2019 CISA 합격수기

올해의 자기계발 목표는 CISA, CISSP 자격을 취득하는 것이였고 5월 초부터 3개월 가량 준비했던 CISA 시험을 합격하여서 간략한 수기를 남겨본다.

CISA 시험 합격인증!

사실 막연한 보안자격증인줄 알고 시작은 했지만, 공부를 하면서 느꼈던 것은 보안보다는 IT 감사에 가까운 시험이다. 감사인이 IS(IT) 감사를 하기 위해 준비하는 시험인 게 정확한 표현같다.

워낙 생소한 자격증이다 보니, 학원 인강을 통해 자격증을 준비하였다. 보안쪽에서 누구나 알만한 ‘L사‘의 인강을 들었고 실제로 4월 초쯤에 인강을 신청하였으나 5월 초쯤에 공부를 시작했기에 실질적인 공부기간은 2개월 반 ~ 3개월 가량 되었다.

CISA

시험은 총 150문항으로 되어있으며, 각각의 도메인(과목)은 다음과 같다.

• IS감사 프로세스 (Information System Auditing Process)
• IT 지배 및 관리 (Governance and Management of IT)
• 정보시스템 구입, 개발 및 구현 (Information Systems Acquisition, Development, and Implementation)
• 정보 시스템 운영, 사업 연속성 (Information Systems Operations and Business Resilience)
• 정보자산의 보호 (Protection of Information Assets)

참고로 CISA 시험은 상대 평가성 절대 평가로서, 환산점수 800점 만점 중 환산점수 450점 이상이면 합격으로 인정된다. 그러므로 150문제 중 113(75%)를 맞추거나 단순히 800분의 450을 맞추어야 하는것이 아니라, 상대적으로 잘 보는 것이 중요하다. (나의 경우에는 합격 후 점수가 476점 였는데 썩 만족스러운 점수는 아니나… 자격증 시험은 합격하면 장땡이니…)

학습방법

• 학습기간 : 약 3개월 (5월 초 ~ 8월 중순)
• 본강의(동영상) : 시청 1회, 교재 2회
• 문제풀이(직강) : 오프라인 강의참석 1회, (도메인 1,2,3만)시청 1회, 교재 2회
• 1630제 문제집: 교재 1회, 틀린 것 1회 반복

도메인 1,2,3가 생소하였던 내용이라 인강을 1배속으로 천천히 보았고 나머지 4,5도메인의 경우는 기술적인 내용과 정보보안기사/정보처리기사 에서도 충분히 커버되었던 내용이라 빠르게 보았다.

퇴근하고 집에오면 7시인데 그때부터 바로봐도 3시간이 넘는 강의라 상당히 힘이들었다. 인강만 보고 바로 잠이 들었을 정도이니…

주말에는 그 주에 들었던 강의내용을 바탕으로 개념서를 보았다.

문제풀이 교재는 전체 강의를 듣기 전까지는 보지 않았고, 책 뒤의 연습문제나 프린트물을 보았다. 물론 처음에는 대부분의 문제를 틀렸고 왜 틀리는지 이해도 되지 않았다..

6~7월에 피치못하게 다른 시험(리눅스마스터 1급)을 보게 되어서 잠시 CISA 공부를 못하였어서 내용을 잊었었는데 7월 중순부터 다시 공부를 이어 하였다.

이때부터 1630제 문제를 풀면서 복습을 했다.

그러던 와중 학원에서 6월 도메인 변경에 대한 특강이 있어서 해당 특강에 참였다.

크게 내용적으로 바뀌는 건 없었으나 지금까지 공부했던 것을 한번 더 정리할 수 있던 시간이였다.

8월 22일 종로의 솔데스크로 시험 접수를 하였고 남은 한달동안 기출문제(?)를 집중적으로 풀어보았다. 8월 초에 학원에서 문제풀이 특강도 신청하여서 수강하였다.

시험장 후기

8/22 목요일 종로 솔데스크에서 보았고, CBT 시험은 나 포함 2명이서 보았는데 다른분은 AWS 시험을 보시는 것 같았다.

미리 12:00 즘 종각에 도착해 근처 카페에서 1630제와 문제풀이 교제에서 틀렸던 문제를 복습하였다.

14:30 시험장으로 가서 간단한 설명을 들은 후 바로 시험장으로 입실하였다.

시험장에는 PC와 소음방지용 헤드셋(?)이 하나있고 의자에 앉아서 감독관이 기본적인 시험 셋팅을 해주면 내가 시험을 시작하는 방식이다.

간단한 3분짜리 시험안내 동영상을 보고 시험을 시작하였다.

전체 시험시간 4시간 중에 1시간을 문제번호 순으로 풀고, 다시 앞으로 가서 1시간을 1번부터 재검토를 하였다. 한 30% 정도의 문제가 Flag 체크되 있었다.

2시간이 조금 넘는 시간에 시험종료를 누르면, 10개 정도의 설문항문을 체크하고 다음으로 넘기면 바로 결과가 나온다.

결과는 “예비합격” 이였고, 기분좋게 퇴실할수 있었다.

따로 휴식시간은 따로 갖지 않고, 시험 시간은 2시간 30분정도 소요되었던 것 같다.

문제 난이도와 감사인의 마인드(?)

대다수 시나리오 형 문제들이였기, 단순 암기를 통해 문제를 풀기는 어려울 것이라 느꼈다. 여러 후기를 통해서도 미리 예상했던 바이다.

문제를 푸는 방법에 대해서 간략히 팁을 적자면, 일반 IT 직원이 아 감사인의 마인드로 빙의를 해야한다.

1) 어떠한 이슈가 벌어지면 직접 조치를 하기보단 해당 이슈에 대한 원인과 대응방안이 있는지 피감사인에게 질의할 것! (본인이 해결하려고 하지 않는다.)

2) 이슈 발생 시, 무조건 보고할 것 (일러바치기)

이러한 마인드로 문제를 푸니 답이 보이는 것이 있었다.

이러한 마인드컨트롤이 없으면 정말 아리송한.. 무엇을 묻는지 모르겠는 문제들이기에 이러한 훈련은 매우 중요하다고 생각한다.

공부하면서 보았던 CISA 책들

느낀 점

시험범위가 광대해서 처음 공부시 겁을 좀 먹었으나, 도메인 4~5의 내용은 보안을 공부하면서 대부분 알았던 지식들이고

도메인 1~3이 CISA 시험의 핵심이라고 느꼈다. 덤프를 보거나 문제를 많이 풀어보기보다는 여러가지 상황에서 주어진 4개의 보기 중 어느것이 감사인의 자세에 가까운가? 고민을 해보는 연습을 해보는 것이 좋다. 사실 처음 문제를 볼때는 4개의 보기가 모두 답같아서 조금 당황스러웠는데, 도메인들을 반복해서 공부할수록 답이 명확해진다.

개인적인 TIP

• CISA 시험후기를 많이 찾아서 읽어보는 것도 중요하다.

• 인터넷의 누군가 CISA 전체 도메인을 요약해놓은 것이 있어서 구글 드라이브에 정리했으니, 최종적으로 정리할 때 참고하면 좋다.

• 사실 외워야 할게 많은 시험은 아니지만, 그래도 몇개 외워야 할 것은 외워야 한다. (ex. 현장 감사의 순서, RTO/RPO 같은 용어들)

• 한글로 시험을 볼 순 있지만, 번역이 정말 개떡같은 시험중에 하나다. 문제를 풀어보면서 이 개떡같은 번역에 익숙(?)해 져야한다. 사실 워낙 악명높은 후기가 많다보니 실제로 시험볼때는 처음보는 단어 옆에 영어 원문이 적혀있긴 하더라..

마치며

만족스러운 점수는 아니지만… 어찌되었건 합격

현재 예비합격이라 5년의 경력사항을 제출하고 자격증을 기다리는 중이다. (자격증을 신청할때는 50$라는 비용을 내야한다…) 자격증을 따는 것이 실력을 뒷받침해주지는 않겠지만 그래도 노력한 만큼 결실을 남기게 되어 기쁘다.