IT Solutions/Security

보안 담당자가 갖춰야 할 Skill set

2017.06.05 09:30

조직 안에는 서로 다른 다양한 분야의 업무가 있고, 수많은 인력이 그 다양한 분야의 업무를 수행하고 있습니다. 조직의 책임자들은 현재 업무를 수행하고 있는 인력들이 적정한 업무 능력을 갖추고 있는지 그리고 새로운 인력을 채용하려는 경우, 어느 수준의 업무 능력을 가지고 있는 사람을 채용해야 하는지 고민하곤 합니다.


조직 책임자뿐만 아니라 업무를 수행하고 있는 사람도 고민이 있습니다. 본인 스스로 현재 하는 업무에 대해서 어느 정도 능력을 갖추고 있는지, 부족한 부분이 있다면 어떤 부분을 더 개발해야 하는지 고민합니다. 


대부분 이런 고민에 직면했을 때, 주위 선배들의 조언이나 자신의 경험을 통해 업무 능력을 판단하고 어떤 능력을 개발할 것인지 결정하는 경우가 많습니다. 그리고 그런 고민을 하게 될 때 무언가 객관적인 지표나 기준 같은 것이 있으면 좋겠다고 자연스럽게 생각하곤 하죠.



보안 인력의 업무 능력을 세분화하고, 세분화된 업무 능력의 수준을 평가하기 위한 노력은 세계 여러 나라에서 계속되고 있습니다. 미국의 경우, 2011년에 NIST가 7가지 업무 영역으로 구분된 사이버보안 인력 프레임워크(Cybersecurity Workforce Framework)를 발표하였고, 일본은 정보처리추진기구를 통해 정보보호 강화를 위한 공통직업역량 프레임워크(Common Career Skill Framework, CCSF)을 마련하였습니다. 


영국은 정보안보국 정부통신본부 산하의 정보보호 전문기관인 전자통신보안그룹(Communications-Electronics Security Group, CESG)을 통해 사이버보안 전문가 인증제도를 시행 중입니다. 해당 인증제도에서는 보안에 대한 전문가 직종을 6가지로 분류하고, 직종별로 9가지 카테고리로 분류된 기술 역량의 수준을 연결해 놓았습니다. 


우리나라에서는 2017년에 국가직무 능력표준(NCS)에 ‘정보보호 관리•운영’, ‘정보보호 진단•분석’, ‘보안사고 분석 대응’으로 구성된 정보보호 분야 직무를 등록해 놓았습니다.


본 기고에서는 이런 여러 나라의 기준 및 제도 중에서 가장 정량적인 평가체계를 가지고 있는 것으로 보이는 영국 CESG의 기준을 통해, 보안 전문 인력의 수준을 객관적으로 평가하는 방법을 조금 더 자세히 살펴보고자 합니다. 앞서 CESG는 보안에 대한 전문가 직종을 6가지로 구분해 놓았다고 말씀드렸는데요. 그 내용은 아래 표와 같습니다.



흔히 보안에 관련된 직종이라고 하면 IT 시스템의 보안 관리를 떠올리곤 합니다. CESG는 더 다양하고 세분하여 관련 직종을 구분해 놓았다는 것을 알 수 있습니다. 그리고 이렇게 정의된 6개 직종은 3개 역할로 세분합니다. 예를 들어, 전문가 직종 중 “IT 보안책임자 그룹 (IT Security Officer Family)”안에는 다음과 같은 3개의 역할로 정의됩니다.



그리고 9개 카테고리로 구분된 25개 보안 Skill을 정의하여 상기 6개 전문가 직종과 연결될 수 있도록 하였습니다. 정의된 보안 Skill은 아래와 같습니다.



25개의 보안 Skill은 1~4 레벨로 수준을 측정하게 되어 있으며, 각 Skill 별 수준 측정을 위한 가이드를 제시하고 있습니다. Skill 별로 다소 상이하기는 하지만 대략 1레벨은 해당 Skill에 대한 지식을 가지고 있는 인력, 2레벨은 실무자로서 책임자의 지시에 따라 업무를 수행할 수 있는 인력, 3레벨은 책임자로서 업무의 방향을 설정하고 책임을 질 수 있는 인력, 4레벨은 국가 또는 해당 업계의 권위자로서 전체적인 방향을 제시할 수 있는 인력으로 규정하고 있습니다. 


일례로 ‘E. 운영 보안’ Skill set 중의 ‘E3-취약점 평가’ Skill의 수준은 아래와 같이 제시되어 있습니다.



이제 보안 업무에 대한 직종이 정의되었고, 보안과 관련된 Skill set도 정의되었습니다. 남은 것은 직종별로 보안 Skill의 적정한 수준을 정의하는 것입니다. 아래 표는 “IT 보안책임자 그룹 (IT Security Officer Family)” 직종을 예를 들어 Skill set과 연결된 모습을 보여 줍니다.



지금까지 영국 CESG의 사이버보안 전문가 인증제도의 평가 기준을 중심으로, 보안 인력의 업무 능력을 평가하는 방법을 살펴보았습니다. 세부적인 기준이나 내용이 국내 기업이나 인력 상황과는 맞지 않을 수도 있습니다. 하지만, 직종을 세분화하고 세분된 직종에 따라 필요한 보안 기술을 연결하여 업무 능력을 평가하는 구조는 어느 나라, 어느 기업에서도 사용할 수 있으리라 생각합니다. 


각 기업이나 기관의 환경에 기반을 두어 필요한 직무를 구분하고, 직무별 평가 체계를 정의해 나간다면, 주관적이고 경험에만 의지해서 진행되는 인력 채용이나 육성에 객관성을 더할 수 있지 않을까 싶습니다.



글 l LG CNS 보안컨설팅팀 


* 해당 콘텐츠는 저작권법에 의하여 보호받는 저작물로 LG CNS 블로그에 저작권이 있습니다.

* 해당 콘텐츠는 사전 동의없이 2차 가공 및 영리적인 이용을 금하고 있습니다.

저작자 표시 비영리 변경 금지
신고
Posted by IT로 만드는 새로운 미래를 열어갑니다 LG CNS
위로