CISSP에 대한 관심
CISSP 자격증에 관심을 갖게 된 것은 2020년 무렵이었던 것 같다. 휴대폰 사업부에 있다가 CTO 부분으로 옮기면서 다양한 제품의 보안을 생각하게 되었고, 특히 자동차 업계에 보안 규제가 생기면서 그동안 업무 상으로 접했던 보안 기술들 뿐만 아니라 전반적인 보안의 큰 그림을 봐야 할 필요가 생기게 되었다. 또한 개인적으로 자격증 등을 취득해 전문성을 더 높이고 싶다는 바램도 있었다.
그래서 보안 분야에서 자격증을 찾아보니 상당히 많은 것들이 있는데, 구체적으로 잘 알려진 자격증 중에서 업무와 연관성도 있고 취득이 가능해 보이는 자격증은 국내에는 정보보안기사, 해외에는 CISSP(Certified Information System Security Professional)과 CISA(Cybersecurity and Infrastructure Security Agency) 정도였다. 이중 정보보안기사는 실무 레벨에 가깝고 CISA는 감사인의 관점, CISSP은 관리자급 레벨에 해당하는 자격증이어서 CISSP에 한번 도전해볼까 하는 생각을 하게 되었다.
야심차게 책을 사다
그래서 Sybex에서 나온 CISSP Official Study Guide와 CISSP Official Practice Tests 책을 아마존에서 구입했다. 2020년말이나 2021년 초에 구매한 거 같은데 당시 2021년도 개정판이 나오기 전이어서 2018년판이었다. 그래서 Official Study Guide 책으로 야심차게 공부를 시작했는데... 이 책은 두께가 5cm가 넘고 1000페이지가 넘는 책이다. 앞에서부터 차근차근 공부해 나가는 게 나름 처음에는 재미도 있었지만 문제는 너무 많은 시간이 걸린다는 것이었다. 다른 일을 전폐하고 공부만 하면 모를까, 시간 날 때 틈틈히 하는 식으로는 책을 다 읽는데만 1년 넘게 걸릴 것 같았다.
지지부진한 시험 준비
그렇게 흐지부지 공부하는 둥 마는 둥 하다가, 2022년말 경에 회사에서 국제 자격증 취득을 위한 지원(시험 응시료)을 해준다는 말을 듣고 다시 본격적으로 공부를 해봐야겠다 마음을 먹게 되었다. 한국에서는 라이지움이라는 곳에서 주로 CISSP 강의가 이루어지고 그 교재로 공부를 많이 한다고 들어서 무료 설명회에도 참석했었고, 정보보안 문제 공작소라는 네이버 카페에 가입하고 정보 보안 1000제라는 책도 사서 카페 정회원 가입 인증도 했었다.
그때는 한국에서 CISSP 시험을 볼 수 있었고, 심지어 한국어로도 시험을 볼 수 있었다. 단, 영어로는 CAT (Computerized Adaptive Testing) 시험으로 보게 되나, 한국어로는 아직 기존 리니어 방식 시험만 가능했던 시기였다. 영어책으로 공부하고 영어 CAT 시험을 신청해서 볼까, 아니면 라이지움 강의를 듣고 공부하고 한국어 시험을 볼까 고민만 하다가 시험 신청은 못하고, Official Study Guide 책만 틈틈히 보는 것으로 또 그렇게 2023년 한 해가 지나가 버렸다.
CISSP 시험 한국에서 철수
2024년이 되어 이제 더는 미루지 말고 시험을 봐야겠다 다짐했으나 잠시 머뭇거리는 사이 4월에 CISSP 시험이 한국에서 철수해 버렸다는 황당한 소식을 듣게 되었다. ISC2 홈페이지에 들어가보면 전세계에서 시험이 불가하다고 표시되는 딱 2개 국가가 있는데 바로 중국과 한국이다. 뭔가 오해가 있는 것 아닐까, 곧 한국에서 시험이 재개되지 않을까 하고 기다렸는데, 연말이 되었는데도 CISSP 시험이 한국에서 재개될 기미는 보이지 않았다.
결국 이렇게 미루기만 하다가는 영원히 시험도 못보게 될 것 같아, 1월 초에 일본 후쿠오카에서 시험 보는 것으로 예약을 해 버렸다. 어차피 한국어 시험은 없어졌으므로 영어로 CAT 시험을 보는 것 외에 다른 선택은 없어졌다. 이럴 거였으면 진작 한국에서 영어 CAT 시험을 볼 것을... 일년 정도만 빨리 움직였더라면 시간과 돈을 아꼈겠지만, 일본에서 시험을 봤기 때문에 그만큼 더 절박하게 준비할 수 있었던 것도 사실이었던 것 같다. 다른 나라까지 시험 보러 여러번 가기는 어려운 일이니 한번에 붙어야 하니까.
본격적인 시험 준비 과정
시험까지는 한달하고 열흘 정도의 시간이 남아 있었기에 시간을 효율적으로 사용해야 했다. 일단 링크드인러닝에 있는 Mike Chapple의 CISSP 강의과 유튜브에 있는 CISSP Cram 강의를 들었다. 짧지 않은 길이의 강의지만, 솔직히 이런 강의들은 CISSP 8개 도메인에 어떤 내용들이 있다는 것을 한번씩 훑어주는 역할을 하는 것이지 이것만 들어서는 그 내용들을 제대로 이해하기는 어렵다. 그래도 전혀 모르던 것들에 대해 "이런 것도 있구나"하는 식으로 전체 내용을 빠르게 확인하는 데는 도움이 된다. 특히 내가 가진 교재는 2018년판이라 그 후에 2021년판, 2024년판 두번이나 새 버전이 나왔기 때문에, 새로 추가된 내용을 확인하는 데는 이런 강의들이 유용했다.
CISSP Official Practice Tests 책은 새 버전을 구매했고, 책 뒤에 있는 가이드대로 온라인 Test Bank에 가입하면 책에 있는 모든 연습문제를 온라인으로 풀 수 있다. 책을 들고 다니지 않아도 된다는 편리한 점 외에도, 휴대폰에서도 얼마든지 문제를 풀 수 있다는 장점, 그리고 정답 여부를 곧바로 알 수 있고 해설도 바로 볼 수 있다는 점이 책보다 훨등히 좋은 점이다. 그리고 Pocket Prep이라는 휴대폰 앱을 깔고 CISSP 시험을 선택한 후, 한달간 유료 회원 등록을 했다. CISSP 시험용 문제 총 1000개가 제공되는데, 멤버십은 기간제로 되어 있어 한달에 약 20불이다.
이렇게 한달 간은 시간을 내서 공부한 것은 물론, 잠깐잠깐 나는 짜투리 시간까지 유튜브 강의를 듣거나 문제를 푸는 시간으로 거의 채웠다. 그리고 연습문제를 풀면서 전체적인 컨셉이 잘 이해가 안가는 내용들을 따로 교재에서 찾아보며 공부했다. 추가로 위에서 소개한 1000제의 문제들과 카페에 있는 정보들을 간간히 살펴보았다.
합격 그 이후
지금 돌이켜 생각해 보면, 자격증 취득도 취득이지만 그걸 위해 공부하는 과정 자체가 큰 도움이 되지 않았나 싶다. 내 업무는 CISSP 도메인 중 세번째인 Security Architecture and Engineering에 집중되어 있어서 다른 분야는 솔직히 잘 몰랐었는데, 그동안 공부하는 과정을 통해서 risk management, network 보안, SSO, BCP/DRP, 그리고 물리보안의 중요성 등 전반적인 보안에 대해 균형잡힌 지식과 시각을 가지게 되었다. 따라서 CISSP 자격증에 관심을 가지는 이들에게 시험에 붙기 위한 특별한 공부 방법을 추천하기보다는, 각 도메인에서 다루는 주제들에 대해 제대로 된 지식을 가질 수 있도록 깊이 있게 공부하기를 권하고 싶다.
나도 이번에 시험에 합격하기는 했지만, 1000점 만점에 700점을 넘긴 수준일 뿐 아직 CISSP에서 다루는 많은 내용에 대해 다 안다고 말하기가 힘들다. 게다가 다른 IT 분야도 마찬가지지만 보안 분야는 계속해서 새로운 것들이 쏟아져 나오는 분야라, 끊임없이 공부하지 않고는 자격증은 그야말로 종이 쪼가리로 전락하고 말 것이다. 회사에 CISSP 자격증에 관심이 있는 후배들이 좀 있어서, 그들을 도우며 나 스스로도 더 배우고 지식을 새롭게 하기 위해 꾸준히 노력할 예정이다.
