[CISA] 시험준비 - 오답노트 (4)

1. SQL 인젝션 방지

• 기본 개념: 웹 애플리케이션에서 사용자 입력 값을 검증하여 SQL 인젝션을 방지
• 핵심 포인트: 입력 값 유효성 검증과 파라미터화된 쿼리 사용
• 예시: 입력 필드에 SQL 구문을 삽입해 데이터베이스 정보를 탈취하는 공격
• 예상문제
  1. SQL 인젝션을 방지하기 위한 가장 효과적인 방법은?
     • A. 방화벽 설정
     • B. 입력 값 유효성 검증 (정답)
     • C. 비밀번호 복잡도 증가
     • D. 데이터 암호화

---

2. 변경 관리 보고서 독립 검토

• 기본 개념: 시스템 변경 사항에 대한 독립적인 검토를 통해 보안 리스크 평가
• 핵심 포인트: 변경 보고서 독립 검토로 변경 관리 체계 무결성 확인
• 예시: 코드 변경 후 독립적인 리뷰 없이 프로덕션 배포 시 발생 가능한 문제점 검토
• 예상문제
  1. 코드 변경 후 다시 동일한 문제가 발생했을 때 우선적으로 수행할 조치는?
     • A. 코드 재컴파일
     • B. 변경 관리 보고서 독립 검토 (정답)
     • C. 개발자에 의한 코드 검토
     • D. 변경 사항 재적용

---

3. 웹 애플리케이션 보안 요구 사항 정의

• 기본 개념: 웹 애플리케이션 보안 요구 사항을 명확히 정의하여 구현 시 반영
• 핵심 포인트: 사용자 인증, 암호화, 데이터 검증 등 기술적 요구 정의
• 예시: 거래 시스템의 사용자 인증, 데이터 암호화 등 요구 사항 설정
• 예상문제
  1. 웹 애플리케이션의 보안 요구 사항에 포함될 가능성이 가장 높은 항목은?
     • A. 사용자 교육
     • B. 방화벽 설정
     • C. 암호화 방법 (정답)
     • D. 개발자 정보

---

4. 업무 연속성 계획(BCP) 검토

• 기본 개념: 재해 발생 시에도 핵심 업무가 지속될 수 있도록 준비
• 핵심 포인트: 비상 시 대체 절차와 재해 복구 능력 보장
• 예시: 비상 상황 발생 시 중요한 데이터 보호와 업무 연속성 확보
• 예상문제
  1. 업무 연속성 계획(BCP)이 중요한 이유는?
     • A. 비상 시 데이터 복구 지원 (정답)
     • B. 사용자 편의성 증대
     • C. 네트워크 성능 향상
     • D. 규제 준수

---

5. 애플리케이션 계정 권한 관리

• 기본 개념: 사용자별 접근 권한을 설정해 무단 접근 차단
• 핵심 포인트: 계정 오용이나 데이터 유출 위험 감소
• 예시: 중요 데이터 접근 권한을 최소한의 인원으로 제한
• 예상문제
  1. 계정 권한 관리의 주요 목적은?
     • A. 시스템 성능 향상
     • B. 사용자 만족도 증가
     • C. 데이터 무단 접근 차단 (정답)
     • D. 비밀번호 복잡도 감소

---

6. 멀웨어 검출 시스템 구축

• 기본 개념: 악성 프로그램 탐지 및 차단을 위해 멀웨어 검출 체계 구축
• 핵심 포인트: 실시간 감지 및 보고로 빠른 대응 가능
• 예시: 이메일을 통해 유입된 악성 코드를 탐지하고 격리
• 예상문제
  1. 멀웨어 검출 시스템의 주된 목적은?
     • A. 성능 향상
     • B. 악성 프로그램 탐지 (정답)
     • C. 사용자 관리 편의성
     • D. 규제 준수

---

7. 모의 침투 테스트(펜테스트) 수행

• 기본 개념: 공격자 관점에서 취약점 탐지 및 해결
• 핵심 포인트: 취약점을 사전에 발견하고 보완
• 예시: 테스트를 통해 발견된 취약점 보완하여 보안성 강화
• 예상문제
  1. 모의 침투 테스트의 주 목적은?
     • A. 시스템 유지보수
     • B. 취약점 발견 및 보완 (정답)
     • C. 사용자 만족도 증대
     • D. 데이터 암호화

---

8. 데이터 암호화 정책 적용

• 기본 개념: 데이터 전송 및 저장 시 암호화로 보호
• 핵심 포인트: 외부 침입으로부터 민감 정보 보호
• 예시: 고객 데이터 전송 시 암호화 적용
• 예상문제
  1. 데이터 암호화 정책의 주요 목적은?
     • A. 데이터 무결성 보장
     • B. 무단 접근 방지 (정답)
     • C. 사용자 만족도 증대
     • D. 규제 준수 감소

---

9. 데이터베이스 접근 통제

• 기본 개념: 데이터베이스 접근 통제를 통해 무단 접근 방지
• 핵심 포인트: 기밀성 보장 및 데이터 유출 예방
• 예시: 권한 있는 사용자만 데이터베이스 접근 허용
• 예상문제
  1. 데이터베이스 접근 통제의 주요 목적은?
     • A. 데이터 성능 향상
     • B. 기밀성 보장 (정답)
     • C. 사용자 편의성 증대
     • D. 보안 강화 감소

---

10. 직무 분리(SOD)

• 기본 개념: 무단 변경 방지를 위해 개발자와 배포자 역할 분리
• 핵심 포인트: 역할 간 상호 견제 체계 구축
• 예시: 프로그래머가 운영 환경에 직접 접근하지 못하도록 제한
• 예상문제
  1. 직무 분리의 주요 목적은?
     • A. 코드 성능 향상
     • B. 무단 변경 방지 (정답)
     • C. 사용자 관리 편의성
     • D. 시스템 자원 절약

---

11. 정보 분류 정책

• 기본 개념: 정보 중요도에 따라 등급화하여 보호 수준 결정
• 핵심 포인트: 정보 자산 보호와 적절한 보안 통제 배분
• 예시: 민감 정보는 강화된 보안 통제를 적용
• 예상문제
  1. 정보 분류의 주요 목적은?
     • A. 보안 통제 비용 절감
     • B. 보안 통제 적절 배분 (정답)
     • C. 데이터 처리 속도 증가
     • D. 데이터 무결성 강화

---

12. 비밀번호 정책 강화

• 기본 개념: 비밀번호의 복잡성, 길이, 변경 주기 강화
• 핵심 포인트: 무단 접근 방지 및 계정 보안 향상
• 예시: 특수 문자 포함 8자리 이상의 비밀번호 요구
• 예상문제
  1. 비밀번호 정책 강화를 통해 달성할 수 있는 목표는?
     • A. 계정 접근 속도 증가
     • B. 무단 접근 방지 (정답)
     • C. 사용자 편의성 증가
     • D. 네트워크 성능 강화

---

13. 감사 추적 관리(Audit Trail)

• 기본 개념: 사용자의 행동과 변경 기록을 추적하여 감사 및 보안 보장
• 핵심 포인트: 보안 사고 발생 시 원인 파악 및 대응
• 예시: 데이터베이스 수정 내역 추적하여 접근 문제 파악
• 예상문제
  1. 감사 추적의 주요 역할은?
     • A. 시스템 성능 강화
     • B. 사용자 편의성 증가
     • C. 문제 원인 파악 (정답)
     • D. 네트워크 효율성 증가

---

14. 로그 관리 및 분석

• 기본 개념: 시스템 및 사용자 활동 로그를 관리하고 분석하여 이상 탐지
• 핵심 포인트: 비정상적 활동 모니터링 및 사고 대응
• 예시: 시스템 침입 시도 탐지 및 경고
• 예상문제
  1. 로그 관리의 주된 목적은?
     • A. 데이터 처리 속도 향상
     • B. 비정상 활동 탐지 및 대응 (정답)
     • C. 사용자 친화성 증가
     • D. 보안 통제 비용 절감

---

15. 클라우드 보안 관리

• 기본 개념: 클라우드 환경에서 데이터 보호 및 접근 통제
• 핵심 포인트: 데이터 기밀성 보장과 규제 준수 유지
• 예시: 클라우드에 저장된 고객 정보 암호화 및 접근 권한 설정
• 예상문제
  1. 클라우드 보안의 핵심 목적은?
     • A. 사용자 경험 개선
     • B. 데이터 기밀성 보장 (정답)
     • C. 시스템 성능 최적화
     • D. 보안 통제 비용 감소