'전체 글'에 해당되는 글 209건

실무에서 IOS 진단을 할 땐 IPA 파일을 추출해서 분석하는게 필수적인데 ios 버전 8.3 이후론 Clutch가 전부 막혀서 추출하기가 어려워졌다. 그래서 다음과 같은 방법으로 추출하는 방법이 있다.

1. IPA 파일 추출 방법

[그림 1-1] 업데이트

sudo apt update 명령어로 칼리리눅스 업데이트를 시도한다.

[그림 1-2] python3-pip 설치

sudo apt-get install python3-pip 명령어를 통헤 pip3를 설치한다.

[그림 1-3] requirements.txt 업그레이드

sudo pip3 install -r requirements.txt --upgrade 명령어를 통해 패키지 업그레이드를 한다.

[그림 1-4] libusbmuxd-tools 설치

sudo apt install libusbmuxd-tools 명령어를 통해 iproxy를 설치한다. 만약 sudo apt install iproxy로 하게 되면 현재 칼리리눅스에 패키지가 없기 때문에 설치가 되지 않는다.

[그림 1-5] iproxy 실행

iproxy 2222 22 명령어를 통해 iproxy를 실행한다.

[그림 1-6] 가상 머신 연결

iproxy 연결 후 탈옥된 아이폰을 뺐다가 다시 연결하면 다음과 같은 창이 출력되는데 Connect to a virtual machine과 칼리리눅스를 선택한 후 OK 버튼을 클릭한다.

[그림 1-7] iPhone 아이콘

아이폰과 칼리리눅스가 연결되면 다음과 같은 아이콘이 표시된다.

[그림 1-8] dump.py 실행

python3 dump.py -l을 입력한 후 확인하면 탈옥된 아이폰의 프로세스 목록들을 확인할 수 있다.

[그림 1-9] IPA 파일 추출

python3 dump.py com.apple.Maps 명령어를 입력해 IPA 파일 추출을 시도한다. IPA 추출 시도 시 iproxy 로그에 연결 상태 로그가 계속 출력된다.

[그림 1-10] ipa 파일 추출 성공

IPA 파일이 에러 없이 추출되면 frida-dump-master 폴더에서 추출된 IPA 파일을 확인할 수 있다. 로컬 PC와 연결되어 있다면 로컬로 복사해 IPA 파일을 사용할 수 있다.

중소기업에서 대기업으로 이직이 가능할까? 이건 예전부터 많이 나왔던 말이다. 중소기업에서 시작하면 대기업 이직 절대 불가능하다, 첫 시작이 중요하다, 대기업 신입으로 들어가는것보다 중소에서 대기업 경력 이직이 훨씬 더 힘들다 등 수많은 말들이 나오는 것을 심심치 않게 볼 수 있다.

필자 생각은 이건 직무의 특성에 따라 달라진다고 본다. 어떤 직무는 중소기업에서 대기업 가는게 정말 어려울 수 있고 또 어떤 직무는 나름 수월하게 갈수도 있고... 너무 다 다르다. 그래서 이것도 정답은 없다고 본다. 본인의 상황, 직무, 분위기 등에 따라 달라질 수 있기 때문이다.

일단 모의해킹 기준으로 이야기하면 중소기업에서 대기업으로 이직하는건 충분히 가능하다. 중소기업과 대기업 모두 다녀본 입장에서 못할 건 없다. 오히려 이 분야는 경력 관리만 잘된다면 대기업에서도 오퍼를 받는 경우가 꽤 있었다. 요즘은 어플리케이션 보안 관련해서 채용을 하는 회사들이 많이 늘어나고 있는 추세라 더 그랬다. 그래서 필자도 대기업으로 이직을 할 때 조금 놀란건 있었다. 모의해킹쪽 경력도 그리 많은 것도 아니었고 중소기업 경력만 있고 스펙도 엄청 높거나 그러지 않았는데 서류 합격률이 100%였다.

지원했던 직무까지 일치하니 인성 검사 통과 후 면접 때도 편안한 분위기에서 볼 수 있었다. 단, 여기서 조건이 하나 더 달리면 "모의해킹" 경력이 주 경력이어야 했다. 지원한 회사와 본인이 전 회사에서 했던 직무 및 기술이 일치하지 않고 전문성이 없는 상태로 이것저것 건드리기만 했다고 판단되면 탈락할 확률이 아주 높다. 사실 이건 다른 분야도 마찬가지고 몇마디 물어보면 바로 알게 되는게 조금만 버벅여도 면접관들은 바로 눈치챈다.

신입 때는 "직무"가 중요하다. 여기서 그 다음 이직을 할 때 잘 될 수 있는지 없는지도 결정되게 된다. 모의해킹 경력을 최대한 쌓을 수 있는 회사로 가서 퇴근 후에도 본인이 모의해킹 기술 공부도 하면서 역량을 계속 올리면 이직이 가능하다. 필자도 그렇게 해서 대기업으로 이직을 했고 나름 만족하면서 다니고 있다.

이렇듯 직무마다 천지차이기 때문에 너무 휘둘린건 없다고 본다. 모의해킹 기준으론 경력+본인 자기 계발 역량에 따라서 얼마든지 대기업으로 갈 수 있는 기회는 많다. 필자가 경험을 해보니 그랬다. 모두 본인 하기 나름이니 현재 위치에서 노력하는 것이 중요하다고 본다.

경력직들의 이직 횟수는 어느정도가 적당한건지 전에 필자도 참 많이 생각해봤다. 본인이 역량이 있고 적응 능력이 좋다면 이직해서 연봉도 올리고 일을 하는 거니까. 어떻게 보면 이직이 연봉 상승이랑 직급 높이기엔 유리할 수 있다. 본인이 어떻게 회사랑 협상을 하는지에 따라서도 많이 바뀌니까. 그래서 이직이 이런 점에선 참 매력이 있을 수도 있다.

일단 결론부터 이야기하면 이직 횟수는 많을 수록 불리하게 작용하는 점이 많다. 꼭 다 그런건 아니지만 대체적으로 보면 그렇다. 어떤 회사는 8년간 이직 횟수가 3회 이상이면 서류부터 바로 탈락시키는 곳도 봤었다. 그만큼 잦은 이직을 좋게 보지 않았던 것이다. 이유는 몇가지가 있지만 대표적으론 조직의 대한 충성도, 현 회사에서도 오래 일하지 않을 것이라고 보는게 있다. 물론 예외의 경우는 있다. 딱 봐도 직무도 비슷하고 회사 규모도 비슷하면서 연봉만 올리는 옆그레이드가 아닌 업그레이드 이직인 것 같고 본인 발전을 위한 이직이라면 긍정적으로 검토하고 면접을 진행하는 곳도 있다.

이직 횟수가 많아진다면 왜 이직을 한 것인지에 대해 명확하게 이력서에도 설명할 수 있다면 괜찮겠지만 그렇지 않고는 확실히 마이너스다. 필자도 이직을 했었지만 현 회사에서 면접을 볼 때 왜 이직을 하는지에 대해 논리있고 자신있게 면접관들에게 설명했었다. 그만큼 사유와 명분이 확실해야 된다는 의미다. 그래서 사람마다 각기 다 다르긴 하겠지만 통상적으로 10년을 기준으로 잡고 본다면 2~3회 정도가 적당하지 않을까 싶다.

그리고 이직을 한다는 것은 완전히 새로운 환경으로 가게 되는 것이다. 새로운 환경에 가면 업무 프로세스 등 적응 해야 될 게 정말 많다. 특히나 업무가 바뀌면 더 고생을 하게 될 수 있는데 잘 적응하는 사람이 있는 반면 적응을 못해 다시 전 회사로 가는 경우도 심심치 않게 봤다. 그리고 돈을 많이 받으면 받을수록 책임질 게 많아진다. 돈 많이 받으면서 널럴하고 천국인 곳은 많이 없다. 만약 그런 곳이 있다면 경쟁률은 상상을 뛰어넘을것이다.

필자도 현 회사에 3년째 다니고 있지만 한 회사에서 좀 있다 보니 나름 혜택 보는 것도 많았다. 예를 들면 연차도 법으로 15일이 기본으로 정해져 있지만 근속년수가 되다 보니 16일을 받고 있고 임금 상승률도 점점 좋아졌고 인사 고과 평가 같은 것도 만족스럽게 받을 수 있었다. 이 외에도 여러 가지 혜택이 있었다. 회사에 따라 다르긴 하지만 이직을 하게 된다면 근무를 시작하고 1~2년간은 당장 본인이 희망 하는 좋은 복지 혜택을 못 받는 곳도 있다. 그래서 이직을 할 땐 잘 생각해봐야 하는 것이다.

이직을 한다는 것은 장단점이 분명하다. 현 회사보다 더 좋은 점도 생길 수 있고 그렇지 못할 수도 있다. 그래서 모두 종합적으로 상황을 고려해보고 이직을 하는 것이 가장 현명할 것이다.

모의해킹 경력이 쌓이면 어떻게 될까? 사실 이건 정답이 없었다. 개인이 추구하는바도 다르고 상황이나 경우도 다르고 너무 다양하다. 정답이 딱 정해져 있다면 어떤 분야던지 별로 하고 싶지 않을거다. 장점이 있는만큼 단점도 너무 명확하니까.

굳이 장점부터 몇가지 말하면 첫번째는 굶어 죽을(?) 일은 없다. isms-p, 모의해킹 등 보안쪽은 법으로 정해져 있는게 있어 기업들도 이걸 안 지킬 수가 없다. 그래서 매년 사업들이 쏟아져 나오는 편이다. 요즘 들어서는 보안을 중요하게 생각하는 기업들도 많아 전보다 사업이 훨씬 많아진 상태다. 이렇게 사업이 많아지면 인력은 당연히 부족하다. 보통은 중급 인력(경력 3년 이상)을 많이 찾는데 현재 컨설팅 시장엔 모의해킹 중급 이상 인력이 많이 없다. 이런 이유로 중급 이상이 되고 본인 실력만 된다면 원하는 만큼의 돈도 자연스럽게 따라온다.

두번째는 기술 보안 담당자, 관리 보안 담당자 등으로 이직이 가능하다. 컨설턴트와 담당자는 업무도 확연히 다르고 포지션 자체가 다르다. 요즘은 SI 대기업, 유통,제조,금융권 등등 보안 담당자도 꽤 많이 뽑고 있어서 연차 쌓이고 실력 상승시키면 이직할 기회가 많다. 일은 당연히 담당자가 더 힘들고 책임질 것도 많아지긴한다. 일이 많고 힘든만큼 돈도 자연스럽게 따라오긴 하겠지만 담당자도 성향이 맞아야 하는 업무다. 그렇기 때문에 돈 많이 주니까 바로 간다 이게 아닌 본인이 컨설팅이 맞는지 보안 담당자쪽이 맞는지는 잘 생각해보고 결정할 필요는 있다.

세번째는 프리랜서가 가능하다. 모의해킹은 다른 분야에 비해 프리랜서쪽도 되게 많다. 필자도 실제로 프리랜서 분들과도 일해봤고. 프리랜서도 장단점은 확실히 존재한다. 일거리가 많을 땐 정말 많아서 정신 없이 일을 다닐때도 많고 평균적으로 수입도 많은 편이지만 모의해킹도 추운 겨울이 있다. 대체적으로 12월~3월정도까지인데 프리랜서는 자영업자에도 가깝기 때문에 일거리가 없을 땐 당연히 수입도 끊긴다고 보면 된다. 그리고 일거리가 들쑥날쑥하면 불안정한 것도 단점이고... 일거리가 계속 있다면 당연히 좋지만 대체적으론 그렇지는 못하다. 그래서 가정이 있는 사람이라면 좀 힘들 수 있다고 본다. 보통 프리랜서는 모의해킹 경력 4년차 이상이 많다고 보면 된다. 

네번째는 버그바운티, 대회 참여가 가능하다. 본인 실력 상승도 시키고 소소한 부수입도 있고(많을 수도 있음) 일석이조다. 실제로 이런걸로 해서 소소한 부수입을 챙기는 사람들도 있다. 본인이 실력있고 능력만 좋으면 얼마든지 가능하다. 장소 제약, 경력 제약 등도 없어 어떻게보면 더 편하다. 본인 커리어도 쌓고 소소한 수입도 벌고 필자는 개인적으로 나쁘지 않다고 본다. 필자도 대회 참여를 해본적도 있었고 수입이 없더라도 본인 실력 상승 시키기에도 괜찮았다.

이정도로 모의해킹 경력이 쌓이면 할 수 있는 일들을 좀 나열했다. 돈도 중요하지만 본인이 진짜 어떤게 적성에 맞는지에 대해서도 잘 생각하길 추천한다. 일도 하고 연차도 좀 쌓였는데 연봉이 잘 안오른다고 투덜댄다면 이유는 딱 3가지다. "컨설팅 시장의 인력 단가 고정으로 인한 한계, 회사의 영업 역량에 따른 벌어들이는 수익의 한계, 본인의 역량이 연차에 비해 연봉을 올려줄만한 급의 사람이 아니거나"

기술직들은 정말 하는 만큼 가져간다. 일 잘하고 실력 있는 사람이라고 평가를 받으면 당연히 본인이 원하는만큼의 돈을 받을 수 있고 그렇지 않으면 계속 제자리 걸음이 될 수 있다. 그래서 계속 공부하고 실력을 쌓아야 되는 이유기도 하다.

IT 분야는 자격증이 다른 분야에 비해 상당히 많다. 기사 자격증들부터 해서 클라우드 자격증 등등 나열하려고 하면 시간이 많이 걸릴 정도로 자격증이 많은 편이다. 그래서 가끔은 뭐부터 따야 하나 헷갈릴 때도 있다. 뭐가 중요한건지 안 중요한건지... 계속 갈팡질팡 하기 마련이다.

특히 보안쪽도 자격증이 많은 편이다. CISA, CISSP, 정보처리기사, 정보보안기사 등 정말 많다. 아마 이걸 한꺼번에 다 취득하려고 하면 시간이 상당히 오래걸린다. 보안쪽 자격증은 난이도가 매우 높은 자격증들이 있어 많은 시간을 투자해야 취득할 수 있는 자격증들도 꽤 있다. 

필자의 개인적인 생각이지만 자격증은 왜 취득을 해야 하는지에 대한 이유부터 파악할 필요가 있다고 본다. 그 자격증을 취득함으로써 본인이 어떻게 활용할 수 있을 지에 대해 면밀하게 고민해봐야 한다는 의미다. 이력서 한줄 채우기 용도로 사용한다면 사실상 의미가 없다. 자격증은 있으면 좋지만 그게 그 사람을 판단하는 절대적인 기준은 아니다. 특히 IT쪽은 자격증 취득에 목매는 경우가 많은데 자격증보단 실무를 할 줄 아는게 최우선이다.

예를 들어 필자가 ISO 27001 인증심사원 자격증을 공부한다고 치면 이걸 왜 공부해야 하는지에 대해 명확하게 알아야 한다는 의미다. 이 자격증을 취득함으로써 본인이 어떤 업무를 더 할 수 있는 자격 및 권한이 주어지는지, 어떤 지식을 습득하게 되고 이 지식을 어떻게 실무에서 응용할 수 있을지 이런 부분을 고민해보고 본인한테 정말 필요할 것 같다고 판단이 들면 공부를 시작하는 것이 맞다고 생각한다.

무조껀적으로 자격증만 취득해서 수집을 하는 것보다 자격증을 취득함으로써 본인이 지금 하고 있는 일에서 어떤 도움이 될 지, 어떤 일을 할 수 있는 자격이 주어지는지 등을 고려한 후 결정해야 된다고 본다. 어떻게 보면 시간이 가장 중요한데 불필요한 리소스 낭비를 해가면서 이것 저것 다 취득하기엔 시간도 많이 걸리고 특히나 덤프만 외우고 기출만 외워서 취득하는 자격증은 본인한테도 크게 도움이 되지 않는다. 그 자격증에서 공부할 수 있는 기초 개념을 공부하고 최대한 본인의 지식으로 만들면서 덤프를 외우는 건 당연히 본인한테 도움이 된다.

만약 본인이 그 분야의 업무를 경험하고 싶은데 요구하는 자격증이 없어 경험 하지 못하는 상황에 놓인다면 볼 것도 없이 그 자격증을 취득해야 한다. 요구하는 자격증이 없으면 그 분야의 경력을 쌓지 못하기 때문이다. 요구하는 자격증을 취득하고 그 분야의 실무 경력을 쌓을 수만 있다면 실무+자격증 무장과 함께 본인의 전문성이 될 수 있다. 그렇기에 본인이 어떤 자격증이 꼭 필요한지 생각하고 공부하는 것이 좋다고 본다.  

경력직은 말 그대로 직무에 대해 경험해보고 회사를 다녀본 사람을 의미한다. 요즘은 신입보단 경력직 채용이 압도적으로 많은 편이다. 그나마도 있었던 신입 공채도 폐지한 회사들도 많고... 어떻게 보면 예전보다 더 힘들다는게 실감이 많이 간다. 필자도 신입으로 취업 준비를 할 때 몇몇 큰 회사에 이력서를 넣었지만 번번히 서류부터 낙방 되는 곳도 있었다. 필자가 원하는 직무로 넣기만 하면 큰 회사는 다 떨어지고... 첫 회사에 들어가긴 했지만 보안 쪽에서도 그렇게까지 원하는 일도 아니었고.. 

그래서 큰 맘 먹고 다니던 회사를 퇴사하고 소기업으로 이직했다. 그나마 전에 보안 교육 듣고 만들어놓은 포트폴리오들이 있어서 면접을 볼 기회가 주어졌고 합격할 수 있었다. 드디어 원하는 직무를 해볼 기회가 부여된 것이다. 그래서 그 때 들었던 생각은 "경력 쌓아서 이직하자"가 아닌 "내가 원하는 일이 우선이고 기회가 있을 때 많이 배우자" 이 마인드로 접근했다. 처음엔 당연히 힘들었다. 다 처음해본 일이고 고객사에 혼자 가서 모의해킹하고 담당자 대응하고 이러는게 쉬운게 아니었으니까.

그래도 최선을 다했다. 필자가 하고 싶어서 하는 거고 큰 마음 먹고 왔을 땐 분명 뜻이 있었기 때문이었다. 소기업에 재직 시에는 많은 고객사들을 돌아다녔다. 처음엔 고객사에 가서 일을 한다는 게 좀 생소하긴 했지만 점점 적응해나갔다. 가끔씩은 지방 출장도 있을 때도 있었지만 괜찮은 고객사에서 모의해킹을 수행할 수 있어서 좋은 경험을 했었다. 물론 이렇게 모의해킹을 시작하고 이 일을 하려면 기술 공부를 계속 해야 해서 1년 내내 퇴근 후에도 교육듣고 개인적으로 추가로 더 공부하고 계속 반복의 연속이었다. 개인 노트 하나 만들어서 고객사에서 경험 했던 것, 기술 등등 기록해놓을 수 있는건 다 기록해놓고 많이 봤다. 

그렇게 시간이 흐르고 필자도 경력자가 되었다. 소기업에서 모의해킹을 하다 보니 문득 들었던 생각은 "대기업은 어떨까?, 어떤식으로 일을 하고 사업 수주를 해올까?, 프로세스가 체계적이라는데 어떻게 체계적일까?, 소기업하고 차이는 어떤게 있을까?" 등등 계속 궁금증이 들었다. 그래서 대기업에 가서 일을 또 해보고 싶어 이직을 결심했다.

결심은 했는데 지금 연차로 이직이나 될지, 합격은 할 수 있을 지 또 고민이 되었다. 그래도 밑져야 본전이니 이력서나 넣어보자라는 생각으로 이력서를 내기 시작했다. 그동안 기술 공부 했던 것들, 책 쓴 것들, 업무 경험 등에 대해 정리하다보니 어느 순간 그게 필자의 포트폴리오가 되었다. 지금 다시 생각해보면 자격증도 중요하긴 하지만 해봤던 업무 경험이 경력직 이직에 더 도움이 컸던 거 같다.

신기하게도 신입 때는 서류 통과 조차도 안되었던 회사들이 통과되면서 면접 기회가 주어졌다. 확실히 신입 면접과는 다르게 경력직 면접은 해당 직무 경험에 대해 물어보는 경우가 많았다. 말 그대로 경력직은 뽑아서 즉시 전력으로 투입할 수 있어야 하니 전공 지식 부분도 중요하지만 업무 경험이 더 중요하다. 필자가 직접 다 해본 것들이라 면접관 분들과 편안하게 대화 하는 분위기로 면접을 볼 수 있었다. 

그렇게 면접을 본 결과 모두 최종합격 통보를 받을 수 있었고 원래부터 필자가 가고 싶었던 회사를 선택해서 가게 되었다. 신입사원으로 지원했을 땐 내 스펙으론 면접은 커녕 서류 통과 조차도 안되었던 회사에서 최종 합격 통보를 받아서 한동안 신기했다. 지금도 현 회사에서 모의해킹, 인증 심사 대비 등을 계속 하고 있다. 전 회사보다 더 좋은 프로젝트에 투입 되어 좋은 경험을 많이 쌓게 해줘 이런 기회를 준 현 회사에 감사하게 생각하고 있다. 

큰 회사로 이직을 한 후 현 회사에서 두번째 연간 프로젝트도 마무리하게 되었다. 뭔가 이번엔 상당히 많이 아쉬웠다. 같이 프로젝트 한 사람들하고 정도 많이 들고 손발이 잘 맞아서 어떤 일을 하더라도 일사천리로 다 처리하다보니 분위기도 워낙 좋았다. 또 서로 비슷한 연령대다 보니 더 그런거 같다.

연간 프로젝트가 끝나다보면 항상 생각이 드는건 이렇게 잘 맞는 사람들과 계속 일을 같이 하면 좋은데.... 프로젝트의 특성 상 그 사람들과 계속해서 같이 못한다는 건 늘 아쉬웠다. 다음 프로젝트에서는 또 어떤 사람을 만나게 될 지 모르고... 이런 점들이 컨설팅의 장점이 될 수도 있지만 단점이라고 말할 수 있겠다.

모의해킹을 시작하고 어언듯 벌써 4년이 조금 넘는 시간이 흘렀다. 이번 두번째 연간 프로젝트가 필자가 했었던 인생 프로젝트 같다. 크리티컬한 취약점도 많이 찾아주고 개발자들과 커뮤니케이션해서 조치 하고... 사람들에게도 인정도 받고.. 이 프로젝트가 두번째 터닝 포인트인 것 같다. 작년에도 연간 사업을 할 때도 나쁘진 않았지만 이번 연간 사업이 제일 만족스러웠고 좋았다. 그만큼 많은 것들을 경험했고 처음 해보는 것들도 꽤 많아서 팀원들하고 의논도 하고 좋은거 있으면 공유해가면서 그런 것들을 토대로 필자도 계속 공부하면서 모의해킹을 진행했던 것 같다.

사실 이번 연간 프로젝트도 쉬운게 아니었다. 워낙 시스템들도 방대하고 연습용 웹 사이트나 알고 있는 웹하곤 레벨이 달라 연차가 낮은 사람들이 와서 하기에는 무리수가 많았다. 물론 연차가 낮더라도 좋은 프로젝트에 들어갔다 나온 사람들이라면 괜찮겠지만 연차가 낮을 때 연간 프로젝트에 들어가는 것은 회사에서 영업을 엄청 잘하지 않는 이상 거의 불가능에 가깝다.

이번 연간 프로젝트를 통해 기술도 기술이지만 시스템 개발자들이나 담당자들과 커뮤니케이션을 하는 스킬, 문제 해결력, 상황 대처법 등에 대해 더 많이 배웠던 계기가 되었다. 그래서도 좋은 프로젝트에 보내주고 좋은 사람들을 만나게 해준 회사에 감사하고 있다.

지금부터 15일간의 휴가를 즐긴 뒤 다음번에도 같은 연간 사업에 또 들어가게 된다. 그 때도 이것저것 많이 배울 수 있으면 좋겠다. 특히 기술쪽은 배움이 끝이 없는 거 같다. 어느정도 레벨이 올라온거 같은데도 모르는게 있고 또 배워야 될 때가 있고... 이렇게 힘들게 배우고 하는 만큼 보상은 다 받으며 특히 모의해킹은 고용 불안에 대한 걱정도 전혀 없으니(오히려 인력난이라 상시 채용중) 즐기면서 하길 바란다.

** 간혹 연봉 물어 보는 사람들 있는데 어떠한 경우에도 절대 답변 안합니다. 연봉은 회사 내규 비밀이고 가장 예민한 사항이기에 그 어떠한 경우에도 오픈하지 않게 되어 있습니다. 반대로 남들이 본인들 연봉 물어보고 캐내고 그러면 기분 좋겠습니까? 선 넘는 질문 삼가하세요. **

iso 27001 인증심사원(보)를 등록하기 위해선 iso 19011 취득이 필수다. ISO 27001은 합격했지만 ISO 19011는 취득전이라 인증심사 기관에 ISO 27001 인증심사원(보)를 등록하지 못해 신청을 하게 되었다.

iso 19011은 전반적으로 인증 심사에 대한 교양, 기초, 업무 프로세스 등을 배웠다. iso 27001 하곤 조금 차이가 있긴 했던거 같다. 이것도 당연히 교육+과제+시험이 다 따로 구성 되어 있다. 필자는 개인적으로 iso 27001 보다는 수월하게 공부를 했다. 기초 교양, 업무 프로세스가 대다수를 이루고 있었기 때문에 큰 압박을 받진 않은 상태에서 하니 마음이 많이 편했던 것 같다. 물론 과제 양은 iso 27001과 비슷하게 만만치는 않았다. 양이 좀 많아 토요일 하루를 다 쓰면서 과제를 완성했다. 이것도 다 채점이 들어가기 때문에 소홀히 하는 사람은 본 시험을 잘봐야 통과된다.

교육, 과제, 시험을 모두 통과하고 받은 합격증. 이것도 채점되는데 열흘 이상은 걸린다. 이번년에는 이 자격증을 따고 싶었는데 목표를 이루어서 좋다.

GCT 기관에 모든 신고 서류를 작성하고 최종 ISO 27001:2013 인증심사원(보)가 되었다. 신고 서류도 경력을 작성해야 되는데 확실히 경력 커리어를 잘 쌓아 놓다 보니 큰 문제 없이 승인이 완료되었다. 이제 ISO 관련 컨설팅 및 인증 심사 사업이 있으면 심사원 활동 기회도 주어지고 생각보다 쓸만한 자격증이다. 공부하면서 상당히 도움이 많이 되어 cppg 시험도 이어서 도전하게 되었다.