CompTIA 고급 보안 전문가(CASP+) 자격증 시험 목표(CAS-004)

CompTIA CASP+ 자격증 시험은 보안 아키텍처 및 선임 보안 엔지니어 직무에 필요한 기술을 다루는 고급 수준의 사이버 보안 자격증입니다.

이 가이드에서는 CASP+ 자격증 시험의 네 가지 지식 영역과 CAS-004 시험에서 예상되는 세부 주제를 다룹니다.

CompTIA CASP+ 자격증 시험이란 무엇인가요?

CompTIA Advanced Security Practitioner(CASP+)는 보안 아키텍트 및 선임 보안 엔지니어를 위한 고급 수준의 사이버 보안 자격증으로, 기업의 사이버 보안 준비 상태를 평가하는 위험 및 규정 준수 기술을 검증합니다.

CASP+ 자격증은 미국 국방부의 승인을 받았으며, 8140/8570.01-M 지침의 요구 사항을 충족하고 ISO 17024 표준을 준수합니다.

CASP+ 자격증 소지자는 기술적 역량과 비판적 사고를 활용하여 조직의 운영 전략을 포함한 적절한 보안 솔루션을 제안하고 적용하고, 위험 영향을 평가하고, 보안 사고에 대응해야 합니다.

CompTIA CASP+ 자격증을 취득한 전문가는 다음과 같은 역량을 갖추어야 합니다.

• 복잡한 환경 전반에 걸쳐 안전한 솔루션을 설계, 구축, 통합 및 구현하여 기업의 탄력적인 운영을 지원합니다.

• 모니터링, 탐지, 사고 대응 및 자동화를 활용하여 기업 환경에서 지속적인 보안 운영을 사전에 지원합니다.

• 암호화 기술 및 기법을 고려하여 클라우드, 온프레미스, 엔드포인트 및 모바일 인프라에 보안 모범 사례를 적용합니다.

• 기업 전반에 걸쳐 거버넌스, 위험 관리 및 규정 준수 요구 사항의 영향을 고려합니다.

CompTIA CASP+ 시험 정보

필수 시험: CAS-004 문항 수: 최대 90문항 문항 유형: 객관식 및 실무 기반 시험 시간: 165분 권장 경력: 최소 10년 이상의 IT 실무 경력(그 중 최소 5년은 IT 보안 실무 경력 포함). Network+, Security+, CySA+, Cloud+, PenTest+ 또는 이와 동등한 자격증/지식 보유.

합격 점수: 합격/불합격만 인정 - 점수 환산 없음

CompTIA CASP+ 시험 목표 (영역)

다음은 각 영역별 시험 비중입니다. CompTIA CASP+ 시험 목표는 크게 네 부분으로 나뉩니다.

1.0 보안 아키텍처 - 29% 2.0 보안 운영 - 30% 3.0 보안 엔지니어링 및 암호화 - 26% 4.0 거버넌스, 위험 관리 및 규정 준수 - 15%

영역 - 1.0 보안 아키텍처 29%

1.1 주어진 시나리오를 바탕으로, 신규 또는 기존 네트워크에 적합하고 안전한 네트워크 아키텍처를 구축하기 위한 보안 요구 사항 및 목표를 분석합니다.

• 서비스 • 네트워크 세분화 • 네트워크 경계 해제/제로 트러스트 • 여러 조직의 네트워크 통합 • 소프트웨어 정의 네트워킹(SDN)

1.2 주어진 시나리오를 바탕으로, 조직의 요구 사항을 분석하여 적절한 인프라 보안 설계 방안을 결정합니다.

• 확장성 • 복원력 • 자동화 • 성능 • 컨테이너화 • 가상화 • 콘텐츠 전송 네트워크(CDN) • 캐싱

1.3 주어진 시나리오를 바탕으로 소프트웨어 애플리케이션을 엔터프라이즈 아키텍처에 안전하게 통합하십시오.

• 기준선 및 템플릿 • 소프트웨어 품질 보증 • 엔터프라이즈 애플리케이션 통합 시 고려 사항 • 개발 수명 주기에 보안 통합

1.4 주어진 시나리오를 바탕으로 엔터프라이즈 아키텍처 보안을 위한 데이터 보안 기술을 구현하십시오.

• 데이터 손실 방지(DLP) • 데이터 손실 탐지(DLP) • 데이터 분류, 레이블 지정 및 태깅 • 난독화 • 익명화 • 암호화 vs. 비암호화 • 데이터 수명 주기 관리 • 데이터 인벤토리 및 매핑 • 데이터 무결성 관리 • 데이터 저장, 백업 및 복구

1.5 주어진 시나리오를 바탕으로 적절한 인증 및 권한 부여 제어를 제공하기 위한 보안 요구 사항과 목표를 분석하십시오.

• 자격 증명 관리 • 암호 정책 • 페더레이션 • 접근 제어 • 프로토콜 • 다중 요소 인증(MFA) • 일회용 암호(OTP) • 하드웨어 루트 오브 트러스트 • 싱글 사인온(SSO) • JSON 웹 토큰(JWT) • 증명 및 신원 확인

1.6. 주어진 요구 사항을 바탕으로 안전한 클라우드 및 가상화 솔루션을 구현하십시오.

• 가상화 전략 • 프로비저닝 및 프로비저닝 해제 • 미들웨어 • 메타데이터 및 태그 • 배포 모델 및 고려 사항 • 호스팅 모델 • 서비스 모델 • 클라우드 공급자 제한 사항 • 적절한 온프레미스 제어 확장 • 스토리지 모델

1.7. 암호화 및 공개 키 인프라(PKI)가 보안 목표 및 요구 사항을 어떻게 지원하는지 설명하십시오.

• 개인정보 보호 및 기밀성 요구사항 • 무결성 요구사항 • 부인 방지 • 규정 준수 및 정책 요구사항 • 일반적인 암호화 사용 사례 • 일반적인 PKI 사용 사례

1.8. 신흥 기술이 기업 보안 및 개인정보 보호에 미치는 영향을 설명하십시오.

• 인공지능 • 머신러닝 • 양자 컴퓨팅 • 블록체인 • 동형 암호화 • 빅데이터 • 가상/증강 현실 • 3D 프린팅 • 비밀번호 없는 인증 • 나노 기술 • 딥러닝 • 안전한 다자간 컴퓨팅 • 분산 합의 알고리즘 • 생체인식 사칭

도메인 - 2.0 보안 운영

2.1. 주어진 시나리오에 따라 위협 관리 활동을 수행하십시오.

• 정보 유형 • 행위자 유형 • 위협 행위자 속성 • 프레임워크

2.2. 주어진 시나리오에 따라 침해 지표를 분석하고 적절한 대응 방안을 수립하십시오.

• 침해 지표 • 대응

2.3. 주어진 시나리오에 따라 취약점 관리 활동을 수행합니다.

• 취약점 스캔 • 자체 평가 vs. 제3자 벤더 평가 • 패치 관리 • 정보 출처 • 보안 콘텐츠 자동화 프로토콜(SCAP)

2.4. 주어진 시나리오에 따라 적절한 취약점 평가 및 침투 테스트 방법과 도구를 사용합니다.

• 방법 • 도구 • 종속성 관리 • 요구 사항

2.5. 주어진 시나리오에 따라 취약점을 분석하고 위험 완화 방안을 권장합니다.

• 취약점 • 본질적으로 취약한 시스템/애플리케이션 • 공격

2.6. 주어진 시나리오에 따라 프로세스를 사용하여 위험을 줄입니다.

• 사전 예방 및 탐지 • 보안 데이터 분석 • 예방 조치 • 애플리케이션 제어 • 보안 자동화 • 물리적 보안

2.7. 사고 발생 시 적절한 대응을 실행합니다.

• 이벤트 분류 • 이벤트 분류 • 사전 에스컬레이션 작업 • 사고 대응 프로세스 • 특정 대응 플레이북/프로세스 • 커뮤니케이션 계획 • 이해관계자 관리

2.8. 포렌식 개념의 중요성을 설명하십시오.

• 법적 목적 vs. 내부 기업 목적 • 포렌식 프로세스 • 무결성 유지 • 암호 분석 • 스테가노 분석

2.9. 주어진 시나리오에서 포렌식 분석 도구를 사용하십시오.

• 파일 복구 도구 • 바이너리 분석 도구 • 분석 도구 • 이미지 생성 도구 • 해싱 유틸리티 • 실시간 데이터 수집 vs. 사후 분석 도구

도메인 - 3.0 보안 엔지니어링 및 암호학

3.1. 주어진 시나리오에서 엔터프라이즈 모빌리티에 보안 구성을 적용하십시오.

• 관리형 구성 • 배포 시나리오 • 보안 고려 사항

3.2. 주어진 시나리오에서 엔드포인트 보안 제어를 구성하고 구현하십시오.

• 보안 강화 기법 • 프로세스 • 필수 접근 제어 • 신뢰할 수 있는 컴퓨팅 • 보완 제어

3.3. 특정 부문 및 운영 기술에 영향을 미치는 보안 고려 사항을 설명하십시오.

• 임베디드 시스템 • 산업 제어 시스템(ICS)/감독 제어 및 데이터 수집(SCADA) • 프로토콜 • 부문

3.4. 클라우드 기술 도입이 조직 보안에 미치는 영향을 설명하십시오.

• 자동화 및 오케스트레이션 • 암호화 구성 • 로그 • 모니터링 구성 • 키 소유권 및 위치 • 키 수명 주기 관리 • 백업 및 복구 방법 • 인프라 컴퓨팅 vs. 서버리스 컴퓨팅 • 애플리케이션 가상화 • 소프트웨어 정의 네트워킹 • 잘못된 구성 • 협업 도구 • 스토리지 구성 • 클라우드 액세스 보안 브로커(CASB)

3.5. 비즈니스 요구 사항을 고려하여 적절한 PKI 솔루션을 구현하십시오.

• PKI 계층 구조 • 인증서 유형 • 인증서 사용/프로필/템플릿 • 확장 기능 • 신뢰할 수 있는 공급자 • 신뢰 모델 • 교차 인증 • 프로필 구성 • 수명 주기 관리 • 공개 키 및 개인 키 • 디지털 서명 • 인증서 고정(Certificate pinning) • 인증서 스테이플링(Certificate stapling) • 인증서 서명 요청(CSR) • 온라인 인증서 상태 프로토콜(OCSP)과 인증서 폐지 목록(CRL) 비교 • HTTP Strict Transport Security(HSTS)

3.6. 비즈니스 요구 사항을 고려하여 적절한 암호화 프로토콜 및 알고리즘을 구현합니다.

• 해싱 • 대칭 알고리즘 • 비대칭 알고리즘 • 프로토콜 • 타원 곡선 암호화 • 전방향 비밀성(Forward secrecy) • 연관 데이터가 있는 인증된 암호화 • 키 확장(Key stretching)

3.7. 주어진 시나리오에서 암호화 구현 관련 문제를 해결합니다.

• 구현 및 구성 문제 • 핵심 사항

도메인 - 4.0 거버넌스, 위험 및 규정 준수

4.1. 주어진 요구사항에 대해 적절한 위험 관리 전략을 적용하십시오.

• 위험 평가 • 위험 처리 기법 • 위험 유형 • 위험 관리 수명 주기 • 위험 추적 • 위험 감수 수준 대 위험 허용 수준 • 정책 및 보안 관행

4.2. 공급업체 위험 관리 및 완화의 중요성을 설명하십시오.

• 공동 책임 모델(역할/책임) • 공급업체 종속 및 배제 • 공급업체 생존 가능성 • 고객 요구사항 충족 • 지원 가용성 • 지리적 고려 사항 • 공급망 가시성 • 사고 보고 요구사항 • 소스 코드 에스크로 • 지속적인 공급업체 평가 도구 • 제3자 의존성 • 기술적 고려 사항

4.3. 규정 준수 프레임워크 및 법적 고려 사항과 조직에 미치는 영향을 설명하십시오.

• 다양한 산업 통합 관련 보안 문제 • 데이터 관련 고려 사항 • 제3자 인증 • 규정, 인증 및 표준 • 법적 고려 사항 • 계약 및 협약 유형 • 지리적 고려 사항

4.4. 비즈니스 연속성 및 재해 복구 개념의 중요성을 설명하십시오.

• 비즈니스 영향 분석 • 개인정보 영향 평가 • 재해 복구 계획(DRP)/비즈니스 연속성 계획(BCP) • 사고 대응 계획 • 테스트 계획