정보처리기사 필기 5과목 정보시스템 구축 관리는 보안, 암호화, 시스템 구축, IT 프로젝트 관리를 다룹니다. 보안 파트(암호화·공격 기법·네트워크 보안)가 출제 비중이 높고 용어 암기가 핵심입니다.
1. 정보 보안 기본 개념
정보 보안 3요소 (CIA)
| 요소 | 설명 | 위협 예시 |
|---|---|---|
| 기밀성 (Confidentiality) | 인가된 사용자만 정보에 접근 가능 | 도청, 스니핑으로 정보 유출 |
| 무결성 (Integrity) | 정보가 인가되지 않은 방식으로 변경되지 않음 | 중간자 공격으로 데이터 위·변조 |
| 가용성 (Availability) | 인가된 사용자가 필요할 때 정보에 접근 가능 | DoS/DDoS 공격으로 서비스 불가 |
추가 보안 속성
| 속성 | 설명 |
|---|---|
| 인증 (Authentication) | 사용자·시스템의 신원을 확인하는 과정 |
| 부인 방지 (Non-repudiation) | 행위를 나중에 부인할 수 없도록 증거를 남기는 것 |
| 접근 제어 (Access Control) | 인가된 사용자만 자원에 접근하도록 통제 |
🎯 보안 3요소 CIA 빈출 포인트
✔ "DoS 공격이 침해하는 보안 요소는?" → 가용성
✔ "암호화로 보호하는 주요 보안 요소는?" → 기밀성
✔ "전자 서명이 보장하는 속성은?" → 무결성 + 부인 방지
✔ "DoS 공격이 침해하는 보안 요소는?" → 가용성
✔ "암호화로 보호하는 주요 보안 요소는?" → 기밀성
✔ "전자 서명이 보장하는 속성은?" → 무결성 + 부인 방지
2. 암호화 알고리즘
대칭키 vs 비대칭키 암호화
| 항목 | 대칭키 (비밀키) | 비대칭키 (공개키) |
|---|---|---|
| 키 구성 | 암호화·복호화에 같은 키 사용 | 공개키(암호화) + 개인키(복호화) |
| 속도 | 빠름 | 느림 |
| 키 관리 | 키 전달이 어려움 (키 배송 문제) | 공개키를 공개해도 안전 |
| 대표 알고리즘 | AES, DES, 3DES, ARIA, SEED | RSA, ECC, Diffie-Hellman |
| 사용 용도 | 대용량 데이터 암호화 | 키 교환, 전자 서명, 인증서 |
주요 암호화 알고리즘 정리
| 알고리즘 | 종류 | 특징 |
|---|---|---|
| AES | 대칭키 (블록 암호) | 128/192/256비트 키. 현재 표준. DES 대체 |
| DES | 대칭키 (블록 암호) | 56비트 키. 현재는 안전하지 않음 |
| 3DES (Triple DES) | 대칭키 (블록 암호) | DES를 3번 적용. DES보다 안전하지만 느림 |
| SEED | 대칭키 (블록 암호) | 국내 표준 암호화 알고리즘 (KISA 개발) |
| ARIA | 대칭키 (블록 암호) | 국내 표준 (AES와 유사한 구조) |
| RSA | 비대칭키 | 소인수 분해 문제 기반. 전자 서명·키 교환 |
| MD5 | 해시 함수 | 128비트 해시값. 현재 보안 취약 (충돌 발생) |
| SHA-256 | 해시 함수 | 256비트 해시값. 현재 표준. 단방향 (복호화 불가) |
💡 해시 함수 특징
해시 함수는 단방향입니다. 원문 → 해시값은 가능하지만 해시값 → 원문은 불가능합니다.
용도: 비밀번호 저장, 파일 무결성 검증, 디지털 서명
MD5는 충돌(다른 입력이 같은 해시) 취약점이 발견되어 보안 용도로는 사용 금지
해시 함수는 단방향입니다. 원문 → 해시값은 가능하지만 해시값 → 원문은 불가능합니다.
용도: 비밀번호 저장, 파일 무결성 검증, 디지털 서명
MD5는 충돌(다른 입력이 같은 해시) 취약점이 발견되어 보안 용도로는 사용 금지
3. 주요 공격 기법
네트워크 공격
| 공격 유형 | 설명 |
|---|---|
| DoS (Denial of Service) | 단일 공격자가 대량의 트래픽·요청을 보내 서비스를 마비시키는 공격 |
| DDoS (Distributed DoS) | 다수의 좀비 PC(봇넷)를 이용한 분산 서비스 거부 공격. DoS보다 방어 어려움 |
| 스니핑 (Sniffing) | 네트워크 트래픽을 도청하여 데이터(계정 정보 등)를 수집하는 공격. 수동적 공격 |
| 스푸핑 (Spoofing) | IP·MAC·이메일 등을 위장하여 신뢰할 수 있는 출처인 척 속이는 공격 |
| 중간자 공격 (MITM) | 통신 중간에 끼어들어 데이터를 도청·변조하는 공격 |
| 세션 하이재킹 | 정상 사용자의 세션 ID를 탈취하여 인증 없이 서비스에 접근 |
애플리케이션 공격 — OWASP Top 10
| 공격 유형 | 설명 | 대응 방법 |
|---|---|---|
| SQL 인젝션 | 입력 필드에 SQL 코드를 삽입해 DB를 비정상 조작 | 입력 값 검증, 파라미터화 쿼리 사용 |
| XSS (Cross-Site Scripting) | 악성 스크립트를 웹 페이지에 삽입해 사용자 브라우저에서 실행 | 입력/출력 값 인코딩, CSP 설정 |
| CSRF (Cross-Site Request Forgery) | 사용자가 의도하지 않은 요청을 서버에 보내도록 유도 | CSRF 토큰, SameSite 쿠키 설정 |
| 버퍼 오버플로우 | 할당된 버퍼 크기를 초과한 데이터를 입력해 메모리를 덮어쓰는 공격 | 경계 값 검사, 스택 가드 |
🎯 공격 기법 빈출 포인트
✔ "봇넷을 이용한 분산 서비스 거부 공격은?" → DDoS
✔ "네트워크 트래픽을 도청하는 수동적 공격은?" → 스니핑
✔ "입력 필드에 SQL을 삽입하는 공격은?" → SQL 인젝션
✔ "악성 스크립트를 웹 페이지에 삽입하는 공격은?" → XSS
✔ "봇넷을 이용한 분산 서비스 거부 공격은?" → DDoS
✔ "네트워크 트래픽을 도청하는 수동적 공격은?" → 스니핑
✔ "입력 필드에 SQL을 삽입하는 공격은?" → SQL 인젝션
✔ "악성 스크립트를 웹 페이지에 삽입하는 공격은?" → XSS
4. 네트워크 보안 장비
| 장비 | 기능 | 위치 |
|---|---|---|
| 방화벽 (Firewall) | IP·포트 기반 패킷 필터링. 허용/차단 정책 설정. 내부·외부 네트워크 경계 보호 | 내부망과 외부망 사이 |
| IDS (침입 탐지 시스템) | 네트워크/시스템의 이상 징후를 탐지하고 알림. 수동적 (차단 불가) | 내부 네트워크 모니터링 |
| IPS (침입 방지 시스템) | IDS + 자동 차단 기능. 탐지한 공격을 실시간으로 차단. 능동적 | 네트워크 인라인 배치 |
| WAF (웹 애플리케이션 방화벽) | HTTP/HTTPS 트래픽을 분석해 SQL 인젝션·XSS 등 웹 공격 차단 | 웹 서버 앞단 |
| DMZ (비무장지대) | 외부에서 접근 가능한 서버(웹·메일·DNS)를 내부망과 분리하여 배치하는 영역 | 방화벽과 내부망 사이 |
| VPN (가상 사설망) | 공인 인터넷 위에 암호화된 터널을 만들어 사설망처럼 사용. SSL VPN, IPSec VPN | 원격 접속 시 |
💡 IDS vs IPS 구분
IDS: 탐지(Detection)만 한다. 경보를 울리지만 직접 막지는 않음
IPS: 탐지(Detection) + 방지(Prevention). 탐지 즉시 자동 차단
암기: IDS는 "신고만 함", IPS는 "신고 + 직접 제압"
IDS: 탐지(Detection)만 한다. 경보를 울리지만 직접 막지는 않음
IPS: 탐지(Detection) + 방지(Prevention). 탐지 즉시 자동 차단
암기: IDS는 "신고만 함", IPS는 "신고 + 직접 제압"
5. 서버 이중화와 시스템 구축
고가용성(HA) 클러스터링
| 구성 | 설명 |
|---|---|
| Active-Active | 모든 서버가 동시에 서비스. 부하 분산 + 장애 시 남은 서버가 처리. 자원 효율 높음 |
| Active-Standby | 주 서버(Active)가 서비스 중 장애 시 대기 서버(Standby)가 자동으로 인계. 자원 낭비 있음 |
스토리지 기술
| 기술 | 설명 |
|---|---|
| RAID (Redundant Array of Independent Disks) | 여러 디스크를 묶어 성능·안정성 향상. RAID 0(스트라이핑), RAID 1(미러링), RAID 5(분산 패리티) |
| SAN (Storage Area Network) | 스토리지를 네트워크로 연결. 고속·고용량. 블록 단위 접근 |
| NAS (Network Attached Storage) | 파일 서버를 네트워크에 연결. 파일 단위 접근. 구성 간단 |
🎯 RAID 종류 빈출 포인트
✔ RAID 0: 스트라이핑 — 성능 향상, 안정성 없음 (디스크 하나 고장 시 전체 손실)
✔ RAID 1: 미러링 — 동일 데이터를 2개 디스크에 복사. 안정성 높음, 용량 50% 낭비
✔ RAID 5: 분산 패리티 — 디스크 3개 이상, 하나 고장 시 복구 가능. 성능과 안정성 균형
✔ RAID 0: 스트라이핑 — 성능 향상, 안정성 없음 (디스크 하나 고장 시 전체 손실)
✔ RAID 1: 미러링 — 동일 데이터를 2개 디스크에 복사. 안정성 높음, 용량 50% 낭비
✔ RAID 5: 분산 패리티 — 디스크 3개 이상, 하나 고장 시 복구 가능. 성능과 안정성 균형
6. IT 프로젝트 관리
소프트웨어 비용 추정 기법
| 기법 | 설명 |
|---|---|
| COCOMO | Boehm이 제안한 개발 규모(LOC)에 따른 비용 산정 모델. 조직형·반분리형·내장형 3가지 |
| 기능점수 (FP) | 소프트웨어의 기능 크기를 측정해 비용 산정. 언어·기술에 독립적 |
| 델파이 기법 | 전문가들이 익명으로 의견을 내고 합의에 도달할 때까지 반복. 주관적 기법 |
| 전문가 판단 | 유사 프로젝트 경험을 바탕으로 전문가가 추정. 단순하지만 주관적 |
프로젝트 일정 관리 기법
| 기법 | 설명 |
|---|---|
| WBS (Work Breakdown Structure) | 프로젝트 작업을 계층적으로 분해한 구조. 작업 목록의 기반 |
| 간트 차트 (Gantt Chart) | 작업별 시작·종료 일정을 막대 그래프로 표현. 직관적이지만 작업 간 의존 관계 표현 어려움 |
| PERT/CPM | 작업 간 의존 관계를 네트워크로 표현. 임계 경로(Critical Path)를 구해 최소 완료 시간 계산 |
💡 임계 경로(Critical Path) 개념
프로젝트에서 가장 긴 작업 경로 = 전체 프로젝트의 최소 완료 시간을 결정합니다.
임계 경로 상의 작업이 지연되면 전체 프로젝트가 지연됩니다.
프로젝트에서 가장 긴 작업 경로 = 전체 프로젝트의 최소 완료 시간을 결정합니다.
임계 경로 상의 작업이 지연되면 전체 프로젝트가 지연됩니다.
소프트웨어 품질 관리 — CMM/CMMI
| 레벨 | 단계 | 특징 |
|---|---|---|
| 1 | 초기 (Initial) | 프로세스가 정의되지 않음. 개인 역량에 의존 |
| 2 | 관리 (Managed) | 기본적인 프로젝트 관리 프로세스 존재 |
| 3 | 정의 (Defined) | 조직 전체에 표준 프로세스 정의·문서화 |
| 4 | 정량적 관리 (Quantitatively Managed) | 측정 데이터로 프로세스를 정량적으로 관리 |
| 5 | 최적화 (Optimizing) | 지속적인 프로세스 개선. 가장 성숙한 단계 |
📚 5과목 필기 고득점 전략
① 보안 3요소 CIA는 반드시 암기하고 각 요소를 위협하는 공격 유형과 연결하세요. "DoS = 가용성 위협", "스니핑 = 기밀성 위협"처럼 짝을 지어 외우면 됩니다.
② 암호화 알고리즘은 대칭키(AES, DES, SEED)와 비대칭키(RSA), 해시(MD5, SHA-256)의 3가지 분류로 나누어 외우세요. 각 알고리즘의 키 길이·특징도 함께 기억하면 좋습니다.
③ IDS와 IPS의 차이(탐지만 vs 탐지+차단), 방화벽과 WAF의 차이(패킷 vs HTTP 분석)는 자주 출제됩니다.
④ COCOMO, 기능점수, 델파이 기법의 특징과 차이를 정리해두세요. 비용 추정 기법 문제는 매 회차 1~2문제 출제됩니다.
① 보안 3요소 CIA는 반드시 암기하고 각 요소를 위협하는 공격 유형과 연결하세요. "DoS = 가용성 위협", "스니핑 = 기밀성 위협"처럼 짝을 지어 외우면 됩니다.
② 암호화 알고리즘은 대칭키(AES, DES, SEED)와 비대칭키(RSA), 해시(MD5, SHA-256)의 3가지 분류로 나누어 외우세요. 각 알고리즘의 키 길이·특징도 함께 기억하면 좋습니다.
③ IDS와 IPS의 차이(탐지만 vs 탐지+차단), 방화벽과 WAF의 차이(패킷 vs HTTP 분석)는 자주 출제됩니다.
④ COCOMO, 기능점수, 델파이 기법의 특징과 차이를 정리해두세요. 비용 추정 기법 문제는 매 회차 1~2문제 출제됩니다.