1. 합격 후기
지난번 WordPress plugin 취약점 이후 SW 보안약점 진단원 취득을 목표로 하였었는데 너무 오랜 시간이 걸렸네요 (대략 1년 6개월..)
https://bziwnsizd.tistory.com/93
(XSS) WordPress Plugin - CVE-2024-32079
안녕하세요. 워드프레스 플러그인 취약점 중 하나를 제보하여 PoC를 해보려고 합니다. 0. WordPress Plugin WordPress 플러그인 중 하나인 Advanced iframe 플러그인 입니다.지난글에 작성하였던 iframe과 상
bziwnsizd.tistory.com
4수 만에 시험에 합격하였고, 진짜 마지막이다 생각하고 시험봤습니다.
합격도 아주 간신히 턱걸이로 합격하였지만 합격 후기가 도움이 되는 바램으로 공유해보려고 합니다.
뭐 어찌됐든 합격하면 되는거 아니겠습니까?
라고 말하지만 71점으로 간신히 합격하는 순간 심장이 철렁 내려앉았습니다 (한 문제 틀렸으면 떨어짐)
솔직히 80점대는 될 줄 알았는데 점수를 짜게 주지 않았나 생각해봅니다 :c
처참했던 지난 점수들 입니다.
다들 준비 많이하셔서 저처럼 N수하지 않길 바랍니다ㅜ
2. 사전 준비
기존 시험은 연간 3회까지 응시가 가능했는데 2025년부터 연간 2회로 줄었습니다.
2026년의 경우 진단원 시험이 개정될 예정이라고 하는데 자세한건 내년이 되어야 알거같습니다.
소프트웨어 진단원은 6년의 개발 경력 혹은 3년의 취약점 분석 경력이 있어야 응시가 가능합니다.
온라인/오프라인으로 교육 수강 신청이 가능하며, 온라인 교육의 경우 1분 컷이니 사전에 클릭 연습이 필요합니다(진심)
교육 신청에 성공하였다면, 경력에 대한 서류 제출 후 자격적격여부에 대한 서류 심사를 통과해야 합니다.
2025년 이후 객관식 문제가 순수한? 객관식 문제로 바뀌었습니다(OMR)
기존에는 서술형 부분도 포함되었었는데 탈락자가 많은지 사지선다 등 객관식 부분으로만 구성되어 생각보다 문제가 완화되었습니다.이거 덕분에 합격한거같아요
3. 공부 과정
1. 소프트웨어_보안약점_진단가이드(2021)
보안약점 진단원 자격증인만큼 가장 많이 봤던 가이드 문서입니다.
가이드는 4번 이상 정독 하였으며, 별도의 요약 가이드본을 만들어 10번 이상 정독하였습니다.
https://www.kisa.or.kr/2060204/form?postSeq=9&page=1
KISA 한국인터넷진흥원
www.kisa.or.kr
가이드 정독이 제일 중요한거 같습니다.
그림 문제 등 가이드에 나온 그림을 토대로 나온 문제들이 많아 가이드 정독은 무조건 필수입니다!
2. 소프트웨어 개발 보안 가이드
저는 1회정도 정독하였습니다.
한번 정도는 정독하시면 도움이 됩니다.
https://www.kisa.or.kr/2060204/form?postSeq=5&lang_type=KO&page=1
KISA 한국인터넷진흥원
www.kisa.or.kr
3. Python 시큐어코딩 가이드
파이썬 문제가 자주 출제되는 형식으로 바뀌었습니다.제가 볼때도 1~2문제 나왔던 거 같아요.
python 시큐어 코딩 가이드도 한번 정도는 정독하는걸 추천드립니다. (저는 안했습니다)
https://www.kisa.or.kr/2060204/form?postSeq=13&lang_type=KO&page=1
KISA 한국인터넷진흥원
www.kisa.or.kr
4. 요약본 만들기
가이드 정독 후 별도로 자신만의 요약본을 만드는것이 굉장히 도움이 되었습니다.
귀찮더라도 요약본 만드시는걸 강력 추천합니다.
https://www.postype.com/@cpuu/post/14982716
SW보안약점 진단원 합격 후기: CPUU의 Daydreamin'
나에게 애증의 자격증이 되어버린 SW보안약점 진단원... 2023년에 1차 교육에 참석한 후, 2023년 1차 자격시험에 응시하여 동회차 합격!!!!! 했다고 자랑하면 좋겠지만 사실은... 4수만에 합격했다. 일
www.postype.com
위 글을 읽고 요약본 만드는걸 똑같이 따라했습니다.
저랑 같이 4수를 하셨더라구요.. (4수의 기를 받아 합격했습니다. 감사합니다)
아무튼 요약본은 필수인거같습니다.
저는 ChatGPT, Gemini를 이용해서 기출 문제 및 모르는 부분에 대해서도 많이 물어봤습니다.보안약점 가이드, 개발보안 가이드 등 파일을 넣고 예상 문제를 출력해달라고 요청하였고,기존에 시험 문제들과 비슷하게 출제되도록 AI들에게 잔혹하게 강화 학습을 시켰습니다.(고맙다 AI들아)
공부한거 보면 100점 맞았어도 이상하지 않은데 ㅎㅎ..
4. 공부 기간
추석 기간 앞 뒤로 해서 총 4주정도 공부했습니다.사실 의미가 없는게 그 전부터 쭉 해오던 공부라 실제 공부 기간은 의미가 없을거같습니다..
그래도 정리 해보자면
1주차와 2주차는 가이드를 정독하고 요약하는데 모든 시간을 쏟았습니다.
3주차부터 요약본을 보면서 시간 날때 가이드 정독을 다시 하고
4주차는 시험 문제 복원 및 취약점과 보안 가이드 자체에 대한 완벽한 해석에 초점을 두었습니다.
제일 중요하다고 생각하는 부분은 가이드 정독 이었습니다.
진단원 시험은 가이드를 얼마나 많이 정독하였는가가 합격/불합격을 판별하는 기준이라고 감히 얘기해봅니다.
왜냐하면 그 전 시험까지는 가이드를 제데로 정독한 적이 한번도 없어서 떨어졌습니다..
5. 마무리
주저리 말이 많았지만 결국 턱걸이라도 합격했네요
소프트웨어 보안약점 진단원은 극악의 시험률을 자랑합니다
2025년 보안백서로 보면 1000명중 30명이 합격한 극악의 난이도같지만, 교육 받은사람이 다 시험 보는건 아니라 정확하진 않아요(그래도 극악의 합격률)
어찌 됐든 1년 반이나 걸렸지만 결국 합격은 했고 이제 다음 챕터로 넘어가려합니다.
기존에 얘기했던 것 처럼 OSCP를 준비하면서 틈틈히 CVE에 대한 연구와 제로데이 찾기를 진행할 예정입니다.
그럼 이만