무료 온라인 액세스 ISACA.CISA.v2022-04-02.q209 모의 시험 (Page 5)

CISA 문제 16

다음 공격 중 사회 공학, 링크 조작 또는 웹 사이트 위조 기술이 포함된 공격은 무엇입니까?

A. 서핑 공격

B. 트래픽 분석

C. 피싱

D. 인터럽트 공격

정답: C

설명/참조:
피싱 기술에는 사회 공학, 링크 조작 또는 웹 사이트 위조 기술이 포함됩니다.
시험을 위해 아래 정보를 알아야 합니다.
피싱은 전자 통신에서 신뢰할 수 있는 개체로 가장하여 사용자 이름, 암호 및 신용 카드 세부 정보(때로는 간접적으로 금전)와 같은 민감한 정보를 얻으려는 시도입니다. 인기 있는 소셜 웹 사이트, 경매 사이트, 은행, 온라인 결제 처리자 또는 IT 관리자에서 온 것으로 알려진 통신은 일반적으로 순진한 대중을 유인하는 데 사용됩니다. 피싱 이메일에는 맬웨어에 감염된 웹 사이트에 대한 링크가 포함될 수 있습니다. 피싱은 일반적으로 이메일 스푸핑 또는 인스턴트 메시징을 통해 수행되며, 사용자가 합법적인 웹사이트와 모양과 느낌이 거의 동일한 가짜 웹 사이트에 세부 정보를 입력하도록 지시하는 경우가 많습니다. 피싱은 사용자를 속이는 데 사용되는 사회 공학 기술의 한 예이며 현재 우리가 사용하는 열악한 사용성을 악용합니다.b 보안 기술. 증가하는 보고된 피싱 사건을 처리하기 위한 시도에는 입법, 사용자 교육, 대중 인식 및 기술적 보안 조치가 포함됩니다.
스피어 피싱 - 특정 개인이나 회사를 겨냥한 피싱 시도를 스피어 피싱이라고 합니다. 공격자는 목표에 대한 개인 정보를 수집하여 성공 확률을 높일 수 있습니다.
링크 조작
대부분의 피싱 방법은 이메일의 링크(및 이를 통해 연결되는 스푸핑된 웹 사이트)가 스푸핑된 조직에 속한 것처럼 보이도록 고안된 일종의 기술적인 기만을 사용합니다. 철자가 틀린 URL 또는 하위 도메인의 사용은 피싱이 사용하는 일반적인 속임수입니다. 다음 예제 URL(http:// www.yourbank.example.com/)에서는 URL이 은행 웹사이트의 예제 섹션으로 이동하는 것처럼 보입니다. 실제로 이 URL은 예제 웹사이트의 "귀하의 은행"(예: 피싱) 섹션을 가리킵니다. 또 다른 일반적인 트릭은 링크에 대해 표시된 텍스트(태그 사이의 텍스트)가 링크가 실제로 피싱 사이트로 이동할 때 신뢰할 수 있는 대상을 제안하도록 하는 것입니다. 다음 예제 링크 // en.wikipedia.org/wiki/Genuine은 "정품"이라는 제목의 기사로 사용자를 안내하는 것으로 보입니다. 그것을 클릭하면 실제로 "기만"이라는 제목의 기사로 이동합니다. 대부분의 브라우저의 왼쪽 하단에서 사용자는 링크가 어디로 연결되는지 미리 보고 확인할 수 있습니다. 몇 초 동안 링크 위에 커서를 올려 놓으면 비슷한 작업이 수행될 수 있지만 HTML 도구 설명 태그를 통해 피싱에 의해 여전히 설정될 수 있습니다.
웹사이트 위조
피해자가 피싱 웹사이트를 방문하면 속임수는 끝나지 않습니다. 일부 피싱 사기는 주소 표시줄을 변경하기 위해 JavaScript 명령을 사용합니다. 이것은 주소 표시줄 위에 합법적인 URL의 사진을 배치하거나 원래 표시줄을 닫고 합법적인 URL로 새 주소를 열어서 수행됩니다.
공격자는 피해자에 대해 신뢰할 수 있는 웹 사이트 자체 스크립트의 결함을 사용할 수도 있습니다. 이러한 유형의 공격(교차 사이트 스크립팅이라고 함)은 특히 문제가 있습니다. 왜냐하면 웹 주소에서 보안 인증서에 이르기까지 모든 항목이 올바른 것처럼 보이는 사용자가 은행이나 서비스 자체 웹 페이지에 로그인하도록 지시하기 때문입니다. 실제로 웹사이트로 연결되는 링크는 공격을 수행하도록 제작되어 전문 지식 없이는 탐지하기가 매우 어렵습니다.
다음 답변은 올바르지 않습니다.
스머프 공격 - 혼합 구성된 네트워크 장치가 네트워크의 브로드캐스트 주소를 통해 특정 네트워크의 모든 호스트에 패킷을 보낼 수 있는 경우 발생합니다. 트래픽 분석 - 통신 패턴에서 정보를 추론하기 위해 메시지를 가로채고 검사하는 프로세스입니다. 메시지가 암호화되어 복호화할 수 없는 경우에도 수행할 수 있습니다. 일반적으로 관찰되거나 가로채어 저장된 메시지의 수가 많을수록 트래픽에서 더 많은 것을 유추할 수 있습니다. 트래픽 분석은 군사 정보, 방첩 또는 생활 패턴 분석의 맥락에서 수행될 수 있으며 컴퓨터 보안의 관심사입니다.
인터럽트 공격- 인터럽트 공격은 특정 시스템 호출을 실행하기 위해 운영 체제를 호출하여 악의적인 작업을 수행할 때 발생합니다.
이 질문을 작성하는 데 다음 참조가 사용되었습니다.
CISA 리뷰 매뉴얼 2014 페이지 번호 323
CISSP CBK 3판 페이지 번호 493에 대한 공식 ISC2 가이드
http://en.wikipedia.org/wiki/피싱

CISA 문제 17

통제 강화의 필요성을 나타내는 IS 감사 결과가 해당 이해 관계자에게 전달되었습니다. 다음 중 경영진이 권장 사항의 구현을 시행하는 가장 좋은 방법은 무엇입니까?

A. 이해 관계자가 제어 변경에 대한 비즈니스 사례를 개발하도록 합니다.

B. 감사와 관련된 커뮤니케이션에 대한 고위 경영진 사본

C. 각 수정 활동에 소유권을 할당합니다.

D. 감사인에게 종료 로드맵을 설계하도록 요청합니다.

CISA 문제 18

IS 감사인이 공급업체가 문을 닫고 에스크로에 이전 버전의 소스 코드가 있음을 발견했습니다. 감사인이 조직에 대해 권장하는 최선의 사항은 무엇입니까?

A. 현재 요구 사항을 충족하므로 기존 애플리케이션을 계속 사용합니다.

B. 기존 코드를 사용하여 애플리케이션을 지원할 유지 관리 계획을 준비합니다.

C. 비즈니스 위험을 결정하기 위한 분석을 수행합니다.

D. 에스크로 버전을 최신 상태로 유지

CISA 문제 19

사업부 매각 후 직원은 새 조직으로 이동되지만 이전 고용주의 IT 장비에 대한 액세스 권한은 유지됩니다. IS 감사인은 두 조직이 장비에 대한 허용 가능한 사용 정책에 동의하고 문서화할 것을 권장했습니다. 어떤 유형의 통제가 권장되었습니까?

A. 지시어 제어

B. 시정 제어

C. 탐정 통제

D. 예방적 관리

CISA 문제 20

IT 서비스의 가용성 및 연속성을 위한 IT 모범 사례는 다음과 같아야 합니다.

A. 재해 복구 구성 요소와 관련된 비용을 최소화합니다.

B. 합의된 비즈니스 요구 사항을 충족할 수 있는 충분한 용량을 제공합니다.

C. 고객에 대해 합의된 의무가 충족될 수 있다는 합리적인 보증을 제공합니다.

D. 적시에 성과 지표 보고서를 생성합니다.

다른 버전: 4139ISACA.CISA.v2025-12-01.q778; 1635ISACA.CISA.v2024-11-19.q277; 869ISACA.CISA.v2024-05-13.q120; 362ISACA.CISA.v2024-03-21.q29; 3191ISACA.CISA.v2023-11-04.q239; 2829ISACA.CISA.v2023-01-25.q278; 3397ISACA.CISA.v2022-07-09.q230

최근 업로드: 106TheBerylInstitute.CPXP.v2026-06-06.q56; 120ACAMS.CAMS7-KR.v2026-06-05.q213; 139PaloAltoNetworks.XSIAM-Analyst.v2026-06-04.q72; 125NLN.NEX.v2026-06-04.q54; 164Microsoft.AZ-500-KR.v2026-06-04.q213; 121Microsoft.DP-600-KR.v2026-06-04.q98; 178Microsoft.AZ-204-KR.v2026-06-04.q237; 149Microsoft.PL-600-KR.v2026-06-04.q112; 214Microsoft.SC-300-KR.v2026-06-03.q151; 179Microsoft.DP-600-KR.v2026-06-03.q70