🔥 1차 이론 공부법 꿀팁!
1차 이론 문제는 빠르게, 자주 반복하는 게 핵심이에요.
특히 60문제는 30분 안에 한 번 훑는 걸 목표로 해보세요.
처음엔 어렵더라도, 자꾸 보고 또 보면
문제 유형이 눈에 익고 감이 생깁니다 💪
“완벽하게 풀겠다”보다는
“빠르게 전체를 익히겠다”는 마음으로!
이 방법이 진짜 합격의 지름길이에요. 🚀
🚨 침해사고 분석 및 대응 — 모의고사 60문항
🔹 1~10 : 개요·조직·프로세스
-
침해사고(Incident)의 정의로 가장 적절한 것은?
① 비정상 CPU 사용량 증가
② CIA를 위협/침해하는 사건
③ 로그 용량 초과
④ 정기 점검
👉 정답: ② (해설: 기밀·무결성·가용성에 영향) -
사고 대응 표준 흐름으로 옳은 것은?
① 분석→식별→격리→복구
② 준비→식별→격리/구제→근절→복구→사후분석
③ 탐지→복구→격리→보고
④ 탐지→삭제→재가동
👉 정답: ② (해설: 준비·식별·격리/구제·근절·복구·리뷰) -
CSIRT의 핵심 목적은?
① 신규 서비스 기획
② 사고 대응·조정·보고
③ 비용 절감
④ UI 개선
👉 정답: ② -
플레이북(Playbook)의 장점은?
① 상황별 임기응변 유도
② 절차 표준화로 신속·일관 대응
③ 로그 저장 줄임
④ 외주 의존 증가
👉 정답: ② -
심각도 분류 시 고려가 낮은 요소는?
① 영향 범위
② 데이터 민감도
③ 미디어 관심도만
④ 복구 난이도
👉 정답: ③ -
초기대응에서 가장 먼저 할 일은?
① 모든 서버 재부팅
② 통합 알림 발송
③ 사고 식별·범위 파악
④ 언론 공지
👉 정답: ③ -
교훈학습(Lessons Learned)의 핵심 산출물은?
① 벌금
② 수정된 플레이북·개선계획
③ 신규 포트 개방
④ 서비스 폐지
👉 정답: ② -
외부 공지 시 원칙이 아닌 것은?
① 사실 기반
② 시기적절
③ 일관성
④ 추정 위주
👉 정답: ④ -
SLA와 연계해 점검해야 할 것은?
① RTO/RPO 충족 여부
② UI 테마
③ 케이블 색상
④ 사무실 온도
👉 정답: ① -
공급망 침해 대응 핵심이 아닌 것은?
① SBOM
② 서명 검증
③ 빌드 파이프라인 무결성
④ 개발자 PC 성능 향상
👉 정답: ④
🔹 11~20 : 악성코드·공격기법
-
파일리스 공격의 특징은?
① 디스크 상주
② 메모리 내 실행·흔적 축소
③ USB만 감염
④ 무선 전용
👉 정답: ② -
랜섬웨어 초기 대응으로 가장 부적절한 것은?
① 네트워크 분리
② 공격 프로세스 종료 시도
③ 백업 무결성 확인
④ 즉시 몸값 협상
👉 정답: ④ -
APT 공격의 일반적 특징은?
① 단발성
② 장기 잠복·표적화·다단계
③ 물리 매체만 사용
④ 서비스 거부만 수행
👉 정답: ② -
루트킷의 주 목적은?
① 은폐·지속성 확보
② 패스워드 정책 강화
③ 백업 자동화
④ 포트 차단
👉 정답: ① -
스피어피싱의 특징은?
① 무작위 대량 메일
② 특정 대상 맞춤형 유인
③ DNS 변조
④ ARP 스푸핑
👉 정답: ② -
DNS 증폭 공격 방지책은?
① 오픈 리졸버 금지·RRL
② ICMP 차단만
③ HTTP 리다이렉트
④ 포트 미러링 해제
👉 정답: ① -
Slowloris 방어에 유효한 것은?
① 헤더 타임아웃·동시연결 제한
② SYN 쿠키
③ NAT 비활성화
④ 포트 고정
👉 정답: ① -
ARP 스푸핑 탐지/대응은?
① 정적 ARP·DAI 적용
② DNSSEC
③ HTTPS
④ WEP
👉 정답: ① -
C2 통신 흔적이 아닌 것은?
① 규칙적 소량 통신
② 난수형 도메인
③ 이상한 TLS 핑거프린트
④ NTP 표준 동기화
👉 정답: ④ -
랜섬웨어 확산 경로로 보기 어려운 것은?
① 취약 RDP
② 피싱
③ 서드파티 업데이트
④ 전원관리 설정
👉 정답: ④
🔹 21~30 : 로그·아티팩트·포렌식
-
윈도우 로그인 성공 이벤트 ID는?
① 4625
② 4624
③ 1102
④ 4688
👉 정답: ② -
윈도우 프로세스 생성 이벤트 ID는?
① 4688
② 4624
③ 4720
④ 5140
👉 정답: ① -
보안 이벤트 로그 초기화 ID는?
① 1102
② 4625
③ 4672
④ 4648
👉 정답: ① -
리눅스 인증 관련 로그 기본 파일은?
① /var/log/secure
② /var/log/cron
③ /var/log/kern
④ /var/log/maillog
👉 정답: ① -
최근 로그인 이력 확인 명령은?
① last/lastlog
② df
③ uname
④ route
👉 정답: ① -
웹 로그에서 웹셸 의심 패턴은?
① 긴 쿼리스트링·이상 확장자 업로드
② 200 응답만
③ POST 부재
④ 로봇 접근만
👉 정답: ① -
DNS 터널링 의심 지표는?
① 짧은 레코드
② 긴 서브도메인·고빈도 질의
③ AAAA 쿼리 감소
④ SOA 응답 증가
👉 정답: ② -
포렌식 보전의 핵심은?
① 이미지 복제·해시 계산
② 원본 직접 변경
③ 로그 정리
④ 시간대 통일 불필요
👉 정답: ① -
체인 오브 커스터디의 목적은?
① 증거 인수·보관·이관의 추적성
② 장비 성능 개선
③ 로그 압축
④ 포트 개방
👉 정답: ① -
메모리 포렌식이 특히 유효한 경우는?
① 파일리스·인젝션형 공격
② 전원 장애
③ 디스크 불량
④ 프린터 오류
👉 정답: ①
🔹 31~40 : 네트워크·시스템 격리·완화
-
SYN Flood 완화책이 아닌 것은?
① SYN 쿠키
② 백로그 확장
③ Anycast
④ SMTP 인증 강화
👉 정답: ④ -
지오블로킹 적용 시 유의점은?
① VPN 우회·정상 비즈니스 영향
② 포트 자동 개방
③ NAT 해제
④ TLS 종료
👉 정답: ① -
침해 호스트 격리의 1차 선택은?
① 전원 차단
② 네트워크 분리(스위치 격리/VLAN 격리)
③ 백업 즉시 삭제
④ OS 재설치
👉 정답: ② -
IDS/IPS의 한계로 가장 타당한 것은?
① 암호화 트래픽 가시성 저하
② 로그 생성 불가
③ 업데이트 불가
④ 시그니처 미지원
👉 정답: ① -
NetFlow/sFlow의 주요 용도는?
① 트래픽 거동 기반 탐지
② 파일 무결성 확인
③ 키 관리
④ 로그 서명
👉 정답: ① -
이메일 게이트웨이에서 피싱 저감책은?
① SPF/DKIM/DMARC
② ICMP 차단
③ WEP 적용
④ FTP 폐지
👉 정답: ① -
프록시/SSL 가시화 장비의 위험은?
① 개인정보·규정 준수 이슈
② 패킷 드롭 증가
③ PoE 전력 부족
④ IPv6 미지원
👉 정답: ① -
OT/ICS 사고 대응 특수 고려사항은?
① 가용성 우선·변경 최소화
② 무조건 전원 차단
③ 패치 즉시 적용
④ 원격제어 확대
👉 정답: ① -
클라우드에서 기본 점검 1순위는?
① IAM 과권한·액세스 키 남용
② 서버 랙 위치
③ 모니터 해상도
④ 온습도
👉 정답: ① -
컨테이너 침해 대응 첫 점검은?
① 런타임 프로파일·이미지 서명·비밀관리 노출
② 커널 색상
③ 스크린세이버
④ 마우스 드라이버
👉 정답: ①
🔹 41~50 : 근절·복구·사후관리
-
근절(Eradication) 단계의 올바른 활동은?
① 악성 구성요소 제거·취약점 패치
② 전원 차단
③ SLA 서명
④ 홍보
👉 정답: ① -
복구(Recovery) 단계 핵심은?
① 클린 상태 복원·모니터링 강화
② 즉시 서비스 전면 재개
③ 로그 삭제
④ 포트 개방
👉 정답: ① -
백업 전략에서 랜섬웨어 회복탄력성 강화책은?
① 오프사이트/오프라인·불변(immutable) 백업
② 동일 스토리지에 복사
③ 공유 폴더에 저장
④ 동일 계정 사용
👉 정답: ① -
재감염 방지를 위한 필수 조치가 아닌 것은?
① 취약점 패치
② 크리덴셜 초기화
③ 동일 구성 즉시 복원
④ 접근 제어 강화
👉 정답: ③ -
사고보고서 필수 항목이 아닌 것은?
① 개요·타임라인·영향·원인·대응·재발방지
② 증거 목록
③ 승인·배포
④ 광고문구
👉 정답: ④ -
KPI/메트릭으로 보기 어려운 것은?
① MTTD/MTTR
② 탐지률·오탐률
③ 처리건수·평균 처리시간
④ UI 테마 선호도
👉 정답: ④ -
핫워시(Hotwash)의 목적은?
① 즉시 피드백 수집·개선과제 도출
② 장비 교체
③ 예산 삭감
④ 규정 무력화
👉 정답: ① -
위협 인텔리전스(CTI) 활용 이점은?
① IOC/TTP로 탐지 룰 보강
② 암호화 강제
③ 전력 절감
④ UI 통일
👉 정답: ① -
취약점 관리 프로세스의 올바른 순서는?
① 식별→분석→우선순위→조치→검증
② 분석→식별→검증→조치
③ 조치→식별→분석
④ 검증→분석→식별
👉 정답: ① -
베이스라인 하드닝의 목적은?
① 최소 기능·최소 권한으로 공격면 축소
② 성능 최적화
③ 테마 통일
④ 로그 삭제
👉 정답: ①
🔹 51~60 : 표준·프레임워크·법·협업
-
사고대응 가이드의 핵심 프레임은?
① 준비·식별·격리/구제·근절·복구·사후
② 기획·설계·개발
③ 생산·품질
④ 마케팅
👉 정답: ① -
MITRE ATT&CK의 주 활용은?
① TTP 매핑·탐지 공백 식별
② 서명키 생성
③ 포트 설계
④ UI 작성
👉 정답: ① -
NIST 사이버 보안 프레임워크의 5기능은?
① Identify/Protect/Detect/Respond/Recover
② Plan/Do/Check/Act/Report
③ Build/Run/Test/Ship/Sell
④ Map/Reduce/Store/Query/Visualize
👉 정답: ① -
로그 보존과 관련된 올바른 원칙은?
① 법/정책 준수·무결성 확보
② 공간 절약 위해 즉시 삭제
③ 암호화 금지
④ 개인 식별정보 항상 포함
👉 정답: ① -
개인정보 유출 의심 시 우선 파악 항목은?
① 항목·규모·암호화 여부·접근 주체
② 테마 색상
③ 해상도
④ 스피커 음량
👉 정답: ① -
통지·신고 의무 준수 목적은?
① 법적 책임·신뢰 회복
② 성능 향상
③ UI 개선
④ 원가 절감
👉 정답: ① -
ISAC의 역할은?
① 위협·침해정보 공유·분석
② 인사평가
③ 회계감사
④ 사내망 구축
👉 정답: ① -
외부 수사기관과 협업 시 유의점은?
① 증거 보전·비밀유지·권한 범위 명확화
② 모든 정보 즉시 공개
③ 시스템 즉시 폐기
④ 암호키 공유
👉 정답: ① -
서드파티와의 RACI 매트릭스 목적은?
① 역할/책임 명확화·책임추적성
② 포트 정리
③ 전원관리
④ UI 간소화
👉 정답: ① -
Zero Trust 관점의 사고 예방 핵심은?
① 지속 검증·최소권한·세분화(segmentation)
② 내부 전면 신뢰
③ 평문 통신 허용
④ 광범위 화이트리스트
👉 정답: ①
✅ 사용 가이드
-
암기 포인트: 윈도우 이벤트(4624/4625/4688/1102), DNS·ARP 방어, 체인오브커스터디, 랜섬웨어 초기 격리, IAM 과권한 점검.
-
연습 루틴: 섹션별 하루 10문항 × 6일 → 마지막 날 전 범위 풀이 & 오답노트.