728x90
2과목 「정보보호 위험평가」 샘플문제에서 출제된 숫자, 공식, 법적 기준, 핵심 용어를 모았습니다. 시험 직전 훑어보기용으로 활용하세요.
🔢 숫자 암기 모음
ALE 공식 — 정량적 위험분석 계산
ALE = SLE × ARO
| 약어 | 풀네임 | 의미 |
| ALE | Annualized Loss Expectancy | 연간 예상 손실액 |
| SLE | Single Loss Expectancy | 1회 손실 예상액 |
| ARO | Annualized Rate of Occurrence | 연간 발생 빈도 |
계산 예시: SLE 10억 원 × ARO 0.1 (10년에 1회) = ALE 1억 원
⚠️ 보안대책 도입 판단: 대책의 연간 비용 > ALE → 도입 부적절
자산 중요도 점수 체계
기밀성·무결성·가용성 각각을 3단계로 평가:
| 등급 | 점수 |
| 높음 | 3점 |
| 중간 | 2점 |
| 낮음 | 1점 |
3가지 합산 점수로 보안 등급 부여:
| 보안 등급 | 합산 점수 |
| 가 등급 | 9~8점 |
| 나 등급 | 7~6점 |
| 다 등급 | 5점 이하 |
개인정보 손해배상책임 보장제도 기준
| 요건 | 기준값 | 오답 함정 |
| 직전 사업연도 매출액 | 5천만 원 이상 | "3천만 원" ✕ |
| 이용자 수 (일일평균) | 1천 명 이상 | |
| 두 요건 | 모두 충족해야 적용 |
국내대리인 지정 의무 기준
| 항목 | 기준 |
| 대상 | 국내 주소/영업소 없는 개인정보처리자 |
| 국내 정보주체 수 | 일일평균 100만 명 이상 |
| 기준 시점 | 전년도 말 기준 직전 3개월 간 |
정보보호 공시 의무 대상 (정보보호산업법)
다음 중 하나에 해당:
- 기간통신사업자
- 상급종합병원
- 클라우드 컴퓨팅 서비스 제공 사업자
- 데이터센터 사업자
- 전년도 매출액 3,000억 원 이상
- 일평균 이용자 수 100만 명 이상
주기 관련 숫자
| 항목 | 주기 | 오답 함정 |
| 위험평가 수행 | 연 1회 이상 정기적 | "반기 1회" ✕, "분기 1회" ✕ |
| 정보자산 현황 조사 | 정기적 (연 1회 이상) | "2년에 1회" ✕ |
| 법적 요구사항 준수 검토 | 연 1회 이상 정기적 | "비정기적·경영진 요청 시" ✕ |
| 예산 계획 수립 | 매년 |
📐 공식·프로세스 암기
위험분석 절차 (4단계)
범위 결정 → 자산 식별 → (자산 가치평가 + 위협·취약성 평가 + 기존 보호대책 평가) → 위험 정도 평가
핵심: 자산·위협·취약성 분석 후 파악한 위험 = 원천 위험(original risk), 기존 대책 반영 후 = 잔존 위험(residual risk)
위험처리 의사결정 흐름
위험 식별
↓
위험도 ≤ 목표수준? → Yes → 위험 수용
↓ No
비용효과적 대책 존재? → Yes → 위험 감소
↓ No
보험/전가 대상 존재? → Yes → 위험 전가
↓ No
위험 회피 (사업 포기)
⚠️ "위험 제거"는 존재하지 않는 전략입니다. 어떤 대책으로도 위험을 완전히 제거할 수 없습니다.
📖 용어 정의 암기 카드
위험 관련 용어 6개 (2문항 이상 출제)
| 용어 | 정의 구분 | 포인트 |
| 위험 | 원치 않는 사건이 발생하여 손실/부정적 영향을 미칠 가능성 | "가능성" |
| 위협 | 자산에 손실을 초래할 수 있는 잠재적 원인(source) 또는 행위자(agent) | "원인/행위자" |
| 취약성 | 자산의 잠재적 속성, 위협의 이용 대상. 보호대책의 미비 | "이용 대상" |
| 위험분석 | 위험의 종류와 규모를 결정 | "규모 결정" |
| 위험평가 | 수용 가능 수준과 대비하여 대응 여부·우선순위 결정 | "우선순위" |
| 위험관리 | 분석+평가+대책 선정을 포함하는 전체 절차 | "전체 절차" |
위험의 3대 구성요소
| 순서 | 요소 | 설명 |
| ㉠ | 자산 | 보호 대상 (정보, HW, SW, 시설, 무형자산 포함) |
| ㉡ | 위협 | 환경적 요인(자연재해, 장비고장) + 인간(의도적/우연) |
| ㉢ | 취약성 | 자산의 잠재적 속성, 위협이 이용하는 대상 |
⚠️ "자산을 사용하는 직원"은 위험 산정의 구성요소가 아닙니다.
위험분석 방법론 4가지
| 방법론 | 핵심 특징 | 인적 자원 |
| 베이스라인 접근법 | 표준 체크리스트 기반 일괄 적용 | 저 |
| 상세위험 분석법 | 자산→위협→취약성 단계별 분석 | 고급 필요 |
| 복합 접근법 | 고위험=상세분석 + 나머지=베이스라인 | 중~고 |
| 비정형 접근법 | 경험·전문지식 의존 | 고급 필요 |
⚠️ 상세위험 분석법과 비정형 접근법 모두 고급 인적 자원이 필요합니다.
정량적 vs. 정성적 분석
| 구분 | 결과 산출 | 대표 기법 |
| 정량적 | 금액, 기간 등 정량화 단위 | ALE, 수학적 모델링 |
| 정성적 | 설명적 묘사, 척도 점수화 | 델파이법, 순위결정법, 시나리오법 |
취약점 진단 3가지 방식
| 유형 | 수행 방법 | 오답 함정 |
| 기술적 | 수동 + 자동 (프로그램) | "수동만" ✕ |
| 관리적 | 담당자 인터뷰 | "최고경영자층 면담" ✕ (2회 출제) |
| 물리적 | 실사 (현장 점검) |
위험평가 참여 인력 (6종)
- 위험관리 전문가
- 정보보호·개인정보보호 전문가
- 법률 전문가
- IT 실무 책임자
- 현업부서 실무 책임자
- 외부 전문컨설턴트
⚠️ **정보주체(고객)**는 참여 인력에 포함되지 않습니다.
예산 승인 주체
| 항목 | 승인 주체 | 오답 함정 |
| 위험 식별·평가 예산 | CISO 등 경영진 | "정보보호 담당자" ✕ |
📜 출제 근거 자료 목록
| 자료명 | 발행 | 비중 | 비고 |
| KISA 정보보호 위험관리 가이드 | 2004 | 40% | 필수 확보 (PDF) |
| ISMS-P 인증기준 안내서 | 2023 | 30% | 1과목과 공통 |
| NCS 보안 위험관리 학습모듈 | 2022 | 20% | 교육부 발행 |
| 김세헌, 정보보호 관리 및 정책 | 2002 | 5% | 절판 (ALE 공식) |
⚡ 시험 직전 최종 체크리스트
- [ ] ALE = SLE × ARO (10억 × 0.1 = 1억)
- [ ] 위험분석 vs 위험평가 vs 위험관리 정의 구분
- [ ] 방법론: 복합 접근법 = 고위험(상세) + 나머지(베이스라인)
- [ ] 상세위험 분석 = 고급 인적 자원 필요
- [ ] 위험의 3요소: 자산 + 위협 + 취약성 ("직원" ✕)
- [ ] 관리적 진단 = 담당자 인터뷰 (경영자 ✕)
- [ ] 기술적 진단 = 수동 + 자동 (수동만 ✕)
- [ ] "모든 위협 분석" = 현실적으로 불가능
- [ ] "위험 제거" 전략은 존재하지 않음
- [ ] 손해배상 보장 적용 = 매출 5천만 + 이용자 1천명
- [ ] 자산 현황·위험평가·법적 검토 = 모두 연 1회 이상 정기적
- [ ] 예산 승인 = CISO/경영진 (담당자 ✕)
- [ ] 정보주체 = 위험관리 계획 수립 참여 인력 아님
- [ ] 자산 중요도 등급: 가(9~8), 나(7~6), 다(5이하)
본 자료는 KCA 공개 샘플문제의 출제 경향을 분석·정리한 것이며, 원본 저작권은 KCA에 있습니다.
728x90
'자격증 > 정보호호위험관리사(ISRM)' 카테고리의 다른 글
| ISRM 3과목 「정보보호 위험 대응」 샘플문제 분석 및 정리 (0) | 2026.05.18 |
|---|---|
| ISRM 2과목 핵심요약북 (0) | 2026.05.18 |
| ISRM 2과목 「정보보호 위험평가」 샘플문제 분석 및 정리 (0) | 2026.05.18 |
| ISRM 1과목 핵심요약북 (0) | 2026.05.18 |
| ISRM 1과목 숫자·법령·연도 암기북 (0) | 2026.05.18 |