2024년 정보보안기사 실기 합격 및 학습 전략

금일 2024년 정보보안기사 실기 2회차에 합격했다. 이제 정보처리기사에 이어 이 분야에서 쌍기사가 된 것이다.

 

 

80점 정도 나오지 않을까 생각했는데, 역시 항상 사람의 희망회로는 현실과는 다소 차이가 있다.

 

이번이 3번째 시도만의 합격이고, 진심모드로는 2번째 만의 합격이다. 작년 필기에 합격했을 때는 경험 삼아 실기를 보자는 생각이 강했기 때문이다.

 

그리고 24년 1회차에 불합격한 이유는 내가 정보보안기사 주최측의 시험에 어떤 방향성이 고정됐다고 오해했기 떄문이다. 내가 무엇을 오해했는지는 정보보안기사 학습 전략을 쓰면서 밝히도록 한다.

 

1. 교재

교재는 흔히 '알기사'가 정석이라 말한다. '이기적'도 본 입장에서 동의한다. 정말 솔직히 말하면, 정보보안기사 교재들은 하나같이 맘에 들지는 않는다. 잘 만든 교재라고 느껴지지는 않는다. 하지만 어쩌겠는가. 주어진 것 중에서 도토리 키재기라도 해서 더 나은 것을 골라야 한다. 그리고 이 지점에서 하나 짚을 게 있는데, 정보보안기사 수험서들이 품고 있는 범위는 거의 일치하나, 세부적인 내용은 당연히 차이가 발생한다. 예를 들어, 이번 시험 문제 중 하나인 오탐, 미탐의 영문명 표기는 '알기사'에는 없었으나, '이기적'에는 있었다. 

 

그러면 '어? 이기적도 봐야 하나?'라는 생각이 들 수 있겠지만, 추천하지는 않는다. 개인적으로 알기사와 타교재의 관계는 아래 그림과 같은 느낌이다.

알기사가 도토리 키재를 하면 조금 더 크고, 애당초 교재 간 내용의 교집합이 매우 크기 때문에 세부적인 포인트 하나 잡자고 다른 교재까지 보는 것은 추천하지 않는다.

2. 시험의 범위 및 변별력

쉬운 시험과 어려운 시험의 구분에는 많은 것들이 있겠으나, 보안기사의 경우에는 그게 명확하다. 

'알기사, 이기적 등 어느 교재를 보더라도 나오지 않는 개념이 시험에 나온다'는 것이다. 그게 이 시험의 변별력이다.

 

그래서 위 그림과 같은 양상이 된다. 그럼 이제 한 가지 의문이 생긴다. 그럼 저 변별력은 무슨 내용이냐는 점이다. 그리고 그게 내가 정보보안기사 시험을 볼 때 최초 오해했던 내용이다.

 

24년 실기 1회차에서의 변별력은 아예 정보보안기사 내 개념과 다른 내용이 나왔다. SW 약점 진단원, 자산 중요도 산정 등이 그것이다. 이와 같은 내용은 정보보안기사에서 기술되는 내용이 아니다.

 

그런데 저 2가지 모두 KISA의 가이드 모음집에 자료가 올라와 있다. 그래서 나는 2회차를 준비하면서 KISA에 있는 모든 가이드를 다 살펴봤다. 이게 내 실수였다.

 

왜냐하면, 24년 실기 2회차에서의 변별력은 정보보안기사 내 개념의 심화였기 때문이다. 예를 들어, 개인정보영향평가 시 고려하는 항목에 대해 알기사에서는 3가지만 크게 표기한다.

① 처리하는 개인정보의 수 ② 개인정보의 제3자 제공 여부 ③ 정보주체의 권리를 해할 가능성 및 그 위험 정도

그리고서 4번째로 '그 밖에 대통령령으로 정한 사항'으로 나온다. 그렇기에 알기사만 본 사람들은 위 3가지에 대해서는 숙지가 되어있었을 것이다. 하지만 시험에서는 5가지를 제시하도록 출제됐다. 모범정답은 다음과 같았다.

④ 민감정보 및 고유식별정보의 보유 여부 ⑤ 개인정보의 보유 및 이용기간

즉, 책에서 제시하는 내용이 나오기는 했으나, 그것보다 더욱 깊이 파고들어야 온전한 점수를 얻을 수 있는 문제들이 주로 출제된 것이다.

 

그럼 수험생 입장에서는 어느 방식이 좋을까? 단연코 2회차 같은 시험, 수험서의 내용이 심화된 것이 변별력으로 제시되는 시험이다. 정보보안기사 공부를 하면서 카페를 비롯해 동지들을 접한 적이 있다면, '그거 다 운이에요.'라는 말을 많이 들었을 수 있다. 그리고 나는 일정 부분 동의한다. 

 

AI에 대해 물어보는 것이 주관식으로 나온다면 어려운 시험인 거고, 웹 취약점을 아주 깊게 물어보는 것이 주관식으로 나온다면 쉬운 시험인 것이다. 그게 보안기사에서의 운이라고 생각한다.

3. 학습 방식

1단계. 기본학습

이 학습은 100점 중 40점 정도는 확보하기 위한 학습이라고 생각하면 된다. 100점 중 40점도 나오지 않았다면 공부를 제대로 한 것이 아니라고 봐야 할 것이다. 알기사를 보건, 이기적을 보건, 제대로만 공부하면 40점은 나온다.

 

알기사를 기준으로 설명한다면, 개념편(1,2편)을 양심적으로 최소 5회독까지는 하는 것을 권고한다. 나의 경우, 어느 시험을 보건 나만의 정리 PDF를 만드는 편이다. 그래서 한달 가량 정리한 PDF를 매일이고 반복해서 보았다.

 

기출편(3편)의 경우, 이 책이 보안기사(산업기사) 책이기 때문에 산업기사 문제도 등장한다. 문제는 크게 3종류로 나뉜다. A. 보안기사 기출문제 B. 보안산업기사 기출문제 C. 알기사 제공 문제

여기서 A, C만 골라서 공부하면 된다. 단, A중에는 이상한 문제들도 더러 있을 것이다. 예를 들어 정답이 RDX RCX.. 이런 문제 말이다. 그런 문제는 앞서 내가 변별력에 대해 설명할 때 '수험서에 속하지 않는 범위의 문제'에 속하는 녀석들이다. 그렇기에 그 문제들은 과감하게 스킵하는 것을 추천한다. 그런 문제가 시험에 또 나올 가능성은 정말이지 적기 때문이다.

 

즉, A에 속하면서 수험서 개념에 부합하는 문제와 C만 공부하면 된다는 것이다. 물론, 이것도 문제만 보면 답이 나올 수 있는 수준으로 N회독 돌리는 것을 추천한다.

 

2단계. 심화학습

1단계를 마쳤다면 40점은 깔고 들어간다고 봐야한다. 운이 좋으면 50점일 수도 있겠다. 그럼 이제 나머지 점수를 어떻게 채워야 할까? 가장 쉽게 내뱉을 수 있는 방안은 해당 분야에서의 경험이기는 하다. 그런데 그 말은 수험생 입장에서는 너무 와닿지 않는 말이다.

 

그렇다면 선택을 해야 한다.

① 수험서 외의 개념 학습

② 수험서 개념의 심화 학습

 

당연히 추천하는 것은 ②를 고르되, 여유가 있으면 ①을 하는 것이다. 

 

①에 대해서 설명을 하자면, KISA의 홈페이지에 방문한다.

https://www.kisa.or.kr/2060207

KISA 한국인터넷진흥원

 

 

여기에 들어가면 각종 가이드라인이 업로드되어 있는 것을 확인할 수 있다.

 

그런데 49개나 올라와 있고, 길게는 500페이지도 넘는 자료들도 있는데 다 봐야 할까? 당연히 아니다. 여기서부터는 개인의 판단이 들어가야 하는 영역이다. '상대적으로 중요한' 자료를 보는 것이 중요하다.

 

그럼 뭐가 상대적으로 더 중요한 자료일까? 최신에 대두되는 제로 트러스트면 중요한 자료일까? 조회수가 높을 정도로 인기가 있는 거면 중요한 자료일까? 24년 9월 15일부터 개보법이 개정되니 개인정보 관련된 것이 중요한 자료일까?

 

솔직히 말해서 모르겠다. 나는 위의 3개 기준을 전부 종합해서 약 10개 정도의 자료를 선별했다. 단, 1회차에는 SW 약점 진단원이 나왔으니 그것은 제외했다. 내가 알기로 이 원칙은 아직 깨진 적이 없다. 수험서 외의 내용이 나왔을 때, 그 내용이 연속해서 출제되지는 않는다는 원칙 말이다. 그정도로 연속해서 출제되고, 자주 출제가 된다면, 수험서에 들어갔어야 하는 내용일 것이다. 

 

그렇다면 어찌어찌 몇 개의 자료를 선별했다고 하자. 그럼 그 다음에는 문제화를 해야 한다. 주관식으로 나온다는 점을 감안하고, 정답으로 3개~5개를 제시할 수 있는 개념을 찾는 것이다. 정보보안기사가 6개 이상의 개념까지 제시하라고는 하지 않는 편이다. 

 

사실 이 부분에서는 같은 회사 동료의 도움을 다소 받았다. 이번 시험에서는 도움이 되지는 않았으나, 굉장히 유용한 도움이었다.

 

이제 ② 수험서 개념의 심화 학습 으로 넘어간다.

 

이 방식을 선택한다면, 수험서를 깊게 파야 한다. 책을 펴서 각 장의 여러 개념이 나올 떄마다 해야될 게 있다.

 

⑴ 이것의 장/단점은 무엇이며, 특징은 무엇일까

⑵ 이것의 공격 원리는 무엇일까

⑶ 공격자가 이 공격을 하는 이유는 무엇일까

⑷ 이것을 대처하기 위해서는 어떻게 해야 할까

⑸ 대처하는 방식이 여러가지면, 서비스적 방안은 무엇이고, 시스템적 방안은 무엇이 있을까

⑹ '대통령령으로 정하는 사항'에는 무엇이 더 있을까

⑺ 이 공격이 벌어질 경우 어떠한 문제가 생길까

등등...

 

이렇게 깊게 파고 들어야 한다. 그래서 수험서의 내용을 우리가 더 늘려야 한다. 24년 2회차에는 XSS와 하트블리드 취약점에 대해 수험서에 적힌 내용보다 더욱 깊은 개념을 요구하는 것이 출제됐다.

 

②번 방식의 심화학습을 했다면 뭐라도 써볼 게 꽤나 되었을 것이다. 뭐라도 써볼 게 있다는 것은 수험생 입장에서 정말 좋은 일이다. 그러니 가능하면 ②번 방식을 추천한다. 물론 운이 좋지 않아 ① 방식으로 해야 유리한 시험이 나왔다면, 다음을 기약하면 될 일이다.

 

2년의 기회가 있고, 그 안에 반드시 ②번 학습이 통하는 시험이 나올 수밖에 없다고 확신한다. 혹여나 이 글을 보는 수험생이 있다면, 부디 학습 전략을 세우는 데에 도움이 되길 바란다.