소소한 IT이야기/정보보안기사 실기

정보보안기사 실기 - 법규 정리 (feat. 정보통신기반보호법, 기출문제)

Klaus 2023. 8. 12. 15:45

1. 정보통신기반보호법

[개요]

[+] 목적

- 이 법은 전자적 침해행위에 대비하여 주요통신기반시설의 보호에 관한 대책을 수립·시행함으로써 동시설을 안정적으로 운용하도록 하여 국가의 안전과 국민생활의 안정을 보장하는 것을 목적으로 한다.

  • 국가 사회적으로 중요한 정보통신기반시설을 주요정보통신기반시설로 지정하여 안전하게 관리하기 위한 법률 
  • 국방, 행정, 금융, 통신 등의 정보통신시설물들이 국가 주요정보통신기반시설로 지정되어 관리

 

[+] 용어

- 정보통신기반시설 : 국가안전보장·행정·국방·치안·금융·통신·운송·에너지 등의 업무와 관련된 전자적 제어·관리 시스템 및 정보통신망 제2조제1항제1호에 따른 정보통신망을 말한다.

- 전자적 침해행위 : 다음의 방법으로 정보통신기반시설을 공격하는 행위를 말한다.

  • 해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스거부 또는 고출력 전자기파 등
  • 정상적인 보호·인증 절차를 우회하여 정보통신기반시설에 접근할 수 있도록 하는 프로그램 또는 기술적 장치

- 침해사고 : 전자적 침해행위로 인하여 발생한 사태를 말한다.

 

[+] 주요정보통신기반시설의 지정

- 중앙행정기관의 장은 소관 분야의 정보통신기반시설 중 다음 사항을 고려하여 주요 정보통신기반시설을 지정할 수 있다.

  • 당해 정보통신기반시설을 관리하는 기관이 수행하는 업무의 '국가사회적 중요성
  • 기관이 수행하는 업무의 정보통신기반시설에 대한 '의존도
  • 다른 정보통신기반시설과의 '상호연계성’ 
  • 침해사고가 발생할 경우 국가안전보장과 경제사회에 미치는 '피해규모 및 범위
  • 침해사고의 '발생 가능성' 또는 그 복구의 '용이성’ 

[주요통신기반시설로 지정된 관리기관은 안전한 관리를 위한 의무 사항]

  • 매년 주요정보통신기반시설 보호대책의 수립 시행 및 취약점 분석·평가 실시

[금융, 통신 등 분야별로 정보통신기반시설을 보호하기 위한 정보공유·분석센터(ISAC)를 구축·운영]

- 정보공유·분석센터

  • 취약점 및 침해요인과 그 대응방안에 관한 정보 제공
  • 침해사고가 발생하는 경우 실시간 경보 및 분석체계 운영

※ 예) 금융ISAC : 금융보안원, 지방자치단체ISAC : 한국지역정보개발원(KLID)

 

 

2. 기출문제 풀이

[정보보안기사 실기 10회 ]

6. 주요정보통신기반시설의 지정 및 취약점 분석에 관한 기준이다. 빈 칸을 채우시오.

제8조(주요정보통신기반시설의 지정 등)
①중앙행정기관의 장은 소관분야의 정보통신기반시설중 다음 각호의 사항을 고려하여 전자적 침해행위로부터의 보호가 필요하다고 인정되는 정보통신기반시설을 주요정보통신기반시설로 지정할 수 있다.
1. 당해 정보통신기반시설을 관리하는 기관이 수행하는 업무의 국가사회적 중요성
2. 기관이 수행하는 업무의 정보통신기반시설에 대한 ( A )
3. 다른 정보통신기반시설과의 ( B )
4. 침해사고가 발생할 경우 국가안전보장과 경제사회에 미치는 피해규모 및 범위 5. 침해사고의 발생가능성 또는 그 복구의 ( C )

 

[+] 정답

더보기

A : 의존도

B : 상호연결성

C : 용이성

 

[정보보안기사 실기 13회 ]

2. 취약점 및 침해요인과 그 대응방안에 관한 정보 제공하며 침해사고가 발생하는 경우 실시간 경보ㆍ분석체계 운영하며 금융ㆍ통신 등 분야별 정보통신기반시설을 보호하기 위하여 다음 각호의 업무를 수행하는 곳은?

1. 취약점 및 침해요인과 그 대응방안에 관한 정보 제공
2. 침해사고가 발생하는 경우 실시간 경보/분석체계 운영

 

[+] 정답 

더보기
정보통신ISAC 2002년 3월 한국정보통신진흥협회(KAIT) 기간통신사업자
금융ISAC 2015년 4월 금융보안원 은행, 증권, 보험 등 금융회사
지자체ISAC 2013년 1월 한국지역정보개발원(KLID) 시/도/지자체
의료ISAC 2018년 11월 한국사회보장정보원(SSIS) 의료기관

 

[정보보안기사 실기 5회 ]

12. 정보통신기반보호법 제16조에 따라 금융•통신 등 분야별 정보통신기반시설을 보호하기 위하여 정보공유•분석센터를 구축•운영할 수 있다. 정보공유 분석센터 하는 역할을 두 가지 서술하시오.

 

[+] 정답 

더보기

정보공유 분석센터 역할 

  • 정보수집 : 해킹,컴퓨터바이러스,논리ㆍ메일폭탄,서비스 거부 또는 고출력 전자기파 등의 사이버테러에 대한 정보를 수집 
  • 정보분석·저장 : 수집된 정보를 분석하고 이를 바탕으로 최적의 대응방안을 수립 
  • 정보제공 : DB화한 정보를 효과적으로 공격 탐지·대응·예방할 수 있도록 회원사에 신속하게 배포 
  • 정보연계 : KISC나 경찰청 사이버테러대응센터 등 관계기관과의 연계를 통하여 가해자 추적이나 신속한 피해복구가 가능

 

저작자표시