국내에는 정보보호(안)와 관련한 자격증들이 좀 있는데요, 그 중 가장 대표적인 자격증인 정보보안기사, CISSP, CISA, ISO/IEC 27001에 대해 소개해드리겠습니다.
아, 정리하다보니 올해 부터 CISSP는 국내에서 시험을 볼 수 없다고 합니다. 가까운 일본 등에서 영어로 시험을 치뤄야 한다니 참고하시기 바랍니다.
구독과 공감은 저에게 큰 힘이 됩니다.
1. 자격증 종류
종류
최초 시행
지식 수준
정보보안 기사
Information Security
2013
중
국제 공인 정보시스템 보안 전문가 (CISSP)
CertifiedInformationSystemSecurityProfessional
1994
상
국제 공인 정보시스템 감사사 (CISA)
CertifiedInformationSystemsAuditor
1978
상
정보보안 경영시스템 인증심사원 (ISO/IEC 27001)
International Organization for Standardization/ International Electrotechnical Commission 27001 Information security, cybersecurity and privacy protection — Information security management systems
2005
중
2. 자격증 비교
구분
정보보안 기사
CISSP
CISA
ISO/IEC 27001
주관기관
한국산업인력공단
(ISC)2
ISACA
ISO 및 인증기관
대상
정보보안 초급~중급 실무자
정보보호 전문가
IT 감사 전문가
정보보호 관리체계 구축 및 심사 전문가
난이도
중
상
중상
중
시행주기
연 3회
상시
상시
인증 기관에 따라 다름
응시요건
졸업(예정) 또는 관련 경력 필요
5년 실무 경력
5년 관련 경력 (대체 가능)
ISO 교육 이수 필요
적용분야
국내 IT 보안 기술 및 실무
정보보호 정책, 기술, 경영
IT 감사, 리스크 관리
국제 표준 관리체계 인증
응시료
필기 : 18,800 원 실기 : 21,900 원
749 달러 (한화 약 97 만 2 천원)
비회원 : 760 달러 (한화 약 100 만원) 일반 회원 : 785 달러 (한화 약 103 만원) 학생 회원 : 600 달러 (한화 약 79 만원)
인증 기관에 따라 상이하며, 대략 100 ~ 200 만원 사이 (교육료 포함)
국제적 인지도
낮음 (국내 인정)
매우 높음
매우 높음
국제 표준 기반
학습시간
4~6개월
4~6개월
3~5개월
2~4개월
시험언어
한글
영어
영어 또는 한국어
영어 또는 한국어
합격기준
과목당 100점을 만점으로하여 매과목 40점 이상, 전과목평균 60점이상 :과목당 20문항
700점 이상 / 1000점
450점 이상 / 800점
63점 이상 / 90점 (과락있음)
난이도
중간
어려움
약간 어려움
중간
시험방식
필기(객관식 4지선다) 실기(필답)
컴퓨터 기반 적응형 시험 (CAT)
컴퓨터 기반 시험 (CBT)
필기(객관식+서술형)
시험시간
필기 : 2시간 30분 실기 : 4시간
최대 3시간
최대 4시간
2시간
3. 주요 학습내용
자격증
주요 학습내용
정보보안기사
시스템 보안: 운영체제 보안, 사용자 계정 관리, 파일 및 프로세스 보호, 시스템 취약점 분석 및 대응
네트워크 보안: 네트워크 프로토콜 보안, 방화벽 및 IDS/IPS 구성, VPN 보안, 네트워크 트래픽 분석
어플리케이션 보안: 웹 보안, 어플리케이션 취약점 분석(SQL 인젝션, XSS 등), 보안 패치 및 업데이트
정보보안 일반: 정보보호 개념 및 용어, 암호학 기초(대칭키, 공개키, 디지털 서명), 정보보호의 기본 원칙(기밀성, 무결성, 가용성)
정보보안 관리 및 법규: 정보보호 정책 수립, 보안 거버넌스, 개인정보보호법 및 정보보호 관련 법률, 관리적 보안 통제 등
CISSP
보안 및 위험 관리: 정보보호 정책, 리스크 평가, 법적/규제적 준수, 사고 대응 계획
자산 보안: 데이터 분류, 데이터 보존 및 보호 방법, 물리적 보안
보안 아키텍처 및 엔지니어링: 암호학, 보안 설계 원칙, 시스템 보안 및 취약점 관리
통신 및 네트워크 보안: 네트워크 구조, 프로토콜, 보안 설계 및 방화벽/IDS/IPS 구성
신원 및 접근 관리: 인증, 권한 부여, 접근 제어 모델 및 접근 정책
보안 평가 및 테스트: 보안 감사 및 테스트 방법, 취약점 스캐닝 및 평가
보안 운영: 사고 대응 절차, 운영 관리, 비즈니스 연속성 계획 및 재난 복구
소프트웨어 개발 보안: 보안 소프트웨어 라이프사이클, 보안 코딩 기법 및 취약점 대응
CISA
정보 시스템 감사 프로세스: 감사 계획 수립, 감사 수행 및 보고, 감사 기준 및 표준 이해
IT 거버넌스 및 관리: IT 전략 및 거버넌스, 리스크 관리, 성과 모니터링 및 내부 통제
정보 시스템 획득, 개발 및 구현: IT 프로젝트 관리, 시스템 개발 생명주기(SDLC), 품질 보증 및 테스트
정보 시스템 운영, 유지보수 및 지원: 데이터 백업, 시스템 성능 및 보안 통제, IT 지원 및 유지보수
정보자산 보호: 데이터 보호 및 프라이버시, 암호화 기술, 물리적 및 논리적 보안 통제
ISO/IEC 27001
ISO/IEC 27001 표준 이해: 정보보호 관리체계 요구사항(Annex A 통제 항목 포함)
리스크 관리: 위험 평가 및 통제 방안 설계, 리스크 관리 프로세스
심사 준비: 심사 계획 수립, 체크리스트 작성 및 자료 검토
심사 수행: 인터뷰 기술, 증거 수집, 비적합 사항 기록 및 보고서 작성
지속적 개선: 정보보호 관리체계 유지 및 개선 방안 수립
4. 출제범위
정보보안기사
No
출제범위
상세내용
비고
1
시스템 보안
정보시스템의 범위 및 이해: 단말 및 서버 시스템, 운영체제, 시스템 정보
시스템 보안위협 및 공격기법: 시스템 보안위협, 시스템 공격기법
시스템 보안위협 및 공격에 대한 예방과 대응: 시스템보안 대응기술, 시스템 분석 도구, 시스템 보안 솔루션
필기 (객관식) 20문항
2
네트워크 보안
네트워크 일반: 네트워크 개념 이해, 네트워크의 활용
네트워크 기반 공격기술의 이해 및 대응: 서비스 거부(DoS) 공격, 분산 서비스 거부(DDoS) 공격, 스캐닝, 스푸핑 공격, 스니핑 공격, 원격접속 공격
네트워크 보안 기술: 보안 프로토콜 이해, 네트워크 보안기술 및 응용
필기 (객관식) 20문항
3
어플리케이션 보안
인터넷 응용 보안: FTP 보안, 메일 보안, Web/App 보안, DNS 보안, DB 보안
전자 상거래 보안: 전자상거래 보안 기술
어플리케이션 보안 취약점: 어플리케이션 보안취약점 대응, 어플리케이션 개발 보안
필기 (객관식) 20문항
4
정보보안 일반
보안요소 기술: 인증, 접근통제, 키 분배 프로토콜, 디지털 서명
암호학: 암호 알고리즘, 해시함수
어플리케이션 보안 취약점: 어플리케이션 보안취약점 대응, 어플리케이션 개발 보안
필기 (객관식) 20문항
5
정보보안 관리 및 법규
정보보호 관리: 정보보호 관리 이해, 정보보호 위험평가, 정보보호 대책 구현 및 사고대응, 정보보호 인증제도 이해
정보보호 관련 윤리 및 법규: 정보보안 윤리, 정보보호 관련 법제, 개인정보보호 관련 법제
필기 (객관식) 20문항
6
정보보안 실무
시스템 및 네트워크 보안 특성 파악: 운영체제별 보안특성 파악하기, 프로토콜별 보안특성 파악하기, 서비스별 보안특성 파악하기, 보안장비 및 네트워크 장비별 보안특성 파악하기
취약점 점검 치 보완: 운영체제 보안설정 점검과 보완하기, 서비스 보안설정 점검과 보완하기, 네트워크 및 보안장비 설정 점검과 보완하기, 취약점 점검이력과 보완내용 관리하기
보안관제 및 대응: 정보수집 및 모니터링, 로그분석 및 대응
위험분석 및 정보보호 대책 수립: IT자산 위협 분석하기, 조직의 정보자산 위협 및 취약점 분석 정리하기, 위험평가하기, 정보보호대책 선정 및 이행 계획 수립하기
실기 (필답형)
CISSP
No
출제범위
상세내용
비고
1
보안과 위험관리
- confidentiality, integrity and availability - security governance principles - Determine compliance requirements - legal and regulatory issues that pertain to information security in a global context
15%
2
자산보안
- Identify and classify information and assets - Determine and maintain information and asset ownership - Protect privacy - Ensure appropriate asset retention
10%
3
보안 아키텍처와 엔지니어링
- Implement and manage engineering processes using secure design principles - fundamental concepts of security models - Select controls based upon systems security requirements - security capabilities of information systems
13%
4
통신 및 네트워크 보안
- Control physical and logical access to assets - Manage identification and authentication of people, devices, and services - Integrate identity as a third-party service - Implement and manage authorization mechanisms
13%
5
신원 및 접근관리
- Control physical and logical access to assets - Manage identification and authentication of people, devices, and services - Integrate identity as a third-party service - Implement and manage authorization mechanisms
13%
6
보안평가와 검사
- Design and validate assessment - Conduct security control testing - Collect security process data - Analyze test output and generate report
12%
7
보안운영
- Understand and support investigations - Understand requirements for investigation types - Conduct logging and monitoring activities - Securely provisioning resources
13%
8
소프트웨어 개발보안
- security in the Software Development Life Cycle - security controls in development environments - Assess the effectiveness of software security - Assess security impact of acquired software
11%
CISA
No
출제범위
상세내용
비고
1
정보시스템 감사 프로세스
1. IS Audit Standards, Guidelines, and Codes of Ethics 2. Business Processes 3. Types of Controls 4. Risk-Based Audit Planning 5. Types of Audits and Assessments
18% (27문항)
2
IT 거버넌스 및 관리
1. IT Governance and IT Strategy 2. IT-Related Frameworks 3. IT Standards, Policies, and Procedures 4. Organizational Structure 5. Enterprise Architecture 6. Enterprise Risk Management 7. Maturity Models 8. Laws, Regulations, and Industry Standards affecting the Organization
18% (27문항)
3
정보시스템 획득, 개발 및 구현
1. Project Governance and Management 2. Business Case and Feasibility Analysis 3. System Development Methodologies 4. Control Identification and Design
12% (18문항)
4
정보시스템 운영, 유지보수 및 지원
1. Common Technology Components 2. IT Asset Management 3. Job Scheduling and Production Process Automation 4. System Interfaces 5. End-User Computing 6. Data Governance 7. Systems Performance Management 8. Problem and Incident Management 9. Change, Configuration, Release, and Patch Management 10. IT Service Level Management 11. Database Management
26% (39문항)
5
정보자산의 보호
1. Information Asset Security Frameworks, Standards, and Guidelines 2.Privacy Principles 3.Physical Access and Environmental Controls 4.Identity and Access Management 5.Network and End-Point Security 6.Data Classification 7.Data Encryption and Encryption-Related Techniques 8.Public Key Infrastructure (PKI) 9.Web-Based Communication Techniques 10.Virtualized Environments 11.Mobile, Wireless, and Internet-of-Things (IoT) Devices
26% (39문항)
ISO/IEC 27001
No
출제범위
문제수
커트라인
총점
1
Section1
5문제
5점
10점
2
Section2
1번유형 : 5문제 2번유형 : 8문제
10점
20점
3
Section3
1번유형 : 6문제 2번유형 : 3문제
15점
30점
4
Section4
3문제
15점
30점
합계
63점
90점
※ ISO/IEC 27001의 시험은 다른 자격 시험과 달리 점수 카운트 방식이 조금 특이합니다. 일단, 수기형 시험이라 글씨는 되도록 남이 봤을 때 알아 볼 수 있도록 작성되어야 하고, 하나의 문제에 체크되는 답안 갯수에 따라 점수가 달라 질 수 있습니다. 감독관의 주관적인 부분도 반영되기도 합니다. 향후 심사원으로 활동하기 위해서는 감독관과 친해지는 것도 하나의 방법입니다. 이건 지극히 제 개인적인 생각이니 참고만 하시기 바랍니다.
