“보안전문자격증 활성화, 국가 보안향상에 기여”

2008-10-31 08:36
  • 카카오톡
  • 네이버 블로그
  • url

(ISC)², 보안SW 라이프사이클 전문가 자격증 내년 6월 시행

정보보호 전반에 걸쳐 정보보호 전문가를 교육하고 자격증을 부여하는 독보적인 위치의 글로벌 비영리 단체 ISC 스퀘어드(이하 (ISC)²)가 올해로 세 번째를 맞는 연간 행사인 SecureAsia 정보보호 국제 컨퍼런스를 서울에서 개최했다.

‘최신 기술과 규제 준수’를 주제로 10월 29일, 30일 양일간 개최되는 이번 컨퍼런스에는 전 세계의 저명한 정보보호 전문가들이 대거 참석했는데, 그 중에서도 (ISC)²의 현 회장이자 미 내무부 CIO를 역임하기도 했던 호드 팁턴(W. Hord Tipton)이 가장 눈에 띈다. CISSP-ISSEP이자 CAP, CISA, CNSS인 호드 팁턴을 SecureAsia@Seoul Conference를 하루 앞둔 28일, 아시아 지역 이사회 의장인 이재우 동국대 명예 교수 등과 함께 서울 그랜드 인터콘티넨탈 호텔에서 만나봤다.

Interview
호드 팁턴(W. Hord Tipton) (ISC)² 회장

▼우선 이번 한국 방문 목적, 또는 스케쥴을 간략하게 밝혀달라.

어제(27일)는 아시아 지역 이사회 회의(board meeting)가 있었다. 오늘(28일)은 잠시 후 ISLA 프로그램 갈라 디너에 참석해 아시아 태평양 지역의 정보보안 발전에 기여한 15 명의 수상자들을 시상할 예정이다. 내일은 이번에 한국을 방문한 가장 중요한 이유인 제 3회 SecureAsia 정보보호 컨퍼런스에 참석할 예정이다.

▼아직 (ISC)²에 대해 잘 모르는 사람들이 많다. (ISC)²의 소개를 부탁한다.

그 긴 이름(International Information System Security Certification)에서 알 수 있듯이 (ISC)²는 정보보호 전문가에게 자격증을 부여하는 글로벌 단체다. 전 세계 138개국의 약 6만 3천명의 자격증 소지 회원을 보유하고 있다. 특히 한국은 CISSP를 약 2천 명이나 보유하고 있어 아시아 태평양 지역에서는 단연 최대 규모라 할 수 있다. 또한, 전 세계에서 모인 12명의 정보보호 전문가 대표들로 자문 위원회(advisory meeting)를 구성해 정보보호와 관련해 국제적으로 그 영향력을 발휘하고 있다. 즉, 정보보호 국제 표준 협회로서 유일한 기관이라 할 수 있다.
이러한 (ISC)²의 가장 중요한 역할은 IT 및 정보보호 인력들에 대한 교육/훈련과 자격증 부여 및 개발이다. 기술이 빠르게 발달하기 때문에 이에 따른 업데이트가 반드시 필요하다. 따라서 우리는 테스트를 거쳐 자격을 부여한 후 회원들이 꾸준히 관련 지식을 업데이트 할 수 있도록 자격 유지 교육, 또는 SecureAsia와 같은 컨퍼런스 참여 등을 통해 일정한 점수(credit)을 유지하도록 하고 있다.

▼그렇다면 (ISC)² 한국 지부(Korea Chapter)에 대한 평가를 들려달라.

앞서 말했듯 한국은 약 2000여 명의 CISSP를 보유, 아태 지역에서 가장 많은 CISSP를 보유한 국가이다. 홍콩 등 다른 아태 지역 국가들보다 뒤늦게 활동을 시작했음에도 불구하고 이토록 빠른 성장을 이루게 된 것은 특히 아시아 이사회 공동 의장인 이재우 교수의 리더십이 큰 몫을 차지했다고 생각한다. 그 때문에 이재우 교수는 미국인이 아닌 회원으로는 최초로 지난 해 Tipton award라는 명예로운 상을 수상하기도 했다. 다시 한 번 이 자리를 빌어 이재우 교수는 물론, 아시아 태평양 지역의 리더들에게 찬사의 말을 전한다.

▼그럼에도 불구하고 한국은 정보보호 전문가들이 아직 부족하다고 느껴진다. 전문가 양성을 위한 방안이 있다면?

우선 학문적인 교육이 필요하다고 본다. 아카데믹 베이스, 즉 대학 교육 등을 통한 기본 수준 교육부터 필요하다. 그리고 자격이 있는 전문가 육성이 필요하다. 이와 관련해 직원들이 자격증 획득을 할 수 있도록 기업들이 지원과 투자를 아끼지 않아야 한다. 끝으로 전문가들 사이의 경쟁심이 필요하다. 정보보호 전문가란 굉장히 어려운 직업이지만 그만큼 연봉 또한 상당해 매력적인 직업이 될 수 있다.

▼최근 한국에는 개인정보 유출과 관련한 굵직한 사건이 많았다. 이를 위한 해법을 제시한다면?

정보보호의 핵심은 기밀성, 즉 프라이버시다. 의료정보, 신용카드 정보, 사회보장 번호 등 모든 데이터는 기밀성을 유지해야 한다. 이는 모든 나라에서 중요하게 생각하는 것이며 특히 미국은 개인 정보보호에 관해 엄격하다. 문제는 그러한 정보를 어떻게 보호해야 하는가 이다. 바로 그 점이 CISSP가 필요한 이유다. 즉, CISSP는 어떤 정보를 어떻게 보호해야 하는지를 아는 사람이기 때문이다. 정보보호의 안전한 호위자(safe guard)라 할 수 있다.

▼개인정보보호와 관련된 자격증이 별로 없는 것으로 안다. (ISC)²가 그러한 자격증을 마련할 계획은 없는지?

실제로 미국에는 개인정보보호 담당자를 위한 자격증이 있다. 그러나 그다지 유명한 자격증은 아니다. 개인정보보호와 관련된 별도의 자격증은 필요 없다고 생각한다. 이미 CSSP나 곧 실시될 CSSLP에 이미 그와 관련된 내용이 구현되어있기 때문이다. 다시 말해, CISSP의 경우 관리, 암호화, 접근 인증, 윤리, 법률, 애플리케이션 보안, 문서 보안 등 총 10개의 도메인과 관련된 내용이 포함되어있다. 이 모든 것은 결국 개인정보보호와 관련된 내용일 수 밖에 없다.

▼(ISC)²가 제공하는 자격증이 많은 것으로 알고 있는데 유독 CISSP만 유명한 이유는 무엇인가? 다른 자격증을 활성화할 계획은 없는지?

CISSP가 기본이기 때문에 가장 유명할 수밖에 없다. (ISC)²에서 발행되는 거의 모든 자격증은 CISSP를 보유하고 있어야만 획득 가능하다. 즉, CISSP를 획득한 후에야 SSCP나 CISMP와 같은 고급 과정으로 발전할 수 있다는 뜻이다. CISSP가 없어도 획득 가능한 자격증으로는 내년에 첫 실시 예정인 CSSLP 정도가 있을 뿐이다.

▼CSSLP는 무엇인가? 간략하게 소개해 달라.

소프트웨어 라이프사이클에 맞춰 안전한 소프트웨어 개발을 할 수 있다는 것을 증명하는 자격증이다. CISSP가 앞서 얘기한 것처럼 전반적인 정보보안에 관한 것이라면 CSSLP는 좀 더 소프트웨어 개발에 관한 내용으로 실제 설계, 코딩, 소프트웨어 도입 등과 관련된 내용이다. 이와 더불어 소프트웨어에 관한 전문성이 필요하다는 현실적인 이유에서 CISSP와 이원화 한 자격증이다. 현재 전문가들을 통해 디자인, 구현, 유지 등 7개 전문 도메인으로 나눠 교육 자료를 준비 중에 있다. 내년 4월 완성 예정이며 CSSLP 첫 시험은 내년 6월로 예정되어있다.
(*CSSLP: Certified Secure Software Lifecycle Professional)

▼이번 SecureAisa의 주제와 관련해 기업이 컴플라이언스를 준수하려면 어떤 노력을 기울여야 하는지 의견을 들려달라.

모니터링이 필수다. 데이터 사용에 대한 모니터링이 필요하다. 이것은 우연한, 의도하지 않은 사건에 대비하기 위한 것이다. 다양한 툴(tool)이 많지만 결국 기술을 사용하는 주체는 사람이다. 규제가 없다면 기업들은 필요한 만큼의 보안을 유지하려는 노력을 기울이지 않는다. 미국 내에서도 컴플라이언스들이 잘 지켜지고 있다고 생각하지는 않는다. 물론, 컴플라이언스가 좀 더 매끄러워질 필요는 있다. 끝으로 기업들은 자신들이 해당되는 컴플라이언스의 수준을 파악해둘 필요가 있다.

▼끝으로, CISSP와 같은 전문가가 증가하면 보안 수준 또한 높아질 수 있는가?

꼭 그렇다고 말할 수는 없다. 그러나 도움이 될 것이라는 것은 분명하다. 이전과는 달리 최근 금품을 노린 공격 등이 더욱 교묘해져 심각한 범죄에 이르고 있다. 이러한 상황에서 보안의 수준이 위협 수준을 따라잡기는 어렵다. 그러나 전문가가 많고 보안에 대한 일반인들의 인식이 증가할수록 조금씩이라도 그 간격을 좁혀나갈 수 있을 것이다.
[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 씨프로

    • 인콘

    • 엔텍디바이스코리아

    • 핀텔

    • 아이비젼

    • 아이디스

    • 씨프로

    • 웹게이트

    • 엔토스정보통신

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 지오멕스소프트

    • 원우이엔지

    • 지인테크

    • 홍석

    • 이화트론

    • 다누시스

    • 테크스피어

    • TVT코리아

    • 슈프리마

    • 인텔리빅스

    • 시큐인포

    • 미래정보기술(주)

    • 세연테크

    • 비전정보통신

    • 트루엔

    • 경인씨엔에스

    • 한국씨텍

    • 성현시스템

    • 아이원코리아

    • 프로브디지털

    • 위트콘

    • 다후아테크놀로지코리아

    • 한결피아이에프

    • 스피어AX

    • 동양유니텍

    • 포엠아이텍

    • 넥스트림

    • 펜타시큐리티

    • 에프에스네트워크

    • 신우테크
      팬틸드 / 하우징

    • 옥타코

    • 네이즈

    • 케이제이테크

    • 셀링스시스템

    • 네티마시스템

    • 아이엔아이

    • 미래시그널

    • 엣지디엑스

    • 인빅

    • 유투에스알

    • 제네텍

    • 주식회사 에스카

    • 솔디아

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 새눈

    • 에이앤티글로벌

    • 케비스전자

    • 한국아이티에스

    • 이엘피케이뉴

    • (주)일산정밀

    • 구네보코리아주식회사

    • 레이어스

    • 창성에이스산업

    • 엘림광통신

    • 에이앤티코리아

    • 엔에스티정보통신

    • 와이즈콘

    • 현대틸스
      팬틸트 / 카메라

    • 엔시드

    • 포커스에이아이

    • 넥스텝

    • 인더스비젼

    • 메트로게이트
      시큐리티 게이트

    • 엠스톤

    • 글로넥스

    • 유진시스템코리아

    • 카티스

    • 세환엠에스(주)

Copyright thebn Co., Ltd. All Rights Reserved.

시큐리티월드

IP NEWS

회원가입

Passwordless 설정

PC버전

닫기