띄엄띄엄 공부하다가 올해 합격한 SW보안약점 진단원에 대해 합격 후기를 남겨봅니다.
합격 후기
22년 4차 이수시험에서 69.4점으로 불합격하여, 응시횟수까지 모두 만료됐었습니다. 당시에 70점의 고비를 못넘어서 너무 화나고 그랬는데, 저 점수도 나름 후하게 준거라고 생각하고 그냥 넘어가기로 했었습니다. 응시횟수까지 만료되어 교육을 다시 신청해서 하려니 너무 힘도 빠지고 해서 그냥 이 시험은 다시 안보는게 속 편하겠다 라고 생각했었죠. 또한, 오프라인 교육을 5일이나 들어야하기 때문에 회사에 말하기도 엄청 부담되는 편입니다.
그런데 올해 같은 경우 2번의 온라인 교육을 시행한다고 하여 첫번째 온라인 교육을 바로 신청했었습니다. 다시 한번 도전해보겠다는 각오로 말이죠.
다행히 교육 수료 후 3차 이수시험에서 바로 합격할 수 있었습니다! 뭐 점수가 높지는 않지만 70점이나 100점이나 어짜피 합격하면 무슨 의미가 있나 싶습니다.
소프트웨어 보안약점 진단원 이란? (약칭: 진단원, SW보안약점 진단원)
"소프트웨어 보안약점 진단원(이하 "진단원"이라 한다)"이란 소프트웨어 보안약점이 남아있는지 진단하여 조치방안을 수립하고 조치결과 확인 등의 활동을 수행하는 자를 말합니다.
※ 행정기관 및 공공기관 정보시스템 구축·운영 지침 제54조(행정안전부고시 제2023-27호)
[응시 자격요건]
- SW개발경력 6년 이상
- 취약점 분석 및 진단 3년 이상
[자격 이수 요건]
- SW보안약점 진단원 양성과정(5일 40시간)을 수료하고, 이론/실습 시험의 가중치에 따른 합산점수 70점 이상일 경우 이수로 판단
공공 쪽 사업에 사용되는 자격이다보니 민간에서는 활용도가 매우 적은 편인데, 대신에 국내에서 시큐어코딩이나 취약한 소스코드를 점검하는 능력을 보장합니다. 따라서 모의해킹 업무를 하시는 분들이 해당 시험을 많이 치르는 편이며, 연령대도 3년 이상인 중급기술자부터 나이가 어느정도되시는 특급 기술자까지 다양한 연령대가 시험을 보는 편입니다. 통계를 알 수 없으나, 개발자들이 해당 자격을 취득하는 경우는 드문 것 같습니다. 아무래도 개발자들은 개발 실력으로 증명하기 때문에 굳이 자격증에 옭매이지 않기 때문이죠.
합격률
공식적인 자료는 없으나, 2~5% 또는 5~10% 내외로 추측됩니다. 난이도가 꽤 있기 때문에 쉽사리 합격하기는 쉬어보이진 않고, 개인적인 생각으로는 정보보안기사 실기의 1.5~2.5배 정도는 어렵다고 생각합니다. 물론 개발을 잘 안다면, 매우 쉬울수도 있습니다.
시험 준비방법
1. 카페/단톡방/인강/문제집
SW보안약점 진단원은 PIA(개인정보 영향평가 전문인력)보다는 인기가 떨어지는 면도 있고, 기술적인 부분을 많이 알아야되다보니 상대적으로 응시자가 적은 편에 속합니다. 물론 PIA도 마찬가지이지만 두 가지 자격 모두 공공 사업에 대한 기술 자격이다보니, 시중 문제집이나 인강 같이 대외적으로 정보를 얻는 방법은 거의 없습니다. 오픈챗방이 있는지는 모르겠으나, 있어도 추천드리지는 않습니다.
늘 강조하지만 시험은 혼자 공부해서, 혼자 합격하는겁니다.
2. 합격 노하우
합격 노하우는 다음 세 가지와 같습니다.
- 소프트웨어 보안약점 진단가이드(2021).pdf (https://www.kisa.or.kr/2060204/form?postSeq=9&page=1)
- 본인 정리노트
- 2달 정도의 시간적 여유
교육 간에 제공되는 교재가 있긴한데 사실상 의미가 없다고 보구요. 시간 나실 때 간략히 읽어보시고 그게 아니라면 무조건 진단가이드를 봐야합니다. 또한, 워낙 암기를 많이 해야하고 취약한 코드를 읽을 줄 알아야하기 때문에 진단가이드를 요약해서 본인만의 정리노트를 만들어야 합니다. 직장 다니시는 분들은 평일을 온전히 쓸 수도 없고 주말도 어느정도 쉬어야하기 때문에 진단가이드를 보면서 본인만의 정리노트를 만드는데 최소 한달 정도가 걸릴 것으로 예상합니다. 추후 상세 합격 노하우를 별도 포스팅하겠지만 직접 정리하고 안하고의 차이는 엄청나게 크니 반드시 하시기 추천 드립니다.
한달 정도는 요약하는데 집중하시고, 나머지 한달은 요약본을 바탕으로 취약점의 개요 및 영향, 대응방안을 외우시면서 동시에 진단서에 나오는 정/오탐 코드를 집중적으로 보셔야합니다. 정/오탐 코드를 보고 해당 코드가 취약하면 어떤 취약점인지, 영향이 뭔지, 대응방안(최소 3가지 이상)은 어떤게 있는지 직접 서술해야하므로 단순히 읽으면서 공부하면 안되고 직접 수기로 서술하면서 연습을 하실 필요가 있습니다.
핵심 포인트 세 가지 꼭 기억해주시기 바랍니다.
자격증에 대한 개인적인 생각
위에 서술한대로 SW보안약점 진단원은 PIA와 동일하게 공공 쪽 사업에 사용되는 자격입니다. 현재로서는 PIA의 가치가 더 높게 평가되고 있으나 SW보안약점 진단원도 멀지 않은 시기에 높게 평가받는 때가 있을거라 생각합니다. 이미 많은 업체에서 소스코드 점검에 많은 투자를 하고 있다보니 소스코드 점검 툴에서 나오는 결과 값이 정탐인지, 오탐인지 구분할 수 있는 인력이 많이 필요한 상황입니다. 이와 관련하여 채용공고에도 심심치 않게 해당 자격을 요구하는 경우가 많이 생기고 있습니다. 또한, PIA 같은 경우에 법적인 기준에 맞다면 공공 쪽 구축 사업에만 필수로 하였지만, EU GDPR은 (물론 전제조건이 존재합니다만) 민간 쪽에서도 개인정보 영향평가를 요구하는 경우가 있습니다. 이를 보면 SW보안약점 진단도 공공 뿐만 아니라 민간 쪽에서도 충분히 열려져 있을 것이라고 생각됩니다. 언젠가는 공공 뿐만 아니라 민간에까지 확장되게 법적인 부분도 확장되지 않을까 라는 개인적인 생각이 있습니다.
그리고 무엇보다 모의해킹 쪽 업무를 하시는 분들께서는 이 자격증을 꼭 취득하라고 말하고 싶습니다. 앞서 말했지만, 시큐어코딩이나 소스코드 점검과 관련된 자격증이 국내에 유일무이하기 때문에 이 자격으로 어느정도 차별점을 둘 수 있지 않을까 합니다. 특히나 국내에서는 여전히 자격증을 많이 보는 곳도 많기 때문이죠. 자격증 없이 소스코드 점검을 한다? 모의해킹을 한다? 뭔가 앞뒤가 안맞다고 충분히 여길 수 있어 보입니다.
모쪼록 준비 잘 하셔서 좋은 결과 내셨으면 합니다. 요약 및 상세 공부법에 대해서는 다음 포스팅에서 이어 올리겠습니다.
'정보보안 > 자격증' 카테고리의 다른 글
| 소프트웨어 보안약점 진단원 자격증 수령 후기 (0) | 2024.01.04 |
|---|---|
| CPPG 활용 방법 및 사례 (45) | 2023.10.15 |
| SW보안약점 진단원 시험 준비 및 요약자료, 시험문제 예시 (47) | 2023.10.14 |
| CPPG (개인정보관리사/22년 3회차) 합격 후기 (2) | 2023.10.06 |
| 정보보안기사 합격(19년 2회차) 후기 (0) | 2023.10.05 |
