KCA 공개 ISRM 4과목 샘플문제 10문항을 분석했습니다. 4과목은 심화 과목으로 1~3과목과 출제 형식이 완전히 다릅니다.
4과목의 결정적 차이: 시험 형식
| 항목 | 1~3과목 | 4과목(심화) |
| 문항 수 | 20문항 | 10문항 |
| 배점 | 각 5점 | 각 10점 |
| 보기 구조 | 4지선다 (단일 판단) | 복수 진술 조합 (ⓐⓑⓒⓓ 중 부적절한 것 묶기) |
| 출제 성격 | 개념 이해·암기 | 실무 판단·종합 분석 |
| 소단원 | 2~4개 | 2개 (위험관리 계획 6 + 위험평가 4) |
한 문항을 틀리면 10점이 날아가기 때문에, 복수 진술 중 하나라도 오판하면 전체를 틀립니다. 정밀한 판단력이 필요합니다.
난이도 분포
| 난이도 | 문항 수 |
| 하 | 5문항 |
| 중 | 3문항 |
| 상 | 2문항 |
출제 근거
| 참고자료 | 문항 수 |
| 개인정보 보호법 제3조 (보호 원칙) | 1 |
| CISO 겸직금지 가이드라인 (과기정통부·KISA) | 1 |
| ISMS-P 인증기준 가이드 | 2 |
| 개인정보 영향평가 수행안내서 (2020) | 2 |
| KISA 위험관리 가이드 (2004) | 1 |
| SIS 자격시험 출제 가이드라인 (2006) | 1 |
| 개인정보 안전성 확보조치 기준 | 1 (간접) |
| 종합 실무 판단 | 1 |
1~3과목에 없던 새 출처: CISO 겸직금지 가이드라인, PIA 수행안내서, SIS 출제 가이드라인
문항별 핵심 분석
Q1~Q2: 문제·해설이 추출되지 않은 문항
샘플 원본에서 Q1, Q2는 표 구조만 남아 있어 문제 본문이 확인되지 않습니다. 소단원은 "정보보호 위험관리 계획"입니다.
Q3: 개인정보 보호 원칙 — 법적 용어 오류 찾기 ⭐
개인정보보호법 제3조의 8개 원칙 중 법적 용어가 틀린 것을 찾는 문제입니다.
핵심 오류 2가지:
- ③항: "기밀성, 무결성 및 가용성" → 정답은 "정확성, 완전성 및 최신성"
- ⑤항: "이용약관" → 정답은 "개인정보 처리방침" (제30조)
나머지 원칙의 키워드: ①적법·정당, ②목적 외 활용 금지, ④안전관리, ⑥사생활 침해 최소화, ⑦익명→가명 순서, ⑧책임·의무 준수
Q4: CISO 직위·겸직 — 복합 판단 ⭐⭐
CISO 관련 6개 진술 중 부적절한 3개를 찾는 문제입니다.
올바른 진술:
- ⓐ 겸직금지 대상: 자산총액 5조 원 이상 또는 ISMS 인증의무 + 자산총액 5천억 이상
- ⓒ 겸직 가능 업무: 정보보호 공시, 정보통신기반보호법 정보보호책임자, 전자금융거래법 CISO, 개인정보 보호책임자(CPO)
- ⓔ 자격요건: 정보보호/IT 업무 10년 이상, ISMS 인증심사원 자격 보유
부적절한 진술:
- ⓑ "팀장급 이상" → 정답은 "임원급" 이상 (이사·집행임원 포함)
- ⓓ "비상근" → 정답은 "상근" (날마다 출근하여 정해진 시간 근무)
- ⓕ "CIO가 CISO 겸직 가능" → 정답은 "겸직 불가"
Q5: 정보보호 관리체계 운영 생명주기 — 복합 판단 ⭐
8개 진술 중 부적절한 2개를 찾는 문제입니다.
부적절한 진술:
- ⓖ "CISO와 CPO는 겸직금지" → 정답은 "겸직 가능"
- ⓗ "정보보호부서 인력으로 점검팀 구성" → 정답은 "전문성·독립성 고려하여 정보보호 부서 이외 관련 부서와 함께 구성"
추가 주의 포인트:
- ⓓ 개인정보취급자 교육은 일반 직원과 차별화된 전문 교육 시행
- ⓒ 법률 개정 시 시행 전에 내부 검토 후 정책에 반영 필수 (적절)
Q6: 개인정보 영향평가 절차 순서 ⭐
5단계 순서를 맞추는 문제입니다.
정답 순서:
- 평가팀 구성 — PM이 담당자·외부전문가 참여 요청
- 대상시스템 관련 자료 분석 — 내·외부 정책환경 자료 수집
- 개인정보처리업무 현황 분석 — 개인정보 흐름 파악
- 평가항목 작성 — 산출물 분석 + 담당자 인터뷰 + 현장 실사
- 개인정보 위험도 산정 — 침해요인 도출, 우선순위 정하여 선택적 조치
Q7: 내부감사 결과 개선대책 판단 ⭐
감사에서 발견된 권한관리·접속로그 미흡에 대한 개선대책의 적절성을 판단합니다.
부적절한 개선대책 (정답):
- 권한: "연 1회 장기미사용자 삭제" → 1~3개월 미사용 시 잠금/삭제가 바람직
- 접속기록: DVD-RW 매체 → 재기록 가능하므로 위변조 방지 부적절. 재사용 불가 매체나 별도 로그서버 사용
Q8: 정량적·정성적 위험분석 방법론 매칭 ⭐⭐
방법론 설명과 명칭이 올바르게 매칭되었는지 판단합니다.
정량적 분석 3가지:
| 방법 | 핵심 |
| 과거자료 분석법 | 과거 자료로 발생 가능성 예측, 자료 많을수록 정확 |
| 수학공식 접근법 | 위협 발생빈도 계산식. 과거 자료 획득 어려울 때 유용 (현재 ✕) |
| 확률 분포법 | 미지 사건 추정, 최저·보통·최고 예측 |
정성적 분석 3가지:
| 방법 | 핵심 |
| 델파이법 | 전문가 집단 토론으로 위협·취약성 분석. 시간·비용 절약, 정확도 낮음 |
| 시나리오법 | 가상 조건 하 결과 추정. 적은 정보로 추론 가능, 이론적 추측 |
| 순위결정법 | 위협 상호 비교하여 우선순위 도출. 시간·자원 적음, 정확도 낮음 |
핵심 함정:
- 수학공식 접근법에서 "현재 자료" → 정답은 "과거 자료"
- 순위결정법의 설명을 델파이법으로 바꿔놓는 패턴
Q9: 개인정보 흐름표 분석 — 실무 판단 ⭐
개인정보 영향평가 흐름표를 보고 문제점을 판단하는 가장 실무적인 문제입니다.
핵심 판단 포인트:
- 비밀번호 찾기 시 원래 비밀번호를 이메일 전송 → 일방향 암호화 위반 (복호화 가능하다는 의미) → 개선 필요
- 회원탈퇴 시 로그인 확인으로 충분 (별도 휴대폰 인증 = 법적 요구 아님)
- "휴대전화번호를 필수로 변경" → 이메일로 연락 가능하므로 불필요 (최소 수집 원칙 위반)
- "병명"은 민감정보이나 법적 암호화 대상 아님 (암호화 의무 7가지에 미포함)
Q10: 위험수용 부적절 판단 — 법적 준거성 ⭐⭐
15개 위험 항목 중 법적 요구사항 위반이라 위험수용이 부적절한 것 5개를 찾는 문제입니다.
위험수용 부적절 (법적 준거성 필수) 5가지:
| 항목 | 근거 |
| ⓔ 신분증 이미지 암호화 | 고유식별정보 암호화 의무 |
| ⓖ 접속기록 보관·검토 미흡 | 안전성 확보조치 제8조 |
| ⓛ 비밀번호 MD5 해시 | 안전하지 않은 알고리즘 |
| ⓜ 해지고객 정보 미파기 | 개인정보보호법 파기 의무 |
| ⓝ 취급자 PC 백신 미설치 | 안전성 확보조치 |
나머지(ⓐⓑⓒⓓⓕⓗⓘⓙⓚⓞ)는 보안 권고 사항이므로 경영진 승인 하에 위험수용 가능.
Q11: ALE 계산 — 노출계수(EF) 포함 버전 ⭐
2과목의 ALE 공식에 **노출계수(EF, Exposure Factor)**가 추가됩니다.
확장 공식:
SLE = 자산가치 × 노출계수(EF)
ALE = SLE × ARO
계산:
- 자산가치 2,000만 원 × EF 50% = SLE 1,000만 원
- "분기별 발생" = 연 4회 → ARO = 4 (= 400%)
- ALE = 1,000만 원 × 4 = 4,000만 원
⚠️ 2과목에서는 ARO < 1 (10년에 1회 = 0.1)이었지만, 4과목에서는 ARO > 1 (분기별 = 4)이 나옵니다. "연간발생률 400%"라는 표현에 주의하세요.
숫자·법령 암기 (4과목 추가분)
CISO 겸직금지 대상 기준
| 조건 | 기준 |
| 일반 | 자산총액 5조 원 이상 |
| ISMS 인증의무 + | 자산총액 5천억 이상 |
CISO 직위 요건
| 항목 | 올바른 내용 | 오답 함정 |
| 직위 | 임원급 (이사·집행임원) | "팀장급" ✕ |
| 근무 형태 | 상근 | "비상근" ✕ |
| CIO 겸직 | 불가 | "가능" ✕ |
| CPO 겸직 | 가능 | "불가" ✕ |
개인정보보호법 제3조 — 자주 바뀌는 용어
| 항 | 올바른 용어 | 오답 함정 |
| 3항 | 정확성, 완전성, 최신성 | "기밀성, 무결성, 가용성" ✕ |
| 5항 | 개인정보 처리방침 | "이용약관" ✕ |
ALE 확장 공식
SLE = 자산가치 × EF(노출계수)
ALE = SLE × ARO(연간발생률)
ARO 변환: 분기별=4, 월별=12, 10년 1회=0.1
접속기록 위변조 방지
| 매체 | 적절성 |
| Secure OS 서버 + 접근통제 | ⭕ |
| 별도 로그서버 + 접근통제 | ⭕ |
| 복제본 별도 서버 전송 | ⭕ |
| DVD-RW | ✕ (재기록 가능) |
위험수용 불가 판단 기준
법적 준거성이 필요한 항목은 위험수용이 부적절합니다. 개인정보보호법·안전성 확보조치 기준 위반 사항은 경영진 승인과 무관하게 반드시 조치해야 합니다.
시험 직전 체크리스트
- [ ] 개인정보보호 원칙 3항: 정확성·완전성·최신성 (CIA ✕)
- [ ] 개인정보보호 원칙 5항: 개인정보 처리방침 (이용약관 ✕)
- [ ] CISO 겸직금지: 자산 5조 또는 ISMS+5천억
- [ ] CISO 직위: 임원급 상근 (팀장 ✕, 비상근 ✕)
- [ ] CISO + CPO 겸직 가능 / CIO + CISO 겸직 불가
- [ ] PIA 절차: 팀구성→자료분석→현황분석→평가항목→위험도산정
- [ ] 점검팀: 정보보호부서 + 타부서 (독립성·전문성)
- [ ] 개인정보취급자 교육: 일반 직원과 차별화된 전문 교육
- [ ] SLE = 자산가치 × EF(노출계수), ALE = SLE × ARO
- [ ] 분기별 발생 = ARO 4 (400%)
- [ ] 접속기록 보관: DVD-RW 부적절 (재기록 가능)
- [ ] 미사용 계정: 1~3개월 잠금/삭제 (연 1회 ✕)
- [ ] 법적 위반 사항은 위험수용 부적절 (5개: 신분증암호화, 접속기록, MD5, 미파기, 백신)
- [ ] 비밀번호 찾기 시 원본 전송 = 일방향 암호화 위반
- [ ] 휴대폰번호 = 이메일 대체 가능 시 필수 아님 (최소수집)
- [ ] 수학공식 접근법: 과거 자료 획득 어려울 때 (현재 ✕)
- [ ] 순위결정법 ≠ 델파이법 (설명 바꿔치기 주의)
본 포스팅은 KCA 공개 샘플문제의 출제 경향을 분석한 것으로, 원본 저작권은 KCA에 있습니다.
'자격증 > 정보호호위험관리사(ISRM)' 카테고리의 다른 글
| ISRM 5과목 「정보보호 위험대책 관리 (심화)」 샘플문제 분석 및 정리 (0) | 2026.05.18 |
|---|---|
| ISRM 3과목 핵심요약북 (0) | 2026.05.18 |
| ISRM 3과목 숫자·법령·기술 암기북 (0) | 2026.05.18 |
| ISRM 3과목 「정보보호 위험 대응」 샘플문제 분석 및 정리 (0) | 2026.05.18 |
| ISRM 2과목 핵심요약북 (0) | 2026.05.18 |