[CISA] 시험준비 - 오답노트 (3)

1. 감사 샘플링 방법

• 문제 키워드: 감사 샘플링, 데이터 검증
• 기본 개념: 전체 데이터가 아닌 일부 샘플을 통해 효율적인 감사 진행
• 핵심 포인트: 신뢰도 높은 결과를 얻기 위해 적절한 샘플링 기법 적용
• 예시: 100개 거래 중 10개 샘플로 감사
• 예상 문제: 감사 샘플링의 주요 목적은?
  • A. 감사의 효율성 향상 (정답)
  • B. 감사 비용 절감
  • C. 리스크 평가 생략
  • D. 모든 데이터 검토 필요성 제거

---

2. 데이터 무결성 평가

• 문제 키워드: 데이터 무결성, 보안 점검
• 기본 개념: 데이터가 완전하고 정확한 상태로 유지되도록 하는 과정
• 핵심 포인트: 해시 값 생성 및 비교를 통해 데이터 변경 여부 확인
• 예시: 데이터 저장 전후 해시 비교
• 예상 문제: 데이터 무결성을 보장하는 방법으로 적절한 것은?
  • A. 해시 값 생성 및 비교 (정답)
  • B. 데이터 암호화
  • C. 시스템 백업
  • D. 스테가노그래피 사용

---

3. 자산 수명 주기 관리 (ALM)

• 문제 키워드: 자산 관리, 수명 주기
• 기본 개념: 자산의 획득부터 폐기까지 체계적으로 관리하는 방법
• 핵심 포인트: 자산의 최적화 및 유지보수 계획을 통해 효율성 강화
• 예시: 소프트웨어 구매 후 유지 및 업데이트
• 예상 문제: 자산 수명 주기 관리의 목적은?
  • A. 자산의 최적화 및 관리 효율성 증대 (정답)
  • B. 데이터 보안 강화
  • C. 비용 절감
  • D. 리스크 관리 강화

---

4. 제로데이 익스플로잇 탐지 기법

• 문제 키워드: 제로데이 익스플로잇, 보안 탐지
• 기본 개념: 알려지지 않은 공격을 신속하게 탐지하는 방법
• 핵심 포인트: IDS(침입 탐지 시스템) 통해 비정상 트래픽 탐지
• 예시: 비정상적인 네트워크 트래픽을 감지
• 예상 문제: 제로데이 익스플로잇을 탐지할 수 있는 방법은?
  • A. 침입 탐지 시스템(IDS) (정답)
  • B. 안티바이러스 프로그램
  • C. 패치 업데이트
  • D. 방화벽 설치

---

5. 비상 연락망(콜 트리) 활성화

• 문제 키워드: 재해 복구, 콜 트리
• 기본 개념: 비상 상황 시 신속한 대응을 위한 연락 체계
• 핵심 포인트: 비상 대응을 위해 관련자들에게 상황을 즉각 전달
• 예시: 데이터 센터 장애 시 콜 트리 가동
• 예상 문제: 재해 발생 시 가장 먼저 수행해야 할 작업은?
  • A. 콜 트리 활성화 (정답)
  • B. 데이터 백업
  • C. 위험 분석
  • D. 경영진 보고

---

6. BYOD 환경의 보안 리스크 대응

• 문제 키워드: BYOD, 보안 리스크
• 기본 개념: 개인 기기를 업무에 사용하는 환경에서 발생하는 보안 위험 관리
• 핵심 포인트: 사용자 보안 인식 교육으로 리스크 완화
• 예시: 직원에게 BYOD 보안 정책 교육 제공
• 예상 문제: BYOD 환경에서 보안 리스크 완화에 적합한 방법은?
  • A. 모바일 보안 프로그램 (정답)
  • B. 데이터 암호화
  • C. 원격 모니터링
  • D. 데이터 접근 제한

---

7. 포스트 구현 검토

• 문제 키워드: 사후 검토, 비즈니스 요구사항
• 기본 개념: 시스템 도입 후 목표 충족 여부를 평가
• 핵심 포인트: 실시간 운영 데이터로 시스템의 효과성 평가
• 예시: 구매 패키지 시스템의 운영 성과 분석
• 예상 문제: 포스트 구현 검토 시 가장 중요한 요소는?
  • A. 실시간 운영 데이터 분석 (정답)
  • B. 테스트 결과 검토
  • C. 교육 계획
  • D. 정책 변경사항 검토

---

8. 데이터 전송 무결성 보장

• 문제 키워드: 데이터 전송, 무결성
• 기본 개념: 데이터가 변경 없이 안전하게 전송되도록 보장
• 핵심 포인트: 데이터 전송 전후 해시 값 비교
• 예시: 데이터 전송 시 해시 생성하여 검증
• 예상 문제: 데이터 전송 중 무결성을 보장하는 방법은?
  • A. 해시 값 비교 (정답)
  • B. 암호화
  • C. 패킷 필터링
  • D. 인증서 사용

---

9. 보안 코드 리뷰 (Prevention)

• 문제 키워드: 보안 코드 리뷰, 예방 통제
• 기본 개념: 코드 배포 전 보안 결함을 미리 확인
• 핵심 포인트: 잠재적 보안 문제를 방지하여 예방적 통제 강화
• 예시: 보안 기준을 적용하여 코드 검토
• 예상 문제: 보안 코드 리뷰는 어떤 유형의 통제인가?
  • A. 예방 통제 (정답)
  • B. 탐지 통제
  • C. 수정 통제
  • D. 접근 통제

---

10. 개인정보 전송 시 보안 조치

• 문제 키워드: 개인정보 전송, 보안
• 기본 개념: 민감한 정보가 전송 중 유출되지 않도록 암호화 및 마스킹
• 핵심 포인트: 암호화된 데이터 전송으로 보안 강화
• 예시: PII 데이터 전송 시 AES 암호화 적용
• 예상 문제: 개인정보 전송 중 유출 방지를 위한 조치는?
  • A. 암호화 및 마스킹 (정답)
  • B. 비밀 유지 계약
  • C. SLA 적용
  • D. 테스트 데이터 암호화

---

11. 시스템 전환 중 다운타임 최소화 방법

• 문제 키워드: 시스템 전환, 다운타임 최소화
• 기본 개념: 새로운 시스템과 기존 시스템 병행 운영으로 전환 리스크 감소
• 핵심 포인트: 다운타임 없이 시스템 전환
• 예시: 기존 시스템과 신 시스템 병행 운영
• 예상 문제: 시스템 전환 시 다운타임을 최소화하는 방법은?
  • A. 병행 운영 (정답)
  • B. 일괄 전환
  • C. 단계적 전환
  • D. 파일럿 테스트

---

12. 시스템 개발 생명 주기(SDLC)에서 주요 검토 사항

• 문제 키워드: SDLC, 검토
• 기본 개념: 개발 생명 주기 전반에 걸쳐 상태 보고서를 통해 진행 상황 점검
• 핵심 포인트: 리소스 최적화를 위한 정기적 검토
• 예시: 프로젝트 계획 및 상태 보고서 주기적 검토
• 예상 문제: SDLC 검토를 통해 얻을 수 있는 주요 이점은?
  • A. 리소스의 최적화 (정답)
  • B. 비용 절감
  • C. 품질 보증
  • D. 위험 평가 생략

---

13. 리스크 회피 전략

• 문제 키워드: 리스크 회피, 전략
• 기본 개념: 리스크 발생 가능성이 높은 활동을 완전히 피하는 방식
• 핵심 포인트: 위험한 환경이나 프로세스를 회피
• 예시: 홍수 지역 데이터 센터 이전
• 예상 문제: 리스크 회피 전략의 예시는?
  • A. 데이터 센터를 안전 지역으로 이전 (정답)
  • B. 데이터 백업 강화
  • C. 보험 가입
  • D. 사용자 교육

---

14. 서버 사이 데이터 암호화 전송

• 문제 키워드: 데이터 암호화, 전송 보안
• 기본 개념: 서버 간 데이터 전송 시 기밀성 보호를 위해 암호화
• 핵심 포인트: TLS와 같은 프로토콜을 통해 안전한 데이터 전송
• 예시: TLS를 사용한 안전한 데이터 전송
• 예상 문제: 데이터 전송 중 기밀성을 보장하는 방법은?
  • A. TLS를 통한 전송 암호화 (정답)
  • B. 마스킹
  • C. 공개키 인프라(PKI)
  • D. 방화벽 사용

---

15. IT 거버넌스 성숙도 모델

• 문제 키워드: IT 거버넌스, 성숙도 모델
• 기본 개념: IT 서비스 제공의 일관성과 성숙도를 단계별로 평가하는 방법
• 핵심 포인트: 성숙도를 평가하여 일관된 서비스 제공 여부 확인
• 예시: IT 서비스 프로세스 성숙도 평가
• 예상 문제: IT 서비스 일관성을 평가하는 최적의 방법은?
  • A. 성숙도 모델 (정답)
  • B. KPI 모니터링
  • C. 갭 분석
  • D. CSA