정보보안기사 산업기사 보고서 국가기술자격 종목개발 연구.hwp
|
|
- 선영 장
- 8 years ago
- Views:
Transcription
1 2010년도 한국산업인력공단 연구개발용역 정보보안 기사, 정보보안 산업기사 국가기술자격 종목개발 연구 연구기관 전남대학교 시스템보안연구센터
2 제 출 문 한국산업인력공단 이사장 귀하 본 보고서를 정보보안 기사, 정보보안 산업기사 국가기술 자격 종목 개발연구 의 최종 보고서로 제출합니다. 2010년 12월 전남대학교 시스템보안연구센터 연구 책임자: 전남대학교 노봉남 공동 연구원: 원광대학교 이형효 목포대학교 김민수 공동 보조원: 전남대학교 박진모 전남대학교 이동수
3 연구 요약 컴퓨터와 통신기술의 급속한 발전으로 인해 정보통신 서비스는 지금까지 국가의 주요 인프라로 여겨져 왔던 교통, 전기, 가스, 행정서비스 등과 함께 우리사회의 필수 인프 라로 자리 잡았다. 그러나 정보통신서비스의 고도화 및 일반화와 함께 해킹, 사이버테 러, 개인정보보호 침해 등과 같은 역기능 역시 급격히 증가하고 있고, 이러한 사이버 공격에 대한 범국가적 상시 방어체계를 구축하고 침해사고 발생 시 신속히 대응하지 못할 경우 국가적, 사회적, 경제적으로 큰 피해가 발생할 수 있다. 따라서 사이버 공격 에 대한 사전 예방과 점검, 대응 업무를 담당하는 보안전문인력의 양성은 국가 차원에 서 관리해야 하는 중요 이슈가 되고 있다. 정보보안 전문가는 주요 운영체제 구조에 대한 이해 및 활용, 소프트웨어 요구사항 분 석, 설계와 개발, 통신 프로토콜에 대한 이해와 주요 네트워크 장비에 대한 활용, 웹이 나 전자메일 등과 같은 주요 응용 서비스에 대한 동작절차 이해 및 관리기술 등에 이 론과 실무 능력을 보유한 후 암호학 및 정보보안 주요 요소기술, 정보통신시스템에 대 한 취약점 파악과 보안 대응방안 구현, 악성 코드 및 사이버 공격별 대응체계 구축, 조 직의 정보보안 관리업무 수행 및 관련 법규에 대한 지식을 겸비해야 하는 고도의 직무 를 수행하여야 한다. 따라서 정보보안 전문가는 다른 전문분야에 비해 양성과 배출에 오랜 기간이 요구되어 공공기관 및 민간분야의 수요를 쉽게 충족시키지 못하는 원인이 된다. 현재 정보보안 관련 국내 자격제도에는 유일한 국가공인 민간자격인 정보보호전문가 (SIS) 자격과 함께 인터넷보안전문가, 정보보안관리사, 해킹보안전문가 등이 있고 국제 자격제도로는 정보시스템감사사(CISA), 정보시스템보안전문가(CISSP) 등이 있다. 정 보보안 민간자격의 경우 민간자격제도로 인한 신뢰도 문제, 정보보호전문가 자격을 제 외한 기타 자격은 공공기관이나 민간기업에서 인정받지 못하고 있는 실정이다. 또한 국제 자격제도의 경우 정보보안 전문가가 갖추어야 할 전문분야들 중 특정부분에 중점 을 두어 자격시험이 구성되어 있고 실무 경험이 있는 합격자들에게만 자격이 부여되는 한계점이 있다. 따라서 정보보안의 중요성이 더욱 강조되고 있는 현재 국가기술자격으로 정보보안 기 사, 정보보안 산업기사 자격종목을 신설함으로써 공공기관 및 산업체가 요구하는 정보 보안 전문가의 직무를 체계적으로 정의하고 수요중심의 정보보안 전문가를 양성할 수 있는 교육과정을 제시하여 안전한 사이버 환경을 조성과 함께 국내 지식정보보안 산업 의 경쟁력 강화시킬 수 있을 것으로 기대된다. - i -
4 직무 분석 정보보안 기사, 산업기사는 IT 및 정보통신 분야의 이론 및 실무 지식을 갖춘 후 조직 의 보안정책 집행을 위한 정보보안 제품 및 솔루션의 개발, 서버와 네트워크 장비, 정 보보안 전용장비에 대한 보안설정 및 운영관리, 조직의 보안요구사항 및 위험분석 업 무를 수행한 후 지속적으로 정보보안 관리업무를 수행하는 직무를 수행한다. 본 연구에서는 정보보안 관련 공공기관 및 민간기업에 재직 중인 정보보안 전문가, 대 학 교수 등을 대상으로 설문조사와 자문을 거쳐 정보보안 기사의 직무를 12개 단위(정 보보안시스템 요구사항 분석, 정보보안시스템 설계, 정보보안시스템 구현, 정보보안시 스템 시험, 보안목표 파악 및 보안정책 관리, 시스템 및 네트워크 보안특성 파악, 취약 점 점검 및 보완, 관제 및 대응, 정보보안 계획수립, 위험분석, 정보보안 정책구현, 사 후관리)로 구분하고 이들을 46개의 작업단위요소로 세분화하였다. 정보보안 산업기사 의 직무는 정보보안 기사의 직무 중 난이도가 높다고 판단되는 정보보안 계획수립, 위 험분석, 정보보안 정책구현, 사후관리 등 4개를 제외한 8개 단위로 정의하였다. 또한 46개 작업단위요소들의 중요도 및 전체 난이도, 그리고 각 작업단위요소들에 대 한 작업명세서를 작성하고 수행 준거별 난이도 제시하였다. 검정체계 정보보안 기사, 산업기사 국가기술자격은 IT 및 정보통신 기술에 대한 이론 및 실무 지식을 바탕으로 정보보안 시스템 및 솔루션 개발, 주요 운영체제 및 네트워크 장비, 정보보안 장비에 대한 운영 및 관리 직무를 담당하며 정보보안 기사는 추가로 조직의 정보보안정책의 수립과 대책수립 및 관리, 정보보호 관련 법규 적용 등을 수행하는 한 다. 정보보안 기사, 산업기사는 직무 내용 상 국가기술자격의 직무분야 중 정보처리로 분류하였다. 정보보안 기사, 산업기사 자격시험은 모두 1차 필기시험과 2차 실기시험으로 구성하였 다. 정보보안 기사 1차 필기시험은 시스템 보안, 네트워크 보안, 어플리케이션 보안, 정보보안 일반, 정보보안관리 및 법규 등 5개 시험과목에 대해 4지 택일형으로, 정보보 안 산업기사 1차 필기시험은 시스템 보안, 네트워크 보안, 어플리케이션 보안, 정보보 안 일반 등 4개 시험과목에 대해 4지 택일형으로 구성하였다. 정보보안 기사, 산업기사 2차 실기시험은 정보보안 실무에 대해 필답형 주관식 문제로 구성하였다. 정보보안 기사, 산업기사의 출제기준과 시험과목의 적정성 등을 검증하기 위해 정보보 안 전공 대학교수, 연구기관 및 산업체 전문가들에게 기사, 산업기사 모의시험문제 출 제를 의뢰하였다. 출제된 정보보안 기사 모의시험은 정보보안 관련 학과 4학년과 대학 - ii -
5 원생, 연구기관에 근무하는 연구원들을 대상으로, 정보보안 산업기사 모의시험은 정보 보안 관련 학과 3학년과 전문대학 2학년을 대상으로 실시하고 그 결과와 함께 개선사 항을 제시하였다. 정책제언 정보보안 전문가는 IT 및 정보통신 분야에 대한 이론과 실무 능력과 함께 암호학 및 정보보안 요소기술, 정보보안 장비에 대한 보안설정 및 운영관리 능력, 조직의 보안정 책 수립과 집행 등에 관한 포괄적 전문적 지식을 추가로 갖추어야 하는 특징을 가지고 있다. 따라서 본 연구에서 제시한 직무분석 내용을 참조하여 대학 및 대학원의 교과과 정, 정보보안 관련 공공 및 민간 교육/훈련기관의 교육프로그램에 대한 검토를 통한 보 완이 필요할 것으로 판단된다. 또한 체계적이고 효과적인 정보보안 전문가 양성을 위 한 필기과목 및 실기과목에 대한 교재개발이 필요하다. 그리고 모든 공공기관 및 민간기업에서 정보통신시스템을 이용하고 있는 현실을 고려 할 때 해당 기관의 정보보안 강화 및 관리를 위해 정보보안 기사, 산업기사 자격소지 자를 의무적으로 채용하도록 하는 법률적, 제도적 장치의 도입이 적극적으로 고려되어 야 한다. 정보보안 기사, 산업기사 국가기술자격 종목의 신설은 정보보안 분야의 국내 전문가를 체계적으로 양성하는 효과뿐만 아니라 우리나라 지식정보보안 산업의 국제적 경쟁력을 강화하는데 큰 역할을 담당할 것으로 기대된다. - iii -
6 목 차 제1장 서론 연구의 필요성 및 목적 연구 내용 연구방법 및 절차 추진 일정 14 제2장 정보보안 기사 산업기사 종목 신설 배경 정보보안 기사 산업기사 종목 신설의 필요성 정보보안 기사 산업기사 관련 국내외 동향 정보보안 기사 산업기사 관련 문헌 현황 정보보안 기사 산업기사 관련 기술의 개념 전문 인력으로서의 역할 정보보안 기사 산업기사 등급 및 직무 내역 정보보안 기사 산업기사 관련 교육훈련기관 현황 및 검정응시 예상인원 정보보안 기사 산업기사 관련 유사자격제도 정보보안 기사 산업기사 자격취득자의 활용방안 41 제3장 정보보안 기사 산업기사 직무분석 및 교육내용 분석 종목 등급 및 직무의 정의 직무분석 직무 및 작업 명세서 정보보안 기사 산업기사 교과목 분석 설문지 조사 및 분석 103 제4장 정보보안 기사 자격검정체계 구성 직무 분야 자격 종목명 및 등급 응시자격 검정기준 검정방법 및 시험과목 검정시행형태 및 합격검정기준 출제기준 출제방법 및 시험시간 실기시험 시행자료 iv -
7 4.10 모의 검정시험 해당종목관련 전문가목록 126 제5장 정보보안 기사 연구결론 및 정책 제언 연구의 결론 정책 제언 133 제6장 정보보안 산업기사 자격검정체계 구성 직무 분야 자격종목 및 등급 응시자격 검정기준 검정방법 및 시험과목 검정시행형태 및 합격검정기준 출제기준 출제방법 및 시험시간 실기시험 시행자료 모의 검정시험 해당종목관련 전문가목록 146 제7장 정보보안 산업기사 연구결론 및 정책 제언 연구의 결론 정책 제언 153 참고문헌 154 부록 I. 설문지 155 부록 II. 정보보안 기사 모의시험 문제 165 부록 III. 정보보안 산업기사 모의시험 문제 199 부록 IV. 자문회의 회의록 v -
8 표 목차 표 1-1. 정보보안 민간 자격증 비교 4 표 1-2. 정보시스템감사사 자격제도 주요 특징 5 표 1-3. 정보시스템보안전문가 자격제도 주요 특징 5 표 1-4. 대학 정보보호 관련 학과 현황 8 표 1-5. 대학원 정보보호 관련 학과 현황 9 표 1-6. 전문대학 정보보호 관련 학과 현황 10 표 1-7. 민간 교육기관의 정보보호 교육과정 현황 10 표 1-8. 정보보안 기사 시험과목 12 표 1-9. 정보보안 산업기사 시험과목 12 표 자문위원 구성 13 표 모의시험 문제 출제위원 14 표 연구추진 일정 15 표 2-1. 연간 침해 사고 통계 (단위: 건) 18 표 2-2. 피해 기관별 침해사고 통계 (단위: 건) 18 표 2-3. 정보보호 분야 직무체계 23 표 2-4. 정보보안 관련 직종 27 표 2-5. 정보보안 기사, 정보보안 산업기사의 주요 직무 내용 30 표 2-6. 규모 및 직종별 종사인력 규모 32 표 년 정규 교육기관 정보보안 인력양성 현황 32 표 2-8. 전국 정보보안 대학동아리 지원 현황(2010년) 33 표 2-9. 정보보안 민간 교육기관 34 표 지식정보보안 산업 개발과제 추진일정 39 표 정보보안 기사, 산업기사와 유사 자격 종목 40 표 3-1. 정보보안 기사 산업기사 직업명세서 46 표 3-2. 정보보안 기사, 산업기사 공통 직무 명세서 47 표 3-2. 정보보안 기사, 산업기사 공통 직무 명세서 (계속) 48 표 3-3. 정보보안 기사 추가 직무 명세서 49 표 3-4. 정보보안 기사 산업기사 활용도구 일람표 50 표 3-5. A-1 보안기능 요구사항 수집, 작성 51 표 3-6. A-2 보증 요구사항 수집, 작성 52 표 3-7. A-3 시스템 개발 및 동작환경 특성 분석 53 표 3-8. A-4 보안 요구사항 명세서 작성 54 표 3-9. B-1 요소 보안기술 결정 55 표 B-2 보안 아키텍처 설계 56 - vi -
9 표 B-3 모듈 단위 기능정의 및 설계 57 표 B-4 설계서 작성 58 표 C-1 설계서에 대한 기술 검토 59 표 C-2 개발환경 구축 및 코딩 60 표 C-3 구현 관련 문서 작성 61 표 D-1 모듈 단위 시험 62 표 D-2 통합 시험 63 표 D-3 버그 수정 및 보완 개발 64 표 D-4 시험 결과보고서 작성 65 표 E-1 조직의 보안목표 파악 66 표 E-2 조직의 IT환경 특징 및 위협 파악 67 표 E-3 보안정책 작성 및 적용 68 표 E-4 보안정책 이력 관리 69 표 F-1 운영체제별 보안특성 파악 70 표 F-2 프로토콜 특징 및 취약점 파악 71 표 F-3 서비스별 보안특성 파악 72 표 F-4 보안장비 및 네트워크 장비 보안특성 파악 73 표 F-5 관리대상 시스템 및 네트워크 구조 파악 74 표 G-1 운영체제 및 버전별 취약점 점검, 보완 75 표 G-2 서비스 및 버전별 취약점 점검, 보완 76 표 G-3 보안장비 및 네트워크 장비 취약점 점검, 보완 77 표 G-4 취약점 점검 및 보완 사항 이력 관리 78 표 H-1 운영체제별 로그정보 점검 79 표 H-2 서비스별 로그정보 점검 80 표 H-3 보안장비 및 네트워크 장비 로그정보 점검 81 표 H-4 로그정보 통합 및 연관성 점검 82 표 H-5 데이터 백업, 증거 수집 및 침입자 추적 83 표 I-1 조직의 요구사항 파악 84 표 I-2 IT현황 및 자산 파악 85 표 I-3 관련 법령 검토 86 표 J-1 내 외부 위협 분석 87 표 J-2 자산별 취약점 분석 88 표 J-3 취약점 점검 보고서 작성 89 표 K-1 정보보호 정책 수립 및 적용 90 표 K-2 시험 및 검증 91 표 K-3 정보보호 대책 구현 92 표 K-4 정보보호 정책 교육 93 표 L-1 정보보호 체계 재검토 94 - vii -
10 표 L-2 사후 조치 및 모니터링 95 표 L-3 내부 감사 96 표 직무분석을 통한 교과목 도출 98 표 정보보안 전공 대학원, 대학 및 전문대학 교과목 분석 100 표 설문지 배포 및 응답률 103 표 4-1. 정보처리 직무분야에 속한 국가기술자격 종목 관련학과 112 표 4-2. 정보보안 기사의 응시자격 113 표 4-3. 정보보안 기사 시험과목 114 표 4-4. 정보보안 기사 필기시험 출제기준(안) 115 표 4-5. 정보보안 기사 실기시험 출제기준(안) 121 표 4-6. 정보보안 기사 모의시험 문제 출제위원 124 표 4-7. 정보보안 기사 모의 검정시험 결과 125 표 4-8. 정보보안 기사 필기시험, 실기시험 점수 분포 125 표 6-1. 정보처리 직무분야에 속한 국가기술자격 종목 관련학과 135 표 6-2. 정보보안 산업기사의 응시자격 136 표 6-3. 정보보안 산업기사 시험과목 137 표 6-4. 정보보안 산업기사 필기시험 출제기준(안) 138 표 6-5. 정보보안 산업기사 실기시험 출제기준(안) 141 표 6-6. 정보보안 산업기사 모의시험 문제 출제위원 143 표 6-7. 정보보안 산업기사 모의 검정시험 결과 144 표 6-8. 정보보안 산업기사 필기시험, 실기시험 점수 분포 viii -
11 그림 목차 그림 1-1. 연구팀 구성 14 그림 년 10월까지 해킹사고 접수, 처리 건수 18 그림 2-2. 전공별 인력 현황 (단위: 명) 19 그림 2-3. SIS 자격시험 응시생 및 합격자 수 (단위: 명) 20 그림 2-4. 지식정보보안 산업 영역 26 그림 2-5. 정부지원에 의한 정보보안 교육과정 34 그림 3-1. 정보보안 기사, 산업기사 공통 직무 45 그림 3-2. 정보보안 기사 추가 직무 45 그림 3-3. 직무분석의 타당성 104 그림 3-4. 정보보호관리, 정보보호 관련법규 반영 필요 자격종목 105 그림 3-5. 정보보호관리, 정보보호 관련법규 출제 비중 106 그림 3-6. 이론 시험 형식 106 그림 3-7. 실기 시험 형식 107 그림 3-8. 자격시험 시행 횟수 107 그림 3-9. 정보보안 기사 적정 합격률 108 그림 정보보안 산업기사 적정 합격률 109 그림 설문 응답자 소속 분포 109 그림 공공기관, 기업체 소속 응답자 경력 분포 ix -
12 제1장 서론 - 1 -
13 1.1 연구의 필요성 및 목적 연구배경 현재 기업과 공공기관의 대부분이 정보처리시스템과 인터넷으로 대표되는 통신시스템 을 기반으로 각 기관의 내부업무 및 대고객, 대국민 서비스를 제공하고 있음을 고려할 때 정보통신 인프라의 안정성과 효율성은 더욱 증가하고 있다. 특히 정보통신시스템을 대상으로 하는 내 외부 사용자에 의한 악의적 해킹, 보안이 취약한 컴퓨터를 좀비로 활 용하는 DDoS 공격, 데이터베이스에 저장된 기업정보 및 개인정보에 대한 불법적 유출 등 보안침해 사례가 증가하고 있는 현실에서 주요 IT기술에 대한 지식과 함께 정보보 호 이론과 실무능력을 갖춘 정보보안 전문인력의 중요성은 더욱 증가할 것이다. 정보보안 전문가는 정보보안이 요구되는 분야(시스템, 네트워크, 응용 서비스)에 대한 전문지식과 해당 분야의 보안 취약성을 이해하거나 분석할 수 있고, 보안 취약점을 해 결할 수 있도록 보안정책의 수립과 집행, 운영 및 관리, 보안 시스템 및 솔루션 개발, 컨설팅 능력 등을 추가로 보유해야 하는 특징이 있다. 현재 국내에는 2가지 종류의 국내 정보보안 국가공인 민간자격제도(정보보호전문가 1 급/2급, 인터넷보안전문가 1급/2급, 정보보안관리사, 해킹보안전문가 1급/2급/3급/주니 어)가 운영되고 있으나 정보보안의 중요성과 함께 향후 증대될 필수성을 감안할 때 정 보보안 분야의 국가기술자격 검정체계의 신설은 시급한 실정이다. 본 연구에서는 정보보안 전문인력의 수요처인 기업과 공공분야에서 이루어지는 정보보 안 직무분석을 수행하고, 해당 직무를 수행하기 위해 필요한 정보보안 이론과 실무 지 식을 도출한다. 또한 도출된 정보보안 전문가가 갖추어야 할 정보보안 이론과 실무 지 식 보유여부를 파악할 수 있는 검정과목 및 출제분야 등을 개발함으로써 수요 중심, 실효성있는 정보보안 국가기술자격 검정체계를 제시한다 연구의 필요성 m 정보보호 기술 및 전문인력 중요성 증대: 해킹, 웜/바이러스, DDoS, 피싱 등과 같은 다양한 형태의 공격이 공공 및 민간부분 정보시스템을 대상으로 지속적으로 증가하 고 있고, 불특정 시스템을 대상으로 하는 공격에서 특정시스템을 대상으로 하면서 금전적 이득을 위한 공격으로 변화되고 있다. 따라서 민간 및 공공부분에서 정보시 스템과 통신인프라에 대한 보호업무를 수행할 수 있는 정보보안 전문가의 역할이 증가하고 있고 업무의 중요성도 증대되고 있다. 정부에서는 각 행정기관에 정보보 안책임자(CSO: Chief Security Officer)와 개인정보관리책임자(CPO: Chief Privacy Officer) 제도 도입을 추진하는 등 정보보안 전문인력이 수행하는 업무의 중요성이 - 2 -
14 더욱더 커지고 있다. m 수요중심, 실효성있는 정보보안 국가기술자격 필요성 증대: 정보시스템에 저장된 공 공 및 개인정보 보안에 대한 필요성과 함께 해당 자원을 보호할 수 있는 정보보안 기술 및 시스템에 대한 수요가 증대하고 있고 정보보안 정책수립과 집행, 침해사고 발생 시 대응 및 사후복구를 진행할 수 있는 정보보호 전문인력에 대한 공공 및 민 간부문에서의 수요가 증가하고 있다. 그러나 정보보호 전문인력 공급 측면에서 정 보보안 인력양성 시스템이 미흡하여 수요기관에서 요구하는 수준의 정보보안 전문 인력을 적시에 지원하지 못하는 문제점이 있다. 따라서 방대한 정보보안 분야의 지 식과 기술분야들을 정보보안 전문인력 수요처의 직무를 중심으로 조사, 분석함으로 써 수요중심, 그리고 이론과 실무를 겸비한 실효성있는 정보보안 전문인력을 양성 할 수 있는 국가기술자격 검정체계의 개발이 시급하다 연구목적 정보통신 서비스 및 인프라의 안정적 운영은 기업의 이윤창조와 공공기관의 대국민 서 비스의 신뢰도를 보장하는 기초이며 핵심 항목이다. 그러나 최근 그 발생빈도가 증가 하고 있는 금전적 목적을 가진 공격의 해킹 및 피싱 공격, 내 외부 사용자에 의한 기업 정보 및 개인정보의 불법 유출과 거래, 기업 및 공공기관의 정상적 서비스 제공을 방 해하는 DDoS 공격 등을 효과적으로 방어하기 위해서는 수요처 중심의 실효성있는 정보 보안 이론 및 실무 능력을 갖춘 정보보안 전문인력의 체계적 양성이 시급한 상황이다. 본 연구에서는 국내 기업 및 공공기관에서 정보보안 전문인력이 수행하는 직무를 조 사, 분석하고 각 직무를 수행하는데 필요한 정보보안 이론 및 실무 기술을 도출한다. 도출된 핵심 정보보안 이론 및 실무기술을 기반으로 국가기술자격 검정체계를 개발함 으로써 국가차원에서 정보보안 인력을 체계적으로 양성할 수 있는 기반을 마련하고 민 간 및 공공분야에서 정보보안 분야의 중요성과 필수성을 인식시키는데 그 목적이 있다
15 1.2 연구 내용 정보보안 기사 산업기사 관련 국내외 동향 국내 동향 국내 정보보안 자격증은 민간자격에 그치고 있으며, 현재 정보보호전문가 한 종만이 국가 공인을 획득하고 있는 실정이다. 이 또한 민간자격의 한계로 여겨지는 공신력 저 하 및 인센티브 부족 등으로 동종의 국제 자격증이 선호되고 있는 추세이다. 또한, 악 의적인 의도를 품고 있는 일부 언더그라운드 해커 등 숨어있는 보안 전문가를 양지를 끌어내기 위한 적절한 검증 제도로서의 역할을 하지 못하는 것이 현실이다. 현재 정보 보안 전문기업은 물론이고, 관련 IT 업체, 회계법인 등에서도 해외 보안자격증을 우대 하는 풍조가 조성되어, 심각한 외화 낭비 및 국내 우수 인력의 해외 유출이 가속화되 고 있다. 국가 공인을 가지는 정보보호전문가의 합격률은 10% 미만인 9.6%밖에 되지 않는 반 면 국가 공인을 가지지 못한 자격증들은 정보보호전문가보다 높은 합격률을 기록하고 있다. 하지만 이러한 민간 자격증은 시험 방식이 필기 및 4지선다 객관식이기 때문에 공신력이 약하다. 표 1-1은 정보보안 분야 민간 자격증 간 비교 정보를 보이고 있다. 표 1-1. 정보보안 민간 자격증 비교 명칭 주관 구성 검정현황 급수 방식 응시 합격 합격률 정보보호전문가 한국인터넷진흥원 1,2 필기, 실기 4, % 인터넷보안전문가 한국정보통신자격협회 1,2 필기, 실기 % 정보보안관리사 한국정보평가협회 - 필기 % 해킹보안전문가 한국해킹보안협회 1,2,3, 주니어 필기, 실기 % 해외 동향 해외 정보보안 자격증 중 공신력이 있으며 국내에서 우대받고 있는 자격증은 정보시스 템감사사 자격증과 정보시스템보안전문가 자격증이 있다. 정보시스템감사사는 미국 국 방부에서 승인한 자격증으로 전체 취득자는 73,000명이며 취득자는 계속 증가 추세에 - 4 -
16 있다. 정보시스템보안전문가는 (ISC) 에서 발급, 관리하는 국제 자격증이다. 표 1-2와 표 1-3는 각각 정보시스템감사사와 정보시스템보안전문가 자격제도에 대한 주요 특징 을 보여주고 있다. 표 1-2. 정보시스템감사사 자격제도 주요 특징 자격명칭 주관 설명 구성 과목 정보시스템감사사(Certified Information Systems Auditor) ISACA(Information Systems Audit and Control Association, 미국) 영어 외에도 한국어 등 10개 국어를 포함하여 11개 언어로 시험을 실 시하고 있는데, 2005년 ISO/IEC 17024에 따라 ANSI(American National Standards Institute)의 인증을 취득함 4지선다 객관식 IS 감사 업무 프로세스, IT 지배, 시스템 및 IT기반구조의 수명주기 관리, IT 서비스 제공 및 지원, 정보 자산의 보호, 업무 연속성 국내 도입년도 2001 검정 현황 국내 응시 : 22,379명, 합격 : 9,163명, 합격률 : 40.9%( 기준) 한국인 중 국외에서 취득한 536명을 제외한 수치임 전체 취득자 : 약 73,000명 표 1-3. 정보시스템보안전문가 자격제도 주요 특징 자격명칭 정보시스템보안전문가 (Certified Information Security Professional) 주관 설명 구성 과목 국내 도입년도 2000 검정 현황 국내 ISC2(International Information Systems Security Certification Consortium, 미국) ISC2(International Information Systems Security Certification Consortium, Inc.)에서 시행하는 자격증으로 CISA와 마찬가지로 ISO 에 의한 인증을 취득하였음 4지선다형 객관식 접근제어시스템 및 방법론, 통신망 및 네트워크 보안, 보안관리, 응용프로그 램 및 시스템 개발, 암호학, 보안 아키텍쳐 및 모델, 컴퓨터 운용 보안, 사업 연속계획 및 비상복구계획, 법, 수사 및 윤리, 물리적 보안 합격 : 2,502명( 기준) 전체 66,015명 - 5 -
17 1.2.2 정보보안 기사 산업기사 관련 문헌 현황 m 2010 국가정보보호백서: 이 보고서는 2010년 4월에 한국인터넷진흥원을 통해 배포 되었으며 총 4개의 독립된 편과 특집 및 부록으로 구성되어 있고 정보보호 10대 이 슈를 별도로 수록하고 있다. 정보보호 10대 이슈에서는 2009년 주요 언론매체에 보도된 정보보호 관련 기사들을 토대로 산 학 연 정보보호 전문가들의 의견 수렴을 통해 선정된 내용들을 소개하고 있다. m 2009 국내 지식정보보안 산업 시장 및 동향 조사: 이 보고서는 한국인터넷진흥원에 서 2009년 12월에 발간한 것으로 2009년 지식정보보안 산업의 시장을 조사하고 동향을 분석한 것을 바탕으로 향후 전망을 예측하는 것을 주된 목적으로 하며 지식 정보보안 산업 관련 기업의 일반적 특성, 시장 동향을 주요 내용을 기반으로 하여 지식정보보안 산업을 정책적으로 육성할 수 있는 실현가능한 방안을 모색함을 목적 으로 작성되었다. 이 보고서를 토대로 정부는 지식정보산업 육성을 위한 방향을 설 정할 수 있고, 보다 실천적인 과제를 도출할 수 있을 것이다. 또한 본 연구 결과는 지식정보보안 관련 학계, 연구계의 기초 자료로 활용될 수 있을 뿐만 아니라, 연관 산업 및 관련 기업의 비전과 전략을 설정하는데 있어 기반을 조성하는 토대가 될 수 있다. m IT 산업의 직업변동연구: 이 보고서는 한국고용정보원에서 2008년 12월 발간한 것 으로 방송 통신, 정보보호, 지능로봇 등 IT 관련 산업 중에서도 기술변화 속도가 가 장 빠른 네 분야에서 현존하는 직업들의 변화, 그리고 향후 유망하게 대두될 직업 에 대하여 전망하고 있다. 시장규모, 인력수급 현황 등의 조사를 위하여 교육개발 원, 방송통신위원회, 문화체육부 등 관련 기관의 통계 DB 및 고용보험 DB를 분석 하였고, 직업변화 유발 요인, 직무내용의 변화, 신생 직업변화 유발 요인, 직무내용 의 변화, 신생 직업전망 등은 현장 관찰 및 전문가 심층 인터뷰, 그리고 델파이 분 석 등의 질적 방법을 사용하여 결과를 검증하였다. m 유비쿼터스 환경에서의 정보보호 정책 방향: 이 보고서는 한국정보보호진훙원, 지식 경제부, 정보통신연구진흥원이 2008년 3월 발간한 자료로 정보보안 관련 국내외 직 무분석에 대한 내용을 조사하고 정보보호 연구 개발의 활성화를 위한 정보보호 인력 수급 실태조사 및 정보보호 분야의 직무체계 개발에 대한 정책적 방향을 제시하고 있다. 보고서에서는 정보보호 분야 직무체계를 전략 및 기획, 마케팅 및 영업, 연구 개발 및 구현, 교육 및 훈련, 관리 및 운영, 사고 대응, 평가 및 인증 등 7개 직무군 으로 분류하고 이를 다시 17개의 직무로 정의하였다
18 1.2.3 정보보안 기사 산업기사 직무분석 및 교육훈련과정 분석 직무분석 정보보안 기사, 산업기사의 직무는 시스템 및 네트워크에 대한 이론과 실무 능력을 기 반으로 하고 정보보안 시스템 및 솔루션 개발, 서버/네트워크장비/정보보안 장비에 대 한 보안관리 및 운영하는 직무를 수행한다. 정보보안 기사는 조직의 정보보안 정책 수 립과 집행, 관리 업무와 함께 조직의 비즈니스와 관련된 정보보안 관련 법규를 이해하 고 적용하는 직무를 추가로 수행한다 교육훈련과정 4년제 대학에서 정보보호 관련 학과들은 대부분 정보통신부의 IT 인력양성사업에 부응 하여 2002년부터 신설되었다. 중부대학교가 1996년 컴퓨터안전관리학과를 신설한 것 을 제외하면 모든 학교가 2001년 이후 정보보호 관련 학과를 설치한 것으로 조사되었 다[3]. 최근에는 학과의 신설보다는 폐지가 더 많은 추세이다. 최근 대학 재학생들 사이에 정 보보호분야에 대한 관심은 증대하고 있으나 정보보호 분야의 특성 상 대학수준에서는 한 분야에 대한 집중적인 교육보다는 IT 및 정보보호 기초 분야에 대한 교육이 주로 이루어지고 있기 때문에 독립적인 정보보호 학과는 감소하고 있는 것으로 판단된다. 2009년 현재 15개교의 관련 학과 재적생 수는 2,586명에 이르며 전임교원의 수는 57 명, 2009년의 배출인력은 총 382명이다. 표 1-4는 각 대학교에 설치된 정보보호 관련 학과명과 재적생 수, 2009년 배출학생 수 및 전임교원 수를 나타내고 있다. 또한 온라 인으로 강의가 이루어지는 사이버대학 중 정보보호학과가 설치된 학과는 세종사이버대 학이 현재 유일하다. 또한 전년도 대비 재인원수는 58%, 배출인원은 63%, 전임교원 수는 75% 상승하였으 나 교원의 확보정도는 재학생 수 대비 전임교원 수로 판단해 볼 때 적은 편으로 조사 되었다
19 표 1-4. 대학 정보보호 관련 학과 현황 대학원에서 정보보호 관련 교육 및 인력양성은 다양한 방법으로 이루어지고 있다. 크 게 일반대학원, 전문대학원, 특수대학원으로 구분되는데 2개의 전문대학원과 9개의 특 수대학원 및 협동과정에 정보보호 관련 학과 혹은 전공이 개성되어 있으며, 5개의 일 반대학원에서도 석, 박사과정이 개설되어 있다[3]. 대학원 과정에 정보보호 전공이 설치되기 시작한 것은 동국대학교가 국제정보대학원을 설립한 1998년이며 2000년대에 들어서면서 본격적으로 정보보호 전공이 설치되기 시 작하였다. 일반대학원의 경우 정보보호 관련 전공이나 학과가 개설된 곳이 늘어나는 추세이지만 아직도 컴퓨터 혹은 정보통신 관련 학과에서 소규모 연구그룹이나 교수별로 정보보호 분야의 연구를 수행하고 있는 곳이 더 많은 것으로 보인다. 전문대학원은 고려대학교 정보경영공학전문대학원과 과학기술연합대학원대학교가 해당 되며 순천향대학교에서는 일반대학원과 특수대학원에 모두 관련 학과가 개설되어 있는 것으로 파악되었다
20 표 1-5는 정보보호 관련 학과가 개설된 각 대학원의 석, 박사 학위과정의 개설 여부, 설립년도, 재적학생 수와 배출실적, 그리고 전임교원 수를 나타내고 있다. 대학의 경우 와 같이 대학원도 2002년부터 2004년 사이 설립된 학과가 많으며, 2009년을 기준으 로 총 재적 학생 수는 704명이고 2009년 배출인력은 186명이다. 표 1-5. 대학원 정보보호 관련 학과 현황 전문대학의 정보보호 관련 학과에서는 주로 인터넷 보안, 해킹, 사이버수사 등에 관한 실무교육이 이루어지고 있으며 자격증 취득을 위한 교육도 활발한 편이다[3]. 전문대 학은 4년제 대학이나 대학원과는 달리 특성화된 학과 또는 전공이 설치되어 있다. 2009년에는 4개의 학교에서 250명이 재학 중이며 14명이 배출되었는데 이는 전년도 에 비해 크게 감소한 수치이다(표 1-6)
21 표 1-6. 전문대학 정보보호 관련 학과 현황 정보통신 분야에서의 민간교육은 매우 활발한 편이며 이는 교육에 대한 수요가 다양한 형태로 존재하기 때문이다. 정보통신 분야 비전공자들은 특정 단기 과정 외에도 6개월 정도의 장기과정을 통해 전문지식을 습득하기를 원하는 반면, 정보통신 분야 전공자들 은 주로 자격증과 관련된 교육을 통하여 정규 교육기관에서 얻지 못하는 실용적인 교 육을 원하는 것으로 파악되고 있다[3]. 2009년 현재 활발하게 교육 사업을 진행하고 있는 민간 교육기관은 19개이며 교육과 정명과 홈페이지 정보는 표 1-7과 같다. 표 1-7. 민간 교육기관의 정보보호 교육과정 현황
22 1.2.4 정보보안 기사 산업기사 자격 검정 체계 m 직무분야: 정보보안 기사, 산업기사의 직무분야는 국가기술자격의 직무분야 중 정보 처리 분야에 속해 있다. 정보보안 기사, 산업기사는 정보보안과 관련된 보안정책대 한 이해, IT가 다루는 프로그래밍, 시스템 및 네트워크 구조에 대한 이해를 바탕으 로 보안정책 수립, 침해 위험 분석 및 대책 수립, 수립된 보안 정책의 개발 및 구 현, 악성코드 및 바이러스의 분석 및 손상 데이터 복구, 보안 시스템의 운영 및 모 니터링을 수행하는 업무 또는 이와 관련된 지도적 업무를 수행하는 직무이다. m 종목명 및 등급: 정보보안 자격종목 개발에 대한 전문가 협의회와 직무분석 및 현 장의 목소리를 청취, 정보보안 업무의 특성, 해당 분야 전문가 등을 고려한 결과, 시스템 및 네트워크에 대한 이론과 실무 능력을 기반으로 하고 정보보안 시스템 및 솔루션 개발, 서버/네트워크장비/정보보안 장비에 대한 보안관리 및 운영, 조직의 정 보보안 정책이 집행되도록 관리하는 직무를 주도적으로 수행할 수 있는 정보보안 기사 자격과 정보보안 기사의 업무를 보조할 수 있는 정보보안 산업기사 등급이 타 당하다고 판단된다. m 응시자격: 정보보안 기사, 산업기사는 국가기술자격법 시행령에서 요구하는 기사, 산업기 사의 응시자격과 동일하다. m 검정기준: 정보보안 기사, 산업기사는 정보보안과 관련된 보안정책 대한 이해, IT가 다루는 프로그래밍, 시스템 및 네트워크 구조에 대한 이해를 바탕으로 정보보안 기 사는 문제의 상황을 파악하여 분석하는 능력 및 문제의 해결 능력 유무를 검정하고 정보보안 산업기사는 문제의 상황을 파악하여 분석하는 능력의 유무를 검정한다. m 검정시행형태 및 합격기준: 현행 국가기술자격 종목의 합격기준은 1차 필기시험의 경우, 과목별 중요도에 관계없이 전체 검정과목당 100점을 만점으로 전 과목 평균 60점 이상이며, 과목별 최소 40점 이상일 경우 합격기준으로 하고 있다. 2차 실기 시험에서는 100점을 만점으로 평균 60점 이상을 취득할 경우를 합격으로 하고 있 다. 정보보안 기사, 산업기사의 합격 기준도 현행 국가기술자격의 합격기준과 동일 하게 적용한다. m 검정과목: 정보보안 기사, 산업기사는 1차 필기시험과 2차 실기시험으로 구분하여 검정을 실시하고, 필기시험은 4지 택일형이고, 실기시험은 단답형, 서술형, 실무형 문제로 구성된 필답형으로 구성하였다. 정보보안 기사, 정보보안 산업기사 시험과목 은 각각 표 1-8, 1-9와 같다
23 표 1-8. 정보보안 기사 시험과목 구 분 시 험 과 목 검 정 방 법 문항수 배점 검정시간 문제유형 합격기준 필기시험 시스템 보안 네트워크 보안 어플리케이션 보안 정보보안 일반 정보보안관리 및 법규 각 과목 30분 4지 택일형 각 과목 : 40점 이상 5 과목 평균 : 60점 이상 실기시험 정보보안 실무 100 총180분 필답형 60점 이상 표 1-9. 정보보안 산업기사 시험과목 구 분 시 험 과 목 검 정 방 법 문항수 배점 검정시간 문제유형 합격기준 필기시험 시스템 보안 네트워크 보안 어플리케이션 보안 정보보안 일반 각 과목 30분 4지 택일형 각 과목 : 40점 이상 4 과목 평균 : 60점 이상 실기시험 정보보안 실무 100 총150분 필답형 60점 이상 1.3 연구방법 및 절차 본 연구의 진행을 위해 정보보안 관련 주요 기관의 보고서 및 자료 수집, 학계 및 공 공기관, 정보보호 전문기업 소속 자문위원들로 구성된 자문회의, 신설 예정인 국가기술 자격제도에 대한 설문조사와 분석, 모의시험 실시 등 일련의 과정을 통해 정보보안 기 사, 전문기사 자격 종목을 개발하였다. m 관련 보고서 및 자료 분석: 체계적이며 신뢰성있는 정보보안 기사, 산업기사 국가기 술자격 종목 개발을 위하여 관련 보고서 및 자료를 수집하고 분석과정을 진행하였 다. 이를 통해 국내외 정보보안 관련 자격제도들의 교육과정, 훈련기준과 출제기준, 특징 및 장단점 정리하였고, 국내 고등교육기관 및 전문 교육기관에서 제공되는 정 보보안 교육과정을 조사, 분석하였다
24 m 직무 분석: 현재 국내에서 정보보안 직무에 대한 체계적 분석과 연구결과는 제시되 어 있지 않지만, 공공기관 및 정보보호 전문기업에 종사하는 정보보안 전문가들의 의견과 공공기관이 발간한 보고서를 기초로 정보보안 직무를 작성하였고 자문위원 들의 의견을 반영한 후 직무분석 흐름도를 개발하였다. m 전문가 자문회의: 대학, 공공기관, 정보보호 전문기업 등 정보보안 관련 분야에 종 사 중인 전문가로 이루어진 자문회의를 구성하여 운영하였다. 자문위원들은 설문지 개발, 직무 분석 개발 및 검토, 모의시험 출제 및 평가 과정에 참여하여 체계적이며 신뢰성있는 정보보안 국가기술자격 종목 개발이 이루어지도록 활동하였다. 표 자문위원 구성 역할 구분 기관명 소속 및 직위 소속 부서 직위(급) 성 명 자문위원 선문대학교 컴퓨터공학과 교수 박 정 호 자문위원 지식경제부 R&D 전략기획단 연구위원 권 문 주 자문위원 금융보안연구원 정보보안본부 팀장 김 영 태 자문위원 솔루션박스 서비스사업본부 차장 전 주 현 자문위원 KISA 인터넷정보보호본부 팀장 손 경 호 자문위원 KISA 인터넷정보보호본부 주임연구원 정 홍 순 자문위원 한국산업인력공단 직업능력표준실 선임연구원 이 재 근 자문위원 한국산업인력공단 기술자격출제실 선임연구원 유 행 석 m 설문조사: 설문조사는 정보보안 기사, 산업기사가 정보보안 관련 공공기관 및 민간 기업에서 수행하게 될 직무내용 및 세부작업 단위, 시험과목에 포함되어야 하는 정보보안 주제, 신설되는 정보보안 자격종목별 정보보호관리 및 정보보호 관련 법 규의 반영정도와 합격률, 자격시험 출제위원별 소속 기관 구성비율 등을 조사하였 다. 설문은 공공기관, 정보보호 전문기업, 고등교육기관 전문가와 정보보안 자격시 험 예상 응시자들을 대상으로 실시되었다. m 모의시험 실시 및 분석: 정보보안 직무분석 내용과 설문조사 결과를 기초로 정보보 안 기사, 산업기사 자격시험 응시 자격요건을 갖춘 정보보안 관련학과 3,4학년 학부 생과 대학원 석사과정 학생 등 총 20명을 선발하여 실시하였다. 모의시험 문제 출제위원은 표 1-11과 같고, 정보보안 기사 모의시험 실시 결과에 대한 분석은 4장, 정보보안 산업기사 모의시험에 대한 분석은 6장에 포함되어 있다. 그리고 정보보안 기사, 산업기사 모의시험 문제는 부록 II와 부록 III에 포함되어 있 다
25 표 모의시험 문제 출제위원 구 분 시 험 과 목 출제 위원 김민수(목포대) 시스템 보안 홍석범(시디네트웤스) 이형효(원광대) 네트워크 보안 필기시험 서광석(한국정보보호교육센터) (기사, 산업기사) 전주현(솔루션박스) 어플리케이션 보안 박정현(IBK시스템) 신원(동명대) 정보보안 일반 이정현(KISA) 실기시험 김민수, 홍석범, 이형효, 서광석 정보보안 실무 (기사, 산업기사) 전주현, 박정현, 신원, 이정현 m 연구팀 구성 및 역할: 본 연구과제의 진행을 위해 책임연구원 1명, 공동연구원 2명 및 보조연구원 2명으로 연구팀을 구성하였다. 책임연구원 (전남대학교 노봉남교수) 공동연구원 (원광대학교 이형효교수) 공동연구원 (목포대학교 김민수교수) 보조연구원 (전남대학교 박진모) 보조연구원 (전남대학교 이동수) 그림 1-1. 연구팀 구성 1.4 추진 일정 본 연구에서 목표로 하는 정보보안 관련 국내외 유사 자격제도 조사, 정보보안 직무분 석 개발과 검토, 신설되는 정보보안 자격제도에 대한 산 학 관 전문가 및 응시 예상자 들 대상 설문조사와 분석, 모의시험 실시 및 결과 분석 등을 표 1-12의 일정과 같이 진행하였다
26 표 연구추진 일정 일 정 2010년 9월 2010년 10월 2010년 11월 2010년 12월 연구수행 범위 및 추진방법 연구 수행계획 수립 분야별 연구진 확정 자문위원회 구성 정보보안 관련 보고서 및 자료 분석 국내외 정보보안 자격제도별 특징, 장단점 분석 공공기관 발간 정보보안 관련 보고서 분석 직무분석 공공기관 및 정보보호 전문기업 전문가 대상 의견 수렴 정보보안 직무분석 관련자료 분석 직무흐름도 및 직무분석표 작성 자문회의를 통한 직무분석 내용 검토 설문내용 개발 및 검토 설문내용 개발 설문내용에 대한 자문위원 의견 수렴 설문조사 실시 및 결과 분석 설문 대상자 선정 및 설문조사 진행 설문 결과 분석 모의시험 출제기준 설정 필기, 실기시험 과목 및 출제범위 설정 모의시험 출제위원 선정 모의시험 실시 모의시험 실시 대상자 선정 및 모의시험 시행 모의시험 결과분석 모의시험 결과 분석 모의시험 결과를 통한 보완사항 도출 최종보고서 작성 최종보고서 초안 작성 및 검토 최종보고서 확정, 인쇄 및 보고
27 제2장 정보보안 기사 산업기사 종목 신설 배경
28 2.1 정보보안 기사 산업기사 종목 신설의 필요성 정보보안 산업은 해킹, 바이러스 등 시스템을 파괴하는 사이버 테러로부터 정보시스템 을 안전하게 보호하는 역할을 수행한다. 정보보안 자격증은 법적인 자격제도를 통하여 전문 기능 인력을 양성하고, 정보보안 자격을 소유한 자를 대상으로 국가 기간망 보호 를 담당하는 각종 CERT(침해사고 대응 팀) 및 공공기관, 보안 분야 기업 등에 근무케 하여 사이버 위협으로부터 범국가적인 대응체계를 마련할 수 있고, 다양한 공격의 유 형에 따라 발생되는 보안 사고를 줄일 수 있다. 국가의 발전을 위해서는 지식정보사회의 안전을 보장하는 정보보안 산업의 발전이 우 선적으로 논의되어야 하며, 실제 IT를 비롯한 전 세계 모든 산업분야에서 보안에 대한 투자는 필수적으로 고려되고 있는 상황이다. 이를 고려하면 정보보안 산업은 IT 선진 국으로 발돋움하기 위한 필수적인 산업이며, 정보보안 산업의 국제경쟁력 제고를 위하 여 전문 기술 인력의 체계적인 양성이 필요하다. 정보보안 산업의 국제 경쟁력을 국제 화하기 위해서는 구제 수준의 자격 및 인증 제도가 필요하며 시스템, 네트워크, 어플리 케이션 등의 기술적 보안 및 관련법을 활용한 정책 수립 등의 활동을 위한 기술 인력 이 필요하다. 자격의 법제화를 통한 혜택부여는 열약한 근무환경을 갖고 있는 보안 직 종의 기피현상을 극복하기 위한 방안이 될 것이다. IT 설비의 급속한 발전에 따라 관련 기술 및 장비가 첨단화 되어가고 있으나, 이에 따 른 역기능으로 해킹기법 및 악성코드의 형태도 빠르게 변화하고 있다. 그리고 보안 사 고는 다른 산업에 비해 재산, 생산성 저하에 큰 영향을 미치게 된다. 특히, 지난 2003 년 1.25 대란과 작년에 발생한 7.7 DDoS 사이버 테러 등과 같은 국가 전산망이 위협 받은 사례는 사회적 혼란과 큰 재산손실을 야기하는 것을 보여준다. 따라서 이에 다른 전문지식이 필수적으로 요구된다. 국내 침해사고는 인터넷 망의 발달과 함께 매년 꾸준히 발생하고 있는 추세이다. 특히 웜 바이러스 신고 건수는 인터넷 망의 발달에 따라 매년 가파르게 상승하고 있다. 그림 2-1은 2010년 10월까지의 해킹사고 접수 처리건수 유형별 분류를 보여주고 있으며 표 2-1은 연도별 연간 침해사고 통계를 보여준다[1]. 침해사고가 주로 발생하는 곳은 고객정보 및 회사 내부 기밀 자료 등을 보과하고 있는 기업과 키로거 등을 이용한 프 라이버시 침해 등 개인을 대상으로 한 사건이 대다수를 차지한다. 보안 사건은 한 번 발생되면 재산상의 막대한 손실과 규모에 따라 국가 기간망 전체에 영향을 미치는 특 징을 가진다. 표 2-2는 피해 기관별 침해 사고 통계를 나타내고 있다[1]
29 그림 년 11월까지 해킹사고 접수, 처리건수 표 2-1. 연간 침해 사고 통계 (단위: 건) 구 분 2007년 2008년 2009년 ~ 2010년 11월 웜 바이러스 5,996 8,469 10,395 15,943 스팸릴레이 11,668 6,490 10,148 4,832 피싱경유지 1,095 1, 단순침입시도 4,316 3,175 2,743 3,746 기타해킹 2,360 2,908 3,031 2,754 홈페이지변조 2,293 2,204 4,320 2,798 총계 21,732 15,940 21,230 30,931 표 2-2. 피해 기관별 침해사고 통계 (단위: 건) 구 분 2007년 2008년 2009년 ~ 2010년 11월 기업 3,039 3,344 4,185 5,164 대학 1, 비영리 연구소 네트워크 기타(개인) 17,161 11,818 16,206 9,410 총계 21,732 15,940 21,230 14,988 업체의 정보보안 전공 인력은 2009년 기준으로 약 7%로, 비전공 또는 유사학과의 인
30 력이 훨씬 많은 비중을 차지하고 있는 실정이다. 정보보안 분야는 프로그래밍 언어, 시 스템 구조, 네트워크 구조 등과 같은 전문적인 IT 지식을 바탕으로 새롭게 하는 내용 이므로 신입을 전문적인 인력으로 키우기 위해서는 방대한 양의 재교육과 추가적인 학 습이 필요하다. 이에 따라 신입을 채용한 업체에서 많은 어려움을 겪고 있는 것이 현 실이다. 국내 국가 보안 자격증의 부재로, 동종의 국제 자격증을 우대요건으로 내걸고 있는 것이 업계의 현실이다. 그림 2-2는 전공별 정보보안 인력 현황을 보여준다[2]. 따라서 해킹 및 침해 사고를 예방하기 위해서는 전문지식이 필수적으로 요구되며 국가 기술자격 정보보안 자격제도 도입이 필요하다. 그림 2-2. 전공별 인력 현황 (단위: 명) 2.2 정보보안 기사 산업기사 관련 국내외 동향 국내 동향 국내 정보보안 자격증은 민간자격에 그치고 있으며, 정보보호전문가 자격만이 국가 공 인을 획득하고 있는 실정이다. 이 또한 민간자격의 한계로 여겨지는 공신력 저하 및 인센티브 부족 등으로 동종의 국제 자격증이 선호되고 있는 추세이다. 또한, 악의적인 의도를 품고 있는 일부 언더그라운드 해커 등 숨어있는 보안 전문가를 양지를 끌어내 기 위한 적절한 검증 제도로서의 역할을 하지 못하는 것이 현실이다. 현재 정보보안 전문기업은 물론이고, 관련 IT 업체, 회계법인 등에서도 해외 보안자격증을 우대하는 풍조가 조성되어, 심각한 외화 낭비 및 국내 우수 인력의 해외 유출이 가속화되고 있 다. 공가공인 민간자격인 정보보호전문가(SIS: Specialist for Information Security) 자격 제도는 한국인터넷진흥원(KISA)이 주관하는 국내의 대표적인 정보보호 분야 국가공인 자격 프로그램이다. SIS 자격제도는 1급과 2급으로 나누어 자격을 부여하는데 2급에 이어 1급도 2005년 7월 국가공인을 획득하였다. 1급의 경우 정보보호와 관련된 보안 정책의 수립, 위험분석 및 대책 수립, 정보보호 지침서 개발, 관련 법규 검토와 국제적
31 표준안에 대한 지식 및 적용, 보안 감리 및 평가 등을 검정하며, 2급은 시스템, 네트워 크, 인터넷 등의 활용기술을 갖추고 정책의 구현, 보안 시스템의 운영 및 모니터링, 정 보보호 교육 및 훈련 등의 업무를 담당할 수 있도록 정보보호에 대한 실무적인 이해능 력을 검정한다. 1,2급 자격을 획득하기 위해서는 모두 시스템 보안, 네트워크 보안, 어 플리케이션 보안, 정보보호론 등 4개 과목으로 구성된 1차 필기시험과 정보보호와 관 련된 단답형, 서술형, 실무형 문제로 구성된 2차 실기시험을 거쳐야 한다. 그림 2-3. SIS 자격시험 응시생 및 합격자 수 (단위: 명) 인터넷보안전문가 자격제도는 한국정보통신자격협회에서 시행하고 있으며, 1급과 2급 으로 구분하여 보안설정, 보안분석, 해킹방지, 서버복구 등을 통하여 서버를 보호하고 서버에 대한 해킹에 효과적으로 대처하기 위한 인터넷 보안 관련 기술력을 검정한다. 자격시험은 정보보호개론, 운영체제, 네트워크, 보안 등으로 구성된 필기시험과 시스템 보안관리, 침해분석, 방화벽 구축, 침해사례 분석 등의 실기시험으로 구성된다. 정보보안관리사는 정보통신컴퓨터자격관리협회에서 시행하고 있으며 통신망에서 발생 되는 각종 정보누출, 도청, 정보변조 등의 공격과 시스템에서 발생되는 해킹, 바이러스 등의 다양한 침해에 대비하여 인터넷과 전자상거래에서 개인정보나 거래정보에 대한 안전하고 신뢰성있는 전달을 담보하기 위한 능력을 검정한다. 또한 한국해킹보안협회가 주관하는 해킹보안전문가 자격은 1급~3급, 주니어 등급으로 구분하여 시행하고 있으며, 등급에 따라 해킹과 보안에 대한 올바른 윤리 및 기본지식 은 물론 깊이 있는 실무 및 전문지식으로 구성된 내용을 필기시험과 실기시험으로 나 누어 검정하고 있다. 공가공인 민간자격인 정보보호전문가 자격제도의 합격률은 8.7%밖에 되지 않는 점은 문제점으로 지적되고 있는 반면 국가 공인을 가지지 못한 자격증들은 정보보호전문가 보다 높은 합격률을 기록하고 있다. 하지만 이러한 민간 자격증은 시험 방식이 필기
32 및 4지선다 객관식이기 때문에 공신력이 약하다. 이로 인해 국내 보안 업계에서 동종 의 국제 자격증을 우대요건으로 내걸고 있는 것이 현실이다 해외 동향 해외 정보보안 자격증은 국내의 민간자격의 공신력 저하로 인해 정보보안 전문기업과 관련 IT 업체 등에서 우대되고 있는 실정이다. 국내에서 많은 사람들이 획득하고 있는 해외 정보보안 자격으로는 정보시스템감사사(Certified Information System Auditor) 와 정보시스템보안전문가(Certified Information Security Professional) 등이 있다. 정보시스템감사사는 미국 국방부(이하 DoD)에서 승인한 자격증 중의 하나로, 이는 곧 DoD가 CISA 자격증을 신뢰한다는 것을 의미한다. CISA는 모든 산업 분야에서 정보시 스템(IS) 거버넌스, 보증 및 보안 전문가들을 위한 자격증으로서 세계적으로 인정받고 있다. CISA 자격증을 취득한다는 것은 자격을 갖춘 IS 감사, 통제 및 보안 전문가가 된다는 것을 의미한다. CISA는 기업의 IT와 비즈니스 시스템이 적절하게 통제, 모니터 링, 평가되고 있다는 것을 보증하기 위해 전 세계적으로 인정하는 표준과 지침에 따라 검토할 수 있는 능력을 갖추고 있다. CISA 자격증을 통해 고용주들은 자격증을 취득한 직원들의 성공적인 업무수행에 필요한 교육과 경험을 보유하고 있다. 정보시스템감사 사 자격증의 전체취득자는 약 73,000명으로 현재까지 국내에서 22,379명이 응시를 하 였으며 합격자는 9,163명으로 기록된다. [11] CISA 자격증 시험은 정보자산 보호(Protection of Information Assets), 시스템 및 인 프라 수명주기 관리(System and Infrastructure Lifecycle Management) 등 6개 영역 에 걸쳐 출제되며 4시간 동안 4지선다형의 200문제를 풀고 450점 이상을 획득하면 합 격할 수 있다. CISSP(Certified Information systems Security Professional)는 국제공인정보시스템 보안전문가의 약칭으로, 정보보호전문가 개발에 관심이 있는 국제 조직들이 1989년에 컨소시엄을 형성하여 설립한 (ISC) 가 발급, 관리하는 국제정보 시스템 보안 전문가 자격증이다. 현재 국제적으로 공인되는 정보보호에 관한 자격증으로 2000년도에 국내 에 처음으로 도입된 자격증이다. 현재 전 세계적으로 널리 확산되고 있는 자격증이다. 정보시스템보안전문가 자격증의 전체취득자는 66,015명으로 기록되며 현재까지 국내 취득자는 2,459명으로 기록된다.[12] CISSP 자격증 시험은 접근제어시스템 및 방법론(Access Control Systems and Methodology), 보안구조 및 모델(Security Architecture and Models), 암호학 (Cryptography) 등 10개 영역에 걸쳐서 평가하며 시험 대상 10개 영역에서 5년 이상 의 근무경력을 만족할 경우에만 응시할 수 있다
33 2.3 정보보안 기사 산업기사 관련 문헌 현황 "2010 국가정보보호 백서"[3]는 2010년 4월에 한국인터넷진흥원을 통해 배포되었다. 구성은 4개의 독립된 편과 특집 및 부록으로 이루어져 있으며 정보보호 10대 이슈를 별도로 수록하여 최신 동향도 정리하고 있다. m 위 보고서는 정보보호 활동을 보다 자세히 소개하여 독자들이 우리나라의 정보보호 활동 현황을 파악하는데 어려움이 없도록 하고, 정보보호 원천기술 개발 현황을 별도 의 장으로 편성하여 자세히 소개함으로써 우리나라의 정보보호 기술 현황을 구체적으 로 살펴볼 수 있도록 한다. m 위 보고서는 최근 정보보호 관련 사건의 주요 내용을 설명하고 교훈을 우리에게 주 는 살펴봄으로써 현재의 정보보호 관련 문제점을 개선하는데 도움이 될 수 있도록 한 다. "2009 국내 지식정보보안 산업 시장 및 동향 조사"[2] 보고서는 한국인터넷진흥원에서 2009년 12월에 발간한 것이다. 이 보고서는 2009년 지식정보보안 산업의 시장을 조사 하고 동향을 분석한 것을 바탕으로 향후 전망을 예측하는 것이 주목적으로 매년 발간 되고 있다. m 위 보고서는 지식정보보안 산업 관련 기업의 일반적 특성, 시장 동향을 주요 내용을 기반으로 하여 지식정보보안 산업을 정책적으로 육성할 수 있는 실현가능한 방안을 모 색할 수 있는 방안을 제시한다. m 위 보고서는 지식정보보안 관련 학계, 연구계의 기초 자료를 제공한다. m 위 보고서는 연관 산업 및 관련 기업의 비전과 전략을 설정하는데 있어 기반이 되 는 정보를 제공할 수 있다. "IT 산업의 직업변동연구"[4] 보고서는 한국고용정보원에서 2008년 12월에 발간하였 다. 보고서는 방송, 통신, 정보보호, 지능로봇 등 IT 관련 산업 중에서도 기술변화 속 도가 가장 빠른 네 분야에서 현존하는 직업들의 변화와 향후 유망하게 대두될 직업에 대하여 전망하고 있다. m 위 보고서는 교육개발원, 방송통신위원회, 문화체육부 등의 관련 기관의 통계 DB 및 고용보험 DB를 분석 등을 통해 시장규모와 인력수급 현황에 대한 신빙성 있는 정 보를 제공하고 있다
34 m 위 보고서는 직업변화 유발 요인, 직무내용의 변화, 신생 직업변화 유발 요인, 직무 내용의 변화, 신생 직업전망 등의 정보는 현장 관찰 및 전문가 심층 인터뷰, 그리고 델 파이 분석 등의 질적 방법을 사용하여 결과를 검증함으로써 신빙성을 제공한다. "유비쿼터스 환경에서의 정보보호 정책 방향"[5] 보고서는 한국정보보호진흥원, 지식경 제부, 정보통신연구진흥원이 2008년 3월에 발간하였다. 보고서는 정보보안 관련 국내 외 직무분석에 대한 내용을 조사하였다. m 위 보고서는 정보보호 연구, 개발의 활성화를 위한 정보보호 인력수급 실태조사 및 정보보호 분야의 직무체계 개발에 대한 정책적 방향을 제시한다. m 위 보고서는 정보보호 분야 직무체계를 전략 및 기획, 마케팅 및 영업, 연구개발 및 구현, 교육 및 훈련, 관리 및 운영, 사고 대응, 평가 및 인증과 같이 7개 직무군으로 분 류하고 이를 다시 17개의 직무로 정의하고 있다. 직무군 직 무 직무별 상세정의 1. 전략 및 기획 2. 마케 팅 및 영 업 위험 분석 정보보호 정책 및 계획 수립 개인 정보보호 관리 마케팅 매니지먼트 기술 영업 표 2-3. 정보보호 분야 직무체계 정보자산에 피해를 끼칠 수 있는 보안 위협을 확인 하고, 정보자산의 취약성에 따라 발생할 수 있는 위 험의 정도와 피해의 규모를 평가하고, 이를 감소시킬 수 있는 통제 방법을 도출하는 직무 정보보호 정책을 수립하고, 정보보호 정책을 구현하 기 위한 방법을 상세화하는 직무 개인 프라이버시 보호를 위한 정책 개발 및 구현을 책임지며, 개인정보보호 관련 법/제도의 준수를 위한 업무를 수행하는 직무 정보보호 시장분석을 통해 신규 시장/고객을 발굴하 고, 고객에 맞는 제품(서비스, 시스템, 솔루션)을 기 획하는 직무 영업활동을 통해 잠재고객을 발굴, 관리하고, 제안서 를 작성, 발표하거나 BMT 및 입찰 등에 참여하며, 고객의 요구를 분석하여 최적의 정보보호 시스템 및 솔루션을 제시함으로서, 해당 프로젝트를 수주, 계약 하며, 사후 관리까지를 수행하는 직무 3. 연구 개발 및 구현 연구개발 정보보호 시스템 및 솔루션의 연구개발 및 설계를 수행하는 직무로서, 암호 및 인증, 네트워크 보안, 서 비스 보안 등의 세부 분야에서 기술을 개발하고, 정 보보호 표준화를 담당하며, 정보보호 시스템 및 솔루 션을 설계 및 개발하는 업무를 수행
35 직무군 직 무 직무별 상세정의 4. 교육 및 훈련 5. 관리 및 운영 6. 사고 대응 7. 평가 및 인증 구현 일반인 및 사용자 교육 전문가 교육 프로젝트 관리 정보인프라 보안 관리 물리적 보안 모니터링 및 대응 디지털 포렌식 업무 지속성 관리 평가인증 및 품질보 증 개발된 정보보호 시스템 및 솔루션의 커스터마이즈 및 기술지원을 수행하며, 포괄적으로 시스템을 고객 에게 이전하여 설치/구현하는 업무를 수행하면서 정 보보호시스템의 안정적인 운영을 지원하는 직무 정보보호에 대한 사용자의 인식교육은 물론 설치, 이 전된 정보보호 솔루션 및 시스템에 대한 사용자 교 육, 기초기술교육 등 실무 중심적이나 기술적으로 난 이도가 높지 않은 기초 교육을 실시하는 직무 정보보호 솔루션 및 시스템에 개발과 관련한 개발자 교육, 전문 사용자 교육, 전문 보안기술교육 등 정보 보호 기술 분야별 전문교육을 정규 및 민간 교육 기 관, 조직자체의 교육 프로그램 등에서 수행하는 직무 정보보호 프로젝트의 계획, 수행 및 진도관리, 인력 관리, 기타 필요사항들을 검토 실시하며, 프로젝트 수 행시에 수반되는 전주기적인 보안관리를 수행하는 직무 정보자산에 대한 침해사고 방지 및 예방, 대응조치, 환경적응, 수정보완 등을 통해, 고장 없는 최적의 상 태로 유지하고, 사용자의 만족을 확보할 수 있도록 운용 유지 보수하는 직무 보안시설 및 출입보안체계 등의 물리적 보안시스템 의 구축, 개선, 운영 등은 물론 허가되지 않은 사용 자의 출입을 통제 관리하는 업무를 수행하는 직무 정보자산에 대한 위협요소를 실시간 모니터링하고, 모의 해킹시험을 수행해 봄으로써 시스템의 취약점 을 분석하고, 해킹이나 웜/바이러스 발생 시 즉각 대 응하는 업무를 수행하는 직무 위협분석 요인에 대한 증거를 수집하고, 위협을 발생 시켰던 증거를 복구 추적할 뿐만 아니라, 증거확보를 위한 시스템 및 솔루션의 운영 관리에 대한 책임을 지는 직무 업무활동에 방해요소를 완화시키며 주요 실패 및 재 해의 영향으로부터 주요 사업활동을 보호하며 각종 재해/재난의 발생을 대비하기 위하여 핵심 시스템의 가용성과 신뢰성을 회복하고 업무의 지속성을 유지 하기 위한 일련의 계획과 절차를 수립하고 실행하는 업무를 수행 정보시스템의 보안 관련 안전성 및 신뢰성 확보를 위해 정보 및 정보시스템의 가용성, 무결성, 비밀성, 부인방지, 품질, 인증 등을 보장하여 정보 및 정보시 스템을 보호하고 방어하는 직무로써, 정보시스템 및 관리체계에 대한 인증, 평가, 품질보증을 위한 업무 를 수행
36 직무군 직 무 직무별 상세정의 정보시스템 사 보안감 독립성을 확보한 감사인이 정보시스템의 안전성, 효 율성, 효과성을 향상시킬 수 있도록 필요한 증거를 종합적이고 체계적으로 수집 평가하여 객관적으로 관 계자에게 조언 권고하는 직무 2.4 정보보안 기사 산업기사 관련 기술의 개념 정보보안은 지식정보사회의 필수불가결한 요소가 되었으며, 실제 IT를 비롯한 전 세계 모든 산업분야에서 보안에 대한 투자는 필수적으로 고려되고 있는 상황이다. 정보보안 의 목적은 내부의 정보자원들이 다음과 같은 상태를 유지할 수 있도록 하는 것이다 [6]. m 정보의 가용성 : 내부의 정보자원에 대해 허가된 사용자에게만 사용하도록 허가 하 고, 불법적인 접근은 못하게 함 m 정보의 비밀성 : 내부의 정보처리 과정을 인가되지 않은 사용자가 보거나 확인할 수 없어야 함. m 정보의 무결성 : 내부 정보가 인가된 사용자 이외에는 변경이 불가능하게 함. 정보보안은 현재의 거의 모든 생활영역에 적용되고 있다. 금융업과 서비스업은 개인정 보를 다루고 있기 때문에 정보보안이 중요한 분야이며, 최근에 스마트 폰의 등장으로 개인정보보안이 더욱 중요 시 되고 있는 실정이다. 스마트 폰을 통해 금융 거래가 많 아지고 있으며 다양한 앱을 이용하게 되어 개인정보가 외부로 유출되는 상황이 많아지 고 있다. 기업의 경우 중요 영업비밀 및 기술정보 유출은 기업에 막대한 피해를 주게 된다. 이를 보호하기 위해 기업은 정보보안 컨설팅을 통해 기업에 맞는 정보보안 수준 을 유지해야 한다. 국가기관의 정보 유출은 한 국가의 경제와 신뢰도에 막대한 손실을 초래할 수 있으며 심하면 국가의 안보가 위협당할 수 있다. 정보보안에 대한 방비책이 미흡하다면 개인 뿐 아니라 국가 전체에 심각한 피해를 줄 수가 있다. 지식경제부는 2008년 보안산업의 트랜드로 자리 잡은 광역화, 통합화, 융합화의 사회 적 요구를 수용하기 위해 기존의 정보보호 산업을 지식정보보안 산업'으로 새롭게 정 의하고, 지식정보보안 산업을 기술의 적용영역, 제품의 특성에 따라 그림 2-4와 같이 정보보안, 물리보안, 융합보안으로 세분화하였다. 그 중 정보보안은 컴퓨터 또는 네트 워크 상의 정보의 훼손, 변조, 유출 등을 방지하기 위한 보안제품 및 서비스와 관련된 지식정보보안 분야로서 정보보안 기사, 산업기사의 직무영역과 가장 연관성이 높다
37 해킹/침입탐지 개인정보유출방지 컴퓨터 Forensic 등 정보보안(클린인터넷경제) 영상감시 바이오인식 무인전자경비 등 물리보안(안전안심생활) 운송보안(자동차/항공등) 조선/의료/건설/국방 보안 방범보안로봇 등 융합보안(안전성강화) 그림 2-4. 지식정보보안 산업 영역 정보보안을 하는데 있어서 필요한 기술은 시스템 보안, 네트워크 보안, 어플리케이션 보안으로 구분할 수 있다[7, 8, 9]. m 시스템 보안에 대한 기술은 운영체제의 목적과 운영체제의 기능에 대한 이해가 요 구된다. 운영체제의 기능은 프로그램 수행, 입출력 동작, 파일 시스템 조작, 통신, 오류 탐지, 계정 관리에 대한 지식이다. m 네트워크 보안에 대한 기술은 OSI 7 Layer의 의미와 역할 그리고 각 계층에서 동 작하는 도구와 프로토콜에 대해서 이해가 요구된다. 네트워크 공격에 대한 예방책을 숙지하고 침해사고 발생 시 적절한 조치에 대한 지식이 요구된다. m 어플리케이션 보안에 대한 기술은 OSI 7 Layer에서 동작하는 어플리케이션들에 대 한 지식을 요구한다. 외부에 가장 많이 노출이 되는 부분으로 웹 서비스 보안, FTP 서 비스 보안, DB 보안, SMTP 보안, DNS 보안, 전자상거래 보안 등에 대한 전문적인 지 식을 필요로 한다. 2.5 전문 인력으로서의 역할 정보보안 전문가는 시스템, 네트워크, 응용 서비스의 동작과정 및 운영관리 등에 대한 이 론과 실무 능력을 기초로 하고 각 분야의 보안취약점과 대응능력을 보유해야 하는 특성을 지니고 있다. 표 2-4는 정보보안 전문가가 종사할 수 있는 직업과 해당 직업에서 수행하 는 직무를 나타내고 있다
38 표 2-4. 정보보안 관련 직종 직 업 명 설 명 컴퓨터보안전문가 컴퓨터시스템 설계 및 분석가 네트워크시스템 개발자 시스템소프트웨어 개발자 응용소프트웨어 개발자 암호알고리즘 연구원 인터넷데이터센터(IDC)운용원 정보보안 컨설턴트 정보보안 프로그래머 정보시스템감리사 Chief Security Strategist Security Architect 해커의 해킹으로부터 온라인, 오프라인 상의 보안을 유지 하기 위하여 필요한 보안프로그램을 개발하고, 보안 상태 를 점검하며 보안을 위한 다각적인 해결책을 제시하는 자 컴퓨터 시스템의 입력 및 출력자료의 형식, 자료처리 절차 와 논리, 자료접근 방법 및 데이터베이스의 특징과 형식 등 컴퓨터시스템의 전반요소들을 구체적으로 결정 및 설 계하고 분석하는 자 소프트웨어, 하드웨어 및 네트워크 장비에 관한 지식을 이 용하여 네트워크를 개발, 기획하고 설계 및 시험 등의 업 무를 수행하는 자 컴퓨터 시스템의 자체기능 수행명령체계인 시스템소프트 웨어를 연구 및 개발하고 설계하며, 이와 관련한 프로그램 을 작성하는 업무를 수행하는 자 기업이나 개인 등이 사용할 수 있는 워드프로세서, 회계 관리, 데이터베이스, 통계처리, 문서결재 프로그램 등 각종 소프트웨어를 개발하고 컴퓨터시스템의 사용 환경에 따라 소프트웨어의 환경을 변경하는 자 국가기관 간에 사용되는 각종 문서나 정보의 보안을 유지 하기 위해 필요한 암호의 알고리듬을 수학적 원리와 이론 을 토대로 개발하는 자 IDC(인터넷데이터센터)운용에 필요한 각종 서버에 대한 관리 및 DNS 등록 등의 업무를 수행하는 자 조직의 정보 보호의 수준과 취약점 및 핵심 자원을 분석 하고, 고객의 요구수준에 입각하여 최적의 해결책을 제안 하는 자 보안이 필요한 분야에서 요구되는 소프트웨어 프로그램을 개발함으로써 사고를 미연에 방지하는 자 정보시스템 구축 및 운영 과정에서의 위험요소를 사전에 최소화시키고, 정보시스템의 효과성, 효율성 및 안전성을 객관적인 준거에 입각하여 종합적으로 판단하여 평가 조 직에 최적으로 부합될 수 있는 미래 지향적인 정보시스템 의 구축 방안을 제시하고 자문하는 자 회사 내 최고정보보안 관리자로 정보보안 아키텍처와 보 안정책 수립 운용 계획에 대해 경영진에게 직접 보고하며 보안 아키텍처 모델을 결정, 개발하고 인적자원과 커뮤니 케이션, 법적 설비운영을 감시하고 조절하는 자 시스템 전반적인 보안설계를 맡으며, IT 그룹 뿐 아니라 비즈니스 그룹과도 함께 작업을 수행하는 자
39 Security Engineer Developer 직 업 명 설 명 Director, Information Security Manager, Information Security 예상하지 못한 시나리오나 민감한 보안문제를 발견할 수 있는 전문가로서 Linux와 Unix, Window의 로그파일을 분석하고, 각종 정보보안 시스템을 개발하며, 유지 관리하 는 자 기업이나 국가의 보안주제와 연관된 정보의 운영과 분석 을 위한 기술적인 솔루션을 개발하며 침입분석이나 시스 템 취약성, 네트워크 보안, 진행 중인 분석 툴, 데이터 시 각화 기술 등을 주 업무를 담당하는 자 고객 네트워크의 보안 이벤트를 조사하고, 취약점과 공격 트렌드를 분석하며, 보안 스태프 교육과 위협관리, 취약점 관리, 포렌식 업무를 담당하는 자 취약성 평가를 받은 곳이나 도덕적 해킹이 우려되는 곳, 보안치료가 필요한 보안 프로젝트를 조정하는 업무를 수 행하는 자 Threat Analyst Security Researcher Disaster Recovery Coordinator Forensics Engineer Security Consultant 문서나 보고서 등에 대한 정보보안 모니터링 프레임워크 를 개발하고 유지하며, 방화벽, 침입감지 센서, 안티 바이 러스 시스템 등의 보안 인프라스트럭처 요소를 모니터링 하는 자 리버스 엔지니어링에 관계된 취약성을 연구하며 멀웨어를 분석하고, 프로토콜 분석과 디버깅을 수행하는 자 피해를 입은 시스템이나 솔루션을 복구하며, 피해가 발생 했을 때 필요한 요구를 수행하는 자 지적 재산 범죄, 부적절한 이미지, 다른 사람의 이메일이 나 통신채널 오용, 조직의 정책 위반 등에 관한 컴퓨터 포 렌식을 수행하고, 조사 연구하는 자. 기업에게 보안 컨설팅을 담당하며 폭넓은 전문지식과 기 술적 문제해결 능력, 응용 아키텍처와 플랫폼에 대한 전반 적인 자문역할을 수행하는 자
40 2.6 정보보안 기사 산업기사 등급 및 직무 내역 종목 등급 및 직무의 정의 가. 등급 정보보안 업무는 공공 및 민간기업 등이 보유하고 있는 IT 기반시설과 정보가 안전하 게 보호될 수 있도록 시스템 보안, 네트워크 보안, 어플리케이션 보안, 정보보안 이론 등에 대한 전문적인 지식과 함께 정보보안 H/W, S/W 보안 도구들을 활용할 수 있는 실무능력을 필요로 하고 있다. 또한 정보보안 업무를 효과적으로 수행하기 위해서는 정보보안과 관련된 국내외 법률과 가이드라인 제정 현황, 그리고 보안위협 및 대응기 술에 대한 최신동향에 대한 파악도 필요하다. 본 연구에서는 시스템 및 네트워크에 대한 이론과 실무 능력을 기반으로 하고 정보보 안 시스템 및 솔루션 개발, 서버/네트워크장비/정보보안 장비에 대한 보안관리 및 운영, 조직의 정보보안 정책관리 업무에 대한 전반적인 이론과 실무 능력을 보유하고 IT 기 반시설 및 정보 자산 보호를 위한 정책 수립과 운영, 침해사고에 대한 대응 업무를 수 행할 수 있는 정보보안 기사와 정보보안 기사의 보조 업무를 수행할 수 있는 정보보안 산업기사 등급을 분리하여 직무를 분석하였다. m 직무 범위: 정보보안 기사는 시스템 및 솔루션 개발, 운영 및 관리, 컨설팅 등의 전 문 이론과 실무 능력을 기반으로 하여 IT 기반시설 및 정보에 대한 체계적인 보안업무 를 수행할 수 있는 수준이며, 정보보안 산업기사는 정보보안 기사의 업무를 보조할 수 있는 기초 이론과 실무 능력을 수행하는 수준이다. m 직무 수준: 컴퓨터 시스템 구조 및 활용, 네트워크 이론 및 관련 장비 운영기술, 소 프트웨어 개발 및 시험 등과 같은 중요 IT 분야에 인증, 암호화, 접근통제, 침입차단 및 방지, 포렌식, 정보보안 법률과 제도 등 정보보안 이론과 실무 능력이 추가로 요구 되는 정보보안 직무의 특성 상 정보보안 기사는 정보처리기사, 전자계산기조직응용기 사와 정보관리기술사, 전자계산조직응용기술사의 중간 수준, 정보보안 산업기사는 정보 처리산업기사와 정보처리기사, 전자계산기조직응용기사의 중간 수준 직무에 해당된다. m 직무 분야: IT 기반시설 및 정보자산 등을 안전하게 보호하기 위하여 정보보안 기 사와 정보보안 산업기사가 수행하는 직무는 시스템 및 네트워크에 대한 이론과 실무 능력을 기반으로 하고 정보보안 시스템 및 솔루션 개발, 서버/네트워크장비/정보보안 장비에 대한 보안관리 및 운영, 조직의 정보보안 정책이 집행되도록 관리하는 업무들 로 구성된다
41 2.6.2 직무 내용 정보보안 기사, 정보보안 산업기사의 주요 직무 내용은 표 2-5와 같다. 정보보안 시스 템 및 솔루션 개발, 정보보안 시스템 운영 및 관리는 정보보안 기사, 산업기사의 공통 직무이며 정보보안 정책관리 및 법규 이해는 정보보안 기사에만 해당되는 직무이다. 표 2-5. 정보보안 기사, 정보보안 산업기사의 주요 직무 내용 분 야 정보보안 시스템 및 솔루션 개발 분야 정보보안 시스템 운영 및 관리 분 야 내 용 보안기능 요구사항 수집, 작성 보증 요구사항 수집, 작성 시스템 개발 및 동작환경 특성 분석 보안 요구사항 명세서 작성 요소 보안기술 결정 보안 아키텍처 설계 모듈 단위 기능정의 및 설계 설계서 작성 설계서에 대한 기술 검토 개발환경 구축 및 코딩 구현 관련 문서 작성 모듈 단위 시험 통합 시험 버그 수정 및 보완 개발 시험 결과보고서 작성 조직의 보안목표 파악 조직의 IT환경 특징 및 위협 파악 보안정책 작성 및 적용 보안정책 이력 관리 운영체제별 보안특성 파악 프로토콜 특징 및 취약점 파악 서비스별 보안특성 파악 보안장비 및 네트워크 장비 보안특성 파악 관리대상 시스템 및 네트워크 구조 파악 운영체제 및 버전별 취약점 점검, 보완 서비스 및 버전별 취약점 점검, 보완 보안장비 및 네트워크 장비 취약점 점검, 보완 취약점 점검 및 보완 사항 이력 관리 운영체제별 로그정보 점검 서비스별 로그정보 점검 보안장비 및 네트워크 장비 로그정보 점검 로그정보 통합 및 연관성 분석 데이터 백업, 증거 수집 및 침입자 추적
42 분 야 내 용 정보보안 정책관리 및 법규 이해 (정보보안 기사에 한함) IT현황 및 자산 파악 조작의 요구사항 파악 관련 법령 검토 내 외부 위협 분석 자산별 취약점 분석 취약점 점검 보고서 작성 정보보호 정책 수립 및 적용 시험 및 검증 정보보호 대책 구현 정보보호정책 교육 정보보호 체계 재검토 사후 조치 및 모니터링 내부 감사 2.7 정보보안 기사 산업기사 관련 교육훈련기관 현황 및 검정응시 예상인원 교육훈련기관 현황 한국인터넷진흥원에서 실시한 2008 정보보호 실태조사 에 따르면, 2008년 기준 정보 보호 전담조직을 설치한 기업은 총 36,802개로 조사되었다. 이는 정보보안 분야를 전 문적으로 담당하는 공공기관(한국인터넷진흥원 등), 보안기술 연구센터 운영 및 관련 업무를 다루는 기관(ETRI 지식정보보안연구부 등) 및 대기업(삼성SDS 보안컨설팅사 업부 등), 회계법인/로펌(언스트앤영 IT리스크 및 보안 부서), 금융기관(금융결제원 금 융정보보호센터 등), 군 경찰(경찰청 사이버테러대응센터 등), 포털/온라인 게임 업체 (NHN 보안정책팀/보안기술팀 등), 보안전문 사업 부서를 설치해 놓은 곳 등 기타 기 관/기업들 의 정보보안 부서들을 총체적으로 집계한 숫자로, 이로 미루어보았을 때, 자 격 취득자의 수요는 대략 10,000명 ~ 20,000명 이상을 훨씬 상회할 것으로 판단된다 [13]. 정보보안 전담조직을 공식적으로 설치/운영하는 기업은 총 36,802개이며, 정보보호 책 임자(CSO)를 명시적으로 임명한 기업은 총 35,462개로 조사되었다. 기업에 따라 다소 차이는 있지만 일반 기업의 평균치인 3명을 기준으로 했을 때 적어도 약 110,406명 (36,802개 3명) 이상이 될 것으로 추정된다. (출처: 한국인터넷진흥원, 2008 정보 보호 실태조사(2008년))
43 또한, 법률에 의하여 지정되어 활동하고 있는 개인정보 관리책임자, ISMS(정보보호관 리체계인증)를 취득한 56개 기업과 안전진단 대상기업 250곳의 보안관련 담당자, 일반 기업의 정보보안 담당자, 정보보안 관련 학과 재학생 2,367명 중 잠재 응시자 등을 합 치면 자격 취득자의 수요는 더욱 늘어날 것으로 예상되고 있다[14]. 구 분 정보보안 종사인력 출 처 중소규모 전문기업 금융권 대기업(일부) 평균 약 44명(최대 500여명) 5748명 131개 44명 약 10여명 약 100여명 일반 기업 약 1 ~ 5명(평균 3) 표 2-6. 규모 및 직종별 종사인력 규모 한국인터넷진흥원, 2009 국내 지식정 보보안 산업 시장 및 동향 조사(2009 년) 보안뉴스, 국내 기업들의 보안투자 실 상과 문제점( ) 매년 1,000명 이상이 향후 5년 안에 자격을 취득할 것으로 예상되고, 특히 초기에는 많은 수의 인원이 해당 자격시험을 응시할 것으로 예측된다 정규 교육에 의한 인력양성 현재 정보보안과 관련된 정규 교육과정에서 3,540명의 인력이 육성되고 있다[3]. 표 년 정규 교육기관 정보보안 인력양성 현황 구 분 학 교 재학생(명) 전임교원수(명) 전문대학 대학교 15 2, 정규 대학원 합 계 36 3, 대학 정보보안동아리 지원을 통한 인력양성 한국인터넷진흥원에서는 2000년부터 현재까지 전국의 정보보안 동아리를 지원하는 사 업을 수행하고 있으며, 2010년 현재 기준 총 37개 대학의 40개 동아리 등에서 총 780 명이 활동하고 있다
44 표 2-8. 전국 정보보안 대학동아리 지원 현황(2010년) KUCIS(Korea University Clubs Information Security) 회원 동아리 가톨릭대학교 CAT-Security, 강원대학교 Neriff, 경남도립남해대학 넷시스, 경북대학교 정보보안연구회, 경원대학교 Defender, 고려대학교 KUICS, 국립경찰대 CRG, 단국대학교 Aegis, 대진대학교 DISC, 동명대학교 Think, 동서대학교 CNSL, 목포대학교 SecuMaster, 부경대학교 CERT-IS, 부산대학교 Keeper, 서울산업대학교 CSS, 서울여자대학교 SWING, 성균관대학교 시스템컨설턴트, 성균관대학교 HIT, 세종대학교 S.S.G, 숙명여자대학교 SISS, 순천향대학교 SecurityFirst, 순천향대학교 Hedgehog, 아주대학교 HaMer, 원광대학교 S.G.I, 인하대학교 IGRUS, 인하대학교 MOD777, 전남대학교 정보보호119, 전북대학교 IS, 조선대학교 Hacker Login, 중부대학교 S.C.P, 중앙대학교 ISSAC, 창원대학교 Casper, 충남대학교 Argos, 충북대학교 Pharos, 한국산업기술대학교 M.A, 한동대학교 G.H.O.S.T., 한서대학교 H.I.S.L, 한양대학교 ICEWALL, KAIST GoN 출처 : KUCIS(Korea University Clubs Information Security), 정부지원에 의한 인력양성 대학과 전문대학, 그리고 대학원 등 정규교육기관 외에도 정보보호 관련 인력을 양성 하기 위한 정부지원 인력양성 프로그램들이 다양하게 시행되고 있다. 대표적인 교육 프로그램으로는 지식경제부와 한국인터넷진흥원이 추진 중인 고급인력양성 프로그램으 로는 고용계약형 지식정보보안 석사과정과 핵심인력 양성과정 등이 있다. 고용계약형 지식정보보안 석사과정은 업계에서 요구하는 고급 석사인력을 양성하는 사 업으로 업체와 대학이 컨소시엄을 구성하여 학생을 모집, 선발하여 과정을 운영하고 있다. 이 사업은 2008년도 지식정보보안산업 진흥계획에 따라 2013년까지 기업수요에 맞는 지식정보보안 분야의 고급 석사인력 300명을 양성한다는 목표에 따라 추진되고 있으며 2009년 현재 고려대, 동국대, 아주대 등 3개 대학 4개 컨소시엄이 금융보안, 홈네트워크 보안 전문인력 50명을 양성 중에 있다. 지식정보보안 핵심인력 양성과정은 지식경제부가 중심이 되어 추진하고 있는 지식정보 보안산업 종합 진흥계획의 하나로 기업수요 맞춤형 지식정보보안 고급인력 2,000명을 양성하기 위해 추진하고 있는 사업이다. 한국인터넷진흥원에 지식정보보안 아카데미 (AKIS)'를 구축하고 기업의 수요가 많은 디지털 포렌식, 바이오 인식, RFID/USN 보 안, 지식정보보안 컨설턴트 등 교육수요는 많으나 높은 초기 투자비용 등으로 민간교 육기관이나 대학 등에서 수행하기 어려운 4개 분야를 선정하여 교육과정을 운영하고 있다. 그림 2-5는 2009년 한국인터넷진흥원에서 실시한 핵심인력 양성과정 운영현황 을 나타내고 있다
45 그림 2-5. 정부지원에 의한 정보보안 교육과정 민간 교육기관에 의한 인력양성 정보보안 분야 비전공자들은 특정 단기 과정 외에도 6개월 정도의 장기 과정을 통하여 전문지식 습득을 원하는 경향이 있으며, 정보보안 분야 전공자들은 주로 자격증과 관 련된 교육을 통하여 정규 교육기관에서 얻지 못하는 실용적인 교육을 원하는 것으로 파악되고 있다. 표 2-9. 정보보안 민간 교육기관 민간 교육기관(정보보안 분야 관련 강의 개설) 넷칼리지, 라이지움, 라카데미, 비트캠퍼스, 삼성SDS멀티캠퍼스, 디아이세미콘 교육센터, 쌍 용정보통신교육센터, 썬 교육센터, 시스원 교육센터, 아이티뱅크, 아이티뱅크멀티캠퍼 스, 캐드뱅크, 한국정보보호교육센터, 한국HP교육센터, KH정보교육원 - 이상 15개 민 간교육 기관 등 2.8 정보보안 기사 산업기사 관련 유사자격제도 현재 국가기술자격 중에서 정보보안 기사, 정보보안 산업기사와 관련된 유사자격은 없 다. 국내 민간자격 중에서 유사 자격이 존재하며 이 중 국가 공인을 가지는 자격은 정 보보호전문가 자격이 존재한다 유사 자격제도 현황 m 정보보호전문가 (SIS : Specialist for Information Security) 개 요 지식정보사회의 안전을 담당하게 될 정보보호전문가를 검정하는 제도이다. 정보보안
46 분야에서 대표적인 민간자격으로 2001년부터 시행되었으며 민간 자격 중 유일하게 국 가 공인을 획득하였다. 현재까지 5,710명이 응시를 하였으며 이 중 494명이 합격을 하 였다. 정보보호전문가의 합격률은 8.7%로 민간 자격 중에서 가장 낮은 합격률을 기록 하고 있다. 수행직무 [15] 1 정보보호전문가 1급 - 정보보호와 관련된 보안정책의 수립 - 위험분석 및 대책 수립 - 정보보안 지침서 개발 - 관련법규 검토, 국제적 표준안에 대한 지식 및 적용 - 보안 감리 및 평가 2 정보보호전문가 2급 - 수립된 보안 정책 구현 - 보안 시스템의 운영 및 모니터링 - 정보보호 교육 및 훈련 취득방법 1 주무부처 : 지식경제부 정보전자산업과 2 시 행 처 : 한국인터넷 진흥원 3 시험과목 - 필기 1. 시스템 보안 2. 네트워크 보안 3. 어플리케이션 보안 4. 정보보호론 - 실기 1. 정보보호 관련 단답형 문제 2. 정보보호 관련 서술형 문제 3. 정보보호 관련 실무형 문제 4 검정방법 - 필기 : 5지선다형 총 140문항(180분 - 휴식 시간 20분 포함) - 실기 : 단답형과 서술형, 2급 - 150분 / 1급 - 180분 5 합격기준 - 필기 : 과목별 40% 이상, 전체 평균 60% 이상. - 실기 : 전체평균 60% 이상
47 m 인터넷보안전문가 [16] 개 요 인터넷 보안전문가란 서버를 보호하고 보안설정, 보안분석, 해킹방지, 서버복구 등 서 버에 대한 해킹에 효과적으로 대처하고 정보를 보호할 수 있는 인터넷 보안 관련 기술 력에 대한 자격이다. 1급과 2급으로 이루어져 있으며 2005년에 처음 시행되었다. 현재 까지 632명이 응시하였으며 합격자는 117명이다. 인터넷보안전문가 합격률은 현재 18.5%이다. 수행직무 Linux, Windows 계열을 기반으로 한 서버에서 인터넷 보안과 관련한 보안관리, 침해 사고 대응, 해킹예방, 시스템 분석 등의 전문능력을 검정한다. 취득방법 1 시 행 처 : 한국정보통신자격협회 2 시험과목 - 필기 1. 정보보호개론 2. 운영체제 3. 네트워크 4. 보안 - 실기 1. 침해사례분석 2. 침해과정분석 3. 시스템서비스관리 4. 코드분석 5. 해결 4 검정방법 - 필기 : 택일형, 총 60문항(60분) - 실기 : 작업/서술/선택형, 1~20문항 1Set(120분) 5 합격기준 - 필기 : 100점을 만점으로 하여 60점 이상. - 실기 : 100점을 만점으로 하여 60점 이상. 출제경향 - 기출문제 : 20~40% / 관련도서 : 40~60% / 기타 : 10~30%
48 m 정보보안관리사 [17] 개요 정보보안관리사는 통신망에서 발생되는 각종 정보누출, 도청, 정보변조 등의 공격과 시 스템에서 발생되는 해킹, 바이러스 등의 다양한 침해에 대비하여 인터넷과 전자상거래 에서 개인정보나 거래정보에 대한 안전하고 신뢰성 있는 전달을 담보하기 위한 능력을 검정한다. 2000년에 처음 시행되었다. 현재까지 850명이 응시하였으며 255면이 합격 하였다. 정보보안 관리사의 합격률은 30.0%이다. 수행직무 통신망에서 발생하는 각종 정보노출, 도청, 그리고 정보변조 등의 공격과 위협을 예방, 대처하게 된다. 또한 시스템에 가해지는 해킹 및 바이러스 기술 등의 다양한 전자적 침해를 대비하며, 인터넷과 전자상거래 상에서 개인 및 거래정보의 안전하고 신뢰성 있는 전달을 담보하는 정보보안전문가를 말한다. 정보보안관리사는 암호학에 바탕을 두고 운영체제, 시스템, 네트워크 상의 해킹 및 바이러스 대응뿐만 아니라 DB, 전자상 거래보안기술을 습득하여 산업계 현장에서 구현하는 것을 그 직무범위로 하고 있다. 정보보안관리사는 한 기업 및 단체의 보안정책의 수립과 시행, 컨설팅까지도 담당할 수 있다. 취득방법 1 시 행 처 : 한국정보평가협회 2 시험과목 - 필기 1. 정보보안 2. 시스템 보안 3. 네트워크 보안 4. 어플리케이션 보안 5. 암호 및 공개키 6. 정보보안 컨설팅 5 검정방법 - 필기 : 4지선다 택일형, 60문항 (60분) 6 합격기준 - 필기 : 총점 100점 만점에 60점이상
49 m 해킹보안전문가 [18] 개 요 초, 중, 고등 과정 시기부터 해킹과 보안에 대한 올바른 윤리와 기본 지식을 쌓을 수 있도록 하여 정보화 사회에 대비한 관련 분야의 기본 실력을 갖춘 인력을 양성할 수 있도록 한다. 또한 정보보안에 대한 좀 더 깊이 있는 지식을 다루며, 실무에서 필요로 하는 부분을 자격 검정에 적용하여 관련 업체에 취업을 하거나 높은 수준의 보안 관련 분야에 적응할 수 있는 실력을 갖출 수 있도록 한다. 2008년 처음 시행하였으며 현재 까지 응시자 395명 중에 228명이 합격을 하였다. 합격률은 57.7%로 국낸 정보보안 유사 자격증들 중에서는 가장 많은 합격률을 가지고 있다. 수행직무 해킹보안 전문가는 해커의 침입과 각종 바이러스 발생에 대비, 보안 이론과 실무 보안 정책능력을 갖춰진 전산망 보안 및 유지와 컨설팅을 담당한다. 또한 정보시스템과 정 보자산을 보호하기 위해 보안정책을 수립하고, 정보보안에 대한예방책을 세우고 시스 템에 대한 접근 및 운영을 통제하며, 침입 발생 시 즉각적으로 대응하고 손상된 시스 템을 복구하는 업무를 수행한다. 취득방법 1 시 행 처 : 한국해킹보안협회 2 시험과목 - 인터넷보안 - 운영체제 보안 - 네트워크 보안 - 사이버 범죄와 법규 3 검정방법 - 필기 : 4지선다 택일형, 1,2급 70문항 (70분) / 3급 50문항 / 주니어 40문항 (50분) - 실기 : 답변형 / 서술형/ 작업형, 총 20문항 1Set (100분) / 주니어는 실기 없음 4 합격기준 - 1,2급 1. 필기 : 과목별 40점 이상이고 전체 평균이 60점 이상. 2. 실기 : 전체 평균이 60점 이상. - 3급 1. 필기, 실기 : 전체 평균이 60점 이상. - 주니어 1. 필기 : 주니어 특급 (평균 90점 이상), 주니어 A클래스(평균 80점 이상)
50 m 진로 및 전망 정보보안 산업은 정부 차원에서 2008년부터 2013년까지 총 968억 원의 예산을 투입 하여 각 과제별로 R&D를 적극 지원할 예정이다. 표 2-10은 지식정보보안 산업 진흥 을 위한 개발과제별 추진일정을 나타내고 있다. 표 지식정보보안 산업 개발과제 추진일정 개발과제 (지식정보보안 산업 진흥 종합계획 [2008, 지식경제부]) 정보보안 분야 통신 정보보안 추진일정 '08 '09 '10 '11 '12 '13 20 전자태그/USN 보안 15 인터넷전화 보안 19 Zero-day공격 대응 시그너처 생성 20 TPM(Trusted Platform Module) 15 국가기반 소프트웨어 안정성 강화 15 사이버공격 감시/추적 복합단말용 침해방지 디지털 포렌식 17 익명성기반 u지식정보보안 10 상용 양자암호통신 요소기술 3 자가복구형 네트워크 보안품질보장 10 네트워크 콘텐츠 보안 10 SIP기반 응용서비스 침입탐지/대응 15 신종 봇넷 탐지/대응 10 u-city용 무선 보안 25 DDoS(분산서비스거부)공격 대응 30 불법/유해 콘텐츠 고속인식 20 협업형 USN 보안 40 IPS통합형 웹보안 게이트웨이 소 계(단위 : 억원) 정보보안 자격증 취득자는 국가기관, 사이버 부대, 기업의 침해사고대응팀, 금융업종의 기관, 대형 포털, 정보보안 전문업체 등에 활용이 가능하다
51 2.8.2 유사 자격제도와의 비교 표 2-11은 정보보안 기사, 정보보안 산업기사와의 유사한 자격종목들의 직무정의, 시 험과목, 직무수준을 나타내고 있다. 표 정보보안 기사, 산업기사와 유사 자격 종목 자격종목 직무정의 필기 시험과목 실기 정보보안과 관련된 보안정책을 수립하고 사이 정보보안 기사, 산업기사 (제안 종목) 버 테러 등 침해 위험분석 및 대책 수립, 정 보보안 지침서 및 가이드라인 개발, 관련법규 검토, 국제적 표준안에 대한 지식 및 적용, 정 보보안 감사, 정보보안 제품 평가, 수립된 보 안 정책의 개발 및 구현, 정보시스템에 대한 운영 및 접근을 통제, 악성코드 및 바이러스 의 분석 및 손상 데이터 복구, 보안 시스템의 운영 및 모니터링, 정보보안 교육 및 훈련 시스템 보안 네트워크 보안 어플리케이션 보안 정보보안 일반 정보보안관리및법규* (* 기사종목에 한함) 정보보안실무 (단답형 서술형 실무형) 정보보호와 관련된 보안정책의 수립, 위험분 정보보호 전문가 석 및 대책 수립, 정보보안 지침서 개발, 관련 법규 검토, 국제적 표준안에 대한 지식 및 적 용, 보안 감리 및 평가, 수립된 보안 정책 구 현, 보안 시스템의 운영 및 모니터링, 정보보 호 교육 및 훈련 시스템 보안 네트워크 보안 어플리케이션 보안 정보보호론 단답형 서술형 실무형 인터넷 보안 전문가 정보보안 관리사 Linux, Windows 계열을 기반으로 한 서버에 서 인터넷 보안과 관련한 보안관리, 침해사고 대응, 해킹예방, 시스템 분석 등의 전문 능력 을 검정 통신망에서 발생하는 각종 정보노출, 도청, 그 리고 정보변조 등의 공격과 위협을 예방 및 대처. 시스템에 가해지는 해킹 및 바이러스 기술 등의 다양한 전자적 침해를 대비하며, 인터넷과 전자상거래 상에서 개인 및 거래정 보의 안전하고 신뢰성 있는 전달을 담보. 암 호학에 바탕을 두고 운영체제, 시스템, 네트워 크 상의 해킹 및 바이러스 대응뿐만 아니라 DB, 전자상거래보안기술을 습득하여 산업계 현장에서 구현. 정보보안관리사는 한 기업 및 정보보호개론 운영체제 네트워크 보안 정보보안 시스템 보안 네트워크 보안 어플리케이션 보안 암호 및 공개키 정보보안 컨설팅 침해사례분석 침해과정분석 시스템서비스 관리 코드분석해결 없음
52 단체의 보안정책의 수립과 시행, 컨설팅까지 도 담당 해킹보안 전문가 해커의 침입과 각종 바이러스 발생에 대비, 보안 이론과 실무 보안정책 능력을 갖춰진 전 산망 보안 및 유지와 컨설팅 담당. 정보시스 템과 정보자산을 보호가기 위한 보안정책 수 립. 시스템에 대한 접근 및 운영 통제. 인터넷 보안 운영체제 보안 네트워크 보안 사이버 범죄와 법규 답변형 서술형 작업형 2.9 정보보안 기사 산업기사 자격취득자의 활용방안 정부 m 정보보안 기사, 정보보안 산업기사의 국가적인 인력 수급 계획에 사용 m 정보보안에 관한 전문지식을 가진 전문가를 양성하여 보안 사고에 따른 재산, 생산 성을 최소화함으로써 사회적 혼란과 큰 재산손실을 줄이며 국가 전산망 보안 강화 에 기여 m 표준화된 자격 검정을 통하여, 국제 인력 교류를 활성화함으로써, 주변 국가와의 기 술 협력을 촉진하고, 외국 업체와의 인력 교류 등을 통하여 선진적 기술을 습득하 여 취약 분야에 대한 국가 경쟁력 향상 도모 m 자격 검정 시스템을 통하여 업무의 표준화를 기하고 업무 대가의 기준을 정립하여, 국가 지원의 개발 사업의 효율화에 기여 m 정보보안 산업의 국제경쟁력 강화 기업 m 정보보안 능력 향상을 통한 정보보안 산업체의 경쟁력 극대화 m 정보보안에 전문지식을 가진 전문가를 통해 보안 사고에 의해 발행하게 되는 재산, 생산성 저하 최소화
53 m 자격의 법제화를 통한 혜택 부여는 열약한 근무환경을 갖고 있는 보안 직종의 기피 현상을 극복하기 위한 방안 제시 m 정보보안 능력 향상에 따른 업무시간 감소로 정보보안 전문가의 삶의 질 향상 m 정보보안 분야 자격 검증 제도로 인하여, 업체의 인력 수급 과정에서의 비용을 절감 할 수 있으며, 자격 취득자에 대한 기술적 신뢰도가 향상됨 m 기업이 요구하는 역량을 보유한 가장 적합한 인력 채용 가능 m 교육 프로그램 보급과 대학에서 제공할 질적 역량교육에 대한 요구사항 전달 가능 교육 훈련 기관 m 국제적 추세에 부응하도록 자격내용을 구성함으로써 교육훈련 내용의 국제화 유도 m 자격 취득자의 보수교육 및 신규교육의 효율적인 교육계획 수립 가능 m 표준화된 자격 검정으로 전문화된 교육이 가능
54 제3장 정보보안 기사 산업기사 직무분석 및 교육내용 분석
55 3.1 종목 등급 및 직무의 정의 정보보안 기사는 IT 및 정보통신 기술에 대한 이론 및 실무 지식을 바탕으로 정보보안 시스템 및 솔루션 개발, 주요 운영체제 및 네트워크 장비, 정보보안 장비에 대한 운영 및 관리, 조직의 정보보안정책의 수립과 대책수립 및 관리, 정보보호 관련 법규 적용 등의 직무를 수행한다. 정보보안 산업기사는 IT 및 정보통신 기술에 대한 기초 이론 및 실무 지식을 바탕으로 정보보안 시스템 및 솔루션 개발, 주요 운영체제 및 네트워크 장비, 정보보안 장비에 대한 운영 및 관리 직무를 수행하며, 정보보안 기사의 업무를 보조하는 역할을 담당한 다. 3.2 직무분석 정보보안 기사 산업기사의 직무는 정보보안 관련 공공기관 및 민간기업 전문가, 정보보 안 관련 학과 및 전공 대학교수 대상 설문조사결과와 자문회의 등을 거쳐 그림 3-1과 같은 직무모형을 도출하였다. 그림 3-1에 정의된 정보보안시스템 요구사항 분석(A), 정보보안시스템 설계(B), 정보 보안시스템 구현(C), 정보보안시스템 시험(D), 보안목표 파악 및 보안정책 관리(E), 시스템 및 네트워크 보안특성 파악(F), 취약점 점검 및 보완(G), 관제 및 대응(H) 등 8개 직무단위는 정보보안 기사와 산업기사 공통 직무이다. 정보보안 기사의 경우 정보보안시스템에 대한 설계와 구현, 시험 직무를 체계적으로 진행하는 반면 정보보안 산업기사는 정보보안 기사의 정보보안시스템 개발 관련 직무 를 보조하는 작업들을 수행하게 된다. 또한 정보보안 기사는 시스템과 네트워크 환경 에서 발생하는 보안공격을 탐지하고 대응하는 기능을 담당하는 반면 정보보안 산업기 사는 보안공격 탐지를 위한 기초자료 수집과 분석, 침입에 대응하는 보안설정을 보조 하는 작업 등 비교적 기술 난이도가 낮은 작업을 담당하게 된다. 그림 3-2에 정의된 정보보안 계획수립(I), 위험분석(J), 정보보안 정책구현(K), 사후 관리(L) 등 4개 직무단위는 정보보안 정책의 수립과 집행 직무, 관리 그리고 기업의 비즈니스 내용과 관련된 정보보호 관련 법규를 이해하고 적용하는 직무로서 업무수행 난이도가 상대적으로 높다고 평가되어 정보보안 기사에만 추가로 포함되었다
56 A 정보보안 시스템 요구사항 분석 A-1 보안기능 요구사항 수집, 작성 A-2 보증 요구사항 수집, 작성 A-3 시스템 개발 및 동작환경 특성 분석 A-4 보안 요구사항 명세서 작성 B 정보보안 시스템 설계 B-1 요소 보안기술 결정 B-2 보안 아키텍처 설계 B-3 모듈 단위 기능정의 및 설계 B-4 설계서 작성 C 정보보안 시스템 구현 C-1 설계서에 대한 기술 검토 C-2 개발환경 구축 및 코딩 C-3 구현 관련 문서 작성 D 정보보안 시스템 시험 D-1 모듈 단위 시험 D-2 통합 시험 D-3 버그 수정 및 보완 개발 D-4 시험 결과보고서 작성 E 보안목표 파악 및 보안정책 관리 E-1 조직의 보안목표 파악 E-2 조직의 IT환경 특징 및 위협 파악 E-3 보안정책 작성 및 적용 E-4 보안정책 이력 관리 F 시스템 및 네트워크 보안특성 파악 F-1 운영체제별 보안특성 파악 F-2 프로토콜 특징 및 취약점 파악 F-3 서비스별 보안특성 파악 F-4 보안장비 및 네트워크 장비 보안특성 파악 F-5 관리대상 시스템 및 네트워크 구조 파악 G 취약점 점검 및 보완 G-1 운영체제 및 버전별 취약점 점검, 보완 G-2 서비스 및 버전별 취약점 점검, 보완 G-3 보안장비 및 네트워크 장비 취약점 점검, 보완 G-4 취약점 점검 및 보완 사항 이력 관리 H 관제 및 대응 H-1 운영체제별 로그정보 점검 H-2 서비스별 로그정보 점검 H-3 보안장비 및 네트워크 장비 로그정보 점검 H-4 로그정보 통합 및 연관성 분석 H-5 데이터 백업, 증거 수집 및 침입자 추적 그림 3-1. 정보보안 기사, 산업기사 공통 직무 I 정보보안 계획수립 I-1 IT현황 및 자산 파악 I-2 조작의 요구사항 파악 I-3 관련 법령 검토 J 위험분석 J-1 내 외부 위협 분석 J-2 자산별 취약점 분석 J-3 취약점 점검 보고서 작성 K 정보보안 정책 구현 K-1 정보보호 정책 수립 및 적용 K-2 시험 및 검증 K-3 정보보호 대책 구현 K-4 정보보호정책 교육 L 사후관리 L-1 정보보호 체계 재검토 L-2 사후 조치 및 모니터링 L-3 내부 감사 그림 3-2. 정보보안 기사 추가 직무
57 3.3 직무 및 작업 명세서 정보보안 기사 산업기사 직업명세서 1. 직업분류 한글 직 업 명 영문 정보보안 전문가 Information Security Specialist K.S.C.O(No) 현장직업명 정보보안기사(산업기사) 훈련수준 대학교, 대학(2년제) 훈련직종명 자격종목명 현행 유사 자격종목명 신설시 적합한 자격종목명 2. 직무수행에 필요한 조건 적정교육 훈련기관 최소 교육정도 견습기간 직업 적성 정보보안 기사, 산업기사 없음 정보보호전문가 (국가공인 민간자격) 정보보안 기사 산업기사 대학, 전문교육기관 교 육 기 간 4년(2년) 적정교육훈련기 최소교육 2년제 대학 졸업 대학교 관 훈련기관 2~3년 신체제약조건 시각, 정신 장애자 6개월 업무에 대한 이해력과 판단력이 정신제약조건 없는 자 정보보안 직무가 시스템, 네트워크 및 응용 서비스에 대한 지식을 기본적으로 요구하는 특징 정보보안 시스템 및 솔루션 개발, 정보보안 장비의 운영 및 관리, 정보보안 컨 설팅 분야에 대한 이론과 실무능력 범용 운영체제가 설치된 PC와 서버, 네트워크 장비, 정보보호용 전용 S/W 패 키지 및 전용도구 활용 능력 시스템, 네트워크. 어플리케이션 간 연동구조 및 로그 분석을 통한 취약점 및 대응기능 능력 3. 인력 양성 실태 및 취업 경로 양성 기관 직업활동 영역 교 육 훈 련 4. 작업 환경 조건 작업조건 표 3-1. 정보보안 기사 산업기사 직업명세서 정보보안 관련 대학 학과, 대학원 국가정보원, 한국인터넷진흥원 주관 교육 프로그램 정보보안 전문 민간 교육기관 (넷칼리지, 삼성SDS멀티캠퍼스, 비트컴퓨터 등) 정부기관(중앙행처부처, 지방자치단체, 검찰 및 경찰, 국가정보원 등) 정부출연기관(한국인터넷진흥원, 한국전자통신연구원 등) 산업체 (정보보호 H/W 및 S/W 제품 개발 업체, 인터넷서비스 및 보안컨설팅 업체) 정보보안 직무 특성 상 IT 및 네트워크에 대한 이론과 지식을 기초로 하고 암호학, 체계적인 보안 취약점 점검 및 대응, 보안 S/W 및 H/W 도구 운영에 대한 이론과 실무업무를 담당하여야 하므로 다양한 장비 및 장비/서비스 관 리기관과의 협업이 필요함 필요에 따라 세부 분야 전문가 또는 검찰, 경찰 등 법집행기관 관계자 함께 정보보안 직무를 수행할 필요가 있음
58 3.3.2 정보보안 기사, 산업기사 직무 명세서 1. 직무기술 개요 조직의 보안요구사항 분석을 통해 보안정책을 수립하고 수립된 보안정책을 구체적으로 집행하고 감시하기 위하여 보안제품 및 솔루션 개발, PC 및 서버 보안관리, 네트워크 장비 및 전문 보안장 비 운영, 침해사고 발생 시 대응 및 피해를 복구하는 기술을 요구하고 있다. 2. 작업일람표 표 3-2. 정보보안 기사, 산업기사 공통 직무 명세서 No 작 업 명 작업의 중요도 작업의 난이도 작업 빈도 A-1 보안기능 요구사항 수집, 작성 ❹ ❹ ❹ 5 A-2 보증 요구사항 수집, 작성 ❹ ❹ ❹ 5 A-3 시스템 개발 및 동작환경 특성 분석 ❹ ❹ ❸ 4 5 A-4 보안 요구사항 명세서 작성 ❹ ❸ ❸ 4 5 B-1 요소 보안기술 결정 ❺ ❹ ❹ 5 B-2 보안 아키텍처 설계 ❺ ❺ ❹ 5 B-3 모듈 단위 기능정의 및 설계 ❺ ❺ ❺ B-4 설계서 작성 ❺ ❹ ❹ 5 C-1 설계서에 대한 기술 검토 ❹ ❹ ❹ 5 C-2 개발환경 구축 및 코딩 ❺ ❺ ❺ C-3 구현 관련 문서 작성 ❹ ❸ ❹ 5 D-1 모듈 단위 시험 ❺ ❹ ❺ D-2 통합 시험 ❺ ❺ ❹ 5 D-3 버그 수정 및 보완 개발 ❺ ❺ ❺ D-4 시험 결과보고서 작성 ❹ ❸ ❹ 5 <범례> 작업의 난이도: 1 매우 쉽다 2 쉽다 3 보통이다 4 어렵다 5 매우 어렵다 작업의 중요도: 1 전혀 중요하지 않다 2 별로 중요하지 않다 3 보통이다 4 중요하다 5 매우 중요하다 작업의 빈 도: 1 매우 적다 2 적다 3 보통이다 4 많다 5 매우 많다
59 1. 직무기술 개요 조직의 보안요구사항 분석을 통해 보안정책을 수립하고 수립된 보안정책을 구체적으로 집행하고 감시하기 위하여 보안제품 및 솔루션 개발, PC 및 서버 보안관리, 네트워크 장비 및 전문 보안장 비 운영, 침해사고 발생 시 대응 및 피해를 복구하는 기술을 요구하고 있다. 2. 작업일람표 No 작 업 명 작업의 중요도 작업의 난이도 작업 빈도 E-1 조직의 보안목표 파악 ❺ 1 2 ❸ ❹ 5 E-2 조직의 IT환경 특징 및 위협 파악 ❺ ❹ ❹ 5 E-3 보안정책 작성 및 적용 ❹ ❹ ❹ 5 E-4 보안정책 이력 관리 ❹ ❸ ❸ 4 5 F-1 운영체제별 보안특성 파악 ❺ ❹ ❹ 5 F-2 프로토콜 특징 및 취약점 파악 ❺ ❹ ❹ 5 F-3 서비스별 보안특성 파악 ❺ ❹ ❹ 5 F-4 F-5 G-1 G-2 G-3 G-4 보안장비 및 네트워크 장비 보안 특성 파악 관리대상 시스템 및 네트워크 구조 파악 운영체제 및 버전별 취약점 점검, 보완 서비스 및 버전별 취약점 점검, 보완 보안장비 및 네트워크장비 취약점 점검,보완 취약점 점검 및 보완 사항 이력 관리 ❺ ❹ ❹ ❹ ❹ ❹ ❺ ❺ ❺ ❺ ❺ ❺ ❺ ❺ ❺ ❹ ❹ ❹ 5 H-1 운영체제별 로그정보 점검 ❺ ❹ ❺ H-2 서비스별 로그정보 점검 ❺ ❹ ❺ H-3 보안장비 및 네트워크 장비 로그 정보 점검 ❺ ❹ ❺ H-4 로그정보 통합 및 연관성 분석 ❺ ❺ ❹ 5 H-5 <범례> 표 3-2. 정보보안 기사, 산업기사 공통 직무 명세서 (계속) 데이터 백업, 증거 수집 및 침입 자 추적 ❹ ❺ ❹ 5 작업의 난이도: 1 매우 쉽다 2 쉽다 3 보통이다 4 어렵다 5 매우 어렵다 작업의 중요도: 1 전혀 중요하지 않다 2 별로 중요하지 않다 3 보통이다 4 중요하다 5 매우 중요하다 작업의 빈 도: 1 매우 적다 2 적다 3 보통이다 4 많다 5 매우 많다
60 1. 직무기술 개요 조직의 보안요구사항 분석을 통해 보안정책을 수립하고 수립된 보안정책을 구체적으로 집행하고 감시하기 위하여 보안제품 및 솔루션 개발, PC 및 서버 보안관리, 네트워크 장비 및 전문 보안장 비 운영, 침해사고 발생 시 대응 및 피해를 복구하는 기술을 요구하고 있다. 2. 작업일람표 표 3-3. 정보보안 기사 추가 직무 명세서 No 작 업 명 작업의 중요도 작업의 난이도 작업 빈도 I-1 IT현황 및 자산 파악 ❹ ❹ ❹ 5 I-2 조직의 요구사항 파악 ❺ ❹ ❹ 5 I-3 관련 법령 검토 ❹ ❸ ❸ 4 5 J-1 내 외부 위협 분석 ❺ ❹ ❹ 5 J-2 자산별 취약점 분석 ❺ ❹ ❹ 5 J-3 취약점 점검 보고서 작성 ❹ ❸ ❸ 4 5 K-1 정보보호 정책 수립 및 적용 ❺ ❹ ❺ K-2 시험 및 검증 ❺ ❹ ❺ K-3 정보보호 대책 구현 ❺ ❹ ❺ K-4 정보보호정책 교육 ❹ ❹ ❸ 4 5 L-1 정보보호 체계 재검토 ❹ ❹ ❸ 4 5 L-2 사후 조치 및 모니터링 ❺ ❹ ❺ L-3 내부 감사 ❹ ❹ ❸ 4 5 <범례> 작업의 난이도: 1 매우 쉽다 2 쉽다 3 보통이다 4 어렵다 5 매우 어렵다 작업의 중요도: 1 전혀 중요하지 않다 2 별로 중요하지 않다 3 보통이다 4 중요하다 5 매우 중요하다 작업의 빈 도: 1 매우 적다 2 적다 3 보통이다 4 많다 5 매우 많다
61 3.3.3 활용 도구 일람표 표 3-4. 정보보안 기사 산업기사 활용도구 일람표 품 명 용도 FTK Imager 와이어샤크(wireshark) 스노트(Snort) 네트워크마이너(NetworkMiner) Iptables Nmap Nessus TcpView IDA 올리디버거(OllyDbg) Process Explorer lsof Process Monitor WinHex Autoruns Bintext PEiD PEView ResourceHacker Tripwire VMWare 버추어박스(VirtualBox) Acunetix 오딧세우스(Odysseus) TTAnalyze CWSanbox Cstle Openssl Pp Spam assain Inflex Sanitizer mod_security chrootkit Image를 마운트하기 위해 사용되는 도구 네트워크 트래픽 분석 도구 침입행위를 감지할 수 있는 유연한 패킷 스니퍼 네트워크 트래픽 분석 도구 IP 수준의 패킷 처리 유틸리티 포트 스캐닝 도구 서버 보안 취약점 분석 도구 TCP 트래픽 모니터링 도구 바이너리 리버싱 도구 바이너리 리버싱 도구 프로세스 관리 도구 프로세스들에 의해 열린 파일 모니터 도구 파일, 레지스트리, 프로세스 관련 실시간 모니터링 도구 바이너리 수정 도구 자동 실행 프로그램 관리 도구 바이너리 내부의 문자열 검색 도구 바이너리 분석 도구 PE 구조 분석 도구 바이너리 내부의 리소스 분석 도구 무결성 검사도구 가상환경을 제공해주는 도구 가상환경을 제공해주는 도구 웹 취약점 스캐너 웹 프락시 도구 악성코드 동적 분석 도구 악성코드 동적 분석 도구 홈페이지 해킹방지 도구 TLS와 SSL을 구현한 오픈 소스 인터넷 전자우편을 암호화하고 복호화하는 도구 메일 필터 도구 메일 필터 도구 메일 필터 도구 방화벽 도구 루트킷 탐지 도구
62 3.3.4 정보보안 기사 산업기사 작업 명세서 표 3-5. A-1 보안기능 요구사항 수집, 작성 1. 작업명 작업 단위요소 2. 성취수준 작업 성취수준 A-1 보안기능 요구사항 수집, 작성 조직에 설치되어 운영되는 정보보안 시스템 또는 솔루션이 제공하고자 하는 보안기능 요구사항을 수집하여 정리할 수 있다. 3. 작업요소 수행준거 난이도 (1) 개발대상 정보보안 시스템 또는 솔루션 보안목표를 파악한다. 1 2 ❸ 4 5 (2) 개발대상 정보보안 시스템 또는 솔루션이 동작하는 환경의 취약점을 파악한다 ❹ 5 (3) 보안취약점에 대응할 수 있는 보안기능 요구사항들을 작성한다 ❹ 5 (4) 각 보안기능 요구사항에 대한 상세 항목 및 설명문을 작성한다. 1 2 ❸ 4 5 (5) (6) (7) (8) 난이도 평균 ❹ 5 4. 관련 지식 및 기능(Related Knowledge & Skill) 지식(Knowledge) 정보보안 목표 이해 공통평가기준 보안기능 요구사항 이해 공통평가기준 PP, ST 이해 기능(Skill) 보안 위협에 대응하는 보안요소기술 선택 공통평가기준 ST를 구성하는 보안기능 요구사항 작성 기술 5. 소요 재료 공통평가기준 표준문서 (보안기능 요구사항) 6. 소요 도구 PDF Reader, 워드프로세서
63 표 3-6. A-2 보증 요구사항 수집, 작성 1. 작업명 작업 단위요소 2. 성취수준 작업 성취수준 A-2 보증 요구사항 수집, 작성 조직에 설치되어 운영되는 정보보안 시스템 또는 솔루션이 제공하고자 하는 보증 요구사항을 수집하여 정리할 수 있다. 3. 작업요소 수행준거 난이도 (1) 개발대상 정보보안 시스템 또는 솔루션의 보증 수준을 파악한다 ❹ 5 (2) 파악된 보증 수준을 만족시키기 위한 보증 요구사항을 작성한다 ❹ 5 (3) 각 보증 요구사항에 대한 상세 보증 항목 및 설명서를 작성한다. 1 2 ❸ 4 5 (4) (5) (6) (7) (8) 난이도 평균 ❹ 5 4. 관련 지식 및 기능(Related Knowledge & Skill) 지식(Knowledge) 기능(Skill) 정보보안 목표 이해 공통평가기준 보증 요구사항 이해 공통평가기준 PP, ST 이해 조직이 요구하는 보증 요구사항 선택 공통평가기준 ST를 구성하는 보증 요구사항 작성 기술 5. 소요 재료 공통평가기준 표준문서 (보증 요구사항) 6. 소요 도구 PDF Reader, 워드프로세서
64 표 3-7. A-3 시스템 개발 및 동작환경 특성 분석 1. 작업명 작업 단위요소 2. 성취수준 작업 성취수준 A-3 시스템 개발 및 동작환경 특성 분석 정보보안 시스템 및 솔루션이 개발되는 도구나 개발환경, 그리고 설치되어 동작되는 환경의 보안특성을 분석할 수 있다. 3. 작업요소 수행준거 난이도 (1) 개발에 이용되는 프로그래밍 언어별 보안 특성을 파악한다. 1 2 ❸ 4 5 (2) 개발에 이용되는 개발도구 및 운영체제별 보안 특성을 파악한다. 1 2 ❸ 4 5 (3) (4) (5) (6) 개발된 시스템 또는 솔루션이 동작하는 운영체제의 보안 특성을 분석한다. 개발된 시스템 또는 솔루션이 동작하는 네트워크 환경의 보안 특성을 분석한다. 개발된 시스템 또는 솔루션에서 제공하는 서비스 보안 특성을 분석한다 ❹ ❹ ❹ 5 (7) (8) 난이도 평균 ❹ 5 4. 관련 지식 및 기능(Related Knowledge & Skill) 지식(Knowledge) 기능(Skill) 개발언어 및 개발환경의 보안특성 이해 운영체제별 보안특성 이해 통신 프로토콜별 보안특성 이해 개발언어별 보안특성 이해 능력 운영체제별 보안특성 이해 능력 통신 프로토콜 동작절차 및 보안특성 이해 능력 5. 소요 재료 프로그래밍 언어별 참조 매뉴얼, 보안특성 분석자료 운영체제별 보안관리 매뉴얼, 보안특성 분석자료 주요 통신 프로토콜 동작 설명서, 보안특성 분석자료 6. 소요 도구 PDF Reader, 워드프로세서
65 표 3-8. A-4 보안 요구사항 명세서 작성 1. 작업명 작업 단위요소 2. 성취수준 작업 성취수준 A-4 보안 요구사항 명세서 작성 개발대상 보안 시스템 및 솔루션의 보안목표, 동작 제약사항 및 보안 요구사항, 보증 요구사항 명세서를 구체적으로 작성할 수 있다. 3. 작업요소 수행준거 난이도 (1) (2) (3) (4) (5) (6) (7) 개발대상 정보보안 시스템 및 솔루션이 제공하는 보안목표를 작성한다. 개발대상 정보보안 시스템 및 솔루션이 동작하는 환경의 특성과 제약조건을 작성한다. 개발대상 정보보안 시스템 및 솔루션이 지원하는 보안정책을 작성한다. 개발대상 정보보안 시스템 및 솔루션의 동작 가정사항을 작성한다. 개발대상 정보보안 시스템 및 솔루션의 보안기능 요구사항을 작성한다. 개발대상 정보보안 시스템 및 솔루션의 보증 요구사항을 작성한다. 1 ❷ ❸ ❸ ❸ ❹ ❹ 5 (8) 난이도 평균 1 2 ❸ 관련 지식 및 기능(Related Knowledge & Skill) 지식(Knowledge) 기능(Skill) 정보보안 목표 이해 공통평가기준 보증 요구사항 이해 공통평가기준 PP, ST 이해 공통평가기준 ST를 구성하는 보안기능 요구사항 작성 기술 공통평가기준 ST를 구성하는 보증 요구사항 작성 기술 5. 소요 재료 공통평가기준 표준문서 (보안기능 요구사항, 보증 요구사항) 6. 소요 도구 PDF Reader, 워드프로세서
66 표 3-9. B-1 요소 보안기술 결정 1. 작업명 작업 단위요소 2. 성취수준 작업 성취수준 B-1 요소 보안기술 결정 보안 시스템 및 솔루션의 보안기능 요구사항과 보증 요구사항을 만족시킬 수 있는 요소 보안기술들을 선정할 수 있다. 3. 작업요소 수행준거 난이도 (1) 보안 시스템 및 솔루션의 보안목표를 이해한다. 1 2 ❸ 4 5 (2) 보안기술 및 메커니즘별 특징 및 장 단점을 분석한다. 1 2 ❸ 4 5 (3) 보안기능 요구사항을 만족시키는 보안기술 및 메커니즘들을 나열한다 ❹ 5 (4) 보증 요구사항을 만족시키는 보안기술 및 메커니즘들을 나열한다 ❹ 5 (5) (6) (7) 시스템 및 솔루션 동작환경에 가장 적절한 보안기술 및 메커니즘을 선정한다. 선정된 보안기술 및 메커니즘이 보안 위협에 효과적으로 대응하는지 점검한다 ❹ ❹ 5 (8) 난이도 평균 ❹ 5 4. 관련 지식 및 기능(Related Knowledge & Skill) 지식(Knowledge) 기능(Skill) 시스템 분석 및 설계 보안 요소기술별 특징 및 제약사항 보안기능 요구사항에 대응하는 보안기술 선정 능력 보증 요구사항에 대응하는 보안기술 선정 능력 5. 소요 재료 시스템 또는 솔루션의 보안기능, 보증 요구사항 명세서 6. 소요 도구 PDF Reader, 워드프로세서
67 표 B-2 보안 아키텍처 설계 1. 작업명 작업 단위요소 2. 성취수준 작업 성취수준 B-2 보안 아키텍처 설계 보안 시스템 및 솔루션이 동작하는 환경의 특성을 이해하고, 보안 목표를 달성할 수 있는 최적으로 보안 아키텍처를 설계할 수 있다. 3. 작업요소 수행준거 난이도 (1) 보안 시스템 및 솔루션의 보안서비스 목표를 이해한다. 1 2 ❸ 4 5 (2) 보안 시스템 및 솔루션이 동작하는 환경의 특징과 제약사항을 점검한다 ❺ (3) 보안위협 발생 및 공격진행에 대한 가능한 시나리오를 작성한다 ❺ (4) (5) (6) 보안목표 지원을 위해 선정된 보안기술 및 메커니즘들을 활용하여 보안 시스템 및 솔루션의 아키텍처를 결정한다. 보안위협 및 공격에 대해 설계된 보안 아키텍처가 적절히 대응하는지 점검한다 ❺ ❺ (7) (8) 난이도 평균 ❺ 4. 관련 지식 및 기능(Related Knowledge & Skill) 지식(Knowledge) 기능(Skill) 시스템 분석 및 설계 보안 프로토콜 보안 요소기술별 기능 보안 기술 및 메커니즘을 활용한 시스템 설계 능력 보안 프로토콜별 특징 이해 및 활용 능력 5. 소요 재료 시스템 또는 솔루션의 보안기능 시스템 또는 솔루션 동작 시스템 및 네트워크 구조도 6. 소요 도구 PDF Reader, 워드프로세서
68 표 B-3 모듈 단위 기능정의 및 설계 1. 작업명 작업 단위요소 2. 성취수준 작업 성취수준 B-3 모듈 단위 기능정의 및 설계 보안 시스템 및 솔루션을 보안기능별 모듈단위로 정의하고, 각 모듈에 대하여 보안 메커니즘을 이용한 세부 설계를 할 수 있다. 3. 작업요소 수행준거 난이도 (1) 보안 시스템 및 솔루션에 제공하는 보안 서비스를 이해한다. 1 2 ❸ 4 5 (2) (3) (4) (5) (6) 보안 서비스 제공을 위해 모듈 단위로 시스템 및 솔루션을 정의한다. 각 모듈을 구성하는 보안 메커니즘을 결정하고 모듈 간 전달되는 메시지 구조를 설계한다. 설계된 보안 모듈들을 이용하여 동작절차 및 전달되는 메시지의 변경과정을 점검한다. 설계된 보안 모듈들이 보안 시스템 및 솔루션이 목표로 하는 보안서비스를 제공하는 지 점검한다 ❺ ❺ ❺ ❺ (7) (8) 난이도 평균 ❺ 4. 관련 지식 및 기능(Related Knowledge & Skill) 지식(Knowledge) 기능(Skill) 시스템 분석 및 설계 데이터 구조 보안 요소기술별 기능 보안기능 모듈별 기능 및 메시지 정의 능력 5. 소요 재료 보안 시스템 및 솔루션 아키텍처 설계서 6. 소요 도구 PDF Reader, 워드프로세서
69 표 B-4 설계서 작성 1. 작업명 작업 단위요소 2. 성취수준 작업 성취수준 B-4 설계서 작성 보안 시스템 또는 솔루션 개발을 위해 필요한 시스템 수준 및 모듈 수준의 설계서를 작성할 수 있다. 3. 작업요소 수행준거 난이도 (1) 보안 시스템 및 솔루션의 보안 목표 및 요구사항을 명확히 이해한다. 1 2 ❸ 4 5 (2) (3) 보안 시스템 및 솔루션이 동작하는 환경, 보안 취약점 및 제약사항을 구체적으로 기술한다. 보안 목표 및 요구사항에 대응하는 아키텍처를 정의하고 보안 서비스를 구현하기 위한 최적의 보안기술 및 메커니즘을 결정한다 ❹ ❹ 5 (4) 각 모듈 내, 모듈 간 전달되는 메시지 구조를 작성한다. 1 2 ❸ 4 5 (5) 각 모듈별로 세부 동작절차를 작성한다. 1 2 ❸ 4 5 (6) 각 모듈에서 발생될 수 있는 오류 종류 및 원인을 작성한다 ❹ 5 (7) (8) 난이도 평균 ❹ 5 4. 관련 지식 및 기능(Related Knowledge & Skill) 지식(Knowledge) 기능(Skill) 시스템 분석 및 설계 데이터 구조 보안 요소기술별 기능 보안서비스 제공을 위한 보안모듈 설계 능력 보안서비스 제공을 위한 메시지 구조 설계 능력 5. 소요 재료 보안 시스템 및 솔루션 모듈별 기능정의 및 설계서 6. 소요 도구 PDF Reader, 워드프로세서
70 표 C-1 설계서에 대한 기술 검토 1. 작업명 작업 단위요소 2. 성취수준 작업 성취수준 C-1 설계서에 대한 기술 검토 보안 시스템 및 솔루션이 제공하는 보안 서비스 구현을 위해 개발 설계서에 포함된 보안 요소기술 및 모듈의 기술적 검토를 할 수 있다. 3. 작업요소 수행준거 난이도 (1) 보안 요구사항, 보안 아키텍처, 보안 모듈 설계서를 분석한다. 1 2 ❸ 4 5 (2) (3) (4) (5) (6) (7) 각 보안기능 요구사항을 구현하는데 이용되는 보안 요소기술들이 적합하게 선정되고 설계에 적용되었는지 점검한다. 각 보증 요구사항을 구현하는데 이용되는 보안 요소기술들이 적합하게 선정되고 설계에 적용되었는지 점검한다. 보안 시스템 및 솔루션이 동작하는 환경의 보안 취약점들이 설계서에 포함된 보안 요소기술들에 의해 대응되고 있는지 점검한다. 보안기능 요구사항, 보증 요구사항들이 구현되는 모듈들을 확인하는 점검 테이블을 작성한다. 보안기능 요구사항, 보증 요구사항 중 기술적 보완이 필요한 부분을 설계 내용과 설계 문서에 반영한다 ❹ ❹ ❹ ❹ ❸ 4 5 (8) 난이도 평균 ❹ 5 4. 관련 지식 및 기능(Related Knowledge & Skill) 지식(Knowledge) 기능(Skill) 시스템 분석 및 설계 보안 요소기술별 기능 이해 보안기능, 보증 요구사항의 보안서비스 제공을 위한 메시지 구조 설계 능력 5. 소요 재료 보안기능 요구사항 및 보증 요구사항 명세서 보안 시스템 또는 솔루션 설계 문서 6. 소요 도구 PDF Reader, 워드프로세서
71 표 C-2 개발환경 구축 및 코딩 1. 작업명 작업 단위요소 2. 성취수준 작업 성취수준 C-2 개발환경 구축 및 코딩 보안 시스템 또는 솔루션 개발을 위한 개발환경을 설정, 구축하고 개발에 필요한 프로그래밍 언어를 이용하여 개발할 수 있다. 3. 작업요소 수행준거 난이도 (1) (2) 구현 대상 보안 시스템 또는 솔루션이 특정 운영환경에 종속성이 있는지 조사한다. 운영환경의 보안특성을 고려하여 해당 환경에서 안전성이 높은 검증된 개발 도구 및 프로그래밍 언어를 선정한다 ❹ ❹ 5 (3) 개발 도구에서 제공되는 기능을 활용하여 보안기능을 구현한다 ❺ (4) 컴파일 과정에서 발생되는 오류를 제거한다 ❺ (5) 동작과정에서 발생되는 오류를 코드 점검 또는 디버깅 도구를 이용하여 제거한다 ❺ (6) 소스 코드에 필요한 주석문을 추가한다 ❹ 5 (7) (8) 난이도 평균 ❺ 4. 관련 지식 및 기능(Related Knowledge & Skill) 지식(Knowledge) 기능(Skill) 시스템 분석 및 설계 보안 요소기술별 기능 이해 개발도구, 프로그래밍 언어 활용 능력 프로그래밍 능력 개발도구 활용 능력 5. 소요 재료 보안기능 요구사항 및 보증 요구사항 명세서 보안 시스템 또는 솔루션 설계 문서 개발도구 사용 설명서 6. 소요 도구 통합개발 도구, PDF Reader, 워드프로세서
72 표 C-3 구현 관련 문서 작성 1. 작업명 작업 단위요소 2. 성취수준 작업 성취수준 C-3 구현 관련 문서 작성 보안 시스템 또는 솔루션 개발과정과 보안모듈별 구현 내용 및 절차 설명을 위한 문서를 작성할 수 있다. 3. 작업요소 수행준거 난이도 (1) (2) 보안 시스템 또는 솔루션 개발에 사용된 개발 도구와 운영 체제, 프로그래밍 언어 등에 대해 버전을 포함한 정보를 작성한다. 보안 시스템 또는 솔루션을 구성하는 각 모듈이 구현된 프로그램 구조 및 자료 구조에 대한 정보를 작성한다. 1 2 ❸ ❹ 5 (3) 각 모듈이 호출되어 동작하는 흐름 정보를 작성한다 ❹ 5 (4) 각 모듈의 컴파일 과정 및 시동 절차에 대한 정보를 작성한다. 1 2 ❸ 4 5 (5) 보안 시스템 또는 솔루션 구현 시 고려한 제약사항에 대해 작성한다. 1 2 ❸ 4 5 (6) (7) (8) 난이도 평균 1 2 ❸ 관련 지식 및 기능(Related Knowledge & Skill) 지식(Knowledge) 보안 요소기술별 기능 이해 개발도구, 프로그래밍 언어 활용 능력 기능(Skill) 프로그래밍 능력 및 개발도구 활용 능력 자료 구조 및 동작 흐름도 작성 능력 5. 소요 재료 보안기능 요구사항 및 보증 요구사항 명세서 보안 시스템 또는 솔루션 설계 문서 개발도구 사용 설명서 6. 소요 도구 PDF Reader, 워드프로세서
73 표 D-1 모듈 단위 시험 1. 작업명 작업 단위요소 2. 성취수준 작업 성취수준 D-1 모듈 단위 시험 보안 시스템 또는 솔루션 구현이 완벽하게 이루어졌는지 모듈 단위별로 시험하고 해당 문서를 작성할 수 있다. 3. 작업요소 수행준거 난이도 (1) 시험 대상 모듈과 해당 모듈의 설계 및 구현 문서를 준비한다. 1 ❷ (2) 각 모듈별 시험 데이터와 시험용 코드를 준비한다. 1 2 ❸ 4 5 (3) 시험용 코드를 컴파일하여 시험용 프로그램을 생성한다 ❺ (4) 시험용 프로그램을 실행하여 해당 모듈이 시험 데이터에 대해 정상적으로 동작하는지 확인한다 ❺ (5) 각 모듈별로 시험 결과를 문서화한다. 1 2 ❸ 4 5 (6) (7) (8) 난이도 평균 ❹ 5 4. 관련 지식 및 기능(Related Knowledge & Skill) 지식(Knowledge) 기능(Skill) 시험 데이터 작성 방법 소프트웨어 공학 시험 데이터 작성 기술 시험 프로그램 실행 및 결과 분석 기술 5. 소요 재료 보안기능 요구사항 및 보증 요구사항 명세서 보안 시스템 또는 솔루션 구현 문서 보안 시스템 또는 솔루션 구현물 6. 소요 도구 PDF Reader, 워드프로세서
74 표 D-2 통합 시험 1. 작업명 작업 단위요소 2. 성취수준 작업 성취수준 D-2 통합 시험 보안 시스템 또는 솔루션을 구성하는 모든 모듈들이 주어진 보안 요구사항들을 만족시키도록 동작하는지 확인할 수 있다. 3. 작업요소 수행준거 난이도 (1) 통합 시험 데이터와 시험용 코드를 준비한다 ❺ (2) 모듈별로 시험을 마친 소스 프로그램들을 준비한다 ❹ 5 (3) 전체 모듈을 컴파일하여 최종 결과물에 해당하는 프로그램을 생성한다 ❺ (4) 시험용 코드를 컴파일하여 시험용 프로그램을 생성한다 ❺ (5) 시험용 프로그램을 실행하여 전체 시스템이 시험 데이터에 대해 정상적으로 동작하는지 확인한다 ❺ (6) 통합 시험절차와 결과를 문서화한다. 1 2 ❸ 4 5 (7) (8) 난이도 평균 ❺ 4. 관련 지식 및 기능(Related Knowledge & Skill) 지식(Knowledge) 기능(Skill) 시험 데이터 작성 방법 소프트웨어 공학 시험 데이터 작성 기술 시험 프로그램 실행 및 결과 분석 기술 5. 소요 재료 보안기능 요구사항 및 보증 요구사항 명세서 보안 시스템 또는 솔루션 구현 문서 보안 시스템 또는 솔루션 구현물 6. 소요 도구 통합개발 도구, 디버거, PDF Reader, 워드프로세서
75 표 D-3 버그 수정 및 보완 개발 1. 작업명 작업 단위요소 2. 성취수준 작업 성취수준 D-3 버그 수정 및 보완 개발 모듈 시험과 통합 시험에서 발생된 오류를 수정하고, 보안 요구사항에 대한 보완 개발을 수행할 수 있다. 3. 작업요소 수행준거 난이도 (1) 시험 데이터를 통해 발견된 모듈 시험별, 통합 시험별 오류를 수집한다 ❹ 5 (2) 오류발생 상황을 파악하여 원인을 추적한다 ❺ (3) 오류가 발생된 원인을 식별, 분석한 후 해당 오류가 발생된 프로그램이나 설정된 환경을 수정한다 ❺ (4) 수정된 모듈 또는 전체 시스템에 대한 시험을 다시 수행한다 ❺ (5) 오류가 더 이상 발생되지 않으면 오류 원인과 해결 절차에 대한 문서를 작성한다 ❹ 5 (6) 오류가 발생된 모듈에 대한 보완 개발을 수행한다 ❺ (7) (8) 난이도 평균 ❺ 4. 관련 지식 및 기능(Related Knowledge & Skill) 지식(Knowledge) 기능(Skill) 시험 데이터 작성 방법 소프트웨어 공학 프로그래밍 언어 활용 능력 프로그램 분석 기술 디버깅 도구 활용 기술 5. 소요 재료 보안기능 요구사항 및 보증 요구사항 명세서 보안 시스템 또는 솔루션 구현 문서 보안 시스템 또는 솔루션 구현물 6. 소요 도구 통합개발 도구, 디버거, PDF Reader, 워드프로세서
76 표 D-4 시험 결과보고서 작성 1. 작업명 작업 단위요소 2. 성취수준 작업 성취수준 D-4 시험 결과보고서 작성 모듈 시험과 통합 시험 준비, 수행, 결과 및 오류 수정 전 과정에 대한 문서를 작성할 수 있다. 3. 작업요소 수행준거 난이도 (1) (2) 각 모듈 시험 및 통합 시험에 이용한 시험 데이터 및 시험용 코드에 대한 문서를 작성한다. 시험용 코드를 컴파일하여 시험용 프로그램을 생성하고 시험 프로그램 구동에 대한 문서를 작성한다. 1 2 ❸ ❹ 5 (3) 각 모듈별, 전체 시스템에 대한 시험 결과문서를 작성한다. 1 2 ❸ 4 5 (4) (5) (6) 시험 결과 발생된 오류 및 해당 오류에 대한 해결절차, 방법에 대한 문서를 작성한다. 시험 프로그램을 실행한 환경 설명, 특징 및 제약사항에 대한 문서를 작성한다. 1 2 ❸ ❸ 4 5 (7) (8) 난이도 평균 1 2 ❸ 관련 지식 및 기능(Related Knowledge & Skill) 지식(Knowledge) 기능(Skill) 시험 데이터 작성 방법 소프트웨어 공학 프로그램 분석 기술 시험 결과 분석 기술 5. 소요 재료 보안기능 요구사항 및 보증 요구사항 명세서 보안 시스템 또는 솔루션 구현 문서 보안 시스템 또는 솔루션 구현물 6. 소요 도구 PDF Reader, 워드프로세서
77 표 E-1 조직의 보안목표 파악 1. 작업명 작업 단위요소 2. 성취수준 작업 성취수준 E-1 조직의 보안목표 파악 보안 운영 및 관리 대상 조직의 보안 목표, 운영환경 특성, 보안 취약점 등을 파악할 수 있다. 3. 작업요소 수행준거 난이도 (1) (2) (3) (4) (5) (6) 운영 및 관리 대상 조직의 사업 목표와 IT 시스템 구축 현황을 파악한다. 조직의 사업 목표 달성에 필요한 보안목표를 파악하고 해당 보안목표가 적절한 지 분석한다. 조직의 보안목표를 달성하는 과정에서 발생될 수 있는 보안 취약점들에 대해 조사한다. 설정된 보안목표를 달성하기 위해 필요한 관리적, 기술적 수단들에 대한 정보를 수집한다. 조직의 보안목표 및 운영환경, 보안 취약점에 대한 문서를 작성한다. 1 ❷ ❸ ❸ ❸ ❸ 4 5 (7) (8) 난이도 평균 1 2 ❸ 관련 지식 및 기능(Related Knowledge & Skill) 지식(Knowledge) 보안목표에 대한 이해 보안취약성에 대한 이해 기능(Skill) 보안목표 달성을 위한 관리적, 기술적 이해 보안목표, 운영환경 및 보안 취약성 문서작성 기술 5. 소요 재료 조직의 보안목표 보안목표 달성을 위한 조직의 관리적, 기술적 수단 정보 6. 소요 도구 PDF Reader, 워드프로세서
78 표 E-2 조직의 IT환경 특징 및 위협 파악 1. 작업명 작업 단위요소 2. 성취수준 작업 성취수준 E-2 조직의 IT환경 특징 및 위협 파악 보안 운영 및 관리 대상 조직의 IT 구성 및 운영 환경을 파악하고 발생할 수 있는 보안위협을 파악할 수 있다. 3. 작업요소 수행준거 난이도 (1) 조직의 보안목표 문서와 보안 취약점 문서를 수집한다. 1 2 ❸ 4 5 (2) 조직의 IT 환경 설계도와 네트워크 구성도를 수집한다. 1 2 ❸ 4 5 (3) (4) (5) (6) (7) 조직에서 사용 중인 모든 시스템의 운영체제 및 버전, 상용 보안 장비, 주요 상용 패키지 및 버전 정보들을 수집한다. 조직에서 직접 개발하여 사용 중인 소프트웨어에 대한 문서들을 수집한다. 조직에서 사용 중인 네트워크 장비 및 네트워크 보안 장비에 대한 정보를 수집한다. 운영체제, 상용 패키지, 개발 패키지, 네트워크 장비 및 보안 장비들에 대한 보안 취약점 및 설정 환경을 점검한다. 조직의 IT 환경에 접근하는 내 외부 사용자들의 종류 및 사용 특성을 분석한다. 1 2 ❸ ❸ ❹ ❹ ❹ 5 (8) 조직의 보호 대상 자원을 조사하고 중요도를 결정한다 ❹ 5 난이도 평균 ❹ 5 4. 관련 지식 및 기능(Related Knowledge & Skill) 지식(Knowledge) 운영체제 버전별 취약점 이해 주요 상용 패키지 버전별 취약점 이해 네트워크 장비별 취약점 이해 주요 보안 장비별 보안 설정 이해 기능(Skill) 소프트웨어 및 하드웨어별 취약점 파악 기술 조직의 IT환경 및 사용자 종류 분석 기술 5. 소요 재료 운영체제, 주요 상용 패키지, 개발 패키지 보안 특징 및 취약점 정보 네트워크 장비, 보안 장비의 기능 및 보안 취약점 정보 6. 소요 도구 PDF Reader, 워드프로세서
79 표 E-3 보안정책 작성 및 적용 1. 작업명 작업 단위요소 2. 성취수준 작업 성취수준 E-3 보안정책 작성 및 적용 조직의 보안목표를 이해하고 이를 달성할 수 있도록 운영체제, 상용 패키지, 자사 개발 패키지, 네트워크 장비, 보안 장비에 대해 보안정책을 설정할 수 있다. 3. 작업요소 수행준거 난이도 (1) (2) (3) (4) (5) (6) (7) 조직의 보안목표와 보안 위협, 보안 취약점에 대한 문서를 수집한다. 보안 위협에 대응하면서 조직의 보안목표를 달성할 수 있는 보안정책을 작성하거나 이미 작성된 보안정책을 점검한다. 운영체제별로 주체(관리자, 사용자), 객체(파일 및 장치), 허용 연산을 정의하고 작성된 보안정책 집행을 위한 접근통제 규칙을 작성한다. 상용 패키지 및 자가 개발 패키지별로 작성된 보안정책 집행을 위한 접근통제 규칙을 작성한다. 네트워크 장비별로 작성된 보안정책을 집행하기 위한 설정 파일을 작성한다. 보안장비별로 작성된 보안정책을 집행하기 위한 설정 파일을 작성한다. 1 2 ❸ ❹ ❹ ❹ ❹ ❹ 5 (8) 난이도 평균 ❹ 5 4. 관련 지식 및 기능(Related Knowledge & Skill) 지식(Knowledge) 보안정책 접근통제정책 종류 및 특성 운영체제, 보안장비별 설정 방식 기능(Skill) 접근통제정책(MAC, DAC, RBAC)별 특징 이해 및 적용 기술 주요 상용 패키지 및 보안장비별 설정 파일 작성 기술 5. 소요 재료 운영체제별 보안정책 설정 매뉴얼 주요 상용 패키지 보안정책 설정 매뉴얼 보안장비 및 네트워크 장비별 보안정책 설정 매뉴얼 6. 소요 도구 PDF Reader, 워드프로세서
80 표 E-4 보안정책 이력 관리 1. 작업명 작업 단위요소 2. 성취수준 작업 성취수준 E-4 보안정책 이력 관리 보안목표 등이 변경됨에 따라 각 시스템 및 보안장비에 설정한 보안정책에 대한 이력관리를 할 수 있다. 3. 작업요소 수행준거 난이도 (1) (2) (3) 조직의 보안목표 문서와 IT 환경 설계도, 네트워크 구성도를 수집한다. 운영체제, 주요 상용 패키지 및 자가 개발 패키지, 네트워크 장비 및 보안장비에 보안 설정 정보를 수집한다. 보안목표가 수정될 경우 변경되는 각 장치의 보안 설정들을 저장한다. 1 2 ❸ ❸ ❸ 4 5 (4) (5) (6) (7) (8) 난이도 평균 1 2 ❸ 관련 지식 및 기능(Related Knowledge & Skill) 지식(Knowledge) 보안목표 이해 접근통제정책 종류 및 특성 버전관리 방법 기능(Skill) 각 장치별 보안정책 설정 기술 보안목표 및 보안정책 버전별 관리 기술 5. 소요 재료 조직의 보안목표 및 각 장치별 보안정책 설정 정보 각 장치별 보안정책 설정 매뉴얼 6. 소요 도구 PDF Reader, 워드프로세서
81 표 F-1 운영체제별 보안특성 파악 1. 작업명 작업 단위요소 2. 성취수준 작업 성취수준 F-1 운영체제별 보안특성 파악 조직 IT환경을 구성하고 있는 시스템들에 설치된 운영체제별 보안특징 및 취약점을 파악할 수 있다. 3. 작업요소 수행준거 난이도 (1) 조직의 보안목표 문서와 IT환경 설계도를 수집한다. 1 2 ❸ 4 5 (2) (3) (4) (5) IT환경을 구성하고 있는 개인용 PC 또는 서버에 설치된 운영체제 및 버전정보를 파악한다. 운영체제 및 버전별로 제공되는 보안서비스, 보안정책 설정, 보안 취약점들을 파악한다. 내부 사용자와 네트워크 사용자에게 공유되는 객체들의 정보를 수집하고 보안목표에 따라 보안정책이 적절히 설정되었는지 점검한다. 운영체제별 중요 시스템 파일, 계정 파일이 적절히 보호되고 있는지 점검한다. 1 2 ❸ ❹ ❹ ❹ 5 (6) 운영체제별로 동작하는 악성코드의 종류 및 특징을 파악한다 ❹ 5 (7) (8) 운영체제에서 생성되는 로그 파일 관리가 적절히 설정되어 있는지 점검한다. 보안운영체제가 제공하는 보안서비스 및 강제적 접근통제 정책 설정 방법을 파악한다. 난이도 평균 ❹ ❹ ❹ 5 4. 관련 지식 및 기능(Related Knowledge & Skill) 지식(Knowledge) 운영체제 기능 및 구조 운영체제별 보안 관리 기능 운영체제별 보안 취약점 기능(Skill) 운영체제별 보안관리 점검 및 설정 기술 운영체제 보안 패치 설치 기술 최신 운영체제 취약점 이해 5. 소요 재료 조직의 IT환경 구성도 운영체제별 보안 관리 매뉴얼 운영체제별 보안 관리 기능 정보 제공 사이트 6. 소요 도구 PDF Reader, 워드프로세서
82 표 F-2 프로토콜 특징 및 취약점 파악 1. 작업명 작업 단위요소 2. 성취수준 작업 성취수준 F-2 프로토콜 특징 및 취약점 파악 TCP/IP 프로토콜 구성 및 동작 구조를 이해하고 공격에 이용되는 주요 프로토콜별 취약점을 이해할 수 있다. 3. 작업요소 수행준거 난이도 (1) (2) OSI 7계층 및 TCP/IP 프로토콜 구성, 각 계층별 기능, 동작 구조를 이해한다. TCP/IP 각 계층에서 처리하는 PDU 구조 및 PDU 헤더별 필드 기능을 이해한다. 1 2 ❸ ❸ 4 5 (3) ARP, RARP 프로토콜 동작절차와 취약점을 이해한다. 1 2 ❸ 4 5 (4) IP, ICMP, IGMP 및 각 라우팅 프로토콜 동작절차 및 취약점을 이해한다 ❹ 5 (5) TCP,UDP, SSL, IPSec 프로토콜의 동작절차와 취약점을 이해한다 ❹ 5 (6) 서비스 거부 공격 및 DDoS, DRDoS 공격 절차를 이해한다 ❹ 5 (7) 무선 프로토콜 동작 구조 및 보안 취약점을 이해한다 ❹ 5 (8) 난이도 평균 ❹ 5 4. 관련 지식 및 기능(Related Knowledge & Skill) 지식(Knowledge) 컴퓨터 통신 프로토콜 OSI 7계층, TCP/IP 프로토콜 서비스 거부 공격 기능(Skill) 프로토콜 동작절차 분석 기술 프로토콜 취약점 분석 문서 파악 기술 5. 소요 재료 OSI 7계층, TCP/IP 프로토콜 표준 문서 프로토콜별 보안 취약점 설명 문서 서비스 거부 공격 설명 문서 6. 소요 도구 PDF Reader, 워드프로세서
83 표 F-3 서비스별 보안특성 파악 1. 작업명 작업 단위요소 2. 성취수준 작업 성취수준 F-3 서비스별 보안특성 파악 조직의 서버 시스템에서 제공되는 주요 서비스별 보안 특성 및 취약점을 파악할 수 있다. 3. 작업요소 수행준거 난이도 (1) 조직의 보안목표 문서와 IT환경 설계도, 네트워크 구성도를 수집한다. 1 2 ❸ 4 5 (2) FTP 서비스 동작절차, 환경 설정 및 보안 취약점을 이해한다 ❹ 5 (3) MAIL 서비스 동작절차, 환경 설정 및 보안 취약점을 이해한다 ❹ 5 (4) 웹 서비스 동작절차, 환경 설정 및 보안 취약점을 이해한다 ❹ 5 (5) DNS 서비스 동작절차, 환경 설정 및 보안 취약점을 이해한다 ❹ 5 (6) DB 보안 서비스, 환경 설정 및 보안 취약점을 이해한다 ❹ 5 (7) 전자서명, 공개키 기반 구조 구성 및 보안 특성을 이해한다 ❹ 5 (8) 난이도 평균 ❹ 5 4. 관련 지식 및 기능(Related Knowledge & Skill) 지식(Knowledge) 주요 서비스 구성요소 및 동작절차 주요 서비스 보안 취약성 PKI 구조 및 동작 절차 기능(Skill) 주요 서비스 동작절차 및 환경 설정 기술 주요 서비스 취약점 분석 기술 5. 소요 재료 주요 서비스 표준 문서 주요 서비스별 보안 관리 매뉴얼 6. 소요 도구 PDF Reader, 워드프로세서
84 표 F-4 보안장비 및 네트워크 장비 보안특성 파악 1. 작업명 작업 단위요소 2. 성취수준 작업 성취수준 F-4 보안장비 및 네트워크 장비 보안특성 파악 조직의 IT환경을 구성하고 있는 네트워크 장비 및 보안장비의 기능 및 보안 서비스를 분석할 수 있다. 3. 작업요소 수행준거 난이도 (1) 조직의 보안목표 문서와 IT환경 설계도, 네트워크 구성도를 수집한다. 1 2 ❸ 4 5 (2) NIC, 허브, 스위치, 브릿지 장비의 동작 절차를 이해한다. 1 2 ❸ 4 5 (3) VLAN 보안 서비스 및 설정 방법을 이해한다 ❹ 5 (4) 라우터 설정 절차 및 트래픽 통제 기능을 이해한다. 1 2 ❸ 4 5 (5) F/W, IDS, IPS 보안 장비의 보안 서비스 및 설정 방법을 이해한다 ❹ 5 (6) NAT 종류 및 동작 절차를 이해한다 ❹ 5 (7) VPN 구현 방법 및 동작 절차를 이해한다 ❹ 5 (8) 난이도 평균 ❹ 5 4. 관련 지식 및 기능(Related Knowledge & Skill) 지식(Knowledge) 기능(Skill) 네트워크 장비 기능 보안 장비 기능 스위치 및 라우터 보안 설정 기술 주요 보안 장비 보안 설정 기술 5. 소요 재료 스위치 및 라우터 설정 및 보안 관리 매뉴얼 보안 장비(F/W, IDS, IPS 등) 보안 관리 매뉴얼 6. 소요 도구 PDF Reader, 워드프로세서
85 표 F-5 관리대상 시스템 및 네트워크 구조 파악 1. 작업명 작업 단위요소 2. 성취수준 작업 성취수준 F-5 관리대상 시스템 및 네트워크 구조 파악 조직의 IT 환경을 구성하는 시스템과 서비스, 네트워크 구성 정보를 파악할 수 있다. 3. 작업요소 수행준거 난이도 (1) 조직의 보안목표 문서와 IT환경 설계도, 네트워크 구성도를 수집한다. 1 2 ❸ 4 5 (2) 조직의 보안대상 관리시스템과 네트워크 장비를 파악한다. 1 2 ❸ 4 5 (3) (4) 네트워크 구성도를 분석하여 사용 중인 IP 주소, 서브넷 정보를 파악한다. SNMP를 이용한 원격관리기능 또는 스캐닝 도구를 이용하여 관리대상 시스템이 제공하는 서비스를 파악한다 ❹ ❹ 5 (5) (6) (7) (8) 난이도 평균 ❹ 5 4. 관련 지식 및 기능(Related Knowledge & Skill) 지식(Knowledge) 기능(Skill) 원격관리 프로토콜 및 소프트웨어 시스템 스캐닝 및 포트 스캐닝 SNMP 관리 시스템 활용 기술 포트 스캐닝 도구 활용 기술 5. 소요 재료 조직의 네트워크 구성도 6. 소요 도구 SNMP 소프트웨어, 스캐닝 도구, PDF Reader, 워드프로세서
86 표 G-1 운영체제 및 버전별 취약점 점검, 보완 1. 작업명 작업 단위요소 2. 성취수준 작업 성취수준 G-1 운영체제 및 버전별 취약점 점검, 보완 IT 환경을 구성하는 PC 및 서버에 설치된 운영체제별 보안 취약점을 점검하고 보완할 수 있다. 3. 작업요소 수행준거 난이도 (1) 조직의 보안목표 문서와 IT환경 설계도를 수집한다. 1 2 ❸ 4 5 (2) (3) (4) (5) (6) (7) (8) 운영체제별 보안 관리 매뉴얼이나 해당 운영체제 제조사 사이트를 게시된 보안 관리 방법과 보안 취약점 정보를 수집한다. 불필요한 계정이 존재하는지, 악성코드가 설치되어 있는지 점검, 보완한다 공유 폴더에 적절한 접근통제가 보안목표에 적합한지 점검하며, 폴더가 불필요하게 공유되어 있지 않는지 점검, 보완한다. 운영체제별 보호 대상 객체(파일, 디렉토리) 권한 설정이 보안목표에 따라 설정되어 있는지 점검, 보완한다. 운영체제별 이벤트 로그정보 생성과 관리가 보안목표에 따라 설정되어 있는지 점검, 보완한다. 운영체제 종류 및 버전 정보가 불필요하게 노출되어 있지 않은지 점검, 보완한다. 원격접속 및 원격관리 기능이 보안목표에 따라 설정되어 있는지 점검, 보완한다. 난이도 평균 ❺ ❹ ❺ ❺ ❺ ❺ ❹ ❺ 4. 관련 지식 및 기능(Related Knowledge & Skill) 지식(Knowledge) 운영체제별 보안 관리 기능 운영체제별 보안 취약점 점검, 보완 기능(Skill) 운영체제별 사용자, 파일/디렉토리 보안 관리 기술 운영체제 취약점 점검, 악성코드 탐지여부 점검 기술 5. 소요 재료 조직의 IT환경 구성도 운영체제별 보안 관리 매뉴얼 운영체제별 최신 보안 취약점 정보 제공 사이트 6. 소요 도구 운영체제 취약점 점검 도구, PDF Reader, 워드프로세서
87 표 G-2 서비스 및 버전별 취약점 점검, 보완 1. 작업명 작업 단위요소 2. 성취수준 작업 성취수준 G-2 서비스 및 버전별 취약점 점검, 보완 조직에서 제공하는 주요 서비스별 보안 취약점을 점검하고 보완할 수 있다. 3. 작업요소 수행준거 난이도 (1) 조직의 보안목표 문서와 IT환경 설계도를 수집한다. 1 2 ❸ 4 5 (2) (3) (4) (5) (6) (7) (8) 조직에서 제공하지 않는 서비스가 동작하고 있는지 점검한 후 제거한다. 파일서버, FTP 서버에 권한이 없는 사용자가 접근할 수 설정되어 있는지, 각 사용자별로 접근할 수 있는 파일/디렉토리가 적절히 설정되어 있는지 점검한다. 메일 서버 설정에서 스팸 메일 릴레이가 허용 되어 있는지, 메일 송수신 프로토콜(SMTP, POP, IMAP) 보안 설정이 적절한지 점검한다. 웹 서버 설정에서 다양한 공격 유형들(XSS, SQL Injection, 관리자 접근권한 설정 등)과 관리자 접근권한 공격으로부터 적절히 보호되고 있는 점검한다. DNS 서버 설정에서 불필요한 명령어 수행이 허가되어 있지 않은지, DNS 보안 조치(DNSSEC 등)가 적절히 설정되어 있는지 점검한다. DB 서버 설정에서 중요 정보가 암호화되어 저장되고 있는지, DB 객체(테이블, 컬럼, 뷰 등)별 접근통제가 적절히 설정되어 있는지 점검한다. 난이도 평균 ❹ ❺ ❺ ❺ ❺ ❺ ❺ 4. 관련 지식 및 기능(Related Knowledge & Skill) 지식(Knowledge) 주요 서비스별 보안 관리 (FTP, MAIL, WWW, DNS, DB 등) 암호 시스템 5. 소요 재료 기능(Skill) 주요 서비스별 보안 설정 분석 기술 주요 서비스별 취약점 점검 도구 활용 기능 조직의 IT환경 구성도 주요 서비스별 보안 관리 매뉴얼 주요 서비스별 취약점 점검 도구 및 사용 매뉴얼 6. 소요 도구 취약점 점검 도구, PDF Reader, 워드프로세서
88 표 G-3 보안장비 및 네트워크 장비 취약점 점검, 보완 1. 작업명 작업 단위요소 2. 성취수준 작업 성취수준 G-3 보안장비 및 네트워크 장비 취약점 점검, 보완 조직의 네트워크 환경을 구축하는 네트워크 장비 및 보안 장비의 보안 설정을 점검하고 보안 취약점을 파악할 수 있다. 3. 작업요소 수행준거 난이도 (1) (2) (3) 조직의 보안목표 문서와 IT환경 설계도, 네트워크 구성도를 수집한다. 스위치, 라우터 장비의 관리자 계정 보안이 적절히 설정되어 있는지 점검한다. F/W 장비 및 라우터의 보안 설정(IP별 통제, Port별 통제, 사용자ID별 통제 등)이 보안목표에 따라 적절히 설정되어 있는지 점검한다. 1 2 ❸ ❹ ❺ (4) IDS 보안 설정이 보안목표에 따라 적절히 설정되어 있는지 점검한다 ❺ (5) IPS 보안 설정이 보안목표에 따라 적절히 설정되어 있는지 점검한다 ❺ (6) NAT 설정이 보안목표에 따라 적절히 설정되어 있는지 점검한다 ❺ (7) (8) 무선접속 장비가 보안목표에 따라 암호화 및 접근통제가 적절히 설정되어 있는지 확인한다. 난이도 평균 ❺ ❺ 4. 관련 지식 및 기능(Related Knowledge & Skill) 지식(Knowledge) 네트워크 장비별 보안 설정 주요 보안장비별 보안 설정 무선접속장비 보안 설정 기능(Skill) 네트워크 장비별 관리자 계정 및 보안 관리 기술 주요 보안장비별 보안설정 및 관리 기술 무선접속장비 보안설정 및 관리 기술 5. 소요 재료 조직의 IT환경 구성도 주요 네트워크 장비 보안 관리 매뉴얼 주요 보안 장비 및 무선접속장비 보안 관리 매뉴얼 6. 소요 도구 스캐닝 도구, 취약점 점검 도구, PDF Reader, 워드프로세서
89 표 G-4 취약점 점검 및 보완 사항 이력 관리 1. 작업명 작업 단위요소 2. 성취수준 작업 성취수준 G-4 취약점 점검 및 보완 사항 이력 관리 조직의 IT환경을 구성하고 있는 PC 및 서버, 네트워크 장비, 보안장비 및 주요 서비스의 보안 취약점 및 보완내역을 기록, 관리할 수 있다. 3. 작업요소 수행준거 난이도 (1) (2) (3) (4) (5) (6) 조직의 보안목표 문서와 IT환경 설계도, 네트워크 구성도를 수집한다. 운영체제별 보안점검 내용과 방법(도구), 발견된 보안취약점 및 보완 사항을 기록한다. 조직에서 사용 중인 주요 서비스에 대해 수행한 보안점검 내용과 방법(도구), 발견된 보안취약점 및 보완 사항을 기록한다. 유무선 네트워크 장비에 대해 수행한 보안점검 내용과 방법(도구), 발견된 보안취약점 및 보완 사항을 기록한다. 보안장비에 대해 수행한 보안점검 내용과 방법(도구), 발견된 보안취약점 및 보완 사항을 기록한다. 1 2 ❸ ❸ ❹ ❹ ❹ 5 (7) (8) 난이도 평균 ❹ 5 4. 관련 지식 및 기능(Related Knowledge & Skill) 지식(Knowledge) 운영체제별 취약점 및 보완 주요 서비스별 취약점 및 보완 네트워크장비/보안장비별 취약점 및 보완 기능(Skill) 조직의 IT환경을 구성하는 H/W, S/W 보안 취약점 점검 기술 H/W, S/W 보안 취약점 보완 기술 5. 소요 재료 운영체제별 보안 점검결과 및 보완 내용 주요 서비스별 보안 점검결과 및 보완 내용 네트워크장비/보안장비별 보안 점검결과 및 보완 내용 6. 소요 도구 스캐닝 도구, 취약점 점검 도구, PDF Reader, 워드프로세서
90 표 H-1 운영체제별 로그정보 점검 1. 작업명 작업 단위요소 2. 성취수준 작업 성취수준 H-1 운영체제별 로그정보 점검 운영체제 및 버전별로 생성되는 로그정보를 점검하고 로그생성 및 관리기능을 수행할 수 있다. 3. 작업요소 수행준거 난이도 (1) 조직의 보안목표 문서와 IT환경 설계도를 수집한다. 1 2 ❸ 4 5 (2) (3) (4) 운영체제 및 버전별로 생성되는 로그정보 저장 위치를 파악하고 로그 내용을 분석할 수 있다. 운영체제에서 제공되는 로그정보 관리도구를 이용하여 로그정보의 생성수준, 로그정보 구성요소, 로그정보 저장위치 및 저장공간 등을 설정할 수 있다. 조직의 보안목표에 따라 운영체제별 로그정보가 적절히 생성되며 관리되고 있는지 점검한다 ❹ ❹ ❹ 5 (5) (6) (7) (8) 난이도 평균 ❹ 5 4. 관련 지식 및 기능(Related Knowledge & Skill) 지식(Knowledge) 운영체제별 로그 구성정보 및 관리 운영체제별 보안 관리 기능 기능(Skill) 운영체제별 로그정보 관리도구 사용 기술 운영체제별 보안정책 설정도구 사용 기술 5. 소요 재료 조직의 보안목표 운영체제 보안 관리 매뉴얼 운영체제 로그 관리 매뉴얼 6. 소요 도구 로그정보 관리도구, PDF Reader, 워드프로세서
91 표 H-2 서비스별 로그정보 점검 1. 작업명 작업 단위요소 2. 성취수준 작업 성취수준 H-2 서비스별 로그정보 점검 주요 서비스 및 버전별로 생성되는 로그정보를 점검하고 로그생성 및 관리기능을 수행할 수 있다. 3. 작업요소 수행준거 난이도 (1) 조직의 보안목표 문서와 IT환경 설계도를 수집한다. 1 2 ❸ 4 5 (2) (3) (4) 주요 서비스(FTP, MAIL, WWW, DNS, 보안 DB 등) 및 버전별로 생성되는 로그정보 저장 위치를 파악하고 로그 내용을 분석할 수 있다. 주요 서비스별로 제공되는 로그정보 관리도구를 이용하여 로그정보의 생성수준, 로그정보 구성요소, 로그정보 저장위치 및 저장공간 등을 설정할 수 있다. 조직의 보안목표에 따라 주요 서비스별 로그정보가 적절히 생성되며 관리되고 있는지 점검한다 ❹ ❹ ❹ 5 (5) (6) (7) (8) 난이도 평균 ❹ 5 4. 관련 지식 및 기능(Related Knowledge & Skill) 지식(Knowledge) 기능(Skill) 주요 서비스별 로그 구성정보 및 주요 서비스별 로그정보 관리도구 사용 기술 관리 주요 서비스별 보안정책 설정도구 사용 기술 주요 서비스별 보안 관리 기능 조직의 보안목표 5. 소요 재료 주요 서비스별 보안 관리 매뉴얼 주요 서비스별 로그 관리 매뉴얼 6. 소요 도구 로그정보 분석 도구, PDF Reader, 워드프로세서
92 표 H-3 보안장비 및 네트워크 장비 로그정보 점검 1. 작업명 작업 단위요소 2. 성취수준 작업 성취수준 H-3 보안장비 및 네트워크 장비 로그정보 점검 유무선 네트워크 장비 및 보안장비별로 생성되는 로그정보를 점검하고 로그생성 및 관리기능을 수행할 수 있다. 3. 작업요소 수행준거 난이도 (1) (2) (3) (4) (5) (6) (7) 조직의 보안목표 문서와 IT환경 설계도, 네트워크 구성도를 수집한다. 유무선 네트워크 장비(스위치, 라우터, 무선접속 AP 등)별로 생성되는 로그정보 저장 위치를 파악하고 로그 내용을 분석할 수 있다. 주요 보안 장비(F/W, IDS, IPS)별로 생성되는 로그정보 저장 위치를 파악하고 로그 내용을 분석할 수 있다. 유무선 네트워크 장비별로 제공되는 로그정보 관리도구를 이용하여 로그정보의 생성수준, 로그정보 구성요소, 로그정보 저장위치 및 저장공간 등을 설정할 수 있다. 주요 보안 장비별로 제공되는 로그정보 관리도구를 이용하여 로그정보의 생성수준, 로그정보 구성요소, 로그정보 저장위치 및 저장공간 등을 설정할 수 있다. 조직의 보안목표에 따라 네트워크장비/보안장비별 로그정보가 적절히 생성되며 관리되고 있는지 점검한다. 1 2 ❸ ❹ ❹ ❹ ❹ ❸ 4 5 (8) 난이도 평균 ❹ 5 4. 관련 지식 및 기능(Related Knowledge & Skill) 지식(Knowledge) 기능(Skill) 네트워크/보안장비별 로그 네트워크/보안장비별 로그정보 관리도구 사용 기술 구성정보 및 관리 네트워크/보안장비별 보안정책 설정도구 사용 기술 네트워크/보안장비별 보안 관리 조직의 보안목표 5. 소요 재료 네트워크/보안장비별 보안 관리 매뉴얼 네트워크/보안장비별 로그 관리 매뉴얼 6. 소요 도구 PDF Reader, 워드프로세서
93 표 H-4 로그정보 통합 및 연관성 점검 1. 작업명 작업 단위요소 2. 성취수준 작업 성취수준 H-4 로그정보 통합 및 연관성 점검 운영체제별, 주요 서비스, 유무선 네트워크 장비, 보안장비에서 생성되는 로그정보를 통합하여 분석할 수 있다. 3. 작업요소 수행준거 난이도 (1) (2) (3) (4) (5) (6) 조직의 보안목표 문서와 IT환경 설계도, 네트워크 구성도를 수집한다. 시스템별, 주요 서비스별, 유무선 네트워크 장비별, 보안장비별 보안로그 정보를 통합한다. 시간대별로 통합 보안로그를 정렬하여 내 외부 공격 시도 및 침투 여부를 점검한다. IP 주소를 기준으로 통합 보안로그를 검색하여 내 외부 공격 시도 및 침투 여부를 점검한다. 통합 보안로그를 점검하여 관리자 계정의 불법 접근 및 변경 여부를 점검한다. 1 2 ❸ ❺ ❺ ❺ ❺ (7) (8) 난이도 평균 ❺ 4. 관련 지식 및 기능(Related Knowledge & Skill) 지식(Knowledge) 보안로그 구성요소 보안로그 통합분석 기능(Skill) 시간대별, IP별 연관 분석을 통합 보안로그 분석 기술 통합 보안로그 분석을 통한 취약점 보완 기술 5. 소요 재료 조직의 보안목표 시스템별 로그 정보 주요 서비스별 로그 정보 유무선 네트워크장비/보안장비별 로그 정보 6. 소요 도구 로그정보 분석 도구, PDF Reader, 워드프로세서
94 표 H-5 데이터 백업, 증거 수집 및 침입자 추적 1. 작업명 작업 단위요소 2. 성취수준 작업 성취수준 H-5 데이터 백업, 증거 수집 및 침입자 추적 조직의 주요 정보를 백업하고, 침입이 발생된 경우 침입의 증거를 수집하고 침입자를 추적할 수 있다. 3. 작업요소 수행준거 난이도 (1) (2) (3) (4) 조직의 보안목표 문서와 IT환경 설계도, 네트워크 구성도를 수집한다. 통합 보안로그 분석과정에서 침입 시도 또는 침입이 발견된 경우 침입 대상 시스템 및 장비의 주요 정보 및 보안 설정 정보를 백업한다. 침입대상 시스템을 대상으로 삭제 또는 변경된 파일에 대한 복구 작업을 수행한다. 침입자로 의심되는 사용자 및 발신지 IP를 이용하여 통합 보안로그에서 침입자의 침입경로를 추적한다. 1 2 ❸ ❺ ❺ ❺ (5) (6) (7) (8) 난이도 평균 ❺ 4. 관련 지식 및 기능(Related Knowledge & Skill) 지식(Knowledge) 시스템 및 장비별 백업 통합 보안로그 분석 기능(Skill) 시스템 및 주요 장비별 자료 백업 기술 통합 보안로그 분석을 통한 침입자 추적 기술 사용자 및 IP 기반 침입경로 추적 기술 5. 소요 재료 통합 보안로그 정보 6. 소요 도구 PDF Reader, 워드프로세서
95 표 I-1 조직의 요구사항 파악 1. 작업명 작업 단위요소 2. 성취수준 작업 성취수준 I-1 조직의 요구사항 파악 컨설팅 대상 조직이 목표로 하는 보안 요구사항을 수집하고 분석할 수 있다. 3. 작업요소 수행준거 난이도 (1) 조직이 수행하는 핵심 비즈니스 내용 및 목적을 수집, 정리한다 ❹ 5 (2) (3) 컨설팅 대상 조직의 요구사항과 조직을 구성하는 물리적 환경 및 IT 환경, 기업정보 및 개인정보보호 조직에 대한 정보를 수집한다. 조직에서 제공하는 주요 서비스 및 네트워크 구조 정보를 수집한다 ❹ ❸ 4 5 (4) (5) (6) (7) (8) 난이도 평균 ❹ 5 4. 관련 지식 및 기능(Related Knowledge & Skill) 지식(Knowledge) 기능(Skill) 조직의 핵심 비즈니스 내용 조직의 구조 및 기능 정보 조직의 핵심 비즈니스 내용 분석 기술 IT 환경 및 네트워크 분석 및 기술 5. 소요 재료 조직의 비즈니스 목표 문서 조직의 구성 및 업무 분장 정보 6. 소요 도구 PDF Reader, 워드프로세서
96 표 I-2 IT현황 및 자산 파악 1. 작업명 작업 단위요소 2. 성취수준 작업 성취수준 I-2 IT현황 및 자산 파악 컨설팅 대상 조직의 보안목표를 이해하고 보호대상 정보자산을 파악하며 각 자산별 중요도를 평가할 수 있다. 3. 작업요소 수행준거 난이도 (1) (2) (3) (4) 조직의 보안목표 문서와 IT환경 설계도, 네트워크 구성도를 수집한다. 조직의 보안목표 달성을 위해 보호가 필요한 중요 정보자산을 식별하고 분류할 수 있다. 보호대상 정보자산에 대한 비밀성, 무결성, 가용성 측면의 중요도를 평가할 수 있다. 보호대상 정보 자산의 기능과 저장 위치, 그리고 각 정보 자산에 접근할 수 있는 사용자 또는 역할에 대한 정보를 수집, 분석한다. 1 2 ❸ ❹ ❹ ❹ 5 (5) (6) (7) (8) 난이도 평균 ❹ 5 4. 관련 지식 및 기능(Related Knowledge & Skill) 지식(Knowledge) 조직의 정보보호 목표 조직의 정보자산 중요도 조직의 사용자 종류 정보자산 수집 및 분류 기술 기능(Skill) 조직의 사용자 또는 역할정보 수집 및 분석 기술 5. 소요 재료 조직의 보안목표 문서 조직의 정보자산 목록 문서 조직의 사용자 목록 문서 6. 소요 도구 PDF Reader, 워드프로세서
97 표 I-3 관련 법령 검토 1. 작업명 작업 단위요소 2. 성취수준 작업 성취수준 I-3 관련 법령 검토 조직의 비즈니스 수행과 관련된 정보보호 법률 및 제도 내용을 조사, 분석한다. 3. 작업요소 수행준거 난이도 (1) 조직의 비즈니스 내용 및 보안목표 문서를 수집한다. 1 2 ❸ 4 5 (2) 조직의 비즈니스 내용과 관련된 법률 및 규정 정보를 수집한다. 1 2 ❸ 4 5 (3) (4) 조직의 비즈니스 수행 중 발생될 수 있는 정보보호 의무사항 위반 시 적용되는 법률 및 규정 정보를 수집한다. 정보보호 관련 법률 및 규정을 준수하기 위해 필요한 조직의 물리적, 관리적 보안대책을 수립한다. 1 2 ❸ ❹ 5 (5) (6) (7) (8) 난이도 평균 ❹ 5 4. 관련 지식 및 기능(Related Knowledge & Skill) 지식(Knowledge) 기능(Skill) 조직의 비즈니스 종류 및 목표 정보보호 관련 법률 및 규정 정보보호 관련 법률의 목적 및 주요 내용 이해 조직의 물리적, 관리적 보안대책 이해 5. 소요 재료 조직의 비즈니스 설명 문서 조직의 보안목표 문서 정보보호 관련 법률 및 규정 목록 6. 소요 도구 PDF Reader, 워드프로세서
98 표 J-1 내 외부 위협 분석 1. 작업명 작업 단위요소 2. 성취수준 작업 성취수준 J-1 내 외부 위협 분석 조직의 비즈니스 목표와 내용, IT 환경 및 네트워크 구성, 내 외부 사용자 등을 분석하여 전체적인 위협 요인을 분석할 수 있다. 3. 작업요소 수행준거 난이도 (1) 조직의 비즈니스 목표 및 세부 비즈니스 관련 문서를 수집한다. 1 2 ❸ 4 5 (2) 조직의 IT환경 설계도 및 네트워크 구성도를 수집한다. 1 2 ❸ 4 5 (3) 조직 내의 주체(사용자), 객체(자원), 접근 연산에 대한 정보를 분석한다 ❹ 5 (4) 조직 내 외부 사용자로부터의 위협 요인을 분석한다 ❹ 5 (5) (6) (7) IT 환경을 구성하는 서버, PC, 상용 패키지, 자사 개발 패키지로부터의 위협요인을 분석한다. 조직의 네트워크를 구성하는 네트워크 장비, 보안장비로부터의 위협요인을 분석한다 ❹ ❹ 5 (8) 난이도 평균 ❹ 5 4. 관련 지식 및 기능(Related Knowledge & Skill) 지식(Knowledge) 조직의 IT환경 이해 조직의 네트워크 구성 이해 보안위협에 대한 이해 기능(Skill) IT 환경을 구성하는 시스템별 보안위협 분석 기술 네트워크 장비 및 보안장비별 보안위협 분석 기술 5. 소요 재료 조직의 비즈니스 목표 및 내용 관련 문서 조직의 IT 환경 설계도 및 네트워크 구성도 6. 소요 도구 PDF Reader, 워드프로세서
99 표 J-2 자산별 취약점 분석 1. 작업명 작업 단위요소 2. 성취수준 작업 성취수준 J-2 자산별 취약점 분석 조직의 비즈니즈 목표를 달성하기 위한 H/W(PC, 서버, 네트워크 및 보안장비), S/W(운영체제, 상용 및 자가 개발 패키지), 데이터(기업정보 및 고객정보)에 대한 취약점을 분석한다. 3. 작업요소 수행준거 난이도 (1) (2) (3) (4) (5) (6) 조직의 비즈니스 목표, IT 환경 설계도, 네트워크 구성도 및 내 외부 보안 위협에 대한 정보를 수집한다. 조직의 H/W 자산(PC, 서버, 네트워크 및 보안장비), S/W 자산(운영체제, 상용 및 자가 개발 패키지), 정보자산(기업정보 및 고객정보)을 조사하고 식별한다. 조직의 비즈니스 목표를 기준으로 보호대상 자산별 중요도를 결정한다. IT환경을 구성하는 서버, 개인용 PC에 설치된 운영체제별로 취약점을 분석한다. IT환경을 구성하는 상용 패키지 및 자사 개발 패키지에 대한 취약점을 분석한다. 1 2 ❸ ❹ ❹ ❹ ❹ 5 (7) (8) 난이도 평균 ❹ 5 4. 관련 지식 및 기능(Related Knowledge & Skill) 지식(Knowledge) 조직의 IT환경 이해 조직의 네트워크 구성 이해 보안위협에 대한 이해 기능(Skill) IT 환경을 구성하는 시스템별 취약점 분석 기술 네트워크 장비 및 보안장비별 취약점 분석 기술 5. 소요 재료 조직의 비즈니스 목표 및 내용 관련 문서 조직의 IT 환경 설계도 및 네트워크 구성도 조직의 H/W, S/W, 정보 자산 목록 6. 소요 도구 PDF Reader, 워드프로세서
100 표 J-3 취약점 점검 보고서 작성 1. 작업명 작업 단위요소 2. 성취수준 작업 성취수준 J-3 취약점 점검 보고서 작성 조직의 H/W, S/W, 정보 자산에 대한 보안 위협 및 취약점 점검 결과를 통합하여 정리할 수 있다. 3. 작업요소 수행준거 난이도 (1) (2) (3) (4) (5) (6) (7) (8) 조직의 비즈니스 목표, IT 환경 설계도, 네트워크 구성도 및 내 외부 보안 위협 및 취약점 분석 결과 정보를 수집한다. 조직의 H/W 자산(PC, 서버, 네트워크 및 보안장비)에 대한 중요도, 내 외부 위협 및 취약점 분석 내용을 정리한다. 조직의 S/W 자산(운영체제, 상용 및 자가 개발 패키지)에 대한 중요도, 내 외부 위협 및 취약점 분석 내용을 정리한다. 조직의 정보 자산(기업정보 및 고객정보)에 대한 중요도, 내 외부 위협 및 취약점 분석 내용을 정리한다. 난이도 평균 1 2 ❸ ❸ ❸ ❸ ❸ 관련 지식 및 기능(Related Knowledge & Skill) 지식(Knowledge) 조직의 IT환경 이해 조직의 네트워크 구성 이해 보안위협에 대한 이해 H/W, S/W, 정보 자산에 대한 이해 기능(Skill) IT 환경을 구성하는 시스템별 취약점 분석 기술 네트워크 장비 및 보안장비별 취약점 분석 기술 5. 소요 재료 조직의 비즈니스 목표 및 내용 관련 문서 조직의 IT 환경 설계도 및 네트워크 구성도 조직의 내 외부 위협 분석 문서 조직의 H/W, S/W, 정보자산에 대한 취약점 분석 결과 문서 6. 소요 도구 PDF Reader, 워드프로세서
101 표 K-1 정보보호 정책 수립 및 적용 1. 작업명 작업 단위요소 2. 성취수준 작업 성취수준 K-1 정보보호 정책 수립 및 적용 조직의 비즈니스 목표와 보안 취약점 보고서를 기초로 정보보호 전략, 정보보호 체계 및 정보보호 정책을 수립하고 적용할 수 있다. 3. 작업요소 수행준거 난이도 (1) 조직의 비즈니스 목표 및 취약점 점검 보고서를 수집한다. 1 2 ❸ 4 5 (2) (3) (4) (5) (6) (7) (8) 조직의 세부 비즈니스별 중요도와 보안 취약점을 고려하여 정보보호 전략을 수립한다. 수립된 정보보호 전략을 구체적으로 실행하기 위한 세부 전략 및 정보보호 체계를 수립한다. 조직의 정보보호 전략을 구체적으로 적용할 수 있도록 H/W, S/W, 정보 자산별 보안정책 작성방식에 따라 보안정책을 작성한다. 시스템 및 장비별 보안정책 작성규칙에 따라 작성된 보안정책들을 적용한다. 난이도 평균 ❹ ❹ ❹ ❹ ❹ 5 4. 관련 지식 및 기능(Related Knowledge & Skill) 지식(Knowledge) 조직의 IT환경, 네트워크 구성 이해 정보보호 전략, 체계, 정책 이해 H/W, S/W, 정보 자산에 대한 이해 기능(Skill) 정보보호 전략, 체계 작성 기술 장비 및 시스템별 보안정책 작성 기술 5. 소요 재료 조직의 비즈니스 목표 및 내용 관련 문서 조직의 IT 환경 설계도 및 네트워크 구성도 조직의 내 외부 위협 분석 문서 조직의 H/W, S/W, 정보자산에 대한 취약점 분석 결과 문서 6. 소요 도구 PDF Reader, 워드프로세서
102 표 K-2 시험 및 검증 1. 작업명 작업 단위요소 2. 성취수준 작업 성취수준 K-2 시험 및 검증 조직의 시스템 및 장비에 적용된 보안정책이 조직의 보안목표에 부합되는지 시험하고 검증할 수 있다. 3. 작업요소 수행준거 난이도 (1) 조직의 보안목표, 정보보호 전략 및 체계를 수집한다. 1 2 ❸ 4 5 (2) 조직의 시스템 및 장비에 적용된 보안정책을 수집한다 ❹ 5 (3) 조직의 H/W, S/W, 정보자산에 대한 취약점 분석문서를 수집한다 ❹ 5 (4) 장비 및 시스템별 보안 취약점에 대해 취약점 점검도구 및 시험 데이터를 이용하여 보안정책이 적절히 설정되었는지 점검한다 ❺ (5) (6) (7) (8) 난이도 평균 ❹ 5 4. 관련 지식 및 기능(Related Knowledge & Skill) 지식(Knowledge) 조직의 IT환경, 네트워크 구성 이해 정보보호 전략, 체계, 정책 이해 H/W, S/W, 정보 자산별 취약점 기능(Skill) 시스템 및 장비별 취약점 점검도구 활용 기술 시스템 및 장비별 취약점 점검용 데이터 작성 기술 5. 소요 재료 조직의 비즈니스 목표 및 내용 관련 문서 조직의 IT 환경 설계도 및 네트워크 구성도 조직의 H/W, S/W, 정보자산에 대한 취약점 분석 결과 문서 조직의 정보보호 전략, 체계 및 정책 6. 소요 도구 PDF Reader, 워드프로세서
103 표 K-3 정보보호 대책 구현 1. 작업명 작업 단위요소 2. 성취수준 작업 성취수준 K-3 정보보호 대책 구현 조직의 보안목표를 구체적으로 집행하기 작성된 보안정책에 대한 평가결과를 토대로 정보보호 대책을 구현할 수 있다. 3. 작업요소 수행준거 난이도 (1) 조직의 보안목표, 정보보호 전략 및 체계를 수집한다. 1 2 ❸ 4 5 (2) 조직의 H/W, S/W, 정보자산에 대한 취약점 분석문서를 수집한다 ❹ 5 (3) 조직의 보안목표 달성을 위한 인적보안, 물리적 보안 대책을 개발한다 ❺ (4) 조직의 보안목표 달성을 암호 및 접근통제 대책을 개발한다 ❺ (5) (6) 조직의 보안목표 달성을 위한 보안사고, 모니터링 및 감사 대책을 개발한다 ❺ (7) (8) 난이도 평균 ❹ 5 4. 관련 지식 및 기능(Related Knowledge & Skill) 지식(Knowledge) 조직의 IT환경, 네트워크 구성 이해 정보보호 전략, 체계, 정책 이해 H/W, S/W, 정보 자산별 취약점 기능(Skill) 인적보안, 물리적 보안 대책 개발 기술 암호 및 접근통제 대책 개발 기술 보안사고, 모니터링 및 감사 대책 개발 기술 5. 소요 재료 조직의 비즈니스 목표 및 내용 관련 문서 조직의 H/W, S/W, 정보자산에 대한 취약점 분석 결과 문서 조직의 정보보호 전략, 체계 및 정책 6. 소요 도구 PDF Reader, 워드프로세서
104 표 K-4 정보보호 정책 교육 1. 작업명 작업 단위요소 2. 성취수준 작업 성취수준 K-4 정보보호 정책 교육 조직의 보안목표 달성을 위한 정보보호 전략, 체계 및 대책들을 구성원들에게 교육할 수 있다. 3. 작업요소 수행준거 난이도 (1) (2) (3) (4) (5) 조직의 보안목표, 정보보호 전략, 체계 및 대책에 대한 문서를 수집한다. 조직의 H/W, S/W, 정보 자산에 대한 정보보호 정책 자료를 수집한다. 조직 구성원들을 대상으로 조직의 보안목표, 정보보호 전략 및 체계, 대책에 대한 교육자료를 개발하고 교육을 실시한다. 조직의 IT 주요 자산(H/W, S/W, 정보)별 정보보호 정책을 해당 자산의 관리, 운용 담당자에 교육할 수 있는 자료를 개발하고 교육을 실시한다. 1 2 ❸ ❸ ❹ ❹ 5 (6) (7) (8) 난이도 평균 ❹ 5 4. 관련 지식 및 기능(Related Knowledge & Skill) 지식(Knowledge) 조직의 비즈니스 목표 정보보호 전략, 체계, 정책 이해 기능(Skill) 정보보호 전략, 체계, 정책 교육자료 개발 정보보호 정책 교육자료 개발 5. 소요 재료 조직의 비즈니스 목표 및 내용 관련 문서 조직의 정보보호 전략, 체계 및 정책 6. 소요 도구 PDF Reader, 워드프로세서
105 표 L-1 정보보호 체계 재검토 1. 작업명 작업 단위요소 2. 성취수준 작업 성취수준 L-1 정보보호 체계 재검토 조직의 목안목표와 현재 적용 중인 정보보호 체계, 대책 및 정책 간 일관성을 검토하고 수정과 보완이 필요한 부분을 도출해 낼 수 있다. 3. 작업요소 수행준거 난이도 (1) (2) (3) (4) (5) (6) (7) (8) 조직의 보안목표와 현재 적용되고 있는 조직의 정보보호 체계, 대책 및 정책 정보를 수집한다. 조직의 비즈니스 내용, 조직 구조, 업무 프로세스의 변경 등 내부적인 변화요인이 있었는지 점검한다. 조직의 비즈니스 관련 법률, 규정의 변화 등 외부적인 변화요인이 있었는지 점검한다. 조직의 내 외부 변화에 따라 보안목표에 변경이 필요한지 점검한다. 조직의 보안목표가 변경된 경우 정보보호 체계, 대책 및 정책 등에 대해 변경범위, 변경사항을 작성한다. 난이도 평균 1 2 ❸ ❹ ❹ ❹ ❺ ❹ 5 4. 관련 지식 및 기능(Related Knowledge & Skill) 지식(Knowledge) 기능(Skill) 조직의 비즈니스 내용 및 보안 목표 조직의 정보보호 체계, 대책 및 정책 조직의 비즈니즈 관련 법률, 규정 조직의 비즈니즈 관련 내 외부 변화요인 파악 내 외부 변화에 따른 정보보호 체계, 대책, 정책 수정 5. 소요 재료 조직의 비즈니스 목표 및 내용 관련 문서 조직의 정보보호 전략, 체계 및 정책 조직의 비즈니스 관련 법률, 규정 6. 소요 도구 PDF Reader, 워드프로세서
106 표 L-2 사후 조치 및 모니터링 1. 작업명 작업 단위요소 2. 성취수준 작업 성취수준 L-2 사후 조치 및 모니터링 조직의 보안목표 달성을 위해 주요 장비 및 정보시스템에 대한 일상적인 모니터링을 실시하고 발견된 문제점들에 대한 조치를 취할 수 있다. 3. 작업요소 수행준거 난이도 (1) (2) (3) (4) (5) (6) (7) (8) 조직의 보안목표와 현재 적용되고 있는 조직의 정보보호 체계, 대책 및 정책 정보를 수집한다. 조직의 IT환경을 구성하는 주요 시스템과 네트워크를 구성하는 장비와 보안장비들을 식별한다. 각 시스템, 네트워크 장비 및 보안장비에서 발생된 관리정보와 보안로그를 종합적으로 검토하여 접근 위반 등 보안위반 사건에 대한 모니터링을 실시한다. 수집된 보안위반에 대해 각 시스템이나 장비에서 설정된 보안정책에 따라 적절히 처리되고 있는지 점검한다. 보안위반 사건 등 조직의 보안목표 달성에 문제가 될 수 있는 사건들에 대한 보안정책이 적절하지 않은 경우 보완 내용을 작성한다. 난이도 평균 1 2 ❸ ❹ ❺ ❹ ❺ ❹ 5 4. 관련 지식 및 기능(Related Knowledge & Skill) 지식(Knowledge) 기능(Skill) 조직의 비즈니스 내용 및 보안 목표 조직의 정보보호 체계, 대책 및 정책 정보시스템, 장비별 보안 로그 이해 조직의 정보시스템, 장비별 보안 로그 분석 보안위반 사건에 대해 적용되는 보안정책 적절성 분석 5. 소요 재료 조직의 비즈니스 목표 및 내용 관련 문서 조직의 정보보호 전략, 체계 및 정책 정보시스템 및 장비별 보안 로그 6. 소요 도구 PDF Reader, 워드프로세서
107 표 L-3 내부 감사 1. 작업명 작업 단위요소 2. 성취수준 작업 성취수준 L-3 내부 감사 조직의 보안목표 달성을 위해 실시되고 있는 감사의 기준, 범위, 주기 및 방법을 적절성을 평가하고 감사보고서를 작성할 수 있다. 3. 작업요소 수행준거 난이도 (1) (2) (3) (4) (5) 조직의 보안목표와 현재 적용되고 있는 조직의 정보보호 체계, 대책 및 정책 정보를 수집한다. 조직의 정보보호 체계 또는 대책에 포함된 감사 목적, 기준, 범위, 주기 및 방법 등을 식별한다. 조직을 구성하는 부서단위별 조직의 정보보호 대책 및 정책을 규정된 대로 집행하고 있는지 점검한다. 조직의 정보보호 체계, 대책 및 정책 집행에 대한 감사 기록을 정리하고 최고 경영진에게 보고할 감사보고서를 작성한다. 1 2 ❸ ❹ ❹ ❹ 5 (6) (7) (8) 난이도 평균 ❹ 5 4. 관련 지식 및 기능(Related Knowledge & Skill) 지식(Knowledge) 기능(Skill) 조직의 비즈니스 내용 및 보안 목표 조직의 정보보호 체계, 대책 및 정책 조직의 부서별 정보보호 대책 및 정책 집행 내용 감사 조직의 부서별, 전체 감사 보고서 작성 5. 소요 재료 조직의 비즈니스 목표 및 내용 관련 문서 조직의 정보보호 전략, 체계 및 정책 6. 소요 도구 PDF Reader, 워드프로세서
108 3.4 정보보안 기사 산업기사 교과목 분석 교육훈련코스 정보보안 관련 교육기관 2009년 현재 정보보안 관련 고등교육기관은 4년제 대학 15개교, 전문대학 4개교, 대 학원(전문대학원, 특수대학원 포함) 16개교가 있다[3]. 4년제 대학의 경우 2009년 현 재 재적생 수는 2,586명에 이르며 전임교원의 수는 57명, 2009년의 배출인력은 총 382명이다. 전문대학의 경우 주로 인터넷 보안, 해킹, 사이버수사 등에 관한 실무교육 이 이루어지고 있으며 자격증 취득을 위한 교육도 활발한 편으로 2009년에는 250명이 재학 중이며 14명이 배출되었다. 전문대학원과 특수대학원을 포함한 대학원의 경우 2009년을 기준으로 총 재적 학생 수는 704명이고 2009년 배출인력은 186명이다. 민간교육기관에 의한 정보보호 관련 교육과정은 6개월 정도의 전문지식을 교육하는 과 정과 정보보안 자격증 취득을 위한 교육과정으로 분류되어 진행되고 있다. 대학과 전 문대학, 그리고 대학원 등 정규교육기관 외에도 정보보호 관련 인력을 양성하기 위한 정부지원 인력양성 프로그램들이 다양하게 시행되고 있으며, 대표적인 교육 프로그램 으로는 지식경제부와 한국인터넷진흥원이 추진 중인 고급인력양성 프로그램으로는 고 용계약형 지식정보보안 석사과정과 핵심인력 양성과정 등이 있다 정보보안 기사, 산업기사 교과목 도출 정보보안 기사, 산업기사 필기 교과목은 표 3-51과 같이 직무분석을 통해 얻어진 작 업단위와 작업단위 요소, 관련 지식 등을 토대로 도출하였다
109 정보보안 시스템 및 솔루션 개발 작업단위 No 작업단위 요소 관련 지식 과목 내용 A 정보보안 시스템 요구사항 분석 B 정보보안 시스템 설계 C 정보보안 시스템 구현 D 정보보안 시스템 시험 표 직무분석을 통한 교과목 도출 A-1 보안기능 요구사항 수집, 작성 A-2 보증 요구사항 수집, 작성 A-3 시스템 개발 및 동작환경 특성 분석 A-4 보안 요구사항 명세서 작성 B-1 요소 보안기술 결정 B-2 보안 아키텍처 설계 B-3 모듈 단위 기능 정의 및 설계 B-4 설계서 작성 C-1 설계서에 대한 기술 검토 C-2 개발환경 구축 및 코딩 C-3 구현 관련 문서 작성 D-1 모듈 단위 시험 D-2 통합 시험 D-3 버그 수정 및 보완 개발 D-4 시험 결과보고서 작성 조직의 비즈니스 목표 및 IT 환경 분석 요구사항 도출을 위한 면접 및 조사정보 분석 공통평가기준 지식 보안요소기술별 목적 및 특징 이해 시스템 설계 지식 S/W 기능정의, 자료구조 정의 프로그래밍 지식 통합개발도구 설치 및 활용 프로그램 디버깅 지식 통합개발도구 및 디버거 활용 시험데이터 설계, 생성 1. 시스템 보안 2. 네트워크 보안 1. 시스템 보안 2. 네트워크 보안 3. 어플리케이션 보안 4. 정보보호 일반 E 보안목표 파악 및 보안정책 관리 E-1 E-2 E-3 E-4 조직의 보안목표 파악 조직의 IT환경 특징 및 위협 파악 보안정책 작성 및 적용 보안정책 이력 관리 조직의 비즈니스 목표 및 자산 분석 IT환경 및 관리적 보안 취약점 분석 보안정책 집행을 위한 시스템, 장비별 설정 정보보안 시스템 운영 및 관리 F 시스템 및 네트워크 보안특성 파악 G 취약점 점검 및 보완 F-1 운영체제별 보안특성 파악 F-2 프로토콜 특징 및 취약점 파악 F-3 서비스별 보안특성 파악 F-4 F-5 G-1 보안장비 및 네트워크장비 보안특성 파악 관리대상시스템 및 네트워크구조 파악 운영체제 및 버전별 취약점 점검, 보완 G-2 서비스 및 버전별 취약점 점검, 보완 G-3 보안장비 및 네트워크장비 취약점 점검, 보완 G-4 취약점 점검 및 보완 사항 이력관리 주요 운영체제 보안특성 이해 프로토콜 동작 취약점 이해 네트워크장비별 기능, 동작 특성 이해 보안장비별 기능, 설정 및 관리방법 이해 보안취약점 정보 습득 스캐닝 도구 및 취약점 점검도구 활용 취약점 점검내용 정리 및 보고서 작성 운영체제 및 보안장비 로그분석 기술 1. 시스템 보안 2. 네트워크 보안 3. 어플리케이션 보안 4. 정보보호 일반 H-1 운영체제별 로그정보 점검 H 관제 및 대응 H-2 서비스별 로그정보 점검 H-3 보안장비 및 네트워크장비 로그정보 점검 H-4 로그정보 통합 및 연관성 분석 H-5 데이터 백업, 증거 수집 및 침입자 추적 운영체제 및 서비스별 로그 구성요소 이해 로그에 대한 통합분석 백업 및 복원도구 활용 IP, 시간정보 등에 의한 침입자 추적기술
110 작업단위 No 작업단위 요소 관련 지식 과목 내용 I 정보보안 계획수립 I-1 I-2 I-3 IT현황 및 자산 파악 조직의 요구사항 파악 관련 법령 검토 조직의 자산 및 중요도 평가 보안요구사항 조사 및 분석 기술 정보보안 관련 법규 정보보안 정책관리 및 관련 법규 이해 J 위험분석 K 정보보안 정책 구현 J-1 J-2 내 외부 위협 분석 자산별 취약점 분석 정보시스템 및 IT환경에 대한 위협 종류 조직의 관리적, 기술적 J-3 취약점 점검 보고서 작성 보안대책 평가 취약점 분석 및 평가 K-1 정보보호 정책 수립 및 적용 정보보호정책 작성 및 검증 K-2 시험 및 검증 취약점 점검 및 공격도 구 활용 K-3 정보보호 대책 구현 관리적/기술적 보안조치 개인정보보호정책 및 개 K-4 정보보호정책 교육 인정보취급방침 이해 정보보안 관련 법규 5. 정보보안관리 및 법규 L 사후관리 L-1 L-2 정보보호 체계 재검토 사후 조치 및 모니터링 정보보호정책 타당성 분석 정보보호관리체계 L-3 내부 감사 개인정보보호관리체계 정보보안 관련 법규 교과목 일람표 정보보안 전문인력을 양성하고 있는 국내 대학과 대학원의 정보보안 전공 관련 학과의 경우 정보보호학과, 정보보안학과, 전산정보보호학과, 정보보호시스템학과, 사이버수사 경찰학부, 금융보안학과, 디지털포렌식학과, 정보보안 해킹과, U-사이버보안과, 컴퓨터 정보보안과 등이 있으며 대학원, 대학 및 전문대학 교과목을 정보보안 기사, 산업기사 필기시험 교과목과 연관성을 분석한 내용은 표 3-52와 같다
111 표 정보보안 전공 대학원, 대학 및 전문대학 교과목 분석 정보보안 기사, 산업기사 예정 시험과목 관련학과 교과목 (대학원) 관련학과 교과목 (4년제) 관련학과 교과목 (2년제) 1. 시스템 보안 운영체제분석(경기) 커널,라우터분석/보안(경기) 윈도우2000보안(경기) 컴퓨터구조(고려) OS보안(고려/대전/전남) 시스템보안특론(고려) 시스템보안(대전) 유비쿼터스 컴퓨팅 보안(부경) 유닉스및리눅스보안(부경/전남) 분산시스템보안(전남) 침입대응기술(전남) 유비쿼터스컴퓨팅보안(전남) 윈도우보안(경기) 보안운영체제(부경) 침입탐지이론(경북) 인터넷시스템 보안(경북) 운영체제보안(순천향/호서/호원) 시스템해킹과 보안설정(건양) 시스템보안(대구/호원/세종) 침입차단및탐지(순천향) 윈도우 보안 실습(동주) 리눅스 보안 실습(동주) 침입감지 시스템(호원) 운영체제(동명/목포/세종) 시스템 분석 및 설계(동명) 시스템 취약성 분석(동명) 침입탐지시스템실습(동명) 컴퓨터구조(목포/세종) 컴퓨터 시스템 보안(목포) 침입 차단&탐지(목포) 시스템보안과 운영실습(서울) 운영체제론(세명) 유닉스 및 리눅스 시스템(세종) 정보시스템개론(세종) 침입탐지시스템(세종) 보안윈도우서버(우석) 보안리눅스 및 유닉스 기초(우석) 침입 차단 및 탐지(우석) 침입 탐지와 차단 시스템(서울) 모바일보안(순천향) 네트워크보안(아주/호서/호원) 컴퓨터및네트워크보안(숭실) 네트워킹해킹과보안(건양) 웹해킹대응실무(건양) 웹서버보안프로그래밍(건양) 인터넷응용보안(건양) 컴퓨터통신보안(대전) 암호프로토콜(건양) 네트워크 포렌식 총론(호원) 인터넷보안실습(동주) 인터넷보안(순천향/우석/목포) 컴퓨터 네트워크(동명/세명) 인터넷 프로토콜(동명) 보안 프로토콜 설계(동명) 암호프로토콜(동명) 네트워크 보안(동명) 컴퓨터네트워크(목포) 데이터 통신(목포) 네트워크 보안과 프로그래밍 실습 (서울) 네트워크보안응용(세명) 컴퓨터통신(세종) 암호 프로토콜(세종) 네트워크보안(세종) 보안컴퓨터네트워크(우석) 모바일 보안(우석) 시스템 보안 실습(대덕) 시스템 보안 실무(대덕) 시스템 보안(조선) 운영체제 보안(재활) 시스템 보안(재활) 2. 네트워크 보안 네트워크분석(경기) 컴퓨터 네트워크(경기/고려/전남 /경북) 무선인터넷보안(경기/전남) 라우터분석(경기) 정보보호 응용 프로토콜(고려) 이동통신보안(고려/부경) 정보보호프로토콜(고려/대전/ 부경/경북) 통신보안특론(고려) 네트워크보안(대전/부경) 이동및무선컴퓨팅보안(부경) 인터넷프로토콜(부경) 이동컴퓨팅특강(전남) 이동인터넷프로토콜(전남) 보안 프로토콜(전남) 무선인터넷프로토콜(전남) 차세대네트워크보안(전남) 인터넷보안(전남) 전산망 보안(경북) 모바일정보보안(경북) 네트워크 보안(대덕) 네트워크 보안 실무(대덕) 해킹/네트워크 시스템(대덕) 네트워크 관리 및 보안(조선) 네트워크 보안(재활) 인터넷보안(대덕) 3. 어플리케이션 보안 데이터베이스보안(경기/고려/ 부경/전남) 해킹바이러스(경기) DB 보안&설계(경기) 스마트카드보안(순천향) 데이터베이스보안설정(건양/호서/ 호원) 침입차단시스템(건양) 콘텐츠 보안(DRM) 어플리케이션보안(재활) 바이러스 및 해킹기법(조선) 해킹 및 바이러스 실습(재활)
112 4. 정보보안 일반 악성코드(고려) 디지털포렌식기술(고려) 멀티미디어보안(고려) 역공학기법(고려) 디지털포렌식특론(고려) 해킹과바이러스(대전) 자바보안(부경) 컴퓨터해킹및바이러스방지기술 (부경) 컨텐츠보호기술(부경) 에이전트보안기술(부걍) 웹및인터넷보안(부경) XML보안(부경) 사이버포렌식(전남) 컴퓨터 바이러스 연구(전남) 시멘틱웹보안(전남) 전자상거래보안(부경/전남) 컴퓨터바이러스(경북) 멀티미디어컨텐츠보호(경북) 암호학(경기/대전/부경/전남) 공개키(경기/부경) 최신정보보호(경기) 정보보호아키텍처설계(경기) 정보보호(고려) 정보보호응용 및 실습(고려) 정보보호이론(고려) 보안공학(고려) 사이버보안개론(고려) 정보은닉이론(고려/전남) 실용암호(고려) 현대암호학(고려) 키관리(고려) 블록암호(고려) 스트링암호(고려) 전자서명(고려) 보안토큰(고려) 암호알고리즘특론(고려) 양자암호특론(고려) 정보보호학 개론(대전/전남) 정보보호 기술(대전) 정보보호 소프트웨어(대전) 정보보호개론(부경) 고등암호론(부경) 정보및통신보안(전남) 암호론특강(전남) 정보전(고려) 사이버테러대응세미나(한세) 정보보호영상특론(한세) 인증시스템(대전) 정보 은닉(경북) 정보보호학(경북) 암호수학(경북) 고등암호수학(경북) 생체인증(경북) 해킹 및 바이러스(순천향) 컨텐츠보안(순천향/호서) 컴퓨터포렌식(호서) 보안프로그래밍(호원) 정보보호 소프트웨어(호원) 웹 어플리케이션 보안(호원) 사이버포렌식총론(호원) 전자상거래보안(순천향/건양/대전/ 목포/서울/세종) 암호프로그래밍(동명) 해킹 및 악성코드 대응(동명) 서버시스템 구축(동명) DB 보안(목포) Hacking&Virus(목포) Smart-Card 보안(목포) 악성코드(서울) 컨텐츠 보안(세종) 해킹/바이러스 실습(세종) 보안자료구조(우석) 보안데이터베이스서버(우석) 웹프로그래밍보안(우석) 해킹 및 바이러스 대응(우석) 컴퓨터 포렌식스(우석) 암호학(순천향/건양/호원/동명/ 목포) 컴퓨터보안(한남/기술) 정보보호(건양) 정보보호개론(건양/기술/호원/동명/ 세명) 정보보안공학(대전) 인증시스템(호원) 암호 수학(중부) 정보보안 실무 영어(중부) PC보안(호원) 보안 솔루션 프로젝트(호원) 암호화 알고리즘(호원) 해킹및대응기술(중부) 사이버테러 정보전(중부) 정보보호 프로젝트(호서) 해킹및보안실습(호원) 해킹과보안(동주) 생체 인증 시스템(동명) 정보보호 공학 개론(목포) 현대암호학기초(서울) 현대암호학 응용 및 실습(서울) 정보보호 산업기술 최신 동향(서울) 최신정보보호기술(서울) 컴퓨터 보안(세명) 사이버보안공학(세종) 인터넷개론(세종) 암호이론(세종) 기초암호알고리즘(세종) 정보보호응용(세종) 보안과 해킹(세종) 정보보안 세미나(세종) 정보보안실습(세종) 정보보안의 이해(우석) 정보보안기술(우석) 전자상거래 보안(조선) 정보보호개론(대덕/재활) 암호학(대덕/재활) 정보보안학(조선) 암호처리 및 분석(조선) 사이버범죄(조선)
113 5. 정보보안관리 및 법규 (정보보안 기사 자격시험에 한함) 정보보호정책론(경기/고려/ 부경) 컴퓨터범죄학(경기) 사이버테러&정보전(경기) 정보보호시스템관리(경기) 사이버법률(고려) 디지털포렌식법률(고려) 개인정보보호특론(고려) 보안장비운영방법론(고려) 산업보안총론(고려) 프라이버시향상기술론(고려) 정보보안법제세미나(고려) 전자금융보안론(고려) 보안소프트웨어개발방법론(고려) 디지털포렌식정책(고려) 고급사이버 법률(고려) 정보보호시스템평가방법론(고려/ 부경/한세) 정보보호관리(고려) 국가정보학(고려) 국가보안학(고려) 사이버 윤리(대전) 정보보호 컨설팅(대전/) 정보시스템보안관리(부경/전남/ 고려) 정보윤리및정보보호법(부경) 정보화관계법(부경) 정보보호시스템(전남) 정보보호법(전남) 정보사회와사이버윤리(전남) 검증및평가기술(전남) 보안정책론(전남) 정보보호시스템 설계(경북) 정보보호관리(경북) 프라이버시 보호(경북) 암호기술(우석) 인증시스템(우석) 정보보호특강(우석) 정보보호시스템설계(순천향) 서비스 보안 및 정책(순천향) 정보보호법과 윤리(순천향) 정보보호평가관리인증(순천향) 침해대응체계구축및운영(건양) 정보보호관리와법규(건양) 해킹사고분석실무(건양) 모의해킹취약점분석(건양) 정보보호응용(순천향) 정보보호 수준평가 및 분석(호원) 인터넷윤리(중부) 정보보호 특론(중부) 정보보호 특강(호서) 정보보호시스템 평가 및 인증(호서) 정보보호 컨설팅(호원) 정보보호 윤리 및 법(동명) 저작권 보호시스템(동명) 정보보호법(목포/우석) 저작권보호와 권리(서울) 사이버수사(세종) 정보보호시스템(세종) 정보보호법 및 사이버법률(세종) 정보보호정책(세종) 보안 실무(재활) 보안세미나(대덕) 대학원 경기대학교(경기), 경북대학교(경북), 고려대학교(고려), 대전대학교(대전), 과학기술연합대학원대학교(연합), 부경대학교(부경), 전남대학교(전남), 전북대학교(전북), 순천향대학교(순천향), 숭실대학교(숭실), 아주대학교(아주), 한남대학교(한남), 한세대학교(한세) 4년제 대학 건양대학교(건양), 대구한의대학교(대구), 대전대학교(대전), 동명대학교(동명), 동양대학교(동양), 목포대학교(목포), 서울여자대학교(서울), 세명대학교(세명), 세종사이버대학교(세종), 순천향대학교(순천향), 우석대학교(우석), 중부대학교(중부), 한국기술교육대학교(기술), 호서대학교(호서), 호원대학교(호원) 2년제 대학 동주대학(동주), 대덕대학(대덕), 조선이공대학(조선), 한국재활복지대학(재활)
114 3.5 설문지 조사 및 분석 설문지 제작 및 배포 정보보안 기사, 산업기사 국가기술자격종목 개발을 위하여 자격제도에 대한 학계, 산업 계전문가 및 국가기술자격 응시자격을 갖춘 대학생들의 의견을 수렴하고자 설문조사를 실시하였다(설문조사 문항은 부록 I 참조). 설문지는 정보보호 전공 대학교수, 정보보호 전문업체에 종사하는 기술인력 및 잠재적 인 정보보안 기술자격 응시자인 대학생 총 250명을 선정하여 설문지를 배포하였다. 설 문지는 설문조사 대상자들에게 전자메일을 통해 발송하고 회신하였다. 배포된 설문지 총 250매 중 77부가 회신되어 응답률은 30.8%로 조사되었으며, 고등교육기관에 소속된 응답자의 설문지가 20부(응답률 33.3%), 공공기관 및 민간기업에 소속된 전문가의 설 문지가 55부(응답률 28.9%)를 차지하였다. 표 설문지 배포 및 응답률 구분 발송 회수 응답률 대학(교수, 학생) % 산업계 % 계 % 설문지 결과분석 m 설문지 제작 및 조사방법 설문지 내용은 연구진들이 설문내용(안)을 작성하고 자문위원들의 의견을 수렴하여 최 종본을 확정하였다. 설문은 크게 두 부분으로 구성되었으며 첫 번째 부분에서는 정보 보안 기사, 산업기사 직무분석 내용에 대한 적절성, 검정과목별로 포함되어야 할 출제 분야, 정보보호 관련 법률 분야 출제 비중, 자격시험의 필기 및 실기시험 형태, 자격시 험의 예상 합격률 및 문제 출제위원 구성 등을 포함하고 있다. 두 번째 부분에서는 설 문 응답자에 대한 근무 직장, 경력 및 직급, 최종 학력 등을 조사하고 있다. 설문조사의 대상은 현재 정보보호 관련 대학 교수, 정보보호 관련 전문업체 임직원, 정 보보호 관련 공공 연구기관(KISA, ETRI, 한국금융보안연구원) 연구원들로 선정하였 다. 설문조사는 2010년 10월 중순부터 2010년 11월 초까지 약 2주 간 실시되었다
115 m 자료 분석 방법 전체 16문항에 대한 자료 분석 방법은 빈도분석을 하였으며, 사용한 소프트웨어는 엑 셀 스프레드시트를 이용하였다. m 설문조사 결과 직무분석 내용의 타당성 신설되는 정보보안 기사, 산업기사 국가기술자격 직무에 정보보안 시스템과 솔루션 개발, 서버/네트워크장비/보안장비 등에 대한 관리 및 운영, 정보보안 관리 및 관련 법규의 이 해를 바탕으로 하는 정보보안 컨설팅 분야가 포함되는 것에 대한 적절성을 질문하였다. 조사결과 시스템 및 솔루션 직무의 경우 응답자 77명 모두 타당하다고 응답하였고, 운영 및 관리 직무의 경우 97.4%, 컨설팅의 경우 84.4%가 정보보안 직무로서 타당하다고 응 답하였다 타당하다 타당하지 않다 0 시스템 및 솔루션 운영 및 관리 컨설팅 개발 그림 3-3. 직무분석의 타당성
116 정보보호관리 및 정보보호 법규 출제 비중 신설되는 정보보안 기사, 산업기사 자격시험에서 정보보호관리 및 정보보호 관련법규 출 제분야 포함여부를 묻는 설문에 대해 응답자 65명, 약 84.4%가 기사, 산업기사 자격시 험 출제분야에 포함되어야 한다고 응답하였고, 응답자 12명, 약 15.6%가 기사 자격시험 출제분야에만 반영되어야 한다고 응답하였다 기사, 산업기사 모두 포함 12 기사에만 포함 0 기사, 산업기사 모두 제외 응답자 수 그림 3-4. 정보보호관리, 정보보호 관련법규 반영 필요 자격종목 그러나 신설되는 정보보안 기사, 산업기사 자격시험의 정보보호관리, 정보보호 관련법규 분야 출제 비중을 현재 시행 중인 SIS 출제 비중을 기준으로 했을 때 축소가 필요하다 는 응답이 35명(45.5%), 유지가 필요하다는 응답이 28명(36.4%), 확대가 요구된다는 의견이 7명(9.1%)으로 각각 조사되었다. 정보보호관리, 정보보호 관련 법규 출제분야는 정보보안 기사, 산업기사 자격시험이 모 두 반영될 필요가 있다는 응답이 84.4%를 차지한 반면, SIS 자격시험 대비 출제 비중의 축소 또는 유지가 필요하다는 의견이 81.9%를 나타내고 있어 이 분야에 대한 출제 비중 조절이 필요할 것으로 판단된다
117 SIS 수준보다 축소 SIS 수준 유지 SIS 수준보다 확대 응답자 수 그림 3-5. 정보보호관리, 정보보호 관련법규 출제 비중 자격시험 형태, 횟수 신설되는 정보보안 기사, 산업기사 자격시험의 이론 시험을 필기시험으로 진행할 경우 어떤 형식의 시험이 바람직할 것인지를 묻는 응답(복수선택 허용)에 사지 택일 37명 (36.6%), 사지 선다 24명(23.8%), 오지 선다 28명(27.7%), 오답 감점 12명(11.9%) 각각 응답하였다 사지 택일 사지 선다 오지 선다 오답 감점 응답자 수 그림 3-6. 이론 시험 형식
118 그리고 실기 시험 형식은 주관식 필기 시험이 적절하다는 응답이 32명(41.6%), 주관식 필기시험과 실기를 병합한 형식이 적합하다는 응답이 41명(53.2%)으로 조사되었다. 그 러나, 정보보안 국가기술자격 시행단계에서 실기 시험을 실기와 이론을 병합한 형태로 진행하려면 각 시험장에 갖추어져야 할 컴퓨터, 보안 S/W 및 보안 장비 등을 고려하여 실기 시험의 진행 형식을 최종 결정할 필요가 있다 주관식 필기시험 주관식 필기와 실기 병합 응답자 수 그림 3-7. 실기 시험 형식 신설되는 정보보안 기사, 산업기사 자격시험의 시행 횟수는 연 2회 시행 37명(48.1%), 연 4회 시행 35명(45.5%)으로 각각 조사되었다 연 1회 연 2회 연 4회 기타 응답자 수 그림 3-8. 자격시험 시행 횟수
119 자격시험 합격률 및 출제위원 구성 비율 신설되는 정보보안 기사의 합격률은 주 응시자격을 정보보호 관련 4년제 대학 졸업자를 기준으로 할 때 5% 이내 7명(9.1%), 10% 이내 17명(22.1%), 15% 이내 9명(11.7%), 20% 이내 25명(32.5%), 30% 이내 16명(20.8%)으로 조사되었다. 누적 합격률을 기준 으로 하면 10% 이내 합격률은 31.2%, 15% 이내 합격률은 42.9%, 20% 이내 합격률은 75.5%, 30% 이내 합격률은 96.1%로 나타났다 % 이내 10% 이내 15% 이내 20% 이내 30% 이내 응답자 수 그림 3-9. 정보보안 기사 적정 합격률 신설되는 정보보안 산업기사의 합격률은 주 응시자격을 정보보호 관련 2년제 대학 졸업 자를 기준으로 할 때 5% 이내 1명(1.3%), 10% 이내 11명(14.3%), 15% 이내 11명 (14.3%), 20% 이내 19명(24.7%), 30% 이내 30명(39.0%)으로 조사되었다. 누적 합격 률을 기준으로 하면 10% 이내 합격률은 15.6%, 15% 이내 합격률은 29.9%, 20% 이내 합격률은 45.5%, 30% 이내 합격률은 93.5%로 나타났다
120 % 이내 10% 이내 15% 이내 20% 이내 30% 이내 응답자 수 그림 정보보안 산업기사 적정 합격률 설문 응답자 설문에 응답한 응답자 77명의 소속기관별 분포는 공공기관(KISA, ETRI 포함) 30명, 대 학 및 대학원 소속 교수 5명, 정보보안 전문업체 20명, 대학생/대학원생/전문교육기관 수 강생 15명, 기타 5명으로 조사되었다. 대학(원)생, 교육생, 15 기타, 5 공공기관, 30 정보보안 전문기업, 20 고등교육기관, 5 그림 설문 응답자 소속 분포 그리고 설문에 응답한 공공기관 또는 정보보호 전문기업에 종사하는 응답자 중 19명이 3년 미만, 17명이 3년 ~ 5년, 22명이 6년 ~ 10년, 15명이 11년 ~ 15년, 4명이 16년 이상의 정보보호 관련 근무경력을 보유하고 있었다
121 16년 이상, 4 11년 ~ 15년, 15 3년 미만, 19 6년 ~ 10년, 22 3년 ~ 5년, 17 그림 공공기관, 기업체 소속 응답자 경력 분포 그리고 응답자의 26명이 대학교 졸업자, 24명이 석사학위 취득자, 15명 박사학위 취득 자였고, 45명의 응답자가 컴퓨터 공학 관련, 7명이 전기/전자/통신공학 관련, 3명이 비 공학계열 전공자로 조사되었다
122 제4장 정보보안 기사 자격검정체계 구성
123 4.1 직무 분야 정보보안 기사의 직무는 시스템 및 솔루션 개발, 운영 및 관리, 컨설팅 분야의 전문 이 론과 실무 능력을 기반으로 하여 IT 기반시설 및 정보에 대한 체계적인 보안업무를 수 행한다. 이러한 정보보안 직무분야의 특성상 정보보안 기사 직무분야는 국가기술자격 의 직무분야 중 정보처리와 연관성이 높다. 표 4-1은 정보보안 기사와 연관성이 있는 기존 국가기술자격 중에서 정보처리 직무분야에 속한 국가기술자격들과 관련학과를 나 타내고 있다. 표 4-1. 정보처리 직무분야에 속한 국가기술자격 종목 관련학과 정보처리 직무분야에 속한 국가기술자격 전자계산조직응용기술사, 정보관리기술사 전자계산기조직응용기사, 정보처리기사 정보처리산업기사 관련 학과 시스템, 전산, 정보전산, 컴퓨터제어, 컴퓨 터응용제어, 컴퓨터응용, 컴퓨터응용설계, 구조시스템, 컴퓨터정보, 멀티미디어, 정보 시스템, 전산통계, 정보처리 관련학과 및 전 공 위 학과 및 전공 외에 교육과학기술부장관 또는 당해 교육기관의 장으로부터 전자ᆞ통 신 및 정보처리기술관련 학과로 인정받은 기타 학과 4.2 자격 종목명 및 등급 정보보안 기사 자격종목 개발에 대한 직무분석 및 설문조사 결과를 기초로 하고, 정보 보안 분야 업무의 특성 등을 고려한 결과, 기사 등급에 해당하는 자격종목명은 정보보 안 기사로 결정하였다. 4.3 응시자격 정보보안 기사 국가기술 자격의 응시자격은 국가기술자격법 시행령에서 요구하는 기사 의 응시자격과 동일하며 그 구체적인 내용은 표 4-2와 같다. 정보보안 기사 응시자격 은 2010년 11월 26일 개정된 국가기술자격법시행령 제12조의2제2항[19]을 참조하여 작성하였다
124 응 시 자 격 산업기사의 자격을 취득한 후 응시하고자 하는 종목이 속하는 동일 직무 및 유사 직무분야(정 보보안)에서 1년 이상 실무에 종사한 자 기능사자격을 취득한 후 응시하고자 하는 종목이 속하는 동일 직무 및 유사 직무분야(정보보 안)에서 3년 이상 실무에 종사한 자 응시하려는 종목이 속하는 동일 및 유사 직무분야의 다른 종목의 기사 등급 이상의 자격을 취 득한 사람 관련학과의 대학졸업자등 또는 그 졸업예정자 표 4-2. 정보보안 기사의 응시자격 3년제 전문대학 관련학과 졸업자등으로서 졸업 후 응시하려는 종목이 속하는 동일 및 유사 직 무분야(정보보안)에서 1년 이상 실무에 종사한 사람 2년제 전문대학 관련학과 졸업자등으로서 졸업 후 응시하려는 종목이 속하는 동일 및 유사 직 무분야(정보보안)에서 2년 이상 실무에 종사한 사람 동일 및 유사 직무분야의 기사 수준 기술훈련과정 이수자 또는 그 이수예정자 동일 및 유사 직무분야의 산업기사 수준 기술훈련과정 이수자로서 이수 후 응시하려는 종목이 속하는 동일 및 유사 직무분야에서 2년 이상 실무에 종사한 사람 응시하려는 종목이 속하는 동일 및 유사 직무분야에서 4년 이상 실무에 종사한 사람 외국에서 동일한 종목에 해당하는 자격을 취득한 사람 4.4 검정기준 정보보안 기사는 정보보안 시스템 및 솔루션 개발과 시험, 정보보안을 위한 주요 운영 체제, 네트워크 장비, 응용 서버, 그리고 정보보안 전용장비에 대한 운영 및 관리, 암호 학 이론과 정보보호관리, 정보보안 관련 법규에 대한 이해 및 적용 능력을 평가할 수 있도록 검정기준을 마련하였다. 4.5 검정방법 및 시험과목 검정방법 정보보안 기사 국가기술 자격종목의 검정방법은 필기시험과 실기시험으로 한다
125 4.5.2 시험과목 필기시험과목 정보보안 기사 국가기술 자격종목의 경우 직무분석 내용과 설문조사를 통한 산업체 수 요분석 결과, 정보보안 관련 학과 및 전공 교과과정, 정보보안 민간교육기관의 교과과 정 등을 분석하여 표 4-3과 같이 5개 시험과목으로 제안한다 실기시험과목 정보보안 기사 국가기술 자격종목은 정보보안과 관련된 이론적 지식 외에도 안전한 소 프트웨어 설계 및 개발능력, 다양한 운영체제와 네트워크 장비에 대한 보안설정 및 운 영관리 능력, 보안전용 장비에 대한 운용 및 관리능력, 정보보호 정책설정 및 관리에 대한 실무능력 보유여부를 평가하기 위해 필답형 실기시험 실시를 제안한다. 표 4-3. 정보보안 기사 시험과목 구 분 시 험 과 목 검 정 방 법 문항수 배점 검정시간 문제유형 합격기준 필기시험 시스템 보안 네트워크 보안 어플리케이션 보안 정보보안 일반 정보보안관리 및 법규 각 과목 30분 4지 택일형 각 과목 : 40점 이상 5 과목 평균 : 60점 이상 실기시험 정보보안 실무 100 총180분 필답형 60점 이상 4.6 검정시행형태 및 합격검정기준 정보보안 기사 국가기술자격은 1차 필기시험과 2차 필답형 실기시험으로 구성되어 있 다. 1차 실기시험은 시스템 보안, 네트워크 보안, 어플리케이션 보안, 정보보안 일반, 정보보안관리 및 법규 등 총 5과목으로 구성되어 있으며 각 과목 당 100점을 만점으 로 하고, 전 과목 평균 60점 이상, 각 과목별 최소 40점 이상으로 하고 있다. 2차 실
126 기시험에서는 100점 만점에 60점 이상을 취득할 경우 합격으로 한다. m 1차 필기시험: 현행 국가기술자격의 검정합격기과 동일하게 검정과목별 100점 만점 으로 과목당 40점 이상의 점수를 획득하고 5과목 평균 60점 이상을 얻을 경우를 합격기준으로 한다. m 2차 실기시험: 현행 국가기술자격의 검정합격기과 동일하게 100점 만점으로 60점 이상을 얻을 경우를 합격기준으로 한다. 4.7 출제기준 필시시험과목 및 출제기준 정보보안 기사 국가기술 자격종목의 필기시험과목과 출제기준(안)은 표 4-4와 같다. 출제 기준 (필기) 직무분야: 정보처리 자격종목: 정보보안기사 적용기간: 4년 직무내용: 시스템과 응용 서버, 네트워크 장비 및 보안장비에 대한 전문지식과 운용기술 을 갖추고 네트워크/어플리케이션 분야별 보안업무 및 보안정책수립과 보안대책 구현, 정보 보안 관련 법규 준수 여부를 판단하는 등의 업무 수행 필기검정방법: 4지 택일 객관식(문제) 시험시간: 과목당 30분 (총 2시간 30분) 필기과목명 문제수 주요항목 세부 항목 세세 항목 1. 시스템 보안 20문 표 4-4. 정보보안 기사 필기시험 출제기준(안) 1. 운영체제 2. 클라이언트 보안 1.운영체제 개요 2. 운영체제의 주요 구성 기술 3. 운영체제 사례별 특징과 주요 기능 1. 윈도우 보안 1. 운영체제의 주요 기능 2. 운영체제의 구조 3. 운영체제의 기술 발전 흐름 1. 프로세스 관리 2. 기억장치 관리 3. 파일 시스템 관리 4. 분산 시스템 1. 유닉스 2. 윈도우 3. 리눅스 4. 보안운영체제 특징 1. 설치 및 관리 2. 공유자료 관리 3. 바이러스와 백신 4. 레지스트리 활용 2. 인터넷 활용 보안 1. 웹브라우저 보안
127 2. 메일 클라이언트 보안 1. 트로이목마 S/W 3. 공개 해킹도구에 대한 이해와 대응 2. 크래킹 S/W 3. 키로그 S/W 4. 도구 활용 보안 관리 1. PC용 보안도구 활용 2. PC용 방화벽 운영 1. 계정과 패스워드 보호 1. 인증과 접근통제 2. 파일 시스템 보호 3. 시스템 파일 설정과 관리 4. 시스템 접근통제 기술 1. 운영체제 설치 2. 시스템 최적화 3. 서버 보안 2. 보안 관리 3. 시스템 로그 설정과 관리 4. 서버 해킹 원리 이해 5. 서버 관리자의 업무 1. 시스템 취약점 점검 도구 2. 시스템 침입 탐지 시스템 3. 서버보안용 S/W 설치 및 운영 3. 무결성 점검 도구 4. 접근통제 및 로깅도구 5. 스캔 탐지 도구 6. 로깅 및 로그분석도구 1. OSI 7 layer 1. 각 레이어의 기능 및 역할 2. 레이어별 네트워크 장비 1. IPv4, IPv6 Addressing 2. 서브네팅 설계 및 활용 3. CIDR, LSM 1. 네트워크 일반 2. TCP/IP 일반 4. 데이터 캡슐화 5. 포트주소 의미와 할당 원칙 6. IP,ARP,IGMP,ICMP,UDP,TCP등 각 프로토콜의 원리 및 이해 7. broadcast 및 multicast 이해 2. 네트워크 보안 20문 3. Unix/Windows 네트워크 서비스 1. DNS, DHCP, SNMP, telnet, FTP, SMTP 등 각종 서비스의 원리 및 이해 2. Workgroup 과 DOMAIN 3. 터미널서비스 등 각종 원격관리서비스 4. 인터넷공유 및 NAT 원리, 활용 1. IP Routing 1. IP 라우팅의 종류 - static/dynamic routing - RIP, IGRP, OSPF 이해 2. 네트워크 활용 2. 네트워크 장비 이해 1. 랜카드, 허브, 스위치 및 브리지 - 각 장비의 역할과 차이점 - collision/broadcasting 도메인 2. VLAN - 브로드캐스트 제어 - VLAN 구성 및 트렁킹, 보안 설정 3. 라우터 설장 명령어의 이해
128 - 라우터 로그인, 라우터 모드 - 암호 설정, 변경 - 환경설정 저장 및 백업, 복원 4. 네트워크 장비를 이용한 네트워크 구성 3. 무선통신 4. 네트워크기반 프로그램 활용 1. 서비스 거부(Dos) 공격 1. 이동통신(PDA, WAP) 등 2. 이동/무선통신 보안 - WiFi/AP 보안 취약점 1. ping, traceroute 등 네트워크기반 프로그램의 활용 2. Netstat, tcpdump등 활용 3. 네트워크 패킷분석 및 이해 4. 네트워크 문제의 원인분석과 장애처리 1. 각종 DoS 공격원리와 대처 방법 2. SYN flooding, smurfing 등 각종 flooding 공격의 원리, 대처 3. 네트워크 기반 공격 이해 2. 분산 서비스 거부 공격 1. DDoS 공격 원리 및 대처 방법 3. 네트워크 스캐닝 4. IP spoofing, Session hijacking 1. Remote finger printing 2. IP 스캔, 포트스캔 1. IP spoofing 과 Session hijacking의 원리 및 실제 5. 스니핑 및 암호화 프로토콜 1. 스니핑 공격 원리와 대처 방법 6. 원격접속 및 공격 1. 각종 공격의 인지 및 이해 2. Trojan, Exploit 등 식별, 대처 1. 침입탐지시스템(IDS)의 이해 1. 원리, 종류, 작동방식, 특징, 단점 2. False positive/negative 이해 4. 네트워크 장비활용 보안기술 2. 침입 차단시스템(Firewall)의 이해 1. 원리, 종류, 작동방식, 특징, 단점 3. 가상사설망(VPN)의 이해 1. 원리, 작동방식, 특징, 구성, 단점 4. 라우터 보안 설정 1. 라우터 자체 보안설정 - standard, extended ACL - snmp 보안 - logging 설정 5. 네트워크 보안동향 5. 각 장비의 로그 및 패킷 분석을 통 한 공격방식의 이해 및 대처 1. 최근 네트워크 침해사고 이해 2. 최근 네트워크 보안 솔루션 1. 호스트, IDS, 방화벽, 라우터 등 각종 네트워크 장비 로그 및 패킷 분석 1. 분산반사 서비스 거부 공격 2. 봇넷을 이용한 공격 1. 역추적 시스템 2. 침입방지시스템 3. ESM 4. NAC 1. FTP 개념 3. 어플리케이션 보안 20문 1. 인터넷 응용 보안 1. FTP 보안 2. MAIL 보안 2. FTP 서비스 운영 3. FTP 공격 유형 4. FTP 보안대책 1. MAIL 개념 2. MAIL 서비스 운영
129 3. MAIL 서비스 공격유형 4. SPAM 대책 5. 악성 MAIL 및 웜 대책 6. MAIL 보안 기술 - S/MIME. PGP 1. WEB 개념 2. WEB 서비스 운영 3. Web 보안 3. WEB 로그 보안 4. WEB 서비스 공격 유형 5. WEB 보안 개발 6. 웹 방화벽 1. DNS 개념 4. DNS 보안 2. DNS 서비스 운영 3. DNS 보안 취약성 4. DNSSEC 기술 1. DB 데이터 보안 5. DB 보안 2. DB 관리자 권한 보안 3. DBMS 운영 보안 4. DB 보안 개발 1. 지불게이트웨이 1. 전자상거래 보안 2. SET 프로토콜 3. SSL 프로토콜 4. OTP 2. 전자상거래 보안 2. 전자상거래 프로토콜 1. 전자지불 방식별 특징 2. 전자지불/화폐 프로토콜 3. 전자입찰 프로토콜 4. 전자투표 프로토콜 3. 무선 플랫폼에서의 전자상거래 보안 1. 무선플랫폼에서의 전자상거래 보안 4. 전자상거래 응용보안 1. E-BIZ를 위한 EBXML 보안 3. 기타 어플리 케이션 보안 1. 응용프로그램 보안개발 방법 1. 취약점 및 버그방지 개발 방법 2. 보안 신기술 1. SSO 2. HSM 3. DRM 1. 사용자 인증 기술 1. 인증기술 2. 메시지출처 인증 기술 3. 디바이스 인증 기술 4. Kerberos 프로토콜 4. 정보보호 일반 20문 1. 보안 요소기술 2. 접근통제정책 1. 접근통제정책 구성요소 - 주체, 객체, 접근연산, 참조모니터, 보안정책 2. 임의적 접근통제 정책 - 정의 및 사례 3. 강제적 접근통제 정책 - 정의 및 사례
130 4. 역할기반 접근통제 정책 - 역할의 정의, 역할계층, 권한관리 5. 접근통제행렬과 ACL 1. KDC 기반 키 분배 3. 키분배 프로토콜 2. Needham-Schroeder 프로토콜 3. Diffie-Helman 프로토콜 4. RSA 이용 키분배 방법 1. 전자인증서 구조 2. 전자서명 생성 및 검증 절차 3. 전자서명 보안 서비스 4. 전자서명과 공개키 기반구조(PKI) 4. PKI 구성 방식(계층, 네트워크) 5. CRL 구조 및 기능 6. OCSP 동작절차 7. 전자서명 관련 법규 1. 암호 관련 용어 2. 암호 공격 방식 3. 대칭키, 공개키 암호시스템 특징 4. 대칭키, 공개키 암호시스템 활용 1. 암호 알고리즘 5. 스트림 암호 6. 블록 암호 2. 암호학 7. 블록 암호 공격 8. 인수분해 기반 공개키 암호 방식 9. 이산로그 기반 공개키 암호 방식 1. 해쉬 함수 일반 2. 전용 해쉬 함수별 특징 2. 해쉬 함수와 응용 3. 메시지 인증 코드(MAC) 4. 전자서명 일반 6. 은닉 서명 7. 이중 서명 1. 정보보호의 목적 및 특성 1. 정보보호 관리 개념 2. 정보보호와 비즈니스 3. 정보보호관리의 개념 1. 정보보호 정책의 의미 및 유형 2. 정보보호 정책 및 조직 2. 정보보호 정책수립 절차 3. 조직 체계와 역할/책임 5. 정보보안 관리 및 법규 20문 1. 정보보안 관리 3. 위험관리 1. 위험관리 전략 및 계획수립 2. 위험분석 3. 정보보호 대책 선정 및 계획서 작성 1. 정보보호 대책 구현 - 정보보호 대책 유형 - 대책 구현 시 고려사항 4. 대책구현 및 운영 2. 정보보호 교육 및 훈련 3. 운영 - 컴퓨터/네트워크 운영 - 매체관리
131 2. 정보보안 관련 법규 5. 업무연속성관리 6. 관련 표준/지침 1.정보통신망 이용촉진 및 정보보호 등에 관한 법률 개인정보보호 기타 정보보호 관련조항에 한정 2. 정보통신기반보호법 4. 사후관리 - 모니터링, 사고대응, 변경관리, 내부감사 1. 업무지속성관리 체계 - 업무연속성관리 과정, 프레임워크 2. 업무연속성계획 수립 - 응급조치, 백업계획, 정상복구 3. 업무연속성계획 유지보수 - 시험 및 변경관리 1. 국제/국가 표준 - OECD 보안지침 - GMITS, ISO27001 등 2. 인증체계 - 공통평가기준(CC) - 정보보호관리체계 인증 - 정보보호제품 인증 1. 용어의 정의 - 개인정보, 침해사고 2. 정보통신망이용촉진 및 정보보호 등 시책 - 행정안전부장관, 지식경제부장관 또는 방송통신위원회의 책무 3. 개인정보 보호 - 개인정보의 수집과 관련한 정보통신 서비스제공자의 의무와 수집제한 - 개인정보의 이용 및 제공과 관련한 정보통신서비스제공자의 의무 - 개인정보와 관련한 이용자의 권리 - 개인정보분쟁조정위원회 - 개인정보관련 국제계약의 제한 - 정보통신서비스제공자외의자에 대한 준용 4. 정보통신망의 안정성 확보 - 정보통신서비스제공자의 정보보호조치 의무(제3조제1항 제45조) - 집적정보통신시설 운영 관리자의 정보 보호조치 의무(제46조, 제46조의 3) - 정보보호관리체계 인증(제47조) 5. 정보통신망 침해행위 - 해킹, 퓨터바이러스 유포 - 서비스거부공격 - 타인정보의 훼손, 타인비밀의 침해 - 광고성 정보전송의 제한 - 중요정보의 국외유출 제한 1. 용어의 정의 - 정보통신기반시설 - 전자적 침해행위 - 침해사고 2. 주요정보통신 기반시설 보호체계 - 정보통신기반보호위원회, 관계중앙행정 기관, 관리기관 및 지원기관 관계, 역할 3. 주요정보통신기반시설의 지정과 취약점 분석 - 지정요건과 절차 - 취약점 분석 평가의 방법 및 절차
132 4. 주요정보통신기반시설의 보호 및 침해 사고의 대응 3. 정보통신산업 진흥법 4.전자서명법 5. 개인정보보호법 (주) 법률 제정 후 반영 1. 지식정보보안컨설팅 전문업체 - 지정 기준 및 절차, 결격사유 - 양도 합병, 휴지 폐지 재개 등 - 지정취소, 기록 자료의 보존 등 1. 용어의 정의 - 전자서명, 공인전자서명, 인증서, 공인 인증서, 공인인증기관, 가입자, 서명자 등 2. 전자서명의 효력 3. 공인인증기관 - 지정기준 및 절차 - 결격사유 - 공인인증업무준칙 등 - 공인인증업무 수행 - 인증업무의 양수 합병, 유지 폐지 등 - 시정명령, 업무정지, 지정 취소 등 4. 공인인증서 - 발급, 효력소멸, 효력정지, 폐지 등 - 공인인증서를 이용한 본인확인 1.용어의 정의 - 개인정보, 정보주체, 공공기관, 영상처리기기, 개인정보처리자 2. 개인정보 보호위원회 3. 개인정보의 수집, 이용, 제공 등 단계별 보호기준 4. 고유식별정보의 처리제한 5. 영상정보처리기기의 설치 제한 6. 개인정보 영향평가제도 7. 개인정보 유출사실의 통지 신고제도 8. 정보주체의 권리 보장 9. 개인정보 분쟁조정위원회 실기시험과목 및 출제기준(필답형) 정보보안 기사 국가기술 자격종목의 실기시험과목과 출제기준(안)은 표 4-5와 같다. 표 4-5. 정보보안 기사 실기시험 출제기준(안) 출제 기준 (실기) 직무분야: 정보처리 자격종목: 정보보안기사 적용기간: 4년 직무내용: 시스템과 응용 서버, 네트워크 장비 및 보안장비에 대한 전문지식과 운용기술을 갖 추고 네트워크/어플리케이션 분야별 보안업무 및 보안정책수립과 보안대책 구현, 정 보보안 관련 법규 준수 여부를 판단하는 등의 업무 수행 수행준거: 1. 안전한 소프트웨어 개발방법을 이해하고 응용할 수 있다. 2. 보안요소기술들을 활용하여 보안제품 및 솔루션을 개발할 수 있다
133 3. 보안정책 집행을 위해 운영체제, 네트워크 장비, 보안장비를 설정할 수 있다. 4. 시스템 로그 및 패킷 로그를 분석하여 침입원인을 식별하고 보완할 수 있다. 5. 해킹 기술과 정보보호 대응기술에 대한 최신 경향을 파악할 수 있다. 6. 조직의 비즈니스 수행과 관련된 정보보안 법률들을 파악할 수 있다. 실기검정방법: 필답형 시험시간: 3시간 실기과목명 주요항목 세부 항목 세세 항목 정보보안 실무 1. 보안시스템 개발실무 1. 개발환경 보안실무 응용 1. 프로그래밍 언어 및 운영체제 특징으로 인해 발생할 수 있는 보안취약점을 알고 있어야 한다. 2. 개발환경의 보안취약점을 해결하거나 최소화할 수 있는 방안을 알고 있어야 한다. 2. 보안시스템 설계 응용 1. 보안요구사항에 대응하는 보안요소기술들을 선정할 수 있어야 한다. 2. 보안요소기술을 이용하여 보안시스템을 설계할 수 있어야 한다. 2. 보안정책 관리실무 1. 보안정책 관리 응용 1. 조직의 보안정책 수립을 위하여 요구사항을 수집, 분석할 수 있어야 한다. 2. 수립된 보안정책과 정보보안 관련 법률 간의 연관성을 파악할 수 있어야 한다. 2. 수립된 보안정책 집행을 위하여 서버 및 보안장비를 설정할 수 있어야 한다. 3. 보안정책이 정확히 설정되었는지 시험하고 수정할 수 있어야 한다. 2. 침입증거 분석 응용 1. 시스템과 네트워크에 대한 접속이력 및 활동이력 정보를 수집할 수 있어야 한다. 2. 시간, IP주소, 사용자 등을 기준으로 침입증거를 분석할 수 있어야 한다. 3. 침입원인을 추적하고 효과적인 차단대책을 제시할 수 있어야 한다. 3. 최신 공격기술 이해 1. 공격기법에 대한 최신 동향을 파악할 수 있어야 한다. 2. 공격에 대응할 수 있는 기술적, 물리적, 관리적 대응방법을 제시할 수 있어야 한다
134 4.8 출제방법 및 시험시간 필기시험 정보보안 기사 필기시험은 객관식 4지 택일형으로 시험시간은 총 2시간 30분으로 한 다 실기시험 정보보안 기사 실기시험은 정보보안 실무에 관한 업무수행 능력을 평가하기 위해 단답 형과 서술형 문제로 구성되며 주관식 필답형으로 총 3시간으로 진행한다. 4.9 실기시험 시행자료 해당사항 없음 4.10 모의 검정시험 모의시험 대상자 정보보안 기사 모의시험은 본 연구팀이 소속된 대학을 포함한 학부 4학년 및 대학원 생, KISA, 금융보안연구원 등 정보보안 관련 연구기관 소속 신입 연구원들을 대상으로 실시하였다 모의시험의 필기시험 정보보안 기사 모의시험문제는 4.7.1절, 4.7.2절에 각각 제시된 출제기준에 따라 필기 시험과 실기시험 모의시험문제를 출제하였다. 필기시험 과목의 모의시험문제는 각 과 목 당 2명의 출제위원들이 출제하였고 실기시험은 총 8명의 출제위원이 단답형과 서술 형/실무형 필답형 실기문제룰 출제하였다. 정보보안 기사의 필기시험 및 실기시험 모의 시험문제지는 부록 III에 수록하였다. 필기시험과 실기시험 모의시험문제는 각 과목당 2명의 출제위원들이 출제한 문제 중에
135 서 출제 항목별 중요도와 중복성 등을 감안하여 최종 문제를 선정하였다. 필기시험은 시스템 보안, 네트워크 보안 과목을 75분, 어플리케이션 보안과 정보보안 일반 과목을 75분, 총 150분에 걸쳐 실시하였고, 단답형과 서술형/실무형 문제로 구성 된 필답형 실기시험도 총 150분에 걸쳐 실시하였다. 구 분 시 험 과 목 출제 위원(소속) 필기시험 표 4-6. 정보보안 기사 모의시험 문제 출제위원 시스템 보안 네트워크 보안 어플리케이션 보안 정보보안 일반 김민수(목포대) 홍석범(시디네트웤스) 이형효(원광대) 서광석(한국정보보호교육센터) 전주현(솔루션박스) 박정현(IBK시스템) 신원(동명대) 이정현(KISA) 실기시험 정보보안 실무 김민수, 홍석범, 이형효, 서광석 전주현, 박정현, 신원, 이정현 모의시험의 실기시험 정보보안 기사 실기시험은 표 4-5에 정리된 출제범위 중에서 공공기업 및 민간기업 정보보안 현업부서에서 실무에 필요한 내용을 단답형 10문제과 서술형/실무형 5문제로 구성하여 필답식으로 총 150분간 진행하였다 모의시험 결과 정보보안 기사 모의시험결과는 표 4-7과 같다. 정보보안 기사의 경우 총 11명이 응시 하여 필기시험 합격자 3명(합격률 27.3%), 필기시험과 실기시험에 모두 합격한 응시 자는 1명(합격률 9.1%)으로 평가되었다
136 표 4-7. 정보보안 기사 모의 검정시험 결과 응시인원(명) 합격인원(명) 합격률(%) 필기 실기 최종 필기 실기 최종 정보보안 기사 필기시험 및 실기시험의 평균 점수, 40점 이상 득점자 비율, 60점 이상 득점자 비율을 표 4-8과 같다. 표 4-8. 정보보안 기사 필기시험, 실기시험 점수 분포 구 분 과목명 평 균 40점 이상 비율 (%) 60점 이상 비율 (%) 시스템 보안 필기 시험 실기 시험 네트워크 보안 어플리케이션 보안 정보보안 일반 정보보안 실무 모의시험 결과의 문제점 및 개선사항 이번 정보보안 기사 모의시험 응시자 11명 중 3명이 필기시험에 합격하였고 1명이 실 기시험에도 합격하여 필기시험 합격률 25.0%, 실기시험 합격률 8.3%를 나타내었다. 시스템 보안 시험과목의 경우 평균점수가 56.7점, 60점 이상이 45.5%, 정보보안 일반 시험과목의 경우 평균점수 55.5점, 60점 이상이 36.4%를 나타내어 비교적 시험문제 난이도가 적정했던 것으로 판단된다. 반면, 네트워크 보안과 어플리케이션 보안 시험과 목의 경우 60점 이상이 27.3%와 18.2%로 각각 나타나 비교적 어려운 문제가 출제된 것으로 보인다. 실기시험의 경우 60점 이상을 획득한 응시자가 1명이고 평균점수가 32.5점으로 매우 낮은 원인은 정보보안 실무 업무를 담당해 보지 않은 학부 4학년, 대학원생 응시자들 의 점수가 낮은 이유로 분석된다
137 4.11 해당종목관련 전문가목록 이름 기관명 소속 부서 강성문 국군기무사 국방정보전대응센터 강은성 SK컴즈 커뮤니티개발실장 강창구 위너다임 대표 고광섭 우정사업본부 우편사업단 고승철 UIZone 곽진 순청향대학교 정보보호학과 구태언 김앤장법률사무소 변호사 권순학 성균관대학교 자연과학부 수학전공 권태경 세종대학교 컴퓨터공학 권헌영 광운대학교 법과대학 금기현 전자신문 대표 김관수 에스원 김기영 이니텍 개발본부 김대연 나우콤 대표 김대환 소만사 대표 김동규 한양대학교 전자전기컴퓨터공학부 김명주 서울여자대학교 정보보호학과 김범수 연세대학교 정보대학원 김상진 한국기술교육대 인터넷미디어공학부 김상춘 강원대학교 컴퓨터정보통신공학부 김석우 한세대학교 IT학부 김세헌 한국과학기술원 정보보호관리및정책연구회 김순태 한국과학기술원 전산학과 김승주 성균관대학교 정보통신공학부 김연섭 LG CNS 본부장 김인석 금융감독원 부국장 김인식 한국정보인증 대표 김재성 한국인터넷진흥원 IT기반보호팀 김정곤 한세대학교 IT학부 김정덕 중앙대학교 정보시스템학과 김정태 목원대학교 전자공학과 김종 포항공과대학교 소프트웨어 연구센터 김종선 KTDS 사장 김종섭 서울지방경찰청 사이버범죄수사대 김지흥 세명대학교 정보통신학부 김창규 동의대학교 정보통신공학과 김춘수 국가보안기술연구소 김태성 충북대학교 경영정보학과 김학일 인하대학교 정보통신공학부 김현곤 목포대학교 정보보호전공 김형종 서울여자대학교 정보보호학과 김형중 고려대학교 정보경영공학부 김홍성 안철수연구소 대표 김환구 호서대학교 정보보호학과
138 이름 기관명 소속 부서 나재훈 한국전자통신연구원 지식정보보안연구부 나중찬 한국전자통신연구원 보안관제기술연구팀 노봉남 전남대학교 정보보호협동과정 노용만 한국과학기술원 전자과 도경구 한양대학교 전자컴퓨터공학부 류대현 한세대학교 IT학부 류재철 충남대학교 컴퓨터공학과 문기영 한국전자통신연구원 바이오인식기술 연구팀 문창주 건국대학교 컴퓨터응용과학부 문호건 KT 박광진 한국인터넷진흥원 정보보호본부 박대우 호서대학교 벤처전문대학원 박동규 순천향대학교 정보통신공학과 박동훈 닉스테크 대표 박상우 국가보안기술연구소 박상준 군산대학교 컴퓨터정보공학과 박세현 중앙대학교 전자전기공학부 박영호 세종사이버대학교 유비쿼터스학부 박정식 한국정보통신기술협회 박창섭 단국대학교 전자컴퓨터학부 박춘식 서울여자대학교 정보보호학과 박태규 한서대학교 컴퓨터정보공학과 박현주 엠큐릭스 대표 반성범 조선대학교 전자정보공과대학 백의선 경기대학교 산업보안학과 변옥환 한국과학기술정보연구원 e-science사업단 변진욱 평택대학교 정보통신학과 서동일 한국전자통신연구원 인프라보호연구팀 서승우 서울대학교 보안경제연구회 서재현 목포대학교 컴퓨터공학부 서창호 공주대학교 응용수학과 설정선 한국통신사업자협회 부회장 성재모 금융보안연구원 보안기술본부 소우영 한남대학교 컴퓨터공학과 손승원 한국전자통신 연구원 정보보호연구단 송유진 동국대학교 정보산업학과 송홍엽 연세대학교 전기전자공학부 신석규 한국정보통신기술협회 센터장 신수정 인포섹 대표 신요식 유니온커뮤니티 대표 신홍식 한국전자인증 사장 심상현 CONCERT 사무국장 심종헌 유넷시스템 대표 안기중 제주대학교 컴퓨터공학과 안효범 공주대학교 정보통신공학과 양대헌 인하대학교 정보통신대학원
139 이름 기관명 소속 부서 양재수 경기도청 정보화특별보좌관 양정모 중부대학교 정보보호학과 엄영익 성균관대학교 정보통신공학부 염흥열 순천향대학교 정보보호학과 오경수 롯데정보통신 대표 오병균 목포대학교 정보공학부 오영우 고려대학교 저작권정책과 오치영 지란지교 대표 오희국 한양대학교 전자컴퓨터공학부 원동호 성균관대학교 IT보안성평가연구회 원유재 한국인터넷진흥원 인터냇정책단 유기영 경북대학교 컴퓨터공학과 유병현 고려대학교 볍과대학 유일선 성서대학교 정보과학부 유황빈 광운대학교 컴퓨터공학과 윤석구 고려대학교 기계공학과 윤이중 국가보안기술연구소 이경구 한국인터넷진흥원 본부장 이경석 숭실대학교 컴퓨터학과 이경현 부경대학교 전자컴퓨터멀티미디어공학부 이경호 유비컴 대표 이광수 숙명여자대학교 정보과학부컴퓨터과학전공 이동훈 고려대학교 정보경영공학전문대학원 이득춘 이글루시큐리티 대표 이명수 한국인터넷진흥원 인터넷침해대응센터장 이문규 인하대학교 컴퓨터정보공학부 이미란 한국마이크로소프트 MicroSoft Senior Manager 이민섭 단국대학교 정보보호교육연구회 이병천 중부대학교 정보보호학과 이상용 한국마이크로소프트 최고보안자문 이상진 고려대학교 정보경영공학전문대학원 이상진 고려대학교 암호연구회 이선영 순천향대학교 정보보호학과 이성재 케이디넷 사장 이옥연 국민대학교 수학과 이임영 순천향대학교 정보기술공학부 이재광 한남대학교 정보통신멀티미디어공학부 이재훈 동국대학교 정보통신공학전공 이정현 숭실대학교 컴퓨터학부 이준호 NHN 최고기술책임자 이찬우 더존정보보호서비스 대표 이철 LG-CNS 이철원 국가보안기술연구소 본부장 이향숙 이화여자대학교 수학과 이형우 한신대학교 컴퓨터정보소프트웨어학부 이형효 원광대학교 정보전자상거래학부
140 이름 기관명 소속 부서 이홍섭 순천향대학교 u-개인정보보호연구회 이훈재 동서대학교 유비쿼터스 IT 전문인력양성 사업단 이흥규 한국과학기술원 전산학과 이희명 포스코 정보보안팀 임강빈 순천향대학교 정보보호학과 임을규 한양대학교 정보통신대학 임종인 고려대학교 정보보호대학원 임채호 보안뉴스 보안연구센터 임채훈 세종대학교 전자정보공학부 장종수 한국전자통신연구원 장청룡 경동대학교 정보통신공학부 전길수 한국인터넷진흥원 전자인증팀 전용희 대구카톨릭대학교 컴퓨터정보통신공학부 정경호 방송통신위원회 정교일 한국전자통신연구원 정보보호 기반 연구부 정석원 목포대학교 정보보호전공 정수환 숭실대학교 정보통신전자공학부 정용화 고려대학교 컴퓨터정보학과 정일용 조선대학교 컴퓨터공학부 정재일 한양대학교 전자전기컴퓨터공학부 정태명 성균관대학교 전기 및 컴퓨터 공학과 정현철 BCNE 부사장 조기환 전북대학교 전자정보공학부 조석팔 성결대학교 정보통신학부 조인준 배재대학교 컴퓨터공학과 조진웅 KETI 센터장 조태남 우석대학교 정보보안학과 조현숙 한국전자통신연구원 차세대 시큐리티 기술개발사업단 주대준 한국과학기술원 전산학과 지성택 국가보안기술연구소 진병문 한국정보통신기술협회 차영균 에스원 특수사업부 채기준 이화여자대학교 컴퓨터공학과 천정희 서울대학교 수리과학부 최명길 중앙대학교 상경학부 최병문 대전대학교 해킹보안학과 최성우 김앤장법률사무소 변호사 최소영 보안뉴스 부사장 최영주 포항공과대학교 수학과 최영호 한국범죄연구소 대표변호사 최용락 대전대학교 컴퓨터공학부 최운호 케이엘넷 기술운영본부장 최재환 금융감독원 정보화전략실 최정식 인포더그룹 대표이사 최종욱 상명대학교 소프트웨어전공 최춘수 단국대학교 사범대학 수학교육과
141 이름 기관명 소속 부서 최희봉 국가보안기술연구소 하옥현 호남대학교 경찰법행정학부 하재철 호서대학교 정보보호학과 한근희 행정안전부 모바일보안연구회 한승조 조선대학교 정보통신공학과 한종욱 한국전자통신연구원 융합서비스 보안연구팀 한종호 NHN CR 담당 허용석 구미전자정보기술원 센터장 홍기융 시큐브 대표 홍석희 고려대학교 정보보호대학원 홍승필 성신여자대학교 컴퓨터정보학부 황승구 한국전자통신연구원 소장 황중연 한국정보통신산업협회 부회장
142 제5장 정보보안 기사 연구결론 및 정책 제언
143 5.1 연구의 결론 인터넷과 스마트폰으로 대표되는 정보통신기술은 지금까지 국가의 주요 인프라로 여겨 져 왔던 교통, 전기, 가스, 행정서비스 등과 함께 우리사회의 필수 인프라로 자리 잡았 다. 그러나 정보통신서비스의 고도화 및 일반화와 함께 해킹, 사이버테러, 개인정보보 호 침해 등과 같은 역기능 역시 급격히 증가하고 있고, 이러한 사이버 공격에 대해 상 시 방어체계를 구축하고 침해사고 발생 시 신속히 대응하지 못할 경우 국가적, 사회적, 경제적으로 큰 피해가 발생할 수 있다. 따라서 공공기관 및 민간기업의 정보를 안전하 게 보호할 수 있는 이론적 지식과 실무능력을 갖춘 고급 정보보안 인력을 양성하는 노 력이 시급한 상황이다. 정보보안 전문가는 윈도우, 유닉스, 리눅스 등과 같은 주요 운영체제 구조에 대한 이해 및 활용, 소프트웨어 요구사항 분석, 설계와 개발, ISO/OSI 참조모델 및 TCP/IP 통신 프로토콜에 대한 이해와 주요 네트워크 장비에 대한 활용, HTTP/SMTP/FTP/DNS/DBMS 등과 같은 주요 응용 서비스에 대한 동작절차 이해 및 관리기술 등에 이론과 실무 능력을 보유한 후 암호학 및 정보보안 주요 요소기술, 주 요 운영체제와 통신 프로토콜, 그리고 응용 서비스별 취약점 파악과 보안 대응방안 구 현, 악성 코드 및 사이버 공격별 대응체계 구축 및 운영관리, 조직의 정보보안 관리업 무 수행 및 관련 법규에 대한 지식을 겸비해야 하는 고도의 전문가이다. 따라서 정보 보안 전문가는 다른 전문분야에 비해 양성과 배출에 오랜 기간이 요구되어 단기간에 공공기관 및 민간분야의 수요를 충족시키지 못하는 원인이 된다. 현재 정보보안 관련 국내 자격제도에는 유일한 국가공인 민간자격인 정보보호전문가 (SIS) 자격과 함께 인터넷보안전문가, 정보보안관리사, 해킹보안전문가 등이 있고 국제 자격제도로는 정보시스템감사사(CISA), 정보시스템보안전문가(CISSP) 등이 있다. 정 보보안 민간자격의 경우 민간자격제도로 인한 신뢰도 문제, 정보보호전문가 자격을 제 외한 기타 자격은 공공기관이나 민간기업에서 인정받지 못하고 있는 실정이다. 또한 국제 자격제도의 경우 정보보안 전문가가 갖추어야 할 전문분야들 중 특정부분에 중점 을 두어 자격시험이 구성되어 있고 실무 경험이 있는 합격자들에게만 자격이 부여되는 한계점이 있다. 따라서 정보보안의 중요성이 강조되고 있는 현재 국가기술자격으로 정보보안 기사 자 격종목을 신설함으로써 공공기관 및 산업체가 요구하는 정보보안 전문가의 직무를 체 계적으로 정의하고 수요중심의 정보보안 전문가를 양성할 수 있는 교육과정을 제시함 으로써 안전한 사이버 환경을 조성과 함께 국내 지식정보보안 산업의 경쟁력 강화시킬 수 있을 것으로 기대된다
144 본 연구에서는 정보보안 기사 국가기술자격 종목의 신설 배경과 필요성, 정보보안 분 야 국내외 기술 동향 및 자격제도에 대한 조사와 분석, 정보보안 기사의 전문인력으로 서의 역할과 활용방안, 정보보안 기사의 직무 및 작업명세서 등을 제시하였다. 또한 정 보보안 기사 국가기술자격의 응시자격, 검정 기준, 검정시험 형태 및 합격기준, 출제기 준 및 출제 방법 등을 포함한 검정체계를 제시하였다. 그리고 연구팀에서 정리한 정보보안 기사의 직무와 검정체계에 대해 공공기관 및 민간 기업 전문가, 예상 응시자들을 대상으로 설문조사를 실시하고 그 결과를 분석하였다. 또한 검정체계의 타당성 및 적정성을 검증하기 위해 정보보안 기사 응시자격을 갖춘 예상 응시자들을 대상으로 모의시험을 실시하였다. 그리고 모의시험 결과 분석을 통해 모의시험 문제의 난이도 등 문제점과 개선 필요 사항을 제사하였다. 5.2 정책 제언 정보보안 분야는 IT 및 정보통신분야에 대한 전문적인 이론 및 실무 능력을 기초로 하 고 암호학 및 정보보안 요소기술, 주요 운영체제 및 통신 프로토콜에 대한 취약점 파 악 및 대응능력, 조직의 보안요구사항을 분석하고 보안정책을 수립한 후 정보보안 시 스템 및 솔루션을 개발하거나 보안장비를 운영관리할 수 있는 고도의 지식을 추가로 요구하고 있다. 따라서 정보보안 기사 국가기술자격 취득자들에 대해 공공기관이나 민간기업에서 인력 채용 시 우대할 수 있는 법적, 제도적 장치를 마련하고 이러한 제도를 준수하고 있는 지 여부를 지속적으로 감독할 필요가 있다. 향후 정보보안 기사의 상위 등급 자격인 정보보안 기술사 제도를 도입함으로써 지식정 보보안 분야에서 국제자격보다 전문성과 신뢰성이 뛰어난 전문가를 양성, 배출할 수 있는 체계를 마련할 필요가 있다
145 제6장 정보보안 산업기사 자격검정체계 구성
146 6.1 직무 분야 정보보안 산업기사의 직무는 시스템 및 솔루션 개발, 운영 및 관리, 컨설팅 분야의 전 문 이론과 실무 능력을 기반으로 하여 IT 기반시설 및 정보에 대한 체계적인 보안업무 를 수행하는 정보보안 기사의 업무를 보조할 수 있는 기초 이론과 실무 능력을 수행하 는 직무이다. 이러한 정보보안 직무분야의 특성상 정보보안 산업기사 직무분야는 국가 기술자격의 직무분야 중 정보처리와 연관성이 높다. 표 6-1은 정보보안 산업기사와 관련된 기존 국가기술자격 중에서 정보처리 직무분야에 속한 국가기술자격들과 관련학 과를 나타내고 있다. 표 6-1. 정보처리 직무분야에 속한 국가기술자격 종목 관련학과 정보처리 직무분야에 속한 국가기술자격 전자계산조직응용기술사, 정보관리기술사 전자계산기조직응용기사, 정보처리기사 정보처리산업기사 관련 학과 시스템, 전산, 정보전산, 컴퓨터제어, 컴퓨 터응용제어, 컴퓨터응용, 컴퓨터응용설계, 구조시스템, 컴퓨터정보, 멀티미디어, 정보 시스템, 전산통계, 정보처리 관련학과 및 전공 위 학과 및 전공 외에 교육과학기술부장 관 또는 당해 교육기관의 장으로부터 전자 ᆞ통신 및 정보처리기술관련 학과로 인정 받은 기타 학과 6.2 자격종목 및 등급 정보보안 산업기사 자격종목 개발에 대한 직무분석 및 설문조사 결과를 기초로 하고, 정보보안 분야 업무의 특성 등을 고려한 결과, 산업기사 등급에 해당하는 자격종목명 은 정보보안 산업기사로 결정하였다. 6.3 응시자격 정보보안 산업기사 국가기술 자격의 응시자격은 국가기술자격법 시행령에서 요구하는 산업기사의 응시자격과 동일하며 그 구체적인 내용은 표 6-2와 같다. 정보보안 산업 기사 응시자격은 2010년 11월 26일 개정된 국가기술자격법시행령 제12조의2제2항 [19]을 참조하여 작성하였다
147 표 6-2. 정보보안 산업기사의 응시자격 응 시 자 격 기능사 등급 이상의 자격을 취득한 후 응시하려는 종목이 속하는 동일 및 유사 직무분야에 1년 이상 실무에 종사한 사람 응시하려는 종목이 속하는 동일 및 유사 직무분야의 다른 종목의 산업기사 등급 이상의 자 격을 취득한 사람 관련학과의 2년제 또는 3년제 전문대학졸업자등 또는 그 졸업예정자 관련학과의 대학졸업자등 또는 그 졸업예정자 동일 및 유사 직무분야의 산업기사 수준 기술훈련과정 이수자 또는 그 이수예정자 응시하려는 종목이 속하는 동일 및 유사 직무분야에서 2년 이상 실무에 종사한 사람 고용노동부령으로 정하는 기능경기대회 입상자 외국에서 동일한 종목에 해당하는 자격을 취득한 사람 6.4 검정기준 정보보안 산업기사는 정보보안 시스템 및 솔루션 개발과 시험, 정보보안을 위한 주요 운영체제, 네트워크 장비, 응용 서버, 그리고 정보보안 전용장비에 대한 운영 및 관리, 정보보안 일반에 대한 기초적인 이해 및 적용 능력을 평가할 수 있도록 검정기준을 마 련하였다. 6.5 검정방법 및 시험과목 검정방법 정보보안 산업기사 국가기술 자격종목의 검정방법은 필기시험과 실기시험으로 한다 시험과목 필기시험과목 정보보안 산업기사 국가기술 자격종목의 경우 직무분석 내용과 설문조사를 통한 산업 체 수요분석 결과, 정보보안 관련 학과 및 전공 교과과정, 정보보안 민간교육기관의 교
148 과과정 등을 분석하여 표 6-3과 같이 4개 시험과목으로 제안한다 실기시험과목 정보보안 산업기사 국가기술 자격종목은 정보보안과 관련된 이론적 지식 외에도 안전 한 소프트웨어 설계 및 개발능력, 다양한 운영체제와 네트워크 장비에 대한 보안설정 및 운영관리 능력, 보안전용 장비에 대한 운용 및 관리능력에 대한 기초적인 실무능력 보유여부를 평가하기 위해 필답형 실기시험 실시를 제안한다. 표 6-3. 정보보안 산업기사 시험과목 검 정 방 법 구 분 시 험 과 목 문항수 배점 검정시간 문제유형 합격기준 시스템 보안 각 과목 : 네트워크 보안 각 과목 4지 40점 이상 필기시험 어플리케이션 보안 분 택일형 4 과목 평균 : 정보보안 일반 점 이상 실기시험 정보보안 실무 100 총150분 필답형 60점 이상 6.6 검정시행형태 및 합격검정기준 정보보안 산업기사 국가기술자격은 1차 필기시험과 2차 필답형 실기시험으로 구성되어 있다. 1차 실기시험은 시스템 보안, 네트워크 보안, 어플리케이션 보안, 정보보안 일반 등 총 4과목으로 구성되어 있으며 각 과목 당 100점을 만점으로 하고, 전 과목 평균 60점 이상, 각 과목별 최소 40점 이상으로 하고 있다. 2차 실기시험에서는 100점 만 점에 60점 이상을 취득할 경우 합격으로 한다. m 1차 필기시험: 현행 국가기술자격의 검정합격기과 동일하게 검정과목별 100점 만점 으로 과목당 40점 이상의 점수를 획득하고 4과목 평균 60점 이상을 얻을 경우를 합격기준으로 한다. m 2차 실기시험: 현행 국가기술자격의 검정합격기과 동일하게 100점 만점으로 60점 이상을 얻을 경우를 합격기준으로 한다
149 6.7 출제기준 정보보안 산업기사 국가기술 자격종목의 필기시험과목과 출제기준(안)은 표 6-4와 같 다. 표 6-4. 정보보안 산업기사 필기시험 출제기준(안) 출제 기준 (필기) 직무분야: 정보처리 자격종목: 정보보안 산업기사 적용기간: 4년 직무내용: 시스템과 응용 서버, 네트워크 장비 및 보안장비에 대한 전문지식과 운용기술 을 갖추고 시스템/네트워크/어플리케이션 분야별 기초 보안업무를 수행 필기검정방법: 4지 택일 객관식(문제) 시험시간: 과목당 30분 (총 2시간) 필기과목명 문제수 주요항목 세부 항목 세세 항목 1. 운영체제의 주요 기능 1.운영체제 개요 2. 운영체제의 구조 3. 운영체제의 기술 발전 흐름 1. 프로세스 관리 1. 운영체제 2. 운영체제의 주요 구성 기술 2. 기억장치 관리 3. 파일 시스템 관리 4. 분산 시스템 1. 유닉스 3. 운영체제 사례별 특징과 주요 기능 2. 윈도우 3. 리눅스 4. 보안운영체제 특징 1. 설치 및 관리 1. 시스템 보안 20문 2. 클라이언트 보안 1. 윈도우 보안 2. 인터넷 활용 보안 2. 공유자료 관리 3. 바이러스와 백신 1. 웹브라우저 보안 2. 메일 클라이언트 보안 1. 트로이목마 S/W 3. 공개 해킹도구에 대한 이해와 대응 2. 크래킹 S/W 3. 키로그 S/W 4. 도구 활용 보안 관리 1. PC용 보안도구 활용 1. 계정과 패스워드 보호 3. 서버 보안 1. 인증과 접근통제 2. 파일 시스템 보호 3. 시스템 파일 설정과 관리 4. 시스템 접근통제 기술 1. 시스템 취약점 점검 도구 2. 서버보안용 S/W 설치 및 운영 2. 시스템 침입 탐지 시스템 3. 무결성 점검 도구
150 1. OSI 7 layer 1. 각 레이어의 기능 및 역할 2. 레이어별 네트워크 장비 1. IPv4, IPv6 Addressing 2. 서브네팅 설계 및 활용 1. 네트워크 일반 2. TCP/IP 일반 3. Unix/Windows 네트워크 서비스 3. CIDR, VLSM 4. 데이터 캡슐화 1. IP Routing 1. IP 라우팅 5. 포트주소 의미와 할당 원칙 6. IP,ARP,IGMP,ICMP,UDP,TCP등 각 프로토콜의 원리 및 이해 7. broadcast 및 multicast 이해 1. DNS, DHCP, SNMP, telnet, FTP, SMTP 등 각종 서비스의 원리 및 이해 2. Workgroup 과 DOMAIN 3. 터미널서비스 등 각종 원격관리서비스 4. 인터넷공유 및 NAT 원리, 활용 1. 랜카드, 허브, 스위치 및 브리지 - 각 장비의 역할과 차이점 - collision/broadcasting 도메인 2. 네트워크 보안 20문 2. 네트워크 활용 2. 네트워크 장비 이해 3. 네트워크기반 프로그램 활용 2. 라우터 설장 명령어의 이해 - 라우터 로그인, 라우터 모드 - 암호 설정, 변경 - 환경설정 저장 및 백업, 복원 1. ping, traceroute 등 네트워크기반 프로그램의 활용 2. Netstat, tcpdump등 활용 1. 서비스 거부(Dos) 공격 1. 각종 DoS 공격원리와 대처 방법 2. SYN flooding, smurfing 등 각종 flooding 공격의 원리, 대처 3. 네트워크 기반 공격 이해 4. 네트워크 장비활용 보안기술 2. 분산 서비스 거부 공격 1. DDoS 공격 원리 및 대처 방법 3. 네트워크 스캐닝 4. IP spoofing, Session hijacking 1. Remote finger printing 2. IP 스캔, 포트스캔 1. IP spoofing 과 Session hijacking의 원리 및 실제 5. 스니핑 및 암호화 프로토콜 1. 스니핑 공격 원리와 대처 방법 6. 원격접속 및 공격 1. 침입탐지시스템(IDS)의 이해 1. 각종 공격의 인지 및 이해 2. Trojan, Exploit 등 식별, 대처 1. 원리, 종류, 작동방식, 특징, 단점 2. False positive/negative 이해 2. 침입 차단시스템(Firewall)의 이해 1. 원리, 종류, 작동방식, 특징, 단점 3. 라우터 보안 설정 1. 라우터 자체 보안설정 - standard, extended ACL - snmp 보안 - logging 설정
151 1. FTP 개념 1. FTP 보안 2. FTP 서비스 운영 3. FTP 공격 유형 4. FTP 보안대책 1. MAIL 개념 2. MAIL 보안 2. MAIL 서비스 운영 3. MAIL 서비스 공격유형 1. 인터넷 응용 보안 3. Web 보안 1. WEB 개념 2. WEB 서비스 운영 3. WEB 로그 보안 3. 어플리케이션 보안 20문 4. DNS 보안 1. DNS 개념 2. DNS 서비스 운영 3. DNS 보안 취약성 1. DB 데이터 보안 5. DB 보안 2. DB 관리자 권한 보안 3. DBMS 운영 보안 1. 지불게이트웨이 1. 전자상거래 보안 2. SET 프로토콜 3. SSL 프로토콜 2. 전자상거래 보안 2. 전자상거래 프로토콜 4. OTP 1. 전자지불 방식별 특징 2. 전자지불/화폐 프로토콜 3. 전자입찰 프로토콜 4. 전자투표 프로토콜 1. 사용자 인증 기술 1. 인증기술 2. 메시지출처 인증 기술 3. 디바이스 인증 기술 1. 접근통제정책 구성요소 - 주체, 객체, 접근연산, 참조모니터, 보안정책 2. 임의적 접근통제 정책 - 정의 및 사례 4. 정보보호 일반 20문 1. 보안 요소기술 2. 접근통제정책 3. 강제적 접근통제 정책 - 정의 및 사례 4. 역할기반 접근통제 정책 - 역할의 정의, 역할계층, 권한관리 5. 접근통제행렬과 ACL 1. KDC 기반 키 분배 3. 키분배 프로토콜 2. Diffie-Helman 프로토콜 3. RSA 이용 키분배 방법 1. 전자인증서 구조 4. 전자서명과 공개키 기반구조(PKI) 2. 전자서명 생성 및 검증 절차 3. 전자서명 보안 서비스
152 2. 암호학 1. 암호 알고리즘 2. 해쉬 함수와 응용 4. PKI 구성 방식(계층, 네트워크) 5. 전자서명 관련 법규 1. 암호 관련 용어 2. 암호 공격 방식 3. 대칭키, 공개키 암호시스템 특징 4. 대칭키, 공개키 암호시스템 활용 5. 스트림 암호 6. 블록 암호 7. 인수분해 기반 공개키 암호 방식 8. 이산로그 기반 공개키 암호 방식 1. 해쉬 함수 일반 2. 전용 해쉬 함수별 특징 3. 메시지 인증 코드(MAC) 4. 전자서명 일반 실기시험과목 및 출제기준(필답형) 정보보안 산업기사 국가기술 자격종목의 실기시험과목과 출제기준(안)은 표 6-5와 같 다. 표 6-5. 정보보안 산업기사 실기시험 출제기준(안) 출제 기준 (실기) 직무분야: 정보처리 자격종목: 정보보안산업기사 적용기간: 4년 직무내용: 시스템과 응용 서버, 네트워크 장비 및 보안장비에 대한 전문지식과 운용기술을 갖 추고 네트워크/어플리케이션 분야별 보안업무 분야의 기초적인 업무 수행 수행준거: 1. 운영체제, 네트워크 장비 및 보안장비의 보안관련 명령을 활용할 수 있다. 2. 보안요소기술들을 활용한 보안제품 및 솔루션 동작원리를 파악할 수 있다. 3. 보안정책 집행을 위해 운영체제, 네트워크 장비, 보안장비를 설정할 수 있다. 4. 시스템 로그 및 패킷 로그를 분석하여 침입상황을 식별할 수 있다. 5. 해킹 기술과 정보보호 대응기술에 대한 최신 경향을 파악할 수 있다. 실기검정방법: 필답형 시험시간: 2시간 30분 실기과목명 주요항목 세부 항목 세세 항목 정보보안 실무 1. 보안시스템 운영실무 1. 시스템 및 보안장비 운영 일반 1. 주요 운영체제와 보안장비에서 제공하는 보안 관련 명령어의 사용방법을 알고 있어야 한다. 2. 시스템이나 네트워크 환경에서 보안문제가 발생한 경우 관련 명령어나 도구를 이용하여 문제 원인을 식별할 수 있어야 한다
153 2. 정보보안기술 응용 이해 2. 보안정책 운영관리 일반 3. 보안로그 분석업무 일반 1. 보안공격 종류 및 기초 대응기술 이해 2. 보안요소기술 응용 1. 조직의 보안정책에 따라 작성된 시스템, 보안장비 보안설정을 이해할 수 있어야 한다. 2. 조직의 보안정책에 대한 단순한 변경 시 시스템 및 보안장비 보안설정을 변경할 수 있어야 한다. 1. 시스템과 네트워크에 대한 접속이력 및 활동이력 정보에 대한 구조와 의미를 파악할 수 있어야 한다. 2. 시간, IP주소, 사용자 등을 기준으로 침입증거를 수집하고 침입상황에 대한 기초적인 분석작업을 수행할 수 있어야 한다. 3. 수집된 보안로그 정보를 안전하게 백업하고 복원할 수 있어야 한다. 1. 악성코드 및 PC 및 서버를 대상으로 이루어지고 있는 주요 공격의 종류를 이해하고 이에 대응할 수 있는 기초 보안기술을 파악할 수 있어야 한다. 2. 공격에 대응할 수 있는 기술적, 물리적, 관리적 조치들에 대해 이해할 수 있어야 한다. 1. 주요 보안요소기술들을 구현한 도구를 활용할 수 있어야 한다. 2. 인증, 접근통제, 암호시스템, 전자서명 등 보안요소기술들을 응용할 수 있어야 한다. 6.8 출제방법 및 시험시간 필기시험 정보보안 산업기사 필기시험은 객관식 4지 택일형으로 시험시간은 총 2시간으로 한다 실기시험 정보보안 산업기사 실기시험은 정보보안 실무에 관한 업무수행 능력을 평가하기 위해 단답형과 서술형 문제로 구성되며 주관식 필답형으로 총 2시간 30분간 진행한다. 6.9 실기시험 시행자료 해당사항 없음
154 6.10 모의 검정시험 모의시험 대상자 정보보안 산업기사 모의시험은 본 연구팀이 소속된 대학을 포함한 정보보안 관련 전공 학부 3학년과 전문대학 2학년 재학생을 대상으로 실시하였다 모의시험의 필기시험 정보보안 산업기사 모의시험문제는 6.7.1절, 6.7.2절에 제시된 출제기준에 따라 필기시 험과 실기시험 모의시험문제를 출제하였다. 필기시험 과목의 모의시험문제는 각 과목 당 2명의 출제위원들이 출제하였고 실기시험은 총 8명의 출제위원이 단답형과 서술형/ 실무형 필답형 실기문제룰 출제하였다. 정보보안 기사의 필기시험 및 실기시험 모의시 험문제지는 부록 III에 수록하였다. 필기시험과 실기시험 모의시험문제는 각 과목당 2명의 출제위원들이 출제한 문제 중에 서 출제 항목별 중요도와 중복성 등을 감안하여 최종 문제를 선정하였다. 필기시험은 시스템 보안, 네트워크 보안 과목을 75분, 어플리케이션 보안과 정보보안 일반 과목을 75분, 총 150분에 걸쳐 실시하였고, 단답형과 서술형/실무형 문제로 구성 된 필답형 실기시험도 총 150분에 걸쳐 실시하였다. 표 6-6. 정보보안 산업기사 모의시험 문제 출제위원 구 분 시 험 과 목 출제 위원(소속) 필기시험 실기시험 시스템 보안 네트워크 보안 어플리케이션 보안 정보보안 일반 정보보안 실무 김민수(목포대) 홍석범(시디네트웤스) 이형효(원광대) 서광석(한국정보보호교육센터) 전주현(솔루션박스) 박정현(IBK시스템) 신원(동명대) 이정현(KISA) 김민수, 홍석범, 이형효, 서광석 전주현, 박정현, 신원, 이정현
155 모의시험의 실기시험 정보보안 산업기사 실기시험은 표 6-5에 정리된 출제범위 중에서 공공기업 및 민간기 업 정보보안 현업부서에서 실무에 필요한 내용을 단답형 10문제과 서술형/실무형 5문 제로 구성하여 필답식으로 총 150분간 진행하였다 모의시험 결과 정보보안 산업기사 모의시험결과는 표 6-7과 같다. 정보보안 산업기사의 경우 총 10 명이 응시하여 필기시험 합격자는 3명(합격률 30%), 필기시험과 실기시험에 모두 합 격한 응시자는 1명(합격률 10%)으로 평가되었다. 표 6-7. 정보보안 산업기사 모의 검정시험 결과 합격인원(명) 합격률(%) 응시인원(명) 필기 실기 최종 필기 실기 최종 정보보안 산업기사 필기시험 및 실기시험의 평균 점수, 40점 이상 득점자 비율, 60점 이상 득점자 비율을 표 6-8과 같다. 표 6-8. 정보보안 산업기사 필기시험, 실기시험 점수 분포 구 분 과목명 평 균 40점 이상 비율 (%) 60점 이상 비율 (%) 필기 시험 실기 시험 시스템 보안 네트워크 보안 어플리케이션 보안 정보보안 일반 % 정보보안 실무 모의시험 결과의 문제점 및 개선사항
156 이번 정보보안 산업기사 모의시험 응시자 10명 중 3명이 필기시험에 합격하였고 1명 이 실기시험에도 합격하여 필기시험 합격률 30.0%, 실기시험 합격률 10.0%를 나타내 었다. 시스템 보안 시험과목의 경우 평균점수가 63.2점, 60점 이상이 50.0%, 어플리케이션 보안 시험과목의 경우 평균 점수 58.7점, 60점 이상이 50.0%로 나타난 것으로 볼 때 필기시험의 난이도가 적절하였던 것으로 판단된다. 그러나 정보보안 일반 시험과목의 경우 평균점수 62.5점, 60점 이상이 70.0%를 나타 내어 다른 시험과목에 비해 상대적으로 쉽게 출제된 반면, 네트워크 보안 시험과목의 경우 평균점수 48.8점, 60점 이상이 10.0%밖에 산업기사 자격시험 응시자들에게 상당 히 어려운 문제들이 출제된 것으로 보인다. 실기시험의 경우 60점 이상을 획득한 응시자가 1명이고 평균점수가 21.9점으로 매우 낮은 경으로 평가되었는데 그 원인은 정보보안 실무 업무를 담당해 보지 않은 학부 3 학년 응시자들에게 서술형/실무형 문제가 어려웠던 것으로 분석되었다
157 6.11 해당종목관련 전문가목록 이름 기관명 소속 부서 강성문 국군기무사 국방정보전대응센터 강은성 SK컴즈 커뮤니티개발실장 강창구 위너다임 대표 고광섭 우정사업본부 우편사업단 고승철 UIZone 곽진 순청향대학교 정보보호학과 구태언 김앤장법률사무소 변호사 권순학 성균관대학교 자연과학부 수학전공 권태경 세종대학교 컴퓨터공학 권헌영 광운대학교 법과대학 금기현 전자신문 대표 김관수 에스원 김기영 이니텍 개발본부 김대연 나우콤 대표 김대환 소만사 대표 김동규 한양대학교 전자전기컴퓨터공학부 김명주 서울여자대학교 정보보호학과 김범수 연세대학교 정보대학원 김상진 한국기술교육대 인터넷미디어공학부 김상춘 강원대학교 컴퓨터정보통신공학부 김석우 한세대학교 IT학부 김세헌 한국과학기술원 정보보호관리및정책연구회 김순태 한국과학기술원 전산학과 김승주 성균관대학교 정보통신공학부 김연섭 LG CNS 본부장 김인석 금융감독원 부국장 김인식 한국정보인증 대표 김재성 한국인터넷진흥원 IT기반보호팀 김정곤 한세대학교 IT학부 김정덕 중앙대학교 정보시스템학과 김정태 목원대학교 전자공학과 김종 포항공과대학교 소프트웨어 연구센터 김종선 KTDS 사장 김종섭 서울지방경찰청 사이버범죄수사대 김지흥 세명대학교 정보통신학부 김창규 동의대학교 정보통신공학과 김춘수 국가보안기술연구소 김태성 충북대학교 경영정보학과 김학일 인하대학교 정보통신공학부 김현곤 목포대학교 정보보호전공 김형종 서울여자대학교 정보보호학과 김형중 고려대학교 정보경영공학부 김홍성 안철수연구소 대표 김환구 호서대학교 정보보호학과
158 이름 기관명 소속 부서 나재훈 한국전자통신연구원 지식정보보안연구부 나중찬 한국전자통신연구원 보안관제기술연구팀 노봉남 전남대학교 정보보호협동과정 노용만 한국과학기술원 전자과 도경구 한양대학교 전자컴퓨터공학부 류대현 한세대학교 IT학부 류재철 충남대학교 컴퓨터공학과 문기영 한국전자통신연구원 바이오인식기술 연구팀 문창주 건국대학교 컴퓨터응용과학부 문호건 KT 박광진 한국인터넷진흥원 정보보호본부 박대우 호서대학교 벤처전문대학원 박동규 순천향대학교 정보통신공학과 박동훈 닉스테크 대표 박상우 국가보안기술연구소 박상준 군산대학교 컴퓨터정보공학과 박세현 중앙대학교 전자전기공학부 박영호 세종사이버대학교 유비쿼터스학부 박정식 한국정보통신기술협회 박창섭 단국대학교 전자컴퓨터학부 박춘식 서울여자대학교 정보보호학과 박태규 한서대학교 컴퓨터정보공학과 박현주 엠큐릭스 대표 반성범 조선대학교 전자정보공과대학 백의선 경기대학교 산업보안학과 변옥환 한국과학기술정보연구원 e-science사업단 변진욱 평택대학교 정보통신학과 서동일 한국전자통신연구원 인프라보호연구팀 서승우 서울대학교 보안경제연구회 서재현 목포대학교 컴퓨터공학부 서창호 공주대학교 응용수학과 설정선 한국통신사업자협회 부회장 성재모 금융보안연구원 보안기술본부 소우영 한남대학교 컴퓨터공학과 손승원 한국전자통신 연구원 정보보호연구단 송유진 동국대학교 정보산업학과 송홍엽 연세대학교 전기전자공학부 신석규 한국정보통신기술협회 센터장 신수정 인포섹 대표 신요식 유니온커뮤니티 대표 신홍식 한국전자인증 사장 심상현 CONCERT 사무국장 심종헌 유넷시스템 대표 안기중 제주대학교 컴퓨터공학과 안효범 공주대학교 정보통신공학과 양대헌 인하대학교 정보통신대학원
159 이름 기관명 소속 부서 양재수 경기도청 정보화특별보좌관 양정모 중부대학교 정보보호학과 엄영익 성균관대학교 정보통신공학부 염흥열 순천향대학교 정보보호학과 오경수 롯데정보통신 대표 오병균 목포대학교 정보공학부 오영우 고려대학교 저작권정책과 오치영 지란지교 대표 오희국 한양대학교 전자컴퓨터공학부 원동호 성균관대학교 IT보안성평가연구회 원유재 한국인터넷진흥원 인터냇정책단 유기영 경북대학교 컴퓨터공학과 유병현 고려대학교 볍과대학 유일선 성서대학교 정보과학부 유황빈 광운대학교 컴퓨터공학과 윤석구 고려대학교 기계공학과 윤이중 국가보안기술연구소 이경구 한국인터넷진흥원 본부장 이경석 숭실대학교 컴퓨터학과 이경현 부경대학교 전자컴퓨터멀티미디어공학부 이경호 유비컴 대표 이광수 숙명여자대학교 정보과학부컴퓨터과학전공 이동훈 고려대학교 정보경영공학전문대학원 이득춘 이글루시큐리티 대표 이명수 한국인터넷진흥원 인터넷침해대응센터장 이문규 인하대학교 컴퓨터정보공학부 이미란 한국마이크로소프트 MicroSoft Senior Manager 이민섭 단국대학교 정보보호교육연구회 이병천 중부대학교 정보보호학과 이상용 한국마이크로소프트 최고보안자문 이상진 고려대학교 정보경영공학전문대학원 이상진 고려대학교 암호연구회 이선영 순천향대학교 정보보호학과 이성재 케이디넷 사장 이옥연 국민대학교 수학과 이임영 순천향대학교 정보기술공학부 이재광 한남대학교 정보통신멀티미디어공학부 이재훈 동국대학교 정보통신공학전공 이정현 숭실대학교 컴퓨터학부 이준호 NHN 최고기술책임자 이찬우 더존정보보호서비스 대표 이철 LG-CNS 이철원 국가보안기술연구소 본부장 이향숙 이화여자대학교 수학과 이형우 한신대학교 컴퓨터정보소프트웨어학부 이형효 원광대학교 정보전자상거래학부
160 이름 기관명 소속 부서 이홍섭 순천향대학교 u-개인정보보호연구회 이훈재 동서대학교 유비쿼터스 IT 전문인력양성 사업단 이흥규 한국과학기술원 전산학과 이희명 포스코 정보보안팀 임강빈 순천향대학교 정보보호학과 임을규 한양대학교 정보통신대학 임종인 고려대학교 정보보호대학원 임채호 보안뉴스 보안연구센터 임채훈 세종대학교 전자정보공학부 장종수 한국전자통신연구원 장청룡 경동대학교 정보통신공학부 전길수 한국인터넷진흥원 전자인증팀 전용희 대구카톨릭대학교 컴퓨터정보통신공학부 정경호 방송통신위원회 정교일 한국전자통신연구원 정보보호 기반 연구부 정석원 목포대학교 정보보호전공 정수환 숭실대학교 정보통신전자공학부 정용화 고려대학교 컴퓨터정보학과 정일용 조선대학교 컴퓨터공학부 정재일 한양대학교 전자전기컴퓨터공학부 정태명 성균관대학교 전기 및 컴퓨터 공학과 정현철 BCNE 부사장 조기환 전북대학교 전자정보공학부 조석팔 성결대학교 정보통신학부 조인준 배재대학교 컴퓨터공학과 조진웅 KETI 센터장 조태남 우석대학교 정보보안학과 조현숙 한국전자통신연구원 차세대 시큐리티 기술개발사업단 주대준 한국과학기술원 전산학과 지성택 국가보안기술연구소 진병문 한국정보통신기술협회 차영균 에스원 특수사업부 채기준 이화여자대학교 컴퓨터공학과 천정희 서울대학교 수리과학부 최명길 중앙대학교 상경학부 최병문 대전대학교 해킹보안학과 최성우 김앤장법률사무소 변호사 최소영 보안뉴스 부사장 최영주 포항공과대학교 수학과 최영호 한국범죄연구소 대표변호사 최용락 대전대학교 컴퓨터공학부 최운호 케이엘넷 기술운영본부장 최재환 금융감독원 정보화전략실 최정식 인포더그룹 대표이사 최종욱 상명대학교 소프트웨어전공 최춘수 단국대학교 사범대학 수학교육과
161 이름 기관명 소속 부서 최희봉 국가보안기술연구소 하옥현 호남대학교 경찰법행정학부 하재철 호서대학교 정보보호학과 한근희 행정안전부 모바일보안연구회 한승조 조선대학교 정보통신공학과 한종욱 한국전자통신연구원 융합서비스 보안연구팀 한종호 NHN CR 담당 허용석 구미전자정보기술원 센터장 홍기융 시큐브 대표 홍석희 고려대학교 정보보호대학원 홍승필 성신여자대학교 컴퓨터정보학부 황승구 한국전자통신연구원 소장 황중연 한국정보통신산업협회 부회장
162 제7장 정보보안 산업기사 연구결론 및 정책 제언
163 7.1 연구의 결론 인터넷과 스마트폰으로 대표되는 정보통신기술은 지금까지 국가의 주요 인프라로 여겨 져 왔던 교통, 전기, 가스, 행정서비스 등과 함께 우리사회의 필수 인프라로 자리 잡았 다. 그러나 정보통신서비스의 고도화 및 일반화와 함께 해킹, 사이버테러, 개인정보보 호 침해 등과 같은 역기능 역시 급격히 증가하고 있고, 이러한 사이버 공격에 대해 상 시 방어체계를 구축하고 침해사고 발생 시 신속히 대응하지 못할 경우 국가적, 사회적, 경제적으로 큰 피해가 발생할 수 있다. 정보보안 전문가는 주요 운영체제 구조에 대한 이해 및 활용, OSI 및 TCP/IP 통신 프 로토콜에 대한 이해와 주요 네트워크 장비에 대한 활용, 웹과 전자메일 등과 같은 주 요 응용 서비스에 대한 동작절차 등에 이론과 실무 능력을 보유한 후 암호학 및 정보 보안 주요 요소기술, 주요 운영체제와 통신 프로토콜, 그리고 응용 서비스별 취약점 파 악과 보안 대응방안 구현, 악성 코드 및 사이버 공격별 대응체계 구축 및 운영관리, 조 직의 정보보안 관리업무 수행 및 관련 법규에 대한 지식을 겸비해야 하는 고도의 전문 작업을 수행해야만 한다. 따라서 정보보안 전문가는 다른 전문분야에 비해 양성과 배 출에 오랜 기간이 요구되어 단기간에 공공기관 및 민간분야의 수요를 충족시키지 못하 는 원인이 된다. 현재 정보보안 관련 국내 자격제도에는 유일한 국가공인 민간자격인 정보보호전문가 (SIS) 자격과 함께 인터넷보안전문가, 정보보안관리사, 해킹보안전문가 등이 있고 국제 자격제도로는 정보시스템감사사(CISA), 정보시스템보안전문가(CISSP) 등이 있다. 정 보보안 민간자격의 경우 민간자격제도로 인한 신뢰도 문제, 정보보호전문가 자격을 제 외한 기타 자격은 공공기관이나 민간기업에서 인정받지 못하고 있는 실정이다. 또한 국제 자격제도의 경우 정보보안 전문가가 갖추어야 할 전문분야들 중 특정부분에 중점 을 두어 자격시험이 구성되어 있고 실무 경험이 있는 합격자들에게만 자격이 부여되는 한계점이 있다. 따라서 기본적인 정보보안 이론지식과 함께 주요 시스템 및 네트워크 장비, 보안장비 운영 직무를 수행할 수 있는 정보보안 산업기사 자격종목을 신설함으로써 공공기관 및 산업체가 요구하는 정보보안 전문가의 기초적인 직무를 체계적으로 정의하고 수요중심 의 정보보안 전문가를 양성하는데 필요한 교육과정을 제시함으로써 안전한 사이버 환 경을 조성과 함께 국내 지식정보보안 산업의 경쟁력 강화시킬 수 있을 것으로 기대된 다. 본 연구에서는 정보보안 산업기사 국가기술자격 종목의 신설 배경과 필요성, 정보보안 분야 국내외 기술 동향 및 자격제도에 대한 조사와 분석, 정보보안 전문인력으로서의
164 역할과 활용방안, 정보보안 산업기사의 직무 및 작업명세서 등을 제시하였다. 또한 정 보보안 산업기사 국가기술자격의 응시자격, 검정 기준, 검정시험 형태 및 합격기준, 출 제기준 및 출제 방법 등을 포함한 검정체계를 제시하였다. 그리고 연구팀에서 정리한 정보보안 산업기사의 직무와 검정체계에 대해 공공기관 및 민간기업 전문가, 예상 응시자들을 대상으로 설문조사를 실시하고 그 결과를 분석하였 다. 또한 검정체계의 타당성 및 적정성을 검증하기 위해 정보보안 산업기사 응시자격 을 갖춘 예상 응시자들을 대상으로 모의시험을 실시하였다. 그리고 모의시험 결과 분 석을 통해 모의시험 문제의 난이도 등 문제점과 개선 필요 사항을 제사하였다. 7.2 정책 제언 정보보안 분야는 IT 및 정보통신분야에 대한 전문적인 이론 및 실무 능력을 기초로 하 고 암호학 및 정보보안 요소기술, 주요 운영체제 및 통신 프로토콜에 대한 취약점 파 악 및 대응능력, 조직의 보안요구사항을 분석하고 보안정책을 수립한 후 정보보안 시 스템 및 솔루션을 개발하거나 보안장비를 운영관리할 수 있는 지식을 추가로 요구하고 있다. 본 연구에서 제시한 정보보안 산업기사 자격검정체계는 기본적인 정보보안 이론지식과 함께 주요 시스템 및 네트워크 장비, 보안장비 운영 직무를 수행할 있는 능력을 보유 한 정보보안 전문인력을 양성하게 함으로써 앞으로 수요가 증가하게 될 공공기관 및 민간기업의 정보보안 수요에 적절한 대응책이 될 것으로 기대된다. 그리고 정보보안 산업기사 국가기술자격 취득자들에 대해 공공기관이나 민간기업에서 인력채용 시 우대할 수 있는 법적, 제도적 장치 마련이 요구되며, 공공기업 및 민간기 업에서 이러한 제도를 준수하고 있는지 여부를 지속적으로 감독할 필요가 있다
165 참고문헌 [1] 인터넷침해사고 동향 및 분석 월보, 한국인터넷진흥원, 2010년 10월 [2] 2009년 국내 지식정보보안 산업 시장 및 동향, 한국인터넷진흥원, 2009년 12월 [3] 2010 국가정보보호백서, 한국인터넷진흥원, 2010년 4월 [4] IT 산업의 직업변동연구, 한국고용정보원, 2008년 12월 [5] 유비쿼터스 환경에서의 정보보호 정책 방향, 한국정보보호진흥원, 지식경제부, 정보통신연구진흥원, 2008년 3월 [6] 정보보안의 중요성과 목적, 년 11월 [7] 출제가이드라인 네트워크 보안, 한국인터넷진흥원, 2010년 4월 [8] 출제가이드라인 시스템 보안, 한국인터넷진흥원, 2010년 4월 [9] 출제가이드라인 어플리케이션 보안, 한국인터넷진흥원, 2010년 4월 [10] 정보보호학회지 제20권 제3호, 한국정보보호학회, 2010년 6월 [11] Certified Information SyStems Auditor ISACA 자격증 2010년 시험요강, ISACA, 2010년 11월 [12] [ISC2] CISSP, huikyun.tistory.com/124, 2009년 3월 [13] 2008 정보보호실태조사, 한국인터넷진흥원, 2008년 [14] 2009 국가정보보호백서, 국가정보원, 방송통신위원회, 행정안전부, 지식경제부, 2009년 4월 [15] SIS 검정기준, [16] 인터넷보안전문가 1급, [17] 정보보안관리사(ISM), [18] 해킹보안전문가(HSE), [19] 국가기술자격법시행령, 2010년 11월 26일
166 부록 I. 설문지
167 정보보안 기사 산업기사(국가기술자격 ) 검정 관련 설문조사 안녕하십니까? 현재 한국산업인력공단 및 전남대학교 시스템보안연구센터에서는 정보보안 분야 국가기 술자격 검정체계를 마련하기 위한 연구과제를 진행하고 있습니다. 본 조사는 정보보안 분애 종사자들을 대상으로 정보보안 기사 산업기사의 직무내용, 검정방법 및 출제기준에 대한 필요성과 타당성을 검토함으로써 현실성 있는 검정방안을 제시하기 위한 자료를 수 집하는 것이 목적입니다. 귀하가 답변하신 내용은 순수한 연구목적으로만 사용될 것이며, 익명성이 보장될 것입니 다. 또한 귀하의 설문 내용은 통계법 제 13 조 [비밀보호 원칙]에 따라 통계적인 목적 외에는 다른 목적으로 절대 활용되지 않을 것입니다. 본 설문지의 질문에 관하여 여러분이 잠시만 시간을 내어 성심어린 답변을 해 주시기를 부탁드리며, 본 연구가 좋은 결실을 맺을 수 있도록 많은 협조 부탁드립니다. 주관: 한국산업인력공단 연구기관 : 전남대학교 시스템보안연구센터 (연구책임자 : 노봉남 교수) 문의처 및 회신처 : 이 형 효 (원광대학교 정보 전자상거래학부 교수) hlee@wonkwang.ac.kr 응답자 성명 응답자 소속 응답자 연락처
168 Part 1. 정보보안 기사 산업기사 검정관련 1. 신설되는 정보보안 기사 산업기사 직무를 해당 자격증을 취득한 후 공공기관 또는 산업체에서 담당할 업무 분야와 수준을 고려하여 시스템 및 솔루션 개발, 운영 및 관리, 컨설팅 등 3개 직무로 구분하였습니다 (각 직무별 작업단위 내용은 3, 4쪽 참조). 정보보안 기사 산업기사 자격시험에 응시하게 될 주요 예상 응시자들의 자격(참고 1)과 KISA에서 수행한 정보보호 관련 직무분석 결과(참고 2)를 참조해 답해 주시면 감사하 겠습니다 정보보안 기사 산업기사 직무로서 시스템 및 솔루션 개발 직무가 타당하고 생각하 십니까? 1 그렇다 2 아니다 1-2. 정보보안 기사 산업기사 직무로서 운영 및 관리 직무가 타당하고 생각하십니까? 1 그렇다 2 아니다 1-3. 정보보안 기사 산업기사 직무로서 컨설팅 직무가 타당하고 생각하십니까? 1 그렇다 2 아니다 [참고 1] 1. 정보보안 기사 응시자격: 정보보안 전공 4년제 대학 관련학과 졸업예정자 및 졸업자 2. 정보보안 산업기사 응시자격: 정보보안 전공 2년제 전문대학 관련학과 졸업예정자 및 졸업자 [참고 2] 유비쿼터스 환경에서의 정보보호 정책방향(KISA, 2008) 직무분석 연구결과 예 1. 전략 및 기획: 위험 분석, 정보보호정책 및 계획 수립, 개인 정보보호 관리 2. 마케팅 및 영업: 마케팅 매니지먼트, 기술 영업 3. 연구개발 및 구현: 연구개발, 구현 4. 교육 및 훈련: 일반인 및 사용자 교육, 전문가 교육 5. 관리 및 운영: 프로젝트 관리, 정보인프라 보안관리, 물리적 보안 6. 사고 대응: 모니터링 및 대응, 디지털 포렌식, 업무 지속성 관리 7. 평가 및 인증: 평가인증 및 품질보증, 정보시스템 보안감사
169 2. 정보보안 기사 산업기사 직무의 내용을 시스템 및 솔루션 개발, 운영 및 관리, 컨설 팅 등으로 정의하였지만, 수정되거나 추가되어야 하는 것이 있으면 답변하여 주시기 바랍니다. 직무 작업단위 작업 작업단위요소 A 요구사항 분석 A-1 보안기능 요구사항 수집, 작성 A-2 보증 요구사항 수집, 작성 A-3 시스템 개발 및 동작환경 특성 분석 A-4 보안 요구사항 명세서 작성 B 설계 B-1 요소 보안기술 결정 B-2 보안 아키텍처 설계 B-3 모듈 단위 기능정의 및 설계 B-4 설계서 작성 C 구현 C-1 설계서에 대한 기술 검토 C-2 개발환경 구축 및 코딩 C-3 구현 관련 문서 작성 D 시험 D-1 모듈 단위 시험 D-2 통합 시험 D-3 버그 수정 및 보완 개발 D-4 시험 결과보고서 작성 [시스템 및 솔루션 개발] 직무 및 작업단위
170 직무 작업단위 작업 작업단위요소 E 보안목표 파악 및 보안정책 관리 E-1 조직의 보안목표 파악 E-2 조직의 IT환경 특징 및 위협 파악 E-3 보안정책 작성 및 적용 E-4 보안정책 이력 관리 F 시스템 및 네트워크 보안특성 파악 F-1 운영체제별 보안특성 파악 F-2 프로토콜 특징 및 취약점 파악 F-3 서비스별 보안특성 파악 F-4 보안장비 및 네트워크 장비 보안특성 파악 F-5 관리대상 시스템 및 네트워크 구조 파악 G 취약점 점검 및 보완 G-1 운영체제 및 버전별 취약점 점검, 보완 G-2 서비스 및 버전별 취약점 점검, 보완 G-3 보안장비 및 네트워크 장비 취약점 점검, 보완 G-4 취약점 점검 및 보완 사항 이력 관리 H 관제 및 대응 H-1 운영체제별 로그정보 점검 H-2 서비스별 로그정보 점검 H-3 보안장비 및 네트워크 장비 로그정보 점검 H-4 로그정보 통합 및 연관성 분석 H-5 데이터 백업, 증거 수집 및 침입자 추적 [운영 및 관리] 직무 및 작업단위 직무 작업단위 작업 작업단위요소 I 계획수립 I-1 IT현황 및 자산 파악 I-2 조작의 요구사항 파악 I-3 관련 법령 검토 J 위험분석 J-1 내 외부 위협 분석 J-2 자산별 취약점 분석 J-3 취약점 점검 보고서 작성 K 구현 K-1 정보보호 정책 수립 및 적용 K-2 시험 및 검증 K-3 정보보호 대책 구현 K-4 정보보호정책 교육 L 사후관리 L-1 정보보호 체계 재검토 L-2 사후 조치 및 모니터링 L-3 내부 감사 [컨설팅] 직무 및 작업단위
171 3. 신설되는 정보보안 기사 산업기사의 이론 검정과목에 포함되어야 하는 출제분야 각 직무별로 모두 선택하여 주십시오. (항목에 없는 추가 과목이 있다면 기타에 기입) 출제 분야 운영체제 주요 구성기술 운영체제별 보안 기능 보안 운영체제 및 보안정책 윈도우 운영체제 보안 관리 리눅스 운영체제 보안 관리 악성코드 종류 및 특징 서버 취약점 점검 및 보안 도구 공개 해킹도구 활용 OSI 7-Layer 프로토콜 TCP/IP 프로토콜 IP 주소 및 서브넷 라우팅 개념 및 라우터 운용 윈도우, 리눅스 네트워크 서비스 보안 VLAN 설정 및 보안 무선 통신 및 보안 기술 DDoS 공격원리 및 대응 기술 IDS/IPS/VPN/ESM 보안 장비 취약점 점검 원리 및 도구 활용 보안 관제 FTP 서비스 및 보안 MAIL 서비스 및 보안 Web 서비스 및 보안 DNS 서비스 및 보안 DB 보안 전자상거래 보안기술 전자화폐 및 전자지불 기술 암호시스템 일반 (용어 및 개념) 암호 알고리즘 종류 및 원리 디지털 서명 및 공개키 기반 구조 인증 및 키분배 프로토콜 정보보호관리(ISMS) 정보보호시스템 인증체계 (CC) 정보보호 관련 법규 (국가정보호기본법, 정보통신기반보호법 정보통신이용촉진및정보보호등에관한법률, 정보통신산업진흥법, 전자서명법, 전자거래기본법) 기타 분야 (출제분야 기입) : 공통 시스템 및 솔루션 개발 운영 및 관리 컨설팅
172 4. 현재 국가공인 민간자격제도로 시행 중인 정보보호전문가 (SIS) 자격시험 검정과목 중 정보보호관리 및 정보보호 관련 법규 출제분야가 포함된 점에 대해 이견이 있습 니다. 출제 분야 (정보보호론 과목 비중) 출제 기준 정보보호관리 (1급: 50%, 1,2급 공통 정보보호관리 개념, 정보보호정책 및 조직, 위험관리, 대책구현 및 운영 2급: 40%) 1급 업무연속성관리, 관련 표준/지침 관련 법규 (1급: 20%, 2급: 20%) 1,2급 공통 1급 정보통신망 이용촉진 및 정보보호 등에 관한 법률 정보통신기반보호법, 정보통신산업진흥법, 전자서명법 국가정보화기본법, 전자거래기본법 4-1. 신설되는 정보보안 기사 산업기사 검정시험에서 정보보호관리 및 정보보호 관련 법규에 대한 출제분야가 어떻게 반영되는 것이 타당하다고 보십니까? 1 기사, 산업기사 시험에 모두 포함 (4-2로) 2 기사 시험에만 포함 (4-2 로) 3 기사, 산업기사 시험에서 모두 제외 (5번으로 ) 4-2 신설되는 정보보안 기사 산업기사 검정시험에서 정보보호관리 및 정보보호 관련 법규에 대한 출제분야 출제 비중은 어떻게 반영되는 것이 타당하다고 보십니까? 1 SIS 수준보다 출제 비중 축소 3 SIS 수준보다 출제 비중 확대 2 SIS 수준의 출제 비중 유지 5. 정보보안 기사 산업기사 검정시험에서 이론시험을 객관식 필기 시험으로 진행한다면, 다음 중 어떤 형식의 문제가 바람직하다고 보십니까? (바람직한 형식 모두를 선 택) 문항 형태 (O, X) 사지 택일 사지 선다 오지 선다 오답 감점 기타 (구체적으로 기입) :
173 6. 정보보안 기사 산업기사 검정시험에서 실기 시험을 어떤 방법으로 진행하는 것이 가장 타당하다고 생각하십니까? 1 주관식 필기시험 2 주관식 필기와 실기를 병합한 시험 3 기타 (구체적으로 기입: ) 7. 정보보안 기사 산업기사 자격 취득을 위한 시험은 몇 회가 적당하다고 보십니까? 1 연 1회 2 연 2회 3 연 4회 4 기타 (구체적으로 기입: ) 8. 정보보안 기사 검정시험의 난이도는 응시자격을 정보보안 관련 전공 4년제 대학 졸 업 기준으로 할 때, 합격률은 어느 정도가 적당하다고 보십니까? (참고: 2007년 ~ 2009년 정보보호전문가 (SIS) 1급 평균 합격률은 4.4%, 2007년 ~ 2009년 정보처리 기사 평균 합격률은 필기 47.0%, 실기 39.2% 임) 5% 이내 10% 이내 15% 이내 20% 이내 30% 이내 정보보안 산업기사 검정시험의 난이도는 응시자격을 2년제 전문대학 졸업 기준으로 할 때, 합격률은 어느 정도가 적당하다고 보십니까? (참고: 2007년 ~ 2009년 정보보호전문가(SIS) 2급 평균 합격률은 7.8%, 2007년 ~ 2009년 정보처리 산업기사 평균 합격률은 필기 39.9%, 실기 42.5% 임) 5% 이내 10% 이내 15% 이내 20% 이내 30% 이내 정보보안 기사 산업기사 검정시험에서 시험위원은 학계와 산업계 전문가의 비중이 어 떠해야 검정이 적절하게 이루어 질 수 있다고 보십니까? (학계)7 : (산업계)3 (학계)6 : (산업계)4 (학계)5 : (산업계)5 (학계)4 : (산업계)6 (학계)3 : (산업계)
174 11. 신설되는 정보보안 기사 산업기사 자격제도 검정과 관련하여 의견(직무내용, 검정방 법 및 출제기준 등)이 있으시면 어떤 내용이라도 좋으니 자유롭게 기술해 주시기 바랍니다
175 Part 2. 설문 응답자 관련 1. 귀하의 현재 근무 직장은? 1 공공기관 3 정보보안 전문기업 5 기타 ( ) 2 고등교육기관(대학교, 대학원) 4 대학생, 대학원생, 전문교육기관 수강생 2. 정보보안 관련 전공 대학, 대학원 재학기간을 포함하여 정보보안 관련 귀하의 근무 기간은? 1 3년 미만 2 3 ~ 5년 3 6 ~ 10년 4 11 ~ 15년 5 16년 이상 3. 위 1번 문항에서 1, 3에 응답하신 경우 귀하의 직위는? 1 실무자 2 중간 간부 3 고위 간부 4 임원급 이상 4. 귀하의 최종 학력은? 1 고졸 3 대학교졸 5 박사 2 전문대학졸 4 석사 5. 귀하의 최종 전공분야는? 1 컴퓨터 공학 관련 3 1, 2 제외 공학 관련 5 기타 ( ) 2 전기, 전자, 통신 공학 관련 4 비 공학계열 전공
176 부록 II. 정보보안 기사 모의시험 문제
177 관리번호 자격종목 정보보안 기사 (필기) 시험과목 시스템 보안, 네트워크 보안 시험시간 75분
178 정보보안 기사 (필기) 시스템 보안 1. 다음 지문은 시스템을 구성하고 통제하기 위한 기술적 메커니즘에 대한 설명이다. 설명하고 있는 기술은? 객체지향 개념에서 나왔으며 운영체제의 시스템 구성요소의 사용자들은 구성요소의 동작 방법을 알 필요는 없고 구성요소의 올바른 입력 구문과 출력으로서 표현되는 데 이터 유형만 알아도 된다. 1 추상화 (abstraction) 2 계층화 (layering) 3 데이터 숨김 (data hiding) 4 구획화 모드 (compartmented mode) 2. 다음은 크기가 4096바이트인 기억장치의 현재 할당된 세그먼트 테이블이다. 크기 180바이트의 새로운 데이터를 기억장치에 할당받으려 할 때, 들어갈 수 있는 위치는? 세그먼트 (segment) 기준(base) 한계 (limit) 세그먼트 0 앞 2 세그먼트 1 앞 3 세그먼트 2 앞 4 세그먼트 3 앞 3. 다음 지문은 어떠한 CPU 스케줄링 방법을 설명하고 있는가? 일정한 시간량 동안 한 프로세스에게 CPU를 할당한 후 준비 큐의 다음 프로세스에게 CPU를 다시 할당한다. 시스템이 사용자에게 적합한 응답시간을 제공하고, 대화식 시 분할 시스템에 적합하다. 1 선입선출(FIFO) 스케줄링 2 우선순위(Priority) 스케줄링 3 순환할당(Round Robin) 스케줄링 4 최소작업 우선(SJF) 스케줄링
179 4. 우리나라에서 1.25 대란을 일으켰던 웜의 특성으로 맞는 것은? 1 MS Office 프로그램에서 사용하는 매크로를 이용하여 전파하였다. 2 카자(KaZaA)라는 P2P 파일 공유 프로그램을 이용하여 전파하였다. 3 윈도우즈 액티브엑스(ActiveX)를 이용하여 전파하였다. 4 MS SQL 서버의 취약점을 이용하여 전파하였다. 5. 다음은 윈도우즈에서 제공하는 서비스 중의 일부이다. 윈도우즈 XP를 사용하는 개 인용 컴퓨터에서 msconfig를 사용하여 서비스 항목을 제거하려고 한다. 다음 중에서 그 중요도가 가장 높은 것은(삭제하면 가장 위험한 것은)? 1 Application Management 2 Net Login 3 Messenger 4 Fast User Switching Compatibility 6. 다음은 윈도우의 어떤 기능에 대한 설명인가? * 명령행에서 net share를 실행하면 ADMIN$, IPC$, C$ 등이 출력된다. * 폴더의 등록정보에서 사용자 및 읽기, 변경, 모든 권한을 선택하여 설정할 수 있다. * HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters 디렉토리에 DWORD 값을 추가하고 값을 0으로 설정하면 해제된다. 1 폴더공유 2 시스템의 유저에 대한 정보 3 네트워크 접속 정보 4 백신 설치 정보 7. Microsoft에서 배포하는 hotfix나 패치를 설치하고자 할 때 매번 설치 후 재부팅하 기가 쉽지 않아 이를 연결하여 다수의 핫픽스들을 안전하게 연쇄적으로 설치하도록 도 와주는 Microsoft의 툴이 있다. 이를 일컫는 실행 파일명은 무엇인가? 1 fport 2 qchain 3 convert 4 patchinstall 8. 다음 중 스파이웨어 감염을 의심할 수 있는 증상과 거리가 먼 것은? 1 웹 브라우저의 홈페이지 설정이나 즐겨찾기 등이 특정 사이트로 변경되는 경우 2 원하지 않는 광고창이 뜨거나 성인사이트로 접속되는 경우 3 이용자가 특정 광고 프로그램을 삭제하거나 종료할 수 없는 경우 4 특정 사이트로 대량의 트래픽을 발송하는 좀비로 악용되는 경우
180 9. 다음은 iptables에서 기록된 로그파일이다. 이에 대한 설명으로 틀린 것은? 1 위의 데이터는 messages 로그 파일에서 확인할 수 있다. 2 위의 데이터를 기록한 시스템의 주소는 이다. 3 위의 데이터는 잘못된 ACK 패킷을 보낸 것을 기록하였다. 4 위의 시스템에서는 TELNET 서비스로의 외부 접속을 허용하지 않고 있다. 10. 보안 시스템 소프트웨어를 개인이 접근한다고 할 때, 임무분리(separation of duties) 원칙을 위반하게 되는 사람은 누군가? 1 데이터 보안 관리자 (administrator) 2 데이터 보안 분석자 (analyst) 3 시스템 감사관 (auditor) 4 시스템 프로그래머 (programmer) 11. 다음 중 객체의 진실성을 보장하고 오직 권한 받은 객체에 의해서만 의도적으로 수정되는 원칙은 무엇인가? 1 무결성 2 인증 3 권한 부여 4 프라이버시 12. 다음 중 시스템 보안을 위해서 안전한 계정 관리방안과 거리가 먼 것은 무엇인가? 1 시스템 OS 설치 후 사용하지 않는 default 계정은 삭제한다. 2 공동 작업을 할 경우 업무의 효율성을 위해 root 권한으로 생성해 준다. 3 가급적 set user id 또는 set group id의 사용을 제한한다. 4 계정잠금기능을 활용, 틀린 암호를 수회 이상 입력하면 접근을 차단하는 것이 좋다. 13. 다음 중 유닉스 계열의 대표적인 접근통제 프로그램인 tcp wrapper에 대해 바르게 설명한 것은 무엇인가? 1 최근의 tcp wrapper는 시간대별로 차단할 수 있는 dynamic 기능을 제공한다. 2 named나 httpd등 유닉스의 모든 프로그램에 대해 방화벽과 동일한 수준으로 접근 통제 설정을 할 수 있다. 3 일반적으로 hosts.deny에서 모두 차단하고, hosts.allow에 접근을 허용할 정보를 설 정하는 것이 좋다. 4 SQL injection등 대표적인 웹해킹을 방어하는 기능도 제공한다
181 14. 다음 중 네서스(Nessus) 스캔을 통해서 알 수 있는 것이 아닌 것은? 1 사용하지만 닫혀진(closed) 포트 2 UDP 패킷 경로 추적 정보 3 운영체제 종류 4 저장된 쿠키 정보 15. 언론의 주목을 받은 최초의 버퍼 오버플로우 공격을 사용한 웜은? 1 코드레드 웜 2 님다 웜 3 슬래머 웜 4 모리스 웜 16. 다음 중에서 웹 서비스와 그 취약점을 검사하는 도구와 거리가 먼 것은? 1 httprint 2 nikto 3 amap 4 xprobe 17. 다음 공격기법 중 잘못 설명된 것은? 1 경쟁조건 공격(Race Condition)은 두개 또는 그 이상의 프로세스가 하나의 자원을 사용하기 위해 다투도록 하여 다른 프로세스의 권한을 이용하는 공격 방법이다. 2 버퍼오버플로우 공격(Buffer OverFlow)은 지정된 버퍼의 크기보다 더 많은 데이터 를 입력해서 프로그램이 비정상적으로 동작하도록하는 공격 방법이다. 3 포맷스트링 공격(Format String)은 사전 파일에 있는 단어를 순차적으로 대입하여 암호화된 패스워드와 비교하는 공격 방법이다. 4 서비스 거부공격(DOS)은 공격대상 서버가 해당서비스를 하지 못하도록 하는 공격 이다. 18. 다음 중 아래의 cron 설정을 바르게 해석한 것은 무엇인가? 1 /etc/cron.1 디렉토리 이하의 스크립트를 매일 1시에 수행한다. 2 /etc/cron.2 디렉토리 이하의 스크립트를 4월 2일에 수행한다. 3 /etc/cron.3 디렉토리 이하의 스크립트를 한달에 한번 22시 4분에 수행한다. 4 /etc/cron.4 디렉토리 이하의 스크립트를 매 2분마다 수행한다
182 19. 침해 사고를 분석하기 위해 최근에 유닉스 서버에 접속한 정보를 확인하고자 한다. 어떤 명령어를 실행하였을 때 아래의 접속 결과가 보이게 되는가? 1 login 2 last 3 dmesg 4 logger 20. 다음 설명 중 틀린 것은? 1 인가는 사용자가 접근 가능한 것을 허용하는 것이다. 2 네서스(Nessus)에서 nikto 스캔을 수행할 수 있다. 3 MS SQL의 관리자 계정은 sa이며 운영체제에서 system 권한으로 명령을 실행한다. 4 침투 테스트 공격 방법 중에서 레드 팀 테스트는 관리자에게 공격사실을 알리고 테 스트를 수행하는 것이다. 21. Sun Solaris 시스템의 로그파일에 대한 설명으로 틀린 것은? 1 pacct - 사용자 수행명령어 기록 2 loginlog - 로그인 실패 기록 3 sulog - su 명령어 사용 내역 4 utmp - 로그인/로그아웃, 시스템 시작과 종료 시간 22. 침입탐지시스템에 대한 설명으로 틀린 것은? 1 네트워크기반 IDS는 공격자를 탐지하여 다른 시스템으로 유도할 수 있다. 2 행위기반 침입탐지는 전문가 시스템 형태로 구현된다. 3 알려진 공격에 대한 가장 효과적인 탐지는 특징을 기반으로 탐지하는 것이다. 4 비정상행위에 대한 탐지와 자동화된 대응을 연계시키는 것이 효과적이다. 23. 다음 중 원격지에서 운영체제(OS) 정보를 알 수 있는 방법이 아닌 것은? 1 nmap 명령어로 -O 옵션을 사용하여 운영체제를 판별한다. 2 ping 명령어로 나타나는 TTL 값을 이용하여 추정한다. 3 telnet을 이용하여 원하는 서버로 접속하여 본다. 4 host 명령어를 이용하여 운영체제 정보를 얻어온다
183 24. 다음 중 포트스캐너에 대해 잘못 설명하고 있는 것은 무엇인가? 1 최근의 포트스캐너는 원격에서도 에서 리슨하고 있는 포트를 판별할 수 있다. 2 서버 상단에 방화벽이 있을 경우 정확한 결과를 알 수 없다. 3 TCP는 상대적으로 정확히 알 수 있으나 UDP는 정확한 결과를 기대할 수 없다. 4 가장 대표적인 툴인 nmap의 경우 데몬버전이나 OS등의 관련 정보도 함께 알 수 있 다. 25. 다음과 같이 chkrootkit 이라는 툴을 실행하였을 때 출력되는 내용을 보고 잘못 해 석한 것은 무엇인가? 1 특정 프로세스가 보이지 않는 것으로 보아 kernel 백도어가 설치된 것임을 짐작할 수 있다. 2 ssh를 통한 brute force 해킹을 통해 시스템 권한을 획득하였다. 3 일부 파일이 변조된 것으로 보아 root 권한을 빼앗겼다. 4 login 파일이 변조된 것으로 보아 로그인 관련 정보를 위조하려는 것으로 보인다
184 정보보안 기사 (필기) 네트워크 보안 1. 높은 신뢰도나 제어용 메시지를 필요로 하지 않고 비연결형 서비스에 사용되는 기 술은 무엇인가? 1 ARP 2 RARP 3 RIP 4 UDP 2. 두 컴퓨터가 동시에 data를 전송하면 충돌을 일으키게 되므로 이 문제점을 해결하 기 위해 data 충돌을 감지하여 나중에 채널이 비어있는 경우 누구라도 채널을 이용하 게 하는 방식은? 1 Token Ring 2 CSMA/CD 3 FDDI 4 Token-bus 3. 다음은 ICMP 의 질의 메세지가 아닌것은? 1 에코 요청과 응답 메세지 2 목적지 도달 불가 메세지 3 타임스탬프 요청과 응답 메세지 4 주소 마스크 요청과 응답 4. IP 주소 , 서브넷 마스크 에 대해 잘못 설명한 것은? 1 B 클래스 IP 주소이며 사설 IP 주소이다. 2 생성 가능한 서브넷의 개수는 총 4098개이다 은 PC에 배정하여 사용할 수 있다 의 서브넷 주소는 이다. 5. 프락시 서버(Proxy Server)의 기능을 올바르게 설명한 것은? 1 데이터의 에러를 복구해 주는 기능을 가지고 있다. 2 전자우편에 대한 보안 서비스 기능을 제공한다. 3 HTTP에 대해서만 수행할 수 있다. 4 데이터를 인증하며 부분적인 캐시 기능을 가지고 있다
185 x 프로토콜에서 단말의 인증 기능을 수행하는 서버는? 1 CA 서버 2 RADIUS 서버 3 Kerberos 서버 4 DHCP 서버 7. IPSec 환경에서 보안정책을 수행하기 위한 정책 데이터베이스인 것은? 1 SPD 2 SAD 3 AH 4 ESP 8. IPSec 보안 프로토콜에 대한 설명으로 잘못된 것을 고르시오. 1 패킷에 대한 메시지 출처 인증, 재사용 공격방지, 무결성 점검을 위해서는 AH 프로 토콜을 이용한다. 2 ESP 프로토콜은 AH 프로토콜이 지원하는 보안 기능 외에 암호화 기능을 추가로 제공한다. 3 재사용 공격방지를 위해 AH 프로토콜에서는 sequence 번호를 이용한다. 4 ESP 프로토콜 트랜스포트 모드에서는 새로운 IP 헤더가 추가되어 트래픽 흐름에 대한 제한적 보호기능이 제공된다. 9. IPSec 프로토콜의 핵심 개념인 보안 연계(Security Association)에 대한 설명으로 옳은 것은? 1 송신 컴퓨터와 수신 컴퓨터가 하나의 SA를 공유한다. 2 SA는 목적지 컴퓨터와 사용되는 프로토콜(AH 또는 ESP)로 구성된다. 3 하나의 SA는 단뱡향 데이터 전송에 적용되며 데이터 보호에 필요한 보안 파라미터 들을 포함하고 있다. 4 보안 연계는 전역적으로 유일한 값을 갖는다. 10. 사설 IP를 이용하는 사설 네트워크와 인터넷을 연결할 때 사용되는 NAT 방법 중 IP 주소 절감효과가 가장 큰 방식은? 1 static NAT 2 dynamic NAT 3 PAT 4 PAP
186 11. 라우팅 프로토콜에 대한 설명으로 잘못된 것은? 1 라우팅 프로토콜은 사용자가 보내는 일반적인 데이터가 아닌 네트워크 경로 및 상 태에 대한 정보를 전송한다. 2 라우팅 프로토콜은 라우터들에 의해 수행된다. 3 동작방식에 따라 distance-vector, link-state, hybrid 방식으로 구분된다. 4 라우팅 프로토콜에 의해 설정된 동적 경로는 정적 경로보다 높은 우선순위를 가진 다. 12. 다음 ACL 명령어 설정 결과로 옳은 것은? 1 호스트 로부터 호스트 로 전달된 FTP 메시지는 거부된다. 2 호스트 로부터 요청된 FTP 연결은 거부된다. 3 호스트 로부터 호스트 로 전달되는 RIP 메시지는 거부된다. 4 호스트 로부터 호스트 로 전달되는 FTP 패킷은 거부된다. 13. 다음 설명 중 ᄀ과 ᄂ에 들어갈 단어가 잘 짝지어진 것은? SYN Flooding는 Dos(Denial of Service)의 일종으로 공격자가 IP를 위장한 채 공격 대상 자에게 많은 수의 ( ᄀ ) 요청을 시도하고 그에 대한 ( ᄂ )을 보내주지 않음으로써 공격대 상의 시스템에 listen queue가 가득 채워져 시스템이 오버플로우에 빠지게 하는 방법이다. 1 IP - ACK 2 ACK - SYN 3 ACK - IP 4 SYN - ACK 14. 다음 명령에 대한 설명으로 잘못된 것은? 1 A.B.C.D 컴퓨터에 설치된 운영체제 종류를 알아내는 검사를 수행한다. 2 A.B.C.D 컴퓨터에 대한 TELNET, SMTP, HTTP, POP3 포트 동작여부를 검사하기 전 A.B.C.D 컴퓨터가 현재 동작 중인지 검사를 먼저 수행한다. 3 스캔 방법은 3-way handshake 전 과정을 진행하는 방법을 이용한다. 4 A.B.C.D 컴퓨터에서 네트워크 접속시도에 대한 로그를 남기는 경우 스캐닝을 수행 한 컴퓨터의 IP 정보가 기록될 수 있다
187 15. 다음은 어느 공격의 특징들을 설명한 것인가? 통신에 특정 포트가 사용되지 않고 암호화되어 있으며, 프로그램에 의해 UDP, TCP, ICMP가 복합적으로 사용되며 포트도 임의로 결정된다. TCP Syn Flooding, UDP Flooding, ICMP Flooding, Smurf 공격이 가능하다. 모든 명령은 CAST-256 알고리즘으로 암호화된다. UDP 패킷의 헤더가 실제 UDP패킷보다 3바이트 더 크다. 데몬은 인스톨 시 자신의 프로세스 이름을 변경함으로써 프로세스 모니터링을 회피 한다. 1 TFN 공격 2 TFN2K 공격 3 Stacheldraht 공격 4 Trinoo 공격 16. IP 스푸핑 공격의 다른 형태로 출발지 주소와 목적지주소를 같게 하는 경우로 즉, 발신지 주소를 공격 대상자 자신의 IP 및 Port로 지정하여 패킷을 전송하는 방법 은? 1 Syn flooding 2 Dos(Denial of service) 3 Session Hijacking 4 Land Attack 17. SSL 보안 프로토콜에 대한 Man-in-the-Middle 공격에 대응할 수 있는 방법은? bit 이상의 키 길이를 갖는 대칭키 알고리즘을 이용한다. 2 웹 브라우저가 경고하는 검증이 되지 않은 서버 인정서를 이용하지 않는다. 3 공개키 암호시스템의 암호 모드를 이용하여 데이터를 암호화한다. 4 송신되는 데이터마다 송신 컴퓨터의 전자서명 값을 추가하여 송신자 신원을 확인한 다. 18. 세션 하이재킹에 대한 설명으로 잘못된 것은? 1 세션 하이재킹은 TCP 프로토콜의 취약성을 이용한 능동적 공격의 한 종류이다. 2 세션 하이재킹은 TCP 헤더의 시퀀스 넘버 필드를 이용한 공격이다. 3 세션 하이재킹은 TCP 접속 양단을 동기 상태로 만들어 접속 쌍방이 더 이상 데이 터 전송이 불가능 하도록 하는데 있다. 4 세션 하이재킹은 Telnet, FTP 등 TCP를 이용한 거의 모든 세션의 갈취가 가능하 다
188 19. SSL 보안 프로토콜의 handshake 과정을 통해 클라이언트와 서버가 공유하는 보안 정보가 아닌 것은? 1 대칭키 암호 알고리즘 2 전자서명 알고리즘 3 공개키 암호 알고리즘 4 해쉬 알고리즘 20. 스위치에 의해 Active 스니핑 방법들에 대한 설명으로 옳지 않은 것은? 1 스위치 테이블을 잘못된 정보로 가득 채워 스위치가 비정상적으로 동작하도록 한 다. 2 디폴트 게이트웨이 IP 주소와 공격 컴퓨터의 MAC 주소가 포함한 가짜 ARP Response 메시지를 조작하여 전송한다. 3 ARP Cache Poisoning 공격하기 위한 대응방법으로 각 컴퓨터의 ARP 테이블에 디 폴트 게이트웨이 IP와 디폴트 게이트웨이 MAC 주소를 정적으로 설정한다. 4 ARP Cache Poisoning이 이루어지고 있는지 점검하기 위한 방법의 하나로 짧은 시 간 내에 과도한 브로드캐스트 프레임일 발생되고 있는지 검사하는 방법이 있다. 21. 다음 중 원격지 공격(Remote attack)에 관한 내용이 아닌 것은? 1 유닉스 시스템에 계정을 가지고 있지 않는 경우 각종 방법을 동원하여 유닉스 시스 템 상의 계정을 획득하는 경우 2 유닉스 시스템에 계정을 가지고 있는 경우 쉘(shell) 상에서 유닉스 시스템의 오류 (bug)나 security hole을 이용하여 root 계정을 획득하는 경우 3 sniff 등의 패킷을 가로채는 툴을 사용하여, local attack 을 시도할만한 사용자 계 정과 암호를 알아내는 방법 4 local attack을 시도할 수 있을만한 환경을 만드는 것이다. 22. 비정상적인 침입 탐지 기법이 아닌 것은? 1 통계적인 방법 2 패턴매칭 3 예측 가능한 패턴 생성 4 신경망 23. 침입차단시스템(Firewall)에 대한 설명으로 잘못된 것은? 1 패킷 필터링 방식 침입차단시스템은 동작 속도는 빠르지만 IP 스푸핑에 취약한 단 점이 있다. 2 어플리케이션 게이트웨이 방식 침입차단시스템은 응용 프로그램 데이터까지 점검하 여 보안 강도가 높다
189 3 Stateful Packet Inspection 방식 침입차단시스템은 외부로부터의 접속 시도 패킷에 대해서만 접속 허용여부를 점검하므로 동작 속도가 빠르고 응용 프로그램 데이터까지 점검하여 보안 강도도 높다. 4 패킷 필터링 방식 침입차단시스템은 통과시키는 패킷 헤더의 주소가 변경되지 않는 반면 어플리케이션 게이트웨이 방식에서는 패킷 헤더의 주소가 변경된다. 24. VPN에 대한 설명으로 옳지 않은 것은? 1 멀리 떨어진 LAN들을 보안이 보장되지 않은 인터넷을 통해 연결하기 위해 필요한 보안 서비스를 제공한다. 2 무결성 점검기능 제공을 위한 메시지 인증 코드(MAC)값을 이용한다. 3 원래의 출발지, 목적지 IP 주소를 제3자에게 노출되지 않기 위해 암호화된 터널모 드를 제공한다. 4 전송되는 데이터의 비밀성 보호를 위해 공개키 암호시스템을 이용한다. 25. 다음에서 설명하는 보안장비는? 외부로부터 침입과 위협 요소를 사전에 탐지/차단하고 지능화된 각종 공격과 유해 트래픽에 대한 자동화된 보안 대응기술 1 IPS 2 IDS 3 ESM 4 Forensic Tool
190 관리번호 자격종목 정보보안 기사 (필기) 시험과목 어플리케이션 보안, 정보보안 일반 시험시간 75분
191 정보보안 기사 (필기) 어플리케이션 보안 1. 다음 중 FTP의 보안에 관한 설명으로 옳지 않은 것은? 1 FTP에서의 패스워드는 디폴트(default)로 DES 암호화 되어 전송된다. 2 FTP는 사용자이름/패스워드(username/password) 인증방법을 사용한다 3 FTP control connection의 세션은 단 한번만 열리고, 세션 자체는 암호화되지 않는 다. 4 FTP data connection의 세션은 여러 번 열릴 수 있고, 세션 자체는 암호화되지 않 는다. 2. FTP에 대한 설명으로 틀린 것은? 1 Tcp 21 Port (Control Session)를 통하여 서버에게 ftp 명령과 디렉토리 목록을 전 달한다. 2 Tcp 20 Port (Data Session)를 이용하여 Client와 Server간에 데이터를 전달하고 파일 전송이 계속되는 동안에만 존재한다. 3 FTP는 Port 모드 또는 Passive 모두로 운영할 수 있다. 4 FTP는 제한된 파일 형식(ASCII, 2진 파일)과 파일 구조(바이트 스트림 또는 레코 드 형식)를 지원한다. 3. TFTP(Trivial File Transfer Protocol)의 설명으로 틀린 것은? 1 하드디스크가 없는 장비들이 네트웍을 통하여 부팅 할 수 있도록 제안된 프로토콜 이다. 2 UDP 69번을 사용하며 특별한 인증 절차가 없다. 3 보통 보안을 위하여 tftp/etc과 tftp/bin의 소유주는 root로 하고 권한을 111로 준다. 4 보안상 우수하여 Anonymous FTP 서비스를 대신하여 많이 사용한다. 4. X.509 와 PGP(Pretty Good Privacy)의 인증에 대하여 잘못 설명하고 있는 것은? 1 X.509 사용자 인증은 신용 있는 CA에 의해서 생성되어진다. 2 PGP사용자들은 자신의 전자 인증을 생성하고 서명하게 된다. 3 X.509는 전자 인증의 발행인과 수령인을 구별하지 않는다. 4 X.509는 한 서명인을 가지고 있고 PGP는 여러명의 서명인을 가질 수 있다. 5. 악성메일 및 웜 대책 방법이 아닌 것은? 1 라우터의 policy-map을 이용하여 차단한다. 2 웹 방화벽(Web Wall)을 이용하여 차단한다. 3 메일서버 프로그램(MTA)에서 패턴 매칭을 이용하여 차단한다. 4 바이러스 방화벽(Virus Wall)을 이용하여 차단한다
192 6. 전자메일의 보안을 위하여 사용되고 있는 PGP(Pretty Good Privacy)와 S/MIME(Secure/Multipurpose Internet Mail Extension)에 대한 설명으로 틀린 것은? 1 PGP 메시지는 메시지 요소 서명 요소 세션키로 구성된다. 2 PGP는 메시지 암호화 디지털 서명 압축 단편화 기능 등을 제공한다. 3 S/MIME에서 사용자는 키 생성 등록 인증서 저장과 검색을 한다. 4 S/MIME은 메시지 기밀성 무결성 사용자에 대한 인증을 제공하나 송신자에 대한 부인방지 기능은 없다. 7. 다음 중 스팸메일 관련 보안 도구가 아닌 것은 무엇인가? 1 Spam assassin 2 Inflex 3 sanitizer 4 mod_security 8. 다음 지문이 설명하는 공격 방법은 무엇인가? 메일 열람시 HTML 기능이 있는 클라이어트나 웹 브라우져를 이용하는 사용 자를 대상으로 하는 공격기법으로 클라이언트 프로그램의 버그나 시스템 버그로 인한 것이 아니므로 보안 패치로 해결되지 못한다. 1 엑티브 컨텐츠 공격 2 버퍼 오버플로우 공격 3 메일용 쉘스크립트 공격 4 트로이잔 목마 공격 9. 다음 중 웹 어플리케이션 테스트에 대한 내용으로 맞지 않는 것은? 1 웹 어플리케이션의 진입 지점을 열거하고 그 지점에 대한 공격을 수행한다. 2 웹 서버의 소스 검색이나 역어셈블링은 웹 어플리케이션 테스트의 한 가지 방법이 다. 3 웹 어플리케이션 테스트는 웹 페이지 상의 문제점을 찾는다. 4 웹 서버가 에러로 응답하는지 확인한다. 10. Apache 서버의 디렉토리 리스팅에 대한 설명 중 틀린 것은? 1 웹 서버의 디렉토리에 접근 했을 때 디렉토리 안의 파일 목록이 출력되는 것을 말 한다. 2 이를 방지하기 위해서 섹션에서 listing 지시어를 제거한다. 3 httpd.conf 파일에서 디렉토리 리스팅을 설정할 수 있다. 4 비인가자는 웹 서버 디렉토리 구조 파악이나 불법적인 파일 유출에 사용할 수 있 다
193 11. OWASP(Open Web Application Security Project)에 대한 설명 중 틀린 것은? 1 OWASP은 각 기관들이 웹 어플리케이션 및 웹 서비스의 보안을 이해하고 향상시키 는 것을 돕기 위해 헌신하는 단체이다. 2 웹 서비스 보안에 대한 가이드를 통해서 제공하고 있다. 3 즉각적인 개선 조치가 필요한 취약점 리스트 Top100을 발표하여 각 기관들의 보안 향상을 제공하고 있다. 4기업 및 공공 기관이 웹 어플리케이션 취약점 가운데 가장 심각한 문제들에 집중하 는 일에 도움을 주고자 만들어진 것이다. 12. chroot에 대한 설명으로 옳지 못한 것은? 1 chroot는 새로운 root 디렉토리를 설정하여 chroot된 프로세서는 이 디렉토리의 하 위로만 접근할 수 있도록 한다. 2 모든 웹서비스 관련 파일들을 한곳으로 모은다. 3 chroot는 FTP 및 DNS의 운영에도 사용된다. 4 chroot 는 현재 CGI 프로그램의 사용자와 소유자를 검사하여 실행 제한을 한다. 13. SQL Injection에 대한 설명 중 틀린 것은? 1 공격자가 입력 값을 조작하여 원하는 SQL 구문을 실행한다. 2 잠재적인 SQL 구분의 구조를 확인 한 후, 적절히 실행되는 숫자를 찾을 때까지 출 력을 조작한다. 3 사용자의 입력에 특수문자가 포함되어 있는지 검증하여 방지할 수 있다. 4 부적절한 입력 값을 전달하여 에러를 실행시켜 SQL구문을 확인한다. 14. DNS는 취약성이 지속적으로 발생되는 서비스이다. DNS의 보안 설정으로 올바르 지 않는 것은? 1 dynamic update는 IP 혹은 TSIG key를 사용해서 제한 한다 2 Zone transfer를 제한한다. 3 recursion 모드로만 사용한다. 4 가능하다면 DNSSEC 기능을 사용한다. 15. DNS 공격을 통하여 해커는 유명 포탈 사이트와 똑같은 내용으로 자신의 사이트 를 만들고 접속을 유도하여 접속자들의 개인정보를 수집 할 수 있다. 이러한 공격을 막기 위한 서버의 설정이 아닌 것은? 1 recusion 모드의 해지 2 named가 응답할 query를 제한 3 named가 응답할 recursive query를 제한 4 named를 설행할 때 관리자 권한(Root)으로 실행
194 16. 사용자의 인증의 강도 순으로 표시를 바르게 한 것은? ᄀ 시도/응답(Challenge-response) ᄂ ID/ Password ᄃ 일회용 패스워드(One-Time Password) ᄅ 스마트, PKI, Biometrics를 모두 결합 1 ᄂ < ᄀ < ᄅ < ᄃ 2 ᄀ < ᄂ < ᄅ < ᄃ 3 ᄀ < ᄂ < ᄃ < ᄅ 4 ᄂ < ᄀ < ᄃ < ᄅ 17. 전자서명에 대한 설명으로 옳지 않은 것은? 1 수신자가 문서를 재사용 할 수 있다 2 송신자가 문서에 대하여 부인을 할 수 없다. 3 서명된 문서가 변형되지 않았다는 무결성(Integrity)을 보장한다. 4 필요할 경우 문서에 대하여 다른 사람이 알아볼 수 없도록 기밀성(Confidentiality) 을 보장한다. 18. OTP (One-Time Password)에 대한 설명 중 틀린 것은? 1 OPT는다른 비밀번호로 사용자를 인증하는 일회용 비밀번호를 의미한다. 2 OTP인증방식은 질의-응답, 시간동기화, 이벤트동기화, 조합방식이 있다. 3 OTP인증방식 중 질의-응답방식은 서버와 OTP 기기가 동일한 카운트 값을 기준 으로 비밀번호를 생성하는 방식이다. 4 OTP인증방식 중 시간동기화방식은 서버와 OTP 기기 간에 동기화된 시간 정보를 기준으로 특정시간 간격마다 변하는 비밀번호를 생성하는 방식이다. 19. 다음 중 디지털 서명으로 사용할 수 없는 공개키 암호는? 1 RSA 공개키 암호 2 ElGamal 공개키 암호 3 NTRU 공개키 암호 4 MerkleHellman Knapsack 공개키 암호 20. SET(Secure Electronic Transaction)는 인터넷 상의 신용카드 정보 거래 보호를 위한 암호 프로토콜이다. SET에 사용되고 있는 암호 기술이 아닌 것은? 1 디지털 서명 2 해쉬 함수 3 영지식증명프로토콜 4 공개키 암호
195 년 웹 서버와 브라우저간의 안전한 통신을 위해 넷스케이프사에 의해 개발되 어 세션 계층에서 적용되며, 응용계층의 FTP, TELNET, HTTP 등의 프로토콜의 안전 성을 보장할 목적으로 사용되는 것은? 1 SSL 2 S-HTTP 3 TLS 4 S/MIME 22. 다음은 전자 지불 시스템 기술요건이다. 적당 하지 않는 것은? 1 거래 상대방의 신원 확인 2 전송 내용의 비밀 유지 3 전자문서의 위.변조 및 부인방지 4 전자 지불 시스템의 대형화 23. 다음에서 설명하는 무선랜 보안 표준은 무엇인가? * Wi-Fi 그룹에서 권고하는 현재 무선랜 보안표준 * 알려진 모든 WEP 문제를 해결 * 현재 IEEE의 무선랜 보안표준인 i 일부이며, 현재 적용 가능한 표준을 선별한 것 임. * 현재 대부분 무선랜 기기의 Software와 Firmware 보강으로 지원 가능한 표준 1 WPA 2 WEP i 4 WPKI 24. 무선랜 보안에 사용되는 암호 알고리즘이 아닌 것은? 1 WEP 2 TKIP 3 SPS 4 AES-CCMP
196 25. 다음 보기에서 설명하는 것은 무엇인지 아래 보기에서 고르시오 * 1999년 MS에 의해 발표되고 2000년 5월 W3C에 의해 표준으로 채택 * XML과 HTTP 통신을 기반으로 네트워크상에 존재하는 각종 시스템간의 호출을 효 율적으로 실현하기 위한 방법으로 제시하는 통신규약 1 XML 2 SOAP 3 WSDL 4 UDDI 26. 다음 중 안전한 유닉스 프로그래밍을 하기 위한 방법 중 틀린 것은? 1 C, C++의 경우 경계값을 검사하지 않는 함수를 사용하지 않는 것이 좋다.. 2 임시파일을 생성할 경우에는 생성된 파일의 유무와 심블릭 링크인지 여부를 검사하 고 파일 이름을 랜덤하게 생성하는 것이 좋다. 3 다른 프로그램을 호출할 경우에는 경계값을 검사하지 않는 함수를 사용해도 좋다. 4 SetUID 프로그램을 실행할 때에는 가능한 UID와 GID가 낮은 권한을 가지도록 하 는 것이 좋다. 27. 사용자의 권한, 임무, 지위 등과 같은 사용자에 대한 다양한 속성정보를 제공하여 권한을 집중적으로 관리하는 속성기관을 두고, 이 속성 기관에서 속성 인증서를 발행 하여, 특정 객체에 대하 접근권한을 제어하기 위한 것을 일반적으로 무엇이라 하는 가? 1 권한 관리구조(PMI : Privilege Management Infrastructure) 2 공개키 기반구조(PKI : Public Key Infrastructure) 3 암호키 관리 기반구조(KMI : Key Management Infrastructure) 4 키 분배 센터(KDC : Key Distribution Center) 28. 다음중 DRM에 구성요소가 아닌 것은 무엇인가? 1 콘텐츠(Contents) 2 사용자 (User) 3 접근권한 (Permission) 4 솔류션 (Solution)
197 29. 디지털 콘텐츠 라이프 사이클 (콘텐츠 창조, 유통 및 소비과정)에 관련된 모든 주 체 (player)들의 권리를 보호하면서 디지털 콘텐츠의 유통을 활성화를 위하여 DRM기 술을 적용하고 있다. 다음 중 DRM에 대한 설명 중 틀린 것은? 1 콘텐츠 유통기술은 보호된 콘텐츠를 유통시키는 과정으로, 탬퍼링 방지, 권한 통제 기술이 있다. 2 라이센싱 기술은 소비자가 보호된 콘텐츠에 접근하고 사용권리를 구매하여 소비하 는 과정으로 권한 정책 관리, 유통 모델 기술이 있다. 3 패캐징, 콘텐츠 유통 및 라이센싱에서 공통적으로 필요한 기술은 인증 권한 표현이 다. 4 DRM의 표준화를 위하여 MPEG-21, OMA, DMP, SDMI 등에서 추진하고 있으며, 이중에서 SDMI가 가장 활발하게 활동하고 있다. 30. 전자책, 음악, 비디오, 게임, 소프트웨어, 증권정보, 이미지 등의 각종 디지털 컨텐 츠의 불법유통과 복제를 방지하고, 이렇게 보호된 컨텐츠를 사용함에 따라서 저작권 관련 당사자에게 발생하는 이익을 관리하여 주는 상품과 서비스를 무엇이라 하는가? 1 디지털 저자권 관리구조 2 암호키 관리 기반구조 3 공개키 기반구조 4 키 분배 관리
198 정보보안 기사 (필기) 정보보안 일반 1. 다음 중 블록 암호공격에 대한 기본개념 설명으로 틀린 것은? 1 차분공격이란 Biham과 Shamir에 의해 개발된 선택된 평문공격법이다. 2 선형공격이란 알고리즘 내부의 비선형 구조를 적당히 선형화시켜 열쇠를 찾는 방법 이다. 3 통계적 분석이란 암호화할 때 일어날 수 있는 모든 가능한 경우에 대하여 조사하는 방법이다. 4 수학적 분석이란 통계적인 방법을 포함하며 수학적 이론을 이용하여 해독하는 방법 이다. 2. 블록 암호 운영 모드 중 블록 암호를 스트림 암호로 사용하고자 할 때 사용하는 모 드로 디지털화된 아날로그 신호를 암호화하는 경우 많이 사용되는 운영 모드는 무엇인 가? 1 ECB(Electronic Code Book) 모드 2 CBC(Cipher Block Chaining) 모드 3 CFB(Cipher FeedBack) 모드 4 OFB(Output FeedBack) 모드 3. 다음 지문의 공개키기반구조(PKI)에 대한 설명 중 모두 옳은 것을 고르시오. ᄀ 공개키 인증서를 발급, 폐지하는 인증기관이 CA이다. ᄂ 인증기관이 사용자의 비밀키를 안전하게 관리한다. ᄃ PKI는 전자상거래 관련자의 가용성을 보장해준다. ᄅ 인증서 형식으로 X.509가 주로 사용된다. ᄆ 계층형, 네트워크형, 복합형 인증 구조가 사용된다. 1 ᄀ, ᄂ, ᄃ 2 ᄀ, ᄅ, ᄆ 3 ᄀ, ᄃ, ᄅ 4 ᄂ, ᄃ, ᄆ 4. 전자서명의 조건을 설명한 것 중 틀린 것은? 1 합법적인 서명자만이 전자문서에 대한 전자서명을 생성할 수 있어야 한다. 2 전자서명의 서명자를 특정인만 검증할 수 있어야 한다. 3 서명자는 서명 후에 자신의 서명사실을 부인할 수 없어야 한다. 4 서명한 문서의 내용은 변경될 수 없어야 한다
199 5. X.509 인증서의 ASN.1 구조는 크게 OID(Object Identifiers), AI(Algorithm Identifiers), DS(Directory String), DN(Distinguished Names), GN(General Names) 의 5부분으로 나뉜다. 다음중 이를 옳게 설명한 것은? 1 OID : X.509인증서에서 암호알고리즘과 키에 대한 정보를 나타낸다. 2 AI : X.509인증서에 텍스트 정보를 나타내기 위한 것이다. 3 DS : X.509인증서에서 계층적으로 이름을 부여하기 위한 것이다. 4 GN : X.509인증서의 이름을 암호화하기 위한 것이다. 6. 다음 지문에서 설명하고 있는 것은 특수서명 중 무엇인가? D.Chaum에 의해 제안된 서명방식이다. 서명용지위에 묵지를 놓아 봉투에 넣어 서 명자가 서명문 내용을 알지 못하는 상태에서 서명토록 한 방식을 수식으로 표현한 것이다. 1 부인방지 서명 2 위임서명 3 은닉서명 4 미인지 서명 7. 다음은 비즈니스에서의 정보보호의 필요성을 설명한 것이다. 잘못된 것은? 1전자상거래나 전자정부 등 사이버 공간에서의 활동증가에 따른 안전성과 신뢰성 보 장 2 글로벌화에 따른 국내정보 유출 우려 문제 해결 3 각종 지적소유권 보호 4 공공기관에서 소유하는 개인의 정보이용 활성화 목적 8. 정보보호의 서비스 중 다음 지문에 해당하는 것은? ᄀ 송수신자가 송수신 사실에 대해 인정하지 않음 ᄂ 일반적으로 전자서명을 통하여 목적을 달성 ᄃ 전자거래에 매우 중요한 서비스 1 기밀성 서비스 2 무결성 서비스 3 인증서비스 4 부인방지 서비스
200 9. 정보보호관리 중 다음 지문에서 설명하는 것은 무엇인가? 정보보호에 대한 방향과 전략 그리고 정보보호 프로그램의 근거를 제시하는 매우 중요한 문서 1 정보보호정책 2 정보보호선언서 3 정보보호조직도 4 정보보호가이드 10. 정보보호 관리체계 활동에 관련하여 해당 조직의 규모, 기능 등을 고려하여 문서화 한 후 정책에 따라 필요한 모든 임직원이 쉽게 이용하도록 할 필요가 없는 문서는? 1 문서화된 보안정책과 목적 2 정보보호 조직 및 책임정의서 3 자산 및 경영 분석 평가 보고서 4 정보보호 계획서 11. 정보시스템과 그 자산의 기밀성과 무결성, 가용성에 영향을 미칠 수 있는 다양한 위협에 대해서 정보시스템의 취약성을 인식하고 이로 인해서 인식할 수 있는 예상손실 을 파악하는 것을 무엇이라 하는가? 1 위험관리 2 위험분석 3 보안관리 4 정보시스템분석 12. 다음 지문에서 설명하고 있는 것은 정성적 위험분석 방법론중 무엇인가? 시스템에 관한 전문적인 지식을 가진 전문가의 집단을 구성하고 위험을 분석 및 평가하여 정보시스템이 직면한 다양한 위협과 취약성을 토론을 통해 분석하는 방 법이다. 1 과거자료분석법 2 델파이법 3 시나리오법 4 순위결정법 13. 정보보호 대책 구현 시 고려사항이 아닌 것은? 1 예방, 탐지, 교정 통제 조치가 취해져야 한다. 2 잔류위험이 있는지 조사하여야 한다. 3 대책을 식별하여야 한다. 4 조직 내 잔류위험이 존재하지 않도록 위험을 모두 해소시켜야 한다
201 14. 다음 중 컴퓨터 운영기록 관리의 목적으로 적절하지 않은 것은? 1 침입 및 위협 방지 2 사고 조사 3 성능 문제 해결 4 보안 위반 사항 검색 15. 정보보호관리체계의 사후관리 중 다음 지문에서 설명하는 것은? ᄀ 정보보호정책이 계획된 결정사항 및 조직이 설정한 요구사항을 충족시키는지 그리고 이 규격의 요구사항을 충족시키는지 여부 ᄂ 효과적으로 실행되고 유지되는지 여부 1 모니터링 2 내부감사 3 변경관리 4 업무연속성 관리 16. 업무연속성관리(BCM :Business Continuity Management)를 위한 여러 활동은 일 종의 라이프사이클(Life-cycle)로 볼 수 있다. 아래 지문은 어떤 단계에 대한 설명인 가? 재해가 업무에 미치는 잠재적인 영향 및 위험을 평가하고 위험감소 및 업무프로세 스 복구를 위한 여러 옵션들을 파악하고 평가하여 업무지속성관리를 위한 비용 효 과적인 전략을 수립하는 과정이다. 1 시작단계 2 전략구현단계 3 전략수립단계 4 운영관리단계 17. 다음 중 정보통신망법 상 개인정보의 기술적 관리적 보호조치 기준을 준수하지 못하는 경우의 내용과 과태료(또는 벌금)의 연결이 잘못된 것은 무엇인가? 1 개인정보를 안전하게 취급하기 위한 내부관리계획을 수립시행하지 않은 경우 - 3 천만원 이하의 과태료 2 직무상 알게된 개인정보를 훼손 침해, 누설하거나, 누설된 사정을 알면서 영리목적 으로 개인정보를 제공받은 경우 - 5천만원 이하 벌금 3 접근 통제장치 운영, 접속기록의 위변조 방지, 개인정보 암호화 저장전송 등을 하지 않아 이용자의 개인정보를 분실한 경우 - 1천만원 이하 과태료 4 악성프로그램 침해방지조치 등을 하지 않아 개인정보가 누출된 경우 - 2천만원 이 하의 과태료
202 18. 정보통신기반 보호법에서 정보통신기반시설을 대상으로 해킹, 컴퓨터바이러스, 논 리 메일폭탄, 서비스거부 또는 고출력 전자기파 등에 의하여 정보통신기반시설을 공격 하는 행위 를 무엇이라 하는가? 1 사이버 테러 2 전자거래 침해 3 서비스거부 4 전자적 침해행위 19. 다음 중 공인전자서명의 요건에 해당하지 않는 것은? 1 전자서명생성정보가 가입자에게 유일하게 속할 것 2 서명 당시 가입자가 전자서명생성정보를 지배 관리하고 있을 것 3 전자서명이 있은 후에 당해 전자서명에 대한 변경여부를 확인할 수 있을 것 4 전자서명이 있은 후에 당해 전자문서에 대한 변경여부를 알 수 없을 것 20. 다음 지문에서 전자서명법 의 전자서명 관련 용어에 대한 설명이 모두 옳은 것은? ᄀ 전자문서"는 정보처리시스템에 의하여 전자적 형태로 작성된다. ᄂ 전자서명 은 서명자를 확인하고 서명자가 해당 전자문서에 서명을 하였음을 나타낸다. ᄃ 공인전자서명"은 공인인증서에 기초한 전자서명을 말한다. ᄅ "인증"은 전자서명검증정보가 가입자에게 유일하게 속한다는 사실을 확인하는 행위이다. ᄆ "서명자"는 전자서명생성정보 없이도 자신이 직접 서명할 수 있다. 1 ᄀ, ᄂ, ᄃ 2 ᄂ, ᄃ, ᄅ 3 ᄂ, ᄅ, ᄆ 4 ᄃ, ᄅ, ᄆ
203 관리번호 자격종목 정보보안 기사 (실기) 시험과목 정보보안 (단답형 및 서술형) 시험시간 150분
204 정보보안 기사 (실기) 단 답 형 1. 다음( ) 에 적합한 용어를 넣으시오. 윈도우의 ( ) 파일은 시스템파일로서 계정의 로그온 정보를 담고 있는데, 기본적으로 C:\Windows\system32\config 디렉토리에 존재한다. 윈도우 암호를 분실하였을 때 암호 초기화를 위해 이 파일을 삭제하기도 한다. 2. 다음 라우터 ACL 명령이 네트워크에 속한 IP 주소 중 호스트 주소 값이 짝수인 경우만 거부하도록 ( ) 안에 적합한 값을 적으시오. 3. 다음에서 설명하는 대칭키 암호 알고리즘은 무엇인가? 년 한국인터넷진흥원(KISA)에서 개발한 국내 표준 암호이다 비트 블록암호이다. - 16라운드 Feistal 구조이다. - 블록의 길이만 다른 뿐 알고리즘 전체 구조는 DES의 구조와 동일하다. 4. 아래에서 말하는 이것은 무엇인가? 이것은 전달하려는 기밀정보를 그래픽, 사진, 영화, 소리(MP3)파일 등에 암호화해 숨기는 심층암호 기술로서 정보를 교환하고 있다는 것을 숨기면서 통신을 하는 기 술이다. 이것은 암호화 기법과는 달리, 정보를 전송하는데 있어서 많은 양의 오버 헤드를 요구한다. 즉, 간단한 정보를 전송하기 위해서 보내고자 하는 정보와는 관 계가 없는 많은 양의 데이터를 함께 전송해야 한다는 단점이 있다. 5. 전자상거래(Electronic Commerce)의 핵심기술이 암호화 기술로 대두됨에 따라, 최 근에 많은 관심을 끌고 있는 암호 알고리즘으로 이산대수의 난해성에 기반을 둔 공개 키 방식(Public Key System)의 암호 알고리즘을 채택하고 있고, 1985년 코블리츠(N, Koblitz)와 밀러(V.S. Miller)가 RSA 암호화 방식에 대한 대안으로 처음 제안한 암호 알고리즘을 무엇이라고 하는가?
205 6. 리눅스 등 유닉스 계열 시스템에는 /tmp 라는 디렉토리가 존재한다. 그런데 이 디렉 토리의 퍼미션(permission)을 보면 아래와 같이 다른 디렉토리와 차이점이 있는데, 여 기에 사용된 't' 퍼미션은 무엇인가? 7. A기업은 2010년 11월 사업다각화 일환으로 인터넷 쇼핑몰을 구축하였다. 그런데 최근에 중국의 해커로부터 웹 공격을 받아 주민번호, 카드정보 등 중요 고객정보가 유 출되는 사고가 발생하였다. 개인 사용자는 주로 이용하던 웹 게시판을 이용하였는데, 그 게시판에는 취약점이 존재하였다. 게시판에 "<script>" 문자열과 같은 스크립트가 사용가능하도록 설정됨으로서 발생하는 취약점을 이용한 공격은 무엇인가? 8. 다음은 보안프로토콜에 대한 설명이다. 괄호에 적합한 용어를 넣으시오. SSL은 HTTP를 이용하는 웹상에서 데이터를 보호하기 위한 수단으로 일반적으로 사용되고 있는데 OSI/ISO 모델 중 SSL 프로토콜이 작동하는 계층은 ( ) 계층이다. 9. 포트 스캐닝 방법 중 ( ) 스캔은 스캔 대상 시스템으로 정상적인 3-way handshake 과정을 거치지 않고 ( ) 플래그가 설정된 세그먼트를 보낸 후, 응답되는 내용에 때라 수행하는 컴퓨터와 스캔 대상 컴퓨터 사이에 패킷 필터링 방식 의 방화벽이 존재하는지 검사하는데 이용된다. 괄호 안에 알맞은 용어를 적으시오. 10. echo와 redirect 등의 서비스를 type별로 제공하고 RFC 792에 관련내용이 기재되 어있는 TCP/IP 프로토콜 중의 하나는 무엇인가?
206 정보보안 기사 (실기) 서 술 형 1. 다음은 lsof 프로그램을 수행한 결과이다. 괄호에 적합한 답을 적으시오. 공격자는 시스템에 백도어 프로그램 ( 1 )을/를 동작시켜 놓고 있다. 공격자의 주소는 ( 2 )이며 원격에서 ( 3 ) 포트로 접속할 수 있다. 공격자는 이 접속을 이용해서 ( 4 ) 파일을 열고 있다. 이러한 백도어 접속을 탐지하기 위하여 snort 규칙을 생성할 경우 다음과 같다. 위 내용의 1부터 6까지 들어갈 답을 적으시오
207 2. OECD정보보호 가이드라인의 9개 원칙에 대해 기술하라. 3. 프로그램에서 함수에 관련된 변수나 주소 등을 스택에 저장하는데, 스택 오버플로우 공격은 이러한 스택의 특성을 이용하여 공격코드를 삽입하는 방식이다. 다음과 같은 프로그램의 k시점에서 표준입력으로 입력한 문자가 ABCD 일 때, 스택에 값이 어떻 게 저장되어 있을 것인지 a~d에 알맞은 값을 넣으시오. k low a b ESP main()함수의 EBP foo()함수의 Return address c EBP a: b: c: high d d: 만약 buffer 변수 값을 k시점에서 버퍼오버플로우 시켰다면 a~d중에서 어떤 값 을 변조시킬 수 있나? ( )
208 4. 다음 iptables 로그를 psad로 분석한 결과이다. 설명을 보고 괄호 안을 채우시오. 위 로그가 수집되고 스캔 대상이 된 사이트의 IP 주소는 ( )이고, 스캔을 시도했던 사이트 수는 ( ) 개 이다. 그 중에서 가장 위험레벨이 높은 사이트 는 ( )이고, ( ) 행위를 하였다. 공격을 시도한 사이트 중에 서 SQL 서버 연결을 시도했던 곳은 ( )이고 그 곳의 운영체제는 ( )이다
209 5. A금융기관은 차세대 금융시스템을 구축하면서 김독 기관의 요구사항과 금융서비스 의 안전성과 신뢰성을 만족하기 위한 차세대 금융시스템에 대한 개발보안 아키텍처를 적용하기로 하였다. 이 프로젝트를 수행하기 위하여 SDLC(Software Development LifeCycle)기반의 개발보안 방법론을 적용하려고 한다. 이때 개발단계 중 설계단계에서 고려해야 할 보안요건 설명을 6가지 이상 기술하시오
210 부록 III. 정보보안 산업기사 모의시험 문제
211 관리번호 자격종목 정보보안 산업기사 (필기) 시험과목 시스템 보안, 네트워크 보안 시험시간 75분
212 정보보안 산업기사 (필기) 시스템 보안 1. 다음 중 덮어쓰거나 자기적 장치를 이용하여 컴퓨터 메모리나 저장장치를 지울 수 없는 장치는? 1 RAM 2 ROM 3 Flash Memory 4 Hard Disk 2. 다음 중 교착상태 예방 방법으로 맞지 않는 것은? 1 공유 불가능한 자원에 대해서 상호 배제의 원칙을 지친다. 2 프로세스가 자원을 요청할 때는 다른 자원들을 점유하지 않도록 한다. 3 모든 자원에 순서를 부여하여 각 프로세스가 열거된 순서대로 자원을 요청하도록 요구한다. 4 점유하고 있는 자원을 다른 프로세스가 요청하면 즉시 반환한다. 3. 윈도우 서버에서 아래의 명령어가 실행하는 바를 바르게 설명한 것은 무엇인가? C:\> convert d: /FS:NTFS 1 D 드라이브를 NTFS 파일시스템으로 변경하는 것이다. 2 D 드라이브에 Windows NT를 설치하는 것이다. 3 D 드라이브에 설치된 백신을 변경하는 것이다. 4 D 드라이브의 block 사이즈를 변경하는 것이다. 4. 다음 중 다른 것들과 다른 하나는 무엇인가? 1 FAT32 2 NTFS 3 EXT3 4 XTS 5. 다음 중 시스템의 프로세스 관리에 대해 잘못 설명한 것은 무엇인가? 1 nice라는 명령어를 통해 프로세스의 우선순위를 지정할 수 있다. 2 top 명령어를 사용하면 프로세스별로 메모리 사용량을 알 수 있다. 3 부모 프로세스에서 포크(fork)된 프로세스를 자식 프로세스라고 한다. 4 좀비 프로세스란 해킹을 당하여 외부에 공격을 하는데 사용되는 프로세스를 의미한 다
213 6. 암호를 변경하기 위해 사용되는 passwd라는 실행파일이 아래와 같은 퍼미션 설정이 되어 있는데, 이를 바르게 해석한 것은 무엇인가? 1 퍼미션을 숫자로 표현하면 4644이다. 2 set group id가 설정되어 있다. 3 passwd 파일의 경우 실행 잠금(lock)이 설정되어 있다. 4 일반유저는 이 파일을 이용하여 /etc/shadow 파일에 패스워드를 쓸 수 있다. 7. 다음 보안운영체제를 구현하는 방법에 대한 설명으로 틀린 것은? 1 통합커널에서는 사용자에게 제공하는 서비스를 하나의 구조로 묶어서 구성한다. 2 마이크로 커널은 통합커널보다 상대적으로 빠르고 업그레이드가 용이하다. 3 리눅스 시스템은 통합커널이면서 커널모듈을 지원하여 모듈성과 확장성을 증가시켰 다. 4 통합커널은 마이크로커널보다 구조가 복잡하고 이식성이 떨어진다. 8. 침해사고를 분석하거나 로그의 신뢰성 확보를 위해서는 시스템의 시간을 정확히 맞 추는 것이 중요하다. 다음 중 시스템의 시간 설정과 관계가 먼 것은 무엇인가? 1 W32Time 2 NTP 3 SMTP 4 SNTP 9. 다음 중 클라이언트의 보안방안과 거리가 먼 것은 무엇인가? 1 대부분의 윈도우 PC 패치는 설치 후 재부팅해 주어야 정상적으로 적용된다. 2 백신은 윈도우 패치주기와 같이 한 달에 한번 업데이트해 주는 것이 좋다. 3 출처가 분명하지 않은 ActiveX는 설치하지 않는 것이 좋다. 4 메일로 발송된 첨부 파일은 함부로 실행하지 않는 것이 좋다. 10. 삼바 시스템의 취약점을 검색하기 위한 도구가 아닌 것은? 1 xsmbrowser 2 smbclient 3 nbtscan 4 netenum
214 11. Microsoft에서는 많은 윈도우 계열 서버나 PC를 운영할 때 패치현황을 중앙에서 모니터링하고 정책에 따라 특정 패치를 내려주는 등 일종의 패치관리시스템(PMS)과 같은 솔루션을 제공하고 있다. 시스템관리자는 이 툴을 통해 대량의 윈도우 서버나 PC를 효율적으로 모니터링하고 관리할 수 있게 되는데, Microsoft에서 무료로 제공하 는 이 솔루션의 이름은 무엇인가? 1 WSUS 2 MBSA 3 MCSA 4 YUM 12. Windows 등의 서버를 설치 시에 암호의 복잡성을 만족하지 않으면 암호 재설정이 불가능한 경우가 있다. 다음 중 암호의 복잡성 조건에 해당하지 않는 것은 무엇인가? 1 사용자의 계정 또는 이름을 포함하지 않아야 함 2 대문자, 소문자, 숫자, 특수문자 중 세 그룹 이상 포함해야 함 3 OS 설치 시 입력한 serial Key 중 4글자 이상 중복되지 않아야 함 4 대소문자, 숫자의 조합으로 최소 6글자이상 이어야 함 13. 윈도우즈 시스템에서 그림과 같이 "인터넷 보안" 창의 보안 탭에 인터넷에 대한 " 사용자 지정 수준"을 설정하는데 가장 바람직하지 않는 것은? 1 "서명된 ActiveX 컨트롤 다운로드"를 "확인"으로 설정 2 "Java 애플릿 스크립팅"을 "사용"으로 설정 3 "Active 컨트롤 및 플러그인 실행"을 "사용"으로 설정 4 "Active X 컨트롤을 자동으로 사용자에게 확인"을 "사용"으로 설정
215 14. 다음 중 윈도우 시스템의 제어판에서 제공하는 계정잠금정책에서 설정 가능한 값 과 거리가 먼 것은 무엇인가? 1 계정 잠금을 제외할 IP 2 계정잠금기간 3 계정잠금임계값 4 다음 시간 후 계정 잠금 수를 원래대로 설정 15. 다음 중 윈도우 폴더 공유를 위해 사용되는 포트와 거리가 먼 것은 무엇인가? 다음의 원도우 서비스 중 접근통제 기능을 제공하는 서비스와 거리가 먼 것은 무 엇인가? 1 IPSEC 2 Remote Registry 3 Windows 방화벽(Firewall) 4 TCP/IP 필터링 17. 다음 해킹도구 중에서 성격이 다른 하나는? 1 John the Ripper 2 L0phtCrack 3 ipcrack 4 lrk5 18. 다음 중 윈도우 방화벽의 역할과 관계가 먼 것은 무엇인가? 1 특정한 포트나 프로토콜을 사용하는 웜 및 공격을 차단하여 컴퓨터에 전달되지 않 게 한다. 2 특정 연결 요청을 차단하거나 차단 해제하기 위해 사용자의 허가를 요청한다. 3 사용자가 원할 경우 기록(보안 로그)을 만들어 컴퓨터에 대해 성공한 연결 시도와 실패한 연결 시도를 기록한다. 4 스팸이나 원하지 않는 전자 메일이 받은 편지함에 들어오는 것을 차단한다
216 19. 다음 중 remote registry 서비스에 대해 잘못 설명한 것은 무엇인가? 1 원격 사용자가 이 컴퓨터에서 레지스트리 설정을 변경할 수 있도록 한다. 2 원격 Desktop 연결을 통해 시스템 원격 관리를 하려면 필요한 설정이므로 활성화하 여 사용하는 것이 좋다. 3 Remote Procedure Call(RPC) 구성 요소에 종속적이다. 4 서비스를 중지하면 이 컴퓨터의 사용자만이 레지스트리를 수정할 수 있다. 20. 다음의 특징을 가리키는 적절한 용어가 무엇인가? * 자기 복제 능력이 없으며 유틸리티 프로그램 내에 악의의 기능을 가지는 코드를 내 장하여 배포하거나 그 자체를 유틸리티 프로그램으로 위장하여 배포한다. * 이 프로그램이 설치되면 특정한 환경이나 조건 혹은 배포자의 의도에 따라 사용자 의 정보 유출이나 자료파괴 같은 피해를 입을 수 있다. * Netbus, Back Orifice 등이 대표적이다. * 이 프로그램은 공격대상 컴퓨터에 설치 시 컴퓨터가 재시작 될 때도 자동으로 실 행하도록 설정하는 것이 특징이다. 1 매크로바이러스 2 스파이웨어 3 좀비 4 트로이 목마 21. 다음 중에서 사용자에게 사용할 수 있는 것과 사용할 수 없는 것을 제한하여 권한 을 부여하는 것은 무엇인가? 1 인증(authentication) 2 인가(authorization) 3 권한(permission) 4 검증(Verification) 22. 접근통제의 첫 번째 단계는 무엇인가? 1 주체 권한 부여 2 주체 식별 3 접근통제 목록 확인 4 주체 검증
217 23. 다음 명령어가 의미하는 바를 바르게 설명한 것은 무엇인가? 1 test 유저가 login이 가능하도록 초기화하는 명령어이다. 2 test 유저의 lock을 해제하여 로그인이 가능하도록 하는 명령어이다. 3 test 유저에 대해 lock을 걸어 로그인하지 못하도록 하는 것이다. 4 test 유저의 암호를 test로 설정하는 것을 의미한다. 24. 레드햇 계열의 리눅스의 경우 자동화된 툴을 이용하여 필요로 하는 정보를 담은 파일(ks.cfg)을 통해 일관적이면서도 쉽고 빠르게 OS를 설치할 수 있다. 이때 사용되 는 툴의 이름은 무엇인가? 1 OpenManage Server Administrator 2 Kickstart 3 Quickstart 4 Linux Deploy toolkit 25. 다음중 대표적인 공개 보안프로그램의 기능과 명칭이 제대로 짝지어지지 않은 것 은 무엇인가? 1 시스템 취약성 점검도구 : nessus 2 시스템 침입탐지시스템 : snort 3 파일 무결성 점검도구 : wireshark 4 시스템 포트 스캐너 : nmap
218 정보보안 산업기사 (필기) 네트워크 보안 1. ICMP 이용하는 메시지들 중에서 destination unreachable 메시지의 사용 용도로 적 절한 것은? 1 Echo-request와 Echo-reply 메시지를 전송한다. 2 Timestamp-request와 Timestamp-reply 메시지를 전송한다. 3 라우팅 테이블을 갱신하기 위해 사용된다. 4 라우터가 데이터그램을 라우팅할 수 없거나 목적지 호스트가 데이터그램을 수신할 수 없을 때 사용된다. 2. 다음 ICMP의 설명 중 틀린 것은? 1 전송상의 에러나 예상치 못한 환경에 대한 정보를 제공할 목적으로 만들어진 프로 토콜이다. 2 인터넷의 라우터가 다른 라우터나 호스트들에게 오류 및 제어 메시지를 송신하도록 한다. 3 망 관리자나 사용자들이 사용하는 툴 중의 하나인 'Ping'은 바로 ICMP를 이용한 것 이다. 4 패킷의 손실이 발생할 경우 수신부에 오류 메시지를 보낸다. 3. 만약 장비가 패킷을 보내고자 하는 곳의 IP 어드레스는 알고 있지만 이더넷 주소를 모른다면, 이더넷 주소를 찾기 위해 사용되는 프로토콜은 무엇인가? 1 IP(Internet Protocol) 2 ARP(Address Resolution Protocol) 3 RARP(Reverse Address Resolution Protocol) 4 IARP(Inverse Address Resolution Protocol) 4. 다음 프로토콜 중 제공되는 기능이 다른 프로토콜은? 1 RARP 2 BOOTP 3 IGMP 4 DHCP 5. 다음 설명 중 옳은 것은? /19는 서브넷 주소이다 /29는 PC에 배정할 수 있는 주소이다 /28에서 각 서브넷 당 사용가능한 IP 주소는 14개이다 /27에서 존재하는 서브넷 총 개수는 8개이다
219 6. FTP 동작 특성에 대한 설명으로 잘못된 것은? 1 FTP 프로토콜은 명령어 전송을 위한 통신채널(TCP 포트번호: 21)과 데이터 전송 을 위한 통신채널(TCP 포트번호: 20)을 이용한다. 2 FTP bounce 공격은 PORT 명령의 IP 주소와 FTP 클라이언트 IP주소가 동일하지 않은 경우 발생될 수 있다. 3 FTP 클라이언트가 동작하는 컴퓨터에 방화벽으로 인해 정상적인 동작이 이루어지 는 않는 경우에는 수동모드를 이용하여 명령어 전송을 위한 통신채널을 생성한다. 4 능동모드에서는 명령어 전송을 위한 통신채널은 FTP 클라이언트가 시도하고 데이 터 전송을 위한 통신채널의 연결설정은 FTP 서버가 시도한다. 7. 다음의 설명은 네트워크 서비스 중의 하나이다. 어느 것에 관한 설명인가? TCP/IP 프로토콜 그룹을 이용하여 인터넷에서 장치를 관리하기 위한 서비스의 기반 프로토콜이다. 이것은 인터넷을 감시하고 관리하기 위한 기본적인 운영을 제공한다. 이것은 상호 동작하는 프로토콜을 사용함으로써 이루어지는데, 최상위 레벨에서 관 리는 SMI(Structure of Management Information)와 MIB(Management Information Base)를 통해 이루어진다. 1 IGMP 2 SMTP 3 SNMP 4 TFTP 8. 다음 중 서비스 이름과 포트 번호가 잘 배정된 것은? 1 SSH SMTP IMAP SSL 다음 IP 보안서비스 중 패킷 레벨에서 보안을 제공하기 위한 메커니즘은? 1 SSL 2 PKI 3 IPSec 4 IPv
220 10. 다음은 IPsec의 설명이다. ᄀ과 ᄂ에 들어갈 말이 맞게 짝지어진 것은? IPsec는 네트워크 계층의 보안을 위하여( ᄀ )프로토콜과 ( ᄂ )프로토콜을 사용하 여 보안연계 서비스를 제공한다. 1 AH - ESP 2 TCP - ISAKMP 3 AH - TCP 4 ISAKMP - AH 11. 다음 ACL 명령어 설정 결과를 잘못 설명한 것은? 1 출발지 IP가 인 패킷은 통과가 허용된다. 2 출발지 IP가 인 패킷은 통과가 거부된다. 3 출발지 IP가 인 패킷은 통과가 거부된다. 4 출발지 IP가 인 패킷은 통과가 허용된다. 12. 스위치와 라우터 동작에 대한 설명으로 잘못된 것은? 1 프레임의 목적지 주소가 브로드캐스트 MAC 주소인 경우 스위치는 입력을 제외한 나머지 모든 포트로 프레임을 전달하지만 라우터는 입력을 제외한 나머지 포트로 전달 하지 않는다. 2 스위치는 프레임의 출발지 주소와 입력 포트번호를 이용하여 스위치 테이블을 구성 하고, 라우터는 패킷의 출발지 주소와 입력 포트번호를 이용하여 라우팅 테이블을 구 성한다. 3 스위치 테이블의 엔트리는 일정 시간 이상 사용되지 않으면 자동삭제 되지만, 라우 팅 테이블 엔트리는 일정 시간 이상 사용되지 않더라도 자동삭제 되지 않는다. 4 스위치는 프레임의 목적지 주소가 스위치 테이블에서 발견되지 않으면 입력을 제외 한 나머지 모든 포트로 프레임을 전송하지만 라우터는 패킷의 목적지 주소가 라우팅 테이블에서 발견되지 않고 디폴트 경로가 설정되지 않았으면 패킷을 폐기한다
221 13. LAN 환경에서 이용되는 UTP 케이블 종류별 사용법 중 잘못된 것은? 1 PC LAN 카드와 스위치를 연결할 때는 straight-thru 케이블을 이용한다. 2 PC LAN 카드와 다른 PC LAN 카드를 직접 연결하는 경우 cross-over 케이블을 이용한다. 3 라우터 포트와 스위치를 연결하는 경우 straight-thru 케이블을 이용한다. 4 스위치나 라우터의 이름, 관리자 비밀번호 등을 설정을 하는 경우 PC LAN 카드와 스위치나 라우터의 콘솔 포트를 roll-over 케이블을 이용하여 연결한다. 14. 다음 설명 중 잘못된 것은? 1 허브는 충돌 영역(collision domain)의 크기를 확대한다. 2 Full-duplex 방식으로 통신하는 PC와 스위치 포트 간에는 충돌이 발생하지 않는다. 3 스위치는 목적지 MAC 주소가 unicast 주소인 경우 플러딩(flooding)을 하지 않아 불필요하게 대역폭이 낭비되지 않도록 한다. 4 라우터는 broadcast domain의 크기를 분할한다. 15. 유닉스 환경에서 NIC에 저장된 MAC 주소를 확인하는 명령어는? 1 dig 2 ifconfig 3 netstat 4 tracert 16. 다음 중 DoS(Denial Of Service)공격이 아닌 것은? 1 메시지 과잉 2 접속방해 3 서비스 과부하 4 패킷 필터링 17. Smurf 공격에 대응하는 방법으로 적절한 것은? 1 라우터로 전달되는 브로드캐스트 프레임을 다른 라우터 인터페이스로 전달하지 않 는다. 2 목적지가 브로드캐스트 IP로 설정되어 라우터로 전달되는 ICMP 패킷을 처리하지 않는다. 3 라우터로 전달되는 브로드캐스트 프레임을 다른 스위치 포트로 전달하지 않는다. 4 목적지가 브로드캐스트 IP로 설정되어 스위치로 전달되는 ICMP 패킷을 처리하지 않는다
222 18. MTU보다 큰 패킷을 분할하여 전송한 후, 패킷의 재조합 과정에서의 문제점을 이 용한 공격 기법은? 1 Land Attack 2 Ping of Death 3 SYN Flooding 4 Teardrop Attack 19. 다음 중 DDoS 툴이 아닌 것은? 1 Trinoo 2 Teardrop 3 TFN 2K 4 Stacheldraht 20. 스캐닝에 대한 설명으로 잘못된 것은? 1 운영체제에 대한 정보를 알아오는 호스트 스캐닝과 동작 중인 서비스 정보를 알아 오는 포트 스캐닝이 있다. 2 방화벽의 종류와 동작 여부를 검사하는 스캐닝하는 방식은 TCP Connect() 스캐닝 이다. 3 TCP 연결을 완전히 완성하지 않고 포트를 스캐닝하는 방식은 TCP SYN 스캐닝이 다. 4 스캐닝 실행 여부를 로그에 남기지 않기 위해 FIN 스캔, NULL 스캔, Xmas 스캔 방법 등이 이용된다. 21. 네트워크 공격방법 중 버퍼 오버플로공격과 IP 스푸핑 공격이 각각 속하는 OSI 7 계층에 올바르게 연결된 것은? 1 물리계층 - 응용계층 2 세션계층 - 트랜스포트 계층 3 응용계층 - 전송계층 4 응용계층 - 네트워크 계층 22. 침입탐지시스템에 대한 설명으로 잘못된 것은? 1 방화벽이 차단하지 못한 공격 또는 내부 사용자에 의한 공격에 대응할 수 있다. 2 침입탐지에 이용하는 정보에 따라 로그 정보를 활용하는 호스트기반 침입탐지시스 템과 패킷 정보를 활용하는 네트워크기반 침입탐지시스템으로 분류된다. 3 침입을 판정하는 방식에 따라 알려진 공격패턴을 기반으로 동작하는 오용탐지 방식 과 정상행위와 비교를 통해 침입을 판정하는 비정상행탐지 방식으로 구분되다. 4 침입탐지시스템의 오동작으로는 침입을 침입으로 판정하지 못하는 False Positive, 침입이 아닌 정상 행위를 침입으로 판정하는 False Negative가 있다
223 23. 침입차단시스템(Firewall)에 대한 설명으로 잘못된 것은? 1 내부 네트워크와 외부 네트워크 간 전달되는 트래픽을 주어진 보안정책에 따라 통 제하는 기능을 수행한다. 2 패킷 필터링 방식의 방화벽은 IP 주소와 포트 번호, 사용자 인증정보를 활용하여 네트워크 계층에서 침입차단기능을 수행한다. 3 프락시 서버는 NAT 기능을 수행하며 높은 수준의 침입차단기능을 제공한다. 4 Stateful Packet Inspection(SPI) 방식의 방화벽은 TCP 연결정보를 이용하여 패킷 필터링 방식의 방화벽보다 높은 수준의 침입차단기능을 제공한다. 24. VPN을 구축할 때 사용되는 터널링 프로토콜이 아닌 것은? 1 IPSec 2 PPTP 3 CHAP 4 L2TP 25. 다음 지문 내용에 해당하는 기술은? 해킹을 시도하는 해커의 실제 위치를 실시간으로 알아내고자 하는 기술로, 해커의 실제 위치를 알아내거나 IP 주소가 변경된 패킷의 실제 송신지를 알아내는 기술을 의미한다. 1 방화벽(Firewall) 2 침입탐지시스템(IDS) 3 역추적 기술 4 침입방지시스템(IPS)
224 관리번호 자격종목 정보보안 산업기사 (필기) 시험과목 어플리케이션 보안, 정보보안 일반 시험시간 75분
225 정보보안 산업기사 (필기) 어플리케이션 보안 1. 일반적인 FTP 서버의 제어 연결은 몇번 포트를 통하여 이루어지는가? 1 80번 2 20번 3 21번 4 25번 2. FTP 프로토콜이 OSI 레이어에 의존하여 TCP를 사용하기 때문에 연결과정에서 사 용되는 것을 무엇이라 하는가? 1 IP (Inetnet Protocol) 2 포트( Port) 3 프로토콜(Protocol) 4 접근제어(Access Control) 3. 다음 중 FPT 공격 유형이 아닌 것은? 1 bounce 공격 2 tftp 공격 3 anonymous 공격 4 S/MIME 공격 4. SSL 프로토콜에서 세션에 대한 세션정보와 연결정보를 공유하기 위해 이용되는 프 로토콜은? 1 Handshake 프로토콜 2 Alert 프로토콜 3 Change Ciperspec 프로토콜 4 Record 프로토콜 5. POP3(Post Office Protocol)의 설명으로 옳지 않은 것은? 1 메일서버에서 메지지를 다운로드하고 SMTP(Simple Mail Transfer Protocol) 서버 에 발송할 때에도 이용된다. 2 IMAP4와는 달리 POP3은 서버에서 메일 메시지의 직접 조작을 허용하지 않는다. 3 POP3는 IMAP4과는 다르게 메일 발송수단을 제공한다. 4 POP3에서는 MD5에 기초한 더 안전한 인증방법을 사용할 수 있다
226 6. 메일서버를 이용하여 전자우편을 수신하고 보관하는 프로토콜로 143 또는 220번 포트를 사용하는 클라이언트/서버형 프로토콜은 무엇인가? 1 HTTP 2 POP3 3 SMTP 4 IMAP 7. S/MIME 전자우편 보안프로토콜에 대한 설명으로 틀린 것은? 1 S/MIME은 RSA암호화 시스템을 사용하여 전자우편을 안전하게 보낸다. 2 S/MIME은 전자인증이 필요없어 많은 사용자를 확보하고 있다. 3 S/MIME은 기존에 MIME에 보안기능을 추가한 전자우편 프로토콜이다. 4 S/MIME은 전자우편관련 제품을 만드는 업체와 보안 서비스업체들에 의해 제공되 고 있다. 8. 전자우편의 보안성 향상 방법과 가장 관련이 적은 것은? 1 PGP (Pretty Good Privacy) 2 S/MIME(Secure Multipurpose Internet Mail Extension) 3 PEM (Privacy Enhance Mail) 4 DES (Data Encryption Standard) 9. 이메일 보안을 위해 PGP를 사용한다. 다음 PGP에 대한 설명 중 맞지 않는 것은? 1 사용자가 작성한 이메일의 내용과 첨부되는 파일을 암호화하여 이메일 수신자만이 그 내용을 볼 수 있도록 하는 기밀성을 제공한다. 2 RSA와 DSS/Diffie-Hellman 등 두 가지 형태의 키 생성이 가능하다. 3 전자서명 기능을 제공하여 송신자라고 주장하는 사용자와 이메일을 실제로 보낸 송 신자가 동일인인지 확인 가능하다. 4 PGP는 안전성을 인정받고 있는 대칭키 암호 기술 (Secret-Key cryptography)을 사용한다 에 대한 설명으로 틀린 것은 무엇인가? 1 자체가 공격 메커니즘으로 사용될 수 있다. 2 은 악성 코드를 위한 가장 보편적인 배달 메커니즘이다. 3 은 근원지 검증을 제공한다. 4 PGP를 사용하여 파일과 메시지를 암호화할 수 있다
227 11. 메일서버를 이용하여 전자우편을 수신하고 보관하는 프로토콜로 143 또는 220번 포트를 사용하는 클라이언트/서버형 프로토콜은? 1 IMAP 2 SMTP 3 HTTP 4 POP 12. 가끔 웹사이트를 접속하다 보면 특정 HTTP 상태코드와 함께 에러가 출력되는 경 우가 있다. HTTP 에러코드와 이의 원인 등 설명을 잘못 한 것은 무엇인가? Internal Server Error : 접속하고자 하는 서버에 디스크 오류등 장애가 발생하 였을 경우 Unauthorized : 특정 웹사이트에 접속하기 위해 정확한 ID와 암호를 입력하여 야 하는데, 잘못된 정보를 입력하였을 경우 Forbidden : 서버에서 허용하지 않는 IP나 방법으로 접속하였을 경우 Not Found : URL이나 링크가 변경되어 요청한 주소의 페이지가 없을 경우 13. 다음 중 취약한 웹 어플리케이션을 통해 악성코드를 다른 사용자에게 전송하여 사 용자의 쿠키 등의 정보에 접근할 수 있는 공격은 무엇인가? 1 SQL Injection 2 File Injection 3 인자 전달 공격 4 XSS 공격 14. 웹 서버의 부적절한 파라미터 조작에 대한 대응방법 중 맞지 않는 것은? 1 필요한 인자와 그렇지 않은 인자를 검증한다. 2 숫자 범위를 제외한 데이터 유형을 검증한다. 3 최대/최소 길이를 검증한다. 4 Null 값의 허용 여부를 검증한다. 15. 다음은 웹 스푸핑(Web Spoofing)에 대한 설명이다. 틀린 것은 1 로컬 망에서 웹 스푸핑을 성공하기 위해서는 ARP 스푸핑을 이용한다. 2 사용자의 웹 페이지 요청에 서버보다 먼저 가짜 웹 페이지를 보낸다. 3 웹 스푸핑은 입력값 검증 방식으로 회피할 수 있다. 4 DNS의 웹 주소와 IP 주소의 맵핑 테이블을 수정하여 스푸핑 할 수 있다
228 16. 다음 중 Windows의 DNS 서버를 관리하는 방법으로 적절치 않은 것은? 1 관리 그룹에 승인된 멤버만을 소속시킨다. 2 영역 전송(Zone Transfer)을 제한한다. 3 효과적인 관리를 위해 외부 DNS 서버와 내부 DNS 서버를 통합한다. 4 항상 최신 보안패치를 설치한다. 17. 관계형 데이터 모델의 구성요소가 아닌 것은? 1 릴레이션(Relation) 2 속성 (Attribute) 3 튜플 (Tuple) 4 데이터 (Data) 18. 다음 중 데이터베이스의 보안 유형이 아닌 것은? 1 접근 제어(Access control) 2 허가 규칙(Authorization rules) 3 암호화(Encrytion) 4 실제 데이블(Real Table) 19. 데이터베이스 보안의 특성 설명 중 옳지 않은 것은? 1 정보의 무결성 보장 2 정보의 부인방지 보장 3 시스템 가용성 보장 4 기밀성 보장 20. 데이터베이스에 대한 침투 테스트를 수행하는 대상과 관련이 가장 적은 것은? 1 데이터베이스가 설치된 호스트 서버를 테스트한다. 2 데이터베이스로 들어오고 나가는 모든 경로를 테스트한다. 3 데이터베이스가 설치된 네트워크 라우터를 테스트한다. 4 데이터베이스를 접근하는 SQL 문장을 테스트한다. 21. DNS의 Record Type 중 메일과 관련된 것은? 1 SOA 2 PTR 3 MX 4 WKS
229 22. 전자상거래 시스템에서 요구하는 보안 요구 조건으로서 적합하지 않는 것은? 1 기밀성 2 부인봉쇄 3 상호 운용성 4 무결성 23. 다음 중 X.509 공개키 인증서의 필수 항목이 아닌 것은? 1 공개키 소유자의 식별정보 2 공개키 3 공개키 유효기간 4 공개키 용도를 나타내는 정보 24. 서버와 클라이언트 간에 인증으로 RSA방식과 X.509를 사용하고 실제 암호화된 정보는 암호화 소켓 채널을 통해 전송하는 방식은? 1 PGP (Pretty Good Privacy) 2 S/MIME(Secure Multipurpose Internet Mail Extension) 3 PEM (Privacy Enhance Mail) 4 SSL (Secure Socket Layer) 25. 다음은 생체인증시스템에서 정확성 측정기준 비율을 나타내는 용어입니다. 잘못된 거부비율과 잘못된 허용비율의 교차점을 무엇이라 하는가? 1 FRR(False Rejection Rate) 2 FAR (False Acceptance Rate) 3 CER (Crossover Error Rate) 4 FER (False Error Rte) 26. PKI의 사용자 인증방식의 안전성을 주기 위하여 생체인식 기술을 접목하고자 한 다. 이때 사용할 수 있는 생체인식 기술 중 가장 적합한 것은? 1 지문(Fingerprint) 인식 기술 2 문신 인식기술 3 망막(retina), 홍채(iris) 인식기술 4 손등, 손목 정맥(vein) 인식기술 27. 사용자가 로그인시 한번의 ID/PASSWORD를 입력하여 모든 서비스를 이용 할 수 있도록 구성하는 인증 방식을 무엇이라 하는가? 1 Single Sign On 2 One Log-in 3 One Authentication 4 Mult Log-In
230 28. 전자화폐에 요구되는 기본 조건으로서 가장 관계가 없는 것은? 1 안전성 2 양도성 3 익명성 4 사용자 인증 29. 전자 상거래 행위에 관련된 모든 구성원들 간의 트랜잭션을 정의하고 안전성 보장 을 위한 별도의 프로토콜을 설계함으로써 전자성거래 지불시 안전성을 보장하는 지불 프로토콜은 무엇인가? 1 S-HTTP(Secure-HTTP) 2 SSL (Secure Soket Layer) 3 TLS (Transport Layer Security) 4 SET (Secure Electroric Transaction) 30. 안전한 전자상거래를 위한 프로토콜에는 지불 프로토콜인 최종 개체간의 안전한 채널을 제공하기 위한 SSL 프로토콜, 안전한 전자지불을 보장하는 SET 프로토콜, 그 리고 전자화폐 프로토콜 등이 필요하다. 다음 중 전자 지불 시스템의 분류가 잘못된 것은? 1 전자수표 기반 전자지불 시스템 - 전자수표 프로토콜 2 전자화폐 기반 전자지불 시스템 - 네트워크형 프로토콜 3 신용카드 기반 전자지불 시스템 - 지불 프로토콜 4 전자수표 기반 전자지불 시스템 - 가치저장형 프로토콜
231 정보보안 산업기사 (필기) 정보보안 일반 1. 다음은 정보보호 서비스를 제공함에 있어 지켜져야 할 성질에 대한 설명이다. 틀린 것은? 1 무결성 : 메시지전송 중 인가되지 않은 자나 인가되지 않은 방법으로 정보가 변조 되지 않아야 하는 성질 2 부인봉쇄 : 송수신자가 송수신 사실에 대해 사실이 아니라고 주장할 수 있도록 하 는 성질 3 가용성 : 컴퓨터 시스템이 인가 당사자가 필요할 때 이용할 수 있게 하는 성질 4 기밀성 : 인가된 자만이 접근하여 취득하여야 하는 성질 2. 다음 지문의 괄호에 들어갈 말로 알맞게 연결된 것은? 주어진 암호 시스템의 안전성을 말할 때는 두 가지 관점이 있다. 첫 번째는 암호시스 템을 공격하기 위해 필요한 계산량이 매우 커 현실적으로 공격할 수 없는 경우를 ( )고 말한다. 둘째는 무한한 계산능력이 있어도 공격할 수 없는 경우를 ( )고 말한다. 1 계산적으로 안전하다 - 무조건적으로 안전하다 2 무조건적으로 안전하다 - 계산적으로 안전하다 3 계산적으로 불안전하다 - 무조건적으로 불안전하다 4 무조건적으로 불안전하다 - 계산적으로 불안전하다 3. 다음은 불록암호 알고리즘중 하나를 설명한 것이다. 무엇을 말하는가? 현재까지 이것은 가장 널리 사용되어 왔지만 열쇠의 길이가 짧고 컴퓨터 속도의 개선 과 암호해독기술의 발전으로 오늘날 더 이상 이것을 안전하다고만 생각하지 않게 되 었다. 최근 이것을 보완하는 끊임없는 연구로 많은 블록암호들이 개발되어 공개되어 왔다. 이것은 64비트의 평문을 46비트의 암호문으로 만드는 블록암호시스템으로 64 비트의 키를 사용한다. 1 DES 2 SEED 3 AES 4 3DES 4. 다음 중 공개키 암호의 특징이 아닌 것은? 1 암호화키와 복호화키가 다르다. 2 비밀키 암호에 비해 관리해야 할 키의 개수가 상대적으로 적다. 3 암호화 키는 공개하고 복호화 키는 비밀로 유지한다. 4 암호화 속도가 빠르므로 방대한 데이터 암호화에 적합하다
232 5. 가장 전통적이고 많이 사용하는 개인 식별 방식인 패스워드를 이용한 개인 식별 의 취약성에 해당하는 것은? 1 네트워크 접속시 패스워드에 대한 불법적인 도청 2 통신 세션마다 상이한 패스워드 사용 3 로그인 시 기억하기 어려운 긴 패스워드 사용 4 패스워드 입력을 위한 가변적인 난수, 순번, 시각표 등을 사용 6. 다음은 전자서명의 조건 중 어떠한 조건에 대한 설명인가? 전자서명의 서명자를 누구든지 검증할 수 있어야 한다 1 위조 불가 조건 2 서명자 인증 조건 3 부인 불가 조건 4 재사용 불가 조건 7. 전달되는 메시지의 이상 유무를 확인할 수 있는 기능인 메시지 인증 방식으로 적절 하지 않은 것은? 1 상대편의 공개키를 이용하여 메시지를 암호화하여 전송 2 사전에 분배된 공유키를 사용하여 암호화하여 전송 3 일방향 해쉬 함수를 적용하여 나온 해쉬값을 해당 메시지와 함께 전송 4 사전에 분배된 공유키를 사용하여 MAC을 만들어 메시지에 부가시켜 전송 8. 전자서명에 이용되는 해쉬 함수의 특성이 아닌 것은? 1 역함수 계산이 용이하다. 2 계산 효율이 좋아야 한다. 3 동일한 해쉬값을 가지는 서로 다른 메시지 쌍을 찾는 것이 계산적으로 불가능하다. 4 고정된 길이의 출력을 만든다. 9. 다음 중 암호알고리즘을 이해하는데 있어 암호시스템과 관련된 용어를 잘못 설명한 것은? 1 평문이란 송신자와 수신자 사이 주고받고자 하는 내용을 적은 일반적인 문장으로 모든 사람들이 이해할 수 있는 일반 형태의 문장을 말한다. 2 복호화란 평문을 제3자가 알 수 없도록 암호문으로 변형하는 과정을 말한다. 3 암호문이란 송신자와 수신자 사이에 주고받고자 하는 내용을 제3자가 이해할 수 없 는 형태로 변형된 문장을 말한다. 4 키란 평문의 암호화 과정이나 암호문의 복호화 과정에 필요로 하는 파라미터로 암 호화키와 복호화 키로 나뉜다
233 10. 다음은 전자서명의 활용을 통한 정보의 속성을 설명한 것이다. 정보보호의 목적중 어떤 목적을 달성한 것인가? A가 B에게 1억원을 지급하겠다는 의사를 전자문서로 송신한 후 나중에 그런 문서를 보낸 사실이 없으므로 B에게 돈을 지급하지 못하겠다고 거절하는 경우 전자서명이 있 는 경우 이를 봉쇄할 수 있게 된다. 1 무결성 2 비밀성 3 가용성 4 부인방지 11. 정보보호관리체계 는 정보보호의 목적인 정보자산의 기밀성, 무결성, 가용성을 실 현하기 위한 절차와 과정을 체계적으로 수립 문서화 하고 지속적으로 관리 운영하는 시 스템이다. 정보보호관리체계의 정보보호관리과정 5단계에 포함되지 않는 단계는? 1 정보보호정책 수립 2 관리체계 범위 설정 3 위험관리 4 업무연속성 관리 12. 정보보호정책의 중요성에 대한 설명 중 틀린 것은? 1 정보보호정책은 조직의 정보보호에 대한 방향과 전략의 근거를 제시하는 중요한 문 서이다. 2 정보보호정책은 정보보호제품의 구입이나 개발의 방향을 제시해 준다. 3 정보보호정책은 어떤 조직의 기술과 정보자산에 접근하려는 사람이 따라야 하는 규 칙의 형식적 진술이다. 4 정보보호정책은 정보보호에 대한 예산 및 인력을 감축하고 투자를 축소하기 위해 등장했다. 13. 다음 중 조직 내에서 정보보호 체계를 수립했을 때 각 구성원의 책임을 잘못 설명 한 것은? 1 최고경영자 : 정보보호를 위한 총괄책임이 있다. 2 데이터관리자 : 정보시스템에 저장된 자료의 정확성 무결성을 유지하고 자료의 중요 성 및 분류를 결정할 책임이 있다. 3 정보시스템 감사자 : 조직의 정보보호 정책, 표준, 대책, 실무절차를 설계, 구현, 관 리, 조사할 책임이 있다. 4 프로세스관리자 : 해당 정보시스템에 대한 조직의 정보보호 정책에 따라 적절한 보 안을 보증할 책임이 있다
234 14. 위험관리의 첫 번째 과정으로 다음 지문에 해당하는 것은? ᄀ 통제되거나 받아들여질 필요가 있는 위험을 확인 ᄂ 발생 가능한 위험의 내용과 정도를 결정하는 과정 ᄃ 자산 가치평가, 위협, 취약성을 포함 ᄅ 모든 시스템에 대한 간단한 초기분석을 통해 불필요한 시간과 자원의 투자 없 이 실행 1 자산평가 2 대책설정 3 위협분석 4 위험분석 15. 다음 지문은 정보보호대책 선정과 관련된 활동을 기술한 것이다. 잘못된 활동끼리 묶은 것은? ᄀ 정보보호대책 선정은 위험평가에 기초해서 기술적, 사회적, 재정적, 시간적, 환 경적, 법적 제약조건을 고려해서 선정해야 한다. ᄂ 정보보호대책 선정을 위한 목표위험 수준은 정보기술자에 의해 결정된다. ᄃ 일반적으로 기술적 정보보호대책이 우선적으로 구현돼야 한다. ᄅ 정보보호대책은 어떠한 비용을 감수하고서라도 보안효과를 완벽히 충족하는 것을 우선 선정해야 한다. ᄆ 대책은 감지, 억제, 방어, 제한, 교정, 복구, 모니터링, 인식 중 하나 이상의 기능을 수행하는 것이다. 1 ᄀ, ᄃ 2 ᄀ, ᄆ 3 ᄂ, ᄃ, ᄅ 4 ᄃ, ᄅ, ᄆ 16. 다음 괄호 안에 들어갈 용어는? 조직은 정보보호관리체계가 계획된 절차에 따라 효과적으로 실행되는지를 점검하 기 위하여 감사의 기준, 범위, 주기 및 방법을 규정하고, 계획된 주기로 ( )를 수행하여야 한다. 또한 감사의 기획 및 수행, 그리고 결과보고, 기 록 유지 및 이행 모니터링에 대한 책임과 요구사항을 문서화된 절차에 의해 규정 하여야 한다. 1 모니터링 2 업무연속성 관리 3 내부감사 4 변경관리
235 17. 개인정보의 수집 시 이용자의 동의를 받지 않아도 되는 경우는? 1 개인정보취급방침에 명시한 경우 2 경제적, 기술적인 사유로 통상적인 동의를 받는 것이 뚜렷하게 곤란한 경우 3 법률에 특별한 규정이 있는 경우 4 요금정산을 위해 필요한 경우 18. 국가정보화 기본법에서 국가정보화 역기능 방지를 위한 정보이용의 안전성 및 신 뢰성 의 내용에 해당하지 않는 것은? 1 정보보호 시책의 마련 2 개인정보 보호 시책의 마련 3 지적재산권의 보호 4 지식정보자원의 표준화 19. 다음은 어떤 법에 대한 설명인가? 이 법은 전자적 침해행위에 대비하여 주요정보통신기반시설의 보호에 관한 대책을 수립 시행함으로써 동 시설을 안정적으로 운용하도록 하여 국가의 안전과 국민생 활의 안정을 보장하는 것을 목적으로 한다. 1 국가정보화기본법 2 정보통신망 이용촉진 및 정보보호 등에 관한 법률 3 정보통신기반 보호법 4 정보통신산업 진흥법 20. 지식정보보안 컨설팅 전문업체에 대한 설명 중 잘못된 것은? 년 1월 현재 7개 업체가 지정되어 있다. 2 방송통신위원회 위원장이 지정한다. 3 지식정보보안컨설팅 전문업체로 지정받을 수 있는 자는 법인으로 한정한다. 4 주요정보통신기반시설의 취약점 분석 평가 업무를 수행할 능력이 있어야한다
236 관리번호 자격종목 정보보안 산업기사 (실기) 시험과목 정보보안 (단답형 및 서술형) 시험시간 150분
237 정보보안 산업기사 (실기) 단 답 형 1. Tripwire는 대표적인 무결성 검사 도구로서 Tripwire를 주기적으로 실행하기 위해 서는 cronjob으로 설정해 놓아야 한다. 매주 월요일 오전 7시 정각에 tripwire check를 수행하려면 crontab 파일에 다음과 같이 설정해 놓아야 한다. 빈칸을 채우시오. (단, sunday = 0임) /usr/sbin/tripwire --check -M 2. S사는 신규 사업 일환으로 그린 쇼핑몰을 구축하였다. 그런데 보안성을 고려하지 않고 구축된 웹 서버가 외부로부터 공격을 받아 고객의 개인정보가 유출되는 사고가 발생하였다. 사고원인을 분석해 보니 힙 영역의 메모리 관리 매커니즘을 이용하여 힙 단위(Chunk)의 링크드 리스트(Linked List)의 주소값을 조작하여 불법 쉘 코드를 실행 하는 공격방법을 사용하였다. 이 공격방법은 무엇인가? 3. 다음 설명에서 괄호에 적합한 용어를 넣으시오. 보안카드의 약점을 보완하여 매번 바뀌는 비밀 번호를 생성하는 보안이 강화된 인 증방법으로 금융감독원에서는 인터넷 뱅킹에 ( ) 적용을 의무화하도록 명시하여 시중 은행을 비롯한 금융권에서의 ( ) 사용을 도입이 불가피 할 것으로 보인다. ( )은/는 사용자가 인증을 받고자 할 때 매번 새로 운 패스워드를 사용해야만 하는 보안 시스템으로 패스워드를 MD4 또는 MD5 해 싱 알고리즘을 사용하여 만들어진다. 4. 개방된 네트워크에서 안전하고 건전한 정보의 유통 및 서비스가 이루어질 수 있도 록 정보의 기밀성, 무결성, 부인방지, 신원확인성 등 기본적 보안서비스를 가장 효과적 으로 제공하는 기술로서 제3의 신뢰할 수 있는 기관 등이 핵심역할을 하는 이 방법은 무엇이라 하는가? 5. iptables를 사용하여 패킷을 제어하고자 한다. 목적지 포트가 HTTP 프로토콜인 80 포트만을 허용하고, 1 ~ 1023인 패킷들은 모두 차단하고자 한다. 아래와 같이 명령어 를 차례로 수행하고자 할 때, 1과 2에 해당하는 답을 차례로 적으시오
238 6. IP 패킷 헤더의 프로토콜 필드는 IP 패킷의 payload가 어떤 종류인지 구분하는 정 보를 포함하고 있으며, UDP 세그먼트 헤더의 ( ) 필드는 UDP 세그먼트의 payload가 어떤 서비스의 데이터를 포함하고 있는지 구분하는데 이용된다. 괄호 안에 알맞은 용어는? 7. 리눅스에서 공유 라이브러리를 사용하여 응용 프로그램이 어떤 방법으로 사용자를 인증할 것인지 설정하고 있다. 이 인증 모듈을 무엇이라 하는가? 8. 최근 다양한 웹공격으로 인하여 많은 웹보안 솔루션들이 개발되고 있다. 이러한 가 운데 국내 한국인터넷진흥원(KISA)에서 권장하고 있는 무료 웹방화벽이 2가지가 있 다. Apache 용으로 ( )이/가 있고, IIS용으로 ( )이/가 있다. 괄호 안에 알맞은 용어는? 9. 다음은 전자서명법 15조의 내용이다. 가나 괄호에 적합한 용어를 넣으시오. 1 ( 가 )은/는 ( 나 )을/를 발급받고자 하는 자에게 ( 나 )을/를 발급한다. 이 경우 ( 가 )은/는 ( 나 )을/를 발급받고자 하는 자의 신원을 확인하여야 한다. 2 ( 가 )이/가 발급하는 ( 나 )에는 다음 각 호의 사항이 포함되어야 한다. 1. 가입자의 이름(법인의 경우에는 명칭을 말한다) 2. 가입자의 전자서명검증정보 3. 가입자와 ( 가 )이/가 이용하는 전자서명 방식 4. ( 나 )의 일련번호 5. ( 나 )의 유효기간 6. ( 가 )의 명칭 등 ( 가 )임을 확인할 수 있는 정보 7. ( 나 )의 이용범위 또는 용도를 제한하는 경우 이에 관한 사항 8. 가입자가 제3자를 위한 대리권 등을 갖는 경우 또는 직업상 자격 등의 표시를 요청한 경우 이에 관한 사항 9. ( 나 )임을 나타내는 표시 10. 암호 통신 시스템에 대한 설명이다. 1과 2에 해당하는 답을 차례로 적으시오. ( 1 )은/는 평문을 제 3자가 알 수 없도록 암호문으로 변형하는 과정으로 송신자 가 수행하고, ( 2 )은/는 암호문을 다시 일반인들이 이해할 수 있는 평문으로 변 환하는 과정을 말하며, 일반적으로 암호문을 수신한 수신자가 수행한다
239 정보보안 산업기사 (실기) 서 술 형 1. 인터넷포털을 운영하는 A기업의 시스템관리자는 웹 서버 시스템의 주요 시스템 명 령어가 이상하게 동작하여 시스템 로그를 점검하던 중 다음과 같은 로그를 발견되어 체계적인 피해분석을 통하여 보안대책을 마련하고자 한다. A기업의 피해시스템의 messages 로그 파일에 남아 있는 침입 흔적은 다음과 같다. 공격자가 4월 10일 17시 25일경부터 17시 40분까지 ( 1, 2, 3 )의 보안취약점 (버퍼오버플로우 공격)을 이용하여 공격하였고, 공격이 이루어진 시간대에 /tmp/.x 파 일이 생성되었으며 ingreslock 포트(포트번호 : 4 )에 root shell이 바이딩되어 있었 다. 파일 생성시간으로 미루어 ( 5 ) 공격이 성공한 것을 알 수 있다. 이때 피해시스템의 메시지에 남아 있는 침입흔적을 보고 기술하시오
240 2. 정보보호의 목표는 정보자산을 기밀성(confidentiality), 무결성(integrity), 가용성 (availability)에 따라 보호하는 것이다. 정보보호 서비스를 위해서는 이에 수반하여 인 증(authentication)과 부인봉쇄(non-repudiation)도 가능해야 한다. 이러한 정보보호의 목표에 대하여 간략히 설명하시오. 1 기밀성 : 2 무결성 : 3 가용성 : 4 인증 : 5 부인봉쇄 : 3. 다음은 한 웹서버에 설치된 침입탐지시스템(IDS)에서 탐지된 결과를 보여주고 있 다. 이 정보를 기초로 이 패킷이 위조된 패킷임을 의미하는 단서가 두 가지가 있다. 그 것을 설명하시오. 4. 방화벽을 구성할 때, 베스쳔 호스트(Bastion Host)를 사용하여 로컬 망으로의 접근 을 통제하려고 한다. 베스쳔 호스트의 역할은 무엇인가? 그리고 베스쳔 호스트와 함께 사용하는 스크린 라우터(screened router)의 역할은 무엇인가? 5. A는 B에게 백만원을 빌려주었다. 그리고, B가 갚을 날짜가 가까워짐에 따라, B가 A에게 입금할 계좌번호를 알려주고자 한다. A는 자신의 계좌번호가 노출되는 것을 꺼 려하고 있어서 메시지 내용을 암호화하여 보내려고 한다. 그리고 B는 A에게 보낼 때 A의 계좌번호가 맞는지 계좌번호에 전자서명을 해주도록 하였다. A와 B는 서로의 공 개키를 알고 있다고 할 때, A가 B에게 계좌번호가 포함된 메시지를 보내어 B가 그 내 용을 읽는 과정을 설명하시오
회원번호 대표자 공동자 KR000****1 권 * 영 KR000****1 박 * 순 KR000****1 박 * 애 이 * 홍 KR000****2 김 * 근 하 * 희 KR000****2 박 * 순 KR000****3 최 * 정 KR000****4 박 * 희 조 * 제
회원번호 대표자 공동자 KR000****1 권 * 영 KR000****1 박 * 순 KR000****1 박 * 애 이 * 홍 KR000****2 김 * 근 하 * 희 KR000****2 박 * 순 KR000****3 최 * 정 KR000****4 박 * 희 조 * 제 KR000****4 설 * 환 KR000****4 송 * 애 김 * 수 KR000****4
More information354-437-4..
357 358 4.3% 5.1% 8.2% 6.2% 5.6% 6% 5% 5.3% 96.1% 85.2% 39.6% 50.8% 82.7% 86.7% 28.2% 8.0% 60.0% 60.4% 18,287 16,601 (%) 100 90 80 70 60 50 40 86.6% 80.0% 77.8% 57.6% 89.7% 78.4% 82.1% 59.0% 91.7% 91.4%
More informationCR2006-41.hwp
연구책임자 가나다 순 머 리 말 2006년 12월 한국교육학술정보원 원장 - i - - ii - - iii - 평가 영역 1. 교육계획 2. 수업 3. 인적자원 4. 물적자원 5. 경영과 행정 6. 교육성과 평가 부문 부문 배점 비율(%) 점수(점) 영역 배점 1.1 교육목표 3 15 45점 1.2 교육과정 6 30 (9%) 2.1 수업설계 6 30 2.2
More information- 2 -
- 1 - - 2 - - - - 4 - - 5 - - 6 - - 7 - - 8 - 4) 민원담당공무원 대상 설문조사의 결과와 함의 국민신문고가 업무와 통합된 지식경영시스템으로 실제 운영되고 있는지, 국민신문 고의 효율 알 성 제고 등 성과향상에 기여한다고 평가할 수 있는지를 치 메 국민신문고를 접해본 중앙부처 및 지방자 였 조사를 시행하 였 해 진행하 월 다.
More information안 산 시 보 차 례 훈 령 안산시 훈령 제 485 호 [안산시 구 사무 전결처리 규정 일부개정 규정]------------------------------------------------- 2 안산시 훈령 제 486 호 [안산시 동 주민센터 전결사항 규정 일부개정 규
발행일 : 2013년 7월 25일 안 산 시 보 차 례 훈 령 안산시 훈령 제 485 호 [안산시 구 사무 전결처리 규정 일부개정 규정]------------------------------------------------- 2 안산시 훈령 제 486 호 [안산시 동 주민센터 전결사항 규정 일부개정 규정]--------------------------------------------
More information암호내지2010.1.8
Contents 분류 안내서 해설서 해당팀명 발간년월 대상 수준 인터넷 진흥 인터넷 이용 활성화 정보보호 시스템 관리 한국인터넷진흥원(KISA) 안내서 해설서 시리즈 DNS 설정 안내서 시스템관리팀
More information> 국가기술자격검정시행계획 2015. 11. 2016 - 4 - 1. 근거 2. 기본방침 - 1 - 3. 세부시행계획 - 2 - - 3 - - 4 - 4. 검정별시행계획 - 5 - - 6 - - 7 - 기술사 종목별시행회 108 110 108 110 108 110 108 109 110 108 109 110 108 109 110 108
More information소개 는 국내 산업계 IC 전문 인재양성과 기술 보급을 위한 IC 표준화 및 시험인증 전문 교육기관입니다. IC 글로벌 경쟁력 제고를 위한 핵심인재 양성을 목적으로 교육세나 및 자격시험 서비스를 제공합니다. 교육 훈련비용 일부를 지원하는 직업능력개발훈련과정을 운영합니다
edu.tta.or.kr IC 핵심역량 강화를 위한 탁월한 선택 소개 는 국내 산업계 IC 전문 인재양성과 기술 보급을 위한 IC 표준화 및 시험인증 전문 교육기관입니다. IC 글로벌 경쟁력 제고를 위한 핵심인재 양성을 목적으로 교육세나 및 자격시험 서비스를 제공합니다. 교육 훈련비용 일부를 지원하는 직업능력개발훈련과정을 운영합니다. 연혁 2016 근로자 직업능력
More information³»Áö_10-6
역사 속에서 찾은 청렴 이야기 이 책에서는 단순히 가난한 관리들의 이야기보다는 국가와 백성을 위하여 사심 없이 헌신한 옛 공직자들의 사례들을 발굴하여 수록하였습니다. 공과 사를 엄정히 구분하고, 외부의 압력에 흔들리지 않고 소신껏 공무를 처리한 사례, 역사 속에서 찾은 청렴 이야기 관아의 오동나무는 나라의 것이다 관아의 오동나무는 나라의 것이다 최부, 송흠
More informationviii 본 연구는 이러한 사회변동에 따른 고등직업교육기관으로서 전문대 학의 역할 변화와 지원 정책 및 기능 변화를 살펴보고, 새로운 수요와 요구에 대응하기 위한 전략으로 전문대학의 기능 확충 방안을 모색하 였다. 연구의 주요 방법과 절차 첫째, 기존 선행 연구 검토
vii 요 약 연구의 필요성 및 목적 우리 사회는 끊임없이 변화를 겪으며 진화하고 있다. 이러한 사회변 동은 정책에 영향을 미치게 되고, 정책은 기존의 정책 방향과 내용을 유지 변화시키면서 정책을 계승 완료하게 된다. 이러한 정책 변화 는 우리 사회를 구성하는 다양한 집단과 조직, 그리고 우리의 일상에 긍정적으로나 부정적으로 영향을 주게 된다. 이러한 차원에서
More information나하나로 5호
Vol 3, No. 1, June, 2009 Korean Association of CardioPulmonary Resuscitation Korean Association of CardioPulmonary Resuscitation(KACPR) Newsletter 01 02 03 04 05 2 3 4 대한심폐소생협회 소식 교육위원회 소식 일반인(초등학생/가족)을
More information자유학기제-뉴스레터(6호).indd
freesem.kedi.re.kr CONTENTS 01 연속기획① : 협업기관에 가다! 예술 체육활동을 동시에 할 수 있는 국민체육진흥공단 에 가다! 02 협업기관을 찾아서 한국문화예술교육진흥원 한국폴리텍대학 03 자유학기제 자율과정 자료집 소개 04 알림 교육부 자유학기제지원센터, 협업기관 소식 꿈과 끼를 키우는 행복교육 자유학기제 Newsletter 알림
More informationLevel 학습 성과 내용 1수준 (이해) 1. 기본적인 Unix 이용법(명령어 또는 tool 활용)을 습득한다. 2. Unix 운영체계 설치을 익힌다. 모듈 학습성과 2수준 (응용) 1. Unix 가상화 및 이중화 개념을 이해한다. 2. 하드디스크의 논리적 구성 능력
CLD 모듈 계획서 Unix Systems 운영관리기법 교과목 코드 모듈명 Unix Systems Administration 코디네이터 김두연 개설 시기 2015. 5 th term 학점/시수 3 수강 대상 1~3학년 분반 POL Type TOL Type SOS Type 유형 소프트웨어 개발 컴퓨팅 플랫폼 관리 개발 역량 분석/설계 프로그래밍
More information<C3E6B3B2B1B3C0B0313832C8A32DC5BEC0E7BFEB28C0DBB0D4292D332E706466>
11-8140242-000001-08 2013-927 2013 182 2013 182 Contents 02 16 08 10 12 18 53 25 32 63 Summer 2 0 1 3 68 40 51 57 65 72 81 90 97 103 109 94 116 123 130 140 144 148 118 154 158 163 1 2 3 4 5 8 SUMMER
More information¾Æµ¿ÇÐ´ë º»¹®.hwp
11 1. 2. 3. 4. 제2장 아동복지법의 이해 12 4).,,.,.,.. 1. 법과 아동복지.,.. (Calvert, 1978 1) ( 公 式 的 ).., 4),. 13 (, 1988 314, ). (, 1998 24, ).. (child welfare through the law) (Carrier & Kendal, 1992). 2. 사회복지법의 체계와
More information<352831292E5FBBEABEF7C1DFBAD0B7F9BAB02C5FC1B6C1F7C7FCC5C25FB9D75FB5BFBAB05FBBE7BEF7C3BCBCF65FA1A4C1BEBBE7C0DABCF62E786C73>
5. 산업중분류, 조직형태 및 동별 사업체수, 종사자수 단위 : 개, 명 금정구 서1동 서2동 서3동 Geumjeong-gu Seo 1(il)-dong Seo 2(i)-dong Seo 3(sam)-dong TT전 산 업 17 763 74 873 537 1 493 859 2 482 495 1 506 15 519 35 740 520 978 815 1 666 462
More informationROK-WhitePaper(2000).hwp
특수전 : 25 (14%) 기계화 : 24 (14%) 전차 : 15 (9%) 총170여개 사/여단 미사일/포병 : 30여개 (17%) 보병 : 80 (45%) (단위 : 명) 해병대 : 76 해군 : 396 공군 : 8,459 육군 : 28,100 경상운영비
More information2ÀåÀÛ¾÷
02 102 103 104 105 혁신 17과 1/17 특히 05. 1부터 수준 높은 자료의 제공과 공유를 위해 국내 학회지 원문 데이 >> 교육정보마당 데이터베이스 구축 현황( 05. 8. 1 현재) 구 분 서지정보 원문내용 기사색인 내 용 단행본, 연속 간행물 종 수 50만종 교육정책연구보고서, 실 국발행자료 5,000여종 교육 과정 자료 3,000여종
More information- 1 -
2016 년 조선 해양산업 인력현황분석보고서 - 2016 년 4 월 - 조선 해양산업인적자원개발위원회 - 1 - 목차. 조선 해양산업 ISC 소개및산업범위 12. 산업현황 24-2 - 목차. 고용및인력수요 46-3 - 목차. 인력양성및공급 103. 조선 해양산업 HRD 이슈및 ISC 역할 143-4 - 표목차 - 5 - 표목차 ( 계속 ) - 6 - 표목차
More informationNCS 기반일학습병행대학표준모델개발 책을펴내며 목차 표목차 그림목차 요약 i ii NCS 기반일학습병행대학표준모델개발 요약 iii iv NCS 기반일학습병행대학표준모델개발 요약 v vi NCS 기반일학습병행대학표준모델개발 요약 vii viii NCS 기반일학습병행대학표준모델개발 요약 ix x NCS 기반일학습병행대학표준모델개발 제 1 장서론
More information¿©¼ººÎÃÖÁ¾¼öÁ¤(0108).hwp
어렵다. 1997년우리나라 50대그룹 (586개기업 ) 에근무하는 110,096 명의과장급이상관리 - 1 - - 2 - - 3 - 행정및경영관리자 (02) 중에서경영관리자에해당되는부문이라고할수있다. 경영관리자는더세부적으로는기업고위임원 (021), 생산부서관리자 (022), 기타부서관리자 (023) 등으로세분류할수있다 (< 참고-1> 참조 ). 임원-부장-과장
More information춤추는시민을기록하다_최종본 웹용
몸이란? 자 기 반 성 유 형 밀 당 유 형 유 레 카 유 형 동 양 철 학 유 형 그 리 스 자 연 철 학 유 형 춤이란? 물 아 일 체 유 형 무 아 지 경 유 형 댄 스 본 능 유 형 명 상 수 련 유 형 바 디 랭 귀 지 유 형 비 타 민 유 형 #1
More information( 단위 : 가수, %) 응답수,,-,,-,,-,,-,, 만원이상 무응답 평균 ( 만원 ) 자녀상태 < 유 자 녀 > 미 취 학 초 등 학 생 중 학 생 고 등 학 생 대 학 생 대 학 원 생 군 복 무 직 장 인 무 직 < 무 자 녀 >,,.,.,.,.,.,.,.,.
. 대상자의속성 -. 연간가수 ( 단위 : 가수, %) 응답수,,-,,-,,-,,-,, 만원이상 무응답평균 ( 만원 ) 전 국,........,. 지 역 도 시 지 역 서 울 특 별 시 개 광 역 시 도 시 읍 면 지 역,,.,.,.,.,. 가주연령 세 이 하 - 세 - 세 - 세 - 세 - 세 - 세 세 이 상,.,.,.,.,.,.,.,. 가주직업 의회의원
More informationÈ޴ϵåA4±â¼Û
July 2006 Vol. 01 CONTENTS 02 Special Theme 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 19. 20. Beautiful Huneed People 03 04 Special Destiny Interesting Story 05 06 Huneed News Huneed
More information**09콘텐츠산업백서_1 2
2009 2 0 0 9 M I N I S T R Y O F C U L T U R E, S P O R T S A N D T O U R I S M 2009 M I N I S T R Y O F C U L T U R E, S P O R T S A N D T O U R I S M 2009 발간사 현재 우리 콘텐츠산업은 첨단 매체의 등장과 신기술의 개발, 미디어 환경의
More informationLayout 1
대대대대대대대대 :Layout 1 2014-07-15 대대 1:40 Page 1 대학의기업연계형장기현장실습 (IPP) 프로그램확산방안연구 연구보고서 2013-04 http://hrd.koreatech.ac.kr 대학의기업연계형장기현장실습 (IPP) 프로그램확산방안연구 오창헌편저 지은이 오창헌 ( 한국기술교육대학교교수 ) 엄기용 ( 한국기술교육대학교부교수 )
More information0.筌≪럩??袁ⓓ?紐껋젾001-011-3筌
3 4 5 6 7 8 9 10 11 Chapter 1 13 14 1 2 15 1 2 1 2 3 16 1 2 3 17 1 2 3 4 18 2 3 1 19 20 1 2 21 크리에이터 인터뷰 놀이 투어 놀이 투어 민혜영(1기, 직장인) 내가 살고 있는 사회에 가치가 있는 일을 해 보고 싶 어 다니던 직장을 나왔다. 사회적인 문제를 좀 더 깊숙이 고민하고, 해결책도
More information2016 학년도대학별논술고사일정 대학명 논술고사시행일 가톨릭대 [ 일반 ] 10 월 11 일 ( 일 ) / [ 의예 ] 11 월 15 일 ( 일 ) 건국대 [ 인문 ] 10 월 9 일 ( 금 ) / [ 자연 ] 10 월 10 일 ( 토 ) 경기대 10 월 18 일 (
2016 학년도대학별논술고사일정 논술고사시행일 가톨릭대 [ 일반 ] 10 월 11 일 ( 일 ) / [ 의예 ] 11 월 15 일 ( 일 ) 건국대 [ 인문 ] 10 월 9 일 ( 금 ) / [ 자연 ] 10 월 10 일 ( 토 ) 경기대 10 월 18 일 ( 일 ) 경북대 11 월 21 일 ( 토 ) 경희대 [ 자연 1, 인문, 예체능 ] 11 월 14(
More information<B1DDC0B6B1E2B0FCB0FAC0CEC5CDB3DDB0B3C0CEC1A4BAB82E687770>
여 48.6% 남 51.4% 40대 10.7% 50대 이 상 6.0% 10대 0.9% 20대 34.5% 30대 47.9% 초등졸 이하 대학원생 이 0.6% 중졸 이하 상 0.7% 2.7% 고졸 이하 34.2% 대졸 이하 61.9% 직장 1.9% e-mail 주소 2.8% 핸드폰 번호 8.2% 전화번호 4.5% 학교 0.9% 주소 2.0% 기타 0.4% 이름
More information33 래미안신반포팰리스 59 문 * 웅 입주자격소득초과 34 래미안신반포팰리스 59 송 * 호 입주자격소득초과 35 래미안신반포팰리스 59 나 * 하 입주자격소득초과 36 래미안신반포팰리스 59 최 * 재 입주자격소득초
1 장지지구4단지 ( 임대 ) 59A1 김 * 주 830516 입주자격소득초과 2 장지지구4단지 ( 임대 ) 59A1 김 * 연 711202 입주자격소득초과 3 장지지구4단지 ( 임대 ) 59A1 이 * 훈 740309 입주자격소득초과 4 발산지구4단지 ( 임대 ) 59A 이 * 희 780604 입주자격소득초과 5 발산지구4단지 ( 임대 ) 59A 안 * 현
More informationMicrosoft PowerPoint - chap01-C언어개요.pptx
#include int main(void) { int num; printf( Please enter an integer: "); scanf("%d", &num); if ( num < 0 ) printf("is negative.\n"); printf("num = %d\n", num); return 0; } 1 학습목표 프로그래밍의 기본 개념을
More information41-4....
ISSN 1016-9288 제41권 4호 2014년 4월호 제 4 1 권 제 4 호 ( ) 2 0 1 4 년 4 월 차 세 대 컴 퓨 팅 보 안 기 술 The Magazine of the IEIE 차세대 컴퓨팅 보안기술 vol.41. no.4 새롭게 진화하는 위협의 패러다임 - 지능형 지속 위협(APT) 인터넷을 통해 유포되는 악성 프로그램 대응전략 차세대
More informationContents iii
ISSN 1599-984X Contents iii Contents iv v Contents vi vii Contents viii ix Contents x xi 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 45 46 47 48 49 50 51 52 53 54
More information세계 비지니스 정보
- i - ii - iii - iv - v - vi - vii - viii - ix - 1 - 2 - 3 - - - - - - - - - - 4 - - - - - - 5 - - - - - - - - - - - 6 - - - - - - - - - 7 - - - - 8 - 9 - 10 - - - - - - - - - - - - 11 - - - 12 - 13 -
More information- i - - ii - - iii - - iv - - v - - 1 - 정책 비전차원 조직관리차원 측정 감시차원 정보보호 윤리적 차원 인식차원 - 2 - - 3 - - 4 - < 표 1> 정보보호산업과다른 IT 산업의성장률 (2001~2007) 비교 자료출처 : ETRI 2002 정보통신기술산업전망 (2002년~2006년) < 표 2> 세계정보보호시장전망
More information<B9ABC1A62D31>
08학년도 교육과정안내 P A R T 0 중국비즈니스 교육목적 대학의 교육목적 탁월한 실용전문인 양성 화합하는 민주시민 양성 연계전공 교육목적 학제적 연계 프로그램을 통하여 교과과정을 운영함으로써 종합적인 사고 능력과 실무능력을 구비한 유능한 인재를 양성 교육목표 대학의 교육목표 연계전공 교육목표 봉사하는 리더십 함양 건강한 육체와 정신함양 중국 사회, 문화
More informationCONTENTS. 002 004 006007 008 009 010011 012 020
2014.11 031) 379-6902, 6912 1600-1004 http://buy.lh.or.kr CONTENTS. 002 004 006007 008 009 010011 012 020 교통망도 토지이용계획도 동탄2 신도시 토지공급안내 일반상업용지 근린상업용지 근린생활시설용지 업무시설용지 주차장용지 유통업무설비용지 토지이용계획 동탄2신도시, 교통에 날개를
More information2015 년 SW 개발보안교육과정안내
2015 년 SW 개발보안교육과정안내 2015 년 SW 개발보안교육과정안내 행정자치부와한국인터넷진흥원은행정기관등의정보시스템담당공무원및 개발자를대상으로 SW 개발보안에대한이해증진및전문역량강화를위해아래와 같은교육을실시하오니, 관심있으신분들의많은참여부탁드립니다. 2015 년 SW 개발보안일반과정 교육대상 : 전자정부정보화사업담당공무원및개발자 교육기간 년 월 년 월
More informationad-200200004.hwp
탈성매매를 위한 사회복귀지원 프로그램 연구 여 성 부 목 차 Ⅰ. 서론 Ⅱ. 이론적 배경 및 선행연구결과 정리 Ⅲ. 여성복지상담소 실태조사 결과 Ⅳ. 선도보호시설의 운영 및 프로그램 현황 조사 결과 Ⅴ. 결론 참고문헌 부 록 표 목 차 그 림 목 차 부 표 목 차 Ⅰ. 서 론 . 서론 1. 연구의 목적 및 필요성 탈성매매를 위한 사회복귀지원 프로그램 연구
More information본연구는교육부특별교부금사업으로서울산광역시교육청으로부터예산이지원된정책연구과제임
학교안전기준현황파악 ᆞ 분석및 개선방안연구 본연구는교육부특별교부금사업으로서울산광역시교육청으로부터예산이지원된정책연구과제임 목 차 학교안전기준현황파악ㆍ분석및개선방안연구 Ⅰ. 서론 / 1 1. 3 2. 4. 4. 6 3. 8 4. 8 Ⅱ. 국내학교안전관리법규현황 / 9 1. 11 2. 34 Ⅲ. 주요국의학교안전관리법규현황 / 49 1. 51 2. 114 3.
More information2003report250-9.hwp
2003 연구보고서 250-9 여성의 IT 직종교육훈련후취업현황및취업연계방안 : () : () 한국여성개발원 발간사 2003 12 연구요약 1. 2. 전체정부위탁훈련기관의취업관련서비스제공정도에서, 취업정보, 취업상담, 취업알선을 적극적이며많이제공 한다가각각 76.6%, 70.3%, 65.6% 로알선기능이약간떨어지며, 취업처개척 개발 (50.0%) 이가장낮다.
More information경상북도와시 군간인사교류활성화방안
2010-14 경상북도와시 군간인사교류활성화방안 목 차 경상북도와시 군간인사교류활성화방안 요약,,,, 4, 5, 6,,,,, 5 58 1:1 34, 24 ( 13, 11 ) 2010 2017 8 i (5 8 ),.,, 74 (4 3, 5 19, 6 52 ) (4~6 4,901 ) 1.5% 5% ii 제 1 장 연구개요 1 연구배경과목적 2 연구범위와방법
More information2002report220-10.hwp
2002 연구보고서 220-10 대학평생교육원의 운영 방안 한국여성개발원 발 간 사 연구요약 Ⅰ. 연구목적 Ⅱ. 대학평생교육원의 변화 및 외국의 성인지적 접근 Ⅲ. 대학평생교육원의 성 분석틀 Ⅳ. 국내 대학평생교육원 현황 및 프로그램 분석 Ⅴ. 조사결과 Ⅵ. 결론 및 정책 제언 1. 결론 2. 대학평생교육원의 성인지적 운영을 위한 정책 및 전략 목
More information성인지통계
2015 광주 성인지 통계 브리프 - 안전 및 환경 Safety and Environment - 광주여성 사회안전에 대한 불안감 2012년 46.8% 2014년 59.1% 전반적 사회안전도 는 여성과 남성 모두 전국 최하위 사회안전에 대한 인식 - 2014년 광주여성의 사회안전에 대한 인식을 살펴보면, 범죄위험 으로부터 불안하 다고 인식하는 비율이 76.2%로
More information장애인건강관리사업
장애인건강관리사업 2013. 2013 : : ( ) : ( ) ( ) ( ) : ( ) ( ) ( ) ( ) ( ) ( ) ( ) ( ) ( ) ( ) ( ) ( ) ( ) ( ) 1.. 2.. 제1장. 연구개요 1 제2장. 1세부과제 : 장애인건강상태평가와모니터링 10 - i - 제3장. 2세부과제 : 장애인만성질환위험요인조사연구 117 - ii - 4장.
More information5th-KOR-SANGFOR NGAF(CC)
NGAF Firewall Platform 새로운 세상, 새로운 IT, 새로운 보안 SANGFOR 보안 개념 SAN GFO NGF W+ R NG AF WAF WAF 2010년대 IT산업이 급속하게 발전함에 따라 모든 애플리케이션과 서비스, 그리고 기기들은 BYOD, 사물인터넷(IoT), 클라우드 등과 같은 새로운 기술로 인터넷을 통해 연결되고 있습니다. 이는
More information41호-소비자문제연구(최종추가수정0507).hwp
소비자문제연구 제41호 2012년 4월 해외 소셜 네트워크 서비스이용약관의 약관규제법에 의한19)내용통제 가능성* : Facebook 게시물이용약관의 유효성을 중심으로 이병준 업 요약 업 규 규 논 업 쟁 때 셜 네트워 F b k 물 규 았 7 계 건 됨 규 규 업 객 계 규 므 받 객 드 객 규 7 말 계 률 업 두 않 트 접속 록 트 른징 볼 규 업 내
More information2011-67 차례 - iii - 표차례 - vii - 그림차례 - xi - 요약 - i - - ii - - iii - 제 1 장서론 대구 경북지역인력수급불일치현상진단과해소방안에대한연구 1) ( ) 574 208 366 263 103 75.6 77.9 74.3 73.0 77.7 19.3 19.2 19.4 20.5 16.5 3.0 1.0 4.1
More information내지(교사용) 4-6부
Chapter5 140 141 142 143 144 145 146 147 148 01 02 03 04 05 06 07 08 149 활 / 동 / 지 2 01 즐겨 찾는 사이트와 찾는 이유는? 사이트: 이유: 02 아래는 어느 외국계 사이트의 회원가입 화면이다. 국내의 일반적인 회원가입보다 절차가 간소하거나 기입하지 않아도 되는 개인정보 항목이 있다면 무엇인지
More informationÇʸ§-¾÷¹«Æí¶÷.hwp.hwp
비위면직자 취업제한 업무편람 2004 부 패 방 지 위 원 회 편람이용안내 비위면직자 취업제한 제도 - 1 - 1. 제도개요 가. 제도의의 나. 법적근거 - 3 - 2. 적용대상공직자 및 부패행위의 정의 가. 공공기관(부패방지법 제2조제1호) - 4 - 나. 공직자(부패방지법 제2조제2호) - 5 - - 6 - 다. 부패행위(부패방지법 제2조제3호)
More information발간등록번호 11-1342000-000039-01 - iv - - v - - vi - - vii - - viii - - ix - - x - - i - - ii - - iii - - iv - - v - - vi - - vii - - viii - - ix - - x - - xi - - xii - - xiii - - xiv - - 1 - - 2 - - 3 -
More information20061011022_1.hwp
조사 보고서 주40시간 근무제 도입 성과와 과제 실태조사 2006. 9 내 용 목 차 Ⅰ. 조사개요 1. 조사 목적 1 2. 조사의 기본설계 1 Ⅱ. 조사결과 1. 주40시간제 도입 이후의 경영성과 3 1-1. 주40시간제 도입 성과가 좋았던 이유 4 1-2. 주40시간제 도입 성과가 좋지 않았던 이유 4 2. 주40시간제 도입 기의 경쟁력 강화를 위한 과제
More information영암군 관광종합개발계획 제6장 관광(단)지 개발계획 제7장 관광브랜드 강화사업 1. 월출산 기( 氣 )체험촌 조성사업 167 (바둑테마파크 기본 계획 변경) 2. 성기동 관광지 명소화 사업 201 3. 마한문화공원 명소화 사업 219 4. 기찬랜드 명소화 사업 240
목 차 제1장 과업의 개요 1. 과업의 배경 및 목적 3 2. 과업의 성격 5 3. 과업의 범위 6 4. 과업수행체계 7 제2장 지역현황분석 1. 지역 일반현황 분석 11 2. 관광환경 분석 25 3. 이미지조사 분석 45 4. 이해관계자 의견조사 분석 54 제3장 사업환경분석 1. 국내 외 관광여건분석 69 2. 관련계획 및 법규 검토 78 3. 국내 외
More information현안과과제_8.14 임시공휴일 지정의 경제적 파급 영향_150805.hwp
15-27호 2015.08.05 8.14 임시공휴일 지정의 경제적 파급 영향 - 국민의 절반 동참시 1조 3,100억원의 내수 진작 효과 기대 Executive Summary 8.14 임시공휴일 지정의 경제적 파급 영향 개 요 정부는 지난 4일 국무회의에서 침체된 국민의 사기 진작과 내수 활성화를 목적으로 오는 8월 14일을 임시공휴일로 지정하였다. 이에 최근
More information2013 년도연구용역보고서 중소기업정책자금지원의경기대응효과분석 이연구는국회예산정책처의연구용역사업으로수행된것으로서, 보고서의내용은연구용역사업을수행한연구자의개인의견이며, 국회예산정책처의공식견해가아님을알려드립니다. 연구책임자 한남대학교경제학과교수황진영
2013 년도연구용역보고서 중소기업정책자금지원의경기대응효과분석 - 2013. 7.- 이연구는국회예산정책처의연구용역사업으로수행된것으로서, 보고서의내용은연구용역사업을수행한연구자의개인의견이며, 국회예산정책처의공식견해가아님을알려드립니다. 연구책임자 한남대학교경제학과교수황진영 중소기업정책자금지원의경기대응 효과분석 제출문 목차 i ii 표목차 iii iv 그림목차 v
More informationSIGIL 완벽입문
누구나 만드는 전자책 SIGIL 을 이용해 전자책을 만들기 EPUB 전자책이 가지는 단점 EPUB이라는 포맷과 제일 많이 비교되는 포맷은 PDF라는 포맷 입니다. EPUB이 나오기 전까지 전 세계에서 가장 많이 사용되던 전자책 포맷이고, 아직도 많이 사 용되기 때문이기도 한며, 또한 PDF는 종이책 출력을 위해서도 사용되기 때문에 종이책 VS
More information2013_1_14_GM작물실용화사업단_소식지_내지_인쇄_앙코르130.indd
GM작물실용화사업단 인식조사 및 실용화 방향 설정 GM작물 인식조사 및 실용화 방향 설정 한국사회과학데이터센터 김욱 박사 1. 조사목적 GM 작물 관련 인식조사는 사회과학자들을 바탕으로 하여 국내 다양한 이해관계자들의 GM 작물 관련 인식 추이를 지속적이고, 체계적으로 모니터링하여 인식이 어떻게 변화하고 있는가를 탐구하기 위한 것입니다. 2. 조사설계 2.1.
More information09³»Áö
CONTENTS 06 10 11 14 21 26 32 37 43 47 53 60 임금피크제 소개 1. 임금피크제 개요 2. 임금피크제 유형 3. 임금피크제 도입절차 Ⅰ 1 6 7 3) 임금피크제 도입효과 임금피크제를 도입하면 ① 중고령층의 고용안정성 증대 연공급 임금체계 하에서 연봉과 공헌도의 상관관계 생산성 하락에 맞추어 임금을 조정함으로써 기업은 해고의
More information개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-
개인정보보호의 이해와 안전한 관리 - 안전한 개인정보 관리- 2013. 6. 26 최 윤 형 (한국정보화진흥원) 1 안전한 개인PC 관리방법 목 차 2 안전한 스마트폰 관리방법 1. 안전한 개인PC 관리방법 정보통신 기기의 보안 위협요인 위협요소 웜, 바이러스, 악성코드, DDos공격침입, 네트워크 공격 휴대성, 이동성 오픈 플랫폼 3G, WiFi, Wibro
More information<312E20C0AFC0CFC4B3B5E55F5352444320C0FCC0DAB1E2C6C720B1B8B8C5BBE7BEE7BCAD2E687770>
페이지 2 / 6 첨부 1. 공급품 목록 및 납기일정 번호 품명 모델명/사양 Vendor 단위 수량 납기 비고 1 (샘플기판) 6Layer, FR-4, 1.6T, 1온스, 2 (샘플기판) 3 (샘플기판) 4 (샘플기판) 5 (샘플기판) FRONT PANEL BOARD 3종 1. 샘플기판은 Board 별 성능시험용 2. 샘플 기판 후 Board 별 육안점검 및
More information그린홈이용실태및만족도조사
2009 년도연구용역보고서 그린홈이용실태및 만족도설문조사 - 2009. 11. - 이연구는국회예산정책처의연구용역사업으로수행된것으로서, 보고서의내용은연구용역사업을수행한연구자의개인의견이며, 국회예산정책처의공식견해가아님을알려드립니다. 책임연구원 이화여자대학교소비자학과교수정순희 그린홈이용실태및만족도 설문조사 2009. 11. 책임연구원 정순희 ( 이화여자대학교소비자학과교수
More information년 6 월 3 일공보 호이자료는 2015년 6월 3일 ( 조 ) 간부터취급하여주십시오. 단, 통신 / 방송 / 인터넷매체는 2015년 6월 2일 12:00 이후부터취급가능 제목 : 2013 년산업연관표 ( 연장표 ) 작성결과 20
2 0 1 5 년 6 월 3 일공보 2 0 1 5-6 - 7 호이자료는 2015년 6월 3일 ( 조 ) 간부터취급하여주십시오. 단, 통신 / 방송 / 인터넷매체는 2015년 6월 2일 12:00 이후부터취급가능 제목 : 2013 년산업연관표 ( 연장표 ) 작성결과 2013 년산업연관표 ( 연장표 ) 는 2010 년실측산업연관표를기준년표로설정하여 작성되었으며,
More informationⅠ. 지방의회기본현황 1 Ⅱ. 지방의회상임위원회현황 5 1. 총괄내역 8 가. 상임위설치의회수 8 나. 위원수별상임위원회수 10 2. 의회별내역 12 Ⅲ. 지방의회정당별등현황 37 1. 정당별및성별현황 41 2. 의원 1인당인구수 55 3. 직업별현황 69 Ⅳ. 지방의회의장협의회현황 83 1. 전국시 도의회의장협의회 일반현황 85 2. 전국시 도의회의장협의회
More information에너지절약_수정
Contents 산업훈장 포장 국무총리표창 삼성토탈주식회사 09 SK하이닉스(주) 93 (주)이건창호 15 한국전자통신연구원 100 현대중공업(주) 20 KT 106 두산중공업 주식회사 24 (사)전국주부교실 대구지사부 111 한국전력공사 30 (주)부-스타 36 [단체] (주)터보맥스 115 [단체] 강원도청 119 [단체] 현대오일뱅크(주) 124 [단체]
More information학교교과교습학원 ( 예능계열 ) 및평생직업교육학원의시설 설비및교구기준적정성연구 A Study on the Curriculum, Facilities, and Equipment Analysis in Private Academy and It's Developmental Ta
www.sen.go.kr 학교교과교습학원 ( 예능계열 ) 및평생직업교육학원의 시설 설비및교구기준연구 2012. 10. 학교교과교습학원 ( 예능계열 ) 및평생직업교육학원의시설 설비및교구기준적정성연구 A Study on the Curriculum, Facilities, and Equipment Analysis in Private Academy and It's Developmental
More information- i - - ii - - i - - ii - - i - - ii - - iii - - iv - - v - - vi - - vii - - viii - - ix - - x - - xi - - 1 - - 2 - - 3 - - 4 - - 5 - - 6 - - 7 - - 8 - - 9 - - 10 - - 11 - - 12 - - 13 - - 14 - - 15 -
More informationCONTENTS.HWP
i ii iii iv v vi vii viii ix x xi - 1 - - 2 - - 3 - - 4 - - 5 - - 6 - - 7 - - 8 - - 9 - - 10 - - 11 - - 12 - - 13 - - 14 - - 15 - - 16 - - 17 - - 18 - - 19 - - 20 - - 21 - - 22 - - 23 - - 24 - - 25 -
More informationINDUS-8.HWP
i iii iv v vi vii viii ix x xi 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64
More information<B3EBC6AE322E687770>
특허등록건수 120000 100000 80000 60000 40000 20000 0 63 66 69 72 75 78 81 84 87 90 93 96 99 180000 160000 140000 120000 100000 80000 60000 40000 20000 0 특허출원건수 내 국 인 에 의 한 특 허 등 록 건 수 내 국 인 에 의 한 특 허 출 원 4000
More informationºñ»óÀå±â¾÷ ¿ì¸®»çÁÖÁ¦µµ °³¼±¹æ¾È.hwp
V a lu e n C F = t 1 (1 r ) t t = + n : 평 가 자 산 의 수 명 C F t : t 기 의 현 금 흐 름 r: 할 인 율 또 는 자 본 환 원 율 은 행 1. 대 부 금 5. 대 부 금 상 환 E S O P 2. 주 식 매 입 3. 주 식 4. E S O P 기 여 금 기 업 주인으로 쌍방향의 투명
More informationTHE BOARD OF AUDIT AND INSPECTION 1998~2008 1998~2008723 60-Year History of the Board of Audit and Inspection of Korea 728 729 60-Year History of the Board of Audit and Inspection of Korea 730 731 60-Year
More information<C0FCB9AEB1E2BCFA20BFDCB1B9C0CEB7C220B3EBB5BFBDC3C0E520BAD0BCAE2E687770>
전문기술외국인력노동시장분석 요약 i ii 전문기술외국인력노동시장분석 요약 iii iv 전문기술외국인력노동시장분석 요약 v vi 전문기술외국인력노동시장분석 요약 vii viii 전문기술외국인력노동시장분석 요약 ix x 전문기술외국인력노동시장분석 요약 xi xii 전문기술외국인력노동시장분석 요약 xiii xiv 전문기술외국인력노동시장분석 제 1 장서론
More information<C1DF29B1E2BCFAA1A4B0A1C1A420A8E85FB1B3BBE7BFEB20C1F6B5B5BCAD2E706466>
01 02 8 9 32 33 1 10 11 34 35 가족 구조의 변화 가족은 가족 구성원의 원만한 생활과 사회의 유지 발전을 위해 다양한 기능 사회화 개인이 자신이 속한 사회의 행동 가구 가족 규모의 축소와 가족 세대 구성의 단순화는 현대 사회에서 가장 뚜렷하게 나 1인 또는 1인 이상의 사람이 모여 주거 및 생계를 같이 하는 사람의 집단 타나는 가족 구조의
More information<B9CEBCBCC1F828C8AFB0E6B1B3C0B0292E687770>
iv v vi vii viii ix x 1 2 3 4 5 6 경제적 요구 생산성 경쟁력 고객만족 수익성제고 경제성장 고용증대 외부여건의 변화: 범지구적 환경문제의 심화 국내외 환경규제의 강화 소비자의 의식 변화 환경비용의 증대 환경단체의 압력 환경이미지의 중요성 증대 환경적 요구 자원절약 오염예방 폐기물저감 환경복구 삶의 질 향상 생태계 보전 전통적 경영 경제성과
More information<C1A4C3A55F323030352D33385FC0C7B7E1B1E2BBE7C0CEB7C25FBFE4BEE0B9AE2E687770>
정책연구개발사업 최종보고서 (0405-PO00-0707-0001) 의료기사인력 수급방안에 관한 연구 The Present Condition of Supply and Demand for Medical Technicians and Management Policy Implications 주관연구기관 : 한국보건사회연구원 주관연구책임자 : 오 영 호 보 건 복 지
More information한국조경학회지 47(3): 39~48, J. KILA Vol. 47, No. 3, pp. 39~48, June, 2019 pissn eissn
한국조경학회지 47(3): 39~48, 2019. 6. J. KILA Vol. 47, No. 3, pp. 39~48, June, 2019 pissn 1225-1755 eissn 2288-9566 https://doi.org/10.9715/kila.2019.47.3.039 A Study on the Designer s Post-Evaluation of Gyeongui
More information2. 4. 1. 업무에 활용 가능한 플러그인 QGIS의 큰 들을 찾 아서 특징 설치 마 폰 은 스 트 그 8 하 이 업무에 필요한 기능 메뉴 TM f K 플러그인 호출 와 TM f K < 림 > TM f K 종항 그 중에서 그 설치 듯 할 수 있는 플러그인이 많이 제공된다는 것이다. < 림 > 다. 에서 어플을 다운받아 S or 8, 9 의 S or OREA
More informationA000-008목차
1 농어촌 지역과 중소도시 및 대도시 낙후지역에 150개의 기숙형공립 고교를 설립하여 학생의 80% 정도가 기숙사에 입주할 수 있는 시설을 준비하겠습니다. 농어촌 지역과 중소도시 등 낙후지역에 150개의 기숙형공립고교를 설립 학생의 80% 정도가 기숙사에 입주할 수 있는 시설을 준비하고, 기숙사비는 학생의 가정형편을 반영한 맞춤형 장학금으로 지원하여 더 이상
More information위탁연구 기능경기시스템선진화방안
위탁연구 2016-4 기능경기시스템선진화방안 제출문 한국산업인력공단이사장귀하 이보고서를한국산업인력공단위탁연구과제 기능 경기시스템선진화방안 의최종보고서로제출합니 다. 2016. 6 한국고용노사관계학회 회장조준모 연구진연구책임자 : 고혜원 ( 한국직업능력개발원선임연구위원 ) 참여연구자 : 김봄이 ( 한국직업능력개발원부연구위원 ) 연구보조원 : 전희선 차례 i
More information1. 경영대학
[ 별표 1] 1. 교육과정의영역구성및이수점표 경 영 농 업 생 명 과 동물생명과 과 ( 부 ) 명 경영 회부 ( 경영전공 ) 교 최소전공필수선택 심화점 7 12 1 18 38 18 27 45 0 45 47 단일전공 27 72 20 경영 회부 0 45 47 7 12 1 18 38 21 24 45 ( 회전공 ) 단일전공 27 72 20 경제 무역부 0 45 47
More information한국건설산업연구원연구위원 김 현 아 연구위원 허 윤 경 연구원 엄 근 용
한국건설산업연구원연구위원 김 현 아 연구위원 허 윤 경 연구원 엄 근 용 (%) 10.0 5.0 0.0-5.0-10.0 0.6 1.0 0.3 2.9 0.7 1.3 9.0 5.6 5.0 3.9 3.4 3.9 0.0 95 90-0.3 85 변동률 지수 65-15.0-13.6 60 '95 '96 '97 '98 '99 '00 '01 '02 '03 '04 '05 '06
More information40043333.hwp
1 2 3 4 5 128.491 156.559 12 23 34 45 안녕하십니까? 본 설문은 설악산과 금강산 관광연계 개발에 관한 보다 실질적인 방향을 제시하고자 만들어졌습니다. 귀하께서 해주신 답변은 학문적인 연구에 도움이 될 뿐 아니라 더 나아가 다가오는 21세기 한국관광 발전에 많은 기여를 할 것입니다.
More information저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할
저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할수없습니다. 변경금지. 귀하는이저작물을개작, 변형또는가공할수없습니다. 귀하는, 이저작물의재이용이나배포의경우,
More information???德嶠짚
2018 3+4 NO.132 SDGs Social Equality Communication Human Rights Justice Peace www.kipa.re.kr CONTENTS 2018 3+4 NO.132 02 52 16 22 58 32 38 44 66 www.kipa.re.kr 74 80 132 2018 4 13 235 02-2007-0644 02-564-2006
More information이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론
이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론 2. 관련연구 2.1 MQTT 프로토콜 Fig. 1. Topic-based Publish/Subscribe Communication Model. Table 1. Delivery and Guarantee by MQTT QoS Level 2.1 MQTT-SN 프로토콜 Fig. 2. MQTT-SN
More informationITFGc03ÖÁ¾š
Focus Group 2006 AUTUMN Volume. 02 Focus Group 2006 AUTUMN 노랗게 물든 숲 속에 두 갈래 길이 있었습니다. 나는 두 길 모두를 가볼 수 없어 아쉬운 마음으로 그 곳에 서서 한쪽 길이 덤불 속으로 감돌아간 끝까지 한참을 그렇게 바라보았습니다. 그리고 나는 다른 쪽 길을 택했습니다. 그 길에는 풀이 더 무성하고, 사람이
More information歯이
Korea Marketing Best Awards 1. CI 2002 2 3 5 / - Cyber 6 7 Best Goods ( ) 8 11 FDA 1 6 7 8 [ ] CI 11 100 12 ( ) 12 2001 5 7 1999 3 ( ) 7 12 ISO 9001 2000 2. 경영 리더십 1) 경영 철학 경영 철 학 CEO 경영철학 건강한 행복의
More information- i -
KOFST 2014 과학기술퇴직인력의사회참여역량확대사업 - i - 사업과제명 ( 한글 ) ( 영어 ) A project for promotion of engagement of the retired science and technology professionals in social activities 사업수행기관 사업책임자 성명직위전공 원장 총사업기간 2014
More informationCONTENTS C U B A I C U B A 8 Part I Part II Part III Part IV Part V Part VI Part VII Part VIII Part IX 9 C U B A 10 Part I Part II Part III Part IV Part V Part VI Part VII Part VIII Part IX 11 C U B
More information810 & 820 810 는 소기업 및 지사 애 플리케이션용으로 설계되었으며, 독립 실행형 장치로 구성하거 나 HA(고가용성)로 구성할 수 있습니다. 810은 표준 운영 체제를 실행하는 범용 서버에 비해 가격 프리미엄이 거의 또는 전혀 없기 때문에 화이트박스 장벽 을
목적에 맞게 설계된 어플라 이언스 원격 용도로 최적화된 어플라이언스 관리 및 에너지 효율성 향상 원격 관리 LOM(Lights Out Management), IPMI 2.0 장치 식별 버튼/LED 실시간 시스템 환경 및 오류 모 니터링 Infoblox MIBS를 통한 SNMP 모니터링 고가용성 공급 장치 예비 디스크 예비 냉각 팬 전원 공급 장치 현장 교체
More information2003report250-12.hwp
지상파 방송의 여성인력 현황 및 전문화 방안 연구 한국여성개발원 발간사 Ⅰ....,.,....... .. Ⅱ. :...... Ⅲ.,,. ..,.,.... 9 1 1.. /.,. PD,,,,, / 7.93%. 1%... 5.28% 10.08%. 3.79%(KBS MBC), 2.38 %(KBS MBC) 1%...,. 10. 15. ( ) ( ), ( ) ( )..
More information중소기업인력양성사업이 고용에미치는영향분석 고용노동부 16 중소기업인력양성사업이고용에미치는영향분석 요약 17 국가기간전략산업직종훈련 소상공인대학창업학교 담당부처 법적근거 사업목적 대상 시작년도 담당부처 법적근거 사업목적 대상 고용노동부인적자원개발과 고용보험법제 조및동법시행령제 조 국가기간 전략산업인력수요부족 증대직종인력양성 세이상의실업자등
More information2014 년도사업계획적정성재검토보고서 차세대바이오그린 21 사업
2014 년도사업계획적정성재검토보고서 차세대바이오그린 21 사업 목차 i 목 차 iv 목차 표목차 목차 v vi 목차 목차 vii 그림목차 viii 목차 요 약 요약 1 요 약 제 1 장사업개요및조사방법 4 차세대바이오그린 21 사업사업계획적정성재검토보고서 : * ( 15 ) 요약 5 : 6 차세대바이오그린 21 사업사업계획적정성재검토보고서 요약 7 8
More information<464B4949B8AEC6F7C6AE2DC0AFBAF1C4F5C5CDBDBABBEABEF7C8AD28C3D6C1BE5FBCD5BFACB1B8BFF8BCF6C1A4292E687770>
국내 유비쿼터스 사업추진 현황 본 보고서의 내용과 관련하여 문의사항이 있으시면 아래로 연락주시기 바랍니다. TEL: 780-0204 FAX: 782-1266 E-mail: minbp@fkii.org lhj280@fkii.org 목 차 - 3 - 표/그림 목차 - 4 - - 1 - - 2 - - 3 - - 4 - 1) 유비쿼터스 컴퓨팅프론티어사업단 조위덕 단장
More information전력기술인 7월 내지일
www.keea.or.kr 07 2014 Vol. 383 CONTENTS JULY 2014 02 04 08 18 20 22 24 28 32 36 38 40 42 46 48 49 58 57 65 2 Electric Engineers JULY 3 4 Electric Engineers JULY 5 6 Electric Engineers JULY 7 8 Electric
More informationCC......-.........hwp
방송연구 http://www.kbc.go.kr/ 프로그램 선택은 다단계적인 과정을 거칠 것이라는 가정에서 출발한 본 연 구는 TV시청을 일상 여가행위의 연장선상에 놓고, 여러 다양한 여가행위의 대안으로서 TV시청을 선택하게 되는 과정과, TV를 시청하기로 결정할 경우 프로그램 선택은 어떤 과정을 거쳐서 이루어지는지 밝히고자 했다. 27) 연구 결과, TV시청
More informationICT EXPERT INTERVIEW ITS/ ICT? 차량과 인프라 간 통신(V2I) Nomadic 단말 통신(V2P) 차량 간 통신(V2V) IVN IVN [ 1] ITS/ ICT TTA Journal Vol.160 l 9
오늘날 자동차와 도로는 ICT 기술과 융합되어 눈부시게 발전하고 있습니다. 자동차는 ICT 기술과 접목되어 스마트 자동차로 변화하며 안전하고 편리하며 CO 2 방출을 줄이는 방향으로 기술개발을 추진하고 있으며 2020년경에는 자율 주행 서비스가 도입될 것으로 전망하고 있습니다. 또한, 도로도 ICT 기술과 접목되어 스마트 도로로 변화하며 안전하고 편리하며 연료
More information1. 제품 개요 AhnLab Policy Center 4.6 for Windows(이하 TOE)는 관리대상 클라이언트 시스템에 설치된 안랩의 안티바이러스 제품인 V3 제품군에 대해 보안정책 설정 및 모니터링 등의 기능을 제공하여 관리대상 클라이언트 시스템에 설치된 V3
CR-15-59 AhnLab Policy Center 4.6 for Windows 인증보고서 인증번호 : ISIS-0631-2015 2015년 7월 IT보안인증사무국 1. 제품 개요 AhnLab Policy Center 4.6 for Windows(이하 TOE)는 관리대상 클라이언트 시스템에 설치된 안랩의 안티바이러스 제품인 V3 제품군에 대해 보안정책 설정
More information22 법학논고제 63 집 ( )
경북대학교법학연구원 법학논고 제 63 집 (2018.10) 21 54 면. Kyungpook Natl. Univ. Law Journal Vol.63 (Oct 2018) pp.21 54. 주제어 : 로스쿨의현재모습, 변호사시험합격률, 로스쿨교육체재개편, 변호사시험과목개편, 실무교육강화 투고일 : 2018.9.12. / 심사일 : 2018.10.16. / 게재확정일
More information98 자료 개발 집필 지침
낙태에 관한 법령 개정하기 머 리 말 - 1 - - 2 - - 3 - - 4 - - 5 - - 6 - - 7 - - 8 - - 9 - - 10 - - 11 - - 12 - - 13 - - 14 - - 15 - http://movie.naver.com) - 16 - - 17 - - 18 - - 19 - - 20 - - 21 - - 22 - - 23 - - 24
More information