[기본정리] 정보보호위험관리사(ISRM)
정보보호위험관리사(ISRM) 시험을 준비하고 있다면, 단순 암기가 아닌 이해 중심의 학습이 중요합니다.
본 포스팅에서는 실제 기출문제 유형을 기준으로, 시험 직전 반드시 정리해두어야 할 핵심 개념들을 간결하게 설명드리겠습니다.
1. 정보보호의 기본 목표는 무엇일까?
정보보호에서 가장 중요한 세 가지 목표는 바로 기밀성, 무결성, 가용성입니다.
기밀성은 비인가자가 정보에 접근하지 못하게 하는 것이고, 무결성은 정보가 변조되지 않았음을 보장하는 것이며, 가용성은 필요한 시점에 정당한 사용자가 정보를 사용할 수 있도록 보장하는 것입니다.
이 세 가지는 정보보호의 뼈대이자, 모든 보호대책이 지향하는 기준입니다. 종종 인증, 부인방지, 책임추적성과 같은 추가 목표도 함께 다뤄지는데, 이들은 보조적이지만 실무적으로 매우 중요합니다.
- 관련 기준: 정보보호산업의 진흥에 관한 법률 제2조, ISMS-P 인증기준, ISO/IEC 27001
2. CISO 지정과 자격요건에 대한 이해
모든 정보통신서비스 제공자는 정보보호 최고책임자(CISO)를 지정해야 합니다. 다만 자산총액이 5조 원 이상이거나 특정 조건을 충족하는 기업은 반드시 지정 후 신고까지 해야 합니다. CISO의 역할은 조직 내 정보보호 계획을 수립하고, 보안 점검, 교육, 위험 대응까지 총괄하는 실질적 리더입니다.
- 관련 기준: 정보통신망법 제45조의3, 시행령 제36조의7, KISA CISO 신고 가이드
3. 위험관리 전략 4가지는 시험 단골
위험 회피는 애초에 리스크가 있는 활동 자체를 하지 않는 것이고, 위험 감소는 보안 대책을 적용해 위험을 줄이는 것입니다. 위험 전가는 보험 가입이나 계약을 통해 위험을 제3자에게 넘기는 방식이며, 위험 수용은 일정 수준 이하의 위험을 그대로 받아들이는 것입니다.
- 관련 기준: ISMS-P 인증기준, ISO/IEC 27005, NIST SP 800-30
4. 정보보호 정책 수립 시 포함 항목
정책은 조직의 정보보호 활동을 위한 가장 상위 단계의 문서입니다. 경영진의 의지, 정보보호의 대상과 범위, 역할과 책임은 반드시 포함되어야 합니다.
- 관련 기준: ISMS-P 인증기준 1.1~1.2, 개인정보 보호법 제31조
5. 정보자산 분류 기준을 알아두자
정보자산은 전자정보, 문서, 소프트웨어, 하드웨어, 시설, 인력 등으로 구성됩니다. 여기서 흔히 출제되는 함정은 '위치정보'와 같은 정보유형을 자산으로 착각하게 하는 것입니다.
- 관련 기준: ISMS-P 인증기준, LG CNS 블로그 예시
6. 정보보호 교육은 어떻게 계획해야 할까?
조직은 연간 정보보호 교육 계획을 수립하여야 하며, 이 계획에는 교육 대상, 시기, 방법, 내용 등이 포함되어야 합니다. 외부 위탁업체 직원도 교육 대상에 포함될 수 있으며, 교육 후 효과성 평가도 반드시 이루어져야 합니다.
- 관련 기준: 개인정보 보호법 제28조의6, 제31조 / ISMS-P 인증기준 교육 항목
7. 정보보호 책임자의 자격요건 정리
정보보호 또는 개인정보보호 책임자는 단순한 임명이 아니라 법적 자격요건을 충족해야 합니다. 최근에는 전문성을 더욱 강화하기 위해 관련 자격증이나 실무 경험, 이수 교육 등을 자격으로 인정하는 경우가 많아졌습니다.
- 관련 기준: 정보통신망법, 개인정보 보호법 시행령 별표 1
8. 상세위험 분석법과 다른 방법의 차이
상세위험 분석법은 자산, 위협, 취약점을 구체적으로 식별하고 평가하여 보호대책을 수립하는 방식입니다. 반대로 베이스라인 접근법은 빠르고 저렴하지만 상황에 따라 과소보호 또는 과보호가 될 수 있습니다.
- 관련 기준: ISMS-P 인증기준, ISO/IEC 27005, 31010
9. 정보보호 조직은 어떻게 구성되는가?
조직 내 정보보호 체계는 위원회, 실무조직, 협의체로 구성됩니다. 위원회는 경영진이 포함된 정책·예산의 의사결정 기구이고, 실무조직은 실제 정보보호 운영을 담당합니다.
- 관련 기준: ISMS-P 인증기준 조직 구성 항목, 개인정보 보호법 제31조
10. 주요정보통신기반시설 평가 기준
주요정보통신기반시설은 연 1회 이상 취약점 분석과 평가가 이루어져야 하며, 중요도는 일반적으로 ‘최상, 상, 중, 하’ 또는 ‘1~3등급’으로 나뉩니다.
- 관련 기준: 정보통신기반 보호법, 과기정통부 고시 제2021-28호
[문제풀이] 10문제
[문제 1] 다음 중 정보보호의 기본 목표에 해당하지 않는 것은?
① 기밀성
② 무결성
③ 가용성
④ 경제성
정답: ④
해설: 정보보호의 3대 요소는 기밀성, 무결성, 가용성(CIA)입니다. 경제성은 보호 활동에서 고려되긴 하나, 정보보호의 직접적인 목적은 아닙니다.
[문제 2] CISO 지정 및 신고에 대한 설명으로 옳지 않은 것은?
① 자산총액 5조원 이상인 기업은 신고 의무 있음
② 모든 중소기업은 CISO 지정 불필요
③ CISO는 정보보호 총괄
④ 일정 기준 미만이면 신고 예외 가능
정답: ②
해설: 규모가 작아도 CISO는 반드시 지정해야 하며, 일정 조건을 만족하면 ‘신고’만 면제됩니다.
[문제 3] 위험관리 전략 중 잘못 연결된 것은?
① 위험 회피 - 위험을 감수하고 그대로 유지
② 위험 감소 - 암호화 등을 통해 위험 축소
③ 위험 전가 - 보험 가입
④ 위험 수용 - 감내할 수 있는 위험 유지
정답: ①
해설: 위험 회피는 ‘회피’, 즉 해당 활동 자체를 하지 않는 것입니다. 위험을 감수하는 것은 ‘수용’에 해당합니다.
[문제 4] 정보보호 정책 수립 시 포함되지 않아도 되는 항목은?
① 경영진 의지
② 정보보호 범위
③ 예산 수준
④ 역할과 책임
정답: ③
해설: 예산은 정책 수립 후 계획/운영 단계에서 다뤄지며, 정책 수립 단계에서 필수 요소는 아닙니다.
[문제 5] 정보자산 분류 기준에 해당하지 않는 것은?
① 전자정보
② 인력
③ 서버
④ 위치정보
정답: ④
해설: 위치정보는 자산이 아닌 정보 유형 중 하나로, 자산 분류 기준(전자정보, 문서, 시스템, 인력 등)에는 포함되지 않습니다.
[문제 6] 정보보호 교육계획에 반드시 포함되어야 할 항목이 아닌 것은?
① 교육 대상
② 교육 시간
③ 교육 평가
④ 연간 예산 공개
정답: ④
해설: 예산은 내부 관리 항목일 수는 있지만 교육계획의 필수 요소는 아닙니다.
[문제 7] CISO 자격요건으로 옳은 것은?
① 경력 1년
② 학사학위만 보유
③ 관련 분야 경력 12년
④ 석사학위만 보유
정답: ③
해설: 정보보호 또는 정보기술 분야의 경력이 10년 이상이면 학위가 없어도 CISO 자격 요건에 해당합니다.
[문제 8] 상세위험 분석법에 대한 설명 중 옳지 않은 것은?
① 자산-위협-취약점 분석
② 빠르게 수행 가능
③ 정확한 대책 수립 가능
④ 고급 인력 필요
정답: ②
해설: 상세위험 분석은 시간과 비용이 많이 들며, 수행자 역량도 매우 중요합니다.
[문제 9] 정보보호 조직 구성 중 잘못된 설명은?
① 위원회는 실무 검토만 수행
② 실무조직은 전담 또는 겸직 가능
③ 위원회는 의사결정 권한 있음
④ 협의체는 각 부서 실무자 구성
정답: ①
해설: 위원회는 단순 검토를 넘어서 전사적 수준의 의사결정 기구입니다.
[문제 10] 주요정보통신기반시설의 중요도 분류로 옳은 것은?
① A~E
② 최상, 상, 중, 하
③ 위험, 취약, 위협
④ 법적, 기술적, 관리적
정답: ②
해설: 중요도 평가는 “최상-상-중-하” 또는 “1~3등급”과 같이 다단계로 나뉘며, 위험도 산정 시 활용됩니다.
'소소한 IT이야기 > ISRM' 카테고리의 다른 글
| 정보보호위험관리사(ISRM) 자격증 시험 (feat. 3과목:정보보호 위험 대응)-003 (2) | 2025.06.04 |
|---|---|
| 정보보호위험관리사(ISRM) 자격증 시험 (feat. 인증)-002 (0) | 2025.06.03 |
| 정보보호위험관리사(ISRM) 자격증 시험 (feat. CPPG)-000 (1) | 2025.04.28 |
