디지털라이프

ISMS-P 시험에 대한 공지는 한국인터넷진흥원(KISA)에서 확인할 수 있다.

https://isms-p.kisa.or.kr/main/community/notice/

게시물에 첨부된 세부 안내문을 확인하면 응시자자격기준, 응시원서접수, 필기전형 및 합격자 선정, 실기전형, 최종합격자발표, 부정행위에 관련된 사항들을 확인할 수 있다.

중요한 건 응시자격과 원서접수 항목에 제시된 증빙서류이다.

응시요건에서 아래 그림의 빨간박스 부분을 신경써야 한다.

4년제 대학졸업은 6년, 3년제는 7년 2년제는 8년, 고졸은 10년의 경력이 필요하다.

경력대체(자격증 및 석박사)는 3가지 정보보호,  개인정보보호, 정보기술 경력 중 한가지만 가능하다.

보통은 개인정보보호 경력을 쌓기가 어렵기 때문에 이를 자격증으로 대체하는 경우가 많다.

나는 정보보호는 정보보안기사로 대체하고, 개인정보보호는 이전 회사에 경력증명서(KISA 양식)를 보내 회사직인을 받았으며, 정보기술은 KOSA(한국소프트웨어산업협회)에 등록된 경력을 이용했다.

이렇게 KOSA가 IT분야 경력증명서 대체할 수 있는 것은 편리한 점이다.

응시요건 및 경력대체 요건은 아래와 같다.

자격검정신청서는 아래와 같은 양식인데 작성방법은 우측에 제시되어 있어서 작성에 어려움은 없다.

경력기간만 요건을 충족하도록 작성하면 된다.

신청세부내역서의 양식은 아래와 같다.

담당업무는 입력칸에 맞춰서 2~3줄 정도로 적절히 작성한다. 신청서와 경력기간을 동일하게 작성해야 한다.

자격사항에 경력대체 자격증 정보를 입력하고 담당업무 상세는 경력대체(자격증명)을 적어주었다.

두번째 페이지를 어떻게 작성해야 하나 고민을 했는데 인터넷에 자료가 거의 없다. 유튜브에서 1건 작성하는 사례를 발견했는데 뭐 그냥 적당히 작성해주면 된다.

정보보호 또는 개인정보보호 경력에서 경력대체되지 않은 분야에 대해 한줄정도로 간략하게 업무내용을 작성(~에서 ~업무를 수행)하고 실무경력에 해당 경력 년수를 적으면 된다.

구체적으로 기술하라고 되어있지만 간략하게 작성해도 서류통과에 문제가 없다.

제출서류는 신청서, 세부내역서 외에는 PDF로 제출한다.

서약서나 개인정보 수집이용동의서는 출력후 서명해서 사진찍어서 PDF로 변환,

경력증명서(이전, 현)는 작성 후 회사직인을 받아서 PDF로 변환,

자격증(경력대체)과 졸업증명서도 PDF로 변환.

준비된 서류를 압축해서 지정된 파일명(신청일자_신청자이름_생년월일.zip) 으로 변경한후 이메일로 보내면 된다.

정상적으로 제출이 되면 이메일이 온다.

아래는 접수 완료 이메일 사례이다.

응시대상자 확정일에 확정문자가 온다.

수험표 배부일에는 수험표가 이메일로 온다. 이번 년도는 2일정도 지연되었다.

수험표가 왔으니 시험일에 고사장으로 가서 신나게 문제를 풀어주면 되겠다.

필기시험 후기..

https://lumasca.tistory.com/1169

ISMS-P 인증기준은 필수로 암기를 해야 한다.

처음에는 인증기준 항목을 두음법칙을 이용해 1주 정도 집중 암기를 했는데 그렇게 노력할 필요는 없는 듯하다.

그냥 학습을 하다 보면 저절로 알게 된다.

모 카페에서 받은 셀프 테스트 파일은 50개를 랜덤으로 제출하는 방식이어서 내가 원하는 방식이 아니었다.

인증기준 전체에 대해서 점검항목 및 결함사례를 암기하고, 랜덤 테스트를 진행할 목적으로 양식을 만들었다.

점검항목 목록에는 가상자산사업자에 대한 항목도 포함시켰다. 다음은 그 테스트 양식이다.

점검항목이나 결함사례에 인증기준 키워드가 포함되어 있어서 한 3주정도면 특이한 항목을 제외하고는 암기가 완료될 것이다.

틀린 항목, 답안에 확신이 없는 항목, 3초내에 답이 생각나지 않는 항목 등은 별로의 탭에 복사해서 매일 테스트를 하도록 한다.

전체 항목은 일주일에 한 번만 해줘도 리마인드하는데 충분하다.

인증기준 학습노트는 단권화하여 작성할 필요가 있다. 그래야 반복학습을 하면서 사진처럼 기억할 수 있다.

나의 경우는 수기로 작성하는 것을 선호하는데 손으로 쓰는 과정에서 인증기준을 되뇌면서 더 잘 기억이 된다고 믿기 때문이다.

다만 참조하는 정보들은 인쇄해서 오려 붙이는 방식으로 정리한다.

관리체계(16), 보호대책(64), 개인정보보호(22) 합해서 102개 밖에 안된다. 하루에 10개씩 10일이면 정리가 끝난다.

기본 골격이 잡혔으니 반복학습을 하면서 키워드는 형광펜으로 표시하고, 인증기준과 관련된 별도의 정보를 습득하면 추가한다.

2023년 시험을 본 후 나의 지식이 부족하여 확실히 정답이라고 할 수 있는 문제가 얼마 되지 않았다.

게다가 시험종료 10분전에 문제를 다 풀 수 있었다. 리뷰할 시간도 없었다.

문제도 복원이 잘 안되는 걸 보니 학습이 부족한 것이 분명했다.

그래도 합격을 기원한다. 

필기시험 후기

https://lumasca.tistory.com/1169

ISMS-P 첫 시험을 우여곡절 끝에 치뤘다.

첫 시험인데  컨디션이 매우 안 좋아서  응시를 못할 뻔 했다.

시험 전날 밤부터 엄지발가락에 통풍증상이 갑자기 발생하여 잠을 자지 못하고 밤을 새웠다.

시험 당일 아침에는 너무 아파서 걸을 수도 없었다. 간신히 병원에 가서 주사를 맞고 약을 먹고 나서야 겨우 걸을 수 있었다. 

세상 무슨 일이 있어도 시험은 봐야 한다는 의지가 있어야 한다.

시험 장소는 잠신중학교였다.

시험 인원은 한 교실에 대략 25명정도로 보이며, 미참석자가 1~2명 있었다.

시험장을 들어오면서 보니 생각보다 젊은 분들이 많이 응시한다는 사실에 놀랐다.

시험문제를 받아보니 공부했던 모의고사 책과는 문제유형이 달랐다.

이번 시험은 문제유형이 이전과 달라진 것으로 보인다.

긴 지문(2~3개로 구성)에 2~3개 질문으로 구성된 문제는 없었고, 지문이 있는 경우, 지문 1개당 질문 1개 였다.(2페이지 안에 포함되며, 페이지를 넘기면서 풀어야 하는 상황은 없다)

대표적 문제유형은 아래와 같다.

지문과 질문이 있는 유형,

지문 없이 질문만 있는 유형,

정답의 개수를 묻는 유형: 지문에 가. 나. 다 ...를 제시하고 답은 1)0개, 2)1개... 식으로 모두 고르시오 타입이다.

정답이 2개인 유형

출제분야은 인증기준, 인증제도, 심사원태도 등 기본적인 문제가 나오며,

클라우드 문제가 예상보다 많이 나왔고, 보안 기술이나 가상자산거래소는 별로 안 나왔다.

문제가 기억이 잘 안나서 복원은 못하겠다.

시험시간이 2시간인데 부족함을 느꼈다. 절반정도는 집중해서 푸는데 그 이후에 슬슬 집중도가 떨어진다.

집중도를 다시 높이기 위해 문제풀이를 중단하고 '나는 문제를 다 풀겠다. 난 할 수 있다. ' 라고 마음속으로 다짐을 했다.

그 이후 다시 문제 풀이를 시작했고, 시간이 부족해 검토할 시간이 부족하다고 답안지에 바로 마킹을 했다.

문제를 다 풀고 나니 시험 종료 10분전이었다. 바로 제출하고 집에 왔다.

ISMS-P 학습

공부를 많이 하진 못했고, 주로 인증제도와 인증기준만 학습했다.

다른 많은 참고 자료들이 있었으나 보지도 않았다. 보기 싫었단 표현이 맞겠다.

4월 중순부터 준비했고 초반 2~3주는 암기차원에서 하루 2~3시간 정도 투자했고,

인증기준이 어느정도 암기된 5~6월은 하루 1~2시간이나 안하는 날이 대부분이었다. 주말에도 3시간정도면 많이 한 편이다. 노트를 정리하는데 5일, 하루 3시간 정도 투자했다.

총 학습시간이 70~80시간정도 될 것 같다.

혹시 필기시험을 보려고 공부한다면 저처럼 느슨하게 하지 말고, 열심히 하셔서 한 번에 합격하시기 바랍니다.

충분히 한 번에 합격할 수 있는 시험입니다. 뭐 시험이 고시수준이다, 엄청 어렵다고들 하는데 쫄필요 없습니다.

다만, 대부분 법이기때문에 학습이 지루할 뿐...

자격증에 대한 간절함이 중요합니다.

필자는 보안인이 아니며, 정보보안에 대한 기본 역량을 확보하기 위해 자격증 4종세트를 취득하는 것이 목적입니다.

4종세트: 정보보안기사(취득), SW보안약점진단원(취득), 개인정보영향평가전문인력(준비중), ISMS-P (준비중)

회사일을 하다 보니 결과발표일이 다가왔다.

시험을 잘 본 것은 아니었지만 그대로 기대하는 마음이 있었다. 합격을 하게 된다면 60점 턱걸이로 ..

8/11(금) 15:00에 필기 결과 메일이 도착했다.

휴.. 56점으로 불합격했다. 고작 2문제 때문에.. 아쉬움이 남는다. 간절함이 부족했던 탓이리라..

투자한 시간치고는 나름 괜찮은 점수다. 내년에는 반드시 합격한다!

SMS로도 메일이 발송됐다고 알려준다.

12월 5일 드디어 SW보안약점진단원 합격증이 우체국 등기로 도착했다.

합격증을 받는데 3개월씩이나 걸리다니..

자격증을 활용할 곳을 찾아봐야겠다.

2022년 9월 2일 SW보안약점진단원 시험결과(8월20일 시험)가 메일로 발송되었다.

9시부터 기다렸는데 10시가 조금 넘어서 메일이 도착했다.

합격은 예상했는데 점수는 높지 않았다. 필기나 실기 배점정도는 별도로 구분해서 주면 좋았을텐데..

아무래도 실기에서 실수한것이 맞는것 같다.

2022년 8월 20일 토요일에 보안약점진단원 시험을 보았다.

준비물은 신분증, 볼펜뿐이다.

시험 총평: 암기를 좀 했다면 이론이나 실기모두 수월하게 풀수있을 것으로 보였고, 단지 실기 15점짜리 2문제는 좀 헷갈렸다.

암기는 기본이고 코드를 보고 보안약점을 판단하는 훈련을 많이 해두는 것이 시험에 도움이 많이 될것 같다.

합격여부는 채점자들이 서술형 문제에 대해 점수를 얼마나 주느냐가 관건인듯 싶다.

일이 있어서 집에 늦게와서 리뷰하는데 문제가 잘 생각이 나질 않았다.

인터넷 시험후기에 시간적 여유가 없으니 답안지에 직접 작성하라고 하라는 글을 보고 직접 작성했었다.

그런데 다시 검토하다보디 수정해야할 답안이 좀 있었다. 볼펜으로 두줄 긋고 수정해서 지저분하게 보였다. 

공부를 어느정도 했다면 시간적 여유는 충분하니 문제지에 답을 작성하고 검토후에 답안지에 작성해도 된다.

*이론

이론은 진위형, 객관식형, 단답형, 서술형으로 구성된다.

진위여부는 보안약점에 대한 설명이 맞는가, 진단방법에 대한 설명이 맞는가 등 2~3줄짜리 지문으로 구성된 문제 유형이다. 

객관식은 1~3개까지 답을 고르는 문제 유형이다. 

단답형은 암호키 유효기간(송신자,수신자), 쿠키 속성, LDAP 취약점 특수문자 3개 이상, 비밀번호 요구사항을 제시하고 공격기법 2가지 등 정답이 확실한 문제 유형이다.

서술형은 보안약점, 보안대책을 작성하는 문제 유형이다.

*실기

실기는 정*오탑 문제, 보안요청서 작성문제, 보안약점 식별 문제로 구성된다.

1)정탐 오탐 식별하고 근거를 서술하는 문제

2)보완요청서(보안약점, 진단방법, 보안대책, 취약한 코드라인)를 작성하는 문제. 보안유형은 이미 체크가 되어있다.

3)취약한 라인을 알려주고 해당 보안약점, 설명, 대응책을 작성하는 문제

시험장소는 서울역 공간모아 이다.

주소: 서울특별시 중구 통일로 26 한일빌딩(1호선 서울역 3번 출구에서 도보 100m, 1층의 한진렌터카 건물)

건물 입구 및 엘레베이터 앞에 안내문구가 있다. 6층이 시험장이었다.

6층에 도착면 입구에서 신분증으로 본인확인을 한다.

시험일정은 다음과 같다.

시험이 시작되면 퇴실할때까지 중간 휴식시간에도 교재를 본다던가 핸드폰은 사용할 수 없다.

소지품은 가방에 넣어서 시험장 뒤에 두도록 조치한다.

실기시험 퇴실은 15시20분부터 가능하다. 

시험장 좌석배치도를 보니 대략 55명정도 응시를 하는 것 같이다. 의외로 응시자가 적었다.

2인 책상에 한명씩 앉으며 앞에서부터 지그재그로 배치된다. 

책상에는 코로나 가림막이 설치되어있다.

참고로 시험 안내서에 나오는 점수산출방식과 문제유형은 다음과 같다.

1) 종합점수 산출방식:

이론시험(40%) + 실습시험(60%) 가중치

[표 2] 이수시험 종합점수 산출방식

2) 합격기준:

가중치에 따른 종합점수 70점 이상일 경우 합격 (과락: 60점 미만)

3) 출제범위:

SW개발보안 제도·기준, 보안약점 진단·제거기술 등

4) 참고자료:

소프트웨어 보안약점 진단가이드 및 진단원 양성과정 교재 소프트웨어 개발보안 가이드

5) 문제 구성 ※ 회차별 문제구성은 달리 적용될 수 있음

가) 이론시험(60분)

나) 실습시험(100분)

시험준비(https://lumasca.tistory.com/1150)

시험 준비 자료는 아래 2가지만 사용했다.

2022년 SW 보안약점진단원 교육교재

소프트웨어_보안약점_진단가이드(2021): https://www.kisa.or.kr/2060204/form?postSeq=9&page=1 

교재의 보안약점은 진단가이드와 거의 동일하므로 진단가이드 위주로 보안약점 유형별로 구글시트로 정리했다.

교재는 분석설계 단계 실습 부분만 보았는데 시험에 별로 도움이 되진 않았다.

이론의 진위(OX), 객관식, 단답형은 단순히 암기만 하면 되고, 이론 서술문제, 실기 서술 문제는 암기해서 쓰는 훈련이 필요하다.

설계단계 보안약점은 보안약점유형, 설계항목, 설명, 구현단계 보안약점, 취약점, 보안대책을 작성한다.

구현단계 보안약점은 보안약점유형, 보안약점이름, 설명, 보안대책, 진단방법, 안전하지 않은 코드, 안전한코드를 작성한다.

그리고 백지에 위의 내용을 약식으로 필사하고 암기 후 외워서 쓰는 훈련을 한다.

모르는 부분은 공백으로 두고 생각나는 부분 만암기해서 쓰도록 한다. 공백은 빨간색으로 채운다. 빨간색으로 작성된 부분을 다시 확인한다.

총 69개이지만 내용이 많지 않은 보안약점이 많기때문에 하루에 15개 정도만 하면 5일이면 충분하다.

주말은 시간을 더 할애해서 암기에 집중하도록 한다. 당연한 말이지만 본인에게 쉬운 보안약점부터 공략하고 영역을 확대해 나가자.

개발자도 마찬가지지만 비개발자라면 코드를 보고 약점을 도출하는 훈련을 특히 많이 해야 한다.

안전하지 않은 코드만 보고 보안 약점에 대한 내용을 작성할 수 있도록 훈련한다. 

진단가이드에 나오는 정탐, 오탐 예제를 보고 그 근거를 이해하도록 한다.

요청하신 분이 계셔서 학습할 때 사용한 파일을 첨부합니다. 참고하세요.

시험후기(https://lumasca.tistory.com/1151)

2022년 7월 25일부터 29일까지 3차 SW보안약점진단원 양성교육이 있었다.

교육후기: 교육 운영진은 모두 친절하셨으며, 강사님 두분도 열심히 강의를 하셔서 대체로 만족스러웠다.

다만 실습은 코드분석 위주로 이루어져서 분석/설계 산출물이나 소스코드로 보안약점을 진단하고 보완요청서를 작성하는 실습이 없었던 점이 많이 아쉽다.

2022년도 3차 교육는 아래 장소에서 진행되었다. 날도 더운데 멀지않은 곳이어서 좋았다.

한국정보보호교육센터 본관  

-주소: 서울 강남구 남부순환로 2645 한독빌딩 5층 SPACE HUB  *양재역 4번 출구 410m  

출석은 아침(9:00, 교육시작전), 점심(13:00, 점심식사후), 저녁(18:00, 교육종료후)에 출입문근처에 부착된 QR코드를 찍으면 전화번호, 이름, 날짜, 시간을 입력하는 페이지로 이동한다. 정보를 모두 입력하고 제출을 하면 된다.

교재는 수업 첫날 책상에 배부되어 있다.

좌석은 선착순으로 첫날 앉았던 좌석을 계속 유지하도록 권고하고 있다.

중식은 근처 식당에서 각자 알아서 해결하면 된다.

이번 교육 회차가 경쟁률이 높았다고 한다. 개발자보다 보안업체 인력이 많이 참석했다.

둘째날 오후에 코로나 확진자가 발생하여, 온라인, 오프라인 수업이 병행으로 진행되었다. 교육생은 선택에 따라 결정할 수 있었다.

본인은 온라인 수업을 희망하였기 때문에 오후에 집으로 가서 온라인 줌을 이용해서 교육을 수강했다.

실습파일은 대용량 메일로 전송되며, 실습 프로젝트 압축 파일과 가상컴퓨팅환경(VMware) 압축 파일을 전송해준다.

실습환경(JDK, 이클립스)을 구성하는 과정을 진행하는데, 잘 안되면 VMWare를 설치하고 가상컴퓨팅 환경을 사용해도 무방하다.

설계단계나 구현단계 모두 실습은 코딩 예제를 가지고 진행했다.

마지막날은 다른 일이 있어서 출석하지 못했다. 만족도 조사 링크는 문자로 전송된다. 그리고 시험에 응시할 것이지 조사한다. 

나는 이후에 전화로 연락이 와서 응시한다고 말했다.

응시기회는 총 3번인데 교육수료후 첫 시험은 응시를 하던 안하던 차감되는 것으로 들었다. 

시험유형을 확인하기 위해서라도 응시해야 한다.

출석율이 80%이상이면 교육과정을 이수한 것으로 된다.

수료증은 KISA > 마이페이지 > 교육이력(https://academy.kisa.or.kr/mypage/history.kisa)에서 출력할 수 있다.