정보보호 업계나 IT 업계에 종사를 하든 그렇지 않든 간에 자격증의 이야기가 화두가 되고 있다. 자격증 즉 certificate 이라는 것의 실체에 대해 많은 논란 또한 있다. 그 논란의 회오리 중에 정보보호가 요즘 경제, 사회적으로 회자되면서 CISSP 자격증에 대한 이야기는 더욱 뜨거운 감자라 할 수 있겠다. 이 글을 통하여 CISSP (Certified Information System Security Professional; 국제공인 정보시스템 보안 전문가) 자격 제도의 현 주소와 향후 방향에 대해 알아보고자 한다.
   
정보보호와 정보시스템보호(Information Security vs. Information System Security)
CISSP자격증은 그 명칭에서 알 수 있듯이 Information System Security, 즉 정보시스템보호를 주제로 하는 자격증인 것으로서, Information Security 정보보호의 주제와는 상호 의존적인 관계이다.
 
다시 설명하자면, 정보(Information)라고 하는 것은 손으로 만져질 수 있는 구체적인 것이 아니다. 그러한 정보의 개념적 속성을 기업에서(조직에서) 올바른 의사결정을 하기 위해서 특정한 매체에 담게 된다. 종이라는 매체에 써 넣을 수 도 있고, 물리적으로 만들어서 금고 안에 넣을 수도 있으며, 컴퓨터 안에서 이용할 수 도 있다. 이 여러 매체에 들어간 정보 중 비중이 커지고 있는 일반적인 형태가 컴퓨터 즉, System이다. Information이 System이라는 특정매체에 들어가 있을 때 절취, 도난, 해킹, 위조, 변조 될 수 있으므로 보호해야 하므로 CISSP와 같은 자격증을 가진 전문가에 의해서 수행되어야 한다. CISSP의 시험영역인 CBK domain 10가지에 System Security가 주종을 이루고 있는 것도 그 이유라 하겠다.
 
 
자격시험과 자격증
시스템보안을 하기 위해서는 Information System, Information Technology에 전문지식이 선행되지 않고서는 그에 해당하는 보호, 보안을 할 수 없으므로 상당히 영역별(domain)로 깊숙이, 또한 방대한 주제를 다루어야 한다. 즉 IT, 전산업무를 주업으로 하지 않거나 상당한 연관성이 없는 업무 경험으로는 접근하기 어려우며, 그 방대함은 CISSP 시험의 수험 바이블인 CBK(Common Body of Knowledge, 정보보호를 위한 공동 지식체계)를 보더라도 영문으로 1,000페이지가 넘으며 그 내용 안에 domain 또한 10개에 해당한다.
 
각 domain별로 기술요소 별 보안의 취약점과 대응책을 공부해야 한다. 이러한 넓고도 깊은 지식과 공부를 통해 CISSP이 탄생되기에 정보시스템 보안을 상품으로 하는 기업이나 기업 내에 정보시스템보호를 실시해야 하는 기업의 경우, 경력사원은 물론, 신입사원조차 CISSP자격증을 요구하게 된다. 유독이 외국의 경우를 들지 않더라도 이 땅 대한민국에서 CISSP자격증이 갖는 의미는 이미 국제적인 기준이 되었다. ‘국제적인 기준이 되었다’ 함은 국제적으로 자격증이 갖는 의미가 한국에서도 같다는 것이다. 자격증은 해결사를 뜻하는 것이 아닌 그 업무를 수행하는데 기본적인 자격을 갖추었다는 뜻이다.
 
요즘 IMF이후 부쩍 더 힘들어진 사회여건 속에서 주위의 많은 분들의 질문이 “CISSP자격증이면 다 해결되나요?” 라고 묻는다. 필자는 이렇게 대답한다. “다 해결되는 것이 아니라 정보시스템 보안에 대해서는 충분한 기회가 주어질 것이다.” 라고 대답한다. 자격증은 취득함으로써 그때부터가 기회가 주어지는, 시작인 것이다.

CISSP자격증 취득 후의 뉴튼의 사과
앞 절에서 얘기한 것처럼 CISSP를 취득하고 나면 이제 시작인 것이다. 정보시스템보안분야의 전문가로서 자격은 충분하다. 그렇다면 충분한 자격이 있으므로 가만히 있어도 원하는 것이 들어온다? 절대 아니다. 자격이 충분하니 이제부터는 본인의 경력과 특정분야의 보안과 조합해서 발전시켜야 한다. 직장생활 해 보신 분들 다 아시지만 입사만 하면 다 되나요? 아니죠. 입사 한 순간부터, 그 순간부터 경력개발, 그리고 조직이 원하는 모습으로 거듭나야 하지 않는가? CISSP자격 또한 마찬가지이다.
오늘날 대한민국 이 땅의 CISSP는 3,700여명(active한 회원기준이며, 실제 시험통과자는 훨씬 많음)이 달하고 있지만 CISSP자격증을 취득한 이후에
 
1) 어떤 청사진을 그렸으며,
2) 그 청사진에 연계된 6개월, 1년, 3년, 5년 계획을 수립하고,
3) 다달이 실천하며,
4) 실천 후 얼마나 달성되었고 무엇이 모자란 지 평가해본 CISSP은 몇 분이나 되시는지? 5) www.isc2.org 에 과연 일년에 몇 번을 클릭해 보시는지? CPE신고 이외에는 접근할 일이 없지는 않았는지?
6) CISSP국제협회의 “InfoSecurity Professional Magazine”을 보신 CISSP는 몇 분이나 되시는지?
 
CISSP자격제도의 문제점과 개선점을 이야기 하기 전에 정보시스템 보호전문가로서의 위 질문에 대답을 먼저 해보았으면 한다. 다른 타 협회(국제, 국가)의 경우도 마찬가지이다. 자격소지자의 자격증 확장을 위한 끊임없는 질문과 대답, 그리고 행동이 있어야지만 발전되고 그 의미를 더욱 빛나게 한다. 개개인 CISSP로서의 전문가다운 열정이 필요하며 CISSP 국제본부까지는 아니더라도 CISSP Korea Chapter의 구성원들의 더욱더 전문가다운, 그리고 자발적 선구자다운 모습을 기대해본다.
 
손바닥이 마주치지 않으면 소리가 나지 않는다. 아무것도 하지 않고 뉴튼의 만유인력을 믿고 사과나무 아래에서 사과 떨어지기를 더 이상 기다릴 수는 없다. 필자가 조금 전 기술한 6가지 질문에 답을 해 본다면 개선점은 자동 도출되지 않을까?
 
이 글로 정보보호에 관심이 있는 독자들과 CISSP 자격자로서 ISC2와 CISSP Korea Chapter를 바라보는 새로운 눈을 가지고, 정보보호에 관심이 있는 독자들과 CISSP들의 경력개발에 도움이 되길 바라며 이 글을 마치고자 한다.

(이 글은 한국CISSP협회 뉴스레터 기고자의 글을 재 구성 한 것입니다. www.cisspkorea.or.kr )

============================================

조 희 준 josephc@chol.com
CISSP, CSSLP, ISO 27001(P.A), CISM, CCFP,
CGEIT, CISA, COBIT, IT-EAP, CIA, ITIL v3 Intermediate,
IT-PMP, PMP, ISO 20000(P.A), PMS(P.A)
(ISC)2 CISSP 공인강사, 정보시스템감리원
한국정보화진흥원 사이버범죄예방교화 전문강사
 
IT거버넌스/컨설팅/감리법인 ㈜씨에이에스 컨설팅 이사, 강원대학교 겸임교수, (ISC)2 CISSP Korea 한국지부에서, (사)한국 정보시스템 감사통제협회에서, 한국 포렌식조사 전문가협회에서, 한국 정보기술 프로젝트관리 자격검정원에서 활동 하고 있다. IT감사, 내부감사, IT거버넌스와 정보보안 거버넌스, 내부통제가 관심분야이다, 이와 관련해서 기고, 강의, 강연을 활발하게 하고 있다. “용기란 무엇인가?”에 대한 답을 2011년에 꼭 찾으려 한다. 2010년 두 번째 단행본인 “IT거버넌스 프레임워크 코빗, COBIT”의 출간 후 2011년 "정보보호전문가의 알짜 CISSP노트" 출간 후 강연에 바쁜 날을 보내고 있다..

조희준 다른기사 보기