국가공인 정보보호 자격증(SIS) 운영 논란 - 실기는 서울에서만 봐라(?)

국내 유일한 국가공인 정보보호 자격증인 (SIS) 자격증 운영에 대하여 논란이 일고 있다. 그것은 기존에 국가기관에서 검정을 진행하던것이 올해부터는 KISIA(정보보호산업협회)로 넘어 오면서 수험생들의 기대치가 높아졌음에도 불구하고 운영에 미흡한 점이 보였기 때문이다. 이번 기회에 정보보호 자격증에 대한 전반적인 문제점이 없는지 살펴 보도록 하겠다.

현재 정보보호에 관련 된 자격증을 국내와 국제 자격증으로 나누어 보면  다음과 같다. 국내 자격증은 SIS, 인터넷보안전문가, 정보보안관리사,정보시스템 감리사등이 있다. 또한 국제 자격증은 CISA,CISSP,CISM 등이 있다.

 
                                            < 그림 출처: 국정원 정보보호백서 2008>

국내 유일한 국가공인 정보보호전문가 자격증 -SIS

2001년부터 시작되어 올해로 햇수로 8년째 시험이 치러 치고 있다. 필자는 정보호호에 관심이 많아 2001년 처음 시행된 2급 자격증부터 응시하였고 쭉 지켜와 보고 있다.  이 자격증은 2004년도에 2급이 국가공인 , 2005년 7월에 1급도 국가공인 자격증으로 인정을 받았다. 특히 , 학부생들이 많이 응시하는 자격증 중에 하나며 한국정보보호진흥원에서 시행한다는 측면에서도 많이 응시하고 있다.

왜 합격생 수가 낮은가?

시험을 1급 필기실기, 2급 필기,실기를 본 필자로서는 사실, 그리 눈 딱 감고 찍어서 합격할수 있는 시험의 문제는 아니다. 그것은 지금 응시생 자체가 사실 공부량이 부족하다는 것이다. 왜냐하면 기존 자격증 공부를 할때 주어진 틀이 눈에 보였기 때문이다. 하지만 보안이라는 것은 그리 한정 지을수 있는 분야가 아니다. 그러다 보니 처음 시험 보는 사람들에게는 다소 많은 공부량을 요구하기 때문이다. 하지만 이제는 어느정도 난이도 조절을 좀 해야 하는 시기일 것 같다.

그렇다고 일부 자격증처럼 누구나 합격하고 하는 자격증은 원치 않기 때문에  정보보호를 하고자 한다면 최소한 이정도는 알아야 한다는 수준에 머물러야  하는데 무작정 덤비는 사람들은 사실 쉽지는 않다.  기본적인 지식과 방법을 모르고 있기 때문이다.

이런 가운데 이번 시험에서 운영이 매끄럽지 못한 면이 있었다.. 이러한 사실은 어떻게 받아 들여야 하는가?
http://www.sistest.kr/  Q&A 를 보면 알수 있다.   

                               <출처: www.sistest.kr Q&A >


국가기관에서 민간기관으로 검정기관이 이관 되었다는데

정보통신 교육원에서 전파진흥원으로 또 한국정보보호산업협회로 넘어 오면서 많은 사람들의 기대치는 높다, 그것은 민간이양에 따른 규제의 테두리에서 벗어나는 것이 아니냐는 시각이 지배적이기 때문이다. 하지만 현실은 아직도 그 과도기 상태에 있고 그것은 바로 5월달 시험과 6월달 시험 합격자 발표에서 현실로 나타나고 있다.즉각적인 대책이 필요하다.  똑 같은 내용을 반복하여 되풀이 하고 있다는 사실이다.  이런걸 바라보고 있는 시험 준비생과 응시생들은 어떻게 이해해야 되나?



필기는 지방에서도 봤는데 실기는 왜 서울에서만 봐?

무엇이든 사업을 하게 되면 예산이라는게 있다. 예산의 범위에서 모든 사업이 이루어 지길 바란다. 그렇지 않다면 적자보면서 사업을 지탱하기엔 어려울 것이다. 그나마 지금까지는 국가기관에서 검정을 하다보니 어떻게 하여 지방응시생도 약 5군데 정도 나누어 시험을 볼수 있었다..필기든 실기든...하지만 지금 KISIA로 넘어오면서 필기는 어떻게 하여 지방 5군데 정도에서 시험을 볼수 있었다. 왜냐하면 시험생이 그나마 어느정도 있었으니까?

그많은 필기 수험생을 서울로 오라고 할순 없을테니까? 그런데 말이다. 실기 시험은 서울에서만 친다고 한다. 안 물어 봐도 뻔하지 않은가?  실기생 합격자 수가 적으니 서울로 오라는 발상이다. 

자..부산에서 정보보호에 관심이 많은 학부생이 공부하여 필기는 지방에도 있으니까 봐서 합격을 하였다. 그런데 실기를 보려고 하니 서울로 오라고 한다. 취직도 해야하고 변변한 자격증도 가진게 없고, 공부와 투자한 시간이 아까워 실기를 서울로 보러 가기로 했다. 실기 시험 1급이면 15만원 ,2급이면 11만원에...KTX 비용을 따지면 또 10만원 ..그리고 그 전날 올라와 숙식을 해결 하려면 또 7-8만원 ...30만원 정도에 비용이 발생한다.

결국은 합격자 수가 많으면 지방에서도 보고, 적으면 서울에서 본다는 이야기인데 그걸 왜 시험생, 수험생이 감당해야 하는가?

당신이 지방에 있는 시험생이면 시험보러 가겠는가?  지방에 합격생이 적다고 해서 ..사람이 없다고 해서..효율적인 운용을 한다고 해서...이렇게 한다면 국가공인 SIS 자격증이 아닌  국가공인 서울자격증이다.. 



필자는 네이버에서 카페를 운영하면서 하도 답답하여 국각기술자격증으로 승격이 될려면 어떻게 하면 좋을까 하는 아이디어를 생각해 적어 본적이 있다.  이런 고민한 것은 본인 자유지만 해당 기관에서 하는 것이 맞는거 같다.


자..그럼 무엇이 문제인가 ?  문제 해결 고리를 살펴보자

국가공인 정보보호전문가 자격증을 시행하는 주체는 바로 한국정보보호진흥원(KISA)이다..검정기관은 여기에 예산에 따라 집행하기 때문이다...그럼 근본적인 문제는 무엇인가?

바로 한국정보보호진흥원에 있다는 것이다. 지금 해킹이 이슈가 되고, 개인정보보호법을 제정을 한다고하고, 정보보호 인력을 양성하자고 매일같이 언론지상에 나옴에도 불구하고 현실 운영방안은 아주 근시안적이라는 생각이 든다.,

그렇다고 민간에게 검정기관을 이관 하였다고 해서 모든 정책적인 부분을 검정기관 단독히 결정하는 것도 아니다. 운영위원회가 있는 걸로 알고 있는데  자격증의 목적은 영리나 실리성을 따지는 것 보다 정보보호 인식제고나 국민 보안 마인드 업데이트에 있다는 사실을 인지하고 활성화 시키는데 목적을 두어야 할 것이다.
 
정보보호 인력 양성을 하자고 외치면 무엇하나? 국가공인 자격증이라는 타이틀이 무색할 정도이다.  정보보호정책이 자격증에 국한된 것은 아니지만 그렇다고 소홀히 할 문제는 아니라고 생각한다. 실기시험보러 서울로 올라 오라고 하니.. 그런데 이건 정말 아니다..검정기관에 적절한 예산 편성을 주어 올바른 운영을 할수 있도록 한국정보보호진흥원(KISA)에서 관심을 가져 주었으면 한다.


그럼 다른 곳은 어떻게 운영하는가?

본 필자가 타 국내 보안자격증도 시험을 보았기 때문에 현실을 안다. 그 자격증은 국가공인도 아니다. 민간자격증이라서 SIS 만큼도 관심을 가지고 있지 않다.  하지만 시험 볼때 필기도 필자 혼자보고 실기도 필자 혼자 보았다. 물론 감독관도 혼자였다.  그쪽은 예산이 있어 그렇게 운영하는 것은 아니었던거 같았다. 국가공인이란 타이틀이 무색하지 않을 정도로 운용의 묘를 살렸으면 한다.


시험에 대한 또 다른 제언 (1)- 실기시험 정말 합리적인가?

지금 실기시험을 보게 되면 단답형 10개, 서술형과 작업형 각각 3문제를 풀게 되어 있는데 조금 개선 할 필요가있다고 생각한다. SIS 자격증 시험이 그나마 응시하는 것은 시험에 난이도가 있고 실무형이라는 것에 있다. 그런데 지금은 실무형이긴 한데 써서 내야 하는 것이다.  우리는 실제 실무에서 대응을 할때 써서 알고 있는 지식만 가지고 대응하지는 않는다. 실제 실무형 인력에 맞는 기준을 삼는다면  실제 시뮬레이션을 할수 있는 실기 시험이 수반이 되어야 할 것이다.  이 자격 시험은 기술사 시험이 아니기 때문이다.

단답형 정도는 물을수 있고, 서술형과 작업형 실기 시험은 실제 운영체제 (윈도우,리눅스)를 만들어 실제 침해 사고가 생겼다고 하고 대처 할수 있는 능력이나 방안을 테스트 하는 쪽으로 개선이 되어야 할 것이다. 그것은 실제 정보보호훈련장(sis.or.kr)에 시뮬레이션 하는 부분을 윈도우와 리눅스로 잘 만들어 놓았고 향후 시험에 실기 시험은 그렇게 가는게 맞다고 생각을 한다.

왜냐하면 지금의 실기 시험은 채점시나 시험 출제시 다분히 주관적 판단이고 객관적 실력을 테스트 하는 기준에 적합하지 않기 때문이다..

시험에 대한 또 다른 제언 (2)- 사후 관리는 얼마나 하고 있는가?

응시생수도 얼마없고 시험도 어려운 시험을 통과하면 사후 관리는 얼마나 하고 있는가? 이건 타 국제 자격증도 별반 다르지 않다. 조금만 신경을 쓰고 자격증 제도 방안에 대하여 힘을 실어 주면 국내에 적합한 정보보호 제도를 자리 잡을 것이다. 그렇다고 국제 자격증을 국내 자격증에 앞장 세울수는 없는 일 아닌가?  이런부분에 대하여 그동안 소홀히 했던 관계자 분들은 어떻게 생각하시는가?


결론

2001년부터 지금까지 정보보호자격증을 운영하였으면 어느정도 체계는 잡혔어야 했다. 그런데 잦은 검정기관 이전과 제한된 예산에서 운영되는 자격증 제도를 보니 안타깝기 그지 없다.  정말 정보보호 인력 양성에 관심을 가지고 한국정보보호에 대한 책임을 지고 있는 기관이라면 왜 개선책이 없고 오히려 더 운영에 혼란만 가져 오는가?  끝으로 이 한마디만 하고 결론을 맺고자 한다.

국가공인에 자격증에 대한 홍보를 왜 일반 커뮤니티에서 해야 하는가?

말로만 보안에 투자하라고 하지 말고 예산을 적절하게 편성하여 시행기관,검정기관 모두 앞으로 몸소 자격증에 대한 홍보도 하고 대한민국 정보보호를 이끌어 가는 기관으로서의 자존심을 보여 주기 바랄뿐이다. @엔시스