[오피스백서] 금융권 정보보호(9시간) 시험문제_답

 

 

O 문제 1	개인정보 처리 위수탁 업무 관련 주의사항으로 옳지 않은 것은?
보기	1. 위탁자는 위탁하는 업무의 내용과 수탁자를 인터넷 홈페이지에 지속적으로 게재하여 정보주체에게 알려야 한다.
	2. 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우 서면, 전자 우편, 팩스, 전화, 문자 전송 같은 방법으로 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 한다.
	3. 개인정보 처리를 맡긴 위탁자는 수탁자에 대해서 개인정보보호 교육을 실시해야 한다.
	4. 개인정보 처리 위수탁이 종료되면 개인정보를 파기하지 않고 지속적으로 보관해야 한다.
정답	4
		수강생 답	4
취득점수 / 배점	5점 / 5점
해설	개인정보 처리 위수탁이 종료되면 개인정보를 반환하거나 파기하고 확인해야 한다.
O 문제 2	금융회사는 클라우드 서비스 이용 시 관련 리스크를 지속적으로 관리해야 한다.
정답	O
		수강생 답	O
취득점수 / 배점	5점 / 5점
해설	금융회사는 클라우드 서비스 이용 시 관련 리스크를 지속적으로 관리해야 한다.
O 문제 3	개인정보 보호법 개정으로 자동화된 결정에 대한 정보주체의 권리를 도입하여 인공지능 등을 통한 개인정보 처리 과정에서의 투명성을 확보하였다.
정답	O
		수강생 답	O
취득점수 / 배점	5점 / 5점
해설	개인정보 보호법 개정으로 자동화된 결정에 대한 정보주체의 권리를 도입하여 인공지능 등을 통한 개인정보 처리 과정에서의 투명성을 확보하였다.
O 문제 4	금융보안 선진화 방안에 대한 설명으로 옳지 않은 것은?
보기	1. 선진국들은 금융혁신과 소비자 보호에 중점을 두고 원칙중심을 기반으로 금융규제 시스템을 구축하고 있다.
	2. 금융보안 지배구조의 개선과 함께 금융회사와 전자금융업자의 자율보안체계를 구축해야 한다.
	3. 네거티브 규제체계에서 포지티브 방식으로 전환하여 금융회사의 보안 자율성을 축소해야 한다.
	4. 개별 금융회사 및 전자금융업자의 자율보안체계를 금융보안 전문기관인 금융보안원이 검증하고 컨설팅한다.
정답	3
		수강생 답	3
취득점수 / 배점	5점 / 5점
해설	포지티브 규제체계에서 네거티브 방식으로 전환하여 금융회사 등에 보안 자율성을 부여해야 한다.
O 문제 5	신용정보의 관리적 보안대책에 관련된 내용으로 옳지 않은 것은?
보기	1. 개인신용정보 조회 권한이 직급별·업무별로 차등 부여되어야 한다.
	2. 개인신용정보의 조회기록에 대하여는 주기적으로 그 적정성 여부를 점검할 필요가 없다.
	3. 개인신용정보 취급상황을 확인할 수 있는 수단과 이의를 점검하고 감사하는 체제를 정비해야 한다.
	4. 조회 권한을 초과하여 고객 정보 조회를 일정횟수 이상 시도한 직원에 대해 통제장치를 마련해야 한다.
정답	2
		수강생 답	2
취득점수 / 배점	5점 / 5점
해설	개인신용정보의 조회기록에 대하여는 주기적으로 그 적정성 여부를 점검하여야 하며, 점검결과를 업무에 반영하여야 한다.
O 문제 6	정보보호 상시평가제는 금융회사와 신용정보업자들이 연 1회 이상 신용정보법의 준수 현황을 점검하고 그 결과를 금융보안원에 제출하는 제도이다.
정답	O
		수강생 답	O
취득점수 / 배점	5점 / 5점
해설	정보보호 상시평가제는 금융회사와 신용정보업자들이 연 1회 이상 신용정보법의 준수 현황을 점검하고 그 결과를 금융보안원에 제출하는 제도이다.
O 문제 7	버그바운티(Bug Bounty)는 일회적 제도로 활용될 수 있을 뿐, 이를 통해 잠재적 보안 취약점을 선제적으로 발견할 수는 없다.
정답	X
		수강생 답	X
취득점수 / 배점	5점 / 5점
해설	버그바운티는 보안 취약점을 찾아내기 위해 모두에게 공개적으로 공격을 요청하고 유의미한 취약점을 찾아낸 제보자를 포상하는 제도로 잠재적 보안 취약점을 선제적으로 발견할 수 있다.
O 문제 8	정보보호 상시평가제에 관한 설명으로 옳지 않은 것은?
보기	1. 금융권의 자발적인 정보보호 수준 향상을 유도하기 위한 제도적 장치로 기능할 수 있다.
	2. 정보보호 규제를 체계적·상시적으로 준수 및 검증할 수 있는 자동화 시스템을 구축하고 금융권 정보보호 수준을 종합적으로 진단하겠다는 취지에서 마련되었다.
	3. 신용정보관리·보호인은 개인신용정보 관리 및 보호 실태를 정기적으로 점검한 다음 그 결과를 금융위원회에서 위탁한 금융보안원에 제출해야 한다.
	4. 금융보안원에서는 방문점검을 실시하여야 하고, 서면점검을 할 수 없다.
정답	4
		수강생 답	4
취득점수 / 배점	5점 / 5점
해설	금융보안원은 금융회사가 제출한 자료를 토대로 서면 점검을 실시하고 결과를 점수 등급으로 표시한다.
O 문제 9	인터넷 홈페이지를 통한 개인정보 노출 사고에 관한 설명으로 옳지 않은 것은?
보기	1. 홈페이지의 관리자 부주의로 인한 경우가 있다.
	2. 이용자의 부주의로 인해 개인정보 노출 사고가 발생할 수도 있다.
	3. 홈페이지를 설계하거나 개발하는 단계에서 주의를 기울이지 않아 발생한 경우도 있다.
	4. 이용자의 게시글이나 댓글로 개인정보가 노출될 위험성은 거의 없다.
정답	4
		수강생 답	4
취득점수 / 배점	5점 / 5점
해설	이용자의 게시글이나 댓글, 첨부 파일로 개인정보가 노출될 수 있으니 홈페이지 관리 시 문의 답변 게시판은 비공개로 운영하거나 개인정보를 입력하지 않도록 안내하는 것이 좋다.
O 문제 10	전문 CPO 지정 제도와 관련된 설명으로 옳지 않은 것은?
보기	1. CPO란, 기업의 개인정보 관리에 대한 총괄 책임자인 개인정보 보호책임자를 말한다.
	2. 개인정보 보호책임자의 전문성 강화를 위해 일정 기준 이상의 개인정보처리자는 자격요건을 갖춘 CPO를 지정해야 한다.
	3. 연 매출액 또는 수입이 1,500억 원 이상인 자로서 100만 명 이상의 개인정보 또는 5만 명 이상의 민감·고유식별정보를 처리하는 개인정보처리자가 적용 대상이다.
	4. 전문 CPO의 자격요건은 아직 명시되지 않은 상황이다.
정답	4
		수강생 답	4
취득점수 / 배점	5점 / 5점
해설	개인정보 보호책임자 경력 인정에 관한 고시를 통해 전문 CPO의 자격요건이 세부적으로 명시되어 있다.
O 문제 11	신용정보의 보안대책 중 기술적·물리적 보안대책에 관한 설명으로 옳지 않은 것은?
보기	1. 개인신용정보처리시스템 및 개인신용정보취급자의 PC를 설정할 때에는 개인신용정보가 열람 권한이 없는 자에게 공개되지 않도록 해야 한다.
	2. 외부 사용자에게 개인신용정보처리시스템에 대한 접근권한을 부여할 때에는 최대한으로 부여해야 한다.
	3. 개인신용정보취급자가 개인신용정보처리시스템에 접속하여 개인신용정보를 처리한 경우 처리일시, 처리내역 등 접속기록이 저장되도록 해야 한다.
	4. 개인신용정보처리시스템과 개인신용정보취급자가 개인신용정보 처리에 이용하는 정보처리기기에는 악성프로그램의 침투 여부를 항시 점검·치료할 수 있도록 백신소프트웨어를 설치해야 한다.
정답	2
		수강생 답	2
취득점수 / 배점	5점 / 5점
해설	외부 사용자에게 개인신용정보처리시스템에 대한 접근권한을 부여할 때에는 업무목적을 위하여 불가피한 경우에만 최소한으로 부여해야 한다.
O 문제 12	가명정보와 익명정보에 관한 설명으로 옳지 않은 것은?
보기	1. 익명정보란 시간, 비용, 기술 등 개인정보처리자가 활용할 수 있는 모든 수단을 활용해도 더 이상 개인을 알아볼 수 없도록 복원이 불가능할 정도로 익명화 한 정보를 의미한다.
	2. 가명정보란 추가 정보의 사용 없이는 특정 개인을 알아볼 수 없게 특별한 조치를 한 정보를 의미한다.
	3. 가명정보는 개인정보로서 개인정보 보호법의 적용 대상에 포함된다.
	4. 익명정보는 개인정보로서 개인정보 보호법의 적용 대상에 포함된다.
정답	4
		수강생 답	4
취득점수 / 배점	5점 / 5점
해설	익명정보는 개인정보 보호법 적용 대상에서 배제되며 제한 없이 자유롭게 활용 가능하다.
O 문제 13	정보보호에 대한 설명으로 적절하지 않은 것은?
보기	1. 정보보호란 정보의 수집·가공·저장·검색·송신 또는 수신 중 발생할 수 있는 정보의 훼손·변조·유출 등을 방지하기 위해 관리적·기술적 수단을 마련하는 것이다.
	2. 기밀성, 무결성, 가용성을 정보보호의 3요소라고 부른다.
	3. 금융권 정보보호는 특정 전문조직이 관리하는 ‘통제’의 관점에서 누구나 필수로 여기는 ‘신뢰’의 가치로 진화하고 있다.
	4. 정보보호 위협은 기업의 신뢰성, 경쟁력에 영향을 미치지 않기 때문에 보안 강화를 위한 노력은 중요하지 않다.
정답	4
		수강생 답	4
취득점수 / 배점	5점 / 5점
해설	정보보호 위협은 기업의 정보 자산에 지속적으로 손해를 야기하고 기업의 신뢰성, 경쟁력, 고객 신뢰 및 재정적 이익에 영향을 미치기 때문에 보안을 강화하기 위한 노력을 기울여야 한다.
O 문제 14	외주 보안 관리에 대한 설명으로 옳지 않은 것은?
보기	1. 신원 확인 절차가 미흡할 시, 해당 업무에 적합하지 않은 인력의 투입으로 인해 중요정보가 외부로 유출될 위험이 있다.
	2. 외주 인력은 회사의 업무를 도와주는 사람이므로 보안서약서나 보안교육을 실시하지 않아도 된다.
	3. 외주 인력의 출입이 필요하거나 기타 부득이한 사유로 외부인의 출입이 필요한 경우에는 내부 업무 담당자의 동행 하에 출입하도록 해야 한다.
	4. 정보시스템에 접근할 수 있는 레벨을 사전에 정의하여 설정하고, 투입 업무 목적에 따라서 접근 권한을 차등적으로 부여해야 한다.
정답	2
		수강생 답	2
취득점수 / 배점	5점 / 5점
해설	외주 인력에게 보안서약서를 작성하도록 해야 하며, 보안 의식 강화를 위한 보안교육을 주기적으로 실시해야 한다.
O 문제 15	개인정보 유출에 대한 설명으로 옳지 않은 것은?
보기	1. 정보주체의 개인정보에 대하여 개인정보처리자가 통제를 상실하거나 권한이 없는 자의 접근을 허용한 경우를 말한다.
	2. 권한이 없는 자에게 개인정보가 전달된 경우는 개인정보 유출에 포함되지 않는다.
	3. 개인정보가 포함된 서면이나 이동식 저장 장치, 휴대용 컴퓨터 등을 분실하거나 도난당한 경우가 포함된다.
	4. 개인정보처리자의 고의 또는 과실로 인해 개인정보가 포함된 파일이나 문서, 저장매체 등이 잘못 전달된 경우가 포함된다.
정답	2
		수강생 답	2
취득점수 / 배점	5점 / 5점
해설	권한이 없는 자에게 개인정보가 전달된 경우 역시 개인정보 유출에 포함된다.
O 문제 16	개인정보 처리 위수탁에 대한 설명으로 옳지 않은 것은?
보기	1. 개인정보의 처리를 위탁하는 경우 위탁 시 발생할 수 있는 위험을 평가하여 업무위탁 여부 및 범위를 결정해야 한다.
	2. 개인정보 유출 시 위험성이 높다고 평가된 경우에도 위탁 범위를 재검토하지 않고 위탁할 수 있다.
	3. 국외로 위탁하는 경우 개인정보 위험 최소화를 위하여 수탁자가 속한 국가의 개인정보보호 수준을 함께 고려해야 한다.
	4. 개인정보처리자는 인력과 물적 시설, 재정 부담능력, 기술 보유 정도, 책임능력 등을 종합적으로 고려하여 수탁자를 선정해야 한다.
정답	2
		수강생 답	2
취득점수 / 배점	5점 / 5점
해설	개인정보 유출 시 위험성이 높다고 평가된 경우 위탁 범위를 재검토하고 위수탁 시 안전 조치와 감독을 강화해야 한다.
O 문제 17	개인정보 암호화 처리에 관한 설명으로 옳지 않은 것은?
보기	1. 암호화란 일상적인 문자로 쓰인 평문을 암호 키를 소유하지 않은 사람이 알아볼 수 없도록 기호 또는 다른 문자 등의 암호문으로 변환하는 방법이다.
	2. 개인정보 보호법에서는 고유식별정보를 처리하는 경우 암호화 같은 안전성 확보조치를 하도록 규정하고 있다.
	3. 암호화 대상 개인정보를 저장하거나 전송할 때에는 안전한 암호 알고리즘으로 암호화를 해야 한다.
	4. 대칭 키 암호화 방식은 비대칭 키 암호화 방식에 비해 상대적으로 처리 속도가 느리다.
정답	4
		수강생 답	4
취득점수 / 배점	5점 / 5점
해설	대칭 키 암호화 방식은 전송하려는 평문의 암호화·복호화에 동일한 키를 사용하여 상대적으로 처리 속도가 빠르다.
O 문제 18	금융권 정보보호와 관련한 설명으로 적절하지 않은 것은?
보기	1. 금융회사는 금융보안 프렌들리(Friendly) 전략을 수립·이행할 필요가 있다.
	2. 디지털금융 보안은 금융회사에게만 중요하고, 금융소비자는 보안에 대해 신경 쓰지 않아도 된다.
	3. 금융권에서 디지털지갑 사업이 활발하게 추진되고 있으므로 전자적 침해가 발생하지 않도록 보안에 유의해야 한다.
	4. 보안 공격 채널이 다양화되고 딥페이크 등의 기술 발전으로 범죄 위험성이 높아졌으며, 이에 따라 금융권은 사이버 공격 대응책을 마련해야 한다.
정답	2
		수강생 답	2
취득점수 / 배점	5점 / 5점
해설	금융회사뿐만 아니라 금융소비자 역시 보안을 필수불가결한 생활 습관으로 관념화해야 한다.
O 문제 19	개인정보보호 일반 원칙에 관한 설명으로 옳지 않은 것은?
보기	1. 수집 제한의 원칙은 모든 개인정보는 적법하고 공정한 수단에 의해 수집되어야 하며 정보주체에게 알리거나 동의를 얻은 후 수집되어야 한다는 원칙이다.
	2. 이용 제한의 원칙은 개인정보는 명확한 목적 이외의 용도로 공개되거나 이용할 수 있다는 원칙이다.
	3. 정보 정확성의 원칙은 개인정보는 이용 목적상 필요한 범위 내에서 정확하고 완전하며 최신의 상태로 유지되어야 한다는 원칙이다.
	4. 안전성 확보의 원칙은 개인정보의 분실, 불법적인 접근에 대비하여 합리적인 안전보호장치를 마련해야 한다는 원칙이다.
정답	2
		수강생 답	2
취득점수 / 배점	5점 / 5점
해설	이용 제한의 원칙이란, 개인정보는 정보주체의 동의가 있는 경우나 법률의 규정에 의한 경우를 제외하고는 명확화 된 목적 이외의 용도로 공개되거나 이용되어서는 안 된다는 것을 뜻한다.
O 문제 20	AI 관련 개인정보 처리가 가지는 특성과 관련 없는 것은?
보기	1. AI 개발 시 활용되는 학습데이터는 일반적으로 규모가 크고 다양한 개인정보와 민감한 사생활에 관한 정보가 포함될 가능성이 높다는 특징이 있다.
	2. AI 모델을 활용한 자동화된 서비스를 개발·운영하는 과정에서 데이터 처리 결과를 예측하기 어렵기 때문에 사생활 침해, 사회적 차별·편향 등의 문제가 발생할 수 있다.
	3. AI 서비스를 개발·운영하는 과정의 개인정보 처리 방식은 매우 단순하다.
	4. 일반적으로 AI 모델은 지식·확률기반의 추론방식을 이용하여 데이터를 분석하고 처리한다.
정답	3
		수강생 답	3
취득점수 / 배점	5점 / 5점
해설	AI 서비스를 개발·운영하는 과정의 개인정보 처리 방식은 매우 복잡하다.