ISC2가 CISSP 경력 면제 목록에서 CEH·CISA·OSCP 포함 31개 자격증을 삭제했다. 한국 시험 철수와 맞물린 변경의 영향과 대안 경로.
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.
2026년 4월 1일, ISC2는 CISSP 1년 경력 면제 자격 목록을 50개에서 25개로 절반 줄였다. CEH, CISA, CRISC, OSCP, 8개 GIAC 자격증이 한꺼번에 제외되었다. ISC2는 자사 자격증 8개를 전부 유지하면서 경쟁사 자격증을 대거 삭제했다. 한국에서는 2024년 CISSP 시험 자체가 철수한 상황이라, 이 변경이 의미하는 바가 다르다.
CISSP는 원래 5년의 풀타임 보안 경력을 요구한다. ISC2가 인정하는 자격증을 보유하면 1년을 면제받아 4년으로 줄일 수 있다. 4년제 학위도 동일하게 1년 면제 대상이다.
4월 1일부터 이 면제 목록에서 31개 자격증이 제거되고 6개가 새로 추가되었다.
| 벤더 | 제거된 자격증 |
|---|---|
| EC-Council | CEH, CHFI, ECSS, CSA |
| ISACA | CISA, CRISC, CIA |
| GIAC | GCIH, GCFA, GSEC, GCIA 등 8개 |
| Offensive Security | OSCP, OSCE |
| Microsoft | AZ-500, Security Operations Analyst |
| 벤더 | 유지된 자격증 |
|---|---|
| ISC2 (자사) | SSCP, CCSP, CGRC, CSSLP 등 8개 전부 |
| CompTIA | Security+, CySA+, CASP+, SecurityX |
| ISACA | CISM (유일한 생존) |
| Cisco | CCNP Security, CCIE Security |
ISC2는 자사 자격증 8개를 전부 유지했다. 반면 EC-Council은 전멸, ISACA는 4개 중 CISM 1개만 살아남았고, GIAC는 12개에서 4개로 줄었다.
ISC2의 공식 입장은 "직접 관련된 보안 관리 경험을 보유한 후보자만 면제를 받아야 한다"는 것이다. CISSP는 보안 관리와 아키텍처 자격증이지, 모의해킹이나 감사 자격증이 아니라는 논리다.
이 논리로 보면 OSCP(모의해킹), CEH(윤리적 해킹), CISA(감사)가 제외되는 것은 일관성이 있다. 하지만 ISC2가 자사 자격증만 전부 유지한 점은 경쟁 제거라는 비판을 피하기 어렵다. CompTIA Security+와 ISACA CISM을 남긴 것은 "순수한 자사 편향은 아니다"라는 반론의 근거가 된다.
이 결정의 배경에는 ISC2 자체의 조직 변동도 있다. 2024년 10월 CEO Clar Rosso가 퇴임했고, 2026년 1월 비영리 조직 출신의 Scott Beale이 신임 CEO로 취임했다. 2022년에는 이사회 청원 문턱을 대폭 높이고 후보 직접 추천을 제거하는 회칙 변경을 시도해 PortSwigger Daily Swig가 "거버넌스 쿠데타"라고 보도했다. 무료 CC(Certified in Cybersecurity) 100만 명 보급 캠페인으로 회원 수를 67만 5천 명까지 늘렸지만, 연 $50 회비를 통한 수익 파이프라인이라는 지적도 있다. 면제 목록 축소는 "엄격성 강화"라는 명분이지만, CISSP 브랜드 가치를 방어하려는 조직 생존 전략으로도 읽힌다.
EC-Council 제거의 배경에는 오랜 논란이 있다. EC-Council은 10년 이상 교육 콘텐츠 표절 문제가 제기되었고, 2021년에는 LinkedIn에서 "여성은 이 일을 할 수 없다"는 선택지가 포함된 설문을 게시한 뒤 이를 비판한 여성 보안 전문가들을 차단했다. 보안 교육자 Thor Pedersen은 이를 계기로 CEH 자격을 모든 SNS에서 삭제하고 갱신을 거부했다. 이런 업계 인식이 ISC2의 결정에 영향을 주었을 가능성이 있다.
면제 목록 변경보다 한국 보안 인력에게 더 큰 문제는 따로 있다. 2024년 4~5월, ISC2가 한국에서 CISSP 시험을 완전히 철수했다. 한국어 시험이 중단되었고, 한국 내 피어슨뷰 테스트 센터에서 영어 응시도 불가능해졌다.
현재 한국에서 CISSP를 취득하려면 일본이나 싱가포르로 가서 영어 또는 일본어로 시험을 치러야 한다. 시험료($749~$799)에 항공·숙박비가 추가된다. 한국CISSP협회는 2024년 협회장 별세와 ISC2 철수가 맞물려 활동이 위축된 상태다.
한국 공공기관과 금융기관 채용에서 CISSP는 정보보안기사와 동급 우대를 받는다. 하지만 시험 응시가 불가능해진 이상, 실질적 가치는 하락하고 있다.
한국의 정보보안기사는 ISC2 면제 목록에 포함된 적이 없다. 이번 변경과 무관하게, 정보보안기사 보유자가 CISSP를 취득하려면 여전히 5년 경력(또는 4년제 학위로 4년)이 필요하다.
면제 목록 변경이 한국에 미치는 직접적 영향은 CEH → CISSP 경로를 계획하던 사람에게 집중된다. 이제 CEH로는 1년 면제를 받을 수 없으므로, 대안이 필요하다.
면제 자격이 필요한 경우, 가장 현실적인 대안은 다음과 같다.
한국 시장만 놓고 보면, 정보보안기사가 비용 대비 효과가 가장 높다. 시험료 약 4만 원이며, 공공기관에서 CISSP과 동급 대우를 받는다. 다만 KCA(한국방송통신전파진흥원) 통계 기준 실기 합격률이 평균 8~10%로 난이도가 매우 높다. 2021년 17회차에서는 응시자 2,082명 중 합격자가 20명(0.96%)이었다.
이번 변경이 보여주는 것은 자격증 생태계의 정치학이다. ISC2는 자사 인증을 보호하면서 경쟁사를 제거했고, EC-Council은 공식 대응조차 내놓지 않았다. 자격증은 역량의 프록시(대리 지표)일 뿐, 역량 자체가 아니다.
한국에서 보안 커리어를 시작하는 사람에게 현실적인 순서는 이렇다.
자격증보다 중요한 것
정보보안기사가 4만 원으로 국내 취업에서 CISSP($800 + 해외 응시 비용)과 동급 대우를 받는 현실에서, 해외 자격증은 "필수"가 아니라 "경력 후반부 선택"이다. 모의해킹 전문 경로라면 CEH보다 OSCP가 업계 인정도에서 압도적으로 유리하다.