ISMS 인증심사원 필기시험 합격과 교육 (2015년)

직장에 적을 두고 일을한지 20여년… ISMS 인증심사원 자격 취득은 앞으로의 20년(?)을 위한 전환점이 되지 않았나 싶다.

IT업계에 몸담은 이후 개발..DBMS..시스템(서버위주) 성능/장애/이벤트 통합관리..그리고 서버 보안 등 다양한 기술업무를 주 업무로 수행한지 17년.. 그리고 최근 몇년간은 프리세일즈 업무를 수행했다.

그리고 지난 2~3년은 현재하고 있는 일 보다 한단계 발전적인 일을하기 위한 여러 시도를 했었고 그 마지막 결실의 수확을 눈앞에 두고 있다.

바로 ISMS 인증심사원 이다.

내가 작년부터 시도한 보안관리체계 인증심사원 자격취득.. 작년(2014년)까지만 해도 ISMS 인증심사원 선발은 서류심사와 5일간의 심사방법론 교육과 교육 마지막날 치러지는 심사실습시험으로 이루어졌었다. 당연히 수행하는 업무가 보안컨설팅인지, 보안관리체계의 운영담당자인지..등이 더 중요하게 서류전형에 작용했을거라 예상된다. 하지만 올해(2015년) 부터는 서류 자격 심사는 많이 완화되는 대신 필기시험이 치러졌다.

인증심사원의 자질논란 촉발

ISMS 인증심사원 선발과정에 필기시험이 추가된 이유는 현재 ISMS 인증심사를 수행하는 심사원들의 자질 논란 때문이라고 한다. 당연히 그런 논란이 발생할 수 밖에 없을 것이다.

보안관리체계 인증심사는 관리적인 측면에서 위험관리가 제대로 이행되고 있는지를 평가하는 것이 핵심이다. 우리나라의 ISMS 인증제도와 유사한 또 다른 보안관리체계 인증이자 국제표준으로 자리잡고 있는 ISO27001 인증의 경우 심사가 보안관리체계를 운용하며 생산되는 문서 증적의 검토와 문서증적을 기반으로 하는 인터뷰에 초점이 맞춰져 있다.

하지만 우리나라의 ISMS 인증은 문서 증적의 검토도 중요한 요소지만 실제로 다양한 IT 자원에 대한 실사가 그에 못지않은 비중을 차지한다. 인터뷰를 진행하며 실제 시스템을 들여다보는 방식이다. 이는 서구권과 우리나라의 문화적 차이에서 기인한 것이라고 보는 것이 합당하다.

서구권 국가들은 “신뢰기반”의 문화다. 즉 어떠한 보안활동을 문서증적으로 입증하면 “실제로 활동을 하고 있다.”고 신뢰하는 것이다. 실제 보안활동을 했는지 시스템을 들여다보지는 않는 것이다. 이런 시스템이 가능한 것은 실제로 보안사고가 발생했을 때 처벌의 수위와 관련이 있다. 만약 인증심사 수행 시에는 하고 있다고 문서 증적을 제시했는데 사고가 발생해 실제 이행여부를 들여다 보니 이행하지 않았기 때문에 사고가 발생했다면 가중처벌을 통해 막대한 벌금을 부과하는 경우가 많다. 그 금액은 우리나라에서는 상상하기 어려운 수준이다.

하지만 우리나라는 그렇지 않다. 문화 자체도 “신뢰 기반”이 아니다. 소소한 거짓말은 “애교”로 치부하고 넘어가거나 “그럴 수도 있지”라고 무시하고 지나치는 경우가 많다. 게다가 막상 보안사고가 발생해 개인정보가 유출되어도 처벌수위가 그다지 높지 않은 경우가 대부분이다. 그렇다보니 보안관리체계의 운용 증적의 내용과 실제 상황이 일치하지 않는 경우 또한 빈번하다. 즉 보안관리체계 운용 증적을 무조건 신뢰할 수 없는 상황인 것이다.

그렇다 보니 ISMS인증심사 제도를 만들 때 “실사”라는 실제 서버, 네트워크, DB, 응용프로그램은 물론 운용중인 보안시스템을 속속들이 들여다 보는 “실사”를 강화하게 된 것이다. 하지만 이런 IT의 다양한 기술적인 측면에 대한 실무 경험이 부족한 심사원이 많다보니 제대로 보안관리체계 운영 증적의 검증을 위한 “실사”가 미흡한 경우가 발생하고 기술적으로도 이론적인 원칙을 너무 강하게 주장하며 기업과 보안조직이 당면하고 있는 기술적 어려움을 이해하지 못하고 그러한 어려움을 감안해 보완할 수 있는 우회적인 보호대책을 제시하지도 못하는 경우가 많은 것이다.

인증심사원 필기시험으로 본 심사원 선발 기준

2015년 인증심사원에 지원하면서 작년(2014년)에 취득한 정보보안기사 자격증이 얼마간 도움이 되었다고 생각되며 2015년 1회 ISMS 인증심사원 필기 시험을 치른 경험을 바탕으로 보면…

1. 빠른 판단력과 이해력

시험의 형식을 보면… A4 사이즈 50 page에 육박하는 방대한 내용의 시험지가 주어진다. 문제는 단 80문제. 시간은 겨우 2시간이다. 지문과 예문 등을 꼼곰히 읽으며 생각할 시간은 없다. 누군가 그랬듯이 “동물적인 감각”으로 정답을 찾아내야 한다. 문제는 5지선다형이 대부분이고 정답 하나만 찾는 문제와 옳은 것 모두, 틀린것 모두를 찾는 문제도 출제된다.

아마도 길어야 5일인 심사기간에서 빠른 판단력과 이해력은 필수라고 생각한 듯 하다.

2. 풍부한 경험

문제를 풀다 보면 피 심사기관에서 발생할 수 있는 보안관련 이슈들이 제시해준다. 보안과련 이슈가 발견되었을 때 보안 홀은 맞지만 실제 업무를 수행하다보면 어쩔 수 없는 상황이 있게 마련이다. 이 “어쩔 수 없는”상황을 이해가고 있는지가 중요하다. 이 “어쩔 수 없는 상황” 임에도 불구하고 결함으로 지적해야 하는지, 보완대책이 있다면 PASS할 것인지를 판단해야 한다. 실무 경험이 없다면 “왜 어쩔 수 없는지”를 이해하지 못할 수 밖에 없다. 게다가 위험관리 프로세스에 대한 지식과 실무경험도 꼭 필요하다.

3. 보안 기술 지식

시험엔 일부 기술적인 지식을 묻는 문제도 출제된다. 정보보안기사와 비슷한 수준이거나 혹은 더 난이도 있는 문제도 있었다.

제1회 ISMS 인증심사원 시험은 2015년 9월에 치러졌고 내년 부터는 초여름인 6월경에 치러질 것으로 보인다. 이 시험의 합격율은 정보보안기사와 마찬가지로 매우 낮은 편이다.

제1회 시험에는 약 700명이 응시했다. (수험번호와 한곳 뿐인 시험장을 기준으로 추측하건대..) 그리고 합격자는 60명 내외다. (교육이 약 30명씩 2회로 나누어 진행됨) 즉 10%가 채 안되는 사람들만 합격하였다. 합격의 기준은 최소 60점 이상 그리고 필요인원 기준으로 위에서부터 짜른다고 한다.