안녕하세요..운영자 엔시스입니다..
연일 회사 매출 좀 올려 보겠다고 발버둥 치고 있는 운영자입니다...혹시 DDoS장비, 서버호스팅, 보안장비 도입등에 관심이 있으신 분은 연락 주시면 아주 친철하게 모시겠습니다..ㅎㅎㅎ
회원분들이 보안 공부를 처음 시작하는데 어떻게 시작해야 하는지 막막한 분들이 많이들 계십니다.
그래서 제 생각을 나름대로 정리 하겠으니 공부하시는데 도움이 되시기 바랍니다. 혹시 다른 생각을 가지고 계신 분들 의견이 있으면 댓글 달아 주시면 제가 더 수정하여 도움이 될수 있도록 첨가 하겠습니다.
Q. 보안 하나도 모르고 처음 시작하는데 될까요?
당연히 됩니다..조금 시간은 걸리겠지만 공부방법과 자신의 열정과 도전이 필요합니다, 언제든지 저에게 메일 주시면 채찍질 해 드리겠습니다. 또한 엔시스 카페에 많은 질문과 활동을 하시면 그만한 도움이 올것이라 생각을 합니다.
Q. 보안 공부하려면 학원을 다녀야 하나요?
학원은 각 학원마다 , 개인마다 편차가 있기 떄문에 쉽게 말씀드리기 어렵지만 자신이 정말 혼자 독학하기 어려우면 도움을 받는게 중요하고 만약 자신의 돈을 투자를 했다면 추후 꼭 투자대비 회수할수 있는 전략을 세우고 다니시기 바랍니다. 안 그러면 시간(세월)낭비에 돈 낭비입니다..차라리 그돈 가지고 독학이나 강좌 세미나 찾아 다니시면서 독학하시기를 바랍니다. 꼭 투자 했만큼 굳은 각오로 학원에 다니시란 말입니다.
Q. 전 학원 다닐돈이 없어서 독학 하려고 하는데 무엇부터 해야 하나요?
처음 가장 기본이 운영체제부터 공부해야 합니다. 그래서 윈도우 운영체제가 어떤 종류가 있고, 차이점은 무엇이며 윈도우 설치하여 IIS 웹서버 설치와 설정 그리고 가장 간단한 INDEX.ASP 코딩하나라도 띄우거나 TEST.ASP 파일 하나 띄울수 있도록 해야합니다. 물론 MS SQL 설치와 설정도 공부하셔야 합니다.
다음은 리눅스입니다. 리눅스는 공개소프트웨어로 비용이 없어 많은 사람들이 선호합니다. 따라서 리눅스 배포판중에 하나를 선택해서 우선 설치 할줄 알아야 합니다. 그리고 아파치, PHP, MYSQL 특성을 알고 서로 연동할수 있어야 합니다. 소위 말하는 APM 연동을 할수 있어야 합니다. 그리고 TEST.PHP 파일을 홈 디렉토리에서 띄워 브라우징 할수 있고 MYSQ에서 ROOT나 USER로 접속하여 DB 쿼리 몇개 할수 있도록 공부해 보십시오.
우선 위 두가지 운영체제만 일단 알고 나면 그 다음 각각에 따른 어플리케이션에 대한 공부를 해 보시기 바랍니다. 예를들면, 웹서버, DNS서버, 디비서버, 메일서버, FTP서버등을 각각의 운영체제에서 어느정도 설정 할수 있게 되면 초보 시스템 관리자가 되는 것입니다..
이렇게 하나씩 해 나가도 보면 눈에 길이 보이면서 자신이 무엇을 해야 하는지 알수 있습니다. 운영체제에 시스템이 끝나면 이제 네트워크 공부를 하시기 바랍니다. 자세한 이야기는 길어지니까 여기까지만하고 또 기회가 있을때 말씀드리겠습니다. 이렇게 하나씩 해 나가야지 한꺼번에 모든 걸 하기엔 벅차니까 자신만의 계획을 잡아서 진행해 보시기 바랍니다.
Q. 보안 공부하는데 C나 C++ 같은 언어 공부를 해야 합니까?
결국 보안은 취약성을 제거 하는 학문이기 때문에 하면 좋습니다. 하지만 자신이 어떤 분야를 할 것인가에 조금 고민 후에 결정을 하면 좋겠습니다. 잘은 못하더라도 조금은 알고 있으면 도움은 많이 됩니다. C 언어 하나 붙잡고 반년을 매달리는 사람을 보았습니다. 물론 그 이상도 있지만 그 세월에 언제 보안 공부하겠습니까? 전략이 필요합니다..
Q. 자격증을 공부를 해 보려고 하는데 어떻게 시작해야 합니까?
자격증은 말 그대로 자격증인데 이론적인 공부를 하는데 도움이 됩니다. 여기에 실무 경험이 첨가 되면 더욱 좋습니다. 자격증은 자기계발 정도로 공부하시고 실무가 있는데 이론이 바탕이 안되신 분들은 좋은 경험이 됩니다. 자격증 공부 시작은 우선 자신이 어떤 자격증을 공부할지에 대하여 선택을 하십시오. 그리고 각 커뮤니티에서 그 자격증에 대한 특성을 파악하시고 교재 및 가이드라인을 참고 하여 공부를 하시기 바랍니다. 세부적인 질문 사항은 질문답변을 통해서 또 말씀드리겠습니다. 우선 시작하십시오.,.늘 망설이다 보면 인생 쫑칩니다..자격증 유무론 논하지 마세요..그런분은 아예 관심 끄시기 바랍니다.
Q. 보안자격증이 전망이 있을 것 같습니까?
국가에서 전략적으로 '정보보호 5개년 계획' 조금더 정확히 말하면 '인터넷 정보보호종합대책'이 지나번 방통위와 행안부 에서 발표 되었습니다.. 할일 없이 발표 하지는 않았을 겁니다..준비해 두시기 바랍니다. 준비한 자에게 기회가 옵니다. 그리고 앞으로 인터넷이 아주 클린하고 역기능도 없이 정화되어 미래 청소년에게 도움이 되겠습니까? 아니면 편리한만큼 역기능과 피해 해킹, 기술유출, 정보 인프라의 확대, 윤리의식부재등 반대되는 기능들이 나타나겠습니까? 여러분들이 판단하시기 바랍니다..동전의 앞면과 뒷면, 손의 바닥과 등과 같은 개념에 대해서는 투자해 보시기 바랍니다. 보안에 관심 있으신 분이라면..
Q. 보안에 어떤 분야를 공부해 보면 좋겠습니까? 어떤 일을 하면 좋겠습니까?
제 블로그에 올려 놓은 자료를 참고 하시고 자신이 어떤게 적성에 맞을지를 고민해 보시기 바랍니다. http://www.sis.pe.kr/2084 - 내가 보안에 어떤 일을 하고 있을까? 아주 자세하게 분석이 되어 있으니까 전부 할려고 하지 마시고 그중에 하나만 잡아서 집중적으로 공략해 보시기 바랍니다.
Q. 보안 자격증 공부를 할려고 하는데 CISSP,CISA,SIS 어느것 부터 시작해야 합니까?
저 개인적으로는 우선 SIS 1급내지 2급을 먼저 공부하시고 시험비용이 비싼 두 자격증 중에 CISSP 를 먼저 보시고 CISA를 나중에 보시길 권해 드립니다. 제 개인적인 생각입니다., 순서 바꾸어 하셔도 무난합니다. 그 이유는 우선 SIS 시험 비용이 싸기 때문에 비용대비 효과로 접근하여 보안자격증 하나 마련하는 것이구요. 실무와 가장 연계되어 있다는 것입니다. 그리고 CISSP를 공부하여 시험 보시고 CISA는 나중에 보길 권해 드립니다. 감사적인 성격이 좀 있기 때문에 가장 나중에 보시는게 낫지 않을까 생각합니다. 참고만 하시기 바랍니다.
Q. 카페에 있는 보안 자료만 가지고 시험 볼수 있습니까?
조금만 부지런한 사람이라면 충분히 가능하고 성실한 사람이라면 많은 자료를 확보 하셨을 것입니다. 지금부터 꾸준히 카페 활동도 하시고 인맥도 넓히시고 하시기 바랍니다. 자료 공유 목적도 있지만 서로 알고 지내는 인맥 형성도 있으니 서로 연락주고 저에게도 연락을 주시면 시험자료라든지 정보공유도 할수 있도록 도와 드리겠습니다. 꼭 실천하시기 바랍니다..
Q. SIS 공부할때 추천 교재는 없습니까?
지금 공식적으로 SIS 추천 교재는 없습니다. SIS시험의 과목을 전부 소화 해 내기 위한 책 분량도 만만치 않을 것입니다. 따라서 SIS 주관기관이 KISA에서 정보보호전문가 자격증 시험 가이드라인이 배포되기 있으니 참고 하시고 나머지 부분들은 카페내 추천도서에서 참고 하시면 되겠습니다. 그리고 한가지 기억 할 것은 시험이 꼭 책에서 나오는 시험이 아니라는 점입니다. 그것은 어느정도 실무 경험이나 실제 실습을 통해서나 기술문서..최근 이슈등도 알고 있어야 한다는 것입니다. 참고 하세요.
Q. 보안 공부 할수 있는 방법론을 아시면 알려 주실수 없나요?
보안 공부 방법론이라고 하면 조금 그렇긴 한데 http://cafe.naver.com/nsis/3062 를 참고 하시면 도움이 되실 것입 니다. 이건 꼭 자격증공부 외에도 가능하기 때문에 한번 사용해 보시기 바랍니다.
Q. 보안의 어떤 부분을 중점적으로 공부 하면 좋나요?
공부를 하다보면 이전에 이론적 바탕이 되는 공부도 중요하지만 보안은 시간과 기술과의 관계이기 떄문에 시간이 흘러 가면 과거 기술이 되어 버립니다. 그러니 당연히 지금 현재 이슈가 되고 있는 최신 트렌트와 기술에 집중을 하셔서 공부 하시면 많은 실력 향상이 있을 것입니다. 최근에는 SQL injection, Mass sql injectin, arp spoofing, DNS 포이즈닝, DDoS 공격, 악성코드 , IFRAME 삽입등등..또한 관리적 보안과 물리적 보안에도 관심을 가지고 공부를 하시면 되겠습니다..그리고 한창 이슈가 되고 있는 개인정보보호도 관심을 가지고 공부해 보셔도 좋겠습니다.
Q. 보안 자격증이 있으면 취직,이직시에 도움이 될수 있나요?
자격증이 있다고 해서 아주 전문가거나 실력을 입증 할만한 절대적 잣대가 되는 것은 아니지만 그렇다고 도움이 안되는 것도 아닙니다. 일단 여러번 이야기 하였지만 기업에서 프로젝트를 수주 하기 위해서는 보안자격증 소지자 몇명이상이 되어야 한다는 조건이 붙습니다. 또는 같은 조건이라고 하여도 보안인력 수준을 가늠하기 위한 가장 좋은 기준을 자격증으로 삼기 때문이죠.. 고로 없는것 보다는 있는 것이 나으니까 꼭 준비해 두시기 바랍니다.
Q. 보안 자격증만 있으면 무엇이든 할수 있나요?
우선 자격증을 취득을 하고 나서 유지관리를 하지 않으면 1년만 지나면 2년만 지나면 다시 백지 상태로 돌아가는 경우가 많습니다. 그래서 자신이 어렵게 취득한 자격증이니 만큼 각종 세미나나 협회 또는 커뮤니티에 가입을 하여 정기적으로 왕성한 활동을 하는것이 좋습니다.. 그러면 지식 습득에 대한 감을 놓치지 않습니다. 그래서 어떻게 보면 자격증 취득 보다는 취득후 유지 관리가 더 중요한 것인지도 모르겠습니다.
Q. 앞으로 보안 전망을 어떻게 보십니까?
향후 보안쪽은 전망이 밝다고 하겠습니다. 일부 우려의 목소리도 있는데 그건 시장에 맡기는 것이고 그요구와 수요는 꾸준할 것이라는게 제 개인적인 생각입니다. 기술의 발전은 꾸준하게 있을 것이고, 또 거기에 따른 부작용도 있을 것입니다. 만약 정보보호전문가, 보안전문가가 되고 싶다면 꾸준한 자기계발과 비전을 가지고 준비를 하고 있으면 기회가 오지 않을까 합니다. 그리고 항상 자신이 어떻게 하면 롱런 할수 있는지에 대한 꾸준한 고민을 자신에게 던져야 겠습니다.
Q. 마지막으로 지금 막 공부를 시작한 사람들에게 하고픈 말은 ?
우선 자신이 이것을 왜 하고 있는지를 생각해 보시기 바랍니다. 그것은 아무 생각없이 남이 하니까 하고, 그냥 전망이 좋다더 라 하니까 하고, 괜찮다는데 이거나 한번 해 볼까 라는 생각 보다는 조금 더 전략적으로 접근을 하여 이 자격증과 공부를 해 서 난 어떻게 할 것이고, 어떻게 해야 되겠다라는 생각을 처음 시작 할때 꼭 해 보시라고 말씀 드리겠습니다. 그렇지 않다면 의미 없는 자격증과 공부로 끝날수 있기 때문입니다. 그리고 열정을 가지고 도전해 보시기 바랍니다. 회원 여러분 모두에게 감사하다는 말씀 드리고 더 나은 커뮤니티로 많은 것을 얻어 갈수 있는 커뮤니티로 거듭날 것을 약속드립니다.
2008.08.06 Modified by 엔시스
'Lecture&Column' 카테고리의 다른 글
| [칼럼-74] 체계적인 정보보호인력 양성 마련 시급 (0) | 2008.10.13 |
|---|---|
| [칼럼-73] 보안 요구는 많은데 시장은 패배 (4) | 2008.08.20 |
| [칼럼-71] 해킹에 대비하는 보다 근본적 대응책 나와야 (0) | 2008.07.28 |
| [칼럼-71] 배울려면 남을 가르쳐라 (0) | 2008.07.08 |
| [강의-2] 정보보호 컨설팅 -외부 강의 (0) | 2008.07.04 |
