지난번 AWS Practitioner 자격증 취득 후 바로 이어서 AWS Security Specialty 자격증을 취득하였다. 이 글에서는 AWS 보안 자격증 취득과 관련된 내용을 설명한다.
(AWS Cloud Practitioner 취득 후기 보러가기)
AWS Security 자격증을 따야하는 이유
요즘 Public Cloud가 대세다. 여기저기서 Public Cloud로 전환해야 하는 이유가 등장하고 있고 기업의 민첩성과 효율성을 극대화 하기 위해서는 클라우드를 이용해야한다고 소리지르고 있다.
그런데 많은 기업들이 Public Cloud로 넘어가는데 조심스러워 하는 이유는 다름이 아닌 정보보안 때문인 것으로 나타난다. 좀 오래되긴 했지만 2010년에 Gartner에서 조사한 바에 따르면 기업들이 Public Cloud 로 넘어가는데 가장 우려스러운 항목에 당당하게 정보보안이 1위에 올랐다. 이 사실은 9년이 지났지만 크게 달라지지 않았다.
하지만 이제 더이상 단순히 정보보안 때문에 기업들이 주춤거리고 있는 것 같지 않다. 우려보다는 기대가 앞서기 때문에 너도 나도 클라우드로 전환하고 있다. ("
IT기업에서 일반 기업으로... 가속화되는 클라우드 전환" - 동아닷컴)
이제 정보보안은 쫓아가야 하는 신세가 되었다. 사업을 영위하기 위해, 비즈니스를 지원하기 위해 정보보안은 통제에서 어떻게 비즈니스를 하면서도 안전하게 할 수 있을 것인가를 고민하고 있다. 국내는 조금 늦은감이 있지만 이에 따라 주요 기업들이 클라우드 보안 관련 솔루션과 서비스들을 내놓고 있다.
그런데 아직 시장에는 클라우드 보안 전문가가 부족한 실정이다. 이런 실정에 맞춰 나도 그에 대한 준비를 하기 위해 우선 Public Cloud 시장의 독보적인 점유율을 가지고 있는 아마존 AWS를 관심있게 살펴보았다. AWS는 미국의 플랫폼 기업들이 그러하듯 나름대로 개발자 생태계를 가지고 있고 그런 생태계가 더 잘 돌아갈 수 있도록 자신들의 생태계 안에서 돈을 벌 수 있는 체계를 보안 전문가들을 위해 마련해 놓았다. 그런 체계 중 일부가 바로 AWS 자격증 제도이다.
제도에 대한 설명은 지난번 Practitioner 자격증 취득 후기에 자세히 적어놨으니 참고하길 바라고 여기서는 보안 자격증인 AWS Security Specialty에 대해서만 이야기하겠다.
AWS 보안 자격증 취득을 위해 미리 준비해야 할 것은?
우선 AWS 보안 자격증 시험은 쉽지 않다. 아래 그림에서 볼 수 있듯 AWS Security Specialty의 사전 추전 과정으로는 Practitioner가 있다. 작년(2018년) 10월 전까지만 해도 Security 자격을 취득하기 위해서는 Practitioner 또는 그 이상의 자격증이 사전 조건이었는데 2018년 10월부터 해당 요건이 폐지되었다. 따라서 지금은 사전 조건 없이 준비만 되면 바로 보안 시험에 응시할 수 있다.
하지만 충분히 공부하지 않고 바로 시험보는 것을 권장하지 않는다. 아니, 바로 시험을 볼 수도 있겠지만 기본적으로 AWS 가 제공하는 다양한 서비스들에 대한 이해는 필수이다. 기본적인 AWS 서비스에 대한 이해가 없는 상태에서 단순히 정보보안만 공부했다고, 또는 AWS 보안 교육과정을 들었다고 자격증에 도전했다가 실패한 사례를 많이 보았다.
또는 AWS 서비스들에 대해서는 많이 알지만 정보보안에 대한 기본적인 소양이 없이 도전해서 실패한 사례도 보았다. 이렇게 말하면 준비하는 사람 입장에서는 의기소침해질 수도 있겠지만 AWS Security Specialty 시험이 그렇게 만만한 시험이 아니다.
어떤 문제들이 출제되는가?
AWS Security Specialty (AWS 보안 자격증) 시험문제 샘플은 아래 URL에서 확인할 수 있다.
https://aws.amazon.com/ko/certification/certified-security-specialty/
아래 샘플 문항을 보면 알겠지만 특정 상황에서 보안 요구사항이 주어지고, 이를 만족시키기 위해 AWS가 제공하는 서비스들의 제약사항들을 이해하는 상태에서 AWS 서비스를 이용하여 요구사항을 만족시키는 방법에 대해 답변하도록 되어 있다.
(참고로 시험은 한글로 볼 수도 있다. 관련 tip은 아래에서 더 자세히 설명한다.)
(AWS 샘플 문제 발췌)
예를 들면 고객의 요구사항이 End-to-end 통신구간 암호화를 해야한다는 것이라면 이를 만족시키기 위해 ELB(Elastic Load Balancer) 또는 CloudFront 에 SSL 인증서를 설치하면 되는지, 아니면 EC2 Instance 까지 확장해야 하는지를 물어본다. 물론 이 질문은 무척 쉬운 예지만 이런 식으로 요구사항이 주어지고, 이 요구사항을 만족시키는 방법에 대해 묻는 질문들이 많다.
AWS 자격증 사이트를 살펴보면 대강의 시험 범위는 아래와 같다. (안내서를 다운받으면 자세한 내용이 포함되어 있다.)
도메인 1: 인시던트 대응
- 1.1 AWS 침해 알림에 따라 손상이 의심되는 인스턴스 또는 노출된 액세스 키를 평가합니다.
- 1.2 인시던트 대응 계획에 관련된 AWS 서비스가 포함되어 있는지 확인합니다.
- 1.3 자동 알림의 구성을 평가하고, 보안 관련 인시던트 및 새로 나타난 문제에 대해 가능한 해결 조치를 실행합니다.
도메인 2: 로깅 및 모니터링
- 2.1 보안 모니터링 및 알림을 설계하고 구현합니다.
- 2.2 보안 모니터링 및 알림 문제를 해결합니다.
- 2.3 로깅 솔루션을 설계하고 구현합니다.
- 2.4 로깅 솔루션의 문제를 해결합니다.
도메인 3: 인프라 보안
- 3.1 AWS 기반의 엣지 보안을 설계합니다.
- 3.2 보안 네트워크 인프라를 설계하고 구현합니다.
- 3.3 보안 네트워크 인프라의 문제를 해결합니다.
- 3.4 호스트 기반 보안을 설계하고 구현합니다.
도메인 4: 자격 증명 및 액세스 관리
- 4.1 AWS 리소스 액세스를 위해 확장 가능한 권한 부여 및 인증 시스템을 설계하고 구현합니다.
- 4.2 AWS 리소스 액세스를 위한 권한 부여 및 인증 시스템의 문제를 해결합니다.
도메인 5: 데이터 보호
- 5.1 키 관리 및 사용을 설계하고 구현합니다.
- 5.2 키 관리 문제를 해결합니다.
- 5.3 유휴 데이터 및 전송 중 데이터를 위한 데이터 암호화 솔루션을 설계하고 구현합니다.
그리고 시험에 출제되는 도메인별 비중은 아래와 같다.
우선 정보보안에 대한 기본 소양이 있어야 한다.
문제 출제 방식은 위에서 보았듯 보안 요구사항에서 출발한다. 이런 보안 요구사항을 읽고 문제의 의도를 파악하지 못하면 문제를 풀기 어렵다. 의도를 파악하기 위해서는 정보보안에 대한 기본 개념을 알고 있어야 훨씬 수월하다. 정보보안에 대한 소양을 갖추기 위한 글은 아니므로, 이 소양은 각자 잘 갖추도록 하자. (예를 들면 CISSP 자격을 취득하거나, 정보보안기사, 또는 ISMS 인증 심사원 준비를 하는 것도 좋다. 다시 말하지만 정보보안에 대한 개념이 전혀 없는 상태라면 AWS Security 자격증은 조금 뒤로 미루어도 될 것 같다. 해당 자격증은 기존에 보안을 하던 사람이 AWS 환경에서 보안을 계속 하도록 하기 위함이다.)
AWS 서비스의 목적, 동작방식, 제약사항을 이해하자.
AWS에서는 정보보안과 관련된 많은 서비스들이 제공된다. Cloud Trail, Cloud Watch 부터 시작해서 IAM, KMS, Cloud HSM에 이르기까지 그 종류가 무척 다양하다. 이러한 서비스들을 그 목적에 맞게 분류하여 이해하자. 인증, 권한관리, 접근통제, 암호화, 로깅/모니터링 등 정보보안의 대 분류로 시작해도 좋을 것 같다. 이런 분류 아래 AWS 서비스들을 놓고 각각의 서비스들이 어떤 목적으로 존재하는지, 어떤 방식으로 동작하는지를 우선 이해해보자.
그리고 각 서비스들의 제약사항을 중심으로 다시 살펴본다. Cloud Trail은 AWS에서 일어나는 대부분의 이벤트에 대한 기록을 남길 수 있다. 하지만 Instance 안에서 발생하는 로그는 남기지 못한다. 그런 것은 Cloud Watch가 대응한다. 이런 식으로 각 보안 서비스들의 제약사항과 그것을 극복하는 방법을 이해하면서 공부하면 논리적인 구조로 머리속에 들어오기 때문에 공부가 한결 쉬워진다.
AWS 문서와 친해지자, 그리고 Youtube!!
AWS는 문서가 방대하게 정리되어 있다. 다행이 대부분 한글로도 제공된다. 살짝 번역투의 말들이 신경쓰이지만 몇 번 읽어보다 이해가 안되면 원문을 참고하면 된다. (원문을 봐도 무슨 말인지 모르는 경우가 간혹 있으나 이럴 경우 구글 검색을 해보면 다른 사이트에서 설명이 되어 있는 경우도 있다. 검색은 네이버, 다음 보다는 구글을 추천한다.)
https://docs.aws.amazon.com/#lang/ko_kr
그리고 나는 공부를 할 때 지하철 이동시간 틈틈히 Youtube를 많이 활용했다. 특히 AWS는 매년 연말 즈음 Reinvent 행사를 하는데, 이 행사에서 새로운 서비스들에 대한 소개를 많이 한다. 소개 뿐만이 아니라 각 서비스를 더 잘 활용할 수 있는 방법들과 적용 사례들도 소개를 하는데 이런 소개 자료들을 잘 들어보면 생각보다 많은 지식을 얻을 수 있다. AWS 서비스들에 익숙해지는 방법이기도 하다.
시험 볼 때 Tip
- 컴퓨터로 시험본다.
- 시험은 한글로도 볼 수 있다. 시험 보는 중간에 영문으로도 전환 가능하다.
(문제가 번역투라 이해가 안되면 반드시 영어로도 봐보자. 영어로 보면 오히려 쉽게 풀리는 경우가 있다. Keyword 가 영어로 나오면 서비스 연관성도 높아진다.)
- 시험 볼 때 화장실 다녀올 수 있다.
- 물론 스마트폰 등 가방, 짐 등은 맡겨야 한다.
- 시간은 충분하게 주어진다. 하지만 한 문제에 너무 오래 몰두하지 말자.
- 뒷 문제에서 앞 문제의 힌트가 나올 때가 있다.
- 시험 끝나면 바로 결과가 나온다. Congratulation 이 뜨면 합격!
- 신분증은 꼭 2개 들고가자. 사진나온 주민증과 내 명의의 신용카드
- 필기구는 달라고 하면 준다.
- 올해 완전히 새롭게 나온 서비스는 시험에 안나온다고 한다.
나는 AWS Cloud Practitioner 시험 후 약 2주 준비 끝에 AWS Security Specialty도 바로 취득에 성공했다. 참고로 말하지만 필자는 이미 정보보안과 관련된 업무를 하고 있으며 경력이 10년을 훌쩍 넘었기 때문에 AWS 서비스에 대한 이해만 제대로 하면 되었다. 주변에 시험을 봤던 다른 사람들은 보안 경력이 짧은 경우 실패한 사례가 많으니 AWS에 초점을 두기 보다는 보안쪽에도 함께 신경을 쓰는 것이 좋다.
그럼 이제 준비가 끝났으니, 어서 시험 신청을 하고 AWS 보안 전문가가 되어보자~!
