시험장용 요약과 최종 점검
36개 절 과정의 마지막 절로, 최종 모의고사와 시험장용 마무리 전략을 정리합니다.
36개 절 과정의 마지막 절로, 최종 모의고사와 시험장용 마무리 전략을 정리합니다.
1장 1절~3장 5절: 시스템보안·네트워크보안 기초와 핵심
4장 1절~4장 5절: 어플리케이션보안
5장 1절~5장 5절: 정보보안일반
6장 1절~6장 5절: 정보보안관리 및 법규
7장 1절~7장 2절: 전 범위 총정리
8장 1절~8장 3절: 실전 문제풀이
8장 4절: 필기형 모의고사
8장 5절: 실기형 단답·서술 훈련
8장 6절: 상황형·로그형 훈련
9장 1절: 빈출 서술형 50개 암기훈련
9장 2절: 최종 모의고사와 마무리 전략이 절에서는 목표, 시험장 원칙, 최종 모의고사, 마무리 전략을 점검합니다.
최종 목표
이번 절의 목표는 네 가지입니다.
1. 마지막 모의고사로 전 범위 감각 확인
2. 실기형 답안 템플릿 최종 암기
3. 시험 전날과 시험 당일 전략 정리
4. 마지막 오답 방지 체크리스트 완성시험 직전에는 새로운 내용을 더 넣기보다, 이미 아는 내용을 정확히 꺼내는 능력이 중요합니다.
최종 시험장 원칙
시험장에서 가장 중요한 원칙은 다음입니다.
모르는 문제에 오래 붙잡히지 않는다.
아는 문제를 실수하지 않는다.
실기 답안은 키워드 중심으로 쓴다.
상황형 문제는 공격명 + 근거 + 대응 방안을 쓴다.
비교형 문제는 양쪽 차이를 명확히 쓴다.실기 답안은 길게 쓰는 것이 목표가 아닙니다.
정의
위험 또는 원인
대응 방안이 세 가지가 들어가면 안정적입니다.
최종 모의고사 — 필기형 50문제
구성은 다음과 같습니다.
시스템보안 10문제
네트워크보안 10문제
어플리케이션보안 10문제
정보보안일반 10문제
관리·법규 10문제
총 50문제시스템보안 10문제
문제 1
계정 관리 보안대책으로 가장 적절하지 않은 것은?
A. 퇴사자 계정을 즉시 비활성화한다.
B. 불필요한 기본 계정을 삭제하거나 잠근다.
C. 여러 관리자가 하나의 공유 관리자 계정을 사용한다.
D. 계정 생성·변경·삭제 이력을 기록한다.
공유 관리자 계정은 책임추적성을 약화시킵니다.
문제 2
최소권한 원칙의 설명으로 가장 적절한 것은?
A. 모든 사용자에게 관리자 권한을 부여한다.
B. 업무 수행에 필요한 최소한의 권한만 부여한다.
C. 퇴사자 계정을 보존한다.
D. 로그를 남기지 않는다.
최소권한은 권한 오남용과 피해 확산을 줄이는 원칙입니다.
문제 3
리눅스 파일 권한 rwxr-xr--를 숫자로 표현한 것은?
A. 754
B. 755
C. 744
D. 764
rwx = 7
r-x = 5
r-- = 4따라서 754입니다.
문제 4
chmod 777 설정의 위험으로 가장 적절한 것은?
A. 모든 사용자가 읽기·쓰기·실행 권한을 가진다.
B. 소유자만 읽을 수 있다.
C. 파일이 자동 암호화된다.
D. 로그가 자동 삭제된다.
777은 모든 사용자에게 rwx 권한을 부여합니다.
문제 5
SetUID 파일 점검이 필요한 이유는?
A. 파일 소유자의 권한으로 실행되어 권한 상승 위험이 있기 때문이다.
B. DNS 응답을 위조하기 때문이다.
C. 암호화 키를 생성하기 때문이다.
D. 로그를 압축하기 때문이다.
root 소유 SetUID 파일 취약점은 권한 상승으로 이어질 수 있습니다.
오답 포인트: SetUID는 DNS 위조, 키 생성, 로그 압축 기능이 아니라 실행 권한과 관련됩니다. “파일 소유자의 권한으로 실행”이라는 표현이 핵심 단서입니다.
문제 6
로그 관리의 목적으로 적절하지 않은 것은?
A. 침해사고 탐지
B. 원인 분석
C. 책임추적성 확보
D. 공격 흔적 은폐
로그는 은폐가 아니라 탐지, 분석, 감사, 책임추적성을 위해 관리합니다.
문제 7
패치관리 절차로 가장 적절한 것은?
A. 운영 적용 → 장애 발생 → 이력 삭제
B. 자산·버전 파악 → 패치 정보 수집 → 테스트 → 적용 → 검증 → 이력 관리
C. 검증 생략 → 바로 적용
D. 취약점 방치
패치관리는 테스트, 백업, 롤백 계획, 검증, 이력 관리가 중요합니다.
문제 8
마지막 전체 백업 이후 변경된 데이터를 백업하는 방식은?
A. 전체 백업
B. 증분 백업
C. 차등 백업
D. 미러링 공격
전체 백업 = 모든 데이터
증분 백업 = 직전 백업 이후 변경분
차등 백업 = 마지막 전체 백업 이후 변경분오답 포인트: 증분 백업은 직전 백업 이후 변경분만 저장하고, 차등 백업은 마지막 전체 백업 이후 변경분을 계속 누적합니다. “마지막 전체 백업”이라는 문구를 확인합니다.
문제 9
랜섬웨어 대응으로 적절하지 않은 것은?
A. 오프라인 백업
B. 보안패치
C. 사용자 교육
D. 백업본을 운영망에서 누구나 쓰기 가능하게 공유
백업본은 랜섬웨어로부터 분리되어야 합니다.
문제 10
시스템 하드닝에 해당하지 않는 것은?
A. 불필요 서비스 제거
B. 기본 계정 비활성화
C. 보안패치 적용
D. 모든 포트를 외부 공개
하드닝은 공격 표면을 줄이는 작업입니다.
네트워크보안 10문제
문제 11
OSI 7계층 중 IP와 라우팅이 주로 동작하는 계층은?
A. 데이터링크 계층
B. 네트워크 계층
C. 전송 계층
D. 응용 계층
IP와 라우터는 3계층입니다.
문제 12
TCP와 UDP의 차이로 적절한 것은?
A. TCP는 흐름 제어를 전혀 수행하지 않는다.
B. TCP는 연결 지향, UDP는 비연결 지향이다.
C. UDP는 항상 순서 보장을 한다.
D. TCP는 물리 계층 프로토콜이다.
TCP는 신뢰성, UDP는 속도와 단순성이 핵심입니다.
문제 13
ARP의 역할은?
A. DNS 캐시에 도메인 정보를 저장한다.
B. 도메인 이름을 IP 주소로 변환한다.
C. 메일을 전송한다.
D. IP 주소를 MAC 주소로 변환한다.
ARP는 IP-MAC 매핑을 알아내는 프로토콜입니다.
오답 포인트: DNS는 도메인 이름과 IP 주소를 연결하고, ARP는 같은 네트워크 안에서 IP와 MAC 주소를 연결합니다. MAC 주소가 보이면 ARP로 좁혀 봅니다.
문제 14
DNS의 역할은?
A. DNS 질의 내용을 모두 암호화한다.
B. IP 주소를 MAC 주소로 변환한다.
C. 도메인 이름을 IP 주소로 변환한다.
D. 세션 쿠키를 만든다.
DNS는 도메인 이름과 IP 주소를 연결합니다.
문제 15
Telnet의 보안상 문제점은?
A. 서버 인증서를 검증한다.
B. 계정 정보가 평문으로 노출될 수 있다.
C. 인증서를 검증한다.
D. DNSSEC을 적용한다.
Telnet은 평문 원격 접속입니다. SSH가 안전한 대안입니다.
문제 16
HTTPS가 자동으로 해결하지 못하는 것은?
A. 통신 내용 암호화
B. 서버 인증
C. 전송 중 변조 탐지
D. SQL Injection 취약점 제거
HTTPS는 통신 구간 보호이고, SQL Injection은 애플리케이션 입력값 처리 문제입니다.
오답 포인트: HTTPS를 사용해도 서버가 입력값을 SQL 문자열에 직접 결합하면 SQL Injection은 발생할 수 있습니다. 전송 암호화와 애플리케이션 입력 검증을 구분해야 합니다.
문제 17
ARP Spoofing의 설명으로 가장 적절한 것은?
A. DNS 캐시를 오염시킨다.
B. TCP 연결 대기 자원을 고갈시킨다.
C. 거짓 ARP 정보를 보내 IP-MAC 매핑을 조작한다.
D. 브라우저에서 스크립트를 실행한다.
ARP Spoofing은 내부망 중간자 공격으로 이어질 수 있습니다.
문제 18
Replay Attack 대응책으로 적절한 것은?
A. 장시간 고정 세션 사용
B. Nonce와 Timestamp
C. 평문 FTP 사용
D. 모든 로그 삭제
재전송 공격은 요청 재사용 방지가 핵심입니다.
문제 19
SYN Flooding이 악용하는 과정은?
A. TCP 3-Way Handshake
B. DNS Zone Transfer
C. HTTP 쿠키 설정
D. 파일 업로드
SYN 요청 후 ACK를 보내지 않아 연결 대기 자원을 고갈시킵니다.
문제 20
WAF와 가장 관련 깊은 공격은?
A. ARP Spoofing
B. 디스크 장애
C. 물리적 도난
D. SQL Injection, XSS
WAF는 웹 애플리케이션 공격을 탐지·차단합니다.
어플리케이션보안 10문제
문제 21
HTTP가 무상태 프로토콜이라는 의미는?
A. 모든 요청이 암호화된다.
B. 이전 요청 상태를 자동으로 기억하지 않는다.
C. 세션 탈취가 불가능하다.
D. DB를 자동 보호한다.
로그인 상태 유지를 위해 쿠키와 세션이 필요합니다.
문제 22
GET 방식의 보안상 주의점은?
A. Body에만 데이터가 들어간다.
B. 항상 안전하다.
C. 요청 데이터가 URL에 포함되어 로그나 기록에 남을 수 있다.
D. 자동 암호화된다.
민감정보는 GET Query String으로 보내면 안 됩니다.
문제 23
HttpOnly 쿠키 속성의 의미는?
A. JavaScript에서 쿠키 접근을 제한한다.
B. HTTPS에서만 쿠키를 전송한다.
C. 다른 사이트 요청 시 쿠키를 제한한다.
D. DB 쿼리를 보호한다.
HttpOnly는 XSS로 인한 쿠키 탈취 위험을 줄입니다.
오답 포인트: HttpOnly는 JavaScript의 쿠키 접근 제한, Secure는 HTTPS 전송 제한, SameSite는 크로스사이트 요청의 쿠키 전송 제한입니다. 쿠키 속성 문제는 세 용어의 목적을 나눠 봅니다.
문제 24
SQL Injection 대응의 핵심은?
A. DB 권한 전체 부여
B. Prepared Statement
C. 상세 오류 노출
D. SQL 문자열 직접 결합
Prepared Statement는 SQL 구조와 입력값을 분리합니다.
오답 포인트: SQL 문자열 직접 결합은 공격 문자열이 명령어로 해석될 수 있어 위험합니다. 상세 오류 숨김과 DB 권한 최소화도 필요하지만 핵심 1순위 대응은 Prepared Statement입니다.
문제 25
XSS 대응의 핵심은?
A. GET 사용
B. DB 계정 권한 확대
C. 출력값 인코딩
D. 업로드 파일 실행 허용
XSS는 브라우저에서 스크립트가 실행되지 않도록 출력값을 안전하게 처리해야 합니다.
오답 포인트: XSS 대응은 입력값을 무조건 차단하는 것보다 출력 문맥별 인코딩이 핵심입니다. Prepared Statement는 SQL Injection 대응이고, CSRF Token은 요청 위조 대응입니다.
문제 26
CSRF에 대한 설명으로 적절한 것은?
A. 로그인된 사용자의 인증 상태를 악용해 원치 않는 요청을 보내게 한다.
B. SQL 구문을 삽입한다.
C. IP-MAC 매핑을 조작한다.
D. 파일을 암호화한다.
CSRF는 요청 위조입니다.
문제 27
파일 업로드 취약점 대응으로 적절하지 않은 것은?
A. 파일 시그니처 검증
B. 웹 루트 외부 저장
C. 실행 권한 제거
D. 업로드 파일을 서버에서 실행 허용
실행 허용은 웹셸 위험을 키웁니다.
문제 28
IDOR의 설명으로 가장 적절한 것은?
A. 악성 스크립트를 실행한다.
B. 객체 식별자를 조작하여 타인의 자원에 접근한다.
C. DNS 응답을 위조한다.
D. ICMP를 증폭한다.
IDOR는 접근통제 취약점입니다.
문제 29
Mass Assignment의 설명으로 적절한 것은?
A. 클라이언트가 보낸 필드를 제한 없이 객체에 반영하여 중요 값이 변경될 수 있다.
B. 파일을 암호화한다.
C. ARP를 위조한다.
D. 해시 충돌을 만든다.
role=admin, price=0, point=999999 같은 필드가 그대로 반영되면 위험합니다.
문제 30
JWT 보안 주의사항으로 적절하지 않은 것은?
A. 서명 검증
B. 만료시간 설정
C. Payload에 비밀번호 저장
D. HTTPS 전송
JWT Payload는 쉽게 디코딩될 수 있으므로 민감정보를 저장하면 안 됩니다.
정보보안일반 10문제
문제 31
암호화와 가장 관련 깊은 보안 속성은?
A. 무결성
B. 삭제성
C. 압축성
D. 기밀성
암호화는 내용을 숨겨 기밀성을 제공합니다.
문제 32
해시 함수의 특징으로 적절하지 않은 것은?
A. 임의 길이 데이터를 고정 길이 값으로 변환한다.
B. 일방향성을 가진다.
C. 원칙적으로 원문 복원이 어렵다.
D. 올바른 키가 있으면 반드시 복호화된다.
해시는 복호화 대상이 아닙니다.
문제 33
대칭키 암호의 특징은?
A. 공개키와 개인키 한 쌍을 사용한다.
B. 원문 복원이 불가능하다.
C. 암호화와 복호화에 같은 키를 사용한다.
D. 인증서 폐지 여부를 확인한다.
대칭키는 빠르지만 키 분배가 어렵습니다.
문제 34
공개키 암호의 특징은?
A. 반드시 같은 비밀키만 사용한다.
B. 해시값만 생성한다.
C. 공개키와 개인키 한 쌍을 사용한다.
D. 포트를 차단한다.
공개키 암호는 키 교환, 전자서명, 인증에 활용됩니다.
오답 포인트: 공개키 암호는 공개키·개인키 쌍을 쓰지만 대칭키보다 느린 편입니다. 대용량 데이터 암호화 자체보다 키 교환과 전자서명 단서에 더 잘 연결됩니다.
문제 35
ECB 모드의 문제점은?
A. 같은 평문 블록이 같은 암호문 블록이 되어 패턴이 노출된다.
B. 무결성과 인증을 함께 제공한다.
C. 인증서 폐지 상태를 질의한다.
D. 비밀번호 저장에만 사용된다.
ECB는 패턴 노출 위험이 있어 일반 데이터 암호화에 부적절합니다.
문제 36
비밀번호 저장 방식으로 가장 적절한 것은?
A. 평문 저장
B. Base64 저장
C. 사용자별 솔트와 느린 해시 방식 적용
D. URL에 저장
비밀번호는 솔트 해시로 저장해야 합니다.
문제 37
전자서명이 제공하는 보안 속성은?
A. 가용성만
B. 기밀성만
C. 인증, 무결성, 부인방지
D. 압축성
전자서명은 개인키로 서명하고 공개키로 검증합니다.
오답 포인트: 전자서명은 공개키로 서명하는 것이 아니라 개인키로 서명합니다. 제공 속성은 인증, 무결성, 부인방지이며 기밀성은 별도 암호화가 필요합니다.
문제 38
PKI 구성요소로 적절하지 않은 것은?
A. CA
B. RA
C. 인증서
D. chmod 777
chmod 777은 파일 권한 설정입니다.
문제 39
Bell-LaPadula 모델의 목표는?
A. 기밀성
B. 무결성
C. 가용성
D. 위험 전가
Bell-LaPadula는 기밀성 모델입니다.
문제 40
Biba 모델의 목표는?
A. 기밀성
B. 세션 관리
C. 무결성
D. 파일 업로드
Biba는 무결성 모델입니다.
관리·법규 10문제
문제 41
위험의 설명으로 적절한 것은?
A. 보호해야 할 자산 자체
B. 취약점 점수 자체
C. 위협이 취약점을 악용하여 자산에 피해를 줄 가능성과 영향
D. 파일 확장자
위험은 가능성과 영향으로 평가합니다.
문제 42
SLE 계산식은?
A. SLE = ALE × ARO
B. SLE = RTO × RPO
C. SLE = FAR × FRR
D. SLE = AV × EF
SLE는 단일 손실 예상액입니다.
문제 43
ALE 계산식은?
A. ALE = AV + EF
B. ALE = RTO - RPO
C. ALE = SLE × ARO
D. ALE = CSRF × XSS
ALE는 연간 손실 예상액입니다.
문제 44
위험 전가의 예는?
A. 사이버 보험 가입
B. 보안패치 적용
C. MFA 적용
D. 로그 점검
전가는 보험, 외주, 계약 등을 통해 손실 부담 일부를 이전하는 것입니다.
문제 45
BCP와 DRP의 차이로 적절한 것은?
A. BCP는 해시, DRP는 암호화이다.
B. 둘은 완전히 같은 개념이다.
C. BCP는 업무연속성, DRP는 IT 복구 중심이다.
D. DRP는 개인정보 제공만 의미한다.
BCP는 업무 전체, DRP는 IT 복구 중심입니다.
문제 46
RTO의 의미는?
A. 복구 시점 목표
B. 복구 시간 목표
C. 인증서 폐지 목록
D. 연간 발생률
RTO는 얼마나 빨리 복구해야 하는지입니다.
오답 포인트: RTO는 복구 시간 목표이고 RPO는 복구 시점 목표입니다. 서비스 중단 허용 시간은 RTO, 데이터 손실 허용 범위는 RPO로 구분합니다.
문제 47
RPO의 의미는?
A. 복구 시점 목표
B. 복구 시간 목표
C. 침입탐지시스템
D. 접근제어목록
RPO는 어느 시점의 데이터까지 복구해야 하는지입니다.
문제 48
제3자 제공과 위탁의 차이로 적절한 것은?
A. 제3자 제공은 받는 자의 목적, 위탁은 위탁자의 업무 목적이다.
B. 둘은 항상 같은 개념이다.
C. 위탁은 개인정보와 무관하다.
D. 제3자 제공은 파기만 의미한다.
이 문제는 법규 파트에서 자주 나옵니다.
오답 포인트: 제3자 제공은 받는 자가 자신의 목적을 위해 개인정보를 이용하는 경우이고, 위탁은 위탁자의 업무를 대신 처리하는 경우입니다. “목적의 주체”를 기준으로 판별합니다.
문제 49
개인정보 안전성 확보조치에 해당하지 않는 것은?
A. 접근권한 관리
B. 암호화
C. 접속기록 보관
D. 개인정보 누구나 열람 가능하게 공개
공개는 보호조치가 아닙니다.
문제 50
ISMS-P의 설명으로 적절한 것은?
A. 정보보호 정책을 문서화만 하는 활동
B. 파일 압축 프로그램
C. IP 주소 변환 프로토콜
D. 정보보호와 개인정보보호 관리체계를 인증하는 제도
ISMS-P는 정보보호와 개인정보보호를 함께 다루는 관리체계 인증입니다.
최종 모의고사 정답표
| 번호 | 정답 | 번호 | 정답 | 번호 | 정답 | 번호 | 정답 | 번호 | 정답 |
|---|---|---|---|---|---|---|---|---|---|
| 1 | C | 11 | B | 21 | B | 31 | D | 41 | C |
| 2 | B | 12 | B | 22 | C | 32 | D | 42 | D |
| 3 | A | 13 | D | 23 | A | 33 | C | 43 | C |
| 4 | A | 14 | C | 24 | B | 34 | C | 44 | A |
| 5 | A | 15 | B | 25 | C | 35 | A | 45 | C |
| 6 | D | 16 | D | 26 | A | 36 | C | 46 | B |
| 7 | B | 17 | C | 27 | D | 37 | C | 47 | A |
| 8 | C | 18 | B | 28 | B | 38 | D | 48 | A |
| 9 | D | 19 | A | 29 | A | 39 | A | 49 | D |
| 10 | D | 20 | D | 30 | C | 40 | C | 50 | D |
채점 기준
50문제 기준으로 자가 점검하세요.
| 점수 | 상태 | 조치 |
|---|---|---|
| 45~50 | 안정권 | 실기 답안 문장 암기 유지 |
| 40~44 | 합격권 근접 | 틀린 과목만 집중 보완 |
| 35~39 | 위험권 | 비교표와 빈출 문제 재학습 필요 |
| 30~34 | 불안정 | 핵심 개념 재정리 필요 |
| 29 이하 | 기초 재점검 | 7장 1절~9장 1절 반복 필요 |
과목별로도 봐야 합니다.
시스템보안 /10
네트워크보안 /10
어플리케이션보안 /10
정보보안일반 /10
관리·법규 /10한 과목에서 6점 이하가 나오면 그 과목은 아직 위험합니다.
실기 답안 최종 템플릿
공격 설명형
○○ 공격은 _______을 악용하여 _______을 수행하는 공격이다.
이로 인해 _______ 피해가 발생할 수 있다.
대응 방안으로는 _______을 적용해야 한다.SQL Injection은 사용자 입력값에 SQL 구문을 삽입하여 DB를 비정상적으로 조회, 수정, 삭제하거나 인증을 우회하는 공격이다. 대응 방안으로 Prepared Statement, 입력값 검증, DB 권한 최소화, 오류 메시지 제한, WAF 적용이 있다.비교 설명형
A는 _______이고, B는 _______이다.
A는 주로 _______에 사용되며, B는 _______에 사용된다.
두 개념의 핵심 차이는 _______이다.BCP는 재해나 장애 상황에서도 핵심 업무를 지속하거나 복구하기 위한 업무연속성계획이고, DRP는 IT 시스템과 데이터를 복구하기 위한 재해복구계획이다. BCP는 업무 전체 관점이고, DRP는 IT 복구 중심이라는 점이 다르다.절차 설명형
○○ 절차는 _______ → _______ → _______ → _______ 순서로 수행한다.
각 단계에서 _______을 확인하고, 최종적으로 _______을 수행해야 한다.침해사고 대응은 준비, 탐지, 초기 대응, 분석, 차단, 제거, 복구, 보고, 재발 방지 순서로 수행한다. 각 단계에서 증거를 보존하고 피해 확산을 방지해야 한다.상황형 답안
해당 상황은 _______로 의심할 수 있다.
그 근거는 _______이 확인되기 때문이다.
즉시 _______을 수행하고, 재발 방지를 위해 _______을 적용해야 한다.해당 상황은 IDOR 취약점으로 의심할 수 있다. 객체 식별자를 변경했을 때 타인의 주문정보가 조회되었기 때문이다. 서버 측에서 매 요청마다 사용자 권한과 객체 소유자를 검증하고, 권한 없는 요청은 차단하며 순차 ID 접근 시도를 모니터링해야 한다.시험 전날 학습 전략
시험 전날에는 새로운 내용을 깊게 파지 마세요.
해야 할 일은 다음입니다.
1. 오답노트만 본다.
2. 빈출 비교표를 본다.
3. 실기 답안 템플릿을 소리 내어 읽는다.
4. 계산식과 포트 번호를 확인한다.
5. 무리하게 밤새지 않는다.rwx 권한 계산
포트 번호
TCP/UDP 차이
IDS/IPS/WAF 차이
SQLi/XSS/CSRF 차이
암호화/해시/전자서명 차이
DAC/MAC/RBAC/ABAC
Bell-LaPadula/Biba
SLE/ALE
RTO/RPO
제3자 제공/위탁
개인정보 안전성 확보조치시험 당일 문제풀이 전략
필기형
필기형은 오래 고민하지 마세요.
1차: 바로 아는 문제 풀기
2차: 헷갈리는 문제 표시 후 넘어가기
3차: 비교 키워드로 재판단
4차: 끝까지 모르는 문제는 소거법“항상”, “무조건”, “완전히”, “절대” 같은 표현은 의심한다.
보안대책에서 “로그 삭제”, “권한 전체 부여”, “평문 저장”은 거의 오답이다.
관리 문제에서 “기록하지 않음”, “승인 생략”, “점검 생략”은 거의 오답이다.실기형
실기형은 키워드를 먼저 적으세요.
예를 들어 문제에 “SQL Injection 대응 방안”이 나오면 바로 적습니다.
Prepared Statement
입력값 검증
DB 권한 최소화
오류 메시지 제한
WAF그다음 문장으로 만듭니다.
대응 방안으로는 Prepared Statement를 사용하여 SQL 구조와 입력값을 분리하고, 입력값 검증, DB 권한 최소화, 오류 메시지 제한, WAF 적용을 수행해야 한다.문장이 완벽하지 않아도 핵심 키워드가 있으면 점수를 얻을 가능성이 높습니다.
마지막 오답 방지 체크리스트
시스템보안
공유 계정은 책임추적성 저하
777은 모든 사용자 rwx
SetUID는 파일 소유자 권한으로 실행
로그는 삭제가 아니라 보존·점검·무결성 보호
증분 백업은 직전 백업 이후
차등 백업은 마지막 전체 백업 이후
랜섬웨어는 오프라인 백업 중요네트워크보안
ARP = IP → MAC
DNS = 도메인 → IP
TCP = 연결 지향
UDP = 비연결 지향
Telnet = 평문
SSH = 암호화
IDS = 탐지
IPS = 차단
WAF = 웹 공격 차단
DMZ = 외부 공개 서버와 내부망 분리어플리케이션보안
SQL Injection = DB 공격 = Prepared Statement
XSS = 브라우저 공격 = 출력값 인코딩
CSRF = 요청 위조 = CSRF Token
파일 업로드 = 웹셸 = 실행 권한 제거
IDOR = 객체 ID 조작 = 서버 측 권한 검증
Mass Assignment = 허용되지 않은 필드 반영
JWT = 서명 검증, 만료, 민감정보 금지암호학
인코딩은 암호화가 아님
암호화는 복호화 가능
해시는 일방향
대칭키는 빠르지만 키 분배 어려움
공개키는 느리지만 키 교환·전자서명에 활용
전자서명 = 개인키 서명, 공개키 검증
전자서명 = 인증·무결성·부인방지
PKI = CA, RA, 인증서, CRL, OCSP접근통제·보안모델
식별 = ID 제시
인증 = 신원 확인
인가 = 권한 확인
DAC = 소유자
MAC = 보안등급·정책
RBAC = 역할
ABAC = 속성
Bell-LaPadula = 기밀성 = No Read Up, No Write Down
Biba = 무결성 = No Read Down, No Write Up
Clark-Wilson = 트랜잭션, 직무분리, 감사관리·법규
위험 = 위협이 취약점을 악용해 자산에 피해를 줄 가능성과 영향
SLE = AV × EF
ALE = SLE × ARO
위험처리 = 감소, 회피, 전가, 수용
BCP = 업무연속성
DRP = IT 복구
RTO = 복구 시간
RPO = 복구 시점
제3자 제공 = 받는 자 목적
위탁 = 내 업무 대행
ISMS = 정보보호
ISMS-P = 정보보호 + 개인정보보호실기 답안에서 절대 피해야 할 표현
아래 표현은 감점 위험이 큽니다.
| 잘못된 표현 | 문제 |
|---|---|
| 해시는 복호화한다 | 해시는 일방향 함수 |
| POST는 안전하다 | HTTPS 없으면 안전하지 않음 |
| UUID만 쓰면 IDOR 방지 | 핵심은 서버 측 권한 검증 |
| 확장자만 검사하면 파일 업로드 안전 | 시그니처, 저장 위치, 실행 권한 필요 |
| WAF가 있으면 시큐어 코딩 불필요 | WAF는 보조 대책 |
| 전자서명은 공개키로 서명한다 | 개인키로 서명, 공개키로 검증 |
| BCP와 DRP는 같다 | BCP는 업무, DRP는 IT 복구 |
| 위험 수용은 위험 방치다 | 위험을 알고 승인하는 것 |
| 위탁과 제3자 제공은 같다 | 목적 주체가 다름 |
| 로그는 사고 후 삭제한다 | 로그는 보존·분석·증거 |
마지막 30문장 암기
아래 30문장은 시험 직전 최종 암기용입니다.
1. 최소권한 원칙은 업무 수행에 필요한 최소한의 권한만 부여하는 원칙이다.
2. 로그는 침해사고 탐지, 원인 분석, 책임추적성 확보에 필요한 핵심 자료이다.
3. 패치관리는 알려진 취약점과 오류를 보완하기 위해 패치를 식별, 테스트, 적용, 검증, 이력 관리하는 활동이다.
4. 백업본은 암호화와 접근통제를 적용하고 오프라인 또는 원격지에 보관하며 복구 테스트를 수행해야 한다.
5. ARP Spoofing은 거짓 ARP 정보를 보내 IP-MAC 매핑을 조작하는 공격이다.
6. SYN Flooding은 TCP 3-Way Handshake 과정에서 ACK를 보내지 않아 연결 대기 자원을 고갈시키는 공격이다.
7. IDS는 침입을 탐지하고 경고하며, IPS는 침입을 탐지한 후 차단까지 수행한다.
8. WAF는 HTTP/HTTPS 요청을 분석하여 SQL Injection, XSS 등 웹 공격을 탐지·차단한다.
9. HTTP는 이전 요청 상태를 자동으로 기억하지 않는 무상태 프로토콜이다.
10. GET은 URL에 데이터가 노출될 수 있어 민감정보 전송에 부적절하다.
11. HttpOnly는 JavaScript의 쿠키 접근을 제한하고, Secure는 HTTPS에서만 쿠키를 전송하며, SameSite는 CSRF를 완화한다.
12. 인증은 신원 확인이고, 인가는 권한 확인이다.
13. SQL Injection은 입력값에 SQL 구문을 삽입하여 DB를 공격하는 기법이다.
14. SQL Injection 대응의 핵심은 Prepared Statement와 입력값 검증이다.
15. XSS는 악성 스크립트가 사용자 브라우저에서 실행되는 공격이다.
16. XSS 대응의 핵심은 출력값 인코딩이다.
17. CSRF는 사용자의 로그인 상태를 악용해 원치 않는 요청을 보내게 하는 공격이다.
18. 파일 업로드 취약점은 웹셸 업로드와 서버 명령 실행으로 이어질 수 있다.
19. IDOR는 객체 식별자를 조작하여 권한 없는 타인의 자원에 접근하는 취약점이다.
20. JWT Payload에는 민감정보를 저장하지 말고 서명 검증과 만료시간을 적용해야 한다.
21. 암호화는 복호화가 가능하지만, 해시는 일방향 함수로 원문 복원이 어렵다.
22. 대칭키 암호는 빠르지만 키 분배가 어렵고, 공개키 암호는 느리지만 키 교환과 전자서명에 활용된다.
23. 전자서명은 개인키로 서명하고 공개키로 검증하며 인증, 무결성, 부인방지를 제공한다.
24. PKI는 CA, RA, 인증서, CRL, OCSP 등을 통해 공개키 신뢰를 관리하는 체계이다.
25. DAC는 소유자 기준, MAC는 보안등급 기준, RBAC는 역할 기준, ABAC는 속성 기준이다.
26. Bell-LaPadula는 기밀성 모델이고, Biba는 무결성 모델이다.
27. 위험은 위협이 취약점을 악용하여 자산에 피해를 줄 가능성과 영향이다.
28. 위험 처리 방법에는 위험 감소, 회피, 전가, 수용이 있다.
29. BCP는 업무연속성계획이고, DRP는 IT 재해복구계획이다.
30. 개인정보 안전성 확보조치에는 내부관리계획, 접근권한, 접근통제, 암호화, 접속기록, 악성프로그램 방지, 물리적 조치가 포함된다.최종 연습 과제
마지막 과제는 간단합니다.
A. 점수 기록
최종 모의고사 점수: /50
가장 약한 과목:
가장 자주 틀리는 개념:
시험 전날 다시 볼 주제 5개:B. 마지막 서술형 10개
아래 10개만 손으로 직접 작성합니다.
1. SQL Injection의 개념과 대응 방안
2. XSS의 개념과 대응 방안
3. CSRF의 개념과 대응 방안
4. 파일 업로드 취약점의 위험과 대응 방안
5. ARP Spoofing의 개념과 대응 방안
6. SYN Flooding의 원리와 대응 방안
7. 암호화와 해시의 차이
8. Bell-LaPadula와 Biba의 차이
9. 위험 처리 방법 4가지
10. 개인정보 안전성 확보조치36개 절 과정 최종 마무리
36개 절 과정을 모두 완료했습니다.
처음 설정은 다음이었습니다.
IT 기초 있음
처음 응시 기준
초기 수준 0점
총 36개 절 과정지금까지 다룬 범위는 다음과 같습니다.
| 영역 | 완료 내용 |
|---|---|
| 시스템보안 | 계정, 권한, 로그, 패치, 백업, 악성코드 |
| 네트워크보안 | OSI, TCP/IP, 공격기법, 보안장비 |
| 어플리케이션보안 | HTTP, SQLi, XSS, CSRF, 파일 업로드, API |
| 정보보안일반 | 암호학, 접근통제, 보안모델, 위험관리 |
| 관리·법규 | 관리체계, 사고 대응, BCP/DRP, 개인정보, 컴플라이언스 |
| 실전훈련 | 필기형, 실기형, 상황형, 로그형, 최종 모의고사 |
이제 시험 직전에는 다음만 반복하면 됩니다.
1. 오답노트
2. 빈출 비교표
3. 실기 답안 30문장
4. 상황형 답안 공식
5. 개인정보 안전성 확보조치
6. SQLi/XSS/CSRF/IDOR/API 보안
7. 암호화/해시/전자서명/PKI
8. 위험관리/BCP/DRP/RTO/RPO마지막으로 기억할 문장은 이것입니다.
정의만 쓰지 말고, 위험과 대응 방안을 함께 쓴다.
비교 문제는 양쪽 차이를 명확히 쓴다.
상황형 문제는 공격명, 판단 근거, 즉시 조치, 재발 방지를 쓴다.
모르는 문제는 붙잡지 말고, 아는 문제를 실수하지 않는다.36개 절 과정 최종 정리 완료.
최종 채점 기준과 약점 복습표
최종 모의고사 점수대별 조치
| 점수 | 판단 | 바로 할 일 |
|---|---|---|
| 45~50 | 안정권 | 틀린 문제만 오답노트에 정리하고 9장 1절 서술형 20개를 반복 |
| 38~44 | 합격 근접 | 가장 낮은 영역 2개를 골라 해당 절과 8장 1절~8장 6절 문제풀이 재확인 |
| 30~37 | 위험 구간 | 모의고사 반복보다 기본 개념 절로 돌아가 비교표와 실기 답안 작성 |
| 29 이하 | 재학습 필요 | 1장 2절 |
약점별 복습 절
| 약점 | 복습 절 |
|---|---|
| 계정·권한·로그 | 2장 1절~2장 3절, 8장 1절 |
| 네트워크 공격 | 3장 1절~3장 5절, 8장 1절·8장 6절 |
| 웹 취약점 | 4장 1절~4장 5절, 8장 2절·8장 5절·8장 6절 |
| 암호·PKI | 5장 1절~5장 3절, 7장 2절·8장 2절 |
| 접근통제·보안모델 | 5장 4절~5장 5절, 7장 2절·8장 2절 |
| 위험관리·사고대응 | 5장 5절~6장 3절, 8장 3절·8장 6절 |
| 개인정보·법규 | 6장 4절 |
실기형 최종 채점 기준
정의만 쓰면 낮은 점수.
정의 + 위험 + 대응책을 쓰면 기본 점수.
정의 + 위험 + 대응책 + 운영상 주의 + 재발방지를 쓰면 고득점.
상황형은 공격명보다 판단 근거와 조치 순서가 더 중요하다.마지막 확인 메모
2026-05-06 공식 확인 기준으로 개인정보 유출 통지·신고는 72시간 이내 구조, 정보통신서비스 제공자의 침해사고 신고는 24시간 이내 구조, 개인신용정보 누설은 1만 명·72시간 기준, ISMS-P는 3개 영역 101개 기준으로 정리합니다. ISMS 의무대상 문항에서는 전년도 일일평균 정보통신서비스 이용자 수 100만 명 이상 표현을 사용합니다. 최종 답안에서는 조문 번호 암기보다 대상, 기한, 신고 또는 통지 기관, 포함해야 할 내용, 재발 방지 조치를 빠뜨리지 않는 것이 중요합니다. 시험일이 2026-09-11 이후라면 개인정보 보호법 시행 예정 개정사항을 다시 확인합니다.
객관식 품질 보완 메모
- 객관식 정답 분포를 A 12개, B 10개, C 15개, D 13개로 재배치하여 시험 직전 풀이에서 보기 위치 예측이 생기지 않도록 보완했습니다.
- A 정답이 이어지던 네트워크보안, 어플리케이션보안, 정보보안일반, 관리·법규 구간을 중심으로 보기 순서를 조정하고 최종 모의고사 정답표를 함께 갱신했습니다.
- 일부 오답은 너무 쉽게 배제되는 표현 대신 판단 근거가 필요한 유사 개념으로 교체했습니다. 특히 웹 취약점, 암호·PKI, 접근통제, 위험관리, 개인정보보호 영역의 용어 구분을 강화했습니다.