Part 3

정보보호 전문가의 수준

전문적인 개발의 관점에서 응답자들은 지난 몇 년 동안 높은 수준의 교육을 받았다고 보고했다(그림 7 참조). 최소 학사 학위 또는 동일 수준의 보다 많은 사람들이 전 세계적으로 정보보호 분야에 채용되었다.

정보보호 전문가의 47%는 학사나 그와 비슷한 교육 수준을 보였는데 미 대륙과 아태 지역이 각각 54%와 49%로 가장 높은 수를 차지했다. 그러나 EMEA에는 석사 및 박사 학위(각각 37%, 8%)를 가진 전문가의 수가 많은 것으로 나타났고 석사 학위 소지자 비율은 미 대륙 및 아태 지역과 동률(각각 31%)을 이뤘으며 아태 지역에는 미 대륙보다(각각 7%, 5%) 박사 학위 소지 전문가가 조금 더 많은 것으로 나타났다.

프로스트 앤 설리반은 응답자의 교육 수준의 증가는 이 분야의 성숙을 나타내는 것으로 보았다. 대학들이 박사, 학사, 심지어 박사 과정에 전문화된 프로그램을 개발함에 따라 정보보호 실무자들은 더욱 더 전문화된 교육을 쫓아야 한다는 부담을 느끼는 것으로 보인다. 수년간의 전문 경력도 관리자 고용과 기업의 교육을 보완 또는 대체를 위한 또 다른 중요한 후보 조건으로 판명되었다.

기업 내 인력의 성숙 및 업무 요구를 충족시키는 신입 직원들과 더불어 기존의 경력에 일부 변화가 있었다. 2007년 미 대륙의 보안 전문가들은 평균 9.5년의 경력을 지녔으며 EMEA와 아태 지역의 보안전문가들은 각각 평균 8.3년, 7.1년의 경력을 지녔다. 최고의 정보보안 경력을 지닌 전문가들은 주로 미 대륙 지역에 분포하고 있다.

이들 지역에서 전문가의 수가 증가하는 것은 정보보안 전문가들이 그들의 역할에 머무르고 있다는 것을 보여준다. 더 높은 교육 수준을 지닌 개인의 증가와 유용한 경력 획득으로 올해 정보보안 담당자의 급여도 전 세계적으로 지역적 동력을 반영하는 쪽으로 변화되었다.

프로스트 앤 설리반은 특히 (ISC)2 회원들이 보고한 급여에서 현저한 차이를 확인했다. 즉, (ISC)2 인증을 보유하지 못한 정보보호 전문가들은 SSCP, CISSP, CAP 인증을 보유한 정보보안 전문가들-(ISC)2 회원들-에 비해 차이를 보인다. 경력 기간을 비교하더라도((ISC)2 회원의 대다수는 5년 이상의 경력을 갖고 있음) 전체 지역에 걸쳐 현저한 급여 차이를 보인다.

급여 차이의 범위는 아태 지역에서는 7%, EMEA에서는 거의 30%로 나타났다. 이러한 차이의 원인에는 수많은 요소가 있지만 그 중에서도 가장 주목할만한 것은 각 지역의 숙련된 전문가의 숫자다. 아태 지역의 인력은 상대적으로 경험이 적고, 특히 5년 이상의 경력을 가진 전문가가 드물다.

대다수 월드와이드 정보보호 전문가들의 업무보고 라인은 과거 12 개월간 큰 변화는 없었다(그림 9 참조). 2004년과 2005년에 보고 된 34%보다는 조금 낮아졌지만 열명 중 세 명은 여전히 IT 부서로 직접 보고하고 있다. 그러나 총책임 관리직에 보고하는 전문가의 수가 2007년에 33%까지 증가해 임원급의 인식이 증가하고 있음을 보여준다. 또한, 전 세계적인 규제 환경의 단계적인 상승 때문에 리스크 관리, 내부 감사, 가버넌스/컴플라이언스와 같은 기타 그룹은 지난 2년에 걸쳐 기업의 서열에서 보다 더 안정되었다.

프로스트 앤 설리반은 규제의 수가 계속해서 전 세계적인 범위로 보다 증가할 것으로 보고 있다. 이러한 규제 중에는 PCI, EU Directive 2002/58/EC, ISO27001/27002 등이 있다. 이러한 기준들과 그 외의 인도 기술법안(India Technology Act)나 호주 사생활보호 법안(Australian Privacy Act)과 같은 지역별 기준들은 임원급이 글로벌하게 사업을 운영하는 것의 일부로 정보보호 법안을 준수하도록 압박할 것이다.

정보보안 인증의 가치

20년 전만해도 네트워크 보호에 관한 “실질적인” 경험을 지닌 전문가들은 얼마 되지 않았다. IT는 새로운 분야였고 잘 알려지지 않은 분야였기 때문이다. 오직 최상위 보안 네트워크들만이 보호가 필요한 것으로 여겨졌다. 따라서 전문가들이 거의 존재하지 않았다. 그러나 10년 전부터 기업들과 고용 책임자들이 기술로써의 정보보호의 중요성을 깨닫기 시작했다. 결과적으로 고용 책임자들은 직원 채용을 위해 경력 대신 인증서에 의존하기 시작했다.

응답자의 53%에 따르면 그들은 소속 기업의 정보보안 직원 고용 과정에 참여하고 있는 것으로 나타났으며 고용 책임자의 78%가 인증을 “매우 중요” 또는 “다소 중요”라고 답하는 등 채용 조건으로써의 정보보안 인증은 여전히 매우 중요하다(그림 10 참조).

지난 수년간 채용 과정에 복잡성이 더해졌다. 시장에서 제공되는 인증의 수가 부족하고 그나마도 인증서들 간의 질적 차이가 있기 때문이다.

중립 업체와 특정 업체의 보안 인증 리스트가 매년 증가하고 있어 직원과 고용 책임자, 기업들은 어떤 인증이 가장 가치 있는지 분간하는데 어려움을 겪고 있다.

6년 전에는 시장에 약 15개의 보안 인증이 있었다. 현재 그 숫자는 엄청나게 증가해 40개 이상의 중립 업체, 25개 이상의 특정 인증 업체에 이르고 있다. 프로스트 앤 설리반은 정보보안 인증의 양이 시장에 희석 효과를 일으켜 앞으로는 모든 인증들이 스스로 차별화해야하는 과제가 되리라고 보았다.

문제는 오늘날 높이 평가되고 있는 인증들이 앞으로 정보보호 전문가들에게는 덜 중요하게, 그러나 그들의 고용주에게는 더 중요해지리라는 점이다. 이 무거운 짐은 상대에 비해 자신들의 가치를 분명히 표현하고 구분하고자 하는 중립 업체와 특정 보안 인증 업체의 스폰서와 공급자에게 떠넘겨질 것이다.

혹독한 개발 기준을 채택하고 엄청난 양의 교육, 경험뿐만 아니라 정보보호에 대한 깊이 있는 지식을 요구하는 인증 프로그램들이 있다. 인증 업체들은 정확함, 자격 부여, 수년 간의 경험, 지속적인 교육 및 인증을 획득하고 유지하기 위한 그 외의 단계들에 집중할 필요가 있다. 결국 정보보호 전문가들이 자신들에게 필요한 인증을 선택할 것이다.

관리자가 기업의 지원자 선택 조건의 일부로써 정보보안 인증을 지닌 정보보호 전문가를 고용하고자하는 핵심적인 이유는 그림 11과 같다.

업무의 질, 회사 정책, 직원의 능력은 여전히 주요 요소다. 그러나 다른 요소들이 떠오르고 있다. 올해의 연구에서 나타난 바와 같이 더 많은 기업들이 회사 정책과 규제 컴플라이언스 때문에 그들의 정보보안 직원들에게 인증을 보유하도록 요구하고 있다.

미 대륙의 고용 책임자들은 규제 컴플라이언스의 부담을 느끼고 있어 그들의 정보보안 직원들이 정통하고 숙련되며 컴플라이언스를 담당할 능력을 갖추기를 원한다. 일례로 미(美) 국방부(DoD) 명령 8570.1은 모든 국방부 정보 보안 기술자, 관리자, 계약자들이 국방부 기본 요건 사항에 대해 훈련받고 인증 받을 것을 요구한다. (ISC)2 인증을 포함, 13개 인증이 이 명령의 엔터프라이즈 와이드 인증 프로그램에 제휴 및 위임되었다.

인증을 취득하는 것이 정보보안 전문가의 유일한 자격요건은 아니지만 인증된 전문가의 고용에 관한 정책을 공표한 회사의 증가와 인증 요구를 명시하는(美 DoD 명령 8570.1 등) 컴플라이언스 법안의 증가는 향후 정보보안 인증에 대한 중요성을 가중시킨다.

<에디터·김동빈(foreign@boannews.com)>

자료제공·프로스트 앤 설리반(Frost&Sullivan), (ISC)2

(The 2008 (ISC)2 Global Information Security Workforce Study)

[정보보호21c 통권 95호(info@boannews.com)]