CISSP 시험을 본 지 2년이 지났습니다. 꽤 긴 시간이 지났는데, 그간 좋은 생각이 나거나 기록해 두고 싶은 일이 생기면 항상 어딘가에 적어 두어야지... 하고 생각만 하고 있었습니다. 그러다가 지난 12월 티스토리 블로그를 시작하게 되어서 여기에 제 생각과 관심 있는 일들, 일하면서 생기는 일들을 올리고 있습니다.
티스토리를 선택하기 전에 개인 서버에 미디어위키를 설치해서 글을 쓰거나 새로운 방법(Jekyll, GitHub)들을 시도해 보았는데, 결론은 사용하기 편한 게 최고입니다. 가끔 티스토리에 장애가 발생하면 어쩔 수 없지만, 저의 개인 서버에 문제가 생기는 것보다 훨씬 빠르고 편하게 복구되는 점이 저는 너무 만족스럽습니다.
MediaWiki
MediaWiki is a collaboration and documentation platform brought to you by a vibrant community. Photo of participants of the Wikimedia Hackathon 2019 The MediaWiki software is used by tens of thousands of websites and thousands of companies and organization
www.mediawiki.org
Jekyll • Simple, blog-aware, static sites
Transform your plain text into static websites and blogs
jekyllrb.com
어쨌든 CISSP 시험을 본 지 딱 2년이 되었고, 도메인 경력은 대략 2018년 6월부터 시작했으니까 19년, 20년, 21년, 한 3년 6개월 정도 되었습니다. CISSP Endorsement를 진행하려면 대졸 학력 or 인정 자격증 + 4년의 도메인 경력, 또는 5년의 도메인 경력이 필요합니다. 저는 독학사 컴퓨터과학 학위를 가지고 있는데, 아마 인정되지 않을 것 같습니다. 인정되는 자격증 중에 저한테 가장 익숙한 것은 CCNP Security입니다. 하지만 별로 필요치 않기 때문에 경력 5년을 채워서 Endorse하지 않을까 생각중입니다.
CISSP Associate를 유지하려면 1년에 15CPE를 이수해야 하는데, 2개월에 한 부 출판되는 InfoSec Magazine을 읽고 문제를 풀면 Group A CPE를 2점 받을 수 있어 12점은 먹고 들어갑니다. 남은 3점은 한시간짜니 웨비나 3개를 시청했습니다.
시험에 대한 저의 생각은, 시험 범위가 방대하다는 느낌이 들었습니다. 애초에 정보 보안을 Confidentiality, Integrity, Availability라고 정의한 순간부터 그 범위는 CEO부터 암호학 박사님까지 되어야 합니다. 그래서 넓은 분야를 다루지만 물어보는 것은 "어떤 용어의 의미, 어떤 상황의 의미를 이해할 수 있는가?" 인 것 같습니다.
그리고 번역 퀄리티는 준수했지만, 번역 용어와 영어 용어를 같이 알고있어야 하는 부담이 있었습니다. 그리고 부정형(which is not appropriate) 질문이 잘못 번역된 문제도 하나 있었던 것으로 기억합니다.
시험 내용은 8가지 도메인으로 구분됩니다. https://www.isc2.org/Certifications/CISSP에서 갱신되는 내용을 확인할 수 있습니다.
Cybersecurity Certification| CISSP - Certified Information Systems Security Professional | (ISC)²
The CISSP is ideal for experienced security practitioners, managers and executives interested in proving their knowledge across a wide array of cybersecurity practices.
www.isc2.org:443
Domain 1. Security and Risk Management, Domain 2. Asset Security
정보보안 관리, 리스크 관리, 정보자산 관리에 대한 개념, 용어에 대해 물어봅니다.
Domain 3. Security Engineering
보안 기술에 관한 개념적인 내용을 물어봅니다. 예를 들어 암호 알고리즘(블록/스트림, 공개키/대칭키, 양방향/단방향, 키 관리, 암호와 관련된 공격 등), 보안 아키텍처(보안 모델, 보안 평가 표준 등) 같은 것들입니다.
Domain 4. Communications and Network Security
단원명 그대로입니다. SSL/TLS, SSH, VPN, 유/무선랜 보안, 방화벽 및 각종 보안 장비에 대한 내용이 나옵니다.
Domain 5. Identity and Access Management
SSO, Federation 등 각종 다양한 인증 기술들에 대한 내용이 나옵니다.
Domain 6. Security Assessment and Testing, Domain 7. Security Operations
잘 기억이 안납니다. 원래 시험 치고나서 다 까먹는 건 만국 공통입니다. 정보보안수준 평가, 침해사고 조사 등에 대한 내용이 나왔던 것 같습니다. 정보시스템 운영에 대한 내용도 포함됩니다.
Domain 8. Software Development Security
SDLC에 대한 전반적인 내용을 물어봅니다. 작년에 개정된 정보처리기사를 공부하신 분이라면 묻어가실 수 있을 것 같습니다.
저는 Cisco L2/L3/Security, Linux Server, Windows Server, VMware Infra에 대한 지식을 갖고 있었는데, 이러한 내용은 Domain 3, 4, 5에 해당하는 내용이었습니다. 그래서 Domain 3, 4, 5는 제외하고 공부했던 기억이 납니다. 나머지 Domain은 완전히 새로 공부한 셈입니다.
아직 자격증을 활용해보지는 못했는데, 찾아보니 정보보안 관련 업체, 은행(디지털)에 취업할 때 가산점을 받을 수 있다는 내용은 눈여겨볼 만 합니다.