KCA에서 공개한 정보보호위험관리사(ISRM) 1과목 샘플문제 20문항을 분석하고, 출제 경향과 핵심 개념을 정리한 포스팅입니다. 샘플문제 원본은 KCA 자격검정 홈페이지(www.cq.or.kr)에서 다운로드할 수 있습니다.
1과목 구성 한눈에 보기
1과목 「정보보호 위험관리 계획」은 세 개 소단원으로 나뉘고, 샘플문제 배분은 다음과 같습니다.
| 소단원 | 문항 수 | 비중 |
| 1. 정보보호 관리의 이해 | 6문항 (1~6번) | 30% |
| 2. 정보보호 위험관리 거버넌스 | 5문항 (7~11번) | 25% |
| 3. 정보보호 관리체계 수립 | 9문항 (12~20번) | 45% |
3단원(관리체계 수립)의 비중이 압도적입니다. 실제 시험에서도 이 비율이 유지될 가능성이 높으니 학습 시간 배분에 참고하세요.
난이도 분포
| 난이도 | 문항 수 | 비율 |
| 하 | 7문항 | 35% |
| 중 | 11문항 | 55% |
| 상 | 2문항 | 10% |
중 난이도가 절반 이상이고, 상 난이도는 2문항뿐입니다. 기본 개념을 확실히 잡으면 충분히 합격권에 들 수 있는 구조예요.
소단원별 핵심 출제 포인트
1단원: 정보보호 관리의 이해
이 단원에서는 법령 기반 기초 개념과 자산 관리 실무를 묻습니다.
반드시 알아야 할 개념들
정보보호 3대 목표 (CIA Triad)
정보보호의 핵심 목적은 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability)입니다. 정보통신망법에서도 이 세 가지를 명시하고 있으며, 샘플문제에서는 이 세 가지에 해당하지 않는 것을 고르는 유형으로 출제되었습니다. "경제성", "효율성" 같은 함정 보기에 주의하세요.
정보통신서비스 제공자의 정보보호 조치
정보통신망법상 의무 조치를 정확히 구분해야 합니다. 특히 주의할 점은 ISMS 인증이 모든 정보통신서비스 제공자에게 의무화된 것은 아니라는 점입니다. 일정 규모 이상에만 적용되는 조건부 의무와, CISO 지정·암호화·교육 등 모든 사업자에게 적용되는 보편적 의무를 구분하세요.
정보자산 관리 — ISMS-P 인증기준 안내서 핵심
자산 식별과 분류에서 자주 출제되는 포인트:
- 자산별 책임자·관리자를 지정하고 자산목록에 기록
- 문서는 보안등급 표시(워터마킹 등), 하드웨어는 자산번호/바코드로 보안등급 확인
- 도입·변경·폐기 시 자산목록 갱신
- 보안등급에 따라 취급절차 및 보안통제 기준을 수립 (등급과 별개가 아님!)
- 제3자로부터 위수탁으로 받은 개인정보도 반드시 포함 (자주 출제되는 함정)
위험평가 시 고려사항
위험평가 방법 선정 시 고려해야 하는 네 가지 축을 기억하세요:
- 조직의 특성 반영 (비전, 미션, 비즈니스 목표)
- 위험평가 방법론 선정 (베이스라인, 상세위험분석, 복합, 시나리오 기반)
- 다양한 관점 (해킹, 내부자 유출, 법규 위반 등)
- 최신 위협동향
여기서 "정보시스템 이용자수"는 직접적인 고려사항이 아닙니다.
주요정보통신기반시설 취약점 분석·평가
과기정통부 고시 기반의 4단계 프로세스가 출제됩니다. 특히 중요도 등급 구분을 정확히 기억하세요: 상·중·하 또는 1~3등급입니다. "최상"이나 "4등급"이 들어간 보기는 오답입니다.
2단원: 정보보호 위험관리 거버넌스
이 단원은 역할·책임·의사결정 체계를 중심으로 출제됩니다.
반드시 알아야 할 개념들
CISO 자격요건 (정보통신망법 시행령 제36조의7)
CISO 자격요건 네 가지를 정확히 외우세요:
| 학력 요건 | 경력 요건 |
| 석사학위 이상 (정보보호/IT) | 경력 불요 |
| 학사학위 (정보보호/IT) | 3년 이상 |
| 전문학사 (정보보호/IT) | 5년 이상 |
| 학위 없음 | 10년 이상 |
샘플에서는 숫자를 살짝 바꾼 함정 보기(예: "2년", "12년")가 나옵니다. 3-5-10 조합을 정확히 기억하세요.
정보자산 식별 시 제3자 개인정보 포함 여부
1단원과 2단원에서 두 번 출제된 핵심 포인트입니다. 위수탁 관계로 받은 개인정보도 반드시 자산 식별에 포함해야 합니다. "제3자 개인정보이므로 제외한다"는 보기는 항상 오답입니다.
경영진의 위험관리 개선 활동
경영진이 관리체계 운영활동의 효과성을 평가 후 조치하는 개선 방안 세 가지:
- 수행 주체 변경
- 수행 주기 조정
- 운영활동의 추가·변경·삭제
"수행 장비 변경"은 경영진 의사결정 사항이 아닌 실무 영역이라는 점을 구분하세요.
위험 처리 전략 4가지
위험감소·위험회피·위험전가·위험수용의 정의와 사례를 정확히 매칭할 수 있어야 합니다.
- 위험감소: 보안 통제 강화 (예: 패스워드 복잡도 설정)
- 위험회피: 위험 원인 자체를 제거 (예: 회원가입 기능 폐지)
- 위험전가: 제3자에게 위험 이전 (예: 보험 가입)
- 위험수용: 잔여위험을 경영진이 수용
샘플에서는 각 전략과 구체적 조치를 올바르게 묶는 조합형 문제가 출제되었습니다.
CISO가 승인하는 업무 vs. 실무 업무
CISO/경영진이 승인하는 것과 실무진이 수행하는 것을 구분하세요:
- CISO 승인: 예산 계획, 목표 위험수준(DoA) 결정
- 실무 수행: 위험도 산정기준 마련, 평가 결과 보고서 작성
3단원: 정보보호 관리체계 수립
가장 비중이 크고, ISMS-P 인증기준 안내서의 세부 내용을 깊이 있게 다룹니다.
반드시 알아야 할 개념들
교육훈련 — 출제 빈도 매우 높음
샘플 20문항 중 교육훈련 관련이 2문항이나 됩니다. 핵심 포인트:
- 교육 대상: 관리체계 범위 내 모든 임직원 + 인증범위 내 자산에 접근하는 외부자
- 교육 주기: 연 1회 이상 정기적 (비정기적 ✕)
- 교육 계획: 시기, 기간, 대상, 내용, 방법 포함 → 경영진 승인 필수
- 외주업체: 모든 외주업체가 아니라 인증범위 내 자산·설비에 접근하는 직원만 대상
- 미이수자 관리: 파악 + 추가교육(전달교육, 온라인교육 등) 방법 수립·이행
정보보호 정책 수립 시 포함 사항
최상위 정책에 반드시 포함해야 하는 네 가지:
- 경영진의 의지 및 방향
- 정보보호를 위한 역할과 책임
- 정보보호 대상과 범위
- 정보보호 활동의 근거
"예산 수준"은 정책서가 아닌 관리계획 단계에서 다루는 사항입니다.
정책 수립 절차 (순서 문제 대비)
이해관계자 협의·검토 → 영향도·법적 준거성 검토 → 검토 기록 반영 → 경영진 보고 및 승인 → 전사 공포
보호대책 운영 부서 매핑
각 부서별 담당 업무를 정확히 알아야 합니다. 특히 자주 혼동되는 것:
- 개인정보 취급부서: 개인정보 파기, 취급자 권한 관리, PC 저장 시 암호화
- 인사부서: 퇴직자 보안관리 (개인정보 파기는 인사부서가 아님!)
정보보호 위원회 역할
위원회가 의사결정하는 사항과 그렇지 않은 사항을 구분하세요. 위원회는 예산·자원 할당, 보안사고 조치, 내부통제시스템 구축 등 조직 전반의 주요 사안에 대해 검토·승인합니다. 반면 감사결과/위험평가 결과에 대한 보안대책 수립은 실무 영역입니다.
조직 구성 핵심
실무 협의체에서 정보보호 관련 사항을 실무 차원에서 공유·조정·검토·개선하고, 경영진 지원이 필요하면 위원회에 상정합니다. "실무 차원에서 공유, 조정, 검토하면 안 된다"는 보기는 오답입니다.
출제 경향 총평
1. 출제 근거 자료
샘플 20문항의 출제 근거를 분석하면:
| 참고자료 | 문항 수 |
| ISMS-P 인증기준 안내서 (2022.4) | 17문항 |
| 정보통신망법 및 시행령 | 2문항 |
| 주요정보통신기반시설 취약점 분석·평가 기준 (고시) | 1문항 |
ISMS-P 인증기준 안내서가 절대적 출제원입니다. 이 문서 한 권을 완벽히 이해하면 1과목의 85% 이상을 커버할 수 있습니다.
2. 문제 유형 분석
| 유형 | 빈도 | 설명 |
| "옳지 않은 것" / "해당하지 않는 것" | 12문항 (60%) | 오답 찾기가 압도적 |
| "옳은 것" / "바르게 묶은 것" | 6문항 (30%) | 정답 조합 찾기 |
| 빈칸 채우기 / 순서 배열 | 2문항 (10%) | 절차·프로세스 순서 |
**부정형 문제(옳지 않은 것)가 60%**입니다. 각 보기를 하나하나 검증하는 습관이 중요합니다.
3. 자주 나오는 함정 패턴
- 숫자 변조: CISO 경력 요건, 등급 구분 수 등에서 1~2 차이로 오답 생성
- "모든"의 함정: "모든 사업자에게 의무", "모든 외주업체를 교육" 같이 범위를 과도하게 넓힌 보기
- 제3자 개인정보 제외: 위수탁 개인정보를 자산 식별에서 빼는 것은 오답 (2회 반복 출제)
- 부서 업무 뒤바꾸기: 인사부서↔개인정보 취급부서 역할을 섞어놓는 패턴
- 경영진 vs. 실무: 승인 권한과 수행 역할을 혼동하게 만드는 보기
학습 전략 추천
- ISMS-P 인증기준 안내서를 1회독하면서 인증기준별 "결함사례"를 꼼꼼히 읽으세요. 결함사례가 거의 그대로 문제 보기로 변환됩니다.
- 정보통신망법 중 CISO 관련 조항(제45조의3, 시행령 제36조의7)은 숫자까지 정확히 암기하세요.
- 위험 처리 전략 4가지는 사례와 함께 매칭 연습을 반복하세요. 조합형 문제로 나올 확률이 높습니다.
- 부정형 문제 대비로, 각 개념의 "이것은 해당하지 않는다"를 정리해두면 효과적입니다.
본 포스팅은 KCA 공개 샘플문제의 출제 경향을 분석한 것으로, 문제 원문의 저작권은 한국방송통신전파진흥원(KCA)에 있습니다. 시험 준비에 도움이 되길 바랍니다.
'자격증 > 정보호호위험관리사(ISRM)' 카테고리의 다른 글
| ISRM 2과목 핵심요약북 (0) | 2026.05.18 |
|---|---|
| ISRM 2과목 숫자·법령·공식 암기북 (0) | 2026.05.18 |
| ISRM 2과목 「정보보호 위험평가」 샘플문제 분석 및 정리 (0) | 2026.05.18 |
| ISRM 1과목 핵심요약북 (0) | 2026.05.18 |
| ISRM 1과목 숫자·법령·연도 암기북 (0) | 2026.05.18 |