정보보호론

1. 개요2. 세부 내용

2.1. 정보보호와 정보 시스템2.2. 암호학2.3. 네트워크 보안2.4. 시스템 보안2.5. 정보보호 표준 관리체계2.6. 접근제어2.7. 웹 보안과 데이터베이스 보안2.8. 최신 IT 용어와 보안 기술2.9. 관련법규

1. 개요

2014년에 새로 생긴 공무원 실기시험 과목이며 전산직 공무원을 지망하는 수험생들이 필수로 공부해야 하는 영역. 9급에만 있는 컴퓨터일반과는 다르게 이 쪽은 9급, 7급, 5급[1][2] 까지 다 있다. 제목 그대로 정보 보안 쪽을 중점적으로 다루고 있으며 보통 '정보보호 시스템' , '네트워크 보안', '암호학', '시스템 보안' , 'ISMS-P 관리체계', '접근제어', '정보통신망법이나 개인정보보호법 등의 관련법규' 등을 익히게 된다.

대한민국 군무원의 전산직은 9급의 경우 예전에는 컴퓨터일반과 프로그래밍 언어론 과목을 치르도록 했으나 2017년부터는 일반 전산직 공무원처럼 정보보호론을 치르도록 변경되었다. 2021년에는 일반 전산직의 정보보호 직류에 해당하는 '사이버' 직류가 군무원에도 신설됨에 따라 점점 정보보호론 과목의 중요성이 높아지기 시작했다.

과목이 컴퓨터일반, 자료구조론 등보다는 암기성이 짙은 편이라 비전공자들도 암호학, 네트워크 보안 같은 일부 어려운 파트를 제외하면 단순 암기만으로도 어느 정도 점수를 보장받을 수 있는 과목이다. 그 중에서 관련 개인정보보호법과 정보통신망법같은 법률을 암기하는 부분은 일반행정학에서 외우는 법률보다도 양이 적으므로[3] 법조문을 다운받아 틈틈이 읽기만 해도 시험때 가서 잘 찍을 수 있을 정도로 외워지긴 한다. 다만 과목의 공부량과 범위가 다른 전공과목들에 비해 2~3배 이상으로 많고 일부 어려운 파트는 전공자 수준의 이해를 요하는 파트도 있어 마냥 쉬운 과목이라고 단정하기도 어렵다.

사실 정보보호론은 컴퓨터공학부 전공자 중에서도 소프트웨어 공학과 전공인 사람들 외에는 접해볼 기회가 없다.

정보보안기사에서 다뤄지는 내용의 근간이 되는 이론 과목이다. 정보보안기사 시험은 이 과목에서 비용 계산, 정보보호 설계 등 실무와 관련된 내용이 많이 추가되어 출제된다. 실제로 정보보안기사를 먼저 준비해서 정보보호론을 수월하게 준비하는 사람도 있고 반대로 공무원 시험 합격이후~~몇년동안 공부한게 아까워서~~ 정보보안기사를 준비하는 인원도 있다.[4] 또한 컴퓨터일반 과목처럼 각종 이론서에서는 잘 안다뤄지는 최신 기술과 관련된 용어 문제가 간간히 나오므로 평소에 IT 분야의 뉴스와 정보를 적극적으로 찾아볼 필요가 있다. 즉, 트랜드에 따라서 새로운 내용에 대해서 물어보는 문제들이 간간히 등장하므로 이론서나 기출만으로는 커버가 힘들다.

여담으로 정보보호론 문제는 컴퓨터일반 과목에서도 자주 출제된다. 전산직 수험생들이면 어차피 정보보호론이 필수 과목이라 상관없겠지만, [5] 정보보호론이 과목에 포함되어있지 않은 계리직 공무원 수험생들에게는 뜬금없이 나오는 네트워크/정보 보안 문제에 당황하기 쉬울 수 있다. 그렇기 때문에 요새 나오는 컴퓨터일반 문제집에는 따로 정보보안 이론과 기출문제를 다수 실어놓는 경우가 많다.

2021년 7월 24일 군무원 시험에서도 일반 국가직, 지방직처럼 정보보호론 문제가 공개되어 2022년도 시험에선 군무원 기출문제에 대한 파악도 필수가 되었다.

2. 세부 내용

2.1. 정보보호와 정보 시스템

정보보호론을 처음 접하게 되면 나오는 것으로 정보보호의 개념과 보호 요소에 대해서 공부한다. 주로 정보 보호 3대 기본 요소인 기밀성, 무결성, 가용성에 대한 정의와 침해 공격에 대한 내용이 나오며 더 나아가서는 위험 관리와 분석 기법에 대한 것도 나온다. 제일 처음 나오는 파트임에도 시험 문제에 단골로 나오는 부분이라 꼼꼼히 공부해두는 편이 좋다.

2.2. 암호학

이 과목의 이름이 어째서 정보보호론인지를 여실히 느끼게 해주는 파트이며 보통 암호학의 정의, 공개키 암호와 대칭키 암호의 특징과 종류, Diffie - Hellman, 키 배송 문제 계산, Kerberos, 하이브리드 암호 시스템, 블록 암호 모드, 해시 함수, 공개키 기반 구조, 디지털 서명, 메시지 인증 코드(MAC), 인증 프로토콜 모델, TPM, SSL/TLS 등을 배우는 데 보다시피 내용이 매우 방대한 것도 모자라서 하나하나 안 중요한 게 없다. 그렇기에 정보보호론에서도 시험 문제의 대다수를 차지하는 것도 이 파트이며 여기서 못 맞추면 말짱 도루묵이라고 할 수 있겠다.

특히나 비전공자들은 이 파트를 공부할 때 무작정 암기를 하기보다는 이해를 어느 정도 하고 난 뒤에 적용시키는 방향으로 나아가야 그나마 제일 낫다.

2019년 군무원 2차 추가 채용 문제에서 TLS 1.3 버전의 특징에 대해 자세히 물어보았다.

2.3. 네트워크 보안

암호학과 함께 정보보호론의 난이도를 수호하는 쌍두마차급 파트. 주로 OSI 7계층 모델과 TCP/IP, IPv4와 IPv6, 네트워크 보안 공격 기법, 방화벽의 종류, 오용 탐지와 이상 탐지의 침입탐지시스템, VPN, 네트워크 장비, 악성코드 등등을 배우는 데 이 파트도 암기와 이해를 동시에 해내야 하는 고난도 수준의 내용으로 가득차 있기에 비전공자들이 암호학과 더불어 공부하기 정말 힘들어하는 부분이다. 특히 OSI 7계층과 TCP/IP, VPN, 방화벽 등의 파트는 수많은 포트 번호와 계층별 프로토콜의 특징까지 자세히 나오기에 더욱 많은 공부를 요구한다. 그나마 다행인 건 컴퓨터일반의 데이터 통신 파트와 겹치는 영역이 적지 않기에 컴퓨터일반과 병행해서 공부하면 조금은 쉽게 다가갈 수 있다는 점에 있다.

2.4. 시스템 보안

말그대로 시스템 보안에 관련된 내용을 공부하는 곳이다. 계정과 권한 설정, 유닉스/리눅스/윈도우의 운영체제 보안과 로그 분석, 버퍼 오버플로우, 패스워드 크래킹, 레이스 컨디션 공격 등을 주로 공부한다. 그나마 위쪽의 네트워크 보안과 암호학보다는 낫긴 하나 얘도 비전공자의 머리를 싸매게 만드는 난적이라고 할 수 있는 게 특히 유닉스/리눅스 보안 및 계정과 권한 설정에 나오는 각종 명령어 및 로그 해석을 보고 이게 뭐지 싶어서 혼란스러운 경우가 많다. 어떤 면에서는 컴퓨터일반의 C언어 프로그래밍 언어론을 처음 봤을 때의 느낌을 그대로 받을 수 있을 듯. 더구나 1~2년 전의 시험에서는 윈도우에 있는 레지스트리 편집기의 명령어에 대해서도 물어본 적이 있기에 공부할 양이 더 많아졌으므로, 조심해야 하는 영역이다.

2021년 국가직 9급에는 처음으로 안드로이드 보안 문제가 출제되었다. 이 때 출제된 문제는 사용자 모드 및 커널 모드와 연관지어 안드로이드 앱이 가질 수 있는 권한 범위에 대해서 물어보았다.

2.5. 정보보호 표준 관리체계

ISMS-P, TCSEC, ISO 27001 등 정보보호 표준 관리체계 대한 용어 정리와 특징을 공부한다. 이 파트도 사소한 부분까지 들어가면 좀 헷갈릴 수 있지만 암호학, 네트워크 보안, 시스템 보안보다는 훨씬 괜찮은 파트이기에 중요 부분 위주로만 공부해도 웬만해선 맞힐 수 있는 부분이다.

2.6. 접근제어

네트워크를 접근하는 데 있어서의 접근제어에 대한 파트를 공부한다. 주로 MAC, RBAC, DAC 등의 접근제어 모델와 Biba, Bell-La Padula, Clark-Wilson, Sprial 모델 같은 보안 모델에 대해 주로 나오므로 이 부분만 착실히 공부해두면 좋다.

2.7. 웹 보안과 데이터베이스 보안

데이터베이스, 웹, 전자우편 보안과 관련된 용어들과 특징들을 공부한다. 다소 생소한 용어들만 제외하면 전반적으로 무난한 파트이며 위의 네트워크 보안과도 연관성이 어느 정도 있기에 이와 연계해서 공부하면 좋다.

2.8. 최신 IT 용어와 보안 기술

말그대로 최신 보안 기술과 IT 용어. 컴퓨터일반과 마찬가지로 이 과목에서도 최신 기술 용어는 자주 나오기 때문에 평상시에 IT 관련 뉴스를 챙겨보는 편이 시험 문제 대비하기에도 괜찮다. 몇 년 전부터 비트코인과 블록체인 관련 암호 기술이 나오기 시작했으며, 안드로이드와 iOS의 특징과 관련 운영체제에 대해서도 문제가 나온 적이 있었다. 2020년에는 국회직 컴퓨터일반 문제에서 양자 컴퓨터의 특징에 대해 물어봤기에, 이 파트에서도 양자 암호에 대해 출제할 가능성이 생기게 될 것이다.

2020년 국회직 9급에서 블루킵, 다크 웹, 딥페이크, 소디노키비, 이모텟에 대한 설명이 선택지로 나왔다.

2021년 지방직 및 서울시 9급에서는 암호화폐와 관련된 용어를 묻는 문제가 출제되었다. 난이도는 매우 쉬운 편.

2.9. 관련법규

정보보호에 관련된 법률에 대해 공부한다. 전자서명법, 개인정보 보호법, 정보통신망법, 정보통신기반 보호법 등에 대해서 주로 출제하는데 지문이 길어서 그렇지, 대체적으로 법률의 시행 기간이나 벌금 액수, 법률을 시행하는 데 주관하는 기관명이나 관련 인원 수 등 핵심적인 부분만 파악해도 어느 정도 쉽게 나아갈 수 있다. 물론 어떤 때에는 한 두 글자의 말장난으로 교묘하게 함정을 파놓는 경우도 많기에 너무 대충 보는 것도 안 된다. 틈틈이 국가법령정보센터 홈페이지인 http://www.law.go.kr에 들어가서 법을 찾아보는 것이 중요하다.

2020년 지방직에서는 클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률을 물어보는 문제가 출제되었다.

2020년 국회직부터 2020년 8월 5일 개정판이 적용된 개인정보 보호법에 대한 지문을 출제하였다.

2021년 국가직 9급과 지방직 및 서울시 9급에서는 데이터 3법 개정안과 관련하여 가명정보 처리 가능 여부 및 절차를 물어보는 문제가 출제되었다.

2021년 군무원 9급에서는 온라인상 본인확인서비스에 관련된 법규가 출제되었다.

[1] 5급(전산개발)은 선택과목으로 되어있다 [2] 5급(데이터)는 필수과목이다. [3] law.go.kr에서 제공하는 PDF파일 기준으로 30페이지 정도 된다. [4] 정보보안기사의 난이도가 전산직 7급의 정보보호론보다 어렵기 때문에 전산직 7급을 응시하려고 정보보안기사를 취득하는 경우는 별로 없다. [5] 그래서 일부 전산직 수험생들은 컴퓨터일반 시험에서 정보보호론의 보안 문제가 나오면 점수를 거저준다고 생각하기도 한다.