사이버펑크 2077 출시를 한 달 정도 앞둔 상태에서 미리 휴가를 신청했다. 12월 10일 목요일 출시였으니, 12월 14일 월요일부터 금요일까지 휴가내면 약 10일이 넘는 시간동안 게임을 할 수 있어서 시간은 충분할 것 같았다.

막상 게임이 나오고 엑스박스 원 엑스에서 첫 실행을 해보니, 의외로 구린 그래픽에 좀 실망했으며, 위쳐3의 경우 게임이 하면 할수록 재미있었는데 사펑은 이상하게 그렇지 않았고 오히려 손이 점점 가지않는 것이었다. 그러다가 15일쯤 되니 게임은 재미가 없어서 하기는 싫고, 기왕 휴가는 냈으니 뭔가는 해야겠다 싶어서 전부터 따볼까 하고 생각했었던 Comptia Security+라는 자격증을 따기로 마음 먹었다.

사실 일하는데 자격증이 필요한 건 아니고, 자격증 있다고해서 뭐가 더 달라지는 것도 아니며, 그렇다고 직장에서 자격증 따는데 들어간 비용을 처리해주는 것도 아니었다. 다만 이 자격증이 있으면 차후에 어떻게 될지 모르는 내 미래에, 미 연방정부나 군대에 관련된 직장을 구할 때 이 자격증을 필수로 요구하기 때문에 갖고있으면 도움이 될 거라고 생각했다. 그리고 COVID-19으로 인해 4월부터 시작한 재택근무에 하도 많이 놀아서, 그동안 놀지않고 이거 했었다 라고 보여줄려고 부랴부랴 한 것도 없지않아 있었다. 솔직히, Systems Administrator라는 직책이, 서버 잘 돌아가고 인프라 문제 없고 그러면 이런 COVID 상황에서 딱히 할 일이 생각나지 않았다.

한국도 그렇지만 미국도 자격증 딸 때 상당수는 덤프를 보고 공부를 하며, 애초에 덤프자료가 미국 등 영어권 국가에서 처음 나온 것을 생각해보면 별로 놀라운 일은 아니었다. 그래서 시험을 보기 전까지만 해도 “뭐 대충 덤프만 달달 외우면 되겠지” 라고 생각했다.

하지만 내 예상과는 다르게, 이 자격증은 덤프만 보고 시험을 준비하는 것이 거의 불가능하다시피 했다. 일단 덤프의 총 문제수가 997문제나 되며, 비슷비슷한 문제, 비슷비슷한 답들이 많다보니 문제의 내용을 먼저 이해하고 풀어야해서 덤프가 별로 의미가 없었다. 게다가 997문제나 되는 덤프를 외우는 것은 정말 기억력의 한계를 시험하는 듯 했는데, 아직도 머리가 죽진 않았는지 997문제를 정말이지 거의 다 외웠다. 덤프가 도움이 됐다면, 영어로 된 문제와 보기를 이미 여러 번 읽어봤으니, 모의 시험이나 실제 시험에서 내용을 빨리 파악하는데 도움이 됐다.

그럼에도 불구하고 이 자격증 공부가 개인적으로 힘들었던 것은, 이론에서 요구하는 것과 실무에서 하는 것의 차이인 점인데, 보안 쪽에서 종사하시는 분들이 이 자격증 시험을 보고 쉬웠다 라고 하는 리뷰들이 개인적으로는 이해가 잘 되지않았다. 물론 내가 보안 분야에서 일하는 것은 아니지만 그래도 시스템 어드민으로서 최소한의 보안상식은 있는데도 개인적으로 아무리 생각해도 도저히 납득할 수 없는 예시들이 너무나도 많았다. 몇 가지만 예를 들어보자. 같이 풀어보자.

A Chief Information Security Officer (CISO) for a school district wants to enable SSL to protect all of the public-facing servers in the domain. Which of the following is a secure solution that is the MOST cost effective?

A. Create and install a self-signed certificate on each of the servers in the domain.
B. Purchase a load balancer and install a single certificate on the load balancer.
C. Purchase a wildcard certificate and implement it on every server.
D. Purchase individual certificates and apply them to the individual servers.

한 학교구역의 최고보안담당자는 도메인 내 인터넷에 연결되는 모든 서버를 보호하기 위해 SSL을 적용하고 싶다. 다음 중 어떤 것이 가장 비용을 절감할 수 있는 안전한 솔루션인가?

A. 도메인 내 각각의 서버에 자체서명 인증서를 설치한다.
B. 부하분산 프로그램을 구입하고 그곳에 인증서 하나를 설치한다.
C. 와일드카드 인증서 (모든 서브도메인에 설치할 수 있는 인증서)를 구입하고 모든 서버에 적용시킨다.
D. 각각의 서버에 각각의 인증서를 구입한다.

나도 학교의 서버와 IT 인프라를 운영하는 입장에서, 내 상식으로는 당연히 C라고 생각했다. 하지만 답은 A다 (흰글씨이니 드래그하면 보입니다). 도저히 납득이 되질 않았다. 문제를 다시 자세히 보니 “Most cost effective” 즉, 가장 효율적인 비용이라고 했으니 그렇다면 최소 B는 되어야하지 않을까 라고 생각했다 (Reverse-Proxy를 Load Balancer로 쓸 수 있으니). 물론, 정말로 비용 하나만 생각한다면 A가 답이라고 할 수는 있겠지만, 솔직히 얘기해서 그 어떤 현업에 종사하는 실무자도 인터넷에 연결되는 서버에 자체서명 인증서를 갖다 쓰는 사람은 없다(고 생각한다).

다음 문제를 보자.

A security team has downloaded a public database of the largest collection of password dumps on the Internet. This collection contains the cleartext credentials of every major breach for the last four years. The security team pulls and compares users’ credentials to the database and discovers that more than 30% of the users were still using passwords discovered in this list. Which of the following would be the BEST combination to reduce the risks discovered?

A. Password length, password encryption, password complexity
B. Password complexity, least privilege, password reuse
C. Password reuse, password complexity, password expiration
D. Group policy, password history, password encryption

보안팀은 대량의 패스워드를 모아놓은 데이터베이스를 인터넷에서 다운로드했다. 이 데이터베이스는 지난 4년간 주요 보안사고에서 유출된 평문으로 적힌 해스워드가 포함되어있다. 보안팀은 데이터를 뽑아 사용자의 패스워드와 비교작업을 하고, 30% 이상의 사용자가 여전히 같은 패스워드를 사용하고 있는 것을 알아냈다. 다음 중 이런 보안사고를 줄일 수 있는 최고의 조합은 어떤 것인가?

A. 패스워드 길이, 패스워드 암호화, 패스워드 복잡성
B. 패스워드 복잡성, 권한 최소화, 패스워드 재사용
C. 패스워드 재사용, 패스워드 복잡성, 패스워드 만기일
D. 그룹 정책, 패스워드 사용기록, 패스워드 암호화

이 문제의 답은 C다. 물론 맞는 답이지만, 사실 다른 보기도 그다지 틀렸다고 하기 어렵다. 하지만 실무자 입장에서 봤을 때 C의 내용보다는 무엇보다도 패스워드를 암호화해서 보관하는 것이 제 1순위가 되어야하지 않나 하는 생각이 들었다. 이건 웹사이트가 됐든 뭐가 됐든 패스워드를 저장할 때 암호화하는 것은 너무나도 지극히 매우매우 상식적인 것인데, 답에는 암호화해서 보관한다는 내용이 없는 것이다. 정말 도저히 납득이 되지 않았다.

마지막 한 문제만 더 보자.

A Chief Executive Officer (CEO) suspects someone in the lab testing environment is stealing confidential information after working hours when no one else is around. Which of the following actions can help to prevent this specific threat?

A. Implement time-of-day restrictions.
B. Audit file access times.
C. Secretly install a hidden surveillance camera.
D. Require swipe-card access to enter the lab.

최고경영자는 실험실에서 누군가가 일과시간 후 아무도 없을 때 기밀정보를 훔치고 있다는 의심을 하게 됐다. 다음 중 어떤 것이 이러한 위협을 예방하는데 도움이 되나?

A. 시간별 접근금지 구현
B. 파일접속시간 감사
C. 감시카메라를 몰래 설치한다.
D. 실험실 입장시 출입용 카드키를 사용하게 한다.

답은 D다. 하지만 이 문제도 위의 문제와 마찬가지로, 나머지 보기들도 그다지 틀렸다고 보기 어렵다. 감시카메라를 “몰래” 설치하는 것은 문제가 될 수 있다고 보여지지만, 나머지는 충분히 해봄직한 답안이며 답인 D가 왜 꼭 답이어야만 하는지도 납득하기 어렵다.

그외 덤프가 문제인지 문제가 제대로 되어있지 않은 건지 모르는 문제들이 너무 많았는데, 예를 들면 아래의 문제는 내가 매일매일 밥 먹듯이 하는 일인데도 불구하고 도저히 답을 이해할 수 없는 문제였다.

https://www.examtopics.com/discussions/comptia/view/40100-exam-sy0-601-topic-1-question-2-discussion/

위의 예제들처럼 비슷비슷한 문제들이 최소한 30%는 되는데, 997문제에서 30%면 300문제 가까이 되는 셈이다. 이렇게 내 직업적 경험에서 납득할 수 없는 문제들은 사실상 외우는 것 외엔 딱히 방법이 없었고, 그렇지 않은 문제들은 현실과 너무나도 동떨어져있었다. 예를 들면, 외부에서 원격으로 데이터가 유출될 위험이 있는 스마트폰 등의 기기를 보호하기 위해서 패러데이 상자 (외부에 정전기장이 흐르는 상자)에 보관해야한다거나, 병원에서 환자의 데이터를 전송하는데 와이파이를 쓴다는 예문이 나온다거나, BYOD (Bring Your Own Device, 회사에서 장비를 사주는 것이 아닌 직원의 장비를 쓰게 해주는 것) 정책에서 데이터 유출을 위해 구현해야하는 대책으로 Remote Wipe (원격 삭제)가 답 중 하나인데, 회사 것도 아니고 개인의 스마트폰을 회사에서 마음대로 wipe 하겠다는 답안은 정말 공감할 수 없었다.

수많은 문제들이 이렇게 현실과 괴리감이 있으며, 문제들이 상식을 벗어나 “아니 뭐 이딴 상황이 다 있어” 라는 소리가 나올만큼 답답했다. 물론 문제를 만들기 위해 억지스러운 상황을 예를 든 것은 이해하지만, 누군가의 실력을 평가한 뒤 “이 사람은 보안 분야의 전문가입니다”라는 자격증을 부여해주는 시험에서 현실과 동떨어진 상황을 예를 들며 답을 구하라는 문제는 뭔가 잘못되도 한참 잘못된 게 아닌가 싶었다. 요즘은 웹사이트 만들 때 사용자 패스워드 암호화를 MD5도 안쓰는 추세인데 MD5는 커녕 아예 암호화도 하지않은 상태를 전제로 깔고 있거나, 정말 보기 힘든 MD5 Hash Collision 문제가 정말 여러 개 나오며, 특히 파일 2개의 MD5 Hash값이 같은 상황에서라면 당연히 의심을 해야하는 건데 오히려 답은 Hash Collision이라던가 뭔가 공부를 하면서 열 받은 적은 처음이었던 것 같다.

공부를 하면서, “나만 이렇게 생각하는 건가” 싶어 덤프 문제로 사람들이 댓글을 달 수 있는 사이트에서 문제를 찾아보니 댓글이 수십개씩 달려서 서로 내답이 맞다 라면서 우기는 문제들이 정말 한두개가 아닌 걸 보면, 이 자격증의 시험문제는 좀 심하게 잘못되지 않았나 싶다. 물론 내가 일하는 곳의 상황이 좀 특수하긴 하지만, 그래도 정상적이고 상식적인 범주에서 업무를 하고있다.

그외에도 더 하고싶은 답답한 얘기가 있지만 글이 너무 길어져서 여기까지만 적는다. 앞으로 Comptia 자격증은 더 이상 안따고 싶다.