(AWS Cloud Practitioner 취득 후기 보러가기)
AWS Security 자격증을 따야하는 이유
요즘 Public Cloud가 대세다. 여기저기서 Public Cloud로 전환해야 하는 이유가 등장하고 있고 기업의 민첩성과 효율성을 극대화 하기 위해서는 클라우드를 이용해야한다고 소리지르고 있다.
그런데 많은 기업들이 Public Cloud로 넘어가는데 조심스러워 하는 이유는 다름이 아닌 정보보안 때문인 것으로 나타난다. 좀 오래되긴 했지만 2010년에 Gartner에서 조사한 바에 따르면 기업들이 Public Cloud 로 넘어가는데 가장 우려스러운 항목에 당당하게 정보보안이 1위에 올랐다. 이 사실은 9년이 지났지만 크게 달라지지 않았다.
하지만 이제 더이상 단순히 정보보안 때문에 기업들이 주춤거리고 있는 것 같지 않다. 우려보다는 기대가 앞서기 때문에 너도 나도 클라우드로 전환하고 있다. ("IT기업에서 일반 기업으로... 가속화되는 클라우드 전환" - 동아닷컴)
이제 정보보안은 쫓아가야 하는 신세가 되었다. 사업을 영위하기 위해, 비즈니스를 지원하기 위해 정보보안은 통제에서 어떻게 비즈니스를 하면서도 안전하게 할 수 있을 것인가를 고민하고 있다. 국내는 조금 늦은감이 있지만 이에 따라 주요 기업들이 클라우드 보안 관련 솔루션과 서비스들을 내놓고 있다.
그런데 아직 시장에는 클라우드 보안 전문가가 부족한 실정이다. 이런 실정에 맞춰 나도 그에 대한 준비를 하기 위해 우선 Public Cloud 시장의 독보적인 점유율을 가지고 있는 아마존 AWS를 관심있게 살펴보았다. AWS는 미국의 플랫폼 기업들이 그러하듯 나름대로 개발자 생태계를 가지고 있고 그런 생태계가 더 잘 돌아갈 수 있도록 자신들의 생태계 안에서 돈을 벌 수 있는 체계를 보안 전문가들을 위해 마련해 놓았다. 그런 체계 중 일부가 바로 AWS 자격증 제도이다.
제도에 대한 설명은 지난번 Practitioner 자격증 취득 후기에 자세히 적어놨으니 참고하길 바라고 여기서는 보안 자격증인 AWS Security Specialty에 대해서만 이야기하겠다.
AWS 보안 자격증 취득을 위해 미리 준비해야 할 것은?
우선 AWS 보안 자격증 시험은 쉽지 않다. 아래 그림에서 볼 수 있듯 AWS Security Specialty의 사전 추전 과정으로는 Practitioner가 있다. 작년(2018년) 10월 전까지만 해도 Security 자격을 취득하기 위해서는 Practitioner 또는 그 이상의 자격증이 사전 조건이었는데 2018년 10월부터 해당 요건이 폐지되었다. 따라서 지금은 사전 조건 없이 준비만 되면 바로 보안 시험에 응시할 수 있다.
하지만 충분히 공부하지 않고 바로 시험보는 것을 권장하지 않는다. 아니, 바로 시험을 볼 수도 있겠지만 기본적으로 AWS 가 제공하는 다양한 서비스들에 대한 이해는 필수이다. 기본적인 AWS 서비스에 대한 이해가 없는 상태에서 단순히 정보보안만 공부했다고, 또는 AWS 보안 교육과정을 들었다고 자격증에 도전했다가 실패한 사례를 많이 보았다.
또는 AWS 서비스들에 대해서는 많이 알지만 정보보안에 대한 기본적인 소양이 없이 도전해서 실패한 사례도 보았다. 이렇게 말하면 준비하는 사람 입장에서는 의기소침해질 수도 있겠지만 AWS Security Specialty 시험이 그렇게 만만한 시험이 아니다.
어떤 문제들이 출제되는가?
AWS Security Specialty (AWS 보안 자격증) 시험문제 샘플은 아래 URL에서 확인할 수 있다.
https://aws.amazon.com/ko/certification/certified-security-specialty/
아래 샘플 문항을 보면 알겠지만 특정 상황에서 보안 요구사항이 주어지고, 이를 만족시키기 위해 AWS가 제공하는 서비스들의 제약사항들을 이해하는 상태에서 AWS 서비스를 이용하여 요구사항을 만족시키는 방법에 대해 답변하도록 되어 있다.
(참고로 시험은 한글로 볼 수도 있다. 관련 tip은 아래에서 더 자세히 설명한다.)
(AWS 샘플 문제 발췌)
예를 들면 고객의 요구사항이 End-to-end 통신구간 암호화를 해야한다는 것이라면 이를 만족시키기 위해 ELB(Elastic Load Balancer) 또는 CloudFront 에 SSL 인증서를 설치하면 되는지, 아니면 EC2 Instance 까지 확장해야 하는지를 물어본다. 물론 이 질문은 무척 쉬운 예지만 이런 식으로 요구사항이 주어지고, 이 요구사항을 만족시키는 방법에 대해 묻는 질문들이 많다.
AWS 자격증 사이트를 살펴보면 대강의 시험 범위는 아래와 같다. (안내서를 다운받으면 자세한 내용이 포함되어 있다.)
도메인 1: 인시던트 대응
- 1.1 AWS 침해 알림에 따라 손상이 의심되는 인스턴스 또는 노출된 액세스 키를 평가합니다.
- 1.2 인시던트 대응 계획에 관련된 AWS 서비스가 포함되어 있는지 확인합니다.
- 1.3 자동 알림의 구성을 평가하고, 보안 관련 인시던트 및 새로 나타난 문제에 대해 가능한 해결 조치를 실행합니다.
도메인 2: 로깅 및 모니터링
- 2.1 보안 모니터링 및 알림을 설계하고 구현합니다.
- 2.2 보안 모니터링 및 알림 문제를 해결합니다.
- 2.3 로깅 솔루션을 설계하고 구현합니다.
- 2.4 로깅 솔루션의 문제를 해결합니다.
도메인 3: 인프라 보안
- 3.1 AWS 기반의 엣지 보안을 설계합니다.
- 3.2 보안 네트워크 인프라를 설계하고 구현합니다.
- 3.3 보안 네트워크 인프라의 문제를 해결합니다.
- 3.4 호스트 기반 보안을 설계하고 구현합니다.
도메인 4: 자격 증명 및 액세스 관리
- 4.1 AWS 리소스 액세스를 위해 확장 가능한 권한 부여 및 인증 시스템을 설계하고 구현합니다.
- 4.2 AWS 리소스 액세스를 위한 권한 부여 및 인증 시스템의 문제를 해결합니다.
도메인 5: 데이터 보호
- 5.1 키 관리 및 사용을 설계하고 구현합니다.
- 5.2 키 관리 문제를 해결합니다.
- 5.3 유휴 데이터 및 전송 중 데이터를 위한 데이터 암호화 솔루션을 설계하고 구현합니다.
그리고 시험에 출제되는 도메인별 비중은 아래와 같다.
우선 정보보안에 대한 기본 소양이 있어야 한다.
문제 출제 방식은 위에서 보았듯 보안 요구사항에서 출발한다. 이런 보안 요구사항을 읽고 문제의 의도를 파악하지 못하면 문제를 풀기 어렵다. 의도를 파악하기 위해서는 정보보안에 대한 기본 개념을 알고 있어야 훨씬 수월하다. 정보보안에 대한 소양을 갖추기 위한 글은 아니므로, 이 소양은 각자 잘 갖추도록 하자. (예를 들면 CISSP 자격을 취득하거나, 정보보안기사, 또는 ISMS 인증 심사원 준비를 하는 것도 좋다. 다시 말하지만 정보보안에 대한 개념이 전혀 없는 상태라면 AWS Security 자격증은 조금 뒤로 미루어도 될 것 같다. 해당 자격증은 기존에 보안을 하던 사람이 AWS 환경에서 보안을 계속 하도록 하기 위함이다.)
AWS 서비스의 목적, 동작방식, 제약사항을 이해하자.
AWS에서는 정보보안과 관련된 많은 서비스들이 제공된다. Cloud Trail, Cloud Watch 부터 시작해서 IAM, KMS, Cloud HSM에 이르기까지 그 종류가 무척 다양하다. 이러한 서비스들을 그 목적에 맞게 분류하여 이해하자. 인증, 권한관리, 접근통제, 암호화, 로깅/모니터링 등 정보보안의 대 분류로 시작해도 좋을 것 같다. 이런 분류 아래 AWS 서비스들을 놓고 각각의 서비스들이 어떤 목적으로 존재하는지, 어떤 방식으로 동작하는지를 우선 이해해보자.
그리고 각 서비스들의 제약사항을 중심으로 다시 살펴본다. Cloud Trail은 AWS에서 일어나는 대부분의 이벤트에 대한 기록을 남길 수 있다. 하지만 Instance 안에서 발생하는 로그는 남기지 못한다. 그런 것은 Cloud Watch가 대응한다. 이런 식으로 각 보안 서비스들의 제약사항과 그것을 극복하는 방법을 이해하면서 공부하면 논리적인 구조로 머리속에 들어오기 때문에 공부가 한결 쉬워진다.
AWS 문서와 친해지자, 그리고 Youtube!!
AWS는 문서가 방대하게 정리되어 있다. 다행이 대부분 한글로도 제공된다. 살짝 번역투의 말들이 신경쓰이지만 몇 번 읽어보다 이해가 안되면 원문을 참고하면 된다. (원문을 봐도 무슨 말인지 모르는 경우가 간혹 있으나 이럴 경우 구글 검색을 해보면 다른 사이트에서 설명이 되어 있는 경우도 있다. 검색은 네이버, 다음 보다는 구글을 추천한다.)
https://docs.aws.amazon.com/#lang/ko_kr
그리고 나는 공부를 할 때 지하철 이동시간 틈틈히 Youtube를 많이 활용했다. 특히 AWS는 매년 연말 즈음 Reinvent 행사를 하는데, 이 행사에서 새로운 서비스들에 대한 소개를 많이 한다. 소개 뿐만이 아니라 각 서비스를 더 잘 활용할 수 있는 방법들과 적용 사례들도 소개를 하는데 이런 소개 자료들을 잘 들어보면 생각보다 많은 지식을 얻을 수 있다. AWS 서비스들에 익숙해지는 방법이기도 하다.
시험 볼 때 Tip
- 컴퓨터로 시험본다.
- 시험은 한글로도 볼 수 있다. 시험 보는 중간에 영문으로도 전환 가능하다.
(문제가 번역투라 이해가 안되면 반드시 영어로도 봐보자. 영어로 보면 오히려 쉽게 풀리는 경우가 있다. Keyword 가 영어로 나오면 서비스 연관성도 높아진다.) - 시험 볼 때 화장실 다녀올 수 있다.
- 물론 스마트폰 등 가방, 짐 등은 맡겨야 한다.
- 시간은 충분하게 주어진다. 하지만 한 문제에 너무 오래 몰두하지 말자.
- 뒷 문제에서 앞 문제의 힌트가 나올 때가 있다.
- 시험 끝나면 바로 결과가 나온다. Congratulation 이 뜨면 합격!
- 신분증은 꼭 2개 들고가자. 사진나온 주민증과 내 명의의 신용카드
- 필기구는 달라고 하면 준다.
- 올해 완전히 새롭게 나온 서비스는 시험에 안나온다고 한다.
그럼 이제 준비가 끝났으니, 어서 시험 신청을 하고 AWS 보안 전문가가 되어보자~!
실무 경력과 같은 시험 자격요건에 대한 사항은 폐지된 것 인가요??
답글삭제아, 있긴있는데 그게 필수라기 보다는 문제를 풀려면 그정도 경력을 요한다는 내용이기 때문에 실제 경력사항을 검증하는 절차는 따로 없었습니다.
답글삭제안녕하세요. 올해 시험을 준비하고 있는 직장인입니다.
답글삭제혹시 시험 준비하실때...철저히 이론부터 집고 넘어가셨는지요. 아니면 문제풀이 위주로 공부를 하셨는지요.
보안쪽에 10년째 종사중이라 보안관련 개념은 어느정도 잡혀있는데
시험 전략을 세우려니 만만치가 않네요...범위라던가 유형이라던가..
좋은 의견 있으시면 부탁드립니다.
안녕하세요, 답변이 늦었네요 ^^
삭제우선은 AWS가 제공하는 서비스들에 대한 이해가 있어야 훨씬 수월합니다. 그래서 AWS가 발간한 백서들은 보안 관련 된 것은 대부분 찾아서 읽어보고, 이동시간에는 re-invent 동영상 등을 보면서 알고 있는 이론이랑 매핑을 시켜 봤습니다.
문제풀이는 AWS 자격증 사이트에서 연습문제 받아 봤구요, 다른 분이 돈내고 연습 시험 본 것도 옆에서 구경했었습니다. 기출문제는 찾아봤는데 잘 없더군요. ㅠ_ㅠ
요약하면 글에서 설명드린 것 처럼 AWS 보안 관련 서비스에 대한 이해, 메커니즘에 대한 이해, 제약사항 등을 알고 있으면 됩니다. 보안을 잘 알고 계신다고 하니 훨씬 수월하실 것 같습니다. 보안 요구사항을 주면서 이걸 aws로 어떻게 구면하면 되는가? 이런식의 문제가 많았습니다.
예) end to end 암호화를 하려면 ssl 인증서를 어디에 설치하는 것이 가장 적절한가? ① CloudFront ② AWS WAF ③ ALB ④ NLB ⑤ 웹서버
물론 좀 쉬운 예제이긴 한데 이런 식입니다. ^^
혹시 practitioner 합격해도 50% 할인 바우처 제공되나요?? 바로 security 보는 것보다 practitioner 거쳐서 가는 게 가장 저렴한 루트인 것 같아서 여쭤봅니다
답글삭제네 저같은 경우는 바우처 받았었습니다. 저도 프랙티셔너 합격하고 받은 바우처로 시쿠리티 시험 봤었습니다~
삭제감사합니다!
삭제작성자가 댓글을 삭제했습니다.
답글삭제