요즘 주변에 ISMS-P 시험을 준비하는 사람이 참 많은 것 같다. 내가 기술사 공부할 때 사용하던 IT위키도 지금은 ISMS-P 관련 내용이 더 활발하게 올라온다. 주변 기술사분들도 ISMS-P를 많이들 따신다. 아무래도 ISMS-P는 확실히 밥벌이가 되기 때문일 것이다. 정확히는 "보안" 분야의 자격증이지만, 좀 더 포괄적으로 봐서 IT 분야의 자격증들 중에서 밥벌이가 되는 자격증이 흔치 않다는 점 때문에 ISMS-P가 특히 주목받고 있는듯 하다.
참고로 최근 시험 후기는 아니다. 수년 전 기술사 취득 이후 ISMS-P 시험을 치렀고, 약 1~2주 간의 공부 후 응시하여 합격했다. 그래서 내가 시험 후기나 팁을 말한다는 것이 조금 어불성성일수도 있겠다. 하지만 많은 사람들이 질문을 하시고, 여러 자격 시험을 연속적으로 보다가 마지막으로 ISMS-P 시험을 턱걸이로 합격하면서 얻은 나름의 인사이트가 있어서 공유하고자 한다. 이 블로그는 기술사 시험을 주로 다루는 블로그인 만큼, ISMS-P는 글을 여러개로 나누어 쓰기 보단 이 글에서 모두 풀어보도록 하겠다. (글이 다소 길어질 수 있다!)
그리고 내가 개인적으로 이 가격제도를 별로 좋게 보는 편이 아니라 다소 비판적인 시각이 담겨 있음을 양해해주길 바란다. 실제로 KISA 담당자가 이 글을 보게 된다면 꼭 개선을 해주면 좋겠다.
서론. 시험 후기?
약 몇 년 전의 시험이므로 지금과 트렌드는 조금 다를수도 있다. 특정 시험 회차에 국한하여 이야기하고자 하는 것이 아니므로 회차나 특정 문제에 대해 언급하진 않겠다.
1. 어렵다기 보단 시험 범위가 너무 넓다.
법제도, 기술 트렌드, 보안 실무(방화벽, 네트워크 구성도 등)이 중구난방으로 나온다.
하지만 "이 시험이 얼마나 어려운 시험인가?" 라고 묻는다면, 답변은 수험자가 걸어온 커리어 패스에 따라서 매우 달라질 수 있다. 개인적으로 자격증 시험을 상당히 많이 공부해본 나로서, 그리고 수년간 보안 업계에도 몸담아 본 사람으로서 ISMS-P에서 다루는 지식들이 특별히 깊은 내용들은 절대 아니다. 다만 정말 넓은 범위를 다루고 있음은 분명하다.
예를 들면 정보처리기사, 정보보안기사, CPPG 등의 자격증을 모두 취득했고, 실무적 개발자와 보안 담당자, 개인정보 보호 담당자를 모두 해본 사람들에겐 쉬운 시험일 것이다. 나 또한 여기에 해당되기 때문에 단기 합격이 가능했다. 단적으로 정보보안기사와 비교하자면, 보안기사는 학술적인 내용이 포함되어 보안 실무를 오래 한 사람이더라도 공부를 많이 해야 한다. 하지만 이 시험은 다루는 내용이 매우 실무적이다. 이론 문제도 학술적인 내용이 아니라 기술 트렌드나 최근 개정된 법에 관한 내용이다. 이 시험이 응시 조건으로 괜히 기술, 보안, 개인정보 보호 등의 경력을 빡빡하게 보는지 이해가 되는 부분이다. 즉, 넓은 범위를 공부하거나 다양한 실무를 경험해보지 않은 사람이라면 넓게 공부하느라 답도 없을 정도로 어렵다고도 할 수 있고, 다양하게 공부도 해보고 실무도 해본 사람은 "이게 뭐가 어려워? 기초인데?" 라고 할 수도 있는 시험이다.
2. 잘 만든 시험은 아니다.
부정확한 문제가 상당히 많다. 무슨 말이냐면 답이 없거나 중복 답안으로 인정되어야 할만한 경우가 매우 많다는 것이다. 특히 실기 시험은 매번 논란이 정말 많은데, 이의제기를 받지 않기 때문에 결국 의문점도 전혀 해소가 되지 않고 영영 묻혀버릴 것이다. 내가 시험을 치기 전에도 그랬고, 지금도 그렇다는 전언으로 볼 때 이 부분은 제도적으로 해결책이 마련되지 않으면 언제까지고 계속 유지될 것 같긴 하다.
사실 내가 ISMS-P 인증심사원 시험에 관해 가장 비판하고 싶은 부분은 이것이다. 다양한 분야의 출제위원을 잘 모아서 문제를 출제하고, 이의제기를 받고 심사를 하는 과정들을 거쳐온다면 문제의 수준이 높아질 뿐만 아니라 인증기준에 있는 근본적인 모호함들에 대해서도 좋은 인사이트가 될수 있을텐데 KISA는 이걸 기피하는 느낌이다. 이유는 대략 알 것 같고, 아래에서 이어서 기술하겠다. 특히 법령이나 기술 트렌드와 관련해서는 오히려 문제와 관련된 업무나 연구를 깊게 해본 사람은 틀리고, 그냥 어설프게 관련 뉴스만 대충 보고 온 사람은 맞추는 문제들이 있어서 특히 더 문제다.
3. 공부하는데 얼마나 잡아야 할까?
위 1번 질문과 직결되는 부분으로, 실제 합격자들을 만나보면 별다른 공부를 하지 않고(한달 이내) 붙은 분들도 많은 반면 3년 이상의 재수 끝에 붙었다는 분들도 많다. 물론 누군가가 공부를 하지 않고 붙었다고 해서 그 시험이 쉽다고 절대 말할 수는 없다. 왜냐면 충분히 경력이 있는 사람들이 치는 시험이므로 그 사람이 쌓아온 경력과 지식을 감안하면 최소 경력 요건인 6년간의 준비를 거쳤다고 볼 수도 있기 때문이다. 시험이 어려운 사람은 밟아온 커리어 패스가 운이 나쁘게도 시험 범위와 충분히 일치하지 않았기 때문이라고 밖에 할 수 없다. 그런 경우라면 많게는 3년도 걸릴 것이다.
결론적으로 시험을 꼭 붙고 싶다는 사람은 최소한 5개월은 잡고 공부하길 권장드린다. 올해 시험을 보려면 지금(2월)부터는 공부를 해야 한다. 그런데 만약 지금 당장은 바쁘고 시험을 꼭 올해 붙어야 하는 것이 아니라면 일단 일주일 정도 짧게 가이드나 심사 항목들을 한번 훑어 보고 시험을 한번 치러 가보길 권유드린다. 나도 기술사 시험 후기에 밝혔듯이 어려운 시험은 준비하기에 앞서 그냥 경험삼에 시험을 쳐보는 편인데 그렇게 갔다가 합격을 해버린 케이스이다. 위 1번, 2번 내용처럼 이 시험의 특성상 업무 경험이 많은 사람들은 그냥 우연히 붙을지도 모른다.
시험 팁!
1. 법제도 위주로 공부하자
시험이 전반적으로 모호한 문제들이 많은 반면 법·제도는 판단 기준이 매우 명확하다. 다루는 법이 많다 보니 범위가 넓어서 문제지만 그래도 법에서 암기사항이라 볼만한 내용들을 잘 추린다면 확실히 맞출 수 있는 문제들이 많아질 것이다. IT위키의 ISMS-P 인증심사원 교본에서도 이런 암기사항들을 모아놓은 내용들이 있으니 참고할 수 있다. (일부 개정 전의 법내용이 섞여 있는 것 같으니 조심!) 인증기준과 관련된 일부 문제들은 시험 후 답이 뭔지에 대해 사람들이 5:5로 갈려서 싸우는 신기한 광격을 목격하게 되는데 법제도 문제는 그럴 일이 없을 정도로 답이 확실한 경우가 많다.
단, 이건 노파심에 언급하는 것이지만, 법에 대해 너무 잘 아는 사람은 그것이 또 문제가 될 수 있다. 관련 법을 오래 연구하고 공부해본 입장이 아니라 그냥 수험생이 법이나 해설서를 보는 정도의 기준으로 문제를 풀어야 한다. 예를 들어 법에 "OO를 할 수 있는 기업은 A, B, C가 있다." 라고 되어 있다고 하자. 법이 관여되는 업무를 많이 해본 사람은 알 것이다. A, B는 실제로도 OO를 할 수 있는 것이 맞지만, C는 아직 필요한 고시의 조항이 없거나 법률 간의 상충이 있어서 실무적으론 OO를 못한다. 이런 상황에서 "C는 OO를 할 수 없다." 라는 보기가 있다면 틀린 것일까? 실무적으론 맞지만 내 경험상 ISMS-P에선 틀린 것으로 취급한다. 법 조문에서 할 수 있다고 했기 때문이다. 이에 대한 접근법은 아래 4번을 참고하자.
실제로 이런 현장에서 이슈가 있는 내용에 대해선 함부로 문제를 내면 안된다. 내더라도 "B는 A를 할 수 있다/없다."라고 명백히 판단이 가능한 명제를 제시해야 하는데 하필이면 실무적으로 이슈가 되고 있는 어려운 이슈를 별 생각 없이 던져두면 실무를 잘 아는 입장에선 실무적으로 봐야 하는가, 법률 조문만을 기준으로 판단해야 하는가? 를 고민하게 된다. 다만 관련 업무의 담당자가 아닌 경우엔 법 개정 당시에 "B, C, D도 이젠 A를 할 수 있게 된다!" 라는 뉴스 기사만 보고 편하게 답을 찍게 된다. 즉 잘 아는 사람은 틀리고 어설프게 아는 사람은 맞추는 상황이 생기는 것이다.
2. Root Cause와 Best Fit를 이해하자
어찌 보면 ISMS-P의 인증기준은 실무자(보안 담당자 등) 입장에선 도덕책 같은 느낌일 수 있다. 당연히 해야 하는 것들을 해야 한다고 나열해놓은 것이다. 그래서 보안을 오래 해온 사람은 "뭘 공부 해야 하는 거지?" 라는 의문을 가지기도 한다. 하지만 그런 안일한 생각으론 십중팔구 떨어진다. 문제는 "어떤 상황일 때 어떤 인증심사항목으로 결함을 줄 것인가?" 라는 것이고, 문제를 상당히 꼬아서 내기 때문이다.
어차피 인증기준 책자까지 주고 시험을 치게 하므로 너무 명백한 사례와 너무 명백한 인증 기준에 대한 문제는 나오지 않는다. 그렇게 하면 대부분의 문제가 너무 쉬워지기 때문이다. 그보단 인증심사 항목명이나 인증기준만으론 유추할 수 없는 상황을 제시하거나, 여러 인증심사 항목에 걸쳐있는 상황에서 어떤 인증심사 항목을 골라야 하는지를 묻는다. 전자는 인증기준 안내서의 "주요 확인사항"이나 "결함 사례"를 잘 공부했다면 쉽게 풀 수 있지만 후자는 그걸로도 부족하다.
예를 들면 PMS(패치 관리 시스템)에 접근통제가 제대로 되지 않아 외주 직원이 상시 접근 가능한 상황을 제시한다. 제시되는 보기는 아래와 같다.
- 2.6.1.네트워크 접근
- 2.6.2.정보시스템 접근
- 2.6.3.응용프로그램 접근
- 2.10.1.보안시스템 운영
- 2.10.8.패치관리
방화벽 정책이 잘못 들어갔으니 2.6.1 결함인가? 싶다가도 패치 관리 시스템은 정보시스템이거나 응용프로그램일수도 있으니 2.6.2나 2.6.3 같기도 하다. 그런데 또 방화벽 정책 관리를 못했으니 2.10.1일수도 있고, 결함 대상이 패치 관리 시스템이 2.10.8 같아 보이기도 한다. 정답은? 답안이 공개되지 않으니 그 누구도 알 수 없다. 다만 시험을 여러번 떨어진 끝에 붙어 본 사람, 시험을 매우 고득점으로 붙어본 사람, 그들의 의견을 모아서 수험서를 작성한 사람들의 말을 빌어 상황을 판단할 수 밖에 없는 것이다.
여기서 판단의 기준이 되는 것이 Root Cause와 Best Fit이다. 학원에 가면 중요하게 가르치는 내용이지만 그냥 집에서 책만 보고 독학하면 그 중요성을 충분히 깨닫지 못할 수 있어서 특별히 길게 설명하고 있는 것이다. 설명하자면, 하나의 문제가 근본이 되어 다른 문제가 파생이 된 상황이라면 가장 근본이 되는 문제(Root Cause)에 해당하는 인증 기준 결함으로 잡아야 한다. 그리고 근본 여부를 따질 수 없는 상황이라면 안내서를 기준으로 가장 현상에 들어맞는 인증 기준(Best Fit)을 골라야 한다. 예를 들어 방화벽 정책을 관리하는 체계가 없이 그냥 아무 직원이나 정책 변경을 할 수 있도록 되어 생긴 문제라면 2.10.1이 답이 될 것이다. 반면 그렇지 않은 상황이라면 2.10.8이 답이 될 가능성이 높을 것이다. 이런 내용도 IT위키의 ISMS-P 인증심사원 교본에서 여러 사례를 정리하고 있는 것 같으니 참고하자.
4. 가장 보편 타당한 주관을 가져보자
위 3번에서 설명한 내용을 보면 답이 주관적일 수도 있겠다는 생각이 들것이다. 사실이다. 이건 인증심사원 자격 시험 문제 뿐만 아니라 실제 인증 심사 현장에서도 자주 발생하는 문제다. 그래서 수험기관에선 보안을 얼마나 잘하냐 보다는 인증팀장이나 인증심사원을 잘 만나는 것이 가장 중요하다는 우스갯소리까지 있을 정도이다. 사실이 그렇다고 한들, 일단 우리는 시험을 치러야 할 것이 아닌가?
마음에 안 들수도 있지만, 현실적으론 가장 보편타당한 것을 추정해서 고르는 수 밖에 없다. 문제를 출제하는 쪽에서도 말한다. "랜덤으로 뽑은 심사원 10명 중에 10명이 모두 같은 답을 고르진 않겠지만, 정상적인 심사원 10명이 모인다면 8~9명은 이 답을 고를 것이다." 라고. 여기서 "정상적인"이라는 표현조차 그들의 주관이라 어이가 없지만, 여튼 우리 입장에서는 가장 많은 사람들이 고를 것 같은 것이 답이다. 모든 문제가 "옳은 것은?" "틀린 것은?"이 아니라 "가장 옳다고 볼 수 있는 것은?" "가장 틀렸다고 볼 수 있는 것은?"이다. 아마 이런 모호함이나, 모호함에 따른 주관이 완전히 제거될 수 없기 때문에 문제 공개를 못하고 이의제기를 못 받는 것이 아닌가 추정된다.
여튼 우리는 문제를 보는 관점을 "정상적인 10명 중 8~9명이 고를 것 같은 답"을 찾아야 한다. "내가 이거 잘 아는데 이건 무조건 안돼!" 라는 생각이 떠오른다면 "내가 보편 타당한 기준을 훨씬 초과하여 이걸 너무 잘 알기 때문에 이런 생각을 하는 것은 아닐까?" 라고 생각해 봐야 한다. 보편 타당한 기준이라면 방화벽 제품 개발자가 아니라 그냥 방화벽을 조작하는 정도의 보안 담당자 레벨이어야 한다. 법을 연구하고 정부에 자문을 하는 법학 박사나 변호사가 아니라 그냥 법조문을 낑낑대면서 찾아보는 개인정보 보호 담당자 정도의 레벨이어야 한다.
5. 수험서를 너무 신뢰하지 마라
책이 몇권 없으므로 무슨 책이라고 굳이 언급은 하지 않겠다. 하지만 하나 분명한 건 아직까지는 시중에 그렇게 퀄리티 있는 책이 나와있진 않다. 이는 근본적으로 시험 주관 기관에서 문제 복구도 불허하고, 문제나 답을 공개하지 않기 때문이다. 특히 시험 특성상 답을 고르는 기준에 주관이 가미될 수 밖에 없는데 "정답"에 대한 정보가 없으니 수험서의 퀄리티가 높기가 힘든 건 어쩔 수 없는 현실이다.
난 개인적으로는 위에서 말했듯이 모든 것을 공개해서 좋은 책을 가지고 수험생들이 공부할 수 있도록 해줘야 하는데 KISA의 주요 관계자에게 들은 말로는 그들은 사교육이 성행하는 것으로 원하지 않는다나? 그건 공교육이 충분히 좋을 때 할 수 있는 말인텐데 말이다. 인증심사 기준을 명확히 만들지 못하고 문제를 정확히 내지 못하는 것에 대한 변명일 뿐이다.
가장 큰 문제는 부정확한 답과 해설이다. 예를 들어 문제를 풀다 보면 정답은 3번이라고 하는데, 1번도 답인 거 같은데 1번은 왜 아닌가? 라는 질문이 드는 경우가 많다. 답안지 해설을 봐도 3번이 답인 이유는 간략히 설명이 되어 있는데 1번이 답이 될 수 없는 이유는 설명하고 있지 않다. 그리고 개인적인 경험이나 주관이 가미된 것 같은 느낌을 많이 받게 된다. 예를 들어 아래와 같은 지문이 나온다.
심사원: 이 A 부분은 설정이 다소 취약하게 되어 있는 거 같은데요?
담당자: 그 부분은 저희가 불가피하게 필요해서 내부적으로 검토를 거친 후 CISO에게 승인을 받은 것입니다.
심사원: 아 그렇군요. 그게 CISO 승인을 받는다고 괜찮을지 모르겠네요. 아, 그리고 이 B 부분은 내부 규정이랑 다른 것 같은데요?
담당자: 그 부분은 저희가 불가피하게 필요해서 내부적으로 검토를 거친 후 CISO에게 승인을 받은 것입니다.
여기서 문제가 되는 부분은 A인가 B인가? (당연히 위 내용만 보고선 알 수 없다. 예시일 뿐이다.) 이런 문제는 실제 인증심사 현장에서도 판단이 애매한 경우가 있다. 정보보호위원회 의결이나 CISO의 결재를 받은 예외처리는 어느정도 인정해주는 부분이 있는데 어느정도의 사안까지 인정해줄 것인가에 대한 결정은 심사팀장이 하게 된다. 그런데 그런 결정 또한 항상 일관되고 명확한 기준으로 할 수 있는 것이 아니다. 아마 수험서도 집필자가 실제 나가본 심사에서 예외 처리 되었던 경험을 기준으로 문제를 내는 것이 아닐까 싶은데, 보편타당하다고 보기 어려운 경우가 많다.
두번째 문제는 지엽적인 분야의 기술, 법률 문제 또한 많이 나오는데, 문장 단위로 꼬아 놓은 탓에 어렵기만 어렵고 실전과 유형도 다르다는 것이다. 가령 법 조문을 그대로 복붙해놓고 단어만 하나 바꾸는 식으로 문제를 만드는 것이 보인다. 그 단어 하나의 차이가 중요한 포인트라면 모르겠으나, 예를 들면, "기술적·관리적·물리적 보호조치를 해야 한다."를 "기술적·관리적 보호조치를 해야한다"로 바꾸는 식이다. "물리적"이라는게 빠졌다고 해도 저게 틀린 말이라고 할 수 있을까? 난 그렇게 보지 않는다. 그리고 실전 문제도 그렇게 나오지 않는다. 이는 그냥 문제를 쉽게 내기 위한 트릭일 뿐이다.
이런 애매한 문제들은 조금 걸러 볼 수 있는 안목이 필요하다. 절대적인 기준이 아니라 그냥 나보다 더 잘 아는 선배님의 조언 정도로 받아들이는 것을 권장한다. 즉, 수험서를 보면서 "문제가 이렇게 나오고 이렇게 판단해서 이렇게 문제를 풀면되는구나"라고 전적으로 신뢰하는 것 보다는 그냥 "이런식으로 문제가 나올 수 있으니 이런 부분을 공부해야겠구나" 정도의 인사이트를 얻는 사례집으로 활용하길 바란다.
6. 그럼에도 불구하고 수험서는 필요하다
앞서 인증심사기준의 대부분은 도덕책 같은 내용이고, 일부 모호한 부분들이 문제라고 하였다. 그런 부분들은 실제 누군가 꼬아서 제시해보지 않는 이상 혼자 상상속에서 훈련을 할 수가 없다. 우리가 안내서에 있는 결함 사례를 아무리 암기 하더라도 여러 결함사례가 겹치는 상황에서는 Root Cause를 찾는 감각을 익혀야지만 답을 쉽게 찾을 수 있다. 그런 문제들을 모아놓은 것이 수험서이기 때문에 다소 공감이 안되더라도, 심지어 부정확한 측면이 있더라도 그렇게 꼬아서 만들어 놓은 사례는 공부에 필수적이다. 나도 일주일동안 시중의 책 2권을 사서 문제 부분만 풀어보았고, 실제로 큰 도움이 되었다. 일부 공감되지 않는 주관에 대해 필터링할 안목만 가진다면 말이다.
내가 위에서 일부 너무 주관적인 사례들에 대해서 언급했는데, 실제 시험은 그보단 좀 더 보편타당한 문제들이 나온다. 그냥 문제지처럼 무조건 어렵게 문제를 내는 것이 아니라, 실제 실무적인 관점에 입각하여 중요한 부분을 잘 알고 있느냐를 중요시 해야 하기 때문이다. 그래서 수험서는 고득점을 위해 많이 꼬아서 낸 고난도 문제집 정도로 인식해도 된다. 토익 만점을 위해 일반적인 토익보다 훨씬 어렵게 문제를 낸 책을 상상해보면 될 것이다. "실제 토익에 이런 어려운 단어와 어려운 문장이 나오나요?" 라고 묻는다면 당연히 답은 "아니오"일 것이다. 그러나 그 책으로 공부를 하는 것이 고득점으로 가는 지름길일 수도 있다. 즉, 너무 그들의 주관에 매몰되지만 않으면 훈련용으로는 충분히 가치가 있다는 것이다.
7. 인터넷상의 모임, 도구들도 잘 활용하자
시험의 인기가 올라가서인지 요즘은 검색을 해보면 다양한 스터디와, 다양한 도구들이 눈에 띈다. 오픈채팅방을 검색해서 들어가면 시험 공부를 하는 다양한 사람들과 토론을 하면서 공부할 수 있다. 그리고 위에서 언급한 IT위키에서도 공부하는 사람들이 모여서 상당히 교본 제작에 기여를 하고 있는 모습들이 보인다. 이런 자료들만 잘 활용한다면 굳이 학원을 다닐 생각은 안해도 될 것 같다. 아래 두 사이트를 잘 활용해보면 큰 도움이 될 것이다.
https://itwiki.kr/w/ISMS-P_인증심사원_교본
IT위키
IT에 관한 모든 지식. 함께 만들어가는 깨끗한 위키
itwiki.kr
본문에서 몇번 언급했던 사이트이다. 난 이런 집단지성의 발현을 좋아한다. ISMS-P 시험의 주안점이 어떤 복합적인 상황에서 인증심사기준을 고르는 것인데, 대부분은 명확하지만 일부 고르기 어려운 경우들이 존재한다. 이런 부분들을 모아서 집대성하고 있기 때문에 사실 가장 가치있는 자료라고 본다.
뉴비티 기출문제 문제은행 - 완전 새로운 CBT, iBT 문제풀이 시스템
기사, 공무원, 공인중개사 등 로그인 필요 없는 수백가지 시험 기출문제 문제은행 시험 자격증 족보 년 최신
newbt.kr
결함 사례를 기준으로 랜덤 문제를 출제해주는 간단한 도구이다. 인증기준 안내서에 있는 너무 명백한 결함사례만들 가지고 문제를 내주기 때문에 너무 쉽게 느껴질 수도 있다. 하지만 10문제 중 1문제만 갸우뚱 한다고 해도 시간을 투자할 가치가 있다. 이 심사항목에 이런 결함 사례가 있을수도 있나? 라고 모호하거나 헷갈리는 부분들을 잡아주는 것이 목적이기 때문이다.
8. 실전에선 시간 안배가 정말 중요하다!
시험장에 가서 시험지를 받고 나면 우선 압박감부터 느껴진다. 시험지가 거의 소책자처럼 두껍기 때문이다. 이는 실무적인 상황을 담는 지문이 길기 때문이다. 인터뷰 내용도 들어가야 하고, 네트워크 구성도, 방화벽 정책, 규정집, 개인정보 처리방침 등 여러 사례를 담다 보니 한 문제가 몇장을 차지하기도 한다.
수험서는 책을 인쇄해서 팔아야 하는 특성상 실전처럼 이정도의 양으로 문제를 내긴 어렵다. 그래서 수험서에서 짧은 지문들만 보다가 실제 시험장에서 문제를 보면 당황할수도 있다. 그래서 내가 해주고 싶은 말은 "시간 안배를 잘 하자"라는 마인드라도 곱씹으면서 시험장에 들어가자는 것이다. 나도 그런 얘기를 대충 듣고 들어갔지만 두꺼운 시험지에 당황해서 잊어버리곤, 막판에 시간 부족으로 문제를 못풀뻔 하기도 하였다.
겁먹을 필요는 없다. 수험서는 필요한 내용만 짧게 담은 것이고 실전은 좀 더 사족이 많은 정도이다. 읽는데 시간이 많이 걸리는 지문들은 아니다. 하지만 그 긴 내용들 속에서 빠르게 답을 찾아야 하는 것이 우리의 숙제다. 문제는 뭔가 애매하게 꼬아 놓은 대화 속에서 이게 답인가 아닌가 헷갈리는 지점들이 많은데, 그 지점에서 너무 오래 고민을 하면 시간이 부족해진다는 것이다. 이런 경우엔 우선 먼저 떠오르는 걸 답으로 골라두고, 그냥 별표를 쳐놓고 넘어가야 한다. 순차적으로, 한문제씩 확신을 가지고 넘어가고자 하다간 마지막 몇 페이지에선 지문도 제대로 못 읽고 시험이 끝날 수 있다. 의외로 뒤에서 나온 문제는 적당한 여유를 가지고 읽기만 해도 답을 쉽게 찾을 수 있는데 앞에서 시간을 너무 빼앗겨 버리니, 당황에서 후반부의 쉬운 문제들도 어이없이 날려버릴 수 있는 것이다.
본인이 잘 아는 주제부터 먼저 읽는 것도 팁이 될 수 있다. 개인정보 보호 담당자를 오래 했다면 개인정보 수집이용 동의서나 개인정보 처리방침에 대한 문제를 먼저 풀어버리고, 보안 담당자를 오래 했으면 방화벽 문제부터 빨리 풀어버리는 것이다. 문제를 푸는 순서에 대해선 ISMS-P를 응시할 정도의 짬이 있는 사람들이라면 자기만의 스타일이 있을테니 너무 자세하게 언급하진 않겠다. 하지만 중간 중간 시간을 봐가면서, 남은 문제를 고려하면서, 시간 안배에 신경을 쓰자! 이것만 잊지 않으시길 바란다.
결어. 아직은 부족한 자격 제도
현장에서 느끼는 바로는, ISMS-P의 공신력은 나날이 커지고 있는 것 같다. 그에 따라서 ISMS-P 인증심사원의 가치도 지속해서 올라가고 있고 ISMS-P 인증심사원 자격이 가치는 영향력도 증가하고 있다. 그래서 KISA에서도 인증심사원 자격 제도나 육성에 대해서 나름 신경을 많이 쓰고 있는 것으로 보이는데, 문제는 불투명성이다.
법과 제도를 만들 때는 균형을 고려해야 한다. 예를 들어 특정 공공기관에서 빵빵한 예산을 바탕으로 "이 자격 따면 평생 먹고살 수 있어" 라고 수입을 보장해준다면 당연히 그 자격의 가치는 올라간다. 하지만 이 자격이 ▲ 그만한 가치를 보장해줄 자격인가? ▲ 그만한 가치가 보장된 사람을 뽑기에 충분한 제도적 퀄리티를 가졌는가? ▲ 충분히 공정하고 투명한가? 등을 고려해봐야 한다. 이런 균형이 어긋난다면 이는 국가의 보안 산업 진흥 측면에서도, 우리가 내는 세금의 효율적 활용 측면에서도 올바르지 않다.
KISA가 ISMS-P 제도를 운영하기 위해 하는 노력에 대해선 충분히 공감을 한다. 하지만 그 접근법이 너무 헤게모니를 유지하는데 집중되어 있지 않나는 생각도 한다. 무조건 우리가 모든 것을 꽉 쥐고 있고, 소통을 하지 않음으로써 우리의 입장과 우리의 기준을 관철시키고자 한다면.. 일단 성공은 하고 있다. 하지만 인증심사 기준이나 그 해설서의 내용, 그리고 인증심사원 자격 제도 및 시험 문제들의 퀄리티를 극대화하기 위해선 좀 더 개방적일 필요가 있다는 것이 내 생각이다. 어떤 인증심사 기준이 충분히 합리적인지에 대해서도 현장 담당자의 현실적인 여건들을 충분히 고려해야 하듯이, 인증심사원 자격 시험 문제들 또한 좀 더 투명하게 출제되고 관리되어야 한다.
국내 대부분의 국가 자격들은 출제위원들을 투명하게 구성하여 운영한다. 여기서 투명하다는 것은 출제위원을 위촉하는 과정 부터가 공개가 되어 있다는 것이다. 이는 기사, 기술사 등의 국가기술자격 뿐만 아니라 의사, 변호사, 회계사 등 전문직 자격도 마찬가지이다. 하지만 ISMS-P의 문제는 어떤 과정으로 출제되는지 알려진 정보가 없다. 또한 어떤식으로 품질이 관리되는지도 마찬가지다.
필기를 통과하고 공식적인 교육을 듣고 실기 시험을 치르는 과정을 겪어 보면 이는 KISA와 KISA와 친한 일부 전문가들의 너무 주관적인 기준들만으로 제도가 운영되는 것이 아닌가 하는 생각이 들지 않을 수 없다. 실제 필기 시험을 통과하고, 필기시험을 통과한 사람들끼리 모여서 실무 교육을 듣는 과정에서도 어떤 실습 상황이 주어지면 정말 다양한 의견들이 나온다. 물론 "통계적으로 가장 많은 사람들이 고르는 것" 이 "보편타당한 정답"이라고 주장은 하지만 그 통계적 기준치가 그렇게 압도적인 것도 아니다. 실무 교육에서 "이 상황에서 왜 이 기준만 이렇게 적용됩니까?" 를 물어도 강사가 답변은 하지만 딱히 그에 대해 공감을 받는 분위기는 아니다. 그냥 그들의 기준이 채점 기준이기 때문에 억지로 주입당할 뿐이다.
해결법은 모든 것을 공개하고 투명하게 운영하는 것이다. 가장 쉬운 것은 시험 문제와 답을 공개하고 이의 제기를 받아들이는 것이다. 엄청난 행정력이 필요하겠지만 결국은 넘어야 할 산이다. 그리고 학계, 산업계에서 공식적으로 출제위원을 위촉하여 문제를 관리해야 한다. 여러 경험과 전문성을 가진 출제위원이 충분한 토론을 하고, 이의 제기를 받게 되면 이에 대해 검토하는 과정에서 거센 비판을 받는 문제를 출제한 출제위원이 있다면 자연스럽게 자정작용이 이루어질 것이다. 그리고 이런 과정에서 인증심사 기준의 모호함이나 중복, 상충 등의 문제도 상당 부분 해결될 것이라고 확신한다.
정보보호를 위한 어떤 제도가 흥하고 있다는 것은 분명히 나같은 동종 분야 기술자에겐 행복하고 칭찬할만한 일이다. 한국에서는 수많은 많은 제도들이 생겨났다가 유명무실화되고, 없어지거나 통폐합되고 있지만 그 중에서 자리를 잘 잡은 제도 중에 하나가 ISMS-P 제도이다. 그런 과정에서 주관 기관인 KISA도 큰 노력을 했고, 그리고 조직 성장 차원에서 그에 상응하는 보상도 있었을 것이다. 분명히 잘 된 일이다! 다만, 지금과 같이 제도의 영향력이 커지고 규모가 거대해진 시점에선 한번더 혁신을 시도 해야 할 때라고 생각한다.
(아직 작성 중인 내용입니다. 댓글로 질문들 달아주시면 참고해서 본문 내용 구성도 계속 업데이트하겠습니다.)