• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

‘정보보안기사 자격시험’ 정착 위해 필요한 것은? 2013.08.19

운영미숙이 드러났던 ‘제1회 정보보안기사 국가자격’ 시험...보완 필요

오류정정 신청 및 오답처리 문제, 신속한 공지 통해 투명성 강화해야
 

[보안뉴스=임보혁 보안컨설턴트] 최근 국가공인으로 출발한 정보보안기사 시험은 최근 3.20 사이버테러, 개인정보보호법과 부정경쟁방지법 개정 등 보안과 관련한 사고 및 법률 개정이 이슈화되면서 높은 관심이 일고 있다.


지난 7월에 1회 시험에서 당초 예상보다 많은 1만 1,000명이 신청한 것으로 알려졌다. 그러나 한 시험응시자는 시험후기에 “허술한 시험장 관리와 초라한 시험지, 오류투성이 시험문제”라고 적었다. 이와 같은 정보보안 자격시험 제도, 무엇이 문제인지, 개선점이 무엇인지 짚어보았다.


‘정보보안 자격증’ 종류

보안자격증에는 CISA, CISSP, 정보보안기사 등이 있다, CISSP(국제공인 정보시스템 보안전문가)는  (ISC)2에서 시행하는 국제적인 정보보호 전문가 자격증으로 보안관련 제도, 조직관리, 물리적 보안, 인적보안, 네트워크 보안, 암호학 등 정보보호 분야 전반적인 것을 인증하는 시험이다.


CISA(정보보안전문가)는 미국의 ISACA가 시행하며 정보기술 감사, 통제 등 보안감사자를 인증하는 자격증이다. CISA, CISSP 외산자격증은 시험비가 60만원대로 고가이고, 자격증을 유지하기 위해 3년간 보안관련 120시간 교육(CPE) 이수를 해야 하고, 유지비($100)를 지불해야 한다.


우리나라의 국가공인 정보보호전문가 자격증으로는 SIS시험이 있었으나 검정기관의 시험문제 등 운영상 미숙함과 부족한 예산, 실기시험 장소가 서울에서만 가능한 것 등 여러 가지 논란이 제기되면서 폐지됐다. 이로 인해 2013년부터는 국가기술자격으로 바뀌면서 시험이 치러지게 된 것이다.

정보보호기사/산업기사는 외산시험에 비해 시험비가 저렴하고 시험장소도 전국적으로 진행되며, 자격 취득 후 별도 비용이나 교육 없이 유지가 되는 장점이 있다. 또한, 기업과 정부에서 취업가점 혜택으로 취업준비생, 보안(인프라)종사자, IT인력 등이 관심을 가지고 있다.

시험 내용도 시스템과 응용 서버, 네트워크 장비 및 보안장비에 대한 전문지식과 운용기술을 갖추고 네트워크/어플리케이션 분야별 보안업무 및 보안정책 수립과 보안대책 구현, 정보보호 관련 법규 준수 여부를 판단하는 등의 업무 수행에 필요한 내용으로 출제된다.

구분

상세내역

시험 종목

정보보안기사, 정보보안 산업기사

시험 장소

전국 5개 지역(서울, 부산, 대전, 대구, 광주)

시험 횟수

2013년 2회, 2014년부터 3회 예상

시험 시간

필기 09:30~12:00 (실기 09:30~12:30)

시험 주관

한국인터넷진흥원(http://kisq.or.kr)


운영 미숙이 드러났던 ‘제1회 정보보안기사 국가자격’ 시험

지난 7월 제1회 정보보안기사 국가자격시험은 위상에 걸맞지 않게 몇 가지 미숙한 운영으로 비판을 받았다. 첫 번째, 시험응시자들에게 시험안내 문자메세지가 잘못 발송됐다.


지난 7월 3일에 “제1회 정보보안기사 필기시험이 7월 3일 시행됩니다”라는 문자가 발송됐다. 그리고 1시간 뒤에는 “[수정안내]정보보안국가기술자격이 2013.7.6(토)에 시행됩니다”라고 정정 문자를 발송했다.


이처럼 1만명의 응시생에게 보내는 문자는 사전 결재승인을 통해서 발송하고 확인 후에 발송하는 것이 기본사항인데, 업무 프로세스에서 무엇인가 문제가 있는 것으로 보인다.


둘째로, 시험장 안내 부분에서 시험장 인근 지하철역에서 내려 시험장까지 오는 길에 시험장소를 알려주는 안내문도 없고, 시험을 보는 교실에 자리 배치를 새로 하는 등 운영의 미숙함도 보였다.


자리 배치는 6줄로 되어 있는데 시험장의 책상은 5줄로 되어 있어 시험시작 20분 전에 급히 자리를 재배치했고, 수험장에는 시계도 없어 수험생은 시간 안배에 어려움을 겪었다.


그리고 시험 시작 시간 9시 이후에는 수험생들의 입실이 불가하다고 했는데, 9시 10분에도 수험생의 입실을 허용한 것은 형평성에도 문제가 있었다. 또한, 시험지의 원본을 복사해서 배포해 시험을 진행했는데 이는 인쇄의 질도 떨어지고 성의가 없어 보였다.


셋째로 시험문제는 분야별로 배분하고, 현재 사용되는 기술인지 확인도 필요하다. 하지만 이번 시험에서는 기술의 사용여부에 대한 검증 없이, 수 년 전 보안시험에 나왔던 내용을 다음과 같이 인용하기도 했다.


“일반 계정의 비밀번호를 저장할 때 암호화를 하는데 어떤 알고리즘을 이용하는가?”라는 문제에는 MD4, SHA-1가 예문으로 나오기도 했다. 예전에는 MD5로 일방향 암호화를 했으나 설계상 결함이 발견되어 현재는 SHA-1등을 권고해 사용하고 있다. 


넷째, 시험문제에 오타도 있었고 FTP 등 특정 분야에서 집중적으로 시험문제가 나왔다. 그나마 다행인 것은 복수답안 논란이 있었던 문항은 정답처리를 해준 것으로 보인다.


정보보안의 중요성이 나날이 강조되면서 2013년부터 국가기술자격인 정보보안기사 시험이 시행됐다. 이로 인해 일반기업 및 공공기관에서 필요한 보안전문가를 양성하는 관문시험에 대한 관심이 많다.


하지만 이와 같은 운영상의 미숙함은 앞으로 보완 및 개선되어야 한다. 시험에 대한 오류정정 신청이나 오답 처리는 신속한 공지를 통해 투명성을 강화해야 하고, 철저한 시험운영과 관리를 통해 국가자격시험에 대한 신뢰성을 높여야 한다.


필자도 정보보안 종사자로서 외산시험보다 기술적 내용이 좋고, 질 좋은 자격증이 되기를 바라는 마음으로 앞서의 문제점들을 짚어봤다. 이번 주말 정보보안기사 실시시험을 앞두고 있다. 향후에 지적된 부분이 점차적으로 개선되길 바라며, 시험을 앞둔 모든 수험생들의 건투를 빈다.  

[글 _ 임 보 혁 보안컨설턴트(airbag1@naver.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>