[CISA 문제풀이] 틀린문제 (3)

문제1:

IT와 비즈니스 전략의 일치를 측정하기 위한 가장 좋은 지표는 무엇인가?

• A. 비즈니스 프로세스 능력 성숙도 평가의 빈도
• B. IT 관련 위험을 포함한 기업 위험 평가의 비율
• C. IT 관련 역할에 대한 직원 만족도의 비율
• D. 계획된 IT 프로젝트의 범위에 대한 이해 관계자 만족도 수준 (정답)

👉 계획된 IT 프로젝트의 범위에 대한 이해 관계자 만족도 수준이 가장 적합한 지표입니다. IT 프로젝트가 비즈니스 전략과 잘 맞춰져 있는지 확인하는 가장 중요한 방법은 프로젝트의 범위와 목표가 이해 관계자들의 기대에 부합하는지 평가하는 것입니다. 이를 통해 IT 전략이 비즈니스 목표와 얼마나 잘 일치하는지 측정할 수 있습니다.

 

나머지 항목이 오답인 이유:

• A. 비즈니스 프로세스 능력 성숙도 평가의 빈도: 이 지표는 비즈니스 프로세스의 성숙도를 평가하는 데 유용하지만, IT와 비즈니스 전략의 직접적인 일치를 측정하는 데는 부족합니다.
• B. IT 관련 위험을 포함한 기업 위험 평가의 비율: 이 지표는 위험 관리의 측면에서 유용할 수 있으나, IT와 비즈니스 전략이 잘 맞는지의 여부를 직접적으로 나타내지는 않습니다.
• C. IT 관련 역할에 대한 직원 만족도의 비율: 직원 만족도는 중요한 지표일 수 있지만, IT 전략과 비즈니스 전략의 일치를 평가하는 데에는 제한적입니다.

 

---

문제2:

RACI 모델에서 다음 중 하나의 개인에게만 할당해야 하는 역할은 무엇인가?

• A. 책임(Responsible)
• B. 최종 책임(Accountable) (정답)
• C. 통보(Informed)
• D. 상담(Consulted)

👉 최종 책임(Accountable) 역할은 각 작업이나 활동에 대해 오직 하나의 개인에게만 할당되어야 합니다. 이는 해당 작업의 최종적인 결과에 대해 최종 책임을 지는 사람으로, 해당 작업이 성공적으로 수행되도록 보장하는 역할을 합니다.

 

나머지 항목이 오답인 이유:

• A. 책임(Responsible): 책임은 여러 사람에게 할당될 수 있습니다. 즉, 해당 작업을 실제로 수행하는 사람에게 주어지는 역할입니다.
• C. 통보(Informed): 통보 역할은 여러 사람에게 할당될 수 있습니다. 해당 작업에 대해 알림을 받아야 하는 사람들에게 주어집니다.
• D. 상담(Consulted): 상담 역할도 여러 사람에게 할당될 수 있습니다. 작업에 대해 의견을 제공하는 사람들에게 주어집니다.

---

 

문제3:

방화벽 규칙에서 활성화된 경우, 다음 서비스 중 가장 큰 위험을 초래할 수 있는 것은 무엇인가?

• A. 파일 전송 프로토콜(FTP) (정답)
• B. 단순 객체 접근 프로토콜(SOAP)
• C. 하이퍼텍스트 전송 프로토콜(HTTP)
• D. 간단한 메일 전송 프로토콜(SMTP)

👉 **파일 전송 프로토콜(FTP)**가 가장 큰 위험을 초래할 수 있습니다. FTP는 암호화되지 않은 채로 데이터를 전송하는 경우가 많아, 데이터가 네트워크를 통해 전송될 때 도청이나 변조의 위험이 큽니다. 또한, FTP는 인증 정보가 평문으로 전송될 수 있어 보안에 취약합니다.

 

나머지 항목이 오답인 이유:

• B. 단순 객체 접근 프로토콜(SOAP): SOAP는 주로 웹 서비스 통신에서 사용되며, 보안이 강화된 구현을 할 수 있습니다. FTP보다는 상대적으로 더 안전합니다.
• C. 하이퍼텍스트 전송 프로토콜(HTTP): HTTP는 암호화되지 않은 통신 프로토콜이지만, HTTPS로 암호화된 통신을 사용할 수 있어 상대적으로 더 안전합니다.
• D. 간단한 메일 전송 프로토콜(SMTP): SMTP는 메일 전송을 위한 프로토콜로, 이메일을 암호화할 수 있는 옵션이 있으므로, FTP보다는 상대적으로 위험성이 적습니다.

---

문제4:

재해 복구 계획(DRP) 테스트가 성공했는지 여부를 결정하는 가장 좋은 방법은 무엇인가?

• A. 미리 설정된 테스트 목표가 충족되었는지 분석한다. (정답)
• B. 백업 데이터 센터에서 테스트를 수행한다.
• C. 오프사이트 백업 파일을 테스트한다.
• D. 핵심 인력의 참여를 평가한다.

👉 미리 설정된 테스트 목표가 충족되었는지 분석하는 것이 가장 적절한 방법입니다. DRP 테스트의 성공 여부는 테스트 목표를 달성했는지 여부에 달려 있습니다. 목표가 명확하게 정의되고, 그 목표를 충족했는지 평가하는 것은 테스트의 성공을 판단하는 가장 효과적인 방법입니다.

나머지 항목이 오답인 이유:

• B. 백업 데이터 센터에서 테스트를 수행한다: 백업 데이터 센터에서 테스트를 수행하는 것은 유용하지만, 테스트 목표의 충족 여부를 분석하는 것만큼 포괄적인 평가 기준은 아닙니다.
• C. 오프사이트 백업 파일을 테스트한다: 오프사이트 백업 파일을 테스트하는 것도 중요하지만, 전체적인 DRP 테스트가 성공했는지를 판단하려면 미리 설정된 테스트 목표가 충족되었는지 분석하는 것이 더 중요합니다.
• D. 핵심 인력의 참여를 평가한다: 핵심 인력의 참여는 중요한 요소일 수 있지만, DRP 테스트가 성공했는지 여부를 판단하는 데 있어 가장 중요한 요소는 테스트 목표의 충족 여부입니다.

  ---

문제5:

서버 시작 절차 변경에 대한 적절한 감사 추적은 무엇을 포함해야 하는가?

• A. 프로그램 실행
• B. 운영자 재조정(operator overrides)(정답)
• C. 서브시스템 구조
• D. 보안 제어 옵션

👉 운영자 재조정이 가장 중요한 항목입니다. 서버 시작 절차의 변경은 일반적으로 운영자가 시스템을 제어하는 방식과 관련이 있으며, 운영자 재조정은 중요한 변경 사항에 대한 감사 추적을 제공합니다. 이 정보는 서버 시작 절차에서 어떤 변경이 있었는지, 누가 어떤 조치를 취했는지에 대한 중요한 기록을 제공합니다.

 

나머지 항목이 오답인 이유:

• A. 프로그램 실행: 프로그램 실행은 서버 시작 절차의 일부일 수 있지만, 변경 사항에 대한 감사 추적의 핵심 요소는 운영자 조정에 관한 기록입니다.
• C. 서브시스템 구조: 서브시스템 구조는 서버의 물리적 또는 논리적 설정과 관련이 있으며, 변경 추적에 포함되지만, 감사 추적의 주요 초점은 운영자와의 상호작용에 있습니다.
• D. 보안 제어 옵션: 보안 제어 옵션은 중요하지만, 서버 시작 절차의 변경에 대한 감사 추적에서 주요한 항목은 운영자가 변경을 승인하거나 적용한 기록입니다.

---

문제6:

탐지 제어의 지속적인 악화로 인한 가장 큰 영향은 무엇인가?

• A. 보안 로그에서 잘못된 부정(허위 부정)의 수 증가
• B. 근본 원인 분석의 효과 감소 (정답)
• C. 전체 복구 시간 감소
• D. 로그에 대한 저장 공간 수요 증가

👉 근본 원인 분석의 효과 감소가 가장 큰 영향입니다. 탐지 제어가 약화되면 보안 사고가 발생했을 때 이를 적절히 감지하고 분석하는 능력이 저하됩니다. 이는 사고의 근본 원인을 파악하고 향후 재발을 방지하기 위한 효과적인 분석을 어렵게 만듭니다.

 

나머지 항목이 오답인 이유:

• A. 보안 로그에서 잘못된 부정(허위 부정)의 수 증가: 잘못된 부정은 탐지 제어의 문제와 관련이 있을 수 있지만, 근본 원인 분석과 같은 전반적인 보안 사고 대응 능력의 저하보다는 덜 중요한 문제입니다.
• C. 전체 복구 시간 감소: 탐지 제어의 악화는 복구 시간을 더 길어지게 할 수 있지만, 이는 근본적인 문제 해결 능력 저하와 비교했을 때 상대적으로 적은 영향을 미칩니다.
• D. 로그에 대한 저장 공간 수요 증가: 로그 저장 공간의 수요 증가는 시스템 관리와 관련된 문제로, 탐지 제어의 효과 저하와는 직접적인 관련이 적습니다.

---

문제7:

소프트웨어 개발의 워터폴 라이프사이클 모델은 다음 중 어떤 상황에 가장 적합한가?

• A. 프로젝트에 새로운 기술이 사용될 것이다
• B. 프로젝트가 객체 지향 설계 방식을 적용할 예정이다
• C. 프로젝트가 시간 압박을 받는다
• D. 프로젝트 요구 사항이 잘 이해되고 있다 (정답)

👉 프로젝트 요구 사항이 잘 이해되고 있을 때 워터폴 모델이 가장 적합합니다. 워터폴 모델은 각 단계를 순차적으로 진행하는 방식이기 때문에, 요구 사항이 명확하고 변경이 적은 경우에 효과적입니다. 요구 사항이 잘 정의되어 있으면, 개발 단계가 계획대로 진행될 수 있습니다.

나머지 항목이 오답인 이유:

• A. 프로젝트에 새로운 기술이 사용될 것이다: 새로운 기술을 사용할 때는 요구 사항이 변동이 있을 수 있어, 워터폴 모델보다는 애자일 모델이 더 적합할 수 있습니다.
• B. 프로젝트가 객체 지향 설계 방식을 적용할 예정이다: 객체 지향 설계는 워터폴 모델과는 관계없이 적용할 수 있으며, 워터폴 모델이 객체 지향 설계에 가장 적합하지는 않습니다.
• C. 프로젝트가 시간 압박을 받는다: 시간 압박이 있을 경우, 빠르게 피드백을 받을 수 있는 애자일 모델이 더 적합합니다.

---

문제8:

IS 감사원이 내부 소프트웨어 개발 솔루션의 릴리스 관리 프로세스를 검토하고 있습니다. 어느 환경에서 소프트웨어 버전이 생산 환경과 가장 유사할 가능성이 높은가?

• A. 개발 환경
• B. 스테이징 환경 (정답)
• C. 테스트 환경
• D. 통합 환경

👉 스테이징 환경이 생산 환경과 가장 유사한 소프트웨어 버전을 사용하는 환경입니다. 스테이징 환경은 실제 운영 환경과 거의 동일하게 설정되어 있으며, 이를 통해 소프트웨어가 실제 배포되기 전에 운영 환경에서 발생할 수 있는 문제를 미리 검토하고 검증할 수 있습니다.

나머지 항목이 오답인 이유:

• A. 개발 환경: 개발 환경은 코드 작성과 실험이 이루어지는 곳으로, 종종 최신 개발 중인 버전이 사용되므로 생산 환경과 다를 수 있습니다.
• C. 테스트 환경: 테스트 환경은 소프트웨어의 기능과 버그를 확인하기 위한 곳으로, 생산 환경과는 다를 수 있습니다.
• D. 통합 환경: 통합 환경은 여러 시스템이나 구성 요소가 통합되어 작동하는지 확인하는 곳이므로, 반드시 생산 환경과 동일한 버전이 아닐 수 있습니다.

---

문제9:

다음 중 아웃소싱 제공업체 서비스가 적절하게 관리되고 있다는 최고의 증거는 무엇인가?

• A. 서비스 수준 계약(SLA)에 비이행에 대한 벌칙이 포함되어 있다
• B. 공급업체가 성과를 입증하는 역사적 데이터를 제공한다
• C. 내부 성과 기준이 기업 전략과 일치한다
• D. 서비스 수준 계약(SLA) 비이행에 대해 적절한 조치가 취해진다 (정답)

👉 서비스 수준 계약(SLA) 비이행에 대해 적절한 조치가 취해진다는 것이 최고의 증거입니다. SLA의 비이행에 대해 실제로 조치가 취해졌다는 것은 공급업체의 서비스가 계약대로 관리되고 있다는 확실한 증거로, 성과가 기대에 미치지 못할 경우 이를 시정하려는 노력이 있음을 보여줍니다.

 

나머지 항목이 오답인 이유:

• A. 서비스 수준 계약(SLA)에 비이행에 대한 벌칙이 포함되어 있다: 벌칙은 사후 대응일 수 있지만, 실제로 벌칙이 시행되는지 여부가 중요합니다.
• B. 공급업체가 성과를 입증하는 역사적 데이터를 제공한다: 성과 데이터를 제공하는 것도 유용하지만, 실제로 비이행에 대한 조치가 취해졌는지 여부가 더 중요한 증거입니다.
• C. 내부 성과 기준이 기업 전략과 일치한다: 내부 성과 기준이 기업 전략과 일치하는 것은 중요하지만, 아웃소싱 서비스 관리의 적절성을 직접적으로 보여주는 증거는 아닙니다.

---

문제10:

다음 중 가장 큰 영향을 미칠 수 있는 약점은 무엇인가? 이는 주변 방화벽의 효율적인 운영에 대한 영향을 주는 약점입니다.

• A. 방화벽 활동에 대한 임시 모니터링
• B. 기본 설정으로 상태 추적 방화벽 사용
• C. 방화벽 소프트웨어에 대한 잠재적 백도어
• D. 방화벽 규칙의 잘못된 설정 (정답)

👉 방화벽 규칙의 잘못된 설정이 가장 큰 영향을 미칩니다. 방화벽의 규칙은 네트워크 트래픽을 허용하거나 차단하는 중요한 역할을 하며, 잘못 설정된 규칙은 악성 트래픽을 허용하거나 정상적인 트래픽을 차단하는 문제를 일으킬 수 있습니다. 이는 보안에 심각한 위험을 초래할 수 있습니다.

 

나머지 항목이 오답인 이유:

• A. 방화벽 활동에 대한 임시 모니터링: 방화벽 활동 모니터링의 빈도는 중요하지만, 규칙 설정이 잘못되면 그 모니터링조차 의미가 없을 수 있습니다.
• B. 기본 설정으로 상태 추적 방화벽 사용: 기본 설정은 보안에 취약할 수 있으나, 규칙 설정의 오류보다는 덜 심각한 문제입니다.
• C. 방화벽 소프트웨어에 대한 잠재적 백도어: 백도어는 매우 중요한 보안 문제지만, 잘못된 방화벽 규칙으로 인한 보안 취약점이 훨씬 더 큰 영향을 미칩니다.

---

문제 11:

IS 감사인이 조직의 데이터 변환 및 인프라 마이그레이션 계획을 평가할 때 가장 중요하게 확인해야 할 사항은 무엇인가?

• A. 마이그레이션 지휘 위원회가 구성되었는지
• B. 롤백 계획이 포함되었는지 (정답)
• C. 코드 검토가 포함되었는지
• D. 전략적 목표가 고려되었는지

👉 롤백 계획이 포함되었는지 확인하는 것이 가장 중요합니다. 데이터 변환 및 인프라 마이그레이션은 복잡하고 중요한 작업이므로, 문제가 발생했을 때 원래 상태로 되돌리는 롤백 계획은 마이그레이션 성공과 시스템 안정성을 보장하는 데 핵심적인 요소입니다. 롤백 계획이 없으면 예상치 못한 오류나 실패 시 큰 위험을 초래할 수 있습니다.

 

나머지 항목이 오답인 이유:

• A. 마이그레이션 지휘 위원회가 구성되었는지: 지휘 위원회의 구성은 중요하지만, 마이그레이션 계획이 실패할 경우 롤백 계획이 있어야 더 효과적으로 대응할 수 있습니다.
• C. 코드 검토가 포함되었는지: 코드 검토는 기술적인 측면에서 중요하지만, 마이그레이션 후 시스템이 정상적으로 작동하지 않는 경우 롤백 계획이 더 중요한 역할을 합니다.
• D. 전략적 목표가 고려되었는지: 전략적 목표는 마이그레이션의 방향을 설정하는 데 중요한 요소일 수 있지만, 실제 마이그레이션 및 데이터 변환 과정에서 발생할 수 있는 문제를 대비하기 위한 롤백 계획이 더 중요합니다.

---

 

문제12:

IT 시스템 복구 중 비즈니스 기능을 계속 운영하기 위한 우회 프로세스의 문서화는 무엇의 핵심 부분인가?

• A. 재해 복구 계획(DRP)
• B. 비즈니스 연속성 계획(BCP) (정답)
• C. 위협 및 위험 평가
• D. 비즈니스 영향 분석(BIA)

👉 **비즈니스 연속성 계획(BCP)**은 비즈니스 기능이 IT 시스템 복구 중에도 계속 운영될 수 있도록 우회 프로세스를 문서화하는 핵심적인 계획입니다. BCP는 재해 발생 시 비즈니스 운영을 지속하기 위한 전략과 절차를 포함하고 있습니다.

 

나머지 항목이 오답인 이유:

• A. 재해 복구 계획(DRP): DRP는 주로 IT 시스템의 복구를 다루며, 비즈니스 기능을 계속 운영하는 우회 프로세스는 BCP에서 다룹니다.
• C. 위협 및 위험 평가: 위험 평가는 잠재적인 위험을 식별하고 평가하는 과정으로, 우회 프로세스 문서화와는 다릅니다.
• D. 비즈니스 영향 분석(BIA): BIA는 비즈니스 프로세스의 중요성과 영향을 평가하는 단계이며, 우회 프로세스 문서화는 BCP의 일환입니다.

---

문제13:

감사 보고서 초안 논의 중, IT 관리자가 IS 감사인이 비효과적이라고 결론지었던 통제에 대해 적절한 증거를 제공했습니다. 감사인이 취해야 할 가장 좋은 조치는 무엇입니까?

• A. IT 관리자가 취한 조치는 후속 감사에서 평가될 것이라고 설명한다
• B. IT 관리자가 취한 조치에 대해 보고서에 언급한다
• C. IT 관리자가 제공한 증거에 근거해 결론을 변경한다 (정답)
• D. 결론을 변경하기 전에 감사를 다시 수행한다

👉 IT 관리자가 제공한 증거를 바탕으로 결론을 변경하는 것이 가장 적절한 조치입니다. 적절한 증거가 제공되었고, 해당 통제의 효과가 입증되었다면, 감사인은 결론을 수정하여 해당 통제가 효과적이라는 판단을 내려야 합니다. 이는 보고서의 정확성을 반영하는 것입니다.

나머지 항목이 오답인 이유:

• A. IT 관리자가 취한 조치는 후속 감사에서 평가될 것이라고 설명한다: 증거가 충분하다면 후속 감사가 아닌 현재 감사에서 결론을 수정하는 것이 더 적절합니다.
• B. IT 관리자가 취한 조치에 대해 보고서에 언급한다: 보고서에 언급하는 것만으로는 결론을 수정하는 것만큼 충분한 반영이 되지 않습니다.
• D. 결론을 변경하기 전에 감사를 다시 수행한다: 증거가 충분히 제공되었고, 이를 바탕으로 결론을 수정하는 것이 우선입니다. 다시 감사를 수행할 필요는 없습니다.

---

문제 14:

감사 프레임워크는 IS 감사 기능을 어떻게 지원할 수 있습니까?

• A. 감사 완료에 필요한 특정 단계를 개요로 제시한다
• B. IS 감사 기능의 권한과 책임을 정의한다
• C. 감사 프로그램을 실행하는 방법에 대한 세부 정보를 제공한다
• D. 감사 수행에 관한 방향과 정보를 제공한다 (정답)

👉 감사 수행에 관한 방향과 정보를 제공하는 것이 가장 적절한 답입니다. 감사 프레임워크는 IS 감사가 어떻게 수행되어야 하는지에 대한 전반적인 지침과 구조를 제공하며, 감사 기능이 일관되고 효과적으로 수행될 수 있도록 도와줍니다.

 

나머지 항목이 오답인 이유:

• A. 감사 완료에 필요한 특정 단계를 개요로 제시한다: 감사 프레임워크는 감사의 전반적인 방향을 제시할 수 있지만, 특정 단계를 자세히 나열하는 것은 감사 프로그램의 부분입니다.
• B. IS 감사 기능의 권한과 책임을 정의한다: 감사 프레임워크는 권한과 책임을 정의할 수 있지만, 이 항목은 감사 정책이나 조직 내 규정과 관련이 있습니다.
• C. 감사 프로그램을 실행하는 방법에 대한 세부 정보를 제공한다: 감사 프로그램 실행 방법은 프레임워크에서 전반적인 지침을 제공할 수 있지만, 실행의 세부 사항은 감사 절차나 특정 감사 계획에서 다룹니다.

 

---

문제15:

전자상거래 웹사이트 사용자 인증을 위한 서버에서 성능 저하를 최소화하는 가장 좋은 방법은 무엇인가?

• A. 각 인증 서버를 구성하고 각 서버의 디스크가 듀플렉스의 일부가 되도록 한다.
• B. 각 인증 서버를 인증 서버 클러스터에 속하도록 구성한다. (정답)
• C. 단일 서버를 기본 인증 서버로 구성하고, 두 번째 서버를 보조 인증 서버로 구성한다.
• D. 각 인증 서버를 구성하고 각 디스크의 RAID가 기본 컨트롤러에 연결되도록 한다.

👉 각 인증 서버를 인증 서버 클러스터에 속하도록 구성하는 것이 가장 효과적인 방법입니다. 인증 서버 클러스터를 사용하면 여러 서버가 로드 균형을 맞추어 사용자 인증 요청을 처리하게 되어, 서버에 과부하가 걸리거나 성능 저하가 발생하는 문제를 최소화할 수 있습니다. 이는 고가용성 및 성능 향상에도 도움이 됩니다.

 

나머지 항목이 오답인 이유:

• A. 각 인증 서버를 구성하고 각 서버의 디스크가 듀플렉스의 일부가 되도록 한다: 듀플렉스는 디스크 복제 기술로, 성능 향상보다는 데이터 안정성을 강화하는 방법입니다. 성능 개선을 위한 직접적인 해결책은 아닙니다.
• C. 단일 서버를 기본 인증 서버로 구성하고, 두 번째 서버를 보조 인증 서버로 구성한다: 단일 서버에 의존하게 되면 보안 및 성능 문제가 발생할 수 있습니다. 클러스터링 방식이 더 나은 성능과 고가용성을 보장합니다.
• D. 각 인증 서버를 구성하고 각 디스크의 RAID가 기본 컨트롤러에 연결되도록 한다: RAID 구성을 통해 디스크 성능과 안정성은 향상될 수 있으나, 인증 성능을 최적화하는 데는 클러스터링 방식이 더 효과적입니다.