ISO 27001:2013 취득 후기

2022년 4월 ISO 27001:2013 자격증 취득에 성공했다. ISO/IEC 27001은 국제표준화기구에서 제정한 정보보호 관리체계에 대한 국제 표준이고 정보보호 분야에서 가장 권위 있는 국제 인증 심사원 자격증이다. 필자도 모의해킹을 계속 하고 있지만 보안 정책 인증 심사 파트에도 관심이 많아 취득하게 되었다.

 

이번에 자격증은 조금 오랜만에 취득 했었다. 그래서 잘 할 수 있을까 그 생각도 많이 들었다. 게다가 ISO 27001 자격증은 가격도 엄청 비쌌다. 그렇기 때문에 부담 아닌 부담이 아닐 수 없었고 취득을 어떻게 했는지, 시험은 어떤거 보는지에 대해 전혀 모르고 그냥 신청해서 도전해봤었다.

 

직장에 다니고 있어서 평일날엔 수업을 듣지 못해 주말반으로 신청했다. 코로나가 줄어들었다 해도 계속 온라인으로만 하는 상황이었기 때문에 온라인으로 수업이 진행되었다. 사실 기술 파트(웹, 모바일, 인프라, API 진단 등)로만 계속 경력을 쌓고 커리어를 쌓아왔기 때문에 인증 심사 쪽은 잘 모르고 시작했었다. 그래서 이게 더 무대뽀(?) 였던 것이다.

 

첫 날 수업에 긴장하면서 들었었다. 모르는 내용이 대다수일거라고 생각했고 각오하고 들었다. 하지만 들으면 들을 수록 생각했던 것보단 따라갈만 했다. 기술적인 부분도 많이 나오고 기술을 모르면 이해하기 어려운 내용들이 줄을 이었다. 국제 표준 인증 심사 항목들도 기술을 모르면 이해하는거 쉽지 않았다. 그래서 처음에 긴장했던거와는 달리 원활하게 수업을 쫓아가며 들을 수 있었다.

 

수업이 끝난 후 과제가 쏟아졌는데 이 또한 평가에 반영이 되었다. 과제 양도 많아서 그 날 저녁은 지인들과 약속도 안잡고 새벽 2시까지 과제만 열심히 했다. 모르면 구글링도 하고 교재도 찾아보고... 그러면서 이해하고 공부했다. 인증심사는 왜 해야 하는지, 어떤식으로 진행이 되는지 등등 새로운 것들을 깨우치고 알게 되면서 신선하고 재밌다는 생각이 들었다.

 

과제 중에서도 시나리오가 주어지고 결함을 찾는 것을 했는데 이것도 즐기면서 했다. 왜 그게 결함인지 내 머릿속으로 상기시키면서 했고 하면서 인증 항목에 대해서도 이해가 되기 시작했다.

 

그렇게 둘째날은 오전 수업만 하고 오후엔 시험을 보게 되었다. 수업에 집중해서 열심히 듣고 과제를 열심히 한 사람들은 풀만한 수준의 문제들이었다. 쓸 게 너무 많아서 팔이 아프긴 했지만 수업할 때 들었던 내용과 과제 했던 내용들이 주를 이루면서 수월하게 답안을 작성할 수 있었다. 특히 시나리오가 주어지고 결함을 찾는 문제가 많이 까다로웠는데 배점도 제일 커서 부담스러웠긴 했다. 하지만 내 판단이 정확한거다 라고 생각하고 자신감 있게 답안을 작성한 후 제출했다.

 

그리고 약 10일 뒤.....

합격 통보를 받았다. 사실 시나리오 결함 문제 때문에 어떻게 될 지 장담은 안되었었는데 다행히 좋게 점수를 받은 것 같았다. 처음에는 두려움 반, 걱정 반이었지만 이렇게 자격증 하나를 취득하고 새로운 것들을 많이 배우니까 신선하고 좋았다. iso 19011 자격까지 취득해야 국제 표준에 ISO 27001 인증심사원(보)로 등록이 가능하다. 조만간 iso 19011도 보게 되는데 이것도 꼭 취득하고 싶다.