[CRISC] 공부를 시작하며 -> 합격과 합격수기

* 시험일자 : '25. 4. 4.

* 준비기간 : '25. 2. 20. ~ '25. 4. 3.(약 6주)

 

안녕하세요! 이번에 ISACA에서 주관하는 CRISC(Certified in Risk and Information Systems Control) 시험에 응시하여 합격한 후기를 공유하고자 합니다. CRISC는 '국제 공인 위험 및 정보시스템 통제 전문가'라는 명칭을 가지고 있으며, CISA, CISM, COBIT 프레임워크로 잘 알려진 ISACA에서 시행하는 자격 시험입니다.

---

시험 난이도 및 준비

개인적으로 느낀 난이도는 충분한 학습이 필요한 수준이었지만, 과도하게 어렵지는 않았습니다. 꾸준히 공부하면 충분히 합격할 수 있는 시험이라고 생각합니다. 특히 CISSP, CISM, CISA 자격증을 보유하고 계신 분들이라면 시험의 주요 키워드와 출제 포인트를 더 빠르게 파악하실 수 있을 것입니다.

 

응시 동기

시험에 응시하기로 마음먹은 것은 실용적인 이유보다는 개인적인 성취감이 더 컸습니다. 여러 시험을 준비하고 합격하면서 다음 목표를 고민하던 중, ISACA 멤버십 혜택을 활용하고 자격증 유지 비용을 고려하여 같은 기관의 시험을 선택하게 되었습니다. 해외 자격증 시험의 높은 응시료가 부담되기는 하지만, 합격했을 때 얻는 성취감과 만족감이 상당해서 (어쩌면 약간 중독된 것일지도 모르겠습니다) 도전하게 되었습니다.

 

시험 환경 (온라인 vs 현장)

CRISC 시험은 온라인과 현장 시험 모두 가능하지만, 저는 현장 시험을 선택했습니다. 과거 미국에서 CISA를 응시하거나 코로나19 시기에 CISM을 응시했을 때는 온라인으로 시험을 봤었습니다. 이번에 굳이 현장을 택한 이유는 다음과 같습니다.

1. 오랜만에 시험장의 분위기를 느껴보고 싶었습니다.
2. 생각보다 집 근처에 시험장이 있어서 접근성이 좋았습니다.
3. 온라인 시험 응시에 필요한 사전 준비(여권 확인, 웹캠으로 방 비추기 등) 절차가 번거롭게 느껴지기도 했습니다.

오랜만에 방문한 시험장에서 간단한 안내를 받고 CRISC 시험을 시작했습니다.

 

시험 진행 방식 및 결과 확인

시험은 모르는 문제를 플래그(Flag) 처리하고 나중에 다시 돌아와 풀 수 있는 방식으로 진행됩니다(ISC2 시험 방식과는 차이가 있죠). 제가 응시한 시험에서는 객관식 사지선다형 문제만 출제되었고, 여러 개의 답을 선택하는 유형의 문제는 없었습니다. 답안 수정 방식이 조금 독특했는데, 한 문제를 풀고 '확정' 버튼을 누르면 해당 문제가 잠금(Lock) 상태가 됩니다. 이를 수정하려면 별도의 '수정' 버튼(정확한 명칭은 기억나지 않네요. 2~3주 전 일이라 가물가물합니다)을 눌러 잠금을 해제해야 했습니다.

시험을 모두 마치면 응시 경험에 대한 간단한 설문조사가 진행되고, 설문 완료 후 바로 그 자리에서 시험 결과를 확인할 수 있습니다. 개인적으로는 CISA, CISM 때보다 훨씬 높은 점수로 합격해서 조금 놀랐습니다. (오히려 아슬아슬하게 합격해야 성취감이 더 큰 법인데 말이죠!) 아마 CISA, CISM은 1~2주 단기 집중 학습 후 바로 응시했기 때문에 점수 차이가 난 것이 아닐까 추측해 봅니다.

 

예비응시자를 위한 조언

CRISC는 국내 응시자가 많지 않은 시험이지만, 혹시 이 시험을 준비하는 분이 계신다면 다음 두 가지를 꼭 강조하고 싶습니다.

1. ISACA QAE(Question, Answer & Explanations) 문제집을 여러 번 반복해서 풀어보세요.
2. 위험 관리의 역할과 기능을 명확히 이해해야 합니다.

만약 관련 시험 응시 경험이 적거나 IT/위험 관리 분야 실무 경험이 부족하다면, ISACA가 선호하는 접근 방식(예: 특정 상황에서 가장 먼저 취해야 할 최선의 행동)을 철저히 익히는 것이 중요합니다. 이를 위해서는 이론서를 정독하는 것이 좋습니다. 또한, ISACA 시험 경험이 없다면 우선순위 판단 능력(예: 두 가지 선택지가 모두 옳을 때 '가장(Most)' 적절한 답을 고르는 능력 - 위험 평가 중 규정 위반 사항 발견 시 가장 먼저 해야 할 일)을 기르는 것이 매우 중요합니다.

어떤 경우든 이론서를 기반으로 공부하는 것이 마인드셋 확립과 깊이 있는 학습에 가장 이상적입니다. 하지만 비용이 부담스럽거나 다른 관련 자격증(CISSP, CISA, CISM 등) 취득 경험 또는 IT 위험 관리 실무 경력이 충분하다면 QAE 문제집만으로도 합격이 가능할 수 있다고 생각합니다.

 

주요 개념 정리 (시험 빈출 키워드)

아래는 시험을 준비하면서 반드시 알아야 할 핵심 개념들입니다. 기억에 의존해서 작성했지만, 시험에서 자주 언급되었던 내용들이므로 실제 시험에서도 중요하게 다루는 키워드일 가능성이 높습니다.

• 3선 방어 (Three Lines of Defense): 국내에서는 자주 사용되지 않는 용어일 수 있지만, 위험 관리에 있어 중요한 개념입니다. 1선(운영 부서), 2선(관리/감독 부서), 3선(내부 감사)으로 역할과 책임(R&R)을 명확히 하여 다층적으로 위험을 관리하고 통제하는 체계를 의미합니다. 시험에서는 각 방어선의 역할과 기능을 묻는 문제가 출제되었습니다.
• 위험 레지스터 (Risk Register): 식별된 위험을 등록하고 추적, 관리하는 종합적인 대장입니다. 위험의 현황과 수준을 기록하고 관리하는 핵심 도구이며, 아래 설명할 통제 레지스터와 혼동하지 않도록 주의해야 합니다.
• 통제 레지스터 (Control Register): 식별되고 등록된 위험에 대한 대응책(통제 활동)을 기록하고 관리하는 대장입니다. 위험 레지스터와의 차이점, 기록되어야 할 내용, 활용 방법을 명확히 구분하여 이해하는 것이 중요합니다.
• 위험 선호도 / 위험 감내도 (Risk Appetite / Risk Tolerance): 조직이 비즈니스 목표 달성을 위해 수용하고자 하는 위험의 수준(Risk Appetite)과 특정 위험에 대해 허용할 수 있는 최대 편차(Risk Tolerance)를 의미합니다. 위험 전문가는 조직의 위험 선호도와 감내도를 명확히 이해하고, 이를 바탕으로 경영진(C-level)에게 적절한 조언을 제공해야 합니다.
• 핵심 위험 지표 / 핵심 통제 지표 (KRI / KCI): 주요 성과 지표(KPI)의 개념을 위험(Risk)과 통제(Control) 영역에 적용한 것입니다. 위험 수준이나 통제 효과성을 모니터링하기 위한 기준으로, 임계치(Threshold) 설정과 지속적인 관리가 필수적입니다.
• 위험 관리 단계 (Risk Management Phases): (제가 임의로 붙인 명칭입니다) 위험을 식별(Identification)하고, 분석(Analysis)하고, 평가(Assessment)하며, 이에 대응(Response)하거나 완화(Mitigation)하는 일련의 과정입니다. CRISC 시험에서는 이 모든 단계의 기능, 필요성, 수행 방법 등에 대해 질문합니다.
• 위험 거버넌스 (Risk Governance): 위험을 전사적인 관점에서 관리하기 위한 최상위의 전략적 체계입니다. 모든 비즈니스 의사 결정은 위험을 인지(Risk Awareness)한 상태에서 이루어져야 하며, 위험 거버넌스는 이를 지원하는 역할을 합니다.

혹시 CRISC 시험 응시를 고려 중이거나 시험에 대해 더 궁금한 점이 있으신 분은 언제든지 댓글로 문의해 주세요.