지금 등록하고 시험을 볼 때 재시험은 무료입니다. 어렵지 않습니다! Pearson Vue를 통해 등록하고 2022년 10월 31일까지 시험에 응시하십시오. 재시험이 필요한 경우 2022년 12월 31일까지 1회 무료로 재응시가 가능하다.*
* 재응시를 선택하신 경우 examadministration@isc2.org으로 이메일을 보내 재응시권을 청구하십시오. 첫 번째 응시 이후 30일 후에 두 번쨰 시험이 가능하다는것을 잊지마세요! 본 특별 행사에서는 별도의 구매가 필요하지 않습니다. 하지만 빠른 복습이 필요하다면 온라인 자체 페이스 교육을 고려해보세요. 시험 바우처를 묶으면 20% 할인됩니다.
이용 약관: 9월 1일부터 10월 31일까지 예정된 구매 시험에 대해 유효합니다. Certified in Cyber Security 시험에는 유효하지 않습니다. 시험 미응시는 금지합니다. (ISC)²는 언제든지 본 프로모션을 취소하거나 수정할 수 있습니다.
요지는 다음과 같다.
신청조건 : 2022년 9월 1일 ~ 2022년 10월 31일 사이에 시험응시자는 2022년 12월 31일 동 시험 재응시 무료로가능(1회한정)
신청방법 : ISC2이메일로 응시문의(examadministration@isc2.org)
별도의 구매 필요없으나 ISC2의 사정에의해서 취소되거나 할 수 있음
중간에 Certified in Cyber Security 시험은 해당에서 제외된다는데, ISC2의 새로운 시험인 CC를 의미하는거 같다. CC를 재응시하는 경우는 적을 것으로 생각하니 큰 의미 없겠다.
ISC2시험은 다른시험에 비해서 운적인 요소로 떨어지기 쉽기 때문에, 재응시를 목표로하시는 분은 참고해주시면 되겠다.
SOC(Service Organization Controls) Report에 대해서 들어본 사람이 있을까? 이게 무엇이며 왜 필요한지 또한 모르는 사람들도 많을 것이다. 결론 부터 말하면 이것은 잠재적인 고객이 조직의 보안 통제 평가를 확인 할 수 있는 보고서이다.
서론
보안통제 항목의 평가나 감사활동의 결과, 침투테스트의 결과는 모두 비밀로 여겨지고는 한다. 조직의 취약성이 들어나는 곳이기도 할뿐더러, 어떠한 통제항목이 적용되어 평가되는지에 대한 내용은 조직입장에서는 지켜야할 자산이지만, 잠재적인 고객의 입장에서는 이를 모르는 상태로 나의 정보를 맡기거나 서비스를 위탁하는부담이 있을 것이다. 이에따라 정보누출 수준별로, 통제의 민감성에 따른 정보통제결과를 보고서화 할 수 있는 표준이 필요하였으니, 바로 SOC Report(Service Organization Controls) Report이다. SOC는 수준에 따라 SOC 1/2/3으로 분류되는데 자세한 점은 아래를 참고하자
SOC Report 1
고객의 재정상태에 서비스가 직접적인 영향을 미친다고 판단이 되면, SSAE 16 보고 표준에 따라 SOC 1이 생성이 되어야한다. SOC1은 아래와 같이 두가지로 구분된다.
Type 1 : 검사/감사는 일회적으로 수행되었고, 운영상에 효과성을 검증하지는 않는다.
Type 2 : 검사/감사는 사용자의 재정적인 불일치를 효과적으로 통제하기 위해서 수행되며, 시간이 지나감에 따라 지속적으로 수행된다. 표본방식또한 방법론적으로 정확한 것을 사용한다.
SOC Report 2
SOC Report 2는 다음과 같은 항목의 보고서 이다. AT 101의 보고 표준을 준수한다.
보안 통제(필수)
가용성 통제
무결성 처리 통제
기밀성 통제
개인정보 통제
SOC Report 2또한 2가지의 Type으로 분류된다.
Type 1 : 검사/감사는 일회적으로 수행되었고, 상단의 통제들만을 평가한다.
Type 2 : 검사/감사는 사용자의 재정적인 불일치를 효과적으로 통제하기 위해서 수행되며, 시간이 지나감에 따라 지속적으로 수행된다. 표본방식또한 방법론적으로 정확한 것을 사용한다.
SOC Report 3
SOC Report 3는 SOC Report 2의 Type 2방식을 민간에 Open할 수 있도록 기밀의 정보등을 제거한 보고서이다. 따라서 자세한 통제의 결과나 취약성은 공개되어있지 않다.
듣자하니 요즘 ISC2문제에 SOC를 물어보는 문제들이 많아서 종류만 정리를 해보았다. 한국어로 어떻게 번역이 되고 있는지는 모르겠지만... 정리에 다음의 글들을 공부하며 올려놓은 것이니, 궁금한 사람들은 참고하자 우리나라의 표준이 아닌만큼 자격증 공부제외 알아둘 일은 없을거 같다.
CAP에 합격했다. 이 시험이 생소하신분들도 계실것이다. 물론 생소하셔야된다. 이걸 아신다는것은 한국에서 근무를 안한다는 의미일 테니까... CISSP나 CCSP로 유명한 기관ISC2에서 만든 인증체계에 대한 자격이다. 말이 인증체계이지 사실상 시험기관에서 주되게 물어보는것은 NIST 800-37r2에 있는 Risk Management Framework를 물어보니, RMF자격이라는 별칭이 붙어있는 자격증이다. RMF가 궁금하면 아래 링크를 보시자.
시험에 대한 일반 정보는 다음과 같다. 우선 시험이 프레임워크를 물어보고 있으니, 해당프레임워크를 제공하는 기관(NIST)의 최신정보가 중요한데, 시험이 2021년 8월 15일 개정되었음을 착안하자. 물론 아래는 개정정보이다.
시험시간 : 3시간(180분)
문제 : 125문제
문제형태 : 다지선다형
합격기준 : 1000점만점에 700점 합격
제공언어 : 영어
가격 : $599(한화 약 71만원)
시험기관 : 피어슨뷰 센터
필자의 기준으로 설명하면, 필자는 90분정도를 할애했다. ISC2의 Linear시험(일반적으로 보던 시험 생각하면 된다. 영어로 보는 CISSP의 경우 등 일부시험에 적응형시험, CAT라는 것을 시험보고 있는데 글을 쓰는 현시점 기준으로 한국에서는 불가하다고 알고 있다.)이 뒤로돌아가거나, 플래그찍는것이 안되다보니 일자로 쭉~ 125문제 다 풀고나오는데 90분이 걸렸다. 문제당 대충 40초 쓴거 같다. '문제형태는 다지선다'라고 공식홈페이지에 나와는 있다. 모든 ISC2시험이 그러하듯 4지선다문제가 주를 이룬다. 합격기준은 다른 ISC2자격과 동일하게 70%가 합격이다. False Question(점수카운팅이 안되는 문제)가 있다고는 하는데, 모르겠다. ISC2시험은 시험결과를 응시자에게 제공하지 않으니 말이다. 제공언어는 오로지 영어다. 영어못하는 분이 볼 자격은 아니다. 사실상 이 시험이 물어보는것은 미국 연방정부 / 국방부에서 사용하는 프레임워크이니 자국언어로 시험을 본다는 것도 어불성설이다.
시험이 나오는 도메인은 다음과 같다. 자세한것은 하단의 링크를 보자.
Domain 1 : Information Security Risk Management Program(16%)
Domain 2 : Scope of the Information System(11%)
Domain 3 : Selection and Approval of Security and Privacy Controls(15%)
Domain 4 : Implemetation of Security and Privacy Controls(16%)
Domain 5 : Assessment / Audit of Security and Privacy Controls(16%)
Domain 6 : Authorization / Approval of Information Systems(10%)
필자의 직무가 RMF와 멀리 떨어져있는 직무가 아니다보니, 시험준비에 큰 어려움은 없었다. 위 주소인 Outline의 마지막 부분에 Supplementary References라는 링크가 있는데, 그곳에는 ISC2자격을 준비하면서 어떤어떤 내용을 참고하면 좋은지 알려주고 있다. 그걸 여러번 숙독했다. 시험기간이 오래걸린데에는 RMF가 Rev1, Rev2가 있는데 도대체 어떤 Rev로 출시될지 알수가 없어서 공부기간이 2배로 들어갔다.(두 RMF는 Step도 다르고, Role도 다르다. Rev1의 진화형태이긴한데, 잉어킹이 갸라도스된 꼴이다.) 일단 Supplmentary References도 링크한다.
CAP시험은 South Korea사람이 없다. 즉, 조심스러운 예측으로는 필자가 국내 처음인거 같다.(모르겠다. Endorsement과정에 계신분도 있을 수 있으니,) 사실 워낙 유명하지 않은 자격증이다보니, 국내 처음 합격자인지, 국내 처음 응시자인지 모르겠지만ㅋㅋ 누군가 이 시험을 한국에서 보시는 분이 있다면 연락바란다. 같이 한국에서 미국 프레임워크를 다루게 된 기구한 처지를 이야기하도록 하자.
