[CISSP] 시험정보 / 후기 / 접수방법 / 공부방법

2022년 6월 합격한 CISSP 자격증

CISSP는 Certified Information Systems Security Professional 의 약자로, 국제공인정보시스템보안전문가 자격이다.
ISC2(International Information Systems Security Certification Consortium) 라는 기관에서 주관해서 시행되며
정보보안기사, CISA와 함께 국내에서는 보안 3대 자격증으로 잘 알려져 있다.
(정보보안기사 후기 : https://hackingstudypad.tistory.com/24)
(CISA 후기 : https://hackingstudypad.tistory.com/47)

보안쪽 업무를 해본사람이라면 무조건 들어봤을것이다.
그만큼 이 분야에서 아주 공신력있는 자격증이다.

사실 아직 시험만 합격한 상태이고, 정식적인 자격증은 받지 못했다.

CISSP 시험을 치고 고사실에서 나오면 맨 위에있는 사진처럼 바로 합격/불합격을 알 수있다.
만약 합격이라면 저렇게 예비 합격 소식을 전하는 출력물을 만나게 된다.

예비 합격이 되면, 부정행위가 없었는지 추가적인 포렌식 조사를 수행한 후에
아래처럼 최종합격 소식을 메일로 통보해준다.

자격증 시험만 붙었다고 끝이 아닌데,
정식 CISSP가 되기 위한 경력을 요구하기 때문이다.

• (ISC)² CISSP CBK 8개 도메인 (Domain) 중 최소 2개 이상의 도메인과 직접적으로 관련된 정보 보안 업무를 수행한 5년 이상의 경력
• 혹은, 4년제 대학교 학위가 있을 경우 경력 1년 차감. (ISC)² CISSP CBK 8개 도메인 중 최소 2개 이상의 도메인과 직접적으로 관련된 정보 보안 업무를 수행한 4년의 경력과 4년제 대학교 학위
• 혹은, (ISC)² 가 인정한 자격증이 있을 경우 경력 1년 차감. (ISC)² CISSP CBK 8개 도메인 중 최소 2개 이상의 도메인과 직접적으로 관련된 정보 보안 업무를 수행한 4년의 경력과 (ISC)² 가 인정한 자격증

한국CISSP협회 홈페이지에 있는 글을 가져왔다.(https://isc2chapter.kr/page.php?p=cissp)

CISSP가 되려면 보이는것처럼
ISC2가 정한 8개 도메인과 관련된 분야에서 5년 이상의 경력이 필요하다.

• 보안 및 위험 관리 (Security and Risk Management)
• 자산 보안 (Asset Security)
• 보안 아키텍처 및 엔지니어링 (Security Architecture and Engineering)
• 통신 및 네트워크 보안 (Communication and Network Security)
• 신원 및 접근 관리 (Identity and Access Management)
• 보안 평가 및 테스트 (Security Assessment and Testing) (IAM)
• 보안 운영 (Security Operations)
• 소프트웨어 개발 보안 (Software Development Security)

8개 도메인은 위와 같다.

여기서 만약 4년제 대학교 학위가 있거나, CISA 같은 자격증이 있다면 1년의 경력이 인정되어
4년의 경력만 충족하면 된다.

나는 시험은 붙었으나 아직 경력이 살짝 모자라서 조금 더 기다려야 한다...ㅎ

정식적으로 자격을 얻기 전까지는 이렇게 Associate 라고 표시가 된다.

반응형

CISSP 시험 역시 CISA 시험처럼 CBT로 치뤄진다.
정해진 시험센터에 가서 CBT로 시험을 치면 되는데
국내에는 서울과 대구에밖에 시험센터가 없다.

시험일정은 별도로 정해져 있는게 아니라, 그냥 시험센터가 여는 날이면 된다.

이런식으로 시험 접수할때 시험 칠 수 있는 날짜가 활성화되어서 보여지는데
자기 일정과 시험센터 일정을 잘 맞춰서 준비된 날짜에 가서 시험치고 오면 된다.

시험센터에 갈때는 신분증을 꼭 챙겨가도록 하자. 혹시모르니 다른종류로 2개 가져가면 좋을듯 하다.
나는 여권과 운전면허증을 가지고 갔다.

고사실은 주머니까지 다 검사하고나서 입장이 가능했다.
고사실에 가면 엄청 높은 파티션에 컴퓨터 한대씩 놓여있는데
거기 앉아서 혼자 시험치고 나오면 된다.

집중할 수 있게 이어플러그와 방음귀덮개가 제공이 된다.

CISSP 시험은 총 360분 동안 250문제를 풀면 된다.
만점은 1000점이고, 700점 이상 득점하면 합격이다.(몇점 득점했는지는 안가르쳐주는거 같다.)
가장 중요한건 한번 푼 문제는 다시 풀수 없다.(무조건 직진밖에 없다. 진짜 신중하게 찍어야한다.)
한글로도 제공이 되긴 하는데 문제는 역시 어색한 번역투이다..
문제를 읽으면 한번에 이해가 안돼서 몇번씩 읽은 문제가 꽤 있었다.

CISSP 역시 정보보안전문가로써 취득한 사람의 지속적인 발전를 요구한다.
CPE라고 해서 매년 보안과 관련된 교육을 이수하고, 수료증 같은걸 제출해서 이 점수를 유지해야한다.
3년간 120CPE를 유지해야만 자격이 계속 반영구적으로 유지된다.


https://korea.pearsonvue.com/Clients/ISC2.aspx

(ISC)2 :: Pearson VUE

시험 접수는 위 링크에서 할 수 있다.

여기서 계정을 만들고, 로그인을 한 뒤에

시험보기 버튼을 눌러 예약하면 된다.

시험 찾기에서 CISSP를 검색해주고

시험 언어도 선택해준 뒤에

응시료를 결제하면 시험을 볼 수 있다.

지금 타이밍이 너무 안좋은게
환율이 올라서 시험비가 94만원이나 한다..ㅠ
한번 떨어지면 피눈물이 날 테니 잘 준비해서 가시길..

시험 준비는 CISA, CISSP 등 시험인강으로 유명한 L사의 책과,
프리렉에서 출판한 정보보안1000제를 이용했다.

노란색 책이 기본서인데 각각 5회독 정도 했다.
정보보안기사를 공부해본 사람이라면 별로 어렵지 않게 읽힐것이다.

파란색 책이랑 초록색 책이 문제집인데
파란색 책은 4번정도 풀어봤고 초록색 책은 10번 풀었다.
이 안에 있는 문제들 통째로 다 외워버리겠다는 생각으로 그냥 무작정 풀었다.

그렇게 풀고도 불안해서 정보보안1000제를 구매했고,
1000제는 시스템 보안, 네트워크 보안, 정보 보안, 운영 보안, 물리 보안 파트만 3번 풀었다.
왜 저 부분만 풀었냐면 1000제 책 자체가 CISSP 만을 위한 책은 아니라서
국내 법규 관련된 그런 내용들도 있어서 그런 부분은 과감하게 제외했기 때문이다.

이렇게 까지 열심히 공부한 이유는
시험비가 너무너무 비쌌기 때문이다..
무조건 한번에 붙어야하는 시험이다.

사실 CISSP 시험을 치면서 위에있는 문제집들에서 본 문제는 250문제 중
2 ~ 3문제 정도 안되는것 같다.
그럼에도 계속 반복해서 문제를 푸는 이유는
CISSP의 방식으로 생각하기 위함이다.
시험에서 요구하는 사고를 하기 위해서 계속 뇌를 트레이닝 시키는 것이다.
(그렇게 해놓고도 실제 시험칠때는 아 망했다.. 떨어졌다.. 라고 생각했다.)

CISSP 시험은 어렵다.
저기 문제집에 있는 예상문제들 풀다보면, 이정도면 보안기사보다 쉬운거 같은데? 라는 생각이 틀텐데
실제 시험장에서 마주한 문제들은 깡패가 따로없었다..
그러니까 문제와 답만 외우지 말고, 생각하는 능력을 꼭 기르도록 하자.