CISSP 독학 후기 및 시험팁

CISSP 후기 검색해보면, 거의 90% 이상은 라이지움 얘기라서 독학한 후기를 필히 남겨놔야겠다고 다짐했었는데,

다행히 합격 후기를 남기게 되었다 (야너두...!)

준비기간

시험이 하도 어렵다는 얘기를 많이 들어서 (정말 어렵다)

한 3개월 정도는 공부해야겠다 싶었는데 하다보니 길어져서 5개월 정도 걸렸다.

• 동영상 강의: 8주 (도메인 당 1주), 도메인 당 평균 3-4시간 길이의 강의
• 교재 및 문제풀이: 8주, 교재만 읽거나 문제만 푸는것보다 동시에 하는게 효과적인 것 같음
• 복습, 연습문제풀이: 4주

막판 4주 정도는 평일에는 아침저녁으로 최소 1시간 정도 (많으면 2시간) 공부했고

주말에 하루 정도는 몰아서 대략 5-6시간 정도 공부했었다.

상대적으로 회사가 덜 바쁜 시기였어서 가능했다.

 

준비방법

요약: 동영상 강의 1턴 + 이론서 2-3권 + 문제풀이집 1권

 

• LinkedIn Learning: CISSP Cert Prep

https://www.linkedin.com/learning/cissp-cert-prep-2021-the-basics/

영어강의의 압박 (자막은 한글 지원)이 있지만, 개념 잡을 때 가장 도움되었던 강의.

회사에서 지원되는 강의 플랫폼 (LinkedIn Learning)에서 공짜로 들을 수 있는 강의였고,Official Study Guideline 저자(Mike Chapple)가 강의 해 주는거라 퀄리티 있어보여서 선택했다.

• CISSP Official Study Guide, 8th edition

회사 도서관에 신청해서 본 책이고, 아무도 이 책을 대여해가지 않았어서 거의 독점적으로 볼 수 있었다.

내용을 다는 보지 못 했지만, 온라인에 pdf 버전도 있어서 모르는 거 찾아가면서 검색하면서 보기 용이한 책

 

• CISSP Official Practice Tests, 3rd edition

8개 도메인별로 각 100문제, 그리고 연습문제 (125문제)가 4회 제공된다. 

문제를 풀다보면 도메인별로 막 40개씩 틀려서 굉장히 좌절 각이긴하나, 실제 시험문제를 돌이켜보면 어차피 같은 문제는 안 나온다.

개념을 알고 있는지 정도 체크하면 될 것 같고 너무 스트레스 받을 필요는 없을 것 같다. (굉장히 스트레스 받은 1인)

 

인터넷 후기들 찾아보면 정보보안 1000제 들을 많이 푸시는 거 같아서

나도 풀어야 되나...싶었는데 이것까지 풀 시간은 없었다.

결론적으로는 Officiel Practice Tests 책으로 1300문제 정도 풀었으니 효과는 거의 동일한 것 같다.

 

• Official (ISC)2 Guide to the CISSP CBK, 4th edition

이 책은 거의 막판에 알게 된 책이라, 정작 내용은 거의 하나도 보지 못했다.

주요 도메인 (Domain 1,3,4,5,7 - 비중이 가장 높은 도메인)에서 문제만 몇개 골라서 풀어봤었는데,

시험 때 나오는 형태랑 제일 비슷했던 것 같다. (어차피 유사한 문제는 안 나오지만 형태가 유사하다는 뜻)

난이도도 적합하고, 고민해야 하는 점이 시험 직전에 대비하기는 좋았던 책

 

• 2021 최적합 정보보호 전문가 CISSP

시험은 한글로 보는데, 영어로만 공부해서 용어나 주요 포인트가 다를까봐 한글책도 하나 봤다.

열심히 본 책은 아니지만 한글로 되어 있어서 슈루룩 보기는 좋았던 책

 

• 요약노트/단권화 (내가 만듬)

동영상 강의 들은 내용 + 문제 풀면서 알게 된 내용 + 최신 내용 학습 등등을 모아서 워드 파일로 단권화 작업해가면서 공부했었다.

시험 당일에는 요거 하나만 가지고 갔고, 막판까지 리마인드 하면서 봤었다.

 

시험준비 팁 (1): 영어

시험은 한글로 선택했는데 주로 영어로 된 교재로 공부한 이유는, 접근 가능한 교재들이 영어로 된 것들이 많아서였다. 
시험 볼 때 영어원문을 보는게 더 낫다는 얘기가 있기도 했었고, 정보보안 도메인 지식 자체가 영어로 된 말이 많기도 하고, 한글로 번역된 걸 찾아보면 무슨 말인지 잘 와닿지도 않고 해서 원문으로 공부하는 게 좋다고 생각하긴 한다.

Domain 3 Security Architecture and Engineering이나 Domain 4 Communication and Network Security 등은 한글로 공부해도 크게 무리가 없을 것 같지만, Domain 1 Security and Risk Management, Domain 7 Security Operation 등의 해석이나 정책이 중요한 도메인 같은 경우 영어 관련 자료들을 찾아보면서 의도나 배경을 정확히 이해하는게 필요하다. 

결국 ISC2에서 낸 문제들을 영어원문을 비교해가면서 문제풀이를 해야 하니, 시간이 아깝다거나 후회되는 선택은 아니었다. 앞서 얘기했지만 라이지움 교재 외에 방법으로 공부한 사람이 있다는 게 참고가 되었으면 좋겠다.

하지만 공부를 영어로 한다는 건 여튼 에너지가 드는 건 사실이다.

 

시험준비 팁 (2): 공식홈페이지

뭔가 FM처럼 들리겠지만, 공식 홈페이지에서 도메인 별로 어떤게 주요 키워드인지 연구하는게 도움이 된다.

https://www.isc2.org/certifications/cissp/cissp-certification-exam-outline

예를 들면 Domain 5에서 Federated Identity Management (FIM), Single Sign On (SSO), Just-In-Time (JIT) 등의 개념이 출제된다고 적혀있고, 이에 대해서 앞서 말한 교재에 키워드 검색해가면서 공부해보는 식이다.

 

공식 홈페이지에서는 시험출제 reference도 공개하고 있는데

https://www.isc2.org/certifications/references

 

책도 많고, 각종 NIST 표준에.... 대략 60개도 넘는 reference가 있어서 다 볼 수 있는 범위는 아니다.

다만 이 목록 중에서 전반적인 정보보안 개론이 아니라 특정 주제가 제목에 있는 reference가 있다면 

키워드 뽑아서 조금 더 비중을 높여 공부할 필요는 있어보여 그렇게 공부했다. 꽤나 도움이 된 방식이다.

예를 들면 이런 식으로 말이다.

• Distributed Denial of Service (DDoS) by Eric Chou, Rich Groves. Publisher: O'Reilly Media, Inc. (Apr, 2018).
• Federated Identity Primer, 1st Ed. by Derrick Rountree. Publisher: Syngress. (Dec, 2012).
• General Data Protection Regulation (GDPR) Publisher: European Parliament. (Apr, 2016).
• Linux Hardening in Hostile Networks: Server Security from TLS to Tor by Kyle Rankin. Publisher: Addison-Wesley Professional. (Jul, 2017).
• Ransomware Revealed: A Beginner's Guide to Protecting and Recovering from Ransomware Attacks, 1st Edition by Nihad A. Hassan. Publisher: Apress. (Nov, 2019).
• Zero Trust Networks: Building Secure Systems in Untrusted Networks by Evan Gilman, Doug Barth. Publisher: O'Reilly. (Jul, 2017).
• .... 등등

 

시험준비 팁 (3): 마인드셋 장착

시험을 시작함과 동시에 정말 계속 멘붕인 상태에서 문제를 풀어야 하는데

그 이유는 정말 문제가 어렵고, 얼핏보면 보기로 출제된 모든 항목들이 다 맞는 말이기 때문이다!

그 중에 가장 (BEST, MOST), 최고 (PRIMARILY) 적합한 말을 찾아야 하고 문제에서 주어진 상황에 맞는 답을 찾아야 한다.

 

• Business 처럼 생각하자

기술적인 측면이 아니라 사업측면에서 접근해야 한다.

회사에서 근무하시는 분들이라면, 문제 풀면서 내가 어떻게 일하고 있는지 생각하면 도움이 된다.

어떨 때 법무팀, 홍보팀, 다른 개발팀이랑 협업을 해야 하는지, 보안사건이나 사고 관련해서 어떤 포인트로 보고자료를 만들고, 누구한테 보고 하는지 누가 최종적으로 결정하고, 책임을 지는지 등등

 

• 기본에 충실하고 우선순위를 비교하자

CIA triad (Confidentiality, Integrity, Availability) 중에 어떤 게 우선순위인지

문제에서 묻는 우선순위가 엔지니어링인지, 정책인지, 관리인지, 감사목적인지 생각해서 문제에서 묻는걸 해석하면 쉽게 풀리는 문제도 있었다.

생각보다 베이직한 문제가 엄청 나오는데, 근원을 고민하게 만드는 문제들이라서 평소에 정보보안 분야별로 어떤 항목에 포인트를 갖고 있는지 생각해보는 것도 중요한 것 같다.

 

• Why? How?를 항상 고민하자

교재에는 그냥 키워드별로 이게 뭐고, 장단점 나오고 하겠지만 시험 문제는 그렇게 단답형으로 나오지 않는다.

예를 들면 OSI 7 layer 엄청 프로토콜 별로 공부했지만, 실제로 나온건 어떨 때 Layer 3를 써야 하는지에 대한 고민이 필요한 문제들이 나온다.

항상 Why, How를 생각하는 습관을 들여야 하고, 어떤 상황에 어떤 솔루션/방법론이 제일 적합할지 고민하고 비교해봐야 한다. 

 

• 문제랑 답을 천천히 읽자

키워드 형 시험 공부에 익숙해지면 문제를 보자마자 답을 누르게 되는데 그러지 말아야 한다.

문제나 보기를 천천히 읽고, 문제에서 원하는 포인트를 캐치해야 한다.

영어원문이 통째로 제공되는데, 한글보다 영어원문을 읽는게 훨씬 더 문제이해에 도움이 된다.

Flag 체크 허용 되지 않고 한번 풀었던 문제로 다시 돌아올 수 없기 때문에 신중해야 한다.

 

시험장 TMI

시청 역 피어슨센터 시험장에 7시반에 도착했는데 도착해서 바로 입장가능했다. 근처 스타벅스나 맥도날드 모두 7시 오픈, 아침을 먹는다면 여기서 해결 가능.

도착 하자마자 시험자료는 볼 수 없고, 서약서 작성 후 모든 소지품 사물함에 넣고 핸드폰은 전원을 꺼야한다.

그래서 최종 마무리하거나 정리할 시간따위는 없다. 미리 하고 들어가자.

 

지금까지 봤던 어떤 시험보다도 가장 보안이 철저했다. 신분증, 신용카드로 신원 더블체크하고 Palm 스캔에, 안경도 뭔가 광학성을 검사하시는 것 같다. 분리된 공간으로 들어가면, 컴퓨터 1대씩 놓여있고 감독관이 로그인 해 주면 시험 시작! 헤드폰이 1대씩 놓여있어서 사용할 수 있다. 기기가 많아서 그런지 생각보다 소음은 있는 편.

 

노트필기 할 수 있도록 책받침같은 erasable board 를 주는데 하나 더 받을 수 있냐고 여쭤봤는데, 추가는 안 되고 교체만 된다고 한다.

좀 고민하다가, 문제 풀면서 적은 키워드도 많고 해서 원래 필기 했던 내용 그대로 가지고 있었다.

막판에는 모자라서 막 구석퉁이에다도 필기를 했는데, 이걸 좀 계획적으로 쓰면 좋을 것 같다는 생각을 했다.

이미 지나간 문제에서 생각해볼 수 있는 내용도 적어둘 수 있고, 노트한 거 전체적으로 훑어 보면서 생각할 시간도 가질 수 있다.

 

시험 시간은 주어진 6시간 거의 full로 다 쓴 것 같고, 1시간에 4~50문제씩 푼다는 생각으로 천천히 풀었다.

한글, 영어원문, 다시 한글 이런 식으로 문제해석에 시간을 많이 쓴 편이다.

 

100문제 풀고 한 번 휴식, 75문제 풀고 한 번 더 휴식, 그리고 남은 75문제를 풀었다. 휴식 할 때마다 들어올 때 했던 보안절차 다시 거쳐아 하고, 시험시간은 계속 흐른다. 휴식시간은 정말 혜자라고 생각하는데, 사물함에서 간식 같은 거 꺼내서 먹을 수 있게 10분정도의 시간이 허용된다.

 

끝

시험 끝나고 나오면 바로 합격/불합격 종이를 주시는데 떨려서 열어보지도 못 했다.

1층 스타벅스에 앉아서 겨우 덜덜 떨면서 확인했는데 "축하합니다!" 로 시작되는 문구 합격 ㅜㅜ 

시험도 어렵고, 보는 과정 자체가 너무 힘들어서 떨어져도 다시 볼 자신도 없었고, 다시 봐도 붙을 수 있을까 싶던 시험이어서 너무 다행이라고 생각했다.