'전체 글'에 해당되는 글 212건

[그림 1-1] DVIA_v2 앱

DVIA_v2 앱을 실행시킨 후 [Application Patching]을 클릭해 3번째 Show Alert를 클릭하면 경고메시지로 I love Google이 출력되는데 이 경고창 메시지 변조를 시도하기 위해 패칭을 한다.

[그림 1-2] DVIA-v2 앱 파일

3utools를 활용해서 DVIA-v2 앱 파일을 바탕화면으로 추출한다.

[그림 1-3] HXD

HXD를 실행하고 추출한 DVIA-v2 앱 파일을 업로드한다.

[그림 1-4] 경고 메시지 검색

ctrl+f 버튼을 눌러 찾기를 실행한 후 경고 메시지인 i love를 검색한다.

[그림 1-5] 경고 메시지 변조

검색한 후 경고 메시지를 변조한다. 여기선 I love Apple로 변조했다.

[그림 1-6] 변조된 파일 복사

변조한 파일을 저장한 후 3utools를 실행시켜 기존에 있던 파일에 덮어쓴다.

[그림 1-7] 경고 메시지 변조

DVIA_v2 앱을 실행시킨 후 [Application Patching]을 클릭해 3번째 Show Alert를 클릭하면 경고메시지로 I love Apple.이 출력 됨을 확인할 수 있다. 이로써 앱이 변조되었음을 알 수 있다.

2021년 9월 24일에 발표한 ‘OWASP Top 10 – 2021’에는 신규 3개 항목이 추가됐으며, 기존 3개 항목은 다른 항목에 병합되는 등 새롭게 개정된 내용이 있음.

[OWASP TOP 10(2021) 항목]

A01: Broken Access Control(접근 통제 권한 취약점)

• 접근 제어가 취약하면 사용자는 주어진 권한을 벗어나 데이터를 무단으로 열람하거나 수정, 삭제 등의 행위가 가능하게 됨
• 대표적으로 클라이언트, 서버 단에서의 매개변수 값 변조에 의해 접근 권한을 벗어날 수 있게 되며 타 사용자의 데이터 무단 열람, 수정, 삭제 등이 가능해짐
• 메소드(post, get, delete 등)이 API 요청에 대한 접근 제어가 누락된 경우도 있음

A02: Crytograthic Failures(암호화 오류)

• Sensitive Data Exposure(민감 데이터 노출)의 명칭이 2021년에 암호화 오류로 변경됨.
• 적절한 암호화가 되어 있지 않으면 민감한 데이터가 노출될 수 있음.
• 예를 들어 SSL 프로토콜 미적용으로 인한 평문 노출, 클라이언트에서 마스킹 처리 되어 있지만 응답값 내에선 중요 정보 등이 평문으로 노출 되는 등이 있음.

A03: Injection(인젝션)

• 2013년도 부터 계속 1위를 차지했지만 2021년에는 3위가 됨
• SQL, NoSQL, OS, LDAP, EL, OGNL 등의 인젝션 취약점은 신뢰할 수 없는 데이터 명령어나 조작된 쿼리문을 통해 서버로 전송될 때 취약점이 발생함
• 대표적으론 SQL Injection이 있지만 종류가 다양하며 최근엔 프레임워크에도 SQL 인젝션 방어가 다 되어 있지만 옛날 서버에선 종종 Injection 취약점이 발생되는 곳이 있기 때문에 알아두는게 좋음.
• XSS 공격도 2021년엔 인젝션 항목에 포함되었으며 사용자 제공 데이터 조작 공격은 모두 인젝션 항목으로 통일됨.

A04: Insecure Design(안전하지 않은 설계)

• 2021년에 새로 신설된 항목으로 코드 구현 단계에 앞서 기획과 설계 단계에서 발생하는 보안 결함을 의미함
• 개발을 완료한 후에 소스 코드를 수정해도 보안 결함을 완벽하게 방어하는덴 한계가 존재함
• 소프트웨어 개발보안 방법론은 총 5가지의 단계가 존재함

A05: Security Misconfiguration(보안 설정 오류)

• 보안 설정 오류는 애플리케이션을 최초 설치하거나 업데이트 시 보안성을 고려하지 않은 설정으로 인해 취약점이 발생함
• XXE 항목은 애플리케이션의 잘못된 보안 설정으로 인해 발생하는 취약점 중 하나로 2021년엔 보안 설정 오류 항목에 병합됨.
• 대표적으로 불필요 포트, 불필요한 페이지, 계정 등이 노출되는 취약점이 있으며 그 외에도 관리자 계정(ID/Password)을 디폴트로 사용하거나 에러 정보 노출, 보안 헤더 설정 누락 등이 있음.

A06: Vulnerable and Outdated Components(취약하고 지원이 종료된 구성 요소)

• 2021년에 새롭게 생긴 항목이며 취약하고 지원이 종료된 구성요소, 취약한 버전, 소프트웨어 기술 중단 상태인 소프트웨어를 계속 사용하는 경우 그로 인해 발생할 수 있는 모든 보안 위협을 포함하고 있는 항목임.
• 서비스 구성 모든 요소(OS, WEB/WAS, DB, 어플리케이션 등)이 모두 이 항목에 해당됨
• 대표적으론 지원 종료된 OS 사용, 알려진 취약점이 존재하는 버전의 애플리케이션 사용(Apache, tomcat, nginx 등), 프레임워크 사용(Apache Struts 2, Spring 등), 라이브러리 사용(OpenSSL 등)이 있음
• 최신 버전을 잘 탐색해서 업데이트 하는 것이 중요함

A07: Idetification and Authentication Failures(식별 및 인증 실패)

• 2021년 개정으로 취약한 인증(Broken Authentication) 항목에 식별 실패를 포함 시켜서 조금 더 넓은 의미로 식별 및 인증 실패(Idetification and Authentication Failures) 항목으로 변경됨
• 사용자 신원 확인이나 인증 및 세션 관리에 해당하는 항목이며 여전히 많이 발생되는 취약점임.
• 대표적으론 멀티팩터인증, 비밀번호정책, 인증 실패 제한 부재로 Brute Force 공격이 가능한 것과 Get 메소드로 전송 시 URL에 인증 세션 ID가 노출되는 경우, 세션 타임 아웃이 없는 경우가 있음.

A08: Software and Data Integrity Failures(소프트웨어 및 데이터 무결성 오류)

• 2021년에 신설된 항목으로 기존에 안전하지 않는 역직렬화(Insecure deserialization) 항목이 병합됨.
• 애플리케이션이 신뢰할 수 없는 소스, 저장소 CDN, 플러그인, 라이브러리, 모듈에 의존하는 경우에 발생됨
• 안전하지 않은 CI/CD 파이프라인은 개발 및 배포 과정에서 애플리케이션이 변조되면 무결성이 훼손될 가능성이 있어 애플리케이션이 사용하는 코드에 대한 무결성 검증 절차 추가가 필요함
• 대표적으로 라이브러리나 모듈에 대한 무결성 검증이 없어 변조가 가능하거나 업데이트 공급망에 검증이 없는 경우, 직렬화된 데이터에 대한 무결성 검증이 없는 경우 등이 있음.

A09: Security Logging and Monitoring Failures(보안 로깅 및 모니터링 오류)

• 기존 2017년엔 불충분한 로깅 및 모니터링(Insufficient Logging & Monitoring) 항목이었으나 이번 2021년 개정에서 보안 로깅 및 모니터링 실패(Security Logging and Monitoring Failures) 항목으로 변경됨
• 적절한 로깅과 모니터링이 있어야 대응이 가능하며 취약점 공격 예방 뿐 아니라 공격 발생 감지 및 대응까지 포함 되어야 하는 걸로 개정됨.
• 대표적으로 로그인, 인증 실패, 권한설정 등에 중요 기능 수행에 대한 로깅이 없거나 일정 주기로 로그에 대한 백업이 없는 경우, 불명확한 로깅 및 모니터링을 하는 경우가 있다. 이러한 경우를 예방하기 위해선 침해 사고 대응 절차의 대한 복구 계획 수립이 있음.

A10: Server-Side Request Forgery(SSRF, 서버 측 요청 변조)

• 2021년에 신설된 항목으로 애플리케이션이 사용자 제공 데이터를 적절한 검증 없이 로컬 및 원격 리소스를 가져와 취약점을 발생시킴.
• 서버 측에 있는 값을 조작해서 공격한다는 특징을 가지고 있으며 서버 권한에 대한 신뢰 관계를 이용해 공격함.
• 대표적으로 서버가 적절한 검증 절차 없이 사용자 요청을 신뢰하여 로컬이나 원격 리소스 데이터에 접근하도록 하는 경우가 있음.
• 모든 사용자 요청에 대해 검증을 할 필요가 있으며 내부 네트워크끼리 통신할 때도 방화벽에 접근 제어 규칙 패턴을 생성해 모니터링 하는 것이 좋음.

1. 시험 합격

9월 11일에 42회차 CPPG 합격자 발표가 있었다. 2년 전에 안일하게 공부하다가 한번 낙방을 한 적이 있었는데 이번에는 절대 방심 하지 않고 제대로 공부해서 합격했다. 2년 전에 이렇게 했었으면 바로 합격할 수 있었을텐데 라는 아쉬움이 있지만 그래도 열심히 공부했던게 합격이라는 보상으로 돌아와서 너무 좋았다.

2. 공부 준비물

- 2024 원큐패스 CPPG 책
- 개인정보보호 판례집
- 분야별 주민등록번호 처리기준 상담사례집
- 2023_개인정보보호법 표준 해석례
- EU 개인정보보호법(GDPR) 가이드북
- 2022 개인정보 주요 이슈 법령 해석 30선
- CCC 모의고사(ISMS-P WIN 카페 강의 수강)
- 3단 비교표

필자는 해당 자료들로 CPPG를 준비했다. 특히 원큐패스 책(일명 초록책)과 사례집이 큰 도움이 되었고 마지막에 풀었던 CCC 모의고사도 유사 문제 적중 및 시험 감각을 익히는데 많은 도움을 받았다. 그리고 ISMS-P 인증 심사원도 생각을 하고 있어 CPPG를 제대로 공부해야겠다는 생각에 12주(3달)를 잡고 회사 출퇴근 시간, 퇴근 후 저녁 시간에 짬짬히 공부를 했다. 평일 2~3시간 주말 5시간 정도 공부했고 막판에는 주말에 8시간 이상씩 공부했다.

3. 공부 방법

원큐 패스 책을 구입해서 3회독을 했는데 2년 전에 봤었던 내용과 비교해서 법 개정이 많이 되서 공부하면서 체감 난이도가 더 올라간 것 같다는 느낌을 받았다. 법이 개정되면서 통합되고 삭제되고 세분화 된 내용들이 많아 처음부터 다시 공부한다는 생각으로 책을 봤다. 필자는 기술 보안쪽 업무를 하고 있기 때문에 T4 단원은 어느 정도 지식이 있어 다른 단원들에 비해 시간 투자를 조금 줄이고 부족한 단원들은 필사적으로 봤다.

2년 전에 가장 낮은 점수를 받았던 T3는 시작할 때부터 아예 통째로 다 외운다는 생각으로 공부했고 목차까지 다 외웠다. 시험이 끝난지 한달이 다 되어 가지만 아직도 T3 목차 및 내용들은 머릿속에 꽤 남아있는 상태다. 그만큼 계속 반복해서 봤고 해당 단원은 아예 노션에다가 필자만의 요약집을 만들어서 정리했다. 조금 그런 방법일 수 있는데 이렇게 하니까 기억에 더 오래남았고 2회독, 3회독 할 시에는 굉장히 빠르게 읽을 수 있었다. 그리고 출,퇴근 시간 및 회사 점심 시간때는 사례집을 위주로 읽었다. 이번 시험에서도 사례와 관련된 내용들이 굉장히 많이 나왔는데 초록책에 있는 사례, 기타 사례집을 읽어본 점이 아주 많은 도움이 되었다. 해당 법을 어떻게 적용 시킬 수 있고 그게 왜 위법인지, 어떻게 하면 법 적용을 받아 유리할 수 있는지 등 많은 것을 배웠다.
 
T1, T2 단원도 T3 단원과 유사하게 공부했다. T1은 특히 과락 확률이 아주 높은 단원이기 때문에 방심은 절대로 금물이라는 생각으로 초록책을 읽었고 자료들을 공부하다가 초록책에 없는 내용들은 필자가 직접 살을 붙여 공부하는 방법으로 공부했다. 특히 GDPR 관련된 내용들이 아주 중요한데 실제 시험에선 초록책 내용에서 거의 다 커버가 가능한 수준이었다. 필자는 GDPR 가이드 북도 읽었지만 시간이 없는 사람들은 초록책에 있는 GDPR 관련 내용으로도 문제를 풀 수 있는 수준이었다.
 
T2 단원도 단체 소송, 개인정보처리방침 등 많은 법들을 다루고 있는데 해당 내용들 모두 중요하기 때문에 뭐하나 소홀히 할 건 없었다. T3 단원 다음으로 지식이 부족했던 단원이라 해당 단원도 1회독 할 때는 필자만의 요약 노트를 만들면서 공부했다. 초록책만으로도 해당 단원은 많은 커버가 가능하지만 필자가 놓칠 수 있는 부분이 있을 것 같아 3단 비교표도 같이 찾아보면서 공부했다. T2, T3 단원의 지식이 상대적으로 부족했기 때문에 이렇게 공부해야 시험 문제들을 풀 수 있을 것 같았다.

3. 시험장

시험은 서초고등학교에서 봤고 2년 전에도 느꼈던 거지만 수능 고사장 들어가는 기분도 들었다... 본인 수험표를 안가져갔으면 1층에서 발급은 해주는데 시간이 조금은 걸릴 수 있다. 그렇기 때문에 수험표는 집에서 인쇄해서 가는 것을 추천한다.

시험은 오후 3시부터 5시까지 2시간 시험이고 총 100문제를 풀어야 한다. 이번 시험은 지난 41회 시험보다는 전체적으로 지문 길이가 소폭 감소했다는 평이 많았다. 하지만 필자 체감으로는 2년 전에 봤었던 시험보다 난이도도 훨씬 증가했고 지문의 길이가 생각보다 길었다. 이번에도 안일하게 했었다면 100% 떨어졌구나라는 생각까지 하게 됐다. 그래도 모의고사 문제 풀이 연습도 많이 했고 사례집은 5회독씩 해서 그런지 시간이 엄청 촉박하다는 생각은 들지 않았던 것 같다. 사례들도 다양하게 출제가 되었고 문제를 풀다 이건 참 좋은 문제 같다고 생각이 든 문항도 있었다.
 
이번 시험은 필자 체감 난이도상 T4, T5가 어렵게 출제되었다. 기술은 자신 있었는데 안전성확보조치 문제들도 한단계 꼬아서 낸 느낌이었고 속 시원하게 푼 문제들이 엄청 많진 않은거 같아서 T4단원에 대해 좀 안일했나 라는 생각이 들었다. 회사에서 하는 일이 모의해킹이다 보니 관련된 문제들은 정답이라는 확신이 섰지만 확보 조치 기준에 대한 문제들은 말이 조금 헷갈리는 것도 있어 체감 난이도가 높았다. 여기서 30문항인데.... 엄청 틀리게 되면 떨어지겠다 싶었다.
 
T5도 쉽진 않았다. T5도 정보보안기사 급 수준의 문제들도 있었고 준ISMS-P급 문제도 있었다. 필자는 ISO 27001 인증 심사원 자격증을 공부했던 적이 있어 생소하진 않았지만 이런 수준 있는 문제가 CPPG에도 나오는구나 싶었다. 나름 T5도 아는 지식들도 있어 좀 자신 있긴 했는데 역으로 당한거 같아서 참 불안했다...

4. 최종 합격

위에서 썼 듯 9월 11일 아침 시험 결과 발표가 났고 필자도 합격자 대열에 합류할 수 있었다. 걱정 했던 것과는 달리 생각보다 전체적으로 점수가 잘 나왔었고 법 개정 후에 본 건 1트에 합격할 수 있었다. 절대로 쉬운 시험이 아니었고 전체적으로 난이도가 많이 상승되었기 때문에 안일하게 하면 떨어질 확률이 높다. 이렇게 해서 올해 KPI는 모두 달성했다. KPI 달성도 중요했지만 더 중요한 건 CPPG를 공부하면서 얻은 지식들이 정말 많았다. CPPG에서 공부했던 지식들은 현재 회사 업무를 할 때도 큰 도움이 되고 있어 공부한 것에 대해 많은 만족을 하고 있다. 내년엔 정보보안기사, ISMS-P 인증 심사원에 도전해 볼 계획을 가지고 있다.
 

5. CPPG 자격 혜택

ISMS-P 인증 심사원 시험을 볼 때 개인정보경력 1년이 인정되며 개인정보영향평가 시 CPPG를 취득한 후 1년 이상 영향평가 수행 이력이 있다면 일반 수행 인력으로 인정된다. 특히 공공기관 재직자들은 CPPG 취득 시 개인정보관리수준 평가에서 정성평가에 대한 가점이 부여되는 혜택도 있다. 그 외에도 공공기관, 사기업 등 취업 및 이직을 할 때도 개인정보쪽 업무로 할 시 서류 및 면접에서 가점을 받을 수 있는 확률이 크기 때문에 이러한 이점들이 필요하다면 CPPG 공부를 적극 추천한다. 

24년 2월 19일  AWS Certified Security - Specialty 시험에 합격했다. 필자의 주 전공이 보안쪽이다 보니 이 자격증은 예전부터 꼭 따고 싶어서 AWS Certified Developer - Associate 합격 후 조금 쉬었다가 공부를 시작했다.
 
1. 응시 자격 요건
AWS Certified Security - Specialty 자격증도 따로 응시에 대한 제한은 없다. 하지만 해당 자격증은 AWS 자격증 중 최상위급 자격증이고 내용도 만만하지 않기 때문에 보안 분야 2년 이상 경력이 있거나 클라우드 보안이나 보안솔루션 운영 등의 5년 이상 경력이 있는 사람이 응시하도록 권장을 하고 있다. AWS Certified Security - Specialty 자격증도 어느 정도 보안에 대한 지식이 있고 네트워크에 대해 알고 있어야 문제를 풀 수 있고 덤프 문제들도 정답을 고를 때 2개나 3개를 고르는 문제들이 많아 확실히 난이도가 있었다고 느꼈다.
 
2. 공부 방법

필자는 보안쪽 전공자고 회사에서도 계속 모의해킹쪽 업무를 하고 있어 AWS Certified Security - Specialty 자격증이 아예 모르겠고 처음부터 시작해야 하는 노베이스는 아니었다. 12월에 AWS Certified Developer - Associate 자격증까지 취득해서 어느 정도 AWS에 대해 알고 있었고 보안관제 및 침해대응 경력까지 있어 개인적으로는 공부하기가 많이 수월했다. 그래도 방심은 금물이라 초심으로 돌아가서 공부해야겠다고 생각해서 사람들이 많이 듣는 유데미에서 스테반님의 AWS Certified Security Specialty [NEW 2024] SCS-C02 강의를 결제해서 들었다. 한국어도 지원이 되서 보기가 더 편하게 되어 있었고 내용도 괜찮아서 전공자들이 듣기도 괜찮았다. 그렇게 2주 동안 해당 강의를 들으면서 공부했다.

강의를 한번 들으니 AWS Certified Security - Specialty 자격증의 출제 경향, 문제 유형 등에 대해 익힐 수 있었고 examtopics 덤프를 구매해서 풀었다. 현재 덤프 버전은 C02고 작년 7월 중순부터 변경되었다. 문제 수는 114문제였고 작년에 봤던 AWS Certified Developer - Associate 보단 적었지만 문제들은 체감상 오히려 난이도가 더 높아 AWS에 대해 노베이스라면 정답 맞추기가 쉽진 않을 것으로 생각된다. 덤프 문제를 풀다 보니 답을 2개, 3개 고르라는 문제도 생각보다 많았고 무엇보다 examtopics에도 해설이 없는 문항들도 있어서 이것도 일일히 필자가 찾으면서 공부했다. 왜 이게 정답인지 모른다면 시험장가서는 100% 생각 안나고 문제가 나와도 틀릴 것이라고 생각했기 때문이었다. 그렇게 평일에는 2시간 정도 주말에는 3~4시간 정도를 공부했다. Specialty 시험이라 아무리 전공자여도 절대 방심할 수는 없었다. 덤프 문제들 외에도 추가적으로 이 책을 정독했다.

나온지는 조금 된 책이지만 비전공자나 AWS 보안에 대해 지식이 전무하다면 한번쯤 읽어도 괜찮다. 필자도 앞서 말했듯 전공자지만 이 책을 읽으면서 또 모르는 부분에 대해 배웠다.

3. 시험장

이번 시험도 온라인으로 접수해서 시험을 봤다. 해당 자격증 시험 비용은 300달러고 우리나라 돈으로 환전하면 34만원 정도 된다. Associate 자격증보다 2배가 비싸다고 보면 된다. 하지만 기존에 다른 AWS 자격증을 취득했다면 바우처가 지급될텐데 이 바우처를 사용하면 50% 할인이 되어 17만원에 시험볼 수 있는 혜택이 있다.

시험은 12월과 마찬가지로 스터디카페 5인실을 빌려 시험을 봤다. 이번이 2번째 AWS 자격증 시험이라 그런지 처음 했을 때보단 훨씬 수월했고 감독관도 커뮤니케이션이 수월한 사람이었어서 체크 아웃도 오래 걸리지 않았다. 모든 대화는 영어로만 해야 하니 이것도 참고하면 좋다. 그렇게 시험 준비를 모두 마치고 감독관이 시험 문제 화면을 열어 주고 행운을 빈다는 멘트를 했다. 

시험 문항 수는 65문제고 시험 시간은 3시간이었다. 시험 난이도는 필자 체감 상 AWS Certified Developer 자격증보다 어려웠다. 대부분 examtopics의 문제에서 출제가 되었지만 변형된 문제도 있었고 보기 순서까지 다 바꿔 놓은 문제가 많이 보였다. 역시 문제와 답만 외우고 들어왔다면 하나도 생각이 안날뻔했다. 필자 기억 상 복수 정답 고르는 문제가 상당히 많았고 3개 이상 고르라는 문항 수도 10개는 되었던 것 같다. 하지만 examtopics의 문제들을 충실하게 공부하고 AWS 보안에 대한 지식이 있다면 풀 수 있는 난이도였다. 덤프에서 보지 못했던 문제들은 7개쯤 되었고 이 문제들도 복수 정답을 고르는 문제들도 있어 플래그 표시를 해놓고 아는 문제부터 풀어놓고 돌아와서 다시 풀었다. 

그렇게 모든 시험 문제를 다 풀고 제출 버튼을 눌렀는데 복수 정답 문제들이 조금 긴가민가 했던 문제들도 있어 결과를 기다려봐야 했다. AWS Certified Security - Specialty 자격증 시험 역시 결과를 바로 알려 주진 않았고 그 날 저녁에 결과 통보 메일을 받았다.

이 시험도 결국 합격 했다. 점수는 AWS Certified Developer - Associate 보단 조금 낮았지만 그래도 정말 취득하고 싶었던 AWS Certified Security - Specialty 자격증을 합격했다는 것에 너무 좋았다.

그리고 자격증....

해당 자격증도 시험 합격 통보를 받자 마자 바로 다운로드가 가능하다. 작년 12월부터 계속 연달아서 자격증 시험들을 봤지만 모두 좋은 결과를 얻어 한단계 이상 더 발전했다는 기분도 든다. 무엇보다 보안쪽 업무를 하는 입장에서 AWS 보안에서 Specialty 급의 자격증을 취득했다는게 가장 좋았다. 이 자격증 공부 기간은 대략 한달 반 정도 걸렸고 위에서 이야기 했듯이 보안쪽 전공자였고 AWS Certified Developer - Associate 자격증을 취득해서 어느정도 AWS에 대한 지식이 있었던 상태였다. 노베이스에서 한다면 만만한 난이도는 아니니 참고하면 좋다. 이제 AWS에서 취득하고 싶었던 자격증은 다 취득했고 다음에도 지식과 함께 습득이 가능한 보안 자격증을 공부해 볼 생각이다.

23년 12월 9일  AWS Certified Developer - Associate 시험에 합격했다. PMP 자격증 이후에 처음으로 취득한 자격증이었는데 평소에 클라우드 기술에도 관심이 많았고 그 중에서도 개발과 관련된 서비스, 기술을 공부하고 싶어 취득하게 되었다. 
 
1. 응시 자격 요건
AWS Certified Developer - Associate 자격증은 따로 응시 자격 요건에 대한 것은 없었다. 다만 이 자격증을 좀 더 수월하게 공부를 하기 위해선 AWS와 관련된 경력, 개발 경력 등이 있으면 이해하기가 훨씬 수월하다. 이 자격증이 덤프만 외우면 취득할 수 있다는 글이 많지만 아무것도 모르고 그냥 문제, 답만 외우면 시험 볼 때 하나도 생각이 안나고 변형된 문제를 풀게 되면 100% 틀리게 되기 때문에 어느 정도 AWS 개발에 대해 알고 접근하는게 좋다.
 
2. 공부 방법
AWS Certified Developer - Associate 자격증은 PMP와 비교해봤을 때 상대적으로는 양이 많은 편은 아니었다. 하지만 IT에 대한 기초 지식, 네트워크, 개발 지식이 전무하다면 해당 자격증 취득의 체감 난이도는 더 올라갈 수 있다. 필자 같은 경우는 개발, 네트워크, 보안쪽 지식이 어느 정도 있었고 평소에도 클라우드와 관련된 기술 블로그들을 자주 봤고 실습도 조금 해봐서 완전 노베이스로 시작 하는 상태는 아니었다. 하지만 이 자격증을 공부하다보니 필자도 잘 모르는 서비스들이 있었고 그 부분에 대해서 중점적으로 공부를 했다. 처음 시작할 때 좋은 인강들도 많지만 필자는 아래에 있는 강의를 들었다.

홍보 하는거 전혀 없고 해당 강의들이 생각보다 잘 정리를 해줬고 실습까지 같이 병행을 해서 이해하기가 많이 수월했다. AWS Certified Developer - Associate 자격증에 관련된 내용도 많이 겹쳐 있어 전혀 감을 못잡겠다고 한다면 해당 강의를 추천한다. 적어도 덤프 기출 공부를 할 때 무슨 말인지 정도는 이해하려면 개념 정리와 AWS 관련 실습은 필수다.

이렇게 강의를 들은 후엔 어느 정도 알고 있었던 내용들도 정리가 되기 시작했다. 필자도 개발 공부를 할 때 Github를 많이 쓰는데 AWS도 크게 다를 것도 없었고 코드 배포도 마찬가지였다. 그리고 사람들이 가장 많이 보는 덤프를 구매해서 봤는데 examtopics, 여러 기타 다른 덤프 사이트의 문제들이 모여있었다. 2023년 당시에는 254문제였는데 1주일전부터 90문제 이상이 추가되면서 지금은 약 327문제쯤 된다. 생각보다 문항 수가 많고 언제 업데이트 될 지 모르기 때문에 해당 자격증을 취득할 생각이 있다면 빠르게 시작해서 취득하길 추천한다.

examtopics에는 특히 문제 답에 대한 토론이 엄청 활발한데 사람들이 가장 많이 선택한 답을 선택하고 공부하면 된다. 그게 왜 정답인지, 정답일 수 밖에 없는 이유에 대해 명확하게 답을 하는 사람들이 많기 때문에 생각보다 도움도 많이 되고 공부까지 덤으로 된다. 이런 방식으로 공부 해야 덤프 공부를 했다고 할 수 있었고 AWS 문서까지 같이 보고 찾아보면 더 많은 공부가 될 수 있다. 

3. 시험장

시험은 온라인으로 접수 해서 시험을 봤다. 자격증 시험 비용은 150달러고 우리나라 돈으로 환전하면 17만원 정도다. 해외 결제가 막히지 않은 신용카드로 접수가 가능하고 온라인으로 시험을 봐야 상시 시험이 가능하다. 오프라인도 있긴 하지만 생각보다 자리도 많지 않고 원하는 날짜에 볼 수 없었기 때문에 필자는 온라인으로 시험을 보는 방식을 선택했다. 

온라인으로 시험을 보는건 이 때가 처음이었는데 집에 책상이랑 물건 치우기가 귀찮아서 스터디카페 5인실을 아예 통째로 빌려서 시험을 봤다. 돈이 들어 가긴 해도 상대적으로 훨씬 덜 귀찮아서 필자 입장에선 잘한 선택이라고 본다. 그렇게 스터디카페에서 노트북을 들고가 모든 시험 준비를 마쳤다.

참고로 시험을 시작하고 접속하면 여러가지 테스트도 진행하는데 노트북에 해당 프로그램에서 금지하고 있는 프로그램들이 컴퓨터에 설치 되어 있다면 시험 진행이 안되기 때문에 결격 사유가 있는 프로그램들은 삭제하고 보는게 좋다. 그리고 신분증, 시험 보는 곳의 왼쪽, 오른쪽 등을 모두 사진으로 찍어 업로드 해야 진행이 되기 때문에 이것도 참고하면 된다.

모든 프로세스가 통과 되고 감독관과 대화를 하게 되는데 외국인이기 때문에 영어로 대화를 해야 했다. 필자는 외국인이랑 영어로 대화하는게 어색하진 않기 때문에 수월하게 커뮤니케이션을 하면서 시험 절차를 밟았다. 시험장의 모든 부분을 노트북 카메라로 보여주고 손목에 시계를 찼는지 안찼는지도 보여줘야 하기 때문에 좀 귀찮기는 했지만 큰 문제 없이 시험지를 받아볼 수 있었다.

시험 시간은 총 180분이었으며 시험은 총 65문제가 나왔고 구매했었던 덤프 문제에서 대부분이 출제되었다. 필자 체감인데 5문제 정도 빼고는 덤프 기출 문제에서 나왔다. 보기 순서가 바뀐 문제도 있었고 문제, 보기 그대로인 문제도 있었고 다양했다. 이것도 아마 나름 실습도 해보고 AWS 개발에 관련된 내용을 알았기 때문에 시험장 가서도 덤프에서 풀었던 문제들이 생각난게 아닐지도 모르겠다. 그렇게 차분히 답을 선택했고 모르는 문제들은 최대한 아는 지식으로 해서 풀었다.

시험지를 제출하고 바로 결과가 나오진 않는다. 예전엔 결과가 바로 나왔다고 하는데 요즘은 아마 포렌식 검사나 다른 검사들이 있어 바로 알려주는 것 같진 않다.

시험 결과는 그 날 저녁에 통보가 되었는데 생각보다 고득점으로 합격을 했다. 합격 점수는 720점 이상인데 940점으로 통과가 되었고 결과 통보를 받고 필자도 놀랬다.

그리고 자격증...

자격증은 시험 합격 통보를 받자 마자 바로 다운로드가 가능하다. 자격증 하나를 더 받으니 2023년 연말은 더 기분 좋게 마무리를 할 수 있었다. AWS Certified Developer - Associate 자격증을 공부하면서 AWS 개발 지식, 코드 배포 지식 등 많은 부분들이 정리되고 또 새롭게 배우는 것들도 많았다. 그래서 이 자격증 취득을 하기 위해 공부 했던 것들이 많은 도움이 되었다. AWS 개발에 관련된 업무를 하고 있는 사람들이라면 해당 자격증 취득을 적극적으로 추천 하고 싶다. 

2024년 1월 ISO 27001:2022 인증 심사원(보) 자격증 취득에 성공했다. 2022년 6월에 2013버전 ISO 27001 인증 심사원(보)로 합격을 하고 등록을 했지만 2013 버전이 2026년쯤부턴 유효 하지 않다는 이야기를 들었고 자격증을 취득했던 기관에도 문의해보니 사실이었다. 그래서 너무 미리 취득해놓은거 아닌가 싶기도 했지만 2013버전 취득자들은 유지 보수 교육 및 시험만 보면 된다고 해서 유지 보수 교육을 듣게 되었다.

유지 보수 교육은 지금까지 자격증을 취득했던 것들 중에 처음 경험해봤다. 유지 보수 교육을 듣기는 듣는데 어떤 내용인지, 교육은 어떻게 진행 되고 시험은 어떻게 보는지 감이 잡히지 않았다. 그래도 처음에 봤었던 ISO 27001:2013 버전에서 했던 교육 프로세스나 시험 프로세스가 크게 다르진 않을 거라고 생각하고 주말반으로 신청 해서 들었다. 교육이 시작되었고 다행히 필자가 생각 했던 프로세스대로 진행이 되었고 오히려 유지 보수 교육이 처음 자격증을 취득할 때보다 더 수월했다. 유지 보수 교육 내용은 대략 2022 버전이 2013 버전과 비교해서 어떻게 달라졌는지, 어떤 내용이 신규로 추가 되었는지 등에 대해 강사님이 강의하셨다. 필자가 생각한 것 보다 강사님의 실무 경험을 바탕으로 한 수업 방식 및 내용이 좋아 이것저것 배울게 많았다. 필자의 메인 업무가 기술쪽이다 보니 이러한 관리쪽으론 해볼 기회가 많이 없었는데 이런 교육을 들으며 얻어 가는 점이 많아 매우 만족하면서 들었다.

그렇게 1일차 강의가 끝났고 유지 보수 교육자들은 2일차 강의는 듣지 않고 시험만 보면 된다고 했다. 시험 문제도 뭐가 나올지 몰라서 걱정도 했는데 다행히 강사님이 수업 하신 내용, 받은 교재에서 출제 되었고 오히려 2013 버전 시험 볼 때의 문제보다 좀 더 수월하게 답안을 쓸 수 있었다. 하지만 무슨 시험을 보던지 방심은 금물이었기에 알아도 한번 더 검토하고 결함 문제는 이게 진짜 결함이 맞는지, 항목이랑 일치하는지 등을 다시 보고 답안을 썼다. 그렇게 모든 문제의 답안을 작성한 후 시험지 제출을 했다.

다행히 시험에서 합격을 했고 유지 보수 교육 같은 경우엔 위와 같이 따로 자격증은 발급 되지 않고 교육 수료증만 발급이 되었다. 대신 이 수료증도 유지 보수 교육 시험에서 합격을 해야 발급이 되기 때문에 5일 정도는 기다려야 했다. 

그리고 GCT 기관에 ISO 27001:2022 인증 심사원(보) 자격으로 등록을 하고 자격증까지 받게 되었다. 필자는 ISO 19011:2018 자격도 취득을 했기 때문에 따로 추가로 더 안하고 바로 인증 심사원(보)로 등록이 될 수 있었다. 만약 ISO 19011:2018 자격을 취득 하지 않았다면 해당 기관에 인증 심사원(보) 자격으로 등록하는건 불가능하다. 

이렇게 해서 SIO 27001:2022 인증 심사원(보) 갱신이 완료되었다. 2024년 들어서자마자 뭔가 하나를 했다는 마음이 들어 스타트가 좋았다라는 생각도 든다. 보안쪽에 기본 지식이 있고 한번이라도 법이나 관리 체계 항목에 대해 본 적이 있다면 어렵지 않게 취득할 수 있는 자격증이다. 

필자가 겪어본 모의해킹 업무의 특성들을 대강 나열해봤다. 우연한 계기로 시작했지만 지금은 아주 만족해하면서 하고 있다.

1. 모의해킹 장점

- 일명 칼퇴근이 가능하다. 고객사나 PM 특성에 따라 다를 수 있지만 정시 퇴근인 곳이 95퍼센트 이상이다.

- 자신이 발전하고 있다는 것을 알게 된다. 뭔가 이런 재미에도 모의해킹한다.

- 이직 하기 나쁘지 않다. 보안 담당자로 가기엔 조금 애매한 포지션이지만 하기 나름이고 대형 SI 업체(대기업 그룹사 등)으로 이직이 엄청나게 잘되는 편이다.

- 연봉 대비 가성비 좋다. 저녁 시간이 있는 삶을 살 수 있고 한가할 땐 엄청 한가하다.

- 연봉 상승률이 좋다. 3년차 이상 되면 대기업 SI 업체 신입 사원 초봉 정도는 된다.(이 정도 안주면 이직 하는 경우가 많음)

- 진급이 빠르다. 특히 모의해킹과 같은 특수기술직들은 대리, 과장 되는 속도가 다른 직군에 비해 월등히 빨라 나쁘지 않다.

- 대략 3년차 이상 되면 어떠한 프로젝트를 가도 사수급이 되고 5년차 이상이면 대규모 프로젝트의 조장이나 PL, 중간 및 소규모 프로젝트의 PM이 된다. 7~8년차면 대규모 프로젝트의 PM이 된다. 

- 기술 한번 잘 배워놓고 익혀 놓으면 먹고 살만 하다. 특히 모의해킹 고연차 찾기가 힘들어 5년차 이상 되면 대우가 괜찮다.

- 프리랜서 하기가 좋다. 모의해킹은 일이 끊임 없이 많기 때문에 본인 평판과 인맥만 괜찮다면 프리 뛰기에도 아주 좋은 포지션이다.

2. 모의해킹 단점

- 초봉이 낮다. 그래서 신입 사원들은 안오거나 고민하는 경우가 많다.

- 보안 담당자로 가기엔 좀 애매한 포지션이다. 모의해킹만 담당하는 사람을 뽑는 회사가 거의 없기 때문. 하지만 개인정보, 인증 컨설팅 쪽 포지션은 이직이 엄청나게 잘된다.

- 존버 해야 하는 경우가 대다수다. 사수 없이 프로젝트를 가야 하는 경우도 꽤 있고 초반에는 고생 많이 한다.

- 많이 돌아다닌다. 전국을 누비며 고객사들을 다니며 모의해킹을 해야 하는데 돌아다니는거 싫어하는 사람은 적성에 맞지 않을 수 있다. 하지만 서울, 경기 쪽 1년 이상짜리 장기 프로젝트에 가면 고정 근무지가 된다.

- 진입 장벽이 좀 높다. 공부해야 할 것도 많고 인력 풀이 그리 크진 않기 때문에 주로 지인 추천을 통해 면접 보고 입사 하는 경우가 많아 보안 교육 등을 듣는게 좋다.

- 평생 공부 해야 한다. 취업 하고 나선 더해야 되고 보안 트렌드 변화가 상당히 빠르기 때문에 매번 동향을 보고 공부해야 한다. 공부 안하면 연봉 상승은 꿈도 꾸지 말아야 함.

- 이건 단점이라고 하긴 조금 애매한데 고객사마다 다르지만 야간 진단을 요청 하는 경우가 있다. 이 땐 새벽 근무가 좀 있을 수 있어 밤 새는거 힘들어 하면 좀 힘들 순 있다. 하지만 관제와 비슷하게 비번 휴식 후 그 다음날에 출근 하는 유연함이 있다.

좋은 참고가 되길 바랍니다.

이것도 그냥 필자가 경험한 것에 의거해서 써본다. 

보통 PM과 PL이라고 하면 그 프로젝트의 책임관리자, 리더를 생각하게 된다. 그래서 PM의 약자가 Project Manager고 PL의 약자가 Project Leader다. 이쯤 되면 프로젝트 하나를 운영하고 관리를 할 줄 알아야 되는 레벨이 된다. 그만큼 연봉도 올라가겠지만 업무량, 책임감이 정말 남달라진다. 본인이 잘못하고 관리를 못하면 온전히 본인이 책임 져야 되고 스트레스도 가중되기 마련이다. IT 분야마다 당연히 다르겠지만 보안쪽 기준으로 이야기하면 PM, PL급이 되는 연차를 가진 사람이 그렇게 흔하지가 않다. 필자도 친구들이나 지인들한테 이야기지만 현재 개발자들도 이러한 인력들이 많지 않다고 한다. 그만큼 그 연차가 되기까지 실무에서 버티기가 쉽지 않거나 이직이 잦기 때문이라고 조심스럽게 분석해본다.

필자도 모의해킹 장기 프로젝트에서 이제 PL 역할을 맡고 있지만 확실히 위로 가게 되니 책임감이 남달라졌다. 본인의 일도 있고 후배들이 잘 모르는게 있을 때마다 커버해주고 이슈가 있을 때 대응도 해줘야 되고... 확실히 기술을 위주로 하다가 관리자 위치로 올라가니 보는 시야가 달라짐을 느꼈다.  모의해킹 기준으로 평균적으로 PL은 4~5년차 이상, PM은 6~7년차 이상 정도에서 맡게 되며 이는 프로젝트 규모, 사정에 따라 달라지는 경우가 많아 그냥 참고만 하길 바란다.

그리고 PM과 PL을 하기 위해선 무조껀 기술이 베이스가 되어야 했다. 기술을 할 줄 알아야 이슈 대응이 가능하고 검토가 가능 하기 때문에 기술을 모르면 PM, PL 역할 하는 건 불가능하다. 그래서 일에는 순서가 있고 배움에도 순서가 있는 법이다. 밑에 일을 모르는데 위에 일은 할 수 없음은 당연하다.

특히 보안 기술 파트(모의해킹, 분석 등) 쪽은 승진 속도가 많이 빠른 편이다. 내가 벌써 이걸 해도 되나 싶을 정도로 빠르다. 그만큼 기술 변화 속도도 매우 빠르다는 반증이기도 하다. 아직 배울게 더 많은거 같은데 PL이 되어 있고 PM이 되어 있고 기술 쪽은 정말 빠르다. 대신 본인이 기술 쪽에 대해 실력이 되고 기본적인 스펙이 되어야 승진이 되고 원하는 연봉을 받을 수 있게 된다. 특히 석사, 박사급의 실력 좋은 실무 경력자들은 올라 가는 속도가 상상 이상으로 아주 빠르다. 그래서 조금 낮은 연차에 PL 역할을 한다는게 조금 부담스러울 때도 있었는데 그만큼 또 배우는게 많아서 만족하면서 하고 있다.

위로 올라갈수록 기술하곤 조금 멀어질 수 있고 인력 관리가 위주가 되겠지만 기술 쪽을 모르고선 그런 관리자 위치로 올라가는건 불가능 하기 때문에 현재 본인의 위치에서 열심히 하다 보면 언젠가는 기회가 오게 된다. 그 기회가 와서 본인이 잡게 된다면 경력 커리어에도 도움이 상당히 크기 때문에 항상 준비 하고 있는 것이 좋다.