해커를 꿈꾸는 개발자

정보보안기사 필기 독학 / 정보보안 관리 및 법규 / 3. 개인정보보호법

OECD 개인정보보안 8원칙

- 수집제한의 원칙

- 정보의 정확성 원칙

- 목적 명확화의 원칙

- 이용제한의 원칙

- 안전성 확보의 워닉

- (처리방침)공개의 원칙

- 정보주체의 참여의 원칙

- 책임의 원칙

관련 문제

12회 「개인정보보호법」에 의거하여 공공기관의 장은 대통령령으로 정하는 기준에 해당하는 개인정보 파일의 운용으로 인하여 정보주체의 개인정보 침해가 우려되는 경우에는 그 위험 요인의 분석과 개선사항 도출을 위한 영향평가를 하고 그 결과를 행정안전부장관에게 제출하여야 한다. 영향평가를 하는 경우에 고려해야 할 사항으로 적합하지 않은 것은?4
① 처리하는 개인정보의 수
② 개인정보의 제3자의 제공 여부
③ 정보주체의 권리를 해할 가능성 및 그 위험 정도
④ 개인정보를 처리하는 수탁업체 관리·감독의 여부

12회 "개인정보 보호법”에서 개인정보의 파기 및 보존 시 가장 적절하지 않은 경우는?2
① 개인정보의 이용목적이 달성된 때에는 즉시 파기하여야 한다.
② 개인정보 삭제 시 만일의 경우에 대비하여 일정기간 보관한다.
③ 개인정보를 파기하지 않고 보관할 시에는 다른 개인정보와 분리하여 저장 · 관리한다.
④ 전자적 파일 형태인 경우, 복원이 불가능한 방법으로 행구 삭제한다.

12회 「개인정보보호법」에 의거하여 개인정보처리자가 정보주체 이외로부터 수집한 개인정보를 처리하는 때에는 정보주체의 요구가 있으면 즉시 정보주체에게 알려야 하는 사항들에 해당되지 않는 것은?2
① 개인정보 처리의 정지를 요구할 권리가 있다는 사실
② 개인정보의 보유·이용 기간
③ 개인정보의 수집 출처
④ 개인정보의 처리 목적

12회 「개인정보보호법」에 의거하여 개인정보처리자는 개인정보의 처리에 대하여 정보주체의 동의를 받을 때에는 각각의 동이 사항을 구분하여 정보주체가 이를 명확하게 인지할 수 있도 록 알리고 각각 동의를 받아야 한다.동의를 서면으로 받을 때에는 중요한 내용을 정하는 방법에 따라 명확히 표시하여 알아보기 쉽게 하도록 되어 있다. 이때 중요한 내용에 해당 되지 않는 것은?1
① 동의를 거부할 권리가 있다는 사실 및 거부에 따른 불이익이 있을 경우에는 불이익에 대한 내용
② 개인정보를 제공받는 자
③ 개인정보를 제공받는 자의 개인정보 이용 목적
④ 개인정보의 보유 및 이용 기간

12회 다음 중 이래 지문의 빈칸 안에 들어가야 할 단어 또는 문장으로 가장 적합한 것은?3
[보기]
개인정보 보호법」 제2조(정의) 이 법에서 사용하는 용어의 뜻 은 다음과 같다.
“개인정보'란 살아 있는 개인에 관한 정보로서 성명 ( 가 ) 및 영상 등을 통하여
개인을 알아볼 수 있는 정보 (해당 정보만으로는 특정 개인을 알아볼 수 없더라도
다른 정보 와 쉽게 ( 하여 알아볼 수 있는 것을 포함한다)를 말한다.
「정보통신망법」 제2조정의) 1 이 법에서 사용하는 용어의 뜻 은 다음과 같다.
“개인정보란 생존하는 개인에 관한 정보로서 성명 ( 가 ) 등에 의하여
특정한 개인을 알아볼 수 있는 부호 · 문자·음성 · 음향 및 영상 등의 정보
(해당 정보만으로는 특 정 개인을 알아볼 수 없어도 다른 정보와 쉽게
( 나 )하여 알아 볼 수 있는 경우에는 그 정보를 포함한다)를 말한다.

① 가:주민등록번호 나: 구분
② 가:성별 나: 유추
③ 가:주민등록번호 나: 결합
④ 가:성별 나: 구분

11회 「개인정보 보호법」 상 용어 정의로 가장 옳지 않은 것은?4
①개인정보: 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보
② 정보주체: 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람
③ 처리: 개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유. 가공, 편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위
④ 개인정보관리자: 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인

11회 개인정보보호법 제3조(개인정보 보호 원칙)에 대한 내용 중 틀린 것은?3
① 개인정보처리자는 개인정보의 처리 목적을 명확하게 하여야 하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집하여야 한다.
② 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 적합하게 개인정보를 처리하여야 하며, 그 목적 외의 용도로 활용하여서는 아니 된다.
③ 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 개인정보의 기밀성, 무결성 및 신뢰성이 보장되도록 하여야 한다.
④ 개인정보처리자는 개인정보의 처리 방법 및 종류 등에 따라 정보주체의 권리가 침해받을 가능성과 그 위험 정도를 고려하여 개인정보를 안전하게 관리하여야 한다.

11회 「개인정보 보호법」에서 규정하고 있는 개인정보 중 민감정보에 해당하지 않는 것은?1
① 주민등록번호
② 노동조합 · 정당의 가입·탈퇴에 관한 정보
③ 건강에 관한 정보
④ 사상 · 신념에 관한 정보

11회 다음은 개인정보보호법에 따른 개인정보의 파기에 관하여 설명한 것이다. 옳은 것은?3
① 개인정보처리자는 처리 목적의 달성여부와 관계없이 동의 기간이 경과해야만 개인정보를 파기할 수 있다.
② 개인정보처리자는 동의기간이 경과하더라도 처리목적이 달성되지 못한 경우에는 개인정보를 계속 이용할 수 있다.
③ 개인정보처리자는 개인정보를 파기해야 하는 사유가 발생했을 때에는 정당한 사유가 없는 한 5일 이내에 개인정보를 파기해야 한다.
④ 복원이 불가능한 방법이란 미래에 개발될 기술도 고려하여 파기 후 개인정보의 복구 가능성을 원천 차단한 방법 을 의미한다.

12회 「개인정보보호법」 상에서 민감정보로 명시되어 있는 것은?2
① 혈액형
② 사상·신념
③ 결혼 여부
④ 성별

10회 100만명 미만의 정보 주체에 관한 개인정보를 보유한 중소기업의 내부 관리 계획의 내용에 포함하지 않아도 될 사항은 무엇인가?4
① 개인정보 보호책임자의 지정
② 개인정보 유출 사고 대응 계획 수립, 시행
③ 개인정보의 암호화 조치
④ 개인정보 처리 업무를 위탁하는 경우 수탁자에 대한 관리 및 감도

14회 다음 중 개인정보 처리방침에 의무적으로 포함되어야 할 내용이 아닌 것은?2
①개인정보 처리 및 보유 기간
②개인정보 침해 시 구제 방안
③개인정보의 제3자 제공에 관한 사항
④개인정보 보호책임자 및 조직 정보

14회 개인정보 보호책임자와 관련된 설명이다. 옳지 않은 것을 고르시오.2
①개인정보 보호책임자는 기업의 임원이 수행함이 원칙이다.
②개인정보 보호책임자를 별도로 지정하지 않으면 정보보호 최고책임자가 개인정보 보호책임자가 된다.
③임원이 없는 기업의 경우 관련 부서장이 개인정보 보호책임자로 임명될 수 있다.
④개인정보 보호책임자는 정당한 업무 수행에 따른 불이익을 받지 않는다.

14회 다음 중 개인정보 보호 관련 법제에서 개인정보 제공 정보주체의 권리로 가장 거리가 먼 것은?4
①개인정보의 처리에 관한 정보를 제공받을 권리
②개인정보의 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리
③개인정보의 처리로 인하여 발생한 피해를 신속하고 공정한 절차에 따라 구제받을 권리
④개인정보 활용으로 얻은 금전적 이익에 대한 보상을 청구할 권리

14회 개인정보 영향평가 시 반드시 고려해야 할 사항이 아닌 것은?4
①처리하는 개인정보의 수
②개인정보의 제3자 제공 여부
③정보주체의 권리를 해할 가능성 및 그 위험 정도
④개인정보 수탁자에 대한 관리 감독

10회 개인정보의 기술적 관리적 보호조치 기준에 따른 접속기록에서 필수 항목이 아닌 것은?2
① 개인정보취급자 식별정보
② 접속포트
③ 수행업무
④ 접속지 정보

12회 고유식별정보는 법령에 따라 개인을 고유하게 구별하기 위하여 부여된 식별정보로서 대통령령으로 정하는 정보이다. 다음 중 개 인정보처리자가 고유식별정보를 처리할 수 있는 경우에 해당하는 것은?2
① 정보주체의 동의를 받지 않은 경우
② 법령에서 구체적으로 고유식별정보의 처리를 요구하거나 허용하는 경우
③ 교통단속을 위하여 필요한 경우
④ 시설 안전 및 화재 예방을 위하여 필요한 경우

12회 개인정보영향평가 시 반드시 고려할 사항이 아닌 것은?2
① 처리하는 개인정보의 수
② 개인정보 취급자의 인가 여부
③ 개인정보의 제3자 제공 여부
④ 정보주체의 권리를 해할 가능성 및 그 위협

12회 개인정보의 안정성 확보조치 기준(고시)의 제7조(개인정보의 암호화)에 따라 반드시 암호화하여 저장해야하는 개인정보가 아닌 것은?4
① 비밀번호
② 고유식별번호
③ 바이오 정보
④ 전화번호


12회 개인정보처리자는 다음 지문의 사항이 포함된 것을 정하고 이를 정보주체가 쉽게 확인할 수 있게 공개하도록 되어 있다. 다음 지문의 사항이 포함된 문서의 법률적 명칭은 무엇인가?4
[보기]
1. 개인정보의 처리 목적
2. 개인정보의 리 및 보유 기간
3. 개인정보의 제3자의 제공에 관한 사항(해당도는 경우에만 정한다.)
4. 개인정보처리의 위탁에 관한 사항해당도는 경우에만 정한다)
5. 정보주체의 권리의무 및 그 행사방법에 관한 사항
6. 그 밖에 개인정보의 처리에 관하여 대통령령으로 정한 사항

① 개인정보 보호정책
② 표준 개인정보 보호지침
③ 개인정보 보호지침
④ 개인정보 처리방침

11회 OECD 개인정보보안 8원칙에 포함되지 않는 것은 무엇인가?3
① 이용제한의 원칙
② 정보 정확성의 원칙
③ 비공개의 원칙
④ 안전성 확보의 원칙

11회 다음은 개인정보의 안전성 확보조치 기준에서의 인터넷 홈 페이지 취약점 점검과 관련한 설명이다. 옳은 것들을 모두 고른 것은?4
[보기]
a. 인터넷 홈페이지를 통해 고유식별정보를 처리하는 개인정
보처리자는 해당 인터넷 홈페이지에 대해 연 1회 이상 취
약점을 점검하고 필요한 보완 조치를 하여야 한다.
b. 인터넷 홈페이지의 취약점 점검은 개인정보처리자의 자체인 | 력, 보안업체 등을 활용할 수 있으며, 취약점 점검은 상용
도구, 공개용 도구, 자체제작 도구 등을 사용할 수 있다.
c. 웹 취약점 점검과 함께 정기적으로 웹쉘 등을 점검하고 조
치하는 경우 취급 중인 개인정보가 인터넷 홈페이지를 통 해 열람권한이 없는 자에게 공개되거나 유출되는 위험성을 더욱 줄일 수 있다.

① a,b
② b,c
③ a,c
④ a,b,c

11회 개인정보처리자가 개인정보의 수집 시 정보주체의 동의를 받지 않아도 되는 경우로 가장 적절한 것은?3
①개인정보취급 방침에 명시한 경우
② 경제적, 기술적인 사유로 통상적인 동의를 받는 것이 뚜
렷하게 곤란한 경우
③ 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위
하여 불가피한 경우
④ 요금 부과를 위해 필요한 경우

10회 개인정보의 기술적 관리적 보호조치 기준에 따른 접속기록에서 필수 항목이 아닌 것은?2

① 개인정보취급자 식별정보
② 접속포트
③ 수행업무
④ 접속지 정보

10회 개인정보처리자는 다음 지문의 사항이 포함된 것을 정하고 이를 정보 주체가 쉽게 확인할 수 있게 공개하도록 되어 있다. 다음 지문의 사항이 포함된 문서의 법률적 명칭은 무엇인가?4
[보기]
1. 개인정보의 처리 목적
2. 개인정보의 처리 및 보유 기간
3. 개인정보의 제 3자의 제공에 관한 사항(해당되는 경우에만 정한다)
4. 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다)
5. 정보주체의 권리의무 및 그 행사방법에 관한 사항
6. 그 밖에 개인정보의 처리에 관하여 대통령령으로 정한 사항

① 개인정보 보호 정책
② 표준 개인정보 보호지침
③ 개인정보 보호지침
④ 개인정보 처리방침

10회 다음 중 개인정보보호법에 따른 개인정보 수집 시 반드시 정보주체의 동의가 필요한 경우는?1
① 인터넷 홈페이지 등에 공개 된 전화번호 또는 이메일을 통해 직장인 우대 대출, 홍보성 이벤트를 하는 경우
② 동호회의 운영을 위하여 회원의 개인정보를 수집, 이용하는 경우
③ 자동차 구매를 위해 고객의 명함을 받은 자동차판매점 담당 직원이 자동차 구매 관련 정보 제공을 위해 명함에 기재 된 연락처를 이용하는 경우
④ 소방서에서 홍수로 고립된 사람을 구조하기 위해 위치정보를 수집하는 경우

정보보안기사 필기 독학 / 정보보안 관리 및 법규 / 2. 정보보호 관리 및 대책, ISMS-P

ISMS-P 인증의 구성

ISMS 인증은 ISMS 의무인증 기업이 받아야 하는 인증으로 관리체계 수립 및 운영, 보호대책 요구사항에 대해서 인증을 합니다. ISMS-P 인증은 한국인터넷진흥원에서 제도 운영을 담당하며, ISMS 인증을 받은 기업이 개인정보 처리 단계별 요구사항의 인증기준을 준수하면 부여되는 인증입니다. 3개 분류에서 총 102개 항목을 심사합니다.

정보보호 관리체계 인증제도

정보통신서비스와 직접적인 관련성이 낮은 전사적 자원관 리시스템(ERP), 분석용 데이터베이스(DW), 그룹웨어 등 기업 내부 시스템, 영업/마케팅 조직은 일반적으로 인증 범위에서 제외해도 됩니다. 인증범위는 신청기관이 제공하는 정보통신서비스를 기준 으로 해당 서비스에 포함되거나 관련 있는 자산(시스템, 설비, 시설 등), 조직 등을 포함하여야 합니다. 

정보보호 관리체계 의무인증 대상 기업이 인증 받지 않은 경우 3천만원 이하의 과태료를 부과합니다. 

IMS 의무인증 대상자 :

- (ISP) 전기통신사업법의 전기통신 사업자로 전국적으로 정보통신망 서비스를 제공하는 사업자

- (IDC) 타인의 정보통신 서비스 제공을 위하여 집적된 정보통신 시설을 운영, 관리하는 사업자

- (정보통신버시스 제공자) 정보통신서비스 매출액 100억 또는 이용자 수 100만 명 이상인 사업자

- 연간 매출액 및 세입 등이 1500억 이상인 상급종합병원, 1만 이상 재학생이 있는 학교

정보보호제품 평가 · 인증 제도 

민간업체 등에서 개발한 정보보호시스템을 국제표준인 ISO 15408 및 ISO 18045를 이용하여 보안기능에 대한 안정성과 신뢰성을 보증함으로써 사용자들이 안심하고 정보보호시스템 을 사용할 수 있도록 지원하는 제도입니다.

관련 문제

12회 10회 정보보호 사전점검에 대한 설명으로 옳은 것은? 4
① 정보보호 사전점검은 전자적 침해행위에 대비하기 위한 정보시스템의 취약점 분석 평가와 이에 기초한 보호대책 의 제시 또는 정보보호 관리체계 구축 등을 주된 목적으로 한다.
② 방송통신위원회는 사업자가 사전점검을 실시하거나 실시 계약을 체결한 경우 해당 사업 또는 서비스에 대하여 가점을 부여하는 등 우대조치를 할 수 있다.
③ 사전점검 수행기관으로 지정받으려는 자는 수행기관 지정 신청서를 방송통신위원회에 제출하여야 한다.
④ 사전점검 대상 범위는 제공하려는 사업 또는 정보통신 서비스를 구성하는 하드웨어, 소프트웨어, 네트워크 등의 유무형 설비 및 시설을 대상으로 한다.

12회 다음 정보보호 관리체계 인증제도에 대한 설명으로 가장 적절하 지 않은 것은?3
① 정보통신서비스와 직접적인 관련성이 낮은 전사적 자원관 리시스템(ERP), 분석용 데이터베이스(DW), 그룹웨어 등 기업 내부 시스템, 영업/마케팅 조직은 일반적으로 인증 범위에서 제외해도 된다.
② 인증범위는 신청기관이 제공하는 정보통신서비스를 기준 으로 해당 서비스에 포함되거나 관련 있는 자산(시스템,
설비, 시설 등), 조직 등을 포함하여야 한다.
③ ISMS 의무인증범위 내에 있는 서비스, 자산, 조직(인력)을 보호하기 위한 보안시스템은 포함 대상에서 제외해도 된다.
④해당 서비스의 직접적인 운영 및 관리를 위한 백오피스 시스템은 인증범위에 포함되며, 해당 서비스와 관련이 없더
라도 그 서비스의 핵심정보자산에 접근가능 하다면 포함 하여야 한다.

11회 정보보호 관리체계 인증제도에 대한 설명으로 가장 적절하지 않은 것은?4
① 인증대상은 임의신청자와 의무대상자로 구분되며, 인공 의무대상자가 인증을 받지 않으면 과태료 3천만원이 부과된다.
② 임의신청자의 경우 인증범위를 신청기관이 정하여 신청할 수 있으며, 심사기준 및 심사절차는 의무대상자 심사와 동일하다.
③ 정보통신망법 제46조에 따른 집적정보통신시설 사업자는 의무대상자이다.
④ 전년도 직전 3개월간 정보통신서비스 일일평균 이용자 수가 10만명 이상인 자는 대상이다.

11회 다음 지문이 설명하는 정보보호 관련 제도는?1
[보기]
민간업체 등에서 개발한 정보보호시스템을 국제표준인 ISO 15408 및 ISO 18045를 이용하여 보안기능에 대한 안정성과 신뢰성을 보증함으로써 사용자들이 안심하고 정보보호시스템 을 사용할 수 있도록 지원하는 제도
① 정보보호제품 평가 · 인증 제도
② 정보보호 관리체계 인증 제도
③ 보안적합성 검증 제도
④ 암호모들 검증 제도

10회 다음 중 정보보호관리체계 의무 대상자에 해당하지 않는 것은?3
① 고객의 개인정보를 100만명 이상 보유하고 있는 전자상거래 사업자
② 전기통신사업법의 전기통신사업자로 서울 특별시 및 모든 광역시에서 정보통신망 서비스를 제공하는 사업자
③ 상급 종합병원
④ 정보통신서비스 부문 전년도 매출액이 100억 이상인 사업자

14회 ISMS-P에 대한 설명으로 옳지 않은 것은?3
①한국인터넷진흥원에서 제도 운영을 담당한다.
②3개 분류에서 총 102개 항목을 심사한다.
③인증심사기관 지정 유효기간은 5년이며, 6개월 전에 갱신 신청을 해야 한다.
④ISMS-P가 아닌 ISMS만 취득하고자 할 경우 일부 항목에 대한 평가는 생략된다.

11회 다음 중 ISMS(Information Security Management System) 의 각 단계에 대한 설명으로 옳은 것은?2
① 계획 : ISMS 모니터링과 검토
② 조치 : ISMS 관리와 개선
③ 수행 : ISMS 수립
④ 점검 : ISMS 구현과 운영

14회 정보보호 대책 마련과 관련된 절차이다. 올바른 순서대로 나열한 것은?4
ㄱ. 위험관리
ㄴ. 경영진 책임 및 조직 구성
ㄷ. 사후관리
ㄹ. 정보보호대책 수립
ㅁ. 정책 수립 및 범위 설정
①ㄱ-ㄴ-ㄷ-ㄹ-ㅁ
②ㄴ-ㄱ-ㄹ-ㅁ-ㄷ
③ㄷ-ㄱ-ㄴ-ㅁ-ㄹ
④ㅁ-ㄴ-ㄱ-ㄹ-ㄷ

11회 다음은 정보보호 정책 및 조직과 관련한 설명이다. 옳지 않은 것은?1
① 조직이 수행하는 모든 정보보호 활동의 근거를 포함할 수 있도록 정보보호정책을 수립해야 하며, 이러한 정책은 조 직과 관련한 것이므로 국가나 관련 산업에서 정하는 정보 보호 관련 법, 규제를 고려할 필요는 없다.
② 조직에 미치는 영향을 고려하여 중요한 업무, 서비스, 조직, 자산 등을 포함할 수 있도록 정보보호 관리체계 범위를 설
정하고 범위 내 모든 자산을 식별하여 문서화하여야 한다.
③ 정보보호 관리체계 수립 및 운영 등 조직이 수행하는 정보
보호 활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 체계를 수립해야 한다.
④최고경영자는 조직의 규모, 업무 중요도 분석을 통해 정 보보호 관리체계의 지속적인 운영이 가능하도록 정보보 호 조직을 구성하고 정보보호 관리체계 운영 활동을 수행 하는데 필요한 자원을 확보하여야 한다.


11회 다음은 정보보호 교육과 관련한 설명이다. 옳지 않은 것은?1
①교육의 시기, 기간, 대상, 내용, 방법 등의 내용이 포함된 연간 정보보호 교육 계획을 수립하면서, 대상에는 정보보 호 관리체계 범위 내 임직원을 포함시켜야 하고, 외부용역 인력은 제외해도 무방하다.
②교육에는 정보보호 및 정보보호 관리 체계 개요, 보안사
고 사례, 내부 규정 및 절차, 법적 책임 등의 내용을 포함 하고 일반 임직원, 책임자, IT 및 정보보호 담당자 등 각 직무별 전문성 제고에 적합한 교육내용 및 방법을 정하여야 한다.
③ 연 1회 이상 교육을 시행하고 정보보호 정책 및 절차의 중 대한 변경, 조직 내·외부 보안사고 발생, 관련 법규 변경
등의 사유가 발생할 경우 추가 교육을 수행해야 한다.
④ 교육 내용에는 구성원들이 무엇을 해야 하며, 어떻게 할
수 있는지에 대한 것을 포함해야 하며, 가장 기본적인 보 안 단계의 실행에서부터 좀 더 고급의 전문화된 기술에 이르기까지 다양한 단계로 나누어 구성할 수 있다.

10회 85. 다음 지문은 무엇을 설명하고 있는가?1
[보기]
이 역할의 책임은 정보보호 프로그램의 실행 감독 및 정책, 명령체계, 정보보호의식 프로그램 등을 유지 관리하고 정보보호 사고를 조사하며, 정보보호위원회에 제반 사항을 보고하는 것이다.
① 정보보호 관리자
② 비상상황관리 위원회
③ 시스템 관리자
④ 현업 관리자

10회 다음 중 용어에 대한 설명이 옳지 않은 것은?1
① 정성적 기준: 자산 도입 비용, 자산 복구 비용, 자산 교체 비용이 기준이 됨
② 정보보호 관리체계: 정보보호의 목적인 정보자산의 기밀성, 무결성, 가용성을 실현하기 위한 절차 및 과정을 수립하고, 문서화하여 지속적으로 관리, 운영하는 것을 의미
③ 정보보호의 정책: 어떤 조직의 기술과 정보자산에 접근하려는 사람이 따라야 하는 규칙의 형식적인 진술을 의미
④ 위험분석: 위험을 분석하고, 해석하는 과정으로 조직 자산의 취약점을 식별, 위협분석을 통해 위협의 내용과 정도를 결정하는 과정을 의미

10회 다음 중 외주 및 협력업체의 인력에 대한 보안을 강화하기 위한 보호대책으로 적절하지 않은 것은?4
① 외부위탁 용역 및 협력업체 인력과의 계약서에 보안 관련 사항을 포함시켜야 한다.
② 협력업체 직원 등의 외주 인력은 회사 업무 수행 시 내부 직원과 동일한 수준으로 정보보호 정책을 준수하여야 한다.
③ 외부 인력에게 회사의 중요 정보의 접근을 허용하는 경우 한시적으로 제한하여 허용하고, 주기적인 점검이 이루어져야 한다.
④ 업무상 필요에 의해 협력업체 직원이 회사 정보 시스템에 대한 접속 및 외부로의 접속이 요구되는 경우 협력업체 책임자의 승인을 받는다.

9회 ( 가 )안에 들어갈 내용으로 맞는 것은?1
[보기]
제47조(정보보호 관리체계의 인증) ① 과학기술정보통신부관은 정보동신망의 안정성 • 신뢰성 확보를 위하여 ( 가 ) 보호조치를 포함한 종합적 관리체계(이하 "정보보호 관리체계"라 한다)를 수립 • 운영하고 있는 자에 대하여 저3항에 따른 가준에 적합한지에 관하여 인증을 할 수 있다.
① 관리적 • 기술적 • 물리적
② 위험 분석적
③ 기밀성 • 무결성 • 가용성
④ 지속적 • 구조적 • 탄력적

9회 업무영향분석 시 고려해야 할 내용으로 가장 거리가 먼 것은?1
① 복구 정확성, 비상시 의무사항 수행, 대체 백업 사이트의 처리 역량 검증
② 사건 발생 이후 시간이 경과함에 따라 손해 혹은 손실이 점증되는 정도
③ 최소한의 운영에 필요한 직원, 시설, 서비스를 복구하는데 소요되는 시간
④ 수입상실, 추가적 비용부담, 신용상실 등과 같은 형태의 손실

9회 정보보호정책 수립 시에 정보보호 목표를 선정함에 있어 고려해야 할 사항으로 적절하지 않은 것은?2
① 사용자에게 제공하는 서비스의 이점이 위협의 비중보다 크다면 정보보호관리자는 사용자들이 위험으로부터 서비스를 안전하게 사용할 수 있도록 보호대책을 수립하여야 한다.
②누구나 쉽게 시스템에 접근하여 사용할 수 있다면 사용하기에 편리할 수 있도록 하여야 한다. 다만 각종 위협으로부터 완전히 노출되어 있이서 정보보호관리자는 시스템의 안전성을 고려하는 것보다는 시스템 사용의 용이성을 최우선과제로 선정해야한다. 」
③ 정보보호정책의 적용 영역은 정보기술 , 저장된 정보, 기술에 의해 조직된 정보의 모든 형태를 포함한다.
④ 정보보호를 하기 위해서는 비용이 많이 소요되므로 프라이버시 침해에 따른 손실, 서비스 침해에 따른 손실 등을 고려하여 신중하게 결정해야 한다.


9회 다음 중 아래에 대한 설명으로 가장 적합한 것은?2
[보기]
정보보호 목적과 구성, 기본 방침, 정보보호 실행계획 수립, 보안에 대한 역할과책임, 정보자산/정보시스템의 보안, 규정의 준수, 보안정책운용 정보를 포함한 문서
① 위험분석서
② 정보보호정책서
③ 업무연속성계획서
④ 업무영향평가서

8회 다음의 ISMS 인증 의무 대상자에 대한 설명으로 잘못 기술 된 것은?4
① 전기통신사업법의 전기통신사업자로 전국적으로 정보통신망 서비스를 제공히는 사업자
② 타인의 정보통신서비스 제공을 위하여 집적된 정보통신시 설을 운영 • 관리하는 사업자
③ 정보통신서비스 부문 전년도 매출액 100억 이상 사업자
④ 전년도말 기준 직전 6월간 일일 평균 이용자 수 100만명 이상 사업자

8회 다음의 보기 중에서 일반직원 대상의 통상적인 정보보호 교육 및 훈련의 내용에 해당되지 않는 것은?4
① 정보보호 요구사항
② 정보보호 사고 발생 시의 사용자의 법적인 책임
③ 조직의 정보보호 관리통제 방법
④ 조직의 정보보호 시스템 구성도 및 운영방법

8회 아래는 정보통신망 이용촉진 및 정보보호 등에 관한 법률의 한 규정의 내용이다. ( )안에 들어갈 말로서 바르게 나열된 것은?1
[보기]
"정보통신서비스제공자는 이용자의 개인정보를 ( )하려고 ( ) 하는 때에는 다음 각 호의 () 사항에 대하여 이용자에게 알 리고 ( )를 얻어야 한다. 다음 각 호의 어느 하나의 사항을 ( )하려는 때에도 또한 같다.
1. 개인정보의 수집·이용 목적
2. 수집하는 개인정보의 항목
3. 개인정보의 보유 및 이용 기간

① 이용 - 수집 - 모든 - 동의 - 변경
② 이용 - 보유 - 개별 - 양해 - 수정
③ 사용 - 보유 - 개별 - 양해 - 수정
④ 이용 - 수집 - 모든 - 양해 - 변경

8회 다음 보기 중에서 통상적으로 정보보호 정책서에 기술하지 않는 항목은?4
① 정보보호 목적과 구성
② 정보보호 실행 계획 수립
③ 보안에 대한 역할과 책임
④ 정보보호 선언

6회 다음 중 정보보호 관리 체계(ISMS)의 관리 과정 순서로 올바른 것은?3
가. 정보보호 정책 수립 및 범위 설정
나. 위험관리
다. 사후 관리
라. 경영진 책임 및 조직 구성
마. 정보보호 대책 구현

① 마-라-다-나-가
② 가-나-다-라-마
③ 가-라-나-마-다
④ 나-가-다-라-마

6회 다음 중 정보보호 관리 체계의 정보보호 관리 과정에 포함되지 않는 것은?4
① 정보보호 정책 수립 및 범위 설정
② 사후 관리
③ 정보보호 대책 구현
④ 구현

정보보안기사 필기 독학 / 정보보안 관리 및 법규 / 1. 정보보호 위험 평가

위험 대응 전략 

- 위험 수용 : 위험을 받아들이고 비용을 감수합니다. 

- 위험 감소 : 위험을 감소시킬 수 있는 대책을 채택하여 구현합니다. => 솔루션 구매

- 위험 회피 : 위험이 존재하는 프로세스나 사업을 포기합니다. 

- 위험 전가 : 잠재적 비용을 제3자에게 이전하거나 할당합니다. => 보험, 외주

위험분석 기법

- 기준선 접근법(Base Line Approach) : 모든 시스템에 대하여 보호으 기준 수준을 정하고 이를 달성하기 위하여 일련의 보호 대책을 선택하고, 시간 및 비용이 적고 모든 조직에서 기본적으로 필요한 보호 대책 선택이 가능합니다. 

- 전문가 판단(Informal Approach) - 델파이법 : 정형화된 방법을 사용하지 않고 전문가의 지식과 경험에 따라서 위험을 분석합니다. 위험 분석을 짧은 기간에 도출할 수 있어 시간과 비용을 절약할 수 있지만, 추정의 정확도가 낮습니다.

- 상세위험분석(Detailed Risk Analysis) : 자산 분석, 위협 분석, 취약성 분석의 각 단계를 수행하여 위험을 분석하는 것을 말합니다.

- 확률분포법 : 미지의 사건을 추정하는 데 사용되는 방법입니다.

- 시나리오법 : 그 어떤 사건도 기대대로 발생하지 않는다는 사실에 근거하여 일정 조건 하에서 위협에 대한 발생 가능한 결과를 추정하는 방법입니다. 

관련 문제

14회 다음 지문에 해당하는 위험관리 방법으로 옳은 것은?2
정보보호 점검 과정에서 기업내 자료 전송간 유출 위험이 탐지되었다. 이에 암호화 솔루션을 구매하여 전송 구간을 암호화하였다.
①위험 수용
②위험 감소
③위험 회피
④위험 전가

12회 10회 도출된 위험이 해당 사업에 심각한 영향을 주는 관계로 보험에 가입하였다.
이런 식으로 위험을 경감 또는 완화시키는 처리 유형은 무엇인가?2
① 위험 감소(reduction)
② 위험 전가(transfer)
③ 위험 수용(acceptance)
④ 위험 회피(avoidance)

11회 현재 존재하는 위험이 조직에서 수용할 수 있는 수준을 넘어 선다면, 이 위험을 어떤 방식으로든 처리해야 된다. 다음의 지문이 설명하고 있는 위험 처리 방식은?4
[보기]
보험이나 외주 등으로 위험 처리에 소요될 잠재적 비용을 제 3자에게 이전하거나 할당하는 위험처리방식
① 위험 수용
② 위험 감소
③ 위험 회피
④ 위험 전가

14회 다음 중 정량적 위험분석 기법으로 보기 어려운 것은?4
①과거자료분석법
②수학공식접근법
③확률분포법
④델파이법

12회 위험분석 방법론으로 적절히 짝지은 것은?2 
[보기] 
가 :그 어떤 사건도 기대대로 발생하지 않는다는 사실에 근거하여 일정 조건 하에서 위협에 대한 발생 가능한 결과를 추정하는 방법 
나: 시스템에 관한 전문적인 지식을 가진 전문가 집단을 구성하고 위협을 분석 및 평가하여 정보시스템이 직면한 다양 한 위협과 취약성을 토론을 통해 분석하는 방법 
① 가:확률분포법 나: 순위결정법 
② 가:시나리오법 나:델파이법 
③ 가:델파이법 나:확률분포법 
④ 가:순위결정법 나:시나리오법 

12회 다음 지문이 설명하는 위험분석방법론은?3 
[보기] 
- 시스템에 관한 전문적인 지식을 가진 전문가의 집단을 구성하고 위험을 분석 및 평가하여 정보시스템이 직면한 다양한 위협과 취약성을 토론을 통해 분석하는 방법이다. 
- 위험 분석을 짧은 기간에 도출할 수 있어 시간과 비용을 절약할 수 있지만, 추정의 정확도가 낮다. 
① 과거자료 분석법 
② 확률 분포법 
③ 델파이법 
④ 시나리오법 

12회 9회 위험분석 방법론으로 적절히 짝지은 것은?2 
[보기] 
가 :그 어떤 사건도 기대대로 발생하지 않는다는 사실에 근거하여 일정 조건 하에서 위협에 대한 발생 가능한 결과를 추정하는 방법 
나: 시스템에 관한 전문적인 지식을 가진 전문가 집단을 구성하고 위협을 분석 및 평가하여 정보시스템이 직면한 다양 한 위협과 취약성을 토론을 통해 분석하는 방법 
① 가:확률분포법 나: 순위결정법 
② 가:시나리오법 나:델파이법 
③ 가:델파이법 나:확률분포법 
④ 가:순위결정법 나:시나리오법 

12회 8회 다음 지문이 설명하는 위험분석방법론은?3 
[보기] 
- 시스템에 관한 전문적인 지식을 가진 전문가의 집단을 구성하고 위험을 분석 및 평가하여 정보시스템이 직면한 다양한 위협과 취약성을 토론을 통해 분석하는 방법이다. 
- 위험 분석을 짧은 기간에 도출할 수 있어 시간과 비용을 절약할 수 있지만, 추정의 정확도가 낮다. 
① 과거자료 분석법 
② 확률 분포법 
③ 델파이법 
④ 시나리오법 

11회 다음 보기가 설명하는 위험분석 방법은?4 
[보기] 
- 어떤 사건도 기대대로 발생하지 않는다는 사실에 근거하여 일정 조건 하에 위협에 대한 발생 가능한 결과들을 추정하 
는 방법 - 적은 정보를 가지고 전반적인 가능성을 추론할 수 있고 
위험분석과 관리층 간의 원활한 의사소통을 가능하게 한 다. 그러나 발생 가능한 사건의 이론적인 추측에 불과하고 정확도, 완성도, 이용기술의 수준 등이 낮을 수 있음. 
① 과거자료 분석법 
② 확률 분포법 
③ 델파이법 
④ 시나리오법 

9회 정량적 위험분석 기법에 해당하는 것은?4
① 델파이법 
② 시나리오법 
③ 순위결정법 
④ 확률분포법 

14회 다음 중 자동화된 위험분석도구의 특성으로 볼 수 없는 것은?3
①일반적인 위험 분석 요구사항과 절차를 자동화한 도구를 말한다.
②인력만으로 분석하는 것에 비해 시간과 비용을 감소시킬 수 있다.
③인적 분석에 비해 실수로 인한 오차 줄일수 있어 신뢰도가 높다.
④분석에 필요한 입력값을 정확히 넣지 않으면 잘못된 결과가 도출된다.

10회 다음 중 위험 분석에 포함된 핵심 개념이 아닌 것은?4
① 자산
② 위협
③ 취약점
④ 손실

10회 8회 정량적 위험 분석과 정성적 위험 분석에 대한 다음의 설명 중 틀린 것은?4
① 정량적 분석은 객관적인 평가 기준이 적용된다.
② 정량적 분석은 위험 관리 성능 평가가 용이하다.
③ 정성적 분석은 계산에 대한 노력이 적게 소요된다.
④ 정성적 분석은 비용과 이익에 대한 평가가 필수적으로 요구된다.

10회 다음은 위험 분석 방법과 이에 대한 설명이다. 잘못 설명 된 것은?4
① 과거 자료 분석법은 과거의 자료를 통해 위험 발생 가능성을 예측하는 방법이다.
② 확률 분포법은 미지의 사건을 추정하는 데 사용되는 방법이다.
③ 시나리오법은 어떤 사건도 기대대로 발생하지 않는다는 사실에 근거하여 일정 조건하에서 위험에 대한 발생 가능한 결과 등을 추정하는 방법이다.
④ 순위결정법은 전문적인 지석을 가진 전문가 집단을 구성하여 다양한 위험과 취약성을 토론을 통해 분석하는 기법이다.

7회 95. 위험분석 방법론은 통상적으로 정량적 위험분석과 정성적 위험분석으로 분류된다. 다음 중 정량적 위험분석 방법이 아닌 것은?4
① 연간예상손실 계산법
② 과거 통계자료 분석법
③ 수학공식 접근법
④ 시나리오 기반 분석법

6회 다음은 위험 분석 방법론에 대한 설명이다. 올바르지 못한 것은?3
① 과거 자료 분석법 : 과거 자료를 통하여 위험 발생 가능성을 예측
② 수학 공식 접근법 : 위험 발생 빈도를 계산하는 식을 이용하여 계량화
③ 우선 순위법 : 전문가 집단을 이용한 설문 조사를 통한 조사 방법
④ 시나리오법 : 특정 시나리오를 통해 발생 가능한 위협에 대해 결과를 도출해 내는 방법

6회 다음의〈보기〉에서 설명하는 위험 분석 접근법은 무엇인가?3
자산 분석, 위협 분석, 취약성 분석의 각 단계를 수행하여 위험을 분석하는 것을 말한다.
① 베이스 라인 접근법
② 비정형 접근법
③ 상세 위험 분석
④ 혼합 접근법

6회 다음 중 위험 통제 시점에 따라 통제 구분에 포함되지 않는 것은?3
①예방통제 ②탐지통제
③교정 통제 ④ 잔류 위험


14회 다음 중 위험의 3요소에 해당하지 않는 것은?4
①자산
②취약점
③위협
④정책

11회 위험관리 절차를 순서대로 배열한 것은?2
[보기]
㉠ 자산식별
㉡ 정보보호계획 수립
㉢ 정보보호대책 수립
㉣ 위험 분석 및 평가
㉤ 주기적 재검토
① ㉠ - ㉡ - ㉢ - ㉣ - ㉤
② ㉠ - ㉣ - ㉢ - ㉡ - ㉤
③ ㉠ - ㉡ - ㉣ - ㉢ - ㉤
④ ㉠ - ㉣ - ㉡ - ㉢ - ㉤

10회 위험관리에 대한 설명으로 적절하지 않은 것은? 3
① 정보보호를 위한 기술적, 관리적, 물리적 분야 등에 다양한 측면으로 발생할 수 있는 위험을 식별하고 평가할 수 있는 방법을 정의한다.
② 조직의 위험을 식별하고 이에 대한 적절한 보호 대책을 수립하기 위하여 정기 또는 수시로 위험에 대처할 수 있도록 위험관리 계획을 수립한다.
③ 위험관리 수행 인력은 위험관리 방법, 조직의 업무 및 시스템에 대한 전문성을 갖춘 내부인력만으로 위험관리를 수행한다.
④ 위험관리 방법론은 베이스라인 접근법, 복합 접근법 등의 다양한 조직에 적합한 방법을 찾을 때까지 위험관리 방법론을 개선할 수 있다.

10회 위험 분석이 방법론 및 관련 사항에 대해 맞게 설명한 것은?3
① 복합적 접근법: 기준선 접근법, 상세(세부적) 위험 접근법, 전문가 판단법을 병행 활용
② 정성적 위험 분석: 델파이법, 시나리오법, 순위결정법, 연간예상손실(ALE)
③ 정량적 위험 분석: 수학공식 접근법, 확률 분포 추정법, 과거 자료 분석(접근)법
④ 전문가 판단법(informal approach): 큰 조직에 적합

8회 위험관리의 개념에서 위험 완화 방법에 대한 설명으로 옳지 않은 것은?1
① 회피(avoidance)는 특정 위험으로부터의 손실 부담 또는 위험 획득을 수용하는 것이다.
② 이전(transfer)은 잠재적 비용을 제3자에게 이전 히커나 할당하는 것이다,
⑤ 감소(reduction)는 위힘을 감소시킬 수 있는 대책을 채택하여 구현하는 것이다.
④ 수용(acceptance)은 위험을 받아들이고 비용을 감수하는 것이다.

7회 다음 중 위험관리 방법론과 가장 거리가 먼 것은?4
① 국내 ISMS 인증체제
② ISO/IEC 27001
③ ISO/IEC TR 13335-3
④ ISO/IEC 15408

7회 다음 중 위험도 산정 시 고려할 구성요소가 아닌 것은?4
① 자산 (Asset)
② 위협 (Threat)
③ 취약성 (Vulnerability)
④ 직원(Employee)

정보보안기사 필기 독학 / 정보보안 일반 / 8. 전자서명, X.509

전자 서명

전자서명을 계산하기 위해 송신자는 문서에 대해 해시값을 계산한 후 그 값올 자신의 개인키로 암호화합니다. 
합법적인 서명자만이 전자문서에 대한 전자서명을 생성할 수 있어야 하며, 어떠한 문서에 대해서도 서명의 위조가 불가능하며, 서명 한 문서의 내용은 변경될 수 없어야 합니다.

전자 서명의 방식 중 하나인 은직 서명은 사용자 A가 서명자 B에게 자신의 메시지를 보여 주지 않고 서명을 받는 방법으로서 이용자의 프라이버시를 보호하기 위해 전자 화폐나 전자 투표에 활용되는 서명 방식입니다. 

Escrow 

전자상거래에서 이용자간 안전한 거래를 위한 방법으로, 중개 업체에서 구매자의 대금을 받아서 보관하고 있다가 판매자가 물건을 발송하고 구매자가 물건을 정상적으로 수령한 경우 판매자에게 대금을 지급합니다. 이 과정에서 일정량의 수수료를 수취하는 방법입니다. 

전자입찰시스템의 요구조건

독립성： 전자입찰 시스템의 각 구성요소들은 자신들의 독자적인 자율성을 보장받아야 합니다.
공평성： 입찰이 수행될 때 모든 정보는 공개되어야 합니다.
비밀성： 네트워크상에서 각 구성요소 간에 개별정보는 누구에게도 노출되어서는 안됩니다. 
무결성： 입찰시 입찰자 자신의 정보를 확인 가능하게 함으로써 누락 및 변조 여부를 확인할 수 있어야 합니다. 
안정성 : 각 입찰 참여자 간의 공모는 방지되어야 하고 입찰 공고자와 서버의 독단이 발생하면 안됩니다

X.509

X.509는 ITU에 의해 제안된 인증서에 대한 기본 형식을 정의한 규격입니다. X.509 인증서의 유효기간이 지나면 CA는 해당 인증서를 디렉터리에서 제거하며, X.509 인증서를 제거한 다음, CA는 추후 부인방지 서비스를 위해 일정기간 보관합니다. 개인키의 손상/유출 등의 이유로 사용자가 신고한 X.509 인증서는 CA가 폐기합니다. 

PKI (Public Key Infrastructure)

은행, 증권, 카드, 보험에서 사용하는 공인인증의 구조를 말합니다. 공인인증서(X.509)를 통해서 인증을 받는 구조입니다. 공인인증서를 발급받을 때 인증기관(CA)에 사용자 정보를 입력하고 공인인증서를 발급받습니다. 

<구성요소>

1) 인증기관(CA - Certification Authority) : 인증 정책을 수립하고 인증서 및 인증서 폐기 목록을 관리합니다. 

2) 등록기관(RA - Registration Authority) : 사용자 신원을 확인하고, 인증서 요구를 승인하며, CA에 인증서 발급을 요청합니다. 

3) CRL(Certificate Revocation List) : 인증서 폐기 목록이며, 인증서의 지속적인 유효함을 점검하는 도구입니다. 폐지 사유는 디지털 서명의 개인키 노출, 인증서가 필요 없을 경우, 개인키 분실 시 및 인증서 효력 정지일 경우입니다. 

4) OCSP : 인증서 상태에 관한 정보를 조회 또는 CRL 검색 프로토콜입니다. 

5) PAA(Policy Approving Authority) : 정책 승인 기관으로 공인인증 서비스 전반의 정책과 절차를 수립합니다. 

관련 문제

10회 X.509 인증서에 대한 설명 중 옳지 않은 것은?1
① X.509 인증서는 인증서의 주인인 사용자가 직접 발행한다.
② X.509 인증서의 유효기간이 지나면 CA는 해당 인증서를 디렉터리에서 제거한다
③ X.509 인증서를 제거한 다음, CA는 추후 부인방지 서비스를 위해 일정기간 보관한다.
④ 개인키의 손상/유출 등의 이유로 사용자가 신고한 X.509 인증서는 CA가 폐기한다.

7회 다음은 X.509 인증서 폐지에 관련된 설명이다. 틀린 설명은?4
① 인증서 폐지 메커니즘 : X.509에 정의된 인증서 폐지목록 (CRL) 으로 관리
② 페지 사유：인증서 발행 조직 탈퇴，개인키의 손상, 개인 키의 유출 의심
③ 인증서 폐지 요청 : 인증서 소유자 또는 인증서 소유자의 대리인이 요청
④ 폐지된 인증서 : 목록을 비공개하고 디렉터리에만 보관

6회 다음 중 올바르지 못안 것은?3
① CRL은 갱신되어야만 폐기로 판단한다.
② CA가 인증서 폐기 시 폐기 목록을 일정한 주기마다 생성한다.
③ OCSP는 무료로 사용이 가능하다.
④ CRL은 비용 지불 없이 사용이 가능하다.

6회 다음 중 인증 기관(Certification Authority)에 대한 설명으로 올바르지 못한 것은?4
① 인증서를 발급한다.
② 유효한 인증서와 CRL의 리스트를 발행한다.
③ 인증서 상태 관리를 한다.
④ 인증서와 CRL을 사용자에게 분배하는 역할을 한다.

6회 다음 중 ITU에 의해 제안된 인증서에 대한 기본 형식을 정의한 규격을 무엇이라 하는가?3
① SOA ② CRL
③ X.509 ® OGSP

6회 다음 중 x.509 v3에서 확장 영역을 구분하는 것에 포함되지 않는 것은?4
① 인증서 경로 및 규제 정보
② CRL을 위한 확장자
③ 키 및 정책 확장자
④ 공개키 정보

6회 다음 중 공개키 인증서의 구성 요소에 포함되지 않는 것은?3
① 인증서 정책
② 인증서 경로
③ 비밀키 인증서
④ 인증서 철회 리스트

6회 다음 중 인증 기관의 역할별로 올바르게 연결되지 못한 것은?2
① PAA - 정책 승인 기관
② PCA - 정책 승인 기관
③ CA _ 인증 기관
④ RA - 등록 기관

10회 인증서 폐지 목록(CRL)을 생성하는 주체에 해당하는 것은?1
① CA
② RA
③ LRA
④ VA

14회 공인인증서의 유효성을 검사하는 OCSP와 CRL에 대한 설명으로 옳지 않은 것은?4
①OCSP는 인증서 폐기시 실시간으로 반영된다.
②CRL은 제한된 네트워크 환경에서 사용하기 유리하다.
③CRL은 CA를 통해서 서비스된다.
④OCSP는 Batch형태로 동기화 비용이 들지 않는다.

9회 전자서명에 대한 설명으로 옳지 않은 것은?1
① 전자문서의 서명은 다른 전자문서의 서명과 항상 동일해야 누구든지 검증할 수 있다.
② 전자서명을 계산하기 위해 송신자는 문서에 대해 해시값을 계산한 후 그 값올 자신의 개인키로 암호화한다.
③ 합법적인 서명자만이 전자문서에 대한 전자서명을 생성할 수 있어야 한다.
④ 어떠한 문서에 대해서도 서명의 위조가 불가능하며, 서명 한 문서의 내용은 변경될 수 없어야 한다

9회 은닉서명에 대한 바른 설명은?2
① 송신자와 수신자 간에 문서의 위변조를 방지하기 위하 방법이다.
② 은닉서명 사용자가 서명자에게 자신의 메시지를 보여주지 않고 서명을 받아내는 방식이다.
③ 은닉서명을 위한 서명자의 신원은 노출되지 않고. 은닉서명 사용자는 노출될 수 있는 서명 방식이다.
④ 전자화폐 사용 시, 전자화폐 수신자의 신원 노출 방지 기능이 있다.

8회 다음은 어떤 전자서명 방식에 대한 설명인가?2
[보기]
(1) 미국의 NBT에서 발표한 표준 전자서명 방식이다.
(2) DSA 알고리즘을 사용한다.
(3) 트랩도어가 존재할 가능성이 있다.
(4) Schnorr 방식과 비슷한 구조를 가자고 있다.
① KCDSA
② DSS
③ FFS
④ ElGameil

7회 사용자 A가 서명자 B에게 자신의 메시지를 보여 주지 않고 서명을 받는 방법으로서 이용자의 프라이버시를 보호하기 위해 전자 화폐나 전자 투표에 활용되는 서명 방식은?1
① 은닉 서명 (blind signature)
② 그룹 서명 (group signature)
③ 수신자 지정 서명 (nominative signature)
④ 부인 방지 서명(undeniable signature)

6회 다음 중 전자 서명과 공개키 암호화 방식에서 사용되는 키로 알맞게 연결된 것은?2
① 공개키 - 공개키
② 개인키 _ 공개키
③ 개인키 一 개인키
④ 공개키 - 개 인키

6회 다음의〈보기〉에서 설명하고 있는 서명 방식은 무엇인가?2
사용자 A가 서명자 B에게 자신의 메시지를 보여주지 않고, 서명을 얻는 방법을 말한다. 메시지의 비밀성을 지키면서 타인에게 인증을 받고자 하는 경우에
주로 사용산다.
①이중 서명 ②은닉 서명
③전자 서명 ④영지식증명

6회 다음 중 전자 서명의 특징으로 올바르지 않는 것은?1
① 재사용 가능 ② 위조 불가
③ 부인 불가 ④ 서명자 인증

11회 다음은 CRL 개체 확장자를 구성하는 필드에 대한 설명이다. 잘못된 설명은?1
① Reason Code : 인증서가 갱신된 이유를 나타내기 위해 사용되는 코드
② Hold Instruction Code : 인증서의 일시적인 유보를 지원하기 위해 사용되는 코드
③ Certificate Issuer : 인증서 발행자의 이름
④ Invalidity Date : 개인키 손상이 발생하는 등의 이유로 인증서가 유효하지 않게 된 날짜와 시간에 대한 값

11회 인증서 상태를 관리하고 있는 서버는 유효성 여부에 관해 이 답을 즉시 보내주는 프로토콜은?2
① CRL
② OCSP
③ OCRL
④ S니

13회 다음 중 인증서가 폐지되는 사유가 아닌 것은?4
① 인증서 발행 조직에서 탈퇴
② 개인키의 손상
③ 개인키의 유출 의심
④ 인증서의 유효기간 만료

8회 우리나라 표준 서명 알고리즘으로 가장 적절한 것은?2
① RSA
② KCDSA
③ ECC
④ ECDSA


14회 전자상거래에서 이용자간 안전한 거래를 위한 방법으로, 아래 지문에서 설명하는 방식을 무엇이라 하는가?1
중개 업체에서 구매자의 대금을 받아서 보관하고 있다가 판매자가 물건을 발송하고 구매자가 물건을 정상적으로 수령한 경우 판매자에게 대금을 지급한다. 이 과정에서 일정량의 수수료를 수취한다.
①Escrow
②PG
③ZeroPay
④SET

14회 다음 중 전자상거래 보안과 가장 관련이 적은 것은?3
①ebXML
②SET
③SSL
④EMV

8회 전자입찰시스템의 요구조건을 기술한 다음 지문의 ( )안에 들어갈 단어를 순서대로 나열한 것은?4
[보기]
( ) ： 전자입찰 시스템의 각 구성요소들은 자신들의 독자적인 자율성을 보장받아야 한다.
( ) ： 입찰이 수행될 때 모든 정보는 공개되어야 한다.
( ) ： 네트워크상에서 각 구성요소 간에 개별정보는 누구에게도 노출되어서는 안 된다.
( ) ： 입찰시 입찰자 자신의 정보를 확인 가능하게 함으로써 누락 및 변조 여부를 확인할 수 있어야 한다.
( ) : 각 입찰 참여자 간의 공모는 방지되어야 하고 입찰 공고자와 서버의 독단이 발생하면 안 된다.

① 비밀성, 안정성, 독립성, 무결성, 공평성
② 비밀성, 공평성, 독립성, 무결성, 안정성
③ 독립성, 안전성, 비밀성, 무결성, 공평성
④ 독립성, 공평성, 비밀성, 무결성, 안정성