국내 유일한 국가공인 정보보호 자격증인 'SIS 자격증' 에 대한 관리가 허술 한 것으로 나타났다. 이는 '국가공인 정보보호전문가 자격증모임' 이라는 커뮤니티를 운영하고 있는 운영자가 올린 칼럼에서 여러가지 요구사항을 지적을 하였다.
필명인 '엔시스'를 사용하고 있는 운영자는 지금까지 수 많은 정보보호와 보안 홍보에 노력을 해 오고 있다고 말하면서 최근 DDoS 공격에 대한 대응 방안이나 기존에 침해사고만 터지면 대응방안으로 나오는 단골메뉴중에 하나가 보안인력부족으로 보안인력 양성이 포함된다고 하였다.
그중에 하나가 보안에 대한 지식이 얼마나 있는지 또는 실무에서 보안 업무를 하면서 자신의 실력이 얼마나 되는지에 대한 잣대를 가늠할수 있는 가장 쉬운 방법이 바로 '정보보호관련 자격증'을 취득 하는 것이다.
그중에 SIS 자격증이 국내 유일의 정보보호 국가공인 자격증인데 여러가지 관리상에 문제점이 많다고 지적을 하고 있다.
sistest.kr 사이트
그 내용을 잠시 살펴 보면 다음과 같다.
-
- 자격증 검정 시행후 검정기관이 자주 바뀜
- SIS 자격증 취득후 사후 관리 미흡, 자격증 유효기간 만료후에도 관리 미흡
- SIS 자격증 홍보부족 (브로셔 및 책자 없음)
- 시험시 시험 운영요원 관리 미흡
- 시험시 시험장 관리 미흡 (일부 시험장에는 전날 파티로 인한 술병들이 나뒹었다고 함) - 시험장을 대학교등에서 사용하는 부분에서 오는 관리 미흡
-그 문제점의 내부를 살펴보면 지금까지 SIS 자격증 검정기관은 3회에 걸처셔 바뀌어 왔다. 제일 처음 시행한 곳이 <정보통신교육원> 두번째 시험한 곳이 <전파진흥원> 이번이 세번째인 <한국정보보호산업협회> 이렇게 변해 오면서 해당 기관에 따라 업무형태나 관리 형태들이 달라 그때마다 검정 업무에 대한 방법이 달라 많은 헛점이 나왔다.
그것은 고스란히 시험장에서 수험생에게 표출이 되었는데 '동일문제 출제' 라든지 '문제 오타 발견' 또는 '질문과 지문을 대조 하면 나올수 있는 답안문제' 등 같은 실수를 반복하는 경우가 있어 수험생들로 하여금 원성을 사기도 하였다.
-또한 '사후관리' 미흡으로 SIS 자격증 2급 만료 기간이 지났음에도 불구하고 검정기관에서는 어떠한 조치도 취하지 않고 있다. 즉, 사후관리가 제대로 되고 있지 않다는 것이다.
-SIS 자격증 홍보에 대한 부분도 기존에 정보통신교육원에서 검정사업을 하였을땐 브로셔가 조금 제작이 되어 그나마 홍보가 되었지만 민간으로 넘어오면서 예산문제와 맞물려 홍보는 뒷전에 있다. 이러한 부분도 문제이긴 마찬가지이다.
- 시험장운영요원 관리 미흡 - 수험생들이 시험을 보는 가운데 시험장 관리 감독원의 운영이 미흡하여 우왕좌왕 하는 모습을 많이 본 경우를 시험 후기를 통하여 이야기 하고 있으며 이것 또한 제대로 된 시험 관리감독 운영요원에 대한 교육 미비로 볼수있다.
- 시험장 관리미흡 - 검정기관이 한국정보보호산업협회 (KISIA)인 민간으로 넘어 오다보니 자연히 검정 비용문제에 직면하게 된다. 그러면서 일부 대학교를 빌려 시험장으로 사용하는 경우가 있는데 2009년 1회 필기 시험중 모 필기 시험장에서는 수험생이 시험장에 도착했을때 술병이 뒹굴고 시험장 분위기가 아니었다면서 당황하였다는 후기를 커뮤니티를 통하여 공개 하기도 하였다
체계적인 관리를 위해선 SIS 자격증, 국가기술 자격증으로 승격이 시급해
이러한 구조적인 문제점은 어제 오늘이 아니고 시험을 치르는 수험생이 그리 많지 않다 보니까 그냥 커뮤티니내에서 정보 공유하는 정도에 그쳤다. 지금 2009년 제2회 SIS 필기 시험을 접수 하고 있다. 이러한 체계적인 관리가 되지 않으다면 체계적인 관리를 위하여 더이상 미룰수 없다.
지난번 지경부와 행자부에서 내 놓은 중장기 정보보호방안에서 국가기술자격증으로 승격 시키는 문제를 거론 한 적이있다. 일부 언론에서는 국가기술 자격증 소관업무를 보는 <노동부>와 기관 업무협의를 해야 하는 부분이 남았다고 하는데 더 이상 미룰 사안이 아니다.
말로만 체계적인 보안인력 양성과 일시적인 집합 양성소처럼 몇주간 사람 모집해서 수치상으로 몇명 교육 했다고 해서 '정보보호인력' 이 양성되는 것이 아니다.
선순환 구조를 만들어야 한다. 그것은 [기고]7·7 DDoS 사태 한달이후, 변화는 아직도 미지수 에서도 이미 이야기 한 적이 있다.
다시한번 말하고 싶다. 눈에 보이는 당장 인력양성을 위한 수치보다 장기적인 안목과 제대로 된 체계적인 제도 운영이 더 시급한 문제 일 것이다. 그 첫번째 대안으로 SIS를 하루 빨리 국가기술 자격증으로 승격 시켜 제대로 된 체계적인 관리를 하였으면 하는 바램을 가져본다. 그렇지 않고 지금처럼 지속적인 제도 운영의 경우 시험을 준비하는 수험생이나 자격증을 이미 취득한 자격증 보유자 모두 엉뚱한 곳에서 시간 낭비 하고 있을지도 모른다. 빠른 결단이 이루어지기를 촉구 하는 바이다. @엔시스.
'Lecture&Column' 카테고리의 다른 글
[칼럼-94] 정보보호 기술자 노임단가 기준없어 억울 (0) | 2009.09.02 |
---|---|
[강연-7] 행안부 개인정보보호 순회 교육 강연 (0) | 2009.08.31 |
[기고-3] 좀비 된 뒤 울지 말고 준비된 PC로 (4) | 2009.08.05 |
[칼럼-92] 정보보호 컨트롤 타워 없으면 같은일 또 당한다. (5) | 2009.07.31 |
[칼럼-91] 국회 전자투표, 대리투표는 안되는 줄 알았는데 (22) | 2009.07.24 |