본문으로 바로가기

ISMS 인증심사원 시험과 교육 (2015년)

category 나의 일 2015.10.22 12:00

직장에 적을 두고 일을한지 20여년... 이제 앞으로의 20년(?)을 위한 전환점이 되지 않았나 싶다.


개발..DBMS..시스템(서버위주) 성능/장애/이벤트 통합관리..그리고 보안... 다양한 기술업무를 주 업무로 수행한지 15년.. 그리고 최근 몇년간은 프리세일즈 업무를 수행했다. 


지난 2~3년간 현재하고 있는 일 보다 한단계 발전적인 일을하기 위한 여러 시도를 했었고 그 마지막 결실의 수확을 눈앞에 두고 있다.


바로 ISMS 인증심사원 이다.


내가 작년부터 시도한 보안관리체계의 인증심사원 자격취득.. 작년(2014년)까지만 해도 ISMS 인증심사원 선발은 서류심사와 5일간의 심사방법론 교육과 교육 마지막날 치러지는 심사실습시험으로 이루어졌었다. 당연히 학벌.. 수행하는 업무가 보안컨설팅인지..등이 더 중요하게 서류전형에 작용했을거라 예상된다. 하지만 올해(2015년) 부터는 서류 자격 심사는 많이 완화되는 대신 필기시험이 치러졌다.


인증심사원의 자질논란 촉발

ISMS 인증심사원 선발과정에 필기시험이 추가된 이유는 현재 ISMS 인증심사를 수행하는 심사원들의 자질 논란 때문이라고 한다. 당연히 그런 논란이 발생할 수 밖에 없을 것이다.


보안관리체계의 핵심 요소 중 하나인 다양한 보안 솔루션을 조직의 보안정책에 맞추어 제대로 활용하고 있는지..그리고 관련 감사자료를 증적하고 있는지를 보는 것이 심사의 중요한 포인트 중 하나다. 하지만 현재 대부분의 기업과 공공기관에서 도입하여 운용하고 있는 보안 솔루션들은 자체적인 문제점을 매우 많이 갖고 있어 완벽하지 못한 상태로 운영되고 있는 경우가 많다.


반면 다양한 운영체제와 보안 솔루션들에 대한 기술적 이해와 경험이 없는 심사원들이 심사를 수행하고 있는 경우가 있다. 따라서 기업과 보안조직이 당면하고 있는 어려움을 이해하지 못한 채 무리하게 "원칙"만을 내세우면 심사 대상 기업에서는 "불만"을 토로할 수 밖에  없다. (ISMS/PIPL 등 대부분의 인증심사원이 서류전형과 교육만으로 심사원자격을 부여받고 있다.)   그러한 어려움을 이해하고 대체 가능한 보안정책과 보완대책을 인정하고 보완대책이 현실적인 대안이 될 수있는지를 봐주어야 하는데 현실적으로 경험이 부족한 심사원들은 그러한 유연성을 발휘하지 못하는 것이 아닐까 생각된다. (개인의견임)



인증심사원 필기시험으로 본 심사원 선발 기준

2015년 인증심사원에 지원하면서 작년(2014년)에 취득한 정보보안기사 자격증이 얼마간 도움이 되었다고 생각되며 2015년 1회 ISMS 인증심사원 필기 시험을 치른 경험을 바탕으로 보면...


1. 빠른 판단력과 이해력


시험의 형식을 보면... A4 사이즈 50 page에 육박하는 방대한 내용의 시험지가 주어진다. 문제는 단 80문제. 시간은 겨우 2시간이다. 지문과 예문 등을 꼼곰히 읽으며 생각할 시간은 없다. 누군가 그랬듯이 "동물적인 감각"으로 정답을 찾아내야 한다. 문제는 5지선다형이 대부분이고 정답 하나만 찾는 문제와 옳은 것 모두, 틀린것 모두를 찾는 문제도 출제된다.

아마도 길어야 5일인 심사기간에서 빠른 판단력과 이해력은 필수라고 생각한 듯 하다.


2. 풍부한 경험


문제를 풀다 보면 피 심사기관에서 발생할 수 있는 보안관련 이슈들이 제시해준다. 보안과련 이슈가 발견되었을 때 보안 홀은 맞지만 실제 업무를 수행하다보면 어쩔 수 없는 상황이 있게 마련이다. 이 "어쩔 수 없는"상황을 이해가고 있는지가 중요하다. 이 "어쩔 수 없는 상황" 임에도 불구하고 결함으로 지적해야 하는지, 보완대책이 있다면 PASS할 것인지를 판단해야 한다. 실무 경험이 없다면 "왜 어쩔 수 없는지"를 이해하지 못할 수 밖에 없다. 게다가 위험관리 프로세스에 대한 지식과 실무경험도 꼭 필요하다.


3. 보안 기술 지식


시험엔 일부 기술적인 지식을 묻는 문제도 출제된다. 정보보안기사와 비슷한 수준이거나 혹은 더 난이도 있는 문제도 있었다. 


제1회 ISMS 인증심사원 시험은 2015년 9월에 치러졌고 내년 부터는 초여름인 6월경에 치러질 것으로 보인다. 이 시험의 합격율은 정보보안기사와 마찬가지로 매우 낮은 편이다. 


제1회 시험에는 약 700명이 응시했다. (수험번호와 한곳 뿐인 시험장을 기준으로 추측하건대..)  그리고 합격자는 60명 내외다. (교육이 약 30명씩 2회로 나누어 진행됨) 즉 10%가 채 안되는 사람들만 합격하였다. 합격의 기준은 최소 60점 이상 그리고 필요인원 기준으로 위에서부터 짜른다고 한다.


ISMS 인증심사원 교육

필기시험에 합격하면 심사원교육을 받게 된다. 나도 겨우겨우 합격선에 들어 합격통보를 받았고 교육을 몇일 남겨둔 어제 이메일로 교육안내장을 받았다. 이메일로 날아온 교육 안내문의 커리큘럼은 다음과 같다.



교육내용은 매우 심플하다. 그냥 인증심사 실습이다. 그리고 마지막날엔 평가가 있다. 아직은 모르겠지만 작년까지의실기 시험의 합격율은 70%~80% 사이인 듯 하다. 구글링을 통해 검색해 보면 실제로 불합격한 사람의 수기도 있다. (무섭다....)


어찌됐든...이제 마지막 고비만 남았다.


마지막까지 힘을 내야겠다.

신고

댓글을 달아 주세요

  1. BlogIcon 지후대디 2015.10.25 12:47 신고

    목표를 위해 준비하시는 모습이 멋집니다. 해당분야도 점점 기업에도 보안이나 보안심사 받을 일들이 많아지니 앞날도 밝을듯 합니다 ^^