ISRM 2과목 핵심요약북

2과목 「정보보호 위험평가」의 2개 소단원을 샘플문제 출제 범위 기준으로 압축 정리했습니다.
⭐⭐ = 2회 이상 출제 또는 1·2과목 공통 출제 개념.

---

1단원: 위험관리 평가 방법론 선정 및 준비 (8문항 / 40%)

1-1. 위험분석 방법론 비교 ⭐⭐

4가지 방법론의 정의·장단점·인적 자원 요구수준을 비교하는 문제가 3문항 출제되었습니다.

베이스라인 접근법 — 표준화된 보안 기준(체크리스트)을 전 영역에 일괄 적용합니다. 빠르고 비용이 적지만 조직의 고유한 위험 특성을 세밀하게 반영하기 어렵습니다.

상세위험 분석법 — 자산분석 → 위협분석 → 취약성분석 단계를 수행하여 가장 정밀한 대책을 수립할 수 있습니다. 변경 발생 시 해당 부분만 추가·조정·삭제 가능하다는 것이 장점이지만, 시간·비용·노력이 많이 들고 비정형 접근법과 마찬가지로 고급 인적 자원이 필요합니다.

핵심 함정: "고급 인적 자원이 필요 없다" → 오답

복합 접근법 — 고위험 영역에는 상세위험 분석, 나머지에는 베이스라인 접근법을 적용합니다. 비용과 자원을 효과적으로 사용할 수 있으나, 고위험 영역을 잘못 식별하면 비용 낭비나 부적절한 대응 위험이 있습니다.

핵심: 빈칸에 들어갈 답은 "베이스라인 접근법"

비정형 접근법 — 전문가의 경험과 지식에 의존하는 방식. 상세위험 분석법과 동일하게 고급 인적 자원이 필요합니다.

---

1-2. 핵심 용어 정의 ⭐⭐

정의 매칭·빈칸 문제가 2문항 출제되었습니다. 세 가지 "위험~" 용어의 범위가 핵심입니다.

위험분석 = 위험의 종류와 규모를 결정하는 것 (자산·위협·취약성·기존대책 분석)

위험평가 = 분석된 위험의 대응 여부와 우선순위를 결정하는 것 (수용 가능 수준과 비교)

위험관리 = 분석 + 평가 + 대책 선정을 포함하는 전체 절차 (비용 대비 효과적 보호대책 마련)

추가 용어:

• 위험 = 손실/부정적 영향의 "가능성"
• 위협 = 잠재적 "원인" 또는 "행위자"
• 취약성 = 위협의 "이용 대상" (보호대책의 미비)

핵심: 취약성이 없으면 위협이 발생해도 손실이 나타나지 않습니다.

---

1-3. 정량적 vs. 정성적 분석 ⭐

정량적 분석: 결과가 금액·기간 등 정량화 단위로 산출됩니다. ALE 계산이 대표적.

정성적 분석: 상황을 설명적으로 묘사하며, 매우 높음/높음/중간/낮음 또는 5점·10점 척도로 점수화합니다. 금액 산정이 어려운 정보 평가에 용이합니다.

대표 기법: 델파이법, 순위결정법, 시나리오법

핵심 함정: "정성적 분석 결과가 금액으로 산출된다" → 오답 (정량적 분석의 특성)

---

1-4. 위험평가 절차 ⭐

위험분석의 절차는 자산분석 → 위협평가 → 취약성평가 → 기존 보호대책 평가를 거쳐 잔존 위험을 평가합니다.

자산분석 시 주의사항:

• 주요 자산 중심으로 유형별 분류 (최대한 상세하게 ✕)
• 위협 영향이 달라지는 수준에서 그룹핑
• 자산별 비밀성·무결성·가용성 요구 정도 평가

위협·취약성 분석 시 주의사항:

• 모든 위협을 고려하는 것은 현실적으로 불가능 → 중요한 위협을 빠뜨리지 않도록 주의
• 자산·위협·취약성 분석 후 파악한 위험 = 원천 위험(original risk)

---

1-5. 위험평가 참여 인력 ⭐

참여 인력 6종: 위험관리 전문가, 정보보호·개인정보보호 전문가, 법률 전문가, IT 실무 책임자, 현업부서 실무 책임자, 외부 전문컨설턴트

핵심: 정보주체(고객)는 참여 인력이 아닙니다.

---

1-6. 위험평가 시 잠재적 손실 ⭐

위험평가 단계에서는 자산의 가치와 위협·취약성의 정도에 따라 CIA 손상에 따른 잠재적 손실의 규모를 평가합니다.

핵심: 빈칸에 들어갈 답은 "자산", "가치", "위험"이 아니라 "손실"입니다.

---

2단원: 정보보호 위험 평가 (12문항 / 60%)

2-1. 정보자산 식별·평가 ⭐⭐

자산 현황 관리 주기: 정기적 수행 (연 1회 이상). "변경이 적으면 2년에 1회"는 오답.

보안등급 평가 시 고려 기준:

• 법적 요구사항·업무 영향
• 기밀성·무결성·가용성·법적 준거성에 따른 중요도
• 서비스 영향, 이익손실, 고객 상실, 대외 이미지 손상

CIA 기반 중요도 판단 — 시나리오 문제 대비:

• 정보가 외부에 노출 → 기밀성
• 정보가 임의 변경·변조 → 무결성
• 서비스·시스템을 이용할 수 없음 → 가용성

샘플 시나리오: "홈페이지 변조로 상품 가격·주문정보 변경" = 무결성 침해

---

2-2. 위험 산정 구성요소 ⭐

위험 산정의 3대 구성요소: 자산의 가치 + 위협 + 취약성

핵심: "자산을 사용하는 직원"은 구성요소에 해당하지 않습니다.

---

2-3. 위협 식별·분석 ⭐

위협 조사 3가지:

• 알려진 위협: 장애 관리일지, 사고 대응 일지 등에서 조사
• 위협 시나리오: 가상적 환경 설정 → 행위자·접근경로·동기·결과로 구분
• 위협에 의한 영향: 조직 업무 수행 불능 시 경제적 손실·명예 손상

위협 발생 주기:

• 파괴력 크지만 드문 위협(화재, 지진)보다 파괴력 적지만 빈번한 위협(해킹, 바이러스, 정전)이 피해가 더 심각할 수 있음
• 손실 규모 + 발생 주기 모두 높은 비중으로 평가

---

2-4. 취약점 진단 방식 ⭐⭐

3가지 진단 유형과 수행 방법:

• 기술적 진단: 수동 진단 + 자동 진단 (프로그램 활용). 대규모 서버 환경에서는 자동 진단이 효과적.
• 관리적 진단: 담당자와의 인터뷰
• 물리적 진단: 실사 (통제구역 현장 점검)

핵심 함정 (2회 반복): "관리적 진단 = 최고경영자층 면담" → 오답. 정답은 "담당자 인터뷰"

진단 대상 선정: 전수 조사 또는 샘플링 (규모가 클 경우 유사 자산 그룹 내 일부만 선정)

제약 사항: 점검 시간대와 인력 규모 대비 업무량을 반드시 고려

---

2-5. 법적 준거성 검토 ⭐⭐

검토 주기: 연 1회 이상 정기적 (비정기적·경영진 요청 시 ✕)

법적 검토 시 수행 사항:

• 법규 제·개정 현황 지속적 모니터링
• 조직에 미치는 영향 분석
• 내부 정책·지침·체크리스트에 반영하여 최신성 유지
• 발견된 문제점 신속 개선

상 난이도 — 법적 기준 금액 매칭:

제도 기준

손해배상 보장제도	매출 5천만 원 + 이용자 1천 명
국내대리인 지정	국내 정보주체 100만 명
정보보호 공시	이용자 100만 명 또는 매출 3,000억 원 등

---

2-6. ALE 계산 ⭐

정량적 위험분석의 핵심 공식:

ALE = SLE × ARO

실전 적용:

1. SLE (1회 손실 예상액) 확인
2. ARO (연간 발생 빈도) 계산 — "10년에 1회" = 0.1, "5년에 1회" = 0.2
3. 곱하여 ALE 산출
4. 보안대책 연간 비용과 ALE 비교 → 대책 비용 > ALE이면 도입 부적절

---

2-7. 위험처리 전략 ⭐⭐

1·2과목 공통 출제 개념. 2과목에서 추가되는 핵심 포인트:

"위험 제거"라는 전략은 존재하지 않습니다.

• 어떤 대책을 도입해도 위험을 완전히 제거할 수 없음
• 일정 수준 이하의 위험은 수용
• 위험감소 = 대책으로 위험을 줄이는 것 (제거 ✕)

4가지 전략 재정리:

전략	정의	판단 시점
위험 수용	잠재적 손실 비용 감수	위험도 ≤ 목표 수준
위험 감소	비용효과적 대책 구현	위험도 > 목표 수준 + 대책 존재
위험 전가	보험·외주로 제3자에게 이전	대책 없거나 비용 과다 + 전가 대상 존재
위험 회피	프로세스·사업 자체 포기	감소도 전가도 불가

핵심: 위험감소 시 대책 비용과 감소되는 위험의 크기를 비교하는 효과 분석을 실시합니다.

---

2-8. 예산 승인 주체 ⭐

위험 식별·평가 예산 계획은 매년 수립하고 CISO 등 경영진이 승인합니다.

핵심: "정보보호 담당자가 승인" → 오답

---

1과목과 겹치는 개념 정리

2과목 학습 시 1과목과 겹치는 부분을 한번에 정리하면 효율적입니다.

개념	1과목 출제	2과목 출제
위험처리 전략 4가지	사례 매칭	정의 + "제거" 함정
위험평가 주기 (연 1회)	직접 출제	빈칸 출제
자산 식별 원칙	자산목록 관리	중요도·보안등급 산정
CISO/경영진 승인 범위	DoA, 예산	예산 승인 주체
정보자산 현황 정기 조사	도입·변경·폐기 반영	"2년 1회" 오답

---

소단원별 학습 우선순위

우선순위	단원	이유
🥇 1순위	2단원 (위험 평가)	비중 60%, 법적 기준·계산 문제 포함
🥈 2순위	1단원 (방법론 선정)	용어·방법론 정의가 전체의 40%

---

본 자료는 KCA 공개 샘플문제의 출제 경향을 분석·정리한 것이며, 원본 저작권은 KCA에 있습니다.