'보안 리더로 가는 길', CISM 인증 가이드

CISM(Certified Information Security Manager)은 엔터프라이즈 수준의 정보 보안 프로그램을 개발하고 관리할 수 있음을 입증하고자 하는 고급 IT 전문가를 위한 인증이다. IT 거버넌스에 중점을 둔 비영리 전문 협회인 ISACA(Information Systems Audit and Control Association)에서 제공하며, 다음과 같은 4가지 핵심 영역에 집중한다. 
 

• 정보 보안 관리
• 정보 위험 관리와 규정준수
• 정보 보안 프로그램 개발과 관리
• 정보 보안 사고 관리

사이버보안에 대한 비즈니스 결정을 내리고 기업의 리더십과 협력하거나 참여하는데 관심이 있다면 CISM을 취득할 가치가 있다. 

CISM과 CISSP 비교 

CISM과 또 다른 가장 인기있는 사이버보안 인증 가운데 하나인 CISSP(Certified Information System Security Professional)의 차이점은 무엇일까? CISM과 CISSP 모두 정보 보안 기술에 정통해야 하지만, CISM은 특히 단지 기술적 관점이 아닌 비즈니스 관점에서 정보 보안에 대한 인센티브를 이해하고 있음을 보여줘야 한다. 특히 관리자, 그리고 경영진 진급을 염원하는 이들에게 초점이 맞춰져 있다. 이에 비해, CISSP 인증은 일부 관리 책임도 포함하지만, 광범위한 보안 영역 목록에 대한 심층적인 기술 지식을 입증한다. 

이 2개의 인증은 선택 혹은 필수의 문제가 아니다. CISSP 인증 관할 조직 ISC2에 따르면, 서로 보완하는 관계다. 종종 CISM 인증이 경영진으로의 경력 전환을 예고하지만, 한 사람이 2개의 인증을 모두 취득하는 것은 드문 일이 아니다. 

CISM 요건과 전제 조건

CISM 인증을 받으려면 다음의 2가지 요건을 충족해야 한다. 
 

• CISM 시험을 통과해야 하고,
• 최소한의 업무 경험을 입증해야 한다 

두 번째 요건을 충족하려면 ISACA가 언급한 업무 경험이 있어야 한다. 인증을 신청하기 전 10년 이내에 정보보안 분야에서 5년 이상의 경력이 필요하며, 앞서 설명한 IT 거버넌스 관련 핵심 영역 가운데 3개 이상에서 최소 3년의 관리 경험이 있어야 한다. 

여기에는 약간의 재량적인 조치가 가능한데, 특정 하위 수준의 인증서는 수년간의 경험을 대체할 수 있으며, 대학 수준의 교육기관에서 정보 보안을 가르친 경력으로도 대체할 수 있다. 다만 초보자를 위한 인증이 아님은 분명하다. 수년 간의 경험이 있어야 하고, 얼마동안 관리직도 거쳐야 한다. 

이 전제 조건의 한 가지 흥미로운 점은 CISM 인증을 받는 과정을 시작하기 위해 실제로 전체 직무 경험 요건을 충족할 필요가 없다는 것이다. 인증 취득에 필요한 전문 경험이 충분하지 않아도 시험에 응시할 수 있으며, 합격하면 향후 5년 이내에 필요한 경험을 쌓은 후 인증을 신청할 수 있다. ISACA는 이 관행을 “허용할 수 있고, 일반적이다”라고 밝혔다. 

CISM 인증의 핵심, 시험

CISM 시험이야말로 이 인증의 핵심이다. 앞서 설명한 4가지 실무 영역을 거의 동등하게 다룬다. IASCA 웹사이트에서 테스트할 핵심 영역과 하위 주제, 작업에 대한 매우 자세한 자료를 볼 수 있다(접속하려면 IASCA 계정이 있어야 하지만 비용은 들지 않는다). IT 관련 블로거 애머 하사옌이 각 영역에서 예상할 수 있는 실제 주제에 대해 꽤 괜찮은 분석을 제공한다. 예를 들어, 정보보안 거버넌스 관련 질문은 정보 보안 전략을 개발하고, 이를 지원할 기업 활동을 안내할 프레임워크를 개발하는 방법을 확인하는 것이 목적이다.  

CISM 시험은 온라인 또는 오프라인에서 볼 수 있으며, 200개의 문항으로 구성된다. SAT와 마찬가지로 200~800점으로 점수가 매겨지며, 450점이 합격점이다. 불합격시 1년에 4회 재응시할 수 있다. 객관식으로 출제되지만 안심해서는 안된다.

IT 보안 아키텍트 예레미야 워커는 “대부분의 객관식 시험과 달리, 대부분의 문제에는 최소한 3개의 답이 있다. ‘이러한 상황에서 가장 중요한 것은 무엇인가?’ 또는 ‘어떤 조치를 먼저 취해야 할까?’와 같은 질문을 많이 보게 될 것이다. 이런 문제에는 짐작으로 답할 수 없다. CISM 자료를 진정으로 이해해야 한다”라고 설명했다. 

시험을 치르는 동안 명심해야 할 또 다른 중요 사항은 인증의 운영 방향을 염두에 두고 그 관점을 통해 문제를 봐야한다는 것이다. 

CISM 시험 비용

CISM 시험 비용은 얼마일까? 저렴하지 않다. 760달러지만, ISACA 회원은 575 달러로 할인된다. ISACA 회원비는 연간 130달러이며, 이와는 별도로 가입시 1회 선결제 비용과 지역 지부에 회비를 납부해야 하지만, 시험 할인 이상의 혜택을 받을 수 있다. 

CISM 학습 가이드

CISM 시험을 위한 다양한 공식 및 비공식 학습 가이드가 있다. 아마도 가장 중요한 자료는 무료 ISACA 계정으로 접속할 수 있는 ISACA의 질문/답변/설명(QAE) 데이터베이스일 것이다. 

QAE 데이터베이스는 시험에 나올 실제 문제가 포함된 것이 아니라, 예상 문제 유형을 보여준다. 최근 시험에 합격한 한 레딧(Reddit) 사용자는 “예상 문제 유형은 실제 문제가 어떻게 표현될지를 잘 보여줬다. 답변이 옳거나 그른 이유를 알 수 있어서 가장 좋았다. 실제 시험에는 QAE 데이터베이스의 문제가 하나도 나오지 않았지만, 정답에 대한 설명을 읽고 많은 것을 배운 것 같다”라고 말했다. 

ISACA는 공식 리뷰 매뉴얼을 발행하며, ISACA 또는 아마존에서 135달러에 구입할 수 있다. 대부분의 주요 인증과 마찬가지로, 비공식 학습 가이드도 다양하다. 많은 사람이 추천하는 것은 ‘CISM 올인원 시험 가이드’이며, 아마존에서 단 40달러에 구할 수 있다.

CISM 교육

학습 가이드 이상으로 더 체계적인 방법으로 배우고 싶다면, 다양한 교육 과정을 이용할 수 있다. ISACA의 공식 교육 과정 ‘CISM 온라인 리뷰 코스’는 17 시간의 강의(895 달러)를 제공한다(회원은 100달러 할인을 받는다). 

다양한 공급업체에서 수강할 수 있는 다른 온라인 과정도 많다. 일부 최고 등급의 수업은 다음과 같다. 
 

• CIS(Certified Information Security)의 과정: 멘토와의 직통 전화를 포함해 666.60달러
• 사이버비스타 CISM 훈련 과정(CyberVista CISM Training Course): 실시간 온라인과 온디맨드 형식으로 제공되며 1,724.65달러
• cisspexampractice.com: 이름에도 불구하고 온라인 CISM 부트캠프를 제공하며, 498달러 
• 심플런(SimpleLearn)의 CISM 인증 훈련: 16시간의 이러닝 콘텐츠를 제공하며 599달러 

더 저렴한 교육 과정을 찾고 있다면 유데미(Udemy)에서 11.99달러에 이용할 수 있는 여러 과정이 있다. 다만 효과도 낮다는 점은 감안해야 한다. 

CISM 인증과 CISM 인증 비용

시험을 통과하고 자격에 충분한 업무 경험을 쌓았다면, CISM 인증을 신청할 준비가 된 것이다. 이 과정은 비교적 수월하며, 1회성 50달러의 신청 수수료를 내야한다. 

그러나 CISM은 일회성, 단발성 인증이 아니다. 인증을 유지하려면 3년간의 보고 주기에 걸쳐 최소 120시간의 지속적인 전문 교육(Continuing Professional Education, CPE)을, 매년 최소 20시간 이상 이수해야 한다. 대학 수업, 기업 연수, 공급업체 영업 설명회에 참석하거나 전문 교육 활동과 회의에 참여하는 등 요구사항을 충족할 수 있는 방법은 많다. ISACA의 CISM CPE 정책에서 자세한 내용을 확인할 수 있다. ISACA 멤버십 혜택 중 주목할 만한 것은 CPE 시간에 포함되는 무료 프로그램이다. 

CISM 인증을 받은 경우, CISM 직업 윤리 강령도 준수해야 한다. 마지막으로, 연간 유지비(85달러)를 내야 하지만, ISACA 회원은 45달러로 할인된다. 여러 ISACA 인증을 보유했다면 유지비를 대폭 할인받는다. 

CISM의 혜택과 직업 연봉 

인증을 취득하고 유지하려면 충족해야 할 요건이 많다. 그래서 분명한 의문이 든다. '그럴만한 가치가 있을까?' 경영직 진급과 높은 직위에 걸맞는 급여에 관심이 있다면, 경력과 야망에 대한 진지함은 물론 전문성을 알리는 좋은 방법이다. CISM 자격 증명과 부합하는 직무에는 정보 보안 관리자, 정보 위험 준수 전문가, 나아가 CIO까지 포함된다. 

이런 직책은 일반적으로 급여도 높다. 서티피케이션 매거진(Certification Magazine)의 최근 설문 조사에 따르면, 다양한 보안 인증 보유자의 평균 급여 가운데 CISM이 12만 7,063달러로 가장 높았다. 응답자의 48%가 가장 최근의 보안 인증을 취득한 후 1년 내에 급여 인상이 있었다고 답했다는 점에 주목하자. editor@itworld.co.kr