“증가하는 기업 보안 위협”, 관련 자격증도 각광

보다 많은 미국 회사들이 자사의 핵심적 네트워크 인프라를 둘러싼 보호 대책을 강화하고 보다 많은 사람들이 보안 전문가 직종을 불경기의 영향을 받지 않는 것으로 인식하게 되면서 IT 보안 자격증에 대한 관심이 고조되고 있다.

IT 고용 경향을 조사하는 컨설턴트 회사인 푸테 파트너스(Foote Partners)에 따르면 미국 경영자들이 필요로 하는 10대 IT 자격증 중 3가지는 보안에 관련된 것으로 푸테 파트너스 리스트에서 2위를 차지한 레드햇 공인 보안 전문가(Red Hat Certified Security Specialist), CompTIA Security+(3위), 그리고 GIAC Security Essentials Certificate(6위)이 이에 포함된다.

푸테 파트너스의 CEO인 데이빗 푸테는 “경제가 침체되는 기간에도 보안 전문가의 몸값은 변하지 않고 오히려 올라가고 있다. 회사에는 경계 보안(perimeter security)과 같은 것은 없다는 것을 깨닫기 시작했다. 보안 위반 사례 중 대부분이 내부에서 야기된 것이기 때문이다. 보안 사고를 어떻게 막느냐 하는 것뿐만 아니라, 어떻게 데이터를 보호하는가 하는 것이 문제가 되고 있다”라고 말했다.

중요성이 더욱 부각되고 있는 ‘보안’ 자격증

푸테는 보안 침해에 관한 우려로 인해 회사에서는 정보보호 자격을 취득하고 잘 훈련된 IT 직원들을 더 많이 고용하기 시작했다면서 “직원들은 보안 자격증을 본인 직장의 안전판이라고 여기는 듯하다”라면서, “규제와 규제준수에 관한 끊임없는 수요가 있기 때문에 보안은 장기간에 걸쳐 경력을 관리할 수 있는 훌륭한 주제”라고 평가했다.

국방성이 8570으로 알려진 지시에서 군인, 국방 계약자, 그 외 정보 보안과 관련된 연방 직원들에게 보안 자격증을 획득하도록 요구하면서 정보보호에 관한 자격증이 2005년도부터 인기를 끌기 시작했다. 업체 중립적인 자격증으로는 CompTIA Security+와 GIAC Security Essentials Certificate가 이런 지시 조건을 충족한다.

CompTIA에서 기술 자격증의 선임 부 대표를 역임하고 있는 테리 어들은 “공공 분야에서 1년에 걸쳐 수 개월간 기록을 수집해왔는데, 국방성이 지시한 8570은 큰 영향을 미쳤다. 연방 정부, 주정부, 지방 정부, 교육, 방위 계약업체와 연방 계약 업체에서 관심을 많이 갖고 있음을 알 수 있었다”라고 말했다.

가장 빨리 성장하고 있는 정보보호 자격증은 레드햇과 관련된 자격증이다. 2006년에 발급되기 시작한 이 자격증은 선임 네트워크 관리자를 대상으로 하고 있으며 자격을 취득한 사람이 레드햇 엔터프라이즈 리눅스의 안전한 실행과 연관된 기술을 심층적으로 갖고 있음을 증명하기 위한 것이다.

보안 자격증 선호도 1위는 ‘레드햇’ 관련

레드햇의 인증 책임자인 랜디 러셀은 “작년에 비해서 올해에는 레드햇 인증 보안 전문가 시험에 합격한 사람의 수가 70% 증가했다”라며 “이 자격과 관련하여 무슨 일이 일어나고 있는 것이 분명하다”라고 말했다.

이 자격을 취득하려는 네트워크 엔지니어는 레드햇 인증 엔지니어 시험을 먼저 통과한 후 레드햇 인증 보안 전문가로서 훈련을 받아야 한다. 이어 네트워크 보안 심화, 리눅스 정책 관리, 디렉토리 서비스/인증 등의 세 가지 시험에 합격해야 하다.

러셀은 IT 전문가들과 고용주들이 현존하는 보안 위험에 대해 잘 이해하고 있기 때문에 보다 많은 사람들이 이 자격증에 관심을 갖게 될 것이라고 말했다.

러셀은 “보안 문제는 훨씬 더 두드러지게 나타나게 됐다. 보안의 이점이 잘 알려지게 된 것이다. 공공 심리, 기업 심리, IT 심리에서 보안 기능은 부차적인 것이 아니라는 생각이 더욱 확고해지고 있다. 보안은 IT 회사에서 필수적으로 갖추어야 하는 것이다”라고 강조했다.

자격증이 인기를 끌게 된 또 다른 요인으로 보건 회사를 대상으로 하는 1996년의 HIPPA(Health Insurance Portability and Accountability Act)와 공공 회사를 대상으로 하는 2002년의 사베인 옥슬리법(Sarbanes-Oxley Act)에 의해 데이터 프라이버시와 보안에 대한 연방 규제가 더욱 엄격해졌다는 점을 들 수 있다. 또 다른 규제준수와 관련된 요인으로는 2004년에 시작된 지불 카드 업계 데이터 보안 표준(Payment Card Industry Data Security Standard)가 있다.

러셀은 “조직 내에서 일정 수준 이상의 보안 제어와 관리감독을 의무화하는 규제 환경이 커지고 있다”라면서, “수많은 조직들은 자사의 수준을 높이고 기술을 획득하여 이런 규제를 충족시킬 수 있는 방법을 찾고 있다”고 설명했다.

규제 강화로 인한 수요도 급증

급성장하고 있는 보안 관련 자격은 CompTIA Security+인데 이는 2년 이상의 경험을 갖는 네트워크 관리자를 대상으로 한 것이다. 시스템 보안, 네트워크 인프라, 액세스 제어와 조직 내 보안 기술을 측정하는 이 시험을 치른 IT 전문가의 수는 1년 전에 비해 2배로 늘었다.

직원이 정보보호 관련 자격증을 따려는 이유는 직장의 안정성 측면뿐만 아니라 연봉 인상과 관련된다. 어들은 “자격증을 취득하면 연봉 인상에 도움이 된다는 것을 확인했다”라면서 CompTIA Security+ 인증을 취득한 IT 전문가들은 5%에서 7% 정도 연봉이 인상되었다고 덧붙였다.

어들은 보건 IT, 모바일, 클라우드 컴퓨팅을 추구하는 폭넓은 업계에서 보안이 필요하기 때문에 CompTIA Security+ 자격증이 계속해서 인기가 있을 것이라고 예측하면서 “클라우드 컴퓨팅, 의료 IT, 그린 IT를 둘러싸고 새로운 수식어가 붙게 될 것”이라고 말했다.

인기가 있는 자격증 중에는 20개의 GIAC(Global Information Assurance Certifications)도 있는데 GIAC 인증 프로그램의 책임자인 제프 프리스크에 따르면 이 자격증과 관련된 시장이 작년 동안 25%의 성장세를 보였다.

프리스크는 “푸테 파트너스의 보고서에서는 GIAC 자격증을 가치를 유지하고 증강시킬 수 있는 방법으로 소개했다. 여기서 가치란 사람들이 어떻게 보상을 받고 있는지에 관한 것뿐만 아니라 기업에 초래될 가치도 포함된다”라고 말했다.

가장 인기가 있는 것은 GIAC의 범용 보안 에센셜 인증(Security Essentials Certificate)이지만 GIAC 공인 사고 처리자(GIAC Certified Incident Handler), GIAC 공인 과학수사 분석가(GIAC Certified Forensic Analyst), GIAC 공인 침해 분석가(GIAC Certified Intrusion Analyst) 등과 같은 전문적인 GIAC 자격증 역시 수요가 크다. 프로그램이 시작된 이래 전체적으로 32,500개의 GIAC 자격증이 주어졌다.

자격증 취득의 목적 : 실제 업무에 부합하는 기술 인증

프리스크씨는 “우리 자격증은 특정한 실제의 업무 내용과 아주 잘 부합된다. 정보보호 책임자들은 리스크 분석가, 사고 처리자, 방화벽 전문가, 침해 검지 직원, 유닉스 담당 직원, 윈도우 관련 직원, 범죄수사 전문가 등이 필요할 것이다. 우리가 가진 자격증의 가치는 해당자의 자격이 이런 특정한 기술과 부합되는지 확인하는 것”이라고 말했다.

인기 있는 정보보호 자격증은 모두 시스템, 소프트웨어, 정보 등을 공격으로부터 보호하는데 필요한 실제적인 기술을 측정하기 위한 것이다. 이로 인해 이런 자격증을 제공하고 이를 준비하기 위해 필요한 교육을 실시하는 회사들이 성장세를 나타내고 있다.

프리스크는 GIAC 프로그램에 대해 “이 자격증은 취득하기가 더욱 힘들어지고 더욱 밀접한 관계를 유지하면서 더욱 큰 가치를 지니게 될 것이다. 쉬운 길은 아니지만, 그냥 인증을 내어주지는 않을 것이며, GIAC 인증을 따기 위해서는 자신이 이에 부합되는 기술을 갖고 있음을 보여주어야 한다. 이것이 관련 자격증의 수요가 많아지는 이유 중 하나일 것이다”라고 말했다. editor@idg.co.kr