23년 SW 보안약점 진단원 합격 수기, 공부 방법

작성일: 230728

 

23년 1차 소프트웨어 보안약점 진단원 시험에 응시했고, 오늘 종합점수 72.8점으로 합격했다.

 

 

사실 턱걸이로 합격해서 마냥 기쁘진 않다. 한 문제만 더 틀렸어도 불합격일텐데, 헷갈렸던 문제들이 운좋게 맞은 것 같다.

 

 

다른 분이 올린 진단원 합격 현황을 보니 최근 7년 합격률이 2%대여서 많이 걱정했는데,,

그만큼 준비를 많이 했고 가능한 방법을 모두 동원한 게 합격 이유가 아닐까 싶다.

 

아래 시험후기/스터디 과정/실제 공부 방법/공부를 통해 나온 산출물을 정리해놓았다.

공부기간이 짧아 턱걸이로 합격했지만, 나와 같은 방법으로 충분히 여유를 두고 공부한다면 맘 편히 시험장을 나올 수 있을 것이다.

+@ 다음 차수 시험 자동으로 취소 처리도 해주신다..ㅎ

- 시험 후기

https://cryptocurrencyclub.tistory.com/160

23년 1차 SW 보안약점 진단원 시험 후기, 문제

 

- 스터디 과정

https://cryptocurrencyclub.tistory.com/88

23년도 SW보안약점 진단원 이수시험 스터디 시작

 

 

 

  ㅇ 루틴(약 1.5달간 평일 최소 2시간, 주말은 가능한 만큼)

    - 평일: 설계/구현단계 항목 문서 읽고 쓰기 (소프트웨어 보안약점 진단가이드)

    - 주말: 평일에 공부한 내용 복습 + 코드 복습 (진단가이드 + 추가로 필요하면 코딩가이드)

    * 개발보안 가이드는 몇 번 읽어봤는데 보안약점 진단가이드와 큰 차이가 없고, 예제 코드도 동일하다. 약간 요약 느낌?

 

  ㅇ 공부 방향성 및 순서 (사실 이게 제일 중요하다)

1. 진단가이드에서 제공하는 설계-구현단계 항목이 왜 이 범주에 분류되어 있는지 이유를 파악하면서 읽고, 정리해야 한다.

2. 설계-구현단계 간 유기적으로 매핑할 수 있어야 한다.
* 여기서 이렇게 설계하면 구현단계에서 어떤 문제가 발생할 것인가?
* 이 보안위협을 방지하려면 설계단계에서 어떻게 설계해야 할 건가?
* 따라서 아래 링크처럼 서로 연결시켜 놓고 궁금한 경우 바로 확인할 수 있도록 정리 문서를 작성해야 한다.
참고: https://cryptocurrencyclub.tistory.com/120 와 https://cryptocurrencyclub.tistory.com/94

3. 항목 별 주요 키워드를 파악해야 하며 이 키워드를 통해 항목 간 차이와 그 이유를 알아야 한다.
* 예시로, 코드를 볼 때 함수나 메소드를 보고 이 코드가 어떤 기능을 하려는 코드인지와 이 기능에서 어떤 보안약점이 발생할 수 있을지 + 대응 방안은 무엇인지 알아야 한다.

4. 가이드의 코드를 보고 어떤 보안약점인지, 그 이유와 근거, 수정 방법을 논리적으로 이야기할 수 있을 수준이 되어야 한다.
* 최소한 진단방법-정오탐코드 위에 쓰여있는 글만큼의 논리를 만들 수 있어야 한다.

 

  ㅇ 이렇게 해서 내가 만든 공부 산출물

* 반드시 가이드를 몇 번 보고 나서 머리에 있는 상태에서 정리를 해야 한다.

나는 가이드 정독 -> 블로그 업로드 -> 가이드 반복 학습 + 요약자료 순으로 했다.

 

시트1(랜덤으로 코드가 생성되도록 만들었음)

 

시트2(설계, 시험당일 이거 출력해서 가져가서 봄)

 

시트3(구현, 시험당일 이거 출력해서 가져가서 봄)

 

이 항목들을 보고 각 항목이 어느 속성에 해당하는지 바로 파악할 수 있을 수준이 되어야 한다.

 

 

머리에 어느정도 항목들이 찼다면, 여기에 요구사항-대책을 쓸 수 있어야 한다.

 

 

끝.