[CISA 문제풀이] 틀린문제 (6)

문제1:

애플리케이션 개발 감사 중인 IS 감사인이 개발 팀 회의에 참석하고 있습니다. 다음 중 감사인의 독립성이 손상될 가능성이 가장 높은 경우는 무엇인가?

• A. 시스템에 통합 테스트 시설(ITF) 개발을 지원하는 경우
• B. 개발 팀에서 사용한 테스트 절차를 다시 수행하는 경우
• C. 개발 팀이 수행한 시스템 테스트 결과를 검토하는 경우
• D. 사용자 수용 테스트 계획을 설계하고 실행하는 경우 (정답)

👉 사용자 수용 테스트 계획을 설계하고 실행하는 것은 감사인이 테스트 프로세스에 직접 개입하는 것으로, 이는 감사인의 독립성을 크게 훼손할 수 있습니다. 독립성을 유지하려면 감사인은 테스트를 평가하는 역할에만 집중해야 하며, 직접 설계하거나 수행하지 않아야 합니다.

나머지 항목이 오답인 이유:

• A. 시스템에 통합 테스트 시설(ITF) 개발을 지원하는 경우: ITF 지원은 시스템의 테스트 환경을 마련하는 데 기여하는 것이며, 독립성을 크게 훼손하지 않습니다.
• B. 개발 팀에서 사용한 테스트 절차를 다시 수행하는 경우: 테스트 절차를 다시 수행하는 것은 검증 작업으로 간주될 수 있으며, 독립성에 크게 영향을 미치지 않습니다.
• C. 개발 팀이 수행한 시스템 테스트 결과를 검토하는 경우: 테스트 결과 검토는 감사인이 수행해야 할 작업에 해당하며, 독립성에 대한 우려는 적습니다.

---

문제2:

IS 감사인이 조직의 데이터 백업 프로세스 보안을 평가하는 중이며, 이 프로세스에는 일일 증분 백업 데이터를 공용 클라우드 제공자에게 전송하는 작업이 포함됩니다. 다음 중 조직에 가장 큰 위험을 초래하는 사항은 무엇인가?

• A. 백업 전송이 가끔 실패한다
• B. 아카이브된 데이터 로그가 불완전하다
• C. 백업 전송이 암호화되지 않는다 (정답)
• D. 데이터 복구 테스트가 분기별로 수행된다

👉 백업 전송이 암호화되지 않는 것은 데이터가 전송 중에 탈취될 위험을 증가시키며, 특히 공용 클라우드를 사용하는 경우 보안 위협에 매우 취약합니다. 전송 데이터의 암호화는 민감한 정보 보호를 위해 필수적인 보안 조치이므로, 암호화되지 않은 전송이 가장 큰 위험 요소입니다.

나머지 항목이 오답인 이유:

• A. 백업 전송이 가끔 실패한다: 전송 실패는 복구 프로세스에 영향을 줄 수 있지만, 보안상의 위험보다는 가용성 문제에 가깝습니다.
• B. 아카이브된 데이터 로그가 불완전하다: 데이터 로그가 불완전한 것은 감사 추적에 영향을 줄 수 있으나, 전송 중 데이터가 암호화되지 않는 것만큼 심각한 보안 위험은 아닙니다.
• D. 데이터 복구 테스트가 분기별로 수행된다: 분기별 복구 테스트는 빈도가 낮을 수 있지만, 보안보다는 복구 준비 태세에 관한 문제입니다.

---

문제3:

IS 감사인이 로그 관리 시스템이 오탐(false positive) 경고로 인해 과부하 상태에 있다는 사실을 발견했습니다. 감사인의 최선의 권고 사항은 무엇이어야 하는가?

• A. 모니터링 인력을 추가로 채용한다
• B. 경고 검토 기준을 설정한다
• C. 방화벽 규칙을 줄인다
• D. 침입 탐지 시스템(IDS)을 세밀하게 조정한다 (정답)

👉 IDS의 세밀한 조정은 오탐을 줄이는 가장 효과적인 방법입니다. 시스템이 실제 위협과 오탐을 정확히 구분할 수 있도록 IDS를 조정하면, 로그 관리 시스템의 효율성을 높이고 불필요한 경고를 줄일 수 있습니다.

나머지 항목이 오답인 이유:

• A. 모니터링 인력을 추가로 채용한다: 인력을 늘리는 것은 근본적인 문제를 해결하지 않으며, 오탐 문제를 직접적으로 줄이지 못합니다.
• B. 경고 검토 기준을 설정한다: 경고 검토 기준을 설정하는 것은 중요하지만, 오탐 자체를 줄이는 근본적인 해결책은 아닙니다.
• C. 방화벽 규칙을 줄인다: 방화벽 규칙을 줄이는 것은 오탐 문제와 관련이 없으며, 네트워크 보안을 약화시킬 위험이 있습니다.

---

문제4:

IS 감사인이 조직 구조 변경으로 비즈니스 프로세스에 중대한 영향을 미친 후 조직의 비즈니스 연속성 계획(BCP)을 검토하고 있습니다. 감사인의 가장 큰 우려 사항은 무엇이어야 하는가?

• A. 재구성 이후 새로운 비즈니스 부서의 최종 사용자에게 BCP 사본이 배포되지 않았다
• B. 가장 최근의 비즈니스 영향 분석(BIA)이 재구성 2년 전에 수행되었다 (정답)
• C. 지난 2년 동안 BCP 테스트 계획이 완료되지 않았다
• D. 주요 비즈니스 프로세스 최종 사용자가 BIA에 참여하지 않았다

👉 비즈니스 영향 분석(BIA)은 조직의 중요한 프로세스와 자원에 대한 영향을 평가하는 핵심 요소로, 조직 구조가 변경된 이후에는 BIA를 최신화하는 것이 필수적입니다. 재구성 후 BIA가 업데이트되지 않았다면, 현재 BCP가 실제 비즈니스 요구를 반영하지 못할 가능성이 커져 가장 큰 우려 사항이 됩니다.

 

나머지 항목이 오답인 이유:

• A. 재구성 이후 새로운 비즈니스 부서의 최종 사용자에게 BCP 사본이 배포되지 않았다: BCP 사본 배포는 중요하지만, 근본적인 BIA가 최신화되지 않은 것만큼 심각한 문제는 아닙니다.
• C. 지난 2년 동안 BCP 테스트 계획이 완료되지 않았다: BCP 테스트의 부재도 문제일 수 있으나, 재구성 이후의 BIA가 최신화되지 않은 상태가 더 중요한 우려 사항입니다.
• D. 주요 비즈니스 프로세스 최종 사용자가 BIA에 참여하지 않았다: 사용자 참여가 중요한 요소이긴 하지만, 전체 BIA가 최신 상태가 아닌 상황이 더 큰 우려 사항입니다.

---

 

문제5:

IS 감사인이 조직의 데이터 손실 방지(DLP) 시스템이 위반 사항을 식별하기 위해 기본 제공 설정을 사용하도록 구성된 것을 발견했습니다. 감사인의 주요 우려 사항은 무엇이어야 하는가?

• A. 위반 보고서가 적시에 검토되지 않을 수 있다
• B. 위반이 조직의 위험 프로파일에 따라 분류되지 않을 수 있다 (정답)
• C. 상당한 수의 false positive(오탐) 위반이 보고될 수 있다
• D. 위반 보고서가 조직의 위험 프로파일에 따라 보관되지 않을 수 있다

👉 기본 설정을 사용하는 경우 DLP 시스템이 조직의 고유한 위험 프로파일을 반영하지 않기 때문에, 위반 사항이 조직의 위험 우선순위에 따라 분류되지 않을 가능성이 큽니다. 이는 DLP 시스템이 적절히 위험에 대응하지 못할 수 있는 중요한 문제입니다.

 

나머지 항목이 오답인 이유:

• A. 위반 보고서가 적시에 검토되지 않을 수 있다: 검토의 적시성은 DLP 설정과는 직접적인 관련이 없으며, 주요 우려 사항이 아닙니다.
• C. 상당한 수의 false positive(오탐) 위반이 보고될 수 있다: 오탐이 발생할 가능성은 있지만, 이는 기본 설정을 사용하는 경우의 가장 큰 문제는 아닙니다. 위험 우선순위와의 불일치가 더 큰 문제입니다.
• D. 위반 보고서가 조직의 위험 프로파일에 따라 보관되지 않을 수 있다: 보고서의 보관보다는 위반 사항이 적절히 분류되고 대응되는지가 더 중요한 문제입니다.

---

문제6:

IS 감사인이 후속 감사를 수행한 결과, 감사 대상자가 이전 감사 시 합의한 방식과 다른 방식으로 문제를 해결했음을 알게 되었습니다. 감사인의 다음 조치는 무엇이어야 하는가?

• A. 접근 방식의 변경 사항을 고위 경영진에게 알린다
• B. 변경 사항을 반영하여 위험 분석을 수행한다
• C. 후속 감사 결과를 감사 위원회에 보고한다
• D. 취해진 시정 조치의 적절성을 평가한다 (정답)

👉 감사인은 먼저 감사 대상자가 취한 시정 조치가 문제를 효과적으로 해결할 수 있는지 평가해야 합니다. 합의된 접근 방식과 다를지라도, 새로운 조치가 충분히 효과적이라면 문제 해결로 인정할 수 있기 때문에 적절성 평가가 우선입니다.

 

나머지 항목이 오답인 이유:

• A. 접근 방식의 변경 사항을 고위 경영진에게 알린다: 경영진에게 알리기 전에 먼저 시정 조치의 효과를 평가하는 것이 필요합니다.
• B. 변경 사항을 반영하여 위험 분석을 수행한다: 위험 분석은 조치의 적절성을 평가한 후에 필요할 수 있습니다. 우선 조치가 효과적인지 확인하는 것이 중요합니다.
• C. 후속 감사 결과를 감사 위원회에 보고한다: 조치의 적절성을 평가한 후에 감사 위원회에 보고하는 것이 일반적입니다. 먼저 시정 조치가 효과적인지 확인해야 합니다.

---

 

 

문제7:

IS 감사인이 한 직원이 기밀 데이터에 대한 무단 접근 권한을 가지고 있음을 발견했습니다. IS 감사인의 최선의 권고 사항은 무엇인가?

• A. 보안 관리자가 시정 조치를 취하도록 권고한다
• B. 데이터의 기밀성을 낮은 수준으로 재분류한다
• C. 사용자에게 강력한 비밀번호 체계를 구현한다
• D. 비즈니스 소유자가 정기적으로 접근 권한 검토를 수행하도록 요구한다 (정답)

👉 비즈니스 소유자가 정기적으로 접근 권한을 검토하도록 요구하는 것은 지속적으로 접근 권한의 적절성을 확인하여 무단 접근을 방지하는 데 효과적입니다. 정기적인 접근 검토는 권한 남용을 사전에 방지할 수 있는 중요한 예방 조치입니다.

나머지 항목이 오답인 이유:

• A. 보안 관리자가 시정 조치를 취하도록 권고한다: 시정 조치는 일회성 대응일 뿐이며, 문제의 근본적인 해결책이 될 수 없습니다.
• B. 데이터의 기밀성을 낮은 수준으로 재분류한다: 기밀 데이터의 재분류는 데이터 보호 목적과 맞지 않으며, 무단 접근에 대한 대응책이 될 수 없습니다.
• C. 사용자에게 강력한 비밀번호 체계를 구현한다: 강력한 비밀번호는 보안을 강화할 수 있지만, 무단 접근 권한이 부여된 상황을 직접적으로 해결하지는 않습니다.

---

 

문제8:

IS 감사 팀이 IT 및 비즈니스 관리자가 수행한 최신 애플리케이션 사용자 접근 검토 관련 문서를 평가하는 중 사용자 목록이 시스템에서 생성된 것이 아님을 확인했습니다. 이 경우 가장 큰 우려 사항은 무엇인가?

• A. 검토된 사용자 목록의 출처
• B. 검토된 사용자 목록의 가용성
• C. 검토된 사용자 목록의 기밀성
• D. 검토된 사용자 목록의 완전성 (정답)

👉 시스템에서 생성되지 않은 사용자 목록은 누락이나 오류가 있을 가능성이 있습니다. 검토 시 모든 사용자가 포함되지 않으면 접근 권한 검토의 목적을 달성할 수 없으므로, 목록의 완전성이 가장 큰 우려 사항입니다.

나머지 항목이 오답인 이유:

• A. 검토된 사용자 목록의 출처: 목록의 출처도 중요하지만, 가장 중요한 것은 해당 목록이 전체 사용자를 포함하여 완전성을 갖추고 있는지 여부입니다.
• B. 검토된 사용자 목록의 가용성: 목록의 가용성은 접근성 측면에서 중요하지만, 리스트가 불완전하다면 가용성 자체는 큰 의미가 없습니다.
• C. 검토된 사용자 목록의 기밀성: 기밀성도 중요하지만, 접근 권한 검토의 핵심 목표는 권한이 필요한 모든 사용자가 포함되어 있는지를 확인하는 것입니다.

---

문제9:

조직이 Platform as a Service (PaaS)를 사용할 가능성이 가장 높은 이유는 무엇인가?

• A. 타사에서 호스팅하는 애플리케이션을 운영하기 위해
• B. 운영 체제를 설치하고 관리하기 위해
• C. 네트워크 및 보안 아키텍처를 구축하기 위해
• D. 애플리케이션을 개발하고 통합하기 위해 (정답)

👉 PaaS는 개발자가 애플리케이션을 구축, 테스트, 배포, 관리 및 통합할 수 있는 환경을 제공합니다. 개발 및 통합을 위한 툴과 서비스를 포함하고 있기 때문에, 조직이 PaaS를 사용하는 주요 이유는 애플리케이션을 효율적으로 개발하고 통합하기 위해서입니다.

 

나머지 항목이 오답인 이유:

• A. 타사에서 호스팅하는 애플리케이션을 운영하기 위해: 타사 애플리케이션을 운영하려면 주로 Software as a Service (SaaS)가 사용되며, PaaS는 주로 자체 애플리케이션 개발을 지원합니다.
• B. 운영 체제를 설치하고 관리하기 위해: 운영 체제 관리는 Infrastructure as a Service (IaaS)에서 주로 제공하는 기능이며, PaaS는 애플리케이션 개발에 중점을 둡니다.
• C. 네트워크 및 보안 아키텍처를 구축하기 위해: 네트워크 및 보안 아키텍처 구축은 주로 IaaS의 기능에 속하며, PaaS는 주로 애플리케이션 개발과 관련된 기능을 제공합니다.

---

문제10:

정보 시스템(IS) 감사 후속 조치를 수행하는 주요 목적은 무엇인가?

• A. IS 감사 활동을 비즈니스 목표와 일치시키기 위해
• B. 관련 위험 완화 활동의 우선순위를 관리자가 정하도록 돕기 위해
• C. 관리자의 위험 대응이 효과적인지 확인하기 위해 (정답)
• D. 관리와의 합의를 통해 행동 계획의 상태를 확인하기 위해

👉 감사 후속 조치의 주요 목적은 관리자가 위험에 대해 취한 대응이 실제로 효과적인지 검증하는 것입니다. 이를 통해 감사에서 제기된 문제에 대한 대응이 제대로 이루어지고 있는지 확인할 수 있습니다.

 

나머지 항목이 오답인 이유:

• A. IS 감사 활동을 비즈니스 목표와 일치시키기 위해: 감사 후속 조치는 감사 활동을 비즈니스 목표와 일치시키는 것이 아니라, 감사에서 제안된 위험 대응의 효과성을 검증하는 데 중점을 둡니다.
• B. 관련 위험 완화 활동의 우선순위를 관리자가 정하도록 돕기 위해: 우선순위 설정은 감사 후속 조치의 부가적 효과일 수 있지만, 주요 목적은 아닙니다.
• D. 관리와의 합의를 통해 행동 계획의 상태를 확인하기 위해: 행동 계획의 상태를 확인하는 것은 일부 과정에 해당할 수 있으나, 후속 조치의 주요 목적은 위험 대응의 효과성을 검증하는 것입니다.

---

문제11:

IT 통제 환경의 기준 설정(baselining)의 주요 목적은 무엇인가?

• A. 프로세스 및 통제의 소유권을 정의한다
• B. IT 보안 전략과 정책이 효과적인지 확인한다
• C. IT 전략을 비즈니스 전략과 일치시킨다
• D. 통제의 이탈을 감지한다 (정답)

👉 기준 설정의 주요 목적은 통제 환경에서의 기준점을 마련하여 이후의 통제 활동이 설정된 기준에서 벗어나는지(이탈 여부)를 감지하는 것입니다. 이를 통해 통제가 일관되게 유지되고 있는지 모니터링할 수 있습니다.

 

나머지 항목이 오답인 이유:

• A. 프로세스 및 통제의 소유권을 정의한다: 소유권 정의는 통제 환경 설정의 일부일 수 있지만, 기준 설정의 주요 목적은 아닙니다.
• B. IT 보안 전략과 정책이 효과적인지 확인한다: 보안 전략과 정책의 효과성을 평가하는 것은 기준 설정의 주 목적이 아닙니다.
• C. IT 전략을 비즈니스 전략과 일치시킨다: 기준 설정은 통제 기준을 설정하는 것으로, IT 전략과 비즈니스 전략의 일치 여부와 직접적인 관련은 없습니다.

---

 

문제12:

재해 복구를 위해 단일 미러링 데이터 센터를 사용하는 경우의 특징은 무엇인가?

• A. 장애 조치(failover) 후에도 미러링 사이트로의 데이터 복제가 계속되어야 한다
• B. 미러링 사이트는 사용자에게 잠시 중단이 발생할 수 있다
• C. 실시간 데이터 복제가 운영 사이트에서 이루어진다 (정답)
• D. 미러링 데이터 센터는 인력이 필요 없다

👉 실시간 데이터 복제는 운영 사이트에서 미러링 사이트로 데이터가 지속적으로 동기화되는 것을 의미합니다. 이는 장애 발생 시 최신 데이터로 복구할 수 있도록 보장하며, 미러링 데이터 센터의 핵심 특징입니다.

 

나머지 항목이 오답인 이유:

• A. 장애 조치 후에도 미러링 사이트로의 데이터 복제가 계속되어야 한다: 장애 조치 이후에는 미러링이 필요하지 않거나 복제 방식이 변경될 수 있으므로, 필수적인 특징은 아닙니다.
• B. 미러링 사이트는 사용자에게 잠시 중단이 발생할 수 있다: 미러링된 데이터 센터의 목표는 중단 없는 전환이기 때문에 사용자에게 중단이 발생하지 않는 것이 일반적인 기대입니다.
• D. 미러링 데이터 센터는 인력이 필요 없다: 대부분의 경우 미러링 데이터 센터에도 인력이 필요할 수 있으며, 특히 유지관리와 복구를 위해 인력 지원이 필요합니다.

---

 

문제13:

대규모 비즈니스 애플리케이션 개발의 복잡성을 추정하는 데 가장 적합한 방법론은 무엇인가?

• A. 소프트웨어 비용 추정
• B. 작업 분할 구조
• C. 주경로 분석
• D. 기능 점수 분석 (정답)

👉 기능 점수 분석(Function Point Analysis)은 애플리케이션의 기능을 기준으로 복잡성을 측정하는 방법입니다. 이를 통해 개발할 기능의 수와 복잡성을 정량화할 수 있어 대규모 비즈니스 애플리케이션의 복잡성을 추정하는 데 효과적입니다.

나머지 항목이 오답인 이유:

• A. 소프트웨어 비용 추정: 비용 추정은 개발 비용을 계산하는 데 중점을 두며, 애플리케이션의 복잡성을 직접적으로 평가하는 방법은 아닙니다.
• B. 작업 분할 구조: 작업 분할 구조는 프로젝트를 관리하고 계획을 세우는 데 유용하지만, 소프트웨어의 기능적 복잡성을 측정하는 데 적합하지 않습니다.
• C. 주경로 분석: 주경로 분석은 프로젝트의 일정 관리에 초점을 맞추며, 애플리케이션의 기능적 복잡성을 추정하는 데 필요한 정보는 제공하지 않습니다.

---

 

문제14:

의심되는 침해 사고에 대한 대응 과정에서 첫 번째로 수행해야 할 단계는 무엇인가?

• A. 경고된 침해 사고를 독립적으로 평가하도록 제3자를 참여시킨다
• B. 보안 침해 사고에 대해 사업부 관리층에 알린다
• C. 보안 침해 사고에 대해 잠재적으로 영향을 받은 고객에게 알린다
• D. 경고된 침해 사고의 유효성을 조사한다 (정답)

👉 의심되는 침해 사고가 발생했을 때, 먼저 해당 경고가 실제 침해인지 확인하는 것이 가장 중요합니다. 이를 통해 대응 조치가 필요한 실제 사고인지 판단할 수 있으며, 다음 단계로 진행할지를 결정하는 기반이 됩니다.

 

나머지 항목이 오답인 이유:

• A. 경고된 침해 사고를 독립적으로 평가하도록 제3자를 참여시킨다: 제3자의 평가 참여는 유효성 확인 이후에 진행되는 것이 일반적입니다. 초기 단계에서는 내부적으로 사고의 유효성을 먼저 조사하는 것이 중요합니다.
• B. 보안 침해 사고에 대해 사업부 관리층에 알린다: 사고의 유효성이 확인되기 전에는 경영진에게 알릴 필요가 없습니다. 먼저 유효성을 확인한 후 보고하는 것이 효율적입니다.
• C. 보안 침해 사고에 대해 잠재적으로 영향을 받은 고객에게 알린다: 고객에게 알리기 전에 침해가 실제인지 확인하는 것이 필수적입니다. 유효성이 확인되지 않은 경고를 고객에게 알리면 혼란을 초래할 수 있습니다.

---

문제15:

다음 중 수정 통제(corrective control)에 해당하는 것은 무엇인가?

• A. 데이터 처리에서 중복 계산을 확인한다
• B. 장비 개발, 테스트, 생산을 분리한다
• C. 비상 대응 계획을 실행한다 (정답)
• D. 직무 분리를 위해 사용자 접근 권한을 검토한다

👉 비상 대응 계획을 실행하는 것은 사고가 발생했을 때 피해를 최소화하고 문제를 해결하기 위한 조치를 취하는 수정 통제의 대표적인 예입니다. 이는 사고 이후의 대응과 복구를 목적으로 합니다.

 

나머지 항목이 오답인 이유:

• A. 데이터 처리에서 중복 계산을 확인한다: 중복 계산 확인은 데이터의 정확성을 유지하기 위한 예방적 통제(preventive control)에 해당합니다.
• B. 장비 개발, 테스트, 생산을 분리한다: 이 분리는 위험을 줄이기 위한 예방적 통제이며, 수정 통제가 아닙니다.
• D. 직무 분리를 위해 사용자 접근 권한을 검토한다: 접근 권한 검토는 부정 및 오류 방지를 위한 예방적 통제에 속합니다.