1081 ~ 1200

1081. DHCP는 UDP 프로토콜을 사용하고 서버는 67번 포트, 클라이언트는 68번 포트를 사용한다.

1082. 캐시, Hosts 파일, 로컬 DNS 서버

1083. 리졸버는 특정한 도메인 이름에 대해서 원하는 유형의 리소스 레코드 데이터를 조화하는 기능을 수행하는 역할을 한다.

1084. 도메인을 보여주는 nslookup 실행결과 화면이다.

1085. DNS 증폭공격은 resolving이 허용된 DNS를 매개체로 악용하는 형태의 공격이다.

1086. 상대 서버를 지시하기 위하여 MX 레코드를 사용한다.

1087. 일반 유저 권한으로 운영하는 게 바람직하다.

1088. Recursive Query가 허용된 목표 네임 서버에 공격자가 의도한 도메인의 질의 및 위조된 응답 패킷을 공격자가 직접 전송한다.

1089. hosts 파일에 등록하여 관리해야 한다.

1090. 웜바이러스에 의한 hosts 파일 안의 정보 변조는 무관하다.

 

1091. 응답 메시지에 기밀성은 제공하지 않는다.

1092. DNSSEC은 응답 메시지의 각 Section에 설정되는 리소스 레코드 데이터의 위변조를 방지하기 위하여 리소스 레코드에 대하여 전자서명 메커니즘을 적용하였다.

1093. DNSCA는 리소스 레코드와 관련이 없다.

1094. 보기는 DNS 하이재킹에 대한 설명이다.

1095. IP에 대한 도메인 정보 질의는 PTR이다.

1096. ANY는 모든 레코드 질의 시에 주로 이용한다.

1097. 양쪽 모두 named.conf 파일에 allow-transfer을 설정하면 공격자들이 이를 악용할 수 있다.

1098. checkpoint 숫자가 많으면 시스템 성능이 저하된다.

1099. 접근 통제는 사용자가 가진 접근권한에 따라서 논리적 DB를 분리하고 통제하는 것이다.

1100. 관리적 보호대책인 보안 표준지침을 구축한다.

 

1101. 관리자 권한 분산이 아닌 관리자 권한을 제한해야 한다.

1102. 에이전트 방법은 DB에 직접 접근하는 전용 클라이언트를 포함해 모든 접근 경로를 제어할 수 있는 가장 강력한 보안방법이다.

1103. TDE 방식-파일 암호화는 애플리케이션의 수정 없이 사용될 수 있는 유형이다.

1104. 보기는 Secure Proxy 방식을 설명하고 있다.

1105. MS SQL의 기본 인증모드는 Windows 인증 모드다.

1106. 데이터베이스 관리자는 사용자에게 접근권한을 부여할 수 있다.

1107. db_datawriter 역할은 사용자 테이블에서 데이터를 추가, 삭제 또는 변경이 가능하다.

1108.  불필요할 경우 xp_cmdshell을 반드시 제거한다.

1109. 전자화폐의 기본 보안 요구사항에는 익명, 양도, 분할기능이 있다.

1110. 익명성은 보안 요구사항에 해당한다.

 

1111. 결제 대금예치 서비스는 제3자가 소비자의 상품 대금을 보관하고 있다가 상품배송이 완료된 후 통신판매업자에게 지급하는 서비스다.

1112. 전자지급결제대행 서비스에서 지급수단별 업무는 신용카드 PG, 계좌이체 PG, 가상계좌 PG, 통신과금 PG, 상품권 PG가 있다.

1113. PCI-DSS는 고객의 신용카드 정보유출을 막기 위해 여러 글로벌 신용카드사에 만든 신용카드 데이터 보안 표준이다.

1114. XSS 공격 차단과 SSL 보안서버의 필요성과는 거리가 멀다.

1115. SET 프로토콜은 지불서비스의 가용성 보장은 지원하지 않는다.

1116. Merchant의 은행은 SET 프로토콜의 구성요소들 중 지불게이트웨이 역할을 수행한다.

1117. (가) : 이중서명 (나) : 매입사

1118. 고객의 구매정보를 상인에게 전달하고 상인은 그 요청에 유효성을 확인한다.

1119. 하이퍼링크 앵커는 서버 식별, 요구되는 암호 매개변수 등을 지시하는 것은 SHTTP다.

1120. 비즈니스 파트너는 ebXML의 구성 요소가 아니다.

 

1121. 기존의 표준들이 대부분 단순히 문서만을 표준화하여 사용하는 것과 달리, ebXML에서는 재활용의 수준을 문서 수준뿐만 아니라 시나리오 수준까지 확대했다.

1122. OOXML은 MS 오피스의 포맷이다.

1123. nbstat는 NetBIOS 이름 캐시 데이터 목록을 출력할 때 사용한다.

1124. Appinit_DLLS는 GUI 프로그램 실행 시 악성 DLL을 로드시키는 공격에 악용될 수 있다.

1125. HPA는 ATA-4부터 사용된 기능 중 HDD에 예약된 영역으로 OS, BIOS, 사용자에게 보이지 않는 영역이 있다.

1126. 보기는 0번째 섹터가 손상된 모습이다.

1127. 레지스터와 캐시, 시스템 메모리의 내용, 임시파일시스템, 디스크의 데이터

1128. 이벤트 로그는 휘발성 데이터가 아니다.

1129. API 후킹을 이용하여 프로세스 정보 숨김, 가상 환경에서 미실행 기능 탑재를 하게되면 채증 된 악성코드를 분석하기 위해 가상환경에서 실행하고 프로세스 정보를 지속적으로 모니터링하였으나 해당 프로세스 정보가 나타나지 않을 수 있다.

1130. Encase는 컴퓨터 포렌식 전용도구다.

 

1131. 전자서명은 Botnet 탐지 및 대응기술과 연관성이 없다.

1132. 하드코드된 패스워드를 사용해도 보안 효율성이 증대되지않는다.

1133. 외부의 입력이 파일시스템을 조작하는 경로로 직접 제어할 수 있어서 절대 디렉터리 경로 조작에 대한 안정성을 배제했다.

1134. 정보보호는 비즈니스 요구사항의 한 종류로써 다른 정책들과 연계되어야 한다.

1135. 정보보호관리를 이행하기 위해서 조직은 정보보호 정책 및 조직수립, 범위설정 및 정보자산 식별, 위험관리, 구현, 사후관리활동으로 구성된 5단계의 논리적이고 체계적인 정보보호관리 프레임워크를 수립하고 기획, 관리하여야 한다.

1136. 시스템 사용의 용이성보단 안전성을 고려해야 한다.

1137. 조직의 정보보호 활동을 실행하기 위한 절차, 주기, 수행 주체 등에 관한 사항은 정보보호 정책 수립 시, 포함하여야 할 사항과 거리가 멀다.

1138. 정보보호 선언은 정보보호 정책서에 기술하지 않는다.

1139. 정보보호 위원회가 아닌 정보시스템 감시자의 역할이다.

1140. 내부감사는 제3자가 감사를 수행해야 한다.

 

1141. 데이터 관리자는 정보시스템에 저장된 데이터의 정확성과 무결성을 유지하고 데이터의 주용성 및 분류를 결정할 책임이 있다.

1142. 정보보호 교육 및 훈련은 효과적으로 교육을 수행할 수 있는 방법을 선택해서 진행한다.

1143. 상세위험 접근법은 자산의 카치를 측정하고 자산에 대한 위협의 정도와 취약점을 분석한다. 정보시스템의 업무 중요도가 높거나 자산 가치가 높은 경우에 적용된다.

1144. 복합 접근법은 중요한 자원이 투입되기 전에 필요한 정보를 얻기 위한 간단한 고수준 접근을 사용하는 것이다.

1145. 조직은 정보자산의 식별과정을 통해 보호를 받을 가치가 있는 자산에 대해 정보 자산의 형태, 소유자, 관리자, 특성 등을 포함한 목록을 만들고, 자신의 가치와 중요도를 산출하며, 정보자산과 업무처리와의 관계를 알아낼 수 있다.

1146. 정량적 위험분석에는 수학공식 접근법, 확률 분포 추정법, 과거자료 분석법이 있다.

1147. 정량적 위험분석의 단점은 작업을 위한 시간과 비용이 많이 들어간다.

1148. 보기는 수학공식 접근법이다.

1149. 보기는 위험수용에 대한 설명이다.

1150. 불가피한 사유가 있는 경우에는 위혐수용 전략을 선택할 수 있으나 무조건적인 위험수용은 지양하여야 한다.

 

1151. 계획, 분석, 설계, 구현, 유지

1152. 운영단계는 업무 연속성을 수립하기 위한 구체적인 활동이다.

1153. C : 운영관리단계 D : 구현단계

1154. 복구 정확성, 비상시 의무사항 수행, 대체 백업 사이트의 처리역량 검증은 고려해야 할 사항이 아닌 테스트가 필요한 이유다.

1155. (ㄱ) : RAID1 (ㄴ) : RAID5

1156. 데이터가 디스크에 블록단위로 저장된다.

1157. 콜드 사이트는 재난 발생 시 새로운 컴퓨터를 설치할 수 있는 컴퓨터실을 미리 준비해 둔다.

1158. 스트레스 테스트는 재해복구테스트 유형과 거리가 멀다.

1159. 관리체계 전 영역에 대한 정보서비스 및 개인정보 처리 현황을 분석하고 업무 절차와 흐름을 파악하여 문서화하며, 이를 주기적으로 검초하여 최신성을 유지하여야 한다.

1160. 조직의 정보보호 시스템 구성도 및 운영방법은 정보보호 교육 및 훈련의 내용에 해당되지 않는다.

 

1161. 효율적인 위험분석 및 평가를 위하여 대상을 그룹핑하는 것도 좋은 방법이다.

1162. 식별된 위험에 대한 평가 보고서를 작성하여 경영진이 손쉽게 이해할 수 있도록 작성하여 보고하여야 한다.

1163. 이해관계자 및 이해관계자가 아닌 제3자의 참여가 필요하다.

1164. ㉠ : 공정성 ㉡ : 독립성

1165. ISMS-P의 유효기간은 3년이다.

1166. 의무대상자가 되어 인증을 최초로 신청하는 경우에는 다음 해 8월 31일까지 인증 취득해야 한다.

1167. 익명처리 된 정보와 사업자등록번호는 개인정보가 아니다.

1168. 참여는 정보보호 가이드라인의 원칙이 아니다.

1169. 주소불명 등으로 정보주체의 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우에 동의 없이 개인정보를 수집, 이용할 수 있다.

1170. 인터넷 홈페이지 등에 공개된 전화번호 또는 이메일을 통해 직장인 우대대출, 홍보성 이벤트를 하는 경우 개인정보 수집 시 반드시 정보주체의 동의가 필요하다.

 

1171. 정보주체의 권리보다 우선하는 경우에는 개인정보를 수집할 수 있다.

1172. 개인정보의 추가적인 이용, 제공의 기준과 거리가 멀다.

1173. 동의를 거부할 권리가 있다는 사실 및 거부에 따른 불이익이 있을 경우에는 불이익에 대한 내용은 포함되지 않는다.

1174. 다수가 이용하는 발한실 내부는 영상정보 처리기기의 설치, 운영이 가능한 곳이 아니다.

1175. 개인정보처이라가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 위탁에 대해 정보주체에게 알려야 한다.

1176. 가명 정보 및 가명정보를 원래의 상태로 복원하기 위한 추가 정보에 대하여 안전성 확보 조치는 기술적, 관리적, 물리적 조치를 해야 한다.

1177. 개인정보를 일시적이 아닌 통상적 또는 반복적으로 제공하는 경우에는 그 제공받는 자가 포함된다.

1178. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용은 정보통신서비스 제공자가 동의받아야 할 사항은 아니다.

1179. 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우는 정보서비스 제공자가 이용자 동의 없이 개인정보를 수집 이용할 수 있는 경우가 아니다.

1180. 24시간을 경과하여 통지 및 신고를 하는 게 아닌 확인되는 즉시 통지, 신고하여야 한다.

 

1181. 5일 이내 통지 신고는 개인정보처리자에 해당된다.

1182. 누출 등이 된 개인정보 항목이나 누출 등이 발생한 시점에 대한 파악이 24시간 내에 불가능한 경우는 정당한 사유가 될 수 없다.

1183. 회사의 개발업무에 종사하고 있는 직원이 학위논문 연구를 위해 고객의 개인정보의 일부를 노트북에 내려받아 실험한 것은 유출로 간주하지 않는다.

1184. 개인정보 처리업무를 위착하는 경우 수탁자에 대한 관리 및 감독에 관한 사항은 내부관리계획의 내용에 포함하지 않는다.

1185. 정보시스템의 계정 및 권한은 해당 직원이 전보, 퇴직 등 인사이동 발생 시 지체 없이 접근권한을 변경하거나 말소하여야 한다.

1186. 전자문서는 컴퓨터 등 정보처리능력을 가진 장치에 의하여 전자적인 형태로 작성되어 송수신되거나 저장된 문서형식의 자료로서 표준화된 것을 말한다.

1187. 정보통신망 이용촉진 및 정보보호 등에 관한 법 이법을 우선 적용한다.

1188. 접근권한이 필요한 기간은 반드시 필요한 접근권한이 아닌 경우에 고지해야 할 사항이 아니다.

1189. 영유아보육법에 따른 영상정보는 불법촬영물등 유통방지 책임자의 지정 기준에 해당되지 않는다.

1190. 휴대전화 등의 앱 푸시알람 온오프 기능은 광고 정보 수신동의와 별개다.

 

1191. 정보통신망에 대한 침해사고 발생 시 이용자에 대한 통지의 방법 및 절차는 정보보호지침에 포함되지 않는다.

1192. 정보보호 업무화 개인정보보호 업무가 혼재되어 있어 명확한 분리가 곤란한 업무는 해당되지 않는다.

1193. 소상공인은 정보보호 최고 책임자 지정 의무 면제 대상이 아니다.

1194. 고객의 개인정보를 100만 명 이상 보유하고 있는 전자상거래 사업자는 ISMS 인증 의무대상자가 아니다.

1195. 인증 심사의 일부를 생략할 수 있다.

1196. 거짓이나 그 밖의 부정한 방법으로 정보보호 관리체계 인증을 받은 경우는 반드시 인증을 취소해야 한다.

1197. 접속경로의 차단 요청은 할 수 있지만 명령은 불가능하다.

1198. 정보통신산업이 아닌 정보보호 산업에 종사하는 자 중 컴퓨터바이러스 백신소프트웨어 제조자이다.

1199. 정보보호 전문서비스 기업은 침해사고 관련 정보를 제공해야 하는 기관이 아니다.

1200. 사람을 비방할 목적으로 정보통신망을 통하여 공공연하게 거짓의 사실을 드러내어 다른 사람의 명예를 훼손한 자는 형사처벌을 받을 수 있다.

사람을 비방할 목적으로 정보통신망을 통하여 공공연하게 사실을 드러내어 다른 사람의 명예를 훼손한 자는 형사처벌을 받을 수 있다.