Part 1

기업의 경계뿐만 아니라 모든 데이터와 기업에 속한 직원들을 보호해야 한다는 정보보호 전문가들의 스트레스는 나날이 증가하고 있다. 또한 새로운 기술 구현의 필요성과 제한적인 예산 내에서의 보안 솔루션 사이에서 정보보호 전문가를 위한 전문화된 교육의 필요성도 지속적으로 증가하고 있다.

교육, 인증, 전 세계 정보보호 전문가들을 위한 피어-네트워킹(peer-networking)을 제공하는 비영리재단 (ISC)2를 대신해 프로스트 앤 설리반(Frost&Sullivan)이 2007년 가을, “2008 글로벌 정보보호 워크포스(GISWS)”연구를 진행했다.

(ISC)2는 이 분야의 세계적인 중요 트렌드와 가능성에 관한 상세한 분석을 제공하기 위해 프로스트 앤 설리반을 택했다. 이 연구의 목적은 전문가, 기업, 정부 기업, (ISC)2 회원, 학계 및 기타 이익 집단 등 업계 관계자들에게 정보보호 직종에 관한 의미 있는 연구 데이터를 제공하는 것으로 이 연구의 전자 설문 조사는 웹 기반 포털을 통해 수행되었다.

The 2008 (ISC)2 Global Information Security Workforce Study

프로스트 앤 설리반은 전 세계의 기업과 공공 부문 기업의 응답자 7,548명에게 정보보호 직업에 관한 그들의 의견을 물었다. 웹 기반 조사는 전 세계의 정보보안 종사자를 대상으로 실시되었다. 또한 프로스트 앤 설리반은 자체적인 주요 데이터 소스와 방법으로 분석을 추가했다. 응답자의 자격을 결정하기 위해 몇 가지 질문이 제시되었으며 응답자들은 다음과 같이 선발되었다.

●정보보안 직종 종사자

●소속 기업의 정보보호 확보 또는 관리 책임자

●보안 기술 및 서비스, 또는 내부 보안 직원 고용에 관한 결정 과정 관련자

올 해의 연구를 위해 (ISC)2 회원과 비회원 표본을 전 세계 보안 전문가의 실제 인구와 비례하여 비교했다. 또한, 가중치 측정 방법을 개발해 회원과 비회원 표본에 적용하였다. 회원과 비회원 표본 모두 북미, EMEA, 아태 지역의 지역적인 인구 비율을 기준으로 가중치가 계산되었으며 비회원에 대한 회원의 해당 인구 비율을 기반으로 측정되었다.

결과적으로 조사 데이터와 결과는 이전의 조사 결과에 비해 전 세계 정보보호 전문가 인구를 보다 정확히 나타내고 있다. 데이터가 전 세계 정보보호 인력을 보다 잘 나타내고 있기 때문에 올해 연구 결과에서는 근무 기간, 연봉, 유형, 기업의 규모와 같은 범위에서의 차이가 뚜렷하게 드러났다.

최근 미(美) TJX, 영국 국세청 등에서 보고 된 주요 신원 도용과 정보 유출 사건들이 보안의 심각한 중요성을 부각시켰다. 과거에는 경계 보안이 정보보호의 주요 초점이었다. 그러나 오늘날의 기업에서는 기업 내·외부의 미사용중인 데이터와 이동중인 데이터를 모두 보호하는 것이 필수적이다. 고객들은 자신들의 데이터가 보호되기를 기대하며 자신들의 신뢰를 저버리는 기업을 떠날 것임을 분명히 하고 있다. 이 외에도 규제 요건 사항을 준수에 대한 요구 또한 데이터 보안의 중요한 부분이다.

전 세계적으로 미국과 거래하는 모든 기업들에 적용되는 미국 법안인 사베인즈-옥슬리법안(SOX), 유럽 금융 서비스 부문에 적용되는 Basel Ⅱ, 전 세계적의 신용 카드 업무에 적용되는 PCI DSS(신용카드협회 데이터보안표준 : Payment Card Industry Data Security Standard), 미국 의료 부문에 적용되는 HIPAA와 일본의 J-SOX, 미국 연방 정부 기업을 규제하는 FISMA(연방 정보 보안 관리 규정)와 같은 특정 업계 표준 등 기업들이 준수해야 하는 컴플라이언스들이 증가하고 있다. 기업들은 자신들이 두 개 이상의 컴플라이언스 표준과 연관 있다는 것을 알고 있다. 각각의 표준들은 다양한 요건 사항을 가지고 있으며 정보보호 전문가들은 이러한 성장 추세에 대처할 수 있을만한 실력을 갖춰야만 한다.

이 연구는 ‘사람’이 효과적인 보안의 기저에 위치한다는 것을 보여준다(51%가 내부 직원들이 가장 큰 위협을 내포한다고 응답). 과거에는 수많은 기업들과 중역들이 보안 과제를 해결하기 위해 기술을 찾았다. 그러나 오늘날에는 경영진의 보안에 대한 인식과 내부 직원의 악의적, 또는 우발적 행위로 내재된 위협의 증가로 훈련 및 검증을 거친 숙련된 정보보호 전문가가 기업의 보안 과제에 대한 해답으로 여겨지고 있다.

컴플라이언스 정책과 오늘날의 공격이 광범위하고 다양하기 때문에 정보보호 전문가들은 지식과 기술, 그리고 이러한 과제들을 적절히 처리할 수 있는 능력을 갖춰야만 한다. 프로스트 앤 설리반은 검증된 인력 고용의 필요성과 미 검증된 전문가 고용으로 야기될 결과를 모두 이해하기 위해 기업은 정보보호 전문가들의 교육을 받을 필요가 있다고 생각한다.

프로스트 앤 설리반은 비록 일부 부문의 경제가 둔화되고 있다 할지라도 정보보호는 지속적으로 크게 성장하는 분야가 될 것으로 보고 있다. 그와 같은 강력한 성장에 기여할 3가지 주요 요소로 생각하는 것은 다음과 같다.

●평판·신뢰 - 이전과는 다른 주목할 만한 변화는 응답자의 대다수가 기업의 평판에 대한 피해 예방을 그들의 최우선 순위로 두었다는 점이다. 이는 기업들이 규제 컴플라이언스 법안을 충족시켜야 하기 때문으로 보인다. 기업들은 데이터 유출로 막대한 비용의 결과가 초래한다는 것을 알고 있다. 수많은 보고서들이 어떠한 데이터 침해라도 건당 50달러에서 200달러의 비용이 든다고 평가하고 있지만, 이것은 평판 손상과 같은 측정하기 어려운 비용을 포함되지 않은 금액이다.

●컴플라이언스 - 컴플라이언스는 이 직종의 성장 이면의 주요 동력이다. 규제 컴플라이언스 법안이 점차 임원진의 어깨 위에 컴플라이언스의 책임을 얹어주고 있다. 이것은 전문가의 수적 증가를 유도하며 기업 내에서의 정보보호의 중요성을 불러일으킨다.

●투자수익률(ROI) - 관리자들을 고용하면서 직면하게 되는 주요 어려움 중 하나가 투자 수익에 관한 것으로 나타났다. 규제 요건사항 충족 실패에 대한 부담금은 관리자들에게 보안 비용 지출을 정당화하기 위한 보다 실재적인 측정치를 제공한다. 이것은 보안 이벤트 정보관리(SEIM : Security Event Information Management)나 싱글사인온(SSO : Single Sign On)과 같은 추가적인 보안 툴에서 얻어진 효율성의 증가와 결합되어 긍정적인 ROI로 보안의 가치가 측정될 수 있는 환경을 생성하고 있다.

프로스트 앤 설리반은 2007년 전 세계 정보보호 전문가의 수를 대략 166만 명으로 추정했다. 이것은 2007년부터 2012년까지 10%의 연평균복합성장률(CAGR)을 보이며(표 1 참조) 2012년 즈음에는 전문가의 수가 거의 270만 명으로 증가할 것으로 예상된다.

미 대륙과 EMEA 지역은 아태 지역보다 정보보호 전문가들에 관해 더 높은 성장을 보일 것이다. 그러나 아태 지역과 EMEA 지역의 기업들 모두 자격을 갖춘 전문가들을 유혹하기 위한 거부할 수 없는 제안을 끊임없이 개발하고 있다. 표 1은 지난 12개월간의 직원 행위 관찰과 인력 채용을 포함한 정보보호 예산 증가에 대한 기업의 의향에 관한 주요 연구의 결과를 반영하고 있다.

에디터·김동빈(foreign@boannews.com)

자료제공·프로스트 앤 설리반(Frost&Sullivan), (ISC)2

(The 2008 (ISC)2 Global Information Security Workforce Study)

[정보보호21c 통권 95호(info@boannews.com)] 

       <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>