취득 계기
1년 전, 정보보호기사 자격증을 알아보다가 CISA와 같은 국제 자격증이 회사에서 더 높게 쳐주고, 해외로 나가기에도 훨씬 유리하다는 말을 듣고 CISA를 준비하기 시작했다.
배경지식
컴퓨터 전공자라서 기본적인 IT 및 컴퓨터과학, 정보보호 지식은 있다. 대학생이라 실무 경험은 없다.
공부 기간
총 기간은 2024년 10월 ~ 2025년 11월
진지하게 공부한 시간은 3월 ~ 5월(개념 정리 위주), 8월 ~ 11월(문제 풀이 위주)로 약 6개월 간 공부했다.
공부 기간이 이렇게 늘어진 것은 언제든 시험을 칠 수 있다는 편안함 때문이다.
아무래도 비싼 시험이다 보니 '일단 공부하고 준비가 되면 시험을 결제하자'라는 생각으로 임했다. 당연하게도 마음을 단단히 먹을 수가 없었다.
우선 결제부터 하고, 시험 일정을 잡아두는 게 좋다. 설사 미루는 한이 있더라도 일단 날짜가 다가온다는 생각을 하면 조금이라도 더 공부하게 된다.
공부 방법
1) 커뮤니티 활용
보통 라이지움 강의를 많이 수강하는 것 같은데, 라이지움의 존재를 알기 전에 '정보보호문제공작소'라는 네이버 카페를 먼저 알게 되었다. 해당 카페에서 많이 배울 수 있었는데, 내부 공유 자료가 많아 필요하다면 가입 후 정보를 획득하면 된다.
2) CRM 첫 정독 & udemy 강의 활용
Cisa Review Manual을 한국 isaca에서 구매했다. 하지만 도대체 어떤 내용을 공부해야 할지 감이 오지 않았다. 내용은 웬만한 전공책보다 많지, 번역도 덜 되어 있지... 읽어도 읽는 게 아니었다.
그래서 udemy 강의를 들었다. 후기가 가장 많은 두 가지 강의를 모두 구매했다. (모두 영어)
1. cyvitrix training의 CISA Training: Mastery of Information Systems Auditing (비추천)
- CRM Domain에 맞춰 이론 설명 위주로 진행. 현업 예시를 많이 들어준다.
- HIPPA, SOC 보고서에 대해 설명한다거나, CapEx, OpEx를 설명하는 등 CISA 시험에서 중요하게 다루지 않는 내용이 너무 많다.
- 자동번역된 한글 자막이 자연스럽지 않다.
- 호흡하는 부분을 다 편집해서, 강의 영상 내내 쉴틈없이 영어가 쏟아진다. 도저히 집중할 수가 없습니다. PPT 줄줄 읽는 교수님이다.
2. Hemang Doshi의 강의 (추천)
- 영어 버전: CRM 28th에 맞춰 업데이트된 강의를 들을 수 있다. 큰 차이는 없다.
- 한글 자막 버전: 웅진씽크빅에서 자막 작업을 해서 올린다. 그래서 업데이트가 아직도 안 되어 있다. 하지만 인도 영어를 구사하시기 때문에 자막 있는 걸 들으시길 바란다. 내용은 큰 차이 없다.
- CISA에서 요구하는 키 포인트 위주로 진행한다. 키 포인트를 짚어준 후에 문제를 같이 풀어보는 방식이다.
- '이 도메인에서는 이런 내용을 다루는구나'하고 훑어보기 좋았다.
- CISA 이론 책도 있는데, 어떻게든 잘 구한다면 AI에 활용할 수 있다.
이 강의를 들으면서 CRM 책에다 필기했다. 자연스럽게 CRM을 한 번 정독하게 되었다.
3) 학습 노트 만들기, QAE 풀면서 개념 정리
다음, CRM을 다시 읽으면서 학습 노트를 만들었다. 워드에다 타이핑해서 정리하고, 인쇄해서 들고 다녔다.
그리고 ISACA 1000제 문제집을 풀었다. ISACA 1000제를 풀 때는 문제 유형에 익숙해진다는 느낌보다, 감사인의 관점에 익숙해진다는 느낌으로 접근하시는 게 좋다. 정답과 풀이가 확실하게 있으니까, 문제에 접근하는 방법을 익히려고 했다.
4) 덤프 풀기, CRM N회독
다음으로 덤프 문제를 풀기 시작했다.
덤프를 풀면 '이런 내용도 있었나' 싶은 문제가 정말 많다. 하지만 알고 보면 CRM 어딘가에 적혀 있는 내용이다.
그래서 덤프를 풀면서도 CRM을 주기적으로 정독할 필요가 있다고 생각한다. 볼 때마다 '이 내용이 여기에 있던 거구나'하고 깨달음을 얻었다.
덤프를 풀며 부족하다고 느낀 개념은 학습 노트에 추가했다. 대부분은 CRM에서 표로 정리되어 있던 것들이다. '에이 이게 다 나오겠어 중요한 거만 보자' 하고 안 보면 큰코 다친다. 예를 들자면 입력/편집 통제, 사이버 공격 종류, P2P, IM...
5) 오답 노트 만들기
문제를 풀 때 정답만 찍고 넘어가는 게 아니라, 모든 선지를 분석해보고 왜 아닌지 파악하는 게 중요하다고 들었다.
오답노트를 만들어서, 각 선지마다 풀이를 적어두었다.
처음에는 노션에 정리했는데, CBT 사이트처럼 직접 문제를 풀어보는 방식이면 좋겠다고 생각했다. 근데 개인 계정에다 문제를 올릴 수 있는 오답노트 사이트는 못 찾겠어서 직접 오답노트 사이트를 만들었다. gemini에게 부탁해서.
폰으로도 접속할 수 있게 해서 대중교통 탔을 때나 자투리 시간에 잘 활용했습니다.
아무튼 중요한 건 "덤프를 풀 때 정답만 툭툭 찍지 말고, 모든 선지를 세밀하게 분석하자!"
덤프 풀 때 요령
덤프 문제는 오답이 상당히 많은데,
"그래서 이게 정답이 맞는거야 아닌거야"를 확인하기 위해 터득한 요령은 다음과 같다.
1. 구글에 검색해본다.
구글에 검색했을 때 덤프 문제를 확인할 수 있는 경우도 꽤 많다.
2. 생성형 AI를 활용한다.
구글의 notebooklm를 애용했다. 사용자가 업로드한 파일에서만 정보를 가져와 응답하는 AI다. 할루시네이션이 거의 없는 수준으로, 신뢰도 높은 소스를 구할 수 있다면 최고의 도우미다.
그래도 긴가민가하다면 다른 AI로 크로스체크. gemini를 활용했다. 다만 이것도 구글 꺼라 그런지 notebooklm과 생각이 정말 비슷하다.
문제를 보내면 오답 선지까지 알아서 분석해서 알려준다. 오답노트 만들 때 유용했다.
시험 응시
문정역에 있는 센터에서 시험을 봤습니다. 방명록을 적고, 신원 확인하고, 시간에 맞춰 시험실로 들어갔다.
시험용 프로그램은 굉장히 잘 만들어져 있어서, 처음에 알려주는 매뉴얼을 읽고 그대로 진행하면 된다.
플래그를 잘 활용하는 게 좋다. 헷갈리는 문제에는 플래그를 찍어두고 다시 봐야 한다. 150문제 중 거의 절반 가량을 플래그 찍고 시작했다.
문제의 경우 덤프와 동일한 문제는 5개가 채 안 되었던 것 같다. 그러니 덤프에 절대 의존하면 안 된다.
헷갈리는 문제를 풀 때는 "이 문제 상황에서 A를 적용하면 어떻게 될까? B를 적용하면 어떻게 될까?"를 천천히 고민해봤다. 시간이 충분하니까 천천히 고민해보자. 그러면 어느정도 갈피가 잡힌다. 그래도 헷갈려 죽을 것 같은 문제는 10개에서 15개 정도였다.
모든 문제를 두 번은 살펴봤고, 플래그 찍은 문제는 하나씩 플래그 해제하면서 서너 번 더 봤다. 그래도 2시간 정도가 남았는데, 더 집중할 자신도 없고 본다고 달라질 것 같지 않아서 그냥 시험 종료를 눌렀다.
종료 후에는 간단한 설문이 이어지고 마지막에 결과창이 뜬다. 예비 합격이라고 뜨는데 진짜 꿈인가 싶었다.
진짜 결과가 메일로 올때까지도 반신반의했다.
결과
영업일 기준 10일이라더니, 그냥 10일 뒤인 오늘 메일이 왔다.
점수가 진짜..ㅋㅋ 완전 턱걸이로 합격했다.
부디 취업에 도움이 되기를~