정보보안기사 산업기사 국가 기술 자격증 시험이 시행된지 2년이 지났습니다. 올해 3년째에 들어갑니다. 시간이 정말 빨리 흘러간다는 생각이 듭니다.  시험도 이제 안정화를 찾아가는 듯 합니다. 2016년도에는 정보보안 기술사 시험 시행을 앞두고 있습니다.  (관련포스팅 : 정보보호전문가, 공무원길 열리는가? )


또한, 지난 2014년 연말 크리스마스를 전후해서 한수원 내부자료 유출로 인하여 무엇보다 정보보호 강화요구가 증대되고 있습니다. 워낙 정치적인 이슈들이 많다보니 복잡한 사회를 살아가는 현대인들은 보안에 대한 이슈가 있어도  금방 망각하게 됩니다.  최근 망법 시행령 개정안 (관련기사 : 기업들 여권, 운전자면허번호도 암호화해야)도 보도가 되었습니다. 점점 해야할 지식이 쌓여만 갑니다. 개인정보 기술적.관리적 보호조치기준 개정(안)도 입법 예고 되었습니다.


결국 보안은 기술적, 관리적, 법, 제도등 다양한 분야를 이해하고 공부해야 합니다. 하루 아침에 이루어지는 지식이 결코 아닙니다. 외부 신뢰된 검정 기관에서 정보보안에 대한 지식 테스트를 거쳐 일정한 평균 점수를 넘기면 이에 대한 증명을 하는 것이 자격증제도 입니다. 국가공인에서 이제 국가기술로 넘어간지 2년.


올해 5,6회 시험을 앞두고 있습니다. 부족한 수험서지만 다행스럽게도 많은 독자분들이 사랑해주셔서 부족한 부분은 조금씩 보완하고 의견 수렴하였습니다.  시간이 걸리더라도 시험을 위한 시험교재도 중요하지만 실무친화적인 내용으로 반영하고 있습니다.  이에 <2015년도 정보보안기사 산업기사 한권으로 끝내기> 개정판이 오늘 출판사를 통하여 출간 되었습니다. 많은 사랑과 관심 부탁드립니다.





예스24 클릭하기http://www.yes24.com/24/goods/15852504?scode=032&OzSrank=3 


혹시 인터넷 서점등에서 이미지 업데이트가 안된 곳은 곧 업데이트 됩니다. 출판사 홈페이지에는 이미 업데이트가 되었으니 일반 오프라인 서점에도 만나 볼 수 있습니다. 자세한 내용은 시대고시기획  문의 하셔도 됩니다.


 2015년도 개정판 주요 특징은 다음과 같습니다.



  • 기존에 모호한 문장이나 표현을 읽기 쉽도록 다듬었습니다. 
  • 3-4회까지 기출문제를 최대한 복원하여 수록하였습니다.
  • 1-4회까지 기출문제를 분석한 요약정리를 단원화하여 정리하였습니다.
  • 한 단원 끝날때마다 키워드 중심으로 요약정리 하였습니다. 지속적으로 업데이트 예정
  • 중간 중간에 저자가 분석한 내용중 시험대비를 위한 <저자 한마디>로 부연 설명합니다.
  • 가독성을 높이기 위하여 긴 문장들을 다소 다듬거나 재분류하여 가독성을 높였습니다.
  • 교재 전면 커버 페이지 디자인을 새롭게 하였습니다. 조금 더 심플하게
  • 기출문제와 요약정리를 추가하여 100페이지 이상 책의 두께가 늘어났습니다.
  • 최근 개정된 법,제도를 수정하여 반영하고, 충분한 설명을 덧붙였습니다.
  • 원포인트 레슨을 업데이트 하였습니다. 


5과목을 한권으로 묶는다는 것이 그리 쉬운 작업은 아닙니다. 또 한회 한회 시험이 시행될때마다 공개되지 않은 문제를 찾아 유사하게 복원하는 것 또한 쉽지 않는 작업입니다. 그러나 제가 강조하고 싶은 컨셉은 딱 한가지입니다...


" 페이퍼 라이센스를 양성하지 말자" 


정보보안의 이론과 실무지식 최대한 녹여내자. 자격증이 있어도 결국 실무적인 내용을 잘 모르거나 암기식 합격을 통한 페이퍼 라이센스가 되지 않도록 교재에 녹여내자등이 제 개인적인 욕심이고 컨셉입니다. 이런 부분에 대해서는 호불호가 있지만 처음부터 그 고집은 꺾지 않고 있습니다. 5과목 관리 및 법규에서 그냥 법조문만 카피하여 책에 나열하는 것은 아무런 의미가 없습니다. 핵심 조문에 대한 설명과 무엇을 준비해야 하는지, 어떤 의미가 있는지를 알려주어야 추후 실무에서 그에 대한 대응을 하게 됩니다. 


저자, 출판사, 수험생...그리고 국가기술 자격증이라는 신뢰도 부분을 가지고 한권으로 책을 만들자니 여러가지 부담감도 있군요...그래도 기다려주고 응원해주고 , 피드백 주시는 분들이 있어 힘이 되고,  더 도움이 되도록해야겠구나라는 생각을 합니다.


모쪼록 올한해에도 여러가지 보안 이슈들이 나올 것으로 예상이 됩니다. 또한, 그 사후조치 요구사항도 거세질 것으로 판단이 됩니다. 정보화 시대를 넘어 이제는 정보보안의 시대입니다. 보안은 투자입니다.그 중심에 사람이 있습니다.단순히 솔루션만 도입한다고 되는 것은 아니겠지요.   이익을 창출하는 것도 중요하지만 그 이익을 지키는 것 또한 중요합니다. 독자여러분들의 따뜻한 성원과 많은 격려, 그리고 피드백 주시면 최대한 수렴하여 더 나은 교재를 만들도록 귀를 열고 기다리겠습니다. 부디 합격의 소식이 들리길 바라겠습니다.


정보보안기사 산업기사 한권으로 끝내기 저자    전주현 올림




신고
Posted by 엔시스

2013년 처음 시행된 국가기술 정보보안기사 , 산업기사 자격증 시험이 진행이 되었다. 아직 초기단계라 여러가지 시행착오를 거치긴 하겠지만 최근 보안 사건사고와 이슈 때문에 보안에 대한 관심이 증대되고 있다.  또한 공식적으로 전산직렬에 정보보호직류가 생겨 보안관련하여 공무원의 길로 나아갈 길도 마련이 되었다.


이에 필자는 2013년 한해 동안 부족하지만 <정보보안기사, 산업기사 한권으로 끝내기> 2013, 시대고시기획출판, 에서 출간하게 되었다. 많은 분들이 관심을 주어서 감사하게 생각한다. 이는 일명 '빨간책(빨갱이)' 문제집은 '파랭이' 실기교재는 '오렌지북'등으로 네이밍되어 많은 관심을 받았다. 그 고마움은 더 나은 콘텐츠로 보답하리라 마음 먹은 계기가 되었다.


수험서라는 분야와 IT라는 분야는 해가 바뀌면 수험 기출문제와 출제 경향을 분석하고 또한 IT분야가 워낙 빠르게 변화하기 때문에 꾸준히 업그레이드 해야 한다. 또한 타켓이 명확하고 수험분야다 보니 작년보다 더 많은 종류의 책들이 쏟아져 나왔다. 더 좋은 책이 나오길 기대해 본다. 선의의 경쟁은 품질을 높일 수 있고 독자는 선택권이 넓어진다는 장점이 있다. 


출판분야에 일하는 지인에 따르면, 경쟁력이 떨어지는 출판사도 핫 이슈가 되는 부분이 있다면 책이 팔리지 않더라도 어쨌든 초판이라도 인쇄하고 본다는 것이다. 그래야 해당 출판사도 이러이러한 책을 출간하였다고 명분을 세울수 있기 때문이란다. 


마치 신문사가 특종이 어디서 터지면 그 특종을 타 신문사가 모두 기사화 하였는데 자신의 신문사만 안 할 수 없으니 하게 되고 구독자는 반복적인 똑 같은 기사 내용을 접하게 되는 것과 같은 원리인 셈이다.  어쩔수 없는 논리일듯 하다. 


그렇다보니 2014년 <정보보안기사 산업기사 한권으로 끝내기 > 개정판을 준비할 수 밖에 없었다. 하지만 개인적인 사정으로 인하여 3회 시험대비를 위한 개정판은 타이밍이 맞지 않아 어쩔수 없었고, 실기 시험과 4회 시험에 대비를 위한 부분이다. 이점에 대해서는 출판사에 미안한감이 있다. 또한 기다리고 있었던 독자분들에게도 송구한 마음이 든다. 하지만 이해해 주리라 믿는다. 



2014 <정보보안기사, 산업기사 한권으로 끝내기> 개정판  



       

 ▲   <정보보안기사 산업기사 한권으로 끝내기 > 2014 개정판 표지 


<정보보안기사 산업기사 한권으로 끝내기> 2014 개정판은 다음과 같은 내용을 담았다.

전면개정은 하반기에 한번 더 이루어질 예정이다.. 점점 다듬어 가다보면 언젠가는 좋은 책이 될 것이라는 믿음이 있다. 덕분에 나 스스로 공부를 많이 하는 듯 하다. 


  • 제2회 정보보안기사 기출문제를 최대한 복원 하여 수록하였다.
  • 오타부분을 최대한 찾아 줄였다.
  • 문맥이 매끄럽지 못하거나 한 부분은 문장을 다듬었다.
  • 일부 어려운 표현이 있는 부분은 모두 삭제하고 다시 정리하였다.
  • 그림등을 다시 그려 조금 더 디테일하게 하였다.
  • 내용의 부분 수정이나 추가 삭제가 이루어졌다. 
  • 각 챕터 문제나 해설 부분이 부족한 것을 보완하였다.
  • 타인에게 검토를 의뢰하여 부족한 부분은 조금 보완 하였다.

기존 교재에서 큰 틀에서 변화 되는 것은 없지만 오류나 오탈자, 문장, 그리고 그림등에서 매끄럽지 못한 부분을 삭제하거나 일부 수정하여 보다 편하게 할 수 있는 형태로 개정하였다. 일부개정에 지나지 않지만 자칫 개정판을 잘못하게 되면 누더기 책이 될 우려가 있어 기존 명맥을 잘 유지하면서 하반기에는 전면 개정을 계획하고 있다. 

수험생 분들의 개인차가 있긴 하지만 책이라는 것은 소설이나 에세이가 아니고서는 사실 '가독성'에 대한 부분도 무시 못하기 때문에 그에 따른 보완은 준비하고 있다. 필자는 자격증만 목적을 하지 말고 기초를 탄탄히 하는 공부나 혹은 자신의 관심분야를 찾는 기회로 삼으라고 조언하지만 어디 사람마음이 그런가? 우선 급한 불부터 끄고자(시험합격) 하는 것이 다 같은 마음이니 저자도 그런 마음을 헤아려야 하지 않겠는가?


초판과 개정판을 내면서 느낀점과 보완 할점

책을 출간한다는 것은 굉장히 어려운 작업이며, 그만큼 책임도 따른다는 것을 알게 되었다. 그냥 단순히 자신 만족이나 명분만을 위하여 쓰는 것이 아니라는 것이다. 구매자에게 분명한 목적과 가치를 제시해야 하고 비용과 시간낭비를 줄일 수 있도록 끊임없이 노력해야 한다. 또한 구매 이후에도 다양한 서비스를 제공해야 함을 느꼈다. 그 대안으로 2가지 노력을 하였다.

1. 정보보안기사 산업기사 수험전략 동영상 공개 


아마도 스스로 자신의 목소리와 모습을 보면 그렇게 어색하고 민망할 수 없다. 그냥 괜히 그렇다. 그것도 인터넷에 공개한다는 것이 부담되는 것이 사실이다. 하지만 용기를 내어 조금이나마 도움이 될까 싶어 꺼리김 없이 공개하였다. 아마도 조금이나마 필자의 마음을 헤아리고 자격증 준비하는데 도움이 되지 않을까 생각이 든다.


2. 저자도 검증 받아야 하는 시대, 2회 정보보안 기사 합격


나는 자기계발성 용어중에 하나로 '액프로버'[각주:1] 라는 용어를 만들었다. 아마도 블로그나 SNS을 통하여 여러번 언급하였는데 행동으로 옮기고 그 다음은 증명을 해야 사람들이 신뢰를 한다. 창업을 해 본 사람이 창업에 대한 조언이나 컨설팅을 하면 더 많은 신뢰를 얻게 되는 것은 당연한 것이다. 이론과 현실은 틀리다는 것이다. 그래서 작년 2회 시험에 도전하여 '정보보안기사' 필기, 실기 합격하여 자격증을 교부 받았다.  타 수험생과 동일하게 시험장에서 똑같이 시험보고 검증해보고 응시해서 그것을 교육이나 책으로 다시 녹여 내야 하는 것이다. 


언뜻, 지나가는 소리로 어떤 지인이 '자격증'도 없는 사람이 무슨 책을 쓰고, 교육을 하는가? 만약, 의사가 의사면허가 없다면 돌파리 의사가 되듯이 앞으로 정보보안에 대한 부분도 자격을 구비한 사람이 전문직으로 자리 매김해 나갈 것이다. 아무나 보안에 대하여 언급 할 수 있는 것도 아니다. 그렇다고 자격증이 모든 것을 해결 할 것이라는 오해는 하지 말기 바란다. 자격증은 자격증일 뿐이다.  그런 신뢰감을 주려고 시험이 어렵지 않은가? 그래야 취득하는 사람이 가치가 있지 않겠는가?


관련 포스팅 : http://www.sis.pe.kr/3507 



앞으로의 방향 및 향후 계획


시중에는 많은 관련 수험서나 서적들이 있다. 어떤 책이 좋고 어떤 책이 나쁘고는 자신의 수준에 맞추어야 한다. 아무리 좋다고 하는 책도 자신은 종이 질감때문에 다른 책을 선택하는 사람도 보았다. 그만큼 다양한 것이고, 서점에 방문하여 자신의 수준과 눈높이 그리고 요구조건에 맞는 책을 선택하면 되겠다. 앞으로 책 내용 보완 및 가독성을 높일 수 있는 방법을 강구하겠다.


그동안 개정판 나오기를 기다려 주신 분들에게 관심 가지고 기다려 주셔서 고맙다는 말씀 드리고 개인적 사정으로 본의 아니게 늦어져서 송구하다는 말 이자리를 통하여 전한다.  3회는 기존 교재로 준비하고 , 4회에는 2014년도 개정판으로 준비해 보면 어떨까 생각한다. 아직도 문제집 개정과 실기교재 개정이 남아 있어 보다 기초교재로 손색이 없도록 부족한 부분은 여러가지 의견을 수렴하여 다듬고 또 다듬어 보겠다. 시간이 조금 걸려 그렇지 다듬다 보면 언젠가 잘 다듬어지지 않겠나? 지금 정부도 처음 시작시에는 정부조직도 제대로 갖추어지지 않고 출발하지 않았던가? 


보안인닷컴 카페와 개인정보보호 카페, 그리고 SNS을 통하여 응원해 주시는 모든 분들께 감사드리고 앞으로 더 노력하는 모습 보여 드리겠다. 이상 끝. @엔시스 




  1. * 액프로버 : 액션(ACTION) + 증명(PROVE)의 합성어로 행동으로 실천하고 증명해 보임으로 인하여 상대방에게 신뢰를 얻을 수 있다는 자기계발성 용어 [본문으로]
신고
Posted by 엔시스

2014년 연초에 대한민국을 강타한 일이 발생이 되었다. 1억건이 넘는 국민의 개인 금융정보가 털린 것이다. 늘 그렇듯이 너도나도 언론과 방송에서 앞 다투어 보도가 되었고, 국무총리와 국회의원, 심지어 대통령까지 나서서 관심을 보였다. 결론은 한 사람의 내부통제가 안되어 이루어진 인재(人災)라는 것이다. 개인정보에 대한 중요성 인식이 조금은 되었으리라 생각은 들지만 그 파장은 크기만 하다.  보안에 대한 평소 고민한 내용을 기록해 보고자 한다. -주인백.



100% 완벽한 보안은 없다.


공격과 수비에서 항상 우위를 점하는 것은 '공격'이다. 언제든지 틈새를 찾아 공격의 날을 세우기 때문이다. 이는 공격이 이루어지기 전에는 나의 약점이 무엇인지를 잘 모르는 경우가 많기 때문이다. 기술이 급격하게 발전하는 IT분야에서는 더욱 그렇다. 그러나 100% 완벽하게 막아 내길 우린 바란다. 하지만 보안은 100% 완벽하게 막아내는 것이 아니라 그 위험(Risk)을 수용 가능한 수준까지 감소 시키는 것이 목적이다. 혹시 100% 모든 것을 막을 수 있다고 하는 말에는 현혹되지 말길 바란다. 


100% 막는다고 했는데 못 막으면 당신이 모든 것을 책임질수 있는가? 책임을 회피하려는 것이 아니다. IT보안에 있어서 늘 취약점은 있기 마련이기 때문이다. 이는 기술과 환경이 멈추어져 있는 것이 아니라 물처럼 흐르고 있기 때문이다. 새로운 기술이 나오고, 새로운 디바이스(Device)가 나오면 그것에 맞는 운영체제(OS)가 나오고 이는 또 새로운 위험(Risk)를 포함하고 있기 때문이다.


기술의 발전 뒤에는 늘 역기능이 있게 마련


보안이라는 분야는 상당히 광범위하다. 산업보안,IT보안, 물리적보안(영상정보)등 사회 전반적으로 유형자산과 무형자산을 담보로 하는 위험은 모두 보안의 범위에 포함이 된다. 농경시대에는 밭에서 씨앗을 심고 길러서 수렵과 채집을 통하여 살아왔다. 그것이 조금 발전을 하여 전기,자동차,기차가 개발이 되면서 대량화 하기 위한 공장이 세워지는 산업화 시대로 발전 되었다. 산업화 시대에는 굴뚝산업이 주류를 이루었고, 수동으로 사람이 모든 것을 처리하기엔 어려움이 있었다. 그 어려움을 해소하기 위한 컴퓨터와 인터넷 기술로 발전하였고 이는 정보화 시대로 도래가 되었다. 이제 집집마다 초고속인터넷이 들어가고 가정마다 PC 없는 곳이 없을 만큼 인터넷과 컴퓨터는 생활에 일부로 자리잡았다. 


인터넷의 역사는 그리 오래되지 않는다. 아무리 러프하게 잡아도 80년도라 해도 35년 90년도라고 하면 25년 역사밖에 안되는 것이다. 다른 산업에 비하면 정말 빠른 성장과 눈부신 발전이다. 특히 대한민국 IT는 더욱 그렇다. 이제 생활은 모든 IT를 통하여 점점 접목되어가고 있고, 자동차와 선박(조선)등도 ICT와 결합이 이루어짐으로써 점점 그 비중은 커지고 있다. 이에 따른 역기능도 점점 증가하고 있다.



전문분야에 따른 전문인력 수혈과 고용창출해야


2003년대 1.25 대란은 필자는 현장에서 직접 겪었다. 그때에 국내 K통신사에 일할때였는데 전국이 처음으로 인터넷이 마비되는 사태가 발생이 되었다. 아직도 기억이 생생하다. 


관련 포스팅 (http://www.sis.pe.kr/2432)


그 이후에 보안 사건사고는 지속적으로 발생하였다. 7.7디도스 , 3.3디도스 , 1억건 개인정보유출, 그리고 크고 작은 해킹사고와 정보유출등..관련 분야에 기술은 지속발전하고 글로벌 기술은 점점 자동차,선박,의료등 각 산업에서는 ICT와 융합을 하고 있다. 이러한 가운데 관련 분야에 경험과 지식, 그리고 실력을 가진 전문가를 많이 확보하는 것이 중요하다. 


지난해 철도파업으로 인하여 철도 기관사가 부족하였을때 퇴직한 기관사나 군에서 협조를 받아 대체하는등 전문 인력에 대한 공백을 임시나마 메우기도 하였다. 난 묻고 싶다. 과연 보안이 중요하다고 하면서 보안사태가 발생하였을때, 혹은 중요시설에 어떠한 외부적인 요인이나 공격으로 또는 심지어 전쟁이 일어났을때 일부 공백사태가 생기면 그 공백을 메워줄수 있는 버퍼(Buffer)가 될 수 있는 보안 인력이 과연 있는지..


타 산업분야는 경험과 나이가 들어 갈수록 연륜과 경험이 도움이 될수 있으나 IT분야는 오히려 나이가 들어갈수록 점점 체력적으로나 기술적으로 처질수 밖에 없어서 이러한 여러가지 측면에서 구조적으로 사회적 ICT에 대한 고민이 필요하다. 단순히 당신이 나이먹어서 노력하지 않으니 IT기술을 따라가지 못할 수 밖에 없다고 치부하기엔 너무 말뿐이다. 


현실은 현실인 것이다. 내부통제가 안되는 것도, 보안이 잘 안되는 것도, 경영자가 보안조직과 인력과 예산을 비용이라고 생각하는 것도 빨리 고쳐져야 할 고정관념중에 하나이다. 오히려 전문인력이 지속가능하게 그 일만 할 수 있다면 해킹과 정보유출시 기회비용을 회수하고도 남을 것이다. 보안사건사고만 나면 언론과 방송에 대서특필하면서 관련자 처벌과 이야기하지만 또 시간이 지나면 제자리로 돌아가는 악순환이 되는 도돌이표가 되는 것을 수없이 많이 봐 왔기 때문이다. 이번 카드사 개인정보 유출시에도 카드 재발급 비용이면 관련 전문가 높은 연봉과 정규직으로 채용을 몇명을 해도 할 수 있었을 것이다.


우린 보안분야에서 지속가능하고 안정적으로 자신의 업(業)으로 생각하고 자부심을 가지고 일할 수 있도록 처우개선과 고용창출의 자리를 마련해야 하도록 사회적 합의를 이끌어 내야 한다. 어쩌면 이러한 큰 보안사건사고가 생겼기 때문에 관심을 가지는 것인지도 모른다. 물론 해당 담당자나 기업은 희생이 되겠지만 말이다.



과연 당신이 생각하는 보안전문가란?


의사는 의사자격시험에 합격을 해야 하고, 변호사와 판,검사는 사법시험에 합격을 해야한다. 보안전문가는 도대체 어떤 기준으로 보안전문가라고 해야 하는가? 보안관련  자격증만 있으면? 아니면 보안전문업체에 근무만 하면? 학교에서 보안관련 수업만 하면? 기업체 보안담당이면? 보안관련 코딩만 하면? 도대체 보안전문가라는 기준점이 없다. 의사,변호사등 전문직과 같이 엄연히 아무나 보안에 대하여 함부로 말하거나 이야기 할 수 없다. 그만큼 범위도 넓고 깊이도 깊은 분야이며 빠른 기술의 발전으로 끊임없이 학습하고 공부해야 하는 분야이기 때문에 더욱더 노력해야 하기 때문이다.. 결코 관련분야 업무를 오래했다고 해서 전문가라는 소리를 들을수 있는 분야도 아니다. 나이들어서 실무와 떨어지는 업무를 하게 되면 금새 도태되는 그런 분야이기도 하다. 필자가 제시하는 보안전문가에 대한 기준은 다음과 같다. 카페나 블로그등에서도 여러번 언급한 적이 있지만 다시 한번 생각해 본다. 주관적인 생각이니 다르게 생각하는 분들은 댓글 바란다.


  • 보안관련 전공을 해야 한다. (정보보호학과등등..유사 학과 포함)
  • 보안관련분야에 최소한 2년정도 근무를 해야 한다.
  • 보안관련 라이센스 2개 이상 보유해야 한다.
  • 보안관련 메인 저자로 논문 한개는 써야 한다.
(위 요건을 충족하지 않더라도 전문가는 많다. 하지만 이제 막 시작하는 비기너를 위한 조언임을 감안할것)

1. 보안관련 전공을 해야 한다. 

자신의 진로를 이쪽 분야로 정했다면 아무래도 보안관련 전공을 하여 자신이 관련 지식을 쌓는 것이 중요하다. 그렇지 않을 경우에는 그만큼 힘이 들고 비전공자는 남들보다 두배의 노력을 기울여야 할 것이다.그러니 자신의 목표와 진로를 명확히 하고 꾸준히 발전하려고 노력하는 것이 중요하다. 비전공자는 보통 자신의 부족한 이론적 지식을 보충하기 위하여 회사를 다니면서 대학원에 많이들 다닌다. 대학원도 직장다니면서 비싼 등록금내면서 다니니 그리 쉬운 것은 아니다.

2. 보안관련 업무를 2-3년정도 해야 한다.

보안에 관심이 있으나 어려울 경우에는 관련 업무를 하는 담당자나 전문업체에서 최소 2년이상은 근무를 해 봐야 한다. 그렇다고 해서 모든 것을 아는 것은 아니겠지만 어느정도 어떻게 돌아가는지 무엇을 해야 하는지 정도는 알 수 있을 것이다. 물론 단순 자기업무만 바라보는 것이 아니라 큰 그림에서 보는 경험과 실무를 하기 위해 노력하는 것이 중요할 것이다. 2년동안 관제만 하였다고 해서 , 2년동안 컨설팅을 위한 문서작업만 하였다고 해서, 2년동안 시스템 운영만 하였다고 해서 보안을 이해하기란 쉽지 않다. 큰 그림을 볼 수있는 노력은 개별적으로 하여야 할 것이다. 그렇게 하기 위하여 보안업무를 하면서 늘 노력하는 자세가 필요하다.

3. 보안관련 라이센스를 2개이상 보유해야 한다.

우린 실무가 중요하다고 한다. 물론 맞는 말이다. 그러나 현장에서  부딪히다보면 실무는 바보가 아닌 이상 익혀진다. 모르는 것이 아니라 단지 내가 그 업무가 익숙해지지 않았기 때문이다. 시간이 지나고 반복적인 업무가 될수록 우리는 일상이 지루해지고 업무에 대한 회의감이 들게 마련이다. 이럴때 자신의 관련분야의 이론적 지식이 어느정도 되는지 객관적 기관의 검증을 받아보는 것이 굉장히 중요하다.

 자신의 지식이 부족하다는 사실을 인지하는 순간 허탈감에 빠진다. 관련분야에 오래 있었고, 많은 경험이 있었다고 생각을 했지만 실제 그것은 안다고 하는 지식이었을뿐 아는 지식은 아니었기 때문이다. 자신의 착각이 불러온 오류였던 것이다. 이런 신선한 충격이 자신에게 다가 왔다면 정말 깨어 있는 사람이다. 하지만 그것을 한낱 다른 탓으로 돌린다면 자신의 어리석음이었음을 세월이 지나 나이가 들면 그때 깨달을 것이다. 꾸준한 지식을 축적하고 시험이라는 긴장의 끈을 놓지 않는 것이 중요하다. 또한 합격시에는 성취감도 맛볼수 있으니 자신을 채찍질 하는데 중요한 포인트가 된다. 또한 결과물도 있으니 추후 활용도 방안도 생각후 도전하는 것이 좋겠다.

4. 보안관련 메인저자로 논문 한개는 써야 한다.

우리가 알고 있는 지식을 일정한 논리적인 형식에 따라 한번 정리를 해 보고 논증을 해 본다는 것이 굉장히 중요하다. 또한 관련 지식에 대하여 과거에는 어떠한 지식이 있었으며 현황 분석과 종류 그리고 나아가 내가 바라보는 개선되는 점, 나아지는 방법을 논리적으로 써 본다는 것은 굉장히 중요하고 힘든 일이다. 옆에서 누가 도와 주었건 내가 직접 적었건 자신의 이름으로 된 논문 하나를 써 본다는 경험은 자신이 연구한 주제에 대하여 한단계 성장 시키는 것은 틀림이 없다. 그래서 우린 늘 기록해야 한다. 그리고 기록한 글을 공유해야 한다. 그래야 올바른 정보인지 아닌지를 알수 있으니까. 


국가 기술자격증  '정보보안기사, 산업기사'에 거는 기대와 발전방향
 (정보보안기사, 산업기사 시험은 보안에 대한 기초지식 테스트)

관련분야에 일할 자격이 있는지 없는지에 대한 가장 간단하고 객관적인 잣대로 측정 할 수 있는 것이 바로 '자격증'이다. 그것은 어쩔수 없는 현실이다. 토익 990점 맞아도 회화 한마디 못한다는 우스게 소리가 있어도 또 토익점수를 측정잣대로 대는 것은 어쩔수 없는 현실이기 때문이다. 보안도 마찬가지이다. 보안관련 분야에 있어서 일할수 있는 사람인지 아닌지 측정 할 수 있는 근거 부족하다. 그렇다보니 어쩔수 없이 자격증과 경력으로 대부분 측정을 한다.  



                          

    <국가기술 자격증 '정보보안기사' 제2회 합격 >              
  
국가기술자격증인 '정보보안기사' , '산업기사' 자격증이 민간자격증에서 국가기술 자격증으로 승격된 만큼 그 신뢰도를 이어가길 기대해 보고, 또한 그렇게 될 것이라 생각을 한다. 그 이유는 해외 자격증도 있지만 너무 비싼 수험료와 그 금액이 고스란히 해외 검정기관으로 빠져 나간다는 것이다. 이러한 점을 고려해서라도 국가기술자격증의 신뢰도와 합격시에 주는 혜택은 커야 할 것이다. 아마도 필자의 예측으로는 관련분야  공공기관, 대기업 취직과 이직,전직시에 반드시 필요한 측정 기준이 될 것이다. 공공기관이 국가기술자격증 놔두고 해외자격증을 메인으로 둘수는 없는 노릇이기 때문이다. 

앞으로 공무원이 되고자 하는 전산직렬에서는 보안이 메인으로 자리 잡을 것이며, 이에 대한 중요성도 커질 것이다. 이미 2014년 9급 전산직렬 과목에 '정보보호론'이 채택이 되었다. 

또한 '정보보안기사'와 '산업기사' 국가기술 자격을 검정하는 한국인터넷진흥원이나 산업인력관리공단에서는 7급전산직 공무원과 9급 전산직 공무원 응시자격에 '정보보안기사, 산업기사' 자격도 추가로 넣는 노력도 하여야 할 것이다. 

필자도 다행히 운이 좋아서 지난해 국가기술 정보보안 기사 2회 시험에 필기, 실기 시험에 합격을 하게 되어 그나마 교재를 출간한 사람으로서 조금은 면을 세우게 되었다. 이제는 저자도 무자격자보다는 스스로 시험에 응시하여 합격을 하여 합격된 사람으로 검증을 받아야 더 신뢰감을 줄수 있는 시대가 되었다. 앞으로 더 노력해 나갈 것이다. 여러분이 생각하는 보안전문가는 어떤 사람이 보안전문가인지를 논(論)해 보면 좋겠다. 
끝. @엔시스.


신고
Posted by 엔시스


2014년 국가기술 정보보안기사 산업기사 자격증 시험 일정표가 공개 되었습니다. 한번 분석해 보겠습니다.



                                                          출처: https://kisq.or.kr/



1. 2014년 보안관련 국가기술 자격증 년 2회 시행


올해에는 첫 시행이라 하반기에 몰아서 시험이 진행이 되었지만 정상적인 2014년에는 상반기 하반기 정도로 2회에 치러지는군요...회수는 2회이지만 결국은 실기시험까지 합치면 4번이 진행 되는 셈입니다. 여기에서는 내가 준비하는 기간과 응시하는 기간을 잘 산정을 해야 합니다. 잘못 시간타이밍을 놓쳐 버리면 최소 6개월을 기다려야 한다는 것입니다. 알다시피 시험기간은 조금 준비 기간이 필요합니다. 특히 비전공자분들은 차분히 기초지식을 쌓는 것이 중요합니다. 이것은 자격증 합격에 대한 목표도 있지만 이번 기회에 이론적 기초를 전반적으로 정리한다는 개념으로 삼으면 좋겠습니다...시험에도 합격하면 금상첨화겠지요..



2. 2회 시행한다는 것에 대한 의미, 혹시 3회정도는 아닐까 했지만 


2회 시험을 진행한다는 것은 검정기관에서도 많은 준비기간을 두겠다는 것입니다. 또한 국가기술 자격증 중에서 보안관련 자격증이기 때문에 아무렇게나 찍어내는 그런 자격증이 될 수 없는 부분입니다. 보안은 앞으로 상당히 중요한 포지션에 취하게 될 것이고, 그 중요성과 요구사항은 점점 커져만 갈 것입니다..그러니 무조건 많이 검정시험을 시행 한다는 것 자체는 커다란 의미가 없습니다. 그렇차원에서 본다면 상반기 하반기 이론과 실기를 보는 것이 가장 무난한 답이 나올수 밖에 없는 구조가 됩니다.  그리고 여러가지 준비 기간도 짧기 보다는 여유있게 준비한다면 시험에 난이도나 품질 그리고 출제등에 더욱 신경을 쓸 수 있기 때문입니다..



3. 수험생 어떻게 준비해야 하는가?


제가 늘 이야기 하는 것 중에 합격증을 받기 위한 목적보다는 그것을 어떻게 활용할 것인가에 집중을 해야 합니다. 취직을 한다든지 , 이직을 한다든지 아니면 전직을 할때 그 타임밍에 맞추어 내가 준비기간을 가지고 공부해야 합니다. 그리고 한번 시험 봐서 한번에 합격 하겠다는 마음으로 공부를 해야 합니다. 그냥 설렁설렁 공부하다가는 기사 시험의 경우에는 대부분 불합격 처리 되는 경우가 많습니다. 물론 저도 시험 분석을 위해서 반복적으로 공부하고 있으며 또한 직접 시험장을 방문하여 수험생 여러분들과 함께 응시하고 있습니다..이러한 노력으로 그 누구보다 심도 있는 깊이와 분석을 하고 있습니다. 그런 것은 다시 "정보보안기사 산업기사 한권으로 끝내기 3총사" 책으로 녹여 내고 있습니다..


철저한 준비를 해야만 합니다. 시간낭비, 돈낭비를 하지 않기를 바랍니다..



4. 보안인 & 비보안인 


보안관련 일이나 전공을 한 사람은 정보보안기사 정도 수준으로 응시하는 것이 바람직 하고 , 비보안인이나 그냥 보안에 관심있어 하는 분들은 조금 부담을 줄여 산업기사에 응시하는 것이 바람직 합니다. 제가 분석해 본 결과 조금만 공부하면 산업기사 수준은 무난히 패스 할 수 있는 수준이었습니다. 물론 이것도 대충해서는 안됩니다. 난이도로 보았을때 비교 하는 것입니다. 또한 법규,제도가 빠져 있기 때문에 주로 아직 실무 경험이나 현장 경험이 없는 또는 기사시험에 부담을 느끼는 분들은 충분히 가능하리라 생각이 됩니다...최근 여러가지 산업화에 트렌드를 살펴 보면 이제는 두리뭉술한 부분보다는 아주 특화된 틈새를 잘 파고 드는 업종이나 재능을 가지고 자신의 업을 삼아 갈 수 있습니다..


내가 먹고 살 분야를 잘 살펴 보라는것이지요.  최소한 사양산업은 되지 않는 분야를 찾아야 하는 것입니다. 특히 이제

갓 사회를 진출하는 분들 같은 경우에는 말이지요..



5. 내년에도 기대해 봅니다. 거품꺼진 진정한 열정 있는 분들만 응시할듯.


회수를 거듭할수록 수정 보완 되어 가기때문에 점차 안정화가 될 것입니다. 그럼 무분별한 거품도 꺼지고 진정 보안에 대하여 열정이 있는 분들만 관심을 보일듯 합니다. 그러니 더욱 가치 있는 자격을 주어지리라 생각합니다. 그냥 페이퍼 라이센스에 대한 것은 철저하게 반대 하는 사람중에 한 사람이기에 취득 한 사람은 자부심과 여러가지 혜택을 주어야 할 것입니다.  그래야 도전하게 되고 패스하면 성취감을 느끼게 될 것입니다. 그러니 절대 시험이 점점 쉬워지는 일은 없을 것입니다. 더 어려워지면 어려워졌지..경쟁력 있는 사람이 되고자 한다면 지식산업에 많은 관심을 기울이고 더욱 중요해지는 ICT 산업중에서 보안에 대한 관심을 적극 가지고 도전해 보시길 바라겠습니다. 내년에도 많은 일들이 일어날 것으로 예상이 됩니다. 


보다 자세한 내용들은 보안인닷커 http://www.boanin.com 이나

 페북 그룹 https://www.facebook.com/groups/boanin/ 에서 많은 보안에 대한 정보 공유를 하고 있습니다..


 이상 끝.  @엔시스.





신고
Posted by 엔시스

제1회 국가기술 정보보안기사 산업기사 시험이 시행이 되었고, 1차 필기 시험 합격자가 발표 되었습니다. 이에 전반적인 시험에 대한 총평을 해 보고자 합니다. 개인적인 의견이므로 그냥 참고만 하시길 바랍니다. - 주인백




들어가는 글


2013년 7월6일 전국에서 국가기술 정보보안기사/산업기사 시험이 동시에 시행이 되었다.


정보보안기사 시험은 오전에 시행이 되었으며, 정보보안산업기사는 오후에 각각 시행이 되었는데 수험생이 1만2천명이나 접수했다고 하니 보안의 중요성을 다시한번 실감하게 되었다. 보통 객관식 필기 시험의 경우 문제은행 방식을 채택하고 있어 회차가 거듭 될수록 다양한 문제가 축적이 되어 시험의 안정화가 될 듯하다. 이제 첫회 시험의 비밀 문이 열렸으니 기출문제 경향 파악을 하는 것도 중요한 의미를 지닌다. 이에 필자도 직접 시험장에서 분위기 파악과 출제경향 파악을 위하여 시험에 응시 하였다. 



                                                  사진출처 : http://nampoong.tistory.com/72 



1. 제1회 정보보안기사 출제 경향 분석 총평

 

전체적으로 그리 어려운 시험은 아니었으나 일부 문제는 깊이 있는 문제가 변별력을 가지기 위하여 출제되었다. 특히 전공자, 비전공자 모두 쉽지 않았다는 것이 일반적인 평이다. 또한 기본개념을 확실히 이해하거나 파악해야 선택 할 수 있는 개념문제들이 출제되어 기초의 중요성을 다시 확인하는 시험이었다. 시험 출제시 난이도 조절을 위하여 상.중.하의 문제를 출제하게 되는데 중.하 문제는 모두 실수 없이 선택할 수 있었다면 무난하게 합격 가능한 시험이었다. 하지만 중.하 문제라도 확실한 개념이 없었다면 어려웠을 것이다.

 


2. 과목별 기출문제 출제분석

 

가. 시스템보안


문제출제시에 난이도 조절을 위하여 상,중,하에 대한 문제출제 수준을 요구한다. 이러한 관점에서 중,하 문제는 다소 평이 하였으나 상에 해당하는 문제는 다소 어려운 문제로 출제 되었다. 운영체제, 클라이언트보안, 서버보안에 대한 부분을 골고루 숙지해야 하며, 특히 시스템보안에서 각종 유틸리티도구(툴)에 대한 특성과 옵션등에 대하여 잘 정리하시길 바란다. 다소 아쉬웠던 부분은 운영체제의 프로세스, 메모리, 디스크 스케쥴링에 대한 문제는 없었으며, 데드락과 같은 다소 기존에 타 자격증 시험등에서 출제가 많이 된 부분은 제외 되었다.


로그분석이나 파일시스템부분에서는 예상했던 바 대로 문제가 출제 되었다. 앞으로 시험을 준비하는 수험생들은 이러한 부분을 잘 고려하여 학습하길 바란다.

 

 

나. 네트워크 보안


네트워크 문제에서는 그다지 어려운 부분은 보이지 않았으나 역시 중.하 문제는 대부분 평이한 반면에 상 수준의 문제는 깊이 있는 공부가 요구 되는 문제가 있었다. 네트워크 공격에 대한 문제나 방화벽 구축방법에 대한 문제는 역시 그 중요성 때문에 출제가 되었으며, 포트스캔 부분에 대해서도 출제가 되었다. 특히 각종 프로토콜에 대한 이해는 반드시 알고 숙지해야 하는 부분이다. 네트워크 과목도 기초적인 개념이나 현상에 대한 문제가 많았으며, 기초적인 개념이 안 갖추어졌다면 다소 어렵게 느껴졌을 것이다.

 

다. 어플리케이션 보안


어플리케이션 보안에서는 FTP에 대한 문제가 많이 출제가 되었다. 이는 바람직해 보이지 않는 현상이며, 한쪽으로 쏠림 현상은 수험생의 보안에 대한 지식 테스트 변별력이 떨어진다. 다시 말해 아는 사람은 모두 알지만 모르는 사람은 모두 틀리게 되는 것이다.


시험출제기준에 따라 골고루 출제 되었으면 하는 아쉬움이 있는 과목이다. 특히 SSL 프로토콜 핸드쉐이킹 같은 부분은 심도 있는 문제로 프로토콜 분석을 철저히 하지 않으 면 맞히기 어려운 문제에 속한다. 이제는 조금 깊이 있게 공부해야 할 것이다.

 

라. 정보보안일반

 

정보보호일반은 암호학이 있어서 암호학에 대한 깊이 있는 공부가 안된 수험생은 가장 어려워 하는 과목중에 하나이다. 일반적인 내용이 나왔으나 용어자체가 어려워서 조금 어렵게 느껴지지 않았나 생각한다. 하지만 그리 깊이 있는 문제는 없었기 때문에 대부 분 고득점 한 과목으로 나타났다.

 

마. 정보관리 및 법규


정보보안기사 수험생에만 해당하는 과목으로 점차 관리적 보안이 중요해지는 가운데 위험분석 방법이나 위험, 위협등 기초적인 개념을 묻는 문제들이 출제 되었으며, 법률에서는 용어의 문제나 법령 본문에서 요구하는 개념적 단어들이 출제 되었다. 그다지 어려운 부분은 없어 보이지만 자칫 순간적인 판단 착오로 실수 할 수 있는 과목중에 하나이다.



3. 향후 시험출제 방향이 가야할 길


20문제로 한 과목에 대한 지식을 모두 테스트 할 수는 없다. 문제의 난이도 조절과 출제 범위 기준을 명확히 준수하여 보다 다각적인 지식을 테스트 할 수 있는 시험제도로 자리 잡아야 할 것이다. 또한 과거의 SIS에만 얶메이기보다는 새로운 기술과 트렌드 그리고 대응방안등 최신 이슈사항에 대한 부분도 언급이 되어 진정한 정보보호전문가로의 자격을 측정하는 지식테스트제도가 되어야 할 것이다. 가장 우려스러운 부분은 덤프를 통한 페이퍼 자격증으로 전락하지 않을까 하여 과거 SIS 시험이 더 나았다라는 말이 나오지 않도록 점차 회수를 거듭하고 문제은행의 문제가 축적이 됨으로써 더 나아지길 기대하고 있다. 



* 촌철살인 한마디


자격증은 자격증일뿐 자격증이 있다고 해서 전문가로 모든 것을 아는것도, 자격증이 없다고 해서 아무런 지식이 없는 것도 아니다. 객관적인 보안 지식을 평가하고 자신의 정보보호에 대한 기초지식을 신뢰된 기관에서 시행하는 시험으로 평가를 받는 것이다.  자격증 취득에만 목적을 두고 무조건 합격만 하고보자는 식으로 공부하고 학습을 한다면 추후 2016년도 정보보안기술사 자격 시행에 도전 해보려고 하는 사람들은 많이 힘들 것이다. 아무리 강조해도 지나침이 없는 것은 바로 '기초' 지식이다. 


실무도 이론이 탄탄한 가운데 실무가 가미 되어야지, 이론적 배경이 없는 실무는 반복적인 업무는 할지 몰라도 깊이 있는 업무를 하기엔 부족할 것이다. 우리가 끊임없이 연구하고 학습하고 공부하는 이유가 바로 시간이 지나면 새롭게 나오는 기술과 기존 지식의 부족함을 알기 때문일 것이다. 

 

 

신고
Posted by 엔시스

국가기술 정보보안기사, 산업기사 응시를 준비하는 수험생은 참고 하세요. 보안이슈가 대두됨에 따라 국가기술자격증도 트렌드를 반영하여 2013년에 정보보안기사 자격증 응시학과는 모든 학과가 응시 가능하다는 고시기준이 발표되었네요.. 참고 하세요..

 

그중에 관련학과는 정보통신은 다음과 같습니다.

 

 

 

 

 

 

 

 

출처: http://www.moel.go.kr/view.jsp?cate=4&sec=4&smenu=1&div_cd=&mode=view&bbs_cd=116&seq=1339031322567&page=11&state=A

 

 

신고
Posted by 엔시스

SIS (국가공인정보보호전문가) 자격증은 시행된지 10년만에 역사속으로 사라진다. 그동안 수많은 보안사건사고에도 불구하고 굳건히 그 자리를 굳혀 왔었기에 내년부터 시행되는 국가기술 정보보안 기사, 산업기사로 거듭날수 있지 않았는가 하는 생각을 가져본다. 그동안 SIS 자격증에 대한 관심과 여러가지 검수위원 참여등 직,간접적으로 많은 애정이 있었기에 또한 보안인닷컴 커뮤니티운영자로서 그동안 정책과 내년에 필기시험 면제까지 전체적으로 전망해 본다. -주인백.



1. SIS 자격증 2001년 12월에 첫시행


정보보호에 대한 중요성을 안고 2001년 12월에 민간자격증으로 2급부터 출발 하였다. 당시 시중에는 유일하게 4권짜리 교재가 서점에 비치되어 있어 그 교재를 사러 이곳저곳을 찾아 다닌 기억이 난다. 민간 자격증 첫 시험이라는 타이틀은 늘 그렇듯이 첫 시험은 쉽다는 등에 홍보마케팅 전략은 여전하였고, 필자도 첫 2급 시험을 부산에 응시하였다. 그떄 응시인원만 하더라도 부산에만 약 100명이 넘을 정도로 인기가 많았다. 즉, 보안에 관심이 있는 사람이지만 여러직종에서 모두 도전을 한 셈이다. 그런데 뚜껑을 열어본 결과 합격자는 5명 안팎인 것으로 기억이 난다. 물론 필자도 떨어졌다., 



2. 2004년도에 2급 국가공인, 2005년도에 1급 국가공인


민간 자격증으로 시행을 하다가 민간 자격증 중에서 국가가 공인해 주는 국가공인 자격증으로 인정을 받게 되었다. 보안에 대한 중요성도 있었고, 한국인터넷진흥원에서 시행하는 시험이었던 만큼 공신력도 있었기 때문에 조금 더 일찍 국가공인 타이틀을 가질 수 있지 않았을까 생각한다. 그렇게 해서 2004년도에 2급 , 2005년도에 1급을 국가공인을 받게 되었다. 


하지만 대행하는 정보통신교육원에서 담당자가 여러번 바뀌면서 시험 시행에 대한 내부적인 약간의 어려움도 있었고 그 가운데 전단지 등에 대한 홍보등을 많이 도와 주기도 하였다. 



3. SIS 검수위원 활동


문제가 출제가 되면 검수하는 검수위원으로 발탁이 되어 몇번에 걸친 검수과정에서 많은 여러가지 경험을 할 수 있었는데 부산이 거주지다보니 늘 서울에 거주하는 교수님이나 현장에 실무자분들은 댁으로 돌아가지만 다시 부산으로 돌아오는 길에 많은 고민을 하기도 하였다. 그러나 그 모든 것들이 나에게는 경험이었고, 새로운 기회였기에 그것을 고생이라 생각하지 않았다. 더 많은 것을 접하고 경험 할수 있는 좋은 기회였으니까.



4. SIS 자격증의 장단점


보안 사건사고가 터질때마다 보안인력 문제가 대두되는 것은 아주 단골중에 단골이었다. 그리고 가을철 국정감사에는 

여지없이 자격증에 대한 여러가지 질타들이 쏟아졌다. 하지만 이에는 장단,점이 있었다.


장점: 시험이 어렵게 출제되어 SIS 1급 정도 취득한 사람이라면 최소한 정보보안에 대한 어느정도 지식을 보유하고 있다고 판단하고 나름 자부심을 느끼고 있었다.


단점 : 시험이 조금 어렵게 출제되다 보니 합격자 수에서 어려움이 있고, 합격자 수가 적다 보니 응시자가 적어서 흥행에는 실패 했다는 점이다. 여기서 흥행이라함은 어떠한 수익을 목적으로 하는 것이 아닌 어느정도 수험생이 몰리고 관심을 가지는 부분이 안되었다는 것이다. 



5.  국가공인 정보보호전문가 자격증 커뮤니티 (보안인닷컴)에서 꾸준히 국가 기술자격증 승격 제안과 활동


이렇게 어려운 가운데에서도 늘 관심 있는 사람은 있게 마련이니 그러한 정보를 나누는 카페 공간도 생겨서 많은 사람들과 의견을 주고 받을 수 있는 커뮤니티가 있었다. 그것이 바로 '보안인닷컴'인데 민간 자격증인 SIS 자격증을 국가기술 자격증으로 승격하거나 혹은 새로운 정보보호 국가기술 자격증의 필요성이 대두 되었다. 이러한 사항을 지속적으로 논의를 하고 제안을 하던차에 용역 사업이 나왔다.



6.  정보보안기사 산업기사 국가기술 자격증 개발 용역 자문위원


SIS 관련하여 근 7-8년을 관심있게 지켜보다 보니 관련 제도나 여러가지 직.간접적인 형태나 파악을 할 수 있게 되었고 또한 여러가지 의견 수렴을 할 수 있어서 국가기술 자격 용역사업에도 자문위원으로 활동하게 되어 여러가지 자문회의에 참석하게 되었다. 



7. 기존 SIS 유자격자와 정보보안기사/산업기사 시험 승계부분 -필기시험 면제






그동안 SIS 유자격자와 정보보안 기사 /산업기사 시험 승계부분에 대하여 여러가지 설이 있었지만 ..물론 공식적인 내용은 없었지만 보통 유추해 볼때  유자격자 전원 승계( 시험 안보고 기술자격증 합격), 필기시험 면제, 시험비 일부 면제등 여러가지 추정사항이 있었지만 얼마전 국가기술 자격증 자격법 시행규칙 개정안에서 기존 SIS 자격증 보유자는 필기시험 면제 카드를 입법안에서 제시하였다.


관련하여 기존에 여럼을 수렴을 해 보면 보통 민간자격증을 국가기술 자격증으로 바로 모두 승계한 사례는 없다고 하는 것이 이리저리 들었던 정보였다. 그렇기 때문에 모두 승계는 쉽지 않겠다고 생각을 했다. 그럼 필기시험 면제승계는 얼떨지에 대한 의견을 지금부터 댓글을 주면 좋겠다.  의견이 모아지면 그 안을 해당 기관에 전달 할 예정이다. 


그런데 특별한 설득력이 있지 않는 한 느낌으로는 입법안이 그대로 통과될 가능성이 많을 듯 하다.


혹시 관련하여 의견 있으면 댓글 주시면 감사하겠다. 이상이 간단하게나마 그동안 정보보안기사 /산업기사 필기 시험 면제까지 걸어온 간락한 흐름이라 보면 된다. 좋은 제도로 정착하고 발전하여  정보보호에 대한 실력을 검증하는 국가제도로 빨리 안착되길 기대해 본다.  @엔시스.


관련포스팅 : 정보보안기사/산업기사 출제기준 분석 http://www.sis.pe.kr/3431 

신고
Posted by 엔시스


2013년 정보보안기사 자격증 출제기준이 공개 되었습니다. 한가지 우려스러운 점은 난이도 조절에 실패하게 되면 허수가 발생하게 되고 진정한 국가 안보를 책임질 수 있는 기준 조건이 될 수 없을 것입니다.


기존 국가공인 정보보호전문가(SIS)자격증이 국가기술자격증으로 승격된 만큼 (물론 시험이 치러져 봐야 알겠지만 출제기준상으로 봤을때 대동소이) 그 신뢰성이 무너져서는 안될 것입니다.







  아마도 SIS보다는 그 난이도 부분에 있어서는 조금 낮아지지 않을까 하는 예상이 됩니다. 그 이유로는 과거 SIS시험응시생수가 왜 이렇게 낮은가에 대한 감사에서 많은 지적이 있었기 때문입니다. 너무 어렵게 출제 된다고.


하지만 개인적 관점에서는 자격증은 말 그대로 희귀성이 있을때 그 가치가 있는 것이라 생각이 됩니다. 특히 정보보호에 대한 지식을 평가하는 의미에서는 더욱 그렇습니다. 따라서 기존 SIS 자격증을 취득한 사람은 시험이 어려운 가운데에서도 나름 자부심을 가지고 있었더랬습니다. 



앞으로 내년 정보보안기사 / 산업기사 진행이 된다면 기존 SIS 유 자격자에 대한 문제도 다시 수면위로 떠 오를듯 합니다. 과연 기존 유 자격자들을 그대로 국가기술자격으로 승격해 줄 것인지, 아니면 시험을 일부 면제 해 줄 것인지.,

또는 시험비를 일부 지원 해 줄 것인지등..여러가지 방법들이 있을텐데요.


어려운 시험과 기존 시험의 형평성을 고려해 볼때 , 인원이 그리 많지 않기 때문에 보수교육 이수후에는 그대로 승계하는 방안도 검토 해 보았으면 하는 바램이 듭니다.  보다 자세한 내용들은 국내 최대 보안커뮤니티 보안인닷컴 등에서 논의가 될듯 합니다. 감사합니다. @엔시스.


큐넷에서 공개한 출제기준 원본 파일 첨부 합니다.  아래 첨부파일을 클릭하면 다운로드 가능합니다. 


관련 포스팅 :  정보보안기사, 산업기사 응시할때 SIS 유자격자는 필기시험 면제

 

 

정보보안기사(2013~2016).hwp





 






신고
Posted by 엔시스

최근 보안이슈가 부각이되면서 각 정부기관과 관련 부처에서 많은 세미나와 정책이 쏟아지고 있습니다. 무엇보다 해당분야에서 근무할 인력이 부족하다는 것이 현실인데요. 이는 정책적인 지원과 노력이 있어야 하겠습니다.

그 중에 하나가 바로 '정보보호' 인력 기준을 어떻게 삼을 것인가? 에 대한 부분입니다. 작금의 현실은 보면 소프트웨어 초급자 기준, 중급자, 고급자 기준으로 삼는 경우가 많으며, 정보보호에 대한 기준이라고 해 봐야 'SIS,CISSP,CISA' 등 자격증이거나 정보보호관련 업계 근무 경력이나 정보보호 관련 전공 밖에 없습니다.

이는 한정된 부분과 전체적인 보안 수준을 올리는데에는 미흡함이 있습니다. 아무리 훌륭한 보안전문가가 있더라도 혼자서 모든 것을 할 수는 없는 것이라 큰 그림에서 바라보는 대한민국 정보보호 수준을 올리는 측면을 간과 할 수 없기 때문입니다.

그런 가운데 대한민국 유일의 국가공인 정보보호전문가 자격증 'SIS' 자격증이 국가기술 자격증으로 승격화 된다는 기사나 정책발표는 수차례있었지만 가시화 되고 있지 않았습니다.

또한 정보보호, 보안이 그렇게 중요하다고 하면서 아이러니 하게도 아직도 대한민국 보안에 대한 국가기술자격증이 마련이 되고 있지 않습니다. 관련 업계나 관심 있는 사람들이 공부나 연구를 하여 일정한 자격을 갖출수 있는 정보보호 인력 양성 기준중에 가장 먼저 주목받을수 있는 부분인데도 말이죠.

지난해에는 한국산업인력공단기관에 용역발주까지 진행이 되었습니다.




나라장터에서 '정보보안기사'로 검색을 하면 용역발주서(RFP)가 공개되어 있습니다.

오늘자 언론기사에서 또 관련기사가 나왔습니다..정보보호인력에 대한 정부의 정책적과제중에서 히든카드로 이제는 그 분위기가 팽배해져 있는게 아닌가 생각을 합니다. 필자는 수차례 이야기 했지만 이젠 정보처리를 하는 시대는 지났다는 것입니다. 이제는 정보를 보호해야 합니다. 그러기 위해서는 공공기관 담당자 자격증 소지의무화와 대기업 담당자 자격기준 강화가 필요합니다. 국내를 대표하는 정보보호전문가 자격기준을 우선 마련해야 할 것입니다.



하지만 현실은 국가공인에 머물고 있는 SIS 자격증에 대한 인센티브가 적어서 그동안 조금은 외면 받고 있었던것이 사실입니다.

따라서, 이번 관련 발표로 조금 더 박차를 가해야 할 것이며, 여기 저기 부처에서 공수표를 날리는 정책성 발표는 되지 않았으면 하는 바램을 가져 봅니다. 물론 해당 자격증이 있다고 해서 모든 보안수준이 높아지리라고는 생각하지 않지만 , 정보보호 선순환 구조를 만들수 있는 단초가 될 수 있는 부분임에는 틀림이 없습니다.

향후 정보보안기사,산업기사, 기술사 시행이 된다면 어떻게 될까?

제 개인적인 시각에서 이제 정부에서 히든카드인 국가기술자격증인 '정보보안기사, 산업기사, 기술사' 등의 자격기준이 마련이 되면 다음과 같은 파생 효과가 나타날 듯 합니다.

  • 공공기관  및 대기업
    • 국내를 대표하는 국가기술 정보보호에 대한 자격증이 신설 됨으로 인하여 관련 업무나 보안의 중요성 측면에서 자격 소지자 의무 고용확대가 이루어질 것입니다.
    • 각 공공기관 프로젝트 수주시에 관련 자격 소지자 인력 보유 현황을 기본 필수 요건으로 보안품질 강화가 될 듯 합니다. 즉, 기존에 보안SI 사업등에서는 소프트웨어 기준별 초급,중급,고급으로 참여 해도 되었지만 이제는 관련 자격증 소지자로 한정 할 수 있을 듯 합니다.
  • 정보보호업계
    • 최소한 정보보호 업계에서 인력 채용 기준시 기초적인 자료로 사용될 듯 합니다. 정보보호에 관심이 있으면서 그 정도 준비하지 않았다는 것은 사실 준비 부족이라고 하고, 소지자는 그만큼 차별성이 있으니 선별 기준에서 유리하겠지요.
  • 교육 업계
    • 보안의 이슈만큼이나 수요가 생기니까 공급적인 측면도 많이 발생이 되리라 생각이 됩니다. 아마도 관련 학원이나 교육업계쪽에서도 많은 관심을 가지게 될 듯 합니다. 일자리 창출이 일어날수 있겠지요.
  • 중소업계
    • 개인정보보호법 시행으로 인하여 개인정보보호 기술적.관리적 조치 사항으로 본다면 사실 중소기업측면에서도 보안에 대한 이슈가 발생이 됩니다. 기존에는 전산 담당이나 혹은 총무, 또는 경영지원실등에서 역할을 담당했지만 최소한 정보보호 담당을 어느정도 일정 수준 근로자가 근무하는 기업에서는 담당을 둘수 있는 기준이 발생 할 것입니다.


정책은 실패할 수도 성공할 수도 있습니다. 하지만 장기적인 안목으로 바라 보았을때 어떠한 것이 도움이되고 지금 악순환의 고리를 끊고 , 선순환 구조로 갈 수 있는지에 대한 명확한 핵심을 짚는 것이 중요한 것이며, 혹자는 이러한 자격증 유무론을 이야기 하는 분들이 간혹 있습니다. 하지만 보안이라는 것은 전문가 한사람만 잘 한다고 되는 것은 아니라 함께 노력 하고 자연스럽게 실천 할 수 있는 문화와 그 이해를 도모하는 것이 중요하다고 생각이 듭니다.

결국 최소한 관련 자격증 패스 한 정도라면 그 정도 이해는 하고 있다는 기준이지, 그것이 모든 것을 해결 한다는 관점으로 접근 해서는 안되는 것입니다. 분명히 그 차이점을 바람직하게 이해하는 것이 중요하고, 관련 정책은 한 사람이나 한 단체의 이해관계를 가지고 펼치는 것이 아닌 전국민을 대상으로 보다 나은 대안으로서 정책을 제시 해야 함을 봐야 할 것입니다. 꼭 이루어지길 기대해 보겠습니다. 이젠 공수표 날리지 않았으면 좋겠고, 그 시행 시기도 구체적으로 명백히 밝혀주면 더욱 좋겠습니다. @엔시스.

신고
Posted by 엔시스

이미 국가공인 정보보호전문가 자격증 (SIS) 자격증이 국가 기술자격증으로 승격이 승인이 되었고, '한국 산업인력관리공단'에서 연구용역제안요청서가 나라장터에 올라 왔습니다.

용역과제 내용은

   - [ 정보보안 기사]
   - [ 정보보안 산업기사] 등 2종목 국가기술자격증 종목 개발





이미 <<정보보호>>에 어느정도 관심을 가지고 있었던 분들은  알고 있었던 사항이고 이는 정보보호 관련 커뮤니티등에서 많은 내용으로 거론이 되었던 사항입니다.

한가지 위 내용에서 특이한 점은 용어의 선택입니다. [정보보호] 가 아닌 [정보보안] 이라는 용어를 선택 했다는 것입니다. 그것은 아마도 '정보보호' 보다 더 광범위한 부분을 커버 하기 위한  정보를 보호 하기 위한 용어 선택으로 풀이가 됩니다.

개인적으로는 [정보보안] 보다는 [정보보호기사]가 조금은 더 전문적이고, 보안 인식제고에 맞는 용어라 생각이 듭니다.

아무튼, 용역제안요청서가 올라온 만큼 , 그동안 국내 정보보호 인력과 민간자격증으로서 신뢰성 문제가 조금 더 탄력을 받지 않을까 생각을 합니다. 이러한 부분에 있어 개인적인 생각 몇가지를 적어 보고자 합니다.


    • 기존에 SIS 관련 애로사항 및 문제점
      • 난이도 문제 , 너무 어려웠다.
      • 홍보 및 인센티브 문제 - 소극적인 홍보문제, 인센티브는 있었으나 홍보부족으로 그 효과 감소
      • 공공기관,기업체 인식부족 - 필기, 실기를 아우르는 좋은 시험이었으나 기관과 기업에서 외면
      • 외국자격증에 비해 선호도 떨어짐.
      • 합격자수 저조 - 1급 2급 합쳐 250명 정도

     

    • 국가기술자격증 [정보보안 기사] 국가기술 자격증 종목 개발시 이점
      • 국가 기술자격증이라는 신뢰도 향상 - 민간에서 국가기관에서  관리
      • 국가기술자격증으로서 인센티브 확대 - 보안의 중요성과 산업전반에 걸친 정보보호 인식제고
      • 난이도 조절 - 기술사와 기사의 중간정도 난이도 조정하면 좋을듯
      • 보안기술의 변화 감안하여 시험 횟수는 3회 정도가 적당
      • 국내 환경에 맞는 정보보호 지식 테스트 - 글로벌과 현지화 적절한 시험문제 내용
      • 합격자수 절대평가보다는 상대적 평가로 일정 % 합격 배출로 찍어내기식 자격증으로 전락 방지등




여러가지 개인적인 아이디어나 의견이 있지만 이 정도 수준에서 언급을 마치고자 합니다. 아무튼 국가기관에서 정보보호의 지식을 테스트 할수 있는 객관적인 시험이 되어야 하고, 붕어빵 찍어내듯이 너도 나도 전문가라고 하기 보다는 실제 자격기준에서 엄격함을 주고 [정보보안 전문가]로서 자긍심과 그 분야에서 전문가로 활동 할수 있는 기회와 기반을 제공해 주는 것이 국가가 해야 할 일이라 생각을 합니다.

이번 연구용역을 통하여 그동안 민간에만 머물러 있던 전문가에 대한 정보보호 지식 검정 테스트가 국가기관으로 넘어 감으로 인하여 체계적이고 또한 국가기관에 올바르고 실력있는 정보보안 전문가들이 각 부처 및 지차체 공공기관에도 배치가 되어 한단계 정보보호를 업그레이드 시키는 계기가 되었으면 하는 바램을 가져 봅니다.

그것은 제가 늘상 외치는 전국민 보안업그레이드와 일맥 상통하며 , 전국민 보안인식제고를 한단계 끌어 올릴수 있는 기회가 되었으면 하는 생각을 해 봅니다.  @엔시스.


* RFP 첨부 합니다.



 

신고
Posted by 엔시스