23년 SW 보안약점 진단원 합격 수기, 공부 방법
작성일: 230728
23년 1차 소프트웨어 보안약점 진단원 시험에 응시했고, 오늘 종합점수 72.8점으로 합격했다.
다른 분이 올린 진단원 합격 현황을 보니 최근 7년 합격률이 2%대여서 많이 걱정했는데,,
그만큼 준비를 많이 했고 가능한 방법을 모두 동원한 게 합격 이유가 아닐까 싶다.
아래 시험후기/스터디 과정/실제 공부 방법/공부를 통해 나온 산출물을 정리해놓았다.
공부기간이 짧아 턱걸이로 합격했지만, 나와 같은 방법으로 충분히 여유를 두고 공부한다면 맘 편히 시험장을 나올 수 있을 것이다.
- 시험 후기
https://cryptocurrencyclub.tistory.com/160
23년 1차 SW 보안약점 진단원 시험 후기, 문제
나는 작년 SW 보안약점 진단원 양성과정을 이수했고, 올해부터 1차, 2차 시험을 목표로 공부를 시작하였다. (작년에 봤던 첫 시험은 문제 유형만 기록해서 나왔다) https://cryptocurrencyclub.tistory.com/88
cryptocurrencyclub.tistory.com
- 스터디 과정
https://cryptocurrencyclub.tistory.com/88
23년도 SW보안약점 진단원 이수시험 스터디 시작
작성일: 230619 올해 1차(7/15), 2차(8/5) 합격을 목표로 스터디를 시작하려 한다. 스터디 자료) 소프트웨어 보안약점 진단가이드 (2021) 소프트웨어 개발보안 가이드 (21.12.29) 코딩가이드(C)_V1.2 코딩가
cryptocurrencyclub.tistory.com
ㅇ 루틴(약 1.5달간 평일 최소 2시간, 주말은 가능한 만큼)
- 평일: 설계/구현단계 항목 문서 읽고 쓰기 (소프트웨어 보안약점 진단가이드)
- 주말: 평일에 공부한 내용 복습 + 코드 복습 (진단가이드 + 추가로 필요하면 코딩가이드)
* 개발보안 가이드는 몇 번 읽어봤는데 보안약점 진단가이드와 큰 차이가 없고, 예제 코드도 동일하다. 약간 요약 느낌?
ㅇ 공부 방향성 및 순서 (사실 이게 제일 중요하다)
1. 진단가이드에서 제공하는 설계-구현단계 항목이 왜 이 범주에 분류되어 있는지 이유를 파악하면서 읽고, 정리해야 한다.
2. 설계-구현단계 간 유기적으로 매핑할 수 있어야 한다.
* 여기서 이렇게 설계하면 구현단계에서 어떤 문제가 발생할 것인가?
* 이 보안위협을 방지하려면 설계단계에서 어떻게 설계해야 할 건가?
* 따라서 아래 링크처럼 서로 연결시켜 놓고 궁금한 경우 바로 확인할 수 있도록 정리 문서를 작성해야 한다.
참고: https://cryptocurrencyclub.tistory.com/120 와 https://cryptocurrencyclub.tistory.com/94
3. 항목 별 주요 키워드를 파악해야 하며 이 키워드를 통해 항목 간 차이와 그 이유를 알아야 한다.
* 예시로, 코드를 볼 때 함수나 메소드를 보고 이 코드가 어떤 기능을 하려는 코드인지와 이 기능에서 어떤 보안약점이 발생할 수 있을지 + 대응 방안은 무엇인지 알아야 한다.
4. 가이드의 코드를 보고 어떤 보안약점인지, 그 이유와 근거, 수정 방법을 논리적으로 이야기할 수 있을 수준이 되어야 한다.
* 최소한 진단방법-정오탐코드 위에 쓰여있는 글만큼의 논리를 만들 수 있어야 한다.
ㅇ 이렇게 해서 내가 만든 공부 산출물
* 반드시 가이드를 몇 번 보고 나서 머리에 있는 상태에서 정리를 해야 한다.
나는 가이드 정독 -> 블로그 업로드 -> 가이드 반복 학습 + 요약자료 순으로 했다.
끝.