본문 바로가기

학위공부/독학사 요점정리

[독학사 3단계/컴퓨터공학] 정보보호 공부내용 총정리 (2026 평가영역)

독학사 3단계 정보보호 공부내용 대표 이미지

독학사 컴퓨터공학 3단계 정보보호는 범위가 넓어 보이지만, 공식 평가영역을 기준으로 나누면 공부할 내용은 여섯 덩어리입니다. 정보보호 기본, 암호, 시스템 보안, 네트워크 보안, 웹 보안, 정보보호·개인정보보호 관리체계입니다.

처음부터 공격 기법 이름을 전부 외우기보다 무엇을 지키는가 → 어떤 공격을 받는가 → 어떤 기술로 막는가의 순서로 연결해서 공부하는 편이 좋습니다. 이 글은 2026년 7월 10일 국가평생교육진흥원 독학학위제 홈페이지에서 제공하는 정보보호 평가영역을 기준으로 정리했습니다.

먼저 외울 순서는 CIA 3요소 → 암호 방식 비교 → 시스템 공격과 대응 → 네트워크 공격과 보안장비 → 웹 취약점과 대응 → ISMS-P·개인정보 생명주기입니다.

2026 독학사 정보보호 시험에서 공부할 범위

대영역 핵심 공부내용
1. 정보보호 기본 정보보호의 개념과 대상, 보안공격 모델, 정보보호 목표
2. 암호 암호의 개념·역사·원리, 대칭키·비대칭키 암호, 해시함수
3. 시스템 보안 시스템 개요·시스템 보안 개요, 시스템 보안 공격, 계정·세션·권한·로그 관리, 서버 보안
4. 네트워크 보안 OSI 7계층·TCP/IP, 네트워크 공격, 방화벽·IDS/IPS·VPN
5. 웹 보안 HTTP·HTML·웹서비스 구조, OWASP Top 10, 웹 공격과 대응
6. 관리체계 정보보호 정책과 조직, ISMS-P, 관련 법률, 개인정보보호

독학학위제 공식 안내에 따르면 정보보호를 포함한 3단계 일반 과목은 객관식 24문항×2.5점(60점)과 주관식 4문항×10점(40점)으로 구성됩니다. 객관식은 4지선다형, 주관식은 80자 내외 서술형이므로 용어의 뜻만 외우지 말고 차이점·동작 원리·대응 방법을 한두 문장으로 설명할 수 있어야 합니다.

1. 정보보호 기본: CIA부터 확실히

정보보호는 정보와 정보시스템을 위협으로부터 보호하여 필요한 보안 특성을 유지하는 활동입니다. 가장 먼저 잡아야 할 개념은 기밀성, 무결성, 가용성입니다.

특성 대표 통제
기밀성 허가받은 주체만 정보에 접근 접근통제, 암호화
무결성 정보가 허가 없이 변경·삭제되지 않음 해시, 전자서명, 변경관리
가용성 필요할 때 정보와 서비스를 사용 가능 백업, 이중화, 장애·DDoS 대응

여기에 인증은 사용자의 신원을 확인하는 것, 인가는 인증된 사용자가 무엇을 할 수 있는지 정하는 것, 부인방지는 송수신 사실을 나중에 부인하지 못하게 하는 것이라고 구분해두면 좋습니다.

공격 모델은 공격자, 자산, 취약점, 위협, 공격, 대응책의 관계로 이해합니다. 위협은 손실을 일으킬 가능성이 있는 원인이고, 취약점은 그 위협이 이용할 수 있는 약점입니다. 위험은 위협이 취약점을 이용했을 때 발생할 가능성과 영향의 조합입니다.

2. 암호: 대칭키·비대칭키·해시 비교

암호 파트는 알고리즘 이름을 따로 외우면 쉽게 섞입니다. 키를 몇 개 쓰는가, 속도는 어떤가, 어디에 사용하는가를 한 표로 비교해야 합니다.

구분 핵심 원리 장단점·용도
대칭키 암호 암호화와 복호화에 같은 비밀키 사용 빠르지만 키 배송·관리 문제 AES, DES, 3DES
비대칭키 암호 공개키와 개인키 한 쌍 사용 키 배포에 유리하지만 상대적으로 느림 RSA, ECC
해시함수 임의 길이 입력을 고정 길이 값으로 변환 원칙적으로 복호화하지 않으며 무결성 확인 SHA-2, SHA-3

대칭키는 대용량 데이터 암호화에, 비대칭키는 키 교환·전자서명에 주로 사용합니다. 실제 통신에서는 둘을 섞는 하이브리드 방식이 일반적입니다. 해시함수의 중요 성질은 역상 저항성, 제2역상 저항성, 충돌 저항성입니다.

전자서명은 송신자의 개인키로 서명하고 공개키로 검증합니다. 기밀성을 위한 공개키 암호화와 방향을 혼동하기 쉬우므로 주의합니다. DES와 MD5·SHA-1처럼 현재 안전성이 부족한 방식도 ‘왜 더 이상 권장되지 않는가’까지 정리해두면 객관식 판단에 도움이 됩니다.

3. 시스템 보안: 공격 원인과 방어를 짝으로

공격·취약점 핵심 대표 대응
버퍼 오버플로 정해진 메모리 범위를 넘는 입력으로 흐름 변조 경계 검사, 안전한 함수, ASLR·DEP
포맷 스트링 외부 입력을 서식 문자열로 잘못 사용 고정 서식 사용, 입력값 검증
레이스 컨디션 작업 순서·시간 차이를 이용한 비정상 동작 동기화, 원자적 처리, TOCTOU 방지
백도어 정상 인증을 우회하는 숨은 접근 경로 무결성 검사, 포트·프로세스·로그 점검

시스템 보안 강화는 계정관리, 세션관리, 권한관리, 로그관리, 서버 보안 솔루션으로 나눕니다. 불필요한 계정과 서비스를 제거하고, 최소 권한을 부여하며, 패치와 보안 설정을 유지하고, 로그를 중앙에서 보관·분석하는 흐름을 기억합니다.

  • 계정관리: 휴면·공용 계정 제거, 강한 인증, 주기적 권한 검토
  • 세션관리: 예측하기 어려운 세션값, 만료, 로그아웃 시 폐기
  • 권한관리: 최소 권한, 직무 분리, 특권 계정 통제
  • 로그관리: 시간 동기화, 접근 통제, 위변조 방지, 이상징후 분석

4. 네트워크 보안: 계층·공격·장비 연결

OSI 7계층과 TCP/IP 구조는 계층 이름만 외우지 말고 대표 프로토콜과 공격 위치를 연결합니다. 네트워크 공격은 다음처럼 ‘공격 결과’와 ‘대응 장비’를 함께 공부하면 구분이 쉽습니다.

공격 무엇을 하는가 주요 대응
스니핑 통신 내용을 엿봄 전송구간 암호화, 스위치 보안
스푸핑 IP·ARP·DNS 등의 신원을 속임 인증, 정적 설정, 변조 탐지
스캐닝 열린 포트와 서비스를 탐색 불필요한 포트 차단, 탐지·로그 분석
DoS·DDoS 자원을 소진시켜 가용성을 저하 트래픽 분산, 필터링, 임계치·우회 대응
무선 공격 취약한 인증·암호 또는 가짜 AP 이용 안전한 무선 암호, 인증, 비인가 AP 탐지

방화벽은 정책에 따라 트래픽을 허용·차단합니다. IDS는 침입을 탐지하고 경고하며, IPS는 탐지한 공격을 실시간으로 차단합니다. VPN은 공용망 위에 암호화된 사설 통신 경로를 만듭니다. 장비 이름보다 역할 차이를 설명할 수 있어야 합니다.

네트워크 계층과 프로토콜이 아직 헷갈린다면 기존에 정리한 [독학사/컴공/컴퓨터네트워크] 8. 네트워크 관리 및 보안 글도 함께 보시면 좋습니다. 정보보호에서는 네트워크 구조 자체보다 각 공격이 어느 지점을 노리고 어떤 통제로 막는지를 중심으로 보겠습니다.

5. 웹 보안: 요청 흐름부터 취약점까지

웹 보안은 브라우저가 HTTP 요청을 보내고, 웹 서버·애플리케이션·데이터베이스가 처리한 뒤 응답하는 구조부터 이해합니다. HTTP는 기본적으로 상태를 저장하지 않으므로 쿠키와 세션을 이용해 로그인 상태 등을 유지합니다.

공식 평가영역에는 OWASP Top 10, 구글 해킹, SSL, 웹방화벽이 포함됩니다. 평가영역에는 OWASP의 특정 연도가 적혀 있지 않습니다. OWASP 공식 사이트의 최신 공개판은 2025이므로 최신 목록을 보되, 교재가 2021판을 사용한다면 항목 이름의 차이도 함께 비교하는 편이 안전합니다.

아래 표는 OWASP Top 10:2025 전체 목록이 아니라 시험 대비용으로 대표 6개 항목을 추린 것입니다.

웹 취약점 핵심 대응
접근통제 실패 서버에서 매 요청의 권한 확인, 기본 거부
인젝션 매개변수화된 질의, 입력 검증, 명령·데이터 분리
인증 실패 다중인증, 안전한 비밀번호·세션 정책
보안 설정 오류 기본 계정·샘플 제거, 오류정보 최소화, 안전한 설정
암호화 실패 민감정보 분류, 강한 암호·키 관리, TLS 적용
로깅·경보 실패 중요 이벤트 기록, 중앙 분석, 신속한 경보·대응

공식 범위의 ‘SSL’은 현재 실무에서는 안전한 TLS 중심으로 이해하면 됩니다. 웹방화벽(WAF)은 웹 요청을 분석해 SQL 인젝션·스크립트 삽입 등 애플리케이션 계층 공격을 탐지·차단하지만, 안전한 코딩을 대신하는 장비는 아닙니다.

구글 해킹은 검색엔진에 노출된 정보를 특수 검색 조건으로 찾아내는 기법을 뜻합니다. 시험에서는 구체적인 악용 절차보다 민감 파일을 공개 경로에 두지 않기, 디렉터리 목록 차단, 검색 노출 점검, 접근통제 적용 같은 예방 원칙을 중심으로 정리합니다.

6. 정보보호·개인정보보호 관리체계

기술 문제만 공부하고 관리체계를 넘기면 안 됩니다. 정보보호는 정책과 조직을 만들고, 자산과 위험을 식별하고, 보호대책을 운영한 뒤, 점검과 개선을 반복하는 활동입니다.

ISMS-P는 조직의 정보보호와 개인정보보호를 위한 조치와 활동이 인증기준에 적합한지를 인증기관이 증명하는 제도입니다. 공부할 때는 관리체계 수립·운영, 보호대책 요구사항, 개인정보 처리단계별 요구사항이라는 큰 구조를 먼저 잡습니다.

  • 정책·조직: 최고책임자의 승인, 역할과 책임, 인력·예산 확보
  • 위험관리: 자산 식별, 위협·취약점 분석, 위험평가와 처리
  • 보호대책: 인적·물리적·기술적 통제를 설계하고 운영
  • 개인정보 생명주기: 수집, 이용, 제공, 보관, 파기 단계별 보호
  • 점검·개선: 법규 준수 검토, 내부점검, 사고 대응, 재발 방지

관련 법률은 개정될 수 있으므로 조문 번호를 통째로 외우기보다 개인정보 처리의 법적 근거, 목적 제한, 최소 수집, 안전조치, 정보주체 권리, 침해사고 대응의 원칙을 먼저 이해합니다. 시험 직전에는 국가법령정보센터와 KISA ISMS-P 자료실의 최신 내용을 확인하는 편이 좋습니다.

객관식에서 자주 섞이는 개념

인증 / 인가 누구인지 확인 / 무엇을 할 수 있는지 결정
암호화 / 해시 키로 복호화 가능 / 원칙적으로 역변환하지 않음
전자서명 / 기밀성 개인키로 서명·공개키로 검증 / 수신자 공개키로 암호화
IDS / IPS 탐지·경고 / 탐지 후 차단
스니핑 / 스푸핑 도청 / 신원이나 주소 위조
방화벽 / WAF 네트워크 정책 통제 / 웹 애플리케이션 요청 보호
위협 / 취약점 / 위험 손실 원인 / 약점 / 발생 가능성과 영향

80자 내외 서술형은 이렇게 준비

서술형은 정의 → 핵심 원리 → 효과 또는 차이의 세 조각으로 답을 만듭니다. 아래 문장은 그대로 외우기보다 핵심어를 남기고 자기 문장으로 다시 써보는 연습용입니다.

  1. 대칭키와 비대칭키의 차이
    대칭키는 같은 키로 암·복호화해 빠르지만 키 배포가 어렵다. 비대칭키는 공개키와 개인키를 사용해 키 관리에 유리하다.
  2. 해시함수
    임의 길이 입력을 고정 길이 해시값으로 바꾸는 단방향 함수로, 무결성 검증과 전자서명 등에 활용한다.
  3. 버퍼 오버플로
    할당된 메모리 범위를 넘는 입력으로 실행 흐름을 변조하는 공격이며, 경계 검사와 ASLR·DEP 등으로 완화한다.
  4. IDS와 IPS
    IDS는 침입을 탐지해 경고하고, IPS는 탐지한 악성 트래픽을 실시간으로 차단한다.
  5. DDoS
    다수의 공격원이 대량 트래픽을 보내 자원을 소진시켜 서비스 가용성을 떨어뜨리는 분산 서비스 거부 공격이다.
  6. ISMS-P
    정보보호와 개인정보보호 활동이 인증기준에 적합한지를 인증기관이 심사해 증명하는 관리체계 인증제도다.

7일 공부 순서

  1. 1일차: CIA, 인증·인가, 위협·취약점·위험을 한 장으로 정리
  2. 2일차: 대칭키·비대칭키·해시 비교표와 전자서명 흐름 암기
  3. 3일차: 시스템 공격 4종과 계정·세션·권한·로그 관리 연결
  4. 4일차: OSI/TCP-IP, 스니핑·스푸핑·스캐닝·DDoS 정리
  5. 5일차: 방화벽·IDS·IPS·VPN 비교 후 웹 요청 구조 학습
  6. 6일차: OWASP 취약점과 대응, ISMS-P·개인정보 생명주기 정리
  7. 7일차: 객관식 오답 복습과 80자 서술형 10개 직접 작성

시간이 더 있다면 이 7일 과정을 두 번 반복합니다. 첫 회독은 범위와 용어를 연결하고, 두 번째 회독은 보기의 틀린 부분을 고쳐 쓰고 서술형으로 설명하는 데 집중합니다.

마지막 체크리스트

  • CIA 각 요소의 정의와 대표 보안대책을 말할 수 있는가?
  • 대칭키·비대칭키·해시의 키, 속도, 용도를 비교할 수 있는가?
  • 전자서명의 서명키와 검증키를 구분하는가?
  • 시스템·네트워크·웹 공격마다 한 가지 이상 대응책을 붙일 수 있는가?
  • 방화벽·IDS·IPS·VPN·WAF의 역할을 구분하는가?
  • ISMS-P와 개인정보 생명주기를 짧게 설명할 수 있는가?
  • 각 핵심 개념을 80자 안팎으로 직접 써보았는가?

공식 자료 확인

독학학위제 출제방향·수준
객관식·80자 내외 서술형 출제 안내 확인

이 글은 2026년 7월 10일 기준으로 확인한 공식 평가영역을 바탕으로 만든 학습용 요약입니다. 평가영역, 법령, 보안 표준은 바뀔 수 있으므로 실제 응시 전 공식 자료를 한 번 더 확인하시기 바랍니다.