CISSP (Certified Information System Security Professional) 시험 준비 과정

CISSP에 대한 관심

CISSP 자격증에 관심을 갖게 된 것은 2020년 무렵이었던 것 같다. 휴대폰 사업부에 있다가 CTO 부분으로 옮기면서 다양한 제품의 보안을 생각하게 되었고, 특히 자동차 업계에 보안 규제가 생기면서 그동안 업무 상으로 접했던 보안 기술들 뿐만 아니라 전반적인 보안의 큰 그림을 봐야 할 필요가 생기게 되었다. 또한 개인적으로 자격증 등을 취득해 전문성을 더 높이고 싶다는 바램도 있었다. 

그래서 보안 분야에서 자격증을 찾아보니 상당히 많은 것들이 있는데, 구체적으로 잘 알려진 자격증 중에서 업무와 연관성도 있고 취득이 가능해 보이는 자격증은 국내에는 정보보안기사, 해외에는 CISSP(Certified Information System Security Professional)과 CISA(Cybersecurity and Infrastructure Security Agency) 정도였다. 이중 정보보안기사는 실무 레벨에 가깝고 CISA는 감사인의 관점, CISSP은 관리자급 레벨에 해당하는 자격증이어서 CISSP에 한번 도전해볼까 하는 생각을 하게 되었다.

야심차게 책을 사다

그래서 Sybex에서 나온 CISSP Official Study Guide와 CISSP Official Practice Tests 책을 아마존에서 구입했다. 2020년말이나 2021년 초에 구매한 거 같은데 당시 2021년도 개정판이 나오기 전이어서 2018년판이었다. 그래서 Official Study Guide 책으로 야심차게 공부를 시작했는데... 이 책은 두께가 5cm가 넘고 1000페이지가 넘는 책이다. 앞에서부터 차근차근 공부해 나가는 게 나름 처음에는 재미도 있었지만 문제는 너무 많은 시간이 걸린다는 것이었다. 다른 일을 전폐하고 공부만 하면 모를까, 시간 날 때 틈틈히 하는 식으로는 책을 다 읽는데만 1년 넘게 걸릴 것 같았다.

지지부진한 시험 준비

그렇게 흐지부지 공부하는 둥 마는 둥 하다가, 2022년말 경에 회사에서 국제 자격증 취득을 위한 지원(시험 응시료)을 해준다는 말을 듣고 다시 본격적으로 공부를 해봐야겠다 마음을 먹게 되었다. 한국에서는 라이지움이라는 곳에서 주로 CISSP 강의가 이루어지고 그 교재로 공부를 많이 한다고 들어서 무료 설명회에도 참석했었고, 정보보안 문제 공작소라는 네이버 카페에 가입하고 정보 보안 1000제라는 책도 사서 카페 정회원 가입 인증도 했었다.

그때는 한국에서 CISSP 시험을 볼 수 있었고, 심지어 한국어로도 시험을 볼 수 있었다. 단, 영어로는 CAT (Computerized Adaptive Testing) 시험으로 보게 되나, 한국어로는 아직 기존 리니어 방식 시험만 가능했던 시기였다. 영어책으로 공부하고 영어 CAT 시험을 신청해서 볼까, 아니면 라이지움 강의를 듣고 공부하고 한국어 시험을 볼까 고민만 하다가 시험 신청은 못하고, Official Study Guide 책만 틈틈히 보는 것으로 또 그렇게 2023년 한 해가 지나가 버렸다. 

CISSP 시험 한국에서 철수

2024년이 되어 이제 더는 미루지 말고 시험을 봐야겠다 다짐했으나 잠시 머뭇거리는 사이 4월에 CISSP 시험이 한국에서 철수해 버렸다는 황당한 소식을 듣게 되었다. ISC2 홈페이지에 들어가보면 전세계에서 시험이 불가하다고 표시되는 딱 2개 국가가 있는데 바로 중국과 한국이다. 뭔가 오해가 있는 것 아닐까, 곧 한국에서 시험이 재개되지 않을까 하고 기다렸는데, 연말이 되었는데도 CISSP 시험이 한국에서 재개될 기미는 보이지 않았다.

결국 이렇게 미루기만 하다가는 영원히 시험도 못보게 될 것 같아, 1월 초에 일본 후쿠오카에서 시험 보는 것으로 예약을 해 버렸다. 어차피 한국어 시험은 없어졌으므로 영어로 CAT 시험을 보는 것 외에 다른 선택은 없어졌다. 이럴 거였으면 진작 한국에서 영어 CAT 시험을 볼 것을... 일년 정도만 빨리 움직였더라면 시간과 돈을 아꼈겠지만, 일본에서 시험을 봤기 때문에 그만큼 더 절박하게 준비할 수 있었던 것도 사실이었던 것 같다. 다른 나라까지 시험 보러 여러번 가기는 어려운 일이니 한번에 붙어야 하니까.

본격적인 시험 준비 과정

시험까지는 한달하고 열흘 정도의 시간이 남아 있었기에 시간을 효율적으로 사용해야 했다. 일단 링크드인러닝에 있는 Mike Chapple의 CISSP 강의과 유튜브에 있는 CISSP Cram 강의를 들었다. 짧지 않은 길이의 강의지만, 솔직히 이런 강의들은 CISSP 8개 도메인에 어떤 내용들이 있다는 것을 한번씩 훑어주는 역할을 하는 것이지 이것만 들어서는 그 내용들을 제대로 이해하기는 어렵다. 그래도 전혀 모르던 것들에 대해 "이런 것도 있구나"하는 식으로 전체 내용을 빠르게 확인하는 데는 도움이 된다. 특히 내가 가진 교재는 2018년판이라 그 후에 2021년판, 2024년판 두번이나 새 버전이 나왔기 때문에, 새로 추가된 내용을 확인하는 데는 이런 강의들이 유용했다.

CISSP Official Practice Tests 책은 새 버전을 구매했고, 책 뒤에 있는 가이드대로 온라인 Test Bank에 가입하면 책에 있는 모든 연습문제를 온라인으로 풀 수 있다. 책을 들고 다니지 않아도 된다는 편리한 점 외에도, 휴대폰에서도 얼마든지 문제를 풀 수 있다는 장점, 그리고 정답 여부를 곧바로 알 수 있고 해설도 바로 볼 수 있다는 점이 책보다 훨등히 좋은 점이다. 그리고 Pocket Prep이라는 휴대폰 앱을 깔고 CISSP 시험을 선택한 후, 한달간 유료 회원 등록을 했다. CISSP 시험용 문제 총 1000개가 제공되는데, 멤버십은 기간제로 되어 있어 한달에 약 20불이다. 

이렇게 한달 간은 시간을 내서 공부한 것은 물론, 잠깐잠깐 나는 짜투리 시간까지 유튜브 강의를 듣거나 문제를 푸는 시간으로 거의 채웠다. 그리고 연습문제를 풀면서 전체적인 컨셉이 잘 이해가 안가는 내용들을 따로 교재에서 찾아보며 공부했다. 추가로 위에서 소개한 1000제의 문제들과 카페에 있는 정보들을 간간히 살펴보았다.

합격 그 이후

지금 돌이켜 생각해 보면, 자격증 취득도 취득이지만 그걸 위해 공부하는 과정 자체가 큰 도움이 되지 않았나 싶다. 내 업무는 CISSP 도메인 중 세번째인 Security Architecture and Engineering에 집중되어 있어서 다른 분야는 솔직히 잘 몰랐었는데, 그동안 공부하는 과정을 통해서 risk management, network 보안, SSO, BCP/DRP, 그리고 물리보안의 중요성 등 전반적인 보안에 대해 균형잡힌 지식과 시각을 가지게 되었다. 따라서 CISSP 자격증에 관심을 가지는 이들에게 시험에 붙기 위한 특별한 공부 방법을 추천하기보다는, 각 도메인에서 다루는 주제들에 대해 제대로 된 지식을 가질 수 있도록 깊이 있게 공부하기를 권하고 싶다.

나도 이번에 시험에 합격하기는 했지만, 1000점 만점에 700점을 넘긴 수준일 뿐 아직 CISSP에서 다루는 많은 내용에 대해 다 안다고 말하기가 힘들다. 게다가 다른 IT 분야도 마찬가지지만 보안 분야는 계속해서 새로운 것들이 쏟아져 나오는 분야라, 끊임없이 공부하지 않고는 자격증은 그야말로 종이 쪼가리로 전락하고 말 것이다. 회사에 CISSP 자격증에 관심이 있는 후배들이 좀 있어서, 그들을 도우며 나 스스로도 더 배우고 지식을 새롭게 하기 위해 꾸준히 노력할 예정이다.

일본 후쿠오카에서 CISSP 시험 보기

CISSP(Certified Information Systems Security Professional)은 정보보안 업계에서 알아주는 국제 자격증이다. 그런데 어떤 이유에서인지 2024년 4월 이후로 한국에서는 CISSP 시험을 볼 수 없게 되었다. CISSP 자격증에 대한 소개 등은 이미 잘 소개된 블로그 등이 많으나, 한국에서 시험이 중지된 이후 다른 나라에서 CISSP 시험을 보았다는 후기가 없어 정보 공유 차원에서 글을 작성하고자 한다. 

CISSP 시험은 피어슨뷰(Pearson VUE) 테스트 센터에서 치러진다. ISC2 홈페이지에서 시험을 신청하면 자동으로 피어슨뷰 사이트로 이동하며, 여기서 가까운 시험장을 선택할 수 있다. 안타깝게도, 한국에 있는 시험장들을 선택하면 응시 가능한 시험 날짜가 없다고 나온다. 일본이나 중국에 시험장이 있는데, 현재 전세계에서 CISSP 시험이 중단된 두 나라가 중국과 한국이기 때문에 중국 시험장은 별 의미가 없을 것이다. 일본에는 가까이 후쿠오카와 오사카에 시험장이 있는데, 후쿠오카가 한국에서 더 가깝기도 하고, 특히 공항에서 시내까지의 접근성이 매우 좋은 도시여서 후쿠오카를 선택했다. 

후쿠오카의 시험장은 시내 중심가인 하카타역에서 걸어서 2,3분 거리에 있다. 하카타역 인근에 호텔이나 쇼핑몰 등도 많기 때문에, 한국에서 시험을 보기 위해서 방문하기에 편리한 위치라 할 수 있다. 무엇보다 하카타역은 후쿠오카 공항에서 기차로 2정거장 거리라 매우 가깝다.  

피어슨뷰에서 확인하면 후쿠오카 테스트센터에서 CISSP 시험은 매주 수요일 오전 10시에만 가능하다. 오사카는 일주일에 두번 가능했던 것 같다. 

어제 화요일 오전 비행기를 타고 후쿠오카에 도착했다. 오후에 후쿠오카에 도착해서 시험장 건물에 미리 가보았는데, 시험장인 7층에는 올라가보지 못했다. 아마 시험장 운영을 하지 않는 시간대에는 엘리베이터도 7층에 올라가지 못하도록 막아두는 듯 싶었다. 미리 한번 시험장 분위기도 보고 시험이 잘 예약되었는지 확인하고 싶었는데 위치를 확인한 것으로 만족해야 했다. 

오늘 시험 당일, 최소 30분 일찍 도착하라는 가이드도 있고, 어떤 유튜브 비디오에서는 한시간 정도 먼저 가라는 조언이 있어서 9시5분에 호텔을 나서서 9시10분 경 테스트센터에 도착했다. 다행히 엘리베이터는 7층까지 운행을 했다. 그런데 7층에 내리니 문이 잠겨 있고, 앞에 종이가 한장 붙어 있었다. 파파고 앱을 켜서 확인하니 시험 시작 30분 전에 문을 연다고 적혀 있었다. 9시20분 경에 남자 직원이 한명 출근하면서 기다리라고 이야기하고 들어갔고, 결국 9시30분 거의 다 되어서 문을 열어주었다. 앞에 앉아서 기다릴 의자도 없기 때문에 후쿠오카 시험장에 가는 분들은 9시30분에 딱 맞추어 가는 것이 좋을 것 같다. 

들어가서 여권과 신용카드, 그리고 휴대폰으로 이메일로 받은 시험 정보를 직원에게 보여주었다. 직원은 영어를 거의 하지 못해서 손짓으로 의사를 표시하거나 좀 길게 안내해야 할 것이 있으면 번역기 앱을 통해서 보여주었다. 이름과 시험 시작 시간 등을 적고, 시험에 대한 주의사항이 적혀 있는 종이를 읽어보라고 주면서 다 읽으면 알려달라고 했다. 그리고 다 읽은 후 다시 직원에게로 가자 손바닥 인증 스캔을 하는데, 기기의 문제인지 잘 인식이 안되어서 여러번 반복해서 시도하느라고 시간을 좀 많이 잡아 먹었다. 이후에 얼굴 사진도 찍었다. 

여권을 제외하고 가지고 온 것은 외투 포함 모두 라커에 넣어야 하고, 주머니에도 아무것도 없어야 한다. 여권은 가지고 들어가라고 했고, 화이트보드 비슷한 조그만 보드와 싸인펜 같은 것을 주고 시험 중에 필요하라면 메모를 하라고 했다. 시험 시작하고 OSI 모델 등 암기한 것들을 일부 적어 놓았는데 사실 보드를 쓸 일도, 찾아볼 일도 없었다. 

직원과 함께 시험장에 들어갔다. 시험장 맨 안쪽에 독립된 부스처럼 생긴 곳이었는데, 아마도 CISSP 시험은 여기서만 볼 수 있는 것 같다. 직원이 컴퓨터를 켜고 계정, 패스워드를 넣으니 CISSP 시험에 연결되었다. 이 연결에도 꽤 시간이 걸렸다. 여기서 이름과 좀전에 찍은 사진, 그리고 시험 종류(CISSP, 영어)를 확인하면, NDA가 뜨고 이에 동의하면 곧바로 시험이 시작된다. 

시험 중에 느낀 것은 생각보다 지식을 묻는 문제가 많다는 것이다. CISSP이 실무자 시험이 아니라 하이레벨의 관리자 시험이라고는 하지만, 단순히 마인드셋으로 생각해서 풀 수 있는 게 아니고, 해당 내용에 대해 잘 알고 있어야 풀 수 있는 문제가 대부분이었다. 이것저것 다 정답인 것 같은 애매한 문제들도 있었지만 의외로 그런 문제의 비중이 준비하면서 풀어봤던 연습문제들보다 더 적었던 것 같다. 

다만 연습문제들을 풀 때에 비해서 문제도, 보기도 좀 길다는 느낌이 들었고 영어를 읽고 제대로 이해하는데 시간이 많이 걸렸다. 게다가 고민해야 하는 문제를 만나면 한참 생각을 해야 하니... 이래저래 시간에 대한 압박을 느끼면서 문제를 풀어야 했다. 문장이나 단어의 수준 자체는 한국에서 고등교육을 받고 정보보안에 익숙한 사람이면 누구나 이해할 수 있는 정도이지만, 문제는 읽어야 할 양이 많다는 것이다. 참고로 나는 영어 리딩에는 크게 불편함을 느끼지 않는 수준으로, 10여년 전 봤던 아이엘츠 시험에서도 리딩은 3번 모두 9점 만점을 받았었다. 원서로 해리포터 같은 소설류나 자기개발서, 신앙서적 등을 읽는 것을 즐기는 편이라 평범한 직장인들보다는 영어로 된 글을 읽는 시간이 많은 편에 속할 것이다. 따라서 영어를 자주 접하지 않는 분들은 시간적으로 조금 더 압박을 느낄 수도 있을 것 같다. 

한 50문제 넘어가는데 한시간이 조금 더 걸렸고, 이미 지치기 시작한 거 같다. 그래도 다행히 집중력이 흐트러지지는 않았고, 어려운 문제를 만나도 멘붕 상태로 멍하니 있는 상황에 빠지지 않았다. 이거 하나 틀린다고 뭐 달라지랴 하는 마음으로 적당히 고민하고 적당히 결론짓고 다음 문제로 넘어갔다. 딱 두 시간이 될 즈음에 100번째 문제가 끝났고, 바로 설문으로 넘어갔다. 설문은 3분 준다는데 13개인가 있었는데 9번 답변하다가 3분이 다 지나서 끝났다. 

시험을 보면서 긴가민가한 문제가 20여개 이하, 진짜 모르겠어서 거의 찍다시피 한 문제는 5개 이하이고 나머지는 거의 확신을 가지고 답했기 때문에 100번 문제에서 끝났을 때 탈락할 거라는 생각은 안 들었고 결과는 예상대로 합격! 멀리 일본까지 비행기값 들여서 시험보러 왔는데 탈락하면 돈도 시간도 엄청난 낭비에다 주변 보기도 민망할 것을 우려해 막판까지 열심히 공부한 보람이 있었던 거 같다. 

연습문제는 Official Study Guide와 Official Practice Test, 그리고 휴대폰 앱 Pocket Prep을 이용했고 다 합쳐서 3000 문제 넘게 푼 거 같다. 연습문제와 똑같이 나온 건 하나도 없지만, 합격을 위해서는 연습문제는 꼭 풀어봐야 한다. 하지만 실제 업무에서 경험한 것들, Official Study Guide 보면서 제대로 컨셉 정리한 것들, 연습문제 해설을 보면서 설명이 이해 안되거나 부족한 부분은 웹 검색하면서 찾아보고 공부한 것들이 없었다면 단순히 문제를 푸는 것으로는 합격하기 어려웠을 것 같다. 준비 과정에 대해서는 나중에 따로 하나 글을 더 쓰면서 정리할 예정이다.