현재 네트워크 시스템에 신원 접근 관리가 자주 이용되고 있을 뿐만 아니라 물리적 보안과 정보보안의 결합이 증가하고 있다.

이에 정보 시스템 보호뿐만 아니라 비즈니스 영속성 플래닝이나 재해 복구와 같은 비즈니스 관련 이슈에 대해서도 지식을 갖춘 적절한 전문가들에 대한 요구 또한 보다 증가하고 있지만, 그러한 전문가들을 찾기는 더욱 어려워지고 있다. 특히 이러한 두 보안의 세계가 더욱 더 결합하고 있어 전문가들은 보안에 대해 전체론적으로 접근 할 수 있어야만 한다.  

중요하게 생각하고 있는 보안 분야가 무엇이든 특정한 위치에 적합한 정보보호전문가를 찾는다는 것은 걱정거리가 될 수 있다. 특히 구직 시장의 경쟁이 치열하고 오늘날의 단체들이 요구하는 전문 보안 기술의 범위가 증가하고 있는 상황에서 적절한 전문가를 찾는다는 것은 어려운 일이다.

이와 관련해 (ISC)2는 정보보호에 대해 전체론적으로 접근해야 한다고 생각한다. 정보보호 전문가는 반드시 정보보호 배경지식과 아울러 정보보안, 보증, 리스크 관리 운영을 감독하는 관리 기술을 함께 갖춰야만 한다. 정보보호 지식과 관리 기술 중 어느 한쪽만 갖고 있을 경우, 조직의 정보 자산 보호를 담당하고 있는 관리자의 효율성이 떨어지기 때문이다.

특히 현직 정보보호 전문가라면 CISSP CBK에 제시된 영역 전반을 완전히 이해하고 있어야만 한다. 최고의 실제 사례에 관한 이 개요는 적절한 정보보호 정책과 표준, 프로시저를 개발하고 문서화하며 측정 및 관리하는데 필요한 통찰력을 준다. 이것은 자격 경력 요건과 더불어 정보보호 영역에서 사람들을 관리하는 것에 관한 여러 측면에 대한 기초를 제공한다. 기술적인 배경 지식 없는 단순한 기술로는 어떤 조직의 기업 자산이 충분히, 또는 적절하게 보호된다고 장담할 수 없다. 관리 기술을 갖고 있는 것만으로는 충분치 않다. 어떤 전문가가 만일 기술과 리소스, 데이터, 지적 자산, 영업 비밀, 그리고 기업의 목표의 연관성을 이해하지 못 한다면 이러한 자산을 보호하고 각종 재해 속에서 비즈니스 영속성을 보장하기 위한 정책 수립과 리스크 완화에 관한 적절한 가이드를 제공할 수 없을 것이다.

또한, 채용 담당직원에게 능력을 갖춘 정보보호 전문가를 고용하는 것의 중요성에 대해 교육하는 것도 중요하다. 보통 HR부서는 비어있는 자리에 적절한 사람을 찾아 배치하는 업무를 담당한다. 그래서 HR 부서는 라인 매니저들보다 특정한 기술에 대한 최근 연봉 조건 등과 같은 시장 동향에 대해 더 잘 알고 있다. 하지만 대개 HR과 정보보호 채용 매니저들은 채용과 관련해 밀접하게 협업하지 않는다. 따라서 정보보호 직무에 적합한 후보를 찾는 방법에 관해 HR 담당자들을 교육할 필요가 있다.

그러나 HR 부서에게 자격증의 중요성을 이해시키는 것은 어려울 수도 있다. 왜냐하면 그들이 정보보호 업계의 기술 용어들을 이해하는 것은 쉽지 않기 때문이다. 자격증이 후보자의 적합성에 있어 단지 퍼즐의 한 ‘조각’에 불과할지라도 그것은 후보자가 윤리적으로, 또 전문적으로 해당 영역에 종사하고 있다는 약속이 되기 때문에 “중요한 조각”이라 할 수 있다. 믿을 만한 자격증은 후보자들을 심사하고 인터뷰할 때 HR 부서와 채용 매니저들이 한 목소리로 말 하는데 도움이 된다.

끝으로 본고의 내용을 HR 담당 직원들과 공유하고자 한다면 이용할만한 훌륭한 온라인 리소스들이 있다.

https://www.isc2.org/hiringguide/default.aspx

https://www.isc2.org/uploadedFiles/Industry_Resources/HiringGuide08.pdf

<글 : 호드 팁턴(W. Hord Tipton) (ISC)2 회장 CISSP-ISSEP, CAP, CISA, CNSS(kchung@isc2.org)>

[월간 정보보호21c 통권 제103호 (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무전재-재배포금지>