공공공기관 정보보안 문제은행82 제로데이 스파이웨어 비밀취급인가

 

정보보안 기본수칙 문제은행

Q1. 비밀취급인가를 받은 직원 A씨는 비밀에 대한 전자적 처리로 올바른 것은?

① 비밀 생산을 완료하고 PC 내에 독립된 폴더를 지정하여 국가용 보안시스템으로 암호화하여 보관하였다.
② 동료에게 비밀을 이관하기 위해 일반용 휴대용 저장매체에 저장하여 전달하였다.
③ 비밀의 재사용을 고려하여 개인용 스마트폰에 백업 후 삭제하였다.
④ 비밀을 전자적으로 생산하기 위하여 비밀등급을 모두 대외비로 표시되도록 하였다.

해설 - 정답: ①
 비밀 자료는 생산 즉시 대외비를 등재하여 가급적이면 PC에 보관하지 않아야 한다.

Q2. 컴퓨터를 수리, 매각, 폐기할 때 주의해야 할 사항으로 올바르지 않은 것은?

① 컴퓨터나 저장매체를 부적절하게 수리의뢰, 매각, 폐기하는 경우 컴퓨터 내의 정보가 유출될 수 있으므로 주의해햐 한다.
② 컴퓨터 내의 공인인증서, 개인정보, 이메일 등 중요 정보를 컴퓨터의 삭제명령을 통해 삭제한다.
③ 컴퓨터나 저장매체를 폐기하는 경우 저장매체를 물리적으로 파괴하여 다시 사용할 수 없도록 한다.
④ 회사에서 컴퓨터를 폐기할 때 담당자와 상담한 후 폐기한다.

해설 - 정답: ②
 PC 반납 시 PC의 삭제명령을 통해 삭제하지 않고, 국가정보원에서 인증한 완전 포맷 프로그램을 사용하여야 한다.

Q3. 출장에 사용하기 위하여 노트북 반출시 수행해야 하는 보안조치 사항으로 올바르지 않은 것은?

① 출장지에서 무선인터넷을 사용해야 할 수도 있기 때문에 매체제어 솔루션을 삭제하고 반출한다.
② 노트북의 운영체제와 어플리케이션의 업데이트를 수행한다.
③ 불필요한 자료는 모두 삭제한다.
④ 인가되지 않은 휴대용 저장장치는 사용하지 않는다.

해설 - 정답:①
 출장지에서 무선인터넷을 사용해야 할 경우 사전에 부서 정보보호담당자에게 통제해제를 요청하여야 한다.

 

 

Q4. 기관의 서버를 관리하는 직원 A씨의 보안 관리방안으로 올바른 것은?

① 홈페이지 내 비공개 정보에 대한 비인가자의 무단 접근 방지를 위하여 불필요한 계정을 삭제하였다.
② 생산된 지 3개월이 경과한 비밀을 홈페이지에 게시하였다.
③ 업무활용을 위하여 개인 홈페이지에 업무관련 자료를 게시하였다.
④ 홈페이지에 기관이 IP주소 체계와 업무망 구성도를 게시하였다.

해설 - 정답:①
 비인가자의 무단 접근을 방지하기 위하여 불필요한 계정은 주기적으로 삭제하여야 하고, 비밀번호는 주기적(최소 1ㅜㄴ기 1회)으로 변경하여야 한다.

Q5. 홈페이지 게시자료 보안관리 방안에 대하여 올바르지 않은 것은?

① 홈페이지 관리자의 개인정보를 홈페이지에 게시한다.
② 인터넷 블로그, 카페, 개인 홈페이지 또는 SNS 서비스 등 일반에 공개된 전산망에 업무관련 자료를 무단 게재하지 않는다.
③ 비공개 공문서, 민감 내용 등이 포함된 자료를 홈페이지에 공개하지 않는다.
④ 정보보안담당관은 홈페이지에 비공개 내용이 게시되었는지 주기적으로 확인한다.

해설 - 정답:①
 홈페이지 관리자도 국민이므로 개인정보를 게시하지 않아야 한다.

---

Q6. 비밀 등 전자정보를 처리하는 전용 PC를 활용할 때 가장 올바른 것은?

① 비밀 전용 PC의 사용자계정(ID)에 숫자, 문자, 특수문자 등을 포함한 7자리의 비밀번호를 설정해 놓는다.
② 자리를 비울 시에는 암호 설정 없이 화면보호기가 동작하도록 한다.
③ 대외비 파일을 보관할 때에는 암호화하여 별도 저장소에 저장한다.
④ 비밀 생산을 완료 후 작성된 비밀 내용을 업무망에 공유한다.

해설 - 정답:③
 중요한 자료는 생산 즉시 대외비를 등재하여 가급적이면 PC에 보관하지 않아야 한다. 비합소 등 시건장치가 있는 안전장소에 보관해야 한다.

Q7. A씨가 업무 목적으로 전자우편을 사용하는 방법으로 올바르지 않은 것은?

① 메일에 포함된 첨부파일이 자동적으로 실행되지 않도록 설정해야 한다.
② 기관 전자우편으로 송,수신한 업무 자료는 활용 후 메일함에 저장, 보관한다.
③ 상용 전자우편을 이용한 업무자료 송,수신을 금지한다.
④ 사용자 출처가 불분명하거나 의심되는 제목의 전자우편은 열람을 금지하고 즉시 정보보안담당자를 경유하여 국가사이버안전센터에 신고한다.

해설 - 정답:②
 상용메일을 이용하여 업무자료를 송,수신하지 않도록 한다. 업무자료를 메일을 통해서 송,수신할 경우에는 우리원 기관메일을 사용하며, 활용 후 메일함에서 즉시 삭제를 하여야 한다.

Q8. 랜섬웨어 피해를 예방하기 위한 수칙으로 올바르지 않은 것은?

① 모든 소프트웨어는 최신 버전으로 업데이트한다.
② 출처가 불명확한 이메일과 URL링크는 실행하지 않는다.
③ 중요 자료는 PC내 하드디스크에만 보관한다.
④ 파일 공유 사이트 등에서 파일 다운로드 및 실행에 주의한다.

해설 - 정답:③
 중요한 자료는 생산 즉시 대외비를 등재하여 가급적이면 PC에 보관하지 않아야 한다.

Q9. 다음 중 악성코드에 대한 설명으로 올바른 것은?

① 악성코드는 항상 파일 형태로 존재한다.
② 문서 파일은 실행 파일이 아니기 때문에 열어 보더라도 안전하다.
③ CCTV와 같은 IoT 기기에 감염되는 악성코드도 있다.
④ 최신 업데이트된 백신 프로그램은 모든 악성코드를 탐지할 수 있다.

해설 - 정답:③
 CCTV, IoT 등 최신의 기술도 악성코드 감염이 발생된다. 최근 이러한 최신 기술이 많은 해커들의 집중 타겟이 되고 있다.

Q10. 다음 악성 프로그램에 대한 설명으로 가장 올바른 것은?

시스템을 잠그거나 데이터를 암호화하여 사용할 수 없도록 한 뒤, 이를 인질로 삼아 금전을 요구하는 악성 프로그램

① 랜섬웨어(Ransomware)
② 스파이웨어(Spyware)
③ 애드웨어(Adware)
④ 바이러스(Virus)

해설 - 정답:①
※ 스파이웨어: 다른 사람의 컴퓨터에 잠입하여 중요한 자료를 빼가는 악성 프로그램
※ 애드웨어: 특정 소프트웨어를 실행할 때 또는 자동으로 활성화 되는 광고 프로그램(보통 사용자가 모르게 설치된다)
※ 바이러스: 프로그램, 데이터 파일 등을 파괴 및 중요 자료 유출하는 악성 프로그램

---

Q11. 비밀 등 중요 전자정보를 처리하는 전용 PC를 활용할 때 가장 올바른 것은?

① 비밀 전용 PC의 사용자계정(ID)에 숫자, 문자, 특수문자 등을 포함한 7자리의 비밀번호를 설정해 놓는다.
② 자리를 비울 시에는 암호 설정 없이 화면보호기가 동작하도록 한다.
③ 대외비 파일을 보관할 때에는 암호화하여 별도 저장소에 저장한다.
④ 비밀 생산을 완료 후 작성된 비밀 내용을 업무망에 공유한다.

해설 - 정답:③
 중요한 자료는 생산 즉시 대외비를 등재하여 가급적이면 PC에 보관하지 않아야 한다. 비합소 등 시건장치가 있는 안전장소에 보관해야 한다.

Q12. 다음 지문의 특징을 가진 공격은?

SW 개발사의 네트워크에 침투 후, 소스코드를 수정 및 악의적인 목적의 코드를 삽입, 배포를 위한 서버에 접근하여 파일을 변경하는 방식의 공격. 대표적인 방식은 빌드/업데이트 인프라 변조, 인증서나 개발 계정 유출을 통한 변조, 하드웨어나 펌웨어의 변조, 악성코드에 감염되어 있는 제품 판매 등이 있다.

① APT공격
② 갠드크랩(GandCrab) 공격
③ 클롭(CLOP) 공격
④ 공급망(Supply Chain) 공격

해설 - 정답:④
※ APT공격: 오랜기간에 걸친 지속적인 해킹 시도를 통해 개인정보 등 중요 데이터를 유출하는 공격
※ 갠드크랩, 클롭: 랜섬웨어의 종류

 

 

Q13. A씨가 업무 목적으로 전자우편을 사용하는 방법으로 올바르지 않은 것은?

① 메일에 포함된 첨부파일이 자동적으로 실행되지 않도록 설정해야 한다.
② 기관 전자우편으로 송,수신한 업무 자료는 활용 후 메일함에 저장, 보관한다.
③ 상용 전자우편을 이용한 업무자료 송,수신을 금지한다.
④ 사용자 출처가 불분명하거나 의심되는 제목의 전자우편은 열람을 금지하고 즉시 정보보안담당자를 경유하여 국가사이버안전센터에 신고한다.

해설 - 정답:②
 상용메일을 이용하여 업무자료를 송,수신하지 않도록 한다. 업무자료를 메일을 통해서 송,수신할 경우에는 우리원 기관메일을 사용하며, 활용 후 메일함에서 즉시 삭제를 하여야 한다.

Q14. 문서의 무결성을 보장하는 것을 의미하는 것은?

① 문서가 수정되지 않고 원래 상태를 유지하는 것
② 문서의 내용을 누구나 열람할 수 있게 하는 것
③ 문서가 암호화되어 있는 것
④ 문서가 백업된 상태를 유지하는 것

해설 - 정답:①
※ 기밀성: 인가된 사용자나 시스템만이 접근할 수 있어야 함
※ 무결성: 정보가 수정되거나 변경되지 않아야 함
※ 가용성: 정보나 시스템이 필요한 시간에 접근 가능하고 사용 가능해야 함

Q15. 해커가 원하는 정보를 얻기 위해 피해자 PC의 키보드 입력정보를 갈취하는 프로그램을 무엇이라 하는가?

① Exploits
② Backdoor
③ Keyloggers
④ Spyware

해설 - 정답:③
 Keyloggers는 키보드의 입력 내용을 저장하여 비밀정보를 탈취하는 프로그램이다.

Q16. 다음 중 제로데이 공격에 대한 설명으로 옳지 않은 것은?

① 제로데이 공격은 정상적인 프로그램으로 위장한 악성코드를 활용하는 공격이다.
② 최근 발견한 log4j 취약점이 대표적인 제로데이 취약점이다.
③ 제로데이 공격 예방을 위해서 시스템 업데이트를 항상 최선으로 유지한다.
④ 심각한 취약점을 제작사에 신고하면 사례금을 받을 수 있다.

해설 - 정답:①
 제로데이 공격이란 소프트웨어의 취약점을 공격하는 기술적 위협으로, 해당 취약점에 대한 패치가 나오지 않은 시점에서 이루어지는 공격이다. 정상적인 프로그램으로 위장한 악성코드는 트로이목마이다.

Q17. 다음 중 중요한 자료의 관리에 대한 행동으로 올바른 것은?

① 중요한 자료는 메일을 통해 주고받으면 안전하기 때문에, 개인 메일을 통해서 주고받아야 한다.
② 중요한 자료는 메일을 통해 주고받지 말고 불가피한 경우 첨부파일에 비밀번호를 설정해야 한다.
③ CD와 USB와 같은 휴대용 저장매체에 중요한 자료를 보관한다.
④ 중요한 자료는 여러 폴더를 생성하여 많이 저장한다.

해설 - 정답:②
 상용메일을 이용하여 업무자료를 송,수신하지 않도록 한다. 업무자료를 메일을 통해서 송,수신할 경우에는 우리원 기관메일을 사용하며, 활용 후 메일함에서 즉시 삭제를 하여야 한다. CD와 USB와 같은 휴대용 저장매체는 분실 위험이 있으므로, 중요자료는 가급적으로 보관하지 않아야 한다. 중요한 자료는 생산 즉시 대외비를 등재하여 가급적이면 PC에 보관하지 않아야 한다.

Q18. 다음 중 웹사이트 방문에 대한 행동으로 올바른 것은?

① 웹사이트에서 요구하는 설치 프로그램은 안전하므로 무조건 설치해야 한다.
② 웹사이트의 원활한 진행을 위해서 웹사이트가 요구하는 설치 프로그램을 설치한다.
③ 웹사이트 방문 시 설치하는 프로그램은 인증서 및 디지털 서명을 참고하여 신뢰성 확인 후 설치한다.
④ 웹사이트에서 요구하는 설치 프로그램은 해당 웹사이트에서만 작동하므로 악성코드 감염에 걱정하지 않아도 된다.

해설 - 정답:③
 해킹, 악성코드 등에 의해 조작된 웹사이트에서 설치하는 프로그램은 악성코드를 포함할 가능성이 높기 때문에, 인증서 및 디지털 서명을 참고하여 신뢰성이 확인된 프로그램만 설치해야 한다.

Q19. 다음 중 용역사업 수행 시 보안관리 방안으로 올바르지 않은 것은?

① 보안서약서는 용역업체 관리자(PM)에게만 징구한다.
② 용역사업 참여인원에 대해 비밀유지 의무 준수 등에 대한 보안교육을 실시한다.
③ 용역업체 전산장비는 정보보안담당관의 인가 후 반출입 한다.
④ 용역업체 노트북 PC, 휴대용 저장매체를 정기적으로 보안점검한다.

해설 - 정답:①
 보안서약서는 용역업체 관리자(PM)을 포함하여 모든 사업 참여자에게 징구하여야 한다.

Q20. 다음 중 용역사업 입찰 및 계약 시 준수사항으로 올바르지 않은 것은?

① 입찰 공고 이전에 보안관리가 필요한 자료, 장비에 대해 투입이전에 관련법규에 따라 등급을 분류하고 필요한 요구사항을 마련한다.
② 입찰 공고 시 누출금지 대상정보, 부정당업자 제재조치, 기밀유지 의무 및 위반 불이익 등에 대해 정확히 공지한다.
③ 입찰 제안서에 제시한 용역사업 전반에 대한 보안관리 수행계획의 타당성을 검토한다.
④ 용역업체가 사업에 대한 하도급 계약을 체결할 경우, 별도의 계약이므로 원래 사업계약 수준의 비밀유지 조항이 포함될 필요는 없다.

해설 - 정답:④
 용역업체가 사업에 대한 하도급 계약을 체결할 경우, 동일하게 자료를 이용하므로 동일 수준의 비밀유지 조항이 포함되어야 한다.