brunch

매거진 Privacy

You can make anything
by writing

C.S.Lewis

2021년도 카카오 보안 모의고사
기출문제 대공개

[정보보호의 달] 카카오 보안정책 크루와 함께 하는 정보보안 퀴즈 풀이

d2021년 '카카오 보안 모의고사' 기출문제 대공개

매년 7월 둘째 수요일은 국가에서 지정한 '정보 보호의 날'입니다. 국가의 정보보호 역량을 강화하고 정보보호 생활화를 촉진하기 위해 제정한 대한민국 법정 기념일로, 매년 7월 '정보 보호의 달'로 지정하고 있습니다. 


'정보 보호의 날'은 지난 2009년 7월 7일 주요 행정기관과 민간 기업 및 은행에서 발생한 인터넷 '분산 서비스 거부(DDoS, Distribute Denial of Service)’ 공격 피해를 되새기며, 지속적으로 발생하는 인터넷 침해사고 등에 대한 정보보호와 해킹의 경각심을 고취하기 위해 2012년 지정되었습니다. 올해로 10번째 기념일을 맞이하였습니다. 


카카오는 CPO(개인정보보호책임자) 부서에서 개인정보를, CISO(정보보호최고책임자) 부서에서 정책·기술 보안 등을 주요 과제로 삼고 정보 보안을 위해 힘쓰고 있습니다. 또 매년 초 카카오 내부 정보보호위원회를 중심으로 보안 위협 리포팅, 보안 대책 마련 등 정기적인 정보보호 노력을 시행하고 있습니다. 


카카오 크루가 평소 업무에서 지켜야 할 정보보호 실천수칙을 점검하며, 정보보호 생활화를 위한 노력도 함께 기울이고 있습니다. 정보보호에 대한 카카오 크루의 적극적인 참여를 유도하기 위해 2019년도부터 '보안 모의고사'를 개최해 시상식을 여는 등, 사내 이벤트를 진행해 오고 있습니다. 올해 두 번째로 진행한 카카오의 '보안 모의고사' 중 일부 문항을 공유드립니다. 카카오 보안정책담당 크루들의 상세한 문제 풀이도 함께 공유드리니, 정보보호 상식을 점검해보시기 바랍니다.



#카카오 보안 모의고사 


Q. 다음 중 지켜야 할 보안 수칙이 아닌 것은? 

① 회사에서 지급한 PC는 단말기 보안(비밀번호 등)을 설정한다.

② 출입증은 굳이 패용할 필요 없이 가지고만 있으면 된다.

③ 스마트폰은 패스워드 및 잠금 패턴을 설정하고 개방형 WiFi에서는 업무를 하지 않는다.

④ 중요정보가 기록된 종이 문서는 이면지로 활용하지 않는다.


☞ [정답] ② 출입증은 출입이 허가된 상태임을 나타내는 수단으로 출입증을 패용하지 않으면 출입이 허가된 상태임을 알 수 없습니다. 


[문제풀이]

단말기를 잃어버리거나 도난당했을 때 단말기 보안 설정이 되어 있지 않으면 중요 정보가 유출될 수 있습니다.  스마트폰의 잠금 기능을 통해 타인이 무단으로 정보를 탈취하는 것을 방지할 수 있으며, 개방형 WiFi는 가짜 WiFi가 존재할 수 있으므로 가짜 WiFi 접속 시에 정보를 탈취당할 수 있습니다. 중요정보가 기록된 종이 문서는 목적이 달성되면 파기하거나 잠금장치가 있는 공간에 별도 보관합니다.



Q. 다음 중 올바르지 않은 정보보안 인식을 가진 사람은 누구인가?

① A: 열정! 열정! 열정! 또 보안패치야? 서비스 또 내렸다가 올려야하네... 귀찮은데 그래도 패치 할 건 해야지!

② B: 정보보안을 왜 해야 하는지 알아? 사고가 없기 때문이야! 보안이 제일 우선이라구!

③ C: 요즘도 생활보안 점검해? 모두 탤런트(talent) 있는 인재들인데 신경 쓸 거 있어?

④ D: 저는 다른 건 잘 모르겠고, PC 백신은 꼭 설치해야 하는 것만 압니다. 무슨 백신인지는 물어봐야겠어.


☞ [정답] ③ 업무를 하다 보면 본인이 인지하지 못한 채 위험에 노출되어 있을 수 있으므로 생활보안 점검을 주기적으로 받아야 합니다.


[문제풀이]

보안패치는 발견된 보안 취약점을 개선하고자 하는 활동이기에 미루지 않아야 하며, 정보보안을 소홀히 하게 될 경우 보안 취약점을 통해 사고가 발생할 수 있기에 정보보안은 매우 중요합니다. PC에 백신을 설치하는 것은 악성코드 및 외부 위험으로부터 PC를 보호하기 위한 필수적이고 기본적인 활동입니다.



Q. 다음 중 정보보안 상 올바른 행동은 무엇인가? 

① 자주 비밀번호를 변경하라고 하니 헷갈릴까 봐 포스트잇에 비밀번호를 써서 모니터 밑에 붙여 둔다.

② 사이트 접속할 때마다 비밀번호를 입력하는 게 귀찮지만, 혹시나 단말기를 분실할 경우를 고려해 '비밀번호 기억하기'를 사용하지 않는다.

③ 단말기에 백신이 깔려 있으니까 정보 탐색을 위해 신뢰할 수 없는 사이트도 들어간다.

④ 회사 프린터를 이용해서 업무 관련 정보를 출력하는 게 번거로우니 집에서 내돈내산 프린터를 이용해 출력한다.


☞ [정답] ② 단말기를 분실했을 때 사이트 비밀번호도 기억하기로 설정되어 있다면 무단으로 회사 내부 정보에 접근할 수 있습니다. 


[문제풀이] 비밀번호는 개인이 관리하여야 하는 정보이며, 타인에게 알리거나 타인이 알기 쉬운 장소에 노출해서는 안됩니다. 신뢰할 수 없는 사이트를 들어가면 각종 악성코드 및 랜섬웨어에 노출될 수 있습니다. 업무 정보는 회사에서만 다뤄야 하며 회사 정보는 허가받지 않은 기기를 이용해 출력할 수 없습니다.



Q. 다음 중 회사의 보안정책을 위배하는 행동은 무엇인가?

사내 업무 플랫폼에 있는 정보를 캡처해서 지인한테 공유한다.

② 회사에서 지급한 단말기로 인터넷을 이용한다.

③ 회사의 보안 정책이 불편하더라도 우회하는 방법을 찾아내거나 시도하지 않는다.

④ 비밀번호는 3개월마다 필히 변경한다.


☞ [정답] ① 카카오 크루들은 업무상 알게 된 정보는 외부에 공개하지 않는다는 원칙을 준수해야 합니다. 


[문제풀이]

회사에서 지급한 단말기엔 보안설정 및 보안 설루션이 적용되어 있어 인터넷을 통한 악성코드 감염을 사전에 차단합니다. 보안 정책을 위반할 경우 회사의 보안 모니터링 범위를 벗어나기 때문에 외부 위협(해킹 및 악성코드)에 쉽게 노출될 수 있습니다내부 지침에 따라 비밀번호 사용기한은 90일이며, 해당 기한 내 비밀번호를 변경하지 않으면 업무 플랫폼 이용이 불가능합니다.



Q. 다음 중 정보보안에 대해 바른 생각을 가진 플레이어는?

① P1    ② P2    ③ P3    ④ P4


☞ [정답] ③ 보안 취약점은 말 그대로 외부 공격에 취약한 부분으로 발견 즉시 개선해야 합니다.


[문제풀이] 서비스를 오픈하기 전엔 반드시 보안 검수를 통해 취약점을 확인하고 제거해야 외부 위협으로부터 안전합니다. 정보보안 교육은 내부 지침 상 정보보호 인식 제고를 위해 카카오 크루라면 반드시 들어야 하는 기본 교육입니다. 서비스 운영시 기존과 다르게 변경되는 부분들이 발생하므로, 주기적인 점검을 통해 변경된 부분에 보안 문제가 없는지 확인해야 합니다.



Q. 송화가 쓰는 PC가 랜섬웨어에 걸려버렸다. 이럴 때 가장 바른 이야기를 하는 사람은 누구인가?

① 익준 : 야, 돈 주면 되지. 내가 책임지고 파일들 복구해온다!

② 석형 : 일부러는 아니지...? 일단 PC 포맷하구 다음부터 조심해~

③ 정원 : 너 또 랜섬웨어 걸렸어? 괜찮아, PC 새로 받음 되지 뭐~

④ 준완 : 말이가 빵구가?! 고민 말고 정보보안팀에 신고부터 해, 얼른!


☞ [정답] ④ 랜섬웨어와 같은 상황에 직면할 경우 정보보안팀을 통해 감염 경로 파악 및 후속조치를 지원받을 수 있습니다. 발견 즉시 정보보안팀에 신고를 해야 합니다.


[문제풀이] 비용을 지불하더라도 랜섬웨어에 걸린 파일의 복구는 보장할 수 없습니다. PC 포맷을 하더라도 디스크가 감염된 상태일 수 있기 때문에 다시 랜섬웨어에 감염될 수 있습니다. PC를 교체하더라도 감염경로를 알 수 없으므로 또다시 랜섬웨어에 감염될 수 있기 때문에, 정보보안팀을 통해 반드시 감염 원인과 경로를 확인해야 합니다.



Q. 다음 중 보안상 가장 올바르지 않은 행동은 무엇인가?

① 신뢰할 수 없는 웹사이트는 절대, 네버 들어가지 않기

② 모르는 사람이 보낸 이메일은 눈에 흙이 들어가지 않는 이상 열어보지 않기

③ 파일 공유할게 많으니까 PC에 있는 공유폴더 기능 활성화해서 파일 공유하기

④ Only 정품 프로그램, 그것도 IT자산파트를 통해 구매한 프로그램만 사용하기


☞ [정답] ③ PC가 외부 공격에 유출되었을 때 공유폴더 시스템의 유저명, 공유정보 등을 열람할 수도 있고 일부 레지스트리에 접근할 수 있기 때문에 반드시 사내 업무 플랫폼을 이용하여 파일을 공유합니다.


[문제풀이] 신뢰할 수 없는 웹사이트는 보안 인증서에 문제가 있는 사이트로 서버에 보내는 데이터를 속이거나 가로채기 시도가 있을 수 있습니다. 모르는 사람이 보낸 이메일은 즉시 삭제하거나 스팸이 의심될 경우에는 정보보안팀에 신고합니다. 회사 자산으로 구매한 프로그램이 아닌 비인가 프로그램을 통해 악성코드가 감염될 수 있으며, 라이선스 무단 사용에 대한 이슈도 발생할 수 있습니다.



Q. 스팸인 듯 아닌 듯 의심되는 메일을 수신했을 때 해야 하는 행동으로 가장 바른 것은?

① 나 말고 다른 크루도 수신했을 것 같은데 신고하는 건 귀찮으니까 그냥 삭제한다.

② 의심인거지 확실하진 않으니까 일단 메일 및 첨부파일을 열어서 확인해 본다.

③ 즉시 정보보안팀으로 '사내 악성 메일'을 신고한다.

④ 혹시 모르니까 회사에서 지급한 PC 말고 개인 PC에서 열어본다.


☞ [정답] ③ 스팸메일 여부는 정보보안팀이 가장 명확하게 확인할 수 있으므로, 의심 메일 확인 즉시 신고해야 합니다.


[문제풀이] 다른 사람이 신고하기를 기다리기보다는 스팸메일을 발견한 즉시 신고합니다. 의심되는 메일을 수신할 경우 메일을 열어서 확인하기 전에 정보보안팀을 통해서 스팸메일 여부를 확인해야 합니다. 개인 PC도 스팸메일로 인해 악성코드나 랜섬웨어에 감염될 수 있으니 유의해야 합니다.



Q. 다음 중 회사에서 지급한 장비의 사용법으로 가장 올바르지 않은 것은?

① 업무용 PC로 허가받지 않은 사이트에 접근하지 않는다.

② 어차피 잠금 처리되니까 회사 PC는 켜 두고 퇴근한다.

③ 회사에서 지급한 장비는 개인에게 지급되었으므로 개인이 관리해야 한다.

④ 장비를 분실할 경우를 대비해서 화면보호기 설정 및 계정 잠금 처리를 해둔다.


☞ [정답] ② PC가 계속 켜져 있으면 멀웨어, 스파이웨어나 봇넷을 활성화할 수 있는 서버와 지속적으로 연결이 될 수 있으므로 업무 종료 시엔 PC를 꺼야 합니다(전원 절약은 Plus).


[문제풀이] 허가받지 않은 사이트에 접속할 경우 악성 코드의 위험에 노출될 수 있습니다. 회사 자산이라 하더라도 개인에게 지급한 장비이므로 지급받은 크루가 관리의 의무를 가집니다. 화면보호기 설정 및 계정 잠금은 장비가 분실되었을 때 정보 유출을 막기 위한 가장 기본적인 방법입니다. 



#카카오 크루들의 정보보호 실천 수칙


매거진의 이전글 카카오, 세계와 투명성 보고서의 어제와 오늘을 말하다
브런치는 최신 브라우저에 최적화 되어있습니다. IE chrome safari