[ISMS-P] 합격자 인터뷰 - 50대 #1
2020년에 합격하신 위원님과 인터뷰한 내용을 정리하였습니다. 시험을 준비하실 때 많은 insight를 받으셨으면 좋겠습니다.
Q1. 어렵게 1800명 응시생 중에 합격하셨는데요. 한번에 합격하셨나요?
아니요. 저는 시험을 3번이나 봤습니다. 3회(2017년) 시험에서 불합격, 다음해에는 시험을 보지 않았고, 4회(2019년) 필기시험에서 합격 실기 불합격, 5회(2020년) 시험에서 필기/실기 모두 합격해서 풍부한(?) 필기, 실기 시험 경험을 가지고 있습니다.
Q2. 몇학년 이십니까?
5학년 앞반입니다.
Q3. 어떻게 시험을 준비하셨나요.
초반에는 학원에 등록해서 학습했습니다. 학원에서는 공부할 꺼리와 학습 일정 등에 도움을 받을 수 있지만 전적으로 의지할 수는 없다는 것을 깨달았습니다. 이후에는 인증기준안내서의 점검 항목과 주요 결함을 보고 학습하였습니다. 문제집은 시중에 나와 있는지도 몰랐고 상황문제 푸는데 도움이 안된다고 생각했습니다.
Q4. 하루에 학습에 투자한 시간은 대략 몇 시간 정도이며 준비하신 학습기간은 얼마나 되나요?
시험 볼 때마다 조금 다르긴 하지만, 3회 시험을 볼때는 회사 업무로 ISMS 수심 받은 경험은 있지만 많은 시간을 투자하지 못했습니다.
최근 본 시험은 퇴사 이후 하루종일 투자했고, 3개월 정도 학습했습니다. 작년에는 코로나 19의 영향으로 공부할 시간이 더 있었습니다.
Q3. 이 시험은 시험을 보고나서 자신이 몇 점 정도 맞았는지 감을 잡기 어려운 시험입니다. 몇 차례 시험을 보셨다면 본인의 부족한 영역이 어디인지 어떻게 확인하셔서 보완하셨나요?
결과 총점은 알 수 있지만, 어떤 문제가 틀렸는지 알려주지 않는 이 시험의 특성 때문에 감을 잡기 어렵습니다.
나는 잘 본것 같은데, 시간도 남았는데 점수가 안나온 경우에 대해 저는 정확히 공부하지 않아서 그렇다고 생각했습니다. 혹시 나는 알고 있다고 생각하는데 정확히 모르는 것이 아닌가? 라고 스스로 질문했습니다. 실제로 정확히 모르더라구요. 인증 기준 같은 경우 주요 결함으로 인증기준을 맞추는 문제에서 제대로 하지 못하는 경우가 있었고, 0.0.0 3단계는 맞추는데 물리보안인지 접근통제인지 2단계는 정확히 모르는 경우가 있었습니다. 법령같은 경우 개인정보 수명주기를 글로 썼을 때 "할 수 있다."를 "해야 한다."로 알고 있거나, 항목 몇개를 누락하거나 하는 문제가 있었습니다.
또한, 시험 출제자가 설치해 놓은 함정에 빠진 경우 이렇게 인식할 수 있겠다고 생각합니다. 가령 공용계정을 사용하는 사례가 제시된 경우 2.5.2 사용자 식별로 바로 답을 쓰면 함정에 빠진다고 봅니다. 뒤에도 읽어봐서 보완통제는 있는지 확인해야 정확한 답을 찾을 수 있습니다. 제가 한가지만 말씀드렸는데, 시험지의 여러곳에 이런 함정이 있고, 해가 갈수록 함정을 추가하는 정도가 심해졌다고 느꼈습니다.
Q4. 어떤 자료 기준으로 어떤 단계(이해/암기 등)까지 공부를 하였나요? (=어느 정도 공부해야 합격권이지?)
인증기준 안내서를 주 교재로 사용했고 문제집이라든지 다른 자료는 보지 않았습니다. 인증기준의 내용을 암기하기 보다 이런 저런 상황을 생각하는 연습을 했습니다. 주요 결함을 보고 3단계 인증 기준을 생각해내고, 또는 2단계 인증기준을 생각하는 연습을 했습니다. 지속적으로 이런 연습을 하니까 어떤 상황이 주어졌을 때 인증기준이 2개 내지는 3개 정도 떠오르는 수준까지 되었습니다. (상황을 읽는 속도도 빨라졌습니다.)
<인증 기준 주요 결함 연습하기>
법령은 개인정보 수명주기를 글로 써보는 연습을 했습니다. 글로 못쓰면 정확히 알고 있는게 아니라고 생각했습니다. 또한 법령은 법령 자체도 중요하지만 해설서도 중요하다고 봅니다. 가령 '개인정보의 기술적 관리적 보호조치 기준'에는 개인정보 접속기록의 항목에 대해 이용자 정보를 저장하는 내용이 없는데, 해설서에는 '수행업무'에 기록하도록 안내하고 있습니다. 여러 문제에서 해설서의 내용까지 숙지하고 있어야 정확한 답을 고를 수 있는 문제들이 다수 출제되었습니다.
Q5. 예비 합격생에게 추천하고 싶은 공부방법은?
앞에서 다 말씀을 드려서....
추가하자면 저는 문제집으로 공부하지 않았지만 박위원님이 주신 문제집을 보니 0회 0번 문제 같은 경우 상당히 유사하고 실전 연습이 되는 문제이네요.
Q6. 작년에 많은 분들이 어려움을 토로한(?) 기술보안(보안 인프라, 클라우드 등)에 대해 별도의 학습을 했는지 혹은 기본 지식으로 풀었는지 궁금합니다.
제 생각에는 보안기사 정도의 이론을 공부하면 충분하다고 생각합니다. 다만 네트워크 구성도와 방화벽의 RuleSet 보는 문제는 몇 번 연습을 해야 익숙해진다고 생각합니다. 상황 설명을 듣고 네트워크 구성도에서 흐름을 화살표로 그릴 수 있으면 이해했다고 봅니다. 보통 인프라를 물어보는 문제는 네트워크 구성도, 방화벽 ruleset, 인터뷰 내용 혼합 출제되어 파악하는데 시간이 오래 걸립니다. 일단 skip하고 시간이 남으면 풀어보는 것도 방법이라고 생각합니다. 뒤쪽에 짧은 시간을 투자하고도 맞출수 있는 문제가 있으니까요. 'RuleSet이 실무에 맞지 않게 제시된다'라고 말씀하신 분도 계셨는데, 제 생각에는 각 방화벽 vendor사 중 하나의 형식을 제시하면 안 되니까 basic한 rule set이 제시된다라고 보는게 맞을 것 같습니다.
클라우드는 심리적인 함정이라고 봅니다. 각 vendor 사의 구체적인 내용이 제시되지는 않았고 일반적인 용어들이 나열되어 클라우드에 익숙하지 않은 응시자에게 심리적으로 위축되게끔 하였습니다. '클라우드라는 단어를 지우면 일반적인 문제다'라고 생각하고 풀었습니다. 클라우드 서비스에 대해 심도있는 학습을 하는 것은 방향을 잘못 잡았다고 생각합니다. 대신 주요 용어인 IAM, token, IaaS/PaaS/SaaS 등은 숙지할 필요가 있다고 봅니다.
Q7. 시험을 여러 차례 보셨다고 하는데 기억나는 문제와 유형이 있으신지 궁금합니다.
예전 시험에서는 영역별로 구분하여 출제되었습니다. 인증기준, 기술, 법령 이렇게 따로 출제되었습니다.
요즘은 인증기준, 기술, 법령이 혼합되어 나오는 유형으로 바뀌었습니다. 작년 시험은 실무에서 마주칠 수 있는 상황이 예전시험보다 많이 제시되었습니다. 이점은 시험을 보는 입장에서 보면 오답을 고를 수 있는 함정을 더 많이 추가한 것으로 느껴질 수 있습니다. 그래서 문제의 갯수는 줄었지만 법령을 명확히 외우고 있어야, 기술을 정확히 알고 있어야, 가장 알맞은 인증 기준을 떠올릴 수 있어야, 1개 고르는지 2개 고르는지 기억하고 있어야 정답을 고를 수 있는 유형의 문제가 다량 출제됐다고 봅니다.
Q8. 시험 합격 후 어떻게 자격증을 활용하실 계획이십니까?
인증 심사를 지속적으로 참여하려고 합니다. 상반기에는 선정이 잘 되지 않았지만(지금까지 2번 참석) 5월 이후에는 잘 선정된다고 하니 기대하고 있습니다.
또한 컨설팅, PIA 업무에도 도전할 생각입니다. 추가 자격증으로 SW보안약점진단원을 취득하려고 공부중에 있습니다.
Q9. 심사원보로 심사하시면서 어려운 점은 무엇입니까?
짧은 시간에 많은 부분을 확인해야해서 그 점이 가장 어렵습니다. 미리 사전 정보를 알면 학습하고 가는데, 보안상 그렇게 허용되지 않아 URL site정도만 확인하고 있습니다.
기술적인 부분은 상당부분 머리속에 있지만 실제 인터뷰 때 필요한 내용을 즉각적으로 생각해서 적용하기는 아직 어려움이 있습니다. 심사 끝나고 나서 '00를 물어봤으면 되는데' 하고 후회될 때가 있습니다. 이점은 시간이 지나면서 해결된다고 주변 심사원 님들이 말씀해주셨습니다.
댓글
댓글 쓰기