K-ISMS-P (정보보호 및 개인정보보호 관리체계인증)

들어가면서

온라인 서비스로 일정 규모나 매출을 올리는 기업에서 일하는 정보보호나 개인정보보호 담당자라면 피할 수 없는 것이 바로 ISMS-P 인증입니다. (참고로 법령을 통해 의무로 규정하는 것은 개인정보보호 영역을 제외한 ISMS 인증입니다)

그리고 이 인증제도 운영을 위해 관련 고시를 근거로 매년 ISMS-P 인증심사원을 선발해 일정 규모의 심사인력풀을 유지하고 있고, 올해 2023년 7월 15일에 인증심사원 자격검정 필기전형이 진행되었습니다.

이번에 처음 응시하면서 보고 느낀 것을 남겨 봅니다.

시험장소 및 응시규모

  • 시험장소는 매년 일정하지는 않겠지만 올해는 잠신고등학교, 잠신중학교, 서초고등학교 3곳에서 고사실이 운영되었습니다.
  • 보통 필기전형 시험응시규모는 1200~1300명정도라고 들었는데 올해 수험번호를 보니, 2470명이 필기전형에 응시했으니 올해가 최대이거나 혹은 응시규모가 꾸준히 늘어가는 것에는 틀림없는 것 같습니다.
  • 1개의 고사실에는 총 25명씩 들어가서 시험을 봅니다.

 

필기전형 문제스타일 및 환경

  • 시험지는 굉장히 깔끔하게 인쇄된 소책자 형태로 나옵니다. 대략 B5 사이즈인 것 같고, 올해는 겉표지를 제외하면 46페이지분량이었습니다.
  • 응시자가 임의로 시험지를 반으로 찢는다던가의 행위를 할 수 없습니다. 시험지를 찢는 행위에 대해선 문제 지문이 길어 페이지가 넘어가는 경우가 과거에 있었기 때문에 부정행위 방지 목적 차원에서 제한한 것이 아닌가 생각됩니다.
  • 소문으로 들었던 것처럼 실제 1문제당 지문이 긴 경우가 제법 많았는데, 다행히 뒷페이지를 넘기면서 풀어야 하는 문제는 없었습니다.
  • 자격 검정 세부안내를 보면 시험 시간은 총 2시간, 문항 수는 총 50문제, 문제 유형은 객관지 5지 선다(단순질의, 복합응용, 상황판단)로 되어있는데, 제가 느낀 구체적인 문제스타일은 다음과 같았습니다.
  1. 제시된 내용 또는 보기에 대해 맞는 인증기준 찾기
  2. 제시된 내용 또는 보기에 대해 잘못판단한 인증기준 찾기
  3. 제시된 내용 중 맞거나 틀린 내용의 갯수 찾기
  4. 심사 인터뷰 중 가장 알맞는 인증기준 결함 또는 잘못 판단한 인증기준 결함 찾기
  5. 개인정보 보호법에서 요구하는 내용을 기준으로 틀리거나 맞는 내용 찾기
  6. 기술문제 (신기술, 클라우드)
  7. (공통) 선택해야 하는 보기는 대체로 1개이지만 2개를 선택해야 하는 경우도 있음
  • 문제 난이도는 어떤 업무를 해봤느냐에 따라 다르게 느낄 것 같은데, 문제 자체가 지엽적이다는 느낌은 아니었습니다. 대신, 개인정보 보호법 및 ISMS-P 인증기준에 대한 이해가 높아야 하고, 일부 관련 법령(신용정보법, 전자금융거래법, 위치정보법, 가상자산 관련)에 대한 주요 기준을 개괄적으로는 알고 있어야 지문을 이해하는데 무리가 없습니다.
  • 달리 말한다면 법령 및 인증기준에 대한 문제가 주요 범위 전반에서 골고루 출제가 되었고, 단편적인 결함을 찾는다던가 지식을 확인하는 것이 아니라 해당 내용을 바탕으로한 응용문제가 대부분입니다.
  • 인상 깊었던 문제는 심사원의 적절한 태도를 묻는 것이 있었는데, 아무래도 다양한 이해관계자와 인터뷰하고 현황을 보며 결함을 식별 및 조율해야하므로 커뮤니케이션 및 태도에 대한 부분도 살펴보고 있다는 느낌을 받았습니다.
  • 기술 문제에 대해선 시중에 나와있는 기본서나 모의고사 등에서 다루는 패턴은 없었고, 오히려 온프레미스 환경 기반이 아닌 클라우드 환경 기반으로한 네트워크 구성도나 시스템 구성에 대한 문제가 대부분이었습니다. 실제 심사 현장에서 변화하는 환경을 문제에 많이 반영하려는 느낌입니다. (쿠버네티스 환경을 기반으로한 문제도 있었습니다)

필기전형을 치루면서 느낀 점

  • 인터뷰 및 정책 관련 문제는 지문이 길다고 들었는데 확실히 시간을 많이 잡아먹습니다.
  • 클라우드 기반의 기술문제도 해당 환경을 경험했거나 관심있게 살펴보지 않으면 문제의 맥락과 환경 모두 이해하는데 시간을 많이 소요하게 됩니다.
  • 클라우드 환경에 대해 간단하게 아는 수준보다는 기본적인 구성이라도 Hands-on을 하면서 보다 구체적으로 이해하는 게 필요해 보입니다.
  • OMR 마킹은 중간중간 해두는 것이 좋습니다. 나중에 몰아서 마킹하는 것도 방법이지만 위에서 언급했던 복수 답안의 문제가 중간중간 있어서, 시간에 쫓겨 마킹할 때 실수할 가능성이 높습니다.
  • 단순계산으로는 1문제당 2분 내외에 풀어야 하는데 구성도 및 정책/룰이 제시되는 기술문제는 실제로 환경 이해까지 살펴야 하므로 다른 곳에서 시간을 벌어야하니, 당장 이해가 되지 않는 문제가 있다면 과감히 넘겨야 합니다.
  • 모두가 답인 것 같은 문제들이 상당히 많습니다. 즉, 기본을 바탕으로한 응용문제가 많다는 얘기인데 절대 개인정보 보호법과 ISMS-P 인증기준 및 기준서에서 드는 결함사례를 충분히 이해하고 있어야 합니다.
  • 지엽적인 문제를 우려해 숫자를 외우는 것도 중요할 수 있는데, 의외로 그런 유형의 문제는 많지 않았고 위 내용처럼 법을 충분히 살펴본다면 아예 눈에 안들어 올 정도로 꼬아서 내지는 않는 것 같습니다.
  • 일부 신기술 문제가 있었는데, 난이도는 높지 않았고 해당 용어에 대한 정의나 배경, 이해를 요하는 수준이었으므로 꾸준히 관심있게 신기술에 대해 살펴보는 게 좋아 보입니다.

마치면서

처음 응시한 시험인데 잘 봤거나 못봤거나 하는 느낌이 전혀 없어서, 시험 발표날이 되기 전까지는 그냥 덤덤하게 있어야 할 것 같습니다.

그렇다고 약 100일간 주어진 시간을 최대한 활용하면서 공부를 해서 그런지 아쉽거나 후회가 들지는 않아서 한편으론 위안도 됩니다.

개인적으로는 합격한다면 어떻게 시험을 준비했는지에 대한 썰을 풀고, 불합격한다면 이번에 겪은 문제스타일을 바탕으로 시험준비 전략을 어떻게 수정해야 할지 고민을 정리해 보려고 합니다.

함께 시험에 응시한 모든 분들이 원하는 점수 및 결과를 이루기를 기원합니다.

저작자표시

티스토리툴바