• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

보안자격 그룹은 보안윤리에 대한 재인증 교육을 요구해야... 2007.12.31

보안자격을 수여하는 기관의 윤리정책은 윤리적인 목적이 아니라 기관의 자격을 보호하기 위해 사용된다

 

 

의사나 법조인 자격증에 일정한 윤리적 요구사항을 갖는 것과 마찬가지로 GIAC, ISACA, (ISC)2, ASIS 등 보안관련 자격증 시험을 주관하는 기관 역시 일종의 윤리적 요구사항을 갖는다. 이 기관의 윤리문제는 보안전문가 영역이나 보다 넓은 세계에서 인정을 받는 것이다.


사베인-옥슬리(SOX : Sarbanes-Oxley) 법과 같은 규제는 모든 회사의 모든 직원에게 가장 효과적인 윤리선언에 서명하도록 한다. 그러나 보안자격증 시험을 주관하는 기관은 회원이나 구성원의 윤리적 행위를 증진하는 것 보다 자신의 자격증을 보호하는데 중점을 두는데 윤리적인 요구사항을 활용하는 것으로 보인다.


이들은 고용을 위한 자질보다 지식을 책임진다고 말하지만, 조사과정에서 잠재적인 윤리적 충돌을 알아내는 능력을 요구하는 ASIS에서 나온 전문인증조사관(PCI)를 제외하고는 전형적인 정보보안인증(CISSP, GIAC 혹은 ISACA) 중 어느 누구도 그들의 커리큘럼에 윤리적인 면을 지니지 않는다. 그들은 윤리를 기업의 구성원들이 일을 하기 위해 꼭 가져야 할 일상적인 지식이나 기술의 일부라고 인식하지 않는다.


보안자격 그룹은 보안관련 인력이 신뢰받을 만한 위치를 차지하고 있기 때문에 법조인이나 의사처럼 자격 인정을 받아야 한다고 말한다. 그러나 의사와 법조인들이 윤리의식에 대한 재교육 과정을 정기적으로 밟고 있는 것과 달리 보안자격 그룹은 보안윤리에 대한 재인증 교육을 요구하지 않는다. 심지어 매년 도덕률에 재서명하는 간단한 절차조차 요구하지 않는다. 윤리가 그토록 중요하다면 왜 보안전문가에게 윤리를 가르치지 않는지 생각해 볼 필요가 있다.


윤리가 중요한 문제가 되지 않는다는 것은 기업의 윤리정책이 견고하지 않다는 것을 의미한다. 모든 보안정책과 마찬가지로 윤리정책도 수준 높은 안내서의 기능을 지녀야 한다. ASIS와 ISACA는 훌륭한 윤리강령을 지니고 있으며, 이 사실을 자신의 웹사이트에 게시해 놓았다. (ISC)2는 말이 좀 많고 순서가 혼란스럽다. GIAC은 특별히 ‘자격에 대한 존중’을 강조한 나머지 직원과 기업 스스로에 대한 존중보다 높게 생각하고 있어 직업보다 자격을 더 보호하는데 활용한다.


자격증에 대한 또다른 문제는 윤리범죄를 다루는 과정이 투명하지 않은 점이 있다는 것이다. 4개 기관 모두 불평처리 과정을 알리고 있지만, ASIS만 항소를 포함한 전 과정을 모두 설명하고 있다. GIAC이 최소한 인증을 부여하는 팀과 윤리관련팀을 분리했다는 소문이 있지만, 공식적으로 발표된 것은 아니다.


이와 유사하게 이 그룹의 웹사이트는 얼마나 많은 직원이 혹은 몇 퍼센트가 훈련 과정을 거치는지를 공개하지 않는다. GIAC는 ‘표절이나 다른 윤리범죄에 대한 과정을 마치거나 재수강한 사람의 숫자’를 게시하지만, 이것이 공인회원과 어떻게 연관되는지는 불분명하다. 게다가 이 사이트는 그 인증이 실패하거나 폐지된 개인들을 구별해내지 못하고 있다.


전문인으로서의 존중과 윤리정책을 가지기 원하는 기업은 있지만, 실제로 윤리적 행위를 장려하기 위해서 하는 일은 없다. 전문인으로서 우리는 윤리에 대해 2가지 선택을 할 수 있다. 우리를 적절히 훈련시키든지, 아니면 우리의 지위에 대해 말하는 것을 멈추는 것이다.

 

 

SCHOOLS(학교)

*아카데믹 엑설런스(Academic Excellence)의 NSA 센터


Carnegie Mellon University, Information Networking Institute

정보보안기술관리 석사과정. 정보보안기술, 비즈니스관리 및 정책의 혼합과정.

www.ini.cmu.edu/programs/index.aspx


Georgia Institute of Technology, College of Computing

정보보안 석사과정. 위험인식 및 법률 영향과 공공 정책을 포함하는 연구과정.

www.cc.gatech.edu/content/view/181/133


James Madison University

전산과 두 개의 NSA 공인 정보보안전문가, 관리자인증 석사과정. 직장을 다니는 전문인들을 위한 온라인 프로그램.

www.infosec.jmu.edu

 

<글: 데이비드 모트만(David Mortman)>

 데이비드 모트만은 정보보안연구 및 자문업체인 에켈론 원(Echelon One)의 전임 CSO이다.

Copyright ⓒ 2006 Information Security and TechTarget

 

[월간 정보보호21c 통권 제88호 길민권 기자(info@boannews.com)]

             

             <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>