CISSP 한글 기출문제 (21-70)

1.

Plan-Do-Check-Act 모델의 "Do" 단계에서 수행되는 작업은 다음 중 무엇입니까?

경영검토 결과에 따른 시정조치를 통해 BCM(Business Continuity Management) 체계를 유지 및 개선한다.

✔

✖

비즈니스 연속성 정책 및 목표에 대한 성과를 모니터링 및 검토하고, 검토를 위해 결과를 경영진에 보고하고, 수정 및 개선을 위한 조치를 결정 및 승인합니다.

✔

✖

비즈니스 연속성 정책, 제어, 프로세스 및 절차가 구현되었는지 확인합니다.

✔

✖

비즈니스 연속성 개선과 관련된 비즈니스 연속성 정책, 목표, 대상, 제어, 프로세스 및 절차가 수립되었는지 확인합니다.

✔

✖

2.

데이터 보안 및 비즈니스 운영과 관련되거나 보안 평가를 수행하는 기준 참조로 사용할 수 있는 업계에서 인정하는 문서는 무엇입니까?

Service Organization Control (SOC) 1 Type 2

✔

✖

Service Organization Control (SOC) 1 Type 1

✔

✖

Service Organization Control (SOC) 2 Type 2

✔

✖

Service Organization Control (SOC) 2 Type 1

✔

✖

3.

범죄 조직이 정부 네트워크에 대한 공격을 계획하고 있습니다. 다음 시나리오 중 조직에 가장 큰 위험을 초래하는 시나리오는 무엇입니까?

조직은 네트워크 장치에 대한 통제력을 잃습니다.

✔

✖

네트워크는 공격자에 의한 통신 트래픽으로 넘쳐납니다.

✔

✖

네트워크 관리 통신이 중단되었습니다.

✔

✖

공격자는 네트워크 토폴로지에 관한 민감한 정보에 액세스합니다.

✔

✖

4.

서비스 조직이 시스템을 설명하고 재무 보고에 대한 사용자의 내부 통제와 관련된 통제 목표 및 통제를 정의해야 하는 보고 유형은 무엇입니까?

Statement on Auditing Standards (SAS) 70

✔

✖

Service Organization Control 1 (SOC1)

✔

✖

Service Organization Control 2 (SOC2)

✔

✖

Service Organization Control 3 (SOC3)

✔

✖

5.

주입 및 오버플로 공격에 대한 보안 코딩 기술을 검증하는 가장 좋은 방법은 다음 중 무엇입니까?

취약성 패턴에 대한 코딩 스타일 및 기법에 대한 예정된 팀 검토

✔

✖

이미 사용 중인 유사한 애플리케이션의 프로덕션 코드 루틴을 정기적으로 사용

✔

✖

자동화된 프로그램을 사용하여 알려진 최신 취약성 패턴 테스트

✔

✖

코드 편집 도구가 알려진 취약성 패턴에 대해 업데이트되었는지 확인

✔

✖

6.

윤리적 갈등을 해결할 때 정보 보안 전문가는 많은 요소를 고려해야 합니다. 고려사항은 어떤 순서로 우선순위를 지정해야 합니까?

공공 안전, 개인에 대한 의무, 직업에 대한 의무, 교장에 대한 의무

✔

✖

공공 안전, 교장에 대한 의무, 직업에 대한 의무, 개인에 대한 의무

✔

✖

공공 안전, 교장에 대한 의무, 개인에 대한 의무 및 직업에 대한 의무

✔

✖

공공 안전, 직업에 대한 의무, 교장에 대한 의무 및 개인에 대한 의무

✔

✖

7.

정보 기술(IT) 조직이 비용을 절감하고 위험을 완화하며 고객 서비스를 개선하는 데 가장 도움이 되는 서비스 관리 프로세스는 무엇입니까?

Kanban

✔

✖

Lean Six Sigma

✔

✖

Information Technology Service Management (ITSM)

✔

✖

Information Technology Infrastructure Library (ITIL)

✔

✖

8.

회사에서 사용자 인증 프로세스의 보안을 강화하려고 합니다. 여러 옵션을 평가한 후 회사는 IDaaS(Identity as a Service)를 활용하기로 결정했습니다. 다음 중 회사가 솔루션으로 IDaaS를 선택하게 만드는 요인은 무엇입니까?

사내 팀은 사내 솔루션을 지원할 리소스가 부족합니다.

✔

✖

타사 솔루션은 본질적으로 더 안전합니다.

✔

✖

타사 솔루션은 위험을 공급업체에 전가하는 것으로 알려져 있습니다.

✔

✖

사내 개발은 더 많은 제어를 제공합니다.

✔

✖

9.

조직은 최근 웹 애플리케이션 공격으로 인해 사용자 세션 쿠키 정보가 도난당했습니다. 공격자는 사용자의 브라우저가 손상된 웹 사이트를 방문할 때 스크립트를 실행할 때 정보를 얻을 수 있었습니다. 어떤 유형의 공격이 가장 많이 발생했습니까?

SQL injection (SQLi)

✔

✖

Extensible Markup Language (XML) external entities

✔

✖

Cross-Site Scripting (XSS)

✔

✖

Cross-Site Request Forgery (CSRF)

✔

✖

10.

사회 공학 및 악의적인 URL(Uniform Resource Locator) 링크를 사용하여 피해자의 기존 웹 애플리케이션 브라우저 세션을 이용하는 공격은 다음 공격 유형 중 어떤 예입니까?

Clickjacking 클릭재킹

✔

✖

Cross-site request forgery (CSRF)

✔

✖

Cross-Site Scripting (XSS)

✔

✖

Injection

✔

✖

11.

다음 중 스트림 암호로 기능할 수 있는 암호화 기술은 무엇입니까?

오류 전파가 있는 CBC(Cipher Block Chaining)

✔

✖

전자 코드북(ECB)

✔

✖

CFB(암호 피드백)

✔

✖

Feistel cipher 파이스텔 암호

✔

✖

12.

DR(재해 복구) 테스트에서 위기 관리의 특성은 다음 중 무엇입니까?

Process 프로세스

✔

✖

Anticipate 예상

✔

✖

Strategic 전략적

✔

✖

Wide focus 넓은 초점

✔

✖

13.

다음 중 보안 모델을 적용하기 위해 액세스 제어를 정의할 때 참조 모니터의 목적을 가장 잘 설명하는 것은 무엇입니까?

부대 구성원을 안전하게 지키는 강력한 운영 보안

✔

✖

조직 규칙의 유효성을 검사하는 정책

✔

✖

조직이 시스템을 건강하게 유지할 수 있도록 하는 사이버 위생

✔

✖

디자인으로 품질을 보장하는 품질 디자인 원칙

✔

✖

14.

다음 중 보안 제어 변동성은 무엇입니까?

보안 제어의 영향에 대한 참조입니다.

✔

✖

보안 제어의 변경 가능성에 대한 참조입니다.

✔

✖

보안 제어가 얼마나 예측 불가능한지에 대한 참조입니다.

✔

✖

보안 제어의 안정성에 대한 참조입니다.

✔

✖

15.

소프트웨어 개발 수명 주기(SDLC)를 감사할 때 상위 수준 감사 단계 중 하나는 다음 중 무엇입니까?

Planning 계획

✔

✖

Risk assessment 위험 평가

✔

✖

Due diligence 실사

✔

✖

Requirements 요구 사항

✔

✖

16.

클라우드에서 데이터가 지리적으로 저장되는 위치를 정의하는 데 사용되는 용어는 무엇입니까?

데이터 프라이버시 권리

✔

✖

데이터 주권

✔

✖

데이터웨어 하우스

✔

✖

데이터 주체 권리

✔

✖

17.

다음 중 시스템 개발 수명 주기(SDLC) 내에서 보안 설계 프로세스가 보장하는 것은 무엇입니까?

적절한 보안 제어, 보안 목표 및 보안 목표가 적절하게 시작됩니다.

✔

✖

보안 목적, 보안 목표 및 시스템 테스트가 적절하게 수행됩니다.

✔

✖

적절한 보안 제어, 보안 목표 및 결함 완화가 적절하게 수행됩니다.

✔

✖

보안 목표, 적절한 보안 제어 및 검증이 적절하게 시작됩니다.

✔

✖

18.

다음 중 조직을 위한 정보 보안 통제를 개발할 때 따라야 할 가장 중요한 것은 무엇입니까?

조직의 보안 제어를 위해 업계 표준 모범 사례를 사용합니다.

✔

✖

적절한 통제를 맞춤화하기 위해 모든 위험 관리 정보와 관련하여 실사를 수행합니다.

✔

✖

모든 지역 및 국제 표준을 검토하고 위치에 따라 가장 엄격한 표준을 선택합니다.

✔

✖

위험 평가를 수행하고 기존 격차를 해결하는 표준을 선택합니다.

✔

✖

19.

중단에서 복구할 때 데이터 복구 측면에서 RPO(복구 지점 목표)는 무엇입니까?

RPO는 복구해야 하는 최소 데이터 양입니다.

✔

✖

RPO는 손실된 데이터의 허용 가능한 비율을 복구하는 데 걸리는 시간입니다.

✔

✖

RPO는 손실된 데이터의 목표 비율을 복구하는 것이 목표입니다.

✔

✖

RPO는 데이터 손실이 허용되는 최대 시간입니다.

✔

✖

20.

다음 공격 중 성공할 경우 침입자가 소프트웨어 정의 네트워킹(SDN) 아키텍처를 완전히 제어할 수 있는 것은 무엇입니까?

컨트롤러의 SSH(Secure Shell) 포트에 대한 무차별 암호 대입 공격

✔

✖

네트워크 내 손상된 호스트에서 방화벽을 통과하지 않는 흐름을 열기 위해 제어 메시지 보내기

✔

✖

RADIUS(Remote Authentication Dial-In User Service) 토큰 재생 공격

✔

✖

네트워크 내부에서 손상된 호스트의 트래픽 스니핑

✔

✖

21.

다음 중 시스템의 네트워크 공격 표면을 줄이는 가장 좋은 옵션은 무엇입니까?

불필요한 포트 및 서비스 비활성화

✔

✖

시스템에 그룹 계정이 없는지 확인

✔

✖

시스템에서 기본 소프트웨어 제거

✔

✖

불필요한 시스템 사용자 계정 제거

✔

✖

22.

보안 설계자는 모든 직원을 위한 디지털 인증서를 생성하기 위해 내부 인증 기관을 설계 및 구현하고 있습니다. 다음 중 개인 키를 안전하게 저장하는 가장 좋은 솔루션은 무엇입니까?

물리적으로 안전한 저장 장치

✔

✖

신뢰할 수 있는 플랫폼 모듈(TPM)

✔

✖

암호화된 플래시 드라이브

✔

✖

공개 키 인프라(PKI)

✔

✖

23.

물리적 장벽, 카드 및 개인 식별 번호(PIN) 액세스 시스템, 카메라, 경보기 및 경비원의 존재가 이 보안 접근 방식을 가장 잘 설명합니까?

액세스 제어

✔

✖

SIEM(보안 정보 및 이벤트 관리)

✔

✖

심층 방어 Defense-in-depth

✔

✖

보안 경계 Security perimeter

✔

✖

24.

병원은 공정 정보 관행 강령을 시행합니다. 웹 포털에서 의료 기록을 요청하는 환자에게 적용되는 관행은 무엇입니까?

목적 명세

✔

✖

수집 제한

✔

✖

이용 제한

✔

✖

개인 참여

✔

✖

25.

최근에 조직을 떠난 동료가 보안 전문가에게 조직의 기밀 사고 관리 정책 사본을 요청했습니다. 다음 중 이 요청에 대한 가장 좋은 응답은 무엇입니까?

회사에서 지급한 기기에서 정책에 접속하여 이전 동료가 화면을 볼 수 있도록 합니다.

✔

✖

동료는 이미 조직의 일원이었고 잘 알고 있으므로 정책을 이메일로 동료에게 보냅니다.

✔

✖

이전 동료로부터 요청을 받은 것을 인정하지 않고 무시하십시오.

✔

✖

회사 공식 채널을 사용하여 요청을 제출하여 정책을 배포해도 괜찮은지 확인하십시오.

✔

✖

26.

다음 중 조직이 새 소프트웨어 보호에 대해 블랙 박스 보안 감사를 수행해야 하는 경우를 가장 잘 설명하는 것은 무엇입니까?

조직에서 비기능 적합성을 확인하고자 하는 경우

✔

✖

조직이 인프라 전반에 걸쳐 알려진 보안 취약점을 열거하려는 경우

✔

✖

조직이 최종 소스 코드가 완성되었다고 확신할 때

✔

✖

조직에 보안 사고가 발생한 경우

✔

✖

27.

소프트웨어 개발에서 다음 엔티티 중 일반적으로 코드 무결성을 보호하기 위해 코드에 서명하는 것은 무엇입니까?

코드를 개발하는 조직

✔

✖

품질 관리 그룹

✔

✖

개발자

✔

✖

데이터 소유자

✔

✖

28.

다음 중 웹 애플리케이션에 대한 잠재적인 위협을 모니터링하고 동적으로 대응하는 데 사용할 수 있는 기술은 무엇입니까?

필드 수준 토큰화

✔

✖

웹 애플리케이션 취약점 스캐너

✔

✖

런타임 애플리케이션 자체 보호(RASP)

✔

✖

SAML(보안 주장 마크업 언어)

✔

✖

29.

보안 설계자는 고객을 위한 정보 시스템을 개발하고 있습니다. 요구 사항 중 하나는 일반적인 취약성과 공격을 완화하는 플랫폼을 제공하는 것입니다. 버퍼 오버플로 공격을 방지하는 데 사용되는 가장 효율적인 옵션은 무엇입니까?

액세스 제어 메커니즘

✔

✖

프로세스 격리

✔

✖

ASLR(주소 공간 레이아웃 무작위화)

✔

✖

프로세서 상태

✔

✖

30.

분기별 시스템 액세스 검토에서 프로덕션 시스템에 대한 이전 검토에는 존재하지 않았던 활성 권한 계정이 발견되었습니다. 계정은 이전 액세스 검토 후 1시간 후에 생성되었습니다. 다음 중 분기별 액세스 검토 외에 전체 위험을 줄이는 가장 좋은 옵션은 무엇입니까?

연 2회 검토를 실시합니다.

✔

✖

시스템 액세스에 대한 정책을 만듭니다.

✔

✖

위험 기반 경고를 구현하고 검토합니다.

✔

✖

로깅 수준을 높입니다.

✔

✖

31.

회사에는 공식적인 데이터 파기 정책이 없습니다. 형사 소송 절차의 어느 단계에서 이것이 가장 큰 영향을 미칠까요?

선고 Sentencing

✔

✖

재판 Trial

✔

✖

발견 Discovery

✔

✖

죄상 인부 Arraignment

✔

✖

32.

타사 보안 서비스에 원격 네트워크 액세스를 제공할지 여부를 결정할 때 가장 적절한 설명은 무엇입니까?

계약 협상

✔

✖

공급자 요청

✔

✖

비즈니스 요구

✔

✖

공급업체 데모

✔

✖

33.

적법하고 공정한 수단으로 개인 데이터를 취득하는 것은 어떤 원칙의 예입니까?

수집 제한 원칙

✔

✖

개방성 원칙

✔

✖

목적 명세 원칙

✔

✖

데이터 품질 원칙

✔

✖

34.

다음 중 자산 데이터 라벨링 절차에 대한 가장 적절한 통제는 무엇입니까?

사용 중인 미디어 유형 분류

✔

✖

물리적 인벤토리 제어를 제공하기 위해 데이터 미디어 로깅

✔

✖

오프사이트 스토리지 액세스 제어 검토

✔

✖

로깅 기록의 감사 추적 검토

✔

✖

35.

테스트 환경에서 개인 식별 정보(PII)를 익명화하는 가장 좋은 방법은 무엇입니까?

데이터 교환

✔

✖

데이터 무작위화

✔

✖

데이터 인코딩

✔

✖

데이터 암호화

✔

✖

36.

다음 중 요청, 승인 및 프로비저닝 비즈니스 프로세스를 시작하는 부서는 어디입니까?

운영 Operations

✔

✖

보안

✔

✖

Human resources (HR)

✔

✖

Information technology (IT)

✔

✖

37.

조직은 보안 관리 프로그램(SMP) 개발을 목표로 보안 평가 범위를 설정하고 있습니다. 다음 단계는 위험 평가를 수행하기 위한 접근 방식을 선택하는 것입니다. 다음 중 SMP에 가장 효과적인 접근 방식은 무엇입니까?

제어 관리에 중점을 둔 보안 제어 기반 평가

✔

✖

비즈니스 목표에 중점을 둔 비즈니스 프로세스 기반 위험 평가

✔

✖

자산에 중점을 둔 자산 중심 위험 평가

✔

✖

데이터에 중점을 둔 데이터 기반 위험 평가

✔

✖

38.

시스템 설계자가 시스템 및 응용 프로그램의 잠재적인 보안 문제를 고려하는 데 도움이 되는 기술은 무엇입니까?

위협 모델링

✔

✖

수동 검사 및 검토

✔

✖

소스 코드 검토

✔

✖

침투 테스트 Penetration testing

✔

✖

39.

보안 전문가는 다음 중 어느 컨트롤을 사용하여 애플리케이션을 배포하여 COTS(Commercial Off-The-Shelf) 솔루션 사용의 위험을 가장 잘 완화할 수 있습니까?

네트워크 분리 Network segmentation

✔

✖

블랙리스트 신청

✔

✖

화이트리스트 애플리케이션

✔

✖

강화된 구성

✔

✖

40.

다음 중 중앙 집중식 ID 관리를 가장 잘 설명하는 것은 무엇입니까?

서비스 공급자는 자격 증명 및 ID 공급자(IdP) 역할을 모두 수행합니다.

✔

✖

서비스 제공자는 행동 분석 대 식별 요인으로 엔터티를 식별합니다.

✔

✖

서비스 제공업체는 조직 경계를 넘어 ID 시스템 인식을 통합하는 데 동의합니다.

✔

✖

서비스 공급자는 TTP(신뢰할 수 있는 타사)에 의존하여 요청자에게 자격 증명과 식별자를 모두 제공합니다.

✔

✖

41.

역할 기반 액세스 제어(RBAC)의 가장 중요한 이점은 무엇입니까?

부적절한 액세스 감소

✔

✖

최소 권한 관리

✔

✖

가장 세분화된 형태의 액세스 제어

✔

✖

권한 관리 오버헤드 감소

✔

✖

42.

모바일 장치의 가장 일반적인 보안 위험은 무엇입니까?

데이터 스푸핑

✔

✖

맬웨어 감염

✔

✖

안전하지 않은 통신 링크

✔

✖

데이터 유출

✔

✖

43.

주로 고성능 데이터 읽기 및 쓰기를 위해 어떤 수준의 RAID(Redundant Array of Independent Disks)가 구성되어 있습니까?

RAID-0

✔

✖

RAID-1

✔

✖

RAID-5

✔

✖

RAID-6

✔

✖

44.

조직에서 수행되는 일련의 부가가치 및 관리 활동과 관련된 위험 유형은 무엇입니까?

통제 위험

✔

✖

수요 위험

✔

✖

공급 위험

✔

✖

프로세스 위험

✔

✖

45.

국제 기구는 서명국 간에 무기를 교환하는 방법을 정의하는 규제 체계를 수립했습니다. 또한 악성 소프트웨어, C2(Command and Control) 소프트웨어, 인터넷 감시 소프트웨어를 포함한 사이버 무기를 다룹니다. 이것은 다음 중 어느 것에 대한 설명입니까?

국제무기거래규정(ITAR)

✔

✖

팔레르모 대회 Palermo convention

✔

✖

바세나르 배열 Wassenaar arrangement

✔

✖

일반 데이터 보호 규정(GDPR) General Data Protection Regulation (GDPR)

✔

✖

46.

조직에서 무단 외부 액세스로부터 네트워크를 보호하기 위한 보호 전략을 구현했습니다. 신임 최고정보보안책임자 (CISO)는 무단 내부 액세스로부터 네트워크를 더 잘 보호하여 보안을 강화하고자 합니다. 어떤 네트워크 액세스 제어(NAC) 기능이 이 목표를 가장 잘 충족합니까?

포트 보안

✔

✖

Two-factor authentication (2FA)

✔

✖

Strong passwords

✔

✖

Application firewall

✔

✖

47.

평가 보고서의 어느 섹션에서 별도의 취약성, 약점 및 격차를 다루고 있습니까?

조사 결과 정의 섹션

✔

✖

위험 검토 섹션

✔

✖

전체 세부 정보가 포함된 요약

✔

✖

주요 결과 섹션

✔

✖

48.

데이터 분류 제어가 조직에 중요한 이유는 무엇입니까?

데이터 검색을 활성화하려면

✔

✖

보안 제어가 조직의 위험 성향에 부합하도록 보장

✔

✖

무결성, 기밀성 및 가용성을 보장하기 위해

✔

✖

조직 정책 및 규정에 따라 데이터 보존을 제어하기 위해

✔

✖

49.

시설 주변에 묻힌 데이터 회선의 보안을 모니터링하기 위해 다음 중 가장 효과적인 통제는 무엇입니까?

모든 출입구에 폐쇄회로 텔레비전(CCTV) 카메라를 설치하여 시설 주변에 울타리를 칩니다.

✔

✖

보안 이벤트 관리(SEM) 시스템에 설치되고 보고되는 지상 센서

✔

✖

케이블 유입 지점의 수동 검사를 포함하여 주변을 정기적으로 청소합니다.

✔

✖

시설 진입 지점 주변의 강철 케이싱

✔

✖

50.

기업은 공급업체가 계약을 체결하기 전에 충족해야 하는 기본 사이버 보안 표준을 개발하고 있습니다. 기본 사이버 보안 표준에 대한 다음 설명 중 참인 것은 무엇입니까?

일반적인 요구 사항으로 표현되어야 합니다.

✔

✖

기술 요구 사항으로 표현되어야 합니다.

✔

✖

비즈니스 용어로 표현해야 합니다.

✔

✖

법률 용어로 표현해야 합니다.

✔

✖

This quiz has been created using the tool HTML Quiz Generator