23년 1차 SW 보안약점 진단원 시험 후기, 문제

작성일: 230715

 

* 합격 수기/스터디 과정/실제 공부 방법 등은 아래 링크

https://cryptocurrencyclub.tistory.com/167

23년 SW 보안약점 진단원 합격 수기, 공부 방법

 

나는 작년 SW 보안약점 진단원 양성과정을 이수했고, 올해부터 1차, 2차 시험을 목표로 공부를 시작하였다.

(작년에 봤던 첫 시험은 문제 유형만 기록해서 나왔다)

 

https://cryptocurrencyclub.tistory.com/88

23년도 SW보안약점 진단원 이수시험 스터디 시작

 

후기를 먼저 쓰고, 나왔던 문제를 복기해보려 한다.

 

- 후기

시험 중 에어컨은 고장 나서 나오지도 않는데, 밖에서는 시위하느라 집중이 안 돼서 정말 힘들었다.

문제보다 시험 환경이 너ㅓㅓㅓㅓㅓㅓㅓㅓ무 스트레스였다. 시험 보신 분들, 감독하시는 분들 정말 수고 많으셨어요....

 

결론만 이야기하면,

 

1. 작년대비 난이도가 낮아졌고 2. 논란의 여지가 있을 문제는 일부 없어졌고 3. 함정 문제가 많았다.

 

1번의 이유는.. 전년 대비 1교시에 무려 40점을 차지했던 서술형 문항이 사라지고 간략히 기재하거나 고르는 문제가 많아졌으며 2교시는 고배점 문항 수가 줄고 다수의 문항으로 변경되면서 부분점수를 주려는 의도가 보였다.

 

진단원 시험 문제 구성 표 (왼쪽: 22년도, 오른쪽: 23년도)

 

---

문제 출제 유형은..

1. 기준 키워드를 이해하면 파악할 수 있을 문제가 나왔다.

2. 가이드 문서를 원문 그대로 인용하거나 문제에 추가 조건을 기재하여 복수 답안, 논란의 여지를 배제하기 위한 노력이 많이 보였다.
* 예를 들면, 이 코드는 구현단계 보안약점-보안기능의 어느 항목에 해당하는가? 와 같은 질문을 통해 복수의 보안약점을 포함할 수 있는 여지를 차단함
→ 여기서 알 수 있는 건, 각 20개, 49개의 기준이 어느 속성에 해당하는지 정확히 파악하고 설계-구현단계 간 연관 관계를 매핑할 수 있어야 하는 것이다.

3.  설계, 보안약점에 대해 애매하게 외운 경우 헷갈리는 함정 문제가 대놓고 많이 나왔다.
* 1과 같이 연계하자면, 항목 간 차이와 그 이유를 알아야 한다.

4. 의외로 나올 것 같은 키워드의 문제가 안 나왔고 중요해 보이지 않는 키워드의 문제가 나왔다.

5. 단답형에 보안약점 진단가이드에 언급이 없는 내용의 문제가 나왔었던 걸로 기억한다. 근데 배점이 그렇게 높진 않았음.

 

작성일: 7/15

※ 생각나는대로 업데이트할 예정이며 구체적인 내용은 적지 않고, 참고할 수 있는 진단 가이드 페이지를 기재하겠습니다.

 

 

1. 이론시험

 

1.1 진위형

O/X문제

 

 

1.2 객관형

1. 특정 보안약점 관련 보안대책 + 그 외 정책 등

 

 

1.3 단답형

코드를 주고 + 어떤 보안약점 + 어느 라인에서 문제 발생?

 

2. 실습시험

※ 긴 코드를 주고 코드의 정오탐 여부 + 오탐이나 정탐인 근거 + 해당 라인

 

정오탐 판별 여부 문제가 전부 다 오탐이었던걸로 기억하는데.. 틀리면 100% 불합격일 듯......