“앞으로도 자격증이 정보보안 문화에 뿌리 계속해서 내릴 것”
[박춘식 교수의 보안이야기] 전편 “정보시큐리티자격만으로 이직이나 승진가능할까”에서는 시큐리티 인정자격의 취득이 취직이나 이직, 승진 등에과 직결되고 있지 않은 현상을 지적했다. 그럼에도 불구하고 시큐리티 인정자격을 채용의 기준으로 보는 채용담당자는 아직 많다. 후편에서는 다양한 시큐리티 인정 자격의 유용성에 관한 전문가의 평가, 업종 형태에 의한 시큐리티 인정 자격에 대한 요구의 차이 등을 알아보겠다. 어떤 자격증이 유용한가?
인정자격에 관해서 정보시큐리티 업계에 있어서 완전하게 합의가 형성되어 있는 것이 하나가 있다. 정보시스템의 시큐리티 전문가를 인정하는 CISSP(Certified Information Systems Security Professional)가 시큐리티 인정자격으로 가장 인정받고 있다는 점이다.
미국 핼스캐어관리서비스 Magellan Health Services의 CISO는 시큐리티에 관한 폭넓은 지식을 갖고 있은 인재를 찾고 있는 데 이러한 지식을 확인할 수 있는 최적의 방법이 CISSP시험이라고 생각하고 있다.
미국 노스캐롤라이나주의 보건사회복지성에서 정보시큐리티아키택트를 맡고 있는 짐 마피도 같은 의견이지만, 이것을 추가한다. “CISSP가 가장 포괄적이지만, 업계내에서도 넓게 인식되고 있는 자격이지만, 위험관리와 컴플라이언스에 관해서는 정보시스템 감사 통제협회(ISACA: Information Systems Audit and Controls Association)의 정보시스템감사전문가의 인정자격 CISA(Certified Information Systems Auditor)와, 정보시큐리티관리자의 인정자격 CISM(Certified Information Security Manager)도 취득하는 가치가 있다”고 밝혔다.
밴더가 스폰서가 되어 있는 인정자격은 일반적으로 특정의 제품을 중시하고 있기 때문에 업무의 내용에 의하지만 어느 정도 편향된 부분이 있는 것은 부인할 수 없다.
미국 커네티컷대학 정보시큐리티 디렉터는 “네트워크의 시큐리티와 아키텍처에 책임을 갖고 있는 사람들은 벤더의 인정자격도 인정해야 한다”라고 한다.
한편 일부에서는 “벤더인정자격은 스킬 향상의 수단에는 있는 것으로 정보시큐리티 전반의 숙달도를 가늠할 수 있는 것은 아니다”라고 말하고 있다. 미국 로스엔젤스에 의한 교육 커뮤니티, Stephen S. Wise Temple and Schools의 최고정보시큐리티책임자인 데빗 람은 “일부의 벤더는 용의하게 취득할 수 있어 그다지 의미 없는 인정자격을 만들고 있다. 단지 가운데에는 구직 활동에 유리하게 되는 높은 습득도를 증명할 수 있는 자격도 있다”고 지적한다.
클라우드전문벤더인 미국 Covisint의 CISO는 “최신의 트랜드에 따라서 실천적인 훈련을 제공하는 Black Hat과 같은 국제적인 시큐리티 회의에 스탭을 파견하는 일이 많으며, 미국 시스코의 제품 등 특수한 기술이 사용되고 있는 제품에 특화된 인정 자격을 취득하는 것은 나름대로 의의가 있다”고 보고 있다.
업종-업태에 의해서 자격에 대한 생각이 다양화
금융서비스 등 고도로 규제된 업계는 취득을 바라는 인정 자격이 많이 있기 때문에 자격의 선정이 중요하게 된다. “정부 부문에서 경험을 쌓으려고 생각한다면 시큐리티 인정 프로그램에 주의를 해야 한다”고 미국조지아주립대학의 CISO인 터미 클락은 말한다.
최근 높은 교육을 받은 동료들의 대부분이 CISSP를 취득하고 있다고 한다. 미러씨가 근무하고 있는 Covisint는 의료산업이나 유럽의 클라이언트에 클라우드 서비스를 제공하고 있다. 이 회사는 미국의 의료보험의 상호운용성과 설명 책임에 관한 법령인 ‘HIPAA(Health Insurance Portability and Accountability Act)’나 EU의 데이터보호규칙에 정통한 애널리스트들을 고용하여 시큐리티 부문을 강화했다. 규제에 관한 윤곽이 정비됨과 동시에 금후 시큐리티에 대한 요구는 다양화가 진행될 것이라고 생각된다.
자격 자체의 변혁도 필요
정보시큐리티를 선도하는 사람들 사이에서 형성되고 있는 뜻은 종래와는 다른 인정 자격을 스킬 세트로 추가할 필요가 있다고 하는 것이다. 마피와 클락은 미국 프로젝트관리협회(PMI)에 의한 프로젝트관리에 관한 국제인정자격(PMP)이 유익하다고 생각하고 있다.
PMP를 취득한 인재는 시큐리티 프로젝트를 보다 효율적으로 실행하기 위한 스킬을 가질 것이라고 기대하고 있다. 미국 핼스케어의 Yale New Haven Health Systems에서 CISO를 맡고 있는 바트록은 의료산업에 있어서 관리의 실무경험을 FACHE(미국의료업계 executive에 의한 학회)의 인정자격으로 증명할 수 있다고 한다.
또한 미국 핼스케어관리서비스 Magellan Health Services의 CISO인 가란드는 인재개발프로그램의 인정을 받는 executive가 보다 늘어나야만 한다고 생각하고 있다. 인재개발 프로그램은 국제적인 성격검사 ‘MBTI(Myers-Briggs Type Indicator)’의 판단을 직접하는 CPP 등이 제공한다.
자격은 절대적이지 않지만 채용방법은 변하지 않아
이력서와 검색엔진에 최적화된 링크드인(LinkedIn)의 프로파일이 지배하는 세계에 있어서 일반적인 리쿠루트들은 유능한 인재를 선별하는 시간도 없으면 기술도 갖고 있지 않다. 결국, 키워드나 구절로 검색을 하게 되며 그 때에 선별을 용이하게 하는 것이 인정 자격이다.
인정자격을 기본으로 한 선별 방법은 확실하게 현실적인 방법이다. 단 불공평한 요소를 많이 포함하기 때문에 최종적으로는 업계에 마이너스의 결과를 가져올 것이다. 채용담당자는 상응하는 경험을 가진 인재를 발굴하고 싶기 때문에 인정 자격의 리스트를 절대적 기준으로서 선발하지는 않는다.
단지 그들은 구직자들에 대한 접근을 바꿀 예정은 없다. 앞으로도 자격증이 정보보안 문화에 뿌리를 계속해서 내리게 될 것이다. 장래적으로는 정보시큐리티 시장에 특화된 유망한 인재와 장기적인 관계를 구축할 수 있는 리쿠루트가 나타날지도 모른다.
그렇게 된다면 스킬이나 경험을 갖춘 유능한 인재와 구인 조건을 효율적으로 매칭되는 수법이 정착되어 채용책임자도 일상업무에 전념할 수 있을 것이다. (TechTarget0810)
[출처] 시큐리티업계의 경력 형성과 자격의 관계[후편]: 취직이직에 유리한 정보보안 자격은?
[글. 박춘식 서울여자대학교 정보보호학과 교수]
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지