[CISA] 시험준비 - 오답노트 (1)

1. 정책 예외와 운영 리스크

• 문제 키워드: 정책 예외, 운영 리스크, 보안 통제
• 기본 개념: IT 정책에서 특정 규정이나 통제를 특정 상황에서 예외로 두는 것을 말합니다.
• 핵심 포인트: 정책 예외가 많을수록 보안 통제가 약화되면서 운영 리스크가 증가할 수 있습니다.
• 예시: 사용자에게 예외적으로 높은 접근 권한을 부여한 경우, 이로 인해 데이터 유출 위험이 증가할 수 있습니다.
• 예상 문제:
  • 관리팀이 승인한 IT 정책 예외가 많이 발생할 경우, 감사인이 가장 우려할 사항은 무엇인가?
    • A. 예외가 장기화될 가능성
    • B. 운영 리스크가 증가할 가능성 (정답)
    • C. 프로세스 효율성이 떨어질 가능성
    • D. 감사 보고서 작성 지연 가능성

---

2. 포렌식 이미지와 해시 값 생성

• 문제 키워드: 포렌식 이미지, 해시 값, 데이터 무결성
• 기본 개념: 포렌식 이미지를 생성할 때 데이터 무결성을 보장하기 위해 해시 값을 생성하여 데이터 변경 여부를 검증합니다.
• 핵심 포인트: 해시 값을 통해 데이터가 변경되지 않았음을 증명하고 법적 증거로서 신뢰성을 확보할 수 있습니다.
• 예시: 포렌식 이미지 생성 시 MD5나 SHA-1 해시를 사용하여 이미지의 무결성을 검증하고, 법적 증거로서 활용
• 예상 문제:
  • 포렌식 이미지의 데이터 무결성을 가장 잘 보장할 수 있는 방법은 무엇인가?
    • A. 업계 최고의 포렌식 소프트웨어 사용
    • B. 데이터 무결성을 위해 해시 값 생성 (정답)
    • C. 제3자 참관 하에 이미지 생성
    • D. 데이터 백업본 생성

---

3. 탐지 통제 - 작업 실패 자동 경고

• 문제 키워드: 탐지 통제, 작업 실패, 자동 경고
• 기본 개념: 탐지 통제는 시스템 오류 발생 시 자동 경고를 생성하여 신속히 문제를 감지하고 대응할 수 있도록 합니다.
• 핵심 포인트: 자동 경고를 통해 실시간으로 문제를 감지하여 운영 중단이나 데이터 유실을 최소화할 수 있습니다.
• 예시: 정기 데이터 백업 작업이 실패할 경우 즉시 지원 인력에게 알림이 전송되어 신속한 조치 가능
• 예상 문제:
  • 데이터 전송 오류 발생 시 경고 알림을 지원팀에 즉시 보내기 위해 가장 적합한 통제 방식은?
    • A. 데이터 오류 발생 시 일일 보고서 전송
    • B. 데이터 전송 오류 시 자동 경고 알림 (정답)
    • C. 경영진에게 정기 보고서 제출
    • D. 오류 발생 시 사용자에게 알림

---

4. 데이터 전송 중 기밀성 보호 - TLS

• 문제 키워드: 데이터 전송, 기밀성 보호, TLS
• 기본 개념: TLS(Transport Layer Security)를 통해 데이터를 암호화하여 전송 중 가로채기 및 도청으로부터 데이터를 보호합니다.
• 핵심 포인트: TLS는 데이터 전송 중 기밀성을 보장하여 민감한 정보가 외부에 노출되지 않도록 합니다.
• 예시: 여러 지사 간에 민감한 데이터를 TLS를 통해 암호화하여 전송하여 안전성을 유지
• 예상 문제:
  • 데이터 전송 중 기밀성을 보호하는 가장 효과적인 방법은?
    • A. VLAN으로 분리된 데이터 전송
    • B. TLS를 사용하여 데이터 암호화 (정답)
    • C. 대역폭 제한
    • D. 특정 IP 주소로만 데이터 전송

---

5. 포스트 구현 리뷰 - 시스템 인터페이스 테스트

• 문제 키워드: 포스트 구현 리뷰, 시스템 인터페이스, 테스트
• 기본 개념: 시스템이 운영된 후 시스템 간 상호작용이 올바르게 작동하는지 확인하는 테스트입니다.
• 핵심 포인트: 시스템 간 데이터 교환의 정확성과 안정성을 보장하기 위해 구현 후 인터페이스 테스트를 수행해야 합니다.
• 예시: ERP 시스템을 도입한 후 기존 재무 시스템과 데이터 교환이 올바르게 이루어지는지 검증
• 예상 문제:
  • ERP 시스템 구현 후 다른 시스템과 데이터 교환이 제대로 이루어지는지 확인하려면 어떤 검토가 필요한가?
    • A. 데이터 변환 확인
    • B. 시스템 인터페이스 테스트 (정답)
    • C. 사용법 교육
    • D. 프로젝트 계획 검토

---

6. 균형 성과표 - IT와 조직 정렬

• 문제 키워드: 균형 성과표, IT 정렬, 조직 목표
• 기본 개념: 균형 성과표를 통해 IT 전략이 조직 목표에 얼마나 부합하는지 모니터링하고 평가하는 데 사용됩니다.
• 핵심 포인트: IT 활동이 조직 목표와 얼마나 정렬되어 있는지를 파악하여 조직 전략의 효과성을 높입니다.
• 예시: IT 성과를 고객 만족도, 내부 프로세스, 재무 성과 등의 카테고리로 나누어 관리
• 예상 문제:
  • 조직 목표에 맞추어 IT 활동의 정렬 상태를 평가하기 위한 도구는 무엇인가?
    • A. KPI 설정
    • B. 균형 성과표(Balanced Scorecard) (정답)
    • C. 표준 운영 절차(SOP)
    • D. 데이터 감사

---

7. 클라이언트/서버 구성의 장점 - 프론트엔드와 백엔드 분리

• 문제 키워드: 클라이언트/서버, 프론트엔드, 백엔드
• 기본 개념: 클라이언트/서버 구성은 프론트엔드와 백엔드 프로세스를 분리하여 시스템 성능과 자원 사용 효율성을 최적화합니다.
• 핵심 포인트: 클라이언트는 사용자 인터페이스를, 서버는 데이터 처리를 담당하여 효율성과 응답 속도를 높입니다.
• 예시: 클라이언트는 사용자 요청을 프론트엔드에서 처리하고, 백엔드 서버가 데이터를 처리하여 빠른 응답 제공
• 예상 문제:
  • 클라이언트/서버 구성의 주요 장점으로 적합한 것은 무엇인가?
    • A. 클라이언트는 사용자 인터페이스를, 서버는 데이터 처리를 담당함 (정답)
    • B. 클라이언트와 서버가 동일한 역할을 수행함
    • C. 프론트엔드와 백엔드 분리가 필요하지 않음
    • D. 클라이언트가 데이터를 직접 처리함