Part 4

정보보호 전문가에 대한 지속적인 교육 필요

인증의 중요한 가치 중 한 가지는 그것이 성실한 전문가들이 구축할 수 있는 기초를 확립한다는 점이다. 보안 위협은 끊임없이 발달하며, 따라서 보안 전문가들은 반드시 그와 마찬가지로 자신들의 지식과 기술을 넓혀나가야만 하며 계속 변화하는 위협에 적응하고 대응하기 위해 새로운 툴과 기술을 이용해야만 한다.

 

어떤 경우에는 새로운 인증이 새로운 기술을 입증하는데 가장 좋은 접근 방법이었을 수도 있지만, 전문가가 선택할 인증과 상관없이 그들의 직업적 성취와 그들이 속한 기업의 궁극적인 보안은 새로운 방어를 배우고 인프라스트럭처와 기업 전반에서 새로운 보안 도구와 기술을 완전히 사용하고 추진하는 그들의 능력에서 비롯될 것이다.

 

다른 지원자와의 차별화와 잠재적인 급여 및 복리 혜택은 사람들이 정보보안 인증 취득에 관심을 갖는 또 다른 이유다. 본 연구의 결과에서 전반적으로 증명된 것처럼 정보보호 전문가들의 이러한 부가적인 혜택의 향유가 지속되고 있다. 이와 관련하여 응답자의 40%는 2007년~2008년 사이에 자신들의 툴킷에 최소 하나 이상의 새로운 인증을 추가할 것을 고려하고 있다고 답했다(그림 12참조).

앞으로 보안 전문가들은 진화하는 컴퓨팅 환경(예 : 가상화 및 서비스 지향 아키텍처)과 정보보안의 성질 변화에 대처하기 위해 지속적인 교육과 실질적인 경험을 통해 최신 기술과 최고의 실행을 통달해야만 할 것이다. 기업들은 단일 네트워크에서 물리적·논리적 보안이 운영되는 집약된 보안 환경으로 이동하고 있다. 기술적 지식은 중요하다. 그러나 비즈니스의 이해와 커뮤니케이션, 협상, 기복 관리 등과 같은 비즈니스 기술의 활용이 개인의 승진과 생존에 있어 더욱 중요해질 것이다.

기술만으로는 문제 해결할 수 없어

정보보호 전문가들은 시대에 앞서기 위한 노력으로써 수많은 분야에 걸친 추가적인 훈련과 교육 기회를 생각했다. 무엇보다 보안 관리 분야에서 훈련의 요구가 두드러졌다(그림 13 참조). 기업들이 새로운 솔루션 기술을 구현함에 따라 관리자들이 그러한 시스템을 보호해야하는 만큼 훈련과 교육의 요구 증가는 매우 중요하다.

 

프로스트 앤 설리반은 애플리케이션 및 시스템 개발과 보안이 앞으로도 기업의 중요한 투자 분야가 될 것으로 보았다. 기업의 보안 유지의 책임을 맡고 있는 사람이 보안의 초석이기는 하지만 보안은 궁극적으로 모든 이들의 책임이다. 만일 누군가 보안 정책을 유지하거나 준수하지 못 할 경우 모든 컴퓨팅 시스템과 기업의 생존력은 위험에 처하게 된다. ‘최고(Chief)’레벨의 담당자들 모두가 어느 정도 책임이 있다.

 

본 조사의 결과를 토대로 CIO에서부터 고위 관리 및 비즈니스 등 다른 분야로 책임이 점진적으로 변화하고 있음을 알 수 있었다. CEO, 이사회, 최고정보보안책임자, 최고보안 책임자, 법률팀, 컴플라이언스 책임자, 최고리스크책임자들이 보안과 기업의 전반적인 리스크에 대한 책임을 공유한다. 만일 규제 환경이 현재의 궤도로 지속된다면 가까운 미래에는 이들의 리스크 공유를 더욱 더 보게 될 것이다.

임원진은 점점 더 정보보안을 구매하거나 소유하기 시작하고 있다. 정보보호 전문가들은 그들의 영향력에 관해 여전히 긍정적이며 임원진의 태도 변화와 보안 구매가 단지 IT 이슈가 아니라 기업 전반의 문제라고 설득하는데 도움이 된다고 생각했다.

 

정보보호 전문가들은 기업의 보안 정책의 중요성과 왜 그것을 구현해야하는지, 그리고 더욱 중요한 시행을 논의하기 위해 임원 및 관리자들을 만나는데 대부분의 시간을 보내게 될 것이다. 2008년 연구에 따르면 이것은 기업의 인프라스트럭처를 효과적으로 보호하기 위한 보안 전문가들의 최우선 과제이다.

다음의 리스트는 컴퓨팅 인프라스트럭처를 적절히 보호하고 리소스의 유출·오용·남용을 방지하는 정보보호 전문가의 능력에 영향을 끼치는 (가장 중요한 것에서부터 가장 중요하지 않은)요소를 보여준다.

1. 보안 정책을 준수하는 사용자들

2. 임원진의 보안 정책 지원

3. 보안 정책에 관한 직원 교육

4. 자격을 갖춘 보안 담당자

5. 소프트웨어 솔루션

이 리스트는 2006년 조사 결과에 비해 달라진 부분이 없으며 과거에는 보안 문제를 해결하기 위해 더 많은 기술을 도입하는데 치우쳐 종종 간과되었던 가장 중요한 부분 중 하나인 ‘사람’에 관한 관점이 여전히 중요하다는 것을 보여준다.

각 지역의 정보보호 전문가들은 모두 안전한 보안 전략을 수행하고 모든 이해관계자들이 책임을 공유하는 명확하고 유기적인 리스크 관리 프로그램을 지원하는데 있어 기술은 도구일 뿐 솔루션은 아니라는데 의견을 같이했다.

 

응답자들은 또한 성공적인 정보보호 전문가가 되기 위해 필요한 기술 탑 5 중 하나로 커뮤니케이션 기술을 꼽았다(그림 14 참조). 프로스트 앤 설리반은 이것이 기술 솔루션은 보안 문제를 해결하기에 충분하지 않다는 임원진의 이해를 반영하는 것으로 보았다. 정보보호 전문가들은 기업 내에서 교육과 훈련을 수행하는 역할을 맡고 있다. 이를 위해서는 다양한 기술은 물론, 비기술자인 청중에게 보안의 기본을 전달할 수 있는 능력을 모두 갖춘 다재다능한 인력이 필요하다.

정보보호 전문가의 사명

정보보호는 기술 솔루션만으로는 처리할 수 없는 포괄적이고 비수직적이며 기업 전반에 걸친 문제다. 이것은 기업의 논리적·물리적 자산을 사전에 안전하게 보호하기위해 재정, 관리, 운영 레벨의 무조건적인 헌신을 필요로 한다. 오늘날의 디지털로 연결된 사업 환경으로 인한 리스크를 효과적으로 완화하기 위해 보안 관리에는 항상 사람과 정책, 절차, 기술 사의의 적절한 균형이 필요할 것이다.

 

응답자들은 오늘날 보안이 현대적인 기업을 운영하는데 있어 중요한 구성 요소라는 것을 잘 알고 있다. 정보보호가 과거 비용 구멍으로 여겨졌던 것과는 대조적으로 사업에 긍정적인 기여를 하는 것으로 인식되도록 하는 것이 정보보호 전문가들의 사명이다. 2008 GISWS의 결과로 프로스트 앤 설리반은 정보보호 전문가들이 다음의 내용을 고려할 것을 조언했다.

 

∨새롭게 떠오르는 시장들(라틴 아메리카, 아프리카, 오세아니아)이 향후 5년 이상 정보보호 전문가들에게 매력적인 채용 기회를 제공한다.

 

∨컴플라이언스가 새로운 기술 세트의 요건 사항에 대한 책임을 부과하며 기업의 지출 수준의 변화를 유도하고 있다.

 

∨보안 관리, 비즈니스 연속성, 안전한 애플리케이션 개발과 같은 보안의 영역이 지식 증대와 기술 연마를 기대하고 있는 전문가들 사이에서 화제가 되고 있다.

 

∨궁극적으로 고위간부들은 보안과 리스크 관리에 책임이 있다. CRO, CISO 등도 CIO, CEO, 이사회와 함께 책임의 짐을 짊어지고 있는 추세다.

진화하는 위협들이 평판에 주는 영향의 증가와 사생활 위반에 관련된 이슈를 토대로 ‘고객’과 ‘대중적 신뢰’가 보안을 우선순위 리스트에 올려놓을 것이다.

 

∨기술이 기업의 목표를 위한 도구일 뿐, 해결책은 아니라는 것을 깨닫게 됨에 따라 ‘사람’과 ‘프로세스’는 마침내 리스크 관리 노력에 있어 보다 중요한 초점으로 인식되고 있다.

 

∨효과적으로 기업을 보호하기 위해 필요한 전문가의 수가 지속적으로 증가하기 때문에 엄밀한 교육과 업무 경험을 요건으로 하는 인증은 앞으로도 중요한 경쟁력이 될 것이다.

 

<에디터·김동빈(foreign@boannews.com)>

자료제공·프로스트 앤 설리반(Frost&Sullivan), (ISC)2

(The 2008 (ISC)2 Global Information Security Workforce Study)

 

[정보보호21c 통권 95호(info@boannews.com)]

        <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>