처음 CISSP 6개월 합격 학습 플랜을 짤 때 가장 먼저 부딪히는 벽이 있습니다. 8개 도메인, 1,000페이지 영문 교재, 100~150문항짜리 CAT 시험. 이게 한꺼번에 다가오면 어디서부터 손대야 할지 막막하죠.
저도 비전공 출신으로 처음 도전했을 때 두 번이나 학습 순서를 뒤집어엎고 나서야 감이 잡혔습니다. 이 글에서는 그 시행착오를 6개월 단위로 정리해, CISSP 비전공자 독학을 처음 시작하는 분이 그대로 따라 쓸 수 있는 CISSP 6개월 합격 학습 플랜으로 풀어드립니다.
목차
CISSP 시험 구조와 6개월이 합리적인 이유
CISSP 6개월 합격 학습 플랜을 짜기 전에 먼저 시험의 실체부터 봐야 합니다. 응시료가 작지 않거든요.
2024년 4월 ISC2 시험 개편 이후 CISSP는 CAT(Computerized Adaptive Testing) 방식으로 운영됩니다. 100~150문항을 최대 3시간 안에 풀고, 그중 25문항은 채점되지 않는 사전 검증 문항입니다.
응시자의 정답 패턴에 따라 난이도가 실시간으로 조정되고, 알고리즘이 합격/불합격을 충분히 판단했다고 보면 100문항에서도 시험이 종료됩니다. 즉, 100문항에서 끝났다고 떨어진 게 아닙니다.
2026년 기준 시험 개요 한눈에
여기서 핵심은 문항 수가 가변이라는 점입니다. 한 문제를 길게 붙들면 후반 시간 압박이 폭증합니다. 1문항당 평균 70~90초 안에 결단하는 훈련이 필수예요.
8개 도메인 가중치 (2024년 4월 개편 기준)
| 도메인 | 이름 | 비중 |
|---|---|---|
| D1 | 보안 및 위험 관리(Security and Risk Management) | 16% |
| D2 | 자산 보안(Asset Security) | 10% |
| D3 | 보안 아키텍처 및 엔지니어링 | 13% |
| D4 | 통신 및 네트워크 보안 | 13% |
| D5 | 식별 및 접근 관리(IAM) | 13% |
| D6 | 보안 평가 및 테스트 | 12% |
| D7 | 보안 운영(Security Operations) | 13% |
| D8 | 소프트웨어 개발 보안 | 10% |
핵심: D1·D3·D4·D7이 합쳐서 55%. 이 네 도메인에서 안정적인 점수가 안 나오면 합격선이 흔들립니다.
왜 하필 6개월인가
비전공자 기준 ISC2 권장 학습량은 약 200~300시간입니다. 평일 1시간, 주말 4~5시간을 6개월(약 26주) 유지하면 240~280시간이 자연스럽게 나옵니다.
3개월에 몰아 하면 하루 2.5시간 이상이 강제됩니다. 직장인에게는 비현실적이죠. 반대로 1년을 잡으면 앞에 배운 D1 내용이 D8 도달했을 때 다 휘발됩니다. 6개월이 망각곡선과 직장 일정의 균형점인 셈입니다.
응시 자격에 대한 오해
5년 경력이 없어도 시험은 칠 수 있습니다. 합격하면 우선 “Associate of ISC2” 자격으로 등재되고, 이후 최대 6년 안에 8개 도메인 중 2개 이상에 해당하는 5년 경력을 채워 엔도스먼트(endorsement)를 받으면 정식 CISSP가 됩니다. 학사 학위나 ISC2 인정 자격증이 있으면 1년 경감받아 4년이면 됩니다.
응시료는 미국 본사 기준 USD 749(2026년 5월 환율 기준 약 100만원대 초반)이고, 한국에서 응시할 때는 환차에 따라 변동됩니다. 재응시 시 1차 후 30일, 2차 후 60일, 3차 후 90일의 대기 기간이 있어 함부로 떨어질 자격증이 아닙니다.
이 섹션 핵심
CISSP는 100~150문항 가변 CAT 시험이고, 8개 도메인 중 D1·D3·D4·D7이 절반 이상을 차지합니다. 비전공자가 200시간 이상을 안정적으로 확보하려면 6개월 플랜이 가장 합리적입니다.
비전공자를 위한 도메인별 학습 순서와 월별 로드맵
여기서 가장 많은 사람이 실수합니다. 책 목차 순서대로 D1→D8을 진행하는 거죠. 비전공자에게 이 방식은 비효율적입니다.
D1은 거버넌스·법·리스크처럼 추상적이고 영어 용어가 빽빽합니다. 시작부터 D1을 정독하면 “이거 나한테 안 맞는 시험이구나” 싶어 포기 확률이 가장 높은 구간이에요.
실제로 해보니, 구체적인 기술 도메인부터 시작해 추상 도메인을 뒤로 빼는 순서가 훨씬 잘 붙습니다.
추천 학습 순서: 기술 → 운영 → 추상
이 순서가 잘 먹히는 이유는 단순합니다. D4 네트워크와 D3 아키텍처는 정처기·네트워크관리사·CCNA 등을 거친 분이라면 절반은 이미 아는 내용입니다. 첫 한 달에 “할 만하다”는 자신감이 6개월을 끌어가는 연료가 됩니다.
반대로 D1은 마지막에 배치합니다. 다른 도메인 통계·사례를 다 본 뒤에 D1을 보면, 그제야 BIA·ALE·SLE 같은 위험 관리 개념이 “왜 이렇게 짜였는지” 체감되거든요.
월별 6개월 로드맵
| 구간 | 학습 내용 | 주간 시간 |
|---|---|---|
| 1개월차 | D4 통신·네트워크 보안 + D3 보안 아키텍처 | 10~12시간 |
| 2개월차 | D5 IAM + D6 보안 평가·테스트 | 10~12시간 |
| 3개월차 | D7 보안 운영 + D2 자산 보안 | 10~12시간 |
| 4개월차 | D1 위험 관리 + D8 소프트웨어 개발 보안 | 10~12시간 |
| 5개월차 | 전 도메인 2회독 + 챕터별 문제풀이 | 12~15시간 |
| 6개월차 | 모의고사 4~6회 + 오답 복기 + CAT 적응 | 15시간 이상 |
1~4개월차는 인풋, 5~6개월차는 아웃풋. 이 비율을 무너뜨리면 시험장에서 무너집니다.
1개월차: D4 네트워크 + D3 아키텍처
OSI 7계층·TCP/IP·VPN·방화벽·무선보안까지 한 번에 훑습니다. 정보보안기사를 준비한 적 있다면 D4는 1.5주 안에 끝낼 수 있어요.
D3는 대칭/비대칭 암호, 해시, PKI, TPM, 클라우드 보안 모델까지. 암호학 단원에서 막히면 그날은 거기서 멈추고 유튜브 영상으로 보강하는 게 낫습니다. 활자만 보면 절대 안 외워지는 단원이에요.
2개월차: D5 IAM + D6 평가·테스트
IAM은 SSO·SAML·OAuth·OIDC·Kerberos가 핵심입니다. 회사에서 한 번이라도 사용해본 도구가 있다면 그 경험으로 묶어서 정리하세요.
D6는 취약점 평가 vs 모의해킹의 차이, 감사 로그, KPI/KRI를 헷갈리지 않게 정리해두는 게 포인트입니다.
3~4개월차: 운영·자산·위험관리·개발
D7 운영은 사고 대응, 백업·복구, 디지털 포렌식, DRP/BCP가 두께가 가장 두꺼운 단원입니다. 시험에서 “가장 먼저 해야 할 일은?” 유형이 여기서 폭발적으로 나옵니다.
D2 자산 보안은 데이터 분류·소유자/관리자 책임 정리. D8은 SDLC·DevSecOps·시큐어 코딩 원칙 위주로 가볍게 훑으면 됩니다.
마지막에 D1을 펼치면, GDPR·SOX·HIPAA·ISO 27001 같은 컴플라이언스가 “앞 도메인의 종합 정리”처럼 읽힙니다.
실전 팁
월말 마지막 주말은 그 달에 배운 두 도메인의 “Think Like a Manager” 관점 복습에 할애하세요. CISSP는 기술자 시점이 아닌 보안 관리자 시점에서 답을 찾는 시험입니다. 같은 상황에서도 “기술적으로 가장 우수한 답”이 아니라 “리스크·법·비용을 종합한 답”이 정답인 경우가 많습니다.
비슷한 결의 비전공자 장기 플랜을 더 보고 싶다면 정보보안기사 비전공자 1년 합격 로드맵도 도메인 매칭 측면에서 참고가 됩니다.
교재·문제은행 조합과 주간 학습 루틴
CISSP는 한국어 공식 교재가 사실상 없습니다. 영문 교재 1권 + 문제은행 1~2개 조합이 표준입니다.
2026년 시점 추천 교재 조합
| 용도 | 교재 | 활용 시점 |
|---|---|---|
| 본교재(이해) | OSG 10th Edition (Sybex, Chapple 외) | 1~4개월차 1회독 |
| 핵심 정리 | CISSP All-in-One Exam Guide (Shon Harris/McGraw-Hill) | 5개월차 2회독·약점 보강 |
| 문제은행 | Sybex Official Practice Tests + Boson ExSim | 3개월차부터 병행 |
| 요약 | Eleventh Hour CISSP (Conrad) | 시험 2주 전 최종 정리 |
비전공자가 OSG를 처음부터 영어로 읽으면 한 챕터에 4~5시간씩 깨질 수 있습니다. 그럴 때 저는 유튜브 “Destination Certification” Mind Map 시리즈를 챕터 들어가기 전에 30분씩 시청했습니다. 그림으로 머릿속에 뼈대를 박은 뒤 책을 읽으면 속도가 두 배는 빨라져요.
문제은행은 빠를수록 좋습니다. 3개월차부터 도메인별로 50문항씩 풀기 시작하세요.
주간 학습 루틴 (직장인 기준)
핵심은 “평일은 가볍게, 주말은 무겁게”입니다. 평일에 무리해서 매일 2시간씩 하려다 한 달 만에 번아웃 오는 경우가 가장 흔합니다.
오답 노트는 만들지 마세요
예상과 반대일 수 있는데, CISSP는 오답 노트 작성보다 오답의 “보기 4개를 비교하는 메모”가 훨씬 효과적입니다.
왜냐하면 시험이 “틀린 답을 고르는 시험”이 아니라 “네 개 다 그럴듯한데 그중 가장 적절한 한 개”를 골라야 하는 시험이거든요. 정답만 외우면 시험장에서 똑같이 당합니다.
보기 비교 메모 예시
문제: 신규 정보보안 정책 도입 시 가장 먼저 할 일은?
A. 직원 교육 — 정책 “이후” 단계
B. 경영진 승인 획득 — ✅ 정답, 모든 정책의 출발점
C. 기술적 통제 적용 — 정책 부재 시 의미 없음
D. 위험 평가 수행 — 정책 “전” 단계지만 승인보다 후순위
이런 식으로 “왜 다른 셋이 틀렸는가”를 메모하면 도메인이 달라도 같은 사고 패턴을 적용할 수 있습니다.
영어가 부담스러울 때
OSG 영문판이 도저히 안 읽힌다면 한국어 번역본을 본교재로 쓰는 선택지도 있습니다. 다만 시험은 한영 병기로 출제되고, 영문 표현이 정답 단서가 되는 경우가 많아 문제풀이 단계부터는 반드시 영문 문항을 풀어야 합니다.
저는 1~2개월차는 한국어 자료로 개념을 잡고, 3개월차부터 모든 문제풀이는 영문으로 했습니다. 이 전환 시점을 너무 늦추면 5~6개월차에 영어 적응에 또 한 달이 깨집니다.
이 섹션 핵심
OSG 10th + Sybex Practice + Boson ExSim 조합이 표준. 평일 1시간·주말 4~6시간으로 주 12시간을 6개월 유지하면 됩니다. 오답 노트보다 “보기 4개를 비교하는 메모”가 CISSP에는 훨씬 잘 맞습니다.
CAT 시험 전략과 시험 직전 2주 마무리
5개월차까지 인풋과 문제풀이를 끝냈다면, 마지막 2~4주는 CAT 환경 적응에 올인해야 합니다. 같은 실력이어도 CAT 적응 여부로 합격선이 갈립니다.
CAT 시험의 진짜 특성
가장 중요한 것 두 가지. 첫째, 이전 문항으로 돌아갈 수 없습니다. 둘째, 모든 문항에 반드시 답을 제출해야 다음으로 넘어갑니다.
한 문제에 3분 이상 붙들면 위험합니다. 90초 안에 결단이 안 서면 가장 그럴듯한 보기를 찍고 다음으로 넘어가세요. “체크해놨다가 나중에 다시 풀자”는 종이 시험의 사고방식이고, CAT에는 적용되지 않습니다.
마지막 2주 실전 시뮬레이션
- D-14~D-10: Boson ExSim 모의고사 3회 풀이, 회당 150문항 3시간 풀세팅
- D-9~D-5: 약점 도메인 2개 집중 복습, Eleventh Hour CISSP로 핵심 키워드 정리
- D-4~D-2: OSG 챕터 요약 빠른 통독, 신체 컨디션 조절
- D-1: 새로운 내용 절대 안 봄, 가벼운 산책과 수면
모의고사에서 75% 이상이 안정적으로 나오면 실전 합격권입니다.
시험 당일 시간 배분
| 구간 | 문항 범위 | 권장 페이스 |
|---|---|---|
| 초반 | 1~50문항 | 80~90초/문항 |
| 중반 | 51~100문항 | 70~80초/문항 |
| 후반 | 101~150문항 | 60~70초/문항 |
초반에 시간이 좀 걸려도 괜찮습니다. 처음 30~40문항이 합격 가능 영역을 결정하기 때문에 신중함이 더 중요해요. 후반으로 갈수록 알고리즘이 결정에 가까워지므로 속도를 끌어올리세요.
합격 후 절차도 미리 알아두기
합격 화면을 보면 “Provisional Pass”가 뜹니다. 9개월 이내에 엔도스먼트 양식을 제출해야 정식 자격이 부여돼요.
현직 CISSP 보유자에게 보증을 받는 것이 원칙이고, 주변에 없다면 ISC2 본사가 직접 보증인 역할을 할 수 있게 요청 가능합니다. 5년 경력이 없는 분은 “Associate of ISC2” 상태로 등록되어 최대 6년 안에 경력을 채우면 됩니다.
공식 응시 절차와 시험 개요는 ISC2 공식 시험 가이드에서 최신 버전을 확인할 수 있습니다.
자주 묻는 질문
Q. 비전공자가 정말 6개월에 합격할 수 있나요?
주 12시간 이상을 6개월 유지할 수 있다면 충분히 가능합니다. 다만 1~2개월차에 영어 교재 적응 + 도메인 감 잡기를 함께 해야 하므로 초반 한 달이 가장 힘듭니다. 이 구간을 넘기면 페이스가 잡힙니다.
Q. 한국어 교재만으로 합격할 수 있나요?
이론 학습은 한국어로 가능하지만 문제풀이는 반드시 영문으로 해야 합니다. 시험이 한영 병기로 제공되어도 영문 단서가 정답을 가르는 경우가 많고, 한글 번역본 문제집의 품질이 영문 Sybex/Boson에 못 미칩니다.
Q. 정보보안기사를 먼저 따고 가는 게 유리한가요?
유리합니다. 특히 D3·D4·D7 도메인의 60~70%가 정보보안기사 범위와 겹치기 때문에 1~2개월의 학습 시간을 절약할 수 있습니다. 다만 CISSP는 “보안 관리자 관점”의 시험이라 정보보안기사식 기술 위주 사고에서 전환이 필요합니다.
Q. CAT 시험에서 100문항에 끝나면 합격인가요 불합격인가요?
둘 다 가능합니다. 알고리즘이 “확실히 합격” 또는 “확실히 불합격”이라고 판단해도 100문항에서 종료됩니다. 문항 수만으로 결과를 추측할 수 없으니, 시험 종료 후 안내문을 받을 때까지 추측을 멈추는 게 정신건강에 좋습니다.
Q. 5년 경력이 없어도 응시할 가치가 있나요?
네, 시험 합격 시 “Associate of ISC2” 자격이 부여되고 이후 최대 6년 안에 경력을 채우면 정식 CISSP로 전환됩니다. 이직·승진 시 “CISSP 시험 합격자” 표기가 가능하므로 경력이 부족할수록 미리 따두는 게 유리합니다.
Q. 응시료가 비싼데 한 번에 붙을 확률을 올리는 방법은?
모의고사 평균 75% 이상이 안정적으로 나올 때까지 응시 일정을 미루세요. Boson ExSim 기준 70% 미만에서 시험장에 들어가면 떨어질 가능성이 높습니다. 재응시 대기 기간(30일·60일·90일)과 응시료 손실이 더 큽니다.
여기까지가 비전공자가 실제로 따라갈 수 있는 CISSP 6개월 합격 학습 플랜의 큰 그림입니다. 결국 핵심은 두 가지예요. 도메인을 책 순서대로 가지 말 것, 그리고 마지막 2개월은 무조건 문제풀이와 CAT 적응에 양보할 것. 이 두 가지만 지켜도 6개월 끝자락에서 “Congratulations” 화면을 볼 확률이 크게 올라갑니다.