2022년 1월 취득한 CISA 자격증
CISA는 Certified Information System Auditor 의 약자로, 국제공인정보시스템감사사 자격이다.
미국에 있는 ISACA(Information Systems Audit and Control Association) 이라는 기관에서 주관하며
정보보안기사, CISSP와 함께 보안 3대 자격증으로 잘 알려져 있다.
보안쪽 업무를 해본사람이라면 한번쯤 다들 들어봤을것이다.
그만큼 유명하고, 공신력있는 자격증이지만 시험접수할때 정보가 생각보다 많지 않아서
내가 직접 정리해보려한다.
나는 한번 떨어지고 두번째에 붙었다.
CISA 시험은 총 150문제가 출제되며 800점 만점에 450점 이상을 받으면 합격이다.
이게 점수만 보면 쉬워보이는데,
문제 난이도 별로 배점이 다달라서 실제로는 20~30문제 이상 틀리면 안된다.
첫번째 시험은 444점으로 떨어졌다.. 배점은 잘 모르지만 1~2 문제 차이일 것이다.
보통 CISA 합격 수기들을 읽어보면 시험공부를 5~6개월 정도 한다고 한다.
나는 공부시작한지 1.5개월만에 시험을 봤는데, 알수없는 자신감이 넘쳐흘렀기 때문이다.
패기롭게 시험쳤다가 바로 떨어져버렸다..
혹시 공부하다가 시험 붙을거같은 자신감이 든다면 다시한번 생각해보자.
남들이 5~6개월 공부하는데는 이유가 있다.
두번째 시험은 똑같은 수모를 겪지 않기 위해 이악물고 공부했다.
첫번째 시험 떨어진 뒤, 한달정도 쉬다가 다시 1.5개월 공부하고 시험을 쳤다.
도합 3개월 정도 공부한것이다.
결과는 529점으로 합격!
CISA 시험은 CBT로 치뤄진다. 예전에는 정해진 시험센터에 가서 CBT로 시험을 쳤었는데,
코로나 시국이라 그런지 집에서도 시험을 칠 수 있다!
시험 날짜도 시간도 자기가 원하는대로 선택할 수 있어서 준비만 되면 바로 시험치면된다.
몇가지 준비물만 구비하면 된다.
온라인 시험을 칠 때, 크롬이나 IE 같은 일반적인 브라우저를 사용하지 않고,
PSI Secure browser 라는 특수한 브라우저를 사용한다.
(시험 접수를 하면 다운받아서 설치할 수 있다.)
이 브라우저로 시험을 치기 위해서는 마이크, 카메라가 필수적으로 필요하다.
시험 치는 동안에 미국에 있는 시험감독관이 내 모습과 소리를 계속 들을 수 있도록 하기 위함이다.
한 2~3만원 정도면 저럼한 웹캠이나 게임용 마이크를 구매할 수 있으니 미리 준비하자.
CISA 시험은 응시료가 매우 비싸다
내가 한번 떨어지고나서 이악물고 공부한 가장 큰 이유가 여기에 있다.
일단 떨어지면 재정적 손실이 너무 크다..
맴버십 135달러 + 응시료 575달러 + 등록비 10달러 = 720달러를 내야한다.
거의 80~90만원 돈이 시험 한방에 태워진다.
진짜 떨어지면 눈물이난다.. 꼭 꼭 꼼꼼하게 준비해서 시험치자..
맴버십을 안하고 시험을 칠 수도 있는데, 그러면 더 비싸다.
어차피 자격증 발급하려면 맴버십 가입이 되어야 하기 때문에 그냥 미리 신청하는게 낫다.
온라인 시험 특성상 시험이 끝나면 바로 합격/불합격을 알 수 있다.
제출버튼을 누르고 조금 기다리면
불합격일 경우 불합격, 합격일 경우 '예비합격' 이라는 문구가 나온다.
그리고 나서 내 시험데이터에 대해 부정행위가 있는지 검증한 후,
10영업일 뒤에 위처럼 메일로 정식 결과를 통보해준다.
이때 불합격이 떠버리면 절망감은 진짜 상상도 할 수 없다..
시험을 합격하고 나서 바로 자격증을 받을 수 있는건 아니다.
CISA 자격을 얻을 수 있는 몇가지 요건을 충족해야 한다.
최소 5년 동안 IS 감사, 통제 및 보안관련 분야에서 근무한 경력 증명 제출해야 합니다.
이 사항은 다음과 같은 방법으로 경력 증명을 대체 할 수 있습니다
1) 총 1년간의 비 IS감사 경험 - 최대 1년까지 경력 대체 가능
2) 총 1년간의 정보시스템 경험 - 최대 1년까지 경력 대체 가능
3) 준학사 학위(60점 이수 또는 동등 학력) - 1년으로 경력 대체 가능
4) 학사학위(120점 이수 또는 동등 학력) - 2년으로 경력 대체 가능
5) 해당분야(컴퓨터공학, 회계, IS감사 등)에서의 각 2년간의 대학 전임강사 경력으로
1년간의 IS감사, 통제 또는 보안 경력 대체 가능
ISACA Korea Chapter 에서 공지한 내용을 발췌해왔다.
시험합격 뿐만 아니라 5년의 실무 경험도 증명을 해야한다.
나처럼 컴퓨터 관련된 학사학위가 있다면 2년이 인정되어 3년의 경력만 증명하면 된다.
경력 증명은 너무 걱정 안해도 되는게, 일단 CISA 시험을 합격하면
5년 동안 유예기간을 준다.
5년 안에 해당경력을 충족해서 증명하기만 하면 된다.
아직 경력이 없다면 시험 먼저 합격하고 천천히 준비해도 된다.
경력증명까지 다 했다면 자격증이 발급이 된다.
자격증 안타깝게도 영구적으로 유지되지 않는다.
CISA라는 자격은 정보시스템감사사로써 취득한 사람의 지속적인 발전를 요구한다.
CPE라고 해서 매년 보안과 관련된 교육을 이수하고, 수료증 같은걸 제출해서 이 점수를 유지해야한다.
1년간 최소 20CPE, 3년간 120CPE를 유지해야만 자격이 계속 반영구적으로 유지된다.
이래저래 많이 피곤한 자격증이다.
https://www.isaca.org/
Advancing IT, Audit, Governance, Risk, Privacy & Cybersecurity | ISACA
ISACA is a global association that provides IT professionals with knowledge, credentials, training and community in audit, governance, risk, privacy and cybersecurity.
www.isaca.org
시험접수는 ISACA 홈페이지에서 하면된다.
회원가입을 하고 CERTIFICATIONS 페이지로 가보면
CISA 시험 메뉴가 보일것이다.
Learn More을 클릭해서 들어간 뒤
Register Now 버튼을 눌러서 시험을 볼 수있는 바우처를 구매하면 된다.
이름쓰고, 주소쓰고, 이메일쓰고.. 한국에서 쇼핑하는것처럼 그냥 간단하게 구매하면 된다.
720달러를 내고 바우처를 구매하고나서 My ISACA 페이지로 들어간다.
Certifications & CPE Management 페이지를 가보면
빨간 동그라미가 표시된 부분에 버튼이 하나 활성화 되어있을 것이다.
지금 나는 시험을 합격한 상태라서 APPLY FOR CERTIFICATION 이라고 뜨는데
바우처 구매 직후라면 Schedule 어쩌고 하면서 일정을 선택하라는 버튼이 있을것이다.
그 버튼을 눌러서 내가 원하는 날짜, 시간을 선택한 뒤에 해당 시간에 맞춰서 시험을 보면 된다.
시험을 준비하면서 어려웠던건 관점의 변화? 라고해야하나 어떻게 표현할지는 잘 모르겠다.
보통 정보보안기사, 정보처리기사 등등 국내 자격증에서 보안과 관련된 내용이 시험문제로 출제될때
'방어하는사람' 또는 '공격하는사람'의 관점에서 문제가 출제가 된다.
예를들어, ddos 공격이 들어오면 어떻게 방어해야하나? ddos 공격의 원리는 무엇인가?
뭐 이런식일것이다.
하지만 CISA 시험은 철저하게 감사자 입장에서 시험이 출제된다.
예를 들자면 이런식이다.
어떤 조직을 감사중인 감사인이 현재 해당 조직이 ddos 공격을 받고있는것을 인지했다. 감사인으로서 해야할 행동으로 옳은것은?
이게 처음 공부를 시작하면 답을 찾아내기가 너무 헷갈린다.
그래서 항상 문제를 풀때마다 '나는 감사인이다..'를 되뇌이면서 풀었었다.
시험 준비는 CISA, CISSP 등 시험인강으로 유명한 L사의 책을 이용했다.
각 도메인별로 기본서 각 1권, 문제은행 1600제 1권 이다.
기본서는 각각 5회독 정도 했다.
책이 두꺼워 보이는데 왼쪽 페이지엔 내용이 써있고, 오른쪽 페이지엔 필기를 위한 여백으로 구성되어 있어서
실제 내용은 그렇게 많지는 않다.
1600제는 10회독 정도 했다.
이 안에 있는 문제를 다 외워버리겠다는 생각으로 풀고 또 풀었다.
하지만 CISA 시험문제가 계속해서 새로 출제되기에
실제 시험에서는 1600제에 있던 문제는5~6개? 혹은 그이하 였던것 같다.
그래서 공부하면서 '나는 감사인이다' 라는 생각을 해야하는 것이다.
그래야 새로운 문제들을 만났을때 잘 풀어낼 수 있다.
지금은 L사도 교재를 개정했을수도 있는데, 내가 공부했던 저 책에는
클라우드, MDM(Mobile Device Management), BYOD(Bring Your Own Device) 같은 내용들이 없었다.
첫번째 시험을 봤을때 저런 내용들이 꽤 많이 나왔는데 그쪽에서 많이 틀렸던거 같다.
책에 없는 내용들은 네이버 카페 같은곳에 CISA 공부하는 커뮤니티들이 있는데,
거기에서 사람들끼리 올리는 예상문제 같은걸 참고해서 공부했었다.
CISA 시험 관련해서 두서없이 정리했는데, 시험준비하는 사람들에게 많은 도움이 됐음 좋겠다.
'자격증 > IT·전산·보안' 카테고리의 다른 글
| [CISSP] 시험정보 / 후기 / 접수방법 / 공부방법 (85) | 2022.06.13 |
|---|---|
| [ADsP] 시험정보 / 후기 / 공부방법 (40) | 2022.03.26 |
| [정보통신기사] 시험정보 / 후기 / 합격률 / 공부방법 (55) | 2022.03.21 |
| [산업보안관리사] 시험정보 / 후기 / 공부방법 (52) | 2022.03.20 |
| [빅데이터분석기사] 시험정보 / 후기 / 합격률 / 공부방법 (44) | 2022.03.19 |