Home > 전체기사

외국에서도 인정받는 국제 보안자격증, 도전해볼까

  |  입력 : 2016-01-28 16:15
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
CISSP, CISA 이외에도 다양한 자격증 ‘눈길’

[보안뉴스 민세아] 지난 번 국내 자격증에 이어 이번에는 국제적으로 인정받을 수 있는 보안자격증을 살펴보자. 국내에서 알려진 CISSP과 CISA 자격증 이외에도 이를 주관하는 기관에서는 다양한 자격증을 운영하고 있다.


(ISC)²의 경우 CISSP과 더불어 CCFP, SSCP, CAP, CSSLP, HCISPP, CCSP 등의 자격증이 있고, ISACA의 경우 CISA 이외에도 CISA, CGEIT, CRISC 등의 자격증이 있다. 포렌식 자격증으로 유명한 미국의 Guidance Software사에서 운영하는 EnCE 자격증도 있다.

6. (ISC)² 운영 자격증
(ISC)²는 정보보호 전문가 양성 교육 및 정보보호와 관련된 다양한 자격시험을 시행한다. 해당 자격증들은 CBT(Computer-Based Testing) 방식으로 치러진다. 해당 기관에서 시행하는 시험들은 국제시험 대행기관인 ‘피어슨 뷰(www.pearsonvue.com)’에서 신청해 일정을 정하고 응시할 수 있다.

6-1. CISSP(Certified Information Systems Security Professional)
정보보안 분야의 대표적인 자격증 중 하나로 꼽히는 CISSP 자격증은 (ISC)² CISSP CBK의 8개 도메인 중 2개 이상에서 실무 경력 5년 이상이어야 자격을 발급받을 수 있다.

(ISC)² CISSP CBK의 8개 도메인은 △보안 및 위험관리 △자산 보안 △보안 공학 △통신 및 네트워크 보안 △ID 및 액세스 관리 △보안 평가 및 테스트 △보안 운영 △소프트웨어 개발 보안 등이다.

해당 자격증은 클라우드 컴퓨팅, 모바일 보안, 애플리케이션 개발 보안, 리스크 관리 등 최근의 보안이슈를 포함한 보안의 전반적인 내용을 다루는 보안전문가 자격이다. 해당 자격증은 계속 교육(CPE) 프로그램을 이수해야 유지할 수 있다. 자격이 인정되는 3년을 주기로 120시간을 충족해야 하며, 연간 40CPE 이상을 채워야 한다. 또한, 매년 85달러씩을 지불해야 한다.

기존의 CISSP 자격증에서 더욱 전문성을 높이고 싶다면 ISSAP, ISSEP, ISSMP 등의 자격증도 함께 고려해보면 좋다. CISSP-ISSAP는 보안 솔루션을 설계하고 조직의 요구를 충족하기 위해 리스크 기반 관리 제공에 특화된 자격증으로, 보안 아키텍처와 관련된 경력 2년 이상의 CISSP 자격증 취득자여야 한다.

CISSP-ISSEP는 안전한 시스템을 개발하기 위한 시스템 엔지니어링 원리와 프로세스 실용화를 위한 심화 자격증이다. 해당 자격을 취득하기 위해서는 보안 엔지니어링 경력이 최소 2년 이상인 CISSP 자격증 소유자여야 한다.

CISSP-ISSMP는 정보보안 프로그램을 수립·제시하고 운영하는 전문가를 위한 자격증이자 관리 및 리더십 능력을 증명하는 자격증이다. 보안관리 분야에서 최소 2년 이상의 경력이 있어야 취득 가능하다. 외국의 경우 CISO가 되기 위해 필수적으로 가지고 있어야 하는 자격증 중 하나다. 해당 자격들을 유지하기 위해서는 매년 35달러씩을 지불해야 하며 재 인증 주기는 3년이다.

6-2. CCFP(Certified Cyber Forensics Professional)
국내에서 CISSP이나 CISA 이외의 자격증은 조금 생소할 수도 있는데, CCFP는 법정에서 사용될 수 있는 정확하고, 완전하고, 신뢰할 수 있는 디지털 증거를 보장하기 위한 과학 수사 기법과 절차, 기준, 법적·윤리적 원칙에 대한 전문 지식을 나타낸다.

해당 자격증을 취득하기 위해서는 디지털 또는 사이버 포렌식(Forensic) 분야 3년 이상의 경력이 요구된다. 이를 유지하기 위해서는 연간 최소 30CPE, 자격이 인정되는 3년 간 90CPE를 이수해야 하며, 연간 100달러씩을 납부해야 한다.

6-3. SSCP(Systems Security Certified Practitioner)
SSCP 자격증은 네트워크 보안 엔지니어, 보안 시스템 분석가 또는 보안 관리자를 지향하는 사람들에게 적합한 자격증이다. IT 및 보안 관련 분야에서 최소 1년 이상의 경력을 가지고 있다면 해당 자격등을 취득할 수 있다.

해당 자격을 유지하기 위해서는 자격이 인정되는 3년간 60CPE를 채워야 한다. 연간 최소 20CPE 이상을 채우고 매년 65달러를 지불해야 자격을 유지할 수 있다.

6-4. CAP(Certified Authorization Professional)
CAP 자격증은 위험을 평가하고, 보안에 필요한 사항과 문서를 정립하고, 리스크를 평가하는 데에 사용되는 프로세스를 규격화하는 책임자에게 해당하는 자격증이다. CAP는 미국 국무부와 국방부(DoD)와 같은 민간 및 지방정부 및 연방정부에 적합하다.

해당 자격증은 ISO27001같은 정보시스템 인증의 지속적인 관리를 위한 최소 1년 이상의 RMF 경험을 가지고 있거나 혹은 그에 준하는 경험을 가진 학생들을 대상으로 한다. 또한 해당 자격을 유지하기 위해서는 자격이 인정되는 3년간 60CPE를 채워야 한다. 연간 최소 20CPE 이상을 채우고 매년 65달러를 지불해야 자격을 유지할 수 있다.

6-5. CSSLP(Certified Secure Software Lifecycle Professional)
소프트웨어의 계획, 설계, 개발, 구현, 테스트, 배포, 유지보수 등 라이프사이클(Life Cycle) 각 단계에 보안을 구축해 소프트웨어 전체의 보안을 보장하고자 만들어진 과정이다.

해당 자격증은 정보 기술 분야 4년제 대학 학위와 CSSLP CBK 도메인의 하나 이상 분야에서 3년 이상의 경력을 가지고 있어야 취득 가능하다. 이를 유지하기 위해서는 연간 최소 30CPE, 자격이 인정되는 3년 간 90CPE를 이수해야 하며, 연간 100달러씩을 납부해야 한다.

6-6. HCISPP(HealthCare Information Security and Privacy Practitioner)
HCISPP 자격증은 중요한 의료 정보를 유지하는 기초 지식, 기술 및 능력을 가질 수 있도록 설계됐다. HCISPP은 의료 정보의 고유 데이터를 보호하고 보안 및 개인정보보호 제어를 구현, 관리 및 개인의 평가에 적합한 자격이다.

해당 과정은 HCISPP CBK 6개 도메인과 관련한 분야에서 최소 2년 이상의 경력을 가지고 있어야 한다. 해당 자격을 유지하기 위해서는 자격이 인정되는 3년간 60CPE를 채워야 한다. 연간 최소 20CPE 이상을 채우고 매년 65달러를 지불해야 자격을 유지할 수 있다.

6-7. CCSP(Certified Cloud Security Professional)
CCSP자격증은 전문가가 지식, 기술을 가지고 클라우드 보안을 확보하기 위해 (ISC)²와 클라우드 보안 연합(CSA)에 의해 만들어진 자격이다. CCSP는 클라우드 컴퓨팅 환경에 정보보안 전문지식을 적용하고 클라우드 보안 아키텍처 설계, 운영, 서비스 조직화 능력을 보여준다.

해당 과정은 SSCP CBK 7도메인 중 1개 이상의 분야에서 최소한 1년 이상의 경력을 지녀야 한다. 이를 유지하기 위해서는 연간 최소 30CPE, 자격이 인정되는 3년 간 90CPE를 이수해야 하며, 연간 100달러씩을 납부해야 한다.

7. ISACA 운영 자격증
국제정보시스템감사통제협회인 ISACA는 IT감사, 통제, 보안 및 거버넌스 분야의 전문가 계발 및 관련 산업의 발전에 기여하는 기관이다. ISACA의 가장 대표적인 보안 자격증인 CISA 이외에도 CISA, CGEIT, CRISC 등의 자격증이 있다. ISACA가 운영하는 자격증은 ISACA 홈페이지에서 신청할 수 있으며, CISA, CISM은 6월, 9월, 12월 연3회 치러지고, CGEIT, CRISC는 6월, 12월 연2회 치러진다.

ISACA의 모든 자격증은 계속 교육(CPE) 프로그램을 이수해야 유지할 수 있다. 3년을 주기로 120시간을 충족해야 하며, 1년에 최소 20시간 이상을 채워야 한다. CPE는 ISACA회의, 세미나, 워크숍, 사내교육 등을 통해 얻을 수 있다. CISA, CISM, CGRIT, CRISC 자격증을 유지하는 데는 회원의 경우 매년 45달러씩, 비회원의 경우 매년 85달러씩 납부해야 한다.

7-1. CISA(Certified Information Systems Auditor)
CISSP 자격증과 항상 함께 거론되는 CISA 자격증은 조직의 정보 기술 및 비즈니스 시스템이 적절하게 통제, 모니터링 및 평가되고 있다는 것을 보증하기 위해 전 세계적으로 인정된 표준과 지침에 따라 검토를 실시한다. IS(Information System) 감사, 통제, 보증 및 보안 전문가들을 위한 자격증이다.

CISA를 취득하기 위해서는 시험 지원일 전 10년 이내 또는 최초로 시험에 합격한 날로부터 5년 이내의 경력을 갖추고 있어야 한다.

7-2. CISM(Certified Information Security Manager)
CISM 자격증은 경험 있는 정보보안관리자 및 정보보안관리 담당자를 위해 개발됐다. 때문에 일반적인 실무자 수준의 기술이 아닌 정보보안 환경에서 개인의 관리 경험을 평가한다.

CISM 자격증은 신청일 전 10년 이내 또는 최초로 시험에 합격한 날로부터 5년 이내의 경력을 가지고 있어야 한다. 또한 5년 중 3년간의 경력은 정보보안 관리자의 역할을 수행한 경력이어야 한다.

7-3. CGEIT(Certified in the Governance of Enterprise IT)
CGEIT 자격증은 IT에 수반되는 위험들을 관리하고 최소화시키면서 기업의 성공을 위해 IT의 비중을 최대화하기 위한 전문지식, 개인 역량, 비즈니스 경험에 대한 필요 수준을 가지고 있는지를 식별하는 자격증이다.

CGEIT 자격증은 CGEIT와 관련한 전문 영역에서 최소 5년 이상의 경력을 가지고 있어야 한다. IT 거버넌스 업무 외 컨설팅, 감사, 보안 관리 업무 수행 시 2년까지 대체 경력이 인정된다.

7-4. CRISC(Certified in Risk and Information Systems Control)
CRISK 자격증은 위험 경감을 위한 정보시스템 통제를 계획하고 실행하며 유지하는 것에 대한 전사적인 위험 지식과 능력을 갖춘 다양한 전문가들을 판별하기 위한 자격증이다. CRISK 자격증은 위험과 통제에 특화돼있다.

CRISC 자격증은 최소 3년간의 CRISK 도메인에 해당하는 업무 수행 경력을 요구한다. 자격증 신청일 전 10년 이내 또는 최초로 시험에 합격한 날로부터 5년 이내의 경력이어야 한다. 지원자가 합격 후 5년 이내에 자격요건을 만족시키지 않으면 합격이 무효화된다.

8. EnCE(EnCase Certified Examiner)
포렌식 자격증 시험으로 유명한 EnCE 자격증은 포렌식에 사용되는 EnCase 툴을 개발한 Guidance Software 사에서 운영하는 자격증이다. CBT 방식의 필기시험과 실기시험으로 나눠진다. 시험은 미국 법률을 따르는 GD0-100과 미국 외 국가의 법률을 따르는 GD0-11로 크게 나뉜다.

시험에 응시하기 위해서는 Guidance Software 사에서 인정하는 교육 프로그램을 이수하거나 1년 이상의 디지털 포렌식 관련 업무 경력을 가지고 있어야 한다. 관련 자격을 충족할 경우 프로메트릭(Prometric) 바우처를 발급받을 수 있다. 때문에 시험 신청은 프로메트릭 웹사이트를 통해 가능하다.


[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 4
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
파워비즈배너 시작 11월6일 20181105-20200131위즈디엔에스 2018
설문조사
보안전문 기자들이 뽑은 2022년 보안 핫키워드 10개 가운데 가장 주목되는 키워드는?
다크웹의 대중화 추세, 사이버범죄의 확산을 이끌다
월패드 등 가정집 노리는 해킹, IoT 보안의 패러다임을 바꿔라
클라우드 확산에 따른 보안 위협, 이제부터가 진짜 시작
전략의 혁신으로 중흥기 맞은 랜섬웨어
분산 네트워크와 제로트러스트의 대두
대선·올림픽·월드컵 등 대형 이벤트 노린 사이버공격 대응
메타버스·NFT 등 가상세계 플랫폼 확산과 보안위협
수술실·지하철·요양원까지... CCTV 의무 설치 확대
중대재해처벌법 시행에 따른 안전과 보안장비의 융합
비대면 트렌드에 따른 인증수단 다양화와 보안 강화