🔐 정보보안기사 | 정보보안 법규 핵심정리(6-2편)

위험 평가(Risk Assessment) 심화 · ISO/IEC 위험 구성요소 관계 · 위험 분석 접근방법 4종(기준선·상세·복합·비정형) · 자산 목록/가치 평가/그룹핑 · ISMS-P 위험 평가 세부 · 이동형 영상정보처리기기 3종(제25조의2) · 접속기록 5항목 심화까지 보충 완벽 정리.

#정보보안기사 #위험분석접근방법 #기준선접근법 #복합접근법 #자산분석 #ISMSP위험평가 #이동형영상기기 #접속기록5항목

📋 목차

1. 위험 평가(Risk Assessment) 심화 — DoA · 경영진 의사결정
2. ISO/IEC 위험 구성요소 간 관계 모델
3. 위험 분석 접근방법 4종 — 기준선·상세·복합·비정형
4. 복합 접근법 장단점 심화
5. 자산 분석 3단계 — 자산 목록·가치 평가·그룹핑
6. CIA 트라이어드와 위험 관리의 관계
7. ISMS-P 위험 평가 항목 세부 요구사항
8. 이동형 영상정보처리기기 3종 (개인정보보호법 제25조의2)
9. 접속기록 5항목 심화
10. 정보보안일반·법규 5-1 ~ 5-4 전편 최종 마무리 요약

1. 위험 평가(Risk Assessment) 심화 — DoA · 경영진 의사결정

🔧 현직자 실무 포인트

위험 분석(Risk Analysis)과 위험 평가(Risk Assessment)는 시험에서 자주 혼동 출제됩니다. 분석은 위협·취약성·가능성을 측정하는 과정이고, 평가는 그 결과로 DoA 기준 대응 여부를 결정하는 과정임을 명확히 구분하세요.

Q 위험 평가(Risk Assessment)란?

→ 위험 분석 결과를 이용하여 최종적으로 위험도를 평가하고, 조직에서 수용 가능한 목표 위험수준(DoA)을 정하여 이를 기준으로 위험의 대응 여부와 우선순위를 결정하는 과정 • DoA를 초과하는 위험에 대해서만 적절한 대책 마련
• DoA는 정보보호 최고책임자(CISO) 등 경영진의 의사결정으로 결정

구분	설명
위험 분석 (Risk Analysis)	자산의 위협 종류·영향·발생 가능성 등을 측정·평가하는 과정
위험 평가 (Risk Assessment)	분석 결과를 바탕으로 DoA 기준으로 위험의 대응 여부·우선순위 결정
DoA (Degree of Assurance)	수용 가능한 목표 위험수준 / 경영진 의사결정으로 결정

🎯 시험 출제 포인트

위험 평가 = DoA 기준으로 대응 여부·우선순위 결정
DoA 초과 위험만 → 보호 대책 마련
DoA 결정 주체: CISO 등 경영진
위험 분석(측정) vs 위험 평가(DoA 기준 대응 결정) 구분 필수

2. ISO/IEC 위험 구성요소 간 관계 모델

위협 (Threat)

→ 취약성 이용 →

취약성 (Vulnerability)

→ 자산 노출 →

자산 (Asset)

위협 + 취약성 + 자산 가치

→ 모두 위험 증가 →

위험 (Risk)

→ 도출 →

보안 요구사항

→ 선정·구현 →

보안 대책

→ 위험 감소

Q ISO/IEC 위험 구성요소 간 관계를 설명하시오.

→ ① 위협은 취약성을 이용하여 공격
② 취약성은 자산을 위협에 노출
③ 위협·취약성·자산 가치는 모두 위험을 증가시킴
④ 위험 파악 → 보안 요구사항 도출 → 보안 대책 선정·구현 → 위험 감소

🎯 시험 출제 포인트

위협 → 취약성 이용 → 자산 노출 → 위험 증가
위험 파악 → 보안 요구사항 도출 → 보안 대책 → 위험 감소
위협·취약성·자산 가치 세 요소 모두 위험을 증가시킴

3. 위험 분석 접근방법 4종 — 기준선·상세·복합·비정형

접근방법	설명	장단점
기준선 접근법 (Baseline Approach)	모든 자산에 체크리스트 형식의 표준화된 보호 대책을 이용하여 보호의 기본 수준을 정하고 위험 분석 수행	✅ 시간·비용 적게 듦 ❌ 조직 특성 미반영 → 과보호 또는 부족한 보호
상세 위험 분석 (Detailed Risk Analysis)	자산 분석 → 위협 평가 → 취약성 평가 → 위험 평가를 순차적으로 수행하는 가장 정확한 접근법	✅ 가장 정확 ❌ 시간·비용 많이 소요
복합 접근법 (Combined Approach)	고위험 영역: 상세 위험 분석 그 외 영역: 기준선 접근법 사용하는 혼합 방식	✅ 비용·자원 효율적 ❌ 고위험 영역 잘못 식별 시 낭비
비정형 접근법 (Informal Approach)	정형화된 방법론 없이 내외부 전문가의 경험·지식 기반으로 위험 분석 수행	✅ 소규모 조직에 비용 효율적 ❌ 수행자 경험에 지나치게 의존

🎯 시험 출제 포인트

기준선 = 체크리스트 표준화 / 빠르나 조직 특성 미반영
상세 위험 분석 = 자산→위협→취약성→위험 평가 순차 수행 / 가장 정확하나 비용 큼
복합 = 고위험: 상세 + 일반: 기준선 / 효율적이나 영역 잘못 식별 시 낭비
비정형 = 전문가 경험 기반 / 소규모 조직 적합 / 경험 의존적

4. 복합 접근법 장단점 심화

장점

✅ 복합 접근법의 강점

① 위험 분석 비용·자원을 효과적으로 사용할 수 있음
② 고위험 영역을 빠르게 식별하고 적절하게 처리 가능

단점

❌ 복합 접근법의 한계

고위험 영역이 잘못 식별된 경우, 비용·자원 낭비 또는 부적절한 대응이 될 수 있음

🎯 시험 출제 포인트

복합 접근법 장점: 비용·자원 효율 + 고위험 영역 빠른 식별·처리
복합 접근법 단점: 고위험 영역 오식별 시 비용 낭비·부적절 대응

5. 자산 분석 3단계 — 자산 목록 · 가치 평가 · 그룹핑

단계	설명
① 자산 목록 작성	위험 분석에서 가장 먼저 해야 할 작업. 보호해야 할 자산을 식별하여 목록 작성. 각 자산에 대해 가능한 많은 정보를 담고 중복이나 누락 없이 작성.
② 자산 가치 평가	자산별 기밀성(C)·무결성(I)·가용성(A) 측면에서 중요도 산정. 중요도에 따라 자산의 가치를 평가.
③ 자산 그룹핑	자산의 유형·중요도·사용 용도·위험 등이 유사한 자산들을 하나의 그룹으로 분류. 동일한 위험 분석 작업의 반복을 줄이는 효과.

🎯 시험 출제 포인트

자산 목록 = 위험 분석 첫 단계 / 중복·누락 없이 작성
자산 가치 평가 기준: CIA(기밀성·무결성·가용성)
자산 그룹핑 = 유사 자산 묶어 분석 반복 감소

6. CIA 트라이어드와 위험 관리의 관계

Q 정보보안 3목적 CIA와 위험 관리의 관계는?

→ 정보보안 목적: 기밀성(Confidentiality)·무결성(Integrity)·가용성(Availability) 보장 = CIA 트라이어드 위험 관리 계획 수립 시 위험 평가(Risk Assessment)를 통해 업무의 우선순위 선정 및 보호 대책 수준을 도출. 즉 CIA 목표 달성을 위한 구체적 수단이 위험 관리.

🎯 시험 출제 포인트

CIA 트라이어드: 기밀성·무결성·가용성
위험 평가 → 업무 우선순위 선정 + 보호 대책 수준 도출
자산 중요도 산정 기준 = CIA 세 가지

7. ISMS-P 위험 평가 항목 세부 요구사항

ISMS-P 인증 기준 — 위험 평가 항목 세부 요구사항

다음 요구사항을 모두 충족해야 함

조직의 대내외 환경분석을 통하여 유형별 위협정보 수집
조직에 적합한 위험 평가 방법을 선정하여 관리체계 전 영역에 대해 연 1회 이상 위험 평가 수행
수용할 수 있는 위험은 경영진의 승인을 받아 관리
위험관리 방법 및 절차를 구체화한 위험관리계획 수립
위험평가 방법을 정의하여 문서화

🎯 시험 출제 포인트

위험 평가 수행 주기: 연 1회 이상
수용 위험 승인 주체: 경영진
위험관리계획 수립 + 위험평가 방법 문서화 의무
범위: 관리체계 전 영역

8. 이동형 영상정보처리기기 3종 (개인정보보호법 제25조의2)

유형 ①

⌚ 착용형

안경·시계 등 신체에 착용하는 기기를 통한 촬영

유형 ②

📱 휴대형

이동통신단말장치(스마트폰)·디지털카메라 등 휴대하는 장치를 통한 촬영

유형 ③

🚁 부착·거치형

차량·드론 등 이동할 수 있는 물체에 부착 또는 거치하여 촬영

촬영 사실 고지 방법

📢 표시·알림 의무

고정형(CCTV)과 달리 불빛·소리·안내판 등으로 촬영 사실을 표시하고 알려야 함

구분	고정형 영상정보처리기기 (제25조)	이동형 영상정보처리기기 (제25조의2)
예시	CCTV·네트워크 카메라	스마트폰·드론·스마트글래스·차량 블랙박스
고지 방법	안내판 설치 (목적·장소·시간·관리책임자)	불빛·소리·안내판 등으로 촬영 사실 표시

🎯 시험 출제 포인트

이동형 영상정보처리기기 3종: 착용형(안경·시계) · 휴대형(스마트폰·디지털카메라) · 부착·거치형(차량·드론)
근거 조문: 개인정보보호법 제25조의2
이동형 고지 방법: 불빛·소리·안내판 등으로 촬영 사실 표시
고정형(제25조) = 안내판 / 이동형(제25조의2) = 불빛·소리·안내판

9. 접속기록 5항목 심화

번호	항목명	세부 설명
①	식별자	접속한 자를 식별하기 위한 아이디 등 식별자
②	접속일시	접속 또는 업무를 수행한 연월일 시분초
③	접속지 정보	단말기 또는 서버의 IP 주소 등
④	처리한 정보주체 정보	누구의 개인정보를 처리하였는지 알 수 있는 식별정보
⑤	수행업무	개인정보를 처리한 내용

📋 접속기록 보존 기간 복습

기본: 최소 1년 이상

2년 이상 적용 대상: ① 5만 명 이상 정보주체 처리 ② 고유식별정보 또는 민감정보 처리

🎯 시험 출제 포인트

접속기록 5항목: 식별자·접속일시·접속지 정보·처리한 정보주체·수행업무
접속지 정보 = IP 주소 / 접속일시 = 연월일 시분초 (초 단위까지)
보존 기간: 기본 1년 / 5만 명 이상·고유식별·민감정보 처리: 2년

10. 📌 정보보안일반·법규 5-1 ~ 5-4 전편 최종 마무리 요약

🎯 5-4 보충편 추가 암기 포인트

위험 평가 = DoA 기준으로 대응 여부·우선순위 결정 / DoA 결정: 경영진
위험 분석(측정) vs 위험 평가(DoA 기준 대응 결정) — 개념 혼동 주의
ISO/IEC 위험 관계: 위협→취약성 이용→자산 노출→위험 증가→보안 요구사항→대책→위험 감소
기준선 접근법 = 체크리스트 표준화 / 빠르나 조직 특성 미반영
상세 위험 분석 = 자산→위협→취약성→위험 평가 순차 / 가장 정확 / 비용 큼
복합 접근법 = 고위험: 상세 + 일반: 기준선 혼합 / 효율적
비정형 접근법 = 전문가 경험 기반 / 소규모 적합 / 경험 의존적
자산 분석 3단계: 자산 목록 작성(첫 단계) → 가치 평가(CIA 기준) → 그룹핑(유사 자산 묶기)
ISMS-P 위험 평가: 연 1회 이상 / 경영진 승인 / 위험관리계획 수립·문서화
이동형 영상기기 3종(제25조의2): 착용형·휴대형·부착거치형 / 고지: 불빛·소리·안내판
접속기록 5항목: 식별자·접속일시·접속지·처리한 정보주체·수행업무
접속기록 보존: 기본 1년 / 5만 명 이상·고유식별·민감정보 처리 → 2년

🏆 정보보안기사 시리즈 최종 체크 — 파트별 핵심 키워드

🖥️ 시스템보안(1편): 윈도우 이벤트 로그 / 리눅스 권한·PAM / 버퍼 오버플로우 / 악성코드 유형 / BLP·DAC·MAC / 접근통제 모델
🌐 네트워크보안(2편): OSI 7계층 / DoS·DDoS / ARP·DNS·ICMP 스푸핑 / 필수 포트 번호 / 방화벽·IDS·IPS·WAF / IPsec·SSL/TLS / Zero Trust
🔗 애플리케이션보안(3편): SQL Injection(Union·Blind) / XSS·CSRF·SSRF / OWASP Top 10 / DNSSEC / 웹 보안 헤더 / Apache 설정
🚨 침해사고분석대응(4편): Snort 룰 심화 / MITRE ATT&CK / Cyber Kill Chain / YARA / iptables / CVE·CVSS / APT·랜섬웨어
🔐 정보보안일반·법규(5편): CIA / RBAC·MAC·DAC / BLP·Biba / PKI / 전자서명 / AES / SLE·ALE / BCP·DRP / ISMS-P 101개 / 개인정보보호법 주요 조문 / 위험 분석 접근방법 4종