KCA에서 공개한 정보보호위험관리사(ISRM) 3과목 샘플문제 20문항을 분석하고, 출제 경향과 핵심 개념을 정리한 포스팅입니다. 샘플문제 원본은 KCA 자격검정 홈페이지(www.cq.or.kr)에서 다운로드할 수 있습니다.
3과목 구성 한눈에 보기
3과목은 4개 소단원으로 나뉘며, 5과목 중 소단원 수가 가장 많습니다.
| 소단원 | 문항 수 | 비중 |
| 1. 보호대책 구현 | 10문항 (1~10번) | 50% |
| 2. 정보통신서비스제공자 적용 보호대책 | 3문항 (11~13번) | 15% |
| 3. 개인정보처리자/신용정보업자 적용 보호대책 | 5문항 (14~18번) | 25% |
| 4. 정보보호산업 적용 보호대책 | 2문항 (19~20번) | 10% |
1단원(보호대책 구현)이 절반이고, 3단원(개인정보처리자)이 25%로 두 번째입니다. 1·2과목이 관리·계획·평가 중심이었다면, 3과목은 기술적 보안 실무 + 법적 기준 숫자가 핵심입니다.
난이도 분포
| 난이도 | 문항 수 | 비율 |
| 하 | 6문항 | 30% |
| 중 | 8문항 | 40% |
| 상 | 6문항 | 30% |
1·2과목 대비 상 난이도가 2~3배 많습니다. 특히 법적 기준 숫자(영향평가 대상, 접속기록 보존기간, 망분리 기준)가 상 난이도에 집중되어 있어서 숫자 암기가 합격을 좌우합니다.
출제 근거 — 1·2과목과의 차이
| 참고자료 | 문항 수 | 비율 |
| ISMS-P 인증기준 안내서 (2022.4) | 11문항 | 55% |
| 개인정보의 안전성 확보조치 기준 (고시 제2023-6호) | 3문항 | 15% |
| 정보보호 사전점검 해설서 (2022.2) | 2문항 | 10% |
| 정보통신망법 제76조 | 1문항 | 5% |
| KISA 보안솔루션 분류 / 정보보호 공시 | 3문항 | 15% |
ISMS-P 안내서가 다시 55%로 복귀했지만, 개인정보 안전성 확보조치 기준(고시)이 새로 등장합니다. 이 고시는 접속기록 보존기간, 암호화 의무, 망분리 기준 등 구체적 숫자를 담고 있어 3과목 상 난이도의 핵심 출처입니다.
소단원별 핵심 출제 포인트
1단원: 보호대책 구현 (10문항 / 50%)
기술적·물리적 보안 조치의 결함사례와 올바른 조치를 구분하는 문제가 대부분입니다.
네트워크 접근통제
ISMS-P 2.6.1 네트워크 접근 기준에서 출제됩니다. 올바른 조치와 결함사례를 구분하세요:
올바른 조치: MAC주소 인증, 필수 보안 SW 설치 등 내부 규정에 따른 보호대책 적용
결함사례: 외부자 네트워크를 내부망과 미분리, 서버팜 접근 과도 허용, 중요 서버에 공인IP 설정, VPN/전용망 미사용
데이터베이스 접근통제
핵심 원칙은 최소 권한입니다. 특히 주의할 점: 응용프로그램 계정과 사용자 계정의 공용 사용은 제한해야 합니다. "허용"이라고 나오면 오답입니다.
DB 접근통제 체크리스트: DBA/사용자 권한 분리, 테이블·컬럼 단위 접근 제한, 미사용·테스트 계정 삭제, 자동 접속 차단, DMZ에 DB 배치 금지, 허용 IP·포트·앱 제한
응용프로그램 접근통제
세션 타임아웃과 동일 계정 동시접속 제한은 올바른 조치입니다. 결함사례로 혼동하지 마세요.
결함사례: 권한 제어 오류로 비인가 개인정보 노출, 관리자 페이지 외부 오픈+미인증, like 검색 과도 허용
보안시스템 분류 — 유형별 매핑 필수
보안시스템 유형을 정확히 분류해야 합니다:
- 네트워크: 방화벽, IPS, IDS, NAC, DDoS 대응
- 서버: 시스템 접근제어, SecureOS
- DB: DB 접근제어
- 정보유출방지: Network DLP, Endpoint DLP
- 암호화: DB암호화, DRM
- 악성코드: 백신, PMS(패치관리)
- 기타: VPN, APT대응, SIEM, 웹방화벽(WAF)
핵심 함정: DRM은 암호화 솔루션이지, 네트워크 보안시스템이 아닙니다.
WAF는 OWASP Top10, 국정원 8대 웹 취약점, 웹페이지 위변조 등 웹 기반 해킹을 탐지·차단합니다. 일반 방화벽과 구분하세요.
무선 네트워크 보안
올바른 조치: 외부인용과 내부 무선 네트워크 영역 분리
결함사례: 안전하지 않은 암호화 방식, SSID 브로드캐스팅 허용, 디폴트 비밀번호 사용
보안시스템 운영
보안정책(룰셋) 검토는 정기적으로 수행해야 합니다. "장애 발생 시에만"이라는 보기는 오답입니다. 변경 이력을 기록·보관하고, 실제 운영 정책과 정책관리대장이 일치해야 합니다.
정보시스템 도입·개발 보안
보안 요구사항 정의 시 결함사례와 올바른 조치를 구분하세요:
올바른 조치: 신규 시스템 도입 시 기존 운영환경에 대한 영향·보안성 검토 규정 마련
결함/오답: 인수 전 보안성 검증 절차 미비, 보안 요구사항(인증·암호화·보안로그) 미정의, MD5·SHA1 같은 안전하지 않은 암호화 알고리즘 적용
물리보안 — 보호구역
물리적 보호구역은 통제구역·제한구역·접견구역 등을 포괄하는 상위 개념입니다. 빈칸에 "통제구역"이 아니라 **"보호구역"**이 들어갑니다.
정보시스템 물리 보호: 전산랙 활용, 중요 시스템은 잠금장치·케이지 관리, 자산목록에 물리적 위치 포함, 케이블은 물리적 구분·배선 + 상호 간섭받지 않도록 거리 유지가 필요합니다.
2단원: 정보통신서비스제공자 적용 보호대책 (3문항 / 15%)
정보보호 사전점검
정보보호 사전점검은 정보통신서비스 구축·개발 단계별 정보보호 조치를 수행하는 것입니다. 금융감독원의 보안성 심의, 국정원의 보안성 검토, ISMS와는 별개의 제도입니다.
사전점검 수행단계 중 테스트 단계의 핵심: 보안점검 + 정밀 취약점 진단 + 모의해킹을 수행하고, 완료 후 목표시스템을 운영시스템으로 안전하게 이관(전환)합니다.
ISMS 인증 미이행 과태료
ISMS 인증 의무대상자가 인증을 받지 않으면 3,000만 원 이하의 과태료가 부과됩니다 (정보통신망법 제76조).
3단원: 개인정보처리자/신용정보업자 적용 보호대책 (5문항 / 25%)
이 단원은 숫자 집약형입니다. 상 난이도 문제가 집중되어 있습니다.
인터넷 망분리 의무 기준
이용자 수 일일평균 100만 명 이상인 개인정보처리자는 개인정보 다운로드·파기·접근권한 설정이 가능한 취급자의 컴퓨터에 대해 인터넷망 차단 조치를 해야 합니다.
개인정보 영향평가 의무 대상
| 조건 | 기준 |
| 민감정보·고유식별정보 처리 | 5만 명 이상 |
| 다른 개인정보파일과 연계 | 연계 결과 50만 명 이상 |
| 일반 개인정보파일 | 100만 명 이상 |
| 운용체계 변경 시 | 변경된 부분에 대해 실시 |
핵심 함정: "운용체계 변경 없이 1년에 한 번 정기적 실시"는 오답입니다. 변경이 있을 때 변경 부분에 대해서만 실시합니다.
이 숫자 세트(5만-50만-100만)는 2회 출제되었습니다.
접속기록 보존기간
| 구분 | 보존 기간 |
| 일반 | 1년 이상 |
| 5만 명 이상 / 고유식별·민감정보 / 기간통신사업자 | 2년 이상 |
암호화 의무 저장 대상
개인정보처리시스템에 암호화하여 저장해야 하는 항목 7가지: 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호, 신용카드번호, 계좌번호, 생체인식정보
핵심: 휴대폰번호는 암호화 의무 저장 대상에 포함되지 않습니다.
4단원: 정보보호산업 적용 보호대책 (2문항 / 10%)
정보보호 공시제도
법적 근거: 정보보호산업의 진흥에 관한 법률 제13조 (정보통신망법이 아님!)
의무공시 대상:
- 회선설비 보유 기간통신사업자(ISP)
- 집적정보통신시설 사업자(IDC)
- 클라우드컴퓨팅 서비스 제공자
- 상급종합병원
- 전년도 매출 3,000억 원 이상
- 일평균 이용자 100만 명 이상
핵심 함정: "CISO 지정·신고 상장법인 중 금융회사"는 의무공시 대상이 아닙니다.
출제 경향 총평
문제 유형 분석
| 유형 | 빈도 | 설명 |
| "옳지 않은 것" / 결함사례 구분 | 9문항 (45%) | 올바른 조치 vs. 결함사례 |
| 빈칸 채우기 / 용어 매칭 | 6문항 (30%) | 숫자·용어 |
| "옳은 것" / 시나리오 | 5문항 (25%) | 보안시스템 분류, 법령 매칭 |
결함사례 구분 문제가 45%로, ISMS-P 안내서의 결함사례를 숙지하는 것이 핵심입니다.
1·2·3과목 비교
| 항목 | 1과목 | 2과목 | 3과목 |
| 성격 | 정책·조직·거버넌스 | 방법론·용어·평가절차 | 기술보안 + 법적 숫자 |
| 상 난이도 | 10% | 15% | 30% |
| 결함사례 비중 | 보통 | 낮음 | 매우 높음 |
| 숫자 암기량 | 보통 | 보통 | 매우 많음 |
| 핵심 새 출처 | — | KISA 위험관리 가이드 | 안전성 확보조치 기준(고시) |
학습 전략 추천
- ISMS-P 안내서의 결함사례를 접근통제(2.6), 물리보안(2.4), 시스템 보안관리(2.10) 중심으로 꼼꼼히 읽으세요. 결함사례가 문제 보기로 직접 변환됩니다.
- 개인정보의 안전성 확보조치 기준(고시 제2023-6호) 전문을 확보하세요. 접속기록 보존(제8조), 암호화(제7조), 접근통제(제6조) 세 조가 핵심입니다.
- 숫자 세트를 묶어 암기하세요: 영향평가 5만-50만-100만, 접속기록 1년-2년, 과태료 3천만 원, 망분리 100만 명.
- 보안시스템 유형 분류표를 만들어 DRM·WAF·NAC 등의 정확한 카테고리를 외우세요.
- 안전하지 않은 암호화 알고리즘(MD5, SHA1)을 기억하세요. 이 두 개는 오답 선택지로 반복 출제될 가능성이 높습니다.
본 포스팅은 KCA 공개 샘플문제의 출제 경향을 분석한 것으로, 문제 원문의 저작권은 한국방송통신전파진흥원(KCA)에 있습니다.
'자격증 > 정보호호위험관리사(ISRM)' 카테고리의 다른 글
| ISRM 3과목 핵심요약북 (0) | 2026.05.18 |
|---|---|
| ISRM 3과목 숫자·법령·기술 암기북 (0) | 2026.05.18 |
| ISRM 2과목 핵심요약북 (0) | 2026.05.18 |
| ISRM 2과목 숫자·법령·공식 암기북 (0) | 2026.05.18 |
| ISRM 2과목 「정보보호 위험평가」 샘플문제 분석 및 정리 (0) | 2026.05.18 |