엔시스의 정보보호(보안) 따라잡기

오늘자 기사에 따르면 국가공인 정보보호전문가 자격증 (이하 SIS) 자격증에 대한 국가 기술 자격증 격상에 대한 언급 기사가 났습니다.



관련기사

이러한 국가기술 자격증 격상에 대해서는 이미 많은 관련 칼럼과 정책 제안에서 요구 하기도 하였습니다. 그런 결과로 작년 지경부에서 중장기 발표에 해당 사항이 포함이 되었습니다. 관련부처에서 신경쓴다고 하니 반가울 수밖에 없습니다. 

이미 이러한 움직임은 국가공인 정보보호전문가 자격증 모임 커뮤니티에서 관련 게시판을 이용하여 많은 의견을 제시하고 있었습니다..

관련 포스팅

1. 국가공인 정보보호전문가 자격증은 유일한 국가공인 민간 자격증



현재 국내에서는 몇개 보안관련 민간자격증이 있지만 국가공인으로 지정된 보안 자격증은 SIS 자격증 밖에 없습니다. 이것도 무려 2001년 시행되어 이제 햇수로 9년째 되어가는 자격증이 되는군요. 하지만 아직도 정보보호, 보안에 대한 중요성은 인식하고 있으면서 관련 제도나 법률은 미비하고 정체되어 있습니다..

사이버 공간에 위협은 날로 증가하고 있고, 인터넷에 대한 역기능은 점점 증가 하고 있는데 국내 대표하는 정보보호자격증 하나 제대로 운영되고 있지 못하는 실정입니다. 그것도 민간자격증으로서 국가공인이 되었다고는 하지만 아직까지 많은 사람들에게 외면을 받고 있는 것이 현실입니다.

그것은 SIS자격증을 취득함으로 인하여 많은 인센티브와 메리트가 없다는 것입니다. 국내 커다란 침해사고가 발생할때마다 언론에서 되풀이 되는 이야기입니다. 하지만 국내에서는 이렇다 할 대책이 없습니다.



2. 왜 SIS자격증이 국가기술 자격증이 되어야 하는가?


1) 국내에 대표하는 보안자격증은 무엇인가?

쉽게 답변을 못한다면 문제가 있는 것이다. 국제적인 보안자격증은 CISSP와 CISA가 대표적으로 많이 알고 있는 국제 보안자격증입니다. 그에 반해 국내 자격제도에 대한 인식은 많이 부족한 편이지요.

2) 국민들의 보안마인드와 정보보호 인력 확대를 위해서 입니다. 

아직까지 보안에 대한 인식은 정말 낮습니다. 그나마 대기업들은 조금 나아지고 있다고해도 사회 여러 곳곳에서 전문가의 손길을 기다리고 있는 곳이 많습니다.

3) 국가기술 자격증이 되면 많은 인센티브가 붙게 됩니다.

국가기술 자격증이 되면 관할부처가 노동부가 되면서 여러가지 혜택을 받게 됩니다. 그것은 경력관리와 또한 각종 취직과 이직 그리고 공무원 시험에도 가점을 부여 할수 있습니다. 이제는 보안은 전문가만의 책임과 역할이 아닙니다. 모든 사람들이 같이 행동해야 할 규범이라 생각을 합니다. 전문가는 단지 그런 일반인들을 조금 더 이끌고 관심을 갖도록 유도 하는것입니다.




3. 정보처리기사가 더 나은가?  아니면 정보보호가 더 중요한가?



아직까지도 국가공공 시험을 보게 되거나 각종 자격증 시험을 보게 되다보면 정보처리기사, 기능사에 대한 언급을 많이 하고 있습니다. 쉽게 말해 "정보처리기사 취득후 경력 몇년" 등으로 말이지요.


관련 포스팅

2007/05/10 - [강의&보안칼럼] - 정보처리기사 자격증 없으면 공무원 될수 없나?


이제는 조금 더 바뀌어야 한다고 생각을 합니다. 최소한 정보처리기사가 아니더라도 요즘 워드와 엑셀 아래한글 사용 못하는 사람 거의 없습니다. 또한 잘 모른다고 해도 조금만 관심을 가지면 바로 알수 있는 것이지요. 그러한 측면으로 볼때 "정보처리기사"에 대한 자격증은 한낱 시험을 보기 위한 수단으로 또는 어떠한 자격을 증명하기 위한 수단으로 밖에 쓰이지 않은게 현실입니다. 이제는 조금 더 효율적인 제도 운영이 필요할 때입니다. 시대가 바뀌고 기술이 바뀌면 제도와 법률도 바뀌어야 한다고 생각합니다.




4. 관련부처는 서로 끊임없는 업무 협력을 하여 보다 빨리 앞당겨야.



필자는 누군가 SIS를 왜 굳이 국가기술자격증으로 승격시켜야 하는지에 대한 필요성을 묻는다면 지금까지 그렇게 홀대 받고 관심 밖에 있었던 정보보호 인력 양성이나 SIS제도 운영에 대하여 도외시 되었다면 지금까지 9년동안 이끌어 올 필요가 없었고 지금도 사후 관리나 운영면에서 아직도 미흡한 제도 운영이 될꺼라면 차라리 폐지하는게 맞다라고 생각을 합니다.

그 중요성과 필요성이 있다는 것은 이미 알고 있는 바, 어차피 없애지 않고 이끌어 갈 제도 운영이라면 제대도 해야 하겠습니다.  지금까지 모습은 국내 보안에 대한 인식 부족에 한 단면이기도 합니다. 필자가 이야기하는 것은 2000년대 초에 웹마스터처럼 무자비하게 해당 인력을 자격증 양산으로 인하여 무조건 찍어 내자는 의미가 아닙니다.

조금 더 필요성과 효율성이 높아진 만큼 그만큼 관련부처에서 국내를 대표하는 제대로 된 대표 국가보안 자격증 하나 정도는 있어야 하는 것이 맞을 것입니다. 현실은 그렇지 않으니 참 안타까울 뿐이죠..


정부에서 IT컨트롤이 부재 하다고 하고 이제 관련 부서를 한번 만들어 보겠다라고 이야기도 나오고 IT인들을 달래기 위한 정책도 언급되고 있습니다.

늘 "외부 침해사고가 발생을 했다. 국가 기밀이 빠져 나갔다., 정보보호 인력이 부족하다" 라고 언론에 반복 되는 것도 너무 일상화 되어 버렸습니다. 이제라도 올바른 제도 운영과 진정한 사이버 위협으로부터 안전을 지킬수 있는 보안 지킴이를 양성하는데에도 많은 노력과 관심 그리고 심혈을 기울여야 할때입니다. @엔시스.

우리가 어떠한 물건을 구매 하게 된다면 그에 따르는 A/S 기간이 따르게 된다. 보통 1년 무상으로 하고 그 다음부터는 유상으로 처리하는 경우가 대부분이다.

정보보호에도 마찬가지로 정보보호 제품을 구매 하고 나면 유지보수 비용에 대하여 갑론을박 말이 많다. 하지만 현실적으로 업계에서는 많은 비용을 감내해야 하는게 현실이다.


관련기사



특히 기사에서는

국내 공공 부문 정보보호 SW 유지보수 요율은 평균 7.8%, 대기업과 금융권을 포함한 민간 부문은 10.3%에 불과한 것으로 파악됐다.

5일 전자신문이 국내 연매출 100억원 이상의 주요 정보보호 SW 9개사를 대상으로 지난 2006년부터 2009년 4월까지 유지보수 요율 실태를 조사한 결과다   -출처 : 전자신문

낮은 유지보수 비율로 인하여 해당 업체는 비용 부담이 되고 , 그러다 보니 서비스에 어려움이 있고 이런 악순환의 고리가 반복 되는것이다.



1. 제대로 된 롤 모델이 아쉬워


국내 정보보호업계 공공 매출 비중이 높은 만큼 제대로 된 롤모델이 있었으면 한다. 비용절감 차원에서 부담이 되긴 하겠지만 늘 그렇듯이 제대로 한번 롤 모델을 세워 정보보호 유지보수 비율을 어느정도 현실화 하여 책정하고 그에 따른 모범적 사례가 되면 제품 공급 기업은 더 나은 여건으로 유지보수에 만전을 기할 것이다.

늘 그렇듯이 싼게 비지떡일수 밖에 없다.  악순환의 고리가 끊어졌으면 하는 바램이다. 

◇“최소 20%는 넘겨야”=전문가들은 보안위협에 대처하기 위해선 최소 20% 이상의 유지보수 요율은 보장해야 안정적인 서비스는 물론이고 연구개발(R&D)에 재원을 투입할 수 있다고 입을 모았다. -출처: 전자신문

정보보호 중요하다고 외치지만 현실을 하나 둘씩 파헤쳐 보면 참 암담하기 그지 없다. 향후 이러한 부분들은 점차 나아지리라 생각을 한다.




2. 누구나 원하는 수퍼(Super) 갑 (甲)



보통 유지보수 계약은 다른 계약과 마찬가지지만 "갑"과 "을"이 존재 하게 된다. 그러다 보면 여러가지 무리수를 두는 경우들도 많다.

3년 무상 서비스 요구에 휴일 대체 근무까지=업계의 한 사장은 “무상 유지보수 1년은 한국에만 있는 특수한 상황이다. 공공 부문은 3년 무상 유지보수를 요구하는 곳도 많다”고 말했다. -출처: 전자신문

이제는 어느정도 현실화가 되었으면 하는 바램이 크다. 이런 노력은 상호 협력을 통하여 여러가지 방안을 모색하여 각자 본인들 입장에서만 주장을 하기 보다 서로 협력하고 조력 할수 있는 방안을 모색 해 보아야 한다. 그래야 또 다른 선순환에 고리로 엮어질수 있는 방법을 찾을 수 있는 것이다. 이런 노력으로 업계도 노력하고 해당 제품을 도입하는 담당자도 새로운 인식의 전환을 가져야 하며 법적 제도적으로 현실화 문제도 검토해 보아야 할 단계이다. @엔시스.