구직 위해서만 공부? 현직 위해서도 공부해야...지식 없으면 ‘꼰대’ 되기 십상
자격증 따지 못한다 하더라도 머리에 뭔가 남기고 싶어 선택한 것이 CISSP

[보안뉴스 문가용 기자] 보안 자격증의 인기 비결은 무엇일까? 주니어급 혹은 그보다 살짝 연차가 쌓인 중견급 보안 전문가들이 ‘개인 브랜드와 가치’를 높이는 가장 간편하고 확실한 길이기 때문이다. 또한 보안에서는 ‘현 위치를 유지하기 위해서’ 보안 자격증을 따거나 최신화 하는 경우도 꽤 된다. 그렇다면 보안 직무를 가지지 않은 C레벨 임원이 보안 자격증에 관심을 갖는 건 왜일까? 본지가 조사해보았다.


먼저 소프트웨어 업체 패스솔루션즈(PathSolutions)의 CTO인 팀 티투스(Tim Titus)의 경우 CISSP을 취득하기로 마음먹었다. 세계 거의 모든 지역에서 IT 보안 전문성을 갖춘 사람임을 입증하는 데에 가장 무난한 자격증 중 하나이기 때문이었다. CEH, CISM, Security+, GSEC 등 같은 선상에 올려놓을 수 있는 고려 대상들이 더 있었지만 이왕이면 가장 유명한 것부터 시작해보고자 CISSP를 선택했다고 한다.

티투스는 “대부분의 사람들이 입사나 구직을 위한 시험 공부는 열심히 하는데, 현재 위치를 확고히 하고자 하는 활동에는 별다른 노력을 하지 않는다”고 지적한다. “저는 한 기업에서 C레벨에 있고, 그래서 자격증이 실질적으로 필요하지는 않습니다. 하지만 CISSP을 취득한다면 같은 C레벨 임직원들 중에서 더 전문적으로 보이고, 동료와 부하직원들에게 더 큰 신뢰를 줄 수 있을 거 같았습니다. 권위적인 거 다들 싫어하잖아요? 자격증 하나 있으면, 보다 덜 권위적으로 보이는 것도 사실입니다.”

그렇다면 왜 CISSP일까? 단지 유명해서? “여러 자격증의 교제를 검토했는데, 보안이라는 것을 전반적으로 이해시켜주고, 보안에 기반한 사고방식을 키워주는 건 CISSP 같더라고요. 어느 한 브랜드의 제품이나 솔루션에 특화된 것이 아니라요. 제가 사실 자격증 시험을 본다고 반드시 통과하리라는 법이 없잖아요? 그렇다면 실용성 있는 지식이라도 남는 걸 공부하고 싶었어요. 그게 CISSP이었죠.”

CISSP 시험을 본격적으로 준비하는 방법에는 여러 가지가 존재한다. “서적도 다양하게 나와 있고, 온라인 강좌도 이미 여러 개 개설되어 있습니다. 저의 경우는 본격적으로 공부를 하고 싶었어요. 그래서 부트캠프에 등록했죠. 무려 3백만 원짜리 코스였어요. 주6일 동안 수업이 이어지는, 입시학원과 같은 곳이었습니다. 친구가 추천해줘서 알게 됐습니다.”

이 부트캠프의 경우, 정식 수업이 시작하기 6주 전에 이미 학습 교제를 ‘예습용’으로 보냈다고 한다. 실제 예습을 하고 캠프에 참가하라는 지시문도 있었다. 티투스는 “어렵긴 했지만 책과 교제의 질이 상당하더군요. 진지하게 임해야겠다고 생각하고 모텔 방을 하나 빌렸어요. 그리고 3일 동안 방안에서 교제들을 전부 읽었습니다. 아무런 방해도 받지 않고요.”

교제 내용은 대단히 재미있었다고 한다. “새로운 걸 알게 되는 과정이 매장 반복됐습니다. CISSP은 보안의 복잡한 용어가 무엇이고, 정의가 무엇인지 지루하게 공부해야만 하는 과정이 아닙니다. 현대의 네트워크 환경에 존재하는 위험 요소가 무엇이고, 이를 어떻게 찾아내 평가하며, 방어를 위한 예산을 짜는 노하우까지 전반적으로 이해시키는 실전용 보안 훈련 과정인 것입니다. 즉, 라우터에 ACL을 프로그램화 시키는 방법이 아니라, ACL이 전체 보안 전략에 어떤 영향을 줄 수 있는지 이해하는 과정이라고 볼 수 있습니다.”

고된 부트캠프가 끝나고, 5일이 지나고 그는 CISSP 시험을 봤다. “학습 과정이 끝나고 최대한 빨리 시험을 보고 싶었어요. 잊어버리기 전에 최대한의 성적을 거두고 싶었던 것이죠. 5일 동안 부트캠프 동안 받았던 교제들을 전부 한 번 이상 다시 읽었습니다. 그리고 모의 시험도 여러 개 치렀고요. 모의 시험을 통해 제가 배웠던 것을 다른 각도로 바라볼 수 있었고, 이것이 큰 도움이 됐습니다.”

그는 모의 시험 성적을 통해 어떤 영역에 더 시간을 투자해야 하는지도 파악했고, 따라서 시간을 효율적으로 배분할 수 있었다고 한다. 그리고 실제 결과도 성공적이었다. 5일 후 본 시험에서 그는 긴장하지 않았고, 좋은 성적을 거두었다.

“이제 명함에 CISSP이라는 단어를 넣을 수 있게 되었습니다. 굉장히 뿌듯했어요. CISSP 자격증을 획득하는 과정을 지나오며 가장 크게 배웠던 건, ‘보안이 단순히 방화벽 가격 문제를 논하는 분야가 아니구나’라는 겁니다. 특정 업체의 놀라운 기술이나 젊은 해커들의 영악한 범죄 스타일 이상의 분야였다는 거죠. 사업과 산업, 위험 관리와 순간 판단력, 구성원의 심리와 그날의 컨디션을 모두 아우르는 종합 관리 예술 분야더군요. 여전히 저는 CTO이고, 보안 업무를 하지는 않습니다만, 시야가 넓어졌고 조직을 보호할 수 있는 업무 프로세스 확립이라는 것에 이바지 할 수 있게 되었습니다.”

3줄 요약
1. 제대로 된 전문성 갖춰 권위에 의존하지 않는 C레벨 되기 위해 CISSP 공부 시작.
2. 가장 힘든 훈련 과정에 등록하고, 모텔 방에서 3일 동안 관련 서적만 읽기도.
3. CISSP 따고 보니, 보안은 종합 관리 예술 분야.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>