CISSP는 국제 정보보호 컨소시엄인 ISC2 (International Information Systems Security Certification Consortium)에서 시행하고 있는 국제적인 정보보호전문가 자격증이다. 국내외 사이버재난 등으로부터 나라와 사회의 중요한 정보시스템과 정보자산을 보호하는 역할을 하는 제도로써 전 세계적으로 널리 확산되고 있는 추세다.

5년 이상 정보보호분야 경력 있어야 응시가능
CISSP 시험에 응시하기 위해서는 직업윤리강령의 준수와 (ISC)2 CISSP 내 2개 이상의 응시과목에서 5년 이상 경력이 있어야 자격이 갖추어진다. 대신 해당 학사 학위자나 (ISC)2 인가 자격증을 보유하고 있는 경우엔 4년 이상의 경력과 CISSP 내 1개 이상 응시과목분야의 경험이 필요하다.

응시과목은 △시스템 접근통제 및 방법론(Access Control Systems & Methodology) △통신망 및 네트워크 보안(Telecommunications, Network & Internet Security) △보안 관리( Security Management Practices) △물리적 보안(Physical Security) △응용프로그램 및 시스템 개발(Applications & Systems Development) △암호학(Cryptography) △보안 아키텍쳐 및 모델(Security Architecture & Models) △시스템 운영 보안(Operations Security) △사업지속계획 및 비상복구계획(Business Continuity Planning) △관련 법률·사고조사기법·윤리(Law, Investigation & Ethics) 등 총 10과목이다.

문제형식은 사지선다형 객관식으로서, 250문제를 6시간 안에 풀어야 한다. 시험은 영어와 한글로 치러지며 시험은 한국에서 응시가 가능하다. 250문제 중 70% 이상의 득점 즉, 조정점수(Scaled Score) 700점 이상이어야 합격이 되며 평균 합격률은 30%정도로 알려져 있다.

성적발표는 시험일로부터 1주~4주 후 등록된 메일을 통해 시험결과를 통보한다. 합격자와 불합격자 모두에게 통지되며 합격자의 경우엔 Congratulation!으로 시작되는 메일을, 불합격자는 Sorry!로 시작되는 메일을 받게된다. 또한 합격자의 경우 합격증이 배송되고, 불합격하면 도메인별 점수가 기재된 성적표가 배송된다.

자격증의 유효기간은 3년이며 자격을 유지하게 위해서는 120시간 중 80시간을 정보보안 분야에서 활동해야 하며 나머지 40시간은 포괄적인 전문성 향상을 위한 조직행위, 의사소통, 프로그래밍, 전략적인 계획 등의 분야와 관련된 활동들로 이뤄져야 한다.

2005년 7월 서울에서 아시아 최초로 협회를 창립한 한국 CISSP협회의 홈페이지.

국가재난급 사이버 범죄 경감에 일조
현재 미국을 중심으로 전세계 약 33개국에서 활동하고 있는 CISSP는 4000여명에 이르고 있고 국내에서도 1995년 첫 CISSP 취득자를 시작으로 점점 더 많은 전문가들이 꾸준히 배출되고 있다. 정보시스템과 정보보호를 위한 전문가는 전세계 어느 분야에서나 필요로 하는 인재로 각인되고 있다.

날이 갈수록 지능화·악성화·국제화되고 있는 국가재난급 사이버 범죄를 억제하고 정보기술 및 보호의 중요성을 전파하고 있는 CISSP의 역할은 더욱 중요해지고 있는 것이다. CISSP를 취득하게 되면 중요 정보시스템과 정보자산 보호를 위한 전문가, 지식정보사회의 중요정보 거래에 대한 품질보증 전문가, 국가재난급 사이버범죄 등의 억제를 위한 전문가 등으로 진출이 가능하다.

또한 IT 및 정보보호 전문성의 실현을 위한 전문인력 배출 전문가로도 활동할 수 있다. 더욱이 2005년 7월부터 시행되고 있는 정보통신기반보호법에 의거해, 정보보안 전문업체로 지정받고자 하는 기업은 CISSP와 같은 보안 관련 자격증이 있는 고급 기술자를 일정부분 보유해야 한다. 국내에서 법적으로 외국계 자격증 소지자의 채용을 공식적으로 의무화한 것은 CISSP가 처음이다.

이러한 단적인 예만으로도 국내에서의 CISSP 전망도 매우 밝은 편이라 할 수 있다. 아쉬운 것은 CISSP의 시험과목이 지나치게 광범위하고 출제문제가 최근의 기술발전 추세를 제대로 반영하지 못하고 있다는 지적과 함께 현실적인 실무능력 배양에 큰 도움을 주지 못한다는 비판을 받고 있다는 것이다.

이에 (ISC)2에서는 기술적인 지식과 실무능력에 무게를 두는 SSCP(System Security Certified Practitioner) 자격증을 시행하는 등 문제 극복을 위해 노력하고 있다. 이제는 국가의 경쟁력 확보를 위한 정보보호 전문가 육성이 필요한 시점이다. 그런점에서 CISSP는 다양한 분야에 사회적·국가적 공인의 역할을 담당할 자격을 충분히 갖추고 있다고 할 수 있다.