기분 좋은 소식으로 여러분께 인사를 드립니다. 제목에서 예상할 수 있듯이, ISC2에서 시행하는 국제공인 정보시스템 보안전문가 자격증에 합격했습니다. 개인적으로 데이터 분야와 보안 쪽에 관심이 많아서 공부하고 있었는데, 이렇게 시험까지 합격하고 나니 기분이 더 좋습니다. 이 수기가 국제공인 정보시스템 보안전문가 자격증을 준비하는 분들께 작은 도움이 되길 바라며, 간단하게나마 시험 정보와 학습 방법을 소개하고자 합니다.
국제공인 정보시스템 보안전문가(CISSP1)는 미국에 본부를 두고 있는 ISC2가 시행하는 세계적으로 인정받은 자격 인증 제도입니다. 현재 국제적으로 공인되는 정보보호에 관한 자격증으로는 ISACA에서 주관하는 Certified Information Systems Auditor (CISA)와 Certified Information Systems Security Professional (CISSP)가 있습니다. CISA는 1987년도에 우리나라에 도입되었으나 CISSP는 2000년도에 국내에 처음으로 도입된 자격증으로써 현재 전세계적으로 널리 확산되고 있는 자격증입니다23.
이 글은 2012년 2월 25일에 시행했던 ISC24의 Certified Information Systems Security Professional (CISSP®) 시험 합격 수기입니다.
학습동기
필자는 현재 박사과정을 마치고, 박사후과정을 진행 중입니다. 필자는 데이터(Data) 분야를 좋아하고, 이 분야에 대한 학습을 진행하고 있습니다. 그러던 중, 현재 컴퓨터 세계에서 발생하고 있는 대부분의 사고가 데이터와 관련한 보안 문제라는 것을 알게 되었습니다. 그래서 보안 쪽에 관한 기초 지식이 필요함을 느끼게 되었습니다.
보안 쪽에 대한 지식의 부재로 정보를 얻기 위해 웹 서핑을 시작했습니다. 제가 원하는 것은 보안분야의 기초 지식베이스 확립입니다. 깊이 있는 보안 지식보다는 기본 지식베이스를 체계적으로 구축하는 방법을 찾았습니다. 첫 단계부터 깊이 있는 지식을 습득하는 것은 사실상 불가능에 가깝고, 효율적이지도 못합니다. 앞으로 보안분야에 관심이 생기더라도 지금 습득한 지식은 도움이 되겠지요.
관련 자료를 조사하던 중 ISC2의 CISSP와 ISACA의 CISA를 알게 되었습니다.
CISA와 CISSP를 고민하던 중, 보안분야의 지식 습득은 CISSP가 좋을 것 같아 선택했습니다. CISSP를 선택한 이유는 10개의 보안 도메인으로 구성되어 보안분야의 기초 지식베이스를 효과적으로 구축할 수 있다고 생각했습니다. 실제로 10개의 도매인을 학습하면서 많은 도움을 받을 수 있었습니다. 그동안 불분명하게 알고 있던 다수의 지식도 명확하게 이해할 수 있어 여러가지로 의미있는 시간이었던 것 같습니다.
학습을 하다보니 수준에 대해 냉정한 평가가 필요했습니다. 자격증 비용이 부담이 되어 시험에 응시할지 고민이 많았던 것도 사실이었습니다. 하지만 시험이 가장 좋은 평가 방법이라고 생각했기 때문에 시험에 응시하게 되었습니다.
학습방법
무슨 일을 하든 간에 뚜렷한 목표의식이 있어야 한다고 생각합니다.
필자는 보안분야의 기초 지식 베이스 구축을 위해 학습을 시작을 했었지만, 이 단락은 CISSP 시험의 합격을 목표로 설명하겠습니다.
CISSP 시험은 10개의 보안 도메인으로 구성되어 있으며, 각 도메인에 대한 학습량이 굉장히 방대합니다. 정보시스템을 중심으로 한 자격 프로그램이기 때문에, 컴퓨터/정보통신 공학을 전공하신 분은 조금 유리할 것 같습니다. 그렇지 않은 분이 접근하기에는 쉽지 않으리라고 생각합니다. 실제로 CISSP의 10개 도메인이 별것 아닌 것 같이 느껴지실지 모르겠지만, 제대로 학습을 시작하면 학습량이 상상(?)을 초월할 정도로 많음을 느끼실 수 있을 것입니다.
개인적으로 CISSP 시험을 독학으로 응시하는 것은 추천하고 싶지 않습니다. 컴퓨터/정보통신/보안 분야에 대한 다양한 경험과 지식을 보유하고 있으면 모르겠습니다만, 그렇지 않다면 좋은 결과를 얻기가 상당히 어려울 것 같습니다. 실제로 CISSP 수업에 참관한 후 시험에 응시하더라도 녹녹지 않을 것입니다.
필자는 서울 강남에 있는 라이지움(Lyzeum)에서 수업을 들었습니다. 처음에 큰 기대를 하고 수업에 참여했는데, 기대한 것과 달리 큰 실망을 했습니다. 개인적으로 라이지움의 교육과정은 자격증 취득을 위주로 하는 교육이라서 필자의 성향에 들어맞지는 못했던 것 같습니다. 한편으로 짧은(?) 시간에 여러 가지 지식을 전달하기 위해서는 라이지움에서 제공하는 교육과정이 효과적인 방법이라는 생각이 들기도 하더군요. 만약 강사님께 충분한 시간을 준다면, 더 훌륭한 교육을 진행할 수 있을 것 같습니다. 학원비가 꽤(?) 고가입니다만, 다양한 할인 혜택이 있으므로 자신에게 알맞은 과정을 찾아보세요.
라이지움에서 제작한 교재는 시험뿐만 아니라, 보안영역의 기초 지식을 습득할 때 유용합니다. 학원에 등록하지 못한 분은 보안전문 커뮤니티에서 구매하실 수 있을 것입니다. 하지만 라이지움의 교재는 내용이 너무 압축되어 요약되어 있으므로 다음 교재를 병행해서 학습하는 것을 추천합니다. CISSP All-in-One Exam Guide, 정보보호 전문가의 CISSP 노트 두 권 모두 보기 어려운 분은 정보보호 전문가의 CISSP 노트를 한 번 읽은 후에 라이지움 교재로 정리하는 것이 좋을 것 같습니다.
마지막으로 한 가지 팁을 추가하자면, CISSP는 국제시험입니다. 그러므로 국내 자격증 시험과는 다르게, 정확히 이해하지 못하면 풀이하기가 꽤 어렵습니다5. 문제를 읽고 보기를 봤을 때, 국내 시험과 다르게 특정 답안이 명확히 보이는 것이 많지 않습니다. 그러므로 단순 암기의 학습 방법을 지양하고, 이해하는데 초점을 맞춰서 학습하시는 게 유리합니다.
합격발표
CISSP는 1년에 3~4회 국내에서 진행하고 있습니다. 시험 장소는 서울이며, 다른 지역에는 없는 것으로 알고 있습니다. 대부분 동국대에서 시행됩니다. 필자처럼 지방에 거주하는 분들은 조금 번거로운 것이 사실입니다. 개인적으로 다른 지방에서도 응시할 기회가 마련되었으면 좋겠습니다.
CISSP 시험 장소에 들어서게 되면, 국내 시험과는 다르게 상당히 체계적으로 수험생을 관리하는 것을 알 수 있습니다. 입실 시간부터 퇴실 시간 관리뿐만 아니라 화장실 가는 시간까지 검사하는 것을 확인할 수 있습니다. 보안 전문가를 평가하는 시험이라 그런지 보안 관리에 대한 전문(?)성을 느낄 수 있었습니다. 개인적으로 여타 다양한 시험 경험이 있습니다만, CISSP처럼 체계적인 관리가 이루어진 시험은 처음이라 상당히 좋은 경험을 했다고 생각합니다.
CISSP는 시험을 본 후, 약 한 달 뒤에 합격/불합격 통지가 됩니다. 필자는 0시쯤에 이메일을 통해 합격 통지를 받았습니다. 외국에서 메일을 보내니 그 시간에 도착했겠지만, 그 시간에 통지되는 것은 아쉽기도 합니다. 늦은 시간이라 꽤 피곤했음에도 합격 메일을 받으니 기분이 좋았습니다. 한 가지 아쉬운 점은 제가 받은 점수가 궁금했었는데, 점수는 알려주지 않더군요. 다음에 확인을 해보니 합격을 하면 점수를 알려주지 않고, 불합격 시에는 점수를 알려준다고 하더군요.
시간이 지난 뒤 생각해보니 개인적으로 꽤 재미있었고, 인상 깊었던 시험이었습니다. 좋은 경험을 했다고 생각합니다.
마치면서
지금까지 ISC2에서 시행하는 CISSP 시험에 대한 간략한 소개와 학습 방법에 대해 알아보았습니다.
최근 들어 국내외에서 보안 쪽에 관한 관심과 투자가 급격하게 증가하고 있습니다. 이에 따라 보안분야의 인재를 필요로 하는 기업이 많아지고 있습니다. 그러나 안타깝게도 보안분야의 전문인력은 많이 부족한 것이 현실입니다. 또한, 법적인 문제로 말미암아 기업에서는 보안 관련 자격증을 취득한 사람을 채용하려고 합니다. 하지만 아이러니하게도 대부분 자격증은 보안분야의 도메인에 대한 실무경험을 요구하고 있습니다. 내년부터 국내에서도 보안 기사와 보안 산업기사 자격 프로그램6이 시행되는 것으로 알고 있습니다. 이 프로그램이 시행되면, 자신의 보안 지식 베이스를 평가하는 데 도움이 될 것 같습니다.
다시 시험 이야기로 들어가서 최근 들어 CISSP 시험 난이도가 급격하게 증가하고 있는 것으로 알고 있습니다. 저는 시험을 한 번밖에 보지 않아서 난이도에 대해 평가를 할 수 없습니다만, 전체적으로 합격률이 크게 낮아지고 있는 것은 사실인 것 같습니다. 하지만 시험을 위한 학습보다는 보안 지식 베이스를 효과적으로 구축하기 위한 목표 의식을 갖고 학습을 진행하면 좋은 결과를 얻을 수 있을 것 같습니다.
CISSP를 준비하고 계신 분이 이 글을 읽으신다면, 체계적으로 학습하셔서 좋은 결과 있으시길 희망합니다.
- Certified Information Systems Security Professional [본문으로]
- http://www.lyzeum.com/clas_info/summary.asp?Clas_Code=CC1359 [본문으로]
- http://www.cisspkorea.or.kr/cissp/sub.php?category=info&page=1 [본문으로]
- International Information Systems Security Certification Consortium [본문으로]
- 대다수 국제시험의 특성입니다. 개인적으로는 단순 암기시험보다는 이런 유형이 더 좋은 것 같습니다. [본문으로]
- 기존 SIS 자격증이 변경되는 것입니다. [본문으로]