지크의 IT field

4월 5일 예정이었던 CPPG 시험이 연기되었다. 서서히 컨디션 끌어올리면서 부지런히 준비하고 있었는데, 보안기사에 이어 너마저... 취준생, 이직준비하는 분들에게는 답답한 소식이다. 아시아권에서 끝날 것 같던 코로나 사태가 세계적 대유행이 될 줄이야..

어쨌든 앞으로 60일 남았다. 시간은 충분하다. 지난 기간 동안 공부하면서 정리한 것들을 다시 한 번 보면서 준비하면 된다. 56점으로 떨어졌던 것을 생각하며 자만하지않되, 부족한 부분을 보강하는 데 중점을 두고 공부하면 충분히 가능하다. 이미 합격했다는 마음으로 준비해야겠다. 그래야 7월 보안기사 실기도 준비할 수 있다.

데이터 3법 개정으로 개보법과 망법의 내용이 다수 변경되기 때문에 이번에 최대한 합격해야 한다. 꾸준함이 가장 큰 무기다.

이직 준비를 하고 있다. 앞으로 보안 컨설턴트에 대한 글을 써보려 한다. 이미 니키님이나 다른 여타 블로그 등에서 자세히 설명이 되어 있으나 나만의 정리가 필요할 것 같다.

더 나은 삶, 더 나은 내가 되자.

좋은 사람, 최고의 사람이 되기 이전에 필요한 사람이 되고자 하자.

화이팅

■ 개인정보의 유형 및 종류

  - 개인정보의 개념은 개인에 관련된 정보. 식별/식별 가능 정보로 구분

  - 일반, 신체 정보는 식별정보에 해당. 건강 관련, 정신적, 재산, 사회적 및 기타 정보는 식별 가능 정보로 구분.

  표 참조

  - 개인정보처리 방법에 따라 주체로 부터 받은 정보, 자동 생성 정보, 가공 및 재생산 정보로 분류. 항목 간 조합 및 결합되어 수집 가능

  - 제공 정보: 이용자가 회원 가입이나 서비스 등록을 위해 사업자에게 제공하는 정보

  - 생성 정보: 사업자가 서비스를 제공하는 과정에서 생성되는 이용자에 관하 정보. 

  - 쿠키 자체가 개인 식별을 목적으로 사용되므로 쿠키 정보는 식별 가능 정보.(이용 과정에서 생성)

■ 개인정보의 유형별 등급

  1등급 - 그 자체로 개인 식별이 가능하거나 매우 민감한 개인정보, 또는 법령으로 처리 제한된 개인정보(자산가치5)

      -> 고유식별번호, 민감정보, 인증정보, 신용/금융 정보 등

  2등급 - 조합되면 명확히 개인 식별이 가능한 개인정보(자산가치3)

      -> 개인 식별 정보, 개인 관련 정보, 기타 개인 정보

  3등급 - 개인 식별 정보와 조합되면 부가적인 정보를 제공하는 간접 개인정보(자산가치1)

      -> 자동 생성 정보, 가공 정보, 제한적 본인 식별 정보, 기타 간접 개인 정보

보안기사 실기를 치른 지 벌써 2주가 지났네요. 

발표는 6월 21일, 보름 정도 남았는데 사실... 기대 반 포기 반입니다.

법규를 막판에 집중적으로 공부했는데, 실상 법규는 나오질 않았네요. 아아....

시험 자체는 유형이 변경된 이후 첫 실기라서 그런지 난이도는 쉬운 편이었다고 생각합니다. 그럼에도 이렇게 점수가 낮을 걸로 예상되니 제 공부가 부족한 탓입니다...

단답형은 의외로 쉬운 문제들이 많았습니다. 보안 동향에서 멤캐시드 문제를 못 푼것이 안타깝지만.. 그래도 8개는 맞은 것 같네요.

서술형에서 법규관련 문제가 나올 것으로 예상했으나 기술적인 문제로 가득 채워졌습니다.

IPsec에 관련된 문제가 나왔습니다. 분명 여러 번 봤음에도 문제를 잘못 이해해서 오답이 확실한 상황이네요. 암호화를 왜 캡슐화로 생각한걸까..

파일업로드 시 필터링 설정 및 설명 문제가 나왔는데, 아리까리하게 쓴 게 있어 완전 정답은 안될 것 같습니다. 부분점수를 후하게 주셨으면..ㅠㅠ

IDS와 IPS 관련 문제가 나왔습니다. 다만 다른 분들의 답안과 비교했을 때 제 답안이 좀 쌩뚱맞은 것 같아 걱정이네요.. 

가장 자신있게 썼지만 또 가장 불안하기도 합니다.

실무형에서는 스노트 문제가 나왔습니다. 하트블리드 공격에 관한 스노트 설정인데, 스노트 설정보다는 하트블리드 공격을 소홀히 해서 과감히 포기했습니다..

그 다음 디렉터리 리스팅 공격에 관련된 문제였는데, 설명은 잘썼으나 대응을 위한 설정 방법에서 옵션을 잘못 적었습니다. 뺴박 오답이라 부분점수를 노려야겠네요..

마지막 문제는 robots.txt파일 문제였습니다.

그래도 이 문제는 맞은 것 같아서 가슴을 쓸어내렸습니다.

단답형 8문제 = 24점

서술형 1문제 = 14점

38점을 확보한 상황입니다. IDS/IPS 문제를 정답으로 해준다면 52점입니다만...

IPsec 문제를 제외한 문제에서 부분점수를 노려야하는 상황이라 안심할 수가 없네요.

60점만 넘길 제발...

※핵심 키워드

 개인정보 : "살아 있는 개인에 관한 정보"

 포함하는 정보 : 성명, 주민등록번호 및 영상 등을 통해 개인을 식별할 수 있는 정보.

 (해당 정보만으로는 개인을 알아볼 수 없더라도 다른 정보를 통해 쉽게 결합하여 알아볼 수 있는 것을 포함)

개인정보 구성 요소

 1) 살아있는 개인

 2) 특정 개인과의 관련성

 3) 정보의 임의성

 4) 식별 가능성

(개정법 제2조, 망법 제2조)

■ 개인정보의 정의 설명

 - 살아있는 개인 : (현재 생존하고 있는 개인에 관한 정보 한정)자연인이 주체가 되며 법인 또는 단체의 정보는 해당 안됨

 - 특정 개인과의 관련성 : 살아 있는 개인에 관한 성명, 주민등록번호, 생일, 주소, 바이오 정보 등이 해당.

 - 정보의 임의성 : 정보의 종류, 형태, 성격, 형식은 별도의 제한이 없으므로 개인을 식별할 수 있는 모든 정보를 포함.

 - 식별 가능성 : 특정 개인을 전혀 모르던 사람이라도 객관적으로 타인과 구분할 수 있다면 개인정보로 포함 가능.

■ 개인정보의 개념 설명

 - 개정법과 망법은 개인정보의 개념을 규정, 신용법에서는 개인 신용 정보와 개인 식별 정보의 개념을 규정.

 - 개정법/망법은 법률상 표현은 다르나 해석상 내용은 동일함.

 - 신용법 상의 개인 신용 정보 및 개인 식별 정보는 개인정보의 개념과 같다.

 - 개인 식별 정보는 살아 있는 개인을 식별할 수 있는 정보.(성명, 주소, 주민번호, 운전면허 번호, 여권번호 등)

■  개인 식별 가능 정보

 - 식별 정보 : 정보 자체만으로 특정 개인을 식별할 수 있는 정보를 의미

 - 식별 가능 정보 : 다른 정보와 결합해 개인을 식별할 수 있는 정보를 의미

 - IP 주소, 쿠키, 로그, 인터넷 접속 정보, 검색 기록은 다른 정보와 쉽게 결합해 개인을 특정할 수 있음

 - IP 주소는 유동, 고정 관계 없이 개인 식별 가능 정보

 - 인터넷 접속, 로그, 검색, 이용 기록 등은 개인 식별 가능 정보 (쿠키는 컴퓨터에 저장되는 시점에서 식별 가능 정보)

■  개인정보 관련 판례 및 유권 해석 사례

 - 휴대 전화번호 뒤 4자리

  -> 사용자와 인적 관계를 맺어온 사람이라면 식별 가능성이 높고 생일, 기념일, 가족 전화번호 등 관련 있는 정보와 결합해 개인을 특정할 수 있으므로 개인정보에 해당

 - 국내 IP 주소

  -> 같은 AP 사용 대역 내에서는 복수의 이용자가 동일 IP 주소로 접속하며 유동 IP의 경우 시간대별로 변동될 수 있으므로 IP주소는 개인정보로 볼 수 없다.

정보보안기사 실기는 이미 내 손을 떠났으니 마음을 가다듬고 CPPG를 준비해야겠다.

실기를 통해 어느 정도 맛을 봤으니 정신 차리고 가자!!!

우선은 출제 기준과 시험 범위를 확인했다. 개인정보보호 바이블 책 기준이다.

출제 기준

 1. 개인정보의 이해(10%)

 2. 개인정보보호 제도(15%)

 3. 개인정보보호 라이프사이클 관리(25%)

 4. 개인정보의 보호조치(30%)

 5. 개인정보 관리체계(15%)

왜 95%지?

개인정보의 이해

 section1 - 개인정보의 개요

 section2 - 개인정보의 중요성

 section3 - 기업의 사회적 책임

개인정보보호 제도

 section1 - 개인정보보호 관련 법률 체계

 section2 - 개인정보보호 원칙과 의무

 section3 - 정보주체의 권리

 section4 - 분쟁해결절차

개인정보보호 라이프사이클 관리

 section1 - 개인정보 수집, 이용

 section2 - 개인정보 저장, 관리

 section3 - 개인정보 제공

개인정보의 보호조치

 section1 - 개인정보보호의 안전성 확보조치 기준

 section2 - 개인정보보호의 기술적·관리적 보호조치 기준

개인정보 관리체계

 section1 - 개인정보 관리체계 개요

 section2 - 주요 개인정보관리체계 (PIMS, PIA, ISMS, ISO27001 등) - PIMS는 올해부터 ISMS-P로 통합됐다.

학습 기준

 - 개인정보보호법/시행령/시행규칙/고시/해설서

 - 정보통신망법/시행령/시행규칙/고시/해설서

CPPG 합격 기준

 - 개인정보보호 관련 법규에 대한 이해 및 개정법과 망법 체계를 이해, 실무에 적용

 - 학습 범위는 개정법, 망법 법률, 시행령, 시행 규칙, 고시 및 표준 지침(고시), 해설서 필수 학습 (+참고 자료)

법률

 - 개정법 15~57조, 망법 22~32조

시행령

 - 개정법 15~55조, 망법 10~18조

시행규칙

 - 개정 시행령 41~46조, 망법 10~18조

표준 지침

 - 개정 표준지침 제6~제15조

고시

 - 개인정보의 안전성 확보 조치 기준 4~13조, 행자부, 방통위 고시 기준 내용으로 기술적 관리적 조치 기준 이해 필수

 - 개인정보 영향 평가 절차 9~11조

 - 개인정보보호 관리 체계 인증 기준 16조(행자부, 방통위 고시)

해설서

 - 개인정보영향평가 수행 안내서

 - 개인정보의 안전성 확보 조치 기준 개인정보의 기술적·관리적 보호 조치 기준 고시 해설서. (30%출제)

 - PIMS 인증제도 안내서. (개정법 32조의2, 망법 47조의3)

 - ISMS 인증 제도 안내서(합쳐서 ISMS-P로)

조금 늦은 합격후기를 올립니다.

3월 23일에 있었던 정보보안기사 필기 시험, 그리고 약 3주 후 합격자 발표에서 턱걸이로 합격했습니다.

절묘한 점수다.. 밸런스 좋은 삶을 살겠다 했지만 시험점수까지 이럴 줄은 몰랐네요.

그래도 80점은 생각했는데 생각보다 낮은 점수라 아쉽습니다.

5월 25일 실기 시험까지 잘 준비해야하는데, 필기와 실기는 확실히 다르다는 걸 느낍니다..

과연 일과 공부를 병행하며 합격할 수 있을 지, 3주 후가 기대되네요.

숨가쁘게 달려온 3월이 끝나고 정보보안기사 필기도 마쳤다.

1월부터 나름 준비해온 시험이지만 변경된 유형과 새로 추가된 동향을 따로 공부하기란 쉬운 일이 아니었다.

2018년 교재를 토대로 기출문제를 풀고 이론서를 1.5독 했다.

11, 12회 필기는 85점 내외의 점수를 보였으나 신유형이 반영되는 걸 감안하면 안심할 수가 없었다.

결국 카페인에게 다가온 이틀간의 체력을 대출받아 마지막날 새벽같이 일어나 공부했다. 3시간 잤나..

시험 중에 70번대로 넘어가니 졸음을 참을 수가 없었다. 역시 시험 전날엔 그냥 푹 자는게 최고인 것 같다.

기억나는 답은 미라이, 스카다, xferlog, DLP 같은 단답형들뿐이다. 이미 알기사나 임베스트에서 가답안이 많이 올라오고 있는 것 같다. 

그래봤자 이미 시험은 끝났고, 결과는 보름 후에나 나온다. 

과락은 면한 것 같지만 합격 커트라인을 넘을 수 있을 지는 솔직히 감이 안온다.

불안하지만 그렇다고 손놓고 있을 수는 없으니 3월 남은 기간까지만 푹 쉬고 4월부터는 필기 결과 상관없이 실기 공부를 시작해야겠다.

어렵지만 못할 것도 없다고 생각한 보안기사. 나보다 더 많이, 절실히 공부했던 분들이 모두 합격할 수 있었으면 좋겠다.

보안기사 필기 시험이 40일 앞으로 다가왔다.

그동안 찔끔찔끔 준비해왔지만 이제는 정신차리고 준비해야겠다. 6주 안에 뿌수자!

2019년 들어 출제 유형이 바뀌기는 했지만 대세에 영향을 주는 정도는 아닌 것 같다.

정보보안기사 관련 보안뉴스 기사 -> 링크

변경된 출제 기준은

1. 현재에 맞는 단어로 수정

2. 시스템 보안 항목에서 운영체제 단원이 제외

3. 과목별 최신 보안 동향 포함

4. 사이버보안 윤리 필기에 포함

이정도로 정리할 수 있다.

운영체제 단원은 점수 따기 쉬운 곳이었는데 아쉽다. 결국 최신 동향과 사이버보안 윤리 쪽에서 메꿔야 할 듯 싶다.

최신 보안 동향은 보안뉴스를 꾸준히 읽고 KISA KRcert 홈페이지를 주기적으로 확인하는 것이 중요하다. 어차피 2019년 알기사를 구매한다고 해서 그것이 절대적인 기준이 될 수는 없으니까.

아마도 갠드크랩과 채굴 악성코드는 한 번쯤 나올 것 같다.

사이버보안 윤리는 어떻게 나올지 잘 모르겠다. 평소에 도덕적으로 살더라도 가끔 틀리는 것이 윤리니까...

두 번째로 현재 진도 상황.

기출문제 1200제를 가지고 적어도 2번은 풀어볼 필요가 있을 것 같다. 현재 1회차 510번까지 풀었으니 꾸준히 풀어준다면 가능할 것 같다.

암호학이 꽤나 골칫거리다. 네트워크도 오래 전에 봤던 것을 토대로 풀다보니 오답률이 꽤 높은 수준. 우선은 이 두 과목을 중점적으로 채워야겠다.

매일은 아니더라도 주기적으로 공부 상황과 오답, 용어 정리를 블로그에 올려서 내 데이터를 만들어야겠다.

얼른 보안기사 끝내고 CPPG로 넘어가고 싶다... 

글을 어떻게 마무리 해야하지?...

스타벅스 아메리카노 맛없다.