나 스스로도 뭐가 어떻게 바뀌었는지 정리도 할 겸 글로 남겨본다.
아, 이번 글에서는 나를 포함하여 상대적으로 우리나라에서 더 많은 사람들이 가지고 있는 자격증인 CISSP를 중심으로 설명하겠다.
무엇이 달라졌는가?
즉, 자격을 따려고 준비하는 경우는 시험범위가 달라졌다고 보면 된다. 이미 자격을 취득한 사람의 경우는 매년 갱신을 해야 하는 교육 점수(CPE : continuing professional education)를 변경된 영역 (Domain)에 맞게 취득을 해야 한다.
시험 범위가 달라졌다고는 하지만, 실제 세부 내용까지는 아직 달라지지는 않는 것 같다. 자세한 내용은 뒤에 더 설명하겠다.
어떻게 달라졌는가?
[변경 전 CISSP 도메인]
- Access Control Systems and Methodology : 접근통제 시스템 및 방법
- Applications and Systems Development Security : 어플리케이션 및 시스템 개발 보안
- Business Continuity Planning(BCP) and Disaster Recovery Planning(DRP) : 업무연속성 및 재해복구
- Cryptography : 암호학
- Law, Investigation and Ethics : 법률, 사고조사 및 윤리
- Operations Security : 운영 보안
- Physical Security : 물리보안
- Security Architecutre and Models : 보안 아키텍처 및 모델
- Security Management Practices : 보안 관리 실무
- Telecommunications and Network Security : 통신 및 네트워크 보안
[변경 후 CISSP 도메인]
- Security and Risk Management (Security, Risk, Compliance, Law, Regulations, Business Continuity)
: 보안 및 위험관리 - Asset Security (Protecting Security of Assets)
: 자산 보안 - Security Engineering (Engineering and Management of Security)
: 보안 공학 - Communications and Network Security (Designing and Protecting Network Security)
: 통신 및 네트워크 보안 - Identity and Access Management (Controlling Access and Managing Identity)
: 식별 및 접근관리 - Security Assessment and Testing (Designing, Performing, and Analyzing Security Testing)
: 보안 취약점 분석 및 시험 - Security Operations (Foundational Concepts, Investigations, Incident Management, Disaster Recovery)
: 보안 운영 - Software Development Security (Understanding, Applying, and Enforcing Software Security)
: 소프트웨어 개발 보안
우선 가장 먼저 다음과 같이 mapping을 시도해 보았다.
[CISSP 변경 전, 후 mapping]
보시다시피 완전한 mapping 되지 않는다. 아예 삭제가 된 영역도 있고, 해체되어 두개로 나누어지는 domain도 있으며 새롭게 신설된 domain이 있는 것을 알 수 있다.
하지만 (ISC)² 홈페이지의 FAQ를 보면 실제로는 삭제된 영역은 없다고 한다. 따라서 삭제된 것으로 보이는 암호학은 별도로 가지 않고 통제수단 중 하나로 취급이 되어 다른 영역 (아마도 보안 공학 쪽이 아닐까 예상해 본다)으로 포함 된것으로 보이며, 물리보안도 영역을 굳이 따로 나누지 않고 통제 대책이 되어 어딘가로 흡수가 된 것으로 보인다.
업무연속성 및 재해복구는 각각 위험관리와 보안 운영으로 구분되어 떨어져 나갔다. 즉, 업무연속성(BCP)과 같이 기업 경영에 영향을 미치는 것은 위험관리 쪽으로, 재해복구와 같이 사고 발생 후 대응이 필요한 실질적인 행동 영역은 보안 운영 쪽으로 행위 중심으로 재편이 된것으로 보인다.
(언듯 보면 달라진 것이 없는 Security Operation 도 변경 전의 Operation Security와 단어 순서가 바뀐 것을 알 수 있다.)
변경된 방향에 대해서 이야기를 해보면, 크게 위험관리 측면에서 필요한 영역들이 앞으로 드러난 것 같다. 위험은 자산, 취약성 및 위협을 통해 평가를 하게 되는데 이번 변경된 domain을 보면 자산 보안과 보안진단과 시험(취약성 분석)이 눈에 띄인다.
그나마 명맥을 유지하고 있는 domain은 위험관리, 통신 및 네트워크 보안, 접근통제, 개발 보안 정도가 되겠다.
왜 바뀌었는가?
뭐 당연한 이야기이지만, (ISC)² 에서는 최근의 기술 변화와 진화하는 위협 때문이라고 밝히고 있다. 그밖에 다른 이유도 생각해볼 수 있겠지만 개인적으로 생각해 보아도 바뀔 때가 되지 않았나 싶다.
그런데 (ISC)² 홈페이지를 살펴보는 중 이상한 것을 발견했다. 내가 저 위에서 적었던 10개 domain이 아니라 살짝 다른 버전이 홈페이지에 게시되어 있다.
[현재 (ISC)²에 게시된 10개 domain]
- Access Control
- Telecommunications and Network Security
- Information Security Governance and Risk Management
- Software Development Security
- Cryptography
- Security Architecture and Design
- Operations Security
- Business Continuity and Disaster Recovery Planning
- Legal, Regulations, Investigations and Compliance
- Physical (Environmental) Security
앞으로는 어떡하지?
앞서도 이야기 했듯이, 이미 자격을 취득한 사람이라면 교육을 받고 CPE 등록 시 새롭게 변경된 domain으로 등록을 하면 된다.
시험 취득 준비 중이라면, CISSP 시험범위가 2015년 4월 15일 부터 바뀐다. 하지만 영역 개편으로 보면 되고 실제로 세부 내용의 변경은 많지 않다라는 것이 (ISC)²의 설명이다. 그러나 기술의 변화와 취약성의 진화 때문에 이러한 변경을 단행한 것이라면 당연히 그에 맞는 기술들이 추가되어 출제 될 것이라고 예상할 수 있겠다.
여튼, (ISC)²에서는 2015년 7월 부터는 한국어 시험도 제공할 예정이라고 하며, 기존에 준비를 하고 있는 사람도 큰 어려움 없이 새로운 시험도 응시할 수 있을 것이라고 한다. 물론 4월 15일이 지나 봐야 알 일이다.
| EXAM | LANGUAGE(S) | DATE AVAILABLE |
| CISSP, SSCP | English | April 15, 2015* |
| CISSP |
French,
German, Portuguese, Spanish | May 15, 2015** |
| CISSP | Japanese, Simplified Chinese, Korean | July 1, 2015 |
| SSCP | Japanese, Portuguese | July 1, 2015 |
기타 시험 문항 수나 시험 소요 시간 등이 변경되는 것은 아니라고 한다.
자세한 내용은 아래 FAQ에서 자세히 살펴볼 수 있다.
FAQ : https://www.isc2.org/cissp-sscp-domains-faq/default.aspx
댓글 없음:
댓글 쓰기