소소한 IT이야기/ISRM

정보보호위험관리사(ISRM) 자격증 시험 (feat. 3과목:정보보호 위험 대응)-003

Klaus 2025. 6. 4. 09:00

1. 3과목의 정보보호 위험 대응에 대한 내용

 

[+] 보호대책 구현

- 정보보호 및 개인정보보호 대책은 조직이 식별한 위험에 대해 이를 감소시키거나 대응하기 위해 수립·시행하는 조치를 의미한다. 조직은 이러한 보호대책을 이행하기 위한 계획을 수립하고, 이를 경영진에게 보고해야 하며, 실제 이행 결과가 계획대로 수행되었는지, 효과성은 충분한지 등을 점검해야 한다.

- 보호대책은 단순히 실행만 하는 것이 아니라 그 과정과 결과를 체계적으로 문서화하고 주기적으로 검토·보고하는 절차를 포함한다. 구체적으로는 아래 사항들이 포함되어야 한다.

  • 보호대책의 이행 계획 수립 시 일정, 예산, 책임부서 등 주요 항목을 명시하고, 이행 과정 중 문제 발생 시 원인 분석 및 계획 변경 가능성까지 고려
  • 이행결과의 정확성과 효과성 여부를 정보보호 최고책임자(CISO), 개인정보 보호책임자(CPO) 등 경영진이 직접 확인하도록 보고체계 구축
  • 각종 보호대책 이행 결과를 반영한 운영명세서 작성
  • 미이행 또는 지연된 항목에 대한 원인 분석 및 재계획 수립

- 보호대책이 적절하지 않거나 효과성이 부족하다고 판단되면, 추가적인 위험평가 또는 대체 수단 검토 등 보완적 조치를 취할 수 있는 절차 또한 마련해야 한다.

 

[+] 정보통신서비스제공자 보호대책

- 정보통신서비스제공자는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」과 「정보통신기반 보호법」에 따라 다양한 보안조치를 수행해야 하며, 다음과 같은 제도적 보호장치를 준수해야 한다.

  • 정보보호 사전점검 제도: 신규 서비스의 도입 또는 기술 변경이 포함된 서비스의 경우 정보보호 사전점검을 반드시 이행해야 하며, 미이행 시 과태료 또는 시정명령 대상이 될 수 있다.
  • 관리등급제 적용: 정보보호 수준에 따라 차등적인 보안관리 기준을 적용함으로써 체계적인 보안수준 유지
  • CISO 지정 의무화: 일정 규모 이상의 기업은 정보보호 최고책임자(CISO)를 지정해야 하며, 겸직 제한 및 자격기준이 적용된다.
  • 집적정보통신시설 보호: IDC 등 주요 기반시설은 별도의 보호지침에 따라 접근통제, 출입관리, 환경보안 등이 요구된다.

- 이러한 제도들은 정보통신 인프라의 안정성과 신뢰성을 확보하기 위한 국가적 차원의 보호조치이므로, 대상 기관은 필수적으로 이행해야 한다.

[+] 개인정보처리자 및 신용정보업자 보호대책

- 개인정보처리자 및 신용정보업자는 각각 「개인정보 보호법」과 「신용정보의 이용 및 보호에 관한 법률」에 따라 다양한 보안 조치 및 제도를 준수해야 한다. 주요 내용은 다음과 같다.

  • 개인정보처리방침 등록 및 평가제도: 개인정보처리자는 자신의 개인정보처리방침을 관련 기관에 등록하고, 내용의 충실성, 이해용이성, 접근성 등 기준에 따라 평가를 받는다. 미흡 시 공개조치 또는 과태료가 부과될 수 있다.
  • 국내대리인 지정제도: 해외 사업자가 국내 이용자의 개인정보를 수집·처리하는 경우 국내에 법적 책임을 지는 대리인을 지정해야 하며, 이 제도는 GDPR과의 정합성을 확보하기 위한 장치이기도 하다.
  • 손해배상책임 이행보장: 정보주체의 피해 발생 시 손해를 배상할 수 있도록 보험 가입 또는 준비금을 마련해야 하며, 이를 소명하지 못할 경우 과태료가 부과된다.

이 외에도 개인정보 유출 시에는 지체 없이 관계 기관에 신고하고, 정보주체에게 개별 통지를 하여야 하며, 일정 요건 충족 시에는 인터넷 홈페이지에도 공시해야 한다.

[+] 침해사고 대응

- 정보시스템, 네트워크 또는 데이터에 대한 침해사고가 발생하거나 발생 징후가 포착된 경우, 조직은 사전에 수립한 침해사고 대응절차에 따라 즉시 대응해야 한다.

초기 대응 조치에는 다음이 포함된다.

  • 침해 의심 시스템에 대한 접속권한 차단 또는 변경
  • 보안 로그 분석, 시스템 점검, 침해 범위 확인
  • 관련 증거 자료 수집 및 보존 조치
  • 외부 확산 방지 및 임시 복구 조치

침해사고 대응 결과는 반드시 침해사고 보고서로 작성되어야 하며, 보고서에는 사고 경위, 피해 규모, 조치내용, 향후 계획 등이 포함된다. 심각한 사고일 경우 최고경영진에게 직접 보고되어야 하며, 법령에 따라 정보주체 통지 및 관계 기관 신고 의무도 발생한다.

[+] 사고 복구 및 재발 방지

- 침해사고 종료 후에는 다음과 같은 후속조치가 반드시 이루어져야 한다.

 

  • 사고 원인 분석 및 기술적, 관리적 대책 마련
  • 유사 사고 재발 방지를 위한 정책 변경, 절차 개선
  • 사고 대응 결과에 대한 문서화 및 보안관리체계 반영

- 이를 통해 조직은 지속적인 보안 수준 향상 및 사고 예방 체계를 구축할 수 있다.

[+] 침해사고 대응 훈련 및 개선

 

- 모든 조직은 연 1회 이상 침해사고 대응훈련을 실시하여야 하며, 훈련의 목적은 실제 상황에서의 대응 역량을 높이고, 보안 체계의 취약점을 사전에 파악하여 보완하는 데 있다.

 

  • 훈련은 실제와 유사한 시나리오 기반으로 구성되어야 하며, 정보보호, 인사, 총무, 법무, 운영 등 전 부서가 참여해야 한다.
  • 훈련 결과는 반드시 보고서로 작성되며, 그 결과는 경영진에게 보고되고 보안체계 개선에 반영되어야 한다.

📎 출처: [가이드북] 정보보호위험관리사(ISRM).pdf, 과목 Ⅲ. 정보보호 위험 대응 전체 내용 (2023년 12월 개정 기준)

 

 

2. 문제풀이

[문제 1] 다음 중 보호대책 이행 시 경영진이 수행해야 할 적절한 행위는?
① 이행계획 수립 전 비용 분석
② 사후 점검 없이 결과만 승인
③ 보호대책의 효과성과 정확성 검토
④ 개발 부서에 전적 위임

정답 보기 정답: ③
해설: 보호대책의 효과성과 정확성 여부를 경영진이 직접 확인하고 승인하는 과정이 필요합니다.



[문제 2] 정보통신서비스제공자가 신규 서비스를 도입할 경우 수행해야 하는 보호조치는?
① CISO 지정
② 관리등급제 신청
③ 정보보호 사전점검 이행
④ 국내대리인 지정

정답 보기 정답: ③
해설: 정보통신서비스제공자는 신규 서비스 도입 또는 변경 시 정보보호 사전점검을 수행해야 합니다.



[문제 3] 개인정보처리자의 법적 의무로 옳지 않은 것은?
① 개인정보처리방침 등록
② 정보주체에 대한 통지
③ 정보보호 보험 가입 의무
④ 국내대리인 지정

정답 보기 정답: ③
해설: 보험 가입은 신용정보업자에게 적용되는 손해배상 이행보장제도이며, 일반 개인정보처리자의 의무는 아닙니다.



[문제 4] 침해사고 대응 절차 중 초기 대응 조치로 가장 적절한 것은?
① 재발 방지 대책 수립
② 로그 분석 및 증거 보존
③ 정책 변경
④ 유관부서 회의 소집

정답 보기 정답: ②
해설: 침해사고 발생 시 초기 대응으로 로그 분석과 증거 보존이 우선되어야 합니다.



[문제 5] 침해사고 발생 후 반드시 작성해야 하는 문서는?
① 개인정보 영향평가서
② 내부 감리 보고서
③ 침해사고 보고서
④ 위험관리지침서

정답 보기 정답: ③
해설: 사고 경과, 원인, 대응 내용 등을 포함한 침해사고 보고서를 작성해야 합니다.



[문제 6] 다음 중 정보통신서비스제공자에게 적용되는 법률이 아닌 것은?
① 정보통신망법
② 정보통신기반 보호법
③ 개인정보 보호법
④ 형법

정답 보기 정답: ④
해설: 형법은 일반 형사법이며, 정보통신서비스제공자의 직접적 법적 근거가 아닙니다.



[문제 7] 다음 중 보호대책 구현의 설명으로 가장 부적절한 것은?
① 이행 계획 수립 후 경영진에게 보고
② 운영명세서 작성
③ 보호대책 미이행 시 이행계획 변경 가능
④ 외부 컨설팅 결과만으로 판단 가능

정답 보기 정답: ④
해설: 외부 컨설팅 결과만으로 판단하는 것은 부적절하며, 조직 내 점검과 보고 체계가 필수입니다.



[문제 8] 침해사고 대응 훈련과 관련된 설명으로 옳은 것은?
① 연 1회 이상 훈련이 의무는 아님
② 법무, 인사, 운영부서는 훈련 대상이 아님
③ 훈련 결과는 별도 기록 없이 구두 보고 가능
④ 훈련 시나리오는 실제 환경을 반영해야 함

정답 보기 정답: ④
해설: 침해사고 대응 훈련은 연 1회 이상 필수이며, 현실 기반의 시나리오를 구성해야 합니다.



[문제 9] 다음 중 국내대리인 지정 제도가 적용되는 주체는?
① 국내 개인정보처리자
② 정보통신서비스제공자
③ 해외 개인정보처리자
④ 국내 공공기관

정답 보기 정답: ③
해설: 국내대리인 지정 제도는 해외에서 개인정보를 처리하는 자가 국내 법적 책임자를 지정하는 제도입니다.



[문제 10] 침해사고 대응 종료 후 수행해야 할 조치로 옳은 것은?
① 원인 분석 및 대응절차 개선
② 정보주체에게 보고 생략
③ 정책을 모두 초기화
④ 피해 시스템 폐기

정답 보기 정답: ①
해설: 사고 종료 후에는 반드시 원인 분석을 통해 절차를 개선하고 재발 방지 대책을 마련해야 합니다.



저작자표시 (새창열림)