481. 화이트박스 테스트는 모의해킹 중 프로그램 내부 구조에 대한 타당성 여부를 시험하는 방식으로 프로그램 내부 구조를 분석하여 프로그램의 모든 처리 루틴을 테스트하는 방식
482. CVE는 공개적으로 알려진 소프트웨어의 보안취약점이다.
483. Zone Transfer은 DNS와 관련 있다.
484. 역방향 조회도 가능하다.
485. DNS는 53번 포트를 사용한다.
486. 중계 취약점은 DNS 보안 취약점과 거리가 멀다.
487. DNSSEC는 기밀성은 제공하지 않는다.
488. GRANT는 권한을 부여한다. SELECT를 이용하여 레코드를 볼 수 있게 한다.
489. 보기가 설명하고 있는 건 대체키다.(Alternate Key)
490. 정보조합, 집성(Aggregation)은 여러 소스로부터 정보를 결합하는 행동으로 데이터베이스 보안 위협의 유형이다.
491. 490번 참조
492. 추론 방지는 일반적인 데이터로부터 기밀 정보를 얻어내지 못하도록 허용 가능한 질의를 제한하는 방법이다.
493. 추론에 대한 대응책으로 다중 인스턴스화가 있다.
494. 추론 가능이 아닌 추론 방지다.
495. 집합은 사용자가 특정 정보에 접근할 수 있는 허가 또는 권한은 없지만 이런 정보의 구성요소에 접근할 권한은 있을 때 발생하는 보안 문제다.
496. 정보가 명시적으로 또는 암시적으로 보다 낮은 보호 수준의 객체로 이동하는 것을 검사하는 것은 흐름제어다.
497. DB 보안 정책은 최고경영자에 의해 승인되어야 하고, 모든 임직원에게 적절한 방법으로 배포되고, 모든 임직원이 자유롭게 최신 버전의 DB 보안 정책에 접근할 수 있어야 한다. 모든 임직원이 그 목적과 내용을 이해해야 하고, 이를 위해 적절한 수단 또는 방법을 통해 교육 및 홍보가 이루어져야 한다. 그리고 정기 혹은 비정기적으로 검토되고 갱신되어야 한다.
498. 능동적인 개체를 주체라고 한다.
499. 보기는 뷰에 대한 설명이다.
500. 윈도 인증은 기본 인증 모드이고 다른 인증 모드보다 가장 안전하다.
501. 전자 서명을 이용하여 부인 방지를 제공한다.
502. 인출 프로토콜 : 사용자와 은행
지불 프로토콜 : 사용자와 상점
예치 프로토콜 : 상점과 은행
503. 전자지불의 추적 가능성이 아닌 불추적성이 기술 요건으로 필요하다.
504. SET은 전자봉투와 이중서명을 사용한다.
505. 전자 봉투 생성에 필요한 것은 비밀키를 수신자(B)의 공개키로 암호화해야 한다.
506. 송신자는 메시지를 압축하고, 압축된 메시지를 다시 송신자의 캐인키로 암호화하여 전자서명을 만든다.
원문 메시지에 전자서명을 첨부한 다음 이를 대칭키로 암호화한다.
그다음 사용된 대칭키를 다시 수신자의 RSA 공개키로 암호화한 후 암호문과 함께 전송한다.
507. 지불 정보는 상점이 알지 못하게 하고 주문 정보는 은행이 알지 못하게 한다.
508. 별도의 하드웨어와 소프트웨어를 요구한다.
509. 지불게이트웨이 사업자는 소정의 수수료를 공제한 후 지급을 대행하는 서비스 제공자다.
510. 이중서명을 사용하는 경우는 구매자의 구매품목 등의 주문정보와 결제 계좌 등의 지불 정보를 분리시켜 서명하며 판매자의 금융기관에 제공되는 정보를 최소화하기 위해 사용된다.
511. 상점은 주문정보만을 그리고 은행은 지불정보만을 볼 수 있도록 한다.
512. ebXML은 ISO 15000으로 표준화된 규격이다.
513. OCSP는 XML 기반 Web 기술과 관련성이 적다.
514. SAML은 가용성 보장이 아닌 인증 및 승인 기능을 지원한다.
515. 모바일의 특성을 고려한 솔루션이다.
516. CA가 단말로 nonce를 전달하고 단말은 nonce를 이용하여 계산을 한 뒤 CA에게 SignedContent를 전달한다. CA는 SignedContent에서 M을 출력한다.
517. 기밀성의 원칙은 없다.
518. 사고 전 준비, 사고탐지, 초기대응, 대응전략 체계화, 사고조사, 보고서 작성
519. 증거분석은 원본이 아닌 복제본을 분석해야 한다.
520. 보기는 슬랙 공간을 설명하고 있다.
521. 보기는 봇넷의 설명이다.
522. 레이스 컨디션 공격은 봇을 이용하여 공격하는 방식과 가장 거리가 멀다.
523. 안드로이드 폰과 태블릿은 봇넷에 안전하지 않는다.
524. C&C서버는 command & control을 의미한다.
525. 보기는 살라미 공격에 대한 설명이다.
526. 책임과 역할을 문서화해야 한다.
527. 보기는 정보보호정책서에 대한 설명이다.
528. 정책은 포괄적이고 개괄적으로 기술되어야 한다.
529. 기술적인 면만이 아닌 기술, 관리, 물리적인 면을 모두 고려한다.
530. 관리적 예방대책에 해당하는 것은 문서처리 순서의 표준화다.
531. 회사에 상주하는 외부 개발업체 등은 대상에 포함시킨다.
532. 위험 식별, 위험 분석, 위험 평가, 위험 처리, 위험 감시 및 재검토
533. 내부 인력과 관련된 실무자도 같이 위험관리를 수행한다.
534. 잔류위험은 완전히 제거될 수 없다.
535. 정보시스템에 백신 프로그램을 설치한 후, 최신으로 유지하지 않은다면 해당 시스템은 바이러스에 취약점을 가지고 있는 것이다. 여기서 바이러스는 시스템을 공격하는 위협이 되고, 바이러스 공격으로 방생하는 해당 시스템의 피해 가능성을 위험이라고 한다.
536. 상세 위험분석과 마찬가지로 전문가의 경험에 의존함에 따라 사업 분야 및 보안에 전문성이 높은 인력이 참여하여 수행하는 방법은 비정형화된 접근법이다.
537. 정보자산의 가치평가에 사용하는 평가항목으로 적절하지 않은 것은 부인방지 평가가 있다.
538. 정량적 분석은 비용과 이익에 대한 평가가 필수적으로 요구된다.
539. 정성적 기준에 해당하는 것은 자산의 업무 기여도와 자산 복구 비용이다.
540. ㉠은 시나리오법, ㉡은 델파이법이다.
541. 정량적 분석의 단점은 계산이 복잡하여 분석하는데 시간, 노력, 비용이 많이 든다.
542. 델파이법은 정성적 평가방법이다.
543. 회피는 위험 획득을 수용하는 것이 아닌 포기하는 거다.
544. 연간예상손실 계산에 우선순위는 사용되지 않는다.
545. 자산가치*노출 계수 = 단일 예상 손실
546. 업무 중요도 및 영향 분석과 복구전략수립은 업무연속성관리 지침과 연관이 있다.
547. 프로젝트의 범위 설정 및 기획, 사업영향평가, 복구전략 개발, 복구계획 수립, 프로젝트의 수행 테스트 및 유지보수
548. 보기는 사업영향평가에 대한 설명이다.
549. 보기는 가용성의 설명이다.
550. 핫 사이트에 대한 설명이다.
551. 보기는 CC에 관한 설명이다.
552. ISMS-P에 대한 설명이다.
553. 정보보호 정책 수립 및 범위 설정, 경영진 책임과 조직 구성, 위험관리, 정보보호 대책 구현, 사후 관리
554. 관리체계 기반 마련, 위험 관리, 관리체계 운영, 관리체계 점검 및 개선
555. 위험관리의 정보자산 식별 활동에서는 조직의 업무특성에 따라 정보자산 분류기준을 수립하여 관리체계 범위 내 모든 정보 자산을 식별/분류하고, 중요도를 산정한 후 그 목록을 최신으로 관리하여야 한다.
556. 국가나 관련 산업에서 정하는 정보 보호 관련 법, 규제를 고려할 필요가 있다.
557. 협력업체 책임자의 승인을 받는 게 아닌 정보보호 담당자의 사전 승인을 획득해야 한다.
558. 시스템 시험 과정에서 운영데이터의 유출을 예방하기 위하여 시험 데이터의 생성과 이용 및 관리, 파기, 기술적 보호조치에 관한 절차를 수립, 이행하여야 한다.
559. 보기는 정보보호 사전점검 제도에 대한 설명이다.
560. 정보통신서비스제공자망에 장애 또는 마비가 발생하였을 경우 경계 단계를 발령한다.
561. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보
해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보
562. 익명처리가 가능한 경우에는 익명처리를 하고 익명처리로 목적을 달성할 수 없는 경우에는 가명에 의하여 처리한다.
563. 정보주체의 권리에 개인정보의 처리에 관한 정보를 제공할 권리
564. 대통령 소속에서 국무총리 소속으로 변경되었다.
565. 경품당첨 등에 참여할 수 없는 불이익이 발생할 수 있는 경우는 개인정보를 수집할 수 있는 경우와 가장 거리가 멀다.
566. 핸드폰 번호는 고유식별정보에 포함되지 않는다.
567. 개인정보를 국외의 제삼자에게 제공할 때는 정보주체에게 알리고 동의를 받아야 한다.
개인정보를 수집한 목적 범위를 변경하는 경우에는 정보주체에 알리고 동의를 받아야 한다.
568. 개인 정보 삭제 시 예외의 경우만 일정기간 보관할 수 있다.
569. 다른 개인정보와 분리해서 저장해야 한다.
570. 혈액형은 민감정보에 해당하지 않는다.
571. 법령에서 구체적으로 고유식별정보의 처리를 요구하거나 허용하는 경우 개인정보처리자가 고유식별정보를 처리할 수 있다.
572. 보기는 개인정보 처리방침이다.
573. 개인정보파일의 현행화 작성은 해당하지 않는다.
574. 개인정보 영향평가 고려사항으로 개인정보를 처리하는 수탁업체 관리, 감독의 여부는 포함되지 않는다.
575. 50만 명이 아닌 5만 명이다.
576. 1천 명 이상의 정보주체에 관한 개인정보가 유출된 경우 보호위원회, 전문기관, 한국인터넷진흥원에 신고를 해야 한다.
577. 유출된 시점과 그 경위, 정보 주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당 부서 및 연락처를 알려야 한다.
578. 인사 DB와 개인정보처리시스템을 실시간 연동시켜 개인정보취급자가 자동적으로 전보 또는 퇴직 시 시스템의 계정도 동시 삭제시키는 방법이 가장 좋은 방법이다.
579. 개인정보처리자가 아닌 개인정보 취급자가 개인정보를 처리하는 업무를 담당하는 사람이다.
580. 내부 관리계획의 이행 실태 : 연 1회 이상
개인정보처리시스템의 접속기록 점검: 월 1회 이상
인터넷 홈페이지를 통한 고유식별정보 처리자의 취약점 점검 : 연 1회 이상
백신 등 보안프로그램의 업데이트 : 일 1회 이상
581. 개인정보 목적 달성 시 파기 방법은 사전에 결정, 주민등록번호 인증 이외의 추가 수단을 통한 회원가입 방법을 제공해야 한다.
582. 개인정보보호 업무는 정보보호 최고책임자가 수행하는 정보보호 업무와 관련이 없다.
583. 과학기술정보통신부장관은 정보통신망의 안정성, 신뢰성 확보를 위하여 관리적, 기술적, 물리적 보호조치를 포함한 종합적 관리체계를 수립, 운영하고 있는 자에 대하여 제3항에 따른 기준에 적합한지에 관하여 인증을 할 수 있다.
584. 주요 정보통신기반시설 보호계획에는 주요 정보통신기반시설의 취약점 분석, 평가에 관한 사항, 주요 정보통신기반시설 및 관리 정보의 침해사고에 대한 예방, 백업, 복구대책에 관한 사항, 그 밖에 주요 정보통신가반시설의 보호에 관하여 필요한 사항이 포함되어야 한다.
585. 주요 정보통신기반시설이 아닌 것은 인터넷포털, 전자상거래 등 인터넷시설이다.
586. 한국정보화진흥원은 취약점 분석, 평가를 의뢰할 수 없는 기관이다.
587. 기반보호위원회가 아닌 중앙행정기관의장에게 제출해야 함
588. 시스템 개발 관리는 보호지침의 내용에 포함되지 않는다.
589. 주요 정보통신기반시설의 취약점 분석, 평가, 방법론 및 예외사항은 주요 정보통신기반시설 보호계획에 포함되어야 할 내용이 아니다.
590. 12개월이 아닌 9개월 이내에 실시해야 한다.
3년이 아닌 매년 취약점 분석, 평가를 실시한다.
1년 단위가 아닌 1년이 되지 아니한 때에도 취약점의 분석, 평가를 실시한다.
591. 관리기관의 장에게 지키도록 권고한다.
대책본부가 아닌 관계기관이다.
592. 사이버안전센터가 아닌 정보공유, 분석센터를 구축, 운영할 수 있다.
593. 주요 정보통신기반시설 취약점의 분석, 평가는 의무제도다.
594. 법인이나 단체 등의 위치정보는 개인위치정보 보호대상에 포함되지 않는다.
595. 사전예고 없이 대통령령으로 정하는 기간 이상 서비스 중단이 발생한 때에 과학기술정보통신부장관에게 알리는 건 해당이 없다.
596. 정보보호 위반 관련 행정처분 내역은 포함되지 않는다.
597. 위치정보의 보호 및 이용 등에 관한 법률은 국토교통부가 아닌 방송통신위원회다.
598. 개인신용정보는 생존 여부와 상관없는 게 아닌 살아 있는 개인에 관한 신용정보다.
599. 정보통신망, 정보통신기반, 정보보호, 정보보호시스템
600. 가해자를 찾기 어렵다.