SW보안약점 진단원 시험 준비 및 요약자료, 시험문제 예시

 
SW보안약점 진단원 시험 준비 방법에 대해 남겨봅니다. 시험 준비 시 참고하여 좋은 결과 내시길 기원합니다.
 
 
 

시간 관리 전략

SW보안약점 진단원 시험은 이론 60분, 실습 100분이며 시험 시간은 다음과 같습니다.
- 1교시: 이론 시험 (60분)  13시 00분 ~ 14시 00분
- 2교시: 실습 시험 (100분) 14시 20분 ~ 16시 00분
 
객관식으로 구성된 시험이 아니고 OX 문제, 객관식 문제, 단답형 문제, 서술형 등 복합적으로 문제가 구성되어 있어 OMR 카드 형식이 아닌 서술식 답안지가 제공됩니다. 연필이나 샤프 같이 지워지는 필기구로는 답안을 작성할 수 없으며, 검정색 볼펜으로만 답안을 작성해야하기 때문에 평소에 공부하면서 잘써지고 편안한 볼펜을 들고 가시길 바랍니다.
 
이론 시험의 경우 소프트웨어 보안약점 진단가이드를 2회 이상 정독하였다는 가정하에 시간은 충분할 것으로 판단됩니다. 따라서, 40분 정도 문제를 풀면서 시험지에 답안을 체크한 후 남은 20분에 답안의 정정 및 기입을 하시면 되겠습니다. 실습 시험에 비해 서술형 작성이 아니다보니 답안은 금방 작성할 수 있습니다.

이론 시험 구성

 
반대로 실습 시험의 경우 100분이라는 시간이 주어짐에도 시간이 매우 부족합니다. 15문제로 구성되어 있지만 각 문제별로 세부 문항이 2~3개 형태로 구성되어 있고, 보안대책은 기본 3가지 이상의 문장으로 서술해야하기 때문입니다. 또한, 볼펜으로 작성하다보니 잘못적었을 때 정정도 해야하고 정제된 문장으로 답안을 작성해야하는 부담도 있습니다. 따라서 이론 시험과는 달리 실습시험은 답안지에 답안을 바로 작성하면서 문제를 푸는게 유리합니다. 그럼에도불구하고 시험 시간이 부족할 경우에는 마지막 5문제는 꼭 푸시기 바랍니다. 점수 비중이 가장 크다보니 마지막 문제 중 1문제라도 놓칠경우 합격권 점수에 못미칠 가능성이 매우 큽니다.

실습 시험 구성

 
 
 

시험 준비 참고 자료

SW보안약점 진단원의 참고자료는 더도 말고 덜도 말고 딱 한가지입니다. 바로 KISA의 '소프트웨어 보안약점 진단가이드.pdf' 인데요. 진단원 양성과정 교육교재가 추가로 있기는합니다만, 교육용 자료이기 때문에 개인적으로는 시험 공부에 적합하지 않다고 생각합니다.

KISA - 소프트웨어 보안약점 진단가이드

 
추가로 제가 시험준비 시 직접 요약한 자료도 소개해드리고자 하는데요. 현재 크몽에서 판매 중에 있습니다. 해당 자료를 참고하셔도 되고 아래에서 설명하는 방법을 통해서 직접 준비하셔도 무방합니다. 꼭 구매하실 필요는 없고, 시험까지 시간이 부족할 경우에 구매를 고려하시면 됩니다.
 
https://kmong.com/gig/512205

소프트웨어SW 보안약점 진단원 이수시험 대비 요약서 - 크몽

SW 보안약점 진단원 시험 요약자료 - 크몽

 

---

 

공부방법 첫번째, 보안설계 및 보안약점 제거 기준

첫번째 공부방법 입니다.
바로 보안설계 및 보안약점 제거 기준 암기인데요. (설계단계) 보안설계 기준 20개 항목과 (구현단계) 보안약점 제거 기준 49개를 암기하셔야 합니다. 물론 백지상태에서 모두 쓸 정도로 외워야하는건 아니고, 해당 항목이 어떤 취약점인지를 구분할 수 있어야 합니다. 항목 수가 많다보니, 설계 기준끼리도 헷갈리고 보안약점 제거 기준끼리도 헷갈리기 때문입니다. 따라서 특정 항목의 개요(설명)을 봤을 때 바로 떠올릴 수 있는 수준이 되어야 합니다.
 

보안설계 기준 및 보안약점 기준 맵핑

 
또한, 항목을 외울 때 가장 중요한 점은 보안설계 기준과 보안약점 기준을 서로 맵핑하여 외울 필요가 있습니다. 왜냐하면 시험 문제에 보안설계 항목에 해당하는 보안약점을 작성하거나 반대로 보안약점에 해당하는 설계기준을 물어보는 문제가 있기 때문입니다.
 
관련하여 이론 및 실습 시험 시 보안설계 기준과 보안약점 기준을 랜덤으로 구성하여 한 페이지짜리로 제공해주는데 이때 항목에 대해 명확히 이해하지 못할 경우 항목명을 찾는데 많은 어려움이 있을 것입니다. 저 같은 경우 실제 시험과 유사하게 설계항목과 보안약점 항목을 랜덤리스트로 만들어서 학습에 활용하였습니다.

시험대비 설계/구현 기준 랜덤 리스트

 
 

두번째, 보안설계 기준

보안설계 기준은 취약점의 개요와 보안대책, 설계 시 고려사항을 암기하셔야 합니다. 항목명을 직접 암기하실 필요는 없지만 개요, 보안대책, 설계 시 고려사항은 필수로 암기하여야 하며 직접 필기하면서 서술하는 연습을 하셔야 합니다. 만약에 암기하지 않는다면 절대 합격할 수 없음을 기억하시기 바랍니다. 공부할 시간이 너무 부족할 경우 보안대책이라도 무조건 암기하시기 바랍니다.
 
암기하실 때는 계속 놓칠 수 있으므로 아래와 같은 형태로 본인만의 진단가이드 요약본을 만드시기 바랍니다. 너무 과대하게 하실 필요는 없고 실제 시험에서 바로 작성할 정도로만 요약하시면 됩니다. 저는 아래와 같이 요약을 하였고, 프린트하여 중요한 부분을 키워드 중심으로 체크하면서 암기하였습니다.

진단가이드 요약 방법

설계 부분은 소스코드를 보는 파트가 아니고 설계 항목을 이해하고 보안대책을 암기해야 하는 파트이므로 글이 많은 편입니다. 따라서 저는 두쪽 모아찍기로 프린트하여 보기 편하게 만들어서 암기를 하였습니다.

설계기준 암기 시 두쪽 모아찍기 프린트

 
 

세번째, 보안약점 기준

시험에서 가장 중요한 파트는 보안약점 기준 파트입니다. 보안약점 항목이 어떤 취약점인지, 어떤 영향을 미치는지, 보안대책은 무엇인지 알아야 하며, 안전한 코드와 안전하지 않은 코드를 구분하고 정탐과 오탐을 구분할 줄 알아야합니다. 시험에서 제일 중요하기 때문에 가장 많은 시간을 할애해야하는 파트가 되겠습니다.
 
저 같은 경우 보안약점 항목의 설명, 영향, 보안대책을 암기하기 쉽게 요약한 다음 JAVA 코드 중심으로 소스코드 핵심 부분을 요약하여 학습하였습니다. 실제 시험은 JAVA 코드 중심으로 나오기 때문에 JAVA 코드 기준으로 학습하시면 됩니다. 다만, 일부 C언어에 특화된 문제(오버플로우 등)는 예외입니다.
 

보안약점 기준 요약 방법

 
보안약점 학습 방법을 다시 정리하자면 설명, 영향, 보안대책은 필수 암기사항이고 진단가이드에 있는 코드예제가 안전한 코드인지 구분하고 정탐과 오탐을 구분할 수 있게 학습하시면 됩니다. 각 보안약점마다 코드 별로 중요 포인트가 있기 때문에 학습하시면서 해당 포인트를 잘 체크하시면 되겠습니다.
 
저 같은 경우 학습 시 키워드 중심으로 체크하고 코드 부분은 진단가이드에서 필요한 부분을 추가로 메모하는 형태로 학습하였습니다. 예제코드를 전부 다 요약본에 넣을 경우 양이 너무 많기 때문에 불필요한 학습이 될 가능성이 크고, 일정부분은 직접 메모하는 방식으로 추가하면 기억에 더 오래남게 공부하실 수 있을겁니다.

보안약점 기준 학습 방법

 
 

시험 준비 시 알아야할 중요 포인트

마지막으로 시험 준비 시 알고 가야할 포인트를 몇가지 정리해드립니다.
 
- 문제 Pool은 회차별 2~3가지로 추측된다. SQL인젝션, XSS 등 특정 보안약점을 반으로 나눠서 회차별로 나오는 느낌이다. 예를 들어 SQL 인젝션, XSS 문제가 하나도 출제 안되는 경우가 있다.
- 실습은 시간이 부족하다. 빨리 서술하고, 짧게 쓰는 연습이 필요하다. 너무 과하게 적다보면 시간이 금방 간다.
- 설계기준에 해당하는 보안약점명을 적거나, 반대로 보안약점에 해당하는 설계기준을 적고 보안대책을 적는 문제가 늘어나고 있다. 즉, 바로 캐치할 수 있어야 한다.
- 항목의 위험도나 가장 많이 발생하는 취약점에 비해 관심도가 떨어지는 보안약점도 예외가 없다. 시험은 설계기준/보안약점 기준 모두 암기하여야한다.
- 보완요청서 작성 문제가 많다.
- 보완요청서 작성 시 설명(취약점 개요), 현황 및 문제점, 개선방안 이렇게 요구하는 문제가 많다.
- 보완요청서는 주로 설계기준에서 틀린 점을 찾고 작성하는 형식이다.
- 보완요청서(?)/진단보고서 작성 시 마지막 3문제는 점수가 크다. 각 8점. 총 24점.
- 보안대책, 개선방안 작성시 3가지 이상을 요구한다.
- 소스코드의 취약여부를 물어보는 문제가 많이 나오며, 어떤 라인이 취약한지 물어본다.
- c나 php에 특성화된건 무조건 나온다.
- 실습시험은 문장을 서술해야하므로 손가락이 매우 아프다.