체계, 절차가 이흡한 상태이고
변견된 기준에 대한 업무협의가 이루어지지 않음
그래서 2.1.2 결함
4. 인증범위
정보통신서비스를 모두 포함
서비스의 직접적인 운영 및 관리를 위한 백오피스 시스템 포함
해당 서비스와 관련없더라도 그 서비스의 핵심정보자산에 접근 가능하다면 포함
ISMS-P는 서비스를 중심으로 개인정보의 흐름에 따라 개인정보처리와 관련된 모든 정보시스템 및 조직 인력을 포함
5. 2.12.1 재해, 재난 대비 안전조치
재해복구 환경구성 기준 등이 잘 정의 되어 있지만
재해복구 환경이 구성되어 있는 일부 시스템이 재해복구 테스트 대상 및 모의훈련 시나리오에 누락됨
누락된 사항을 모의훈련 후 개선사항에 명시하지도 않음
그래서 2.12.1 결함
9. 결함찾기
비회원이지만 주문을 한 정보는 관리되어야 함으로 자산목록에 포함
개발서버, 형상관리서버 등 외주개발업체에서 사용하고 있지만, 장비를 제공했으므로 관리 주체 역할 및 자산목록에 포함되어야 함
10. 2.5.5 특수 계정 및 권한 관리 / 2.5.2 사용자 식별
2.5.5 -> 특수계정에 대한 공식적인 검토 승인 및 관리절차가 없는 경우
2.5.2 -> 서비스용 계정을 개발자 또는 운영자가 임의로 사용하는 경우 해당 작업을 수행한 사용자 식별 및 작업에 대한 추적관리가 불가능
11. 2.6.7 인터넷 접속 통제
public 클라우드 관리를 위해 인터넷망 내 관리 서버를 설치하여 운영하는 것은 운영상 타당
예외 승인 받았으면 결함은 아님
하지만, 정보보호위원회의 예외 사전승인을 받았는지 여부가 명확하게 확인되지 않음
12. 1.3.1 보호대책 구현
원격접속 인프라에 대한 부족이 예상되어 보호대책까지 수립되었지만,
실제 개선과제가 이행되지 못하고 지연되어 원격접속 환경에 문제가 있음
근본적인 문제는 1.3.1 결함
13. 2.6.6 원격접근 통제
원격접근에 대한 인프라 환경 및 관리통제절차가 정의된 상태
제대로 이행되고 있는지 점검은 원격접근 통제 점검 영역
점검 관리가 부서별로 진행되고 있어 위반사항 식별이 어려움
따라서 재택근무, 원격협업, 스마트워크 등과 같은 원격업무 수행시 중요정보 유출, 해킹 등 침해사고 예방을 위한 보호대책을 수립이행하고 있는가에 대한 결함임
15. 2.10.8 패치관리
19년 이후 갱신심사 수행
매체제어시스템이 정책대로 동작하지 않음
매체제어시스템 취약점 목록을 확인하면 17년 취약점 이후 패치가 되지 않음 점을 확인할 수 있음
17. 2.8.3 시험과 운영 환경 분리
운영WAS 원격 접근 로그를 통해 접속을 확인할 수 있음(개발WAS -> 운영WAS)
개발PC 방화벽 정책에서 WAS가 윈도우로 추정(3389포트), 개발PC -> 개발WAS 접속
시스템간 접근통제 미비
개발시스템이 별도로 구성되어 있으나, 개발환경으로부터 운영환경으로 접근이 통제되지 않아~~~~
19. 1.4.1 법적 요구사항 준수 검토
내부망 로그서버가 존재함에도 외부망에 위치한 로그서버로 syslog설정되어 있음
-> 금융회사는 외부통신망과 물리적으로 분리되어야함
방화벽 정책 장기간 미사용 존재
27. 2.10.1 보안시스템 운영 / 2.8.1 보안요구사항 정의 / 2.6.3 응용프로그램 접근
2.10.1 -> 취약점 점검 후 웹방화벽 보안설정을 복구하지 않음
2.8.1 -> 코딩 표준과 소스코드 취약점 점검에 대한 보안요구사항을 정의하지 않음
2.6.3 -> 개발관려 JIRA/SVN 권한 관리 절차 미준수
29. 2.6.3 응용프로그램 접근
Lambda의 접근권한 설정을 하지 않고 public접근이 가능하도록 설정되어 있음
AWS_IAM설정을 해야하고 NONE로 설정하면 엔드포인트에 공개됨
32. AWS
NACL은 허용 규칙뿐만 아니라 거부 규칙도 생성 가능
가장 작은 값을 지니는 규익이 우선적용
NACL
인바운드 / 아웃바운드 규칙 나뉨
하나의 서브넷에 하나의 NACL만 적용
Stateless
33. 2.1.3 정보자산 관리 / 2.5.3 사용자 인증
2.1.3 -> 클라우드로 관리되는 서버도 온프램과 동일하게 관리, 테스트, 검증서버를 포함하여 변경이 잦은 자산의 관리 방안을 수립하고 운영해야함
2.5.3 -> AWS management Console은 멀티팩터 인증을 적용
34. 용어
하이퍼바이저 : 하나의 컴퓨터 시스템에서 여러 개의 OS를 가동할 수 있게 하는 가상화 엔진
컨테이너 : 가상회된 운영체제 위에서 애플리케이션의 독립적인 실행에 필요한 파일을 모은 패키지
NFV(Network Functions Virtualization) : 네트워크의 방화벽, 트래픽 부하제어 관리, 라우터 등과 같은 장비를 소프트웨어로 구현
가상머신 : 실제로 있는 컴퓨터 시스템에서 소프트웨어적으로 구성하여 만들어진 또 다른 가상의 컴퓨터
35. 민감정보
안면인식을 통해 연령 추정, 스티커, 특수효과를 주는 것은 민감정보로 판단되지 않음
허가된 출입자들만 출입을 허가하면 이는 민감정보로 처리
같은 방식으로 지문정보 수집을 통해 무단 출입을 막고자하면 민감정보가 아니다
사진 자체를 수집, 저장, 출력하는 것은 민감정보의 처리에 해당하지 않음
38. 결함 찾기
VPN접속 시간괴 OTP요청 시간에 대한 로그가 확인되지 않으면
인증실패 로그를 요청하여 확인하는 것은 적절하다
또한, 인증실패로 미사용 계정 잠금 처리 등이 안된 것인지 확인해 볼 수 있다
39. 2.10.8 패치관리
인터뷰상 버전6은 취약하고 버전 7은 안전하다고 담당자는 생각
패치 권고문상 6.0.0, 7.0.4 이상버전이 안전한 버전으로 되어 있어 이는 최신 패치 관리가 되지 않은 것으로 판단할 수 있다
41. 법해석
전자정부텉 제2조에서 정하는 행정기관, 공공기관이 정보시스템 사업을 추진하고자 하는 경우 적용되는 지침
진단하도록 하여야 한다
진단원을 우선적으로 배치할 수 있다.
-> 말 장난임
42. 소프트웨어 개발보안 제도
행정안전부
소프트웨어 개발보안 관련 법제도 개선 가이드 배포
한국인터넷진흥원
소프트웨어 개발보안 정책 및 기술지원 가이드 개발
발주기관
소프트웨어 개발 보안 계획 수립
제안요청서에 '소프트웨어 개발보안 적용' 명시
사업자/개발자
소프트웨어 개발보안 관련 기술수준 및 적용계획 명시
감리법인
분석단계 중요정보 및 중요기능 분류, 설계항목 정의 확인
설계단계 산출물에 대한 설계항목 반영 확인
44. 마이데이터
마이데이터 사업자가 정보주체에게 개인정보 수집이용 동의만 받으면 정보제공자로부터 해당 정보주체의 정보를 전송받을 수 있다
정보제공자의 제3자 제공동의 절차는 불필요하다
마이데이터 사업자가 전송내역을 연1회 이상 통지해야하는 의무가 있다
정보제공자에게는 해당의무가 없다
46. 신용정보업 감독규정
개인신용정보의 처리에 대한 기록은 3년간 보존
신용정보회사 등은 개인신용정보를 PC에 저장할 때 암호화해야 한다
네트워크 상 송수신 시 개인신용정보가 암호화 적용되어야함 -> 2.7.1 암호정책 적용
주민등록번호를 CI로 변환하는 것에 대해선 본인확인기관만 처리해야 한다
마이데이터사업자가 CI정보를 이용하여 본인인증 관련 업무처리 처리하는 것은 가능하다
47. 신용정보
개인정보처리자가 수집하여 관리하고 있던 정보주체의 정보가 아니므로 보관해야 될 사항이 아니기 때문에 지체없이 파기해야함
두낫콜
48. 개보법
개인정보 이용내역 통지는 정보통신서비스 이용자를 대상으로
회원가입없이 순수 오프라인 구매고객은 법적통지대상이 아니다
자택주소정보가 있는데 발송하지 않는 것은 법 위반
정보통신서비스 부문 전년도 매출액이 100억이상
직전 일일평균 100만명이상
수집이용목적 및 수집한 개인정보의 항목
서면 등의 방법으로 연1회이상