시험 준비 자료는 아래 2가지만 사용했다.

 

2022년 SW 보안약점진단원 교육교재

소프트웨어_보안약점_진단가이드(2021): https://www.kisa.or.kr/2060204/form?postSeq=9&page=1 

 

교재의 보안약점은 진단가이드와 거의 동일하므로 진단가이드 위주로 보안약점 유형별로 구글시트로 정리했다.

교재는 분석설계 단계 실습 부분만 보았는데 시험에 별로 도움이 되진 않았다.

 

이론의 진위(OX), 객관식, 단답형은 단순히 암기만 하면 되고, 이론 서술문제, 실기 서술 문제는 암기해서 쓰는 훈련이 필요하다.

 

설계단계 보안약점은 보안약점유형, 설계항목, 설명, 구현단계 보안약점, 취약점, 보안대책을 작성한다.

구현단계 보안약점은 보안약점유형, 보안약점이름, 설명, 보안대책, 진단방법, 안전하지 않은 코드, 안전한코드를 작성한다.

그리고 백지에 위의 내용을 약식으로 필사하고 암기 후 외워서 쓰는 훈련을 한다.

모르는 부분은 공백으로 두고 생각나는 부분 만암기해서 쓰도록 한다. 공백은 빨간색으로 채운다. 빨간색으로 작성된 부분을 다시 확인한다.

 

총 69개이지만 내용이 많지 않은 보안약점이 많기때문에 하루에 15개 정도만 하면 5일이면 충분하다.

주말은 시간을 더 할애해서 암기에 집중하도록 한다. 당연한 말이지만 본인에게 쉬운 보안약점부터 공략하고 영역을 확대해 나가자.

 

개발자도 마찬가지지만 비개발자라면 코드를 보고 약점을 도출하는 훈련을 특히 많이 해야 한다.

 

안전하지 않은 코드만 보고 보안 약점에 대한 내용을 작성할 수 있도록 훈련한다. 

 

진단가이드에 나오는 정탐, 오탐 예제를 보고 그 근거를 이해하도록 한다.

 

요청하신 분이 계셔서 학습할 때 사용한 파일을 첨부합니다. 참고하세요.

 

SW보안약점진단기준 학습.xlsx
1.11MB

 

시험후기(https://lumasca.tistory.com/1151)

Posted by Lumasca
,