ABOUT ME

    -

    Today
    -
    Yesterday
    -
    Total
    -
    • SW보안약점진단원 취득 후기
      Certification/SW보안약점진단원 2023. 7. 28. 19:39

      7/15(토)에 SW보안약점진단원 시험을 봤다.  

       

      SW보안약점 진단원 양성과정 오프라인 교육을 7/3 ~ 7/7 수료 후 추가적인 준비 기간이 일주일 밖에 없어서 걱정했는데, 다행히 한번에 합격 할 수 있었다. 

      예상했던것보다 점수가 높게 나와 SW보안약점 진단 관련 개념이 잘 잡혀있다는 증거같아서 기분이 좋았다.

      (점수를 걱정 했던 이유는, 내가 쓴 답에 확신이 없었던 것은 아니지만 교재에 나온 내용을 그대로 외워서 답을 썼다기보다는 평소 모의해킹과 같은 취약점 진단 업무를 하면서 쌓아왔던 개념들을 더 활용해서 답을 적었다는 느낌이 들었기 때문이다.)

      참고로, 종합 점수 70점만 넘으면 합격이다. 단, 실기/필기 각 과정에서 과락(60점 미만)이 없다는 전제 하에...

       

      간단하게 SW보안약점진단원 취득 과정에 대한 후기를 남겨보고자 한다.

      SW보안약점진단원은 커리어를 시작한 이후부터 관심을 가졌던 자격증이었다. 처음에는 어떻게 자기개발을 할까 고민하면서 이것저것 조사해보다가 이름이 멋있어서(?) 기억에 남았고, 얼마 지나지 않아 회사에서 시큐어코딩 업무를 맡게 되면서 언젠가 취득하리라 결심했던 것 같다.

       

      이 자격증은 여타 자격증과는 다른 특이한 응시 조건이 있다. 개발6년 or 취약점진단3년 이상의 업무 경험이 필수적이며 5일동안 별도의 교육을 수료해야 시험 자격 응시 조건이 완성된다.

       

      진단원을 취득하기위해 가장 필수적으로 공부해야 할 자료는 "소프트웨어 보안약점 진단가이드" 이다. 현재 2021년도 버전이 최신이며, 아래 경로에서 다운로드 받을 수 있다.

      https://www.kisa.or.kr/2060204/form?postSeq=9&page=1#fnPostAttachDownload 

       

      KISA 한국인터넷진흥원

       

      www.kisa.or.kr

      하지만 해당 자료는 600p 이상의 방대한 자료이다.. 그래서인지 진단원 양성과정 교육에서는, 별도의 교재로 수업을 하는데 그 교재는 위 자료의 요약본인듯 하다.(그래도 250p..)

       

      진단원 양성과정 5일동안 수업을 들으며 교재를 한 번 훑게 된다. 

       

      참고로 양성과정 교육을 수료하면 3번의 시험 기회가 주어진다. 만약 3번전부 합격하지못한다면 양성과정 수업을 다시 들어야 한다. 여기서도 특이한점이 있는데 3번의 기회 중 첫 번째 시험의 날짜는 고정되어있으며 해당 날짜에 시험을 보지 않더라고 3번의 기회 중 1번이 박탈된다. 따라서 첫 번째 시험날짜에 내가 응시 할 수 있는지까지 고려하여 시작 시점을 잘 정해야 한다.

       

      앞서 언급했듯 첫 번째 시험까지 준비기간이 길지 않았으므로 나는 교육을 들을때부터 집중해서 듣고 공부하기로 했다.

      그렇다고 엄청 대단한 것을 한건 아니고, 매일 수업을 듣고 저녁에 예습까지는 아니어도 그날 수업들었던 내용을 한번 더 복습까지는 하려고 노력했다.

       

      그렇게 양성과정 수업을 듣는 기간에 배부된 교재를 2회독 했다.(수업/복습)

       

      그 후 시험보기전까지 본 교재격인 "소프트웨어 보안약점 진단가이드"를 3회독 정도 하는 것이 목표였으나 결과적으로

      1회독 + 빠르게 한번 훑기 정도 공부를 하였다. 

       

      그 과정에서 단순히 교재를 읽기만 한 것은 아니다. 본 자격증 취득을 계획중인분들에게 Tip이 될 수 도 있는 내용인데, 

      나는 공부하면서 Keyword 노트라는 것을 정리했다.

       

      설계단계, 분석단계 각 항목에 대해 키워드를 기반으로 요약 정리를 한 것인데,

       

      예를 들면.. 설계단계에서는 각 항목에 대한 개념이나 조치 방법에 대해 핵심 단어를 키워드를 삼아 그 키워드를 기억하고, 기억한 키워드를 기반으로 문장을 내가 이해한 개념대로 생각을 해보면서 그 내용이 교재 내용과 얼마나 유사하는가를 체크했었고,

      분석단계에서는 소스코드에서 특정한 부분을 키워드삼아 기억하면서 어떤 항목양호한 예시인지 취약한 예시인지 매핑하는 연습을 했다.

      https://vardy.tistory.com/280

       

      Keyword Note

      [설계 단계] 4분류 / 20가지 입력데이터 검증 및 표현 - 10 보안 기능 - 8 에러처리 -1 세션통제 - 1 1. 입력데이터 검증 및 표현 1-1. DBMS 조회 및 결과 검증 - DBMS 조회 시 질의문(SQL) 내 입력값과 그 조

      vardy.tistory.com

      위 링크는 내가 정리한 키워드 노트이다. 나의 케이스에서는 이러한 과정들을 거치면서 준비를 하고 시험에 응시했고 돌아보면 꽤나 유용했던 공부 방법 인 것 같다.

       

      무튼 한 번에 합격해서 정말 다행이고, 이 자격증이 앞으로 나에게 유용하게 쓰이길 바란다ㅎㅎ

       

      반응형

      'Certification > SW보안약점진단원' 카테고리의 다른 글

      Keyword Note  (0) 2023.07.15

      관련글 관련글 더보기

      댓글

    Designed by Tistory.

    티스토리툴바