ISRM 5과목 「정보보호 위험대책 관리 (심화)」 샘플문제 분석 및 정리

KCA 공개 ISRM 5과목 샘플문제 10문항 분석입니다. 4과목과 마찬가지로 심화 과목(10문항, 각 10점)입니다. 

---

5과목 개요

항목	내용
문항 수	10문항 (각 10점)
형식	빈칸 채우기 조합 + 실무 판단
난이도	하 5 / 중 3 / 상 2

4과목이 복수 진술 조합(ⓐⓑⓒⓓ 묶기)이었다면, 5과목은 빈칸 ABCD 조합형과 실무 시나리오 판단이 주력입니다.

---

출제 근거

참고자료	문항 수
ISMS-P 인증기준 안내서 (2022.4)	4
개인정보 보호법 (제17조, 제34조)	2
개인정보 안전성 확보조치 기준/안내서 (2024)	3
KISA 위험관리 가이드 (2004)	1
클라우드 정보보호 안내서 (2017)	1 (복합)

안전성 확보조치 기준이 3문항으로 비중이 높고, 개인정보보호법 조문이 직접 출제됩니다.

---

문항별 핵심 분석

Q1: 정책 제·개정 절차 빈칸 ⭐

4개 빈칸의 정답:

• (A) 정기적인 타당성 검토 (제·개정 ✕)
• (B) 중대한 변화 (법규 개정, 비즈니스 변화, 보안사고, 새 위협 등)
• (C) 이해관계자 (대외 기관 ✕)
• (D) 이력 관리 (버전, 일자, 사유, 작성자, 승인자 기록)

---

Q2: 교육 관련 빈칸 ⭐

4개 빈칸의 정답:

• (A) 경영진 승인
• (B) 연 1회 이상 (연1회 ✕ — "이상"이 핵심)
• (C) 임직원 채용 및 외부자 신규 계약 시 업무 시작 전
• (D) 직무별 전문성 제고 (공통보안 ✕)

---

Q3: 퍼블릭 클라우드 취약점 점검 ⭐⭐

클라우드 공동책임 모델 이해가 핵심입니다.

핵심 원칙: 서비스 유형과 무관하게 물리적 하드웨어는 CSP(클라우드 사업자) 책임. 이용자는 물리적 접근 권한이 없습니다.

따라서:

• PaaS의 RDBMS → OS 취약점은 CSP 영역 → 이용자가 점검 안 하는 것은 적절 ⭕
• VM의 OS 보안설정 점검 → 이용자 영역 → 적절 ⭕
• Security Group 설정 점검 → 이용자 영역 → 적절 ⭕
• 물리적 네트워크 장비 환경설정 점검 → CSP 영역 → 이용자 수행 불가 ✕ (오답)

---

Q4: 방화벽 정책 검토 — 실무 판단 ⭐⭐

방화벽 정책에서 추가 검토가 필요한 정책을 식별하는 문제입니다. 네트워크 구성도와 정책 테이블을 보고 판단합니다.

검토가 필요한 3가지 유형:

• Source나 Service가 any — 접근 범위가 과도
• Destination이 any — 목적지 제한 없음
• hitcount가 0 — 트래픽이 없는 미사용 정책, 불필요 여부 검토

검토 불필요: 차단 정책(deny/drop)은 any/any/any여도 정상 (기본 차단)

---

Q5: 개인정보 제3자 제공 동의 요건 ⭐

개인정보보호법 제17조 기반 5가지 고지 항목:

빈칸	정답
(A)	제공받는 자 (제공하는 자 ✕)
(B)	개인정보 이용 목적
(C)	개인정보의 항목
(D)	개인정보 보유 및 이용기간
(E)	동의를 거부할 권리가 있다는 사실 + 불이익 내용

핵심: "제공받는 자"와 "제공하는 자"를 바꾸는 함정

---

Q6: 위험관리 용어 4가지 매칭 ⭐

2과목에서 출제된 자산·위협·취약성에 보호대책이 추가됩니다.

빈칸	정답
(A)	자산 — 보호 대상 (정보, HW, SW, 시설, 무형자산)
(B)	위협 — 잠재적 원인(source) 또는 행위자(agent)
(C)	취약성 — 자산의 잠재적 속성, 위협의 이용 대상
(D)	보호대책 — 관리적·기술적 대책 (제품 + 절차·정책·교육 모두 포함)

---

Q7: 사용자 계정관리 빈칸 ⭐

ISMS-P 인증기준 안내서 p.90 기반:

빈칸	정답	오답 함정
(A)	고유한 사용자 계정	"공유" ✕
(B)	승인 절차
(C)	지체 없이	"1개월 이내" ✕
(D)	제거하거나 추측하기 어려운 계정
(E)	등록·변경·삭제·해지 기록

핵심: 인사이동 시 접근권한 변경은 "지체 없이" (1개월 ✕)

---

Q8: 개인정보 유출 통지·신고 ⭐⭐

개인정보보호법 제34조 + 시행령 제40조 기반:

항목	정답	오답 함정
유출 신고 기준	1천 명 이상	"1만 명" ✕
신고 기한	72시간 이내	"지체 없이(5일)" ✕
통지 항목	유출된 개인정보 항목 등 5가지
신고 기관	개인정보보호위원회 (또는 KISA)	"방송통신위원회" ✕

72시간 이내 신고 대상 3가지:

1. 1천 명 이상 유출
2. 민감정보·고유식별정보 유출
3. 외부 불법 접근에 의한 유출

---

Q9: 망분리 실무 판단 ⭐⭐

4개 기업 시나리오 중 올바른 것을 고르는 문제.

핵심 판단 기준:

• 클라우드 이용 시: 해당 서비스 접속 외에는 인터넷 차단 (전면 미적용 ✕)
• 단순 열람·조회만 하는 직원: 망분리 미적용 가능 ⭕
• 소량(10건 이하) 다운로드: 건수와 무관하게 망분리 적용 필수
• 오프라인 수집 개인정보: 온라인 서비스에 활용되면 망분리 대상

---

Q10: 보안감사 문제점 근본 원인 ⭐

웹서버에서 발견된 4가지 문제점(세션 타임아웃 미설정, telnet 사용, 디렉터리 통제 미흡, 기본 공유 미제거)의 근본 원인:

정답: 취약점 진단 및 보완 조치 미흡

개별 문제가 아니라, 정기적인 취약점 점검이 수행되지 않아 다수의 보안 설정 미흡이 방치된 것이 근본 원인입니다.

---

숫자·법령 암기 (5과목 추가분)

개인정보 유출 신고 기준

항목	기준
신고 대상 인원	1천 명 이상
신고 기한	72시간 이내
신고 기관	개인정보보호위원회 또는 KISA
추가 대상	민감·고유식별정보 유출, 외부 불법 접근

계정관리 핵심 용어

항목	키워드
계정 발급	고유한 계정 (공유 ✕)
인사이동 시	지체 없이 (1개월 ✕)
기본 계정	제거 또는 추측 어려운 계정으로 변경

방화벽 정책 검토 대상

유형	검토 필요
Source/Service가 any	⭕
Destination이 any	⭕
hitcount 0 (미사용)	⭕
차단 정책 (deny) any/any/any	✕ 정상

클라우드 공동책임 모델

영역	책임
물리적 하드웨어·네트워크 장비	CSP (이용자 접근 불가)
VM OS, Security Group, 앱 설정	이용자
PaaS의 OS	CSP

개인정보 제3자 제공 동의 5요소

1. 제공받는 자
2. 이용 목적
3. 개인정보 항목
4. 보유 및 이용기간
5. 거부권 + 불이익 내용

---

시험 직전 체크리스트

• [ ] 정책 절차: 정기적 타당성 검토 → 중대한 변화 → 이해관계자 검토 → 이력관리
• [ ] 교육: 경영진 승인, 연 1회 이상, 채용 시 업무 시작 전, 직무별 전문성
• [ ] 클라우드: 물리적 HW는 CSP 책임 → 이용자 점검 불가
• [ ] 방화벽: any 설정·hitcount 0 = 검토 필요, 차단 정책 = 검토 불필요
• [ ] 제3자 제공: "제공받는 자" (제공하는 자 ✕)
• [ ] 용어 4요소: 자산·위협·취약성·보호대책 (제품+절차+정책+교육)
• [ ] 계정: 고유한 계정, 인사이동 = 지체 없이, 기본 계정 제거/변경
• [ ] 유출 신고: 1천 명, 72시간, 개인정보위원회 (방통위 ✕)
• [ ] 망분리: 단순 열람 = 미적용 가능, 소량 다운로드 = 적용 필수, 클라우드 = 해당 서비스 외 차단
• [ ] 보안감사 근본 원인: 개별 설정이 아닌 취약점 진단·보완 조치 미흡

---

전 과목 학습 전략 총정리

과목	핵심 출처	학습 키워드
1과목	ISMS-P 안내서 (85%)	정책·조직·거버넌스
2과목	KISA 위험관리 가이드 (40%)	방법론·용어·평가절차
3과목	ISMS-P + 안전성 확보조치 기준	기술보안 + 법적 숫자
4과목 (심화)	CISO 가이드라인 + PIA 안내서	복합판단·ALE확장·법적준거성
5과목 (심화)	ISMS-P + 안전성 확보조치 + 개보법	빈칸조합·실무시나리오·클라우드

공통 필수 자료: ISMS-P 인증기준 안내서, 개인정보 안전성 확보조치 기준(고시), KISA 위험관리 가이드(2004)

---

본 포스팅은 KCA 공개 샘플문제의 출제 경향을 분석한 것으로, 원본 저작권은 KCA에 있습니다.