[CISA 문제풀이] 틀린문제 (1)

문제 1

조직이 정보 시스템(IS) 감사의 합의된 실행 계획이 실행될 수 있도록 가장 효과적으로 돕는 방법은 무엇인가?
• A. 소유권을 지정한다.(정답)
• B. 완료 시 수정 조치를 테스트한다.
• C. 충분한 감사 자원을 할당한다.
• D. 감사 결과를 조직 전체에 알린다.

👉소유권을 명확히 지정하면 특정 담당자가 책임을 지게 되어 조치 계획의 이행 가능성이 높아집니다. 이는 계획이 단순히 수립되는 데 그치지 않고 실제로 실행되도록 유도하는 중요한 요인입니다.

*나머지 항목이 오답인 이유:
• B. 완료 시 수정 조치를 테스트한다: 조치가 완료된 후 테스트하는 것은 중요하지만, 이는 조치가 실제로 이행되도록 보장하기보다는 성과를 평가하는 역할에 가깝습니다.
• C. 충분한 감사 자원을 할당한다: 감사 자원이 충분히 배정되면 감사가 원활히 진행될 수 있으나, 계획이 실제로 실행되는 것과 직접적인 관련은 적습니다.
• D. 감사 결과를 조직 전체에 알린다: 감사 결과를 공유하는 것은 조직 내 인식을 높이는 데 도움이 되지만, 특정 실행 계획이 이행될지를 보장하지는 못합니다.

---

문제 2

IS 감사자가 새 컴퓨터 하드웨어의 도입을 감사할 때, 감사자의 가장 우선적인 관심사는 무엇인가?
• A. 명확한 비즈니스 케이스가 마련되었는지 여부 (정답)
• B. 새 하드웨어가 설정된 보안 표준을 충족하는지 여부
• C. 전체 감사 추적 기능이 포함되어 있는지 여부
• D. 구현 계획이 사용자 요구를 충족하는지 여부

👉 새로운 하드웨어가 도입될 때 가장 중요한 것은 이를 통해 조직이 실제로 필요한 비즈니스 목표를 달성할 수 있는지입니다. 명확한 비즈니스 케이스가 수립되지 않으면, 불필요한 투자로 자원이 낭비될 수 있습니다.

* 나머지 항목이 오답인 이유:
• B. 새 하드웨어가 설정된 보안 표준을 충족하는지 여부: 보안 표준 준수는 중요하지만, 이는 비즈니스 케이스 수립 후에 고려할 사항입니다.
• C. 전체 감사 추적 기능이 포함되어 있는지 여부: 감사 추적 기능은 중요하지만, 하드웨어 도입의 필요성을 평가하는 핵심 요인은 아닙니다.
• D. 구현 계획이 사용자 요구를 충족하는지 여부: 사용자 요구 충족 여부도 중요하지만, 비즈니스 케이스가 먼저 수립되어야 그에 맞는 구현 계획을 수립할 수 있습니다.

---

문제 3

응용 프로그램이 사양에 따라 작동하는지 확인하는 가장 좋은 방법은 무엇인가?
• A. 파일럿 테스트
• B. 시스템 테스트(정답)
• C. 통합 테스트
• D. 단위 테스트

👉 시스템 테스트는 응용 프로그램이 전체적으로 사양과 요구 사항을 충족하는지 검증하는 데 가장 효과적인 방법입니다. 이 단계에서 모든 기능이 통합된 상태로 테스트되므로 사양 준수 여부를 확인하기에 적합합니다.

* 나머지 항목이 오답인 이유:
• A. 파일럿 테스트: 실제 사용자 환경에서 일부 기능을 시험 운영하는 것이지만, 전체 사양 준수 여부를 확인하기에는 제한적입니다.
• C. 통합 테스트: 통합 테스트는 개별 모듈 간의 상호작용을 확인하는 것이 주된 목적이며, 전체 사양 준수를 보장하지는 않습니다.
• D. 단위 테스트: 개별 구성 요소를 검증하는 테스트로, 전체 응용 프로그램이 사양을 충족하는지 확인하기에는 범위가 좁습니다.

문제 4

주요 응용 프로그램 개발 프로젝트의 통제를 평가하는 동안, IS 감사자의 시간을 가장 효과적으로 사용하는 방법은 무엇인가?
• A. 비용-편익 분석 검토
• B. 수용 테스트 검토(정답)
• C. 응용 프로그램 테스트 케이스 검토
• D. 프로젝트 계획 검토

👉 수용 테스트는 최종 사용자 요구 사항을 충족하는지를 확인하는 단계입니다. 이 단계에서 감사자가 문제를 발견하면 프로젝트의 전체 품질을 높이고, 최종 사용자의 요구에 맞는 결과물을 보장할 수 있습니다.

* 나머지 항목이 오답인 이유:
• A. 비용-편익 분석 검토: 프로젝트의 타당성 평가에 도움이 되지만, 전체 통제를 검토하는 데는 다소 제한적입니다.
• C. 응용 프로그램 테스트 케이스 검토: 테스트 케이스 검토는 특정 시나리오에 대한 검증일 뿐, 프로젝트 전반의 통제를 평가하기에는 한계가 있습니다.
• D. 프로젝트 계획 검토: 계획 검토는 일정과 자원 할당을 확인하는 데 유용하지만, 전체적인 품질과 사용자 요구 충족 여부를 평가하는 데는 적합하지 않습니다.

문제 5

감사 작업 완료 후 IS 감사자가 해야 할 최선의 조치는 무엇인가?
• A. 감사 대상자에게 초기 결과가 포함된 보고서를 제공한다. (정답)
• B. 감사 대상자와 논의하기 전에 고위 경영진에게 보고서를 제공한다.
• C. 감사 팀 구성원에게 일반적인 결과 요약을 배포한다.
• D. 감사 대상자와 함께 작업 문서를 검토한다.

👉 초기 보고서를 제공함으로써 감사 대상자가 발견된 사항을 즉시 인지하고 피드백을 줄 수 있는 기회를 제공합니다. 이는 감사 결과의 투명성과 신뢰성을 높이는 데 도움이 됩니다.

* 나머지 항목이 오답인 이유:
• B. 감사 대상자와 논의하기 전에 고위 경영진에게 보고서를 제공한다: 이는 감사 대상자와의 신뢰를 손상시킬 수 있어 적절하지 않습니다.
• C. 감사 팀 구성원에게 일반적인 결과 요약을 배포한다: 결과 공유는 유용하지만, 이는 감사 대상자와의 논의 이후에 이루어지는 것이 바람직합니다.
• D. 감사 대상자와 함께 작업 문서를 검토한다: 이는 결과 보고서 작성 후 최종 논의 전에 수행할 단계로, 초기 결과 공유의 의미와는 다릅니다.

문제 6

직원 퇴사 후 네트워크 계정은 삭제되었지만 애플리케이션 계정은 남아있었습니다. 이 문제가 재발하지 않도록 하기 위한 가장 좋은 권장 사항은 무엇인가?
• A. 애플리케이션 계정을 네트워크 싱글 사인온(SSO)과 통합한다.
• B. 주기적인 접근 권한 검토를 수행한다. (정답)
• C. 시스템 관리 직원을 재교육한다.
• D. 애플리케이션에서 공유 계정을 사용한다.

👉 주기적으로 접근 권한을 검토함으로써 퇴사자 계정이 남아있는 문제를 사전에 발견하고 해결할 수 있습니다. 이는 조직 내 계정 관리를 일관성 있게 유지하는 데 매우 효과적인 방법입니다.

* 나머지 항목이 오답인 이유:
• A. 애플리케이션 계정을 네트워크 싱글 사인온(SSO)과 통합한다: 모든 애플리케이션이 SSO를 지원하지 않을 수 있어 일부 계정이 여전히 남을 가능성이 있습니다.
• C. 시스템 관리 직원을 재교육한다: 재교육만으로는 문제를 지속적으로 방지하는 데 한계가 있을 수 있습니다.
• D. 애플리케이션에서 공유 계정을 사용한다: 공유 계정은 보안 추적이 어려워 보안 리스크를 증가시킬 수 있습니다.

문제 7

네트워크를 통해 전송되는 데이터의 무결성을 가장 효과적으로 보장하는 방법은 무엇인가?
• A. 메시지 암호화
• B. 스테가노그래피
• C. 인증 기관(CA)
• D. 메시지 다이제스트 (정답)

👉 메시지 다이제스트는 전송된 데이터의 해시 값을 생성하여 데이터가 전송 중에 변경되지 않았는지 검증할 수 있습니다. 이는 데이터 무결성을 보장하는 데 가장 효과적입니다.

* 나머지 항목이 오답인 이유:
• A. 메시지 암호화: 주로 데이터 기밀성을 위한 방법으로 무결성을 직접적으로 보장하지 않습니다.
• B. 스테가노그래피: 데이터의 존재를 숨기는 방법으로, 무결성 확인에는 적합하지 않습니다.
• C. 인증 기관(CA): CA는 인증서를 통해 신뢰성을 보장하지만, 데이터 무결성 자체를 검증하는 역할은 아닙니다.

문제 8

감사 검토자의 주요 역할은 증거와 관련하여 무엇인가?
• A. 적절한 통계적 샘플링 방법이 사용되었는지 확인
• B. 증거가 승인된 출처에서 얻어졌는지 여부를 표시
• C. 무단 접근으로부터 증거를 보호
• D. 감사 결론을 뒷받침하기에 충분한 증거를 확인 (정답)

👉 감사 검토자의 주요 역할은 수집된 증거가 감사 결론을 뒷받침하기에 충분하고 적합한지를 확인하는 것입니다. 이는 감사 결론의 신뢰성을 보장하는 데 필수적입니다.

* 나머지 항목이 오답인 이유:
• A. 적절한 통계적 샘플링 방법이 사용되었는지 확인: 이는 감사 과정에서의 확인 사항이지만, 주요 역할은 아닙니다.
• B. 증거가 승인된 출처에서 얻어졌는지 여부를 표시: 승인된 출처에서 얻어지는 것이 중요하지만, 결론의 충분성과는 직접 관련이 없습니다.
• C. 무단 접근으로부터 증거를 보호: 증거 무결성 보호는 중요하지만, 검토자가 주요로 수행할 역할과는 다릅니다.

문제 9

외부 데이터 제공자로부터 시장 가격 데이터를 가져오는 과정에서 IS 감사자가 가장 중요하게 고려해야 할 사항은 무엇인가?
• A. 데이터 품질이 모니터링되지 않음
• B. 전송 프로토콜에 인증이 필요하지 않음
• C. 가져온 데이터가 자주 폐기되지 않음
• D. 전송 프로토콜이 암호화되지 않음(정답)

👉암호화되지 않은 전송은 네트워크 상에서 데이터가 쉽게 가로채어질 수 있는 심각한 보안 위험을 초래할 수 있습니다. 중요한 시장 데이터는 반드시 안전하게 전송되어야 합니다.

* 나머지 항목이 오답인 이유:
• A. 데이터 품질이 모니터링되지 않음: 중요한 요소이지만, 암호화 문제보다는 우선순위가 낮습니다.
• B. 전송 프로토콜에 인증이 필요하지 않음: 인증이 없으면 접근 위험이 있지만, 데이터 암호화 문제보다 덜 위험합니다.
• C. 가져온 데이터가 자주 폐기되지 않음: 저장 공간 및 보안 문제를 야기할 수 있으나, 전송 중 데이터 보호보다는 덜 중요합니다.

문제 10

작은 스타트업이 자원 부족으로 인해 직무 분리를 구현하지 못하는 상황에서 가장 효과적인 보완 통제는 무엇인가?
• A. 로그 모니터링 및 분석 책임의 순환
• B. 추가적인 관리 검토 및 조정(정답)
• C. 의무 휴가
• D. 제3자 평가

👉 관리 검토와 조정은 권한 남용 가능성을 줄이고 잘못된 작업이나 사기 행위를 사전에 발견할 수 있어 직무 분리를 대체할 수 있는 효과적인 방법입니다.

* 나머지 항목이 오답인 이유:
• A. 로그 모니터링 및 분석 책임의 순환: 일부 통제는 가능하지만, 전반적인 관리 검토보다는 덜 효과적입니다.
• C. 의무 휴가: 비리나 오류를 발견할 수 있지만, 주기적 검토보다는 덜 효과적입니다.
• D. 제3자 평가: 독립적 평가가 유용하지만, 실시간 검토가 어렵습니다.

문제 11

비즈니스 영향 분석(BIA)을 수행할 때 가장 많이 사용되는 데이터는 무엇인가?
• A. 현재 비즈니스가 미래 비즈니스에 미치는 예상 영향
• B. 비즈니스 복구를 위한 예상 비용 (정답)
• C. 규제 준수 비용
• D. 현재 비즈니스 운영의 비용-편익 분석

👉 BIA의 핵심 요소는 중단 시 발생할 재정적 영향을 평가하는 것입니다. 따라서 비즈니스 복구에 필요한 예상 비용을 통해 중단 시 영향을 효과적으로 분석할 수 있습니다.

* 나머지 항목이 오답인 이유:
• A. 현재 비즈니스가 미래 비즈니스에 미치는 예상 영향: 장기적 비즈니스 전략에 유용하지만, BIA의 즉각적인 중단 영향 분석과는 다릅니다.
• C. 규제 준수 비용: 운영상 중요하지만, BIA와 직접적인 관련은 적습니다.
• D. 현재 비즈니스 운영의 비용-편익 분석: 운영 효율성 평가에 유용하지만, BIA 목적에는 적합하지 않습니다.

문제 12

감사 중 직원들이 개인 장치를 회사 소유 컴퓨터에 연결하는 것이 허용됨을 알게 되었다. 데이터 유출을 방지하기 위해 가장 적절한 보안 통제의 유효성을 검증하는 방법은 무엇인가?
• A. 데이터 유출 방지(DLP) 도구가 적절히 구성되었는지 확인한다. (정답)
• B. 데이터 유출 및 관련 모바일 장치 사용자 수용 정책 준수 여부를 검토한다.
• C. 직원들이 적절한 모바일 장치 보안 인식 교육을 받았는지 확인한다.
• D. 기밀 데이터 전송을 위해 장치를 연결하는 과정을 관찰한다.

👉 DLP 도구를 적절히 설정하면 데이터 전송 시 모니터링 및 차단 기능이 작동하여 개인 장치 연결로 인한 데이터 유출을 방지할 수 있습니다.

* 나머지 항목이 오답인 이유:
• B. 정책 준수 여부 검토: 정책 검토는 중요하지만, 보안 통제의 실제 유효성을 검증하기에는 한계가 있습니다.
• C. 모바일 장치 보안 인식 교육 확인: 인식 교육은 유용하나, 물리적 유출을 방지하는 데 한계가 있습니다.
• D. 기밀 데이터 전송 과정을 관찰: 개별 사례만 확인할 수 있어 보안 통제 유효성 확인에는 제한적입니다.

문제 13

감사 작업이 완료된 후 IS 감사자가 수행해야 할 가장 적절한 조치는 무엇인가?
• A. 감사 대상자에게 초기 결과가 포함된 보고서를 제공한다. (정답)
• B. 감사 대상자와 논의하기 전에 고위 경영진에게 보고서를 제공한다.
• C. 감사 팀 구성원에게 일반적인 결과 요약을 배포한다.
• D. 감사 대상자와 함께 작업 문서를 검토한다.

👉감사 대상자에게 초기 결과를 제공하여 피드백을 받을 수 있도록 하는 것이 감사 작업 종료 후 첫 번째로 수행해야 할 단계입니다.

* 나머지 항목이 오답인 이유:
• B. 고위 경영진에게 보고서를 제공: 대상자와 논의 없이 경영진에게 보고하는 것은 신뢰 관계를 해칠 수 있습니다.
• C. 결과 요약을 배포: 팀 내 공유는 중요하지만, 공식 논의 후에 이루어져야 합니다.
• D. 작업 문서 검토: 작업 문서를 검토하는 것은 투명성을 높이지만, 주요 단계는 아닙니다.

문제 14

서버 장애의 영향을 줄이기 위한 가장 적절한 권장 사항은 무엇인가?
• A. 페일오버 전원
• B. 클러스터링 (정답)
• C. 병행 테스트
• D. 중복 경로

👉클러스터링을 통해 한 서버가 실패할 경우 다른 서버가 즉시 백업 역할을 할 수 있어 시스템의 연속성을 보장합니다.

* 나머지 항목이 오답인 이유:
• A. 페일오버 전원: 전력 장애에 대한 대비책일 뿐, 서버 장애 전체에 대한 대응책은 아닙니다.
• C. 병행 테스트: 복구 시점 확인을 위한 방법일 뿐, 장애 대응과는 다릅니다.
• D. 중복 경로: 네트워크 문제를 대비한 방법이지, 서버 장애 해결책은 아닙니다.

문제 15

공유된 CRM 시스템의 접근 통제를 평가할 때 가장 큰 우려가 될 사항은 무엇인가?
• A. 감사 로깅이 활성화되지 않음
• B. 싱글 사인온(SSO)이 활성화되지 않음
• C. 복잡한 암호가 요구되지 않음
• D. 보안 기준이 일관되게 적용되지 않음 (정답)

👉보안 기준이 일관되게 적용되지 않으면 특정 사용자나 영역에 따라 보안 수준이 달라질 수 있어 여러 취약점을 야기할 수 있습니다.

* 나머지 항목이 오답인 이유:
• A. 감사 로깅이 활성화되지 않음: 중요하지만, 접근 통제의 일관성에 비해 우려 순위가 낮습니다.
• B. SSO 미활성화: 접근 통제 효율성은 높일 수 있으나, 주요 문제는 아닙니다.
• C. 복잡한 암호 미사용: 중요한 보안 요소지만, 전반적인 보안 기준의 일관성 문제보다 덜 중요합니다.

문제 16

백업이 비즈니스에 미치는 중단 사건의 영향을 최소화하기 위해 가장 효과적인 방법은 무엇인가?
• A. 복구 시점 목표(RPO)에 따라 백업을 수행한다. (정답)
• B. 서비스 제공 목표에 따라 백업을 예약한다.
• C. 고정된 일정에 따라 자동 백업 소프트웨어를 사용한다.
• D. WORM(write-once, read-many) 미디어에 백업을 저장한다.

👉RPO에 맞춰 백업이 이루어지면, 데이터 손실을 최소화하면서 필요 시점에 복구할 수 있습니다.

* 나머지 항목이 오답인 이유:
• B. 서비스 제공 목표에 따라 백업 예약: 비즈니스 중단 시점과 일치하지 않을 수 있습니다.
• C. 고정된 일정의 자동 백업: 일정이 RPO와 일치하지 않으면 복구에 한계가 있습니다.
• D. WORM 미디어 저장: 무결성 보장은 가능하지만, 중단 사건에서의 복구와는 직접적인 관련이 없습니다.

문제 17

IS 감사자가 네트워크 보안 검토의 현장 작업을 완료하고 감사 보고서 초안을 준비하고 있다. 다음 중 가장 높은 위험으로 평가해야 할 사항은 무엇인가?
• A. 네트워크 침투 테스트가 수행되지 않음 (정답)
• B. 네트워크 방화벽 정책이 정보 보안 책임자에 의해 승인되지 않음
• C. 네트워크 방화벽 규칙이 문서화되지 않음
• D. 네트워크 장비 인벤토리가 불완전함

👉 침투 테스트가 없으면 네트워크가 외부 공격에 노출될 가능성이 큽니다. 침투 테스트는 취약점을 사전에 파악하고 방어책을 마련할 수 있는 중요한 절차입니다.

* 나머지 항목이 오답인 이유:
• B. 방화벽 정책 미승인: 보안 정책의 신뢰성에 영향을 미칠 수 있지만, 침해 테스트 부재보다는 위험도가 낮습니다.
• C. 방화벽 규칙 미문서화: 관리적 통제 부족이지만, 네트워크 보안 위험은 낮습니다.
• D. 장비 인벤토리 불완전: 자산 추적 문제가 있지만, 침해 테스트 부재보다 낮은 위험입니다.

문제 18

신규 시스템 구현에서 병행 처리를 사용하는 주요 장점은 무엇인가?
• A. 새로운 시스템이 기능적 요구사항을 충족하는지 보장한다. (정답)
• B. 다른 시스템 구현 방식에 비해 상당한 비용 절감 효과가 있다.
• C. 사용자가 새로운 시스템에 대한 교육을 완료할 시간을 더 확보할 수 있다.
• D. 새로운 시스템이 성능 요구사항을 충족하는지 보장한다.

👉병행 처리는 기존 시스템과 신규 시스템을 동시에 운영함으로써 새로운 시스템이 요구사항을 만족하는지 안전하게 확인할 수 있습니다.

* 나머지 항목이 오답인 이유:
• B. 비용 절감 효과: 병행 처리는 오히려 추가 자원이 필요하여 비용이 더 많이 들 수 있습니다.
• C. 사용자 교육 시간 확보: 교육 시간을 제공할 수 있지만, 주요 목적은 아닙니다.
• D. 성능 요구사항 보장: 성능보다는 기능적 요구사항 검증이 주요 목표입니다.

문제 19

IT 관련 프레임워크의 성공적인 구현을 가장 효과적으로 촉진할 방법은 무엇인가?
• A. 프레임워크 활동을 지원하고 감독하기 위해 위원회를 설립한다.
• B. IT 관련 정책과 절차를 문서화한다.
• C. 프레임워크를 산업 모범 사례에 맞추어 조정한다.
• D. 프레임워크 내에 적절한 비즈니스 대표를 포함한다.(정답)

👉 비즈니스 부서의 참여는 프레임워크가 조직의 목표와 잘 일치하도록 보장해 성공적인 구현에 필수적입니다.

* 나머지 항목이 오답인 이유:
• A. 위원회 설립: 감독 역할에 도움은 되지만, 비즈니스 연계성 확보 측면에서 부족합니다.
• B. 정책 및 절차 문서화: 중요한 과정이지만, 성공적 구현의 핵심은 아닙니다.
• C. 산업 모범 사례에 맞춘 조정: 유용하지만, 비즈니스 맞춤화가 부족할 수 있습니다.

문제 20

감사 목표를 설정하는 주요 기준은 무엇인가?
• A. 감사 위험
• B. 위험 요소 고려 (정답)
• C. 이전 감사 평가
• D. 비즈니스 전략

👉 감사 목표는 조직 내의 다양한 위험 요소를 기반으로 설정됩니다. 이를 통해 감사가 효과적으로 조직의 위험을 관리할 수 있습니다.

* 나머지 항목이 오답인 이유:
• A. 감사 위험: 감사의 범위와 심도에 영향을 줄 수 있지만, 주된 기준은 아닙니다.
• C. 이전 감사 평가: 참조 가능하지만, 주요 기준으로 사용되진 않습니다.
• D. 비즈니스 전략: 방향성에 영향을 줄 수 있지만, 주요 기준은 아닙니다.

문제 21

IS 감사자가 이전 감사 항목을 따라가는 과정에서 관리가 특정 감사 항목에 대한 위험을 수용하기로 결정한 것을 알게 되었다. 감사자가 다음으로 취해야 할 조치는 무엇인가?
• A. 문제를 최고 경영진에 보고한다.
• B. 이 문제를 이사회에 보고한다.
• C. 관리자의 결정을 수용하고 후속 조사를 계속한다.
• D. 감사 관리자에게 해당 문제를 보고한다. (정답)

👉감사 관리자는 상황을 평가하고 필요한 경우 더 높은 경영진에게 문제를 제기할 수 있습니다.

* 나머지 항목이 오답인 이유:
• A. 최고 경영진에 바로 보고: 필요에 따라 감사 관리자가 보고할 수 있습니다.
• B. 이사회에 보고: 너무 높은 수준에서 문제를 다루는 방식입니다.
• C. 관리자의 결정을 수용: 우려가 있다면 적절한 절차에 따라 보고가 필요합니다.

문제 22

추가 감사에서 주요 관리자가 교체되었고, 새로운 관리자가 이전에 수용된 권고 사항 일부를 구현하지 않기로 결정한 것을 알게 되었다. 감사자가 취해야 할 가장 적절한 조치는 무엇인가?
• A. 통제를 재테스트한다.
• B. 감사 관리자에게 알린다. (정답)
• C. 감사 결과를 종료한다.
• D. 감사 위원회 의장에게 알린다.

👉 감사 관리자에게 보고함으로써 감사 부서가 상황을 재평가하고 필요한 후속 조치를 결정할 수 있습니다.

* 나머지 항목이 오답인 이유:
• A. 통제 재테스트: 권고 사항이 실행되지 않는 상황에서 우선순위는 아닙니다.
• C. 감사 결과 종료: 상황을 더 검토할 필요가 있습니다.
• D. 감사 위원회 의장 보고: 직접 보고하기보다 감사 관리자에게 먼저 알리는 것이 적절합니다.