우리가 몸이 아프면 전문의를 찾아가는게 맞습니다. 각종 인터넷의 발달과 기술의 발달로 순기능도 있지만 늘 역기능이 나타나게 마련입니다. 이러한 것 중에 하나 바로 "보안(Security)" "정보보호" "정보보안" 등의 용어로 정리가 되겠네요.

이렇게 중요하다고 하는 정보보호에 대하여 정작 정보보호전공을 한 사람은 비전공자에 비해 턱없이 부족하다는 지적이 나왔습니다.

최근 KISA가 한국정보보호학회에 의뢰하여 발간한 보고서 "지식정보보안 분야 인력현황 및 중장기 인력수급 전망 분석" 이란 보고서에 따른 것입니다.

간단하게 살펴 보도록 하겠습니다.  정보보안 인력을 중심으로 분석한 보고서이기에 한번쯤 살펴볼 필요가 있고 관련 기관에서는 조금 더 관심을 가지고 지켜 봐야 할 것입니다.

* 본 포스팅은 위 보고서를 가지고 필자 나름대로 재 해석해 보았습니다. 참고 바랍니다. 조금 더 자세히 알고 싶은 분은 아래 첨부하는 보고서를 참고 하시기 바랍니다. - 주인백 
 
  


정보보안 컨설팅 하는 인력을 대상으로 한 조사이긴 하지만 우선 정보보호학과 전공은 6.4%에 그치고 있습니다. 하지만 관련 학과는 거의 70%에 육박하고 있군요.

이는 국내에 정보보호 학과가 많이 개설되어 있지 않아서 입니다. 수도권에 손에 꼽을 정도로 있고 대다수 지방에 있지만 그 마져도 학과가 통.폐합되거나 다른과로 개명하기도 합니다. 참 안타까운 현실입니다.




   


보안에 대한 인력은 대다수 경력을 많이 요하고 있고 초기 신입으로 진입하기 위한 장벽이 조금 높은축에 속하게 됩니다. 그것은 정보보호업체등이 다수 영세업체가 많이 있으며 신입을 교육시켜 인력으로 활용하기 보다 당장 활용할 수 있는 경력인력을 필요로 하기 때문입니다.  물론 무조건 경력을 선호 하는 것은 아니지만 최소한 정보보호관련 학과나 전공학과에서 다양하게 학생들이 보안관련 프로젝트 등을 할 수 있도록 하는 기회를 마련해야 하는데 그런 기회조차 없다는 것입니다. 


 
 

위 내용으로 볼떈 사고대응이나 관리 그리고 연구개발 및 구현에 많이 포지션닝 하고 있는데 이것은 전체를 대변 하기엔 조금 무리가 있지 않은가 하는 생각이 듭니다. 대부분 사고대응이나 관리 및 운영에 많은 인력들이 포진해 있지 않은가 하는 개인적인 생각이 듭니다.




 

졸업후에도 마땅히 갈 곳이 없어 우스게 소리로 다시 학원으로 가서 보안공부를 해야 하는 참 안타까운 현실도 있습니다. 

이러한 부분은 정보보호학과 전공이 아니다 보니 실제 학교에서 배우는 정보보호와 실제 실무에서 사용하는 정보보호에 관련된 부분이 많이 상이한 부분들이 있습니다.

학교에서는 이론위주로 가르키고 실제 학문위주다 보니 기술의 발전이 빠른 정보보호쪽에서는 빠른 기술습득과 스킬을 익히려면 그에 맞는 교육을 하는 교육과정을 찾아서 움직이기 때문에 이러한 부분들을 학원등에서 보완해 주고 있으나 기형적인 부분들이 있습니다. 왜냐하면 그것은 또 이론적인 바탕이 없이 스킬에만 주력을 하기 때문입니다. 

어쩌면 극복해야 할 과제중에 하나인데 이중의 노력과 시간이 투여 된다는 생각이 듭니다. 이러한 부분을 없애려면 정보보호관련학과를 서울과 지방에 많이 개설을 하여야 합니다.  그리고 다양한 전문가를 활용할 수 있는 미래 지향적인 학과 운영이 되어야 합니다.


 

정보보호 분야는 특히 남성들의 영역으로 대다수 남자들이 많이 업종에 일을 하고 있습니다. 하지만 특수한 분야나 세심함을 요구하는 분야에는 여성도 틈새를 찾을 수 있다는게 제 지론입니다. 특히 보안컨설팅을 경우에는 여러가지 컨설팅 스킬을 잘 갖춘 커리어 여성이 전문성까지 갖춘다면 향후 미래에 소중한 여성 인력 활용이라 생각이 듭니다.


지금까지 기업에 대하여 알아 보았는데 이제는 개인적인 측면에서 살펴 보겠습니다. 
 

 

역시 개인적인 측면에서도 정보보호학과 전공을 한 인력이 대다수 작다는 것을 알수 있습니다. 이는 지금 퍼센티지를 나와서 그렇지 국내  정보보호학과 수를 비교 한다면 더 적은 수라 생각이 듭니다. 왜냐하면 정보보호를 전공을 운영하는 4년재 대학은 그리 많지 않기 때문입니다.
 


개인도 기업부분과 마찬가지로 대부분 정보보호 관련 업무에 종사하거나 유사한 업무를 하다가 관련 기관이나 업체로 이직하는 경우를 볼 수 있습니다. 

이는 초기 바로 자신의 전문성을 살릴수 있는 것이 아닌 일반 IT업체에서 어느정도 경력을 쌓은후 나름대로 준비를 하여 보안지식을 갖추거나 준비를 하여 이직하는 경우가 많습니다.

 


KISA에서 발간한 보고서를 일부분만 가지고 필자 나름대로 해석을 해 보았습니다. 그중에 맥을 같이 하는 가장 중요한 핵심 키워드 중에 하나는 바로 "전문성을 갖춘 인력" 의 부재입니다.

이러한 인력을 배출해 낼수 있는 구조적인 모순이 있다는 것입니다. 기술의 발전으로 전문성의 정보보호인력은 점점 많이 요구하고 있고, 그것을 뒷 받침해 줄수 있는 열악한 환경은 기존에 인력이 탈 IT해 버리는 모순된 악순환이 지속되고 있는 것입니다.

보고서에서 지적하듯이 우선 장기적인 안목에서 국내 정보보호전공을 운영 할 수있는 대학의 수를 늘려야 하고 , 단지 장미빛 청사진만 제공하는 그런 정보보호 전공이 아닌 , 진정한 사이버 전사를 키울수 있는 인력을 대학 4년동안 꾸준히 기술을 갈고 닦을 수 있는 정보보호 훈련의 장(場)을 마련해 주어야 할 것입니다.  @엔시스.

*첨부파일

신고
Posted by 엔시스
* 오늘 언론기사를 보다가 이런 부분은 블로그에 꼭 한번 포스팅 하고 싶어 글 몇자를 남겨 본다.


1. 잘 갖추어진 인프라 환경과 다양한 디바이스기기등장

국내 인프라 환경의 발전과 기술의 발전으로 전산화 정보화 시대는 이미 성숙기나 포화기에 접어 들게 되었다. 집집마다 초고속 인터넷 안들어간 것이 거의 없고, 이제는 가정에서도 메인 인터넷에 유무선공유기를 통한 노트북과 스마트폰 등 다양한 디바이스 기기를 통하여 인프라를 활용하고 있다.


2. 기술의 발전과 서비스의 역기능

기술의 발전은 이제 약 1년 앞을 내다 보기 어렵게 되었다. 6개월전에 기술은 또 다시 뒤안길로 사라지고 새로운 기술과 서비스가 등장하다보니 이것을 이용하는 이용자 입장에서는 혼란스러운 것이 사실이다. 이제 적응을 좀 할만하니 새로운 기술이 발전하고 새로운 서비스가 도래하고, 남들 모두 사용하는 서비스 나만 디지털 퇴보자(?) 대열에서 빠져 나오기 위하여 노력을 하다보니 정보보호나 보안에 대한 생각은 할 조차도 못한다.


3. 정부나 국가기관 , 공공기관에 정보보호에 대한 의지 아쉬움

이러한 서비스의 발전은 이제 안방에서 주민등록등본이나 기타 관련 서류를 인터넷으로 받을 수 있고, 학교 성적증명서 졸업증명서도 직접 학교에 방문하지 않더라도 받을수 있고, 편리한 생활에 일부로 자리 잡게 되었다. 이제는 안방에서 벗어나 손에 들고 다니는 스마트폰에 등장으로 이젠 이동하면서 손안에서 모든 업무를 볼수 있는 시대도 멀지 않았다.

하지만 한가지 아쉬운 점은 이러한 서비스의 발전과 추진에 비해 이에 따른 역기능이나 보호조치에 대한 부분들이 늘 아쉽게 마련이다. 그런 부분에 있어 오늘자 언론에 나온 기사를 한번 인용해 보겠다.

                                                   <기사출처: 디지털타임즈 2010.10.21일자 >


국가의 세금으로 운영되는 각종 공공기관..정부부처에 사이버 안전을 지켜주는 지킴이 역할을 할수 있는 정보보호인력이 턱없이 모자라고 전문성도 지적된다는 이야기는 벌써 어제 오늘에 이야기가 아니다. 그런데도 아직도 같은 말만 되풀이 되는 언론 기사는 머리속에 사라질만 하면 한번씩 나오게 된다.

그만큼 중요성에 비하여 아직도 인식에 전환이 필요하다는 것이다. 인력과 예산이 없다보니 보호해야할 자산에 대한 보호조치는 늘 미흡하게 마련이다.

정착 사건사고가 터져서 언론에 대서특필이 되어서야 관심을 가지게 되는 정보보호, 자신의 개인에 대한 정보를 보호하는 것은 1차적 중요 보호 목적이고 , 대민 서비스를 하는 공공의 목적에 의하여 국민의 정보를 보호하는 국가기관 지자체 공공기관에서 관리하는 공공의 목적도 중요하다는 것을 인지하여야 한다.


그럼 ,대응방안은 없는가?

공공기관, 정부부처에서는 보다 전문적이고 다양한 정보보호인력 배치해야

위 언론에서 기사화 된것처럼 현실이 이렇다 보니 최근 정보보호 인력의 확대 방안에 하나로 그간 국가공인 정보보호전문가 자격증 (SIS)이 민간수준에 머물러 있던 것이 국가기술 자격증으로 승격화 되어 이미 용역 사업으로 발주가 나가 있는 상황이고 , 2012년도에 시행 예정으로 알려져 있다.

정보를 처리하는 기준을 검증하는 정보처리의 수준을 넘어서 이제는 그런 정보처리를 보호 할수 있는 객관적 기준을 가진 인력을 테스트 하는 정보보안기사 (가칭) 산업기사의 역할을 주목하게 된다.  국가 기술자격증인 정보보안 기사가 시행이 되면 다음과 같은 파급효과를 불러 올 것으로 예상이 된다.

  • 1차적으로 공무원 시험에 가점이 도입이 되어야 한다.
  • 각 공공기관,지자체,군입대시 관련 자격증 소지자를 우대한다.
  • 금융,증권,대기업등 관련 직종 취업시 우대가 된다.
  • 현재 전산직이나 전산실 담당자는 반드시 전문성을 확보해야 하는 근거로 마련이 된다.
  • 정보보호 업체 선정시 관련 기준을 국내 기준으로 자격기준을 부여 한다.
  • 국가 모든 공공기관 입찰시 관련 인력 보유 현황에 근거를 둔다.
  • 대기업 입사시 유사 업종시 정보보호 인력에 우대를 둔다.
  • 등등

모든 것이 라이센스를 가지고 해결점을 찾을 수는 없지만 최소한 지금처럼 이렇게 공공기관과 정부기관에서 정보보호 인력이 부족하다는 이야기는 나오지 않게 최소한에 인력 배치는 되어야 하는게 아닌가 하는 생각을 해 본다. 정보보호 선진국이 되는 그날까지 끊임없이 관심을 이끌어내고 소중한 국가의 정보, 개인의 정보가 유출되지 않도록 선도 해 나갈 것이다.
@엔시스.

신고
Posted by 엔시스

국내 보안커뮤니티 '보안인닷컴'에 따르면 4일 저녁부터 지난 2월27일 동국대에서 시행된 2010년 1차 시험 합격자 발표가 되어 속속들이 커뮤니티에서 후기가 올라오고 있다고 전한다. 커뮤니티 내에서는 서로 시험 합격에 대한 축하의 댓글을 달아주면서 합격에 기쁨을 같이 한다고 관계자는 말한다.

회원중에 닉네임 잽싼곰탱이를 사용하는 한 회원은 " 합격 하였을때 이러한 커뮤니티 공간에 자신의 합격 결과를 올림으로 인하여 공부를 한 보람이 있고 축하를 회원들과 함께 할수 있어 좋다" 라고 말하며 이제부터 CISSP자격을 취득한만큼 정보보호전문가로서 더 자부심을 가지고 업무에 임하겠다고 다짐을 했다.


                                              <보안커뮤니티 '보안인닷컴' CISSP 합격자 후기 >


대다수 합격자들은 자신이 공부한 방법과 노하우 그리고 합격 하기까지 과정을 상세히 알려주고 있고 다른 시험을 준비하고 있는 분들에게 도움이 될것이라고 전한다.

또한 올해부터 한국CISSP협회 에서는 '추천인' 제도를 운영할 예정이라서 예전에 주위에 CISSP추천을 받지 못하면 자격증 신청을 할수 없는 수험생의 어려움을 덜어 줄것이라고 협회 관계자는 말하고 있다.

한국CISSP협회 홍보분과와 영남지부장으로 활동하고 있는 전주현이사(보안인닷컴운영자)에 따르면 " 올해 한국CISSP협회가 사단법인화를 목적으로 하고 있기에 국내 CISSP 자격증 소지자에게 더 많은 지원과 자긍심을 심어 줄수 있게 되었다" 며 그만큼 협회의 위상도 높아질것이라고 말했다.

'보안인닷컴'은 처음엔 국내 보안 자격증인 SIS 자격증을 중심으로 커뮤니티 활동을 해 오다가 몇년전부터는 CISSP,CISA 등 국내외 정보보호 자격증에 대한 정보를 공유하고 있으며, 보안에 대한 이슈, 정보공유, 세미나, 스터디 모임등 회원간에 활발한 활동으로 이미 국내 보안커뮤니티로서 가장 활발하게 활동하고 있다고 정평이 나 있다.

* CISSP

Certified Information System Security Professional (CISSP) 국제공인 정보시스템보안전문가의 약칭으로 미국 (ISC)2
에서 시행하고 있는 국제보안전문가 자격증증을 말한다. 국내에는 약 1500여명의 CISSP를 취득한 사람들이 있으며, 보안과 직접적인 관계가 있는 10개의 도메인을 가지고 시험을 치고 총 250문제의 6시간에 걸친 시험을 1년에 4회 정기적으로 치르고 있다. 시험 장소는 국내 동국대에서 보고 있으며, 시험비는 시험일 16일 이전에 $549  시험보기 16일 이후에 접수시 $599를 지불해야 한다. 보다 자세한 내용은 한국CISSP협회 홈페이지를 방문하면 된다.


* CISSP합격후 추천관련

협회에서도 추천인제도를 운영하려고 있지만 혹시 조금은 망설이는 분이 있으시면 언제든지 댓글을 달아 주시고 연락처를 남겨 주시면 제가 직접 추천 해 드리겠습니다. 참고 하시기 바랍니다. 전 지금까지 4년동안 30-40명 정도 추천해 주었네요. 이 모두가 커뮤니티와 블로그 그리고 트위터를 통하여 하게 되었습니다. 감사합니다. @엔시스.


신고
Posted by 엔시스


지난 2009 ISEC2009에서 지경부에서 발표한 자료에 따르면, SIS(국가공인 정보보호전문가) 민간자격증이 국가기술자격증으로 된다는 것이 핵심이다.




중점 추진과제를 보면 위 그림과 같다. 현행 민간기술자격증이 개편이 되어 [국가기술자격증]이 된다는 것이다.

  • 정보보호기술사
  • 정보보호 기사
  • 정보보호 산업기사
  • 정보보호 기능사

4가지 인력으로 정보보호(보안)인력이 양성이 되는 것이다. 
 

7.7 DDOS 대란이후 많은 정보보호에 대한 관심이 일고 있고, 특히 이번 사건은 행정기관을 대상으로 하여 공격이 감행이 되었기에 그 무엇보다 보안이나 정보보호에 관심을 가지게 하는 계기가 되었다.


그럼 SIS 자격증이 국가기술 자격증으로서 가지는 의미는 무엇인가?


사건 사고가 터질때마다 인력부족을 이야기 하고 있다. 막상 관련 업체에서도 인력이 없기는 마찬가지이다. 어느정도 실력이 갖추어 졌다고 생각하면 그 보다 더 조건이 좋고 안정적인 행정기관이나 대기업으로 자리를 이동한다.

그렇다보니 늘 업계에서는 활용할만한 인재가 없다고 말한다. 언론에도 늘 언급되는 이야기이지만 취업하지 못해 넘쳐나는 것이 현실인데 정작 실무에서는 활용할 인재가 없다고 말한다. 아이러니 할수 없는 것이다. IT업계가 대부분 비슷하겠지만 특히, 보안(정보보호)업계는 더욱 더 그렇다.

이러한 의미에서 SIS가 국가기술자격증이 된다는 것은 상당한 의미를 가진다. 그 하나하나를 살펴 보겠다.


첫째. 자격증 신뢰도와 위상이 높아진다.

9년동안 보안의 중요성이 이야기하고 인력양성을 이야기 했지만 결국 공염불에 지나지 않았고 정보처리가 더 우선시 되는 웃기지도 않는 현상이 벌어지고 있다. 아직도 정보를 처리 하지 못하는 사람이 몇명이나 있는가? 기존에 정보화, 전산화가 안되어 있을 시절에 있던 자격증 제도가 아직도 그 기준으로 한다는 것이 현실성에서 조금 떨어진다는 것이다. 지금은 정보를 처리 하는 시대가 아니라 이미 처리된 정보를 보호 하는 것이 제일 우선시 되어야 한다.

그런 고로 SIS 국가 기술자격증이 된다는 것은 그만큼 정보보호에 대한 관심의 표명이고 국가기관의 보안에 대한 확고한 의지인 셈이다. 거북이 걸음이 되어서는 안될 것이다.



둘째, 체계적인 관리와 프로세스가 정립이 된다.


지금까지 SIS 민간자격증은 보안의 중요성 때문에 2001년 12월 SIS2급을 시작으로 하여 시행이 되었지만 검정기관만 3번이 바뀌었다. 처음에 정보통신교육원->전파진흥원->정보보호산업협회 등으로 바뀌는 동안 각 기관마다 처음하는 검정사업이다 보니 업무에 있어서 시행착오가 많았다. 동일문제출제에서부터 오타 그리고 시험장소, 시험감독까지 솔직히 그리 썩 만족하는 수준은 아니었다. 다행히 시험응시생이 그리 많지 않아서 그렇지 만약 수 많은 수험생이 있는 정보처리기사처럼 되었다면 벌써 이슈화가 되었을 것이다. 일부 실기시험 관련하여서는 논란이 된적이 있었다.

SIS자격증 문제점 바로잡기, 커뮤니티 힘이 컸다

이러한 관리적인 부분을 국가가 책임을 짐으로 인하여 정보보호와 보안에 대한 관리 감독이 철저하게 이루어지고 영리사업이 아닌 국가 인력양성 사업으로 전환 하는 계기가 되는 것이다.



셋째, 정보보호(보안)인력 선순한 구조로 바뀐다.


민간에 머물러 있던 국내 대표하는 보안자격증이 국가기술자격증으로 됨으로 인하여 많은 인센티브가 제공이 될 것이다. 대표적인 인센티브를 나열해 보겠다.

    • 국가 행정기관 및 공공기관,지자체 시험 응시시 가점부여
    • 보안이 이슈가 된 만큼 정보처리 보다는 정보보호가 우선시
    • 각 공공기관과 지자체에 정보보호 (보안) 인력 수요 충족
    • 대 기업, 중소기업에 보안인력 수급 조절
    • 교육기관(대학교,중고등학교)의 정보보호에 대한 교육 강화(정보보호자격증 소지 교사 학생교육)
    • 전국 대학교 정보보호 학과 관련 개설 및 증설
    • 정보처리가 아닌 이제는 정보보호하는 시대성 반영 


마무리글


한국정보보호산업협회도 이제는 지식정보보안산업협회로 개명하고 정부관련 과제도 지식정보보안 산업과 또 융합IT를 지향하고 있어  향후 미래는 지식산업이 이끌어 갈 것이다. 그 가운데 지식정보보안 산업은 그 선두에 있는 것이다. 하지만 국내를 대표하는 공신력있는 보안자격증 없고 지금까지 무관심해 온 것이 아닌가 하는 생각을 가지게 된다.

그것은 자격증이라는 것이 다른 사업보다 우선순위에서 우위를 점할수 있는 사안이 아니기에 그보다 더급한 사업만 진행을 하다보니 지금까지 악순환의 고리를 끊지 못하고 있는 것이다. 그 시발점에서 SIS 자격증이 국가기술자격증이 된다면 선순환의 구조로 바뀌는데 일조를 하리라 생각을 한다.

물론 자격증이라는것이 모든 것을 해결해 주지는 않는다. 하지만 무엇인가 사람들의 관심과 자연스럽게 흘러갈수 있는 물꼬를 터주는 것이 바로 정부가 해 주어야 할 일인 것이다.

따라서, SIS자격증이 국가기술자격증이 되려면 법령개정과 관련기관(노동부)와 부처간 협의를 거쳐 급물살을 타서 빠르게 진행이 되었으면 좋겠고, 거북이 걸음을 하지 말았으면 한다. 또한 제3의 사이버 대란이 일어나지 않게 되길 바랄뿐이다.  지금 막 분위기를 탓을때 정책 집행을 하지 않으면 똑 같은 반복이 되풀이 되는 것은 자명한 것이다.

국가 사이버 안전을 보호하고 자신의 개인의 정보를 보호 하기 위하여 관련 인력을 양성하고 정책집행이 하루빨리 이루어지길 고대하는 바이다. @엔시스.



신고
Posted by 엔시스

최근 보안에 대한 이슈가 대두되면서 '정보보호'와 '보안'에 많은 관심들을 가지고 있다. 또한 인터넷의 편리한 기능이 있는 반면에 역기능도 대두 됨에 따라 자연히 인터넷의 편리성 보다는 역기능이 더 부각되어 보여 지는 경우가 있다.

그것은 직접적으로 피해가 오기 때문이다. 이러한 정보보호에 대한 기술자, 또는 보안을 업으로 하여 먹고 사는 사람들이 일을 하면 일에 대한 산정 기준이 있어야 하지만 아직까지 가야할 길이 멀기만 하다.


관련 기사 :

푸대접에 우는 보안전문가들


이렇듯 늘 일이 터질때마다 인력 양성하고 대책 마련을 하라고 하지만 아직까지 보안에 대한 인식조차 많지 않은 상황에서 어느정도 대우를 해 주는 분위기와 환경을 조성해 주는 것이 시급 하다.

일을 하고 있으면서 보안관리자라고 하면 '놀고 있는 사람' 정도로 치부해서는 안되는 것이다. 정말 아무것도 잘 모르는 사람은 그렇게 말하고 있다고 하는 소리를 들은 적도 있다. 그렇게 말한 사람은 너무 무지에서 오는 오해이다.


정보보호전문 기술자 임금 기준 마련되어야


보안전문가는 아무나 할 수 있는 것이 아니다. 무슨 일이든 마찬가지이겠지만 전문가에 대한 분야는 전문가가 가는 것이 맞는 것이다.

그렇다라고 한다면 일률적인 잣대로 소프트웨어 인력 임금 단가로 매겨지는 것이 아닌 '정보보호 전문 기술자'로서  임금 기준을 산정하는 기준안 마련이 되어야 한다.                             

이제는 보안을 무시해서는 어떠한 비지니스 사업도 할 수 없다. CEO의 보안마인드부터 바꾸어야 하는 시대에 도래 한 것이다.

이런고로 실무에 있는 보안담당자는 열정하나로 열심히 노력을 하여도 실제 공공이나 기타 프로젝트에 투입이 되어도 적절한 임금 노임단가를 받을 수 없다면 기업입장에선 아무래도 수익을 많이 창출하는 인력 관리에 신경을 쓸 것이다. 보안인력은 뒷전에 둘수도 있다.

적정한 노임단가가 마련이 되어 고생하는 만큼의 댓가를 받을수 있는 분위기와 자정 노력이 있어야 한다. 그렇지 않고서는 훌륭한 '보안전문가'의 양성은 남의 이야기요..그져 해커라고 하면 남에 서버나 침투하는 왜곡된 시각으로 바라보는 것 이상의 그 무엇도 도움이 되는 것이 없다.  @엔시스.

신고
Posted by 엔시스

보안인닷컴(대표운영자:전주현)은 보안뉴스가 의뢰를 하여 지난 8월13일부터 19일까지 1주일간 보안전문가 준비를 하는 회원들을 대상으로 설문을 조사했다.

과연 보안전문가 또는 보안업계에서 일을 하기 위해서는 어떠한 어려움이 있는지에 대한 설문은 다음과 같다.

본 설문에 대한 취지는 보안취업과 전문가를 준비하면서 어떠한 어려움이 있는지 분위기 파악정도로 하는 용도이며 보다 많은 설문은 향후 해 보기로 하여 설문에 대한 지문의 수가 많지 않아 그 정확도가 조금 떨어질 것이다. 감안하고 읽어 보기 바랍니다.

1.설문  보안업계에 취업하고자 하는 이유는?



2. 설문  보안업계에 취업을 하기 위해 어떤 노력을 하고 있는가?



3. 설문  보안업계 취업의 어려움은?


위와 같은 설문 결과가 나왔습니다. 

자신이 왜 보안업계에 취업 하고 싶은지는 관심분야이기 때문에 라는 답변을 한 것이 설문 답변자의 75%를 차지 하였습니다. 유망직종으로 떠오를 것 같다서 라는 답변의 결과도 18%정도 되네요.


그럼 보안업계에 취업 하기 위하여 자신이 하는 노력은 ? 설문 답변자의 60%정도가 자격증취득을 들고 있습니다. 이는 아직까지 보안전문가를 가늠할수 있는 잣대가 없기 때문에 자격증에 의존 하는 것으로 파악을 하고 있습니다. 또한 이러한 사항은 보통 '정보보호컨설팅 전문업체 지정'이나 기타 보안관련 프로젝트 수주시에  인력 현황을 <초급><중급><고급>으로 나눈 다면 이러한 분류기준을 경력과 자격증 등으로 나누기 때문입니다.

지금까지 보안업체에 국가에서 요구 하고 있는 보안 자격증은 (CISSP) (CISA) (SIS) 를 법률에 명시하고 있습니다.

마지막으로 보안업계 취업의 어려움은 무엇인지에 대한 답변은 57%가 전문지식을 얻기 힘들다는 점이었습니다. 사실 수시로 변하는 기술발전을 따라가기엔 부단한 관심과 자기 노력이 있어야 하기에 그리 쉬운 편은 아닙니다. 하지만 무엇보다 빠른 기술을 접하고 사이버 안전을 지킨다는 사명감 또한 중요하기에 한번쯤은 도전해 볼만하지 않을까 생각합니다.

보안업계에선 열악한 환경과 낮은 보안의식 수준으로 일정 나이가 되면 업계를 떠나는 경우가 있지만 무엇보다 중요한 것은 자신의 일을 얼마나 사람하고 열정적으로 할수 있는가가 중요 하겠습니다. 힘들기는 다른 업종을 가더라도 마찬가지로 어려울 것입니다. 이 세상에는 쉬운 것은 하나도 없습니다. 편하면 편한대로 힘들면 힘드는 대로 나름 고민과 고충이 있겠지요.

어떤 분이 이런 말을 하더군요.

"돈이 많으면 행복 한 것보다는" " 돈보다 자신이 더 이상 취할 것이 없으면 돈이 없어도 행복하다" 라는 말을 하더군요.

보안직업의 유망직업으로 장미빛 청사진을 제공하고 업계의 현실은 그 장미빛 청사진을 외면 할진 모르지만 가장 중요한것은  자신이 하고 싶은 일을 하는 것이 가장 행복한 것이 아닐까 생각합니다. 이땅에 보안전문가를 꿈꾸시는 분들 화이팅 하시고 힘내시기 바랍니다.  @엔시스.


신고
Posted by 엔시스


CISSP 취득한지 이번달로 3년이 넘어갑니다..ISC2에서 말하는 새로운 한 사이클인 3년이 시작되는 것이지요..그러던중 메일이 왔네요... 아무래도 개인 메일링등을 위하셔 올바른 정보를 다시 확인하고 입력 하라는 이야기입니다..

그리고 CISSP에 자부심을 가지라는 소리 같군요...아시다시피 외국 보안자격증은 취득하는 것도 중요하지만 사후관리도 중요시 여기고 있습니다.

따라서 CISSP경우 3년에 85$*3 회에 CPE120 를 취득하여야 합니다...자세한 사항은 한국CISSP협회 홈페이지에서 확인 하시기 바랍니다..


Dear JuHyun Jeon, CISSP:


Congratulations! You have satisfied the renewal requirements for your CISSP certification. Your credential will be renewed for another three-year certification cycle at the end of this month.

Your new ID card and certificate will be shipped to the address above. If the address is incorrect, please take a few moments to update your mailing address online. To update your mailing address after logging in at members.isc2.org or www.isc2.org, select "Edit/Change Profile" under the "My Profile" menu at the top.

Excess Group A CPE credits earned during the final six months of your certification cycle are eligible to be carried over to your new certification cycle. If you have any CPE credits eligible to be carried over that you have not posted, please take some time to post them now. This will help ensure that these credits are carried over to your new certification cycle automatically.

Your (ISC)2 certification signals an important milestone in your career. It distinguishes you with a credential that commands worldwide respect and provides access to an elite network of professionals and industry resources. Be sure to take full advantage of the resources (ISC)2 offers its members. On the Member Website, you can:

• Sign up for the (ISC)2 forum to exchange ideas and keep in touch with fellow members.
• View information about upcoming industry events and (ISC)2 sponsored activities.
• Post your resume for prospective employers and view information about open positions with employers that value and seek out professionals holding an (ISC)2 credential.
• Find information about (ISC)2 policies, review recent press releases and access the (ISC)2 newsletter archive.

Thank you for your continued support of the information security industry and for exemplifying the high professional standards your credential represents.

If you have any comments or questions, please email membersupport@isc2.org .Sincerely,


Sincerely,

(ISC)2 Member Services



저도 자격증 유지하기 위하여 아주 고환율일때 유지비를 납부 하였네요..하지만 끊임없이 유지를 위한 노력을 하고 있으며 스스로 학습도 많이 하고 있습니다..

자칫 지나치기 쉬운 기간을 보유하고 있는 분들은 꼭 한번 확인을 하여 어렵게 취득한 국제 보안자격증을 상실 하지 않기를 바랍니다..




신고
Posted by 엔시스

보통 조직에서 전산 담당하시는 분들이 따로 있습니다. 아니면 중소기업의 경우 이렇다할 담당부서가 없는 경우도 있구요..하지만 이제는 보안이 이슈가 되어 있는 만큼 여러분 조직에서는 얼마만큼 보안 교육을 하시나요?


1. 외부침입보다 내부 교육철저

경기가 어렵고 구조 조정이 있고...여러가지 내부적인 이유로 기업이 긴축재정과 비용절감을 외치고 있습니다..이러할 경우 조직관리가 상당히 중요합니다..

그 중에 아주 단적인 예가 얼마전에 일어났던 공무원 공금횡령 사건만 하더라도 조금만 관리자가 보안에 대한 지식이 있었다면 순환 보직 변경이나 휴가를 보내 그 자리에 다른 사람이 그 업무에서 다른 이상한 점이 없는지..이건 cissp 시험 공부하면 기본적으로 나오는 내용입니다..

따라서 지금부터라도 내부교육을 철저히 할 필요가 있습니다..지금은 자금적인 내용이지만 기술유출이라든지 각종서류, 개인정보 유출은 외부자 보다 내부자에 의해 일어나는 경우가 많습니다.


2.  경영자 보안 마인드 함양

아무리 실무자가 보안 교육이나 보안에 신경을 쓴다고 하여도 관리자나 경영자가 관심이 없으면 실무자도 처음엔 열정적으로 일을 하다가 중간에 포기하는 경우가 있습니다. 결국 중요한 것은 경영자의 의지 입니다...경영자가 얼마나 많은 보안에 대한 열의와 관심이 있는지가 결국 그 조직에 대한 성패를 좌우 한다고 하여도 좋겠습니다.

일부 경영자는 바쁘다는 핑계로 실제 업무에서 무엇이 문제이고 무엇이 어떻게 돌아가지는를 관리자를 통하여만 보고를 받고 있습니다..하지만 실제 경영 일선에서 현장을 찾아보고 무엇이 문제이고 사원들은 무엇이 불만인지를 스스럼 없이 들어보는 자리를 마련하고 또 그것을 같이 해결해 나가자는데 같이 한다는 것을 직원들에게 보여 주어여 합니다..


3.  경영자, 관리자,실무자는 1주일에 한번씩 전체 메일로 보안교육

필자는 늘 "보안 = 사람 "  "사람 =교육" 이라는 보안철학을 외치고 있습니다...따라서 한번의 교육으로서는 우리는 보안을 가슴속에 넣기가 그리 쉽지가 않습니다..

따라서 1주일에 한번씩 담당자 또는 경영자가 직접 조직 전체 메일을 통하여 직원들에게 독려를 하고 조직의 문제점에 대하여 독려하고 관심을 가지고 혹은 그러한 적극적인 실천에 앞장서는 직원에 대하여 보상을 하기도 하여야 합니다..

그런 방법으로 이메일이 가장 좋습니다.. 또한 여러가지 아이디어로 캐치프레즈를 만들어 이메일 문구 아래에 항상 만들어 사용하여도 좋겠습니다..직원들은 그런 일상 생활을 통하여 보안 마인드가 함양이 되는 것입니다..


4. 보안은 작은 실천

아무리 누가 말하고 아무리 경영자가 말을 하여도 실천하지 않으면 모든것이 소용이 없겠지요..이것은 비단 보안에서만 그런게 아니라 인생을 살아가면서 마찬가지일것입니다. 따라서 패치를 해야 한다고 하면 바로 패치를 해야하고 일정한 담당자가 리더를 하여 조직에서 충분한 실천이 될수 있도록 유도를 하여야합니다...보안은 작은 실천만이 조직에 정보를 지킬수 있습니다..


5. 한달에 한번은 보안데이(day)

한달에 한번은 보안데이를 선포하여 그날은 각종 패치 및 동영상 상영 또는 교육을 진행하여 전 직원이 보안에 대한 경각심을 가지는 날을 정기적으로 하는 것이 좋습니다.. 또는 각 부서에서 보안관련 UCC를 제작하여 우수한 부서에는 포상을 하는등 또는 승진에 유리한 점수를 주는등으로 유도를 하면 많은 실천이 있을 것입니다..

실제 보안은 어렵다고들 합니다..하지만 어렵지 않습니다..관심을 가지고 스스로 찾아서 실천을 한다면 누구나 할수 있는 것이 보안 실천이며 이 조직, 이 나라의 사이버 안전을 할수 있는 유일한 방법입니다. @엔시스


신고
Posted by 엔시스

[칼럼] 보안전문가, 이젠 윤리적 소양을 가져야 할때

 


                                                                          <이미지출처: 보안뉴스>

최근 한 보안업체를 가장하여 악성코드를 전파하고 중국소재에 있는 통제시스템에서 원격으로 조종을 하여 국내 70여개 인터넷 사이트를 대량의 신호를 보내어 과부하를 일으키는 일명 DDoS 공격(서비스방해공격)을 하여 충격을 주고 있다. 이는 일부러 악성코드를 배포하여 수십만명을 감염 시키고, 이들을 이용하여 다량 트래픽 공격을 하여 자신의 공격 방어시스템을 판매를 하고 또는 경쟁사로부터 청부를 받아 공격을 하였다는 이야기는 가히 충격적이다.


보안업계 있는 사람이라면 가끔 듣는 이야기인 하지만 보안에 대한 지식은 양날의 칼을 가진 것과 같다. 그래서 보안전문가는 반드시 윤리적 소양을 바탕으로 하여 도덕적인 기본 자질을 갖추어야 할 것이다. 그렇지 않는다면 이롭게 쓰여야 할 전문적인 지식을 오히려 다른 곳에 사용하게 된다면 그 피해는 고스란히 일반인들에게 돌아가게 마련이기 때문이다.

흔히 해커라고 하면 왠지 음지에서 무엇인가 연구하고 남에게 피해를 입히는 선입견을 가지는 것도 윤리적 소양이 없기 때문에 일어나는 일이라 할수 있겠다. 또한 실제로 그런 일들이 일어나기 때문이다.

결국, 사람이 문제인 것이다. 그래서 난 기본적인 나의 보안철학을 철저하게 믿는다. 그것은 보안 = 사람이고 사람 = 교육이라는 것이다.  최근 한 보고서에 따르면 정보보호전문가의 특급,고급,중급 기술자는 감소하는 반면 초보 기술자는 증가하고 있다는 보고서를 본 적이 있다. 그것은 이러한 윤리적 소양을 갖추는데 초급 기술자들에 대한 미흡한 교육 시스템도 문제이다.

 아무런 교육시스템이 없기 때문에 사이버 안전을 지킨다는 사명감보다는 그져 영웅심과 기업의 비즈니스 이윤추구만을 위하여 전문지식을 쓴다는게 안타까울 뿐이다., 따라서 해당 부처에서는 이러한  인터넷 사용자들을 위한 윤리적 소양을 가질수 있는 제도적 정책 마련도 고민해 보아야 할 것이다.  특히 보안전문가, 정보보호전문가들의 도덕적 소양이 요구되는 때이기도 하다.

 

신고
Posted by 엔시스

오랜만에 부산에서 해킹 보안에 대한 교육생 모집이 있네요...교육비가 무료라고 하니 더 매력적이겠네요..

부산인근에 있는 해킹 보안에 관심 있는 분들은 한번 신청해 보시면 좋겠습니다..


참고할 웹싸이트는 아래 링크와 같습니다..

http://www.busanit.or.kr/home/information/information_6_01.asp?bseq=653

기간은 약 6개월정도 되는거 같고, 시간적 여유가 되시는 분들은 해킹보안에 대하여 공부할수 있는 기회가 되겠습니다..

한번 방문해 보시기 바랍니다..



신고
Posted by 엔시스

우연히 검색을 하다가 정보보호전문가, 보안전문가가 되고자 하시는 분들에게 약간 도움이 될만한 사항을 마인드맵으로 그린 자료가 있어 소개해 드리고자 합니다.



우선 자료부터 먼저 보여 드리겠습니다. 출처는 캡쳐에 나와 있습니다...


                                                                     < 그림을 클릭하시면 크게 보실수 있습니다.>


우선 간략하게 살펴보겠습니다.  중앙을 기준으로 하여 좌측은 보안업무를 위한 기관이 주로 되겠고,, 우측은 보언업무를 위한 것과 도움이 되는 교육기관 정도로 보시면 되겠습니다.

혹시 보안에 관심이 있으시거나 또는 이쪽으로 취직을 하시고 싶은 분들은 도움이 되는 자료가 되겠습니다. 조금은 너무 간략하게 나온면이 없지 않아 있지만 그래도 한번 눈에 익혀 두시고 자신이 어디로 갈지에 대한 로드맵을 그려 보시면 되겠습니다..

참고 하시기 바랍니다.



신고
Posted by 엔시스

필자는 늘 정보보호전문가는 누가 정보보호 전문가인가에 대한 물음에 항상 의문을 던지곤한다. 우리가 흔히 말하는 정보보호전문가란 과연 어떤 사람을 가지고 어떤 기준을 가지고 말하는 걸까?

사실 애매하긴 매 마찬가지이다. 우선 다음과 같은 케이스로 찾아 볼수 있다.


정보보호 관련 업무를 하는사람정보보호 관련 솔루션의 취급관리하는 사람,  정보보호 관련 이론을 연구하는 석,박사,,정보보호 관련 자격증을 소지한사람, 등등...

과연 누구를 가지고 정보보호(보안)전문가일까?

늘 그 기준이 애매하긴해도 필자는 다음과 같이 정의 해 본다.

최소한 정보보호 관련 전공을 하고, 정보보호 관련 업무를 최소 3년이상 경력이 있으며 정보보호 관련 자격증 1개 이상 소지하고 있는 사람이면 그 기준을 충족하지 않을까 하는 생각을 한다.  물론 여기에도 약간의 애매하긴 해도 그래도 그 정도 기준을 가지고 있어야 한다는 생각을 가지고 있다.

이러한 기준이 명확히 정의가 될때 이제 막 이런쪽에 관심이 있어 공부를 하고자 하는 분들이 어떠한 목표를 가지고 진정한 전문가 (specialist)에 도전하지 않을까 생각을 한다.

그런 전문가가 사이버 안전을 위하여 많이 양성이 되고 정부차원에서 제도적으로 서포팅을 해 줄때 우리의 사이버 안전은 더욱 강화 될 것이다.





신고
Posted by 엔시스

지난달 10경에 국내 최대 오픈 마켓인 옥션이 해킹을 당하는 사고가 발생이 되었습니다..
관련 포스팅: http://www.sis.pe.kr/1848
관련기사: 옥션 1800만 고객정보 대부분 유출...정말?


그러나 한달이 지나도 이렇다할 규명이 없고 단지 패스워드를 바꾸라는 메일 밖에는 없다는 것입니다...그래서 일부에서는 옥션 이용자들 중에서 해킹에 대한 소송 움직임도 일고 있습니다..

옥션, 해킹 사건 그 후..'보안전문가 모셔라' 특명 에서 보면 참으로 안타까운 일이 아닐수 없습니다...꼭 무슨 일이 일어나면 대서특필하고 난 후에야 관련 문제를 찾아보고 합니다..전형적인 소잃고 외양간 고치는 겪이 됩니다...

말로만 개인정보 중요하다고 아무리 외쳐도, 잘하면 본전이고 해킹 사고 당하면 담당자만 죽어나는 현실은 위 링크된 기사처럼 찾아도 찾을수 없는 것이지요..그래서 사람들은 겉으로 드러내기 보다 숨어 버리게 됩니다.. 먹고는 살아야 하기에...

그건 닭이 먼저야 달걀이 먼저냐 하는 문제인데, 꼭 말씀드리고 싶은것은 새정부 출범하면서 제발 정보보호에 대한 적극적인 정책을 펴 주시기를 부탁드립니다...

일터지면 욕먹는 곳이 나라 밥 드시는 분들인데  만약 높으신 분들의 개인정보가 고스란히 중국으로 유출이되어 이곳저곳을 마구 떠돌아 다닌다면 그냥 가만히 있으시겠습니까?

제가 얼마전에도 말씀 드린적이 있는데..저는 사람을 이렇게 정의하고 싶습니다..

" 사람은 체험적 동물이다"
 
 
아무리 다른 사람 이러니 저러니 떠들어도 당사자 일 , 자신의 일이 아니면 귀에 들어 오질 않습니다...자신에게 그런 일이 닥치거나 체험을 하면 관심을 가지게 마련입니다.. 그래서 TV 방송 프로그램중에도 "체험 0000" 이란 프로그램이 장수 프로그램이 되나 봅니다...

자신이 장애가 되어봐야  장애인의 아픔을 알고 , 자신이 가난해 봐야 가난에 대한 아픔을 알고 자신이 해킹을 당해 개인정보가 유출이되어 주민번호등이 인터넷 이곳 저곳에서 검색되어 봐야 알게 됩니다...

앞으로 사이버전에 대비하여 많은 보안관련 인력들이 양성이 되고, 체계적인 정책 수립이 필요할 시점이 아닌가 생각을 해 봅니다...꼭 그렇게 되기를 바랄뿐입니다.. 옥션에서는 반드시 투명한 해킹 사고에 대한 철저한 규명이 되어야 하겠습니다.



신고
Posted by 엔시스

제목이  무언가 많은 것을 전달해 줄 것 같은 느낌이 드는 제목이다..

이것은 아이뉴스24에 안철수 연구소의 강은성 상무님께서 칼럼에 기고한 내용의 제목이다.  만약 당신이 보안전문가를 하고 싶다면 다음에 링크된 2개의 칼럼을 읽어 보시면 많은 참고가 될 것이다.



[강은성의 안전한 IT세상]보안 전문가를 꿈꾸는 이들에게
[강은성의 안전한 IT세상] 보안전문가가 되려면




신고
Posted by 엔시스

1. 개요

정보를 보호 한다는 것은 대단히 중요한 문제이다.  하지만 아직도 일부 왜곡된 시각으로 바라보고 해킹이라고 하면 음지로만 숨게하는 안타까운 일이 아닐수 없다.  어떻게 하면 올바른 정보보호전문가 양성과 체계를 갖출수 있는지 알아보자.


2. 정보보호가 필요한 이유

요즘 모든 작업을 컴퓨터로 처리하는 시대에 살고 있으면서 정보라는 것을 소홀히 여기는 경우가 있다. 그것은 예전에 종이로 보관하던 시대와는 다르게 지구 저편에서 어떤 일이 일어나는지 불과 몇초만에 알수 있는 그런 인터넷 시대에 살고 있다.  정보보호가 왜 필요한지 미처 알지 못했던 부분을 다시한번 살펴 보기로 하자.

1) 무한 인터넷의 시대

예전에는 정보가 누출되거나 잃어버렸다 하더라도 그리 파급효과가 크지 않았다. 하지만 지금은 정보유출이나 이슈가 될수 있는 사안은 인터넷이라는 도구로 인하여 그 파급효과는 엄청난 결과를 가져온다.

그것을 모를리 없것만은 정보누출에 대한  피해에 대해서는 아직도 미흡한 상태..

2) 각종 바이러스,웜,해킹의 피해

컴퓨터를 중심으로 이루어지는 업무를 하다보니 각종 바이러스,웜,해킹에 노출 되기 쉽다.  바이러스 걸린 한대의 PC가 사내 네트워크를 마비 시키는 일을 보적이 있는가?

나는 보았다.

그결과야 말로 상당히 크다는 것을 알수 있다. 안일한 대처에서 오는 결과이다.

3) 정보를 도용한 또 다른 피해

정보를 이용한 또다른 피해가 발생하는 것이다. 해킹이나 바이러스로 인한 정보 유출은 예전에는 자기 능력과시나 실력과시용으로 사용되었지만 최근에는 경제적, 금전적 목적으로 사용되고 있고, 헥티즘이라고 하여 여러가지 위협 요소로 작용하고 있다.

특히, 작년과 올해에 대규모 게임싸이트에 정보도용을 이용한 회원 가입으로 막대한 경제적 이득을 취득하려는 해킹 사건만 해도 비일비재하다.  그만큼 자신과 관련된 정보의 소중함을 안다는 것이다.

4) 잘 갖추어진 인프라에 대한 역효과

초고속 인터넷이 집집마다 깔리고 인프라가 잘 갖추어져 IT강국이라 외치고 있지만 그런 IT강국의 인프라를 활용하려는 외국 해커들의 잦은 침입이 문제가 된다.

그것은 돈 안주고 남의 시설을 ,.그것도 아주 빠른 속도를 자랑하는 인터넷을 사용한다는 것은 분명히 매력적인 것이다. 그렇게 해킹을 당해 다른 서버의 경유지로 이용 되면서 정보에 대한 유출의 위험도 많아진다는 이야기이다.

제발 이제는 신경 좀 쓰자.


3.  정보보호전문가 양성과 진로

정보를 보호하려면 필요한 만큼 인력도 필요하다는 이야기이다. 늘 신문지상에서는 인력이 부족하다고 하지만 실제 현실에서는 괴리감이 있다는 이야기이다. 조금 더 구체적으로 알아 보고 어떻게 하면 자신에 맞는 방향으로 갈수 있는지 접근해 보자.

1) 정보보호학과  개설

최근에 정보보호 학과 개설이 되고 있지만 정보보호만을 하기 위한 커리큘럼으로 학습하는 곳은 얼마 없는 것 같다., 보통 유사학과를 만들고 두리뭉실하게  교육하는 것 같아 안타깝다. 또 해당 학과를 개설 하더라도 지속적이지 못하여 폐과하는 사례도 본적이 있다.

2) 이론과 실습 위주의 교육

너무 이론적인 측면에만 치우치다보면 자칫 포기하거나 지루해 할수도 있는 부분을 실습에서 다양한 시나리오를 가지고 모의 시뮬레이션을 해보면서 하면 조금 더 흥미롭고 관심을 가지고 교육에 임할수 있을 것이다., 물론 그런 방안에는 학생이나 교수는 더 많은 노력을 기울여야 할 것이다.

3) 프로젝트를 이용한 효율적 학습

또 다른 하나는 학기중에 반드시 프로젝트를 하나 만들어 결과물을 도출하고 무엇이 부족하고 내가 한 부분은 얼마까지 하였는지 등등 나름대로 성과물을 도출하는 자세가 중요하다. 그래야 머리속에 남겨 마련이고 이것 곧 자신의 지식이 됨을 알아야 한다.

4) 정보보호 자격증 하나는 반드시 정복하자

국내 자격증 또는 국제 자격증 중에 국내에선 국가공인 되어있는 정보보호 관련 자격증을 반드시 정복해 보자. 국제 자격증도 여러가지 이유로 마련 할수 있으면 마련하자. 단지 국제 자격증의 경우 비용대비 효용성에 의문을 갖는 사람도 있다.  하지만 명색이 정보보호 공부한다는 사람이 대표적인 자격증 하나 정도 없어서는 말이 되겠는가?

5) 정보보호 커뮤니티를 활용하자.

각종 포털이나 카페등에 보면 정보보호관련 커뮤니티들이 많이 있다. 가입을 하여 많은 최신정보를 얻기 바란다. 아무래도 혼자보단 여렇이 모여 있는 곳에 좋은 자료가 많지 않을까 한다.


4. 맞춤형 정보보호 전문가 양성

최근 학교의 경쟁력을 보면 특화된 학과와 기업을 미리 선정하여 MOU(양해각서)를 체결하여 해당 인력을 양성하는 경우가 있다.  그건 기업에 맞는 인력을 양성하여 해당 기업에서 빨리 적응하고 문화를 알게끔 하는 장점도 있다.  또한 그 기업에서 우수한 인력을 다시 후배 양성을 할수 있게  조언자로 나설수 있는 기회도 줄수 있어 일거 양득일수 있다.


결론


정보보호전문가라는 것이 기준이 무엇이고 어디까지가 정보보호전문가인지 애매한 경우가 많다.  얼마전 포스팅 한것에도 언급을 하였지만 자격증이 있다고 해서 정보보호전문가인지 아니면 학위가 있다고 해서 전문가인지 애매한 잣대로 재기에는 한계가 있다.

필자도 국가공인 정보보호전문가 자격증 모임 를 운영하면서 느낀점은 이제는 어느분야에서도 정보보호가 없어서는 안된다는 것이다. 그곳에는  "정보"라는 것이 있기 때문이다.  따라서 앞으로의 정보보호에 대한 수요와 전망은 더 요구 될 것이며 자신이 정보보호전문가에 도전하고 싶은 생각이 있다면  빠른 정보 수집과 정보보호에 대한 흐름과 동향을 이해하고 자신이 취업하고자 하는 기업이 어떤 것을 원하지는 무엇을 하는지를 빨리 파악하여  자신의 능력을 한껏 발휘 해 볼것을 추천해 본다.
신고
Posted by 엔시스

원문출처: http://www.inews24.com/php/news_view.php?g_menu=080204&g_serial=267229

링크를 걸려다가 전반적으로 한번 되짚어 보기 위하여 출처를 밝히고 그대로 올려 봅니다.

==================================================================================





"보안 자격증은 어느 정도 실력을 갖고 있다는 라이선스일 뿐이다. 따라서 실무 능력을 대변해준다고 볼 수는 없다."

보안업계에 종사하는 한 엔지니어는 "운전면허 있다고 차 사고 내지 않는다는 법 없지 않느냐?"고 반문했다. 보안 자격증을 갖고 있다고 해서 고급 인력이라고 보기는 힘들다는 것이다.

현재 보안업계의 대표적인 국제 공인 자격증으로는 공인정보시스템감리사(CISA)와 공인정보시스템보안전문가(CISSP) 등을 꼽을 수 있다. 하지만 이런 자격증이 곧 뛰어난 실무능력을 보증해주는 것은 아니다.

이론과 실무의 괴리 현상은 교육기관과 업계 사이에서도 그대로 되풀이된다. 일부 전문가들은 아예 보안업계가 '심각한 고급인력 부족'에 시달리게 된 것은 교육기관에서 배출된 인력이 업계의 요구와 동떨어진 때문이라고 지적할 정도다.

◆양적으로는 풍성, 질적 수준은 "글쎄?"

정보보호산업 분야가 미래 촉망되는 분야로 꼽혀오면서 국내에는 2002년과 2004년 사이 정보보호 관련학과들이 대거 설립됐다. 국정원이 2007년 실시한 조사 결과 현재 ▲14개의 대학교 ▲6개의 전문대학 ▲9개의 일반대학원 ▲2개의 전문대학원 ▲9개의 특수대학원에 정보보호 관련 전공이나 학과가 있는 것으로 파악됐다.

또 국가기관인 ▲국가정보원 국가정보대학원 ▲행정자치부 정자정부교육센터 ▲한국정보보호진흥원에서 관련 교육을 실시하고 있다. 민간기관들 역시 ▲한국정보보호교육센터 ▲라이지움 ▲삼성SDS 멀티 캠퍼스 등 16개에 달한다.

이처럼 정보보호 관련 교육기관은 수적인 면에서는 부족할 것 없어 보인다. 하지만 속내를 들여다보면 사정은 달라진다. 외화내빈이라는 말이 절로 나올 정도다.

정규 교육기관만 봐도 이런 현상은 금방 눈에 띈다. 2004년부터 정규교육기관의 입학 정원은 크게 증가했지만 특성에 맞는 교육 환경을 구축하는 데는 눈을 돌리지 않았다. 학교별 특징에 맞는 차별화된 교육과정, 타분야와의 연관성 등을 고려하지 않고 '수' 늘리기에만 급급하다 보니 업계의 입맛에 꼭 들어맞는 인력을 제대로 길러내지 못하고 있다.

보안업체들은 정규교육기관을 졸업하더라도 자신들이 필요로 하는 인력과는 거리가 멀다고 주장한다.

윈스테크넷 조현정 과장은 "정보보호 관련학과를 졸업했다고 해서 공대를 나온 학생들보다 특출난 능력을 가졌다고 보기 어렵다"며 "각 보안업체마다 주요 사업분야가 다르고 업무 환경에 차이가 있어 관련 학과를 나왔다는게 실무에 큰 도움이 되지는 않는다"고 말했다.

어울림정보기술 강존식 전무는 "정규 교육기관이 생겼다고는 하지만 아직 설립된 지 얼마 안된 경우가 대부분이고 커리큘럼도 안정화 되어 있지 못하다"라면서 "신입사원 채용 때 관련학과 출신을 특별히 우대하고 있지 않다"고 전했다.

◆비정규 교육기관 역시 상황은 비슷

비정규교육도 상황은 비슷하다. 국가기관인 국가정보원이 2006년 3회에 걸쳐 실시한 전문과정에는 고작 62명의 수강생이 참여했을 따름이다.

공무원을 대상으로 정보화 교육을 양성하는 행정자치부 전자정부교육센터도 크게 다를 것 없다. 전문가 과정은 정보시스템보호전문가 과정 하나로 연간 3회, 75명이 과정을 수강했다. 정보보호 전문가를 양성하기에는 턱없이 모자란 숫자다.

그나마 한국정보보호진흥원(KISA)이 중소기업 IT 담당자를 대상으로 정보보호 전문교육을 실시하지만 수요자의 욕구를 충족시키기에는 부족함이 많다는 평을 받고 있다.

사정이 이렇다보니 정보보호관련 민간기관에서 부족한 공급을 메우고 있는 실정이다. 16개에 달하는 민간기관이 교육과정을 운영하고 있지만 이마저 자격증 취득을 위한 단기 과정이 대부분이다.

체크포인트 조현제 사장은 "단기 속성반을 운영해 자격증 취득에만 열을 올리는 사설 교육기관의 교육 행태에 문제가 많다"고 지적하며 "이론과 실무는 차원이 다르다"고 강조했다.

문제점은 또 있다. 장기교육과정이 있는 곳은 초· 중급자 중심으로 커리큘럼이 짜여 있다는 점이 바로 그 것이다. 재직자를 위한 고급 과정이 전무하다는 비판도 피할 수 없다. 비싼 수강료와 열악한 지원 역시 개선해야 할 점이다.

보안업체에 근무하는 A씨는 "유명 사립교육기관에 물어보니 수강료의 일부를 노동부로부터 환급받는 고용보험환급제도가 적용되지 않았다"며 "한 과정당 400만원에 달하는 비싼 수강료가 부담스러워 포기했다"고 말했다.

정보보호관련기관에 종사하는 B씨는 "국내에 고급자에 해당하는 과정이 없어 미국에 직접 가 교육을 받고 왔다"며 "시간과 비용이 아깝지만 어쩔 수 없다"고 한탄했다.

◆정부, 해결 열쇠 쥐고 있어

현재 보안업계가 처한 인력난은 한 두 가지 요인으로 설명하기는 힘들다. ▲저가경쟁에 초토화된 보안시장 ▲인력에 대한 지원에 소극적인 업체 ▲근무환경만 탓하며 이직을 일삼는 종사자 ▲실질적 지원책을 내놓지 못하는 정부 ▲고급 교육 기관의 절대적 부족 ▲중소기업의 구조적 문제 ▲'보안'을 '보험' 정도로 여기는 사회적 인식 등이 복합적으로 작용하면서 보안업계의 인력난으로 이어지게 됐다.

이처럼 보안인력난은 복합적 원인이 얽히고설켜 있지만, 그 실마리는 정부가 풀어야 한다는 데 전문가들은 입을 모으고 있다.

한국정보보호진흥원(KISA) 전략기획팀 민경식 팀장은 "저수요, 저생산, 저수익, 저투자의 악순환 구조로 인해 만성적 인력난에 시달리는 보안업계에 정부가 뚜렷한 처방전을 내놓고 있지 못하는 게 사실"이라며 "정보보호산업의 핵심인력양성을 위해 산업 수요에 기반한 인력 공급 정책으로 정비해야 한다"고 지적했다.

한국정보보호산업협회(KISIA) 박준오 차장은 "인력양성책을 마련하려면 정보보호산업 전반에 대한 정부 지원이 선행돼야 한다"며 "보안업계가 자생력을 가질 수 있도록 R&D 투자를 확대해야 한다"고 당부했다.

실제 정부의 정보보호산업에 대한 R&D 투자 내역을 살펴보면 2004년 214억원, 2005년 230억원, 2006년 263억원으로 매년 소폭 증가했다. 하지만 올해는 236억원이 책정돼 있어 오히려 작년보다 줄어들었다.

박 차장은 "몇해 전 협회차원에서 정보보호산업 육성책을 정부에 제시한 적 있지만, 유사한 정책이 과거에 별다른 효과를 보지 못했다는 이유로 거절당했다"며 "산업 및 인력양성책에 대한 효과는 단기간에 드러나지 않음을 정부가 알아줬으면 좋겠다"고 덧붙였다.

한국침해사고대응팀협의회(CONCERT) 심상현 사무국장은 "인력에 대한 수요-공급의 불균형을 해소하기 위해 정부가 나서서 선진 국가의 정보보호 관련 교육 프로그램을 벤치마킹, 국내 관련 기관에 적용 할 것"을 주문했다.

성균관대 정보보안인증기술연구센터장 원동호 교수는 "산학협동과정에 대한 활용도를 높인다면 고급 인력을 양성하는 데 큰 힘이 될 것"이라며 "기술확보가능성, 성장성, 국가경쟁력을 고려해 우선적인 양성이 필요한 분야에 지원을 늘릴 필요가 있다"고 강조했다.

몇해전 정부 지원을 받기 위해 노력했지만 모두 허사였다는 한국정보보호교육센터(KISEC) 서광석 원장도 힘주어 말했다.

"왜 인력 양성에 투자를 하지 않는지 모르겠습니다. 보안강국을 만드는 가장 중요한 자산이 인재 말고 또 뭐가 있겠습니까?"

신고
Posted by 엔시스

세계 최대 해킹 대회인 데프콘에서 한국팀이 본선에 진출하였다는 기사가 올라왔다. 작년에 이어 또 좋은 결과 있기를 바란다. 작년에는  본선에 진출하여 6위를 입상하고 아시아권에서는 유일하게 본선에 진출하였다.

이렇게  국내 해킹 실력을 이끌고 있는 사람은 여러 해킹 동아리 및 등이  있지만  시큐리티프루프를 운영하는 반젤리스라는 닉네임을 쓰고 있다.

작년에  국내에서 해킹관련 세미나를 열어 미국에서 해커를 초정하여 세미나를 개최한 적도 있다.

그럼  여기서  간만에 단비같은 보안 ,해킹 소식을 접하고 몇가지 생각해  보아야 할 점을 고려해 보자.

첫째 정보보호,보안업계에 활력을 불어 넣는다.

      -국내 정보보호업체는 200여개 된다고 한다. 하지만 직원 30명 미만이 70%를  차지할만
       큼 영세성을 면치 못하고 있다.
      -우수한 인력들이 보안업계로 진출할수 있는 분위기를 만든다.

둘째 정보보호 업체들의 관심을 갖는다.      
      -KISA나 보안 업체들도 이런 큰 규모의 대회에서 좋은 성적을 거두면 눈을 돌리게 마련
        이다.
       -적극적인 기업의 스폰서 역활을 해 주면 더욱 한국의 위상을 높여 주리라 생각하고
        기업도 홍보가 될것이다.

셋째  IT강국, 하지만 보안 후진국
       -IT강국을 외치고 있지만 보안후진국이라는 말은 이미 알려진 사실이고 그건 무엇보다
        잘  갖추어진 인프라때문이 아닌가 싶다.
       -이런 대회를 계기로  분위기를 활성화 시키고 정보보호에 대한 인식제고와 마인드를
        높여가는 계기가 되었으면 한다.

넷째  해킹이라는 부정적 이미지 탈피
       -국내에서 해킹이라고 하면  상당히  부정적인 시각이 많다., 그건 잘못된 윤리로 인하
        여 남에게 피해를 입히는 각종 기사와 언론 방송때문일 것이다. 그런 시각으로 인하여
        보안의 활성화가 어렵다.

다섯째  정보보호 발전의 계기로 삼을터
        -지금은 자세히는 잘 모르지만 정말 힘들게 연구 하고 고민하고 하여 열악한 환경으로
         자신의 실력을  만들어가는 언더그라운드가 많이 있을 것이다.
        -음지에서  양지로 나올수 있는 계기로 삼았으면 한다.,

아무리  강조해조 지나치지 않는게 정보보호이다. 말 그대로 정보를 보호하는 것이다. 거기에는 개인정보, 기업정보, 건강정보등등  무수히  많은 정보를 담고 있다. 그럼에도 불구하고 우리나라  정보보호 예산은 열악하기만 하고 난립하는 보안업체는  너도 나도 뛰어 들어 출혈경쟁을 하고 있다.
코스닥에 상장한 업체들도 퇴출되고 , 기존 보안업체도 보안이 아닌 타 사업 진출로 기업의 생존을 이어 갈려고 하고 있다. 이런 환경속에서 미국에서 행사하는 대규모 행사에서 좋은 실력을 발휘하는 분들에게 격려의 박수를 보내고 싶고, 본선에서도 좋은 성적을 거두어 여러가지로 보안업계에 활력을 불어 넣어 줄수 있는 계기가 되었으면 한다. -<엔시스>
       
신고
Posted by 엔시스