수달정보보호

42회차 CPPG 시험에 합격했다. 첫 번째 시도만에 붙었고, 학습 기간은 2주 정도 된다. 이유는 보안기사 시험과 CPPG 시험이 2주 차이였고, 정보보안기사가 더욱 높은 우선순위에 있었기 때문에 CPPG는 이전에 들여다 보지 않았기 때문이다. 그래도 2주 공부한 것 치고는 점수가 괜찮게 나와서 다행이다 싶다. 2주 동안 학습시간은 매일 3~4시간 정도는 가졌다. 출근을 일찍해서 1.5시간 정도 확보하고, 점심시간에 30분 정도를 사용하고, 퇴근 후 1~2시간 학습을 하는 식으로 2주 동안 반복하였다. 별 생각 없이 오늘 아침에 일어나서 출근을 하다가 혹시나 하는 마음에 홈페이지에 들어갔는데 벌써 합격 발표가 나와 있었다. 아침 7시 30분 정도였는데, 이 사람들은 대체 몇시에 발표를 했을까 궁금했다...

금일 2024년 정보보안기사 실기 2회차에 합격했다. 이제 정보처리기사에 이어 이 분야에서 쌍기사가 된 것이다.  80점 정도 나오지 않을까 생각했는데, 역시 항상 사람의 희망회로는 현실과는 다소 차이가 있다. 이번이 3번째 시도만의 합격이고, 진심모드로는 2번째 만의 합격이다. 작년 필기에 합격했을 때는 경험 삼아 실기를 보자는 생각이 강했기 때문이다. 그리고 24년 1회차에 불합격한 이유는 내가 정보보안기사 주최측의 시험에 어떤 방향성이 고정됐다고 오해했기 떄문이다. 내가 무엇을 오해했는지는 정보보안기사 학습 전략을 쓰면서 밝히도록 한다. 1. 교재교재는 흔히 '알기사'가 정석이라 말한다. '이기적'도 본 입장에서 동의한다. 정말 솔직히 말하면, 정보보안기사 교재들은 하나같이 맘에 들지는 않는다. 잘..

최근 몇 년간 화두 중 하나였던 양자 컴퓨팅에 대해 최근 몇 개월 동안 알아보았다. 뉴스도 찾아보고, 구글에서는 현재 어떤 과정에 있는지 알아보고, 강의로 접해보기도 하며 양자 컴퓨팅에 대해서 스몰톡 정도는 할 수 있게 되었다. 물론 누군가는 초보자의 속단이라고 말할 수 있겠으나, 내가 양자 컴퓨팅에 대해 느낀 결과는 '내가 살아있는 동안에는 그다지 신경을 쓰지 않아도 되겠다'라는 것이다. '양자', '양자역학'이라는 단어 자체가 지닌 힘이 매우 강력하다. 그러니까 소위 '있어 보인다'의 영역에서 엄청나다는 것이다. 잠깐 삼천포로 새서, '제로 트러스트' 같은 있어 보이는 단어들을 만드는 게 국가 정책에 있어서 참 중요한 일인데, 양자도 그에 속하는 영역이지 않을까 싶다. 사실 제로 트러스트도 적용한다고..

우리는 자산의 중요도를 산정한다. 기밀성, 무결성, 가용성으로 나누어 각 내용에 따라 상(3), 중(2), 하(1)의 평가를 통해 중요도를 산정한다. 그렇다면 개인정보도 이런 식으로 중요도를 산정해 보면 어떨까? 물론 중요도를 산정하는 것 자체에 대해 그다지 긍정적인 편은 아니지만, 그래도 없는 것보다는 뭐든 참고할 만한 기준이 하나 더 생긴다는 것에 의의를 두고 싶다. ① 구분: 식별성상(3): 직접 개인을 알아볼 수 있는 정보로써, 이 정보만으로도 해당 개인에 대하여 직접적으로 침해를 가할 수 있는 경우중(2): 다른 개인정보와 결합하여 해당 개인을 용이하게 알아볼 수 있는 경우하(1): 다른 개인정보들과 결합 없이는 특정 개인을 알아 볼 수 없는 경우 ② 구분: 공개성상(3): 비밀의 개인 정보로,..

보안 관련 공부를 하면서도, 각종 제안서를 작성하면서도 DoA에 대한 개념은 늘 봐오고 있다. 그런데 문제는 이게 진짜로 의미가 있냐는 것이다. 짐작컨대, DoA는 위험분석 및 평가 과정에서의 논리적 개념의 등장을 위해 쓰인 것으로 보인다. 그리고 단언컨대, DoA를 실제 업무에서 쓰는 경우는 거의 없을 것이다. 예를 들어, DoA를 1~10점으로 점수화해서 표현한다고 생각해 보자. 7점이면 냅두고, 8점이면 조치를 취할까? 실상은 결코 그렇지 않다는 게 내 생각이다. 결국 위험을 조치하는 데 있어 중요한 것은 인력, 예산이라 생각한다. 그것을 토대로 단기/중기/장기로 분류하여 이 문제를 해결할 수 있는가 없는가가 핵심인 것이다. 그리고 보통 장기에 속하는 것들은 해결이 불가능하기에 장기로 두는 경우도 ..

제안서의 내용은 길고, 뻔하다. 보통의 기업들은 이전에 써오던 양식을 복사&붙여넣기 하기 마련이고, 그 안에서 최신화 및 갈아끼우기만 할 뿐이다. 그렇다면 이 뻔한 제안서를 잘 쓰기 위해서는 어떻게 해야 할까? 이것에 대한 고찰을 해보고자 한다. 핵심은 심사위원이 이해하는 선에서 내 자랑을 잘 해야 한다는 점이다. ① 경험 강조우선, PM을 비롯한 각 인원들이 얼마나 많은 경험을 갖고 있는지 어필하는 것이 필요할 것이다. 그리고 거기서 더 핵심적으로 봐야하는 것은 대상이 어느 기업이냐는 것이다. 대기업인지, 중소기업인지, 국가행정조직인지, 정출연인지 등등 말이다. 그리고 만약 대상이 국가행정조직이라면, 경험을 강조할 때 다른 국가행정조직에 대한 경험이 많음을 강조하는 것이 좋을 것이다. 그리고 또 대상에..

모 정부출연기관 프로젝트를 마쳤다. 작년에도 진단을 진행한 곳이기에 2023년의 자료 및 결과물을 확인할 수 있었다. 그리고 느낀 것은 ISO 27001이건, ISMS-P건, 무엇이건, 결국 중요한 건 나의 능력이라는 점이었다. 예를 들어, 한 항목에 대해 작년과 같은 스크립트 값을 얻었지만, 작년의 담당자는 양호로 판단했고, 나는 그것을 취약으로 판단했다. 가이드라인에는 양호와 취약에 대한 명확한 설명이 되어있으나, 실제 현장은 문서와 다소 차이가 있는 탓에 이런 일이 발생했다고 생각한다. ① A 프로그램을 가이드라인에서는 취약한 프로그램으로 여긴다. 그런데 이 프로그램은 도무지 일반적인 방식으로는 삭제가 되질 않는다. 삭제가 되지 않는 프로그램인 A가 계속 남아있는데, 이것을 취약으로 주어야 할까? ..

23년 11월 25일에 진행한 정보보안기사 2023년도 4회차 실기에서 53점으로 불합격하였다. 사실 불합격은 예상하고 있었고, 그래서 이 블로그를 시작한 것이기도 하다. 생각보다는 점수가 높게 나와서 오히려 의외였다. 40점대를 예상하고 있었으니 말이다. 일단 시험을 준비하면서 있었던 내 실수를 되짚어보고자 한다. 1. 기출 경향을 분석한 것 사람인 이상, 기존의 기출 문제를 풀 때 작년 3개 시험에 모두 출제되었다고 하면 더 눈이 갈 수밖에 없을 것이다. 실제로 내가 그랬다. 작년에 모두 나왔던 개념에 대해서는 더 열심히 공부했다. 그리고 그 노력은 상당수 수포로 돌아갔는데, 실무형에서 더욱 그러했다. 실무형은 올해부터 시작되었고, 그래서 1회차와 2회차의 예시가 존재했다. 그리고 1회차, 2회차를 ..