“보안전문자격증 활성화, 국가 보안향상에 기여”

(ISC)², 보안SW 라이프사이클 전문가 자격증 내년 6월 시행

정보보호 전반에 걸쳐 정보보호 전문가를 교육하고 자격증을 부여하는 독보적인 위치의 글로벌 비영리 단체 ISC 스퀘어드(이하 (ISC)²)가 올해로 세 번째를 맞는 연간 행사인 SecureAsia 정보보호 국제 컨퍼런스를 서울에서 개최했다.

‘최신 기술과 규제 준수’를 주제로 10월 29일, 30일 양일간 개최되는 이번 컨퍼런스에는 전 세계의 저명한 정보보호 전문가들이 대거 참석했는데, 그 중에서도 (ISC)²의 현 회장이자 미 내무부 CIO를 역임하기도 했던 호드 팁턴(W. Hord Tipton)이 가장 눈에 띈다. CISSP-ISSEP이자 CAP, CISA, CNSS인 호드 팁턴을 SecureAsia@Seoul Conference를 하루 앞둔 28일, 아시아 지역 이사회 의장인 이재우 동국대 명예 교수 등과 함께 서울 그랜드 인터콘티넨탈 호텔에서 만나봤다.

Interview

호드 팁턴(W. Hord Tipton) (ISC)² 회장

▼우선 이번 한국 방문 목적, 또는 스케쥴을 간략하게 밝혀달라.

어제(27일)는 아시아 지역 이사회 회의(board meeting)가 있었다. 오늘(28일)은 잠시 후 ISLA 프로그램 갈라 디너에 참석해 아시아 태평양 지역의 정보보안 발전에 기여한 15 명의 수상자들을 시상할 예정이다. 내일은 이번에 한국을 방문한 가장 중요한 이유인 제 3회 SecureAsia 정보보호 컨퍼런스에 참석할 예정이다.

▼아직 (ISC)²에 대해 잘 모르는 사람들이 많다. (ISC)²의 소개를 부탁한다.

그 긴 이름(International Information System Security Certification)에서 알 수 있듯이 (ISC)²는 정보보호 전문가에게 자격증을 부여하는 글로벌 단체다. 전 세계 138개국의 약 6만 3천명의 자격증 소지 회원을 보유하고 있다. 특히 한국은 CISSP를 약 2천 명이나 보유하고 있어 아시아 태평양 지역에서는 단연 최대 규모라 할 수 있다. 또한, 전 세계에서 모인 12명의 정보보호 전문가 대표들로 자문 위원회(advisory meeting)를 구성해 정보보호와 관련해 국제적으로 그 영향력을 발휘하고 있다. 즉, 정보보호 국제 표준 협회로서 유일한 기관이라 할 수 있다.

이러한 (ISC)²의 가장 중요한 역할은 IT 및 정보보호 인력들에 대한 교육/훈련과 자격증 부여 및 개발이다. 기술이 빠르게 발달하기 때문에 이에 따른 업데이트가 반드시 필요하다. 따라서 우리는 테스트를 거쳐 자격을 부여한 후 회원들이 꾸준히 관련 지식을 업데이트 할 수 있도록 자격 유지 교육, 또는 SecureAsia와 같은 컨퍼런스 참여 등을 통해 일정한 점수(credit)을 유지하도록 하고 있다.

▼그렇다면 (ISC)² 한국 지부(Korea Chapter)에 대한 평가를 들려달라.

앞서 말했듯 한국은 약 2000여 명의 CISSP를 보유, 아태 지역에서 가장 많은 CISSP를 보유한 국가이다. 홍콩 등 다른 아태 지역 국가들보다 뒤늦게 활동을 시작했음에도 불구하고 이토록 빠른 성장을 이루게 된 것은 특히 아시아 이사회 공동 의장인 이재우 교수의 리더십이 큰 몫을 차지했다고 생각한다. 그 때문에 이재우 교수는 미국인이 아닌 회원으로는 최초로 지난 해 Tipton award라는 명예로운 상을 수상하기도 했다. 다시 한 번 이 자리를 빌어 이재우 교수는 물론, 아시아 태평양 지역의 리더들에게 찬사의 말을 전한다.

▼그럼에도 불구하고 한국은 정보보호 전문가들이 아직 부족하다고 느껴진다. 전문가 양성을 위한 방안이 있다면?

우선 학문적인 교육이 필요하다고 본다. 아카데믹 베이스, 즉 대학 교육 등을 통한 기본 수준 교육부터 필요하다. 그리고 자격이 있는 전문가 육성이 필요하다. 이와 관련해 직원들이 자격증 획득을 할 수 있도록 기업들이 지원과 투자를 아끼지 않아야 한다. 끝으로 전문가들 사이의 경쟁심이 필요하다. 정보보호 전문가란 굉장히 어려운 직업이지만 그만큼 연봉 또한 상당해 매력적인 직업이 될 수 있다.

▼최근 한국에는 개인정보 유출과 관련한 굵직한 사건이 많았다. 이를 위한 해법을 제시한다면?

정보보호의 핵심은 기밀성, 즉 프라이버시다. 의료정보, 신용카드 정보, 사회보장 번호 등 모든 데이터는 기밀성을 유지해야 한다. 이는 모든 나라에서 중요하게 생각하는 것이며 특히 미국은 개인 정보보호에 관해 엄격하다. 문제는 그러한 정보를 어떻게 보호해야 하는가 이다. 바로 그 점이 CISSP가 필요한 이유다. 즉, CISSP는 어떤 정보를 어떻게 보호해야 하는지를 아는 사람이기 때문이다. 정보보호의 안전한 호위자(safe guard)라 할 수 있다.

▼개인정보보호와 관련된 자격증이 별로 없는 것으로 안다. (ISC)²가 그러한 자격증을 마련할 계획은 없는지?

실제로 미국에는 개인정보보호 담당자를 위한 자격증이 있다. 그러나 그다지 유명한 자격증은 아니다. 개인정보보호와 관련된 별도의 자격증은 필요 없다고 생각한다. 이미 CSSP나 곧 실시될 CSSLP에 이미 그와 관련된 내용이 구현되어있기 때문이다. 다시 말해, CISSP의 경우 관리, 암호화, 접근 인증, 윤리, 법률, 애플리케이션 보안, 문서 보안 등 총 10개의 도메인과 관련된 내용이 포함되어있다. 이 모든 것은 결국 개인정보보호와 관련된 내용일 수 밖에 없다.

▼(ISC)²가 제공하는 자격증이 많은 것으로 알고 있는데 유독 CISSP만 유명한 이유는 무엇인가? 다른 자격증을 활성화할 계획은 없는지?

CISSP가 기본이기 때문에 가장 유명할 수밖에 없다. (ISC)²에서 발행되는 거의 모든 자격증은 CISSP를 보유하고 있어야만 획득 가능하다. 즉, CISSP를 획득한 후에야 SSCP나 CISMP와 같은 고급 과정으로 발전할 수 있다는 뜻이다. CISSP가 없어도 획득 가능한 자격증으로는 내년에 첫 실시 예정인 CSSLP 정도가 있을 뿐이다.

▼CSSLP는 무엇인가? 간략하게 소개해 달라.

소프트웨어 라이프사이클에 맞춰 안전한 소프트웨어 개발을 할 수 있다는 것을 증명하는 자격증이다. CISSP가 앞서 얘기한 것처럼 전반적인 정보보안에 관한 것이라면 CSSLP는 좀 더 소프트웨어 개발에 관한 내용으로 실제 설계, 코딩, 소프트웨어 도입 등과 관련된 내용이다. 이와 더불어 소프트웨어에 관한 전문성이 필요하다는 현실적인 이유에서 CISSP와 이원화 한 자격증이다. 현재 전문가들을 통해 디자인, 구현, 유지 등 7개 전문 도메인으로 나눠 교육 자료를 준비 중에 있다. 내년 4월 완성 예정이며 CSSLP 첫 시험은 내년 6월로 예정되어있다.

(*CSSLP: Certified Secure Software Lifecycle Professional)

▼이번 SecureAisa의 주제와 관련해 기업이 컴플라이언스를 준수하려면 어떤 노력을 기울여야 하는지 의견을 들려달라.

모니터링이 필수다. 데이터 사용에 대한 모니터링이 필요하다. 이것은 우연한, 의도하지 않은 사건에 대비하기 위한 것이다. 다양한 툴(tool)이 많지만 결국 기술을 사용하는 주체는 사람이다. 규제가 없다면 기업들은 필요한 만큼의 보안을 유지하려는 노력을 기울이지 않는다. 미국 내에서도 컴플라이언스들이 잘 지켜지고 있다고 생각하지는 않는다. 물론, 컴플라이언스가 좀 더 매끄러워질 필요는 있다. 끝으로 기업들은 자신들이 해당되는 컴플라이언스의 수준을 파악해둘 필요가 있다.

▼끝으로, CISSP와 같은 전문가가 증가하면 보안 수준 또한 높아질 수 있는가?

꼭 그렇다고 말할 수는 없다. 그러나 도움이 될 것이라는 것은 분명하다. 이전과는 달리 최근 금품을 노린 공격 등이 더욱 교묘해져 심각한 범죄에 이르고 있다. 이러한 상황에서 보안의 수준이 위협 수준을 따라잡기는 어렵다. 그러나 전문가가 많고 보안에 대한 일반인들의 인식이 증가할수록 조금씩이라도 그 간격을 좁혀나갈 수 있을 것이다.

[길민권 기자(reporter21@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)