36회 CPPG 개인정보관리사 시험 합격 후기

저번 8월 28일에 치뤘던 36회 CPPG 시험에 합격하였다. 지난 빅데이터 분석기사 취득 이후로 오랜만에 쓰는 합격 후기인데, 합격 발표 당일인 오늘까지도 확신이 없었다가 다행히 붙어서 다른 사람들에게 조금이나마 도움이 되었으면 하는 바람으로 짧게나마 후기를 남기려고 한다.

​

기업에서 보안 담당자로 개인정보보호 업무를 하거나 보안 컨설턴트로 일을 한다면, 대부분 가지고 있는 자격증이 CPPG인 것 같다. 나도 보안 컨설팅으로 직무를 바꾸면서 CPPG를 따야할 필요성이 생겼는데, 정보보안기사 자격증 취득 이후로 오랜만에 법에 대해 깊게 공부한 것으로 생각된다. 정보보안기사 때는 정보통신망법이 핵심이었는데 CPPG 시험은 개인정보보호법으로 시작해서 개인정보보호법으로 끝난다. 고득점은 아니지만 일단 합격 점수는 아래와 같다.

 

 

솔직히 이 시험은 주관이 KCA로 변경되기 전의 정보보안기사와 마찬가지로 문제를 공개하지 않기 때문에, 시험을 보고 나와도 정말 잘봤다고 생각하지 않는 한 합격을 했는지 안했는지 알 수 없는 것 같다. 특히 법 조문을 보기로 내면서 단어나 숫자를 바꿔쳐서 내기 때문에, 개인정보보호법 조문 하나하나를 완전히 숙지하지 않는 한 확신하지 못한다. 또 시험 점수를 보고 재밌었던 건, 공부를 열심히 해서 잘봤다고 생각했던 2영역(개인정보보호 제도)보다 공부하면서 끝까지 헷갈려서 망했다 싶은 3영역(개인정보 라이프사이클 관리)이 더 잘나왔다는 것이다.

​

시험을 쳐 본 입장으로 그나마 개인정보보호를 주 업무로 하고 있는 직장인이라면 법에 익숙하기 때문에, 어느 정도 감으로 찍어서 맞출 수 있는 문제들도 있으니 그렇게 많은 시간을 공부하지 않더라도 쉽게 취득할 수 있다고 본다. 하지만 문제는 이제 막 취업을 위해서 개인정보보호법과 같은 법 조문 자체를 처음 보는 취준생 또는 학생인데, 혼자 공부해서는 법에 익숙해 지는데 너무 많은 시간이 걸린다. 법의 체계인 법률(개인정보보호법), 시행령(개인정보보호법 시행령), 행정규칙(개인정보 안전성 확보조치 기준)에 대해 감을 잡는 것은 물론, 각 조문의 내용들을 외워야 하다보니 처음 공부하는 사람은 헷갈리기 쉽다.

​

사실 나도 개인정보보호법 자체는 3개월 전 보안 컨설팅에서 개인정보 처리방침 개정을 진행하면서 처음 보게 되었다. 그런데 처음에는 딱딱한 법률이 아니라 개인정보보호위원회에서 발간한 개인정보 처리방침 작성 가이드라인을 먼저 봤는데, "개인정보 처리방침에는 이런 것들이 들어가고, 왜 그런가 보니 개인정보보호법에 관련 조문이 명시되어 있구나"를 생각하면서 보게 되었다. 보통 다른 시험들이 었다면 탑다운 방식으로 개인정보보호법 전체적인 목차를 보고, 그 위에서 부터 관련 시행령이라든지 행정규칙, 가이드라인 순으로 봤을 것이다. 그런데 CPPG 시험은 사례를 먼저 보고 그 다음 법을 보는 바텀업 방식으로 공부해야 그나마 법에 친숙해질 것 같았다.

​

그래서 처음 공부하는 사람들이라면, 무작정 개인정보보호법을 보기 보다는 개인정보보호 상담 사례집이나 개인정보보호 시나리오 100건을 보면서, 어떤 사례가 있었고 여기에 해당하는 법이 무엇인지 보는 방식으로 개인정보보호법에 익숙해지는 방식을 택하는 것도 나쁘지 않다고 본다. 그리고 보안에 관련해 지식이 없는 사람들이라면 비싸지만 강의의 도움을 빌리는 것도 좋다고 생각한다. 그래야 어느 정도 체계가 잡히고, 시험을 볼 때 문제가 치사하게 나와도 틀리지 않게 잘 외울 수 있다.

​

대강 시험 문제가 어떻게 나오는지 보자면, 가장 많은 문제가 나오는 4과목(개인정보의 보호조치)의 경우 "개인정보처리자는 접근권한 부여, 변경, 말소에 대한 내역을 전자적으로 기록하거나 수기로 작성한 관리대장 등에 기록하고 해당 기록을 최소 5년간 보관하여야 한다"라는 보기는 5년이 아닌 3년 보관이기 때문에 틀린 내용이다. 그런데 또 앞의 "개인정보처리자"가 아니라 "정보통신서비스 제공자 등"이면 저 보기는 맞는 보기가 된다. 이렇게 단어 하나, 숫자 하나를 바꿔가면서 나오는 문제들이나, 법률 용어에 대한 설명 문제에서 다른 법률 용어의 내용으로 대체한다든지 등 자세히 외우지 않으면 틀리는 문제들이 굉장히 많다.

 

 

특히 이 자격증의 합격률을 보면 10년 평균 20~30% 사이를 맞추면서 시험 난이도를 조정하는 것으로 보이는데, 이전에는 단순 조문을 외워서 따는 문제들 보다, 의료법, 공공기관 등의 사례들이나 GDPR, 가명처리 기술과 같은 새로운 영역으로 확장하면서 기존과 다른 유형의 문제들을 출제하는 것으로 보인다. 즉, 적당히 공부해서 한 번에 자격증을 취득하긴 어렵다라는 의미로 봐야 한다. 해가 갈수록 지엽적이고, 새로운 유형도 많이 나오니 빡세게 공부해서 더 어려워지기 전에 따는 것이 좋을 것으로 본다.

​

시험 문제 수의 경우 전체 100문제 중 1영역(개인정보보호의 이해) 10문제, 2영역(개인정보보호 제도) 20문제, 3영역(개인정보 라이프사이클 관리) 25문제, 4영역(개인정보의 보호조치) 30문제, 5영역(개인정보 관리체계) 15문제가 출제된다. 보안을 어느 정도 공부한 사람의 경우 기술 문제가 나오는 4영역에서 최대한 많은 문제를 맞추자 생각해서 해당 부분에 시간을 가장 많이 할애할텐데, 중요한 건 한 과목에서라도 과락이 나오면 불합격이기 때문에 전 영역 고루고루 공부해서 과락을 방어해야 한다. 나의 경우 2영역이 그러했는데 2문제를 더 틀렸으면 과락으로 다음 시험까지 준비했을 것이다.

​

나의 경우 시험 한 달 전부터 제대로 공부하기 시작했는데, 잘 정리된 자료와 유사 기출문제를 풀면서 공부하는 게 좋을 것 같아서 수험서를 사서 준비했다. 사실 시간이 그렇게 많지 않아서 책과 커뮤니티에 올라오는 내용들을 보면서 CPPG를 준비했는데, 업무를 하면서 얻은 지식 외에 순수하게 공부한 시간은 30~40시간이 안될 것 같다. 하지만 책에 나온 내용이 전체를 커버할 순 없기에, 처음 공부하는 분들이라면 책 외의 자료들을 보면서 더 많은 시간을 투자해야 할 것으로 생각한다.

​

이번 CPPG 합격 후기를 쓰면서 시험을 준비할 때, 어떤 자료를 봐야하고 각 영역 별로 어떤 부분을 중점적으로 공부해야 한다고 정리하고 싶었지만, 이미 많은 분들이 후기 글에 봐야할 문서들을 정리해주셨고 그보다 더 잘 정리할 자신은 없어서 생략하고자 한다. 특히 최근에는 카페나 커뮤니티도 잘 되어있기에 들어가서 더 많은 자료를 얻으면서 공부하면 준비 기간을 더 짧게 가져갈 수 있을 것이다. 이 글을 보는 분들 모두 합격하길 바라며, 그럼 이것으로 합격 후기를 마치도록 하겠다.