필수기출1200 ~1200

1061.
디렉터리 리스팅
- 보안설정 오류

1062.
XML 조회를 위한 질의문 생성시 검증값처리방법 설계
- 공통 검증 컴포넌트 사용
- 필터 컴포넌트 사용
- 개별 코드에서 입력값 필터링
- 안전한 API 사용

1063.
HTTP Smuggling
- 하나의 패킷 안에 또 하나의 패킷을 포함하여 밀수smuggling 된 패킷을 해석할 경우 공격이 수행된다

1064.
WAF: 응용 프로그램이나 서비스의 입출력 및 액세스 제어 방화벽
MDM: 스마트폰, 태블릿 등 모바일 장치를 관리하는 솔루션 기술
IPS: 네트워크 또는 시스템의 악의적 활동 식별, 정보를 기록, 보고, 탐지된 침입 차단

+ MAM : 모바일 기기에 설치된 앱과 데이터를 선택적으로 관리하는 솔루션. 개인의 영역과 기업의 영역이 나뉨

1065.
국가기관의 여러 보안가이드에서 공통적으로 언급하는 웹어플리케이션 취약점
- XSS, CSRF, SQL Injection

+ Get Flooding : DDoS 공격. 특정 페이지를 무한실행

1066.
시큐어코딩 - 정적분석
- 소트프웨어 실행 불필요
- 실행 결과보다 실행 전 구현에 초점
- compile time이나 소스 수준에서 검증가능한 코딩이나 api 보안항목 점검
- 설계, 구조 관점의 보안약점 발견못함

+ 동적 분석 : stress test나 penetration test 등. 구조관점의 보안약점 발견못함.

1067.
문자열이 Perl의 system함수나 PHP exec 함수 등에 건네지는 것을 이용해 부정하게 쉘 스크립트를 실행시키는 공격
=> OS Comman Injection

1068.
명령어 특수문자
; 입력한 순서대로 명령어 처리
|| 앞의 명령어가 실패하면 다음 명령어 실행
&& 앞의 명령어가 성공하면 다음 명령어 실행

1069.
DHCP 프로토콜은 전송계층으로 UDP 프로토콜을 사용하고 서버는 67 클라이언트는 68
( 68을 사용하는 이유는 응답이 브로드캐스트될 때 발생하는 문제점을 방지하기 위함 )

1070.
DNS 순서
캐시 -> Hosts 파일 -> 로컬 DNS 서버

1071.
DNS 구성요소
인터넷상에 산재하여 존재하는 네임서버들 가운데에서 특정 도메인 이름에 대해 원하는 유형의 리소스 레코드 데이터를 조회하는 기능을 수행
=> 리졸버Resolver : 네임서버에 대해 클라이언트 역할 수행. 캐시네임서버.

+ whois : 도메인 등록정보 등을 조회하기 위한 명령어

1072.
DNS 점검 도구
nslookup : 대화형모드/비대화형모드

 

 

 

1073.
DNS 증폭공격
- resolving이 허용된 DNS를 매개체로 악용하는 형태의 공격

1074.
DNS 서버 보안
- 항상 최신버전 사용
- chroot 환경에서 운영 ( 리얼 서버에서 동작중엔 데몬에 개별적으로 가상서버 환경 제공 )
- DNS를 사용하지 않는다면 서비스를 종료

1075.
DNS 보안 취약점 Cache Poisoning
- Recursive Query가 허용된 목표 네임 서버에 공격자가 의도한 도메인 질의 및 위조된 응답 패킷을 전송
( dns 트랜잭션 id와 소스 포트 넘버를 부여할 때 예상하기 쉬운 랜덤값을 부여하므로 )

1076.
DNS 보안 취약점
- zone transfer
- dns 증폭 ddos
- address spoofing

+ Dynamic Update 기능은 BIND-8 이상에서만 사용가능. 디폴트로 허용되지 않는다

1077.
dns 스푸핑
- 희생자는 정상 도메인으로 접속하지만 실제로는 위조된 사이트로 접속됨
- dns 패킷의 udp적 특성을 이용한 공격
- 항상 네임서버를 최신으로 업데이트 해야 한다 (데몬BIND를 최신으로)

1078.
DNSSEC
- 파밍 (캐시 포이즈닝) 공격에 대응 가능
- 데이터 위조-변조 공격을 방지하기 위한 표준기술. 공개키 암호화방식 전자서명 도입

1079.
DNSSEC
- 기밀성 서비스X
- 서비스 거부 공격에 대한 방지책 없음
- DNS를 대체하는 것은 아니며 보안기능을 추가부여한 것

1080.
DNSSEC
- 응답 메시지의 각 세션에 설정되는 리소스 레코드 데이터의 위변조를 방지하기 위해 리소스 레코드에 대해 전자서명 메커니즘 적용

1081.
DNSSEC의 전자서명 서명검증 절차를 지원하기 위해 추가된 신규 리소스 레코드
- DNSKEY(공개키데이터), RRSIG(전자서명), NSEC/NSEC3(DNS 데이터 부재), DS
(보안측면의 인증된 위임체계)

1082.
해커가 DNS 서버를 해킹하거나 패킷을 조작하여
특정 도메인에 대응하는 IP 주소를 해커가 원하는 IP 주소로 위조
=> DNS 하이재킹

+ DNS 스푸핑 : 실제 DNS 서버보다 빨리 DNS Response 패킷을 보내 잘못된 ip주소로 접속하도록 유도
+ NXDomain 공격 : 존재하지 않는 도메인 쿼리로 플러딩
+ DNS 터널링 : DNS 요청과 응답 내에 데이터나 프로토콜을 암호화하여 숨김

1083.
DNS 질의 type
A : IP주소 질의
NS : 네임서버 질의
MX : 메일서버 질의
SOA : 존의 등록정보
PTR : IP에 대한 도메인 질의

1084.
DNS 질의에 가장 많은 양의 정보를 제공하는 유형 : ANY ( RR 유형 - 모든 )

1085.
MX 레코드
- 특정 도메인에 대한 메일을 수신하는 메일서버를 지정하는 레코드

+ CNAME : 하나의 IP에 여러 별칭을 가질 수 있게 해줌

1086.
zone transfer
- master/slave로 서비스할 경우, master에서 slave로의 zone-transfer만 허용하도록 한다
- BIND 9.X 이상에서 TSIG 기반 접근통제 가능

1087.
DNS 서비스 BIND설치
- /etc/named.conf
- /etc/named.iscdlv.key
- /etc/named.rfc1912.zones

+ /etc/rcdc.key 파일: rndckey를 보관하며 /etc/named.conf가 include하여 사용한다

1088.
데이터베이스 장애 발생시 체크포인트
- 체크포인트 숫자가 지나치게 많으면 잦은 IO로 성능 저하 가능
- 전체 복구 시간을 줄일 수 있다
- 매우 바쁜 OLTP 환경에서 성능 충돌 발생 가능

1089.
사용자가 가진 접근권한에 따라 논리적 DB를 분리하고 통제하는 것
=> 접근통제

+ 흐름제어, 추론제어 있음

1090.
DB 보안
- 보안 표준지침 구축 ( DBMS 접근통제 포함 )

1091.
금융보안 데이터 접근통제
- 부정거래 패턴 및 시스템 운영에 필요한 데이터 또는 패턴 생성, 변경, 삭제 등의 관리
- 비인가 관리자 또는 역할이 서로 다른 관리자가 사전에 정한 패턴 및 데이터의 무단 생성, 변경, 삭제 등의 권한
- 비인가 행위를 유발하는 송수신 데이터 통제
- 관리자 인증 세션의 제어, 관리자별 제한적 기능

감사증적 데이터 생성
- 관리자별 시스템 및 서비스 이용기록
- 접속일시, 접속성공및실패, 접근IP, MAC, 계정유형 등의 행위기록 일체
- 감사증적 생성 시간 등 각종 로그기록의 시간동기화

1092.
데이터베이스 시스템
- 관리자 권한 제한
- 정기적으로 데이터 백업
- 게스트 계정 금지
- 모든 SQL Server 계정에 복잡한 암호 사용

1093.
DB에 직접 접근하는 전용 클라이언트를 포함해 모든 접근 경로를 제어하는 강력한 보안 방법
=> 에이전트 방법 ( 에이전트를 이식하여 모든 접근 루트를 제어 )

1094.
DB 암호화 유형

애플리케이션 수정 없이 사용 가능
- TDE 방식, 파일 암호화 

+ API : 응용프로그램 전체 또는 일부 수정
+ 플러그인 : 특수한 상황에서 일부 수정

1095.
윈도우 보안조치
- 윈도우 인증 : 가장 안전
- 혼합 모드 : 윈도우 인증이나 SQL Server 인증 중 선택

1096.
MS SQL서버 인증모드
- 윈도우 인증 : 기본인증, 관리자가 사용자에게 접근권한 부여 가능, 트러스트 연결, SID 값 사용
- 혼합 모드 : 트러스트 되지 않은 연결, 표준 윈도우 로그인 사용불가시에 이용

1097.
MS SQL 데이터베이스 운영
- 윈도우 인증모드, 혼합모드
- db_datawriter : 모든 사용자 테이블에서 데이터 추가삭제변경
- db_owner : 데이터베이스에서 모든 유지관리 및 구성작업
- db_accessadmin : 윈도우 사용자, 그룹 및 sql 서버 로그인에 대한 액세스 권한 추가제거

1098.
mysql 서버 구축 보안강화
- xp_cmdshell은 해킹에 자주 이용되어 불필요할 경우 반드시 제거

1099.
전자화폐 요구조건
- 익명성, 이중사용 방지, 불추적성(사용자 지불내역 추적x), 분할성

1100.
전자화폐 기본 보안 요구사항
- 익명, 양도, 분할, 독립성, 오프라인성

1101.
전자지불 시스템 기술요건
- 거래 부인방지, 거래 당사자 확인, 거래 정보 접근통제

1102.
전자지불 시스템 위협요소
- 이중사용, 위조, 거래부인

1103.
제3자가 소비자 상품대금을 보관하고 있다가 상품배송이 완료된 후 통신판매업자에게 지급하는 서비스
=> 결제대금예치 Escrow 에스크로 서비스

+ 전자지급결제대행PG 서비스 : 결제정보 전송과 정산 업무 대행
+ 전자고지결제EBPP 서비스 : 전자적으로 지급인에게 고지, 대금을 직접 수수하여 정산 대행
+ 선불전자지급 수단발행 : 교통카드, 상품권 등

1104.
신용카드 데이터 보안 표준. 보안 시스템에 대한 기술 요구 사항, 개발 과정 및 운영 시 보안 요구 사항, 카드 소유자의 데이터 암호화, 정보보호 정책 등이 규정
=> PCI-DSS

1105.
전자상거래 결제 인증
하드웨어기반 방식
- 센서를 통해 맥박 및 체온 등을 추가로 측정하여 살아있는 사람의 것인지 여부 확인
- 빛 투과율, 정전용량 등을 측정하여 위조 지문을 탐지

+ 소프트웨어 기반 방식 : 바이오 샘플을 분석하여 땀샘을 두 번 이상 측정하여 발한현상 검출하는 등.

1106.
SET 프로토콜 구성요소

지불 게이트웨이 역할 : Merchant (가맹점)

+ 발행사Issuer

1107.
SET 전자지불 프로토콜
- 이중서명 : 지불정보는 상인에게 숨기고, 주문정보는 매입사에 숨김
- 매입사 : 상인과 계정을 체결하고 카드결제에 대한 신뢰성과 지불을 담당

+ 매입사 : 판매자의 가맹점 승인 금융기관
+ 발행사/발급사 : 고객의 카드발급 금융기관

1108.
전자상거래 이중서명
- 이중서명은 사용자 인증을 포함한다
- 이중서명 검증은 판매자가 수행

1109.
이중서명
- SET에서 도입된 기술. 구매정보를 상인에게 전달하면 유효성 확인

1110.
전자상거래 보안 프로토콜
- SET : 공개키 기반, 공개키-비밀키 암호방식 혼합
- SSL : 레코드, 핸드셰이크(제어) 계층.
- SHTTP : 하이퍼링크 앵커는 서버 식별, 요구되는 암호 매개변수 등을 지시

1111.
edXML 구성요소
- 비즈니스 프로세스, 거래당사자, 핵심 컴포넌트, 등록저장소, 전송/교환 및 패키징

1112.
edXML 사용효과
- 미리 만들어진 핵심 컴포넌트에서 필요한 항목만 뽑아 사용
- 컴포넌트로 구성
- 재활용 수준을 문서수준뿐만 아니라 시나리오 수준까지 확대

1113.
edXML
- XKMS : PKI 서비스 프락시 (공개키 기반 관리명세)
- SAML : 속성, 인증 및 승인
- XACML : 접근제어

+ OOXML : MS 오피스의 포맷

1114.
XML 디지털 서명
- Enveloping Signature(패키지화), Enveloped Signature(밖에서 서명구조), Detached Signature(데이터가 밖에 있음, 원격위치 전자서명)

1115.
해킹수행코드가 적용될 수 있을만한 취약점을 발견할 때까지 여러 번 시도해 침투에 성공하면 자랑하고 다닌다
보안상 취약점을 새로 발견하거나 최근 발견된 취약점을 주어진 상황에 맞게 바꿀만한 능력이 없음
=> Developed Kiddie ( 보통 십 대 후반의 학생들 )

+ Elite : 최고수준 해커
+ Semi Elite : 최소한의 지식을 보유
+ Script Kiddie : 보통 잘 알려진 트로이목마를 사용, 기술적 지식 부족
+ Lamer : 경험도 기술도 없음, 트로이목마나 해킹툴을 다운받아 시도하는 수준

1116.
리눅스 사고분석
nbtstat -c : NetBIOS 이름과 IP 주소 매핑 정보 등 캐시 데이터 목록
pslist -t : 현재 프로세스 리스트
psinfo -h -s : 현재 설치된 핫픽스, 소프트웨어 리스트
uptime : 부팅된 시간 정보

1117.
휘발성 증거 수집 순서
레지스터와 캐시 -> 메모리 내용 -> 임시파일시스템 -> 디스크 데이터 

1118.
휘발성 데이터
- 시간정보, 로그인 사용자 정보, 클립보드 데이터, 프로세스 정보, 프로세스 사용파일 정보, 시스템 시간, 네트워크 정보/연결/상태, DLL 정보, 핸들 정보, 공유 정보 등

1119.
이미지 백업을 위한 컴퓨터 포렌식 전용도구 : Encase 

1120.
봇넷 탐지 대응기술
- DNS Sinkhole
- Honeynet
- Behavior Detection

1121.
- 병렬시스템, 하나 이상 프로세스가 동작되는 환경에서 시간 및 상태를 부적절하게 관리하여 발생할 수 있는 취약점 존재
- 불충분한 캡슐화 : 비인가 사용자에게 데이터 유출

1122.
C언어 코드
getenv : 환경변수에 저장된 값을 읽어온다.
파일 이름을 getenv로 받아올 경우, [절대 디렉터리 경로 조작] 취약점이 있다

1123.
정보보호 거버넌스 프로세스
- 실행조직이 경영진에게 보고하고, 경영진은 실행조직에 지시한다
- 최고경영층은 실행조직이 수행한 결과를 관찰하여 평가한다

1124.
비즈니스와 정보보호가 상충되지 않도록 한다
법률준거성을 우선적으로 고려

1125.
ISO27701
- 전세계의 프라이버시 규정 준수를 입증하는 표준
- ISO 27001에 대한 데이터 프라이버시 확장

1126.
조직은 정보보호 정책 및 조직 수립, 범위설정 및 정보자산 식별, 위험관리, 구현, 사후관리 활동의 5단계
정보호호관리 프레임워크를 수립하고 기획 관리한다

1127.
관리자는 시스템 사용의 용이성이 떨어지더라도 시스템 안전을 최우선해야 한다

1128.
정보보호 정책서
- 최고 경영자 등 경영진의 의지 및 방향
- 조직의 정보보호를 위한 역할, 책임, 대상과 범위
- 조직이 수행하는 관리적, 기술적, 물리적 정보보호 활동의 근거

1129.
정보보호 정책서
- 정보보호 목적과 구성, 보안에 대한 역할과 책임, 정보보호 실행 계획 수립, 정보자산의 보안, 규정의 준수 등

1130.
정보보호대책 선정 시 제약사항

직원이 대책에 대한 필요성을 이해하지 못하고 문화적으로 수용할 만하다는 것을 알지 못할 때 : 사회적 제약 
( 임직원의 실천의지와 관련 )

1131.
정보보호 내부 감사시 고려 사항
- 내부감사는 제3자가 감사를 수행하는 것이 원칙. 다만 불가피한 경우 제3를 포함한 내부 정보보호 조직이 감사를 수행할 수 있다

1132.
정보보호 교육 및 훈련
- 집합 교육, 온라인 교육, 전달 교육 등으로 효과적으로 교육을 수행할 수 있도록 함

1133.
자산의 가치를 측정하고 자산에 대한 위협의 정도와 취약점을 분석
정보시스템 업무 중요도가 높거나 자산 가치가 높은 경우에 적용됨
=> 상세위험 접근법 

1134.
위험분석 전략
복합 접근법 : 중요 자원이 투입되기 전에 간단한 고수준 접근을 사용. 자원과 비용을 가장 큰 이익이 있는 곳에 사용할 수 있고 높은 위험은 미리 다루어질 수 있다.

기준선 접근 : 기본적인 보호대책을 확인하기 위해 어떤 중요 자원도 필요하지 않음. 큰 노력 없이 많은 시스템에 비슷한 안전요소 적용

1135.
위험분석접근방법
- 기준선 접근법 : 체크리스트 형태. 계량화가 어려움
- 비형식 접근법 : 전문가의 전문성 활용
- 상세위험분석 : 자산분석, 위협분석, 취약점 분석의 각 단계를 수행

1136.
조직은 [정보자산의 식별]과정을 통해 보호받을 가치가 있는 자산에 대해 정보자산의 형태, 소유자, 관리자 등을 포함한 [목록]을 만들고 [자산의 가치와 중요도]를 산출한다

1137.
위험분석의 방법론
- 복합적 접근법 : 기준선 + 상세위험분석
- 정성적 : 델파이, 시나리오, 순위결정
- 정량적 : 수학공식, 확률분포추정, 과거자료 분석

1138.
정량적 위험분석
- 위험관리 성능평가 용이, 단 시간과 비용이 많이 든다
- 금전적 가치, 백분율 등으로 표현
- 논리적으로 평가, 화폐로 표현

1139.
수학공식 접근법
- 위험의 발생빈도를 계산하는 식 이용
- 과거자료 획득이 어려울 경우 위험발생빈도 추정, 분석
- 기대손실 추정하는 자료의 양이 적음

1140.
매년 1천만원 이상 과태료가 부과될 경우
-> 위험 회피, 감소, 전가 등으로 전략 선택

1141.
위험수용 : 유지보수 등 협력업체, pg사, 등 대형 수탁자에 대해 법령에 의한 정부감독을 받거나 정부로부터 보안인증을 획득한 경우 개인정보 보호법에 따른 문서체결을 하고 이외 별도 관리감독은 생략.

1142.
업무연속성BCP
1) 사업상 중대 업무 규정
2) 자원의 중요도 결정
3) 발생 가능한 재난에 대한 예상
4) 재난 대책 수립
5) 재난 대책 수행
6) 테스트 및 수정

1143.
업무연속성 관리 단계
- 전략수립, 구현, 운영관리

1144.
업무연속성관리체계
시작 - 정책수립, 제반사항 준비
전략수립 - 재해가 업무에 미치는 영향 등
구현 - 운영 프로그램 수립, 초기시험 수행
운영관리 - 테스트, 검토, 유지보수

1145.
RAID 기술
RAID-1 : 미러링 기술을 이용하여 하나의 디스크에 저장된 데이터를 다른 디스크에 동일하게 저장
RAID-5 : 데이터를 여러 디스크에 분산저장, 패리티 정보 또한 여러 디스크에 분산 저장

+ RAID-0 : 하나의 데이터가 여러 드라이브에 걸쳐 스트라이프

1146.
RAID
- 모든 RAID에서 미러링과 패리티 체계를 사용하지는 않음 (예외 : RAID 0)
- RAID 5에는 최소 3개의 디스크 필요. 분산 패리티가 있는 블록 수준 스트라이핑.

1147.
업무연속성관리
- 프로젝트 범위설정및기획 > 사업영향평가 > 복구전략개발 > 복구계획수립 > 프로젝트 수행, 유지보수
- 체크리스트, 구조적 점검, 시뮬레이션 등
- 콜드사이트 : 컴퓨터실을 미리 준비, 장비는 가지고 있지 않음

1148.
재해 후 비즈니스가 복구되어야 하는 최단시간 및 서비스 수준 : RTO (복구 목표 시간)

+ MTD : 최대 허용 중단 시간
+ RPO : 복구 목표 시점

1149.
CTCPEC
- 기능성과 보증성 요구사항
- 개발자에게 제공되어야 할 서비스에 대한 지침 제시
- 보증평가등급 7개
- 비밀성, 무결성, 가용성, 책임성 4가지 분류
- T0은 부적합

1150.
ISMS-P 인증
- 관리체계 전체 영역에 대해 정보서비스 및 개인정보 처리 현황을 분석하고, 업무 정차와 흐름을 파악하여 문서화. 주기적으로 검토하여 최신성 유지
- 관리체계가 내부정책, 법적 요구사항에 따라 운영되는지 독립성과 전문성이 확보된 인력을 통해 연 1회이상점검
- 관리체계 전 영역에 대해 연 1회 이상 위험을 평가

1151.
정보보호관리체계
- 정보보호 조직과 인력, 규정에 기반한 전사적인 정보보호 활동, 사업의 추진과 예산 배정

1152.
일반직원 대상의 통상적 정보보호 교육 및 훈련
- 정보보호 사고 발생시 사용자의 법적책임
- 정보보호 관리통제 방법
- 정보보호 요구사항

+ 시스템 구성도 및 운영은 정보보호 직무자에게 해당

1153.
위험분석
- 자산의 용도 사양 관리부서 자산가치 등이 동일하다면 그룹핑하는 것도 좋다

1154.
위험분석
- 식별된 위험에 대한 평가 보고서는 정보보호 최고책임자를 포함한 경영진이 이해하기 쉽게 작성하여 보고

1155.
조직의 위험평가 수립 및 운영
- 위험관리 방법 및 절차를 구체화한 위험관리 계획을 수립한다. 위험평가 참여자는 이해관계자가 아닌 제3자의 참여도 필요하다

1156.
정보보호 및 개인정보보호 관리체계 인증등에 관한 고시 제10조
-공정성, 독립성 확보 필요

1157.
ISMS-P 인증제도
- 102개 인증기준
- 인증/심사기관 유효기간은 3년으로 종료 6개월전부터 재지정 신청가능
- 주요통신기반시설 취약점 분석 평가에 따른 정보보호 조치를 취한 경우 인증심사 일부 생략 가능
- ISO/IEC 27001 인증한 경우 인증심사 일부 생략 가능

1158.
GDPR 개인정보 보호규정
- 개인정보 : 광고식별자, 쿠키 ID, 위치정보, 주소, ID 카드번호, 이름과 성, 이메일 주소 등

1159.
OECD 정보보호 가이드라인 9개원칙
- 인식, 책임, 윤리, 대응, 민주주의, 위험평가, 보안설계와 이행, 보안관리, 재평가

1160.
개인정보유형
재산 : 신용정보, 소득정보, 부동산 정보 등
사회적 : 병역정보, 근로정보, 학력
정신적 : 기호, 성향, 신념, 사상
신체적 : 장애등급, 유전자정보 등

1161.
정보주체의 동의없이 사용할 수 있는 사례
- 공익적 기록 보존등을 위해 가명 처리 후 사용
- 범죄 수사와 공소 제기 및 유지를 위해 민감정보 수집
- 공공기관 자체감사중 직원 개인정보 처리

1162.
개인정보보호법 : 개인정보 수집시 동의를 받을 때 고지사항
- 개인정보처리자의 정당한 이익을 달성하기 위해, 정보주체의 권리보다 우선하는 경우 개인정보 수집 가능

1163.
개인정보의 추가적인 이용, 제공의 기준
- 개개인정보의 추가적인 이용 또는 제공에 대한 예측가능성이 있는지 여부 ( 관행에 비추어 볼 때 )
- 당초 수집 목적과 관련성이 있는지
- 정보주체의 이익을 부당하게 침해하지 않는지
- 안전성 확보에 필요한 조치를 하였는지 등

1164.
개인정보 동의
- 동의를 거부할 권리가 있다는 사실, 동의 거부에 따른 불이익이 있다면 불이익도 고지

1165.
개인정보보호법의 중요한 내용 기준
- 해당 개인정보를 이용하여 정보주체에게 연락할 수 있다는 사실
- 민감정보
- 여권번호, 면허번호, 외국인등록번호
- 보유 및 이용기간
- 제공받는자 또는 제공받는자의 개인정보 이용목적

1166.
주민등록번호 처리
- 정보주체나 제3자의 급박한 생명, 신체, 재산상 이익을 위해 명백히 필요한 경우
- 법령상 근거는 법률 제 24조의 2에 명시되어 있다
- 주민등록번호를 정당하게 처리할 근거가 있어도 주민등록번호를 사용하지 않고 회원으로 가입할 수 있는 방법까지 제공해야 한다
- 보험회사는 상법에 따라 피보험자의 주민등록번호를 처리할 근거가 있으므로 단체 보험 가입목적이라면 동의없이 직원의 주민등록번호를 보험회사에 제공 가능

1167.
고정형 영상정보처리기기
- 사고 내용을 전달하기 위한 영상 전송 가능 (녹음 불가, 줌인/줌아웃 불가, 이동 불가)

1168.
가명정보 처리
- 개인정보처리자는 가명정보 및 가명정보를 원래 상태로 복원하기 위한 추가 정보에 대해 안전성 확보에 필요한 기술적 관리적 물리적 조치를 해야 한다

1169.
개인정보 처리방침
- 처리목적, 처리 및 보유기간, 제3자 제공에 관한 사항, 위탁에 관한 사항, 정보주체와 법정대리인의 권리 의무 및 그 행사방법에 관한 사항 등등...

1170.
개인정보영향평가 대상
- 구축, 운용하고 있는 개인정보 파일로 [5만명 이상의 정보주체에 관한 민감/고유식별정보]처리가 수반
- 구축, 운용하고 있는 개인정보파일을 공공기관 내외부의 다른 개인정보파일과 연계할때 [50만명이상 정보주체]
- 구축, 운용 또는 변경하려는 개인정보파일로 [100만명 이상] 정보주체에 관함
- 개인정보 영향평가를 받은 후 운용체계변경시, 변경된 부분으로 한정

+ 민감정보는 5만, 연계시 50만, 그외 100만

1171.
개인정보 유출사고 통지, 신고 의무
- 지체없이(72시간 내) 서면 등으로 정보주체에게 알려야 한다
- 1천명 이상 정보주체에 관한 유출시 보호위원회 또는 한국인터넷진흥원에 신고
- 1천명 이상 정보주체에 관한 유출시 인터넷 홈페이지에 30일이상 게시하는 것으로 통지를 갈음가능

1172.
정보주체에게 사유를 알리고 열람을 제한하거나 거절할 수 있는 경우
- 법률에 따라 열람이 금지되거나 제한됨
- 타인의 생명/신체를 해할 우려, 타인의 재산/이익을 부당하게 침해할 우려가 있을 때
- 공공기관이 학력 및 채용에 관한 시험, 자격 심사에 관해 수행시 중대한 지장을 초래할 때
- 고등교육기관에서의 성적 평가 또는 입학자 선발에 관한 업무
- 다른 법률에 따라 진행중인 감사 및 조사 업무

1173.
개인정보취급자의 금지행위
- 거짓이나 부정한 수단으로 개인정보를 취득, 처리에 관한 동의를 받음
- 업무상 알게된 정보를 누설하거나 권한없이 타인이 이용하도록 제공
- 권한없이, 또는 권한을 초과하여 타인의 개인정보를 이용, 훼손, 멸실, 변경, 위조, 유출하는 것

1174.
개인정보처리자의 지휘 감독을 받음 : 개인정보취급자. 임직원, 파견근로자, 시간제 근로자 등.
개인정보를 처리하는 업무를 담당 : 개인정보취급자

1175.
100만명 미만의 정보주체에 관한 개인정보를 보유한 중소기업
- 개인정보 보호책임자의 지정
- 개인정보 유출사고 대응, 계획 수립, 시행
- 개인정보 암호화 조치
- 물리적 안전조치, 악성프로그램등 방지.

+ 10만명이상 ("중견"기업, 대기업, 공공기관), 100만명 이상 중소기업 : 개인정보 처리업무를 위탁할 때 수탁자에 대한 관리 및 감독

1176.
개인정보처리
- 개인정보취급자별로 아이디를 발급하여 사용

1177.
전자문서 : 전자적인 형태로 작성되어 송수신되거나 저장된 문서형식
개인정보 : 정보통신망법에서 삭제된 용어

1178.
정보통신망이용촉진 및 정보보호 등에 관하여 다른 법률상에 특별규정이 있으면 그것이 본법보다 우선한다

1179.
접근권한이 필요한 기간 : 반드시 필요한 접근권한이 아닌 경우, 고지해야 할 사항이 아니다.

1180.
과학기술정보통신부장관이 고시하는 정보보호지침
- 물리적 보호조치, 기술적 보호조치, 관리적 보호조치

1181.
정보보호 최고책임자 지정 의무 면제
- 자본금이 1억원 이하인 부가통신사업자
- 상시 근로자수가 10명 미만이고 주된 사업에 종사하는 상시 근로자 수가 5명 미만
- 전년도말 기준 직전 3개월간 일평균 100만명 미만, 전년도 매출액 100억원 미만인 전기통신사업자

+ 소상공인 보호 및 지원 법률과 소상공인기본법을 구분해야 한다 (기본법에 따라 면제임)

1182.
정보보호 관리체계
- 국제표준 정보보호 인증을 받거나 정보보호 조치를 취한 경우 일부 심사를 생략 가능. 완전생략 안됨

1183.
정보보호 관리체계 인증제도
- 전년도 직전 3개월간 일평균 이용자 100만명 이상인 정보통신서비스 : 의무대상자
- 의료법에 따른 상급종합병원, 직적년도 말일기준 대학생수 1만명 이상의 대학 : 의무대상
- 전기통신사업법 허가자 ISP, 집적정보통신시설 사업자 IDC : 의무대상
- 전년도 매출액 100억원이상의 정보통신서비스부문 사업자 : 의무대상

1184.
과학기술정보통신부장관이 반드시 인증을 취소해야 하는 사례
- 거짓이나 그 밖의 부정한 방법으로 정보보호 관리체계 인증을 받은 경우 (강제)

+ 임의규정 : 사후관리를 거부/방해하거나 인증기준에 미달하게 된 경우

1185.
침해사고 대응 (과학기술정보통신부장관, 한국인터넷진흥원)
- 침해사고에 관한 정보의 수집, 전파
- 집적된 정보통신시설을 운영관리하는 사업자에게 접속경로 차단 요청 (명령 불가능)
- 소프트웨어를 제작배포한 자에게 보안패치된 프로그램 제작배포 요청
- 언론등에 침해사고 예보, 경보 전파

1186.
침해사고 관련정보 통지의무 대상자
- "정보보호산업"에 종사하는 컴퓨터바이러스 백신소프트웨어 제조자
- 주요정보통신서비스 제공자, 집적정보통신시설 사업자
- 주요정보통신기반시설보호계획 및 보호지침의 적용을 받는 기관
- 한국인터넷진흥원으로부터 주소를 할당받아 정보통신망을 이용하는 민간사업자 중 지정된 자

1187.
방송통신위원회는 영리목적 광고성 정보를 편하게 차단하거나 신고할 수 있는 소프트웨어나 프로그램을 개발하여 보급할 수 있다.

1188.
정보보호 사전점검
- 사전점검 대상 범위 : 제공하려는 사업 또는 정보통신 서비스를 구성하는 하드웨어, 소프트웨어, 네트워크 등의 유무형 설비 및 시설
- 정보통신망의 구축 또는 정보통신서비스의 제공 이전에 계획 또는 설계 과정에서 정보보호를 고려하여 필요한 조치를 하거나 계획을 마련하는 것
- 정보보호컨설팅 : 정보시스템 취약점분석, 평가, 이에 기초한 보호대책의 제시, 관리체계 구축 등을 주된 목적으로 수행한 컨설팅

1189.
전자적 침해행위
- 고출력 전자기파, 메일폭탄, 컴퓨터 바이러스

+ 스팸메일은 전자적 침해행위가 아님

1190.
정보통신기반보호제도
- 자율규제 + 정부규제
- 정부와 민간의 긴밀한 협력을 토대로 한 협력시스템
- 관리기관은 전담반을 구성해 취약점 분석평가를 스스로 할 수 있다
- 주요정보통신기반시설 : 과학기술정보통신부장관과 국가정보원장이 중앙행정기관 장에게 권고

1191.
주요정보통신기반시설 보호계획
- [취약점]분석평가, 주요정보통신기반시설 및 [관리 정보] 침해사고에 대한 예방, [백업], [복구대책]에 관한 사항 등을 포함한다.

1192.
주요정보통신기반시설 보호계획
- 취약점 분석 평가
- 보호에 필요한 사항
- 침해사고 예방 백업 복구대책

1193.
주요정보통신기반시설 지정요건
- 기관이 수행하는 업무의 국가 사회적 [중요성]
- 기관이 수행하는 업무의 정보통신기반시설에 대한 [의존도]
- 다른 정보통신기반시설과의 [상호연계성]
- 침해사고의 [발생가능성] 또는 그 복구의 [용이성]

1194.
주요정보통신기반시설 보호지침
- 취약점 분석, 평가 및 침해사고 예방
- 침해사고 대응 및 복구
- 정보보호체계 관리 및 운영

1195.
주요정보통신기반 시설 보호계획
- 취약점 분석, 평가
- 침해사고 예방 및 복구대책
- 그 밖에 보호에 관하여 필요한 사항

( 취약점 분석평가 방법론은 딱히 포함사항 아님 )

1196.
정보통신기반보호법 취약점 분석 및 평가
- 관리기관 장은 주요정보통신기반시설로 지정되면 6개월 이내에 취약점 분석평가를 실시해야 한다
- 관리기관 장은 6개월 이내 취약점 분석평가를 시행하지 못한 특별한 사유가 있다고 판단되면 승인을 얻어 9개월 이내에 이를 실시해야 한다
- 관리기관 장은 최초 취약점 분석 평가를 한 후 매년마다 취약점 분석평가를 실시해야 한다
- 취약점분석평가가 필요하다고 판단되면 1년이 지나지 않아도 실시

1197.
주요정보통신기반시설 보호 및 침해사고 대응
- 주요정보통신기반시설 보호대책을 중앙행정기관 장이 분석한 결과 별도 보호 조치가 필요하다고 인정하는 경우 필요한 조치를 명령, 권고할 수 있다
- 침해사고 발생시 관리기관 장은 관계행정기관, 수사기관, 한국인터넷진흥원에 신고해야 한다
- 관계중앙행정기관이 보호지침을 제정한다
- 복구 및 보호에 필요한 조치는 관계기관(관계 행정기관 ,수시기관, 인터넷진흥원)이 수행

1198.
[ 정보공유 분석센터 ISAC ]
- 분야별 정보통신기반시설을 보호하기 위해 구축, 운영
- 취약점 침해요인과 그 대응방안에 관한 정보 제공
- 침해사고 발생시 실시간 경보, 분석 체계 운영

1199.
정보보호 및 개인정보 관련 제도 : 의무제도
- 주요정보통신기반시설 취약점의 분석, 평가

+ 정보보호 준비도 평가 : 기업의 정보보호 역량 강화를 위한 준비도 5단계 평가
+ 정보보호 공시제도 : 정보보호 투자, 인력, 활동 등에 관한 정보를 공개하도록 하는 자율 공시제

1200.
클라우드컴퓨팅 발전 및 이용자 보호
- 클라우드컴퓨팅 : 정보통신자원을 정보통신망을 통해 신축적으로 이용할 수 있도록 하는 정보처리체계
- 가상화 기술, 분산처리 기술 등
- 상용으로 타인에게 정보통신자원을 제공하는 서비스
- 이용자 정보 : 클라우드컴퓨팅서비스를 이용하여, 이용자가 소유 또는 관리하는 정보 (고객정보)