정보보호 전문가에게 던지는 Paradox 2 - CPE가 CISSP에게 던지는 질문

CPE가 CISSP에게 던지는 질문
(CPE란 지속적인 전문가 교육을 의미한다.)

정보보호 전문가라면 누구나 고민하는 CPE 채우기, 의무사항이기 이전에 스스로 전문성에 질문을 던져라.

해마다 11월에서 12월이 되면 이 땅의 CISSP(Certified Information System Security Professional: 국제공인 정보시스템 보호전문가)들은 CPE(Continuing Professional Education: 지속적 전문가 교육)를 채우기 위해, 그리고 CPE를 채운 것에 대해 국제협회에 신고 하느라 무척 바빠진다. 1년 동안 꾸준히 CPE 활동을 하여서 이를 신고하고 증명하면 되는 일인데, 미루고 미루고 등한시 하다가 년 말인 11월~12월에 갑자기 하려니, 회사업무도 년 말과 년 초를 가면서 바빠지기 때문에 설상가상이 된다.
CPE의 취지가 이렇게 정보시스템 보호전문가들을 년 말에 바쁘게 하려고 만든 제도가 아닌 만큼 CPE가 CISSP에게 무슨 의미인지, CPE가 CISSP에게 던지는 질문은 무엇인지를 사유하도록 하면서 이번 메시지를 전하고자 한다.

CPE가 왜?
CPE란 지속적인 전문가 교육을 의미한다. 정보시스템 보호전문가 또한 그 자격이 얘기하듯 ‘전문가’이다. 전문가란 무엇인가? 정보시스템 보호에 대해서 전문가란, 그 일에 능통하며, 업무적 경험을 가지고 있으며, 전문가다운 책임정신을 실천하는 사람을 말한다.

정보시스템의 특성상 어제의 기술은 더 이상 오늘의 기술일 수 없다. 새로운 준거사항(compliance)과 정부와 산업의 기준들(standards), 정보보호를 위해 발전되었거나 발전되어가는 기술들, 그리고 진화되는 정보보호의 위협에 당당히 맞서는 전문가가 되려면 지속적인 노력이 필요하다. 이러한 노력이 없이는 말 그대로 장롱 자격증(장롱이나 캐비닛에 자격증을 넣어놓고 있음, 즉 활용하지 못하는 자격증, 이력서의 스펙(specification)으로만 존재하는 자격증을 말함) 이 되기 쉽다. 이러한 잘못된 점을 바로 잡아보려는 국제협회의 의지가 CPE제도이다.
이러한 이유로 CISSP들에게 해마다 CPE를 요구하게 되는 것은 당연하다고 하겠다. 이러한 현실에도 불구하고 3년 동안 한번도 CPE 활동을 하지 않아 자격증을 박탈 당하는 회원이 종종 발생하여 한국CISSP협회로 문의를 해오는 일은 안타까운 일이지 않을 수 없다.

[그림] CISSP 국제협회의 CPE 요구사항

CPE는 월간보고서이지 계간보고서가 아니다?
CPE 활동은 여러 가지 형태를 가지게 된다. 한국CISSP협회가 1년을 주기로 진행하는 일련의 정보보안세미나를 참석하기만 해도 1년에 채워야 하는 기본적인 CPE를 채울 수 있게 된다. 무료의 세미나에 최신의 정보로 가득하고 업계, 학계의 스타 급 전문가들께서 직접 출연하시니 일석이조(一石二鳥) 아니던가?
또한 이 이외에도 각종 언론 및 정보보호 공공기관 등에서 진행하는 지식세미나와 벤더사의 동향 세미나만 해도 한 달에 2번 정도의 기회가 주어지게 된다. 독자들이 몸담고 일하는 직장 내에서 정보보호 시스템의 워크샵이나 사례발표 등을 주관하거나 진행했다면 이 또한 좋은 CPE 활동이라 하겠다.
(ISC)2 국제협회에서는 기본적인 가이드 라인만을 제공하기에 CISSP 스스로가 자신의 전문성을 살리기 위한 활동이면 CPE에 해당된다고 표명하는 바, 자율적인 CPE제도가 이루어 지고 있는 것이다.

화두는 이러한 활동들이 1년 내내 지속적인 활동으로 진행되어야 전문지식의 함양에 도움 된다는 것이다. 업무의 지식이 하루 아침에는 이루어지지 않는다는 것을 독자들은 알 것이다. 요즘 신문과 잡지에서 얘기하는 정보시스템 보호의 새로운 주제들을 낯설어 하면서 스스로 불안해 보지 않았는가를 물어 보는 것이다. 내가 벌써 뒤처지고 있구나’라는 생각이 들어 본 적은 없는지? 독자 스스로도 자문해 보라.

계간보고서가 아닌 월간보고서라고 소제목을 붙인 이유는 이러한 지속적인 관심과 노력을 얘기하는 것이다. 몰아서 한꺼번에 지식을 체득할 시간도 없이 진행하는 것이 CPE가 아니다. 하나씩 곱 씹으며 내 것으로 소화 해 내야 하는 것이 CPE 의 참 맛이다. 다달이 정기적으로 보고하는 주간 보고서이어야 한다. 3개월 치를 한꺼번에 보고 받는 계간 보고서는 CPE의 의도가 아니다. 피하려면 한이 없고 결국 궁지에 몰리게 된다. 피할 수 없다면 즐겨야 한다는 말은 이 땅의 직장인들에게는 당연히 품고 살아야 할 불문율이 되었다.

[그림] 월간보고서, 분기별 보고서

CPE를 통해 진정한 CISSP으로 거듭나야 한다?
대한민국은 민주주의 국가이다. 우리는 민주주의를 수호하는 대한민국에 살고 있다. 민주주의의 진정한 의미는 “참여”에 있다. 국민들이 참여하는 사회, 그러기에 국민이 주인임을 주장할 수 있다.
CISSP의 CPE 활동 또한 민주적인 주권을 주장하는 바와 다를 게 없다. 3,000명이 넘는 CISSP 자격보유자에, 아시아에서는 절대적으로 우위인, 제일 많은 CISSP을 갖고 있는 한반도 대한민국에서 독자들은 얼마나 많은 참여를 하였는가를 자문해보라. 지금 몸담고 있는 기업이나 공공기관에서 ‘참여’ 정신으로 비즈니스 목적에 도움되는 정보보호 활동을 하였는가? 그리고 CISSP의 한국 커뮤니티인 CISSP Korea Chapter에 얼마나 많은 참여로 위상을 세웠는가?

내가 나 스스로를 존경하지 않을 때 나는 그 누구에게도 존경 받지 못한다. CISSP을 장롱 자격증으로 격하 시키는 것 또한 우리 CISSP 독자들의 몫이며, 먼발치 뒤에서 한국 CISSP협회만을 지켜만 보면서 장기판의 훈수를 두는 것도 자신들의 몫이다. CISSP를 정보시스템 보호의 최고의 자리에 올리는 것 또한 우리들의 몫이다.

[그림] 적극적인 CISSP

참여하라, 그리고 주인이 되라. 이것이야말로 CISSP, 전문가로서 거듭나는 일이라 하겠다.

이 글로 CISSP로서 (ISC)2 국제본부와 CISSP Korea Chapter를 바라보는 새로운 시각을 가지며, CISSP들의 경력개발에 도움이 되길 바라며 이 글을 마치고자 한다.

(이 글은 한국CISSP협회 뉴스레터의 기고자의 글을 재 구성 한 것입니다. www.cisspkorea.or.kr )

글. 조 희 준 josephc@chol.com CISSP, CSSLP, ISO 27001(P.A), CISM, CCFP,
CGEIT, CISA, COBIT, IT-EAP, CIA, ITIL v3 Intermediate,
IT-PMP, PMP, ISO 20000(P.A), PMS(P.A)
(ISC)2 CISSP 공인강사, 정보시스템감리원
한국정보화진흥원 사이버범죄예방교화 전문강사

IT거버넌스/컨설팅/감리법인 ㈜씨에이에스 컨설팅 이사, 강원대학교 겸임교수, (ISC)2 CISSP Korea 한국지부에서, (사)한국 정보시스템 감사통제협회에서, 한국 포렌식조사 전문가협회에서, 한국 정보기술 프로젝트관리에서 활동 하고 있다. IT감사, 내부감사, IT거버넌스와 정보보안 거버넌스, 내부통제가 관심분야이다, 이와 관련해서 기고, 강의, 강연을 활발하게 하고 있다. 용기란 무엇인가?”에 대한 답을 2011년에 꼭 찾으려 한다. 2010년 두 번째 단행본인 “IT거버넌스 프레임워크 코빗”의 출간 후, 최근 2011년에 “정보보호 전문가의 알짜 CISSP 노트”발간되어 강연회를 다니는 중이다.

조희준 다른기사 보기