정보보안기사 합격 (24년 2회차) 후기

오래간만에 벨로그에 글을 쓰게 되었습니다!

올해 5월부터 8월까지 정보보안기사를 준비하였고, 9월 6일에 합격 통보를 받았습니다. 여러모로 준비하면서 기억에 많이 남는 시험이기도 했고, 혹시 정보보안기사를 준비하시거나 취득을 고려하시는 분들이 있지 않을까 하여 후기를 남깁니다!

취득에 도전한 이유

저는 스타트업에서 백엔드 개발자로 일하고 있습니다. 주로 API 서버를 개발, AWS 인프라 구축 업무를 담당하고 있습니다. 정보처리기사 시험을 마친 직후에 취득하면 의미가 있을 것 같은 자격증이 뭐가 있을까 하며 찾아봤고, 이 자격증이 눈에 띄었습니다.

API 서버를 배포하고 운영하면서 서버로부터 중요한 정보를 탈취할 의도의 봇 공격을 받은 경험이 있었고, AWS 내의 방화벽(WAF) 서비스를 통하여 조치를 하였지만 이 방화벽 서비스를 제대로 이해하고 쓴다는 느낌은 아니었습니다. 또 예전부터 정보보안이나 해킹 쪽으로 공부를 해보고 싶다는 마음이 있었습니다.

저는 정보보안 업계에 종사하거나 취업을 희망하는 사람은 아닙니다. (개발하는 게 좋아요 ㅎㅎ) 정보보안기사가 워낙 악명 높은 난이도로 소문이 자자하기도 하고, 굳이 기사 레벨에 도전하는 건 너무 투머치한가? 하는 생각은 들었습니다.

그래도 공부할거면 제대로 공부해보자 하는 생각이 강했고, 무엇보다 쌍기사에 대한 로망이 있잖아요? 마음먹은 김에 과감히 도전했던 것 같습니다.

준비기간

• 필기: 8주 가량 (5/6 ~ 6/30), 7월 1일 응시
• 실기: 5주 가량 (7/8 ~ 8/9), 8월 10일 응시

교재

• 필기: 알기사 정보보안기사 필기 (2023년판)
• 실기: 알기사 정보보안기사 실기 (2024년판)

필기 준비 과정

필기는 8주동안 준비하였습니다.

첫 5주 동안은 교재 1회독하는데 시간을 거의 다 썼습니다. 직장을 다니면서 공부해야 했기도 하고, 교재가 700페이지가 넘어가는데다 처음 보는 내용들이 정말 많았어요. 그래도 나는 IT계열 학과를 나왔으니까 할만하겠지? 라고 생각했던 저의 오만함이 책을 펼치자마자 단숨에 꺾였네요...

암호학, 시스템 보안, 네트워크 보안, 애플리케이션 보안, 정보보호법규 등등 하나만 해도 벅찬 내용들인데 이걸 다 훑어야 한다는게 정말 머리가 빠질 것 같았습니다. 공부해야 하는 내용의 양이 개인적인 체감상 정보처리기사에서 요구하는 분량의 4~5배 정도 되는 것 같아요.

남은 3주동안은 1회독한 부분 중에 중요해보이는 부분을 정리하고 문제풀이를 조금씩 해봤던 것 같습니다. 이것도 사실 시간이 부족해서 다 정리를 하진 못했던 걸로 기억하네요!

필기 시험

필기 시험은 7월 1일 13시에 경찰병원역 앞의 KCA 서울본부에서 응시했습니다.

시험 시간은 2시간 30분으로 기억하고, 다른 기사시험들이 그렇듯 문제은행에서 랜덤으로 100문제를 추출하여 출제하며 PC로 답안을 마킹하는 CBT 시험이었습니다. 답안을 제출하면 바로 가채점을 하여 합/불합 결과가 나오고 합격 커트라인은 과목 과락 (40점 미만) 없이 60점이었습니다.

시험 직전에 풀었던 모의고사의 점수가 45~55점으로 불합격권이었기 때문에 자신이 많이 없었고, 이번 시험은 모의고사라고 생각하자는 마음가짐으로 고사장에 들어갔던 것 같습니다.

문제는 교재에서 봤던 문제와 유사한 내용도 많이 나왔지만 처음 보는 유형이나 교재에서 나오지 않는 부분도 나오더라구요. (가트너 10대 전략기술 같은거)

떨리는 마음으로 응시하고 제출 버튼을 눌렀을 때 1초가 1분처럼 흘러갔고, 사실 그렇게 잘 푼 것 같지는 않아서 체념하고 있었는데 제 눈앞에 나타난건 "합격" 글자였습니다. 가채점 결과가 커트라인에 걸친 60점이 나왔더라구요!

기대하지 않았던 초회 합격이라 고사장에서 나오면서 정말 하늘이 날아갈 것 같이 기뻐했던 기억이 납니다.

실기 준비 과정

실기 시험은 5주동안 준비했습니다.

사실 동회차 실기를 응시해야 할 지 말아야 할 지 고민을 많이 했습니다. 필기 시험에 자신이 없었기 때문에 필기시험 응시 기간 중 거의 마지막 날 (7월 1일) 에 응시한 탓에 실기 준비를 할 수 있는 기간이 5주밖에 남지 않았더라구요. 실기는 합격률이 10% 내외를 왔다갔다 할 정도로 극악의 난이도기 때문에 이 기간 내에 준비를 할 수 있을까? 하는 걱정이 많이 들었습니다.

이전에 정보처리기사를 준비할 때도 필기를 2023년 3회차에 응시한 후 실기를 동회차를 건너뛴 후 2024년 1회차에 응시하였던 경험이 있습니다. 이번에도 미루면 정말 후회할 것 같아서 떨어지더라도 시범삼아 한번 보자는 생각을 했던 것 같아요

실기 교재는 필기 교재의 내용과 많이 겹치는 부분이 많았지만 조금 더 실무적인 부분을 요구하는 내용들이 많았습니다. 기억나는 것만 적자면 다음과 같습니다!

• 리눅스/유닉스의 명령어들
• 리눅스/유닉스의 주요 로그 파일들
• 리눅스/유닉스의 주요 설정 파일들
• 접근제어 기법
• 라우터 보안
• IPS (특히 스노트 설정 관련 내용)
• IDS (특히 iptables 관련 내용)
• 각종 웹 공격법 (SQL 인젝션, XSS, CSRF 등) 과 방어법
• DoS, DDoS, DRDoS 공격 및 방어법
• 정보보호 절차나 법규

다만 필기와 겹치는 부분이 상당히 많았기에 이번에는 1회독을 빨리 끝낼 수 있었고, 2주가 남았을 시점부터 노션 페이지를 개설하여 카드 형식으로 내용을 정리하여 요약을 하였습니다.

마지막 일주일을 앞둔 시기에 정보보안 업계에 종사하는 친구의 도움을 받았습니다. 교재에서 알려주지 않는 내용들이나 놓치기 쉬운 내용들을 많이 집어줬습니다. 이후 시험을 보기 전날까지 문제를 풀어보면서 답변을 서술하는 데 적응하는 시간을 가졌습니다!

실기 시험

실기 시험은 8월 10일 10시에 가락시장 근처의 가원중학교에서 응시했습니다.

시간은 1시간 30분이었던 걸로 기억하고, 총 18문제 (단답형 12문제, 서술형 4문제, 실무형 2문제) 중 실무형 1문제를 선택하여 17문제를 풀면 되었습니다. 커트라인은 필기와 마찬가지로 60점이었습니다.

단답형은 일부 보기가 있는 문제가 있어 잘 모르는 내용이나 용어가 나오더라고 소거법으로 해결할 수 있었습니다.

서술형은 윈도우 사용자 권한, 개인정보영향평가(PIA), XSS 공격, 무차별 모드에 대해 물어보는 내용이 나왔던 걸로 기억합니다. PIA를 제외하면 교재에서 봤던 내용이기에 최대한 아는 내용을 서술하였습니다.

실무형은 데이터베이스 권한 관리, 하트블리드 공격 대응법에 대해 물어보는 내용이 나왔던 것으로 기억합니다. 여기서 하트블리드 공격 대응법에 대한 문제를 선택하여 풀었습니다. 실기 준비 단락에서 정보보안 업계에 종사하는 친구에게 도움을 받았다고 했는데, 친구가 중요하다며 정리해준 내용 중 하나가 바로 하트블리드 공격이었기 때문에 비교적 수월하게 답변을 작성할 수 있었습니다.

서술형이 각 12점, 실무형이 16점으로 여기서 총 64점이 나오기 때문에 여기서 두 문제 이상 못 풀면 가망이 없다는 생각에 불안감을 안고 고사장에 들어왔습니다. 제 생각보다는 많은 답변을 적고 나와서 뭔가 후련하더라구요. 떨어져도 후회는 없을 것 같았고 다음에 또 응시할 수 있는 힘을 얻었던 것 같습니다!

결과 발표

시험 결과는 9월 6일 10시에 발표되었습니다. 이 날은 금요일이라 근무 중이었기에 10시가 되자마자 확인을 하지는 못하였지만, 중간에 화장실을 가는 길에 문자가 한 통이 와 있었습니다.

기대하지 않았는데 결과는 최종 합격!! 혹시 문자를 잘못 보낸게 아닐까 싶어서 KCA 홈페이지에서 다시 확인했는데 최종 합격이 맞았습니다.

필기시험와 동일하게 커트라인에 걸친 60점으로 통과하였습니다! 최대한 아는 내용을 최대한 꽉꽉 채워서 낸 걸 채점위원 분들이 점수로 많이 인정해주신 것 같습니다.

마무리하며

자격증 준비를 시작할 때는 걱정이 정말 많았고, 직장을 다니면서 시험을 준비했어야 했기 때문에 정말 스트레스가 상당했던 것 같아요. 그래도 이 시험을 공부하는 것 자체만으로도 개발자로서 얻어갈 수 있는 부분이 상당히 많았고, 이 때문에 떨어져도 후회는 없을 것 같다는 생각이었는데 결과까지 좋게 나와서 정말 기뻤습니다.

자격증을 딴 것에 안주하지 않고 정보보안기사를 공부하며 얻은 지식을 실무에 적극적으로 사용해보려 합니다. AWS의 WAF 서비스에서 조금 더 서비스에 필요한 룰을 커스텀하여 설정한다거나, EC2로 서버를 운용할 경우 인스턴스 내부의 파일 접근권한에 대한 설정을 철저히 한다거나 등의 대책을 세우는 등 응용해볼 수 있는 부분이 많을 것 같습니다.

요즘에는 드림핵이라는 해킹 및 사이버 보안 분야를 온라인으로 학습할 수 있는 서비스가 있더라구요. 보안기사에서 얻었던 지식을 잊지 않고 틈틈이 학습하여 실무 경험을 쌓아가고자 합니다.

혹시 이 글을 읽고 계신 분들 중 정보보안기사 취득을 생각하시는 분이 있다면 이 글이 도움이 되길 바랍니다! 감사합니다 🙇‍♂️