어느새 2025년을 정리해야 할 때가 되었다. 올해로서 소위 “프리”로 일한 지 햇수로 9년이 되었지만 블로그에 1년 동안 어느 정도 일을 하고 있는지 기록한 적이 없었다. 그래서 정보보안 업계의 종사자들이 많이 궁금해 하는 전업 ISMS-P 인증심사원의 수입을 추측해 볼 수 있도록 1년 간 수행한 심사와 그 외의 업무량에 대해 기록해 보고자 한다.
전업 ISMS-P 인증심사원 활동의 시작
필자는 2015년에 실시된 제1회 ISMS 인증심사원 필기 시험에 합격하여 심사원양성 교육과 실기시험을 거쳐 심사원 자격을 취득했다. 그리고 재직 중 2회의 심사에 참여하였다.
이후 2017년 4월 12일. 드디어 13년 정도 재직했던 세 번째 직장을 퇴사하며 어디에도 속하지 않은 신분이 되었다. 그리고 이 때부터 ISMS 인증심사에 본격적으로 참여하기 시작했다. 그 당시에는 1년 간 최대한 많이 심사에 참여해 정보보호 관리체계에 대한 지식을 습득하고 취업을 할 계획이었다.
매주 심사 신청을 하였고 몇 개월 간은 격주로 심사에 참여할 수 있었다. 그리고 7월부터는 거의 매주 심사에 참여할 수 있었고 2019년 까지는 ISMS 인증심사를 주업으로 하였으며 다른 일은 전혀 하지 않았다. 하반기에는 문제가 없었지만 상반기에는 근무일 기준 절반을 겨우 채울정도로 심사에 선정되었다. 그리고 12월 중순이 되면 심사 참여가 힘들었다.
필자는 맞벌이 부부다. 옆지기의 직장은 소위 말하는 철밥통인 행정직 공무원이다. 그렇기에 심사에 선정이 잘되든 되지 않든 개의치 않고 심사를 전업으로 선택할 수 있었다. 정보보호 관리체계를 1년만 공부해보자는 마음가짐으로 한시적인 전업으로 삼았다가 딱~ 1년을 채워가던 즈음 옆지기가 미끼를 던지듯 “취업 안해도 되겠는데?” 라는 이야기를 하자마자 필자는 그 미끼를 덥썩 물었다.
그 후 필자는 취업을 자발적으로 포기(?)했다.
ISMS-P 인증심사원을 전업으로 해도 될까?
만약 필자처럼 부부 중 한 명이 안정적인 직장을 갖고 있거나 결혼하지 않은 돈 욕심 없는 싱글이라면 몰라도 결혼한 외벌이의 경우 ISMS-P 인증심사만을 전업으로 하는 것은 절대 권하지 않는다. 자녀가 있는 외벌이라면 심사 업무만으로는 뭐 밥이야 굶겠어? 정도의 각오가 없다면 생계를 유지하기는 곤란하다.
다만, 심사 업무보다 더 많은 소득을 거둘 수 있는 보안컨설팅, 내부감사, 여타 다른 강의활동 등을 겸업할 수 있다면 연 1억 이상의 소득도 가능하다. 필자도 9년 중 1년은 심사를 주업으로 하면서 의뢰가 들어오는 상주 컨설팅을 제외한 대부분의 업무를 거절하지 않고 꾸역꾸역 해냈던 해가 있었다. 그 해에는 총 소득 기준 1억을 찍기도 했지만 이럴 거면 차라리 취업을 하는 것이 낫겠다 싶어 다음 년도 부터는 10 to 5를 철저히 지킬 수 있는 일만 하고 있다.
taeho의 2025년 수행 업무 내역
2025년에 필자가 수행한 업무의 내역을 정리해봤다. 예전과는 달리 ISMS 인증심사를 주업으로 하며 그동안 알게 모르게 함께 심사에 참여한 심사원 간 이뤄지는 평가에 기반한 추천을 통해 들어오는 다른 업무가 제법 늘었다.
| 업무영 | 수행 횟수 및 주 |
| ISMS-P 인증심사 | 19회 (23주) |
| CSAP 인증심사 | 3회 (3주) |
| 본인확인기관 심사(정기점검 등) | 6회 (6주) |
| IT 내부감사(모의심사) | 1회 (2주) |
| 정보보안 분야 자격증 시험출제 | 1회 (2주) |
| (개인) 정보보호 관리체계 구축·운영 강의 | 7회 (7주) |
ISMS-P 인증심사와 CSAP 인증심사 그리고 본인확인기관 심사는 평균 5일이라고 보면 된다. 이따금씩 4일짜리 심사도 있지만 최대 8일까지 진행돠는 심사도 있기에 회당 평균 5일로 잡으면 19주 하고도 몇 일이 남을 것이다.
그리고 모의심사 겸 IT내부감사는 10일 동안 혼자서 진행해야 해서 쉴틈이 없이 힘들게 진행했던 기억이 있다. 비용을 심사 대비 더 받을 수 있기 때문에 참여할 뿐 그렇지 않다면 참여하지 않는다. 10 to 5를 지켜주는 경우에만 참여한다. 그 만큼 업무 강도가 높다. 올해도 몇 번의 참여기회가 더 있었지만 일정이 맞지 않거나 9 to 6를 고집해서 거절한 적이 있다. 10 to 5가 아니면 하지 않는다고 하니 딱~ 10시에 출근해서 5시면 칼퇴근 하는 줄 아는 모양이었다. 필자는 10시에 심사가 시작돼도 보통 7시면 집에서 나간다. 남는 시간은 업무 준비를 하거나 업무와 관련된 자료 서칭, 스터디 등을 하는데 말이다.
시험 출제 업무도 업무 강도가 매우 높다. 본인의 지식과 창의력의 한계를 시험해 보고 싶다면 한 번쯤 참여해 볼만하지만, 내년부터는 참여하고 싶지 않은 것이 솔직한 심정이다. 창의력 부족과 지식의 부족으로 인해 매우 지치고 힘들다.
강의도 만만치 않다. 5년 넘게 1회 당 5일 과정의 교육 중 2.5일을 맡아 진행하고 있는데 녹화가 아닌 온라인 라이브와 오프라인 집합 교육을 번갈아 하다 보면 강의도 아무나 하는 것이 아니구나 싶은 마음이 생긴다.
어쨌든 필자는 2025년 52주 중 42주 동안 일을 하였다. 대략 200일 정도 일을 한 것이다.
ISMS-P 인증심사 참여 심사원 선정이 안되는 이유
사실 이건 심사원 마다 다르다고 봐야 한다. 인터넷 이곳 저곳에 보면 ISMS-P 인증심사에 선정이 잘 안된다고 불만을 제기하는 분들이 꽤 많다. 그런데 심사팀에 선정이 잘 안되는 것에는 여러 이유가 있을 수 있다.
첫째는 심사팀 구성의 문제다. 심사팀은 한국인터넷진흥원에서 심사팀 구성 기준에 따라 신청자를 대상으로 배정시스템을 통해 무작위로 구성한다고 알고 있다. 이 때 선임심사원과 심사원 그리고 심사원 보 등급의 심사원을 골고루 배정하는 것을 원칙으로 한다. (당연히 그렇게 해야 한다) 심사팀은 일반적으로 심사팀장을 포함하여 3명에서 5명으로 구성되는 경우가 대부분이고 인증범위 내 정보시스템의 규모와 심사 대상 서비스의 중요도에 따라 7명까지 구성되기도 한다.
필자의 경험에 의하면 심사팀이 3명인 경우 심사기관 소속 심사팀장 1명을 제외하고 모두 선임 심사원으로 구성되기도 하고 선임 심사원 1명과 심사원 또는 심사원 보 1명으로 구성되는 경우가 대부분이었다.
심사팀이 4명인 경우 심사팀장을 제외하고 선임 심사원 1~2명, 심사원 1~2명 그리고 심사원 보 1명 정도로 구성되는 경우가 제일 많다. 참여 신청한 심사원 보가 없다면 심사원으로 대체하게 된다. 심사팀이 5명으로 구성되는 경우에는 선임 심사원 또는 심사원 1명이 더 배정되기도 한다.
심사팀이 이렇게 구성되다 보니 어느 때는 선임 심사원의 수요가 더 많기도 하고 어느 때는 심사원의 수요가 더 많기도 하다. 이동통신사, 금융기관, IDC 또는 개인정보가 많이 처리되는 널리 알려진 서비스가 인증범위에 포함되면 경우에 따라서는 선임 심사원이 더 많이 포함되기도 한다. 심지어 보안사고 등의 이슈가 있던 기업의 심사에서는 선임 심사원만으로 심사팀이 구성된 것을 보기도 했다.
심사원 보는 일반적으로 심사팀에 1명 넘게 포함된 것을 본 적이 없다. 그렇기 때문에 심사원 보는 심사팀에 선정되기가 더 어려운 경우도 발생한다. 특히 3명이나 4명으로 심사팀이 구성될 경우 심사의 품질 문제로 인해 심사원 보가 참여하기 힘든 경우도 있는 것으로 보인다.
두 번째는 심사원 평가를 어떻게 받느냐다. 예전에는 심사팀장 커뮤니티(공식적인 모임이나 단톡방 등이 있는 것은 아님)에서 비공식적으로 이루어지는 심사원에 대한 정성적인 평가에 따라 심사에서 일정부분 배제되기도 했던 것 같다. 특히 심사를 받는 신청기관 담당자 또는 심사팀장과 싸웠다던가, 심사를 너무 고압적으로 진행해서 심사가 끝난 뒤 신청기관에서 심사기관 또는 인증기관(KISA)에 민원을 제기했다던가 하면 어떤 심사팀장이 그 심사원과 함께 심사를 나가고 싶겠는가? 그래서 구성된 심사팀 명단을 받아본 심사팀장이 문제를 자주 일으키는 일부 심사원의 교체를 요구할 수 있다는 소문이 있기도 했다.
실제로 심사에 여러 번 참여하다 보면 심사업무에 부적합한 심사원을 만나게 되는 경우도 있다. 심사를 진행하다 보면 발견된 이슈에 대해 심사원 간 의견을 주고 받거나 신청기관 담당자와 의견을 주고 받는 경우가 있는데 타인의 의견을 경청하여 합리적이고 논리적이라면 받아들이고 고려하는 자세가 필요하다. 하지만 자기 주장만을 반복적으로 되풀이하는 심사원을 만나는 경우가 종종 있다. 당연히 그런 심사원은 평가가 좋을 수 없을 것이다. 그런 일이 반복적으로 발생하다 보니 소문이 나게 되고 심사에서 배제되는 상황이 생길 수 밖에 없다. 그런 분들이 종종 있다보니 언제부터인가 심사팀 내 의견 교환이 제대로 이루어지지 않는 경우가 발생한다. 일부러 이슈가 될 만한 상황을 설명하고 의견을 구하면 대부분의 심사원이 입꾹닫이 된다. 내 주장만 고집하거나 억지를 부릴 마음이 전혀 없는데도 말이다.
그래서 몇 년 전부터 심사원에 대한 평가가 공식적으로 이루어지고 있다. 심사가 개시되면 심사에 참여한 심사원에게 이메일로 심사원 및 심사팀장에 대한 평가를 요청하게 된다. 엑셀파일에 해당 심사에 참여한 심사팀장과 심사원 명단이 포함된 평가 서식이 제공되고 심사가 끝나면 평가점수를 입력해 회신해야 한다. 이 평가결과에 따라 심사 선정 시 우선 순위가 주어지지 않을까 예상된다.
세 번째는 심사 참여 마일리지다. 이것은 한국인터넷진흥원에서 공식적으로 공개한 심사팀 선정 기준에 포함되어 있다. 심사원의 최근 심사 참여 횟수, 심사 참여를 위한 신청의 횟수가 많으면 우선순위가 주어진다는 것이다. 최근 일정 기간 동안 심사 참여 횟수와 심사 참여 신청 횟수가 많은 심사원을 우선 배정하기 위한 것으로 예상된다.
네 번째는 심사원 수요보다 공급이 많을 수 있다. 어떻게 보면 가장 큰 이유일 수 있다. 그저 심사에 참여하고자 하는 심사원이 많은 경우이다. 심사팀장을 제외하고 4명의 심사원을 필요로 하는 심사에 10명만 지원해도 경쟁율은 2.5대 1이다. 그리고 조기 퇴직하는 40대, 50대 심사원 자격 보유자가 많이 늘어난 것은 사실이다. 이분들이 심사에 참여하게 되니 당연히 경쟁율은 높아지고 선정은 안되는 것이다. 2024년 부터 이러한 현상이 눈에 띄게 발생하고 있는 것도 사실이다.
어떤 조건이 우선 순위가 높은지는 필자도 정확하게 알지는 못한다. 이런 저런 소문도 많고 확실한 것 처럼 이야기하는 분들도 많지만 무엇이 정답인지는 사실 아무도 알지 못한다. 본인의 경험을 기반으로 추측하는 것에 불과하기 때문이다. 이 글의 내용도 마찬가지다. 그럼에도 불구하고 본인이 심사에 배정이 안된다고 불만을 표시하는 것은 본인의 심사원 업계에서의 평가가 좋지 않다거나 심사 참여 마일리지가 부족하다는 것을 스스로 떠벌리는 것일 수도 있다는 것을 알아야 한다.
결과적으로 ISMS-P 인증심사 업무만 한다면 2025년 소문과 경험을 기준으로 볼 때 인증심사에 많이 참여하는 경우 월 2~3회 심사참여가 가능한 심사원도 존재한다. 물론 이 정도 참여가 가능한 심사원은 전반적인 평가순위가 최소 상위 10% 이내에 포함되는 분들이 아닐까 싶다. 그리고 월 1~2회 참여하는 심사원도 다수 목격할 수 있었다. 따라서 평균 4.5일(4일과 5일이 혼재하므로)과 심사 참여 횟수를 곱한 다음 다시 하루 심사원 보수를 곱한 값에 기타 소득세 8.8%를 공제하면 통장에 찍히는 소득액이 될 것이다.
그렇다 보니 전업으로 심사만 하는 심사원은 드물다. 보안컨설팅 기업에 이름을 올려놓고 주기적으로 보안 컨설팅이나 사업에 참여하거나 감리를 함께 하는 심사원이 많은 편이고 기타 정부과제를 수행하는 기업에 이름을 올리고 심사를 병행하는 경우도 있다.
정말 도움이 되는 정보네요! ISMS-P 인증심사원 업무에 관심 있는 분들에게는 좋은 참고 자료가 될 것 같아요.