커뮤니티
보안 솔루션에 대한 정보와 경험을 공유하세요
보안 전문가가 필요하신가요?
에이블 시큐리티에서 검증된 다양한 분야의 보안 전문가와 멘토들을 만나보세요.
업무 고민 상담부터 커리어 조언까지, 여러분에게 필요한 전문가가 기다리고 있습니다.
인기 게시물
...
스크롤하여 더 보기
보안 솔루션에 대한 정보와 경험을 공유하세요
에이블 시큐리티에서 검증된 다양한 분야의 보안 전문가와 멘토들을 만나보세요.
업무 고민 상담부터 커리어 조언까지, 여러분에게 필요한 전문가가 기다리고 있습니다.
...
스크롤하여 더 보기
SK쉴더스는 민기식 대표 취임 1주년을 맞아 지난 1년간의 주요 성과와 함께 AI 시대에 대응하기 위한 미래 사업 방향을 10일 공개했다.민 대표는 취임 이후 고 출처: [데일리시큐](https://www.dailysecu.com/news/articleView.html?idxno=207108)
Meta will use off-site business data for Feed and AI personalization next month, expanding ad data use across 10 countries. 출처: [The Hacker News](https://thehackernews.com/2026/06/meta-to-use-off-site-business-data-for.html)
https://www.msn.com/ko-kr/news/other/%EB%A7%A4%EC%89%AC%EC%97%85%EB%B2%A4%EC%B2%98%EC%8A%A4-ai-%EC%A0%95%EB%B3%B4%EB%B3%B4%ED%98%B8-%EC%9D%B8%EC%A6%9D-%EC%9E%90%EB%8F%99%ED%99%94-%EA%B8%B0%EC%97%85-%EB%A6%AC%ED%8A%B8%EB%A6%AC%EB%B2%84-%EC%97%90-%ED%94%84%EB%A6%AC%EC%8B%9C%EB%93%9C-%ED%88%AC%EC%9E%90/ar-AA259dQ7AI 기반 정보보호 관리체계 인증 대응 자동화 솔루션 ‘클라리스크(Klarisk)’ 운영사 리트리버가 매쉬업벤처스로부터 프리시드 투자를 유치했다.클라리스크는 기업의 거버넌스·리스크·컴플라이언스(GRC) 업무를 AI로 자동화하는 솔루션이다. 기업이 보유한 정책, 절차, 시스템 설정, 운영 기록 등을 AI가 분석해 규정 준수 상태와 잠재적 위험을 식별하고 개선 방안을 제시한다. 체크리스트 기반 점검을 넘어, 규정과 내부 통제를 이해하는 AI 에이전트가 증빙 자료와 운영 현황을 평가하고 조직의 통합 리스크를 지속 관리하는 것이 특징이다.또 증빙 문서를 분석해 해당 자료가 활용될 수 있는 모든 인증 조항에 자동으로 매칭하는 기능을 제공한다. 하나의 증빙 자료를 ISMS-P(정보보호 및 개인정보보호 관리체계)와 ISO 27001(정보보호 관리체계 국제 표준) 등 여러 인증 제도에 활용할 수 있도록 해 중복 작업을 줄인다. 정보 시스템의 로그와 취약점, 패치 이력 등을 자동으로 수집해 위험 요소를 분석하고 인증 증빙으로 활용하는 기능도 갖췄다.이용재 리트리버 대표는 KAIST에서 전산학 박사 학위를 받은 뒤 빅데이터 분석 AI 기업 S2W를 공동 창업해 사이버 위협 분석 기술 개발을 주도하고 코스닥 상장에 기여했다. 이후 KAIST 선배이자 자연어처리 전문가인 이호준 최고기술책임자(CTO)와 함께 리트리버를 창업했다.리트리버는 매쉬업벤처스 추천으로 중소벤처기업부 주관 팁스(TIPS) 프로그램에 선정돼 최대 5억 원의 연구개발(R&D) 자금을 확보했다. 또 농협 오픈 비즈니스 허브 협업 기업에 선정돼 AI 기반 정보보호·컴플라이언스 관리체계 자동화 기술 검증을 진행하고 있다.이용재 리트리버 대표는 “AI를 활용한 규정 이해 및 판단 기술을 고도화해 정보보호 관리체계 인증 준비에 따른 기업의 비용과 업무 부담을 줄이겠다”며 “ISMS-P를 시작으로 ISO 27001, SOC 2 등 글로벌 인증 체계로 확장해 국내 기업의 해외 진출과 산업 전반의 보안 역량 강화를 이끌겠다”고 밝혔다.이번 투자를 리드한 이승국 매쉬업벤처스 파트너는 “최근 다양한 보안 사고로 개인정보보호법 개정 등 국내외 정보보호 규제 수위가 높아지면서 기업들의 비용 부담과 인력난이 심화되고 있다”며 “자연어처리와 사이버 보안 분야에 전문성을 갖춘 리트리버 팀이 안정적인 기술력을 바탕으로 시장 혁신을 이끌 것으로 판단해 투자를 결정했다”고 말했다||
CVE-2026-23111 is a Linux kernel nf_tables use-after-free that lets an unprivileged local user escalate to root and escape a container. 출처: [The Hacker News](https://thehackernews.com/2026/06/one-character-linux-kernel-flaw-enables.html)
스틸리언이 인공지능 기반 행동 분석 기술을 적용한 웹 보안 솔루션 ‘웹수트(WebSuit)’를 출시했다. 웹수트는 웹 페이지 위변조, 스크래핑, 봇 공격, 코드 출처: [데일리시큐](https://www.dailysecu.com/news/articleView.html?idxno=207083)
[이번 연재는 이혁중 CISO가 6월부터 데일리시큐를 통해 매주 한 편씩, 보안 현장에서 축적한 경험과 통찰을 전할 예정이다. 30년 가까이 CISO·CPO로 현 출처: [데일리시큐](https://www.dailysecu.com/news/articleView.html?idxno=207070)
Bright Data SDK relays scraping via 150M+ consent-sourced IPs, bypassing VPNs and using up to 200GB/month bandwidth. 출처: [The Hacker News](https://thehackernews.com/2026/06/free-apps-are-quietly-turning-smart-tvs.html)
OpenAI Lockdown Mode limits outbound ChatGPT requests to reduce prompt injection data exfiltration risk for eligible accounts. 출처: [The Hacker News](https://thehackernews.com/2026/06/new-chatgpt-lockdown-mode-limits-tools.html)
CU 편의점 택배 서비스 ‘CU POST’를 운영하는 BGF네트웍스가 외부 해킹 공격으로 고객 개인정보가 유출되는 사고를 확인하고 대응에 나섰다.BGF네트웍스는 출처: [데일리시큐](https://www.dailysecu.com/news/articleView.html?idxno=207069)
Multiple npm supply chain attacks used 50+ poisoned packages to spread IronWorm, a Rust-based stealer, and a Miasma worm variant. 출처: [The Hacker News](https://thehackernews.com/2026/06/ironworm-and-new-miasma-worm-variant.html)
마이크로소프트 개발 도구 비주얼 스튜디오 코드(VS코드)에서 심각한 제로데이 취약점이 공개됐다. 보안 연구자 아마르 아스카르는 6월 2일 이 취약점을 공개했다. 출처: [데일리시큐](https://www.dailysecu.com/news/articleView.html?idxno=207068)
한국인터넷진흥원(KISA)이 인도네시아를 무대로 국내 정보보호 기업들의 해외 진출 지원에 나섰다. 인공지능(AI) 확산과 디지털 전환 가속화로 통신·금융 분야의 출처: [데일리시큐](https://www.dailysecu.com/news/articleView.html?idxno=207055)
Cisco patched a Unified CM flaw allowing unauthenticated network attackers to write files and escalate to root. 출처: [The Hacker News](https://thehackernews.com/2026/06/cisco-patches-cve-2026-20230-in-unified.html)
Poisoned Android notifications could hijack Google Gemini’s voice assistant without a malicious app. 출처: [The Hacker News](https://thehackernews.com/2026/06/whatsapp-slack-notifications-could.html)
파수 AI가 글로벌 보안 콘퍼런스에서 AI 데이터 유출 대응 전략을 공개하고 북미 시장 공략을 본격화했다.주식회사 파수 AI는 6월 1일부터 3일까지 미국 메릴랜 출처: [데일리시큐](https://www.dailysecu.com/news/articleView.html?idxno=207031)
Google patched 124 Android flaws in June 2026, including exploited CVE-2025-48595, reducing privilege-escalation risks. 출처: [The Hacker News](https://thehackernews.com/2026/06/google-june-2026-android-update-patches.html)
메타의 인공지능 기반 고객지원 챗봇이 인스타그램 계정 탈취에 악용된 사실이 확인됐다.공격자는 피해자의 이메일 계정에 접근하지 않고도 비밀번호 재설정 절차를 진행했 출처: [데일리시큐](https://www.dailysecu.com/news/articleView.html?idxno=207027)
중국과 연계된 것으로 추정되는 사이버 스파이 활동이 유럽과 아시아 전역에서 잇따라 포착되고 있다. 최근 체코와 대만을 겨냥한 새로운 공격 캠페인이 발견된 데 이어 출처: [데일리시큐](https://www.dailysecu.com/news/articleView.html?idxno=207004)
Compromised npm packages targeted Red Hat cloud services, enabling credential theft and expanding supply chain risks. 출처: [The Hacker News](https://thehackernews.com/2026/06/miasma-supply-chain-attack-compromises.html)
파수AI가 미국 법인 ‘심볼로직(Symbologic)’을 공식 출범하고 글로벌 AX(AI 혁신) 시장 공략에 나섰다.파수AI는 6월 1일 새로운 미국 법인 심볼로직을 출범했다고 밝혔다. 최근 AX 지원 기업으로 전환하며 사명을 변경한 파수AI는 이번 미국 법인 출범을 계기로 미국 시장을 중심으로 글로벌 사업 확대에 속도를 낸다.심볼로직은 파수AI의 기존 미국 법인과 미국 AI 플랫폼·컨설팅 기업 컨실릭스(Konsilix)를 통합해 출범한 AX 전문 법인이다. 컨실릭스는 글로벌 빅테크 기업에서 개발과 운영 경험을 쌓은 AI 전문가들로 출처: [데일리시큐](https://www.dailysecu.com/news/articleView.html?idxno=206979)
Dutch authorities have announced the takedown of a botnet that enslaved millions of infected devices, including computers, tablets, smartphones, and IoT devices, to carry out malicious attacks. 출처: [The Hacker News](https://thehackernews.com/2026/05/dutch-authorities-dismantle-botnet.html)
Palo Alto Networks has warned that a recently disclosed medium-severity security flaw impacting PAN-OS and Prisma Access has come under active exploitation in the wild. 출처: [The Hacker News](https://thehackernews.com/2026/05/pan-os-globalprotect-authentication.html)
생성형 AI와 대형언어모델(LLM)을 둘러싼 경쟁이 ‘몸을 가진 AI’로 옮겨가고 있다. 휴머노이드 로봇과 로봇개, 자율 드론처럼 현실 공간에서 움직이는 지능형 기계가 산업 현장과 군사 분야, 물류, 가정용 서비스로 확산되면서 사이버보안 위험도 함께 커졌다.문제는 이들 로봇이 단순한 기계가 아니라는 점이다. 카메라와 마이크, 위치정보, 클라우드 연결, 원격제어 기능을 갖춘 이동형 컴퓨터에 가깝다. 공격자가 로봇을 장악하면 데이터 탈취에 그치지 않고 실제 공간에서 사람과 설비에 물리적 피해를 줄 수 있다. 기존 사이버 공격이 서버와 출처: [데일리시큐](https://www.dailysecu.com/news/articleView.html?idxno=206974)
섀도 AI의 의미가 달라지고 있다. 과거에는 직원이 챗GPT에 내부 문서나 고객 정보를 붙여 넣는 행위가 주요 위험으로 꼽혔다. 최근에는 직원이 AI 개발 도구로 직접 업무용 애플리케이션을 만들고, 이를 사내 시스템과 연결한 뒤 인터넷에 공개하는 사례가 문제로 떠올랐다.AI 기반 개발 방식인 바이브 코딩은 사용자가 원하는 기능을 자연어로 설명하면 AI가 코드와 화면, 데이터 연결 기능을 만들어 주는 방식이다. 개발자가 아닌 직원도 짧은 시간 안에 업무용 도구를 만들 수 있다. 마케팅 담당자는 캠페인 관리 도구를 만들고, 운영 담당자 출처: [데일리시큐](https://www.dailysecu.com/news/articleView.html?idxno=206973)
Cybersecurity researchers have disclosed details of a vulnerability in OpenAI ChatGPT that leverages the artificial intelligence (AI) assistant's implicit trust in Markdown links and images to trigger prompt injections and open the door to phishing attacks. 출처: [The Hacker News](https://thehackernews.com/2026/05/chatgphish-vulnerability-turns-chatgpt.html)
https://www.msn.com/ko-kr/news/other/6%EC%9B%94-%EB%B3%B4%EC%95%88%EC%B7%A8%EC%95%BD%EC%A0%90-%EC%83%81%EC%8B%9C-%EC%8B%A0%EA%B3%A0%EC%A0%9C-%EC%8B%9C%EB%B2%94%EC%82%AC%EC%97%85-%ED%99%94%EC%9D%B4%ED%8A%B8%ED%95%B4%EC%BB%A4-%EB%AA%A8%EC%A7%91/ar-AA24fwiBhttps://www.dailysecu.com/news/articleView.html?idxno=206932시범사업은 기존 모의해킹이나 취약점 신고 포상제와 달리 실제 운영망을 포함해 365일 24시간 취약점 신고와 조치가 이뤄지는 방식이다. 참여 화이트해커의 인공지능(AI) 활용 해킹도 허용한다.민간기업 7곳과 공공기관 8곳 등 총 15개 기관·기업이 시범사업에 참여한다. 이들 기관·기업은 화이트해커가 취약점을 탐색할 수 있도록 실제 운영망과 제품 등을 허용 범위 안에서 개방한다. 취약점 탐색과 신고, 조치는 6월부터 약 5개월간 진행된다. 최종 발견 취약점과 조치 결과를 연말 공개할 예정이다.시범사업에 참가할 화이트해커 모집은 5월 29일부터 6월 12일까지 '보안 취약점 신고·조치·공개 제도' 시범사업 홈페이지를 통해 받는다. 대한민국 국적을 보유한 19세 이상 국민이면 신청할 수 있으며, 인원 제한은 없다.참가자는 사전 윤리교육을 이수하고 기관·기업별 탐색 허용 범위와 정책을 준수해야 한다. 정부는 개인정보 유출과 망 운영 저해 등을 막기 위해 정책 준수 서약, 개인정보 처리 위탁 계약 등 안전장치를 운영한다.정부는 우수 취약점을 발굴한 화이트해커에게 총 16점의 상장과 2000만원 규모의 상금을 수여할 계획과기부 주관금융보안원 주관버그바운티 화이트해커 등록 및 신청(https://sscs.fsec.or.kr)- 화이트해커로 회원가입 및 로그인 후 신청 가능===공공기관 버그바운티 > x-platform 테스트 환경 구축 후에 취약점 찾아내고 실제 환경(버그바운티 대상)에서도 구현 가능하다고 레포팅 해서 대상 많았던 히스토리x-platform 환경구축하고 kali linux mcp 구현해서 테스트CVD·VDP 시범사업https://cvdvdp.kr/https://hacker.findthegap.co.kr/에이블시큐리티 BugBounty 버그바운티 v1 (260414 업데이트)https://able2026security.com/community/fac99694-e0dd-406c-a878-ade799d26883AI 해킹 공포 뚫는다…정부, 국내 첫 '보안취약점 신고제' 시범 가동
지란지교소프트가 지난 28일 서울 포스코타워 역삼에서 ‘AI 시대, 보안 담당자들의 생존 전략’을 주제로 제23회 오피스키퍼 보안세미나를 개최했다. 이번 행사는 온·오프라인 동시 방식으로 진행됐으며, 보안 실무자 300여 명이 참석했다.이번 세미나는 생성형 AI 확산으로 기업 내부에서 활용이 늘고 있는 그림자 AI(Shadow AI), 개인정보 유출, 데이터 통제 문제 등에 대한 실질적인 대응 전략을 공유하기 위해 마련됐다. 지란지교소프트는 지난 10년간 무료 보안세미나를 운영하며 중소기업 보안 담당자 대상 정보 공유 활동을 이어오 출처: [데일리시큐](https://www.dailysecu.com/news/articleView.html?idxno=206950)
A critical security vulnerability has been disclosed in Gogs, a popular open-source self-hosted Git service, that allows an authenticated user to execute arbitrary code under certain conditions. 출처: [The Hacker News](https://thehackernews.com/2026/05/critical-gogs-rce-vulnerability-lets.html)
엔터프라이즈 아이덴티티 보안 기업 SailPoint Technologies Holdings가 Anthropic의 클로드 엔터프라이즈용 컴플라이언스 API와 신규 통합을 발표했다. 기업 내 AI 플랫폼 확산에 따라 증가하는 보안·거버넌스 요구에 대응하기 위한 전략으로 풀이된다.세일포인트는 5월 28일 클로드 컴플라이언스 API(Claude Compliance API)와 연동되는 ‘세일포인트 클로드 컴플라이언스 API 커넥터(SailPoint Claude Compliance API Connector)’를 공개했다고 밝혔다. 이번 통합을 출처: [데일리시큐](https://www.dailysecu.com/news/articleView.html?idxno=206925)
Latin America and Europe become the target of two banking trojan campaigns that are designed to infect Windows and Android devices with Grandoreiro and BTMOB malware, respectively. 출처: [The Hacker News](https://thehackernews.com/2026/05/grandoreiro-malware-and-btmob-rat.html)
미국 대형 통신사 차터 커뮤니케이션스가 해킹 조직 샤이니헌터스 협박 이후 데이터 침해 사실을 확인했다. 차터는 미국 내 수천만 명의 가정과 기업 고객에게 초고속 인터넷과 통신 서비스를 제공하는 주요 사업자다.이번 사건은 샤이니헌터스가 자체 유출 사이트에 차터를 피해 기업으로 올리면서 공개됐다. 공격자는 차터에서 소비자와 기업 고객 정보 4천만 건을 훔쳤다고 주장했다. 해당 데이터에는 이름, 이메일 주소, 주소, 전화번호, 휴대전화 유형, 요금제 정보, 고객 지원 티켓 정보 등이 포함됐다고 밝혔다. 일부 고객전용망정보(CPNI)도 포 출처: [데일리시큐](https://www.dailysecu.com/news/articleView.html?idxno=206917)
The Iranian hacking group known as MuddyWater has been linked to a new campaign affecting at least nine organizations across nine countries on four continents in the first quarter of 2026. 출처: [The Hacker News](https://thehackernews.com/2026/05/muddywater-uses-dll-side-loading-in.html)
김민수·2주 전[시험장]- 시험시간은 보통 1시간~1시간 30분이면 다 풀어서 좀 넉넉한 편인거 같습니다다른 응시자들도 빨리 풀고 나가더라구요- 시험결과는 당일 확인 가능- 펜, 종이가져갈 필요 없음 (필기할 수 있는 전자패드 부여)[시험 준비]- 개념서 본 적 없음- 강의도 본 적 없음- 기출문제만 준비 (최근 년도 중요)- 약 2달 평균 매일 1시간(시험 막판 1주일 전 일 5시간)- 마지막 과목(법)은 기출문제가 중요함(단어 1개 바꾸거나 빼서 틀린것은? 고르는 문제가 많음, 말장난 시험) 재밌는 특징인데 보기가 정답인 문제 관련해서 또 나오는 경향이 있음결과 > 73점
인터폴이 중동·북아프리카(MENA) 지역에서 진행한 대규모 사이버범죄 합동 단속 작전 ‘오퍼레이션 람즈(Operation Ramz)’를 통해 201명이 체포됐다. 이번 작전에는 13개국이 참여했으며, 추가로 382명의 사이버범죄 연루 용의자가 확인됐다. 피해자는 3,867명으로 집계됐고, 악성 인프라로 사용된 서버 53대도 압수됐다.카스퍼스키(Kaspersky)는 이번 작전에 위협 인텔리전스 데이터를 제공하며 수사를 지원했다고 밝혔다. 카스퍼스키 위협 리서치 센터는 MENA 지역에서 활동한 사이버 위협과 악성코드 유포·제어 인프라에 출처: [데일리시큐](https://www.dailysecu.com/news/articleView.html?idxno=206906)
Monday recap. Same mess, new week. 출처: [The Hacker News](https://thehackernews.com/2026/05/weekly-recap-linux-flaws-defender-0.html)
도널드 트럼프 미국 대통령이 첨단 인공지능 모델의 보안 검증을 강화하는 행정명령 서명을 전격 보류했다.백악관은 지난 5월 21일 행정명령 발표를 준비했지만, 트럼프 대통령은 서명 직전 일부 내용이 마음에 들지 않는다며 결정을 미뤘다. 그는 해당 조치가 미국 AI 산업의 경쟁력을 떨어뜨릴 수 있다는 우려를 드러냈다. 초안의 핵심은 오픈AI, 앤트로픽, 구글 등 프런티어 AI 개발사가 새 모델을 공개하기 전 미국 정부와 협력해 보안 위험을 점검하는 내용이었다. 모델 공개 전 최대 90일 동안 국가안보국(NSA), 재무부, 사이버보안·인 출처: [데일리시큐](https://www.dailysecu.com/news/articleView.html?idxno=206899)
A new "coordinated" supply chain attack campaign has impacted eight packages on Packagist including malicious code designed to run a Linux binary retrieved from a GitHub Releases URL. 출처: [The Hacker News](https://thehackernews.com/2026/05/packagist-supply-chain-attack-infects-8.html)
정보보안기사 2022년 4회 다음 문장에서 설명하는 공격은?이것은 인텔 CPU에서 사용하는 비순차적 명령 실행(Out of Order Execution)의 특권명령(Privileged Instruction) 검사 우회 버그를 악용하여 해킹 프로그램이 CPU의 캐시 메모리에 접근하고, 데이터를 유출하는 공격이다.1 캐시 포이즈닝2 스펙터3 멜트다운4 미라이정답 3번2번 스펙터 비순차적 명령 실행 부채널 공격
GitHub has rolled out new controls for npm to improve the security of the software supply chain, giving maintainers the ability to explicitly approve a release prior to the packages becoming publicly available for installation. 출처: [The Hacker News](https://thehackernews.com/2026/05/npm-adds-2fa-gated-publishing-and.html)
독일 주요 대학병원들이 외부 청구 서비스 제공업체 해킹으로 환자 개인정보와 일부 진료·청구 정보가 유출되는 사고를 겪었다. 사고는 2026년 4월 14일 발생한 것으로 확인됐으며, 피해 사실은 5월 21일부터 각 병원이 잇따라 공개했다. 공격 대상은 병원 내부 시스템이 아니라 민간보험 환자와 선택진료, 자비 부담 환자의 청구 업무를 처리하던 외부 업체 유니메드였다.이번 사고는 독일 의료기관의 직접 침해가 아니라 제3자 서비스 제공업체를 통한 데이터 유출이라는 점에서 파장이 커지고 있다.병원들은 공통적으로 “환자 진료와 임상 시스템은 출처: [데일리시큐](https://www.dailysecu.com/news/articleView.html?idxno=206896)
중국과 러시아가 인공지능(AI), 사이버공간, 위성 시스템 분야에서 협력을 확대하기로 했다. 시진핑 중국 국가주석과 블라디미르 푸틴 러시아 대통령은 2026년 5월 20일 베이징에서 정상회담을 열고 양국의 전략적 협력 관계를 재확인했다. 두 정상은 회담 뒤 발표한 공동성명에서 위성인터넷, 소프트웨어 개발, 오픈소스 기술, 사이버보안, 인터넷 거버넌스, 인공지능 협력을 주요 의제로 제시했다.이번 회담은 미·중 정상회담 직후 열렸다는 점에서 국제정치적 의미가 컸다. 중국은 미국과의 긴장 관리를 이어가는 동시에 러시아와의 전략적 공조를 출처: [데일리시큐](https://www.dailysecu.com/news/articleView.html?idxno=206897)
Authorities in Europe and North America have announced the dismantling of a criminal virtual private network (VPN) service used by criminal actors to obscure the origins of ransomware attacks, data theft, scanning, and denial-of-service attacks. 출처: [The Hacker News](https://thehackernews.com/2026/05/first-vpn-dismantled-in-global-takedown.html)
2026. 2학기(9-12월, 4개월) 대학교 강의 강사 모집한학기 15주 x 3 = 45시간블록체인응용, 사이버보안기술최신동향1, 윤리적해킹,프로그래밍심화, 네트워크보안, 분산형임베디드보안, CPS보안강의 시작시간 기준으로 9시~5시 정도가 일반적주1회 3시간 연강으로 진행 가능하고,왓다갓다 시간이 있으니 오는김에 하루 2과목 하는 경우도 많음
정보보안기사 다음중 [클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률]에 따라 지체없이 이용자에게 알려야할 사항이 아닌 것은?1. 해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스 거부 또는 고출력 전자기파 등의 방법으로 정보통신망 또는 이와 관련된 정보시스템을 공격하는 행위를 하여 발생한 사태가 발생할 때2. 이용자 정보가 유출된 때3. 사전 예고 없이 서비스의 중단 기간이 연속해서 10분 이상인 경우이거나 중단 사고가 발생한 때부터 24시간 이내에 서비스가 2회 이상 중단된 경우로서 그 중단된 기간을 합하여 15분 이상 서비스 중단이 발생한 때4. 민/관 합동조사단이 발생한 침해사고의 원인분석이 끝났을 때
정보보안기사 다음중 클라우드 보안인증제의 제도 및 절차에 대한 설명으로 가장 올바른 것은? 1. SaaS 표준등급은 총 7일간의 평가(본점검 4일, 이행점검 3일)로 수행되며, SaaS 간편등급은 중요 데이터를 다루는 서비스에 한해 신청할 수 있다.2. 최초평가는 인증 유효기간이 만료되기 전 신청하는 경우 수행하며, SaaS 간편등급은 5년간 유효한 인증을 부여받는다.3. 상, 중, 하 등급으로 구성된 등급제는 현재까지 상/중 등급만 평가가 가능하며, 하등급은 향후 도입 예정이다.4. 인사/회계관리와 같은 중요 데이터를 처리하는 SaaS는 표준등급으로 인증을 신청해야 하며, 이 경우 본점검 5일, 이행점검 4일이 소요된다
정보보안기사 클라우드 보안인증제는 클라우드컴퓨팅서비스 사업자가 제공하는 서비스에 대해 정보보호 기준의 준수여부를 평가 인증하는 제도이다.인증기준은 IaaS, SaaS 표준등급, SaaS 간편등급, [ㄱ]가 있으며 IaaS 분야 및 Daas 분야 인증의 유효기간은 [ㄴ]년으로 운영하고, SaaS 분야 인증은 표준등급에 대해서는 유효기간을 [ㄴ]년, 간편등급에 대해서는 유효 기간을 [ㄷ]년으로 운영하고 있다.1. [ㄱ] PaaS, [ㄴ]: 6, [ㄷ]: 32. [ㄱ] DaaS, [ㄴ]: 5, [ㄷ]: 33. [ㄱ] DaaS, [ㄴ]: 6, [ㄷ]: 34. [ㄱ] PaaS, [ㄴ]: 6, [ㄷ]: 3
정보보안기사 클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률 제 23조의 2에 대한 내용으로 가장 적절하지 않은 것은 무엇인가?1. 클라우드 보안인증제는 정보보호 수준의 향상 및 보장을 위하여 보안인증기준에 적합한 클라우드컴퓨팅서비스에 대하여 보안인증을 수행하는 제도이다.2. 클라우드 보안인증제의 정책기관은 행정안전부이고, 인증기관은 한국인터넷진흥원(KISA)이다3. 보안인증의 유효기간은 인증 서비스 등을 고려하여 5년, SaaS 간편 등급은 3년이다.4. 보안인증 대상은 전자결재, 인사 및 회계관리, 보안서비스, PaaS(개발환경) 등 중요데이터를 다루는 SaaS 서비스는 표준등급으로 인증을 신청한다
김민수·2주 전정보보안기사 다음에서 설명하는 인증 평가의 종류는?보안인증을 취득한 이후 지속적으로 클라우드서비스 보안인증기준을 준수하고 있는지 확인하기 위한 평가이며, 보안인증 유효기간(5년) 안에 매년 시행되는 평가1. 최초평가 2. 사후평가 3. 갱신평가 4. 수시평가
정보보안기사 개인정보의 안전성 확보조치 기준에 따른 내부 관리계획의 필수 포함 사항에 해당하지 않는 것은?1. 개인정보 보호책임자 및 개인정보취급자의 역할 및 책임에 관한 사항2. 개인정보처리시스템의 운영 위탁에 따른 외부개발자 보안 점검에 관한 사항3. 개인정보 유출사고 대응 계획의 수립 및 시행에 관한 사항4. 개인정보의 분실 도난 위조 변조를 방지하기 위한 악성프로그램 등 방지에 관한 사항
다음중 비영리민간단체 지원법 제2조에 따른 비영리민간단체의 개인정보 단체소송 제기 요건에 대한 설명으로 올바르지 않은 것은?1. 동일한 침해를 입을 100명 이상의 정보주체로부터 단체소송의 제기를 요청받아야 한다2. 단체의 상시 구성원 수가 3,000명 이상이고, 최근 2년 동안 개인정보 보호를 위한 실적이 있는 경우 소송을 제기할 수 있다3. 정관에 개인정보 보호를 목적으로 명시하고, 최근 3년 이상 관련 활동 실적이 있어야 한다. 4. 중앙행정기관에 등록된 비영리민간단체여야 한다
정보보안기사 개인정보 유출 사실을 알게된 개인정보처리자가 정보주체에게 지체 없이 통지해야 할 내용으로 옳지 않은 것은?1. 유출된 개인정보의 항목2. 유출된 시점과 그 경위3. 유출된 개인정보의 암호화 및 접근제어 여부4. 개인정보처리자의 대응조치 및 피해 구제 절차
정보보안기사 다음중 접근 통제 보안 모델에서 정보 흐름 모델에 대한 설명으로 틀린 것은?1. blp 모델과 biba(비바)모델은 정보 흐름 모델을 기반으로 한다2. 한 보안(혹은 무결성) 수준이 다른 보안 수준으로 이동하는 것을 포함하는 모든 종류의 정보흐름을 다룬다3. 은닉채널이 존재하지 않는다는 것을 보장하는 방법에 대한 규칙을 만든다4. 시스템 내에 수많은 방법의 정보 흐름이 존재함으로 은닉채널은 쉽게 찾아서 전체를 고칠 수 있다
정보보안기사 본인이 정당한 사용자라는 것을 시스템에 밝히는 행위를 무엇이라고 하는가?1. 인가(Authorization)2. 인증(Authentication)3. 식별(Identification)4. 검증(Verification)
정보보안기사 다음 AES를 암호화할 때 사용되는 변환 연산중 복호화를 하기 위해 사용되는 역변환을 요구하지 않는 연산은?1. 바이트 치환 변환 (substitute bytes)2. 행 이동 (shift row)3. 열 혼합 (mix columns)4. 라운드 키 더하기 (add round key)
정보보안기사 다음중 알려진 정보를 통해 서로 간의 키 교환을 하는 방식은 무엇인가?1. aes2. rsa3. diffie-hellman4. sha-256
정보보안기사 대칭키 암호 알고리즘과 공개키 암호 알고리즘에 대한 설명중 잘못된 것은?1. 대칭키 암호 알고리즘은 실행 속도가 빠르기 때문에 다양한 암호의 핵심함수로 사용된다2. 공개키 암호는 대칭키 암호에 비해 키의 길이가 상대적으로 크다3. 대칭키 암호 알고리즘은 비밀키 공유를 위한 키분배가 필요하지 않으면서도 암호화 및 복호화의 속도가 빠르다4. 공개키 암호 알고리즘은 자신만이 보관하는 비밀키를 이용하여 인증, 전자 서명 등에 적용이 가능하다
김민수·2주 전정보보안기사 스트림 암호 방식의 설명으로 옳지 않은 것은?1. 입력 데이터와 암호화 키를 xor 연산으로 암호화한다2. 해시 함수를 이용한 해시 암호화 방식을 이용한다3. rc4는 스트림 암호화 방식에 해당한다4. 비트 연산이기 때문에 암호 속도가 빠르다
김민수·2주 전정보보안기사 다음중 aes 알고리즘의 설명중 틀린 것은?1. 128비트, 192비트, 256비트의 키 단위로 암호화를 수행할 수 있다.2. 마지막을 뺀 라운드들은 subbytes, shiftrows, mixcolumns, addroundkey 연산을 수행한다3. 마지막 라운드에서는 mixcolumns을 수행하지 않는다.4. aes는 페이스텔 구조이기 때문에 복호화 과정은 암호화 과정과 같다
정보보안기사 다음이 설명하고 있는 블록 암호화 운영 모드는 무엇인가?- 패딩 작업이 필요없다- 블록 크기보다 작은 데이터에도 적용할 수 있다- 재전송 공격에 취약하다1. ecb2. cbc3. cfb4. ofb
김민수·2주 전정보보안기사 다음 문장에서 설명하는 프로토콜은?공개키 암호에 대한 시초가 되었으며 두 사용자가 안전하게 키를 교환하는 방식으로 이 프로토콜의 효용성은 이산 대수 계산의 어려움에 의존한다.1. needham-schroeder 프로토콜2. rsa 프로토콜3. diffie-hellman 프로토콜4. 커버로스 프로토콜
정보보안기사 kerberos 키 분배 프로토콜의 기반 기술에 해당하는 것은?1. needham-schroeder 프로토콜2. challenge-response 프로토콜3. diffie-hellman 프로토콜4. rsa 이용 키 분배 프로토콜
김민수·2주 전정보보안기사 위험분석의 구성요소가 아닌 것은?1. 비용, 2. 취약점, 3. 위협, 4. 자산
정보보안기사. 정보보호 거버넌스 프레임워크에 대한 설명으로 올바르지 않은 것은1. cobit은 it 서비스 제공 및 지원에 대한 구체적인 절차나 기술 매뉴얼을 중심으로 구성된 프레임워크로, 시스템 취약점 분석에 중점을 둔다2. iso/iec 27001은 조직의 정보보호 관리체계를 수립하고 유지/개선하기 위한 국제 표준으로, pdca (plan do check action) 모델을 기반으로 구성되어 있다3. nist 사이버보안 프레임워크는 위험 관기 및 보안 통제에 대한 가이드라인으로 주요 구성요소로는 식별, 보호, 탐지, 대응, 복구의 다섯 가지 기능이 포함된다4. itil은 정보기술 서비스의 품질을 향상시키기 위해 정보기술(it) 서비스 관리에 대한 best practice를 제공하며, 정보보호의 거버넌스와 연계할 수 있는 국제적 표준 프레임워크이다.* ITIL은 IT Infrastructure Library의 약자IT 서비스를 체계적으로 운영·관리하기 위한 베스트 프랙티스(모범 사례)
마이크로소프트의 기본 보안 제품인 디펜더에서 발견된 취약점 2건이 실제 공격에 악용된 것으로 확인됐다. 문제가 된 취약점은 권한 상승 취약점 CVE-2026-41091과 서비스 거부 취약점 CVE-2026-45498이다. 두 취약점은 각각 마이크로소프트 악성코드 보호 엔진과 디펜더 안티멀웨어 플랫폼에 영향을 준다. 디펜더 취약점, 공격자에게 SYSTEM 권한 열어줄 수 있어가장 위험도가 높은 취약점은 CVE-2026-41091이다. 이 취약점은 CVSS 기준 7.8점으로 평가됐다. 공격자가 이미 시스템에 접근한 상태에서 이 취약점을 출처: [데일리시큐](https://www.dailysecu.com/news/articleView.html?idxno=206876)
Cybersecurity researchers have disclosed details of a new Linux malware dubbed Showboat that has been put to use in a campaign targeting a telecommunications provider in the Middle East since at least mid-2022. 출처: [The Hacker News](https://thehackernews.com/2026/05/showboat-linux-malware-hits-middle-east.html)
개인정보보호위원회가 인공지능(AI) 시대에 맞는 개인정보 개념과 정책 방향을 논의하는 공개 토론의 장을 열었다. AI 기술이 빠르게 확산되면서 기존 개인정보 보호 체계만으로는 새로운 데이터 활용 환경을 충분히 설명하기 어렵다는 문제의식이 커지고 있기 때문이다.개인정보보호위원회는 2026년 5월 20일 서울에서 제2차 ‘2026 개인정보 미래포럼’ 전체회의를 개최했다고 밝혔다. 미래포럼은 학계·법조계·산업계·시민사회 전문가 약 40명이 참여해 개인정보 정책과 관련된 주요 이슈를 논의하는 협의체다.올해 두 번째로 열린 이번 포럼의 핵심 출처: [데일리시큐](https://www.dailysecu.com/news/articleView.html?idxno=206858)
Microsoft has unveiled two new open-source tools called RAMPART and Clarity to assist developers in better testing the security of artificial intelligence (AI) agents. 출처: [The Hacker News](https://thehackernews.com/2026/05/microsoft-open-sources-rampart-and.html)
아이티언이 넷스코프와 함께 생성형 AI 확산에 따른 보안 시장 변화에 대응하기 위해 파트너 교육을 진행했다.넷스코프 총판 아이티언(대표 김영훈)은 지난 19일 글로벌 SASE 기업 넷스코프와 파트너 대상 AI 보안 교육을 열고, 최신 AI 보안 전략과 기술 동향을 공유했다고 20일 밝혔다.이번 교육은 넷스코프의 AI 통합 보안 플랫폼 ‘넷스코프 원 AI 시큐리티(Netskope One AI Security)’를 중심으로 진행됐다. 세일즈 세션과 기술 세션으로 나눠 생성형 AI 확산에 따른 보안 위협, 시장 변화, 고객 요구사항, 대 출처: [데일리시큐](https://www.dailysecu.com/news/articleView.html?idxno=206820)
Cybersecurity researchers have disclosed details of a new ad fraud and malvertising operation dubbed Trapdoor targeting Android device users. 출처: [The Hacker News](https://thehackernews.com/2026/05/trapdoor-android-ad-fraud-scheme-hit.html)
통합보안 전문기업 로그프레소가 AI 기반 차세대 XDR 플랫폼 ‘로그프레소 소나 5.0(Logpresso Sonar 5.0)’을 정식 출시했다. 이번 출시는 로그프레소가 기존 SIEM 중심 보안 기업에서 XDR 플랫폼 전문기업으로 전환을 본격화하는 계기가 될 전망이다.로그프레소 소나 5.0은 SIEM·SOAR를 기반으로 공격표면관리(ASM), 네트워크 탐지·대응(NDR), 엔드포인트 탐지·대응(EDR), 클라우드 보안(CNAPP), 보안 서비스 엣지(SASE), 다크웹 인텔리전스 등을 통합 운영하는 차세대 XDR 플랫폼이다.이번 제 출처: [데일리시큐](https://www.dailysecu.com/news/articleView.html?idxno=206793)
INTERPOL has coordinated a first-of-its-kind cybercrime crackdown across the Middle East and North Africa (MENA) that led to 201 arrests and the identification of an additional 382 suspects. The initiative involved the efforts of 13 countries from the region between October 2025 and February 2026, aiming to investigate and neutralize malicious infrastructure, arrest perpetrators behind these 출처: [The Hacker News](https://thehackernews.com/2026/05/interpol-operation-ramz-disrupts-mena.html)
김민수·3주 전정보보안기사 30. 다음 문장에서 설명하는 제도는?- IT 서비스의 구축 단계에서 정보보호 위협 및 취약점 분석, 위협분석 등의 절차를 통해 사전에 취약점을 제거하고 보호 대책을 수립하는 일련의 보안 컨설팅 활동- 정보시스템 구축에 필요한 투자 금액이 5억원 이상인 정보통신서비스 또는 전기통신사업이 권고 대상1 정보보호 관리체계 인증제도2 보안성 심의(평가) 제도3 정보보호 사전점검 제도4 주요 정보통신기반시설 취약점 분석 평가정답 3
정보보안기사 다음중 업무 연속성 관리의 주요 용어에 대한 설명으로 올바른 것은?1 업무연속성계획(bcp)은 정보기술 서비스에 국한된 복원 절차를 정의하며, 기술적 재해복구를 위한 계획인 drp를 포함하지 않는다2 복구 목표 시점(rpo)은 장애 발생 시 서비스를 재개해야 하는 최대 허용 시간으로, 주로 업무중단이 고객에게 미치는 영향의 정도에 따라 결정된다3 업무영향분석(bia)은 위협 발생 가능성 및 취약성 수준을 바탕으로 위험의 정량적 값을 산출하는 과정으로, 위험분석의 한 유형이다4 복구 목표 시간(rto)은 비즈니스가 중단된 이후 허용할 수 있는 최대 중단 시간 이내에 서비스를 복원하기 위한 목표치로, bia의 결과를 토대로 도출된다정답 4번보기 2: RPO(Recovery Point Objective) 복구 목표량 (얼마나 최근 데이터까지 복원할지)rto를 설명함 > 최대 허용 시간보기 3: 어떤 업무가 중요한지, 비즈니스 영향 체크
정보보안기사 다음중 업무 영향 평가(BIA; Business Impact Analysis)을 수행할 때 주요 활동 및 고려 사항으로 올바르지 않은 것은?1 주요 업무 프로세스의 식별, 업무 프로세스간의 상호연관성 분석2 핵심 프로세스에 필요한 자원의 식별과 자원요구사항 식별3 업무 프로세스 별 중요도, 재해로 인한 업무 중단 시의 손실 평가4 재해 발생 시의 업무 프로세스의 복원 시간, 복구 안정성 평가정답 4번
정보보안기사 다음중 개인정보보호 책임자(CPO)의 업무로 옳지 않은 것은?1 개인정보 보호 계획의 수립 및 시행2 개인정보 파일의 보호 및 관리*감독3 정보보호 실태와 관행의 정기적인 감사 및 개선4 개인정보 보호 교육계획의 수립 및 실행정답 3번정보보호 실태와 관행의 정기적인 감사 및 개선 > 정보보호 최고책임자(CISO)의 업무
정보보안기사 24. 시스템 침해사고 발생에 따라 디지털 포렌식을 진행할 때 다음 명령어로 확인할 수 있는 것은?net startsc query1. 동작 프로세스 행위 분석2. 시스템 주요 경로 무결성 점검3. 서비스 시작과 서비스 확인4. 시스템 정보 확인정답 3번net start: 서비스를 시작하는 명령어sc query: 시스템의 전체 서비스를 확인하는 명령어
정보보안기사 다음중 침해사고 발생 대응 방법론에서 일반적인 수행 과정의 순서로 옳은 것은?1. 사고 전 준비 > 초기 대응 > 사고 탐지 > 대응 전략 체계화 > 보고서 작성 > 사고 조사2. 사고 전 준비 > 사고 탐지 > 초기 대응 > 대응 전략 체계화 > 사고 조사 > 보고서 작성3. 사고 전 준비 > 사고 탐지 > 초기 대응 > 사고 조사 > 대응 전략 체계화 > 보고서 작성4. 사고 전 준비 > 사고 탐지 > 대응 전략 체계화 > 초기 대응 > 사고 조사 > 보고서 작성정답사고 전 준비 > 사고 탐지 > 초기 대응 > 대응 전략 체계화 > 사고 조사 > 보고서 작성
가상화폐 크로스체인 거래 플랫폼 토르체인(THORChain)에서 1,000만 달러(약 150억원)가 넘는 자금이 탈취되는 보안 사고가 발생했다.토르체인은 사고 직후 거래를 중단하고 조사를 시작했다. 회사는 초기 조사 결과 이용자 자금은 안전하며, 피해는 프로토콜이 보유한 자금에 제한된 것으로 보인다고 밝혔다.이번 사고는 5월 15일 오전 블록체인 보안업체 펙실드와 온체인 조사자 잭XBT가 이상 거래를 포착하면서 알려졌다.초기 분석에서는 36개가 넘는 비트코인, 약 300만 달러 규모가 빠져나갔고, 이더리움, BNB체인, 베이스 등 출처: [데일리시큐](https://www.dailysecu.com/news/articleView.html?idxno=206762)
A newly disclosed security flaw impacting NGINX Plus and NGINX Open has come under active exploitation in the wild, days after its public disclosure, according to VulnCheck. The vulnerability, tracked as CVE-2026-42945 (CVSS score: 9.2), is a heap buffer overflow in ngx_http_rewrite_module affecting NGINX versions 0.6.27 through 1.30.0. According to AI-native security company depthfirst, the 출처: [The Hacker News](https://thehackernews.com/2026/05/nginx-cve-2026-42945-exploited-in-wild.html)
정보보안기사 A 쇼핑몰에서 물품 배송을 위해 B 배송업체와 개인정보처리 업무 위탁 계약을 맺었고 이름, 주소, 핸드폰 번호를 전달하였다. A 쇼핑몰이 B 배송업체를 대상으로 관리 감독할 수 없는 것은? 1 B배송업체의 직원을 대상으로 개인정보보호교육을 한다2 B배송업체에서 개인정보취급자를 채용할 것을 요청해야 한다3 B배송업체가 개인정보를 안전하게 처리하고 있는지 점검해야 한다4 B배송업체가 재위탁을 하지 못하도록 제재한다정답 2번 보기 4번: 위탁자는 재위탁을 하지 못하도록 제재도 가능하며, 재위탁을 허용해도 절차와 보안요구사항을 요구할 수 있음
정보보안기사 다음중 일반 직원 대상의 통상적인 정보보호 교육 및 훈련의 내용에 해당하지 않는 것은?1 정보보호 요구사항2 정보보호 사고 발생시 사용자의 법적인 책임3 조직의 정보보호 관리통제 방법4 조직의 정보보호 시스템 구성도 및 운영 방법정답: 4번 4번은 기밀이여서 높은 등급의 임직원 관리자만 확인
김민수·3주 전정보보안기사 14. 업무 연속성 관리 단계가 아닌 것은?1. 전략 수립 단계2. 구현 단계3. 운영 관리 단계4. 종료 단계정답: 4번시전구운[시] 시작 단계[전] 전략 수립 단계[구] 구현 단계[운] 운영 관리 단계
김민수·3주 전정보보안기사 다음의 업무를 모두 수행하는 기관은?금융 통신 등 분야별 정보통신기반시설을 보호하기 위하여 구축/운영취약점 및 침해 요인과 그 대응 방안에 관한 정보 제공침해사고가 발생하는 경우 실시간 경보/분석체계 운영1.정보공유 분석 센터 (ISAC)2.한국인터넷진흥원3.관리기관4.지식정보보안 컨설팅업체정답: 1번금융, 통신 > ISAC (정보공유 분석 센터)
정보보안기사 계정 도용 및 불법적인 인증 시도 통제 방안으로써 불법 로그인 시도 경과 통제 방안 예시로 올바르지 않은 것은?1. 해외 ip 주소 등 등록되지 않은 ip 주소에서의 접속시 차단 및 통지2. 주말, 야간 접속 및 문자 알림3. 관리자 등 특수권한 로그인시 알림4. 동일 계정으로 동시 접속시 접속 차단 조치 또는 알림 기능정답: 4번진짜 외워서 풀어야 됨정보보호 및 개인정보보호 관리체계(ISMS-P.. : 네이버블로그
정보보안기사 6. 주요 직무자 지정 및 관리 시 고려해야 할 사항으로 틀린 것은?1. 개인정보 및 중요 정보의 취급, 주요 시스템 접근 및 주요 직무의 기준을 명확히 정의하여야 한다2. 주요 직무를 수행하는 임직원 또는 외부자를 주요 직무자로 지정하고 그 목록을 최신으로 관리하여야 한다3. 업무 필요성에 따라 주요 직무자 및 개인정보 취급자 지정을 최소화하는 등 관리 방안을 수립*이행하여야 한다4. 파견 근로자, 시간제 근로자 등을 제외한 임직원중 업무상 개인정보를 취급하는 자를 개인 정보 취급자로 지정하고 목록을 관리하여야 한다정답: 4번파견 근로자, 시간제 근로자도 개인정보 취급자이다. (관리 대상)
정보보안기사 13. 다음은 위험 관리 과정을 구성하는 5가지 세부 과정이다. 위험 관리 과정의 절차를 옳게 나열한 것은?ㄱ. 위험 관리 전략 및 계획 수립ㄴ. 위험분석ㄷ. 위험 평가ㄹ. 정보보호 대책 선정ㅁ. 정보보호 계획 수립정답: 1번전분평대계전: 위험관리[전]략및계획수립분: 위험[분]석평: 위험 [평]가대: 정보보호 [대]책 선정계: 정보보호 [계]획 수립
정보보안기사 2022년 4회 8. 다음중 위험분석 접근 방법에 대한 설명으로 옳은 것은?1. 기준선 접근법은 모든 시스템에 대하여 표준화된 보호 대책의 세트를 흐름도의 형태로 제공하며, 계량화가 가능한 장점이 있다.2. 비형식적 접근법은 경험자의 지식에 기반하지 않고 구조적인 방법론을 사용하여 위험분석을 시행하는 방식이다.3. 상세 위험분석 접근법은 자산분석, 위협 분석, 취약점 분석의 각 단계를 수행하여 위험을 평가하는 방법이다.4. 복합 접근법은 고위험 영역을 식별하여 베이스 라인 접근법을 사용하고, 다른 영역은 비정형 접근법을 사용하여 효율적으로 소규모의 조직위험 평가를 시행할 때 유용한 방법이다.정답: 3번 1. 기준선 접근법은 체크리스트에 있는 보안대책이 현재 구현되어 있는지를 판단하여 없는 것을 구현2. 비정형(비형식적) 접근법은 경험자의 지식을 사용4. 복합 접근법에서 고위험 영역은 상세 위험분석을 사용 하고 다른 영역은 베이스 라인 접근법을 사용
정보보안기사 2. 정량적 위험분석의 방법론 중 다음 문장에서 설명한 방법으로 알맞은 것은?이 방법은 위협의 발생 빈도를 계산하는 식을 이용하여 위협을 계량하는 방법이다. 과거 자료의 획득이 어려울 경우 위험 발생 빈도를 추정, 분석하는데 유용하며, 위험을 경량화하여 매우 간결하게 나타낼 수 있다. 하지만 이는 기대 손실을 추정하는 자료의 양이 낮다는 단점이 있다.1.연간 예상 손실법2.과거 자료 분석법3.수학 공식 접근법4.확률분포법정답: 3번발생 빈도를 계산하는 식과거 자료의 획득이 어려운 경우 추정기대 손실을 추정하는 자료의 양이 낮음
정보보안기사 2025년 2회, 다음중 정보보호 거버넌스 프레임워크에 대한 설명으로 올바르지 않은 것은?1. cobit은 it 서비스 제공 및 지원에 대한 구체적인 절차나 기술 매뉴얼을 중심으로 구성된 프레임워크로, 시스템 취약점 분석에 중점을 둔다.2. ISO/IEC 27001은 조직의 정보보호 관리체계를 수립하고 유지/개선하기 위한 국제 표준으로, PDCA 모델을 기반으로 구성되어 있다.3. NIST 사이버보안 프레임워크는 위험 관리 및 보안 통제에 대한 가이드라인으로 주요 구성요소로는 식별, 보호, 탐지, 대응, 복구의 다섯가지 기능이 포함된다.4. ITIL은 정보기술 서비스의 품질을 향상시키기 위해 정보기술(IT) 서비스 관리에 대한 BEST PRACTICE를 제공하며, 정보보호의 거버넌스와 연계할 수 있는 국제적 표준 프레임워크이다.정답: 1번cobit은 it 관리와 거버넌스 전반에 걸친 가이드라인으로 정보보호가 조직 목표와 어떻게 연결되는지 명확히 정의하고 있다.보기 4번> ITIL은 IT Infrastructure Library의 약자, IT 서비스를 체계적으로 운영·관리하기 위한 베스트 프랙티스(모범 사례)
마이크로소프트 익스체인지와 윈도우 11, 레드햇 엔터프라이즈 리눅스, 엔비디아 컨테이너 환경, AI 코딩 에이전트까지 연이어 해킹에 성공하면서 폰투온 베를린(Pwn2Own Berlin) 2026 둘째 날 현장이 다시 한번 뜨거워졌다. 트렌드마이크로 제로데이이니셔티브(ZDI)가 독일 베를린 오펜시브콘(OffensiveCon)에서 진행 중인 이번 대회 둘째 날에는 총 15개의 신규 제로데이 취약점이 공개됐고, 참가 연구자들에게 지급된 상금은 총 38만5,750달러에 달했다. 첫째 날 상금까지 합치면 누적 상금은 90만 달러를 넘어섰다. 출처: [데일리시큐](https://www.dailysecu.com/news/articleView.html?idxno=206758)
A critical security vulnerability impacting the Funnel Builder plugin for WordPress has come under active exploitation in the wild to inject malicious JavaScript code into WooCommerce checkout pages with the goal of stealing payment data. 출처: [The Hacker News](https://thehackernews.com/2026/05/funnel-builder-flaw-under-active.html)
정보보안기사 2024년 2회 18. 원소가 집합에 속하는지 여부를 검사하는데 사용되는 확률적 자료구조로 사용자가 회원 가입을 할 때 공격자가 가지고 있는 레인보우 테이블에 있는 비밀번호에 대하여 사용을 금지시키는 방법은?1.key stretching2.salt key3.bloom filter4.birthday paradox정답: 3번풀이 1번해시값을 알아보지 못하도록 하기 위해 원문의 해시값을 입력값으로 다시 그 해시값을 다시 입력값으로 n번 반복> key stretching
The Russian state-sponsored hacking group known as Turla has transformed its custom backdoor Kazuar into a modular peer-to-peer (P2P) botnet that's engineered for stealth and persistent access to compromised hosts. 출처: [The Hacker News](https://thehackernews.com/2026/05/turla-turns-kazuar-backdoor-into.html)
정보보안기사 8회 39. 다음 중 보기의 특성을 갖는 공격 방법은?에이전트 설치의 어려움을 보완한 공격 기법으로 TCP 프로토콜 및 라우팅 테이블 운영상의 취약성을 이용하여 정상적인 서비스를 제공 중인 서버를 Agent로 활용하는 공격 기법이다.① Botnet② DRDoS③ APT④ Sniffing정답: ② DRDoS포인트 > 정상적인 서비스를 제공 중인 서버를 Agent(Zombile)로 이용하여 공격
정보보안기사 2022년 2회. 7번 공개키 암호 알고리즘이 아닌 것은?1. RSA2. ECC3. ElGamal4. Rijndael정답: 4번Rijndael(AES) > 대칭키 암호
정보보안기사 2022년 2회 키를 분배하는 방법이 아닌 것은?1. KDC(Key Distribution Center)2. 공개키 암호 시스템3. Diffie-Hellman 키 분배 알고리즘4. Kerberos정답: 4번
정보보안기사 2022년 1회 70. 8차 기약 다항식으로 만든 LFSR(Linear Feedback Shift Register)의 출력이 가질 수 있는 주기는 어느 것인가?① 8② 16③ 17④ 127정답: 3번8차 기약다항식 > 2^8 -1 > 255255 = 3 x 85 = 3 x 5 x 17 > 17
시큐아이가 AI 기반 고성능 차세대 방화벽 ‘블루맥스 NGF 프로(BLUEMAX NGF PRO)’를 출시했다. AI와 클라우드 활용 확대로 기업 내부 트래픽이 급증하고, 지능형 공격이 고도화되면서 고성능 트래픽 처리와 정교한 보안 기능을 동시에 갖춘 방화벽 수요가 커지고 있다는 판단에서다.블루맥스 NGF 프로는 방화벽을 중심으로 여러 보안 기능이 통합되는 시장 흐름에 맞춰 설계된 프리미엄급 차세대 방화벽이다. 단일 플랫폼에서 대용량 트래픽 처리와 AI 기반 보안 기능을 함께 제공하는 것이 특징이다.제품은 CPU와 전용 프로세서를 분 출처: [데일리시큐](https://www.dailysecu.com/news/articleView.html?idxno=206745)
Cisco has released updates to address a maximum-severity authentication bypass flaw in Catalyst SD-WAN Controller that it said has been exploited in limited attacks. The vulnerability, tracked as CVE-2026-20182, carries a CVSS score of 10.0. "A vulnerability in the peering authentication in Cisco Catalyst SD-WAN Controller, formerly SD-WAN vSmart, and Cisco Catalyst SD-WAN Manager, formerly 출처: [The Hacker News](https://thehackernews.com/2026/05/cisco-catalyst-sd-wan-controller-auth.html)
마이크로소프트가 2026년 1분기 이메일 위협 동향 분석 결과를 공개했다. 올해 1분기 동안 탐지된 이메일 기반 피싱 공격은 약 83억 건에 달했으며, 공격자들은 링크 기반 피싱과 QR 코드, 캡차(CAPTCHA) 우회, 대화형 비즈니스 이메일 침해(BEC) 등 다양한 방식으로 공격을 고도화한 것으로 나타났다.마이크로소프트 위협 인텔리전스는 14일 발표한 보고서를 통해 이메일 위협이 단순 악성코드 유포 중심에서 자격 증명 탈취와 인증 우회 중심으로 빠르게 이동하고 있다고 분석했다.실제 전체 이메일 위협 가운데 78%는 링크 기반 피 출처: [데일리시큐](https://www.dailysecu.com/news/articleView.html?idxno=206732)