정보보호위험관리사(ISRM) 자격증 시험 - 마무리
0. 들어가기
- 필자는 1회차 시험에 응시하였습니다. 후기는 추후에 남기도록 하겠습니다.
- 아래 내용은 가이드북 및 샘플문제를 보며 주로 나왔던 내용을 참고하여 작성하였습니다.
- 마지막으로 30문제 작성하였습니다. 한번 풀어보시기 바랍니다.
- 가이드북 10문제 + 샘플 10문제 + 실전 10문제 (응시 후 비슷하거나 똑같았던 문제)로 작성!!!!
1. ISRM 전 과목 핵심 요약 (1~5과목)
📘 1과목: 정보보호 위험관리 계획
- 핵심 목표: 정보보호 관리체계를 수립하기 위한 전반적인 준비과정 이해
- 주요 내용:
- 정보보호의 3요소(CIA: 기밀성·무결성·가용성)
- CISO, CPO의 공식 지정 및 역할
- 정보보호 범위 설정, 보호대상 정의
- 관리체계 생명주기, 정보보호 정책 수립
- 출제 포인트:
- 정보보호 계획 수립 절차
- 정보보호 조직 구성 및 법적 기준
- 정보보호 정책 구성요소
📗 2과목: 정보보호 위험평가
- 핵심 목표: 조직의 자산·위협·취약성을 바탕으로 위험 수준을 평가
- 주요 내용:
- 자산 식별, 위협 분류, 취약점 평가
- 정량/정성적 위험평가 기법 (예: IRR, ROI, 기대손실)
- 위험수용, 전가, 회피, 감소 전략
- 출제 포인트:
- 위험 = 위협 × 취약성 × 자산가치
- 위험 수준 산정, 목표 위험수준 설정
- 법적 준거성 평가 포함 여부
📙 3과목: 정보보호 위험 대응
- 핵심 목표: 식별된 위험에 적절한 보호대책을 수립 및 시행
- 주요 내용:
- 보호대책 구현 (기술적·관리적·물리적)
- ISMS-P, ISO/IEC 27001, CC 인증 등 기준 연계
- 보안 요구사항 분석 및 시스템 반영
- 안전한 시스템 개발 및 인수 시험
- 출제 포인트:
- 보호대책 수립 프로세스
- CC 평가보증수준(EAL) 이해
- 시험·운영환경 분리, 시험데이터 보호
📕 4과목: 정보보호 관리체계 운영
- 핵심 목표: 수립된 정보보호 관리체계를 지속적·효율적으로 운영
- 주요 내용:
- 정보보호 정책의 유지 및 개정
- 로그관리, 접근통제, 재해복구(DR), 사고대응
- 인적보안(직무 분리, 퇴직자 관리 등)
- 출제 포인트:
- 침해사고 대응 시나리오, 사고 대응 프로세스
- 로그 최소보존기간, 접속기록 점검 주기
- 모의훈련/보안 교육/직무별 권한부여
📒 5과목: 정보보호 위험대책 관리
- 핵심 목표: 보안 정책 및 시스템의 효과적 운영과 성과관리
- 주요 내용:
- 보안시스템 정책 등록/삭제 절차
- 정책 정기 검토, 변경 승인 프로세스
- 정보보호 성과지표(KPI) 수립 및 보고
- 변경관리 절차, 장애 대응 계획
- 출제 포인트:
- 정책 예외처리 요건
- 점검 후 개선조치 및 이행계획 수립
- 조직 보안지표 도출 및 경영보고
2. 총 정리 30문제 (가이드북10 + 샘플문제10 + 기출10)
[문제 1]
다음 중 정보보호 3요소(CIA)에 해당하지 않는 것은?
① 기밀성
② 무결성
③ 가용성
④ 확장성
출처: [가이드북] 정보보호위험관리사(ISRM).pdf p.169
[정답 보기]
정답: ④해설: 확장성은 시스템 설계 요소로 정보보호 3요소에 해당하지 않습니다.
[문제 2]
CISO의 역할로 가장 적절한 것은?
① 개인정보 수집
② 정보보호 예산 승인
③ 고객 CS 응대
④ 정보보호 조직 총괄
출처: [가이드북] 정보보호위험관리사(ISRM).pdf p.178
[정답 보기]
정답: ④해설: CISO는 정보보호 조직을 총괄하고 정책·운영 전반을 책임지는 자입니다.
[문제 3]
위험도 = 자산가치 × 위협 × 취약성이라 할 때, 자산가치 3, 위협 2, 취약성 3일 경우 위험도는?
① 8
② 12
③ 18
④ 6
출처: [가이드북] 정보보호위험관리사(ISRM).pdf p.68
[정답 보기]
정답: ③해설: 위험도 = 3 × 2 × 3 = 18
[문제 4]
다음 중 외부 위협에 해당하는 것은?
① 퇴직자의 내부 자료 유출
② 정전이나 홍수
③ 개발자의 실수
④ 시스템 설정 오류
출처: [가이드북] 정보보호위험관리사(ISRM).pdf p.214
[정답 보기]
정답: ②해설: 자연재해와 같은 환경 요인은 외부 위협입니다.
[문제 5]
CC 인증에서 EAL 등급이 의미하는 것은?
① 위험 수용 정도
② 보안 제품의 운영 능력
③ 보안기능 구현 신뢰 수준
④ 인증 기관의 등급
출처: [가이드북] 정보보호위험관리사(ISRM).pdf p.113
[정답 보기]
정답: ③해설: EAL은 보안 기능의 구현 및 검증 신뢰도를 나타냅니다.
[문제 6]
다음 중 기술적 보호대책에 해당하지 않는 것은?
① 방화벽
② VPN
③ 정보보호 교육
④ 암호화
출처: [가이드북] 정보보호위험관리사(ISRM).pdf p.117
[정답 보기]
정답: ③해설: 정보보호 교육은 관리적 보호대책에 해당합니다.
[문제 7]
개인정보처리시스템의 접속기록 최소 보존 기간은?
① 6개월
② 1년
③ 3년
④ 2년
출처: [가이드북] 정보보호위험관리사(ISRM).pdf p.196
[정답 보기]
정답: ②해설: 개인정보처리시스템의 접속기록은 1년 이상 보관해야 합니다.
[문제 8]
침해사고 대응 순서로 올바른 것은?
① 탐지 → 식별 → 대응 → 복구
② 식별 → 탐지 → 대응 → 복구
③ 대응 → 식별 → 복구 → 탐지
④ 복구 → 탐지 → 대응 → 식별
출처: [가이드북] 정보보호위험관리사(ISRM).pdf p.203
[정답 보기]
정답: ①해설: 탐지 → 식별 → 대응 → 복구는 표준적인 사고 대응 흐름입니다.
[문제 9]
보안 시스템 예외 정책 적용 시 고려사항이 아닌 것은?
① 최소 권한 원칙 준수
② 명확한 적용 기간 설정
③ 사전 승인 절차
④ 상시 운영을 기본으로 함
출처: [가이드북] 정보보호위험관리사(ISRM).pdf p.284
[정답 보기]
정답: ④해설: 예외 정책은 제한적이고 일시적으로 적용해야 하며, 상시는 부적절합니다.
[문제 10]
다음 중 정보보호 성과지표(KPI)로 보기 어려운 것은?
① 보안 정책 위반 건수
② 시스템 응답 속도
③ 악성코드 탐지 수
④ 보안 교육 이수율
출처: [가이드북] 정보보호위험관리사(ISRM).pdf p.289
[정답 보기]
정답: ②해설: 응답 속도는 성능 지표이며, 정보보호 KPI와는 무관합니다.
[문제 11]
다음 중 정보보호 정책 수립 시 고려사항으로 보기 어려운 것은?
① 조직의 특성 반영
② 정보시스템 이용자 수
③ 선정할 위험평가 방법
④ 최신 위협동향 고려
출처: [샘플문제] 정보보호위험관리사(ISRM).pdf
[정답 보기]
정답: ②해설: 정책 수립에는 사용자 수보다 정책 구조와 범위, 책임 등이 더 중요합니다.
[문제 12]
다음 중 정보자산 식별 시 잘못된 조치로 볼 수 있는 것은?
① 자산 목록 최신화
② 제3자 제공 개인정보는 제외
③ 자산 분류 기준 수립
④ 보안 등급 부여
출처: [샘플문제] 정보보호위험관리사(ISRM).pdf
[정답 보기]
정답: ②해설: 외부로부터 위탁받은 개인정보도 자산으로 포함해야 합니다.
[문제 13]
위험의 세 가지 요소로 올바르게 짝지어진 것은?
① 위협, 취약성, 자산
② 자산, 위협, 취약성
③ 취약성, 위협, 자산
④ 위협, 자산, 노출
출처: [샘플문제] 정보보호위험관리사(ISRM).pdf
[정답 보기]
정답: ②해설: 위험은 자산이 위협과 취약성의 영향을 받을 때 발생합니다.
[문제 14]
다음 중 위험처리 전략에 해당하지 않는 것은?
① 위험 회피
② 위험 분산
③ 위험 수용
④ 위험 전가
출처: [샘플문제] 정보보호위험관리사(ISRM).pdf
[정답 보기]
정답: ②해설: 위험 분산은 일반 금융 전략 용어이며 보안 위험처리 전략에 해당하지 않습니다.
[문제 15]
보안점검 수행 및 테스트 단계에서 고려할 사항으로 옳은 것은?
① 시스템 이관 전 사전 점검
② 사용자 요구사항 분석
③ 보안 정책 수립
④ 예산 승인 절차
출처: [샘플문제] 정보보호위험관리사(ISRM).pdf
[정답 보기]
정답: ①해설: 시스템 전환 전 보안 사전점검은 필수 절차입니다.
[문제 16]
정보보호 사전점검 시 설명으로 부적절한 것은?
① 운영 시스템 이관 전 점검 수행
② 침입 방지 시스템 필수 도입
③ 정밀 취약점 진단 포함
④ 모의해킹 포함 가능
출처: [샘플문제] 정보보호위험관리사(ISRM).pdf
[정답 보기]
정답: ②해설: IPS는 선택적 요소이며 필수는 아닙니다.
[문제 17]
단일 손실 예상 금액(SLE)이 1천만원이고 연간 발생빈도가 4회라면, 연간 손실 예상 금액(ALE)은?
① 2천만원
② 4천만원
③ 5천만원
④ 1천만원
출처: [샘플문제] 정보보호위험관리사(ISRM).pdf
[정답 보기]
정답: ②해설: ALE = SLE × 연간 발생빈도 = 1,000만원 × 4 = 4,000만원
[문제 18]
취약점 진단 방법 중 기술적 진단 방법으로 보기 어려운 것은?
① 자동 도구 사용
② 수동 진단
③ 인터뷰 기반 진단
④ 모의해킹 수행
출처: [샘플문제] 정보보호위험관리사(ISRM).pdf
[정답 보기]
정답: ③해설: 인터뷰 기반은 관리적 진단 방식입니다.
[문제 19]
보안 시스템 예외 허용 시 반드시 필요한 조치가 아닌 것은?
① 명확한 기간 설정
② 관리자 사전 승인
③ 로그 자동 삭제
④ 최소 권한 적용
출처: [샘플문제] 정보보호위험관리사(ISRM).pdf
[정답 보기]
정답: ③해설: 로그는 감사 및 사고 분석을 위해 반드시 보관되어야 합니다.
[문제 20]
정보보호 위험대책 수립 시 고려할 요소로 가장 부적절한 것은?
① 자산 중요도
② 외부 감사 일정
③ 위협 발생 가능성
④ 보호조치 우선순위
출처: [샘플문제] 정보보호위험관리사(ISRM).pdf
[정답 보기]
정답: ②해설: 외부 감사 일정은 참고 요소일 수 있지만 핵심 고려사항은 아닙니다.
[문제 21]
다음 중 정보보호 정책이 가져야 할 최소 구성요소로 보기 어려운 것은?
① 정책의 목적
② 용어의 정의
③ 예산 편성 절차
④ 책임과 역할
[정답 보기]
정답: ③해설: 예산 편성은 별도의 절차이며 정책의 필수 구성요소는 아닙니다.
[문제 22]
다음 중 정보보호 거버넌스 구성요소로 보기 어려운 것은?
① 위험 식별
② 의사결정 체계
③ 보안기능 테스트
④ 정책 수립
[정답 보기]
정답: ③해설: 보안기능 테스트는 운영 항목이며, 거버넌스 항목과는 구분됩니다.
[문제 23]
다음 중 정량적 위험평가 방식의 장점으로 가장 적절한 것은?
① 직관적이며 빠르게 수행 가능
② 수치 기반으로 우선순위 도출 가능
③ 다양한 시나리오 적용 가능
④ 인터뷰 기반의 유연한 적용 가능
[정답 보기]
정답: ②해설: 정량적 평가는 수치화된 비교와 우선순위 설정에 유리합니다.
[문제 24]
위협과 취약성의 결합이 의미하는 것은?
① 법적 책임 발생 가능성
② 실제 손실 발생
③ 위험 발생 가능성
④ 보안 교육 이수율 저하
[정답 보기]
정답: ③해설: 위협이 존재하고 취약점이 존재할 때 위험이 발생합니다.
[문제 25]
위험 대응 전략으로 가장 적절하지 않은 것은?
① 회피
② 통합
③ 이전
④ 수용
[정답 보기]
정답: ②해설: 통합은 일반적인 보안 위험 대응 전략이 아닙니다.
[문제 26]
보안 솔루션 도입 시 고려해야 할 요소로 보기 어려운 것은?
① 조직의 보안 정책
② 공급업체의 마케팅 전략
③ 기술 호환성
④ 유지보수 지원 수준
[정답 보기]
정답: ②해설: 마케팅 전략은 제품 선정 기준에서 고려 우선순위가 아닙니다.
[문제 27]
보안 로그의 주요 활용 목적이 아닌 것은?
① 사고 대응
② 사용량 분석
③ 접속 추적
④ 보안 감사
[정답 보기]
정답: ②해설: 사용량 분석은 운영 목적이며, 보안 로그의 주요 목적과는 다릅니다.
[문제 28]
내부직원 보안 사고 대응 방안으로 가장 부적절한 것은?
① 정기적 보안 교육 시행
② 최소권한 원칙 적용
③ 모든 로그 자동 삭제
④ 중요 업무 변경 시 모니터링 강화
[정답 보기]
정답: ③해설: 로그는 사고 조사 및 감사에 필수적이므로 삭제는 부적절합니다.
[문제 29]
KPI 설정 시 적절하지 않은 지표는?
① 보안교육 이수율
② 취약점 대응률
③ 시스템 메모리 사용량
④ 악성코드 탐지 건수
[정답 보기]
정답: ③해설: 시스템 메모리는 성능 지표이며 보안성과 직접 관련이 없습니다.
[문제 30]
정보보호 대책의 우선순위를 결정할 때 가장 먼저 고려해야 하는 것은?
① 도입 비용
② 예상 피해 규모
③ 조직의 문화
④ 감사 대응 능력
[정답 보기]
정답: ②해설: 피해 규모가 크고 가능성이 높은 위험에 우선 대응합니다.