이번 포스트에선 OSCP 취득을 목표로 열심히 해킹 공부를 하고 있는 사람들을 위한 OSCP 2023 시험 준비 가이드를 준비했다. 해킹이 처음인 사람도 있고, 모의 해킹 분야로 취업이나 이직 준비를 하고 있거나, 현직에 있어도 딱히 자격증이 없어 도전하는 현직자등, 여러가지 이유로 OSCP를 준비하고 있는 모든 응시자들에게 이 가이드 글이 조금이나마 도움이 되길 바란다.
일단 본론에 들어가기 앞서, 분명히 말하고 넘어가겠다. 이 시험을 절대 쉬운 시험이 아니다.
가끔가다 OSCP를 이미 따고 , "솔직히 그렇게 어렵지 않다", 라고 말할 수 있는거는 시험에 통과한 사람들이나 말할 수 있는 허세 아닌 허세인거지 아직 취득하지 않은 사람들에게 이런 이야기를 해봤자 도움도 안될 뿐더러 "생각보다 어렵지 않다는데 왜 나는 어렵지?" 라는 생각에 의욕 상실만 부추길 뿐이다.
참고로 이 포스트은 OSCP를 통과하기 위한 어떠한 해킹 기술이나 "이것만 하면 무조건 통과, 체크리스트 10개" 와 같은 과장된 정보를 알려주는 글이 아니다. 대신 이 글을 통해 필자가 OSCP를 취득한 경험과 취득 과정에서 느꼈던 생각을 바탕으로 OSCP 응시자들이 시험을 준비하는 과정에서 미리 알고 있으면 좋을 팁 몇가지를 공유하고자 한다.
OSCP 시험은 오지선답중에 모르면 무조건 3번을 찍는 객관식 시험이나 이해하지 못해도 무작정 외어서 통과할수 있는 주입식 교육에 익숙한 한국인에겐 너무나도 당황스러운 시험이다. 일단, 악명 높은 OSCP 시험 난이도는 둘째치고, 아래와 같이 시험 구성이 굉장히 특이하다.
공식 OSCP Exam Guide 중
OSCP 인증 시험은 소수의 취약한 시스템이 포함된 사설 VPN의 라이브 네트워크를 시뮬레이션합니다.
시험을 완료하는 데 23시간 45분이 주어집니다.
즉, 시험이 09:00 GMT에 시작되면 시험은 다음 날 08:45 GMT에 종료됩니다.
시험이 끝나면 24시간 동안 문서를 업로드해야 합니다.
즉, 첫 24시간 (정확히는 23시간 45분) 동안은 실습 해킹, 다음 24시간 동안 리포트 작성 시간으로 총 48시간 동안 논스톱으로 진행되며, 처음 24시간 동안에 6개 중 5개 이상의 타겟 컴퓨터를 직접 해킹해야 하며 , 거기서 끝나지 않고 바로 영어로 리포트까지 써야하는 극악무도의 난이도를 자랑한다.
최근에는 Active Directory 타겟이 포함되어 있는데 Active Directory 해킹에 대해 가르치는 학교나 학원, 강의는 찾아 보기 어렵기 때문에 상당한 수준의 실력과 멘탈이 요구되는 시험이라고 할 수 있다.
OSCP를 공부했던 과거 나의 모습...