정보보안기사 자격증을 취득하다.

보안 쪽 일을 한지도 벌써 10년이 되어간다.

보안 쪽 일을 하며 취득한 자격증은 오늘 이전까지는 2개였다.

하나는 CISA (정보시스템공인감사사) 자격증이고 나머지 하나는 아는 사람이 거의 없는 CA의 CACES(CA공인 eTrust 엔지니어)자격증이다. CACES는 사설 자격증으로서 CA사의 보안 솔루션 엔지니어가 취득하는 자격증이다.

그리고 오늘 새로운 자격증 하나를 추가했다. 바로 국가공인자격증인 “정보보안기사” 자격증이다. (상세한 정보는 여기로)

이 자격증은 2012년 까지 KISA에서 운영하던 민간자격증인 SIS 자격증을 국가공인으로 전환하여 2013년 1회 시험을 시작으로 매년 2회 시험이 실시되는 자격증이다. 오늘(2014년 12월)까지 4회의 시험이 실시되었다.

이 정보보안기사 자격증은 정보처리기사 자격 시험과는 달리 합격율이 매우 낮은 것이 특징(?)이다.

정보보안기사의 출제 범위는 매우 넓다. 정보보안이라는 것이 IT 전분야를 다루어야 하기 때문에 범위는 넓을 수 밖에 없다. 운영체제 개론에서부터 시스템보안, 네트워크 보안, 응용보안, 암호학, 정보보호개론, 위험관리 방법론, 정보보호관련 법규 등 매우 광범위한 분야를 공부해야하는 시험이다. (정보보안기사 출제범위는 여기로)

필기시험(1차)

1차 필기 시험은 4지선다형 객관식으로 치러진다. 적당한 교재를 하나 사서 공부하면 무난히 합격이 가능하다. 나도 필기시험은 한번에 Pass했으니까.. 하지만 실기 시험은 조금 다르다. 일부 합격자들은 교재로만 공부했다는 원론적인 이야기를 하지만 내 경험에 의하면 교재만 공부해서는 2차 실기시험 커트라인 60점을 넘기기는 쉽지 않다.

실기시험(2차)

실기시험은 먼저 시험지 앞 부분에 단답형 10문제가 출제된다.

각 3점으로서 총 30점이 배점이 되어 있다. 문제에 따라 다르지만 하나의 답변으로 끝나는 문제도 있고 3개의 답변을 써야 하는 문제도 있다. 출제 분야는 종잡을 수 없다. 4회 시험엔 C 소스를 보여주고 버퍼오버플로를 예방하기 위한 코드를 써넣는 단답형 문제도 출제되었다. 모든 출제 범위에서 다양하게 10문제가 선택되어 출제된다.

그리고 단답형에서는 최신 보안트렌드에 대한 문제도 출제되곤 한다. 2014년을 뜨겁게 달궜던 하트블리드 취약점에 대한 문제가 3회 시험에서 출제되기도 했다.

10문제의 단답형 다음에는 3문제의 서술형 문제가 출제된다.

각 문제는 14점 배점이며 단답식 처럼 하나나 두개의 단어로 답변할 수 없는 문제가 출제된다. 적어도 3~5줄 이상 서술해야하는 문제가 출제된다. 또한 여러개의 답을 요구하기도 한다. 예를 들면 이번 4회의 시험에선 Layer 2와 Layer 3의 VPN 프로토콜을 서술하고 Layer 3의 VPN 프로콜에서 전송모드와 터널모드에 대해 서술해야 하는 문제가 출제되기도 했다.

그리고 1회와 2회 때는 ARP 스푸핑과 같은 ARP 프로토콜의 취약성 공격에 대한 서술형 문제가 연속으로 출제되기도 했다. ARP 취약성에 무엇이 있는지와 ARP 취약점 공격 기법 그리고 방어기법 등을 모두 이해해야만 서술할 수 있는 문제들이었다.

이 서술형 3문제도 매우 광범위한 부분에서 출제되는 경향이 있다.

마지막으로는 실무형 문제 3문제(각각 14점)가 출제되며 그 중 2문제를 풀면 된다.

두 문제의 실무형 문제 중 하나는 주로 해킹 공격에 대한 로그를 분석하는 문제 혹은 네트워크 장비의 커맨드 문제 또는 취약성 분석 도구의 사용법에 대한 문제가 출제되었다. 최근에는 2회 연속으로 SQL 인젝션에 대한 웹서버의 공격 로그를 보여주고 공격의 종류와 어떤 취약점을 공격하는 것인지, 공격에 성공했을 때 해커가 획득할 수 있는 것에 대해 서술해야 하는 문제가 출제되었으며 HTTP 프로토콜의 취약점 공격 관련 실무형 문제도 출제되었다. 실무형 문제 중 나머지 한 문제는 보안관련 법규 혹은 위험관리에 대한 문제가 출제되었다. 4회 시험에는 위험관리 기법 중 정량적 위험분석의 ALE를 구하는 문제가 출제되기도 했다. 자산가치와 노출계수를 계산하고 단일 예상손실과 연간예상손실을 실제로 계산하는 문제가 출제되었다.

이렇듯…

3점 배점의 단답형 10문제 = 30점.

14점 배점의 서술형 3문제 = 42점

14점 배점의 실무형 3문제 중 2문제 = 28점

으로 구성된 정보보안기사 실기시험에서는 사실 모두 70점이 배점된 서술형/실무형 문제 5문제가 당락을 좌우한다고 해도 과언이 아니다.

기본적으로 단답형에서 최대한 많은 점수를 확보한 뒤 (최소 20~25점)…

서술형과 실무형에서 40점 이상을 확보해야만 합격선에 다가설 수 있다

2차 실기시험의 채점 기준

사실 서술형과 실무형 6문제의 채점기준은 나도 잘 모르겠다. 정보보안기사 실기 시험의 채점기준은 일절 공개하지 않고 있다. 그렇기 때문에 채점 기준을 매시험 달리하여 합격선을 어느 정도 조정하고 있는 것으로 예상된다. 문제의 난이도가 매 시험 다르기 때문에 합격율을 조정하기 위해서는 채점 기준이 매시험 달라질 수 밖에 없을 것으로 보인다.

그리고 경험상…부분점수는 분명히 있는 것으로 보인다. 하지만 출제 기준에 의해 가장 요구되는 핵심적인 사항을 답변 했느냐 하지 못했느냐에 따라 부분점수의 부여 양상도 달라지는 것으로 보인다.