다음 중 접근통제의 원칙에 대한 설명으로 올바르지 않은 것은?(문제 오류로 확정답안 발표시 모두 정답처리 되었습니다. 여기서는 1번을 누르면 정답 처리 됩니다.)
1
시스템 주체에게 권한을 부여할 때에는 조직의 업무효율을 떨어뜨리지 않게 주체의 업무에 필요로 하는 만큼 충분한 권한이 부여되어야 한다.
정답 근거정답 보기입니다. 접근통제의 기본 원칙인 '최소 권한의 원칙'에 따라, 주체에게는 업무 수행에 필요한 최소한의 권한만 부여해야 합니다. 충분한 권한을 부여해야 한다는 설명은 보안 원칙에 어긋납니다.오답 노트한 사람이 모든 과정을 처리할 수 없게 함: 직무 분리 원칙으로 옳은 설명접근 규칙 외 모든 접근을 위반으로 간주: 기본 거부(Default Deny) 원칙으로 옳은 설명금지 리스트 외 모든 접근 허용: 기본 허용(Default Allow) 방식으로, 특정 상황에서 사용되는 접근통제 규칙의 일종입니다.
2
경영자나 관리자 한 사람이 업무의 발생, 승인, 변경, 확인, 배포 등을 처음부터 끝까지 처리할 수 없도록 해야 한다.
오답 이유오답 보기입니다. ‘경영자나 관리자 한 사람이 업무의 발생, 승인, 변경, 확인, 배포 등을 처음부터 끝까지 처리할 수 없도록 해야 한다.’은(는) 이 문항의 판단 기준인 ‘시스템 주체에게 권한을 부여할 때에는 조직의 업무효율을 떨어뜨리지 않게 주체의 업무에 필요로 하는 만큼 충분한 권한이 부여되어야 한다.’과 구별해야 합니다. 보안 목표·암호 방식·인증·접근통제 또는 위험관리 개념이 정답 조건과 다릅니다.
3
보안정책에 따른 접근 허용된 주체와 주체의 접근 가능한 접근통제 규칙을 설정하고, 접근규칙에 해당하지 않는 모든 접근에 대해서는 위반으로 간주한다.
오답 이유오답 보기입니다. ‘보안정책에 따른 접근 허용된 주체와 주체의 접근 가능한 접근통제 규칙을 설정하고, 접근규칙에 해당하지 않는 모든 접근에 대해서는 위반으로 간주한다.’은(는) 이 문항의 판단 기준인 ‘시스템 주체에게 권한을 부여할 때에는 조직의 업무효율을 떨어뜨리지 않게 주체의 업무에 필요로 하는 만큼 충분한 권한이 부여되어야 한다.’과 구별해야 합니다. 보안 목표·암호 방식·인증·접근통제 또는 위험관리 개념이 정답 조건과 다릅니다.
4
금지된 주체와 객체의 리스트들에 대해서 미리 접근통제 규칙을 설정하고, 접근 통제 규칙에 설정되지 않은 모든 접근에 대해서는 허용한다.
오답 이유오답 보기입니다. ‘금지된 주체와 객체의 리스트들에 대해서 미리 접근통제 규칙을 설정하고, 접근 통제 규칙에 설정되지 않은 모든 접근에 대해서는 허용한다.’은(는) 이 문항의 판단 기준인 ‘시스템 주체에게 권한을 부여할 때에는 조직의 업무효율을 떨어뜨리지 않게 주체의 업무에 필요로 하는 만큼 충분한 권한이 부여되어야 한다.’과 구별해야 합니다. 보안 목표·암호 방식·인증·접근통제 또는 위험관리 개념이 정답 조건과 다릅니다.
ANSWER & EXPLANATION
정답 1번
접근통제의 기본 원칙인 '최소 권한의 원칙'에 따라, 주체에게는 업무 수행에 필요한 최소한의 권한만 부여해야 합니다. 충분한 권한을 부여해야 한다는 설명은 보안 원칙에 어긋납니다.오답 노트한 사람이 모든 과정을 처리할 수 없게 함: 직무 분리 원칙으로 옳은 설명접근 규칙 외 모든 접근을 위반으로 간주: 기본 거부(Default Deny) 원칙으로 옳은 설명금지 리스트 외 모든 접근 허용: 기본 허용(Default Allow) 방식으로, 특정 상황에서 사용되는 접근통제 규칙의 일종입니다.
RELATED CONCEPT
정보보안 일반 핵심개념
정답 용어만 외우지 말고 각 보기의 적용 대상·기능·전제 조건을 비교하세요. 같은 분야 기출을 묶어서 풀면 표현이 달라져도 판단 기준을 유지할 수 있습니다.