엔시스의 정보보호(보안) 따라잡기

2013년 처음 시행된 국가기술 정보보안기사 , 산업기사 자격증 시험이 진행이 되었다. 아직 초기단계라 여러가지 시행착오를 거치긴 하겠지만 최근 보안 사건사고와 이슈 때문에 보안에 대한 관심이 증대되고 있다.  또한 공식적으로 전산직렬에 정보보호직류가 생겨 보안관련하여 공무원의 길로 나아갈 길도 마련이 되었다.

이에 필자는 2013년 한해 동안 부족하지만 <정보보안기사, 산업기사 한권으로 끝내기> 2013, 시대고시기획출판, 에서 출간하게 되었다. 많은 분들이 관심을 주어서 감사하게 생각한다. 이는 일명 '빨간책(빨갱이)' 문제집은 '파랭이' 실기교재는 '오렌지북'등으로 네이밍되어 많은 관심을 받았다. 그 고마움은 더 나은 콘텐츠로 보답하리라 마음 먹은 계기가 되었다.

수험서라는 분야와 IT라는 분야는 해가 바뀌면 수험 기출문제와 출제 경향을 분석하고 또한 IT분야가 워낙 빠르게 변화하기 때문에 꾸준히 업그레이드 해야 한다. 또한 타켓이 명확하고 수험분야다 보니 작년보다 더 많은 종류의 책들이 쏟아져 나왔다. 더 좋은 책이 나오길 기대해 본다. 선의의 경쟁은 품질을 높일 수 있고 독자는 선택권이 넓어진다는 장점이 있다. 

출판분야에 일하는 지인에 따르면, 경쟁력이 떨어지는 출판사도 핫 이슈가 되는 부분이 있다면 책이 팔리지 않더라도 어쨌든 초판이라도 인쇄하고 본다는 것이다. 그래야 해당 출판사도 이러이러한 책을 출간하였다고 명분을 세울수 있기 때문이란다. 

마치 신문사가 특종이 어디서 터지면 그 특종을 타 신문사가 모두 기사화 하였는데 자신의 신문사만 안 할 수 없으니 하게 되고 구독자는 반복적인 똑 같은 기사 내용을 접하게 되는 것과 같은 원리인 셈이다.  어쩔수 없는 논리일듯 하다. 

그렇다보니 2014년 <정보보안기사 산업기사 한권으로 끝내기 > 개정판을 준비할 수 밖에 없었다. 하지만 개인적인 사정으로 인하여 3회 시험대비를 위한 개정판은 타이밍이 맞지 않아 어쩔수 없었고, 실기 시험과 4회 시험에 대비를 위한 부분이다. 이점에 대해서는 출판사에 미안한감이 있다. 또한 기다리고 있었던 독자분들에게도 송구한 마음이 든다. 하지만 이해해 주리라 믿는다. 

2014 <정보보안기사, 산업기사 한권으로 끝내기> 개정판  

 ▲   <정보보안기사 산업기사 한권으로 끝내기 > 2014 개정판 표지 

<정보보안기사 산업기사 한권으로 끝내기> 2014 개정판은 다음과 같은 내용을 담았다.

전면개정은 하반기에 한번 더 이루어질 예정이다.. 점점 다듬어 가다보면 언젠가는 좋은 책이 될 것이라는 믿음이 있다. 덕분에 나 스스로 공부를 많이 하는 듯 하다. 

• 제2회 정보보안기사 기출문제를 최대한 복원 하여 수록하였다.
  
• 오타부분을 최대한 찾아 줄였다.
• 문맥이 매끄럽지 못하거나 한 부분은 문장을 다듬었다.
• 일부 어려운 표현이 있는 부분은 모두 삭제하고 다시 정리하였다.
• 그림등을 다시 그려 조금 더 디테일하게 하였다.
• 내용의 부분 수정이나 추가 삭제가 이루어졌다. 
• 각 챕터 문제나 해설 부분이 부족한 것을 보완하였다.
• 타인에게 검토를 의뢰하여 부족한 부분은 조금 보완 하였다.

아마도 스스로 자신의 목소리와 모습을 보면 그렇게 어색하고 민망할 수 없다. 그냥 괜히 그렇다. 그것도 인터넷에 공개한다는 것이 부담되는 것이 사실이다. 하지만 용기를 내어 조금이나마 도움이 될까 싶어 꺼리김 없이 공개하였다. 아마도 조금이나마 필자의 마음을 헤아리고 자격증 준비하는데 도움이 되지 않을까 생각이 든다.

2. 저자도 검증 받아야 하는 시대, 2회 정보보안 기사 합격

나는 자기계발성 용어중에 하나로 '액프로버'^[각주:1] 라는 용어를 만들었다. 아마도 블로그나 SNS을 통하여 여러번 언급하였는데 행동으로 옮기고 그 다음은 증명을 해야 사람들이 신뢰를 한다. 창업을 해 본 사람이 창업에 대한 조언이나 컨설팅을 하면 더 많은 신뢰를 얻게 되는 것은 당연한 것이다. 이론과 현실은 틀리다는 것이다. 그래서 작년 2회 시험에 도전하여 '정보보안기사' 필기, 실기 합격하여 자격증을 교부 받았다.  타 수험생과 동일하게 시험장에서 똑같이 시험보고 검증해보고 응시해서 그것을 교육이나 책으로 다시 녹여 내야 하는 것이다. 

언뜻, 지나가는 소리로 어떤 지인이 '자격증'도 없는 사람이 무슨 책을 쓰고, 교육을 하는가? 만약, 의사가 의사면허가 없다면 돌파리 의사가 되듯이 앞으로 정보보안에 대한 부분도 자격을 구비한 사람이 전문직으로 자리 매김해 나갈 것이다. 아무나 보안에 대하여 언급 할 수 있는 것도 아니다. 그렇다고 자격증이 모든 것을 해결 할 것이라는 오해는 하지 말기 바란다. 자격증은 자격증일 뿐이다.  그런 신뢰감을 주려고 시험이 어렵지 않은가? 그래야 취득하는 사람이 가치가 있지 않겠는가?

관련 포스팅 : http://www.sis.pe.kr/3507 

앞으로의 방향 및 향후 계획

시중에는 많은 관련 수험서나 서적들이 있다. 어떤 책이 좋고 어떤 책이 나쁘고는 자신의 수준에 맞추어야 한다. 아무리 좋다고 하는 책도 자신은 종이 질감때문에 다른 책을 선택하는 사람도 보았다. 그만큼 다양한 것이고, 서점에 방문하여 자신의 수준과 눈높이 그리고 요구조건에 맞는 책을 선택하면 되겠다. 앞으로 책 내용 보완 및 가독성을 높일 수 있는 방법을 강구하겠다.

그동안 개정판 나오기를 기다려 주신 분들에게 관심 가지고 기다려 주셔서 고맙다는 말씀 드리고 개인적 사정으로 본의 아니게 늦어져서 송구하다는 말 이자리를 통하여 전한다.  3회는 기존 교재로 준비하고 , 4회에는 2014년도 개정판으로 준비해 보면 어떨까 생각한다. 아직도 문제집 개정과 실기교재 개정이 남아 있어 보다 기초교재로 손색이 없도록 부족한 부분은 여러가지 의견을 수렴하여 다듬고 또 다듬어 보겠다. 시간이 조금 걸려 그렇지 다듬다 보면 언젠가 잘 다듬어지지 않겠나? 지금 정부도 처음 시작시에는 정부조직도 제대로 갖추어지지 않고 출발하지 않았던가? 

보안인닷컴 카페와 개인정보보호 카페, 그리고 SNS을 통하여 응원해 주시는 모든 분들께 감사드리고 앞으로 더 노력하는 모습 보여 드리겠다. 이상 끝. @엔시스 

연초 카드사 개인정보 유출 이후에 연인터지는 사건사고로 인하여 관련 업계와 담당자, 그리고 관련 기관은 대책마련에 촉각을 기울이고 있다. 그중에 가장 눈에 띄는 대목이 정보보호 관련하여 공무원이 될 수 있는 길이 열린다는 것이다.

관련 기사 내용을 보면 

정보보호 전담 공무원 키운다…안행부, 하반기 경력 채용

긍정적인 측면

공무원이라는 직업은 공무(公務)를 하는 사람을 말하는 것이다. 즉 정보보호 업무를 공적인 업무로 인정하는 부분이다. 물론 그전에도 군무원이나 관련 분야에서 간간히 정보보호 관련 공무원을 채용한 바가 있었다. 하지만 이렇게 전산직렬에서 정보보호 직류로 개설해서 진행하는 것은 보안에 대한 책임과 역할의 중요성을 인지한 것이라 판단이 된다. 

따라서, 지금까지 전산직렬은 전반적인 전산에 관련된 업무나 개발이나 혹은 정보보호 업무까지 전부처리하였지만 정보보호직류를 개설함으로써 이제는 기존 전산직렬에서 담당하는 담당자의 업무 감소와 또한 해당 직류에 인원이 보충됨으로써 장기적인 안목에서 전문인력의 투입될 길을 마련한 것이라 하겠다. 

과거 보안사건사고시 정부 종합대책을 보면 2014년 시험부터는 전산직렬에 '정보보호'과목을 개설하는 대책은 이미 발표된바가 있으며 , 2016년도에는 정보보안 기술사 제도를 시행하겠다고 발표한 바가 있다. 대책이 나오면 그 다음부터는 반드시 시행이 뒤따라야 한다.

필자는 블로그에 다양한 보안에 대한 여러가지 고민을 기록한 바가 있다. 어떨경우에는 말도 안되는 소리지만 이제는 그것이 대안으로 떠 오르는 시기가 도래한 것이다. 꼼꼼히 한번 읽어 보길 바란다. 

[칼럼-118] 정부 뒷짐짓는 정보보호 관련 행정

[정책제언] 이젠 일반인도 보안인센티브 주면 어떨까?

SIS(국가공인 정보보호전문가)자격증, 국가기술 자격증 가시화해야

그럼 과연 이러한 개선 노력후에 기존에 부족한 부분이 많이 개선이 되었는가에 대한 것은 다시 한번 물음을 던져 봐야 한다. 혹자는 당신이 주장한 바 대로 되었는데 과연 지금도 똑같이 보안사건사고가 생기지 않는가? 그럼 또 다른 대책 한다고해도 똑같지 않는가? 이렇게 부정적으로만 생각하는 사람들이 있다. 아마도 그렇게 생각할수도 있지만 그런 사람들은 자신 개인의 발전이나 조직의 발전에서 상당히 부정적인면만 봐서 스스로 성장하지 못할 가능성이 높다. 

단적인 예로 한가지만 들자. 정보보호관리체계(ISMS)를 인증 받으면 100% 보안이 보장이 되는가? 보안 컨설팅을 받으면 100% 보안이 보장이 되는가? 그렇다라면 왜 그렇게 생각하고 그렇지 않다고 생각하면 왜 그렇지 않다고 생각하는가?  우린 무엇이든 처음에 어떠한 행동을 하기 위해 그 행위를 왜 하는지에 대한 물음을 가져야 한다. ISMS는 그동안 주먹구구식으로 되어 있던 정보보호의 관리를 체계적으로 관리하여 조금 더 보안 위험성을 감소시키는데 목적이 있는 것이지 보안을 100% 보장하는 것이 아니다라는 것이다. ISMS구축 하기전보다 확실히 체계적인 관리가 된다는 이야기는 인증심사를 나가보면 담당자들의 한결같은 이야기이다. 물론 그렇게 하기 위해서는 많은 증적사항과 힘든 부분은 있지만 말이다. 그러니 제발 ISMS 그거 인증 받아봐야 소용있겠나? 인증 받았는데 모두 털리는데 무엇때문에 힘들게 받아야 하는가? 라는 이야기는 바람직 하지 않다.

이제는 전문화된 지식을 보유하고 있는 정보보호 분야에 공무원의 길이 열린만큼 그에 따른 파급효과도 나타날 것이라 예상이 된다. 그러나 소수의 인원이고 잠시 보여주기식의 제도나 정책이 되어서는 안될 것이다.

부정적인 측면

관련 분야 인력들이 너무 공무원 시험에만 매달리지 않을까 우려스럽다.

자신이 정보보호분야에 해박한 지식을 가지고 있다고 치자. 과연 그 인력을 품에 않을 수 있는 기업은 얼마나 되는가? 중소기업에 보안담당자가 전담으로 있다는 소리는 들어보기 쉽지 않는 부분이다. 결국 자신의 전문적인 지식을 통하여 먹고사는 문제를 해결 할 수 있는 방법은 대기업과 공무원의 길이 안정적이라고 생각하고 있다. 그러나 그마저도 쉽지 않다. 그럼 대부분 어떻게 커리어가 흘러가는지 가상으로 한번 엮어 보자.

가상으로 꾸며본 시나리오다. 가상이라고 하지만 또 현실일지도 모른다. 그러니 너도나도 공무원이 되기 위하여 관련분야에 인력부족현상이 발생이 되고, 인력부족이 생기다 보니 전문업체에 주니어가 넘치고 전문기업은 프로젝트에 투입을 해야 하는데 인력이 없으니 어쩔수 없는 전문성과 경력이 짧은 인력을 투입하게 되고 

어떻게 저떻게 보안프로젝트는 끝났는데 그 이후에 보안 사고사고는 발생이되고 , 이에 대해 예산을 사용한 용역발주사는 스스로 책임을 부담하기엔 억울하니 컨설팅사에 책임을 묻는 악순환이 반복이 된다. 

과연 보안사건사고가 발생하면 누구 책임인가? 컨설팅사 책임인가? 아니면 담당자 책임인가? 아니면 경영자책임인가? 아니면 현실을 감안하지 않는 이상적인 대책만 남발하는 정부책임인가? 아니면 우리 모두의 책임인가?  과도한 규제만 통제만 가하고 무조건 그대로 하라고 압박만 해야 하는가? 아니면 우리가 알아서 할테니 자율적 규제로 남겨두라고 이야기 할 것인가? 그러면 과연 스스로들 잘 알서 할 것인가? 아니면 너무 솜방망이 처벌이라서 가볍게 여겨 그런것은 아닌가? 

하지만 지금은 보안이 발전하기 위한 성장통을 겪고 있다고 본다. 이런저런 시행착오를 겪고 있는 중이라 생각한다.  또 새로운 파격적인 대책이 나올 가능성도 있다. 하지만 그렇게 시행착오를 겪기까지 시간이 걸리고 우리는 또 다른 보안위협에 누군가 희생량이 되어야만 언론이나 방송에서 대서특필되고 하루 아침에 해당 기업과 담당자는 죄인이 되어 버린다. 과연 누구의 잘못일까? 어떻게 풀어가야 할까?  고민 되는 아침이다. 내공을 지닌 전문가분들의 많은 고견이 있으면 좋겠다. 

단언컨데 꾸준히 지속발전하는 건강한 사회가 되었으면 좋겠다는 생각에는 변함이 없고, 보안의 대중화로 인하여 관련분야에 업을 가진 사람들의 자부심과 처우개선이 이루어지는 것에 이번 정보보호 전문가 공채 시험을 통하여 공무원의 길이 열리는 단초가 되었으면 하는 바램을 가져본다. 과연 어떠한 결과가 나올지 지켜보토록 하자. @엔시스