[CISA 문제풀이] 틀린문제 (8)

문제1: IT 전략이 비즈니스 전략과 정렬되었음을 보장하는 데 가장 적합한 방법은 무엇입니까?
• A. 손익분기점 분석(Break-even point analysis)
• B. 비즈니스 영향 분석(Business impact analysis, BIA)
• C. 임계 경로 분석(Critical path analysis)
• D. IT 가치 분석(IT value analysis) (정답)

👉 **IT 가치 분석(IT value analysis)**는 IT 전략이 비즈니스 전략과 정렬되었음을 보장하는 데 가장 적합합니다. IT 가치 분석은 IT 투자와 활동이 조직의 목표를 어떻게 지원하고 비즈니스 가치를 창출하는지를 평가합니다. 이를 통해 IT가 비즈니스 전략과 조화를 이루고, 의사결정이 비즈니스 목표와 일치하도록 할 수 있습니다.

나머지 항목이 오답인 이유:
• A. 손익분기점 분석(Break-even point analysis): 손익분기점 분석은 재무적 관점에서 프로젝트의 수익성을 평가하는 데 유용하지만, IT와 비즈니스 전략 간의 정렬을 보장하지는 않습니다.
• B. 비즈니스 영향 분석(BIA): BIA는 주요 비즈니스 프로세스와 관련된 위험 및 복구 우선순위를 평가하는 데 초점이 맞춰져 있으며, 전략적 정렬 보장과는 다릅니다.
• C. 임계 경로 분석(Critical path analysis): 임계 경로 분석은 프로젝트 일정 관리에 사용되는 방법으로, IT와 비즈니스 전략의 정렬 여부를 평가하는 데는 적합하지 않습니다.

---

문제2: 데이터 센터의 물리적 접근 로그 시스템이 방문자의 신분증 번호와 사진을 기록합니다. IS 감사원이 시스템의 효과성을 평가하기 위한 준수 테스트를 수행할 때 가장 적합한 샘플링 방법은 무엇입니까?
• A. 속성 샘플링(Attribute sampling) (정답)
• B. 할당 샘플링(Quota sampling)
• C. 변수 샘플링(Variable sampling)
• D. 무작위 샘플링(Haphazard sampling)

👉 **속성 샘플링(Attribute sampling)**이 가장 적합합니다. 속성 샘플링은 특정 속성(예: 사진과 신분증 번호가 정확히 기록되었는지)을 기준으로 데이터의 준수 여부를 테스트하는 데 사용됩니다. 이는 규정 준수 여부를 확인하거나 정책 및 절차의 효과성을 평가할 때 유용합니다.

나머지 항목이 오답인 이유:
• B. 할당 샘플링(Quota sampling): 할당 샘플링은 사전에 정의된 특정 그룹에서 샘플을 수집하는 방법으로, 무작위성과 대표성을 보장하지 못할 수 있습니다.
• C. 변수 샘플링(Variable sampling): 변수 샘플링은 연속적 데이터(예: 금액, 수치)를 평가할 때 사용되며, 준수 여부 테스트에는 적합하지 않습니다.
• D. 무작위 샘플링(Haphazard sampling): 무작위 샘플링은 체계적이지 않고 통계적 기반이 없으므로 감사의 신뢰성을 낮출 수 있습니다.

---

문제3: 매 영업일 종료 시, 중요한 비즈니스 애플리케이션이 특정 금액 이상의 금융 거래 보고서를 생성하고, 직원이 이를 확인하여 오류를 점검합니다. 이는 어떤 유형의 통제입니까?
• A. 억제 통제(Deterrent)
• B. 예방 통제(Preventive)
• C. 교정 통제(Corrective)
• D. 탐지 통제(Detective) (정답)

👉 **탐지 통제(Detective control)**가 해당됩니다. 이 프로세스는 문제가 발생한 후 이를 식별하기 위해 설계되었습니다. 거래 보고서를 검토하여 오류를 찾아내는 것은 문제가 발생했는지 확인하고, 이를 관리하기 위한 탐지 활동의 예입니다.

나머지 항목이 오답인 이유:
• A. 억제 통제(Deterrent): 억제 통제는 부적절한 행동을 방지하기 위해 사람들에게 경고하는 역할을 합니다. 이 사례는 경고보다는 오류를 식별하기 위한 활동입니다.
• B. 예방 통제(Preventive): 예방 통제는 문제가 발생하기 전에 이를 방지하는 데 초점을 맞추며, 이 사례처럼 사후 검토와는 다릅니다.
• C. 교정 통제(Corrective): 교정 통제는 이미 발생한 문제를 해결하는 데 사용되며, 이 사례는 문제를 해결하기보다 식별하는 데 초점이 맞춰져 있습니다.

---

문제4: 패킷 수준 방화벽(packet level firewall)의 가장 심각한 보안 약점은 무엇에 의해 우회될 수 있습니까?
• A. 패킷의 서명 정보를 해독함으로써
• B. 암호화된 비밀번호에 대한 사전 대입 공격(dictionary attack)을 사용함으로써
• C. 패킷을 가로채고 암호화되지 않은 비밀번호를 확인함으로써
• D. 들어오는 패킷의 소스 주소를 변경함으로써 (정답)

👉 들어오는 패킷의 소스 주소를 변경함으로써 패킷 수준 방화벽을 우회할 수 있습니다. 패킷 수준 방화벽은 패킷 헤더 정보를 기반으로 트래픽을 필터링하며, 이는 IP 주소와 포트 번호와 같은 정보를 포함합니다. 공격자가 소스 주소를 스푸핑(spoofing)하여 신뢰할 수 있는 IP 주소로 위장하면, 방화벽 규칙을 우회할 수 있습니다.

나머지 항목이 오답인 이유:
• A. 패킷의 서명 정보를 해독함으로써: 패킷 수준 방화벽은 패킷의 내용이 아니라 헤더 정보를 기반으로 작동하므로, 서명 정보 해독은 관련이 없습니다.
• B. 암호화된 비밀번호에 대한 사전 대입 공격(dictionary attack)을 사용함으로써: 이는 인증 시스템의 약점을 노리는 공격으로, 패킷 수준 방화벽의 약점과는 직접 관련이 없습니다.
• C. 패킷을 가로채고 암호화되지 않은 비밀번호를 확인함으로써: 이는 암호화되지 않은 네트워크 트래픽의 약점으로, 방화벽 자체의 약점이 아닙니다.

---

문제5: 공급업체 관리 데이터베이스 감사 중 IS 감사원이 중복된 공급업체 기록을 여러 차례 발견했습니다. 동일한 문제가 다시 발생하지 않도록 하기 위해 IS 감사원이 경영진에게 제시할 가장 적합한 권장 사항은 무엇입니까?
• A. 시스템 보고서를 주기적으로 실행하여 전체 공급업체 목록의 중복을 식별한다.
• B. 주요 필드의 고유 데이터 값을 위한 시스템 확인 검사를 수행한다. (정답)
• C. 새로운 공급업체 정보를 모두 고위 경영진의 승인을 받도록 요청한다.
• D. 공급업체 생성 프로세스에 직무 분리(Segregation of Duties) 통제를 구축한다.

👉 주요 필드의 고유 데이터 값을 위한 시스템 확인 검사를 수행하는 것이 가장 적합한 권장 사항입니다. 시스템 확인 검사는 공급업체 생성 프로세스에서 실시간으로 중복을 방지할 수 있는 자동화된 통제입니다. 이를 통해 동일한 키 데이터(예: 세금 식별 번호, 은행 계좌 번호 등)를 가진 중복된 공급업체 레코드가 생성되지 않도록 합니다.

나머지 항목이 오답인 이유:
• A. 시스템 보고서를 주기적으로 실행하여 전체 공급업체 목록의 중복을 식별한다: 보고서를 실행하는 것은 문제를 사후에 식별할 수 있지만, 실시간 중복 방지 기능이 없어 예방 조치로는 부족합니다.
• C. 새로운 공급업체 정보를 모두 고위 경영진의 승인을 받도록 요청한다: 고위 경영진의 승인은 실효성이 떨어질 수 있으며, 시간이 많이 소요됩니다. 자동화된 시스템 통제가 더 효과적입니다.
• D. 공급업체 생성 프로세스에 직무 분리(Segregation of Duties) 통제를 구축한다: 직무 분리는 데이터 입력과 승인 단계를 분리하여 통제 효과를 강화할 수 있지만, 중복을 직접적으로 방지하지는 않습니다.

---

문제6: 최종 사용자 컴퓨팅(EUC)의 사용을 승인하기로 한 조직이 가장 먼저 보장해야 할 사항은 무엇입니까?
• A. EUC 정책이 개발되었다. (정답)
• B. EUC 통제가 검토되었다.
• C. 비즈니스 영향 분석(BIA)이 수행되었다.
• D. EUC 사용 사례가 평가되고 문서화되었다.

👉 EUC 정책을 개발하는 것이 가장 먼저 이루어져야 합니다. 정책은 EUC의 사용을 관리하고 통제하기 위한 기본적인 틀을 제공합니다. 이 정책은 EUC의 범위, 허용된 사용, 보안 요구사항, 그리고 통제 절차를 명확히 정의하여 조직의 목표와 일치하도록 보장합니다.

나머지 항목이 오답인 이유:
• B. EUC 통제가 검토되었다: EUC 통제는 정책이 정의된 후 이를 시행하고 관리하기 위해 검토되어야 합니다.
• C. 비즈니스 영향 분석(BIA)이 수행되었다: BIA는 EUC의 영향을 평가하는 데 중요하지만, 정책이 없으면 평가 기준이 명확하지 않을 수 있습니다.
• D. EUC 사용 사례가 평가되고 문서화되었다: 사용 사례 문서는 중요하지만, 이는 정책이 정의된 후에 세부적으로 수행되는 작업입니다.

---

문제7: 외부 제공업체에 아웃소싱된 변경 및 인시던트 관리 프로세스의 서비스 품질을 측정하기 위한 가장 좋은 지표는 무엇입니까?
• A. 해결된 서비스 요청의 총 수
• B. 서비스 요청 해결의 평균 대기 시간
• C. 다시 열린 서비스 요청의 총 수
• D. SLA(서비스 수준 계약) 내에서 해결된 요청의 비율 (정답)

👉 SLA 내에서 해결된 요청의 비율이 서비스 품질을 측정하는 가장 좋은 지표입니다. SLA는 서비스 제공업체와 고객 간의 공식적인 합의이며, 요청이 SLA 내에서 처리되었는지는 서비스 제공업체가 약속한 품질 기준을 충족하는지 평가하는 핵심 요소입니다.

나머지 항목이 오답인 이유:
• A. 해결된 서비스 요청의 총 수: 요청의 총 수는 양적 데이터를 제공하지만, 요청이 얼마나 신속하고 효율적으로 처리되었는지에 대한 품질을 나타내지는 않습니다.
• B. 서비스 요청 해결의 평균 대기 시간: 평균 대기 시간은 품질 측정의 일부가 될 수 있지만, SLA와의 연계가 없으면 전반적인 서비스 품질을 평가하기 어렵습니다.
• C. 다시 열린 서비스 요청의 총 수: 다시 열린 요청은 프로세스 품질의 문제를 나타낼 수 있지만, SLA 내 해결 비율만큼 종합적인 품질 지표는 아닙니다.

---

문제8: 데이터 통신 시스템을 감사할 때 첫 번째 단계는 무엇입니까?
• A. 네트워크 장비에 대한 물리적 보안을 확인한다.
• B. 전송될 메시지의 비즈니스 용도와 유형을 결정한다. (정답)
• C. 트래픽 볼륨과 응답 시간 기준을 확인한다.
• D. 다양한 통신 경로에서의 중복 수준을 평가한다.

👉 전송될 메시지의 비즈니스 용도와 유형을 결정하는 것이 첫 번째 단계입니다. 데이터 통신 시스템의 목적과 비즈니스 요구사항을 이해하는 것이 중요하며, 이를 기반으로 시스템이 조직의 목표를 얼마나 잘 지원하는지 평가할 수 있습니다. 이 초기 단계는 감사의 방향을 설정하고, 이후의 기술적 검토에 초점을 맞추는 데 필수적입니다.

나머지 항목이 오답인 이유:
• A. 네트워크 장비에 대한 물리적 보안을 확인한다: 물리적 보안은 중요한 요소이지만, 시스템의 목적과 사용 방식을 이해하는 것보다 후속 단계입니다.
• C. 트래픽 볼륨과 응답 시간 기준을 확인한다: 이는 성능 평가와 관련된 세부 사항으로, 비즈니스 요구사항을 먼저 이해해야 효과적으로 다룰 수 있습니다.
• D. 다양한 통신 경로에서의 중복 수준을 평가한다: 경로 중복성은 신뢰성을 보장하는 데 중요하지만, 비즈니스 용도를 이해한 후에 검토하는 것이 더 적합합니다.

---

문제9: 보안 인식 교육 프로그램의 효과성을 가장 잘 나타내는 지표는 무엇입니까?
• A. 교육에 대한 직원 만족도
• B. 의도하지 않은 위반의 감소 (정답)
• C. 제3자 사회공학 테스트의 결과
• D. 교육을 완료한 직원 수의 증가

👉 의도하지 않은 위반의 감소는 보안 인식 교육 프로그램의 효과성을 가장 잘 나타내는 지표입니다. 보안 인식 교육의 주요 목표는 직원들이 보안 정책과 절차를 준수하고, 실수로 인한 보안 위반을 줄이는 것입니다. 위반 사례가 감소하면 교육이 효과적으로 전달되고 적용되고 있음을 보여줍니다.

나머지 항목이 오답인 이유:
• A. 교육에 대한 직원 만족도: 만족도는 프로그램 품질에 대한 피드백을 제공할 수 있지만, 실제 보안 인식 수준 향상과는 직접적인 관련이 없습니다.
• C. 제3자 사회공학 테스트의 결과: 사회공학 테스트는 특정 시점의 보안 인식 수준을 평가하는 데 유용하지만, 프로그램 전반의 장기적인 효과를 측정하는 데는 제한적입니다.
• D. 교육을 완료한 직원 수의 증가: 더 많은 직원이 교육을 완료하는 것은 긍정적이지만, 효과성은 교육을 실제로 적용했는지 여부에 달려 있습니다.

---

문제10: 효과적인 IT 투자 관리의 가장 좋은 지표는 무엇입니까?
• A. IT 투자가 특정 비즈니스 목표에 매핑된다. (정답)
• B. IT 투자 예산이 업계 벤치마크보다 상당히 낮다.
• C. IT 투자가 시스템 개발 생명주기(SDLC)를 따라 구현 및 모니터링된다.
• D. IT 투자를 필요로 하는 각 비즈니스에 대해 핵심 성과 지표(KPIs)가 정의된다.

👉 IT 투자가 특정 비즈니스 목표에 매핑되는 것이 효과적인 IT 투자 관리의 가장 좋은 지표입니다. IT 투자 관리의 핵심은 투자 활동이 조직의 전략적 목표와 직접적으로 연계되어 조직에 가치를 창출하는지 확인하는 것입니다. 비즈니스 목표와 IT 투자가 정렬되면, 리소스를 효과적으로 사용하고 투자 결과를 평가하기가 훨씬 쉬워집니다.

나머지 항목이 오답인 이유:
• B. IT 투자 예산이 업계 벤치마크보다 상당히 낮다: 낮은 예산이 반드시 효과적인 IT 투자 관리를 의미하지는 않으며, 실제 비즈니스 요구를 충족하지 못할 수 있습니다.
• C. IT 투자가 시스템 개발 생명주기(SDLC)를 따라 구현 및 모니터링된다: SDLC를 따르는 것은 좋은 관행이지만, 투자 관리의 효과를 직접적으로 보장하지는 않습니다.
• D. IT 투자를 필요로 하는 각 비즈니스에 대해 KPIs가 정의된다: KPIs 정의는 중요하지만, 투자가 비즈니스 목표와 일치하는지 확인하는 것이 더 핵심적입니다.

---

문제11: 새로운 시스템의 **이익 실현(benefits realization)**을 측정하는 데 가장 유용한 방법은 무엇입니까?
• A. 균형 성과표(Balanced scorecard) 검토
• B. 사후 구현 검토(Post-implementation review) (정답)
• C. 비즈니스 영향 분석(Business impact analysis, BIA)
• D. 기능 포인트 분석(Function point analysis)

👉 **사후 구현 검토(Post-implementation review)**가 이익 실현을 측정하는 데 가장 적합합니다. 사후 구현 검토는 새로운 시스템의 성과를 평가하고, 프로젝트 목표 및 비즈니스 요구 사항이 충족되었는지 확인하며, 예상했던 이익이 실현되었는지 점검하는 데 초점을 맞춥니다.

나머지 항목이 오답인 이유:
• A. 균형 성과표(Balanced scorecard) 검토: 균형 성과표는 전반적인 조직 성과를 측정하는 데 유용하지만, 특정 시스템의 이익 실현을 직접적으로 측정하지는 않습니다.
• C. 비즈니스 영향 분석(BIA): BIA는 주로 장애나 중단 상황에서 비즈니스 영향을 평가하는 데 사용되며, 이익 실현 측정과는 관련이 적습니다.
• D. 기능 포인트 분석(Function point analysis): 기능 포인트 분석은 소프트웨어 개발의 복잡성을 평가하는 데 사용되며, 시스템의 이익 실현을 측정하는 데는 적합하지 않습니다.

---

문제12: 조직의 사업부가 IT 리스크를 관리하는 데 서로 다른 방법을 사용할 때, 전체 IT 리스크 수용 수준을 결정하기 위한 가장 적합한 접근법은 무엇입니까?
• A. 사업부의 IT 리스크 수준을 평균 낸다.
• B. 사업부 중 가장 높은 IT 리스크 수준을 식별한다.
• C. 글로벌 IT 리스크 점수화 기준을 설정한다. (정답)
• D. 조직의 IT 리스크 시나리오에 우선순위를 매긴다.

👉 글로벌 IT 리스크 점수화 기준을 설정하는 것이 가장 적합한 접근법입니다. 각 사업부의 리스크를 일관되게 평가하고 비교할 수 있는 공통 프레임워크를 설정하면, 조직 전체의 IT 리스크 수용 수준을 정확히 이해하고 관리할 수 있습니다. 이는 다른 관리 방법을 사용하는 사업부들 간의 일관성을 유지하는 데 필수적입니다.

나머지 항목이 오답인 이유:
• A. 사업부의 IT 리스크 수준을 평균 낸다: 평균은 극단적인 리스크를 반영하지 못하므로, 전체적인 리스크 수용 수준을 적절히 나타내지 못할 수 있습니다.
• B. 사업부 중 가장 높은 IT 리스크 수준을 식별한다: 가장 높은 리스크에 초점을 맞추면, 다른 사업부의 리스크가 과소평가되거나 간과될 위험이 있습니다.
• D. 조직의 IT 리스크 시나리오에 우선순위를 매긴다: 우선순위 지정은 리스크 대응 계획의 일부일 수 있지만, 전체적인 리스크 수용 수준을 설정하는 데는 부족합니다.

---

문제13: 서버 가용성을 지속적으로 보장하는 데 가장 효과적인 방법은 무엇입니까?
• A. 서버 관리 콘솔에서 로그를 분석한다.
• B. 사용자로부터 보고된 다운타임을 검토한다.
• C. 계획된 가동 중단을 기준으로 다운타임을 평가한다.
• D. 서버를 매일 수동으로 핑(ping) 테스트한다.

정답: A. 서버 관리 콘솔에서 로그를 분석한다.

👉 서버 관리 콘솔에서 로그를 분석하는 것이 서버 가용성을 지속적으로 모니터링하고 보장하는 가장 효과적인 방법입니다. 로그 분석은 서버의 상태, 이벤트, 오류 및 경고를 체계적으로 검토할 수 있도록 하며, 잠재적인 문제를 식별하여 선제적으로 대응할 수 있습니다.

나머지 항목이 오답인 이유:
• B. 사용자로부터 보고된 다운타임을 검토한다: 사용자 보고는 문제가 발생한 후의 반응적 접근으로, 실시간 모니터링이나 가용성 보장에 충분하지 않습니다.
• C. 계획된 가동 중단을 기준으로 다운타임을 평가한다: 계획된 가동 중단은 서버 가용성 평가의 일부일 수 있지만, 전체적인 가용성을 보장하는 데는 한계가 있습니다.
• D. 서버를 매일 수동으로 핑(ping) 테스트한다: 수동 핑 테스트는 간단한 가용성 확인에는 유용할 수 있지만, 심층적인 문제 식별이나 지속적인 보장에는 적합하지 않습니다.

---

문제14: 제3자 컨설턴트가 회계 시스템 교체를 관리하고 있습니다. IS 감사인의 가장 큰 우려는 무엇입니까?
• A. 교체가 연말 보고 시점에 발생한다.
• B. 데이터 마이그레이션이 계약된 활동에 포함되지 않는다. (정답)
• C. 테스트가 제3자 컨설턴트에 의해 수행되었다.
• D. 사용자 부서가 접근 권한을 관리한다.

👉 데이터 마이그레이션이 계약된 활동에 포함되지 않은 것이 가장 큰 우려입니다. 데이터 마이그레이션은 기존 시스템의 데이터가 새로운 시스템으로 정확하고 완전하게 이전되도록 보장하는 중요한 과정입니다. 이를 소홀히 하면 데이터 손실, 부정확성, 또는 회계 시스템의 실패를 초래할 수 있어 조직의 재무 보고와 운영에 심각한 영향을 미칠 수 있습니다.

나머지 항목이 오답인 이유:
• A. 교체가 연말 보고 시점에 발생한다: 연말 보고 시점에서의 교체는 부담을 줄 수 있지만, 데이터 마이그레이션 실패의 위험보다 우려가 적습니다.
• C. 테스트가 제3자 컨설턴트에 의해 수행되었다: 제3자가 테스트를 수행하는 것은 일반적이지만, 독립적인 검증 절차를 보완적으로 수행하는 것이 중요합니다.
• D. 사용자 부서가 접근 권한을 관리한다: 사용자 부서가 접근 관리를 담당하는 것은 일반적이지만, 적절한 통제가 있으면 심각한 문제가 되지 않습니다.

---

문제15: IS 감사인의 관점에서 조직의 배포된 소프트웨어 목록이 불완전할 경우 가장 큰 위험은 무엇입니까?
• A. 배포된 소프트웨어의 비용을 결정할 수 없음
• B. 중요한 서버에서 사용되지 않는 포트를 닫을 수 없음
• C. 조직 내에서 사용되지 않는 라이선스를 식별할 수 없음
• D. 보안 패치를 배포할 수 없음 (정답)

👉 보안 패치를 배포할 수 없는 것이 가장 큰 위험입니다. 배포된 소프트웨어 목록이 불완전하면 어떤 소프트웨어가 최신 패치를 적용해야 하는지 알 수 없으며, 이는 보안 취약점에 노출될 가능성을 증가시킵니다. 이는 조직의 보안 및 운영 안정성에 중대한 위협이 될 수 있습니다.

나머지 항목이 오답인 이유:
• A. 배포된 소프트웨어의 비용을 결정할 수 없음: 비용 산출은 중요하지만, 보안 취약점에 노출되는 것만큼 심각한 위험은 아닙니다.
• B. 중요한 서버에서 사용되지 않는 포트를 닫을 수 없음: 포트 관리도 중요하지만, 소프트웨어 패치 미적용으로 인한 보안 위협이 더 심각합니다.
• C. 조직 내에서 사용되지 않는 라이선스를 식별할 수 없음: 라이선스 최적화는 비용 효율성에 영향을 줄 수 있지만, 보안 리스크가 더 큰 우려 사항입니다.