최근 보안이슈가 부각이되면서 각 정부기관과 관련 부처에서 많은 세미나와 정책이 쏟아지고 있습니다. 무엇보다 해당분야에서 근무할 인력이 부족하다는 것이 현실인데요. 이는 정책적인 지원과 노력이 있어야 하겠습니다.

그 중에 하나가 바로 '정보보호' 인력 기준을 어떻게 삼을 것인가? 에 대한 부분입니다. 작금의 현실은 보면 소프트웨어 초급자 기준, 중급자, 고급자 기준으로 삼는 경우가 많으며, 정보보호에 대한 기준이라고 해 봐야 'SIS,CISSP,CISA' 등 자격증이거나 정보보호관련 업계 근무 경력이나 정보보호 관련 전공 밖에 없습니다.

이는 한정된 부분과 전체적인 보안 수준을 올리는데에는 미흡함이 있습니다. 아무리 훌륭한 보안전문가가 있더라도 혼자서 모든 것을 할 수는 없는 것이라 큰 그림에서 바라보는 대한민국 정보보호 수준을 올리는 측면을 간과 할 수 없기 때문입니다.

그런 가운데 대한민국 유일의 국가공인 정보보호전문가 자격증 'SIS' 자격증이 국가기술 자격증으로 승격화 된다는 기사나 정책발표는 수차례있었지만 가시화 되고 있지 않았습니다.

또한 정보보호, 보안이 그렇게 중요하다고 하면서 아이러니 하게도 아직도 대한민국 보안에 대한 국가기술자격증이 마련이 되고 있지 않습니다. 관련 업계나 관심 있는 사람들이 공부나 연구를 하여 일정한 자격을 갖출수 있는 정보보호 인력 양성 기준중에 가장 먼저 주목받을수 있는 부분인데도 말이죠.

지난해에는 한국산업인력공단기관에 용역발주까지 진행이 되었습니다.




나라장터에서 '정보보안기사'로 검색을 하면 용역발주서(RFP)가 공개되어 있습니다.

오늘자 언론기사에서 또 관련기사가 나왔습니다..정보보호인력에 대한 정부의 정책적과제중에서 히든카드로 이제는 그 분위기가 팽배해져 있는게 아닌가 생각을 합니다. 필자는 수차례 이야기 했지만 이젠 정보처리를 하는 시대는 지났다는 것입니다. 이제는 정보를 보호해야 합니다. 그러기 위해서는 공공기관 담당자 자격증 소지의무화와 대기업 담당자 자격기준 강화가 필요합니다. 국내를 대표하는 정보보호전문가 자격기준을 우선 마련해야 할 것입니다.



하지만 현실은 국가공인에 머물고 있는 SIS 자격증에 대한 인센티브가 적어서 그동안 조금은 외면 받고 있었던것이 사실입니다.

따라서, 이번 관련 발표로 조금 더 박차를 가해야 할 것이며, 여기 저기 부처에서 공수표를 날리는 정책성 발표는 되지 않았으면 하는 바램을 가져 봅니다. 물론 해당 자격증이 있다고 해서 모든 보안수준이 높아지리라고는 생각하지 않지만 , 정보보호 선순환 구조를 만들수 있는 단초가 될 수 있는 부분임에는 틀림이 없습니다.

향후 정보보안기사,산업기사, 기술사 시행이 된다면 어떻게 될까?

제 개인적인 시각에서 이제 정부에서 히든카드인 국가기술자격증인 '정보보안기사, 산업기사, 기술사' 등의 자격기준이 마련이 되면 다음과 같은 파생 효과가 나타날 듯 합니다.

  • 공공기관  및 대기업
    • 국내를 대표하는 국가기술 정보보호에 대한 자격증이 신설 됨으로 인하여 관련 업무나 보안의 중요성 측면에서 자격 소지자 의무 고용확대가 이루어질 것입니다.
    • 각 공공기관 프로젝트 수주시에 관련 자격 소지자 인력 보유 현황을 기본 필수 요건으로 보안품질 강화가 될 듯 합니다. 즉, 기존에 보안SI 사업등에서는 소프트웨어 기준별 초급,중급,고급으로 참여 해도 되었지만 이제는 관련 자격증 소지자로 한정 할 수 있을 듯 합니다.
  • 정보보호업계
    • 최소한 정보보호 업계에서 인력 채용 기준시 기초적인 자료로 사용될 듯 합니다. 정보보호에 관심이 있으면서 그 정도 준비하지 않았다는 것은 사실 준비 부족이라고 하고, 소지자는 그만큼 차별성이 있으니 선별 기준에서 유리하겠지요.
  • 교육 업계
    • 보안의 이슈만큼이나 수요가 생기니까 공급적인 측면도 많이 발생이 되리라 생각이 됩니다. 아마도 관련 학원이나 교육업계쪽에서도 많은 관심을 가지게 될 듯 합니다. 일자리 창출이 일어날수 있겠지요.
  • 중소업계
    • 개인정보보호법 시행으로 인하여 개인정보보호 기술적.관리적 조치 사항으로 본다면 사실 중소기업측면에서도 보안에 대한 이슈가 발생이 됩니다. 기존에는 전산 담당이나 혹은 총무, 또는 경영지원실등에서 역할을 담당했지만 최소한 정보보호 담당을 어느정도 일정 수준 근로자가 근무하는 기업에서는 담당을 둘수 있는 기준이 발생 할 것입니다.


정책은 실패할 수도 성공할 수도 있습니다. 하지만 장기적인 안목으로 바라 보았을때 어떠한 것이 도움이되고 지금 악순환의 고리를 끊고 , 선순환 구조로 갈 수 있는지에 대한 명확한 핵심을 짚는 것이 중요한 것이며, 혹자는 이러한 자격증 유무론을 이야기 하는 분들이 간혹 있습니다. 하지만 보안이라는 것은 전문가 한사람만 잘 한다고 되는 것은 아니라 함께 노력 하고 자연스럽게 실천 할 수 있는 문화와 그 이해를 도모하는 것이 중요하다고 생각이 듭니다.

결국 최소한 관련 자격증 패스 한 정도라면 그 정도 이해는 하고 있다는 기준이지, 그것이 모든 것을 해결 한다는 관점으로 접근 해서는 안되는 것입니다. 분명히 그 차이점을 바람직하게 이해하는 것이 중요하고, 관련 정책은 한 사람이나 한 단체의 이해관계를 가지고 펼치는 것이 아닌 전국민을 대상으로 보다 나은 대안으로서 정책을 제시 해야 함을 봐야 할 것입니다. 꼭 이루어지길 기대해 보겠습니다. 이젠 공수표 날리지 않았으면 좋겠고, 그 시행 시기도 구체적으로 명백히 밝혀주면 더욱 좋겠습니다. @엔시스.

,