정보보안기사
한국인터넷진흥원 정보보안국가기술자격검정센터
1. 개요
Engineer information security
과학기술정보통신부에서 주관하고 한국인터넷진흥원에서 시행하는 국가자격 시험 및 그 자격증을 의미한다.
본디 기사 시험 응시 자격은 관련 학과 학사 학위(또는 취득 예정자), 또는 현업에서 일정 기간 이상의 종사를 요구한다. 2012년 6월 7일 개정되고 2013년 1월 1일부터 시행되는 고용노동부고시 제2012-49호 "국가기술자격의 종목별 관련학과 고시"(#)에서 IT 계열은 '전기·전자'와 '정보통신' 분야가 있고, '정보통신' 분야는 '정보기술', '방송·무선', '통신'의 3개의 분야가 있다. 해당 고시에 따르면 그 중 '정보기술' 분야에 포함되는 정보관리기술사, 컴퓨터시스템응용기술사, 전자계산기조직응용기사, 정보처리기사, 정보보안기사, 사무자동화산업기사, 정보처리산업기사, 정보보안산업기사의 8개 자격은 모든 학과가 응시 가능하다. 즉, 4년제 대학교만 졸업하면 관련 학과를 졸업했다고 인정한다는 의미이다.
KISA(한국인터넷진흥원)에서 시행하는 국가기술자격 시험으로서, 기존 국가공인 민간자격증인 '정보보호전문가(SIS)' 자격증을 국가기술자격으로 업그레이드시킨 자격이다. (기존 정보보호전문가 자격 보유자에게는 2년간 필기 면제 혜택을 주었다.)
2013년부터 시작하여 1년에 2회씩 시험을 본다. 응시 자격은 정보처리기사와 동일하게 관련학과가 의미가 없고 4학년이면 볼 수 있다. "4년제 대학 졸업자 혹은 졸업예정자", "3년제는 졸업 + 동일 및 유사직종 실무 경력 1년", "2년제는 졸업 + 동일 및 유사직종 실무경력 2년", 이도저도 아니면 "동일 및 유사직종 4년 경력"으로도 응시 가능하다. 지역은 5개 지역으로 서울, 부산, 대전, 대구, 광주에서 응시할 수 있으며 응시료는 기존의 기사 시험과 동일하다.
정보보안기사 자격증이 있으면 독학학위제를 통하여 정보통신학 학사 학위 취득이 가능하다.
비전공자에게 기사 시험 응시 자격을 없애자는 말이 여러번 나왔으므로 비전공자는 기회가 될 때 정보처리기사나 정보보안기사 등 전공에 상관없이 딸 수 있는 기사 자격증을 따놓는 게 좋다. 설령 비전공자에게 기사 시험 응시 자격을 박탈하더라도, 기사 자격 소지자는 다른 기사 시험에 응시할 자격이 있기 때문이다. 다만 정보보안기사는 전공자들도 피똥쌀 정도로 어렵다. 비전공자들은 필기까진 어떻게 해도 실기부턴 감당이 안된다. 정보처리기사를 따자.
정보보안기사의 상위 자격증인 정보보안기술사 자격증이 없다. 정보보안기술사 자격증이 나오면... 안 그래도 정보보안기사도 빡센데 얼마나 더 빡세질 지 감이 안 잡히긴 한다. 정보보안기술사가 없는 대신 정보관리기술사 자격증이 정보보안기사의 기술사 자격증 역할을 하고 있다. 정관기의 경우 정보보안기사 보유자도 응시할 수 있기 때문이다.
2. 응시 합격 현황
2019년 12월, 2010년대를 마무리하며 한국인터넷진흥원 측에서 응시 합격 자료를 공개하였다.
잘 보면 알겠지만 정보처리기사처럼 기사가 산업기사보다 2배 가량 많다.
대한민국 기사급 국가기술자격 중에서 정보보안기사는 지나치게 하드코어한 자격증 중 하나이다. 필기 접수자 대비 최종 합격자 수는 '''3.6%(2019년)'''에 불과하다.
2.1. 정보보안기사
정보보안기사 합격률의 경우 2013년도 제1회 필기는 34.52%, 실기는 2.94%, 2016년도 제7회 필기는 23.05%, 실기는 8.48%, 2016년도 제8회 시험의 경우 필기 32.18%, 실기 6.44%이다.
정보보안기사에 대해, 통계청이 발표한 2018년 자료에 따르면, 2018년 연간 정보보안기사 필기 접수자 수는 11,973명이고 최종 실기 합격자 수는 805명으로 필기 접수자 대비 합격률은 '''6.7%'''였다.
2.2. 정보보안산업기사
정보보안산업기사 합격률은 2013년도 제1회 필기 27.95%, 실기 46.61%, 2016년도 제7회 필기 69.05%, 실기 5.78%, 2016년도 제8회 필기 56.88%, 실기 30.26%이다.
3. 시험 방식
필기는 총 5과목이며, 각 과목 30분이며 4지 택일형이다. 타 기사시험과 동일하게 각 과목 40점 이상 취득에, 5과목 평균점수 60점 이상의 점수를 받아야 합격을 할 수 있다. 실기는 총 180분이며 필답형이다. 단답형 10문항(30점), 서술형 3문항(42점), 작업형 3문항 중 2문항 선택(28점)이다. 정보처리기사와는 달리 완벽한 순수 단답형 + 서술형 주관식이라고 할 수 있다.
정보보안기사는 서술형과 작업형 때문에 사실상 '''절대평가를 가장한 상대평가'''로 간주된다. 서술형과 작업형에는 합격자수 조절을 위해, 채점자들이 채점을 한 이후 작업형과 서술형 점수에 일괄적으로 기본점수를 부여하거나 일괄적으로 점수를 깎는다는 설이 많다. 때문에 정보보안기사 시험 '''합격자와 탈락자 간 점수 차이는 극히 미세하며 많이 차이 나봤자 5점(1문제) 안쪽에서 당락이 갈린다'''는 평이 주류이다. 즉 탈락자도 50점대 후반이고 합격자도 60점대 초반에서 거의 당락이 결판난다.
4. 시험 과목
정보보안기사는 기출 문제가 공개되지 않는 시험이다. 따라서 대부분의 CBT사이트에서도 정보보안기사 문제는 제공하지 않는다. 일부 웹상에 존재하는 문제들은 물론, 수험서에 포함된 기출문제들도 모두 임의로 복원한 문제이므로 정확하지 않다.
정보보안기사 필기 기출 복원 문제 CBT
정보보안기사 실기 기출 복원 문제 CBT
4.1. 필기
4.1.1. 시스템 보안
운영체제, 클라이언트 보안, 서버보안 등 인프라 보안관리의 전반적인 부분을 취급한다.
4.1.2. 네트워크 보안
네트워크 일반, 네트워크 활용, 네트워크기반 공격 이해, 네트워크 장비 활용 보안, 네트워크 보안 동향
4.1.3. 어플리케이션 보안
인터넷 응용 보안, 전자상거래 보안, 기타 어플리케이션 보안
4.1.4. 정보보안 일반
보안요소 기술, 암호학을 다룬다. 암호학의 경우는 필기에서 가장 골머리를 썩는 부분이기도 하다. 암호화 방식, 기초가 되는 알고리즘의 종류가 단골 출제 항목이고, SEED와 ARIA 같은 국산 알고리즘도 자주 등장하기 때문에 숙지해 두는 것이 좋다. 그나마 다행인 것은 암호학은 실기에서 출제 비중이 거의 없기 때문에 이 점을 위안으로 삼고 필기때 확실히 공부해서 넘어가 두도록 하자.
4.1.5. 정보보안관리 및 법규
정보보호 관리, 정보보호 관련 법규
4.2. 실기 (정보보안실무)
매우 어렵고 최악의 난이도를 자랑한다. 16년 마지막 시험의 8회 실기시험 합격률은 6.4%, 17년 9회 실기시험 합격률은 6.7%다. 11회의 경우 이례적으로 10%가 넘는 합격률을 보였으나, 이후 귀신같이 10% 내외의 합격률로 돌아가 실질적인 합격률은 10%라고 생각하면 된다. 2019년 1회(13회)의 실기 합격률은 약 9%였다.
위의 내용처럼 범위는 아주 많이 무궁무진하다 (...)
단답형 10문제 x 3점, 서술형 3문제 x 14점, 실무형 2문제 x 14점으로 총 100점이다. 실무형 문제는 3개 나오는데 2개만 골라서 풀면 된다. 3개 모두 썼을 경우 앞에서부터 2개를 채점한다. 3개 중 첫 문제를 풀지 않고 나머지 2개를 풀었을 때, 답안지에 첫 문제를 풀지 않는다는 표시를 하지 않으면 '''해당 문항을 백지로 낸 것으로 간주하여 채점이 되지 않는다.''' 마지막 문제를 풀어도 아예 채점하지 않는다. 이는 시험장에서 방송으로 안내 및 감독관들이 계속 안내를 해 주기 때문에 실수하지 않도록 하자.
각 포트의 번호를 보고 TCP/UDP의 포트 목록에 해당하는 서비스를 알아야 한다. SMTP(25), POP3(110), IMAP4(143), SNMP agent(161), SNMP manager (162), HTTPS(443) 등. 서술형에 포트 번호와 포트 이름을 잘못 쓰면 감점되기 때문에 잘못 암기하면 안 된다.
해킹으로 인한 피해는 다음 식에 의해 좌우되는데 각 요소를 암기하고 있어야 한다.
VPN의 보안 프로토콜에 대해서 AH, ESP, IPsec은 알고 있어야 한다.[1] Windows의 암호화 방식 중 BitLocker는 알고 있어야 한다.연간 예상손실 (ALE) = 단일 예상손실 (SLE) x 연간 발생률 (ARO), 단일 예상손실 (SLE) = 자산가치 (AV) x 손실 계수 (EF)
포트 스캔 방법 중 TCP Half-open scan을 알아야 한다.
각 공격에 대한 설명을 보고 이름을 맞출 수 있어야 한다. Slowloris, 공급망사슬 공격 등이 출제되었다. 특히 Blind SQL 주입에 대해서는 자세히 알고 있어야 한다. 문제에서 제시되는 스크린샷을 보고 공격의 유형과 대응 방법이 바로바로 튀어나올 정도가 되어야 문제를 풀 수 있다.
리눅스 명령어를 사용할 수 있어야 한다.
- 파일 검색 (find): 최근 3일 내에 변경된 모든 파일, 사용자가 root인 경우, 접근 권한이 setuid인 경우 등 제약조건에 따라 명령어 완성
- 패킷 캡처 (tcpdump): 인터페이스를 뭘 쓸 건지 (eth0 등), ip 1에서 ip 2를 오가는 패킷을 어떻게 캡처할 건지
KISA에서 공식적으로 밝힌 부분이기도 한데, 실기 시험에서는 부분 점수가 주어진다. 만약 단답형 1문제에서 3개의 답안을 적어야 하는 문제가 있는데, 여기서 2개를 맞추고 1개를 틀리면 부분점수 2점이 주어지는 식이다. 단 서술형이나 작업형의 경우에는 알려진 부분 점수의 기준이 없다. 본인이 생각하기에 아예 핀트가 어긋난 답변을 썼다면 배점을 기대하지 않는 것이 좋다.
4.2.1. 정보보안법규
주로 단답형 1~2문제, 서술형 1문제, 실무형 1문제 출제된다. 특이하게도 2019년 1회(13회)에서는 정보보안법규가 단답형에서 소수 문항만 출제되고 서술형 및 작업형에서는 전혀 출제되지 않았다.[2] 지난 회차 응시생들의 증언으로 법규의 중요성을 인지하고 법규를 팠던 수험생들이 많이 피를 봤다.(...) 단 이는 13회가 특이한 케이스이고, 이후에는 언제든지 정보보안법규가 기습적으로 출제될 수 있기 때문에 준비를 소홀히 해서는 안 된다.
단답형 문제는 빈칸채우기다.
법규의 경우에는 개정이 자주 되기 때문에 국가법령정보센터에서 망법과 개인정보보호법 등의 법제 전문을 수시로 읽고, 필요하다면 필사를 해서라도 아예 익숙하게 만드는 것이 좋다.'''예시 문제'''
정보통신망법 기준 접근권한 부여, 말소 등의 기록을 최소 [ㄱ]년간 보관, 접속기록의 위, 변조 방지를 위해 월 [ㄴ]회 이상 점검, 접속기록을 최소 [ㄷ]개월 이상 보관해야 한다.
개인정보보호법 제25조(영상정보처리기기의 설치ㆍ운영 제한)
④ 제1항 각 호에 따라 영상정보처리기기를 설치ㆍ운영하는 자(이하 "영상정보처리기기운영자"라 한다)는 정보주체가 쉽게 인식할 수 있도록 다음 각 호의 사항이 포함된 안내판을 설치하는 등 필요한 조치를 하여야 한다. 다만, 「군사기지 및 군사시설 보호법」 제2조제2호에 따른 군사시설, 「통합방위법」 제2조제13호에 따른 국가중요시설, 그 밖에 대통령령으로 정하는 시설에 대하여는 그러하지 아니하다. <개정 2016. 3. 29.>
1. [???]
2. 촬영 범위 및 시간
3. 관리책임자 성명 및 연락처
4. 그 밖에 대통령령으로 정하는 사항
5. 난이도
난이도가 정보처리기사와는 차원을 달리한다. 필기에 응시하는 건 각 회당 4,500여명 정도이지만 실기에 합격하는 것은 150여명에 불과하다.
정보처리기사의 운영 체제와 데이터통신 과목은 각각 시스템보안과 네트워크보안에 첫부분으로 속해있다.
기사 치고 더럽게 어려운 난이도 때문에 정보보안 실무자들도 숱하게 엿을 먹는다. 범위가 넓어서 운빨도 중요하다. 그럼에도 불구하고 취득하게 되면 확실히 인정받을 수 있는 자격증 중 하나이다. 합격률이 낮은 것 뿐이지 공부해서 안 되는 시험은 아니니 꾸준히 공부하면 합격할 수 있다. 실제로 매 회차 비전공자 혹은 문과 전공자들의 합격 인증이 심심치 않게 올라오곤 한다. 오히려 컴퓨터공학과 출신들이 '''자만심에 공부를 소홀히 하다 엿을 많이 먹고''' 시험에서 많이 떨어진다고 한다. 응시자가 전공자 : 비전공자 8:2인 것을 생각하면 전공자들이 시험에서 많이 떨어진다는 뜻이다. 그 이유는 정보보안기사 자체가 정보처리기사와 달리 응시인원이 적기 때문이다. 또한 정보처리기사보다 더 전문적이고 심화된 내용을 다룬다. 그래서 비전공자들은 관심이 없거나, 모르는경우가 대부분이다. 그렇기 때문에 비전공자 비율이 낮다고 볼 수 있다. 따라서 응시인원 대비 전공자들이 시험을 대부분 보기 때문에, '''시험에서 떨어지는 비율은 거의 전공자들이다. ''' 최종 합격자 비율에서는 '''전공자 80:비전공자 20이고''', 비전공자 중에 1/3(전체 최종합격자 중 '''8%''') 가량은 아예 '''문과 출신'''이다. 2019년 하반기 시험에서 합격한 문과생 합격수기.
필기시험에 비해, 실기시험장에서 '''응시자 연령대가 확연히 높다는 것'''을 체감할 수 있다. 현직에서 일하는 정보보안 실무자들이 시험에 응시를 많이 하기 때문이다. 그렇기 때문에 합격인원 구성을 봐보면 '''정보보안 실무자들이 절반을 차지'''한다고 해도 무방하다. 또한 실기시험에서는, 다시 실기시험을 보는''' N수생들이 많기 때문에''' 실기시험장을 들어갔을때 분위기 자체가 다르다는 것을 느낄것이다.
정보보안기사 자격증이 꼭 필요한 경우가 아니라면, 취득하는것을 말린다. 실기시험이 상당히 난이도가 극악이기때문이다. 정보보안기사의 필기시험 유효기간은 2년이다. 하지만 다른 기사시험과는 달리 '''1년에 시험이 2번뿐'''이다. 만약에 시험에 떨어질 경우, '''1년에 내내''' 정보보안기사만 공부해야만 할 수 있다. 계속해서 떨어진다면, 다시 필기시험을 봐야하는 최악의 상황이 일어날 수 있다. 이렇게 되면 보통 수험생일경우 공부해야할 시간이 매우 길어지기 때문에 이도저도 아닐경우가 될 가능성이 매우 높다. 오랜시간 공들여 난이도 높은 자격증을 취득 못했다면 스스로 자괴감에 빠지고, 따지못한 찝찝한 기분이 계속 따라갈것이다. 따라서 '''본인이 취준생일경우, 투입시간대비 매우 비효율적일수 있다.''' 판단은 각자 본인이 잘 생각하기를 바란다.
문제 수준이 더러워서, 특히 필기는 '''더럽고 치사하다'''는 반응이 압도적으로 많다.
높은 난이도의 원인
- 주관단체에서 많은 수를 뽑으려 하지 않는다. 필기의 경우는 난이도 실패로 50%가 넘는 합격률을 보이기도 했지만 실기는 그냥 절대 평가가 아닌 상대 평가로 여겨진다. 물론 여겨진다는거지 실제로 그런지는 알 수 없다. 말은 절대평가라고 하는데 아무리 봐도 채점위원들이 지 멋대로 점수준다는 느낌을 지울 수가 없다. 공인회계사 시험처럼 절대평가를 가장한 상대평가라는 게 정설이다:
- 범위가 넓다. 이건 마음만 먹으면 듣도보도 못한 문제를 가져올수 있다는 의미.(정보처리기사 같은 다른 시험도 마찬가지긴 하겠지만) 자체적인 범위도 상당히 넓기 때문에 이 이유가 크게 한몫 한다. 사실 시스템부터 네트워크, 암호학 그리고 법규까지 과목만 봐도 알 수 있는 이유.
- 실무적인 문제도 많이 나오고 반대로 따로 시험을 위해 공부해야 하는 이론도 많이 나온다. 문제점으로는 사실 보안도 범위가 넓기 때문에 종사자들도 천차만별인데 이런 실무적인 문제들이 나오면 운에 따라 아는 문제가 나오면 맞고 모르면 틀리는 상황이 생겨서 뭔가 합격자와 불합격자의 차이점이 실력이 아닌 운 뿐이라는 인식이 생길수도 있어보인다.
- 정보처리기사 시험과 달리 필기에서도 시험지를 수거해간다. 문제은행 출제 방식이고 범위가 지정되어 있으나 출제 문제를 알 수가 없어 결국 기억에 의존한 복원문제나 전체 단원을 공부해야 하기 때문에 문제를 예측하기 힘들다.
- 실기시험 채점의 경우 아래와 같이 이중, 삼중 절차를 거쳐 채점 및 검토가 된다고 한다. 만에하나 59점 받았다면 재검요청 해도 씨알도 안먹힐 확률이 100%니 억울하겠지만 다음 시험을 준비하도록 하자.
<정보보안기사 실기 채점 방법>
산업계와 학계의 전문가들로 구성된 채점위원들이 채점하며 채점이 끝난 후, 바로 2회 이상 검토. 그리고 점수 집계과정에서도 누락이나 오류가 발생하지 않도록 검정센터에서 수차례 검토를 하며, 다시 한번 채점위원들이 2차 채점검토를 진행하여 최종 점수 산정.||6. 역사
6.1. 2020년
코로나바이러스감염증-19때문에 상반기, 하반기 시행회차 모두 연기됐다. 필기 기준 상반기는 3월 시험에서 5월 27일 시험으로, 하반기 시험은 9월 5일 시험에서 11월 7일로 연기됐다. 하반기 정보보안기사 실기 발표는 12월 31일.
6.2. 2021년
1회 필기 3.27 실기 5.29
2회 필기 9.4 실기 10.30