2020 CISSP(Certified Information System Security Professional) 합격후기

어쩌다 보니 블로그에 시험후기만 쓰는 것 같다. 코로나19로 인해서 블로깅이 조금 뜸해졌는데 다시 마음을 가다듬고 블로깅을 시작해보려고 한다. 보안에 대한 업무를 시작한 사회초년생때부터 보안에 관련한 자격증을 모두 취득하자는 목표가 있었고, 그 중 정보보안기사, CPPG, CISA를 취득한 상태여서 이제 남은 건 CISSP 뿐이였다. “왜 비싼 돈 주고 비슷한 자격증을 또 따냐?” 라는 말도 있엇지만 그래도 회사에서 자격취득 비용지원이 되고 알고 있던 내용을 한번 정리하는 겸 빠르게 취득해보기로 마음먹었다. CISSP 시험의 난이도가 예전에 비해서 많이 어려워졌다고 들었었는데 실제로 시험을 봐보니 얕잡아 볼 시험은 아니였지만, 기본기와 시험에 대한 요령(?)만 충분히 연습한다면 노력한 만큼 결실을 낼 수 있는 시험이다.

아래 후기는 라이지움 시험 후기에도 남겼던 내용입니다..

학습기간

• 학습기간 : 약 3개월
• 본강의(동영상): 온라인 강의 시청(1회), 교재 2회, 문제풀이(1000제) 2회
• 문제풀이(직강) : 오프라인 강의 참석(1회), 온라인 강의(1회), 교재 2회

CISSP 강의는 온라인으로 10월 경 신청을 하였으나, 개인적인 업무가 바빠 본격적인 공부는 12월 중순부터 했던 것 같습니다.

12월 중순부터 2월 초까지 인강 한 사이클을 돌렸고(1.2배속), 이후 교재를 다시 한번 보았습니다. 평일에는 주로 강의를 보는데 집중하였고 주말에 2~3시간 정도 문제를 풀며 복습하였습니다. 사실 보안 관련 직군에서 근무하고 있고 정보보안기사를 취득할 때 공부했던 내용이 중복되어서 빠르게 학습할 수 있었던 것 같습니다.

하지만 이론을 마치고 1,000제를 한 사이클을 돌렸을 때는 적잖이 당황하였습니다.

이론을 완벽히 이해했다고 생각했지만, 손쉽게 답을 고를 수 있는 문제는 드물었고 전체 문제를 채점하였을 때 60~70% 의 문제밖에 맞지 않았습니다. 이론서를 다시 한번 보면서 필기한 내용을 중점으로 다시 개념정리를 하였고, 틀린 문제를 풀어보니 처음 풀어볼 때보다는 명확하게 답이 보이는 듯 했습니다.

운이 좋게도 시험 일주일 전에 문제풀이 반이 신규로 열려 바로 신청을 하였습니다. 이 때 개념정리에 많은 도움이 되었던 것 같습니다. 저는 조금 빠듯하였지만 시간적 여유가 되신다면 수강을 하실 것을 추천드립니다.

공부방법

• 수업시간에 필기한 내용을 중점으로 개인적인 노트정리 (에버노트나 노션앱 이용으로 이동중에도 볼 수있게..)
• 단어를 중점으로 마인드 맵 그려보기 ex) Federated identity Management(FID) -> SAML -> Cloud 기반(identity-as-a-service) -> 클라우드 환경의 어려움은? 각 나라의 법이 상이 ex) “limit” => 최소 권한, Sand boxing, 가상화 환경에서 APT 분석
• 문제를 풀 때, 단순히 맞춘다기 보다는 왜 답이 될수 밖에 없고 틀린 문제는 왜 틀렸는지 리뷰하기

시험당일

피어슨 뷰 센터에 07:30 분에 도착을 해야 되서 아침 5시쯤 인나 간단히 커피음료와 초콜릿바 하나를 챙겨서 출발하였습니다.

센터 1층에 있는 카페에서 30분 동안 총정리 프린트물과 문제풀이 문제집을 보면서 개념을 정리하였고, 강사님께서 시험 전날 외워야 할 내용을 눈에 담았습니다. 시험 장에 입실하기전에는 신분증을 검사하고 사진촬영 및 손바닥 정맥 촬영을 합니다. 저는 여권과 운전면허증을 챙겨갔습니다. Confirmation Letter는 따로 필요없었습니다. 사물함에 개인소지품을 넣고 시험장에 들어가면 바로 시험을 시작하게 됩니다. 전체 360분이라는 시간에 250문제를 풀어야 합니다.

처음 문제를 접하자마자 약간 멘붕(?)에 빠졌지만, 공부했던 내용을 단어위주로 생각하며 영문과 한글을 열심히 보니 명확하게 정답이 보이기 시작해습니다. 앞선 후기대로 문제풀이 과정이나 1000제에서 중복되는 내용은 10~15% 내외인듯 합니다. 하지만 강사님께서 말해주신 정답이 될 수 밖에 없는 단어가 문제에 숨어 있으니 한글/영어 문장을 자세히 읽어봐야 합니다. (반드시 영어 번역과 비교)

저는 아래와 같은 과정으로 시험을 풀었습니다.

• (1회) 전체 문제 풀기(130분) : 전체 문제 중 절반이 좀 안되게 플래그를 친 것 같습니다.
• 휴식(화장실)
• (2회) Flag 문제 검토(50분) : Flag 쳤던 문제를 풀었습니다.
• (3회) 전체 문제 검토(40분) : 휴식을 하지 않고 그냥 이때 전체 문제를 빠르게 검토하면서 애매하거나 틀리게 체크했던 문제를 수정하였습니다.

시험 소요시간이 3시간 40분 가량 되었던 것 같습니다. 휴식은 한번만 했고 들고갔던 음식은 따로 먹지 않았습니다만 넉넉하게 쉬는 편이 좋을 것 같습니다. 시험이 끝나고 다시 본인인증을 하고, 축하한다는 문서 A4 문서 한장을 받았습니다.

합격 후 소감

개인적인 소유하고 있는 보안 관련 자격증 중에서 체감상 난이도로 따지면

“정보보안기사 > CISSP > CPPG > CISA” 순으로 매기고 싶습니다.

그만큼 CISSP 시험은 강사님께서 말씀해주셨던 것처럼 어려운 시험이였고, 충분히 훈련되있지 않으면 떨어졌을 것이라는 생각이 듭니다.

하지만 강사님이 알려주시는 방향대로만 따라간다면 생각보다 어렵지 않게 합격할 수 있는 시험이라는 느낌도 들었습니다.

(추가)Endorsement

CISSP 시험에 합격한다고 바로 CISSP이 되는 것은 아니다. 시험합격 이후에도 주어진 자격을 모두 충족하면 Endorsement라는 과정을 거쳐 진정한(?) CISSP이 될 수 있다. 나는 모든 요건을 충족하였기에 바로 신청하였다. Endorsement는 4~6주 정도 소요된다. 나 같은 경우는 약 4주정도 소요가 된 것 같다. 결과는 아래와 같이 메일로 온다.

CISSP 합격!

결과가 오면 AMF(Annual Maintenance Fee)를 납부를 해야한다.. 125달러 정도 하던 것 같은데, 여간 돈이 많이 드는 시험이다. 그래도 모두 마무리해서 홀가분한 기분이 들었다.

마치며

CISSP은 내가 본 여느 시험보다도 dump에 대한 관리(?)가 가장 활발히 이루어지는 시험이다. 시험을 예비합격 하여도 답안지를 포렌식하여서 떨어뜨리는 매우 악명높은 시험이기에 시중에 있는 덤프를 보는 건 정말 비추천이다. 응시료도 만만찮은 시험이기에 한번에 합격을 하려면 빡세게 준비를 하는 편이 좋다. 기술적인 보안에 대한 지식보다는 전반적인 숲을 Review 하는 기회가 되었던 시험이였다.