저도 여러분처럼 CISSP 자격증을 준비하고 취득했던 한 사람으로서, 제 경험과 함께 이 자격증에 대한 모든 것을 나누어 보고자 합니다. 저는 현재 금융권 IT 및 보안 분야에서 근무하고 있으며, CISSP, CISA, PMP를 보유하고 있습니다. 생각해보니, CISSP를 취득한 지도 아마 대략 10년은 된 것 같습니다. 그 이후, 금융권에 재직하며 이직과 커리어에 실질적인 도움을 많이 받아왔던 게 사실입니다. 특히 보안감사 및 보안 전문 인력 수요가 급증하면서, 이직 과정에서 CISA와 더불어 CISSP 덕분에 서류전형 및 면접에서 알게 모르게 큰 가산점을 받았던 것 같네요. 그만큼 수요가 많았던 것 같습니다. 이번 포스트에서는 제가 직접 경험한 CISSP 시험 준비부터 자격증 유지, 실제 커리어 성장까지의 내용을 공유하려고 합니다. 이 포스트가 CISSP 도전을 앞둔 여러분에게 실질적인 도움이 될 수 있으면 합니다.
<CISA 합격전략, 시험정보, 갱신 방법 총정리>는 아래 링크를 클릭해주세요!
1. CISSP란?
CISSP(Certified Information Systems Security Professional)는 국제정보시스템보안자격증(ISC)²가 발급하는 국제적으로 인정받는 정보보안 전문가 자격증입니다. 1987년에 처음 도입되었으며, 2000년대에 들어 전문가로서의 입지를 단단히 다지며 전 세계적으로 널리 확산된 자격증입니다. 이 자격증은 정보보안 분야의 실무 경험과 지식을 종합적으로 평가하며, 보안 전문가로서의 역량을 국제적으로 인증받을 수 있는 권위 있는 자격증입니다. 정보보안 분야에서 “나는 이 분야의 전문가입니다”라고 당당히 말할 수 있게 해주는 일종의 전문성의 증표라고나 할까요.
제가 처음 CISSP를 듣게 된 것은 회사 선배가 “보안 쪽으로 경력을 쌓을 거라면 꼭 도전해봐야 할 자격증”이라고 말해줬을 때였습니다. 그때는 그저 먼 이야기로만 들렸던 것이 실제로 준비하고 취득하기까지의 여정은 쉽지 않았지만, 그만큼 큰 보람이 있었습니다. 특히 이직할 때 상당한 도움이 되었습니다.
2. CISSP 자격 요건 – 문턱이 꽤 높은 이유
CISSP는 단순한 시험 합격만으로는 자격증을 받을 수 없다는 점이 특이합니다. 실무 경험이 필수이기 때문인데요, 정확히는:
- 경력 보유 조건이 꽤 까다로워요
- CISSP CBK(Common Body of Knowledge)의 8개 분야 중 2개 이상에서 최소 5년간의 경력이 필요합니다
- 대학 학사학위가 있다면 1년 경력을 면제받을 수 있어 실질적으로는 4년 경력이면 가능합니다
- ISC² 공인 자격증인 CIA, CISA나 CISM 같은 다른 자격증이 있다면 또 1년을 면제 받을 수 있습니다
- 경력이 없거나 부족한 경우는 어떻게 하나요?
- 첫직장 후배 한 명은 경력이 2년밖에 없었지만, Associate of (ISC)²로 시작해서 경력을 쌓아가며 결국 정식 CISSP가 되었습니다
- 합격 후 6년 안에 경력 요건을 채우면 되니, 일단 시험부터 도전해보는 것도 좋은 전략입니다
- 합격 후 경력요건을 충족할 때까지는 연간 $50의 AMF를(ISC)²에 납부해야 합니다
- 또한,합격 후 경력요건을 충족할 때까지 15시간의 CPE이수를 보고해야 하기도 합니다
- 윤리 강령 준수는 필수입니다
- CISSP 직업 윤리 강령(Code of Ethics) 준수에 동의해야 합니다. 이건 뭐 거저먹기니 패스!
3. 시험 정보 – 무엇을 준비해야 할까?
시험은 이렇게 진행됩니다
- CAT 방식이라는 점이 중요합니다. 문제를 맞히면 더 어려운 문제가, 틀리면 더 쉬운 문제가 나오는 방식이에요. 저는 처음에 이 방식이 낯설어서 연습이 필요했습니다.
- 시험시간 3시간이 생각보다 빨리 지나갑니다. 100-150문제를 다 풀지 않고도 시험이 종료될 수 있으니 당황하지 마세요!
- 영어로만 응시 가능한 점이 한국 응시자들에게는 큰 장벽이 될 수 있습니다. 저도 처음에는 영어 문제를 이해하는 데 시간이 많이 걸렸지만, Pearson VUE 모의고사를 통해 감을 잡았습니다.
- 문제형식은 Multiple choice and advanced innovative items이며,전세계 Pearson VUE 시험 센터에서 응시가 가능합니다.
합격을 위한 꿀팁
- 70% 이상 득점하면 합격이지만, 모든 영역에서 고르게 점수를 받는 것이 중요합니다. 한 영역만 취약해도 전체 합격에 영향을 줄 수 있어요. (총점 1000 Point 중 700 Point 이상)
- 저는 시험 전날 긴장해서 잠을 거의 못 잤는데, 그래도 충분한 준비가 되어 있다면 괜찮습니다. 오히려 시험장에서는 집중력이 폭발했었던 것 같네요!
재응시 규정
실패해도 너무 좌절하지 마세요! 저도 처음에는 실패했지만 두 번째에 합격했습니다. 다만, 기간을 잘 확인하세요:
- 첫 불합격 후 30일 기다려야 재응시 가능
- 두 번 불합격하면 90일, 세 번 불합격하면 180일을 기다려야 합니다
- 12개월에 최대 4번까지만 응시할 수 있어요
4. 나의 CISSP 준비 방법 (기냥 시간낭비 말고 돈내고 학원가는게 제일 빠름 : 라이지움)
⚠️ 저는CISSP 시험 준비를 위해 라이지움(Lyzeum)이라는 학원을 다녔었습니다. 많은 사람들이 다니고 가장 많은 후기와 리소스가 있었기 때문입니다. CISSP는 CISA와 마찬가지로 level3 자격증이어서 단순히 덤프를 외우거나 겉핥기 식으로는 절대 통과 될 수 없습니다. 반드시 전체 도메인의 내용 핵심을 이해하고 미국식 사고를 할 수 있어야 통과가 가능합니다. 이 부분에 있어 라이지움이 가장 큰 도움을 줄 수 있었던 것 같습니다. 물론 CISA, PMP 역시 이러한 방법으로 라이지움에서 준비를 하고 합격 했었습니다.
제가 다녔던 때는 라이지움 평일반 4개월 교육과정으로 진행되었고, 실제 시험에서 중요한 포인트를 정확히 짚어주셔서 학습 효율이 매우 높았습니다. 특히 강사님이 현직 보안 전문가셨기 때문에 실무 사례를 많이 들려주셨고, 이론과 실제를 연결하는 데 큰 도움이 되었습니다.
라이지움 수강 정보 (자세한 사항은 라이지움 홈페이지를 참고하시는 것이 좋을 듯)
- 수강료: 약 60만원 내외정도로 기억합니다 (교재비 포함, 고용노동부 환급도 되었었던 걸로 기억합니다) – 자세한건 홈페이지 참조해보세요.
- 강의 구성:
- 정규 과정 (4개월)
- 주말 집중 과정 (5주 정도 였던것으로 기억해요)
- 온라인 강의 (자율 학습)
- 위치: 서울 강남구
- 홈페이지: 라이지움 공식 홈페이지
팁: 라이지움에서는 수강생들을 위한 온라인 커뮤니티도 운영하는데, 여기서 공유되는 정보와 질문/답변이 정말 유용했습니다. 수강하신다면 꼭 활용해 보세요!
5. CISSP 8대 도메인(CBK) 분석 – 내가 느낀 난이도
CISSP의 8개 도메인별 체감 난이도 및 팁
|
도메인 |
비중 |
주요 내용 |
체감 난이도 및 팁 |
|
1. 보안과 위험관리 |
15% |
• 기밀성, 무결성, 가용성 원칙• 보안 거버넌스 원칙• 규정 준수 요구사항• 법적, 규제 이슈 파악 |
가장 비중이 크고 중요한 영역. 외국 법률도 많이 나와 어려움. 핵심 개념 위주로 정리하는 것이 효과적 |
|
2. 자산보안 |
10% |
• 정보 및 자산 식별과 분류• 정보 및 자산 소유권 관리• 개인정보 보호• 자산 보유 기간 관리 |
비교적 접근하기 쉬운 영역이나 자산 분류 세부 내용은 헷갈림. 정보 라이프사이클에 따른 보호 조치 이해 필요 |
|
3. 보안 아키텍처와 엔지니어링 |
13% |
• 보안 설계 원칙• 보안 모델 기본 개념• 시스템 보안 요구사항• 정보 시스템 보안 기능 |
가장 어려운 영역. 암호화 알고리즘과 보안 모델 부분은 여러 번 반복 학습 필요. 실제 적용 방식 이해에 중점 |
|
4. 통신과 네트워크 보안 |
13% |
• 물리적/논리적 접근 제어• 식별 및 인증 관리• 타사 서비스 ID 통합• 인가 메커니즘 관리 |
내용이 일부 겹치는 부분이 있어 신원/접근관리와 함께 공부하면 효율적. 네트워크 배경이 있으면 수월하나 최신 기술 트렌드 학습 필요 |
|
5. 신원과 접근관리 |
13% |
• 물리적/논리적 접근 제어• 식별 및 인증 관리• 타사 서비스 ID 통합• 인가 메커니즘 관리 |
내용이 일부 겹치는 부분이 있어 통신/네트워크 보안과 함께 공부하면 효율적. 최신 인증 기술 이해 필요 |
|
6. 보안평가와 검사 |
12% |
• 평가 설계 및 검증• 보안 통제 테스트• 프로세스 데이터 수집• 테스트 출력 분석 및 보고서 |
실무에서 많이 접하는 내용이라 이해는 쉬우나 세부적인 방법론과 절차 정확히 알아야 함. 침투 테스트와 취약점 평가의 차이점 숙지 필요 |
|
7. 보안운영 |
13% |
• 조사 이해 및 지원• 조사 유형 요구사항• 로깅 및 모니터링• 보안 리소스 관리 |
사고 대응과 재해 복구 계획이 중요. 증거 수집 관련 법적 절차는 암기 필요 |
|
8. 소프트웨어 개발보안 |
11% |
• SDLC 보안• 개발 환경 보안 제어• 소프트웨어 보안 평가• 획득 소프트웨어 보안 영향 |
개발 배경 없으면 생소할 수 있는 영역. SDLC 각 단계별 보안 활동 중심으로 공부하면 효과적 |
각 도메인별 중점 사항
1. 보안과 위험관리 (15%)
가장 비중이 크고 중요한 영역입니다. 저는 이 부분을 정말 열심히 공부했습니다. 특히 법적 규제 부분은 외국 법률도 많이 나와서 어려웠지만, 핵심 개념 위주로 정리했더니 도움이 되었습니다.
2. 자산보안 (10%)
비교적 접근하기 쉬웠던 영역이지만, 자산 분류와 관련된 세부 내용은 헷갈리기 쉬웠습니다. 정보의 라이프사이클에 따른 보호 조치를 정확히 이해하는 것이 중요했습니다.
3. 보안 아키텍처와 엔지니어링 (13%)
저에게는 가장 어려웠던 영역입니다. 특히 암호화 알고리즘과 보안 모델 부분은 여러 번 반복해서 공부했습니다. 개념적인 이해보다는 실제 적용 방식을 이해하는 데 중점을 두었습니다.
4 & 5. 통신/네트워크 보안과 신원/접근관리 (각 13%)
이 두 영역은 내용이 일부 겹치는 부분이 있어서 함께 공부하면 효율적이었습니다. 제 업무 배경이 네트워크 쪽이라 비교적 수월했지만, 최신 기술 트렌드도 빠짐없이 학습해야 했습니다.
6. 보안평가와 검사 (12%)
실무에서 많이 접하는 내용이라 이해하기는 쉬웠지만, 세부적인 방법론과 절차를 정확히 알아야 했습니다. 침투 테스트와 취약점 평가의 차이점 같은 내용은 꼭 숙지하세요.
7. 보안운영 (13%)
사고 대응과 재해 복구 계획 부분이 중요했습니다. 특히 증거 수집과 관련된 법적 절차는 암기가 필요했던 부분입니다.
8. 소프트웨어 개발보안 (11%)
개발 배경이 없으면 생소할 수 있는 영역입니다. 저는 SDLC의 각 단계별 보안 활동을 중심으로 공부했고, 실제 개발 경험이 없어도 이해할 수 있는 수준으로 정리했습니다.
6. 자격증 취득 및 갱신 – 실제 경험 공유
자격증 취득 절차
- ISC² 멤버십 생성은 간단합니다만, 이메일 주소를 잘 기억해두세요. 나중에 모든 연락이 이 이메일로 옵니다.
- Pearson VUE에서 시험 일정을 잡을 때는 충분한 준비 시간을 두고 예약하세요. 저는 3개월의 준비 기간을 두고 예약했습니다.
- 시험 당일에는 신분증을 꼭 지참하세요. 저는 여권과 운전면허증 두 가지를 모두 가져갔습니다.
- 합격하면 현장에서 바로 알 수 있어요! 그 기쁨은 정말 말로 표현할 수 없습니다.
시험 응시료와 갱신 비용 (2025년 최신)
- 시험 응시료는 US $749로 부담스러운 금액이지만, 투자할 가치가 있습니다.
- 갱신 비용은 제가 직접 경험한 바로는 연간 $135입니다. www.isc2.org에서 매년 이 금액을 납부하며 자격증을 유지하고 있습니다. (몇 년전에 확 인상되었습니다)
CISSP 자격 유지 및 갱신 방법
자격증 취득은 끝이 아니라 시작입니다! 지속적인 학습과 관리가 필요합니다:
- CPE 크레딧 관리
- 3년마다 120 CPE 크레딧이 필요합니다. 이것은 생각보다 모으기 어렵지 않아요! (연간 최소 40 CPE 크레딧 획득 권장)
- 저는 웨비나 참석, 보안 컨퍼런스 참가, 관련 서적 읽기, 블로그 작성 등 다양한 활동으로 크레딧을 모으고 있습니다.
- ISC² 멤버십 포털에서 CPE 크레딧을 등록하는 것도 간편합니다.
- AMF 납부
- 매년 $135의 연회비를 납부해야 합니다. 늦게 납부하면 추가 비용이 발생할 수 있으니 주의하세요. (저는 납부기한을 넘겨서 자격이 취소되어서 패널티 금액을 물고 자격증을 다시 되살린적이 있어요, 여러분들은 절대 그러시지 말기를…)
- 이제는 자동 결제 설정을 해두어 편리하게 관리하고 있습니다.
- 윤리 강령 준수
- 이것은 단순한 형식이 아니라 실제로 전문가로서의 행동 기준이 됩니다.
- 정보보안 분야에서 윤리적 딜레마에 직면할 때마다 이 강령을 떠올리게 됩니다.
7. CISSP 취득 후의 변화 – 경험담
CISSP 자격증 취득 후 저는 정보보안 쪽 이직을 편하게 할 수 있었습니다. CISSP나 CISA에 대한 수요가 많았습니다.
- 경력 도약의 발판이 되었습니다
- 면접에서 CISSP 자격증이 있다는 것만으로도 신뢰도가 올라갔어요
- 회사 내에서도 보안 관련 업무에 우선적으로 참여할 기회를 얻었습니다
- 특히 금융권 정보보안에 있어 CISSP 소지자는 필수 요건인 경우가 많아 유리했습니다
- 급여 인상 효과는 실제로 있었습니다
- 자격증 취득 후 수당이 있는 경우가 있었습니다.
- 이직 시에도 이전보다 훨씬 좋은 조건으로 제안을 받을 수 있었습니다
- 글로벌 네트워킹의 기회
- ISC² 커뮤니티를 통해 전 세계 보안 전문가들과 교류할 수 있게 되었습니다
- 국제 컨퍼런스에 참여할 때도 CISSP 배지가 있으면 대화의 물꼬가 트이는 경험을 했어요
- 특히 LinkedIn에서 CISSP를 프로필에 추가한 후 해외 기업의 연락이 오기도 했습니다
- 업무 시야가 넓어졌습니다
- 이전에는 IT, 보안 자체에만 집중했다면, CISSP 공부를 통해 보안의 모든 영역을 이해하게 되어 업무 접근 방식이 달라졌습니다.
- 기술적 측면뿐만 아니라 관리적, 물리적 보안까지 종합적으로 고려하게 되었습니다
- 경영진과 소통할 때도 비즈니스 관점에서 보안을 설명할 수 있게 되었습니다
8. 준비 하시는 분들께 드리는 팁
- 공부 방법
- 저는 라이지움 강의를 기반으로 하고, Sybex 공식 가이드와 11th Hour CISSP를 보조 교재로 활용했습니다
- 출퇴근 시간에는 라이지움 녹음한 강의를 들었는데, 어려운 개념을 쉽게 설명해주어 큰 도움이 되었습니다
- 무엇보다 스터디 그룹이 큰 힘이 되었습니다. 매주 도메인별로 서로 질문하고 답하고 생각을 전환하는 연습을 했습니다
- 시간 관리
- 저는 학원공부시간 제외 6개월간 주중 4시간, 주말 5시간씩 공부했었습니다
- 처음 3개월은 개념 학습, 나머지 3개월은 문제 풀이와 약점 보완에 집중했었지요
- 시험 2주 전부터는 완전히 집중했습니다
- 시험장 팁
- 시험 전날은 무리하게 공부하지 말고 충분히 쉬세요
- 시험장에는 물과 초콜릿 같은 간식을 챙겨가는 것이 좋아요
- 어려운 문제는 표시해두고 넘어가서 시간을 효율적으로 사용하세요
- CAT 시험이니 초반 20-30문제에 특히 집중하세요. 이 부분에서 잘 맞추면 이후 문제 난이도가 올라가고, 그만큼 합격 가능성도 높아집니다
- 심리 관리
- CISSP는 단순 암기보다 개념 이해와 적용이 중요합니다. “관리자 관점”으로 생각하는 훈련을 하세요, 특히나 미국식 사고가 중요합니다
- 시험 중 느끼는 불안감은 정상입니다. 저도 “이렇게 어려울 수가…” 하며 당황했지만, 끝까지 집중했더니 합격했었던 것 같네요
- 혼자 준비하실 때 슬럼프가 올 수 있습니다. 그럴 때는 스터디 그룹에서 동기부여를 받으세요
CISSP는 단순한 자격증이 아닌, 정보보안 전문가로서의 사고방식과 접근법을 배우는 과정입니다. 저에게는 단순히 경력에 도움이 된 것을 넘어, 보안을 바라보는 시각 자체를 변화시켜준 소중한 경험이었습니다. 준비 과정은 분명 쉽지 않습니다. 밤늦게까지 책과 씨름하며 “내가 왜 이걸 하고 있지?” 하는 의문이 들 때도 있었습니다. 하지만 그 고난의 과정을 거치며 얻은 지식과 자신감, 그리고 그 후의 것은 모든 노력을 보상하고도 남았습니다. 여러분도 CISSP를 꼭 취득하여 경력과 금전적, 또는 실질적인 보상을 꼭 받으셨으면 좋겠습니다. 🙂