KCA에서 공개한 정보보호위험관리사(ISRM) 2과목 샘플문제 20문항을 분석하고, 출제 경향과 핵심 개념을 정리한 포스팅입니다. 샘플문제 원본은 KCA 자격검정 홈페이지(www.cq.or.kr)에서 다운로드할 수 있습니다.
2과목 구성 한눈에 보기
2과목 「정보보호 위험평가」는 두 개 소단원으로 나뉘며, 1과목(3개 소단원)보다 구조가 단순합니다.
| 소단원 | 문항 수 | 비중 |
| 1. 위험관리 평가 방법론 선정 및 준비 | 8문항 (1~8번) | 40% |
| 2. 정보보호 위험 평가 | 12문항 (9~20번) | 60% |
2단원(위험 평가 실무)의 비중이 60%로, 실제 평가 절차와 실무 지식에 더 무게를 두고 있습니다.
난이도 분포
| 난이도 | 문항 수 | 비율 |
| 하 | 9문항 | 45% |
| 중 | 8문항 | 40% |
| 상 | 3문항 | 15% |
1과목 대비 하 난이도 비율이 10%p 높고, 상 난이도가 5%p 높습니다. 기본 용어 정의를 정확히 알면 하·중을 쉽게 맞출 수 있지만, 상 난이도에서 ALE 계산이나 법적 기준 금액 같은 구체적 숫자가 나옵니다.
1과목과 결정적으로 다른 점: 출제 근거
2과목의 가장 큰 특징은 출제 근거가 분산되어 있다는 점입니다.
| 참고자료 | 문항 수 | 비율 |
| KISA 정보보호 위험관리 가이드 (2004) | 8문항 | 40% |
| ISMS-P 인증기준 안내서 | 6문항 | 30% |
| NCS 학습모듈 — 보안 위험관리 (2022) | 4문항 | 20% |
| 김세헌, 정보보호 관리 및 정책 (2002) | 1문항 | 5% |
| 개인정보보호 포털 등 기타 | 1문항 | 5% |
1과목이 ISMS-P 안내서 한 권에 85% 집중되었던 것과 달리, 2과목은 KISA 위험관리 가이드(2004)가 최대 출처이고 나머지가 고르게 분산됩니다. 특히 2004년 가이드는 절판된 자료지만 KISA 사이트에서 PDF로 열람 가능하니 반드시 확보하세요.
소단원별 핵심 출제 포인트
1단원: 위험관리 평가 방법론 선정 및 준비
이 단원에서는 방법론의 정의·비교와 핵심 용어 구분을 집중적으로 묻습니다.
위험분석 방법론 4가지 — 반드시 비교 정리
샘플 20문항 중 방법론 관련이 3문항이나 됩니다. 각 방법론의 정의, 장단점, 적용 상황을 정확히 구분해야 합니다.
베이스라인 접근법: 표준화된 보안 기준(체크리스트)을 기반으로 일괄 적용하는 방식. 비용이 적고 빠르지만 조직 특성을 세밀하게 반영하기 어렵습니다.
상세위험 분석법: 자산분석 → 위협 분석 → 취약성 분석 단계를 거쳐 위험을 평가합니다. 가장 정밀하지만 시간·비용이 많이 들고, 고급 인적 자원이 필요합니다. 샘플에서는 "고급 인적 자원이 필요 없다"를 오답으로 출제했습니다.
복합 접근법: 고위험 영역은 상세위험 분석, 나머지는 베이스라인 접근법을 적용하는 하이브리드 방식. 비용 대비 효과적이지만, 고위험 영역을 잘못 식별하면 비용 낭비 위험이 있습니다.
비정형 접근법: 경험과 전문지식에 의존하는 방식. 상세위험 분석법과 마찬가지로 고급 인적 자원이 필요합니다.
핵심 용어 6개 — 정의 혼동 주의
샘플에서 2문항이 용어 정의 매칭으로 출제되었습니다. 특히 위험분석·위험평가·위험관리 세 가지의 차이를 혼동하면 안 됩니다.
- 위험(Risk): 원치 않는 사건이 발생하여 손실/부정적 영향을 미칠 가능성
- 위협(Threat): 자산에 손실을 초래할 수 있는 잠재적 원인(source) 또는 행위자(agent)
- 취약성(Vulnerability): 자산의 잠재적 속성으로 위협의 이용 대상. 정보보호대책의 미비로 정의되기도 함
- 위험분석: 자산·위협·취약성·기존 보호대책을 분석하여 위험의 종류와 규모를 결정
- 위험평가: 분석된 위험을 수용 가능한 수준과 대비하여 대응 여부·우선순위를 결정
- 위험관리: 위험 분석 + 평가 + 대책 선정을 포함하는 전체 절차
핵심 함정: "위험관리"의 정의를 "위험평가"로 바꿔 출제하는 패턴이 2회 등장합니다.
정량적 vs. 정성적 분석
| 구분 | 정량적 분석 | 정성적 분석 |
| 결과 산출 | 금액, 기간 등 정량화된 단위 | 설명적 묘사 (높음/중간/낮음, 5점·10점 척도) |
| 대표 기법 | ALE 산정, 수학적 모델링 | 델파이법, 순위결정법, 시나리오법 |
| 장점 | 객관적 비교 가능 | 금액 산정이 어려운 정보 평가에 용이 |
위험평가 참여 인력
위험관리 계획 수립에 참여하는 인력: 위험관리 전문가, 정보보호·개인정보보호 전문가, 법률 전문가, IT 실무 책임자, 현업부서 실무 책임자, 외부 전문컨설턴트.
핵심 함정: 정보주체(고객)는 위험관리 계획 수립에 직접 참여하지 않습니다.
2단원: 정보보호 위험 평가
이 단원은 평가 실무 프로세스를 단계별로 깊이 있게 다룹니다.
자산 식별·평가
정보자산 현황 조사는 정기적(연 1회 이상) 수행이 원칙입니다. "변경이 적으면 2년에 1회"라는 보기는 오답입니다.
자산 가치 평가 시 CIA(기밀성·무결성·가용성) 기준으로 중요도를 산정하고, 비즈니스·서비스 영향(장애 복구 목표 시간, 침해 시 피해 규모, 위험 발생 가능성)도 함께 고려합니다.
샘플에서는 시나리오 기반으로 CIA 중 어느 속성에 해당하는지 판단하는 문제가 출제되었습니다. 예를 들어 "홈페이지 변조로 가격·주문정보가 임의 변경"은 무결성 침해입니다.
자산 분류의 상세도는 상황에 따라 달라질 수 있으며, "최대한 상세하게" 목록을 작성하는 것이 아니라 주요 자산 중심으로 위협 영향이 달라지는 수준에서 그룹핑합니다.
위험 산정의 3대 구성요소
위험 산정 시 고려하는 구성요소는 자산의 가치, 위협, 취약성 세 가지입니다. "자산을 사용하는 직원"은 구성요소에 해당하지 않습니다.
위협 분석 시 원천 위험(original risk)이라는 개념이 등장합니다. 자산·위협·취약성을 분석하여 파악한 위험이 원천 위험이고, 기존 보호대책을 반영한 후 남는 것이 잔존 위험(residual risk)입니다.
또한 "발생 가능한 모든 위협을 고려"하는 것은 현실적으로 불가능하며, 중요한 위협을 빠뜨리지 않도록 주의하는 것이 핵심입니다.
취약점 진단 3가지 방식
| 진단 유형 | 방법 |
| 기술적 진단 | 수동 진단 + 자동 진단 (프로그램 활용) |
| 관리적 진단 | 담당자 인터뷰 (최고경영자층 ✕) |
| 물리적 진단 | 실사(현장 방문 점검) |
"관리적 진단은 최고경영자층 면담"이라는 보기가 2회 반복 출제되었습니다. 정답은 항상 "담당자 인터뷰"입니다.
진단 대상 선정은 전수 조사 또는 샘플링이 가능하며, 인력 규모 대비 업무량을 반드시 고려해야 합니다.
법적 준거성 검토
법적 요구사항 준수 검토는 연 1회 이상 정기적으로 수행합니다. "비정기적으로 경영진 요청 시"가 아닙니다.
상 난이도 문제에서는 구체적인 법적 기준 금액이 출제되었습니다:
- 개인정보 손해배상책임 보장제도 적용: 매출액 5천만 원 이상 + 이용자 일일평균 1천 명 이상
- 국내대리인 지정 의무: 국내 정보주체 일일평균 100만 명 이상
- 정보보호 공시 의무: 일평균 이용자 수 100만 명 이상 등
ALE 계산 — 정량적 위험분석의 핵심
연간 예상 손실액(ALE) 공식은 반드시 암기하세요:
ALE = SLE × ARO
- SLE (Single Loss Expectancy): 1회 손실 예상액
- ARO (Annualized Rate of Occurrence): 연간 발생 빈도
예시: SLE 10억 원, 10년에 1회 발생 → ARO = 0.1 → ALE = 1억 원
보안대책 도입 타당성 판단: ALE보다 대책 비용이 크면 도입이 타당하지 않습니다.
위험처리 전략 — "위험 제거"는 없다
1과목에서도 출제된 4가지 전략이 2과목에서 다시 등장합니다. 2과목에서 추가로 주의할 포인트:
- "위험 제거"라는 전략은 존재하지 않습니다. 어떤 대책을 도입하더라도 위험을 완전히 제거할 수 없으며, 일정 수준 이하의 위험은 수용합니다.
- "위험을 완전히 제거할 수 있는 보안대책"이라는 표현이 나오면 오답입니다.
- 위험감소는 대책을 채택하여 위험을 줄이는 것이지, 제거하는 것이 아닙니다.
위험처리 의사결정 흐름: 위험 식별 → 목표 위험수준과 비교 → (이하) 수용 → (초과 + 대책 존재) 감소 → (대책 없음 + 전가 대상 존재) 전가 → (모두 불가) 회피
출제 경향 총평
문제 유형 분석
| 유형 | 빈도 | 설명 |
| "틀린 것" / "옳지 않은 것" | 10문항 (50%) | 오답 찾기 |
| 빈칸 채우기 / 용어 매칭 | 6문항 (30%) | 정의·용어·공식 |
| "옳은 것" / 시나리오 판단 | 4문항 (20%) | 사례 기반 |
1과목 대비 빈칸·용어 매칭 비율이 20%p 높습니다. 정확한 정의 암기가 더 중요합니다.
자주 나오는 함정 패턴
- 용어 뒤바꾸기: 위험관리↔위험평가↔위험분석 정의를 서로 바꿔놓는 패턴
- "모든"의 함정: "모든 위협을 빠짐없이 분석" → 현실적으로 불가능
- "최고경영자층"의 함정: 관리적 진단 = 담당자 인터뷰 (2회 반복)
- "완전히 제거"의 함정: 위험은 제거 불가, 감소만 가능
- 숫자 변조: 5천만 원 → 3천만 원, 연 1회 → 2년 1회 등
- 승인 주체 바꾸기: 예산 승인 = CISO/경영진 (담당자 ✕)
1과목 vs. 2과목 비교
| 항목 | 1과목 | 2과목 |
| 소단원 수 | 3개 | 2개 |
| 핵심 출처 | ISMS-P 안내서 (85%) | KISA 가이드 (40%) + 분산 |
| 주요 출제 성격 | 정책·조직·거버넌스 | 방법론·용어·평가 실무 |
| 계산 문제 | 없음 | ALE 계산 1문항 |
| 시나리오 판단 | 적음 | CIA 판단, 법적 기준 금액 등 |
학습 전략 추천
- KISA 정보보호 위험관리 가이드(2004) PDF를 확보하세요. 2과목의 40%가 이 가이드에서 나옵니다. 특히 위험분석 방법론 비교 부분(pp.14-22)과 용어 정의(pp.77-78)는 필수입니다.
- 핵심 용어 6개의 정의를 카드로 만들어 반복 학습하세요. 용어 정의 문제가 전체의 30%입니다.
- ALE = SLE × ARO 공식과 보안대책 도입 타당성 판단 로직을 연습하세요.
- 취약점 진단 3가지 방식(기술적/관리적/물리적)과 각각의 수행 방법을 정확히 구분하세요.
- 1과목 학습 내용과 겹치는 부분(자산 식별, 위험처리 전략, 위험평가 주기)은 양쪽 과목에서 출제되므로 한번 정리하면 두 과목 모두 커버됩니다.
본 포스팅은 KCA 공개 샘플문제의 출제 경향을 분석한 것으로, 문제 원문의 저작권은 한국방송통신전파진흥원(KCA)에 있습니다.
'자격증 > 정보호호위험관리사(ISRM)' 카테고리의 다른 글
| ISRM 2과목 핵심요약북 (0) | 2026.05.18 |
|---|---|
| ISRM 2과목 숫자·법령·공식 암기북 (0) | 2026.05.18 |
| ISRM 1과목 핵심요약북 (0) | 2026.05.18 |
| ISRM 1과목 숫자·법령·연도 암기북 (0) | 2026.05.18 |
| ISRM 1과목 「정보보호 위험관리 계획」 샘플문제 분석 및 정리 (0) | 2026.05.18 |