ISACA가 기술기반의 교육과 수행기반의 시험인증 절차를 결합한 신규 사이버보안 자격검정 프로그램 포트폴리오를 소개했다.
7가지 신규 사이버보안 자격검정 프로그램인 ‘사이버시큐리티 넥서스(Cybersecurity Nexus)는 전문가들이 끊임없이 변화하는 분야에서 실무 경험을 쌓고 이를 발전시키며 직원들간 기술격차를 줄이는데 도움을 준다.
글로벌 지식, 선도적인 IT 기술 및 사업기술 교육 지원자들이 2015년 3분기에 이용 가능한 ISACA CSX 포트폴리오 과정의 첫 번째 공식 교육 대상자들이다.
ISACA와 RSA 컨퍼런스가 공동 수행한 연구인 ‘사이버보안 현황: 2015년의 시사점(the State of Cybersecurity: Implications for 2015)’에 따르면 기업의 82%가 2015년 사이버 공격을 받을 것으로 예상되지만 이들의 35%는 사이버 보안의 필요 인력을 충원하지 못하는 것으로 나타났다.
현재 자신의 보안팀이 사이버 보안 침해를 감지하거나 이에 대응할 수 있다고 응답한 기업은 절반에도 미치지 못했다. 게다가 시스코의 2014년 보안연구 연차 보고서(the Cisco 2014 Annual Security Report)는 전세계 약 100만개에 이르는 사이버 보안 직종의 일자리가 여전히 채워지지 않고 남아있다고 밝히고 있다.
이러한 일자리 공급과 수요간 격차는 세계경제포럼(the World Economic Forum)이 발간한 2015 글로벌 위기(Global Risks 2015) 보고서에서 최고 기술 위험으로 보는 전세계적으로 만연한 사이버공격의 취약성을 부채질하고 있다.
ISACA는 사이버 보안 전문가의 각 업무 단계에서 CSX, 지식자원, 툴(tools), 지도 및 훈련 등을 통해 지능화된 사이버 위협을 방지하기 위해 숙련된 글로벌 사이버 보안 인력 구축을 지원하고 있으며 기업들에게 적정 기술을 보유한 전문가를 식별하고 고용하는 방법을 제공하고 있다.
CSX 자격검정 프로그램은 사이버 보안 전문가 업무 전반에 걸친 숙련도와 전문성을 제공한다.
ISACA는 이미 고위 관리직 전문가들을 위한 ‘국제공인 정보보안 관리자(Certified Information Security Manager; CISM)’ 및 사이버 보안 분야 신입사원들을 위한 ‘사이버보안 기초 인증(Cybersecurity Fundamentals Certificate)’이라는 자격을 제공하고 있다.
교육은 자격시험 응시 이전에 꼭 필요로 하는 것은 아니지만 가급적이면 교육 이수를 추천한다.
핵심 사이버보안 인프라 개선을 위한 미국 국립표준연구소(NITS) 프레임워크에 따른 연방정보보안관리 보고서인 NIST SP 800-53(4차 개정본), ISO27000 및 ISACA가 발간한 정보기술의 보안 및 통제지침에 관한 표준 프레임워크를 제공하는 실무지침서인 COBIT 5등을 포함한 이 신규 자격검정은 세계적으로 인정받은 표준과 프레임워크에 따라 조정된다.
로버트 E. 스트라우드 ISACA CGEIT/CRISC/인터내셔널 대표겸 CA기술 전략혁신본부 부사장은 “ISACA는 글로벌 기업들이 숙련된 전문가를 식별하고 고용하는데 있어 보다 효과적인 방법을 필요로 하기 때문에 사이버보안 교육 및 자격검정에 다른 방식의 접근방법이 필요하다는 것을 인식했다”며 “오늘날과 같은 사이버 위협 환경에서 기술기반의 교육과 자격을 보유하지 않은 기술진에 의존하는 것은 전략 교범은 읽었으나 전투 참여 경험이 없는 군대에 의존하는 것과 같다”고 말했다.
CSX 교육·자격검정 프로그램은 글로벌 최고정보보안책임자 및 기타 사이버 보안 전문가들을 통해 2년 이상 개발해 100명 이상의 동종 업계 전문가들의 철저한 검토를 거쳤다.
이 프로그램의 혁신적 교육과정과 자격검정시험은 사이버보안 교육 및 기업 솔루션 분야 글로벌 리더인 텔레커뮤니케이션 시스템즈(TeleCommunication Systems, Inc., TCS)의 사이버 보안팀인 ‘Art of Exploitation(AoE)’과의 업무제휴를 통해 진행되고 있다.
CSX 교육 및 기술검정의 핵심은 조정이 가능한 업무 수행 기반의 사이버 실험 환경이다. 전문가의 기술과 능력은 현실 세계의 사이버 보안 시나리오를 이용한 가상 설정을 통해 측정된다.
사이버 보안 업무를 수행하기 위한 전문가의 능력 측정용 학습개발 툴(tool)인 ‘PerformanScore’는 교육 담당자들이 사이버 보안 전문가의 문제해결 접근방식을 기초로 한 모범 지침을 제공하도록 하기 위해 텔레커뮤니케이션즈 시스템의 AoE팀이 특별히 개발한 솔루션이다.
사이버보안 위협 대응을 위한 다양한 방법을 파악하는 PerformanScore는 해결 가능성이 있는 일련의 솔루션들을 거쳐 업무 수행 기술을 측정한다는 점에서 차별화된 솔루션이다.
PerformanScore는 교육 담당자가 특정 피드백을 제공하고 교육 대상자인 전문가들이 사이버 보안 기술을 보다 효율적으로 습득하고 이해하도록 함으로써 실시간으로 적용되는 채점 기준을 참조해 전문가의 업무능력을 등급 기준과 비교한다.
ISACA CISA/CISM/사이버보안 T/F팀 팀장이자 화이트옵스 사장겸 최고운영책임자(COO)인 에디 슈워츠는 “CSX 신규 자격검정 프로그램은 향후 사이버보안 인력 고용과 경력 확장에 도움이 되는 기준을 제공할 것이다”고 말했다.
이어 그는 “사이버 보안 기술 추세를 유지하는 것은 움직이는 목표”라며 “CSX 자격검정 프로그램은 직면하고 있는 해당 산업 및 경쟁자들과 함께 발전함으로써 우리 팀이 가장 유용하고 실질적인 기술을 갖게 될 것이라는 확신을 심어주게 될 것이고 기업들은 근무 첫날부터 입사 지원자들의 사이버 보안 침해 대응 능력 보유 여부를 알게 될 것”이라고 밝혔다.
CSX 실무자 교육은 2015년 6월, 자격시험은 7월에 실시될 예정이다. CSX 스페셜리스트와 CSX 엑스퍼트 자격검정에 대한 교육 및 시험은 2015년 하반기 중 실시될 예정이다. 지식기반 학습 참가 이외에도 매년 연구소 또는 기타 기술 기반 환경에서 자격소지자들의 기술 입증을 위한 지속적 전문교육(Continued Professional Education, CPE)도 필요할 것이다. 자격 소지자들은 자신이 보유한 자격 중 최고 수준의 자격에 대해 3년마다 재시험에 응시해야 한다.
