
독학사 정보보호에서 웹 보안과 관리체계는 따로 외우기보다 웹 위험을 식별하고 → 기술·관리 대책을 적용하고 → 개인정보 처리 전 과정을 점검하는 흐름으로 공부해야 합니다. 2026년 7월 현재 OWASP의 최신 정식 공개판은 OWASP Top 10:2025입니다.
ISMS-P는 정보보호와 개인정보보호를 위한 조치·활동이 인증기준에 맞는지를 인증기관이 증명하는 제도입니다. KISA 현재 제도소개 페이지 기준으로 관리체계 16개 + 보호대책 64개 + 개인정보 처리단계 21개, 합계 101개입니다. 오래된 안내서의 102개와 혼동하지 않는 것이 중요합니다.
오늘의 한 줄: OWASP는 중요한 웹 위험의 우선순위, ISMS-P는 조직이 그 위험을 지속적으로 관리하는 체계를 보여 준다.
정보보호 전체 범위와 7일 순서는 독학사 3단계 정보보호 공부내용 총정리에서 확인할 수 있습니다.
OWASP Top 10:2025 한눈에 보기
OWASP는 Top 10을 웹 애플리케이션 보안 위험에 관한 인식 제고 문서로 설명합니다. 이것만으로 완전한 보안 점검표가 되는 것은 아니지만, 중요 위험을 분류하고 우선순위를 잡는 출발점입니다.
| 순위 | OWASP Top 10:2025 | 시험용 핵심 뜻 |
|---|---|---|
| A01 | Broken Access Control | 권한 없는 기능·데이터 접근 허용 |
| A02 | Security Misconfiguration | 기본값·불필요 기능·오류 노출 등 잘못된 설정 |
| A03 | Software Supply Chain Failures | 의존성·빌드·배포 공급망의 신뢰 실패 |
| A04 | Cryptographic Failures | 민감정보 보호에 부적절한 암호·키·전송 사용 |
| A05 | Injection | 신뢰하지 않은 입력이 명령이나 질의로 해석됨 |
| A06 | Insecure Design | 위협을 고려하지 않은 설계와 통제의 부재 |
| A07 | Authentication Failures | 사용자 인증·자격증명·세션 관리 실패 |
| A08 | Software or Data Integrity Failures | 검증되지 않은 코드·업데이트·데이터 신뢰 |
| A09 | Security Logging and Alerting Failures | 기록·탐지·경보·대응 연결 부족 |
| A10 | Mishandling of Exceptional Conditions | 오류·예외·비정상 상태를 안전하지 않게 처리 |
2021판을 공부한 수험생은 2025판에서 공급망 실패와 예외상황 처리 문제가 더 분명하게 드러났다는 점을 확인하세요. 공식 평가영역에는 OWASP의 연도가 적혀 있지 않으므로, 교재의 판본과 최신 공개판을 구분해 보는 방식이 안전합니다.
1. 접근통제 실패: 인증과 인가를 다시 분리
로그인에 성공했다고 모든 데이터에 접근할 수 있는 것은 아닙니다. 인증은 사용자가 누구인지 확인하고, 인가는 그 사용자가 어떤 자원과 기능을 사용할 수 있는지 결정합니다.
- 모든 요청에서 서버가 권한을 확인합니다.
- 기본은 거부하고 명시적으로 필요한 권한만 허용합니다.
- URL이나 숨겨진 버튼을 믿지 말고 객체 단위 접근권한도 검사합니다.
- 관리 기능과 일반 사용자 기능을 분리하고 권한 변경을 기록합니다.
클라이언트 화면에서 버튼을 감추는 것은 사용성 조치일 뿐 접근통제가 아닙니다. 공격자는 요청을 직접 만들 수 있으므로 최종 권한검사는 서버에서 수행해야 합니다.
2. 인젝션: 코드와 데이터를 분리
인젝션은 신뢰하지 않은 입력이 SQL, 운영체제 명령, LDAP 질의 같은 해석기의 명령 일부로 처리될 때 발생합니다. OWASP SQL Injection Prevention Cheat Sheet가 제시하는 대표 방어는 준비된 문장과 매개변수화된 질의입니다.
| 취약한 접근 | 안전한 원칙 |
|---|---|
| 사용자 입력을 SQL 문자열에 이어 붙임 | SQL 구조를 먼저 고정하고 값을 매개변수로 바인딩 |
| 입력 차단 목록만으로 모든 공격문을 막으려 함 | 명령과 데이터 분리를 1차 방어로 사용 |
| 애플리케이션 DB 계정에 과도한 권한 부여 | 최소 권한으로 피해 범위를 제한 |
| WAF가 있으니 코드 수정이 필요 없다고 판단 | 근본 원인을 코드에서 제거하고 WAF는 보조 통제로 사용 |
3. XSS: 출력되는 위치에 맞게 인코딩
XSS(Cross-Site Scripting)는 신뢰하지 않은 값이 브라우저에서 실행 가능한 스크립트나 마크업으로 해석되는 문제입니다. 방어의 핵심은 입력 한 번을 일괄 변환하는 것이 아니라 HTML 본문, 속성, URL, JavaScript 등 출력 문맥에 맞는 인코딩을 적용하는 것입니다.
- 자동 이스케이프를 제공하는 템플릿·프레임워크의 안전한 기본값을 유지합니다.
- 사용자가 HTML을 입력해야 한다면 검증된 HTML 정화 도구를 사용합니다.
- 위험한 DOM API 대신 텍스트로 취급하는 안전한 API를 사용합니다.
- 콘텐츠 보안 정책(CSP)은 심층 방어로 사용하되 안전한 코딩을 대신하지 않습니다.
WAF는 알려진 패턴을 차단하는 데 도움을 줄 수 있지만, OWASP도 XSS의 근본 대책으로 WAF만 의존하는 것을 권하지 않습니다. 특히 브라우저 내부에서만 발생하는 DOM 기반 XSS는 네트워크 장비가 놓칠 수 있습니다.
4. 나머지 위험은 원인과 통제로 연결
| 위험 | 대표 원인 | 대표 통제 |
|---|---|---|
| 보안 설정 오류 | 기본 계정, 디버그 노출, 불필요 기능 | 안전한 기준 설정, 자동 점검, 환경별 분리 |
| 공급망 실패 | 검증되지 않은 의존성·빌드·배포 | 출처·서명·무결성 확인, 구성요소 목록, 업데이트 관리 |
| 암호화 실패 | 평문 저장, 약한 알고리즘, 부실한 키 관리 | 민감정보 분류, 강한 표준, 키 생명주기 관리, TLS |
| 안전하지 않은 설계 | 위협 시나리오와 실패 조건 미정의 | 위협 모델링, 안전한 설계 패턴, 악용사례 검토 |
| 인증 실패 | 약한 자격증명·세션 정책 | MFA, 로그인 제한, 세션 재발급·만료 |
| 무결성 실패 | 신뢰하지 않은 업데이트·직렬화 데이터 | 서명 검증, 신뢰 경계, 안전한 배포 파이프라인 |
| 로깅·경보 실패 | 중요 사건 미기록, 경보 후 대응 부재 | 중앙 기록, 시간 동기화, 경보 기준과 대응 절차 |
| 예외상황 오처리 | 실패 시 허용, 자원 미회수, 오류정보 노출 | 안전한 실패, 공통 예외처리, 자원·상태 정리 |
5. ISMS-P: 3개 영역의 큰 구조
ISMS-P는 제품 하나의 안전성을 인증하는 제도가 아니라, 조직이 정보보호와 개인정보보호 활동을 계획·운영·점검·개선하는 관리체계를 인증합니다.
| 영역 | 현재 항목 수 | 핵심 내용 |
|---|---|---|
| 1. 관리체계 수립 및 운영 | 16 | 기반 마련, 위험관리, 운영, 점검·개선 |
| 2. 보호대책 요구사항 | 64 | 인적·물리·기술·사고대응·재해복구 통제 |
| 3. 개인정보 처리단계별 요구사항 | 21 | 수집, 보유·이용, 제공, 파기, 정보주체 권리 |
| 합계 | 101 | ISMS-P 통합인증 기준 |
판본 주의: 2021년 KISA 안내서에는 개인정보 처리단계 22개, 전체 102개로 표시되어 있습니다. 그러나 2026년 7월 10일 확인한 KISA 제도소개 페이지는 파기 단계가 2개로 조정된 21개, 전체 101개를 안내합니다. 숫자 문제는 시험 직전 공식 페이지에서 다시 확인해야 합니다.
관리체계의 반복 흐름
- 범위·정책·책임 설정: 무엇을 누가 보호할지 정합니다.
- 위험 식별·평가: 자산, 위협, 취약점, 영향을 분석합니다.
- 보호대책 선택·운영: 위험을 줄일 인적·물리적·기술적 통제를 적용합니다.
- 점검·개선: 내부점검과 사고 분석을 바탕으로 미흡한 부분을 고칩니다.
6. 개인정보 처리 생명주기
| 단계 | 학습할 질문 | 대표 보호 원칙 |
|---|---|---|
| 수집 | 어떤 근거와 목적으로 받는가? | 목적 명확화, 적법한 근거, 필요 최소한 |
| 보유·이용 | 정한 범위 안에서 안전하게 쓰는가? | 목적 제한, 정확성, 접근통제·암호화·기록 |
| 제공·위탁·이전 | 누구에게 어떤 조건으로 전달하는가? | 법적 근거, 범위 통제, 수탁자·제공 기록 관리 |
| 파기 | 목적이 끝난 정보를 남겨 두지 않는가? | 보유기간 종료 시 복구 곤란한 방법으로 파기 |
| 정보주체 권리 | 열람·정정·삭제·처리정지 요구에 대응하는가? | 권리행사 절차와 본인확인, 신속한 처리 |
법률은 시행일에 따라 내용이 달라질 수 있습니다. 국가법령정보센터 기준으로 2026년 7월 10일 현재 시행 중인 개인정보 보호법은 2025년 10월 2일 시행본이고, 2026년 9월 11일 시행 예정 개정도 표시되어 있습니다. 이 글은 조문 번호 암기보다 처리 원칙과 생명주기를 익히는 용도이며, 실제 시험과 실무 전에는 시행일이 맞는 현행법을 다시 확인해야 합니다.
객관식에서 자주 틀리는 5가지
- “OWASP Top 10은 취약점 진단의 완전한 체크리스트다” → 중요 위험에 관한 인식·우선순위 문서이며 전체 보안을 보증하지 않습니다.
- “입력값을 이스케이프하면 모든 인젝션이 해결된다” → SQL은 매개변수화 질의처럼 코드와 데이터를 분리하는 방어가 우선입니다.
- “XSS는 입력 검증만 하면 끝난다” → 실제 출력 문맥에 맞는 인코딩과 안전한 API가 중요합니다.
- “ISMS-P는 보안 제품의 성능 인증이다” → 조직의 관리체계와 조치·활동을 심사하는 제도입니다.
- “ISMS-P는 언제나 102개다” → 현재 KISA 페이지는 101개이며 오래된 안내서와 구분해야 합니다.
80자 내외 서술형 연습 답안
아래 문장은 기출문제가 아니라 공식 범위를 바탕으로 직접 만든 연습용 답안입니다.
- 접근통제 실패
인증된 사용자가 권한 밖의 기능이나 데이터에 접근하는 취약점이며, 서버의 매 요청 권한검사로 방지한다. - SQL 인젝션
사용자 입력이 SQL 명령 일부로 해석되는 공격이며, 매개변수화 질의와 최소 권한으로 예방·완화한다. - XSS
신뢰하지 않은 값이 브라우저에서 실행 코드로 해석되는 취약점이며, 문맥별 출력 인코딩을 적용한다. - OWASP Top 10
웹 애플리케이션의 중요 보안 위험에 대한 인식을 높이고 개선 우선순위를 잡도록 돕는 표준 인식 문서다. - ISMS-P
정보보호와 개인정보보호를 위한 조직의 조치와 활동이 인증기준에 적합한지를 증명하는 인증제도다. - 개인정보 생명주기
개인정보를 수집·이용·제공·보관·파기하는 전 단계에 적법성과 안전조치, 정보주체 권리를 적용한다.
5분 셀프 테스트
- OWASP Top 10:2025의 A01과 A05는 무엇인가?
- SQL 인젝션에서 코드와 데이터를 분리하는 대표 기법은 무엇인가?
- XSS 대응의 출력 문맥 세 가지를 예로 들어 보세요.
- 현재 KISA 페이지 기준 ISMS-P 세 영역의 항목 수는 각각 몇 개인가?
- 개인정보 처리 생명주기 다섯 단계를 적어 보세요.
정답 확인
1. 접근통제 실패, 인젝션 2. 준비된 문장·매개변수화 질의 3. 예: HTML 본문, 속성, URL, JavaScript 4. 16·64·21개, 합계 101개 5. 수집, 보유·이용, 제공, 파기, 정보주체 권리보호
오늘의 마무리 체크
- OWASP Top 10:2025의 10개 항목을 위험 원인과 연결했는가?
- SQL 인젝션과 XSS의 근본 대응을 구분하는가?
- WAF가 안전한 코딩을 대신하지 않는 이유를 말할 수 있는가?
- ISMS-P의 3개 영역과 현재 항목 수를 설명할 수 있는가?
- 현행법과 앞으로 시행될 법을 시행일로 구분하는가?
전체 범위로 돌아가려면 독학사 3단계 정보보호 공부내용 총정리를 확인하세요.
공식 자료
- 국가평생교육진흥원 독학학위제 과목별 평가영역
- OWASP Top 10:2025 공식 목록
- OWASP SQL Injection Prevention Cheat Sheet
- OWASP Cross Site Scripting Prevention Cheat Sheet
- OWASP Session Management Cheat Sheet
- KISA ISMS-P 제도소개·현재 인증기준
- KISA ISMS-P 인증제도 안내서(2024.07)
- 국가법령정보센터 개인정보 보호법
이 글은 2026년 7월 10일 기준 공식 사이트를 확인해 작성한 학습용 요약입니다. OWASP 목록, ISMS-P 인증기준, 개인정보 보호법은 개정될 수 있으므로 응시 직전에 각 공식 페이지의 판본과 시행일을 확인하세요.
'학위공부 > 독학사 요점정리' 카테고리의 다른 글
| [독학사 3단계/정보보호] 객관식 오답·80자 서술형 실전 연습 (7일차) (0) | 2026.07.11 |
|---|---|
| [독학사 3단계/정보보호] 방화벽·IDS·IPS·VPN과 HTTP 세션 (5일차) (0) | 2026.07.11 |
| [독학사 3단계/정보보호] OSI·TCP/IP와 스니핑·스푸핑·DDoS (4일차) (0) | 2026.07.11 |
| [독학사 3단계/정보보호] 버퍼 오버플로·레이스 컨디션과 시스템 보안 (3일차) (0) | 2026.07.11 |
| [독학사 3단계/정보보호] 대칭키·비대칭키·해시·전자서명 정리 (2일차) (0) | 2026.07.11 |