S/W 보안약점 진단원 합격 및 후기

 

개발자에서 보안업계 넘어오게 되면서 우연한 기회로 시작한 Fortify 엔지니어.

낮은 보안지식때문에 저녁부터 주말까지 열심히 공부해가면서 적응했었던 기억이 납니다.

 

그나마 수행업무는 Fortify를 이용한 진단수행 및 결과분석이였기 때문에 모의해킹도 못하고, 수동진단 또한 할 수 없었지만, 개발자 출신답게 코드는 읽을 수 있었고, 업무에는 빠르게 적응할 수 있었습니다. 그리고 2년간의 Fortify 엔지니어를 지내오면서 다양한 취약점과 취약코드를 알 수 있게 되었죠.

 

당시 개발보안에 대해 닥치는 대로 공부하고 있었던 터라, 진단원에 대해 알게되었을 때도 관심이 있었지만, 가이드를 있는 그대로 외우지 않으면 떨어진다는 동종업계 분들의 이야기에 관심을 접었었죠.

 

그러다 현재 회사로 이직을 하면서는 소스코드 수동진단을 수행하고 있고, 여기에 모의해킹도 함께 진행하며 고객에게 나름 높은 품질의 보고서를 제공하고 있습니다.

 

Fortify를 통해 취약점 개념이나 샘플코드 등도 알고 있었지만, 수동진단과 모의해킹은 처음해보는 것이라 맨땅에 해딩하면서, 실수투성이지만 열심히 노력하는 모습으로 여기까지 왔던 것 같네요. 물론 아직도 많이 부족하여 항상 공부하고 다른 사람들의 진단방법이나 보고서도 보면서 내가 놓치고 있거나, 다른 사람들은 이렇게도 생각하는 구나 라고 경험하고, 내 업무에도 반영하거나 발전시키면서 4년여가 지나고 나니 나름 회사에서도 인정받고 있는 위치까지 올라왔습니다.

 

하지만 이런 인정은 어디까지나 회사 내부와 담당기관의 담당자에게로만 한정되고, 공식적 또는 대외적으로 능력을 받고 싶어 진단원을 공부해보기로 마음을 먹게되었습니다.

 

개발보안 쪽에서 대외적으로 보여줄 수 있는건 극히 드물기 때문에 작년에 교육을 받았었고, 가이드에 작성된 항목 등은 이미 다 아는 내용이였기 때문에 편한 마음에 시험을 보았으나, 역시 제가 생각하는 대응방안, 멘트, 용어 등은 가이드에 작성된 내용과 똑같지 않고, 비슷하거나 다른 표현 또는 방식들이 많아서 그런지 결국 낙방하게 되었습니다.

 

그리고 올해 다시 재시험을 준비하면서, 내가 시험에 맞출 수 밖에 없다고 생각하여, 가이드 내용을 따로 정리하고, 작년에 시험봤을 때 유형을 기억하면서 최대한 암기하려 노력하였고, 결국 재시험으로 진단원에 합격하게 되었습니다.

 

퇴근하면 스터디카페에서 3~4시간씩 계속 공부해왔던 지난 몇달이 스쳐지나가면서 많은 생각이 들었던 것 같네요.

 

앞으로의 멋진 보안전문가로 성장하기 위한 커리어를 계획하면서 하나의 허들을 넘게되어 기쁜날이 되었습니다. 준비중인 나머지 허들도 잘 좋은 결과가 있었으면 하며, 밝은 미래가 기다리고 있었으면 하는 짧은 기도를 하며 이만 글을 줄이도록 하겠습니다.

 

항상 응원해주시는 모든 분들께 감사드립니다.

 

 

 

Fin