'정보보호전문가'에 해당되는 글 31건

  1. 2011.06.16 홀대받던 SIS자격증소지자 몸값상승, 취업바로 시켜준데요 (3)
  2. 2010.03.05 당신이 진정한 전문가입니다. CISSP 합격자 발표중 (6)
  3. 2010.01.11 [칼럼-106] 보안 위협성을 바라보는 시각 -노트북 도청, 아이폰 원격제어 (8)
  4. 2009.09.16 SIS(정보보호전문가) 자격증이 국가 기술자격증된다. (4)
  5. 2009.02.28 [칼럼-82] 보안전문가, 이젠 윤리적 소양을 가져야 할때 (4)
  6. 2009.02.21 보안전문가를 위한 캐리어 로드맵 (6)
  7. 2009.02.18 정보보호전문가(SIS) 자격증제도, 이대로 좋은가?
  8. 2009.01.28 고용계약형, 지식정보보안 석사과정 지원사업 (1)
  9. 2008.11.08 [칼럼-76] 내가 생각하는 정보보호(보안)전문가란?
  10. 2008.11.06 국가공인 정보보호전문가 자격증 실기시험 8일 전국에서 실시
  11. 2008.10.09 정보보호 자격증 응시자 및 합격자 현황
  12. 2008.04.26 정보보호 자격증 접수 게시판에 비밀이 넘 많아
  13. 2008.04.17 정보보호 전문가 '상한가' (2)
  14. 2008.03.07 옥션 해킹이후 '보안전문가를 모셔라' 헤드헌터들에게 특명
  15. 2007.12.21 [칼럼-59] 보안 전문가를 꿈꾸는 이들에게
  16. 2007.08.07 국가공인 정보보호전문가 자격증 시험 접수중
  17. 2007.07.26 [칼럼-50] 맞춤형 정보보호 전문가 양성과 과제
  18. 2007.06.28 정보보호 자격증 실무비중 높여야
  19. 2007.06.24 정보보호전문가(SIS) 현황-2005
  20. 2007.06.20 보안업계 인력난-고급 인력을 양성하자
  21. 2007.06.19 세계 최대 해킹대회에 한국팀 본선 진출
  22. 2007.05.30 정보보호전문가 자격증 합격자 발표일
  23. 2007.04.13 2007년 정보보호전문가 자격증 시험 접수중 (2)
  24. 2007.03.04 국가공인 정보보호전문가 자격증 일정
  25. 2006.10.09 정보보호전문가가 될수 있는길
  26. 2006.07.19 정보보호전문가(SIS) 자격증 취득자 혜택 늘어나
  27. 2006.07.06 국산 SIS(정보보호전문가) 자격증 찬밥 신세
  28. 2006.06.07 정보보호전문가(SIS) 자격증 홍보용 브로셔입니다.
  29. 2006.03.29 오늘 정보보호전문가 자격증 합격자 발표일
  30. 2006.03.12 2006년 정보보호전문가 자격증 후기



                                            <출처: http://www.sistest.kr


그동안 홀대를 받던 공인 정보보호전문가 자격증(SIS) 자격증 유 소지자의 몸값이 올라가게 되었다. 최근 보안업계 관계자에 따르면 국가 보안프로젝트 용역 수주 사업을 진행하기 위하여 제안서 (RFP)에 정보보호인력 초급자 자격기준을 (SIS,CISA,CISSP) 소지자로 필수조항이 들어 있기 때문이다.
-D광역시 관제사업

기존의 경우 대부분 초급인력의 경우

로 필수조항으로 명시되어 있기 때문에 공공기관의 용역 수주를 하려고 하는 업계에서는 인력확보에 분주하다는 업계의 전언이다. 

그런데 초급인력의 경우 사실 CISA,CISSP 자격을 소지할 가능성이 희박하다.

그 이유는 CISSP나 CISA자격증 시험응시 자격기준이 5년간의 경력을 요하기 때문이다. (물론 4년재 졸업하면 1년 차감)
그러니 사업입찰을 위해서는 초급자의 경우 SIS자격증이 필수조항에 있으니 인력수급이 발등에 불이 떨어진 형국이다.

이는 최근 잇따른 보안사건사고로 인하여 보안품질 강화를 반영하려는 공공기관의 의지로도 풀이된다. 보안사건 사고 난 이후에 사건을 파헤쳐 보면 보안담당자가 자격기준이 미달한다든지, 사업수주 용역업체에도 전문자격자가 아니더라든지 하는 기존의 관행에서 벗어나려는 움직임이 포착된것이다.보안업계에서는 공공의 시장에 많이 의존하고 있는 형국이어서 사업수주에 해당 인력을 일일이 찾아 다니면서 수배하고 있다는 전언이다.

국내 최대보안커뮤니티 "보안인닷컴(http://www.boanin.com) 을 운영하고 있는 엔시스님은 "공공기관이 보안품질강화를 위하여 RFP에 필수조항으로 우선 전문인력을 넣은것은 선순환의 구조의 첫걸음이라며, 새로운 여러가지 일자리창출이 되며, 이번에 용역발주한 D광역시가 모범적인 사례가 될것이라며" "앞으로 공공기관 용역수주에서 보안초급자 기준을 필수조항으로 둔다면 많은 사람들이 보안에 관심을 가지게 될것이라며" 반색을 했다.
 
따라서, 보안에 관심이 있고 취업을 원하거나 이직을 하려는 분들은 보안초급자 기준을 충족하기 위한 준비를 미리 해 놓아야 하며, 하반기에 보안관제 업체 지정이라는 커다란 이슈가 있어 수요가 많으것으로 예상된다. 

*혹시 SIS 1급,2급 소지자는 sis@sis.pe.kr 로 메일 주시면 지인으로 부탁으로 바로 취업시켜 드립니다. 사업수주와 상관없이 입사된다고 하네요..급하긴 급만 모양입니다..^^;;


 

신고
Posted by 엔시스

국내 보안커뮤니티 '보안인닷컴'에 따르면 4일 저녁부터 지난 2월27일 동국대에서 시행된 2010년 1차 시험 합격자 발표가 되어 속속들이 커뮤니티에서 후기가 올라오고 있다고 전한다. 커뮤니티 내에서는 서로 시험 합격에 대한 축하의 댓글을 달아주면서 합격에 기쁨을 같이 한다고 관계자는 말한다.

회원중에 닉네임 잽싼곰탱이를 사용하는 한 회원은 " 합격 하였을때 이러한 커뮤니티 공간에 자신의 합격 결과를 올림으로 인하여 공부를 한 보람이 있고 축하를 회원들과 함께 할수 있어 좋다" 라고 말하며 이제부터 CISSP자격을 취득한만큼 정보보호전문가로서 더 자부심을 가지고 업무에 임하겠다고 다짐을 했다.


                                              <보안커뮤니티 '보안인닷컴' CISSP 합격자 후기 >


대다수 합격자들은 자신이 공부한 방법과 노하우 그리고 합격 하기까지 과정을 상세히 알려주고 있고 다른 시험을 준비하고 있는 분들에게 도움이 될것이라고 전한다.

또한 올해부터 한국CISSP협회 에서는 '추천인' 제도를 운영할 예정이라서 예전에 주위에 CISSP추천을 받지 못하면 자격증 신청을 할수 없는 수험생의 어려움을 덜어 줄것이라고 협회 관계자는 말하고 있다.

한국CISSP협회 홍보분과와 영남지부장으로 활동하고 있는 전주현이사(보안인닷컴운영자)에 따르면 " 올해 한국CISSP협회가 사단법인화를 목적으로 하고 있기에 국내 CISSP 자격증 소지자에게 더 많은 지원과 자긍심을 심어 줄수 있게 되었다" 며 그만큼 협회의 위상도 높아질것이라고 말했다.

'보안인닷컴'은 처음엔 국내 보안 자격증인 SIS 자격증을 중심으로 커뮤니티 활동을 해 오다가 몇년전부터는 CISSP,CISA 등 국내외 정보보호 자격증에 대한 정보를 공유하고 있으며, 보안에 대한 이슈, 정보공유, 세미나, 스터디 모임등 회원간에 활발한 활동으로 이미 국내 보안커뮤니티로서 가장 활발하게 활동하고 있다고 정평이 나 있다.

* CISSP

Certified Information System Security Professional (CISSP) 국제공인 정보시스템보안전문가의 약칭으로 미국 (ISC)2
에서 시행하고 있는 국제보안전문가 자격증증을 말한다. 국내에는 약 1500여명의 CISSP를 취득한 사람들이 있으며, 보안과 직접적인 관계가 있는 10개의 도메인을 가지고 시험을 치고 총 250문제의 6시간에 걸친 시험을 1년에 4회 정기적으로 치르고 있다. 시험 장소는 국내 동국대에서 보고 있으며, 시험비는 시험일 16일 이전에 $549  시험보기 16일 이후에 접수시 $599를 지불해야 한다. 보다 자세한 내용은 한국CISSP협회 홈페이지를 방문하면 된다.


* CISSP합격후 추천관련

협회에서도 추천인제도를 운영하려고 있지만 혹시 조금은 망설이는 분이 있으시면 언제든지 댓글을 달아 주시고 연락처를 남겨 주시면 제가 직접 추천 해 드리겠습니다. 참고 하시기 바랍니다. 전 지금까지 4년동안 30-40명 정도 추천해 주었네요. 이 모두가 커뮤니티와 블로그 그리고 트위터를 통하여 하게 되었습니다. 감사합니다. @엔시스.


신고
Posted by 엔시스

최근 년초에 들어서 보안 이슈중에 강력한 이슈 두가지가 대두 되었습니다. 하나는 D일보에서 [단독 보도]라고 하면서 보도한 " 노트북 도청" 에 대한 이슈이고 또 다른 하나는 "아이폰 원격제어" 에 대한 H일보에 대한 언론 기사입니다.

검색사이트에서 검색하면 나오기에 굳이 언급하지 않겠습니다. 이 두가지 언론 기사를 바라 보면서 몇가지 개인적인 생각을 한번 정리해 보려고 합니다.

1. IT(보안)언론 매체가 아닌 일반 매체이용

저도 기자분들과 이야기 해 보면 사실, 대부분 보안에 대하여 잘 모르는 경우가 많습니다. 그러다 보니 아무래도 기사 내용이 자극적으로 보여 질수 있습니다. 두 사건 모두 일반 매체이다 보니 기사화 하기 전에 조금 더 신중하게 확인 사실을 주변(또 다른) 보안전문가에게 검증을 해 보고 기사화 하면 좋겠다라는 아쉬움이 있었습니다. 그저 보안에 대한 지식이 없는 분들에게 원격 제어 할수 있는 방법을 조금만 수정하여 보여 주면 해킹,해커라는 아주 자극적으로 비추어지게 되지요. 굳이 해커와 크랙커를 구분하지 않더라도 국내에서 해커라고 불리면 무조건 선입견부터 가지고 있는 것이 사실이니까요.

조금 과장하여 예를든다면 윈도우 원격터미널 프로그램을 모르는 사람에게 그 사람이 사용하고 있는 IP를 넣고 원격 핸들링 하는 것을 보여 준다면 아마도 처음 접하는 사람들은 이를 가지고 해킹이라고 할지 모릅니다.  뭐,,그렇다고 해서 IT매체라고 해서 달라질 것은 없겠지만 이 두사건 모두 IT및 보안언론매체에서 함구 하고 있는 것은 왜 일까요?


2. 보안관련 글을 쓰는 기자는 전공이나 보안자격증 정도는 가지고 있어야

국내 3대 메이져 언론에 단독이니 뭐니 하면서 아주 자극적인 문구로 지속적인 기사화 한다면 더 많은 혼란을 가져 옵니다. IT관련 매체나 일부 보안매체를 이용해도 잘 움직이지 않는 기관도 국내3대 언론은 그만한 힘이 있는 것이겠지요..이는 일부 기자들에게도 문제가 있다고 봅니다. 그것은 보안 기사를 취재하면서 보안에 대한 일반적인 지식이 없기 떄문입니다. 최근에는 의료전문기자, 기상전문 리포터, 법률전문기자등등 전문기자들이 있습니다. 최소한 보안에 대한 기사를 취급하는 기자분들은 자기 계발 차원에서라도 보안 전공한 기자나 최소 보안관련 자격증이라도 보유하고 있는 분이 쓰는게 맞지 않을까 생각합니다. 그래야 올바른 언론에 기사가 전달이 될 것입니다. 그렇지 않을 경우 결국 노트북에 마이크차단 버튼을 달라고 하는 아주 웃지못할 헤프닝이 나오기도 합니다. 일부는 연예부 기자가 취재한 내용도 있다는 네티즌도 있었습니다.

어떤 사이버수사대에 근무하시는 분중에 더 많은 공부를 하기 위해 정보보호관련 대학원에 다닌다고 하는 지인이 있습니다. 그래서 제가 물어 보았습니다.

" 왜 대학원에 다니시나요? 관련 범죄와 날마다 씨름 하다보면 이젠 전문가일텐데요 "
그런데 그 수사관분 하시는 말씀이
" 법원 판결때 판사님이 수사관이 작성한 조서를 법적 효력을 어떻게 믿을수 있나? "
즉 다시말해서 당신 맘대로 유리하게 작성하였다 하더라도 그 법적효력을 어떻게 증빙 할수 있는가? 라고 하면 그렇지 않지만 솔직히 할말이 없다고 하시더군요.
"그래서 최소한 정보보호관련 대학원이라도 나오고 보안관련 자격증도 몇개 가지고 있고 하면 그 말에 대한 신뢰성을 높일수 있어 어렵게 다니고 있지요..." 라고 말하더군요

최소한 보안관련 뉴스를 취급하는 사람도 이에 대한 신뢰성있는 기사를 일반 국민에게 전파하려면 그만한 신뢰성 있는 무엇인가를 지니고 있어야 할것입니다. 보안관련 취급 하는 기자중에 보안자격증 가지고 있는 사람이 몇명이나 있을까요? 정보보호관련 전공하신 분은 몇명이나 있을까요? 향후 이러한 부분도 글에 대한 신뢰도에 상당한 영향을 끼칠 것이라 생각을 합니다. 아무리 좋은 글을 써도 연예부 기자가 보안뉴스를 쓰면 소설이라고 이야기 하듯 말이죠. 반성해 볼 문제라 생각합니다.


3. 보안 취약성 발표는 신중해야 하고 관련 컨퍼런스나 세미나에서 해야

늘 우리는 알지 못하는 또는 알려지지 않는 보안 취약성은 지속적으로 대두가 될 것입니다. 그때마다 언론에 특종을 잡겠다고 언론 플레이를 해 버리면 일반 사용자는 상당히 놀라고 혼란 스러워 할수 밖에 없습니다. 이러한 취약점들은 보안 세미나 또는 컨퍼런스를 통하여 자연스럽게 제기하고 대처해 나가는 방법이 더 나은 방법이 아닌가 생각합니다. 그러면 관련 분야에 여러 사람들로 하여금 또 다른 의견이나 조언을 받아 더 나은 대책을 마련할 수 있으니까요.
또한 보안에 대한 윤리의식도 상당히 중요하다고 생각합니다. 흔히 양날의 검이라고 이야기를 하지요. 그것으로 방어를 할수도 있고 살인을 할수도 있으니까요. 바로 백지 한장 차이입니다. 그래서 국내에선 유독 왜곡된 시각으로 바라봅니다. 이제는 사회적 인식을 바꿀 필요가 있습니다. 그럴려면 관련 지식이 있는 분들이 조금 더 신중하게 접근 하는 것이 중요합니다.


4. 언더그라운드, 보안전문가, 사이버보안관..공부할 곳은 없는데 인력 요구는 완벽한 보안전문가 원해

보다 개방적이고 다양한 의견을 서로 나누고 공유하고 수렴할수 있어야 하는 가운데 자신의 분야에서 능력있는 인재들을 어떻게 잘 갈고 다듬어 갈것인가에 중점을 맞추어야 합니다. 그렇치 못할 경우 점점 깊숙한 곳으로 숨어 들어 가던지 아니면 이 세계를 청산하고 떠나려 하겠지요..
이들에게 억압하고 왜곡된 시각으로 바라보고 하기 보단 조금 더 이끌어 양지로 이끌어 내어 그 실력을 잘 사용할수 있는 사회적 기반을 마련해야 하겠습니다. 국내 보안연구를 하는 사람들이 해외 데프콘에서 여러번 본선 진출을 하고 하는 것을 언론을 통하여 많이 접했을 것입니다. 그런 인재를 잘 보살피고 가꾸어 줄수 있는 사회적 인식과 기반이 필요합니다.

보안전문가는 맨날 남에 싸이트만 뚫고 나쁜짓만 하는 사람이 아닌 전반적인 국가나 조직내에서 올바른 인터넷 사용과 비보안전문가로하여금 안전한 사이버 관리를 위하여 노력하고 보람도 갖을수 있는 문화와 인식의 정착에 앞장서는 사람으로 보는 시간을 갖어야 합니다.

이러한 기반은 마련되지 않은채 조직이나 기업에서 요구 하는 인력 스펙을 보면 아주 초 울트라 수퍼급을 요구합니다. 보안 공부를 해 본 사람은 아시겠지만 분야도 광범위 하고 자기가 관심 있는 분야만 잘 한다고 해서 전문가 일수 없습니다. 다양한 노하우와 경험 그리고 지식을 요구 하니까요. 쉽게 말하면 보안전문가들이 놀 만한 장소가 없다는 것이지요. 그러면서 국가나 사회는 유능한 보안인력을 요구 하고 있지요.  조금은 개방적이고 오픈된 마인드로 아..이제는 정말 보안이 중요하구나..저 사람들이 있기에 안전하게 인터넷을 사용할수 있구나 하는 인식의 확대가 시급합니다.


5. 정보보호전문가, 보안전문가, 기준마련도 중요해

이러한 인력을 확보하기 위하여 가장 먼저 해야 할 일이 관련 인력에 대한 기준 마련이 중요하다고 생각이 듭니다. 그런 기준이 마련이 되어 있지 않는다면 누구나 전문가라고 하면서 자신만이 알고 있는 그 기술만 가지고 일반 대중에게 다가서다가 커다란 오류를 범할수 있기 때문입니다. 제가 개인적으로 생각하는 기준은 다음과 같습니다.
  • 정보보호, 보안에 대한 전공을 한 사람
  • 정보보호 관련 업무에 3년 이상 종사한 사람
  • 보안관련 최소 1개 이상의 자격증을 보유한 사람
  • 정보보호나 보안관련 특허를 가지고 있는 사람
  • 보안이나 정보보호 관련 논문을 1편 이상 발표한 사람
  • 정보보호나 보안 윤리에 대한 확고한 신념이 있는 사람
  • 무엇보다 보안에 남다른 열정을 가지고 노력하고 연구 하는 사람

정도가 아닐까 생각합니다. 너무 까다롭나요?

관련 기관에서나 국가에서도 이러한 부분을 잘 관리 해 주어야 할 것입니다. 11일 국방부에서는 사이버부대를 창설 한다고 하니 한번 지켜 보도록 하겠습니다. 좋은 롤 모델이 되어 사회에 그 인력이 훤원이 되었으면 하는 바램을 가져 봅니다.


마무리

정보화 사회에 살고 있는 우리는 점점 인터넷과 정보화를 실생활에서 사용하고 있기에 그 편리성과 보안은 trade-off 관계에 놓이게 됩니다. 이에 따라 미래 직업중에 정보보안전문가는 유망직종으로 이야기 하고 있고, 어린 청춘들은 장미빛 청사진을 가지고 이쪽에 발을 들여 놓습니다. 이래 저래 이상과 현실에서 갈망하는 시기를 지나 나이를 먹고 나면 이젠 이 바닥도 못해 먹겠다고 하면서 무엇하나 돈 된다고 하면 금새 생겨나 시장의 포화로 제 살 갂아 먹기로 되어 버립니다. 그러다 나이가 들면 살아 남은 사람은 살아 남고 그렇지 못한 사람은 이런 세태를 한탄하며 업계를 떠나겠지요. 그런 악순환이 되는 가운데 국가의 안전은 누가 지키겠는지요?

당부드립니다. 국가에서 이젠 보안을 관심 갖어 주시고 보안에 일하는 사람이 자부심을 가질수 있는 토대를 마련해 주시기 바랍니다. 그렇지 않으면 노트북에 마이크 방지 버튼뿐만 아니라 그보다 더한 장치도 부착해야 할지도 모릅니다. 보안을 바라볼때 올바른 시각을 바라보며, 보다 든든한 버팀목이 필요한 것입니다. 꼭 관련업계나 이제 막 보안 공부에 발을 들여 놓은 모든 분들이 비젼과 희망 그리고 자부심을 가지고 일하고 공부 할수 있도록 제도권에 계신분들이 꼭 힘써 주셨으면 하는 바램을 가져봅니다.  @엔시스.

신고
Posted by 엔시스


지난 2009 ISEC2009에서 지경부에서 발표한 자료에 따르면, SIS(국가공인 정보보호전문가) 민간자격증이 국가기술자격증으로 된다는 것이 핵심이다.




중점 추진과제를 보면 위 그림과 같다. 현행 민간기술자격증이 개편이 되어 [국가기술자격증]이 된다는 것이다.

  • 정보보호기술사
  • 정보보호 기사
  • 정보보호 산업기사
  • 정보보호 기능사

4가지 인력으로 정보보호(보안)인력이 양성이 되는 것이다. 
 

7.7 DDOS 대란이후 많은 정보보호에 대한 관심이 일고 있고, 특히 이번 사건은 행정기관을 대상으로 하여 공격이 감행이 되었기에 그 무엇보다 보안이나 정보보호에 관심을 가지게 하는 계기가 되었다.


그럼 SIS 자격증이 국가기술 자격증으로서 가지는 의미는 무엇인가?


사건 사고가 터질때마다 인력부족을 이야기 하고 있다. 막상 관련 업체에서도 인력이 없기는 마찬가지이다. 어느정도 실력이 갖추어 졌다고 생각하면 그 보다 더 조건이 좋고 안정적인 행정기관이나 대기업으로 자리를 이동한다.

그렇다보니 늘 업계에서는 활용할만한 인재가 없다고 말한다. 언론에도 늘 언급되는 이야기이지만 취업하지 못해 넘쳐나는 것이 현실인데 정작 실무에서는 활용할 인재가 없다고 말한다. 아이러니 할수 없는 것이다. IT업계가 대부분 비슷하겠지만 특히, 보안(정보보호)업계는 더욱 더 그렇다.

이러한 의미에서 SIS가 국가기술자격증이 된다는 것은 상당한 의미를 가진다. 그 하나하나를 살펴 보겠다.


첫째. 자격증 신뢰도와 위상이 높아진다.

9년동안 보안의 중요성이 이야기하고 인력양성을 이야기 했지만 결국 공염불에 지나지 않았고 정보처리가 더 우선시 되는 웃기지도 않는 현상이 벌어지고 있다. 아직도 정보를 처리 하지 못하는 사람이 몇명이나 있는가? 기존에 정보화, 전산화가 안되어 있을 시절에 있던 자격증 제도가 아직도 그 기준으로 한다는 것이 현실성에서 조금 떨어진다는 것이다. 지금은 정보를 처리 하는 시대가 아니라 이미 처리된 정보를 보호 하는 것이 제일 우선시 되어야 한다.

그런 고로 SIS 국가 기술자격증이 된다는 것은 그만큼 정보보호에 대한 관심의 표명이고 국가기관의 보안에 대한 확고한 의지인 셈이다. 거북이 걸음이 되어서는 안될 것이다.



둘째, 체계적인 관리와 프로세스가 정립이 된다.


지금까지 SIS 민간자격증은 보안의 중요성 때문에 2001년 12월 SIS2급을 시작으로 하여 시행이 되었지만 검정기관만 3번이 바뀌었다. 처음에 정보통신교육원->전파진흥원->정보보호산업협회 등으로 바뀌는 동안 각 기관마다 처음하는 검정사업이다 보니 업무에 있어서 시행착오가 많았다. 동일문제출제에서부터 오타 그리고 시험장소, 시험감독까지 솔직히 그리 썩 만족하는 수준은 아니었다. 다행히 시험응시생이 그리 많지 않아서 그렇지 만약 수 많은 수험생이 있는 정보처리기사처럼 되었다면 벌써 이슈화가 되었을 것이다. 일부 실기시험 관련하여서는 논란이 된적이 있었다.

SIS자격증 문제점 바로잡기, 커뮤니티 힘이 컸다

이러한 관리적인 부분을 국가가 책임을 짐으로 인하여 정보보호와 보안에 대한 관리 감독이 철저하게 이루어지고 영리사업이 아닌 국가 인력양성 사업으로 전환 하는 계기가 되는 것이다.



셋째, 정보보호(보안)인력 선순한 구조로 바뀐다.


민간에 머물러 있던 국내 대표하는 보안자격증이 국가기술자격증으로 됨으로 인하여 많은 인센티브가 제공이 될 것이다. 대표적인 인센티브를 나열해 보겠다.

    • 국가 행정기관 및 공공기관,지자체 시험 응시시 가점부여
    • 보안이 이슈가 된 만큼 정보처리 보다는 정보보호가 우선시
    • 각 공공기관과 지자체에 정보보호 (보안) 인력 수요 충족
    • 대 기업, 중소기업에 보안인력 수급 조절
    • 교육기관(대학교,중고등학교)의 정보보호에 대한 교육 강화(정보보호자격증 소지 교사 학생교육)
    • 전국 대학교 정보보호 학과 관련 개설 및 증설
    • 정보처리가 아닌 이제는 정보보호하는 시대성 반영 


마무리글


한국정보보호산업협회도 이제는 지식정보보안산업협회로 개명하고 정부관련 과제도 지식정보보안 산업과 또 융합IT를 지향하고 있어  향후 미래는 지식산업이 이끌어 갈 것이다. 그 가운데 지식정보보안 산업은 그 선두에 있는 것이다. 하지만 국내를 대표하는 공신력있는 보안자격증 없고 지금까지 무관심해 온 것이 아닌가 하는 생각을 가지게 된다.

그것은 자격증이라는 것이 다른 사업보다 우선순위에서 우위를 점할수 있는 사안이 아니기에 그보다 더급한 사업만 진행을 하다보니 지금까지 악순환의 고리를 끊지 못하고 있는 것이다. 그 시발점에서 SIS 자격증이 국가기술자격증이 된다면 선순환의 구조로 바뀌는데 일조를 하리라 생각을 한다.

물론 자격증이라는것이 모든 것을 해결해 주지는 않는다. 하지만 무엇인가 사람들의 관심과 자연스럽게 흘러갈수 있는 물꼬를 터주는 것이 바로 정부가 해 주어야 할 일인 것이다.

따라서, SIS자격증이 국가기술자격증이 되려면 법령개정과 관련기관(노동부)와 부처간 협의를 거쳐 급물살을 타서 빠르게 진행이 되었으면 좋겠고, 거북이 걸음을 하지 말았으면 한다. 또한 제3의 사이버 대란이 일어나지 않게 되길 바랄뿐이다.  지금 막 분위기를 탓을때 정책 집행을 하지 않으면 똑 같은 반복이 되풀이 되는 것은 자명한 것이다.

국가 사이버 안전을 보호하고 자신의 개인의 정보를 보호 하기 위하여 관련 인력을 양성하고 정책집행이 하루빨리 이루어지길 고대하는 바이다. @엔시스.



신고
Posted by 엔시스

[칼럼] 보안전문가, 이젠 윤리적 소양을 가져야 할때

 


                                                                          <이미지출처: 보안뉴스>

최근 한 보안업체를 가장하여 악성코드를 전파하고 중국소재에 있는 통제시스템에서 원격으로 조종을 하여 국내 70여개 인터넷 사이트를 대량의 신호를 보내어 과부하를 일으키는 일명 DDoS 공격(서비스방해공격)을 하여 충격을 주고 있다. 이는 일부러 악성코드를 배포하여 수십만명을 감염 시키고, 이들을 이용하여 다량 트래픽 공격을 하여 자신의 공격 방어시스템을 판매를 하고 또는 경쟁사로부터 청부를 받아 공격을 하였다는 이야기는 가히 충격적이다.


보안업계 있는 사람이라면 가끔 듣는 이야기인 하지만 보안에 대한 지식은 양날의 칼을 가진 것과 같다. 그래서 보안전문가는 반드시 윤리적 소양을 바탕으로 하여 도덕적인 기본 자질을 갖추어야 할 것이다. 그렇지 않는다면 이롭게 쓰여야 할 전문적인 지식을 오히려 다른 곳에 사용하게 된다면 그 피해는 고스란히 일반인들에게 돌아가게 마련이기 때문이다.

흔히 해커라고 하면 왠지 음지에서 무엇인가 연구하고 남에게 피해를 입히는 선입견을 가지는 것도 윤리적 소양이 없기 때문에 일어나는 일이라 할수 있겠다. 또한 실제로 그런 일들이 일어나기 때문이다.

결국, 사람이 문제인 것이다. 그래서 난 기본적인 나의 보안철학을 철저하게 믿는다. 그것은 보안 = 사람이고 사람 = 교육이라는 것이다.  최근 한 보고서에 따르면 정보보호전문가의 특급,고급,중급 기술자는 감소하는 반면 초보 기술자는 증가하고 있다는 보고서를 본 적이 있다. 그것은 이러한 윤리적 소양을 갖추는데 초급 기술자들에 대한 미흡한 교육 시스템도 문제이다.

 아무런 교육시스템이 없기 때문에 사이버 안전을 지킨다는 사명감보다는 그져 영웅심과 기업의 비즈니스 이윤추구만을 위하여 전문지식을 쓴다는게 안타까울 뿐이다., 따라서 해당 부처에서는 이러한  인터넷 사용자들을 위한 윤리적 소양을 가질수 있는 제도적 정책 마련도 고민해 보아야 할 것이다.  특히 보안전문가, 정보보호전문가들의 도덕적 소양이 요구되는 때이기도 하다.

 

신고
Posted by 엔시스

우연히 검색을 하다가 정보보호전문가, 보안전문가가 되고자 하시는 분들에게 약간 도움이 될만한 사항을 마인드맵으로 그린 자료가 있어 소개해 드리고자 합니다.



우선 자료부터 먼저 보여 드리겠습니다. 출처는 캡쳐에 나와 있습니다...


                                                                     < 그림을 클릭하시면 크게 보실수 있습니다.>


우선 간략하게 살펴보겠습니다.  중앙을 기준으로 하여 좌측은 보안업무를 위한 기관이 주로 되겠고,, 우측은 보언업무를 위한 것과 도움이 되는 교육기관 정도로 보시면 되겠습니다.

혹시 보안에 관심이 있으시거나 또는 이쪽으로 취직을 하시고 싶은 분들은 도움이 되는 자료가 되겠습니다. 조금은 너무 간략하게 나온면이 없지 않아 있지만 그래도 한번 눈에 익혀 두시고 자신이 어디로 갈지에 대한 로드맵을 그려 보시면 되겠습니다..

참고 하시기 바랍니다.



신고
Posted by 엔시스

지금 이시간에도 다양한 사이버 위협이나 취약성으로부터 각종 정보에 대한 위협을 받고 있습니다. 이를 관리하고 운영해야 하는 사람이 바로 정보보호관리자나 보안담당자입니다. 그런 인력을 가늠할수 있고 측정할수 있는 객관적 기준으로 정보보호에 관련된 자격증이 있습니다,. 현재 국가공인 정보보호전문가(SIS) 자격증에 문제점이 없는지, 조금더 나은 방향으로 발전해 나갈수 있는 방법은 없는지 살펴 보겠습니다. 여기에 국제 보안자격증에 대한 것은 논외하겠습니다. - 편집자 주



1. 왜 정보보호(보안)자격증이 필요 할까?


우린 이런 궁금증을 가져야 할 것입니다. 그냥 남들이 다 가지고 있으니까...졸업생이나 이직하고자 하는 분들은 취업의 도구로 아니면 자기계발의 도구로...아니면 명함에 그냥 기록할려고...우린 원천적인 물음에 한번 깊이 고민해 볼 필요가 있습니다.

첫째  보안자격증은 필수가 될 것이다.

향후 미래에 도래할 것은 넘쳐 나는 정보를 보호하고 자산을 보호해야 하는 일은 특정 업무를 하는 사람만 하는게 아니라 임직원 누구나 모두에게 해당이 될 것입니다. 경영자라고 해서 예외일순 없습니다. 누군가 보안적 마인드를 가지고 여러가지 위협에 대책을 마련을 해야 하는것입니다. 그런 사람들이 많이 늘어나야 하는 것입니다.

둘째 내 자산을 지키고자 하는 것은 인간 본능이다.

정보를 보호하고 자신의 것을 지키는 것은 인간 본능입니다..그래서 소유욕이 있고 탐욕이 있는 것입니다. 그런 자신의 것을 지키고자 하는 마음의 자세가 아직 준비되어 있지 않는다면 이미 스스로의 경쟁에서 멀어지고 있는 것입니다.


셋째 요즘 보안이 적용 안되는 곳이 없습니다.

어떤곳에 근무를 하던 어떤 시간에 있든 최근 보안이 이슈가 안되는 곳이 없습니다. 폭 넓게 본다면 전부 보안에 대상이 된다고 하여도 과언이 아닙니다. 이런 고로 보안에 필요성은 두말할 나위가 없습니다. 하지만 아직까지 이런한 사항을 깨닫지 못하는 경영자가 있다면 정말로 불행한 조직에 있다고 보시면 되겠습니다.




2.  국가공인 정보보호전문가(SIS) 자격증, 국내 대표하는 보안 자격증일까?


2001년 12월에 처음 시행하여 지금까지 약 9년에 걸쳐 시행해 오고 있지만 아직까지 그 홍보면에서나 인지도 면에서 떨어지는게 사실입니다. 요즘처럼 언론상에서 해킹에 대한 자극적인 제목으로 오르내리고 있지만 정작 정비를 해야 하는 인력양성이나 제도면에서 등한시 하는게 사실입니다.

국가공인 민간 자격증으로 국내 보안을 책임질수 있는 역량있는 보안자격증으로 자리매김 하기 위해서는 보다 책임있는 분의 적극적인 정책적 제도 마련이 필요하겠습니다. 조금더 솔직하게 말하면 해외 보안 자격증을 국내 대표하는 보안 자격증이라고 말할수는 없는 것입니다.

따라서 이제는 보안이 IT를 하는 사람만의 문제가 아니라 누구나 인식을 같이하고 함께 도전하여 적극적인 사이버 위협으로부터대처할수있는 인력을 가늠하는 국내 대표 보안자격증으로 위상을 높혀야 합니다,.



3. 자격증 취득자에 대한 인센티브 혜택이 미흡하다.


자격증에 대한 인센티브 혜택이 적기 때문에 아직도 망설이는 경우가 많습니다.  몇몇 인센티브 혜택이 있긴 하지만 아직까지 부족한것이 사실입니다. 개인적인 생각으로 적어보겠습니다.

-. 각  보안 담당자는 반드시 SIS 자격증을 소지 해야 한다. - 보안담당자라면 최소한 자격증 갖추어야 합니다.
-. 공공기관 보안담당자는 따로 채용을 하되 해당 자격 요건을 갖춘 사람이 응시 할수 있도록 한다.
    (이제는 누구나 채용을 해서 담당자를 선정하는게 아니라 전문화된 인력을 채용하여 전문적인 관리가 필요합니다.)
-. 각기업 정보보호담당자는 해당학과 내지 정보보호전문가 자격증을 소지해야 한다.
-. 각 군에 보안담당자는 정보보호자격증을 소지해야한다.

이러한 사항들은 위에서도 언급을 했지만 이제는 전문화된 인력을 채용하여 보다 체계적이고 구체적인 대안과 방법을 모색해야 합니다. 보안에 전혀 관심도 없는 사람을 데려다 교육을 하는 것 보다 사전에 보안에 관심이 있고 자격이 구비된 인력을 활용하는게 중요하겠지요..


4.  SIS 자격증 소지자에 대한 사후관리가 미흡하다.


우선 국가공인이라는 타이틀을 가지고 취득을 하였다 하더라도 사후관리 방안에 대하여도 고민을 해야 할 것입니다. 세미나를 개최한다든지..커뮤니티를 활용한다든지 하는 적극적인 사후관리에도 신경을 써야 할 것입니다. 특히 자격증 만료가 되었을때 사전에 미리 알려주어 갱신을 도와 준다든지 하는 사업성에 대한 보다 적극적인 지원책이 마련이 되어야 할 것입니다. 또한 자격증 소지자를 어떻게 하면 잘 활용 할 것인지에 대한 활용 부문에도 신경을 써야 할 것입니다.

필자는 보통 책을 한권 읽더라도 이책을 읽고 나서 내가 무엇인가를 느끼고 공감하고 가져갈수 있는 그리고 그것을 이용하여 활용할수 있는 방법에 대하여 상당한 고민을 합니다. 혹자는 왜 그렇게 하냐라고 묻지만 그렇지 않다면 차라리 전 그 시간에 따른 것을 하려고 합니다. 따라서 SIS 자격증 이용한 다양한 활용방안이 있어서 사후관리에도 도움이 되는 자격증이 되었으면 좋겠습니다.



5.  정보보호,보안 홍보대사 지정 연예인은 없는가?


예전에 한번 제안한 사항이기도 하지만 정보보호에 대한 아직까지도 홍보가 미흡합니다.  00 홍보대사라고 해서 많이들 있지만 아직까지 정보보호홍보 대사 한명 제대로 없습니다. 그만큼 앉아서 정보보호가 중요하다, 보안이 중요하다라고 외치면서 실천이 안되고 있는 것입니다. 

국민들은 머리아프고 기술적인 이야기들은 외면 해 버립니다.

그리고 각종 언론에서 자극적인 문구가 있는 기사가 발행이 되면 또 불안에 떨게 됩니다..이러한 반응들은 아주 반복적으로 되고 있습니다.  그리고 해당 담당자들은 많은 요구사항들을 받게 됩니다. 오히려 너무 반복되는 현상이라 이젠 그러려니 할수도 있습니다..이러한 부문에 적극적인 국민들의 보안의식 고취를 위한 홍보를 해야 합니다..

그래서 정보보호 홍보 대사를 마련을 할것을 직접 또 제안하는 바입니다.
 
물론 이러한 사항은 지난해 중장기 정보보호대책의 일환으로 명시한 바가 있으나 그부분도 제가 처음 언론에 칼럼을 쓰고 난 이후입니다.  아직까지 보안에 관심이 있는 제가 모르고 있는걸 보니 이런저런 정보보호/보안 홍보대사가 없는 모양입니다..
 
홍보대사 지정은 그해 시작된후 바로 해야 하는 것입니다..약 반년이 지나고 중반에 한다는 것은 아무런 의미가 없다는 것입니다. 바로 실천할수 있는 정책은 바로 시행 해야 한다는 것입니다.

혹시 압니까? 지금 꽃보다남자 "구준표"를 홍보대사로 지정하여 청소년 인터넷 중독과 보안과 정보보호에 대한 홍보를 각 방송과 언론 매체에 한다면 그 파급 효과가 얼나될지...



6.  SIS 자격증, 국가 기술자격증으로 승격시키는게 바람직하다.


이러한 여러가지 문제점을 안고 있지만 아직까지 올해 시행되는 자격증 시험 일정도 발표가 되고 있지 않습니다. 보통 3월에 발표가 된다고는 하지만 한해 정책을 바로 만들어 연초에 발표하여 1년에 공부를 하면서 준비할수 있도록 수험생들에게 불편함을 덜수 있는 서비스를 해야 하는 것입니다.

만약, 국가기술자격증이 된다면 연초에 1년에 대한 계획과 방안이 바로 도출이 되어 준비하는 분들로 하여금 불편함도 없고 국내 보안을 대표하는 자격증으로 위상 정립도 될 것입니다.  제가 너무나 안타까운 점 중에 하나는 제도 마련은 되어 있지만, 필요성과 보급성은 알지만 아직까지도 한쪽 변두리에서 정보보호가 외면 받고 있다는 사실입니다.


7. 매년마다 되풀이 되는 반복적인 악순환의 고리는 올해에 끊었으면


이제는 누구나 보안적 사고 방식을 가지고 있어야 합니다. 특히 우리나라처럼 인프라가 많이 갖추어져 인터넷이 생활의 한곳으로 자리잡고 있는 것은 더욱 그렇습니다.  인터넷 뱅킹 사고라든지 개인정보 유출이라든지 여러가지 다양한 위협이 존재하고 있습니다. 이러한 업무를 할수 있는 인력, 전문화된 인력 들이 많이 양성이 되고 보급화가 되었으면 좋겠습니다.

그럼
"자격증만 있으면 전부 정보보호전문가냐"

라고 반문 하실수도 있지만 최소한 우리가 일상적으로 가장 쉽게 접할수 있는 정보보호에 다가설수 있는 길일 것입니다. 이러한 것들이 제대로 관리되고 조금 더 나은 정책으로 발전해 나갈수 있다면 우리나라의 사이버 안전은 한층더 강화가 되지 않을까 합니다..



마감하는글

국내외를 대표하는 보안자격증은 많이 있습니다. 그리고 오늘도 이러한 자격증을 취득하여 인정을 받고 싶어하는 사람들이 있습니다. 하지만 국내를 대표하는 보안자격증인 SIS 자격증이 여러가지면에서 조명을 받지 못하고 전부 시험이 어렵다 그것을 인정도 안해주는 것을 왜 따냐는등 외면 받고있고, 심지어 정보보호 인력 양성을 외치면서 가장 많은 일반 대중이 접근할수 있는 부문은 외면 받고 있는게 사실입니다. 이게 여러가지 이 생각 저생각을 포스팅 하여 보았습니다..비록 제 혼자 하는 말이고 제 혼자 하는 생각이지만 언제가는 전국민 보안 마인드 향상과 인식제고가 향상될 것을 기대하면서 포스팅을 마감하겠습니다..해당 부처에 있는 관련 기관 담당자분들께서는 조금더 열심히 분발해 주었으면 하는 바램을 가져봅니다. @ 엔시스


기타 관련 도움 포스팅

2008/06/16 - [정보보호 자격증] - SIS 자격시험 수험생 불만 `폭발`
2008/06/10 - [정보보호 자격증] - 국가공인 정보보호 자격증(SIS) 운영 논란 - 실기는 서울에서만 봐라(?)


신고
Posted by 엔시스

한국 정보보호진흥원에서는 여러가지 정보보호 사업성 프로젝트를 조기 발주를 하고 있습니다. 그중에 눈에 띄는 것이 고용계약형 지식정보보안 석사과정입니다..

국내 4년제 대학중에서 이러한 대학원 과정을 개설을 하면 정부가 총 9억원에 달하는 사업비를 지원 한다는 내용입니다..

이제는 조금 더 특화된 전문 인력을 배출 하려고 하는 것입니다. 하지만 이러한 사업의 문제점은 없는지 기존 정보보호학과 관련해서 배울점은 없는지 등을 살펴 보겠습니다.

1. 고용계약형이면 선발기준이 어떻게 될까

말 그대로 석사과정을 이수하면 관련 분야에 고용 된다는 가정하에 배우는 석사 과정이라 생각이 됩니다. 그러면 이러한 부분에서 과연 선발 기준은 어떻게 될지가 궁금합니다. 아무래도 밥 벌어 먹고 사는것과 연관이 되다 보니 선발기준이 강화 될 것 같다는 생각이 드는데 기존 신입 석사 과정생이 많을지..아니면 직장에서 조금 더 경쟁력을 갖추기 위하여 준비하려는 사람이 많을지..


2. 다양한 커리큘럼을 만드는 것은 환영

동국대학교에서는 사이버포렌식 석사 과정이 만들어 지고 일부에서는 산업보안 MBA 과정이 만들어져서 전문 인력 양성에 박차를 가고 있습니다. 이러한 부분들은 조금 더 정부에서 지원을 하여 많은 전문 인력이 양성이 되었으면 합니다.



3. 강사진 20%가 현직연구(개발자)라..



이러한 부분들은 일부 교수님 위주로 하는 이론적인 학문에서 벗어나 현직 경험을 그대로 교수 학습 할수 있는 좋은 계기라고 되겠습니다..다만 현직 실무자의 경우 교수 학습법에 대한 기본적인 학습이 되어진 강사진이어야 겠습니다.

아무리 실력이 좋더라도 교수 학습법도 무시 할수 없는 것이라 아무래도 예전에 1-2학기 정도 대학에서 강의 학습 경험자가 되면 경험이 있기에 유리 하겠습니다..


4. 국내 정보보호 관련 학과는 실무자 강사가 부족해

국내 정보보호 관련 학과의 경우 대부분 정통 정보보호 보다는 수학이나 전자공학,컴퓨터 공학등 다른 전공을 하고 정보보호나 보안을 전공하시는 분들이 많이 계십니다. 물론 훌륭한 분들이 많이 계시지만 실무에 있으신 분들이 많지 않으십니다.

이러한 부분들은 학문에는 많은 도움이 될지 모르나 실제 실무에서 경험한, 또는 졸업과 동시에 바로 취직을 해야 하는 상황에서는 아무래도 능력있는 현직 실무자가 일부 포함이 되거나 배치가 되면 훨씬 더 현실감 있는 교육 커리큘럼이 될수 있지 않을까 하는 생각을 해 봅니다. 물론 여기에서도 약간의 강의 경험과 교수법을 경험한 현직 실무자이면 더욱 좋겠습니다..


고용계약형 사업공고를 보다가 강사진의 20%정도는 실무진으로 구성한다는 문구가 있어 이렇게 포스팅 해 보았습니다. 무엇보다 경험에 의한 여러가지 노하우와 체험도 중요한 교육의 한 방법이기에 국내 정보보호 인력 양성의 질적 향상을 위해서는 바람직 하다는 내용을 포스팅으로 마무리 하고자 합니다..

이러한 교육으로 더 많은 양질의 전문화된 인력이 양성되기를 기대해 봅니다.. @엔시스

신고
Posted by 엔시스

필자는 늘 정보보호전문가는 누가 정보보호 전문가인가에 대한 물음에 항상 의문을 던지곤한다. 우리가 흔히 말하는 정보보호전문가란 과연 어떤 사람을 가지고 어떤 기준을 가지고 말하는 걸까?

사실 애매하긴 매 마찬가지이다. 우선 다음과 같은 케이스로 찾아 볼수 있다.


정보보호 관련 업무를 하는사람정보보호 관련 솔루션의 취급관리하는 사람,  정보보호 관련 이론을 연구하는 석,박사,,정보보호 관련 자격증을 소지한사람, 등등...

과연 누구를 가지고 정보보호(보안)전문가일까?

늘 그 기준이 애매하긴해도 필자는 다음과 같이 정의 해 본다.

최소한 정보보호 관련 전공을 하고, 정보보호 관련 업무를 최소 3년이상 경력이 있으며 정보보호 관련 자격증 1개 이상 소지하고 있는 사람이면 그 기준을 충족하지 않을까 하는 생각을 한다.  물론 여기에도 약간의 애매하긴 해도 그래도 그 정도 기준을 가지고 있어야 한다는 생각을 가지고 있다.

이러한 기준이 명확히 정의가 될때 이제 막 이런쪽에 관심이 있어 공부를 하고자 하는 분들이 어떠한 목표를 가지고 진정한 전문가 (specialist)에 도전하지 않을까 생각을 한다.

그런 전문가가 사이버 안전을 위하여 많이 양성이 되고 정부차원에서 제도적으로 서포팅을 해 줄때 우리의 사이버 안전은 더욱 강화 될 것이다.





신고
Posted by 엔시스

국가공인 정보보호전문가 자격증 실기 시험이 8일 전국에서 치러 집니다...말도 많고 탈도 많은 보안업계에 발을 딛고 전문성을 인정 받기 위해 치러지는 시험입니다..

올해 들어선 지난번 필기, 실기 시험이 끝났고,  9월에 필기시험이 치러쳤고 이번에 거기에 합격한 분들이 실기에 참여 하게 됩니다..

정보보호전문가 자격증 시험 실기는 단답형, 서술형, 작업형 으로 3가지 종류로 시험이 치러지고 있으며 오전 9시에 시작하여 보통 12시30분정도면 끝이 납니다..

실기 시험이라고는 하지만 답안지에 수험자가 서술을 해야 하는 점에서 완전한 실기 시험이라고는 볼수 없겠습니다. 따라서 다양한 지식과 많은 경험을 바탕으로 하여 요구하는 질문에 대해 가장 합리적인 답안을 적는게 합격의 지름길이라 볼수 있습니다..

실기 시험은 채첨을 사람이 직접하기 때문에 자칫 주관적으로 흐를수 있고, 역으로 말하자면 질문에서 묻고자 하는 내용을 충실히 기술 한다면 무난히 실기 시험을 통과 할수 있을 것입니다..

혹시 실기 시험을 앞두고 있으신 분들은 참고 하시면 되겠습니다..시험 보시는 분들 모두 좋은 성과 있기를 기대하겠습니다...


신고
Posted by 엔시스

보안에 관심이 있다가 보면 자격증에 대한 관심도 커지게 마련이다. 그건 정보보호에 대한 관심의 측정 기준이기도 하지만 자격증 공부를 하면서 여러가지 공부를 하게 되기 때문이다. 2008 국가 정보보호 백서에 나온 정보보호 자격증 현황을 살펴 보고자 한다.

어제 '2008 국가정보보호 백서' 를 업로드 하여 준 일이 있는데 백서에 의하면 정보보호 관련 자격증에 대한 응시자 및 합격자 통계가 나와 있어 소개 하고자 한다.

이러한 통계는 국가에서 만드는 정책 보고서나 백서가 아니면 개인적으로 잘 얻기 힘든 데이타이므로 약간은 흥미스러운 것은 사실이었다..



우선 정보 시스템 감리사 자격증에 대한 응시자 및 합격자 현황을 보면 최근 4년간 응시생이 자꾸 늘어나는 것을 알수 있다. 그만큼 정보보호(보안)에 대한 요구가 많아지는 탓이라 생각이 든다. 합격자수는 응시자에 비해 그리 많지 않음을 알수 있다.


그 다음 국내 유일의 국가공인 정보보호전문가 자격증인 SIS 자격증의 경우 2002년부터 1급 자격증 응시생의 수는 자꾸 늘어가는 것을 볼수 있다. 또한 합격자 수도 일정하게 나타남을 알수 있다. 2급 응시자수도 늘어남을 알수 있다.  2002년부터 총 응시자수는 3100명 정도이고 합격자수는 약 300명에 이르는 것으로 나타났다.

사실, 합격자수에 대해서는 너무 저조 한거 아니냐 난이도에 문제가 있는것 아니냐 하는 말들이 많은데 개인적으로 너무 난립하여 변별력이 떨어지는 자격증이 아니었으면 좋겠다. 열심히 준비한 만큼의 댓가가 있고 그 만큼 사회에서 인정해 주었으면 하는 바램이다. 하지만 아직도 대중화를 위해서는 난이도 논의는 지속 될 것으로 생각이 든다.

기타 국외 자격증의 경우 CISSP는 약 2500여명 정도로 알고 있고 CISA는 그보다 더 많은 것으로 알고 있다.  여기서 물론 자격증이 중요한 것은 아니지만 정보보호전문가라는 기준이 모호하고 정보보호 인력 양성과 현황에 대한 기준이 모호 하기 때문에 그 기준으로 많이 삼는다.

자격증이 있다고 해서 모든 것이 해결되고, 전문가이고, 취직이되고, 이직이 되는 것은 아니지만 사회 전반에 걸쳐 보안에 대한 인식의 향상과 마인드 제고에 앞장 설수 있는 인력 양성은 불가피한 상황이다. 따라서 정부차원에서 정보보호전문가 자격증 제도에 대한 인센티브 제공과 홍보에 더 많은 노력을 기울여 주기를 바란다.




신고
Posted by 엔시스

아...역시 제목을 조금 세게 적으면 낚시성 글이 될꺼 같네요...요즘 워낙 해킹에 대한 이슈가 많으니 관심 좀 가지셔도  나쁜 의도는 아니니까요...

올해부터 국가공인 정보보호전문가 (sis) 자격증 검정 기관이 한국정보보호 산업협회로 바뀌었다. 물론 시행기관은 한국정보보호진흥원(kisa)이다,

다음달 24일 2008년 올해 들어 첫 시험이 시행 됨으로 www.sistest.kr 홈페이지 들어 가 보았더니 아직도 웹싸이트가 제대로 정비가 안된 느낌이 들었다,

그 가운데 다음과 같이 수험생들이 올린 질문 답변을 전부 비밀글 처리 해 버리는 것은 또 무엇인가?

사용자 삽입 이미지

물론 주민번호 , 회원 가입하면 조회수로 보아 볼수 있는 글이겠지만 글 하나 읽자고 회원 가입에 본인 인증까지 ...최소한  수험생들이 자주 읽고 궁금해 하는 사람들은 다른 사람들도 궁금하게 마련이다..

그런 글 들을 비밀 처리 해버리다니.. 무슨 비밀을 밝히지 못 할 사항도 아닌것 같은데..혹시 자격증 시험을 준비 하시고 궁금해 하는 분들도 공감하시면 댓글 남겨 주시기 바랍니다.

그리고 한국정보보호산업협회 (http://www.kisia.or.kr) 해당 담당자는 이러한 사항을 반영하여 조속히 적절한 조치를 취해 주시기 바랍니다...꼭  주민번호 인증하고 글을 읽어야 할 필요성은 없다고 생각합니다..

신고
Posted by 엔시스

늘 그렇지만 이슈가 되는 것이면 늘 상 주목 받게 되는 것이 있다., 최근 개인정보 및 여러가지 기술유출로 인하여 정보보호 전문가의 수요가 늘어 난다고는 하는데 아직은 갈길이 멀다는 생각을 한다,.

정보보호 전문가 '상한가'

아무튼 이런 뷴위기 조성이 되면 많은 사람들이 공부를 할 것이고, 그렇게 되면 보안 인식도 업그레이드 되어 잘 갖추어진 인프라에 비해 정보보호가 취약하다는 오명에서 벗어 날수 있을 것이다.

오늘도 보니 모 인터넷 증권 방송에서 중국에서 DDoS 공격으로 인하여 여러가지 차질을 빚는다고 한다.  한국 사람들의 성향은 너무 성급한데 있기 때문에 조금이라도 불편하거나 맘에 들지 않으면 서슴없이 떠나거나 비난을 한다., 기업 이미지도 떨어지게 되고 결국 사업과 연계되는 것이다.

이렇듯 쉽게 넘길듯 , 알듯 말듯, 해도 그만 안해도 그만이 아닌 비지니스 핵심으로 떠 오른다는 사실인데 현실은 좀 그렇지 않아서 많이 안타깝다..이런 기사가 많이 나와서 좋은 분위기 조성이 되었으면 하는 바램이다.



신고
Posted by 엔시스

지난달 10경에 국내 최대 오픈 마켓인 옥션이 해킹을 당하는 사고가 발생이 되었습니다..
관련 포스팅: http://www.sis.pe.kr/1848
관련기사: 옥션 1800만 고객정보 대부분 유출...정말?


그러나 한달이 지나도 이렇다할 규명이 없고 단지 패스워드를 바꾸라는 메일 밖에는 없다는 것입니다...그래서 일부에서는 옥션 이용자들 중에서 해킹에 대한 소송 움직임도 일고 있습니다..

옥션, 해킹 사건 그 후..'보안전문가 모셔라' 특명 에서 보면 참으로 안타까운 일이 아닐수 없습니다...꼭 무슨 일이 일어나면 대서특필하고 난 후에야 관련 문제를 찾아보고 합니다..전형적인 소잃고 외양간 고치는 겪이 됩니다...

말로만 개인정보 중요하다고 아무리 외쳐도, 잘하면 본전이고 해킹 사고 당하면 담당자만 죽어나는 현실은 위 링크된 기사처럼 찾아도 찾을수 없는 것이지요..그래서 사람들은 겉으로 드러내기 보다 숨어 버리게 됩니다.. 먹고는 살아야 하기에...

그건 닭이 먼저야 달걀이 먼저냐 하는 문제인데, 꼭 말씀드리고 싶은것은 새정부 출범하면서 제발 정보보호에 대한 적극적인 정책을 펴 주시기를 부탁드립니다...

일터지면 욕먹는 곳이 나라 밥 드시는 분들인데  만약 높으신 분들의 개인정보가 고스란히 중국으로 유출이되어 이곳저곳을 마구 떠돌아 다닌다면 그냥 가만히 있으시겠습니까?

제가 얼마전에도 말씀 드린적이 있는데..저는 사람을 이렇게 정의하고 싶습니다..

" 사람은 체험적 동물이다"
 
 
아무리 다른 사람 이러니 저러니 떠들어도 당사자 일 , 자신의 일이 아니면 귀에 들어 오질 않습니다...자신에게 그런 일이 닥치거나 체험을 하면 관심을 가지게 마련입니다.. 그래서 TV 방송 프로그램중에도 "체험 0000" 이란 프로그램이 장수 프로그램이 되나 봅니다...

자신이 장애가 되어봐야  장애인의 아픔을 알고 , 자신이 가난해 봐야 가난에 대한 아픔을 알고 자신이 해킹을 당해 개인정보가 유출이되어 주민번호등이 인터넷 이곳 저곳에서 검색되어 봐야 알게 됩니다...

앞으로 사이버전에 대비하여 많은 보안관련 인력들이 양성이 되고, 체계적인 정책 수립이 필요할 시점이 아닌가 생각을 해 봅니다...꼭 그렇게 되기를 바랄뿐입니다.. 옥션에서는 반드시 투명한 해킹 사고에 대한 철저한 규명이 되어야 하겠습니다.



신고
Posted by 엔시스

제목이  무언가 많은 것을 전달해 줄 것 같은 느낌이 드는 제목이다..

이것은 아이뉴스24에 안철수 연구소의 강은성 상무님께서 칼럼에 기고한 내용의 제목이다.  만약 당신이 보안전문가를 하고 싶다면 다음에 링크된 2개의 칼럼을 읽어 보시면 많은 참고가 될 것이다.



[강은성의 안전한 IT세상]보안 전문가를 꿈꾸는 이들에게
[강은성의 안전한 IT세상] 보안전문가가 되려면




신고
Posted by 엔시스

국가공인 정보보호전문가 자격증 (SIS) 시험 접수중


2007년도 제2회 정보보호전문가(SIS) 자격검정을 아래와 같은 일정으로 시행하오니 참고하시기 바랍니다.

■ 자격검정 : 12회 1급(필기,실기), 14회 2급(필기, 실기)

■ 접수기간 : 2007. 8. 6(월) 09:00 ~ 8. 17(금) 18:00

■ 검정일시 : 2007. 9. 8(토) 09:00~

■ 합격발표 : 2007. 9. 28(금)   http://www.aiitqc.com

전파진흥원과 KISA에서 진행하는 국가공인 정보보호전문가 자격증 시험이 위와 같이 진행됩니다...

이미 상반기 5월달에 시험이 치러진바 있고 , 지금은 하반기 시험이 치러질 예정입니다.
사용자 삽입 이미지


국가공인 정보보호전문가 자격증(이하SIS) 자격증은 해마다 약 2-3회에 걸쳐 필기와 실기 시험이 치러지고 있습니다.  국내 유일의 국가공인 정보보호에 대한 자격증이란 점에서  많은 사람들이 준비하고 있습니다.

조금만 준비하면 합격할수 있는 시험이지만 정보보호라는 범위 자체가 광범위한 부분이 있고 , 어느정도는 시간과 노력을 투자해야 할 것입니다.

1급 자체는 자격기준이 있어 충족을 해야 하고, 2급은 누구나 시험을 칠수 있는 자격이 주어집니다.

아무튼 이번 시험 준비 하시는 분들 모두 좋은 결과 있기를 바랍니다..



국가공인 정보보호전문가 자격증 관련 싸이트

시험일정및 접수: (http://www.aiitqc.com)
국가공인 정보보호전문가 자격증 모임: (http://cafe.naver.com/nsis)



신고
Posted by 엔시스

1. 개요

정보를 보호 한다는 것은 대단히 중요한 문제이다.  하지만 아직도 일부 왜곡된 시각으로 바라보고 해킹이라고 하면 음지로만 숨게하는 안타까운 일이 아닐수 없다.  어떻게 하면 올바른 정보보호전문가 양성과 체계를 갖출수 있는지 알아보자.


2. 정보보호가 필요한 이유

요즘 모든 작업을 컴퓨터로 처리하는 시대에 살고 있으면서 정보라는 것을 소홀히 여기는 경우가 있다. 그것은 예전에 종이로 보관하던 시대와는 다르게 지구 저편에서 어떤 일이 일어나는지 불과 몇초만에 알수 있는 그런 인터넷 시대에 살고 있다.  정보보호가 왜 필요한지 미처 알지 못했던 부분을 다시한번 살펴 보기로 하자.

1) 무한 인터넷의 시대

예전에는 정보가 누출되거나 잃어버렸다 하더라도 그리 파급효과가 크지 않았다. 하지만 지금은 정보유출이나 이슈가 될수 있는 사안은 인터넷이라는 도구로 인하여 그 파급효과는 엄청난 결과를 가져온다.

그것을 모를리 없것만은 정보누출에 대한  피해에 대해서는 아직도 미흡한 상태..

2) 각종 바이러스,웜,해킹의 피해

컴퓨터를 중심으로 이루어지는 업무를 하다보니 각종 바이러스,웜,해킹에 노출 되기 쉽다.  바이러스 걸린 한대의 PC가 사내 네트워크를 마비 시키는 일을 보적이 있는가?

나는 보았다.

그결과야 말로 상당히 크다는 것을 알수 있다. 안일한 대처에서 오는 결과이다.

3) 정보를 도용한 또 다른 피해

정보를 이용한 또다른 피해가 발생하는 것이다. 해킹이나 바이러스로 인한 정보 유출은 예전에는 자기 능력과시나 실력과시용으로 사용되었지만 최근에는 경제적, 금전적 목적으로 사용되고 있고, 헥티즘이라고 하여 여러가지 위협 요소로 작용하고 있다.

특히, 작년과 올해에 대규모 게임싸이트에 정보도용을 이용한 회원 가입으로 막대한 경제적 이득을 취득하려는 해킹 사건만 해도 비일비재하다.  그만큼 자신과 관련된 정보의 소중함을 안다는 것이다.

4) 잘 갖추어진 인프라에 대한 역효과

초고속 인터넷이 집집마다 깔리고 인프라가 잘 갖추어져 IT강국이라 외치고 있지만 그런 IT강국의 인프라를 활용하려는 외국 해커들의 잦은 침입이 문제가 된다.

그것은 돈 안주고 남의 시설을 ,.그것도 아주 빠른 속도를 자랑하는 인터넷을 사용한다는 것은 분명히 매력적인 것이다. 그렇게 해킹을 당해 다른 서버의 경유지로 이용 되면서 정보에 대한 유출의 위험도 많아진다는 이야기이다.

제발 이제는 신경 좀 쓰자.


3.  정보보호전문가 양성과 진로

정보를 보호하려면 필요한 만큼 인력도 필요하다는 이야기이다. 늘 신문지상에서는 인력이 부족하다고 하지만 실제 현실에서는 괴리감이 있다는 이야기이다. 조금 더 구체적으로 알아 보고 어떻게 하면 자신에 맞는 방향으로 갈수 있는지 접근해 보자.

1) 정보보호학과  개설

최근에 정보보호 학과 개설이 되고 있지만 정보보호만을 하기 위한 커리큘럼으로 학습하는 곳은 얼마 없는 것 같다., 보통 유사학과를 만들고 두리뭉실하게  교육하는 것 같아 안타깝다. 또 해당 학과를 개설 하더라도 지속적이지 못하여 폐과하는 사례도 본적이 있다.

2) 이론과 실습 위주의 교육

너무 이론적인 측면에만 치우치다보면 자칫 포기하거나 지루해 할수도 있는 부분을 실습에서 다양한 시나리오를 가지고 모의 시뮬레이션을 해보면서 하면 조금 더 흥미롭고 관심을 가지고 교육에 임할수 있을 것이다., 물론 그런 방안에는 학생이나 교수는 더 많은 노력을 기울여야 할 것이다.

3) 프로젝트를 이용한 효율적 학습

또 다른 하나는 학기중에 반드시 프로젝트를 하나 만들어 결과물을 도출하고 무엇이 부족하고 내가 한 부분은 얼마까지 하였는지 등등 나름대로 성과물을 도출하는 자세가 중요하다. 그래야 머리속에 남겨 마련이고 이것 곧 자신의 지식이 됨을 알아야 한다.

4) 정보보호 자격증 하나는 반드시 정복하자

국내 자격증 또는 국제 자격증 중에 국내에선 국가공인 되어있는 정보보호 관련 자격증을 반드시 정복해 보자. 국제 자격증도 여러가지 이유로 마련 할수 있으면 마련하자. 단지 국제 자격증의 경우 비용대비 효용성에 의문을 갖는 사람도 있다.  하지만 명색이 정보보호 공부한다는 사람이 대표적인 자격증 하나 정도 없어서는 말이 되겠는가?

5) 정보보호 커뮤니티를 활용하자.

각종 포털이나 카페등에 보면 정보보호관련 커뮤니티들이 많이 있다. 가입을 하여 많은 최신정보를 얻기 바란다. 아무래도 혼자보단 여렇이 모여 있는 곳에 좋은 자료가 많지 않을까 한다.


4. 맞춤형 정보보호 전문가 양성

최근 학교의 경쟁력을 보면 특화된 학과와 기업을 미리 선정하여 MOU(양해각서)를 체결하여 해당 인력을 양성하는 경우가 있다.  그건 기업에 맞는 인력을 양성하여 해당 기업에서 빨리 적응하고 문화를 알게끔 하는 장점도 있다.  또한 그 기업에서 우수한 인력을 다시 후배 양성을 할수 있게  조언자로 나설수 있는 기회도 줄수 있어 일거 양득일수 있다.


결론


정보보호전문가라는 것이 기준이 무엇이고 어디까지가 정보보호전문가인지 애매한 경우가 많다.  얼마전 포스팅 한것에도 언급을 하였지만 자격증이 있다고 해서 정보보호전문가인지 아니면 학위가 있다고 해서 전문가인지 애매한 잣대로 재기에는 한계가 있다.

필자도 국가공인 정보보호전문가 자격증 모임 를 운영하면서 느낀점은 이제는 어느분야에서도 정보보호가 없어서는 안된다는 것이다. 그곳에는  "정보"라는 것이 있기 때문이다.  따라서 앞으로의 정보보호에 대한 수요와 전망은 더 요구 될 것이며 자신이 정보보호전문가에 도전하고 싶은 생각이 있다면  빠른 정보 수집과 정보보호에 대한 흐름과 동향을 이해하고 자신이 취업하고자 하는 기업이 어떤 것을 원하지는 무엇을 하는지를 빨리 파악하여  자신의 능력을 한껏 발휘 해 볼것을 추천해 본다.
신고
Posted by 엔시스

정보보호 자격증 실무비중 높여야


국내 정보보호 자격증의 고급화와 자격증 취득자에 대한 관리가 절실한 것으로 나타났다.

 이민섭 단국대 교수는 27일 서울 잠실롯데호텔에서 열린 ‘제 12회 정보보호심포지엄’에서 정보보호와 관련된 자격증 수요가 급증하면서 고급 인력 수요가 증가하고 있어 국내 관련 자격증의 고급화가 시급하다고 밝혔다.

 정보보호 분야 자격증은 국가공인정보보호전문가(SIS)·인터넷보안전문가·정보보안관리사(ISM)·정보시스템감리사 등 국내 자격증 4종과 국제공인정보시스템감사사(CISA)·국제공인정보시스템관리자(CISM)·국제공인정보시스템보안전문가(CISSP) 등 국외 자격증 3종이 있다.

 국내 자격증은 대부분 내용이 유사해 차별화되지 않으며 다양한 정보보호 영역에 대한 자격의 전문성이 떨어진다. 또, 현장실무능력 검정과는 거리가 있고 현장실무경험자를 위한 고급자격증이 없다. 자격 취득 후 자격 유지를 위한 엄격한 재교육이 없는 것도 문제다.

 이에 반해 외국 자격증은 비영리 단체에서 자격증을 운영하며 응시 대상의 전제조건이 정보보호 관련 분야의 경험이다. 또, 3개 자격증의 합격 결정 기준이 유사한데다 자격 유지를 위한 지속적인 교육 및 관련 분야 경력이 요구된다.

 이민섭 교수는 “국내 자격증에는 응시자가 없고 외국 자격증에는 응시자가 몰리는 등 자격증으로 인한 외화 유출도 심각한 문제”라며 “국내 자격증도 외국 자격증과 같이 고급 자격증으로 개발하고 정부 차원에서 자격증을 관리해야 한다”고 말했다.

 한편, 제 12회 정보보호심포지엄에는 황중연 KISA원장과 정종기 정통부 팀장, 국정원 제2처장 등 2000여 명의 정보보호 전문가가 참석해 성황을 이뤘다. 황중연 KISA원장은 개회사를 통해 “세계적인 IT신성장 모델 국가로 도약하기 위해 정보보호는 필수”라며 “각종 정보화 역기능에 효과적으로 대응해 안전하고 신뢰할 수 있는 정보환경을 구축하고 유지할 것”이라고 말했다.

 전자신문

원문: http://www.etnews.co.kr/news/detail.html?id=200706270154

관련포스팅: http://boan.tistory.com/610

신고
Posted by 엔시스
2005 정보보호 백서에
나타난 2004년까지 정보보호전문가(SIS)
현황입니다..


사용자 삽입 이미지
신고
Posted by 엔시스

원문출처: http://www.inews24.com/php/news_view.php?g_menu=080204&g_serial=267229

링크를 걸려다가 전반적으로 한번 되짚어 보기 위하여 출처를 밝히고 그대로 올려 봅니다.

==================================================================================





"보안 자격증은 어느 정도 실력을 갖고 있다는 라이선스일 뿐이다. 따라서 실무 능력을 대변해준다고 볼 수는 없다."

보안업계에 종사하는 한 엔지니어는 "운전면허 있다고 차 사고 내지 않는다는 법 없지 않느냐?"고 반문했다. 보안 자격증을 갖고 있다고 해서 고급 인력이라고 보기는 힘들다는 것이다.

현재 보안업계의 대표적인 국제 공인 자격증으로는 공인정보시스템감리사(CISA)와 공인정보시스템보안전문가(CISSP) 등을 꼽을 수 있다. 하지만 이런 자격증이 곧 뛰어난 실무능력을 보증해주는 것은 아니다.

이론과 실무의 괴리 현상은 교육기관과 업계 사이에서도 그대로 되풀이된다. 일부 전문가들은 아예 보안업계가 '심각한 고급인력 부족'에 시달리게 된 것은 교육기관에서 배출된 인력이 업계의 요구와 동떨어진 때문이라고 지적할 정도다.

◆양적으로는 풍성, 질적 수준은 "글쎄?"

정보보호산업 분야가 미래 촉망되는 분야로 꼽혀오면서 국내에는 2002년과 2004년 사이 정보보호 관련학과들이 대거 설립됐다. 국정원이 2007년 실시한 조사 결과 현재 ▲14개의 대학교 ▲6개의 전문대학 ▲9개의 일반대학원 ▲2개의 전문대학원 ▲9개의 특수대학원에 정보보호 관련 전공이나 학과가 있는 것으로 파악됐다.

또 국가기관인 ▲국가정보원 국가정보대학원 ▲행정자치부 정자정부교육센터 ▲한국정보보호진흥원에서 관련 교육을 실시하고 있다. 민간기관들 역시 ▲한국정보보호교육센터 ▲라이지움 ▲삼성SDS 멀티 캠퍼스 등 16개에 달한다.

이처럼 정보보호 관련 교육기관은 수적인 면에서는 부족할 것 없어 보인다. 하지만 속내를 들여다보면 사정은 달라진다. 외화내빈이라는 말이 절로 나올 정도다.

정규 교육기관만 봐도 이런 현상은 금방 눈에 띈다. 2004년부터 정규교육기관의 입학 정원은 크게 증가했지만 특성에 맞는 교육 환경을 구축하는 데는 눈을 돌리지 않았다. 학교별 특징에 맞는 차별화된 교육과정, 타분야와의 연관성 등을 고려하지 않고 '수' 늘리기에만 급급하다 보니 업계의 입맛에 꼭 들어맞는 인력을 제대로 길러내지 못하고 있다.

보안업체들은 정규교육기관을 졸업하더라도 자신들이 필요로 하는 인력과는 거리가 멀다고 주장한다.

윈스테크넷 조현정 과장은 "정보보호 관련학과를 졸업했다고 해서 공대를 나온 학생들보다 특출난 능력을 가졌다고 보기 어렵다"며 "각 보안업체마다 주요 사업분야가 다르고 업무 환경에 차이가 있어 관련 학과를 나왔다는게 실무에 큰 도움이 되지는 않는다"고 말했다.

어울림정보기술 강존식 전무는 "정규 교육기관이 생겼다고는 하지만 아직 설립된 지 얼마 안된 경우가 대부분이고 커리큘럼도 안정화 되어 있지 못하다"라면서 "신입사원 채용 때 관련학과 출신을 특별히 우대하고 있지 않다"고 전했다.

◆비정규 교육기관 역시 상황은 비슷

비정규교육도 상황은 비슷하다. 국가기관인 국가정보원이 2006년 3회에 걸쳐 실시한 전문과정에는 고작 62명의 수강생이 참여했을 따름이다.

공무원을 대상으로 정보화 교육을 양성하는 행정자치부 전자정부교육센터도 크게 다를 것 없다. 전문가 과정은 정보시스템보호전문가 과정 하나로 연간 3회, 75명이 과정을 수강했다. 정보보호 전문가를 양성하기에는 턱없이 모자란 숫자다.

그나마 한국정보보호진흥원(KISA)이 중소기업 IT 담당자를 대상으로 정보보호 전문교육을 실시하지만 수요자의 욕구를 충족시키기에는 부족함이 많다는 평을 받고 있다.

사정이 이렇다보니 정보보호관련 민간기관에서 부족한 공급을 메우고 있는 실정이다. 16개에 달하는 민간기관이 교육과정을 운영하고 있지만 이마저 자격증 취득을 위한 단기 과정이 대부분이다.

체크포인트 조현제 사장은 "단기 속성반을 운영해 자격증 취득에만 열을 올리는 사설 교육기관의 교육 행태에 문제가 많다"고 지적하며 "이론과 실무는 차원이 다르다"고 강조했다.

문제점은 또 있다. 장기교육과정이 있는 곳은 초· 중급자 중심으로 커리큘럼이 짜여 있다는 점이 바로 그 것이다. 재직자를 위한 고급 과정이 전무하다는 비판도 피할 수 없다. 비싼 수강료와 열악한 지원 역시 개선해야 할 점이다.

보안업체에 근무하는 A씨는 "유명 사립교육기관에 물어보니 수강료의 일부를 노동부로부터 환급받는 고용보험환급제도가 적용되지 않았다"며 "한 과정당 400만원에 달하는 비싼 수강료가 부담스러워 포기했다"고 말했다.

정보보호관련기관에 종사하는 B씨는 "국내에 고급자에 해당하는 과정이 없어 미국에 직접 가 교육을 받고 왔다"며 "시간과 비용이 아깝지만 어쩔 수 없다"고 한탄했다.

◆정부, 해결 열쇠 쥐고 있어

현재 보안업계가 처한 인력난은 한 두 가지 요인으로 설명하기는 힘들다. ▲저가경쟁에 초토화된 보안시장 ▲인력에 대한 지원에 소극적인 업체 ▲근무환경만 탓하며 이직을 일삼는 종사자 ▲실질적 지원책을 내놓지 못하는 정부 ▲고급 교육 기관의 절대적 부족 ▲중소기업의 구조적 문제 ▲'보안'을 '보험' 정도로 여기는 사회적 인식 등이 복합적으로 작용하면서 보안업계의 인력난으로 이어지게 됐다.

이처럼 보안인력난은 복합적 원인이 얽히고설켜 있지만, 그 실마리는 정부가 풀어야 한다는 데 전문가들은 입을 모으고 있다.

한국정보보호진흥원(KISA) 전략기획팀 민경식 팀장은 "저수요, 저생산, 저수익, 저투자의 악순환 구조로 인해 만성적 인력난에 시달리는 보안업계에 정부가 뚜렷한 처방전을 내놓고 있지 못하는 게 사실"이라며 "정보보호산업의 핵심인력양성을 위해 산업 수요에 기반한 인력 공급 정책으로 정비해야 한다"고 지적했다.

한국정보보호산업협회(KISIA) 박준오 차장은 "인력양성책을 마련하려면 정보보호산업 전반에 대한 정부 지원이 선행돼야 한다"며 "보안업계가 자생력을 가질 수 있도록 R&D 투자를 확대해야 한다"고 당부했다.

실제 정부의 정보보호산업에 대한 R&D 투자 내역을 살펴보면 2004년 214억원, 2005년 230억원, 2006년 263억원으로 매년 소폭 증가했다. 하지만 올해는 236억원이 책정돼 있어 오히려 작년보다 줄어들었다.

박 차장은 "몇해 전 협회차원에서 정보보호산업 육성책을 정부에 제시한 적 있지만, 유사한 정책이 과거에 별다른 효과를 보지 못했다는 이유로 거절당했다"며 "산업 및 인력양성책에 대한 효과는 단기간에 드러나지 않음을 정부가 알아줬으면 좋겠다"고 덧붙였다.

한국침해사고대응팀협의회(CONCERT) 심상현 사무국장은 "인력에 대한 수요-공급의 불균형을 해소하기 위해 정부가 나서서 선진 국가의 정보보호 관련 교육 프로그램을 벤치마킹, 국내 관련 기관에 적용 할 것"을 주문했다.

성균관대 정보보안인증기술연구센터장 원동호 교수는 "산학협동과정에 대한 활용도를 높인다면 고급 인력을 양성하는 데 큰 힘이 될 것"이라며 "기술확보가능성, 성장성, 국가경쟁력을 고려해 우선적인 양성이 필요한 분야에 지원을 늘릴 필요가 있다"고 강조했다.

몇해전 정부 지원을 받기 위해 노력했지만 모두 허사였다는 한국정보보호교육센터(KISEC) 서광석 원장도 힘주어 말했다.

"왜 인력 양성에 투자를 하지 않는지 모르겠습니다. 보안강국을 만드는 가장 중요한 자산이 인재 말고 또 뭐가 있겠습니까?"

신고
Posted by 엔시스

세계 최대 해킹 대회인 데프콘에서 한국팀이 본선에 진출하였다는 기사가 올라왔다. 작년에 이어 또 좋은 결과 있기를 바란다. 작년에는  본선에 진출하여 6위를 입상하고 아시아권에서는 유일하게 본선에 진출하였다.

이렇게  국내 해킹 실력을 이끌고 있는 사람은 여러 해킹 동아리 및 등이  있지만  시큐리티프루프를 운영하는 반젤리스라는 닉네임을 쓰고 있다.

작년에  국내에서 해킹관련 세미나를 열어 미국에서 해커를 초정하여 세미나를 개최한 적도 있다.

그럼  여기서  간만에 단비같은 보안 ,해킹 소식을 접하고 몇가지 생각해  보아야 할 점을 고려해 보자.

첫째 정보보호,보안업계에 활력을 불어 넣는다.

      -국내 정보보호업체는 200여개 된다고 한다. 하지만 직원 30명 미만이 70%를  차지할만
       큼 영세성을 면치 못하고 있다.
      -우수한 인력들이 보안업계로 진출할수 있는 분위기를 만든다.

둘째 정보보호 업체들의 관심을 갖는다.      
      -KISA나 보안 업체들도 이런 큰 규모의 대회에서 좋은 성적을 거두면 눈을 돌리게 마련
        이다.
       -적극적인 기업의 스폰서 역활을 해 주면 더욱 한국의 위상을 높여 주리라 생각하고
        기업도 홍보가 될것이다.

셋째  IT강국, 하지만 보안 후진국
       -IT강국을 외치고 있지만 보안후진국이라는 말은 이미 알려진 사실이고 그건 무엇보다
        잘  갖추어진 인프라때문이 아닌가 싶다.
       -이런 대회를 계기로  분위기를 활성화 시키고 정보보호에 대한 인식제고와 마인드를
        높여가는 계기가 되었으면 한다.

넷째  해킹이라는 부정적 이미지 탈피
       -국내에서 해킹이라고 하면  상당히  부정적인 시각이 많다., 그건 잘못된 윤리로 인하
        여 남에게 피해를 입히는 각종 기사와 언론 방송때문일 것이다. 그런 시각으로 인하여
        보안의 활성화가 어렵다.

다섯째  정보보호 발전의 계기로 삼을터
        -지금은 자세히는 잘 모르지만 정말 힘들게 연구 하고 고민하고 하여 열악한 환경으로
         자신의 실력을  만들어가는 언더그라운드가 많이 있을 것이다.
        -음지에서  양지로 나올수 있는 계기로 삼았으면 한다.,

아무리  강조해조 지나치지 않는게 정보보호이다. 말 그대로 정보를 보호하는 것이다. 거기에는 개인정보, 기업정보, 건강정보등등  무수히  많은 정보를 담고 있다. 그럼에도 불구하고 우리나라  정보보호 예산은 열악하기만 하고 난립하는 보안업체는  너도 나도 뛰어 들어 출혈경쟁을 하고 있다.
코스닥에 상장한 업체들도 퇴출되고 , 기존 보안업체도 보안이 아닌 타 사업 진출로 기업의 생존을 이어 갈려고 하고 있다. 이런 환경속에서 미국에서 행사하는 대규모 행사에서 좋은 실력을 발휘하는 분들에게 격려의 박수를 보내고 싶고, 본선에서도 좋은 성적을 거두어 여러가지로 보안업계에 활력을 불어 넣어 줄수 있는 계기가 되었으면 한다. -<엔시스>
       
신고
Posted by 엔시스

오늘 정보보호 전문가 자격증 시험 합격자 발표일입니다.. 혹시 시험 보신 분들 확인해 보시고 국가공인 정보보호전문가 자격증 모임 카페에는 합격자 후기들이 많이 올라 오고 있습니다..

9월 달 시험을 준비하시는 분들은 참고 하시고 많은 정보 얻으시기 바랍니다.  예전에 제가 시험 보고 합격자 발표일에 기다리는 심정이 기억나네요..^^;

1급 ,2급 모두 합격하였고, 준비기간도 길었던 기억이납니다. 혹자는 시험이 너무 어렵다는 평이 있지만 여러가지 여건을 모아 조그만 준비하면 그리 어려운 시험은 아니라는게 이번 시험 응시생들의 평입니다.

합격하신 분들은 축하드리고 불합격하신 분들은 조금 더 분발하여 9월에 꼭 좋은 소식 있기를 기대합니다.


신고
Posted by 엔시스

2007년 국가공인 정보보호전문가 (SIS) 자격증 시험이 아래와 같이 접수중에 있습니다 ,.
관심있으신 분들은 참고 하시기 바랍니다.

2007년 제1회 SIS 자격검정 신청 안내

□ 시험종목 : 정보보호전문가(SIS) 1급  2급


□ 접수기간 : 2007. 4. 9(월) 09:00 ~ 4. 20(금) 18:00


□ 검정일시 : 2007. 5. 12(토)

     1급(11회)  필기 09:00 ~ 12:00

                        실기 13:00 ~ 16:00

     2급(13회)  필기 09:00 ~ 12:00

                        실기 13:00 ~ 15:30

□ 검정지역 : 서울, 대전, 대구, 부산, 광주, 전주, 제주

※ 자세한 내용은 공지사항을 참조하세요!

참고싸이트: 정보통신교육원 (http://www.aiitqc.com/n/) - 접수 및 문의처
                 국가공인 정보보호전문가 자격증 모임 (http://www.iscc.or.kr) - 시험자료, 기출문제 정보제공
    

신고
Posted by 엔시스
[ 정보보호전문가(SIS) 정기시험 ]

<SIS 1급 시험일정>

구분
제11회
제12회
필기
실기
필기
실기
시 험 일
5. 12
09:00 ~ 12:00
5. 12
13:00 ~ 16:00
9. 8
09:00 ~ 12:00
9. 8
13:00 ~ 16:00
원서 접수
4. 9 ~4. 20
4. 9 ~4. 20
8. 6 ~ 8. 17
8. 6 ~ 8. 17
합격자
발표
5. 30
5. 30
9. 28
9. 28
※ 시험 시간은 SIS 1급 필기 180분(휴식시간 20분 포함), SIS 1급 실기 180분

<SIS 2급 시험일정>

구분
제13회
제14회
필기
실기
필기
실기
시 험 일
5. 12
09:00 ~ 12:00
5. 12
13:00 ~ 15:30
9. 8
09:00 ~ 12:00
9. 8
13:00 ~ 15:30
원서 접수
4. 9 ~4. 20
4. 9 ~4. 20
8. 6 ~ 8. 17
8. 6 ~ 8. 17
합격자
발표
5. 30
5. 30
9. 28
9. 28
※ 시험 시간은 SIS 2급 필기 180분(휴식시간 20분 포함), SIS 2급 실기 150분


올해 정보보호 전문가 자격증 일정입니다.  준비하시는 분들 참고 하시고
이제 약 2개월 정도 남았네요..^^;

더 많은 국가공인 정보보호전문가 자격증에 대해서는 아래
http://cafe.naver.com/nsis.cafe 에 가시면 됩니다.
신고
Posted by 엔시스

정보보호전문가가 될수 있는 글이 있어 소개 하고자 한다.  CISO 100명에게 물었다고 하니 그들이 원하는 인재에 가장 빠르게 갈수 있는 것이 정보보호전문가로 가는 길이 아닌가 생각한다.

그중 가장 눈에 띄는 것은 추진력및 지도력열정이 아닌가 싶다. 특히 추진력에서는 계획후 실행에 옮기는 것이 중요하다는 부분에 동감하는 바이다.
신고
Posted by 엔시스

정보보호전문가(SIS) 자격증 취득자 혜택 늘어나
전자신문
19일 한국정보보호진흥원(KISA)에 따르면 국군기무사령부와 한국전력공사 등이 취업 시 SIS 자격증 취득자에게 우대 점수를 주기로 했다. 또 SIS 자격증은 조만간 정보보호 안전진단시행기관의 기술인력 ...

간만에 반가운 소식이 들리는군요..국내 실정에 맞는 정보보호관련 자격증이 활성화 되기를 기대해 봅니다.
참조싸이트 : 국가공인 정보보호전문가 자격증 모임



신고
Posted by 엔시스
국내 정보보호전문가 자격증(SIS)이 정보보호 인들에게 외면당하고 있다.

6일 관련 업계에 따르면 외국 자격증인 국제공인정보시스템 감사사(CISA)와 국제공인정보시스템보안전문가(CISSP)는 매년 수천여 명이 응시하고 있으나 SIS는 한해 600여 명에 머물러 국내 정보보호 자격증에 대한 관심이 저조한 것으로 나타났다.

 
      http://www.etnews.co.kr/news/detail.html?id=200607050103

   
    국제 자격증이라서 글로벌한 측면에서는 긍적적이지만 상업화로 전락해서는 안되며
    국내 실정에 맞는 정보보호전문가 자격증으로 거듭나야 겠습니다.  그렇게 하기 위해
    서는 우선 자격증 취득으로 인한 메리트가 있어야 하며 또한 해당 관련 기관에서 홍보
    나 커뮤니티 중심으로 다양하게 활성화가 되고 제도적 뒷받침이 시급하다.
    정보보호는 앞으로 더욱더 요구 되는 사항이므로 조금 더 성숙된 자격증으로 발전하기
   바랄뿐이다.

관련카페: 국가공인 정보보호전문가 자격증 카페( http://cafe.naver.com/nsis.cafe)
신고
Posted by 엔시스
정보보호전문가 자격증 홍보용 브로셔입니다..
국내 유일의 국가공인 정보보호전문가 자격증입니다.

아직도 국내 정보보호 수준은 선진국에 비해 많이 떨어진다고
합니다.. IT 인프라는 잘 갖추었지만 그 만큼 그것을 지키는 것도
중요하겠지요..

홍보 브로셔 받은 것 중에 몇장 올립니다.
많은 관심 바랍니다.



           홍보  브로셔 앞면입니다.
사용자 삽입 이미지



       자격증 개요와 내용이 일목요연하게 정리되어 있습니다. 물론 홈페이지에도 있습니다.

사용자 삽입 이미지




                                              홍보용 브로셔 뒷면입니다.


사용자 삽입 이미지




   많은 관심과 자격증 공부 해 보시기 바랍니다..

    출처: http://cafe.naver.com/nsis.cafe (정보보호전문가 자격증 카페)
            http://blog.naver.com/sbnow391
신고
Posted by 엔시스

오늘 정보보호전문가 자격증
합격자 발표일이다..

합격한 사람들 축하드리고
실패한 사람들은 포기하지 말고
최선을 다해 다시 도전 하기 바란다..

신고
Posted by 엔시스
2006년 정보보호전문가 자격증에
대한 후기를 종합해 보면 대체로 어려웠다는
평가가 지배적이다.

이것은 우리가 자격증 시험을
단순히 4지 선다형 단답형 문형에
길들여진게 아닌가 하는 생각을 한다.

사실 지문이 긴 거보다는 짧은 지문이
눈에도 빨리 들어오고 순간적인 판단력을
요하기도 한다.

하지만
긴지문이 있을때는 우리가 이해를 해야하고
또한 맞는지 틀린지를 분별해야 한다.

앞으로 정보보호전문가 시험 준비 하시는
분들은 이런 점을 유의하여 공부하시면
조금 더 유리하지 않을까 생각합니다..

그 대안으로 하나의 흐름에 전체를 아는
그림을 그리는게 유리합니다.

즉,
어떠한 명제가 주어지면 개념, 원리, 종류,장,단점
이용분야등등을 연관 지으며 공부하는 습관을
들이시면 좋겠습니다.

아무튼
원래 이 악물고 공부 많이 한 사람은 답이 쉽게
보이고 , 그냥 눈으로 공부한 사람은 공부량은 많은것
같은데 알쏭달쏭하지요..

모두들 힘내시고
꼭 , 시험에만 연연하지 마시고 진정한 지식을
공부해 보시기 바랍니다.

끝.
신고
Posted by 엔시스