| [시큐리티 Q&A] 보안관제 인력의 전문성 강화대책 | 2014.04.22 | |
Q. 보안관제 인력의 전문성에 대해 의구심이 생길 때가 있다. 최근 보안관제 및 컨설팅 인력을 보면 전문 분야에서 경력과 기술을 축적한 사람보다 전문학원에서 기본지식만 배워서 현장에 투입되는 사람들이 많은 것 같다. 이러한 인력들은 기술적 지식이 부족할 뿐만 아니라 대부분 빠른 이직 또는 퇴직의 행태를 보이고 있다. 이러한 보안관제 및 컨설팅 인력들을 체계적으로 관리하고, 전문성을 보다 향상시킬 수 있는 방안이 있는가?
A-1. 보안관제에 대한 인식 전환이 시급하다. 뉴스와 신문 등 언론 매체에서는 앞으로 인기 업종으로 보안을 언급하고 있지만, 임금은 타 업종에 비해 낮고, 업무도 과중하다 보니 보안관제 업무가 3D 업종으로 전락해 기피 업종으로 알려지고 있다. 특히, 임금이 높지 않다보니 고급인력이 대기업의 보안담당으로 이직하는 현상이 발생해 중간관리자 역할을 할 인력이 사라지는 것이 가장 큰 문제이다.
먼저, 보안관제 인력의 이탈을 막기 위해서는 개인 스킬과 역량을 키울 수 있는 내부관리 프로세스가 필요하다. 정확히 필요로 하는 업무에 대한 인지와 향후 회사의 미래 비전에 따라 이 회사에서 업무를 함에 있어 어떤 발전 가능성을 줄 수 있는지에 대해 제시하며, 개인 역량을 발휘할 수 있도록 교육기회를 줌으로써 회사에 대한 믿음을 주어야 한다.이 외에도 24시간 근무에 따른 다양한 처우와 복지제도 개선이 필요하다. (이진우 퓨쳐시스템 부장/jinwlee@future.co.kr)
A-2. 보안에 있어서 보안관제는 중요한 부분 중에 하나이고, 사업영역도 커지고있다. 대부분 취업을 우선 목표로 하고 있기 때문에 무조건 취업하고 보자는 식의 지원은 악순환을 가져올 뿐이다. 자신에게 맞는 일인지 아닌지, 그리고 가급적이면 보안관제 업무가 어떤 것인지를 확인하고 지원하면 좋겠다. 또한 기업에서도 관제인력에 대한 체계적인 관리가 중요하다.
파견 관제일 경우에는 해당 기업이나 기관에 파견되는 경우가 많기 때문에 소속감에 대한 배려도 필요해 보인다. 외부에 파견 나와 있으면 소외되는 느낌이나 파견 업무에 익숙해져 해당 기관으로 이직하는 경우가 종종 있다. 전문성의 경우는 경험이 많은 선배 직원이 매월 업무교육을 실시하여 정보를 공유하고 시행착오를 줄일수 있는 방안과 기술적 스킬을 향상 노력을 기울이는 방안을 관제기업에서 고민해야 할 것이다. (전주현 보안인닷컴 대표/sis@sis.pe.kr)
A-3. 정보보호 분야에 있어 보안관제는 필수적인 직무이다. 하지만 직무의 특성상 정보보안을 새로 시작하는 신규 인력들로 수급이 이루어지고 있으며, 장기적인 직무개발을 계획하기가 어렵다.
그러므로 보안관제를 하나의 지식체계로 완성하여 단순히 기술적인 분야에서 그치지 않고 종합적이고 통합적인 정보보호 관리체계의 한 부분으로 인식을 전환하는 노력이 필요하며 이와 관련 보안관제에 대한 전문 자격증과 자격체계를 국가 차원에서 고려해야 한다. (조희준 한국ISACA협회 부회장/josephc@chol.com)
A-4. 업계의 전문성 및 실무경험을 겸비한 인재요구 등의 문제로 효율적인 인력양성에 어려움을 겪고 있는 건 사실이다. 그래도 인력 수급을 위한 전문성 향상 및 인력양성노력은 회사규모에 따라 차별화되고 있다. 인포섹과 이글루시큐리티 등은 사전 면담을 통해 보안관제 및 보안컨설팅 관련 인력양성 교육 프로그램과 연계해 우수한 수료자를 채용하고 있다. 그 외 중소기업의 경우 일반학원에서 수료한 사람들 중 면접을 통해 채용하고 있다.
그러나 학원에서의 기본 교육은 실무 경력의 전문가를 통한 교육이 이루어지지 않고 있다. 그런 이유로 보안관제는 다른 보안직종에 비해 기본급여가 턱없이 부족한 상황에서 채용이 이루어지고 있다. 적은 연봉으로 3교대 근무의 열악한 환경을 경험하고 있는 게 사실이다.
그럼 이러한 인력들이 1년, 2년 후 어떤 생각을 하게 될까? 연이은 각종 금융권 보안사고로 금융보안에 대해 ‘빛 좋은 개살구’라는 평가가 대부분이다. 금융권이 뛰어난 자동화된 방어솔루션과 위기대응 매뉴얼, 장비에 대한 매뉴얼, 조직체계 등을 갖추더라도 이를 효율적으로 수행할 수 있는 ‘보안 인력’이 필수라는 얘기다. 따라서 전문화된 인력이 없다면 모든 것이 무용지물이다.
보안관제와 컨설팅인력을 체계적으로 관리하기 위해서는 안전한 보안 환경을 유지하기 위해 보안인력을 확충하고, 정보보호최고책임자(CSO)를 중심으로 한 정보보호 거버넌스 체계 확립이 필요하다.
보안의 경우 연속성과 전문성을 바탕으로 최신 보안위협 동향과 기술 습득을 통해 대응능력을 함양하는 등의 지속적인 교육훈련이 필요하다. 그만큼 전문성을 겸비한 인력양성이 더욱 필요하다는 것이다.
예를 들면, 고등학교의 해킹보안 및 정보보호 관련 학과를 만드는 데 있어서도 교육 시스템을 구축하고 교육에 따른 예산 지원이 이루어져야 한다. 특목고에 지원하는 학생의 70% 가까이 개인 사비를들여 따로 학원을 다니기에는 어려움이 많고 그 부문을 적어도 학교 방과 후 교육 등을 통해 그에 맞는 지원을 아끼지 말아야 한다. 또한 대학교 정보보호학과 커리큘럼이 컴퓨터공학, 소프트웨어공학과의 교육 프로그램을 아직도 벗어나지 못하고 있는 게 사실이다.
전문성을 가진 5년에서 10년 이상의 실무경력자를 대학에서 초빙강사, 초빙교수 및 겸임교수로 초빙해 새로운 정보보안 교육 로드맵을 구축하고 전문성 있는 교육으로 현장업무에 바로 적응할 수 있도록 해야 한다.
일례로 건양대학교, 선문대학교 4학년 취업 예정자의 경우, 학교에 전문강사, 실무강사들로 이루어진 취업아카데미를 제대로 운영하고 있다. 1년 동안의 전문교육을 통해 현장에 투입되어 빠르게 적응할 수 있는 기회를 주고 있다. (김태순 한국해킹보안연구소 소장/bald@koripo.com)
A-5. 보안관제 시스템을 잘 구축해 놨다고 해도 보안관제의 효용성이 무조건 발휘되는 것은 아니다. 인력 수준에 따라 탐지 그 자체와 위협여부 판단, 보안시스템 운영 상태나 정책·임계치·경고 설정 등 실무업무에서 차이가 날 수 있기 때문에 결국 인력 수준에 따라서 관제품질이 좌우된다. 결국 보안관제에서의 문제는 기술 측면보다는 인력에 있다는 것이 전문가들의 공통된 지적이다.
관제시스템을 통해 탐지된 기술을 이용하지만 결국 최종 판단은 전문 인력이 하는 것이기 때문이다. 일단 기본 문제는 현재 보안관제 전문 인력이 극히 부족하다는 데 있다. 보안관제 인력에 대한 인식이나 처우 개선도 시급하다고 지적된다. 24시간 365일 돌아가는 관제업무의 특성상 야근과 밤샘, 휴일근무 등 힘든 근무환경에서 보상이나 복지가 미진하고, 개인적인 성장 불확실성도 크기 때문에 경력이 쌓이면 이직이나 컨설팅 등 다른 업무로 전환하는 사례가 많다.
이에 따라, 현재 교육부는 정보보호 전문인력 5천여명 양성계획을 발표하고 정보보호 영재 양성 생태계 조성을 위해 ‘정보보호 영재교육원’ 설립을 추진키로 하는 등 다양한 정책을 계획하고 있으며, BK(두뇌한국)21 플러스 사업에 정보보안인력 양성 계획을 추가하기도 했다.
이 외에도 정보보호 분야 마이스터고를 추가 선정하고, 고려대 사이버국방학과와 같은 계약 학과도 대학에 신설할 계획이다. 또한, 미래부와 한국인터넷진흥원은 최정예 사이버보안 인력양성을 위해 라온 화이트햇센터, 씨드젠, 테크데이타 웹타임교육센터, 코어시큐리티, 한국정보보호교육센터, 한국첨단기술경영진흥원-빛스캔 컨소시엄 등을 협력 교육기관으로 선정해 관련 교육을 진행하고 있다. (허청일 한국산업기술보호협회 관제운영팀 연구원 /pig837@kaits.or.kr)
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
||
 |
