2022년 8월 20일 토요일에 보안약점진단원 시험을 보았다.
준비물은 신분증, 볼펜뿐이다.
시험 총평: 암기를 좀 했다면 이론이나 실기모두 수월하게 풀수있을 것으로 보였고, 단지 실기 15점짜리 2문제는 좀 헷갈렸다.
암기는 기본이고 코드를 보고 보안약점을 판단하는 훈련을 많이 해두는 것이 시험에 도움이 많이 될것 같다.
합격여부는 채점자들이 서술형 문제에 대해 점수를 얼마나 주느냐가 관건인듯 싶다.
일이 있어서 집에 늦게와서 리뷰하는데 문제가 잘 생각이 나질 않았다.
인터넷 시험후기에 시간적 여유가 없으니 답안지에 직접 작성하라고 하라는 글을 보고 직접 작성했었다.
그런데 다시 검토하다보디 수정해야할 답안이 좀 있었다. 볼펜으로 두줄 긋고 수정해서 지저분하게 보였다.
공부를 어느정도 했다면 시간적 여유는 충분하니 문제지에 답을 작성하고 검토후에 답안지에 작성해도 된다.
*이론
이론은 진위형, 객관식형, 단답형, 서술형으로 구성된다.
진위여부는 보안약점에 대한 설명이 맞는가, 진단방법에 대한 설명이 맞는가 등 2~3줄짜리 지문으로 구성된 문제 유형이다.
객관식은 1~3개까지 답을 고르는 문제 유형이다.
단답형은 암호키 유효기간(송신자,수신자), 쿠키 속성, LDAP 취약점 특수문자 3개 이상, 비밀번호 요구사항을 제시하고 공격기법 2가지 등 정답이 확실한 문제 유형이다.
서술형은 보안약점, 보안대책을 작성하는 문제 유형이다.
*실기
실기는 정*오탑 문제, 보안요청서 작성문제, 보안약점 식별 문제로 구성된다.
1)정탐 오탐 식별하고 근거를 서술하는 문제
2)보완요청서(보안약점, 진단방법, 보안대책, 취약한 코드라인)를 작성하는 문제. 보안유형은 이미 체크가 되어있다.
3)취약한 라인을 알려주고 해당 보안약점, 설명, 대응책을 작성하는 문제
시험장소는 서울역 공간모아 이다.
주소: 서울특별시 중구 통일로 26 한일빌딩(1호선 서울역 3번 출구에서 도보 100m, 1층의 한진렌터카 건물)
건물 입구 및 엘레베이터 앞에 안내문구가 있다. 6층이 시험장이었다.
6층에 도착면 입구에서 신분증으로 본인확인을 한다.
시험일정은 다음과 같다.
시험이 시작되면 퇴실할때까지 중간 휴식시간에도 교재를 본다던가 핸드폰은 사용할 수 없다.
소지품은 가방에 넣어서 시험장 뒤에 두도록 조치한다.
실기시험 퇴실은 15시20분부터 가능하다.
시험장 좌석배치도를 보니 대략 55명정도 응시를 하는 것 같이다. 의외로 응시자가 적었다.
2인 책상에 한명씩 앉으며 앞에서부터 지그재그로 배치된다.
책상에는 코로나 가림막이 설치되어있다.
참고로 시험 안내서에 나오는 점수산출방식과 문제유형은 다음과 같다.
1) 종합점수 산출방식:
이론시험(40%) + 실습시험(60%) 가중치
[표 2] 이수시험 종합점수 산출방식
2) 합격기준:
가중치에 따른 종합점수 70점 이상일 경우 합격 (과락: 60점 미만)
3) 출제범위:
SW개발보안 제도·기준, 보안약점 진단·제거기술 등
4) 참고자료:
소프트웨어 보안약점 진단가이드 및 진단원 양성과정 교재 소프트웨어 개발보안 가이드
5) 문제 구성 ※ 회차별 문제구성은 달리 적용될 수 있음
가) 이론시험(60분)
나) 실습시험(100분)
시험준비(https://lumasca.tistory.com/1150)