3과목 「정보보호 위험 대응」 4개 소단원을 샘플문제 출제 범위 기준으로 압축 정리했습니다. ⭐⭐ = 2회 이상 출제 또는 다른 과목과 공통 출제 개념.
1단원: 보호대책 구현 (10문항 / 50%)
3과목의 핵심 단원입니다. ISMS-P 인증기준의 결함사례 vs. 올바른 조치를 구분하는 능력이 시험 결과를 좌우합니다.
1-1. 네트워크 접근통제 ⭐
ISMS-P 2.6.1 네트워크 접근 기준.
올바른 조치: 내부 규정에 따라 MAC주소 인증, 필수 보안 소프트웨어 설치 등 보호대책 적용 상태
결함사례 4가지:
- 외부자 네트워크를 내부 업무 네트워크와 미분리
- 서버팜 접근이 과도하게 허용
- 중요 서버에 공인 IP 설정 + 접근 차단 미적용
- VPN/전용망 미사용으로 일반 인터넷 회선으로 데이터 송수신
1-2. 데이터베이스 접근통제 ⭐
ISMS-P 2.6.4 DB 접근. 핵심 원칙: 최소 권한.
올바른 조치:
- DBA/사용자 권한 분리
- 테이블·뷰·컬럼·쿼리 레벨 접근통제
- 미사용·테스트·기본 계정 삭제
- 일정시간 미사용 시 자동 접속차단
- DB를 DMZ에 위치시키지 않음
- 허용 IP·포트·응용프로그램 제한
- 일반 사용자는 응용프로그램을 통해서만 DB 접근
핵심 함정: 응용프로그램 계정과 사용자 계정의 공용 사용은 **"제한"**이 정답. "허용"은 오답.
1-3. 응용프로그램 접근통제 ⭐
ISMS-P 2.6.3 응용프로그램 접근.
올바른 조치: 세션 타임아웃 적용, 동일 계정 동시접속 제한
결함사례:
- 권한 제어 오류로 비인가자에게 개인정보 노출
- 관리자 페이지 외부 오픈 + 안전한 인증수단 미적용
- like 검색 과도 허용으로 전체 고객정보 조회 가능
- 다운로드 파일에 불필요한 주민번호 등 과도 포함
1-4. 보안시스템 분류 ⭐
보안시스템 유형을 정확히 매핑해야 합니다. 특히 DRM의 분류가 핵심 함정입니다.
네트워크 보안: 방화벽, IPS, IDS, NAC, DDoS 대응 암호화 솔루션: DB암호화, DRM 기타: VPN, APT대응, SIEM, WAF(웹방화벽)
DRM은 Digital Rights Management로 콘텐츠 암호화/권한 관리 솔루션이며, 네트워크 보안시스템이 아닙니다.
WAF는 OWASP Top10, 국정원 8대 웹 취약점, 웹페이지 위변조 등 웹 기반 해킹을 탐지·차단하는 솔루션으로, 일반 네트워크 방화벽과 구분됩니다.
1-5. 무선 네트워크 보안 ⭐
올바른 조치: 외부인용과 내부 무선 네트워크 영역 분리
결함사례:
- 안전하지 않은 암호화 방식 설정
- 내부망 연결 AP의 SSID 브로드캐스팅 허용
- AP 관리자 비밀번호에 디폴트 사용
- 접근제어 미적용으로 케이블 연결만으로 사내 네트워크 접근 가능
1-6. 보안시스템 운영 ⭐
보안정책(룰셋) 검토는 정기적으로 수행. "장애 발생 시에만"은 오답.
운영 절차 필수 포함 사항:
- 유형별 책임자·관리자 지정
- 정책 적용(등록·변경·삭제) 절차
- 최신 패턴/엔진 업데이트 (IDS/IPS)
- 이벤트 모니터링 절차
- 자체 접근통제 방안
- 변경 이력 기록·보관
1-7. 정보시스템 도입·개발 보안 ⭐
올바른 조치: 신규 시스템 도입 시 기존 운영환경에 대한 영향·보안성 검토 규정 마련
결함사례:
- 인수 전 보안성 검증 기준·절차 미비
- 보안 요구사항(인증·암호화·보안로그) 미정의
- 안전하지 않은 암호화 알고리즘(MD5, SHA1) 적용
1-8. 물리보안 ⭐
보호구역 = 통제구역 + 제한구역 + 접견구역을 포괄하는 상위 개념
정보시스템 물리 보호 주요 사항:
- 특성에 따라 전산랙으로 외부 보호
- 중요 시스템: 잠금장치, 케이지(cage) 관리
- 자산목록에 물리적 위치 포함 + 현행화
- 케이블: 물리적 구분·배선, 식별 표시, 상호 간섭받지 않도록 거리 유지
핵심 함정: "상호 간섭 여부와 관계없이 조치" → 오답. 간섭받지 않도록 거리 유지 필요.
2단원: 정보통신서비스제공자 적용 보호대책 (3문항 / 15%)
2-1. 정보보호 사전점검 ⭐
정보보호 사전점검 = 정보통신서비스 구축·개발 단계별 정보보호 조치
구분해야 할 제도:
- 사전점검 ≠ ISMS 인증
- 사전점검 ≠ 금융감독원 보안성 심의
- 사전점검 ≠ 국정원 보안성 검토
테스트 단계 핵심 활동:
- 보안점검 + 정밀 취약점 진단 수행
- 모의해킹으로 외부 침입 차단·내부 유출 방지 확인
- 완료 후 목표시스템 → 운영시스템 안전한 이관(전환)
2-2. ISMS 인증 미이행 과태료 ⭐
정보통신망법 제76조: ISMS 인증 의무대상자 미이행 시 3,000만 원 이하 과태료
3단원: 개인정보처리자/신용정보업자 적용 보호대책 (5문항 / 25%)
3-1. 인터넷 망분리 의무 ⭐
안전성 확보조치 기준 제6조 ⑥항:
대상: 이용자 일일평균 100만 명 이상 (전년도 말 기준 직전 3개월) 조치: 개인정보 다운로드·파기·접근권한 설정 가능한 취급자 컴퓨터의 인터넷망 차단 클라우드 예외: 해당 클라우드 서비스 접속 외에는 인터넷 차단
3-2. 개인정보 영향평가 의무 대상 ⭐⭐
ISMS-P 안내서 pp.126-128 + 개인정보보호법 시행령 제35조.
4가지 조건:
- 5만 명 이상 민감정보·고유식별정보 처리
- 연계 결과 50만 명 이상 포함
- 100만 명 이상 일반 개인정보파일
- 영향평가 후 운용체계 변경 시 변경 부분만 재실시
핵심: 변경 없이 정기적 실시는 의무가 아닙니다. 대상은 공공기관입니다.
3-3. 접속기록 보존기간 ⭐
안전성 확보조치 기준 제8조 ①항:
일반: 1년 이상 다음 해당 시 2년 이상: 5만 명 이상 처리 / 고유식별·민감정보 처리 / 기간통신사업자
3-4. 암호화 의무 저장 대상 ⭐
안전성 확보조치 기준 제7조:
7가지: 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호, 신용카드번호, 계좌번호, 생체인식정보
비밀번호는 일방향 암호화 (복호화 불가)
핵심: 휴대폰번호는 암호화 의무 대상이 아닙니다.
4단원: 정보보호산업 적용 보호대책 (2문항 / 10%)
4-1. 정보보호 공시제도 ⭐
법적 근거: 정보보호산업의 진흥에 관한 법률 제13조
의무공시 대상 6가지: ISP(회선설비 보유), IDC, 클라우드 서비스, 상급종합병원, 매출 3,000억 원 이상, 이용자 100만 명 이상
핵심: CISO 지정·신고 상장법인 중 금융회사는 비대상
과목 간 겹치는 개념
| 개념 | 출제 과목 | 3과목 추가 포인트 |
| 위험처리 전략 | 1·2과목 | 3과목에서는 구체적 보호대책 구현으로 연결 |
| 정보보호 공시 대상 | 2과목(간접) | 3과목에서 의무공시 대상 직접 출제 |
| 자산 식별·보안등급 | 1·2과목 | 3과목에서 물리적 위치 관리로 확장 |
| 망분리 기준 100만 명 | 2과목(법적기준) | 3과목에서 안전성 확보조치 기준으로 직접 출제 |
| ISMS 인증 | 1과목(의무대상) | 3과목에서 미이행 과태료 3천만 원 |
소단원별 학습 우선순위
| 우선순위 | 단원 | 이유 |
| 🥇 1순위 | 1단원 (보호대책 구현) | 비중 50%, 결함사례 구분이 핵심 |
| 🥈 2순위 | 3단원 (개인정보처리자) | 숫자 집약, 상 난이도 집중 |
| 🥉 3순위 | 2단원 (서비스제공자) | 사전점검·과태료 |
| 4순위 | 4단원 (정보보호산업) | 2문항, 공시제도만 |
본 자료는 KCA 공개 샘플문제의 출제 경향을 분석·정리한 것이며, 원본 저작권은 KCA에 있습니다.
'자격증 > 정보호호위험관리사(ISRM)' 카테고리의 다른 글
| ISRM 5과목 「정보보호 위험대책 관리 (심화)」 샘플문제 분석 및 정리 (0) | 2026.05.18 |
|---|---|
| ISRM 4과목 「정보보호 관리체계 운영 (심화)」 샘플문제 분석 및 정리 (0) | 2026.05.18 |
| ISRM 3과목 숫자·법령·기술 암기북 (0) | 2026.05.18 |
| ISRM 3과목 「정보보호 위험 대응」 샘플문제 분석 및 정리 (0) | 2026.05.18 |
| ISRM 2과목 핵심요약북 (0) | 2026.05.18 |