[CISA 문제풀이] 틀린문제 (11)

문제1:

새로운 데이터의 분류를 검토하기 위한 가장 적합한 정보 소스는 무엇입니까?

• A. 현재 보호 수준(Current level of protection)
• B. 데이터 관리자의 입력(Input by data custodians)
• C. 보안 정책 요구사항(Security policy requirements) (정답)
• D. 위험 평가 결과(Risk assessment results)

---

👉 **C. 보안 정책 요구사항(Security policy requirements)**은 데이터 분류를 검토하기 위한 가장 적합한 정보 소스입니다. 데이터 분류는 조직의 보안 정책과 요구사항에 따라 결정되며, 이는 데이터의 기밀성, 무결성, 가용성 수준에 따라 적절한 보호 및 관리 메커니즘을 정의합니다. 보안 정책은 데이터의 민감도를 평가하고 적절한 분류 기준을 제공하는 기반이 됩니다.

---

나머지 항목이 오답인 이유:

• A. 현재 보호 수준: 현재 보호 수준은 데이터가 이미 분류된 후 적용된 결과일 수 있으며, 새로운 데이터의 분류 기준을 직접 제공하지 않습니다.
• B. 데이터 관리자의 입력: 데이터 관리자는 관리 및 보호를 담당하지만, 데이터 분류의 기준을 정의하거나 결정하지는 않습니다.
• D. 위험 평가 결과: 위험 평가는 데이터 보호 수준을 결정하는 데 도움이 될 수 있지만, 데이터 분류의 기본 기준으로 사용되지는 않습니다.

---

문제2:

새로 구현된 시스템에 대한 IS 감사원의 구현 후 검토 결과 중 가장 중요한 문제는 무엇입니까?

• A. 프로젝트의 10% 예산 초과가 고위 경영진에게 보고되지 않았다.
• B. 교훈 학습 세션이 진행되지 않았다.
• C. 측정 가능한 이점이 정의되지 않았다. (정답)
• D. 월간 대시보드에 항상 결과물이 포함되지 않았다.

---

👉 C. 측정 가능한 이점이 정의되지 않았다는 가장 심각한 문제입니다. 새로운 시스템을 구현하는 주된 목적은 비즈니스에 가치를 제공하는 것입니다. 측정 가능한 이점이 정의되지 않으면 시스템이 기대하는 성과를 달성했는지 평가할 방법이 없으며, 프로젝트의 성공 여부를 판단하기 어렵게 됩니다.

---

나머지 항목이 오답인 이유:

• A. 프로젝트의 10% 예산 초과가 고위 경영진에게 보고되지 않았다: 예산 초과는 관리적 문제이지만, 시스템 성과나 비즈니스 목표와 직접적인 관련은 없습니다.
• B. 교훈 학습 세션이 진행되지 않았다: 교훈 학습은 향후 프로젝트를 개선하는 데 유용하지만, 현재 시스템의 비즈니스 목표 달성과는 직접적으로 관련이 없습니다.
• D. 월간 대시보드에 항상 결과물이 포함되지 않았다: 대시보드 문제는 프로젝트 관리와 관련이 있지만, 시스템 구현의 성과와는 직접적으로 연결되지 않습니다.

---

문제3:

IS 감사원이 데이터를 관리자가 제공하도록 요청하는 대신 직접 액세스하여 데이터를 감사 절차에 사용하려고 할 때, 이 접근 방식의 주요 이점은 무엇입니까?

• A. 전문성(Professionalism)
• B. 감사 효율성(Audit efficiency) (정답)
• C. 감사 투명성(Audit transparency)
• D. 데이터 기밀성(Data confidentiality)

---

👉 **B. 감사 효율성(Audit efficiency)**는 감사원이 데이터를 직접 액세스할 때 얻을 수 있는 주요 이점입니다. 데이터를 직접 검색하면 관리자의 개입을 최소화하고, 데이터 제공 과정에서 발생할 수 있는 지연을 방지하며, 감사 절차를 보다 신속하게 수행할 수 있습니다. 또한 데이터의 완전성과 정확성을 보장할 가능성도 높아집니다.

---

나머지 항목이 오답인 이유:

• A. 전문성(Professionalism): 직접 액세스는 감사원의 전문성을 보여줄 수 있지만, 이는 주된 이점이 아닙니다.
• C. 감사 투명성(Audit transparency): 직접 액세스가 감사 과정을 명확히 할 수 있지만, 이는 주요 목표가 아닙니다.
• D. 데이터 기밀성(Data confidentiality): 직접 액세스는 기밀성을 보장하지는 않으며, 데이터 접근 권한 및 보안 절차에 의존합니다.

---

문제4: 가상화 환경에서 가장 중요한 통제는 무엇입니까?

• A. 하이퍼바이저와 게스트 머신의 하드닝(Hardening for the hypervisor and guest machines) (정답)
• B. 가상화 환경 운영 정책의 정기적 업데이트
• C. 하드웨어 리소스와 네트워크 구성 요소의 이중화(Redundancy)
• D. 게스트 운영 체제 수준에서 리소스 사용량 모니터링

---

👉 A. 하이퍼바이저와 게스트 머신의 하드닝은 가상화 환경에서 가장 중요한 통제입니다. 하이퍼바이저는 가상화의 핵심 계층으로, 이를 보호하지 못하면 모든 게스트 머신과 가상화된 리소스가 공격에 취약해질 수 있습니다. 하드닝은 불필요한 서비스 제거, 보안 패치 적용, 강력한 인증 메커니즘 설정 등을 포함하며, 가상화 환경의 보안을 강화하는 데 필수적입니다.

---

나머지 항목이 오답인 이유:

• B. 가상화 환경 운영 정책의 정기적 업데이트: 정책 업데이트는 중요하지만, 이는 가상화 환경의 기본 보안을 보장하는 하드닝보다 우선순위가 낮습니다.
• C. 하드웨어 리소스와 네트워크 구성 요소의 이중화: 이중화는 가용성을 보장하지만, 보안 통제의 핵심인 하드닝보다는 중요도가 낮습니다.
• D. 게스트 운영 체제 수준에서 리소스 사용량 모니터링: 리소스 사용량 모니터링은 성능 및 용량 관리를 지원하지만, 보안 관점에서는 하드닝이 더 중요합니다.

---

 

문제5: 특정 조직의 실제 상황에 기반한 새로운 프레임워크를 수립하는 대신 국제 IT 거버넌스 프레임워크를 채택하는 가장 큰 이점은 무엇입니까?

• A. IT 거버넌스를 위한 기본적이고 중요한 위험 및 통제 영역을 포괄적으로 다룬다. (정답)
• B. 구현 방법론을 미세 조정하기 위한 시행착오 시도에 적은 자원이 소모된다.
• C. 도메인 및 위험/통제 방법론과 같은 활용 가능한 리소스가 쉽게 제공된다.
• D. IT 거버넌스 목표를 가진 다양한 비즈니스 및 지원 부서에서 광범위하게 수용된다.

---

👉 A. IT 거버넌스를 위한 기본적이고 중요한 위험 및 통제 영역을 포괄적으로 다룬다는 국제 프레임워크를 채택하는 가장 큰 이점입니다. 국제 프레임워크는 검증된 표준을 기반으로 설계되었으며, 다양한 산업과 환경에서 기본적으로 고려해야 할 위험과 통제를 포괄적으로 다룹니다. 이를 통해 조직은 중요한 요소를 놓치지 않고 IT 거버넌스를 효과적으로 구현할 수 있습니다.

---

나머지 항목이 오답인 이유:

• B. 시행착오 시도에 적은 자원이 소모된다: 이는 국제 프레임워크 채택의 장점 중 하나이지만, 가장 큰 이점은 아닙니다.
• C. 활용 가능한 리소스가 쉽게 제공된다: 국제 프레임워크는 리소스를 제공하지만, 이는 포괄적인 위험 및 통제의 다루는 폭에 비해 덜 중요한 요소입니다.
• D. 다양한 부서에서 광범위하게 수용된다: 조직의 수용은 중요한 장점이지만, 프레임워크 채택의 주요 이유는 IT 거버넌스의 포괄성과 효과성입니다.

---

 

문제6: 프로그래머가 급여 시스템 보고서의 주요 필드에 무단으로 변경을 가했습니다. 이 문제에 가장 크게 기여한 통제 취약점은 무엇입니까?

• A. 프로그래머가 프로덕션 프로그램에 접근할 수 있었다. (정답)
• B. 사용자 요구 사항이 문서화되지 않았다.
• C. 급여 파일이 사서(librarian)의 통제 하에 있지 않았다.
• D. 프로그래머가 테스트에 사용자를 참여시키지 않았다.

---

👉 A. 프로그래머가 프로덕션 프로그램에 접근할 수 있었다는 문제에 가장 큰 기여를 한 통제 취약점입니다. 프로덕션 환경에 대한 직접 접근 권한은 업무 분리(Segregation of Duties, SoD) 원칙에 위배되며, 프로그래머가 무단으로 프로그램을 변경하거나 데이터를 수정할 수 있는 위험을 초래합니다.

---

나머지 항목이 오답인 이유:

• B. 사용자 요구 사항이 문서화되지 않았다: 사용자 요구 사항의 문서화는 시스템 설계와 개발의 품질을 높이는 데 중요하지만, 무단 변경을 직접적으로 방지하지는 않습니다.
• C. 급여 파일이 사서의 통제 하에 있지 않았다: 급여 파일 관리도 중요하지만, 이 문제의 원인은 프로덕션 프로그램에 대한 프로그래머의 접근 권한과 더 관련이 있습니다.
• D. 프로그래머가 테스트에 사용자를 참여시키지 않았다: 사용자의 참여 부족은 테스트 품질에 영향을 미칠 수 있지만, 무단 변경 문제의 핵심 원인은 아닙니다.

---

문제7: 네트워크 장치 관리(Network Device Management)를 감사할 때 IS 감사원이 가장 중요하게 검증해야 할 사항은 무엇입니까?

• A. 장치가 서비스 계정을 통해 액세스할 수 없도록 설정되었는지 확인한다.
• B. 백업 정책에 장치 구성 파일이 포함되었는지 확인한다.
• C. 모든 장치가 보호된 네트워크 세그먼트 내에 있는지 확인한다.
• D. 모든 장치에 최신 보안 패치가 적용되었는지 평가한다. (정답)

---

👉 D. 모든 장치에 최신 보안 패치가 적용되었는지 평가한다는 네트워크 장치 보안을 보장하기 위해 가장 중요한 검증 사항입니다. 보안 패치가 최신 상태로 유지되지 않으면, 장치가 알려진 취약점에 노출될 가능성이 높아져 네트워크가 침해당할 위험이 증가합니다.

---

나머지 항목이 오답인 이유:

• A. 장치가 서비스 계정을 통해 액세스할 수 없도록 설정되었는지 확인한다: 서비스 계정의 사용 제한은 중요하지만, 장치가 패치되지 않은 취약점에 노출되는 문제만큼의 심각성은 아닙니다.
• B. 백업 정책에 장치 구성 파일이 포함되었는지 확인한다: 장치 구성 파일 백업은 복구 계획에 중요하지만, 보안 위험을 직접적으로 완화하지는 않습니다.
• C. 모든 장치가 보호된 네트워크 세그먼트 내에 있는지 확인한다: 네트워크 세그먼트 보호는 중요하지만, 네트워크 장치가 패치되지 않은 상태라면 추가 보호조치가 효과를 발휘하기 어렵습니다.

---

문제8: 재사용될 스토리지 미디어에서 민감한 정보를 삭제하는 가장 좋은 방법은 무엇입니까?

• A. 파티션 재설정(Re-partitioning)
• B. 암호화 삭제(Crypto-shredding)
• C. 포맷(재포맷)(Reformatting)
• D. 다중 덮어쓰기(Multiple overwriting) (정답)

---

👉 **D. 다중 덮어쓰기(Multiple overwriting)**는 민감한 정보를 완전히 삭제하는 가장 신뢰할 수 있는 방법입니다. 이 방법은 기존 데이터를 무작위 값이나 특정 패턴으로 여러 번 덮어씌워 원래 데이터를 복구할 가능성을 최소화합니다. DoD 5220.22-M 표준과 같은 여러 보안 지침에서도 다중 덮어쓰기를 권장합니다.

---

나머지 항목이 오답인 이유:

• A. 파티션 재설정(Re-partitioning): 파티션을 재설정하면 파일 시스템 구조만 초기화되며, 데이터는 여전히 물리적으로 존재할 수 있어 복구가 가능합니다.
• B. 암호화 삭제(Crypto-shredding): 암호화 삭제는 암호화 키를 삭제하여 데이터를 복구 불가능하게 만드는 방식이지만, 암호화되지 않은 데이터에는 적용되지 않습니다.
• C. 포맷(재포맷)(Reformatting): 재포맷은 파일 시스템을 초기화하지만, 데이터는 여전히 복구 도구로 복구될 가능성이 있습니다.

---

문제9: 비즈니스 데이터베이스의 거래 기록이 실수로 삭제되어 시스템 운영자가 스냅샷 복원 작업을 수행했습니다. 거래 기록이 성공적으로 복구되었음을 가장 잘 보장하는 방법은 무엇입니까?

• A. 거래 기록 수를 다시 계산하여 누락된 기록이 없는지 확인한다.
• B. 거래 값을 외부 명세서와 비교하여 정확성을 확인한다. (정답)
• C. 백업 머신에서 프로세스를 다시 실행하여 동일한 결과인지 확인한다.
• D. 거래 복구 로그를 검토하여 오류가 기록되지 않았는지 확인한다.

---

👉 B. 거래 값을 외부 명세서와 비교하여 정확성을 확인한다는 거래 기록이 복구된 데이터가 정확하고 완전한지를 보장하는 가장 신뢰할 수 있는 방법입니다. 외부 명세서(예: 은행 계좌, 청구서 등)는 데이터의 무결성을 확인하는 독립적인 소스로 활용될 수 있으며, 복구 작업이 정확하게 이루어졌는지 검증하는 데 유용합니다.

---

나머지 항목이 오답인 이유:

• A. 거래 기록 수를 다시 계산하여 누락된 기록이 없는지 확인한다: 단순히 기록 수를 확인하는 것은 데이터 정확성(값의 무결성)을 보장하지 못합니다.
• C. 백업 머신에서 프로세스를 다시 실행하여 동일한 결과인지 확인한다: 프로세스 결과를 비교하는 것은 유용할 수 있지만, 외부 데이터와의 대조를 통해 데이터 복구의 정확성을 검증하는 것이 더 효과적입니다.
• D. 거래 복구 로그를 검토하여 오류가 기록되지 않았는지 확인한다: 로그 검토는 오류 식별에 도움이 되지만, 데이터 무결성과 정확성을 직접적으로 검증하지는 못합니다.

---

문제10: IT 일반 통제 감사의 일환으로 웹 애플리케이션 보안 통제를 감사할 때, IS 감사원이 가장 큰 우려를 가져야 할 항목은 무엇입니까?

• A. 애플리케이션 통제 구성 설정이 사용 불가능하다.
• B. 애플리케이션 통제 평가가 수행되지 않았다. (정답)
• C. 애플리케이션 통제 매트릭스가 수립되지 않았다.
• D. 애플리케이션 통제가 IT 프레임워크와 일치하지 않는다.

---

👉 B. 애플리케이션 통제 평가가 수행되지 않았다는 가장 큰 우려 사항입니다. 애플리케이션 통제는 애플리케이션 수준에서 보안을 보장하며, 데이터 무결성과 신뢰성을 유지하는 데 필수적입니다. 애플리케이션 통제 평가가 수행되지 않았다는 것은 잠재적 취약점을 확인하거나 수정하지 못했음을 의미하며, 이는 보안 및 운영 위험을 초래할 수 있습니다.

---

나머지 항목이 오답인 이유:

• A. 애플리케이션 통제 구성 설정이 사용 불가능하다: 구성 설정이 사용 불가능한 것은 문제일 수 있지만, 통제 평가가 전혀 수행되지 않은 것만큼 심각하지 않습니다.
• C. 애플리케이션 통제 매트릭스가 수립되지 않았다: 매트릭스는 통제 환경을 체계적으로 관리하는 데 유용하지만, 통제 자체의 유효성을 결정하는 핵심 요소는 아닙니다.
• D. 애플리케이션 통제가 IT 프레임워크와 일치하지 않는다: IT 프레임워크와의 정렬은 중요하지만, 통제 평가가 수행되지 않은 것보다 상대적으로 우선순위가 낮습니다.

---

문제11: 시스템 개발 프로젝트의 타당성 조사를 감사할 때, IS 감사원이 수행해야 할 활동은 무엇입니까?

• A. 작업 범위를 다루도록 제안 요청서(RFP)를 검토한다.
• B. 공급업체 계약이 법률 자문에 의해 검토되었는지 확인한다.
• C. 비용-편익 문서를 합리성 관점에서 검토한다. (정답)
• D. 프로젝트 팀 주요 구성원의 자격을 검토한다.

---

👉 C. 비용-편익 문서를 합리성 관점에서 검토한다는 타당성 조사 감사의 핵심입니다. 타당성 조사는 시스템 개발 프로젝트가 경제적으로 실행 가능하고 조직 목표에 부합하는지를 평가하는 과정입니다. 비용-편익 분석은 프로젝트의 정당성을 뒷받침하는 중요한 요소이며, 이를 검토하여 계산이 합리적이고 현실적인지 확인하는 것이 중요합니다.

---

나머지 항목이 오답인 이유:

• A. 작업 범위를 다루도록 제안 요청서(RFP)를 검토한다: RFP 검토는 공급업체 선정 과정에서 중요할 수 있지만, 타당성 조사의 핵심 목적과 직접적으로 관련되지 않습니다.
• B. 공급업체 계약이 법률 자문에 의해 검토되었는지 확인한다: 이는 계약 단계에서 중요한 활동이지만, 타당성 조사에는 직접적으로 포함되지 않습니다.
• D. 프로젝트 팀 주요 구성원의 자격을 검토한다: 팀 구성원의 자격 검토는 프로젝트 실행 계획의 일부일 수 있지만, 타당성 조사에 있어서는 주요 초점이 아닙니다.

 

---

문제12: **비즈니스 영향 분석(BIA)**을 수행하는 데 가장 유용한 정보를 제공하는 것은 무엇입니까?

• A. 비즈니스 조달 정책(Policies for business procurement)
• B. 관련 비즈니스 프로세스 목록(Inventory of relevant business processes) (정답)
• C. 비즈니스 복구 계획 노력의 결과(Results of business resumption planning efforts)
• D. 애플리케이션 구성 문서화(Documentations of application configurations)

---

👉 **B. 관련 비즈니스 프로세스 목록(Inventory of relevant business processes)**는 BIA를 수행하는 데 가장 유용한 정보를 제공합니다. BIA의 주요 목적은 조직의 중요한 비즈니스 프로세스와 이러한 프로세스에 미치는 잠재적인 중단 영향을 식별하는 것입니다. 프로세스 목록은 분석의 출발점으로 사용되며, 우선순위를 설정하고 리소스를 할당하는 데 필수적입니다.

---

나머지 항목이 오답인 이유:

• A. 비즈니스 조달 정책: 조달 정책은 BIA에 직접적으로 관련이 없으며, 조달 활동의 연속성 계획에만 부분적으로 기여할 수 있습니다.
• C. 비즈니스 복구 계획 노력의 결과: 복구 계획 결과는 BIA 이후의 활동에 대한 참고 자료로 유용할 수 있지만, 초기 분석을 수행하는 데 가장 중요한 정보는 아닙니다.
• D. 애플리케이션 구성 문서화: 애플리케이션 구성은 기술적 세부 사항으로, 비즈니스 프로세스의 중요도를 평가하는 데 직접적으로 도움이 되지 않습니다.

---

문제13: 다음 감사 결과 중 가장 높은 우선순위를 부여해야 하는 것은 무엇입니까?

• A. IT 주요 위험 지표(KRIs)가 IT 팀에 의해 내부적으로 계산된다.
• B. 조직의 IT 투자가 업계 벤치마크를 초과한다.
• C. IT 주요 위험 지표(KRIs)가 주기적으로 검토되지 않는다. (정답)
• D. 이사회 의제에 IT 프로젝트 진행 상황이 포함되지 않는다.

---

👉 C. IT 주요 위험 지표(KRIs)가 주기적으로 검토되지 않는다는 가장 높은 우선순위를 가져야 합니다. KRIs는 조직의 위험 노출을 모니터링하고 관리하기 위한 중요한 도구입니다. 주기적인 검토가 이루어지지 않을 경우, 새로운 위험이나 변화된 위험 환경을 놓칠 가능성이 커지며, 이는 IT 거버넌스와 조직 전반에 걸쳐 심각한 영향을 미칠 수 있습니다.

---

나머지 항목이 오답인 이유:

• A. IT 주요 위험 지표(KRIs)가 IT 팀에 의해 내부적으로 계산된다: 내부 계산은 우려 사항일 수 있지만, 주기적인 검토 부족보다는 덜 중요한 문제입니다.
• B. 조직의 IT 투자가 업계 벤치마크를 초과한다: 이는 비용 효율성 측면에서 검토할 필요가 있지만, 위험 관리 문제보다는 우선순위가 낮습니다.
• D. 이사회 의제에 IT 프로젝트 진행 상황이 포함되지 않는다: IT 프로젝트 진행 상황 모니터링도 중요하지만, 이는 KRIs의 주기적인 검토 부족과 비교하면 덜 시급한 문제입니다.

---

문제14: 기업 또는 가정 네트워크의 경계에 위치하며, 공인 IP 주소를 가져와 내부적으로 사설 IP 주소를 생성하는 장치 유형은 무엇입니까?

• A. 게이트웨이(Gateway)
• B. 스위치(Switch)
• C. 침입 방지 시스템(IPS)
• D. 라우터(Router) (정답)

---

👉 **D. 라우터(Router)**는 공인 IP 주소를 사용하여 외부 네트워크(예: 인터넷)와 통신하며, 네트워크 내부에서 사용하는 사설 IP 주소를 생성하고 관리하는 역할을 합니다. 라우터는 일반적으로 **네트워크 주소 변환(Network Address Translation, NAT)**을 수행하여 사설 네트워크의 기기들이 공인 IP를 통해 인터넷과 통신할 수 있도록 합니다.

---

나머지 항목이 오답인 이유:

• A. 게이트웨이(Gateway): 게이트웨이는 네트워크 간의 데이터 전송을 가능하게 하는 장치이지만, 공인 및 사설 IP 주소 생성 기능과는 직접적으로 관련되지 않습니다.
• B. 스위치(Switch): 스위치는 동일한 네트워크 내에서 데이터 패킷을 전달하는 데 사용되며, 공인 및 사설 IP 주소를 생성하지 않습니다.
• C. 침입 방지 시스템(IPS): IPS는 네트워크 트래픽을 모니터링하고 공격을 차단하는 보안 장치로, IP 주소 생성과 관련이 없습니다.

---

문제15: 새로운 시스템 개발 프로젝트가 중요한 구현 기한에 늦어지고 있을 때, 가장 중요한 활동은 무엇입니까?

• A. 코드가 검토되었는지 확인한다.
• B. 사용자 수용 테스트(UAT)를 수행한다. (정답)
• C. 마지막 순간의 개선 사항을 문서화한다.
• D. 사전 구현 감사를 수행한다.

---

👉 B. 사용자 수용 테스트(UAT)를 수행한다는 가장 중요한 활동입니다. UAT는 시스템이 비즈니스 요구 사항을 충족하고 사용자 기대에 부합하는지 확인하는 마지막 단계로, 시스템의 성공적인 구현과 사용 여부를 결정합니다. 이는 시스템 배포 후의 오류 및 장애를 최소화하는 데 매우 중요합니다.

---

나머지 항목이 오답인 이유:

• A. 코드가 검토되었는지 확인한다: 코드 검토는 개발 중 중요한 활동이지만, 사용자 요구 사항 충족 여부를 검증하는 UAT보다 우선순위는 낮습니다.
• C. 마지막 순간의 개선 사항을 문서화한다: 문서화는 중요하지만, 구현 기한이 가까운 시점에서는 시스템 테스트 및 검증이 더 시급합니다.
• D. 사전 구현 감사를 수행한다: 사전 구현 감사는 전체 프로세스를 검토하는 데 유용하지만, 구현 기한 직전에 필요한 최우선 활동은 아닙니다.