행안부 43가지 보안약점부터 시큐어코딩까지 — SW보안약점 진단원 준비에 필요한 모든 정보를 한 곳에서.
연 2회 시행 (상·하반기) · 정확한 일정은 KISA 한국인터넷진흥원 공식 사이트에서 반드시 확인
원서접수
2026. 2월 중
시험일
2026. 4월 중
합격자 발표
2026. 5월 중
원서접수
2026. 8월 중
시험일
2026. 10월 중
합격자 발표
2026. 11월 중
⚠️ 위 일정은 2026년 기준 추정치입니다. 정확한 일정은 반드시 KISA 공식 사이트에서 확인하세요.
공공기관 소프트웨어 개발 시 필수 준수 · 시험 핵심 출제 범위
SQL 인젝션, XSS, 경로조작, 명령어 인젝션
적절한 인증, 암호화 미사용, 중요 정보 평문 저장
레이스 컨디션, TOCTOU, 부적절한 락 설정
오류 메시지 정보 노출, 적절하지 않은 예외 처리
초기화되지 않은 변수, 메모리 누수, NULL 포인터 역참조
PassFi 팁: 43가지 보안약점별 취약 코드 vs. 안전 코드 비교 문제가 실기 핵심입니다. 문제 풀어보기 →
필기 60문제 · 과목별 20문제 · 60분
소프트웨어 보안약점 개요, 보안 취약점과 보안약점의 차이, 국내외 보안약점 분류체계(CWE, OWASP, 행안부 43종)
소스코드 정적 분석, 동적 분석, 코드 리뷰 절차, 진단 도구 활용(SonarQube 등), 보안약점별 진단 기준
언어별 시큐어코딩 기준(Java·C·Python), 보안약점 유형별 안전한 코드 작성법, 코드 개선 방법
정보보안기사보다 실기 난이도가 상대적으로 낮지만, 소스코드 직접 분석 능력이 없으면 통과하기 어렵습니다. Java·C 언어 기반 보안약점 코드 이해가 필수입니다.
과학기술정보통신부·KISA가 주관하는 소프트웨어 보안약점 진단 전문 국가공인 자격입니다. 공공기관·금융·대기업 소프트웨어 개발 프로젝트의 보안약점 진단을 수행할 수 있는 법적 자격을 부여합니다.
필기(이론)와 실기로 구성됩니다. 필기는 3과목(SW보안약점 이론·진단방법·시큐어코딩)으로 구성되며, 실기는 실제 소스코드에서 보안약점을 진단하고 개선 방법을 서술하는 방식입니다.
행정안전부가 고시한 "소프트웨어 개발보안 가이드"에 명시된 43개 보안약점 유형입니다. 입력데이터 검증(13종), 보안기능(16종), 시간및상태(7종), 에러처리(3종), 코드품질(4종)으로 분류됩니다. 공공기관 소프트웨어 개발 시 반드시 준수해야 합니다.
정보보안기사는 네트워크·시스템·운영 보안 등 전반을 다루는 범용 국가기술자격입니다. SW보안약점 진단원은 소프트웨어 소스코드의 보안약점 진단·개선에 특화된 전문 자격으로, 개발 보안 실무에 더 직접적으로 활용됩니다. 두 자격을 함께 취득하면 보안 직무 경쟁력이 크게 높아집니다.
SW보안약점 진단원은 공공기관 정보시스템 개발사업의 보안약점 진단 시 법적으로 요구되는 자격입니다. 보안 컨설팅, 개발 보안 전문가, 소프트웨어 보안 감리, 금융·공공 IT 개발팀 등에서 수요가 높습니다.
🔗 이론을 실무로 — SecuFi 실습
행안부 43가지 보안약점 실전 문제 · 취약 코드 vs 안전 코드 비교
AI 취약 과목 분석 · 가입 즉시 100문제 무료