문제6) A 기업의 경영진은 임직원들의 증가로 인해 정보보안의 필요성을 인식하고 정보보안 부서의 신설과 정보보안체계를 수립하고자 한다. 다음을 설명하시오. 가. 정보보호 정책의 개념나. 정보보호 시점 별 보안 활동(Security Action Cycle)다. 정보보안 전문가의 역할과 역량 답)  1. 정보보호 방향 결정 위한 최상위 문서, 정보보호 정책의 개념구분설명개념정보보호 활동의 목적, 전략, 목표를 설정하고 책임과 권한을 부여하기 위한 최고 경영진의 의사표현 및 문서개념도정보보호 정책은 문서화된 사업 규칙의 특수한 형태로서 정보보호에 관한 경영진의 목표와 방향 제시 2. 정보호호 시점 별 보안 활동 (Security Action Cycle) 설명 가. 정보보호 시점 별 보안 활동조직의 정보 보호 ..

문제1) FIPS(Federal Information Processing Standard) 140-2에 대하여 다음을 설명하시오.가. FIPS 140-2 레벨 분류나. 암호화 시스템 설계 시 고려사항다. 암호화 시스템의 보안 요소라. 보안 위협 대응 전략 답) 1. 연방정부 정보처리 표준 FIPS 140-2 의 개요개념1996년 정보기술관리 개혁법 5131항, 정보 기술 제품의 암호화 모듈에 대한 최소 보안 요구 사항 정의하는 미국 정부 표준특징암호화 모듈의 보안 요구사항, 레벨 분류, 정부 및 비정부 부문 적용 2. FIPS 140-2 레벨분류 및 암호화시스템 설계시 고려사항 가. FIPS 140-2 레벨분류레벨수준특징레벨1Basic security가장 기본적인 Security 요구 조건만 충족운영 등..

문제5) APEC(Asia-Pacific Economic Cooperation)의 CBPR(Cross Border Privacy Rules)에 대하여 다음을 설 명하시오.가. APEC 프라이버시 9원칙나. CBPR의 주요 인증기준 답) 1. APEC 회원국간 개인정보 이전 활성화 도모, CBPR 개요개념APEC 회원국 간 자유롭고 안전한 개인정보 이전을 지원하기 위해 APEC 프라이버시 보호 원칙을 기반으로 개인정보 보호 체계를 평가하는 글로벌 자율 인증제도글로벌 인증, 공신력 강화, 자율 인증 제도를 위해 CBPR 인증 제도 확대 2. APEC 프라이버시 9원칙가. APEC 프라이버시 9원칙 개념도 나. APEC 9원칙의 상세 설명원칙프라이버시 원칙설명1고지개인정보 처리에 대한 사전 고지2수집제한수집 ..

문제4) 최근 개인정보보호위원회는 마이데이터 전송 시 개인정보의 안전한 처리를 보장하기 위한 가이드라인(마이데이터 전송 보안 안내서, 2023.09.)을 발간하였다. 이와 관련하여 다음을 설명하시오.가. 전송대상 개인정보 보호책임자의 지정나. 전송대상 개인정보처리시스템의 접근 관리다. 전송대상 개인정보관리 및 재해재난 대비 조치 답)  1. 국민의 보편적 권리의 안전한 처리 , 마이데이터 전송 보안 안내서 개요개념개인정보의 안전성 확보조치 기준 및 해설서를 기본으로 하여, 마이데이터 전송에 필요한 사항을 안내법적근거「개인정보 보호법」 제29조 (안전조치의무)「개인정보의 안전성 확보조치 기준」 제1조(목적) 개인정보처리자가 개인정보를 처리함에 있어서 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니..

문제8) TPM(Trusted Platform Module)답) 1. TPM (Trusted Platform Module)의 개념 개념무결성 검증을 위해 암호키, 패스워드, 디지털 인증서를 안전하게 저장하는 Chip 또는 Firware으로 구현한 하드웨어 보안 모듈목적암호화 키 생성/저장, 패스워드 저장, 프로그램 무결성 검증, 디지털 인증서 연산제공 2. TPM의 구성도 및 구성요소 가. TPM의 구성도안전한 보안을 위해 H/W 형태로 칩셋을 만들어 침입방어 나. TPM의 구성요소구분항목세부 내용스토리지Persistent Memory비휘발성 저장소, SRK, EK저장EK(TPM식별키), SRK(보안체인)Versatile Memory휘발성 저장소, PCR, AIK 저장 PCR(상태정보), AIK(디지털 ..

문제 6) 큐싱(Qshing)답) 1. QR코드 통한 금융사기, 큐싱의 개념QR 코드와 피싱(Fishing)의 합성어로 QR 코드를 통해 악성 앱을 내려 받도록 유도하는 공격기법 2. 큐싱(Qshing)의 매커니즘 및 공격 프로세스 가. 큐싱(Qshing)의 매커니즘사용자가 사용하는 QR코드를 해커가 변경하여, 사용자가 악성앱을 다운로드 받게 서버에 연결함 나. 큐싱(Qshing)의 공격 프로세스프로세스사용기술설명스팸 문자 발송피싱(Fishing)URL Shortening ServiceQR 코드를 생성하고 피해자(victim)에게 무료, 할인 쿠제공과 함께 악성 링크가 포함된 스팸문자(SMS)를 발송QR 코드 촬영카메라, 영상처리피해자는 스팸 문자의 내용을 확인 후 QR 코드를 스캔하여 해커가 유도한 앱..

문제 ) ISA/IEC 62443답) 1. 산업제어시스템 보안 국제표준규격, ISA/IEC 62443의 개요산업제어시스템 보안관리 요구사항, 보안기술, 제품의 개발 요구사항 및 구성요소에 대한 기술적 보안 요구사항을 정의한 산업제어시스템 보안 국제 표준 2. ISA/IEC 62443의 구성도 및 구성요소 가. ISA/IEC 62443의 구성도ISA/IEC 62443은 General, Policles&Procedures, System, Component로 구성되어 있음 나. ISA/IEC 62443의 구성요소 구분항목내용General(Part 1)용어 정의, 컨셉, 모델7개 FR(Foundational Requirements) 정의식별 및 인증(FR1), 사용제어(FR2), 시스템 무결성(FR3), 데이..

문제4) 대칭 암호화와 비대칭 암호화답)1. 양방향 암호화 중 대칭 암호화의 개요구분내용개념암호화 방식 중 암호화에 사용한 키와 복호화 키가 동일한 암호화 알고리즘특징암호화 키 = 복호화 키, 동일한 비밀키 사용, 데이터 암호 목적개념도유형스트림 암호화1 bit 씩 암호화XOR 암호화RC4블록 암호화2 bit 이상 묶음 연산S-box, P-boxDES, 3DES, AES, IDEA용도개인 파일 암호화실시간 스트리밍 암호 2. 양방향 암호화 중 비대칭 암호화의 개요구분내용개념개인이 공개키와 개인키를 소유하고, 암·복호화를 수행하는 암호화 알고리즘특징암호화 키 ≠ 복호화 키, 공개키와 개인키, 대칭키 교환 용도개념도유형인수분해디지털 서명RSA, Robin이산대수키교환, 디지털서명DH, Elgmel, DSA타..

문제 13) NAC(Network Access Control) 답) 1. 네트워크 접근 제어, NAC의 개요 가. NAC의 개념 사용자 Endpoint(PC, 노트북 등)의 NW 접근 시도 시 사전 승인여부 및 보안정책 준수 여부를 확인하고, NW 접속을 승인 또는 차단하는 네트워크 접근제어 시스템 나. NAC의 필요성 정당한 검증 필요 모든 접속 경로에 대한 사전 승인 접근 통제 네트워크 접근하는 단말에 대한 상태 점검(OS, DRM, DLP, Anti-Virus) 2. NAC의 구성 가. NAC의 구성도 나. NAC의 기능 기능 설명 정책 라이프사이클 관리 별도의 제품이나 추가 모듈 없이도 모든 작동 시나리오에 정책을 적용 사용자/디바이스 파악 및 프로파일 생성 프로파일 생성: 악성 코드로 인한 피해..

문제4) 구현단계에서 발생 가능한 코딩 보안 약점인 검사시점과 사용시점(TOCTOU)에 대하여 다음을 설명하시오. 가. TOCTOU의 정의와 개념 나. 문제가 발생하는 상황과 보안대책 다. TOCTOU 관점에서 아래 코드 실행시 발생가능한 문제점을 설명하고 해결 방안을 제시하시오. void deposit(int amount) { account += amount; } void withdraw(int amount) { account -= amount; } 답) 1. 시간 및 상태의 부적절한 관리 취약점. TOCTOU(Time Of Check, Time Of Use)의 정의와 개념 정의 멀티프로세스를 구현한 응용프로그램(병렬시스템)에서 자원(파일, 소켓 등)을 사용하기전 자원을 사용하는 시점과 사용하는 시점의..