정책 보안 커리어를 위한
자격증 취득 순서

CPPG ▶ CISA ▶ ISMS-P ▶ CISSP(드러워서 안딴다;)

by Younggi Seo Mar 19. 2025

한국에서 CISSP 인증협회가 철수했었다. 응시자 수요도 수요지만 한국의 정보보안 수준이 본인들의 기준치에 못 미친다는 이유에서였다. 그래서 한국에서 CISSP 시험을 칠 수 없게 됐다. CISSP은 외국에서 정보보안 직종에서 일하는 사람에게는 가장 가치 있고 우대해 주는 자격증이다. 이 말은 즉슨 한국은 정보보안 수준이 낙후된 나라라는 걸까?

일전에 클라우드 보안 직종에서 근무한 적이 있었는데, 당시 삼성 SDS에 인수된 한 고객사와 미팅세션을 가졌다. 나와 같은 팀의 엔지니어가 보안이슈와 관련해서 '눈칫밥으로 잘해드리겠다'는 마지막 발언에서 무슨 뜻일까 의아했다.

이에 반해 이번에 마친 ISO-27001 인증 최신버전(2022년)으로 전환을 위한 컨설팅을 하면서, 고객사에게 최종산출물을 메일로 전달해 주고, 피드백을 받았다. 문서 대신 갈음이 가능한 증적 자료에 대한 검토요청을 받으면서, 문서에 명시되어 있지 않으면 이러한 증적자료로 대체 가능한지 여부를 피드포워드 해줬다.

문서에 개정된 인증 버전의 프로세스가 명시되어 있지 않으면 몸빵(수동)으로 이러한 절차가 이루어지고 있는지 여부는 심사위원이 가장 많이 살펴보는 부분이다. 회사 내에서 이미 공식적으로 수행한 프로세스를 최근에 했다는 증적자료(어떠한 솔루션의 캡처화면이나 기록물이나 승인문서)를 구태여 마련하느니, 미리 표준, 절차, 지침서 등의 공식 문서에 적시해서 당사는 이 프로세스가 인증심사항목의 요구조건을 충족하는지 보여주면 몸빵 안 해도 된다.

즉, 보안에 있어서 눈칫밥이란 있을 수가 없다. 기면 기고 아니면 아닌 것이다. 내 생각엔 정성적으로(사람이 하는 일인데...) 혹은 직관적으로 판단하는 문화가 이런 보안 거버넌스(회사의 비전, 미션에 맞춰서 회사의 시스템을 얼라이먼트 시킴)의 정량적인 평가에 개입되는 게 아닌가 싶다.

한국만이 아니다. 미국도 영화 '머니볼(2011)'에서 볼 수 있듯이, 메이저리거들의 실력을 스탯(statistics, 통계수치)으로 보기보단 직관적이거나 정성적인 인상으로 재단하곤 한다. 전문가의 직관 역시 중요하다. 경험치에서 비롯되는 그 뭔가('눈칫밥?')가 있기 때문이다.

하지만, 지금은 AI 시대다. 전문가보다 더 전문가다운 확률 모델에 계측치나 데이터를 쏟아부을 수 있다. 그래도 눈칫밥으로 정보보안 인증 하는 시대는 이제 아니다. 정신 차려라. 대한민국아. 특허 개수만 꼴뚜기에서만 머무는 게 아니라, 표준이나 이런 인증을 심의하는 법제정까지 외국물만 쫓아가는 게 얼마나 많은 국비가 낭비되는지...

엊그제, 페이스북이나 구글의 개인정보 이용에 대한 한국의 판결이 각 기업에게 이전의 프랑스에서 매긴 과징금 액수보다 많이 때렸다. 잘했다. 개인정보보안 분야만큼은 한국도 중히 여겨야 하는 걸 잘 아는 모양이다. 그런데 그러면 뭐 하나. 한국의 ISMS-P나 개보법(개인정보보호법) 그리고 망법(정보통신망법) 수준이 '수준이하'라서 CISSP이라는 전 세계에서 인정받는 자격증 표준인 ISO/IEC 17024의 기준에도 부합하는 인증 협회가 국내를 떴는데...

본인은 올해 이 인증시험까지 딸 예정인데, 이 자격 수험은 어디서 치러야 할지 모르겠다. 일단 국내 ISMS-P 인증자격(심사원 보)까지만 부리나케 따보자...

아래 영상은 '머니볼'에서 브래드 피트가 연기한 모델인 실제 구단주의 인터뷰다. 앞으로 데이터 애널리틱스(분석)가 전부란다. 필자 생각엔 정보보안도 마찬가지다. 왜냐하면 방어에 포커스를 두기보단, 공격의 다양성과 공격자의 심리(레드팀 성향)가 앞으로의 정보보안에서 더 중요한데, 기존의 해킹 패턴에서도 벗어나는 행위(misbehaviour, 나쁜행위)를 적시에 예측하려면 AI가 필수고, '윤리적 보안'이라는 보안 거버넌스의 표준 준수(화이트햇 해커 의식)가 더 중요해질 거기 때문이다. 그래서 필자는 전자보단, 후자의 정책 분야로 본인의 커리어를 이어나가려고 한다.