40대 정보보안기사 자격증 한번에 합격한 이야기

정보보안기사 자격증은 흔히들 ‘국가공인 정보보안 전문가의 첫 관문’이라고 불린다.

관련 분야로 취업을 준비하거나, 기존 IT 업계 종사자라면 한 번쯤은 고민해보게 되는 자격증이다.

나 역시 그랬다. 이미 IT 업계에서 일하고 있었지만, 내 커리어를 돌아보면 막연한 경력만 쌓여 있을 뿐, 이 분야에서 내가 무엇을 할 수 있는 사람인지 명확하게 보여줄 수 있는 무언가가 부족하다는 생각이 들었다.

 

그래서 자연스럽게 국가공인 자격증에 눈이 갔고, 그중에서도 정보보안기사를 선택하게 되었으니.......ㅎㅎ

처음에는 ‘그래도 IT 쪽에서 일했으니 조금은 수월하지 않을까’라고 생각했지만 이 생각은 공부를 시작한 지 얼마 지나지 않아 완전히 깨졌다. 요즘 신입사원들도 하나씩 기본으로 들고 온다는 그 자격증이라길래 정보처리기사보다 조금 더 어렵겠지~ 하는 생각을 했지만 정보보안기사는 단순히 기술 몇 개를 아는 수준으로 접근할 수 있는 시험이 아니었다.

네트워크, 시스템, 암호학, 법규까지 폭넓게 이해해야 했고, 각 영역이 서로 유기적으로 연결되어 있었다.

너와 내가 생각했던 것 보다 훨씬 까다로운 시험

정보보안기사는 국가기술자격증으로 과학기술정보통신부에서 주관하고 한국방송통신전파진흥원(KCA)에서 시행하는 국가자격 시험 및 그 자격증을 의미하며 보다 정확한 정보는 KCA 국가기술자격검정 사이트(https://www.cq.or.kr/qh_quagm01_020.do)에서 확인할 수 있다.

 

시험 과목이나 응시 요건만 보면 그리 복잡해 보이지 않지만, 실제 난이도는 결코 만만하지 않다.

공부를 시작하면서 웹 검색도 많이 해보고, 뉴스나 커뮤니티 글들도 찾아봤다.

인터넷에는 “정보보안기사는 합격률이 정말 낮다”, “기사 중에서도 상위권 난이도다”라는 이야기가 많았다.

실제로 최근 몇 년간 합격률을 찾아보니 평균적으로 10~20% 수준에 머무는 경우가 많았다.

숫자로 보니 괜히 겁이 나기도 했다.

나는 전자공학과를 졸업했고, IT 업계에서 꽤 오랜 시간을 보냈다. 그럼에도 불구하고 이 시험은 전공자라고 해서 쉽게 이해되는 시험은 아니었다. 특히 보안이라는 영역 자체가 이론과 실무가 다소 괴리가 있는 분야라, 개념을 제대로 이해하지 않으면 문제를 풀 수 없다는 느낌을 강하게 받았다.

게다가 40대가 넘어가면서 기억력이 예전 같지 않다는 것도 체감하게 됐다. 예전에는 한 번 보면 머릿속에 남던 내용이, 이제는 몇 번을 봐도 금방 잊혀졌다.

나만의 첫번째 노하우 또는 가이드는 결국 '반복'이었다

그래서 공부 방법을 바꿨다.

요령을 찾기보다는, 조금 무식해 보이더라도 확실한 방법을 택하기로 했다. 내가 세운 기준은 단순했다.

이론서를 최소 9번은 보자는 것이었다. 그런데 이쯤에서 왜 10번이 아닐까? 하는 생각을 할 수 도 있는데 실은 시험기간까지 10번을 다 볼 수 없었다. ^__^, 아무튼 다시 돌아가서 처음부터 끝까지 빠르게 훑는 1회독, 전체 구조를 이해하려는 2~3회독,

그리고 본격적으로 내용을 파고드는 4회독 이후의 과정까지 단계별로 접근했다.

 

이론서를 반복해서 보다 보니 신기하게도, 어느 순간부터는 책을 펼치지 않아도 특정 개념이 어느 페이지쯤 있었는지 떠오르기 시작했다. 문제집도 마찬가지였다. 모든 문제를 한 번씩 푸는 데서 그치지 않고, 이해가 안 되는 문제는 따로 표시해 두고 계속 반복해서 봤다. 정답을 외우는 것이 아니라, ‘왜 이 답이 나오는지’를 설명할 수 있을 때까지 붙잡고 늘어졌다.

아 그리고 문제집, 이론서는 어느것을 봐도 큰 차이는 없어 보이지만 조OO, 정OO 교수님이 쓰신 책으로 공부 했다. 

강의는 너무 비싸서 따로 듣지는 못했지만 책만으로도 충분 했다고 생각한다. 

물론 강의 까지 들을 수 있었다면 더 좋았을 수도 있었겠다는 생각을 했지만, 그래도 난 합격을 했으니 미련은 없다.

보안 분야가 이론적으로 학습한다고 모든 영역을 커버 할 수도 없고 나머지 부족한 부분은 따로 학습을 할 생각이다.

하지만 내가 한 공부 방법이 솔직히....효율적인 방법은 아니었을지도 모른다는 생각이 들었다.

요즘은 요약 노트, 인강, 단기 합격 전략 등 좋은 자료가 넘쳐난다. 하지만 내 나이와 상황에서는 이 방식이 가장 현실적이라고 느꼈다. 나에게는 빠르게 끝내는 공부보다, 천천히라도 확실하게 이해하는 공부가 필요했다.

두번째 노하우는 '산업기사는 꼭 함께 보기'를 권한다

공부를 하다 보면 “나는 기사만 볼 거야, 산업기사는 필요 없어”라고 말하는 사람들을 종종 보게 된다.

나 역시 처음에는 그렇게 생각했다. 하지만 기출문제를 풀다 보니 생각이 달라졌다. 요즘 정보보안기사와 산업기사는 문제 유형이 완전히 분리되어 있다기보다는, 산업기사 문제를 기반으로 기사 문제가 더 깊게 나오는 구조에 가깝다는 느낌을 받았다.

그래서 나는 정보보안산업기사도 함께 접수해서 시험을 봤다. 결과적으로 이 선택은 꽤 도움이 됐다.

산업기사 문제를 풀면서 기본 개념을 한 번 더 정리할 수 있었고, 기사 시험에서는 훨씬 덜 긴장한 상태로 문제를 풀 수 있었다. 일정과 체력에 여유가 있다면, 두 시험을 함께 준비해보는 것도 충분히 고려해볼 만하다고 생각한다.

세번째 노하우 기출문제와 참고 자료는 이렇게 활용했다

기출문제는 큐넷에서 제공하는 공식 자료를 기준으로 보고 여러 블로그와 카페를 찾아보며(블로그는 온계절님, 까페는 정일영님 주로 참고), 다른 수험생들이 정리해 둔 기출 분석 글들을 참고했다.

물론 모든 자료를 그대로 믿기보다는, 여러 글을 비교해보며 공통적으로 언급되는 부분 위주로 정리했다.

또 하나 도움이 됐던 것은 보안 관련 뉴스였다.(네이버에 보안뉴스라고 치면 처음 나오는 바로 그 사이트)

랜섬웨어, 개인정보 유출, 해킹 사고 같은 기사들을 그냥 넘기지 않고, ‘이게 시험과 어떤 부분에서 연결될 수 있을까’를 생각해보며 읽었다. 이런 과정이 이론을 이해하는 데 은근히 도움이 됐다.

 

돌아보면 정보보안기사 준비 과정은 단순히 자격증 하나를 따기 위한 시간이 아니었다.

보안이라는 분야를 다시 한 번 정리하고, 내가 어떤 부분이 부족한지를 솔직하게 마주하는 시간이기도 했다.

쉽지 않은 과정이었지만, 한 번에 합격했을 때의 만족감은 꽤 컸다.

지금 이 글을 읽고 있는 여러분... 정보보안기사 시험을 고민하고 있다면, 단기간에 끝내겠다는 생각보다는 자신에게 맞는 공부 방식을 찾는 데 조금 더 시간을 써보라고 말해주고 싶다.

그 방법이 나에게는 반복이 답이었고, 그 반복이 결국 합격으로 이어졌다.

마지막으로 이 시험은 포기하지 않으면 누구나 합격할 수 있는 시험이라는걸 꼭 기억하시기를 바란다. 

필기시험

과목	주요 출제 내용	공부 시 참고 포인트
시스템 보안	운영체제 보안, 서버·클라이언트 보안 시스템 해킹(버퍼 오버플로우, 레이스 컨디션, 포맷 스트링, 기초 리버싱) 유닉스/리눅스 보안 설정(setuid, setgid, sticky bit) 패스워드 크래킹(john the ripper) 윈도우 보안 설정 악성코드 종류 및 특징 인공지능 보안	리눅스 권한 개념과 해킹 유형은 반복 출제 용어 정의 + 공격 흐름 이해 중요
네트워크 보안	네트워크 기본 이론 네트워크 기반 공격(스푸핑, 스니핑 등) 네트워크 방어 기술 IDS, IPS, ESM 등 보안 장비	공격 ↔ 방어 구조로 묶어서 이해 장비 역할 구분 필수
애플리케이션 보안	웹 보안, 전자상거래 보안 웹 공격 및 방어(XSS, SQL Injection, CSRF, SSRF) DNS 및 DB 공격/방어 소프트웨어 개발 보안	웹 취약점은 실기와 연계됨 공격 원인과 대응 방법 함께 정리
정보보안 일반	암호학 전반(대칭키, 공개키, 해시, 전자서명 등)	필기 과락의 핵심 구간 이해 위주로 최소 40점 확보 전략 추천
정보보안관리 및 법규	개인정보보호법 정보통신망법 전자서명법 신용정보법 등 정보보안 관련 법규	기사 전용 과목 실기 대비 시 조항 암기 필수

실기시험

구분	내용
시험 형태	단답형 12문제 × 3점 서술형 4문제 × 12점 실무형 2문제 중 1문제 선택 × 16점 총 17문제 / 100점
시험 시간	150분 (60점 이상 합격)
주요 출제 영역	시스템 해킹 및 윈도우·리눅스 보안 설정 네트워크 해킹 및 네트워크 보안 암호학 및 암호 기술 애플리케이션 보안, 웹 해킹, 아파치 웹 서버 보안 설정 주요정보통신기반시설 취약점 점검 및 보호대책 수립 침해사고 대응 및 분석(iptables, snort) 기초 악성코드 분석, 포렌식 정보보호계획 수립 및 위험분석 정보통신망법, 개인정보보호법, ISMS 인증심사 관련 법·고시·시행령 국내외 주요 보안 이슈
공부 전략	필기 개념을 실무에 적용하는 능력 중요 서술형 대비 손글씨 연습 필수 법규는 문장 단위 암기 필요