정보보안기사 산업기사 보고서 국가기술자격 종목개발 연구.hwp

Transcription

1 2010년도 한국산업인력공단 연구개발용역 정보보안 기사, 정보보안 산업기사 국가기술자격 종목개발 연구 연구기관 전남대학교 시스템보안연구센터

2 제 출 문 한국산업인력공단 이사장 귀하 본 보고서를 정보보안 기사, 정보보안 산업기사 국가기술 자격 종목 개발연구 의 최종 보고서로 제출합니다. 2010년 12월 전남대학교 시스템보안연구센터 연구 책임자: 전남대학교 노봉남 공동 연구원: 원광대학교 이형효 목포대학교 김민수 공동 보조원: 전남대학교 박진모 전남대학교 이동수

3 연구 요약 컴퓨터와 통신기술의 급속한 발전으로 인해 정보통신 서비스는 지금까지 국가의 주요 인프라로 여겨져 왔던 교통, 전기, 가스, 행정서비스 등과 함께 우리사회의 필수 인프 라로 자리 잡았다. 그러나 정보통신서비스의 고도화 및 일반화와 함께 해킹, 사이버테 러, 개인정보보호 침해 등과 같은 역기능 역시 급격히 증가하고 있고, 이러한 사이버 공격에 대한 범국가적 상시 방어체계를 구축하고 침해사고 발생 시 신속히 대응하지 못할 경우 국가적, 사회적, 경제적으로 큰 피해가 발생할 수 있다. 따라서 사이버 공격 에 대한 사전 예방과 점검, 대응 업무를 담당하는 보안전문인력의 양성은 국가 차원에 서 관리해야 하는 중요 이슈가 되고 있다. 정보보안 전문가는 주요 운영체제 구조에 대한 이해 및 활용, 소프트웨어 요구사항 분 석, 설계와 개발, 통신 프로토콜에 대한 이해와 주요 네트워크 장비에 대한 활용, 웹이 나 전자메일 등과 같은 주요 응용 서비스에 대한 동작절차 이해 및 관리기술 등에 이 론과 실무 능력을 보유한 후 암호학 및 정보보안 주요 요소기술, 정보통신시스템에 대 한 취약점 파악과 보안 대응방안 구현, 악성 코드 및 사이버 공격별 대응체계 구축, 조 직의 정보보안 관리업무 수행 및 관련 법규에 대한 지식을 겸비해야 하는 고도의 직무 를 수행하여야 한다. 따라서 정보보안 전문가는 다른 전문분야에 비해 양성과 배출에 오랜 기간이 요구되어 공공기관 및 민간분야의 수요를 쉽게 충족시키지 못하는 원인이 된다. 현재 정보보안 관련 국내 자격제도에는 유일한 국가공인 민간자격인 정보보호전문가 (SIS) 자격과 함께 인터넷보안전문가, 정보보안관리사, 해킹보안전문가 등이 있고 국제 자격제도로는 정보시스템감사사(CISA), 정보시스템보안전문가(CISSP) 등이 있다. 정 보보안 민간자격의 경우 민간자격제도로 인한 신뢰도 문제, 정보보호전문가 자격을 제 외한 기타 자격은 공공기관이나 민간기업에서 인정받지 못하고 있는 실정이다. 또한 국제 자격제도의 경우 정보보안 전문가가 갖추어야 할 전문분야들 중 특정부분에 중점 을 두어 자격시험이 구성되어 있고 실무 경험이 있는 합격자들에게만 자격이 부여되는 한계점이 있다. 따라서 정보보안의 중요성이 더욱 강조되고 있는 현재 국가기술자격으로 정보보안 기 사, 정보보안 산업기사 자격종목을 신설함으로써 공공기관 및 산업체가 요구하는 정보 보안 전문가의 직무를 체계적으로 정의하고 수요중심의 정보보안 전문가를 양성할 수 있는 교육과정을 제시하여 안전한 사이버 환경을 조성과 함께 국내 지식정보보안 산업 의 경쟁력 강화시킬 수 있을 것으로 기대된다. - i -

4 직무 분석 정보보안 기사, 산업기사는 IT 및 정보통신 분야의 이론 및 실무 지식을 갖춘 후 조직 의 보안정책 집행을 위한 정보보안 제품 및 솔루션의 개발, 서버와 네트워크 장비, 정 보보안 전용장비에 대한 보안설정 및 운영관리, 조직의 보안요구사항 및 위험분석 업 무를 수행한 후 지속적으로 정보보안 관리업무를 수행하는 직무를 수행한다. 본 연구에서는 정보보안 관련 공공기관 및 민간기업에 재직 중인 정보보안 전문가, 대 학 교수 등을 대상으로 설문조사와 자문을 거쳐 정보보안 기사의 직무를 12개 단위(정 보보안시스템 요구사항 분석, 정보보안시스템 설계, 정보보안시스템 구현, 정보보안시 스템 시험, 보안목표 파악 및 보안정책 관리, 시스템 및 네트워크 보안특성 파악, 취약 점 점검 및 보완, 관제 및 대응, 정보보안 계획수립, 위험분석, 정보보안 정책구현, 사 후관리)로 구분하고 이들을 46개의 작업단위요소로 세분화하였다. 정보보안 산업기사 의 직무는 정보보안 기사의 직무 중 난이도가 높다고 판단되는 정보보안 계획수립, 위 험분석, 정보보안 정책구현, 사후관리 등 4개를 제외한 8개 단위로 정의하였다. 또한 46개 작업단위요소들의 중요도 및 전체 난이도, 그리고 각 작업단위요소들에 대 한 작업명세서를 작성하고 수행 준거별 난이도 제시하였다. 검정체계 정보보안 기사, 산업기사 국가기술자격은 IT 및 정보통신 기술에 대한 이론 및 실무 지식을 바탕으로 정보보안 시스템 및 솔루션 개발, 주요 운영체제 및 네트워크 장비, 정보보안 장비에 대한 운영 및 관리 직무를 담당하며 정보보안 기사는 추가로 조직의 정보보안정책의 수립과 대책수립 및 관리, 정보보호 관련 법규 적용 등을 수행하는 한 다. 정보보안 기사, 산업기사는 직무 내용 상 국가기술자격의 직무분야 중 정보처리로 분류하였다. 정보보안 기사, 산업기사 자격시험은 모두 1차 필기시험과 2차 실기시험으로 구성하였 다. 정보보안 기사 1차 필기시험은 시스템 보안, 네트워크 보안, 어플리케이션 보안, 정보보안 일반, 정보보안관리 및 법규 등 5개 시험과목에 대해 4지 택일형으로, 정보보 안 산업기사 1차 필기시험은 시스템 보안, 네트워크 보안, 어플리케이션 보안, 정보보 안 일반 등 4개 시험과목에 대해 4지 택일형으로 구성하였다. 정보보안 기사, 산업기사 2차 실기시험은 정보보안 실무에 대해 필답형 주관식 문제로 구성하였다. 정보보안 기사, 산업기사의 출제기준과 시험과목의 적정성 등을 검증하기 위해 정보보 안 전공 대학교수, 연구기관 및 산업체 전문가들에게 기사, 산업기사 모의시험문제 출 제를 의뢰하였다. 출제된 정보보안 기사 모의시험은 정보보안 관련 학과 4학년과 대학 - ii -

5 원생, 연구기관에 근무하는 연구원들을 대상으로, 정보보안 산업기사 모의시험은 정보 보안 관련 학과 3학년과 전문대학 2학년을 대상으로 실시하고 그 결과와 함께 개선사 항을 제시하였다. 정책제언 정보보안 전문가는 IT 및 정보통신 분야에 대한 이론과 실무 능력과 함께 암호학 및 정보보안 요소기술, 정보보안 장비에 대한 보안설정 및 운영관리 능력, 조직의 보안정 책 수립과 집행 등에 관한 포괄적 전문적 지식을 추가로 갖추어야 하는 특징을 가지고 있다. 따라서 본 연구에서 제시한 직무분석 내용을 참조하여 대학 및 대학원의 교과과 정, 정보보안 관련 공공 및 민간 교육/훈련기관의 교육프로그램에 대한 검토를 통한 보 완이 필요할 것으로 판단된다. 또한 체계적이고 효과적인 정보보안 전문가 양성을 위 한 필기과목 및 실기과목에 대한 교재개발이 필요하다. 그리고 모든 공공기관 및 민간기업에서 정보통신시스템을 이용하고 있는 현실을 고려 할 때 해당 기관의 정보보안 강화 및 관리를 위해 정보보안 기사, 산업기사 자격소지 자를 의무적으로 채용하도록 하는 법률적, 제도적 장치의 도입이 적극적으로 고려되어 야 한다. 정보보안 기사, 산업기사 국가기술자격 종목의 신설은 정보보안 분야의 국내 전문가를 체계적으로 양성하는 효과뿐만 아니라 우리나라 지식정보보안 산업의 국제적 경쟁력을 강화하는데 큰 역할을 담당할 것으로 기대된다. - iii -

6 목 차 제1장 서론 연구의 필요성 및 목적 연구 내용 연구방법 및 절차 추진 일정 14 제2장 정보보안 기사 산업기사 종목 신설 배경 정보보안 기사 산업기사 종목 신설의 필요성 정보보안 기사 산업기사 관련 국내외 동향 정보보안 기사 산업기사 관련 문헌 현황 정보보안 기사 산업기사 관련 기술의 개념 전문 인력으로서의 역할 정보보안 기사 산업기사 등급 및 직무 내역 정보보안 기사 산업기사 관련 교육훈련기관 현황 및 검정응시 예상인원 정보보안 기사 산업기사 관련 유사자격제도 정보보안 기사 산업기사 자격취득자의 활용방안 41 제3장 정보보안 기사 산업기사 직무분석 및 교육내용 분석 종목 등급 및 직무의 정의 직무분석 직무 및 작업 명세서 정보보안 기사 산업기사 교과목 분석 설문지 조사 및 분석 103 제4장 정보보안 기사 자격검정체계 구성 직무 분야 자격 종목명 및 등급 응시자격 검정기준 검정방법 및 시험과목 검정시행형태 및 합격검정기준 출제기준 출제방법 및 시험시간 실기시험 시행자료 iv -

7 4.10 모의 검정시험 해당종목관련 전문가목록 126 제5장 정보보안 기사 연구결론 및 정책 제언 연구의 결론 정책 제언 133 제6장 정보보안 산업기사 자격검정체계 구성 직무 분야 자격종목 및 등급 응시자격 검정기준 검정방법 및 시험과목 검정시행형태 및 합격검정기준 출제기준 출제방법 및 시험시간 실기시험 시행자료 모의 검정시험 해당종목관련 전문가목록 146 제7장 정보보안 산업기사 연구결론 및 정책 제언 연구의 결론 정책 제언 153 참고문헌 154 부록 I. 설문지 155 부록 II. 정보보안 기사 모의시험 문제 165 부록 III. 정보보안 산업기사 모의시험 문제 199 부록 IV. 자문회의 회의록 v -

8 표 목차 표 1-1. 정보보안 민간 자격증 비교 4 표 1-2. 정보시스템감사사 자격제도 주요 특징 5 표 1-3. 정보시스템보안전문가 자격제도 주요 특징 5 표 1-4. 대학 정보보호 관련 학과 현황 8 표 1-5. 대학원 정보보호 관련 학과 현황 9 표 1-6. 전문대학 정보보호 관련 학과 현황 10 표 1-7. 민간 교육기관의 정보보호 교육과정 현황 10 표 1-8. 정보보안 기사 시험과목 12 표 1-9. 정보보안 산업기사 시험과목 12 표 자문위원 구성 13 표 모의시험 문제 출제위원 14 표 연구추진 일정 15 표 2-1. 연간 침해 사고 통계 (단위: 건) 18 표 2-2. 피해 기관별 침해사고 통계 (단위: 건) 18 표 2-3. 정보보호 분야 직무체계 23 표 2-4. 정보보안 관련 직종 27 표 2-5. 정보보안 기사, 정보보안 산업기사의 주요 직무 내용 30 표 2-6. 규모 및 직종별 종사인력 규모 32 표 년 정규 교육기관 정보보안 인력양성 현황 32 표 2-8. 전국 정보보안 대학동아리 지원 현황(2010년) 33 표 2-9. 정보보안 민간 교육기관 34 표 지식정보보안 산업 개발과제 추진일정 39 표 정보보안 기사, 산업기사와 유사 자격 종목 40 표 3-1. 정보보안 기사 산업기사 직업명세서 46 표 3-2. 정보보안 기사, 산업기사 공통 직무 명세서 47 표 3-2. 정보보안 기사, 산업기사 공통 직무 명세서 (계속) 48 표 3-3. 정보보안 기사 추가 직무 명세서 49 표 3-4. 정보보안 기사 산업기사 활용도구 일람표 50 표 3-5. A-1 보안기능 요구사항 수집, 작성 51 표 3-6. A-2 보증 요구사항 수집, 작성 52 표 3-7. A-3 시스템 개발 및 동작환경 특성 분석 53 표 3-8. A-4 보안 요구사항 명세서 작성 54 표 3-9. B-1 요소 보안기술 결정 55 표 B-2 보안 아키텍처 설계 56 - vi -

9 표 B-3 모듈 단위 기능정의 및 설계 57 표 B-4 설계서 작성 58 표 C-1 설계서에 대한 기술 검토 59 표 C-2 개발환경 구축 및 코딩 60 표 C-3 구현 관련 문서 작성 61 표 D-1 모듈 단위 시험 62 표 D-2 통합 시험 63 표 D-3 버그 수정 및 보완 개발 64 표 D-4 시험 결과보고서 작성 65 표 E-1 조직의 보안목표 파악 66 표 E-2 조직의 IT환경 특징 및 위협 파악 67 표 E-3 보안정책 작성 및 적용 68 표 E-4 보안정책 이력 관리 69 표 F-1 운영체제별 보안특성 파악 70 표 F-2 프로토콜 특징 및 취약점 파악 71 표 F-3 서비스별 보안특성 파악 72 표 F-4 보안장비 및 네트워크 장비 보안특성 파악 73 표 F-5 관리대상 시스템 및 네트워크 구조 파악 74 표 G-1 운영체제 및 버전별 취약점 점검, 보완 75 표 G-2 서비스 및 버전별 취약점 점검, 보완 76 표 G-3 보안장비 및 네트워크 장비 취약점 점검, 보완 77 표 G-4 취약점 점검 및 보완 사항 이력 관리 78 표 H-1 운영체제별 로그정보 점검 79 표 H-2 서비스별 로그정보 점검 80 표 H-3 보안장비 및 네트워크 장비 로그정보 점검 81 표 H-4 로그정보 통합 및 연관성 점검 82 표 H-5 데이터 백업, 증거 수집 및 침입자 추적 83 표 I-1 조직의 요구사항 파악 84 표 I-2 IT현황 및 자산 파악 85 표 I-3 관련 법령 검토 86 표 J-1 내 외부 위협 분석 87 표 J-2 자산별 취약점 분석 88 표 J-3 취약점 점검 보고서 작성 89 표 K-1 정보보호 정책 수립 및 적용 90 표 K-2 시험 및 검증 91 표 K-3 정보보호 대책 구현 92 표 K-4 정보보호 정책 교육 93 표 L-1 정보보호 체계 재검토 94 - vii -

10 표 L-2 사후 조치 및 모니터링 95 표 L-3 내부 감사 96 표 직무분석을 통한 교과목 도출 98 표 정보보안 전공 대학원, 대학 및 전문대학 교과목 분석 100 표 설문지 배포 및 응답률 103 표 4-1. 정보처리 직무분야에 속한 국가기술자격 종목 관련학과 112 표 4-2. 정보보안 기사의 응시자격 113 표 4-3. 정보보안 기사 시험과목 114 표 4-4. 정보보안 기사 필기시험 출제기준(안) 115 표 4-5. 정보보안 기사 실기시험 출제기준(안) 121 표 4-6. 정보보안 기사 모의시험 문제 출제위원 124 표 4-7. 정보보안 기사 모의 검정시험 결과 125 표 4-8. 정보보안 기사 필기시험, 실기시험 점수 분포 125 표 6-1. 정보처리 직무분야에 속한 국가기술자격 종목 관련학과 135 표 6-2. 정보보안 산업기사의 응시자격 136 표 6-3. 정보보안 산업기사 시험과목 137 표 6-4. 정보보안 산업기사 필기시험 출제기준(안) 138 표 6-5. 정보보안 산업기사 실기시험 출제기준(안) 141 표 6-6. 정보보안 산업기사 모의시험 문제 출제위원 143 표 6-7. 정보보안 산업기사 모의 검정시험 결과 144 표 6-8. 정보보안 산업기사 필기시험, 실기시험 점수 분포 viii -

11 그림 목차 그림 1-1. 연구팀 구성 14 그림 년 10월까지 해킹사고 접수, 처리 건수 18 그림 2-2. 전공별 인력 현황 (단위: 명) 19 그림 2-3. SIS 자격시험 응시생 및 합격자 수 (단위: 명) 20 그림 2-4. 지식정보보안 산업 영역 26 그림 2-5. 정부지원에 의한 정보보안 교육과정 34 그림 3-1. 정보보안 기사, 산업기사 공통 직무 45 그림 3-2. 정보보안 기사 추가 직무 45 그림 3-3. 직무분석의 타당성 104 그림 3-4. 정보보호관리, 정보보호 관련법규 반영 필요 자격종목 105 그림 3-5. 정보보호관리, 정보보호 관련법규 출제 비중 106 그림 3-6. 이론 시험 형식 106 그림 3-7. 실기 시험 형식 107 그림 3-8. 자격시험 시행 횟수 107 그림 3-9. 정보보안 기사 적정 합격률 108 그림 정보보안 산업기사 적정 합격률 109 그림 설문 응답자 소속 분포 109 그림 공공기관, 기업체 소속 응답자 경력 분포 ix -

12 제1장 서론 - 1 -

13 1.1 연구의 필요성 및 목적 연구배경 현재 기업과 공공기관의 대부분이 정보처리시스템과 인터넷으로 대표되는 통신시스템 을 기반으로 각 기관의 내부업무 및 대고객, 대국민 서비스를 제공하고 있음을 고려할 때 정보통신 인프라의 안정성과 효율성은 더욱 증가하고 있다. 특히 정보통신시스템을 대상으로 하는 내 외부 사용자에 의한 악의적 해킹, 보안이 취약한 컴퓨터를 좀비로 활 용하는 DDoS 공격, 데이터베이스에 저장된 기업정보 및 개인정보에 대한 불법적 유출 등 보안침해 사례가 증가하고 있는 현실에서 주요 IT기술에 대한 지식과 함께 정보보 호 이론과 실무능력을 갖춘 정보보안 전문인력의 중요성은 더욱 증가할 것이다. 정보보안 전문가는 정보보안이 요구되는 분야(시스템, 네트워크, 응용 서비스)에 대한 전문지식과 해당 분야의 보안 취약성을 이해하거나 분석할 수 있고, 보안 취약점을 해 결할 수 있도록 보안정책의 수립과 집행, 운영 및 관리, 보안 시스템 및 솔루션 개발, 컨설팅 능력 등을 추가로 보유해야 하는 특징이 있다. 현재 국내에는 2가지 종류의 국내 정보보안 국가공인 민간자격제도(정보보호전문가 1 급/2급, 인터넷보안전문가 1급/2급, 정보보안관리사, 해킹보안전문가 1급/2급/3급/주니 어)가 운영되고 있으나 정보보안의 중요성과 함께 향후 증대될 필수성을 감안할 때 정 보보안 분야의 국가기술자격 검정체계의 신설은 시급한 실정이다. 본 연구에서는 정보보안 전문인력의 수요처인 기업과 공공분야에서 이루어지는 정보보 안 직무분석을 수행하고, 해당 직무를 수행하기 위해 필요한 정보보안 이론과 실무 지 식을 도출한다. 또한 도출된 정보보안 전문가가 갖추어야 할 정보보안 이론과 실무 지 식 보유여부를 파악할 수 있는 검정과목 및 출제분야 등을 개발함으로써 수요 중심, 실효성있는 정보보안 국가기술자격 검정체계를 제시한다 연구의 필요성 m 정보보호 기술 및 전문인력 중요성 증대: 해킹, 웜/바이러스, DDoS, 피싱 등과 같은 다양한 형태의 공격이 공공 및 민간부분 정보시스템을 대상으로 지속적으로 증가하 고 있고, 불특정 시스템을 대상으로 하는 공격에서 특정시스템을 대상으로 하면서 금전적 이득을 위한 공격으로 변화되고 있다. 따라서 민간 및 공공부분에서 정보시 스템과 통신인프라에 대한 보호업무를 수행할 수 있는 정보보안 전문가의 역할이 증가하고 있고 업무의 중요성도 증대되고 있다. 정부에서는 각 행정기관에 정보보 안책임자(CSO: Chief Security Officer)와 개인정보관리책임자(CPO: Chief Privacy Officer) 제도 도입을 추진하는 등 정보보안 전문인력이 수행하는 업무의 중요성이 - 2 -

14 더욱더 커지고 있다. m 수요중심, 실효성있는 정보보안 국가기술자격 필요성 증대: 정보시스템에 저장된 공 공 및 개인정보 보안에 대한 필요성과 함께 해당 자원을 보호할 수 있는 정보보안 기술 및 시스템에 대한 수요가 증대하고 있고 정보보안 정책수립과 집행, 침해사고 발생 시 대응 및 사후복구를 진행할 수 있는 정보보호 전문인력에 대한 공공 및 민 간부문에서의 수요가 증가하고 있다. 그러나 정보보호 전문인력 공급 측면에서 정 보보안 인력양성 시스템이 미흡하여 수요기관에서 요구하는 수준의 정보보안 전문 인력을 적시에 지원하지 못하는 문제점이 있다. 따라서 방대한 정보보안 분야의 지 식과 기술분야들을 정보보안 전문인력 수요처의 직무를 중심으로 조사, 분석함으로 써 수요중심, 그리고 이론과 실무를 겸비한 실효성있는 정보보안 전문인력을 양성 할 수 있는 국가기술자격 검정체계의 개발이 시급하다 연구목적 정보통신 서비스 및 인프라의 안정적 운영은 기업의 이윤창조와 공공기관의 대국민 서 비스의 신뢰도를 보장하는 기초이며 핵심 항목이다. 그러나 최근 그 발생빈도가 증가 하고 있는 금전적 목적을 가진 공격의 해킹 및 피싱 공격, 내 외부 사용자에 의한 기업 정보 및 개인정보의 불법 유출과 거래, 기업 및 공공기관의 정상적 서비스 제공을 방 해하는 DDoS 공격 등을 효과적으로 방어하기 위해서는 수요처 중심의 실효성있는 정보 보안 이론 및 실무 능력을 갖춘 정보보안 전문인력의 체계적 양성이 시급한 상황이다. 본 연구에서는 국내 기업 및 공공기관에서 정보보안 전문인력이 수행하는 직무를 조 사, 분석하고 각 직무를 수행하는데 필요한 정보보안 이론 및 실무 기술을 도출한다. 도출된 핵심 정보보안 이론 및 실무기술을 기반으로 국가기술자격 검정체계를 개발함 으로써 국가차원에서 정보보안 인력을 체계적으로 양성할 수 있는 기반을 마련하고 민 간 및 공공분야에서 정보보안 분야의 중요성과 필수성을 인식시키는데 그 목적이 있다

15 1.2 연구 내용 정보보안 기사 산업기사 관련 국내외 동향 국내 동향 국내 정보보안 자격증은 민간자격에 그치고 있으며, 현재 정보보호전문가 한 종만이 국가 공인을 획득하고 있는 실정이다. 이 또한 민간자격의 한계로 여겨지는 공신력 저 하 및 인센티브 부족 등으로 동종의 국제 자격증이 선호되고 있는 추세이다. 또한, 악 의적인 의도를 품고 있는 일부 언더그라운드 해커 등 숨어있는 보안 전문가를 양지를 끌어내기 위한 적절한 검증 제도로서의 역할을 하지 못하는 것이 현실이다. 현재 정보 보안 전문기업은 물론이고, 관련 IT 업체, 회계법인 등에서도 해외 보안자격증을 우대 하는 풍조가 조성되어, 심각한 외화 낭비 및 국내 우수 인력의 해외 유출이 가속화되 고 있다. 국가 공인을 가지는 정보보호전문가의 합격률은 10% 미만인 9.6%밖에 되지 않는 반 면 국가 공인을 가지지 못한 자격증들은 정보보호전문가보다 높은 합격률을 기록하고 있다. 하지만 이러한 민간 자격증은 시험 방식이 필기 및 4지선다 객관식이기 때문에 공신력이 약하다. 표 1-1은 정보보안 분야 민간 자격증 간 비교 정보를 보이고 있다. 표 1-1. 정보보안 민간 자격증 비교 명칭 주관 구성 검정현황 급수 방식 응시 합격 합격률 정보보호전문가 한국인터넷진흥원 1,2 필기, 실기 4, % 인터넷보안전문가 한국정보통신자격협회 1,2 필기, 실기 % 정보보안관리사 한국정보평가협회 - 필기 % 해킹보안전문가 한국해킹보안협회 1,2,3, 주니어 필기, 실기 % 해외 동향 해외 정보보안 자격증 중 공신력이 있으며 국내에서 우대받고 있는 자격증은 정보시스 템감사사 자격증과 정보시스템보안전문가 자격증이 있다. 정보시스템감사사는 미국 국 방부에서 승인한 자격증으로 전체 취득자는 73,000명이며 취득자는 계속 증가 추세에 - 4 -

16 있다. 정보시스템보안전문가는 (ISC) 에서 발급, 관리하는 국제 자격증이다. 표 1-2와 표 1-3는 각각 정보시스템감사사와 정보시스템보안전문가 자격제도에 대한 주요 특징 을 보여주고 있다. 표 1-2. 정보시스템감사사 자격제도 주요 특징 자격명칭 주관 설명 구성 과목 정보시스템감사사(Certified Information Systems Auditor) ISACA(Information Systems Audit and Control Association, 미국) 영어 외에도 한국어 등 10개 국어를 포함하여 11개 언어로 시험을 실 시하고 있는데, 2005년 ISO/IEC 17024에 따라 ANSI(American National Standards Institute)의 인증을 취득함 4지선다 객관식 IS 감사 업무 프로세스, IT 지배, 시스템 및 IT기반구조의 수명주기 관리, IT 서비스 제공 및 지원, 정보 자산의 보호, 업무 연속성 국내 도입년도 2001 검정 현황 국내 응시 : 22,379명, 합격 : 9,163명, 합격률 : 40.9%( 기준) 한국인 중 국외에서 취득한 536명을 제외한 수치임 전체 취득자 : 약 73,000명 표 1-3. 정보시스템보안전문가 자격제도 주요 특징 자격명칭 정보시스템보안전문가 (Certified Information Security Professional) 주관 설명 구성 과목 국내 도입년도 2000 검정 현황 국내 ISC2(International Information Systems Security Certification Consortium, 미국) ISC2(International Information Systems Security Certification Consortium, Inc.)에서 시행하는 자격증으로 CISA와 마찬가지로 ISO 에 의한 인증을 취득하였음 4지선다형 객관식 접근제어시스템 및 방법론, 통신망 및 네트워크 보안, 보안관리, 응용프로그 램 및 시스템 개발, 암호학, 보안 아키텍쳐 및 모델, 컴퓨터 운용 보안, 사업 연속계획 및 비상복구계획, 법, 수사 및 윤리, 물리적 보안 합격 : 2,502명( 기준) 전체 66,015명 - 5 -

17 1.2.2 정보보안 기사 산업기사 관련 문헌 현황 m 2010 국가정보보호백서: 이 보고서는 2010년 4월에 한국인터넷진흥원을 통해 배포 되었으며 총 4개의 독립된 편과 특집 및 부록으로 구성되어 있고 정보보호 10대 이 슈를 별도로 수록하고 있다. 정보보호 10대 이슈에서는 2009년 주요 언론매체에 보도된 정보보호 관련 기사들을 토대로 산 학 연 정보보호 전문가들의 의견 수렴을 통해 선정된 내용들을 소개하고 있다. m 2009 국내 지식정보보안 산업 시장 및 동향 조사: 이 보고서는 한국인터넷진흥원에 서 2009년 12월에 발간한 것으로 2009년 지식정보보안 산업의 시장을 조사하고 동향을 분석한 것을 바탕으로 향후 전망을 예측하는 것을 주된 목적으로 하며 지식 정보보안 산업 관련 기업의 일반적 특성, 시장 동향을 주요 내용을 기반으로 하여 지식정보보안 산업을 정책적으로 육성할 수 있는 실현가능한 방안을 모색함을 목적 으로 작성되었다. 이 보고서를 토대로 정부는 지식정보산업 육성을 위한 방향을 설 정할 수 있고, 보다 실천적인 과제를 도출할 수 있을 것이다. 또한 본 연구 결과는 지식정보보안 관련 학계, 연구계의 기초 자료로 활용될 수 있을 뿐만 아니라, 연관 산업 및 관련 기업의 비전과 전략을 설정하는데 있어 기반을 조성하는 토대가 될 수 있다. m IT 산업의 직업변동연구: 이 보고서는 한국고용정보원에서 2008년 12월 발간한 것 으로 방송 통신, 정보보호, 지능로봇 등 IT 관련 산업 중에서도 기술변화 속도가 가 장 빠른 네 분야에서 현존하는 직업들의 변화, 그리고 향후 유망하게 대두될 직업 에 대하여 전망하고 있다. 시장규모, 인력수급 현황 등의 조사를 위하여 교육개발 원, 방송통신위원회, 문화체육부 등 관련 기관의 통계 DB 및 고용보험 DB를 분석 하였고, 직업변화 유발 요인, 직무내용의 변화, 신생 직업변화 유발 요인, 직무내용 의 변화, 신생 직업전망 등은 현장 관찰 및 전문가 심층 인터뷰, 그리고 델파이 분 석 등의 질적 방법을 사용하여 결과를 검증하였다. m 유비쿼터스 환경에서의 정보보호 정책 방향: 이 보고서는 한국정보보호진훙원, 지식 경제부, 정보통신연구진흥원이 2008년 3월 발간한 자료로 정보보안 관련 국내외 직 무분석에 대한 내용을 조사하고 정보보호 연구 개발의 활성화를 위한 정보보호 인력 수급 실태조사 및 정보보호 분야의 직무체계 개발에 대한 정책적 방향을 제시하고 있다. 보고서에서는 정보보호 분야 직무체계를 전략 및 기획, 마케팅 및 영업, 연구 개발 및 구현, 교육 및 훈련, 관리 및 운영, 사고 대응, 평가 및 인증 등 7개 직무군 으로 분류하고 이를 다시 17개의 직무로 정의하였다

18 1.2.3 정보보안 기사 산업기사 직무분석 및 교육훈련과정 분석 직무분석 정보보안 기사, 산업기사의 직무는 시스템 및 네트워크에 대한 이론과 실무 능력을 기 반으로 하고 정보보안 시스템 및 솔루션 개발, 서버/네트워크장비/정보보안 장비에 대 한 보안관리 및 운영하는 직무를 수행한다. 정보보안 기사는 조직의 정보보안 정책 수 립과 집행, 관리 업무와 함께 조직의 비즈니스와 관련된 정보보안 관련 법규를 이해하 고 적용하는 직무를 추가로 수행한다 교육훈련과정 4년제 대학에서 정보보호 관련 학과들은 대부분 정보통신부의 IT 인력양성사업에 부응 하여 2002년부터 신설되었다. 중부대학교가 1996년 컴퓨터안전관리학과를 신설한 것 을 제외하면 모든 학교가 2001년 이후 정보보호 관련 학과를 설치한 것으로 조사되었 다[3]. 최근에는 학과의 신설보다는 폐지가 더 많은 추세이다. 최근 대학 재학생들 사이에 정 보보호분야에 대한 관심은 증대하고 있으나 정보보호 분야의 특성 상 대학수준에서는 한 분야에 대한 집중적인 교육보다는 IT 및 정보보호 기초 분야에 대한 교육이 주로 이루어지고 있기 때문에 독립적인 정보보호 학과는 감소하고 있는 것으로 판단된다. 2009년 현재 15개교의 관련 학과 재적생 수는 2,586명에 이르며 전임교원의 수는 57 명, 2009년의 배출인력은 총 382명이다. 표 1-4는 각 대학교에 설치된 정보보호 관련 학과명과 재적생 수, 2009년 배출학생 수 및 전임교원 수를 나타내고 있다. 또한 온라 인으로 강의가 이루어지는 사이버대학 중 정보보호학과가 설치된 학과는 세종사이버대 학이 현재 유일하다. 또한 전년도 대비 재인원수는 58%, 배출인원은 63%, 전임교원 수는 75% 상승하였으 나 교원의 확보정도는 재학생 수 대비 전임교원 수로 판단해 볼 때 적은 편으로 조사 되었다

19 표 1-4. 대학 정보보호 관련 학과 현황 대학원에서 정보보호 관련 교육 및 인력양성은 다양한 방법으로 이루어지고 있다. 크 게 일반대학원, 전문대학원, 특수대학원으로 구분되는데 2개의 전문대학원과 9개의 특 수대학원 및 협동과정에 정보보호 관련 학과 혹은 전공이 개성되어 있으며, 5개의 일 반대학원에서도 석, 박사과정이 개설되어 있다[3]. 대학원 과정에 정보보호 전공이 설치되기 시작한 것은 동국대학교가 국제정보대학원을 설립한 1998년이며 2000년대에 들어서면서 본격적으로 정보보호 전공이 설치되기 시 작하였다. 일반대학원의 경우 정보보호 관련 전공이나 학과가 개설된 곳이 늘어나는 추세이지만 아직도 컴퓨터 혹은 정보통신 관련 학과에서 소규모 연구그룹이나 교수별로 정보보호 분야의 연구를 수행하고 있는 곳이 더 많은 것으로 보인다. 전문대학원은 고려대학교 정보경영공학전문대학원과 과학기술연합대학원대학교가 해당 되며 순천향대학교에서는 일반대학원과 특수대학원에 모두 관련 학과가 개설되어 있는 것으로 파악되었다

20 표 1-5는 정보보호 관련 학과가 개설된 각 대학원의 석, 박사 학위과정의 개설 여부, 설립년도, 재적학생 수와 배출실적, 그리고 전임교원 수를 나타내고 있다. 대학의 경우 와 같이 대학원도 2002년부터 2004년 사이 설립된 학과가 많으며, 2009년을 기준으 로 총 재적 학생 수는 704명이고 2009년 배출인력은 186명이다. 표 1-5. 대학원 정보보호 관련 학과 현황 전문대학의 정보보호 관련 학과에서는 주로 인터넷 보안, 해킹, 사이버수사 등에 관한 실무교육이 이루어지고 있으며 자격증 취득을 위한 교육도 활발한 편이다[3]. 전문대 학은 4년제 대학이나 대학원과는 달리 특성화된 학과 또는 전공이 설치되어 있다. 2009년에는 4개의 학교에서 250명이 재학 중이며 14명이 배출되었는데 이는 전년도 에 비해 크게 감소한 수치이다(표 1-6)

21 표 1-6. 전문대학 정보보호 관련 학과 현황 정보통신 분야에서의 민간교육은 매우 활발한 편이며 이는 교육에 대한 수요가 다양한 형태로 존재하기 때문이다. 정보통신 분야 비전공자들은 특정 단기 과정 외에도 6개월 정도의 장기과정을 통해 전문지식을 습득하기를 원하는 반면, 정보통신 분야 전공자들 은 주로 자격증과 관련된 교육을 통하여 정규 교육기관에서 얻지 못하는 실용적인 교 육을 원하는 것으로 파악되고 있다[3]. 2009년 현재 활발하게 교육 사업을 진행하고 있는 민간 교육기관은 19개이며 교육과 정명과 홈페이지 정보는 표 1-7과 같다. 표 1-7. 민간 교육기관의 정보보호 교육과정 현황

22 1.2.4 정보보안 기사 산업기사 자격 검정 체계 m 직무분야: 정보보안 기사, 산업기사의 직무분야는 국가기술자격의 직무분야 중 정보 처리 분야에 속해 있다. 정보보안 기사, 산업기사는 정보보안과 관련된 보안정책대 한 이해, IT가 다루는 프로그래밍, 시스템 및 네트워크 구조에 대한 이해를 바탕으 로 보안정책 수립, 침해 위험 분석 및 대책 수립, 수립된 보안 정책의 개발 및 구 현, 악성코드 및 바이러스의 분석 및 손상 데이터 복구, 보안 시스템의 운영 및 모 니터링을 수행하는 업무 또는 이와 관련된 지도적 업무를 수행하는 직무이다. m 종목명 및 등급: 정보보안 자격종목 개발에 대한 전문가 협의회와 직무분석 및 현 장의 목소리를 청취, 정보보안 업무의 특성, 해당 분야 전문가 등을 고려한 결과, 시스템 및 네트워크에 대한 이론과 실무 능력을 기반으로 하고 정보보안 시스템 및 솔루션 개발, 서버/네트워크장비/정보보안 장비에 대한 보안관리 및 운영, 조직의 정 보보안 정책이 집행되도록 관리하는 직무를 주도적으로 수행할 수 있는 정보보안 기사 자격과 정보보안 기사의 업무를 보조할 수 있는 정보보안 산업기사 등급이 타 당하다고 판단된다. m 응시자격: 정보보안 기사, 산업기사는 국가기술자격법 시행령에서 요구하는 기사, 산업기 사의 응시자격과 동일하다. m 검정기준: 정보보안 기사, 산업기사는 정보보안과 관련된 보안정책 대한 이해, IT가 다루는 프로그래밍, 시스템 및 네트워크 구조에 대한 이해를 바탕으로 정보보안 기 사는 문제의 상황을 파악하여 분석하는 능력 및 문제의 해결 능력 유무를 검정하고 정보보안 산업기사는 문제의 상황을 파악하여 분석하는 능력의 유무를 검정한다. m 검정시행형태 및 합격기준: 현행 국가기술자격 종목의 합격기준은 1차 필기시험의 경우, 과목별 중요도에 관계없이 전체 검정과목당 100점을 만점으로 전 과목 평균 60점 이상이며, 과목별 최소 40점 이상일 경우 합격기준으로 하고 있다. 2차 실기 시험에서는 100점을 만점으로 평균 60점 이상을 취득할 경우를 합격으로 하고 있 다. 정보보안 기사, 산업기사의 합격 기준도 현행 국가기술자격의 합격기준과 동일 하게 적용한다. m 검정과목: 정보보안 기사, 산업기사는 1차 필기시험과 2차 실기시험으로 구분하여 검정을 실시하고, 필기시험은 4지 택일형이고, 실기시험은 단답형, 서술형, 실무형 문제로 구성된 필답형으로 구성하였다. 정보보안 기사, 정보보안 산업기사 시험과목 은 각각 표 1-8, 1-9와 같다

23 표 1-8. 정보보안 기사 시험과목 구 분 시 험 과 목 검 정 방 법 문항수 배점 검정시간 문제유형 합격기준 필기시험 시스템 보안 네트워크 보안 어플리케이션 보안 정보보안 일반 정보보안관리 및 법규 각 과목 30분 4지 택일형 각 과목 : 40점 이상 5 과목 평균 : 60점 이상 실기시험 정보보안 실무 100 총180분 필답형 60점 이상 표 1-9. 정보보안 산업기사 시험과목 구 분 시 험 과 목 검 정 방 법 문항수 배점 검정시간 문제유형 합격기준 필기시험 시스템 보안 네트워크 보안 어플리케이션 보안 정보보안 일반 각 과목 30분 4지 택일형 각 과목 : 40점 이상 4 과목 평균 : 60점 이상 실기시험 정보보안 실무 100 총150분 필답형 60점 이상 1.3 연구방법 및 절차 본 연구의 진행을 위해 정보보안 관련 주요 기관의 보고서 및 자료 수집, 학계 및 공 공기관, 정보보호 전문기업 소속 자문위원들로 구성된 자문회의, 신설 예정인 국가기술 자격제도에 대한 설문조사와 분석, 모의시험 실시 등 일련의 과정을 통해 정보보안 기 사, 전문기사 자격 종목을 개발하였다. m 관련 보고서 및 자료 분석: 체계적이며 신뢰성있는 정보보안 기사, 산업기사 국가기 술자격 종목 개발을 위하여 관련 보고서 및 자료를 수집하고 분석과정을 진행하였 다. 이를 통해 국내외 정보보안 관련 자격제도들의 교육과정, 훈련기준과 출제기준, 특징 및 장단점 정리하였고, 국내 고등교육기관 및 전문 교육기관에서 제공되는 정 보보안 교육과정을 조사, 분석하였다

24 m 직무 분석: 현재 국내에서 정보보안 직무에 대한 체계적 분석과 연구결과는 제시되 어 있지 않지만, 공공기관 및 정보보호 전문기업에 종사하는 정보보안 전문가들의 의견과 공공기관이 발간한 보고서를 기초로 정보보안 직무를 작성하였고 자문위원 들의 의견을 반영한 후 직무분석 흐름도를 개발하였다. m 전문가 자문회의: 대학, 공공기관, 정보보호 전문기업 등 정보보안 관련 분야에 종 사 중인 전문가로 이루어진 자문회의를 구성하여 운영하였다. 자문위원들은 설문지 개발, 직무 분석 개발 및 검토, 모의시험 출제 및 평가 과정에 참여하여 체계적이며 신뢰성있는 정보보안 국가기술자격 종목 개발이 이루어지도록 활동하였다. 표 자문위원 구성 역할 구분 기관명 소속 및 직위 소속 부서 직위(급) 성 명 자문위원 선문대학교 컴퓨터공학과 교수 박 정 호 자문위원 지식경제부 R&D 전략기획단 연구위원 권 문 주 자문위원 금융보안연구원 정보보안본부 팀장 김 영 태 자문위원 솔루션박스 서비스사업본부 차장 전 주 현 자문위원 KISA 인터넷정보보호본부 팀장 손 경 호 자문위원 KISA 인터넷정보보호본부 주임연구원 정 홍 순 자문위원 한국산업인력공단 직업능력표준실 선임연구원 이 재 근 자문위원 한국산업인력공단 기술자격출제실 선임연구원 유 행 석 m 설문조사: 설문조사는 정보보안 기사, 산업기사가 정보보안 관련 공공기관 및 민간 기업에서 수행하게 될 직무내용 및 세부작업 단위, 시험과목에 포함되어야 하는 정보보안 주제, 신설되는 정보보안 자격종목별 정보보호관리 및 정보보호 관련 법 규의 반영정도와 합격률, 자격시험 출제위원별 소속 기관 구성비율 등을 조사하였 다. 설문은 공공기관, 정보보호 전문기업, 고등교육기관 전문가와 정보보안 자격시 험 예상 응시자들을 대상으로 실시되었다. m 모의시험 실시 및 분석: 정보보안 직무분석 내용과 설문조사 결과를 기초로 정보보 안 기사, 산업기사 자격시험 응시 자격요건을 갖춘 정보보안 관련학과 3,4학년 학부 생과 대학원 석사과정 학생 등 총 20명을 선발하여 실시하였다. 모의시험 문제 출제위원은 표 1-11과 같고, 정보보안 기사 모의시험 실시 결과에 대한 분석은 4장, 정보보안 산업기사 모의시험에 대한 분석은 6장에 포함되어 있다. 그리고 정보보안 기사, 산업기사 모의시험 문제는 부록 II와 부록 III에 포함되어 있 다

25 표 모의시험 문제 출제위원 구 분 시 험 과 목 출제 위원 김민수(목포대) 시스템 보안 홍석범(시디네트웤스) 이형효(원광대) 네트워크 보안 필기시험 서광석(한국정보보호교육센터) (기사, 산업기사) 전주현(솔루션박스) 어플리케이션 보안 박정현(IBK시스템) 신원(동명대) 정보보안 일반 이정현(KISA) 실기시험 김민수, 홍석범, 이형효, 서광석 정보보안 실무 (기사, 산업기사) 전주현, 박정현, 신원, 이정현 m 연구팀 구성 및 역할: 본 연구과제의 진행을 위해 책임연구원 1명, 공동연구원 2명 및 보조연구원 2명으로 연구팀을 구성하였다. 책임연구원 (전남대학교 노봉남교수) 공동연구원 (원광대학교 이형효교수) 공동연구원 (목포대학교 김민수교수) 보조연구원 (전남대학교 박진모) 보조연구원 (전남대학교 이동수) 그림 1-1. 연구팀 구성 1.4 추진 일정 본 연구에서 목표로 하는 정보보안 관련 국내외 유사 자격제도 조사, 정보보안 직무분 석 개발과 검토, 신설되는 정보보안 자격제도에 대한 산 학 관 전문가 및 응시 예상자 들 대상 설문조사와 분석, 모의시험 실시 및 결과 분석 등을 표 1-12의 일정과 같이 진행하였다

26 표 연구추진 일정 일 정 2010년 9월 2010년 10월 2010년 11월 2010년 12월 연구수행 범위 및 추진방법 연구 수행계획 수립 분야별 연구진 확정 자문위원회 구성 정보보안 관련 보고서 및 자료 분석 국내외 정보보안 자격제도별 특징, 장단점 분석 공공기관 발간 정보보안 관련 보고서 분석 직무분석 공공기관 및 정보보호 전문기업 전문가 대상 의견 수렴 정보보안 직무분석 관련자료 분석 직무흐름도 및 직무분석표 작성 자문회의를 통한 직무분석 내용 검토 설문내용 개발 및 검토 설문내용 개발 설문내용에 대한 자문위원 의견 수렴 설문조사 실시 및 결과 분석 설문 대상자 선정 및 설문조사 진행 설문 결과 분석 모의시험 출제기준 설정 필기, 실기시험 과목 및 출제범위 설정 모의시험 출제위원 선정 모의시험 실시 모의시험 실시 대상자 선정 및 모의시험 시행 모의시험 결과분석 모의시험 결과 분석 모의시험 결과를 통한 보완사항 도출 최종보고서 작성 최종보고서 초안 작성 및 검토 최종보고서 확정, 인쇄 및 보고

27 제2장 정보보안 기사 산업기사 종목 신설 배경

28 2.1 정보보안 기사 산업기사 종목 신설의 필요성 정보보안 산업은 해킹, 바이러스 등 시스템을 파괴하는 사이버 테러로부터 정보시스템 을 안전하게 보호하는 역할을 수행한다. 정보보안 자격증은 법적인 자격제도를 통하여 전문 기능 인력을 양성하고, 정보보안 자격을 소유한 자를 대상으로 국가 기간망 보호 를 담당하는 각종 CERT(침해사고 대응 팀) 및 공공기관, 보안 분야 기업 등에 근무케 하여 사이버 위협으로부터 범국가적인 대응체계를 마련할 수 있고, 다양한 공격의 유 형에 따라 발생되는 보안 사고를 줄일 수 있다. 국가의 발전을 위해서는 지식정보사회의 안전을 보장하는 정보보안 산업의 발전이 우 선적으로 논의되어야 하며, 실제 IT를 비롯한 전 세계 모든 산업분야에서 보안에 대한 투자는 필수적으로 고려되고 있는 상황이다. 이를 고려하면 정보보안 산업은 IT 선진 국으로 발돋움하기 위한 필수적인 산업이며, 정보보안 산업의 국제경쟁력 제고를 위하 여 전문 기술 인력의 체계적인 양성이 필요하다. 정보보안 산업의 국제 경쟁력을 국제 화하기 위해서는 구제 수준의 자격 및 인증 제도가 필요하며 시스템, 네트워크, 어플리 케이션 등의 기술적 보안 및 관련법을 활용한 정책 수립 등의 활동을 위한 기술 인력 이 필요하다. 자격의 법제화를 통한 혜택부여는 열약한 근무환경을 갖고 있는 보안 직 종의 기피현상을 극복하기 위한 방안이 될 것이다. IT 설비의 급속한 발전에 따라 관련 기술 및 장비가 첨단화 되어가고 있으나, 이에 따 른 역기능으로 해킹기법 및 악성코드의 형태도 빠르게 변화하고 있다. 그리고 보안 사 고는 다른 산업에 비해 재산, 생산성 저하에 큰 영향을 미치게 된다. 특히, 지난 2003 년 1.25 대란과 작년에 발생한 7.7 DDoS 사이버 테러 등과 같은 국가 전산망이 위협 받은 사례는 사회적 혼란과 큰 재산손실을 야기하는 것을 보여준다. 따라서 이에 다른 전문지식이 필수적으로 요구된다. 국내 침해사고는 인터넷 망의 발달과 함께 매년 꾸준히 발생하고 있는 추세이다. 특히 웜 바이러스 신고 건수는 인터넷 망의 발달에 따라 매년 가파르게 상승하고 있다. 그림 2-1은 2010년 10월까지의 해킹사고 접수 처리건수 유형별 분류를 보여주고 있으며 표 2-1은 연도별 연간 침해사고 통계를 보여준다[1]. 침해사고가 주로 발생하는 곳은 고객정보 및 회사 내부 기밀 자료 등을 보과하고 있는 기업과 키로거 등을 이용한 프 라이버시 침해 등 개인을 대상으로 한 사건이 대다수를 차지한다. 보안 사건은 한 번 발생되면 재산상의 막대한 손실과 규모에 따라 국가 기간망 전체에 영향을 미치는 특 징을 가진다. 표 2-2는 피해 기관별 침해 사고 통계를 나타내고 있다[1]

29 그림 년 11월까지 해킹사고 접수, 처리건수 표 2-1. 연간 침해 사고 통계 (단위: 건) 구 분 2007년 2008년 2009년 ~ 2010년 11월 웜 바이러스 5,996 8,469 10,395 15,943 스팸릴레이 11,668 6,490 10,148 4,832 피싱경유지 1,095 1, 단순침입시도 4,316 3,175 2,743 3,746 기타해킹 2,360 2,908 3,031 2,754 홈페이지변조 2,293 2,204 4,320 2,798 총계 21,732 15,940 21,230 30,931 표 2-2. 피해 기관별 침해사고 통계 (단위: 건) 구 분 2007년 2008년 2009년 ~ 2010년 11월 기업 3,039 3,344 4,185 5,164 대학 1, 비영리 연구소 네트워크 기타(개인) 17,161 11,818 16,206 9,410 총계 21,732 15,940 21,230 14,988 업체의 정보보안 전공 인력은 2009년 기준으로 약 7%로, 비전공 또는 유사학과의 인

30 력이 훨씬 많은 비중을 차지하고 있는 실정이다. 정보보안 분야는 프로그래밍 언어, 시 스템 구조, 네트워크 구조 등과 같은 전문적인 IT 지식을 바탕으로 새롭게 하는 내용 이므로 신입을 전문적인 인력으로 키우기 위해서는 방대한 양의 재교육과 추가적인 학 습이 필요하다. 이에 따라 신입을 채용한 업체에서 많은 어려움을 겪고 있는 것이 현 실이다. 국내 국가 보안 자격증의 부재로, 동종의 국제 자격증을 우대요건으로 내걸고 있는 것이 업계의 현실이다. 그림 2-2는 전공별 정보보안 인력 현황을 보여준다[2]. 따라서 해킹 및 침해 사고를 예방하기 위해서는 전문지식이 필수적으로 요구되며 국가 기술자격 정보보안 자격제도 도입이 필요하다. 그림 2-2. 전공별 인력 현황 (단위: 명) 2.2 정보보안 기사 산업기사 관련 국내외 동향 국내 동향 국내 정보보안 자격증은 민간자격에 그치고 있으며, 정보보호전문가 자격만이 국가 공 인을 획득하고 있는 실정이다. 이 또한 민간자격의 한계로 여겨지는 공신력 저하 및 인센티브 부족 등으로 동종의 국제 자격증이 선호되고 있는 추세이다. 또한, 악의적인 의도를 품고 있는 일부 언더그라운드 해커 등 숨어있는 보안 전문가를 양지를 끌어내 기 위한 적절한 검증 제도로서의 역할을 하지 못하는 것이 현실이다. 현재 정보보안 전문기업은 물론이고, 관련 IT 업체, 회계법인 등에서도 해외 보안자격증을 우대하는 풍조가 조성되어, 심각한 외화 낭비 및 국내 우수 인력의 해외 유출이 가속화되고 있 다. 공가공인 민간자격인 정보보호전문가(SIS: Specialist for Information Security) 자격 제도는 한국인터넷진흥원(KISA)이 주관하는 국내의 대표적인 정보보호 분야 국가공인 자격 프로그램이다. SIS 자격제도는 1급과 2급으로 나누어 자격을 부여하는데 2급에 이어 1급도 2005년 7월 국가공인을 획득하였다. 1급의 경우 정보보호와 관련된 보안 정책의 수립, 위험분석 및 대책 수립, 정보보호 지침서 개발, 관련 법규 검토와 국제적

31 표준안에 대한 지식 및 적용, 보안 감리 및 평가 등을 검정하며, 2급은 시스템, 네트워 크, 인터넷 등의 활용기술을 갖추고 정책의 구현, 보안 시스템의 운영 및 모니터링, 정 보보호 교육 및 훈련 등의 업무를 담당할 수 있도록 정보보호에 대한 실무적인 이해능 력을 검정한다. 1,2급 자격을 획득하기 위해서는 모두 시스템 보안, 네트워크 보안, 어 플리케이션 보안, 정보보호론 등 4개 과목으로 구성된 1차 필기시험과 정보보호와 관 련된 단답형, 서술형, 실무형 문제로 구성된 2차 실기시험을 거쳐야 한다. 그림 2-3. SIS 자격시험 응시생 및 합격자 수 (단위: 명) 인터넷보안전문가 자격제도는 한국정보통신자격협회에서 시행하고 있으며, 1급과 2급 으로 구분하여 보안설정, 보안분석, 해킹방지, 서버복구 등을 통하여 서버를 보호하고 서버에 대한 해킹에 효과적으로 대처하기 위한 인터넷 보안 관련 기술력을 검정한다. 자격시험은 정보보호개론, 운영체제, 네트워크, 보안 등으로 구성된 필기시험과 시스템 보안관리, 침해분석, 방화벽 구축, 침해사례 분석 등의 실기시험으로 구성된다. 정보보안관리사는 정보통신컴퓨터자격관리협회에서 시행하고 있으며 통신망에서 발생 되는 각종 정보누출, 도청, 정보변조 등의 공격과 시스템에서 발생되는 해킹, 바이러스 등의 다양한 침해에 대비하여 인터넷과 전자상거래에서 개인정보나 거래정보에 대한 안전하고 신뢰성있는 전달을 담보하기 위한 능력을 검정한다. 또한 한국해킹보안협회가 주관하는 해킹보안전문가 자격은 1급~3급, 주니어 등급으로 구분하여 시행하고 있으며, 등급에 따라 해킹과 보안에 대한 올바른 윤리 및 기본지식 은 물론 깊이 있는 실무 및 전문지식으로 구성된 내용을 필기시험과 실기시험으로 나 누어 검정하고 있다. 공가공인 민간자격인 정보보호전문가 자격제도의 합격률은 8.7%밖에 되지 않는 점은 문제점으로 지적되고 있는 반면 국가 공인을 가지지 못한 자격증들은 정보보호전문가 보다 높은 합격률을 기록하고 있다. 하지만 이러한 민간 자격증은 시험 방식이 필기

32 및 4지선다 객관식이기 때문에 공신력이 약하다. 이로 인해 국내 보안 업계에서 동종 의 국제 자격증을 우대요건으로 내걸고 있는 것이 현실이다 해외 동향 해외 정보보안 자격증은 국내의 민간자격의 공신력 저하로 인해 정보보안 전문기업과 관련 IT 업체 등에서 우대되고 있는 실정이다. 국내에서 많은 사람들이 획득하고 있는 해외 정보보안 자격으로는 정보시스템감사사(Certified Information System Auditor) 와 정보시스템보안전문가(Certified Information Security Professional) 등이 있다. 정보시스템감사사는 미국 국방부(이하 DoD)에서 승인한 자격증 중의 하나로, 이는 곧 DoD가 CISA 자격증을 신뢰한다는 것을 의미한다. CISA는 모든 산업 분야에서 정보시 스템(IS) 거버넌스, 보증 및 보안 전문가들을 위한 자격증으로서 세계적으로 인정받고 있다. CISA 자격증을 취득한다는 것은 자격을 갖춘 IS 감사, 통제 및 보안 전문가가 된다는 것을 의미한다. CISA는 기업의 IT와 비즈니스 시스템이 적절하게 통제, 모니터 링, 평가되고 있다는 것을 보증하기 위해 전 세계적으로 인정하는 표준과 지침에 따라 검토할 수 있는 능력을 갖추고 있다. CISA 자격증을 통해 고용주들은 자격증을 취득한 직원들의 성공적인 업무수행에 필요한 교육과 경험을 보유하고 있다. 정보시스템감사 사 자격증의 전체취득자는 약 73,000명으로 현재까지 국내에서 22,379명이 응시를 하 였으며 합격자는 9,163명으로 기록된다. [11] CISA 자격증 시험은 정보자산 보호(Protection of Information Assets), 시스템 및 인 프라 수명주기 관리(System and Infrastructure Lifecycle Management) 등 6개 영역 에 걸쳐 출제되며 4시간 동안 4지선다형의 200문제를 풀고 450점 이상을 획득하면 합 격할 수 있다. CISSP(Certified Information systems Security Professional)는 국제공인정보시스템 보안전문가의 약칭으로, 정보보호전문가 개발에 관심이 있는 국제 조직들이 1989년에 컨소시엄을 형성하여 설립한 (ISC) 가 발급, 관리하는 국제정보 시스템 보안 전문가 자격증이다. 현재 국제적으로 공인되는 정보보호에 관한 자격증으로 2000년도에 국내 에 처음으로 도입된 자격증이다. 현재 전 세계적으로 널리 확산되고 있는 자격증이다. 정보시스템보안전문가 자격증의 전체취득자는 66,015명으로 기록되며 현재까지 국내 취득자는 2,459명으로 기록된다.[12] CISSP 자격증 시험은 접근제어시스템 및 방법론(Access Control Systems and Methodology), 보안구조 및 모델(Security Architecture and Models), 암호학 (Cryptography) 등 10개 영역에 걸쳐서 평가하며 시험 대상 10개 영역에서 5년 이상 의 근무경력을 만족할 경우에만 응시할 수 있다

33 2.3 정보보안 기사 산업기사 관련 문헌 현황 "2010 국가정보보호 백서"[3]는 2010년 4월에 한국인터넷진흥원을 통해 배포되었다. 구성은 4개의 독립된 편과 특집 및 부록으로 이루어져 있으며 정보보호 10대 이슈를 별도로 수록하여 최신 동향도 정리하고 있다. m 위 보고서는 정보보호 활동을 보다 자세히 소개하여 독자들이 우리나라의 정보보호 활동 현황을 파악하는데 어려움이 없도록 하고, 정보보호 원천기술 개발 현황을 별도 의 장으로 편성하여 자세히 소개함으로써 우리나라의 정보보호 기술 현황을 구체적으 로 살펴볼 수 있도록 한다. m 위 보고서는 최근 정보보호 관련 사건의 주요 내용을 설명하고 교훈을 우리에게 주 는 살펴봄으로써 현재의 정보보호 관련 문제점을 개선하는데 도움이 될 수 있도록 한 다. "2009 국내 지식정보보안 산업 시장 및 동향 조사"[2] 보고서는 한국인터넷진흥원에서 2009년 12월에 발간한 것이다. 이 보고서는 2009년 지식정보보안 산업의 시장을 조사 하고 동향을 분석한 것을 바탕으로 향후 전망을 예측하는 것이 주목적으로 매년 발간 되고 있다. m 위 보고서는 지식정보보안 산업 관련 기업의 일반적 특성, 시장 동향을 주요 내용을 기반으로 하여 지식정보보안 산업을 정책적으로 육성할 수 있는 실현가능한 방안을 모 색할 수 있는 방안을 제시한다. m 위 보고서는 지식정보보안 관련 학계, 연구계의 기초 자료를 제공한다. m 위 보고서는 연관 산업 및 관련 기업의 비전과 전략을 설정하는데 있어 기반이 되 는 정보를 제공할 수 있다. "IT 산업의 직업변동연구"[4] 보고서는 한국고용정보원에서 2008년 12월에 발간하였 다. 보고서는 방송, 통신, 정보보호, 지능로봇 등 IT 관련 산업 중에서도 기술변화 속 도가 가장 빠른 네 분야에서 현존하는 직업들의 변화와 향후 유망하게 대두될 직업에 대하여 전망하고 있다. m 위 보고서는 교육개발원, 방송통신위원회, 문화체육부 등의 관련 기관의 통계 DB 및 고용보험 DB를 분석 등을 통해 시장규모와 인력수급 현황에 대한 신빙성 있는 정 보를 제공하고 있다

34 m 위 보고서는 직업변화 유발 요인, 직무내용의 변화, 신생 직업변화 유발 요인, 직무 내용의 변화, 신생 직업전망 등의 정보는 현장 관찰 및 전문가 심층 인터뷰, 그리고 델 파이 분석 등의 질적 방법을 사용하여 결과를 검증함으로써 신빙성을 제공한다. "유비쿼터스 환경에서의 정보보호 정책 방향"[5] 보고서는 한국정보보호진흥원, 지식경 제부, 정보통신연구진흥원이 2008년 3월에 발간하였다. 보고서는 정보보안 관련 국내 외 직무분석에 대한 내용을 조사하였다. m 위 보고서는 정보보호 연구, 개발의 활성화를 위한 정보보호 인력수급 실태조사 및 정보보호 분야의 직무체계 개발에 대한 정책적 방향을 제시한다. m 위 보고서는 정보보호 분야 직무체계를 전략 및 기획, 마케팅 및 영업, 연구개발 및 구현, 교육 및 훈련, 관리 및 운영, 사고 대응, 평가 및 인증과 같이 7개 직무군으로 분 류하고 이를 다시 17개의 직무로 정의하고 있다. 직무군 직 무 직무별 상세정의 1. 전략 및 기획 2. 마케 팅 및 영 업 위험 분석 정보보호 정책 및 계획 수립 개인 정보보호 관리 마케팅 매니지먼트 기술 영업 표 2-3. 정보보호 분야 직무체계 정보자산에 피해를 끼칠 수 있는 보안 위협을 확인 하고, 정보자산의 취약성에 따라 발생할 수 있는 위 험의 정도와 피해의 규모를 평가하고, 이를 감소시킬 수 있는 통제 방법을 도출하는 직무 정보보호 정책을 수립하고, 정보보호 정책을 구현하 기 위한 방법을 상세화하는 직무 개인 프라이버시 보호를 위한 정책 개발 및 구현을 책임지며, 개인정보보호 관련 법/제도의 준수를 위한 업무를 수행하는 직무 정보보호 시장분석을 통해 신규 시장/고객을 발굴하 고, 고객에 맞는 제품(서비스, 시스템, 솔루션)을 기 획하는 직무 영업활동을 통해 잠재고객을 발굴, 관리하고, 제안서 를 작성, 발표하거나 BMT 및 입찰 등에 참여하며, 고객의 요구를 분석하여 최적의 정보보호 시스템 및 솔루션을 제시함으로서, 해당 프로젝트를 수주, 계약 하며, 사후 관리까지를 수행하는 직무 3. 연구 개발 및 구현 연구개발 정보보호 시스템 및 솔루션의 연구개발 및 설계를 수행하는 직무로서, 암호 및 인증, 네트워크 보안, 서 비스 보안 등의 세부 분야에서 기술을 개발하고, 정 보보호 표준화를 담당하며, 정보보호 시스템 및 솔루 션을 설계 및 개발하는 업무를 수행

35 직무군 직 무 직무별 상세정의 4. 교육 및 훈련 5. 관리 및 운영 6. 사고 대응 7. 평가 및 인증 구현 일반인 및 사용자 교육 전문가 교육 프로젝트 관리 정보인프라 보안 관리 물리적 보안 모니터링 및 대응 디지털 포렌식 업무 지속성 관리 평가인증 및 품질보 증 개발된 정보보호 시스템 및 솔루션의 커스터마이즈 및 기술지원을 수행하며, 포괄적으로 시스템을 고객 에게 이전하여 설치/구현하는 업무를 수행하면서 정 보보호시스템의 안정적인 운영을 지원하는 직무 정보보호에 대한 사용자의 인식교육은 물론 설치, 이 전된 정보보호 솔루션 및 시스템에 대한 사용자 교 육, 기초기술교육 등 실무 중심적이나 기술적으로 난 이도가 높지 않은 기초 교육을 실시하는 직무 정보보호 솔루션 및 시스템에 개발과 관련한 개발자 교육, 전문 사용자 교육, 전문 보안기술교육 등 정보 보호 기술 분야별 전문교육을 정규 및 민간 교육 기 관, 조직자체의 교육 프로그램 등에서 수행하는 직무 정보보호 프로젝트의 계획, 수행 및 진도관리, 인력 관리, 기타 필요사항들을 검토 실시하며, 프로젝트 수 행시에 수반되는 전주기적인 보안관리를 수행하는 직무 정보자산에 대한 침해사고 방지 및 예방, 대응조치, 환경적응, 수정보완 등을 통해, 고장 없는 최적의 상 태로 유지하고, 사용자의 만족을 확보할 수 있도록 운용 유지 보수하는 직무 보안시설 및 출입보안체계 등의 물리적 보안시스템 의 구축, 개선, 운영 등은 물론 허가되지 않은 사용 자의 출입을 통제 관리하는 업무를 수행하는 직무 정보자산에 대한 위협요소를 실시간 모니터링하고, 모의 해킹시험을 수행해 봄으로써 시스템의 취약점 을 분석하고, 해킹이나 웜/바이러스 발생 시 즉각 대 응하는 업무를 수행하는 직무 위협분석 요인에 대한 증거를 수집하고, 위협을 발생 시켰던 증거를 복구 추적할 뿐만 아니라, 증거확보를 위한 시스템 및 솔루션의 운영 관리에 대한 책임을 지는 직무 업무활동에 방해요소를 완화시키며 주요 실패 및 재 해의 영향으로부터 주요 사업활동을 보호하며 각종 재해/재난의 발생을 대비하기 위하여 핵심 시스템의 가용성과 신뢰성을 회복하고 업무의 지속성을 유지 하기 위한 일련의 계획과 절차를 수립하고 실행하는 업무를 수행 정보시스템의 보안 관련 안전성 및 신뢰성 확보를 위해 정보 및 정보시스템의 가용성, 무결성, 비밀성, 부인방지, 품질, 인증 등을 보장하여 정보 및 정보시 스템을 보호하고 방어하는 직무로써, 정보시스템 및 관리체계에 대한 인증, 평가, 품질보증을 위한 업무 를 수행

36 직무군 직 무 직무별 상세정의 정보시스템 사 보안감 독립성을 확보한 감사인이 정보시스템의 안전성, 효 율성, 효과성을 향상시킬 수 있도록 필요한 증거를 종합적이고 체계적으로 수집 평가하여 객관적으로 관 계자에게 조언 권고하는 직무 2.4 정보보안 기사 산업기사 관련 기술의 개념 정보보안은 지식정보사회의 필수불가결한 요소가 되었으며, 실제 IT를 비롯한 전 세계 모든 산업분야에서 보안에 대한 투자는 필수적으로 고려되고 있는 상황이다. 정보보안 의 목적은 내부의 정보자원들이 다음과 같은 상태를 유지할 수 있도록 하는 것이다 [6]. m 정보의 가용성 : 내부의 정보자원에 대해 허가된 사용자에게만 사용하도록 허가 하 고, 불법적인 접근은 못하게 함 m 정보의 비밀성 : 내부의 정보처리 과정을 인가되지 않은 사용자가 보거나 확인할 수 없어야 함. m 정보의 무결성 : 내부 정보가 인가된 사용자 이외에는 변경이 불가능하게 함. 정보보안은 현재의 거의 모든 생활영역에 적용되고 있다. 금융업과 서비스업은 개인정 보를 다루고 있기 때문에 정보보안이 중요한 분야이며, 최근에 스마트 폰의 등장으로 개인정보보안이 더욱 중요 시 되고 있는 실정이다. 스마트 폰을 통해 금융 거래가 많 아지고 있으며 다양한 앱을 이용하게 되어 개인정보가 외부로 유출되는 상황이 많아지 고 있다. 기업의 경우 중요 영업비밀 및 기술정보 유출은 기업에 막대한 피해를 주게 된다. 이를 보호하기 위해 기업은 정보보안 컨설팅을 통해 기업에 맞는 정보보안 수준 을 유지해야 한다. 국가기관의 정보 유출은 한 국가의 경제와 신뢰도에 막대한 손실을 초래할 수 있으며 심하면 국가의 안보가 위협당할 수 있다. 정보보안에 대한 방비책이 미흡하다면 개인 뿐 아니라 국가 전체에 심각한 피해를 줄 수가 있다. 지식경제부는 2008년 보안산업의 트랜드로 자리 잡은 광역화, 통합화, 융합화의 사회 적 요구를 수용하기 위해 기존의 정보보호 산업을 지식정보보안 산업'으로 새롭게 정 의하고, 지식정보보안 산업을 기술의 적용영역, 제품의 특성에 따라 그림 2-4와 같이 정보보안, 물리보안, 융합보안으로 세분화하였다. 그 중 정보보안은 컴퓨터 또는 네트 워크 상의 정보의 훼손, 변조, 유출 등을 방지하기 위한 보안제품 및 서비스와 관련된 지식정보보안 분야로서 정보보안 기사, 산업기사의 직무영역과 가장 연관성이 높다

37 해킹/침입탐지 개인정보유출방지 컴퓨터 Forensic 등 정보보안(클린인터넷경제) 영상감시 바이오인식 무인전자경비 등 물리보안(안전안심생활) 운송보안(자동차/항공등) 조선/의료/건설/국방 보안 방범보안로봇 등 융합보안(안전성강화) 그림 2-4. 지식정보보안 산업 영역 정보보안을 하는데 있어서 필요한 기술은 시스템 보안, 네트워크 보안, 어플리케이션 보안으로 구분할 수 있다[7, 8, 9]. m 시스템 보안에 대한 기술은 운영체제의 목적과 운영체제의 기능에 대한 이해가 요 구된다. 운영체제의 기능은 프로그램 수행, 입출력 동작, 파일 시스템 조작, 통신, 오류 탐지, 계정 관리에 대한 지식이다. m 네트워크 보안에 대한 기술은 OSI 7 Layer의 의미와 역할 그리고 각 계층에서 동 작하는 도구와 프로토콜에 대해서 이해가 요구된다. 네트워크 공격에 대한 예방책을 숙지하고 침해사고 발생 시 적절한 조치에 대한 지식이 요구된다. m 어플리케이션 보안에 대한 기술은 OSI 7 Layer에서 동작하는 어플리케이션들에 대 한 지식을 요구한다. 외부에 가장 많이 노출이 되는 부분으로 웹 서비스 보안, FTP 서 비스 보안, DB 보안, SMTP 보안, DNS 보안, 전자상거래 보안 등에 대한 전문적인 지 식을 필요로 한다. 2.5 전문 인력으로서의 역할 정보보안 전문가는 시스템, 네트워크, 응용 서비스의 동작과정 및 운영관리 등에 대한 이 론과 실무 능력을 기초로 하고 각 분야의 보안취약점과 대응능력을 보유해야 하는 특성을 지니고 있다. 표 2-4는 정보보안 전문가가 종사할 수 있는 직업과 해당 직업에서 수행하 는 직무를 나타내고 있다

38 표 2-4. 정보보안 관련 직종 직 업 명 설 명 컴퓨터보안전문가 컴퓨터시스템 설계 및 분석가 네트워크시스템 개발자 시스템소프트웨어 개발자 응용소프트웨어 개발자 암호알고리즘 연구원 인터넷데이터센터(IDC)운용원 정보보안 컨설턴트 정보보안 프로그래머 정보시스템감리사 Chief Security Strategist Security Architect 해커의 해킹으로부터 온라인, 오프라인 상의 보안을 유지 하기 위하여 필요한 보안프로그램을 개발하고, 보안 상태 를 점검하며 보안을 위한 다각적인 해결책을 제시하는 자 컴퓨터 시스템의 입력 및 출력자료의 형식, 자료처리 절차 와 논리, 자료접근 방법 및 데이터베이스의 특징과 형식 등 컴퓨터시스템의 전반요소들을 구체적으로 결정 및 설 계하고 분석하는 자 소프트웨어, 하드웨어 및 네트워크 장비에 관한 지식을 이 용하여 네트워크를 개발, 기획하고 설계 및 시험 등의 업 무를 수행하는 자 컴퓨터 시스템의 자체기능 수행명령체계인 시스템소프트 웨어를 연구 및 개발하고 설계하며, 이와 관련한 프로그램 을 작성하는 업무를 수행하는 자 기업이나 개인 등이 사용할 수 있는 워드프로세서, 회계 관리, 데이터베이스, 통계처리, 문서결재 프로그램 등 각종 소프트웨어를 개발하고 컴퓨터시스템의 사용 환경에 따라 소프트웨어의 환경을 변경하는 자 국가기관 간에 사용되는 각종 문서나 정보의 보안을 유지 하기 위해 필요한 암호의 알고리듬을 수학적 원리와 이론 을 토대로 개발하는 자 IDC(인터넷데이터센터)운용에 필요한 각종 서버에 대한 관리 및 DNS 등록 등의 업무를 수행하는 자 조직의 정보 보호의 수준과 취약점 및 핵심 자원을 분석 하고, 고객의 요구수준에 입각하여 최적의 해결책을 제안 하는 자 보안이 필요한 분야에서 요구되는 소프트웨어 프로그램을 개발함으로써 사고를 미연에 방지하는 자 정보시스템 구축 및 운영 과정에서의 위험요소를 사전에 최소화시키고, 정보시스템의 효과성, 효율성 및 안전성을 객관적인 준거에 입각하여 종합적으로 판단하여 평가 조 직에 최적으로 부합될 수 있는 미래 지향적인 정보시스템 의 구축 방안을 제시하고 자문하는 자 회사 내 최고정보보안 관리자로 정보보안 아키텍처와 보 안정책 수립 운용 계획에 대해 경영진에게 직접 보고하며 보안 아키텍처 모델을 결정, 개발하고 인적자원과 커뮤니 케이션, 법적 설비운영을 감시하고 조절하는 자 시스템 전반적인 보안설계를 맡으며, IT 그룹 뿐 아니라 비즈니스 그룹과도 함께 작업을 수행하는 자

39 Security Engineer Developer 직 업 명 설 명 Director, Information Security Manager, Information Security 예상하지 못한 시나리오나 민감한 보안문제를 발견할 수 있는 전문가로서 Linux와 Unix, Window의 로그파일을 분석하고, 각종 정보보안 시스템을 개발하며, 유지 관리하 는 자 기업이나 국가의 보안주제와 연관된 정보의 운영과 분석 을 위한 기술적인 솔루션을 개발하며 침입분석이나 시스 템 취약성, 네트워크 보안, 진행 중인 분석 툴, 데이터 시 각화 기술 등을 주 업무를 담당하는 자 고객 네트워크의 보안 이벤트를 조사하고, 취약점과 공격 트렌드를 분석하며, 보안 스태프 교육과 위협관리, 취약점 관리, 포렌식 업무를 담당하는 자 취약성 평가를 받은 곳이나 도덕적 해킹이 우려되는 곳, 보안치료가 필요한 보안 프로젝트를 조정하는 업무를 수 행하는 자 Threat Analyst Security Researcher Disaster Recovery Coordinator Forensics Engineer Security Consultant 문서나 보고서 등에 대한 정보보안 모니터링 프레임워크 를 개발하고 유지하며, 방화벽, 침입감지 센서, 안티 바이 러스 시스템 등의 보안 인프라스트럭처 요소를 모니터링 하는 자 리버스 엔지니어링에 관계된 취약성을 연구하며 멀웨어를 분석하고, 프로토콜 분석과 디버깅을 수행하는 자 피해를 입은 시스템이나 솔루션을 복구하며, 피해가 발생 했을 때 필요한 요구를 수행하는 자 지적 재산 범죄, 부적절한 이미지, 다른 사람의 이메일이 나 통신채널 오용, 조직의 정책 위반 등에 관한 컴퓨터 포 렌식을 수행하고, 조사 연구하는 자. 기업에게 보안 컨설팅을 담당하며 폭넓은 전문지식과 기 술적 문제해결 능력, 응용 아키텍처와 플랫폼에 대한 전반 적인 자문역할을 수행하는 자

40 2.6 정보보안 기사 산업기사 등급 및 직무 내역 종목 등급 및 직무의 정의 가. 등급 정보보안 업무는 공공 및 민간기업 등이 보유하고 있는 IT 기반시설과 정보가 안전하 게 보호될 수 있도록 시스템 보안, 네트워크 보안, 어플리케이션 보안, 정보보안 이론 등에 대한 전문적인 지식과 함께 정보보안 H/W, S/W 보안 도구들을 활용할 수 있는 실무능력을 필요로 하고 있다. 또한 정보보안 업무를 효과적으로 수행하기 위해서는 정보보안과 관련된 국내외 법률과 가이드라인 제정 현황, 그리고 보안위협 및 대응기 술에 대한 최신동향에 대한 파악도 필요하다. 본 연구에서는 시스템 및 네트워크에 대한 이론과 실무 능력을 기반으로 하고 정보보 안 시스템 및 솔루션 개발, 서버/네트워크장비/정보보안 장비에 대한 보안관리 및 운영, 조직의 정보보안 정책관리 업무에 대한 전반적인 이론과 실무 능력을 보유하고 IT 기 반시설 및 정보 자산 보호를 위한 정책 수립과 운영, 침해사고에 대한 대응 업무를 수 행할 수 있는 정보보안 기사와 정보보안 기사의 보조 업무를 수행할 수 있는 정보보안 산업기사 등급을 분리하여 직무를 분석하였다. m 직무 범위: 정보보안 기사는 시스템 및 솔루션 개발, 운영 및 관리, 컨설팅 등의 전 문 이론과 실무 능력을 기반으로 하여 IT 기반시설 및 정보에 대한 체계적인 보안업무 를 수행할 수 있는 수준이며, 정보보안 산업기사는 정보보안 기사의 업무를 보조할 수 있는 기초 이론과 실무 능력을 수행하는 수준이다. m 직무 수준: 컴퓨터 시스템 구조 및 활용, 네트워크 이론 및 관련 장비 운영기술, 소 프트웨어 개발 및 시험 등과 같은 중요 IT 분야에 인증, 암호화, 접근통제, 침입차단 및 방지, 포렌식, 정보보안 법률과 제도 등 정보보안 이론과 실무 능력이 추가로 요구 되는 정보보안 직무의 특성 상 정보보안 기사는 정보처리기사, 전자계산기조직응용기 사와 정보관리기술사, 전자계산조직응용기술사의 중간 수준, 정보보안 산업기사는 정보 처리산업기사와 정보처리기사, 전자계산기조직응용기사의 중간 수준 직무에 해당된다. m 직무 분야: IT 기반시설 및 정보자산 등을 안전하게 보호하기 위하여 정보보안 기 사와 정보보안 산업기사가 수행하는 직무는 시스템 및 네트워크에 대한 이론과 실무 능력을 기반으로 하고 정보보안 시스템 및 솔루션 개발, 서버/네트워크장비/정보보안 장비에 대한 보안관리 및 운영, 조직의 정보보안 정책이 집행되도록 관리하는 업무들 로 구성된다

41 2.6.2 직무 내용 정보보안 기사, 정보보안 산업기사의 주요 직무 내용은 표 2-5와 같다. 정보보안 시스 템 및 솔루션 개발, 정보보안 시스템 운영 및 관리는 정보보안 기사, 산업기사의 공통 직무이며 정보보안 정책관리 및 법규 이해는 정보보안 기사에만 해당되는 직무이다. 표 2-5. 정보보안 기사, 정보보안 산업기사의 주요 직무 내용 분 야 정보보안 시스템 및 솔루션 개발 분야 정보보안 시스템 운영 및 관리 분 야 내 용 보안기능 요구사항 수집, 작성 보증 요구사항 수집, 작성 시스템 개발 및 동작환경 특성 분석 보안 요구사항 명세서 작성 요소 보안기술 결정 보안 아키텍처 설계 모듈 단위 기능정의 및 설계 설계서 작성 설계서에 대한 기술 검토 개발환경 구축 및 코딩 구현 관련 문서 작성 모듈 단위 시험 통합 시험 버그 수정 및 보완 개발 시험 결과보고서 작성 조직의 보안목표 파악 조직의 IT환경 특징 및 위협 파악 보안정책 작성 및 적용 보안정책 이력 관리 운영체제별 보안특성 파악 프로토콜 특징 및 취약점 파악 서비스별 보안특성 파악 보안장비 및 네트워크 장비 보안특성 파악 관리대상 시스템 및 네트워크 구조 파악 운영체제 및 버전별 취약점 점검, 보완 서비스 및 버전별 취약점 점검, 보완 보안장비 및 네트워크 장비 취약점 점검, 보완 취약점 점검 및 보완 사항 이력 관리 운영체제별 로그정보 점검 서비스별 로그정보 점검 보안장비 및 네트워크 장비 로그정보 점검 로그정보 통합 및 연관성 분석 데이터 백업, 증거 수집 및 침입자 추적

42 분 야 내 용 정보보안 정책관리 및 법규 이해 (정보보안 기사에 한함) IT현황 및 자산 파악 조작의 요구사항 파악 관련 법령 검토 내 외부 위협 분석 자산별 취약점 분석 취약점 점검 보고서 작성 정보보호 정책 수립 및 적용 시험 및 검증 정보보호 대책 구현 정보보호정책 교육 정보보호 체계 재검토 사후 조치 및 모니터링 내부 감사 2.7 정보보안 기사 산업기사 관련 교육훈련기관 현황 및 검정응시 예상인원 교육훈련기관 현황 한국인터넷진흥원에서 실시한 2008 정보보호 실태조사 에 따르면, 2008년 기준 정보 보호 전담조직을 설치한 기업은 총 36,802개로 조사되었다. 이는 정보보안 분야를 전 문적으로 담당하는 공공기관(한국인터넷진흥원 등), 보안기술 연구센터 운영 및 관련 업무를 다루는 기관(ETRI 지식정보보안연구부 등) 및 대기업(삼성SDS 보안컨설팅사 업부 등), 회계법인/로펌(언스트앤영 IT리스크 및 보안 부서), 금융기관(금융결제원 금 융정보보호센터 등), 군 경찰(경찰청 사이버테러대응센터 등), 포털/온라인 게임 업체 (NHN 보안정책팀/보안기술팀 등), 보안전문 사업 부서를 설치해 놓은 곳 등 기타 기 관/기업들 의 정보보안 부서들을 총체적으로 집계한 숫자로, 이로 미루어보았을 때, 자 격 취득자의 수요는 대략 10,000명 ~ 20,000명 이상을 훨씬 상회할 것으로 판단된다 [13]. 정보보안 전담조직을 공식적으로 설치/운영하는 기업은 총 36,802개이며, 정보보호 책 임자(CSO)를 명시적으로 임명한 기업은 총 35,462개로 조사되었다. 기업에 따라 다소 차이는 있지만 일반 기업의 평균치인 3명을 기준으로 했을 때 적어도 약 110,406명 (36,802개 3명) 이상이 될 것으로 추정된다. (출처: 한국인터넷진흥원, 2008 정보 보호 실태조사(2008년))

43 또한, 법률에 의하여 지정되어 활동하고 있는 개인정보 관리책임자, ISMS(정보보호관 리체계인증)를 취득한 56개 기업과 안전진단 대상기업 250곳의 보안관련 담당자, 일반 기업의 정보보안 담당자, 정보보안 관련 학과 재학생 2,367명 중 잠재 응시자 등을 합 치면 자격 취득자의 수요는 더욱 늘어날 것으로 예상되고 있다[14]. 구 분 정보보안 종사인력 출 처 중소규모 전문기업 금융권 대기업(일부) 평균 약 44명(최대 500여명) 5748명 131개 44명 약 10여명 약 100여명 일반 기업 약 1 ~ 5명(평균 3) 표 2-6. 규모 및 직종별 종사인력 규모 한국인터넷진흥원, 2009 국내 지식정 보보안 산업 시장 및 동향 조사(2009 년) 보안뉴스, 국내 기업들의 보안투자 실 상과 문제점( ) 매년 1,000명 이상이 향후 5년 안에 자격을 취득할 것으로 예상되고, 특히 초기에는 많은 수의 인원이 해당 자격시험을 응시할 것으로 예측된다 정규 교육에 의한 인력양성 현재 정보보안과 관련된 정규 교육과정에서 3,540명의 인력이 육성되고 있다[3]. 표 년 정규 교육기관 정보보안 인력양성 현황 구 분 학 교 재학생(명) 전임교원수(명) 전문대학 대학교 15 2, 정규 대학원 합 계 36 3, 대학 정보보안동아리 지원을 통한 인력양성 한국인터넷진흥원에서는 2000년부터 현재까지 전국의 정보보안 동아리를 지원하는 사 업을 수행하고 있으며, 2010년 현재 기준 총 37개 대학의 40개 동아리 등에서 총 780 명이 활동하고 있다

44 표 2-8. 전국 정보보안 대학동아리 지원 현황(2010년) KUCIS(Korea University Clubs Information Security) 회원 동아리 가톨릭대학교 CAT-Security, 강원대학교 Neriff, 경남도립남해대학 넷시스, 경북대학교 정보보안연구회, 경원대학교 Defender, 고려대학교 KUICS, 국립경찰대 CRG, 단국대학교 Aegis, 대진대학교 DISC, 동명대학교 Think, 동서대학교 CNSL, 목포대학교 SecuMaster, 부경대학교 CERT-IS, 부산대학교 Keeper, 서울산업대학교 CSS, 서울여자대학교 SWING, 성균관대학교 시스템컨설턴트, 성균관대학교 HIT, 세종대학교 S.S.G, 숙명여자대학교 SISS, 순천향대학교 SecurityFirst, 순천향대학교 Hedgehog, 아주대학교 HaMer, 원광대학교 S.G.I, 인하대학교 IGRUS, 인하대학교 MOD777, 전남대학교 정보보호119, 전북대학교 IS, 조선대학교 Hacker Login, 중부대학교 S.C.P, 중앙대학교 ISSAC, 창원대학교 Casper, 충남대학교 Argos, 충북대학교 Pharos, 한국산업기술대학교 M.A, 한동대학교 G.H.O.S.T., 한서대학교 H.I.S.L, 한양대학교 ICEWALL, KAIST GoN 출처 : KUCIS(Korea University Clubs Information Security), 정부지원에 의한 인력양성 대학과 전문대학, 그리고 대학원 등 정규교육기관 외에도 정보보호 관련 인력을 양성 하기 위한 정부지원 인력양성 프로그램들이 다양하게 시행되고 있다. 대표적인 교육 프로그램으로는 지식경제부와 한국인터넷진흥원이 추진 중인 고급인력양성 프로그램으 로는 고용계약형 지식정보보안 석사과정과 핵심인력 양성과정 등이 있다. 고용계약형 지식정보보안 석사과정은 업계에서 요구하는 고급 석사인력을 양성하는 사 업으로 업체와 대학이 컨소시엄을 구성하여 학생을 모집, 선발하여 과정을 운영하고 있다. 이 사업은 2008년도 지식정보보안산업 진흥계획에 따라 2013년까지 기업수요에 맞는 지식정보보안 분야의 고급 석사인력 300명을 양성한다는 목표에 따라 추진되고 있으며 2009년 현재 고려대, 동국대, 아주대 등 3개 대학 4개 컨소시엄이 금융보안, 홈네트워크 보안 전문인력 50명을 양성 중에 있다. 지식정보보안 핵심인력 양성과정은 지식경제부가 중심이 되어 추진하고 있는 지식정보 보안산업 종합 진흥계획의 하나로 기업수요 맞춤형 지식정보보안 고급인력 2,000명을 양성하기 위해 추진하고 있는 사업이다. 한국인터넷진흥원에 지식정보보안 아카데미 (AKIS)'를 구축하고 기업의 수요가 많은 디지털 포렌식, 바이오 인식, RFID/USN 보 안, 지식정보보안 컨설턴트 등 교육수요는 많으나 높은 초기 투자비용 등으로 민간교 육기관이나 대학 등에서 수행하기 어려운 4개 분야를 선정하여 교육과정을 운영하고 있다. 그림 2-5는 2009년 한국인터넷진흥원에서 실시한 핵심인력 양성과정 운영현황 을 나타내고 있다

45 그림 2-5. 정부지원에 의한 정보보안 교육과정 민간 교육기관에 의한 인력양성 정보보안 분야 비전공자들은 특정 단기 과정 외에도 6개월 정도의 장기 과정을 통하여 전문지식 습득을 원하는 경향이 있으며, 정보보안 분야 전공자들은 주로 자격증과 관 련된 교육을 통하여 정규 교육기관에서 얻지 못하는 실용적인 교육을 원하는 것으로 파악되고 있다. 표 2-9. 정보보안 민간 교육기관 민간 교육기관(정보보안 분야 관련 강의 개설) 넷칼리지, 라이지움, 라카데미, 비트캠퍼스, 삼성SDS멀티캠퍼스, 디아이세미콘 교육센터, 쌍 용정보통신교육센터, 썬 교육센터, 시스원 교육센터, 아이티뱅크, 아이티뱅크멀티캠퍼 스, 캐드뱅크, 한국정보보호교육센터, 한국HP교육센터, KH정보교육원 - 이상 15개 민 간교육 기관 등 2.8 정보보안 기사 산업기사 관련 유사자격제도 현재 국가기술자격 중에서 정보보안 기사, 정보보안 산업기사와 관련된 유사자격은 없 다. 국내 민간자격 중에서 유사 자격이 존재하며 이 중 국가 공인을 가지는 자격은 정 보보호전문가 자격이 존재한다 유사 자격제도 현황 m 정보보호전문가 (SIS : Specialist for Information Security) 개 요 지식정보사회의 안전을 담당하게 될 정보보호전문가를 검정하는 제도이다. 정보보안

46 분야에서 대표적인 민간자격으로 2001년부터 시행되었으며 민간 자격 중 유일하게 국 가 공인을 획득하였다. 현재까지 5,710명이 응시를 하였으며 이 중 494명이 합격을 하 였다. 정보보호전문가의 합격률은 8.7%로 민간 자격 중에서 가장 낮은 합격률을 기록 하고 있다. 수행직무 [15] 1 정보보호전문가 1급 - 정보보호와 관련된 보안정책의 수립 - 위험분석 및 대책 수립 - 정보보안 지침서 개발 - 관련법규 검토, 국제적 표준안에 대한 지식 및 적용 - 보안 감리 및 평가 2 정보보호전문가 2급 - 수립된 보안 정책 구현 - 보안 시스템의 운영 및 모니터링 - 정보보호 교육 및 훈련 취득방법 1 주무부처 : 지식경제부 정보전자산업과 2 시 행 처 : 한국인터넷 진흥원 3 시험과목 - 필기 1. 시스템 보안 2. 네트워크 보안 3. 어플리케이션 보안 4. 정보보호론 - 실기 1. 정보보호 관련 단답형 문제 2. 정보보호 관련 서술형 문제 3. 정보보호 관련 실무형 문제 4 검정방법 - 필기 : 5지선다형 총 140문항(180분 - 휴식 시간 20분 포함) - 실기 : 단답형과 서술형, 2급 - 150분 / 1급 - 180분 5 합격기준 - 필기 : 과목별 40% 이상, 전체 평균 60% 이상. - 실기 : 전체평균 60% 이상

47 m 인터넷보안전문가 [16] 개 요 인터넷 보안전문가란 서버를 보호하고 보안설정, 보안분석, 해킹방지, 서버복구 등 서 버에 대한 해킹에 효과적으로 대처하고 정보를 보호할 수 있는 인터넷 보안 관련 기술 력에 대한 자격이다. 1급과 2급으로 이루어져 있으며 2005년에 처음 시행되었다. 현재 까지 632명이 응시하였으며 합격자는 117명이다. 인터넷보안전문가 합격률은 현재 18.5%이다. 수행직무 Linux, Windows 계열을 기반으로 한 서버에서 인터넷 보안과 관련한 보안관리, 침해 사고 대응, 해킹예방, 시스템 분석 등의 전문능력을 검정한다. 취득방법 1 시 행 처 : 한국정보통신자격협회 2 시험과목 - 필기 1. 정보보호개론 2. 운영체제 3. 네트워크 4. 보안 - 실기 1. 침해사례분석 2. 침해과정분석 3. 시스템서비스관리 4. 코드분석 5. 해결 4 검정방법 - 필기 : 택일형, 총 60문항(60분) - 실기 : 작업/서술/선택형, 1~20문항 1Set(120분) 5 합격기준 - 필기 : 100점을 만점으로 하여 60점 이상. - 실기 : 100점을 만점으로 하여 60점 이상. 출제경향 - 기출문제 : 20~40% / 관련도서 : 40~60% / 기타 : 10~30%

48 m 정보보안관리사 [17] 개요 정보보안관리사는 통신망에서 발생되는 각종 정보누출, 도청, 정보변조 등의 공격과 시 스템에서 발생되는 해킹, 바이러스 등의 다양한 침해에 대비하여 인터넷과 전자상거래 에서 개인정보나 거래정보에 대한 안전하고 신뢰성 있는 전달을 담보하기 위한 능력을 검정한다. 2000년에 처음 시행되었다. 현재까지 850명이 응시하였으며 255면이 합격 하였다. 정보보안 관리사의 합격률은 30.0%이다. 수행직무 통신망에서 발생하는 각종 정보노출, 도청, 그리고 정보변조 등의 공격과 위협을 예방, 대처하게 된다. 또한 시스템에 가해지는 해킹 및 바이러스 기술 등의 다양한 전자적 침해를 대비하며, 인터넷과 전자상거래 상에서 개인 및 거래정보의 안전하고 신뢰성 있는 전달을 담보하는 정보보안전문가를 말한다. 정보보안관리사는 암호학에 바탕을 두고 운영체제, 시스템, 네트워크 상의 해킹 및 바이러스 대응뿐만 아니라 DB, 전자상 거래보안기술을 습득하여 산업계 현장에서 구현하는 것을 그 직무범위로 하고 있다. 정보보안관리사는 한 기업 및 단체의 보안정책의 수립과 시행, 컨설팅까지도 담당할 수 있다. 취득방법 1 시 행 처 : 한국정보평가협회 2 시험과목 - 필기 1. 정보보안 2. 시스템 보안 3. 네트워크 보안 4. 어플리케이션 보안 5. 암호 및 공개키 6. 정보보안 컨설팅 5 검정방법 - 필기 : 4지선다 택일형, 60문항 (60분) 6 합격기준 - 필기 : 총점 100점 만점에 60점이상

49 m 해킹보안전문가 [18] 개 요 초, 중, 고등 과정 시기부터 해킹과 보안에 대한 올바른 윤리와 기본 지식을 쌓을 수 있도록 하여 정보화 사회에 대비한 관련 분야의 기본 실력을 갖춘 인력을 양성할 수 있도록 한다. 또한 정보보안에 대한 좀 더 깊이 있는 지식을 다루며, 실무에서 필요로 하는 부분을 자격 검정에 적용하여 관련 업체에 취업을 하거나 높은 수준의 보안 관련 분야에 적응할 수 있는 실력을 갖출 수 있도록 한다. 2008년 처음 시행하였으며 현재 까지 응시자 395명 중에 228명이 합격을 하였다. 합격률은 57.7%로 국낸 정보보안 유사 자격증들 중에서는 가장 많은 합격률을 가지고 있다. 수행직무 해킹보안 전문가는 해커의 침입과 각종 바이러스 발생에 대비, 보안 이론과 실무 보안 정책능력을 갖춰진 전산망 보안 및 유지와 컨설팅을 담당한다. 또한 정보시스템과 정 보자산을 보호하기 위해 보안정책을 수립하고, 정보보안에 대한예방책을 세우고 시스 템에 대한 접근 및 운영을 통제하며, 침입 발생 시 즉각적으로 대응하고 손상된 시스 템을 복구하는 업무를 수행한다. 취득방법 1 시 행 처 : 한국해킹보안협회 2 시험과목 - 인터넷보안 - 운영체제 보안 - 네트워크 보안 - 사이버 범죄와 법규 3 검정방법 - 필기 : 4지선다 택일형, 1,2급 70문항 (70분) / 3급 50문항 / 주니어 40문항 (50분) - 실기 : 답변형 / 서술형/ 작업형, 총 20문항 1Set (100분) / 주니어는 실기 없음 4 합격기준 - 1,2급 1. 필기 : 과목별 40점 이상이고 전체 평균이 60점 이상. 2. 실기 : 전체 평균이 60점 이상. - 3급 1. 필기, 실기 : 전체 평균이 60점 이상. - 주니어 1. 필기 : 주니어 특급 (평균 90점 이상), 주니어 A클래스(평균 80점 이상)

50 m 진로 및 전망 정보보안 산업은 정부 차원에서 2008년부터 2013년까지 총 968억 원의 예산을 투입 하여 각 과제별로 R&D를 적극 지원할 예정이다. 표 2-10은 지식정보보안 산업 진흥 을 위한 개발과제별 추진일정을 나타내고 있다. 표 지식정보보안 산업 개발과제 추진일정 개발과제 (지식정보보안 산업 진흥 종합계획 [2008, 지식경제부]) 정보보안 분야 통신 정보보안 추진일정 '08 '09 '10 '11 '12 '13 20 전자태그/USN 보안 15 인터넷전화 보안 19 Zero-day공격 대응 시그너처 생성 20 TPM(Trusted Platform Module) 15 국가기반 소프트웨어 안정성 강화 15 사이버공격 감시/추적 복합단말용 침해방지 디지털 포렌식 17 익명성기반 u지식정보보안 10 상용 양자암호통신 요소기술 3 자가복구형 네트워크 보안품질보장 10 네트워크 콘텐츠 보안 10 SIP기반 응용서비스 침입탐지/대응 15 신종 봇넷 탐지/대응 10 u-city용 무선 보안 25 DDoS(분산서비스거부)공격 대응 30 불법/유해 콘텐츠 고속인식 20 협업형 USN 보안 40 IPS통합형 웹보안 게이트웨이 소 계(단위 : 억원) 정보보안 자격증 취득자는 국가기관, 사이버 부대, 기업의 침해사고대응팀, 금융업종의 기관, 대형 포털, 정보보안 전문업체 등에 활용이 가능하다

51 2.8.2 유사 자격제도와의 비교 표 2-11은 정보보안 기사, 정보보안 산업기사와의 유사한 자격종목들의 직무정의, 시 험과목, 직무수준을 나타내고 있다. 표 정보보안 기사, 산업기사와 유사 자격 종목 자격종목 직무정의 필기 시험과목 실기 정보보안과 관련된 보안정책을 수립하고 사이 정보보안 기사, 산업기사 (제안 종목) 버 테러 등 침해 위험분석 및 대책 수립, 정 보보안 지침서 및 가이드라인 개발, 관련법규 검토, 국제적 표준안에 대한 지식 및 적용, 정 보보안 감사, 정보보안 제품 평가, 수립된 보 안 정책의 개발 및 구현, 정보시스템에 대한 운영 및 접근을 통제, 악성코드 및 바이러스 의 분석 및 손상 데이터 복구, 보안 시스템의 운영 및 모니터링, 정보보안 교육 및 훈련 시스템 보안 네트워크 보안 어플리케이션 보안 정보보안 일반 정보보안관리및법규* (* 기사종목에 한함) 정보보안실무 (단답형 서술형 실무형) 정보보호와 관련된 보안정책의 수립, 위험분 정보보호 전문가 석 및 대책 수립, 정보보안 지침서 개발, 관련 법규 검토, 국제적 표준안에 대한 지식 및 적 용, 보안 감리 및 평가, 수립된 보안 정책 구 현, 보안 시스템의 운영 및 모니터링, 정보보 호 교육 및 훈련 시스템 보안 네트워크 보안 어플리케이션 보안 정보보호론 단답형 서술형 실무형 인터넷 보안 전문가 정보보안 관리사 Linux, Windows 계열을 기반으로 한 서버에 서 인터넷 보안과 관련한 보안관리, 침해사고 대응, 해킹예방, 시스템 분석 등의 전문 능력 을 검정 통신망에서 발생하는 각종 정보노출, 도청, 그 리고 정보변조 등의 공격과 위협을 예방 및 대처. 시스템에 가해지는 해킹 및 바이러스 기술 등의 다양한 전자적 침해를 대비하며, 인터넷과 전자상거래 상에서 개인 및 거래정 보의 안전하고 신뢰성 있는 전달을 담보. 암 호학에 바탕을 두고 운영체제, 시스템, 네트워 크 상의 해킹 및 바이러스 대응뿐만 아니라 DB, 전자상거래보안기술을 습득하여 산업계 현장에서 구현. 정보보안관리사는 한 기업 및 정보보호개론 운영체제 네트워크 보안 정보보안 시스템 보안 네트워크 보안 어플리케이션 보안 암호 및 공개키 정보보안 컨설팅 침해사례분석 침해과정분석 시스템서비스 관리 코드분석해결 없음

52 단체의 보안정책의 수립과 시행, 컨설팅까지 도 담당 해킹보안 전문가 해커의 침입과 각종 바이러스 발생에 대비, 보안 이론과 실무 보안정책 능력을 갖춰진 전 산망 보안 및 유지와 컨설팅 담당. 정보시스 템과 정보자산을 보호가기 위한 보안정책 수 립. 시스템에 대한 접근 및 운영 통제. 인터넷 보안 운영체제 보안 네트워크 보안 사이버 범죄와 법규 답변형 서술형 작업형 2.9 정보보안 기사 산업기사 자격취득자의 활용방안 정부 m 정보보안 기사, 정보보안 산업기사의 국가적인 인력 수급 계획에 사용 m 정보보안에 관한 전문지식을 가진 전문가를 양성하여 보안 사고에 따른 재산, 생산 성을 최소화함으로써 사회적 혼란과 큰 재산손실을 줄이며 국가 전산망 보안 강화 에 기여 m 표준화된 자격 검정을 통하여, 국제 인력 교류를 활성화함으로써, 주변 국가와의 기 술 협력을 촉진하고, 외국 업체와의 인력 교류 등을 통하여 선진적 기술을 습득하 여 취약 분야에 대한 국가 경쟁력 향상 도모 m 자격 검정 시스템을 통하여 업무의 표준화를 기하고 업무 대가의 기준을 정립하여, 국가 지원의 개발 사업의 효율화에 기여 m 정보보안 산업의 국제경쟁력 강화 기업 m 정보보안 능력 향상을 통한 정보보안 산업체의 경쟁력 극대화 m 정보보안에 전문지식을 가진 전문가를 통해 보안 사고에 의해 발행하게 되는 재산, 생산성 저하 최소화

53 m 자격의 법제화를 통한 혜택 부여는 열약한 근무환경을 갖고 있는 보안 직종의 기피 현상을 극복하기 위한 방안 제시 m 정보보안 능력 향상에 따른 업무시간 감소로 정보보안 전문가의 삶의 질 향상 m 정보보안 분야 자격 검증 제도로 인하여, 업체의 인력 수급 과정에서의 비용을 절감 할 수 있으며, 자격 취득자에 대한 기술적 신뢰도가 향상됨 m 기업이 요구하는 역량을 보유한 가장 적합한 인력 채용 가능 m 교육 프로그램 보급과 대학에서 제공할 질적 역량교육에 대한 요구사항 전달 가능 교육 훈련 기관 m 국제적 추세에 부응하도록 자격내용을 구성함으로써 교육훈련 내용의 국제화 유도 m 자격 취득자의 보수교육 및 신규교육의 효율적인 교육계획 수립 가능 m 표준화된 자격 검정으로 전문화된 교육이 가능

54 제3장 정보보안 기사 산업기사 직무분석 및 교육내용 분석

55 3.1 종목 등급 및 직무의 정의 정보보안 기사는 IT 및 정보통신 기술에 대한 이론 및 실무 지식을 바탕으로 정보보안 시스템 및 솔루션 개발, 주요 운영체제 및 네트워크 장비, 정보보안 장비에 대한 운영 및 관리, 조직의 정보보안정책의 수립과 대책수립 및 관리, 정보보호 관련 법규 적용 등의 직무를 수행한다. 정보보안 산업기사는 IT 및 정보통신 기술에 대한 기초 이론 및 실무 지식을 바탕으로 정보보안 시스템 및 솔루션 개발, 주요 운영체제 및 네트워크 장비, 정보보안 장비에 대한 운영 및 관리 직무를 수행하며, 정보보안 기사의 업무를 보조하는 역할을 담당한 다. 3.2 직무분석 정보보안 기사 산업기사의 직무는 정보보안 관련 공공기관 및 민간기업 전문가, 정보보 안 관련 학과 및 전공 대학교수 대상 설문조사결과와 자문회의 등을 거쳐 그림 3-1과 같은 직무모형을 도출하였다. 그림 3-1에 정의된 정보보안시스템 요구사항 분석(A), 정보보안시스템 설계(B), 정보 보안시스템 구현(C), 정보보안시스템 시험(D), 보안목표 파악 및 보안정책 관리(E), 시스템 및 네트워크 보안특성 파악(F), 취약점 점검 및 보완(G), 관제 및 대응(H) 등 8개 직무단위는 정보보안 기사와 산업기사 공통 직무이다. 정보보안 기사의 경우 정보보안시스템에 대한 설계와 구현, 시험 직무를 체계적으로 진행하는 반면 정보보안 산업기사는 정보보안 기사의 정보보안시스템 개발 관련 직무 를 보조하는 작업들을 수행하게 된다. 또한 정보보안 기사는 시스템과 네트워크 환경 에서 발생하는 보안공격을 탐지하고 대응하는 기능을 담당하는 반면 정보보안 산업기 사는 보안공격 탐지를 위한 기초자료 수집과 분석, 침입에 대응하는 보안설정을 보조 하는 작업 등 비교적 기술 난이도가 낮은 작업을 담당하게 된다. 그림 3-2에 정의된 정보보안 계획수립(I), 위험분석(J), 정보보안 정책구현(K), 사후 관리(L) 등 4개 직무단위는 정보보안 정책의 수립과 집행 직무, 관리 그리고 기업의 비즈니스 내용과 관련된 정보보호 관련 법규를 이해하고 적용하는 직무로서 업무수행 난이도가 상대적으로 높다고 평가되어 정보보안 기사에만 추가로 포함되었다

56 A 정보보안 시스템 요구사항 분석 A-1 보안기능 요구사항 수집, 작성 A-2 보증 요구사항 수집, 작성 A-3 시스템 개발 및 동작환경 특성 분석 A-4 보안 요구사항 명세서 작성 B 정보보안 시스템 설계 B-1 요소 보안기술 결정 B-2 보안 아키텍처 설계 B-3 모듈 단위 기능정의 및 설계 B-4 설계서 작성 C 정보보안 시스템 구현 C-1 설계서에 대한 기술 검토 C-2 개발환경 구축 및 코딩 C-3 구현 관련 문서 작성 D 정보보안 시스템 시험 D-1 모듈 단위 시험 D-2 통합 시험 D-3 버그 수정 및 보완 개발 D-4 시험 결과보고서 작성 E 보안목표 파악 및 보안정책 관리 E-1 조직의 보안목표 파악 E-2 조직의 IT환경 특징 및 위협 파악 E-3 보안정책 작성 및 적용 E-4 보안정책 이력 관리 F 시스템 및 네트워크 보안특성 파악 F-1 운영체제별 보안특성 파악 F-2 프로토콜 특징 및 취약점 파악 F-3 서비스별 보안특성 파악 F-4 보안장비 및 네트워크 장비 보안특성 파악 F-5 관리대상 시스템 및 네트워크 구조 파악 G 취약점 점검 및 보완 G-1 운영체제 및 버전별 취약점 점검, 보완 G-2 서비스 및 버전별 취약점 점검, 보완 G-3 보안장비 및 네트워크 장비 취약점 점검, 보완 G-4 취약점 점검 및 보완 사항 이력 관리 H 관제 및 대응 H-1 운영체제별 로그정보 점검 H-2 서비스별 로그정보 점검 H-3 보안장비 및 네트워크 장비 로그정보 점검 H-4 로그정보 통합 및 연관성 분석 H-5 데이터 백업, 증거 수집 및 침입자 추적 그림 3-1. 정보보안 기사, 산업기사 공통 직무 I 정보보안 계획수립 I-1 IT현황 및 자산 파악 I-2 조작의 요구사항 파악 I-3 관련 법령 검토 J 위험분석 J-1 내 외부 위협 분석 J-2 자산별 취약점 분석 J-3 취약점 점검 보고서 작성 K 정보보안 정책 구현 K-1 정보보호 정책 수립 및 적용 K-2 시험 및 검증 K-3 정보보호 대책 구현 K-4 정보보호정책 교육 L 사후관리 L-1 정보보호 체계 재검토 L-2 사후 조치 및 모니터링 L-3 내부 감사 그림 3-2. 정보보안 기사 추가 직무

57 3.3 직무 및 작업 명세서 정보보안 기사 산업기사 직업명세서 1. 직업분류 한글 직 업 명 영문 정보보안 전문가 Information Security Specialist K.S.C.O(No) 현장직업명 정보보안기사(산업기사) 훈련수준 대학교, 대학(2년제) 훈련직종명 자격종목명 현행 유사 자격종목명 신설시 적합한 자격종목명 2. 직무수행에 필요한 조건 적정교육 훈련기관 최소 교육정도 견습기간 직업 적성 정보보안 기사, 산업기사 없음 정보보호전문가 (국가공인 민간자격) 정보보안 기사 산업기사 대학, 전문교육기관 교 육 기 간 4년(2년) 적정교육훈련기 최소교육 2년제 대학 졸업 대학교 관 훈련기관 2~3년 신체제약조건 시각, 정신 장애자 6개월 업무에 대한 이해력과 판단력이 정신제약조건 없는 자 정보보안 직무가 시스템, 네트워크 및 응용 서비스에 대한 지식을 기본적으로 요구하는 특징 정보보안 시스템 및 솔루션 개발, 정보보안 장비의 운영 및 관리, 정보보안 컨 설팅 분야에 대한 이론과 실무능력 범용 운영체제가 설치된 PC와 서버, 네트워크 장비, 정보보호용 전용 S/W 패 키지 및 전용도구 활용 능력 시스템, 네트워크. 어플리케이션 간 연동구조 및 로그 분석을 통한 취약점 및 대응기능 능력 3. 인력 양성 실태 및 취업 경로 양성 기관 직업활동 영역 교 육 훈 련 4. 작업 환경 조건 작업조건 표 3-1. 정보보안 기사 산업기사 직업명세서 정보보안 관련 대학 학과, 대학원 국가정보원, 한국인터넷진흥원 주관 교육 프로그램 정보보안 전문 민간 교육기관 (넷칼리지, 삼성SDS멀티캠퍼스, 비트컴퓨터 등) 정부기관(중앙행처부처, 지방자치단체, 검찰 및 경찰, 국가정보원 등) 정부출연기관(한국인터넷진흥원, 한국전자통신연구원 등) 산업체 (정보보호 H/W 및 S/W 제품 개발 업체, 인터넷서비스 및 보안컨설팅 업체) 정보보안 직무 특성 상 IT 및 네트워크에 대한 이론과 지식을 기초로 하고 암호학, 체계적인 보안 취약점 점검 및 대응, 보안 S/W 및 H/W 도구 운영에 대한 이론과 실무업무를 담당하여야 하므로 다양한 장비 및 장비/서비스 관 리기관과의 협업이 필요함 필요에 따라 세부 분야 전문가 또는 검찰, 경찰 등 법집행기관 관계자 함께 정보보안 직무를 수행할 필요가 있음

58 3.3.2 정보보안 기사, 산업기사 직무 명세서 1. 직무기술 개요 조직의 보안요구사항 분석을 통해 보안정책을 수립하고 수립된 보안정책을 구체적으로 집행하고 감시하기 위하여 보안제품 및 솔루션 개발, PC 및 서버 보안관리, 네트워크 장비 및 전문 보안장 비 운영, 침해사고 발생 시 대응 및 피해를 복구하는 기술을 요구하고 있다. 2. 작업일람표 표 3-2. 정보보안 기사, 산업기사 공통 직무 명세서 No 작 업 명 작업의 중요도 작업의 난이도 작업 빈도 A-1 보안기능 요구사항 수집, 작성 ❹ ❹ ❹ 5 A-2 보증 요구사항 수집, 작성 ❹ ❹ ❹ 5 A-3 시스템 개발 및 동작환경 특성 분석 ❹ ❹ ❸ 4 5 A-4 보안 요구사항 명세서 작성 ❹ ❸ ❸ 4 5 B-1 요소 보안기술 결정 ❺ ❹ ❹ 5 B-2 보안 아키텍처 설계 ❺ ❺ ❹ 5 B-3 모듈 단위 기능정의 및 설계 ❺ ❺ ❺ B-4 설계서 작성 ❺ ❹ ❹ 5 C-1 설계서에 대한 기술 검토 ❹ ❹ ❹ 5 C-2 개발환경 구축 및 코딩 ❺ ❺ ❺ C-3 구현 관련 문서 작성 ❹ ❸ ❹ 5 D-1 모듈 단위 시험 ❺ ❹ ❺ D-2 통합 시험 ❺ ❺ ❹ 5 D-3 버그 수정 및 보완 개발 ❺ ❺ ❺ D-4 시험 결과보고서 작성 ❹ ❸ ❹ 5 <범례> 작업의 난이도: 1 매우 쉽다 2 쉽다 3 보통이다 4 어렵다 5 매우 어렵다 작업의 중요도: 1 전혀 중요하지 않다 2 별로 중요하지 않다 3 보통이다 4 중요하다 5 매우 중요하다 작업의 빈 도: 1 매우 적다 2 적다 3 보통이다 4 많다 5 매우 많다

59 1. 직무기술 개요 조직의 보안요구사항 분석을 통해 보안정책을 수립하고 수립된 보안정책을 구체적으로 집행하고 감시하기 위하여 보안제품 및 솔루션 개발, PC 및 서버 보안관리, 네트워크 장비 및 전문 보안장 비 운영, 침해사고 발생 시 대응 및 피해를 복구하는 기술을 요구하고 있다. 2. 작업일람표 No 작 업 명 작업의 중요도 작업의 난이도 작업 빈도 E-1 조직의 보안목표 파악 ❺ 1 2 ❸ ❹ 5 E-2 조직의 IT환경 특징 및 위협 파악 ❺ ❹ ❹ 5 E-3 보안정책 작성 및 적용 ❹ ❹ ❹ 5 E-4 보안정책 이력 관리 ❹ ❸ ❸ 4 5 F-1 운영체제별 보안특성 파악 ❺ ❹ ❹ 5 F-2 프로토콜 특징 및 취약점 파악 ❺ ❹ ❹ 5 F-3 서비스별 보안특성 파악 ❺ ❹ ❹ 5 F-4 F-5 G-1 G-2 G-3 G-4 보안장비 및 네트워크 장비 보안 특성 파악 관리대상 시스템 및 네트워크 구조 파악 운영체제 및 버전별 취약점 점검, 보완 서비스 및 버전별 취약점 점검, 보완 보안장비 및 네트워크장비 취약점 점검,보완 취약점 점검 및 보완 사항 이력 관리 ❺ ❹ ❹ ❹ ❹ ❹ ❺ ❺ ❺ ❺ ❺ ❺ ❺ ❺ ❺ ❹ ❹ ❹ 5 H-1 운영체제별 로그정보 점검 ❺ ❹ ❺ H-2 서비스별 로그정보 점검 ❺ ❹ ❺ H-3 보안장비 및 네트워크 장비 로그 정보 점검 ❺ ❹ ❺ H-4 로그정보 통합 및 연관성 분석 ❺ ❺ ❹ 5 H-5 <범례> 표 3-2. 정보보안 기사, 산업기사 공통 직무 명세서 (계속) 데이터 백업, 증거 수집 및 침입 자 추적 ❹ ❺ ❹ 5 작업의 난이도: 1 매우 쉽다 2 쉽다 3 보통이다 4 어렵다 5 매우 어렵다 작업의 중요도: 1 전혀 중요하지 않다 2 별로 중요하지 않다 3 보통이다 4 중요하다 5 매우 중요하다 작업의 빈 도: 1 매우 적다 2 적다 3 보통이다 4 많다 5 매우 많다