지난 2월 26일에 시험본 데이터 분석 준전문가에 합격했습니다. 사회복무요원 소집 해제와 겹처서 공부시간도 많이 부족했고 기존에 쓰던 용어들과 차이가 있어서 불안불안 했지만 합격하게 되었습니다.

가채점 결과

신기하게 ADsP는 합격 발표일인 3월 25일 전인 3월 21일에 가채점 결과가 나왔습니다. 아마 단답형 문제들이 있어 이의신청을 위해 있던 것이 아닌가 싶습니다.

시험 개요

시험 시간: 90분
문항 수: 50문항(객관식 40문항, 단답형 10문항)

• 데이터 이해: 객관식 8문항, 단답형 2문항
• 데이터분석 기획: 객관식 8문항, 단답형 2문항
• 데이터분석: 객관식 24문항, 단답형 6문항
  배점
• 객관식: 80점(각 2점)
• 단답형: 20점(각 2점)
  합격 기준: 60점 이상

공부 방법

기간

하루에 2시간 2주 정도 준비했습니다. 개념 정리가 끝난 뒤엔 문제를 풀면서 오답 노트를 개념 정리 본에 추가하면서 공부했습니다.

책

영진 닷컴의 이기적 ADsP 교제를 사용했습니다. 시험 자체가 문제은행 방식이다 보니 문제가 많은 것이 큰 도움이 되었습니다.

정리

책을 한번 정독한 뒤에 다시 타이핑 해서 정리했습니다.

다음은 개인정보 관리사 혹은 정보보안기사 합격 후기를 가져오겠습니다.

대칭키: 기밀성 무결성
비대칭키: 기밀성, 무결성, 인증
hash: 무결성
MAC: 인증, 무결성
디지털 서명: 부인방지, 인증, 무결성

암호학의 기본 개념

암호화: 평문(P) -> 키(K) -> 암호문(C)
복호화: 암호문(C) -> 키(K) -> 평문(P)

암호화 시스템의 요소

공개

암호 알고리즘, 키의 길이

• 알려져도 평문을 알아낼 수 없음

• 비공개

  암호화 키
• 알려지면 평문을 알아낼 수 있음

Clusting(Key Clusting)

다른 키로 암호화를 했지만 암호문이 같아지는 경우

• 이런게 발생하는 암호화 알고리즘은 사용하면 안되는 것
• hash에서는 이것을 Collision(충돌) 이라고 한다

전치와 치환

전치: Transposition, 위치 변경
치환: Substitution, 값 변경

전치 암호

평문의 문자를 암호문 전반에 퍼트린다

• 확산: 평문의 통계적 성질을 암호문 전반에 퍼뜨려 숨김
• Shifting

치환 암호

평문의 문자를 다른 블록으로 대체

• 암호화 키의 상관 관계를 숨김
• 단일 치환은 빈도 분석을 통해 해석 가능

블록, 스트림 암호

블록 암호

Feistel 구조

암호화 함수 = 복호화 함수

• DES, SEED 등

SPN 구조

암호화 함수 != 복호화 함수

• AES, ARIA 등

스트림 암호

스트림 암호는 암호화의 특성 상 동기화가 필요하다

동기식 스트림

키 스트림이 어떤 것에 영향 받지 않고 계속 생성해 암호화에 사용

• 전송 중 변조되어도 오류의 영향을 받지 않음

비동기식 스트림

키 스트림이 암호문에 영향을 받아 복호화에 필요한 키 스트림을 생성

• 전송 중 변조되면 복호화에 영향을 받는다

암호화 알고리즘

국내 암호화 알고리즘

암호 분석

암호문 단독 공격(COA: Chiper Only Attack)

어떤 암호문을 얻어서 대응되는 평문과 키를 찾는 공격

기지 평문 공격(KPA: Known Plaintext Attack)

여러개의 평문과 암호문의 관계성을 조사하는 공격

선택 암호문 공격(CCA: Chosen Chiphertext Attack)

암호문을 통해 대응되는 평문을 얻을 수 있는 경우 공격이 가능

선택 평문 공격(CPA: Chosen Plaintext Attack)

평문을 통해 대응되는 암호문을 얻을 수 있는 경우 공격이 가능

암호 알고리즘의 안정성 평가

평가 순서

• 암호 알고리즘 평가 -> 암호 모듈 평가 -> 정보보호제품 평가 -> 응용시스템 평가

암호 알고리즘의 안정성

• 암호 해독 비용 > 정보 가치
• 암호 해독 시간 > 정보 유효 기간 초과

CMVP(암호 모듈 안정성 평가)

• 암호 기술의 구현 적합성, 암호 키 운용 및 관리, 물리적 보안 등
• KCMVP: k-암호모듈인증

CC(Common Criteria)
정보보호제품 평가

접근통제

구성 요소

식별(Identification)

사용자 ID를 확인하는 과정

• root, admin, system, sys
• net localgroup administrators

인증(Authentication)

사용자가 맞음을 시스템이 인정하는 것

인가(Authorization)

파일을 읽고, 쓰고, 실행시킬 수 있는 권한을 부여

접근통제 원칙

최소 권한의 원칙

권한의 남용을 방지하기 위함

직무 분리의 원칙

보안관리자와 감사, 개발자와 운영자

• devops는 직무분리가 안된게 아니다

접근통제 기술 정책

MAC(강제적 접근통제): 관리자에 의해 권한 할당
DAC(자율적 접근통제): 객체의 소유자에 의해 권한 할당
RBAC(역할기반 접근통제): 사용자의 역할에 따라 권한 할당
하드닝: 여러가지 설정으로 공격으로부터 시스템을 안전하게 지키는 방법

접근통제 모델

Bell-Lapadula(BLP) – MAC 모델

기밀성을 강조한 모델, 높은 등급의 정보가 낮은 등급으로 유출 방지

• No Read Up, No Write Down

규칙

• No Read-up(단순 보안규칙): 주체는 자신보다 높은 보안 등급의 객체를 읽을 수 없음
• No Write-Down(* 스타 보안규칙): 주체는 객체보다 높거나 동일해야 객체를 수정할 수 있음

Biba

무결성을 위한 모델(BLP를 보완)

• No Read Down, No Write Up

클락-윌슨

무결성 중심, 최초의 상업용 모델

보안용어 정리

자산

조직이 보호 해야 할 대상

취약점

정보 시스템, 정보보호 시스템의 결함 또는 손실(위협의 위험 대상)

위협

결함 또는 손실의 원인이 될 가능성을 제공하는 환경의 집합

위험(자산 x 위협 x 취약점)

취약점을 활용할 수 있는 가능성

정보보호

개념

정보의 수집, 가공, 저장, 검색, 송신, 수신 중에 발생하는 정보의 훼손 변조, 유출 등을 방지하기 위한 관리적, 기술적 수단 또는 그러한 수단으로 이루어지는 행위
기밀성, 무결성, 가용성, 인증성 및 부인방지를 보장하기 위하여 기술적, 관리적, 물리적 보호대책을 수립하는 것이다

정보의 가용성과 안전성

정보의 활용과 통제 사이를 조율하는 행위, 가용성을 극대화 하고 위협 요소를 줄이고 안전성을 극대화 하기위해 통제해야 한다

목표

기밀성(Confidentiality)

인가(Authorized)된 사람, 프로세스, 시스템 만이 알 필요성(Need to Know)에 근거해 시스템에 접근해야 한다

• 허가받지 않은 정보 유출을 예방하기 위해 접근 통제, 암호화 수행
• 보안 등급(Security Label)을 부여

기밀성을 보장하기 위한 기술

• 접근제어, 암호화, 보안 인식 교육

기밀성 공격 방식

• Sniffing, 트래픽 분석

무결성(Integrity)

데이터가 불법적으로 생성, 변경, 삭제도지 않도록 보호해야 한다
무결성을 보장하기 위한 보안기술

• 접근제어, 메시지 인증, 디지털 서명, Hash

무결성 공격 방법

• MITM(Man in the Middle) Attack, Phising, Farming, 과도한 권한 집중 등
• 피싱: 위장된 홈페이지로 접속을 유도해 개인정보를 탈취
• 파밍: 피싱의 한 종류, DNS Spoofing이라고 불리며 정당한 URL을 입력해도 가짜 사이트로 이동

가용성(Availability)

시스템이 지체 없이 동작하도록 하고, 모든 서비스 사용자가 서비스를 거절당하지 않고 사용하는 것
가용성 보장 기술

• 데이터 백업, 이중화 구성, 물리적 위험 요소로부터 보호 등

가용성 공격 방식

• DDoS, DoS

인증성(Authentication)

송신자의 메시지의 출처, 데이터 정보가 신뢰할 수 있는지 확인할 수 있는 것

책임추적성(Accountability)

주체의 행동을 추적해서 찾아낼 수 있어야 한다.
주체가 잘못을 한 이후에 부인 방지를 할 수 없도록 한다.

• 디지털 서명, 포렌식, 디지털 워터마킹, 핑거 프린팅, 인증서 등을 활용

정보보호 관리

기술적 보호대책

데이터를 보호하기 위한 가장 기본적인 대책

• 접근통제, 암호기술, 백업, 보안성이 강화된 소프트웨어 사용 등

물리적 보호대책

자연 재해로부터 정보시스템을 보호하기 위한 대책

• 출입통제, CCTV, 잠금장치, 생체 인증 등

관리적 보호대책

위험 분석 및 감사를 시행해 정보시스템의 안정성과 신뢰성을 확보하기 위한 대책

• 보안인식 교육, 직무 분리, 감사 증적 등

정보보호 공격유형

Passive(수동적) Attack

시스템 자원에는 영향을 끼치지 않는 공격

• 스누핑, 트래픽 분석
• 정보를 수집하는 것이 목적
• 탐지 보단 예방이 중요

Active(능동적) Attack

시스템 자원에 영향을 끼치는 공격

• 수정, 삭제, 삽입
• 대부분 수동적 공격을 통해 얻은 정보를 바탕으로 공격
• 예방보단 탐지가 중요

변조(Modification)

원래의 데이터를 조작하는 행위

가로채기(Interception)

Sniffing

차단(Interruption)

정상적인 서비스를 방해하는 것

• DDoS, DoS

사이버 대피소

• KISA에서 운영하는 서비스로 DOS 공격 트래픽을 우회 시켜주는 서비스

위조(Fabrication)

상대방을 속여버리는 것

시점 별 통제

예방통제(능동적 통제)

사전에 위협과 취약점에 대처하는 통제

• FDS, 방화벽, 보안 인식 교육

탐지 통제

위협을 탐지하는 통제

• IDS, CCTV, 감사 로그

교정통제

이미 탐지된 위협이나 취약점에 대처하거나 위협이나 취약점을 감소시키는 통제

• 데이터 복구, 백업, BCP/DRP, 백신(예방부터 교정까지 가능)

2022년 1월 24일 AWS SAA-C02에 합격했습니다

인증서가 국내 자격증과는 다른 맛이 있군요. 역시 비싼 값을 하는건가? 싶네요. 내가 처한 환경과 비용을 생각해 최선의 AWS 솔루션을 찾아내는 것, 이게 SAA-C02를 얻기 위한 시작이라고 할 수 있겠네요. 참고로 자격증은 3년의 유효기간이 있고, 이후엔 재취득 해야합니다.

AWS 자격증

AWS에서는 이러한 자격증이 있다고 하니 관심 있는 분들은 도전해봐도 좋을 듯 합니다. 저도 기회가 되면 Solution Architect Professional, Security Speciality에 도전해 보고 싶습니다.

시험 형식

문제: 65문제
시간: 130분(한국어로 응시하면 30분 연장 가능)
비용: $150
합격: 720/1000

시험은 문제은행 식으로 대부분이 4개의 선택지 중 1개를 고르는 문제이고 5개의 선택지 중 2개를 고르는 문제도 간혹 출제됩니다. 사실 가장 어려운건 비용이 아닐까요?

결과

결과는 시험을 본 뒤 바로 출력됩니다. 합격 확인은 하루 정도면 메일로 보내주며 자격증도 5일 이내로 메일로 전송되었습니다.

공부 방법

전 약 2주정도 공부했습니다. 이미 AWS 서비스에 대해 사전지식도 있었기 때문에 덤프 위주로 공부했습니다.

정리

도현 님의 깃헙을 참고해서 따로 개념정리 노트를 만들어두었습니다. 시험 전반적인 설명도 잘 되어있어 많은 도움이 되었습니다.

덤프

AWS SAA-C02 샘플 문제는 10문제 밖에 안되지만 문제가 이런식으로 나온다 정도로 확인하시면 됩니다.

가장 많은 도움이 되었던 것은 exam topic이였습니다. 사이트의 답안이 틀릴 수 있어 문제를 풀고 Discussion을 꼭 확인하셔야 합니다.

end

다시 한번 강조하지만 이 시험의 가장 큰 난이도는 비용이라고 생각합니다. 여러분들도 꼭 한번에 합격하길 기원합니다.

진작에 올려놨어야 했을 글들인데 한번에 몰아서 하려니까 힘들긴 하군요 역시 미루면 안된다는 걸 느끼고 있습니다. 공부 기간은 기존에 해놨던 공부를 정리하는 식으로 진행해서 약 4~5일 정도 소요 되었습니다. SQLP 자격증도 취득해야 하기 때문에 기본기인 SQLD를 확실하게 정리해두어 SQLP는 조금이라도 편하게 공부할 수 있도록 준비했습니다.

시험 개요

시험 시간: 90분
배점:100점

• 데이터 모델링의 이해: 20점
• SQL 기본 및 활용: 80점
  합격 기준: 60점 이상

들어가기 전에

저는 대학원에서 사이버보안을 전공했으며, 연구실에서 데이터베이스 구축 및 운영 경험이 있는 상태로 준비했습니다.

비교적 쉽게 합격할 수 있었습니다.

공부 방법

책

영진닷컴의 이기적 SQL 개발자를 사용했습니다. 개념이 깔끔하게 정리되어 있고, 교제에 해당하는 강의까지 들을 수 있었습니다.

정리

추후에 SQLP도 취득할 계획이 있어 꼼꼼하게 정리했습니다.


개념을 정리하면서 필요한 SQL문을 직접 사용해 보고 옵티마이저가 어떻게 실행계획을 세우는지까지 정리해 두었습니다.

이후에 교재에 있는 기출문제를 반복해서 풀고 틀린 부분에 대한 개념을 보강한 뒤 시험을 봤습니다.

인공지능 전문가 자격증은 한국표준협회에서 주관하는 민간시험으로 한국표준협회 AI 강의를 이수해야 응시 자격이 주어집니다. 저는 한국표준협회 AI 고급과정을 이수했기에 자격이 생겨 응시하게 되었습니다. 자격증 시험은 엘리스 플랫폼을 사용해 온라인으로 진행되었습니다

교육 과정

교육은 약 60일 동안 진행되었고, 교육 시간은 평일 6시 30분 부터 10시까지 진행되었습니다. 수업은 엘리스 플랫폼을 사용한 실시간 온라인 강의로 강사님께서 강의를 하시고, 질문을 받는 형식이였습니다. 강의 난이도는 처음하는 사람도 따라 할 수 있고 이해할 수 있는 난이도로 진행되었습니다.

강의 자료는 pdf로 공유해주시고, 교과서로 사용된 책을 집으로 보내주셔서 강의가 끝나고 교과서로 배웠던 내용을 복습하거나 실습할 수 있었습니다.

자격증 후기

인공지능 전문가 자격증 시험의 문제는 객관식으로 출제되었고 제한시간은 60분이였습니다. 난이도는 강의를 들으면 누구나 풀 수 있는 정도의 문제였습니다. 사회 복무 요원을 하면서 양질의 강의도 듣고 자격증 까지 얻을 수 있었습니다.

Prologue

시험을 치는 날짜는 2021년 5월 29일 9시 30분에 시험을 치렀습니다. 결론부터 말하자면 불합격 한 것 같습니다. 이번 시험은 다른 시험과는 다르게 법률 관련 문제가 많이 출제 된 것 같습니다. 대략 배점으론 40점 정되 되는 듯 했습니다. 저는 안타깝게도 법률쪽은 개인정보보호법, ISMS, 가명처리 위주로 준비했기 때문에 이번 시험은 문제운이 안좋았다고 변명을…..

생각나는 문제들

CVE 관련 문제

CVE가 직접적으로 나오진 않았지만 CVE를 관리하는(?) 기관인 MITRE 관련 문제가 두문제 출제되었습니다.

가명처리

가명처리의 경우 출제될 것 같아서 열심히 준비했습니다.

개인정보호법

단답형에도 출제되고 서술형에도 출제된 것이 특이하다면 특이했습니다.

정보통신망법

주로 용어를 묻는 문제가 나왔습니다.

노트에 추가할 내용들

기존 노트에 정리해둔 내용은 기술적 고려사항을 위주로 정리해 두었는데 법률을 더해야 할 것 같습니다. 법률은 모든 것을 다 할 수는 없으니 용어와 keyword 중심으로 정리해 둘 예정입니다.

다음 보안기사 시험 전에 준비할 것 들

이번 시험은 준비해던게 나오지 않았던 소위 맞지 않았던 시험이였습니다. 상당히 많이 준비했는데 떨어지게 되어 좀 씁쓸하지만 일년 내내 보안기사만 할 수 없기 때문에 다른 자격증을 준비할 예정입니다.

• SQLD(시험 준비가 가능하다면 SQLP 까지)
• Amazon AWS Certified Solutions Architect
• MicroSoft Azure AZ-500