우리 사회는 온라인 사회로 많은 부분이 바뀌었습니다. 하지만 장점만 있는 것이 아닙니다. 바로 개인정보 유출 및 보안 문제가 발생을 하게 된 것이죠. 이로 인해 새로 생긴 직업이 정보 보안 전문가입니다. 이번 시간은 정보 보안 전문가란? 무엇이고 하는 업무와 자격증 종류를 알아보겠습니다.
정보 보안 전문가란?
우리 사회는 많은 정보 시스템과 정보 자산으로 되어있습니다.
정보 시스템이란 정보 처리를 위한 시스템으로 개인용 컴퓨터, 네트워크, 데이터 베이스 등을 말하며, 정보 자산은 개인이나 기업이 소유 및 관리하는 자산을 말합니다.
정보 보안 전문가란 이러한 정보 시스템과 정보 자산을 보호하기 위해 교육 및 훈련을 받은 사람들을 말합니다.
IT가 발전하면 할수록 정보 시스템과 정보 자산이 증가하기 때문에 정보 보안 전문가가 많이 필요하게 되는 실정입니다.
정보 보안 전문가 하는 업무
정보 보안 전문가의 업무는 크게 보면 정보 시스템과 정보 자산을 보호하는 것이며, 사용자의 요구 사항에 맞추어 보안 정책 수립과 관리, 정보 시스템 취약점 분석 등 다양한 업무를 하고 있습니다.
- 보안 정책 및 절차 수립, 관리 : 정보 보안을 지키기 위해서는 무엇보다도 기준이 있어야 합니다. 이러한 기준을 정해주는 것이 정보 보안 정책입니다. 정보 보안 정책은 각 국가나 기업의 특성에 맞게 수립되고 지켜지게 됩니다.
- 시스템 및 네트워크 보안 관리 : 보안 시스템이 발전한다고 하여도 취약점은 존재합니다. 정보 보안 전문가는 이러한 시스템의 취약점을 점검하고, 강화를 하기 위하여 방화벽, IDS(침입 탐지 시스템), IPS(침입 방지 시스템) 등 다양한 보안 시스템을 설치하고 관리합니다. 만약 시스템 보안 사고 발생 시 추가 피해가 없도록 신속하게 대응하고 복구를 합니다.
- 정보 보호 교육 및 인식 제고 : 보안 시스템의 취약점 점검 및 관리를 완벽하게 한다고 하여도 직원들의 보안 의식이 안되어 있다면 허사입니다. 정보 보안 전문가들은 국가 나 기업의 직원들에게 정보 보안의 중요성을 교육시키고, 정보 보안 관련 사고 예방, 대응 교육을 실시합니다.
- 보안 사고 관리 : 아무리 철저한 보안 시스템이 있다고 하여도 취약점은 존재합니다. 이로 인하여 보안 사고가 발생을 합니다. 정보 보안 전문가들은 신속하게 정보 보안 사고를 탐지하고 분석하여 2차 피해가 발생하지 않도록 대응하고 복구를 합니다. 또한 사고 발생 원인을 분석하여 재발 방지를 위한 조치를 마련합니다.
- 보안 컨설팅 : 사용자에 맞는 정보 보안 관련 컨설팅 서비스를 제공을 하고, 보안 위험 평가 및 취약점을 분석하여 보안 시스템 설계 및 구축을 지원합니다.
- 정보 보안 연구 : IT 기술이 발전하면서 다양한 해킹 기술도 발전하고 있습니다. 이러한 기술을 실시간으로 확인하고 연구하여 새로운 보안 기술을 만들어내고 적용을 합니다. 이외에도 정보 보안 법률 및 규제 준수, 보안 관련 보고서 작성 및 보안 관련 외부 기관과 협력 업무 수행 등 다양한 업무를 수행하고 있습니다.
정보 보안 전문가 자격증 종류
정보 보안 전문가가 되기 위해서는 이를 증명할 수 있는 자격증이 있어야 합니다. 정보 보안 자격증은 크게 국가 공인 자격증, 국제 공인 자격증, 기업 자체 자격증으로 구분이 됩니다.
국가 공인 자격증
- 정보 보안 산업 기사 : 정보 보안 산업기사는 국가 공인 자격증 중 가장 낮은 단계의 자격증으로 정보 시스템 및 네트워크 보안 취약점을 분석하고 보안 정책 및 절차 수립, 관리하며, 보안 사고 발생 시 대응하는 역할을 합니다. 정보보안 분야 기초 단계입니다.
- 정보 보안 기사 : 정보 보안기 사는 정보 시스템 및 네트워크 보안 책임지는 전문가로 하는 역할은 산업 기사와 동일하며, 정보 보안 분야의 일반 단계입니다.
- 정보 보안 기술사 : 정보 보안 기술사는 국가 공인 자격증 중 가장 상위 단계로 하는 역할은 동일합니다. 정보 보안 분야 전문가입니다.
국제 공인 자격증
- CISSP (Certified Information Systems Security Professional) : ISC에서 발급하는 정보 보안 분야 최고 수준의 국제 공인 자격증으로 5년 이상 정보 보안 관련 경력을 가지고 있어야 하며, 정보 보안 관리, 보안 아키텍처, 보안 엔지니어링, 커뮤니케이션 및 네트워크 보안 평가 등 다양한 업무를 합니다.
- SSCP (Systems Security Certified Practitioner) : ISC에서 발급하는 정보 시스템 보안 실무자를 위한 자격증으로 정보 시스템 보안 운영 및 관리 경험이 있는 전문가 대상입니다.
- CISA (Certified Information Systems Auditor) : ISACA에서 발급하는 정보 시스템 가사 및 통제 분야 국제 공인 자격증으로 정보 시스템 감사, 통제, 보안 평가 분야 전문가 대상입니다.
- CISM (Certified Information Security Manager) : isaca에서 발급하는 정보 보안 관리 분야 국제 공인 자격증으로 정보 보안 프로그램 관리 및 운영 경험이 있는 전문가 대상입니다.
- CEH (Certified Ethical Hacker) : EC-Council에서 발급하는 해킹 기술 관련 국제 공인 자격증으로 공격적인 보안 기술, 취약점 분석, 침투 테스트 분야 전문가에게 필요한 자격증입니다.
기업 자체 자격증
기업 자체 자격증은 각 기업이 운영하는 정보 보안에 필요한 자격증으로 각 기업에 맞게 설정된 자격증입니다.
예로 들어 삼성전자 ‘삼성 정보 보안 자격증’, LG그룹 ‘LG 정보 보안 자격증’ 등이 있습니다.
마치며
오늘은 정보 보안 전문가란 무엇이고 보안 전문가가 하는 업무와 자격증 종류에 대해 알아보았습니다.
IT 기술이 발전함에 따라 정보 보안의 중요성이 더욱 강조가 되고 있습니다.
정보 보안 기술은 앞으로 더욱 발전을 할 것이고 성장할 것입니다.
읽어주셔서 감사합니다.