🔐 정보보안기사 | 정보보안일반 핵심 정리 (5-2편)
위험처리 전략 4종(수용·감소·전가·회피) · DoA · ISO 31000 · ISO/IEC 27005 · 보호대책 3유형 · 예방/탐지/교정 통제 · BCP vs DRP · BIA · RTO/RPO · 재해복구 사이트 4종 · RAID · 보안사고 대응 절차 · 디지털 포렌식 · 피싱/스미싱/파밍 · ISMS-P 인증 기준 101개 · 클라우드 서비스 4종 · 정보보호 거버넌스까지 완벽 정리.
#정보보안기사
#정보보안일반
#위험처리전략
#BCP
#RТОРPO
#ISMSP
#디지털포렌식
#클라우드보안
📋 목차
- 1. 위험처리 전략 — DoA · 수용·감소·전가·회피 4종
- 2. 위험 관리 국제 표준 — ISO 31000 · ISO/IEC 27005
- 3. 보호대책 3유형 · 통제 3종 — 예방·탐지·교정 통제
- 4. 업무 연속성 · 재해복구 — BCP vs DRP · BIA · BCP 5단계
- 5. RTO · RPO · 재해복구 사이트 4종 · RAID
- 6. 보안사고 대응 절차 · 디지털 포렌식 · netstat -an
- 7. 피싱 · 스미싱 · 파밍 비교
- 8. ISMS · ISMS-P 인증 기준 101개 · 위험 관리 4항목 · 물리 보안 5항목
- 9. 클라우드 서비스 4종 · 정보보호 거버넌스 3대 목표
- 10. 정보보안일반 5-1 ~ 5-2 전체 통합 최종 요약
1. 위험처리 전략 — DoA · 수용·감소·전가·회피 4종
🔧 현직자 실무 포인트
위험처리 전략은 ISMS-P 심사 및 정보보안기사 실기 모두에서 단골 출제 항목입니다. DoA(수용 가능한 목표 위험수준)는 생소한 개념이지만 최근 출제 빈도가 높으니 정의를 정확히 암기하세요.
Q DoA(Degree of Assurance)란?
→ 수용 가능한 목표 위험수준. 식별된 위험의 위험도가 DoA 이하인 경우 원칙적으로 수용하여 조치하지 않음.
단, DoA 이하라도 위험 수준 상승 가능성이 크거나 조직이 중요하다고 판단하는 부분은 보호대책 수립 고려 가능.
| 전략 | 설명 | 예시 |
|---|---|---|
| 위험 수용 (Risk Acceptance) |
현재 위험을 받아들이고 잠재적 손실 비용을 감수하는 전략 | DoA 이하 위험 / 비용 대비 효과 낮을 때 |
| 위험 감소 (Risk Reduction) |
위험을 감소시킬 수 있는 대책을 채택하여 구현하는 전략 | 방화벽·IPS·암호화 도입 / 가장 일반적 전략 |
| 위험 전가 (Risk Transfer) |
잠재적 손실 비용을 보험·외주 등 제3자에게 이전하는 전략 | 사이버보험 가입 / 보안 운영 외주(MSSP) |
| 위험 회피 (Risk Avoidance) |
위험이 존재하는 프로세스나 사업 자체를 포기하는 전략 | 고위험 서비스 폐기 / 취약 시스템 운영 중단 |
🎯 시험 출제 포인트
- DoA = 수용 가능한 목표 위험수준 / DoA 이하 위험 → 원칙적 수용
- 위험 수용 = 손실 감수 / 위험 감소 = 대책 구현 / 위험 전가 = 제3자 이전(보험·외주) / 위험 회피 = 사업 포기
2. 위험 관리 국제 표준 — ISO 31000 · ISO/IEC 27005
| 표준 | 위험 관리 프로세스 |
|---|---|
| ISO 31000 (범용 위험관리) |
상황 설정 → 위험 식별 → 위험 분석 → 위험 평가 → 위험 대응 + 전 과정: 의사소통 및 협의 + 모니터링 및 검토 병행 위험 대응: 회피·완화·수용·전가 등 대응 방안 수립 |
| ISO/IEC 27005 (정보보안 위험관리) |
6개 프로세스: 상황 설정 → 위험 진단 및 평가 → 위험 대응 → 위험 수용 → 의사소통 및 협의 → 모니터링 및 검토 위험 진단 및 평가 세부: 위험 식별 → 위험 분석 → 위험 평가 3단계 |
🎯 시험 출제 포인트
- ISO 31000 = 범용 위험관리 / 5단계 + 의사소통·모니터링 병행
- ISO/IEC 27005 = 정보보안 위험관리 표준 / 6개 프로세스
- 공통 전 과정 활동: 의사소통 및 협의 / 모니터링 및 검토
3. 보호대책 3유형 · 통제 3종 — 예방·탐지·교정 통제
| 보호대책 유형 | 설명 | 예시 |
|---|---|---|
| 기술적 보호대책 | 시스템·네트워크·앱 보호를 위한 정보보호 솔루션 도입, 접근통제, 암호 기술, 백업 체계 | 방화벽·IPS·암호화·백업 |
| 관리적 보호대책 | 정보보호를 계획하고 관리하기 위한 정책·표준·지침·절차 | 보안정책 수립·보안교육·감사 |
| 물리적 보호대책 | 시설물에 대한 출입 통제·작업 통제·장비 보안 | 출입통제시스템·CCTV·잠금장치 |
| 통제 유형 | 설명 | 예시 |
|---|---|---|
| 예방통제 (Preventive) | 위험을 사전에 식별하여 대처하는 능동적 통제 | 보안정책·암호화·방화벽·잠금장치 |
| 탐지통제 (Detective) | 예방통제를 우회하여 발생하는 위험을 탐지 | IDS·로그 분석·감사·CCTV |
| 교정통제 (Corrective) | 탐지된 위험에 대처하거나 위협·취약점을 사후 감소시키는 통제 | 패치·백신·사고 대응·복구 |
🎯 시험 출제 포인트
- 기술적 = 솔루션·암호화 / 관리적 = 정책·절차 / 물리적 = 출입·장비 보안
- 예방통제 = 사전 능동적 / 탐지통제 = 발생 중 탐지 / 교정통제 = 사후 대처
4. 업무 연속성 · 재해복구 — BCP vs DRP · BIA · BCP 5단계
업무 연속성 계획
🏢 BCP (Business Continuity Planning)
인재·천재지변·테러 등 장애·재해로 업무 중단 시 최대한 빠르게 복구하기 위한 계획. IT 부문 + 인력·설비·자금 등 조직 전 영역 대상.
재해복구 계획
💻 DRP (Disaster Recovery Planning)
IT 서비스 기반에 재해 발생 시 빠른 복구로 업무 영향 최소화. IT 영역에만 국한된 개념. BCP의 하위 개념.
Q BIA(Business Impact Analysis, 업무 영향 분석)란?
→ BCP의 핵심 절차. 전체 사업의 핵심 업무를 파악하고 업무별 전체 사업 영향도를 분석하여 복구 우선순위를 결정하는 과정.
주요 내용: ① 핵심 업무 프로세스 식별 ② 재해 유형 식별 및 발생 가능성 평가 ③ 업무 프로세스별 중요도·손실 평가 ④ 복구 우선순위 결정
BCP 5단계 방법론
① 프로젝트 범위 설정 및 기획
→
② BIA (사업영향평가)
→
③ 복구전략 개발
→
④ 복구계획 수립
→
⑤ 테스트 및 유지보수
🎯 시험 출제 포인트
- BCP = 조직 전 영역 / DRP = IT 영역 한정 / DRP ⊂ BCP
- BIA = BCP의 핵심 절차 / 복구 우선순위 결정
- BCP 5단계: 범위설정→BIA→복구전략→복구계획→테스트·유지보수
5. RTO · RPO · 재해복구 사이트 4종 · RAID
복구 시간 목표
⏱️ RTO (Recovery Time Objective)
재해로 서비스 중단 시 복구까지 걸리는 최대 허용 시간. RTO가 짧을수록 빠른 복구 체계 필요.
복구 시점 목표
📅 RPO (Recovery Point Objective)
서비스 복구 시 유실을 감내할 수 있는 데이터 손실 허용 시점. RPO가 짧을수록 더 자주 백업 필요.
| 사이트 유형 | 설명 | 복구 속도 / 비용 |
|---|---|---|
| Cold Site (콜드 사이트) |
IT 자원을 보유하지 않고 공간만 확보한 사이트 | 복구 느림 / 비용 최저 |
| Warm Site (웜 사이트) |
중요성이 높은 일부 IT 자원만 부분적으로 보유 | 중간 복구 속도 / 중간 비용 |
| Hot Site (핫 사이트) |
주센터와 동일 수준 시스템을 원격 구축. 실시간 미러링 유지 후 재해 시 활성화 | 복구 빠름 / 비용 높음 |
| Mirror Site (미러 사이트) |
Hot Site와 달리 항상 활성 상태로 실시간 동시 서비스. 재해 발생 시 즉시 서비스 가능. | 즉시 복구 / 비용 최고 |
Q RAID(Redundant Array of Inexpensive Disks)란?
→ 여러 개의 물리적 디스크를 묶어 논리적 배열로 정의하는 이중화 및 성능 향상 기술. 실제 데이터는 여러 물리적 디스크에 분산 저장.
저가 디스크 배열로 대형 디스크 장비에 버금가는 성능·가용성·안전한 복구 기능 제공.
🎯 시험 출제 포인트
- RTO = 복구 시간 목표(최대 허용 시간) / RPO = 복구 시점 목표(데이터 손실 허용 범위)
- Cold = 공간만 / Warm = 일부 자원 / Hot = 동일 수준 대기(미러링) / Mirror = 동일 수준 상시 운영(즉시)
- 복구 속도: Mirror > Hot > Warm > Cold / 비용 반비례
- RAID = 여러 디스크 묶어 이중화·성능 향상
6. 보안사고 대응 절차 · 디지털 포렌식 · netstat -an
보안사고 대응 절차 6단계
① 사고 탐지
→
② 초기 대응
→
③ 사고 조사
→
④ 사고 완화
→
⑤ 사고 해결
→
⑥ 보고서 작성
📋 단계별 핵심 내용
② 초기 대응: 사고 징후 확인 + 사고 대응팀 구성
③ 사고 조사: 증거 수집 + 원인 분석
④ 사고 완화: 피해 확산 방지 조치
Q 디지털 포렌식(Digital Forensic)이란?
→ 컴퓨터·스마트폰 등 디지털 기기에서 법적 증거로 사용할 수 있는 디지털 증거를 수집·분석·보전하는 과정
민·형사 소송 등 법적 절차에서 활용 가능하도록 적법한 절차에 따라 증거 획득 및 보전. 무결성·연계보관성(Chain of Custody) 유지 필수.
Q netstat -an 명령어의 역할은?
→ 침해사고 분석 시 피해 시스템의 현재 네트워크 연결 상태 확인
-a: 연결 중이거나 연결 대기 중인 모든 소켓 상태정보 출력
-n: 네트워크 주소를 IP 주소·포트 번호 형태의 숫자로 출력 공격자가 열어놓은 포트·서비스에 연결된 세션 정보 등 공격자 흔적 추적에 활용.
-a: 연결 중이거나 연결 대기 중인 모든 소켓 상태정보 출력
-n: 네트워크 주소를 IP 주소·포트 번호 형태의 숫자로 출력 공격자가 열어놓은 포트·서비스에 연결된 세션 정보 등 공격자 흔적 추적에 활용.
🎯 시험 출제 포인트
- 보안사고 대응 6단계: 탐지→초기대응→조사→완화→해결→보고서
- 디지털 포렌식 = 디지털 기기에서 법적 증거 수집·분석·보전 / 적법한 절차 필수
- netstat -an: -a = 모든 소켓 / -n = 숫자(IP·포트) 형태 출력
7. 피싱 · 스미싱 · 파밍 비교
| 공격 유형 | 방법 | 핵심 키워드 |
|---|---|---|
| 피싱 (Phishing) | 이메일·가짜 웹사이트를 통해 개인정보·금융정보 탈취 | 이메일 / 가짜 사이트 |
| 스미싱 (Smishing) | SMS 문자메시지를 이용해 악성 URL 클릭 유도 또는 개인정보 탈취 | SMS / 악성 URL |
| 파밍 (Pharming) | 정상적인 주소 입력에도 DNS 조작 또는 호스트 파일 변조로 가짜 사이트로 유도 | DNS 조작 / hosts 파일 변조 |
🎯 시험 출제 포인트
- 피싱 = 이메일·가짜 웹사이트 / 스미싱 = SMS / 파밍 = DNS 조작·hosts 파일 변조
- 파밍 특징: 사용자가 정상 주소를 입력해도 가짜 사이트로 연결 → 피싱보다 탐지 어려움
8. ISMS · ISMS-P 인증 기준 101개 · 위험 관리 4항목 · 물리 보안 5항목
Q ISMS vs ISMS-P 차이는?
→ ISMS = 정보보호만 대상 / ISMS-P = 정보보호 + 개인정보보호 통합 인증
인증기관: 과학기술정보통신부장관 + 개인정보보호위원회 지정. 심사 주기: 최초심사 → 매년 사후심사 → 3년마다 갱신심사
ISMS-P 인증 기준 3영역 · 총 101개
| 영역 | 명칭 | 항목 수 |
|---|---|---|
| 1 | 관리체계 수립 및 운영 | 16개 |
| 2 | 보호대책 요구사항 | 64개 |
| 3 | 개인정보 처리 단계별 요구사항 | 21개 |
| 합계 | 총 101개 |
위험 관리 분야 4항목
📊 관리체계 수립 및 운영 영역
① 정보자산 식별 ② 현황 및 흐름분석 ③ 위험 평가 ④ 보호대책 선정
위험 평가: 연 1회 이상 수행 / 수용 위험은 경영진 승인
위험 평가: 연 1회 이상 수행 / 수용 위험은 경영진 승인
물리 보안 통제 5항목
🏗️ 보호대책 요구사항 영역
① 보호구역 지정 ② 출입통제 ③ 정보시스템 보호 ④ 보호설비 운영 ⑤ 보호구역 내 작업
보호구역: 통제구역·제한구역·접견구역으로 구분
보호구역: 통제구역·제한구역·접견구역으로 구분
🎯 시험 출제 포인트
- ISMS = 정보보호만 / ISMS-P = 정보보호 + 개인정보보호 통합
- 심사 주기: 최초심사 → 매년 사후심사 → 3년마다 갱신심사
- ISMS-P 인증 기준: 관리체계 16 + 보호대책 64 + 개인정보 21 = 총 101개
- 위험 관리 4항목: 자산식별→현황흐름분석→위험평가→대책선정
- 위험 평가: 연 1회 이상 / 수용 위험 → 경영진 승인
- 보호구역 3종: 통제구역·제한구역·접견구역
9. 클라우드 서비스 4종 · 정보보호 거버넌스 3대 목표
| 서비스 | 제공 대상 | 설명 |
|---|---|---|
| IaaS | Infrastructure as a Service | 서버·스토리지·네트워크 등 하드웨어 인프라 자원만 제공 |
| PaaS | Platform as a Service | 애플리케이션 개발·배포에 필요한 운영체제·개발환경 플랫폼 제공 |
| SaaS | Software as a Service | 클라우드 환경에서 동작하는 애플리케이션 제공 |
| DaaS | Desktop as a Service | 가상 데스크톱 환경 제공 |
Q 정보보호 거버넌스의 3대 목표는?
→ ① 책임성(Accountability): 정보보호 활동에 대한 역할과 책임이 명시되어야 함
② 비즈니스 연계성(Business Alignment): 정보보호가 비즈니스 목표·전략과 연계되어야 함
③ 준거성(Compliance): 조직 내부 요구사항과 외부 관련 법·규정을 준수해야 함
② 비즈니스 연계성(Business Alignment): 정보보호가 비즈니스 목표·전략과 연계되어야 함
③ 준거성(Compliance): 조직 내부 요구사항과 외부 관련 법·규정을 준수해야 함
🎯 시험 출제 포인트
- IaaS = 인프라(HW) / PaaS = 플랫폼(OS·개발환경) / SaaS = 소프트웨어(앱) / DaaS = 가상 데스크톱
- 정보보호 거버넌스 3대 목표: 책임성(Accountability) · 비즈니스 연계성 · 준거성(Compliance)
10. 📌 정보보안일반 5-1 ~ 5-2 전체 통합 최종 요약
🎯 절대 암기 포인트 — 5편 全 범위
- CIA 3속성: 무결성(변경없음확인)·인증성(송신자확인)·기밀성(노출방지)
- 자산 중요도 기준: 기밀성·무결성·가용성(CIA)
- RBAC = 역할 기반 / MAC = 강제적(시스템 레이블) / DAC = 임의적(소유자 설정)
- DAC = Lampson 제안 / TCSEC 표준 / 악성코드에 취약
- BLP = 기밀성(No Read Up · No Write Down) / Biba = 무결성(No Read Down · No Write Up)
- Clark-Wilson = 상업적 무결성 / Chinese Wall = 기밀성+무결성(이해충돌 방지)
- Shodan = 인터넷 연결 기기 검색엔진 / Dark Web 접근: Tor·I2P
- 웹 3분류: Surface Web → Deep Web → Dark Web
- 비트코인 = 사토시 나카모토·블록체인·해시 알고리즘 / 채굴 = 해시 연산 → 비트코인 획득
- 전자서명 서비스 3종: 메시지 무결성·메시지 인증·부인방지
- 전자서명 요구조건 5종: 위조불가·변경불가·서명자인증·부인방지·재사용불가
- Smart OTP = IC 카드 + 스마트폰 NFC 접촉 / ARS·SMS 불필요
- CA = 인증기관(발급·폐지·갱신) / RA = 등록기관(신원확인 대행)
- CRL = 인증서 폐지 목록(오프라인) / OCSP = 실시간 온라인 상태 확인
- 인증서 폐지 사유: 주체 개인키 유출 / CA 개인키 유출 / CA 신뢰 상실
- AES: 블록 128비트 / 키 128·192·256비트 / Rijndael / NIST 2001년
- 대칭키 = 빠름·키 교환 문제 / 공개키 = 키 교환 해결·느림 / 실전: 하이브리드
- 해시함수: 일방향성·약한 충돌 저항성·강한 충돌 저항성
- Diffie-Hellman: 이산대수 문제 기반 / 개인키 = 소문자 a
- 위험 관리 5단계: 전략수립→위험분석→위험평가→대책선정→계획수립
- 위험 구성요소 4종: 자산·위협·취약성·보호대책
- 정성적 분석 4종: 델파이·시나리오·순위결정·퍼지행렬
- SLE = AV × EF / ALE = SLE × ARO
- 정책 계층: 정책(최상위)→표준(강제)→지침(권고)→절차(단계별)
- CC = ISO/IEC 15408 / EAL1(최저)~EAL7(최고) / 구성: TOE·PP·ST·EAL
- ISMS PDCA: Plan→Do→Check→Act 지속 순환
- DoA = 수용 가능한 목표 위험수준
- 위험처리 4전략: 수용(손실감수)·감소(대책)·전가(보험·외주)·회피(사업포기)
- ISO 31000: 상황설정→식별→분석→평가→대응 + 의사소통·모니터링 병행
- ISO/IEC 27005: 6개 프로세스 / 위험 진단 및 평가 세부: 식별→분석→평가
- 보호대책 3유형: 기술적(솔루션)·관리적(정책)·물리적(출입·장비)
- 통제 3종: 예방(사전)·탐지(발생중)·교정(사후)
- BCP = 조직 전 영역 / DRP = IT 영역 한정
- BIA = BCP 핵심 절차 / 복구 우선순위 결정
- BCP 5단계: 범위설정→BIA→복구전략→복구계획→테스트유지보수
- RTO = 복구 시간 목표(최대 허용 시간) / RPO = 복구 시점 목표(데이터 손실 허용)
- 재해복구 사이트: Cold(공간)→Warm(일부)→Hot(동일대기)→Mirror(즉시)
- 보안사고 대응: 탐지→초기대응→조사→완화→해결→보고서
- 디지털 포렌식 = 디지털 기기에서 법적 증거 수집·분석·보전 / 적법한 절차
- netstat -an: -a = 모든 소켓 / -n = 숫자(IP·포트) 출력
- 피싱 = 이메일·가짜사이트 / 스미싱 = SMS / 파밍 = DNS조작·hosts변조
- ISMS = 정보보호만 / ISMS-P = 정보보호+개인정보보호 통합
- ISMS-P 심사 주기: 최초심사→매년 사후심사→3년마다 갱신심사
- ISMS-P 101개: 관리체계 16 + 보호대책 64 + 개인정보 21
- 위험 평가: 연 1회 이상 / 수용 위험 → 경영진 승인
- 보호구역 3종: 통제구역·제한구역·접견구역
- 클라우드: IaaS = 인프라 / PaaS = 플랫폼 / SaaS = 소프트웨어 / DaaS = 가상 데스크톱
- 정보보호 거버넌스 3대 목표: 책임성·비즈니스 연계성·준거성