DOI QR코드

DOI QR Code

Considering Information Security Professionals' Career to Analyze Knowledge and Skills Requirements

정보보호 전문인력의 경력에 따른 지식 및 기술 수요 특성

  • Yoo, Hye-Won (Department of Management Information Systems, Chungbuk National University) ;
  • Kim, Tae-Sung (Department of Management Information Systems, Chungbuk National University)
  • 유혜원 (충북대학교 경영정보학과/BK21사업팀) ;
  • 김태성 (충북대학교 경영정보학과/BK21사업팀)
  • Published : 2009.08.31

Abstract

As the awareness on the information security has been well developed, there have been various studies on effective training and management of the information security workforce. But, one of the most important things for the effective training is to develop education programs based on knowledge and skills requirements for information security professionals. This study aims to analyze the required and possessed levels of knowledge and skills for information security professionals' career. For this study, we selected 71 critical knowledge and skills for information security professionals by literature review and Delphi method, and we conducted a survey of information security knowledge and skills requirements for information security professionals to perform their jobs. As a result, we analyzed the current status of the information security professionals' knowledge and skills level and suggested some guidelines for educating information security professionals by their job career.

정보보호에 대한 인식이 제고되면서 정보보호 인력의 효율적인 양성 및 관리에 대한 다양한 연구가 수행되었다. 효율적인 인력양성을 위해서는 정보보호 인력이 직무수행을 위해 갖추어야 할 지식 및 기술 요구사항을 파악하여 교육프로그램의 개발 및 운영에 반영하는 것이 필요하다. 본 연구에서는 문헌고찰 및 델파이 방법을 통하여 정보보호 분야의 71개 요소 지식 및 기술을 도출하고 정보보호 전문인력을 대상으로 요소 지식 및 기술에 대한 필요정도 및 숙련정도를 조사하여, 정보보호 전문인력의 업무 경력에 따라 상대적으로 중요한 지식 및 기술을 도출하였다. 본 연구의 결과는 정보보호 전문인력의 경력 개발 단계별로 신규 교육 및 재교육이 필요한 요소 지식 및 기술을 제시함으로써, 산업체 및 교육기관에서 정보보호 교육 프로그램을 개발하고 운영할 때 활용될 수 있을 것으로 기대된다.

Keywords

Ⅰ. 서론

다양한 보안 침해 사건이 발생하면서 정보보호에 대한 사회적 관심이 증대되고 있다. 효과적인 정보보호가 이루어지기 위해서는 정보보호 직무를 수행하는 정보보호 전문인력의 체계적이고 효율적인 양성이 가장 중요하다. 정보보호 전문인력에 대해서는 정보보호 인력의 수요와 공급의 현황 및 전망(한국 정보보호진흥원, 2008), 정보보호 인력이 수행하는 직무 분석(전효정 외, 2009) 등의 연구가 있지만, 기존의 연구는 주로 거시적인 관점에서 교육 공급을 중점적으로 다루었고, 교육 수요 기관이 가장 필요로 하는 교육 프로그램 개발에 대한 연구는 거의 없는 실정이다. 특히, 직무를 수행하는 정보보호 전문인력이 갖추어야 할 지식 및 기술 요구사항을 파악하고, 지식 및 기술 요구사항을 반영하여 교육 프로그램을 개발하는 방법을 소개하거나 교육 프로그램의 예를 제시하는 연구는 전무하다.

정보보호 분야는 업무를 수행하기 위하여 요구되는 지식 및 기술의 범위가 매우 넓고, 요구되는 지식 및 기술의 변화가 심하고, 조직별로 소요되는 인력의 규모가 많지 않은 등, 전문인력의 수요 특성이 매우 민감하고 복잡하여 수요에 기반한 체계적인 인력양성을 통하여 효율적인 인력의 수요 및 공급을 달성하여야 한다. 또한 최근에 다양한 산업 부문에 융합 및 내재화되면서 산업 발전이 가속화하고 있어 수요 지향적 인 교육 및 훈련 프로그램의 개발이 시급하다.

본 연구에서는 정보보호 전문인력의 경력 단계별로 신규 교육 및 재교육이 필요한 지식 및 기술 요구사항에 대해 분석하였다. 먼저, 관련 선행 연구 및 전문가 델파이를 통해 기개 정보보호 분야 지식 및 기술을 도출하였다. 도출된 지식 및 기술 항목에 대해 정보보호 분야 전문인력을 대상으로 필요로 하는 정도와 실제로 숙련된 정도를 조사하였으며, 경력별로 그 수준 차이를 분석하였다. 이를 통해 정보보호 전문인력의 지식 및 기술에 대한 숙련 수준을 파악하고, 전문인력이 필요로 하는 지식 및 기술을 파악하고, 경력별로 상대적으로 중요한 지식 및 기술을 도출할 수 있었다. 따라서 본 연구는 향후 정보보호 분야의 체계적인 교육 프로그램 수립의 근간이 될 수 있으며, 경력별 또는 직무별로 적절한 인력 채용의 기준 자료로서 활용될 수 있을 것으로 기대된다.

Ⅱ. 문헌 연구

정보시스템 분야에서의 직무 수행에 필요한 지식 및 기술에 대한 연구는 10여년 전부터 활발히 진행이 되었지만(Trauth et al., 1993), 정보보호 분야의 직무를 수행하기 위해 필요한 지식 및 기술에 대한 연구는 최근에서야 연구가 수행되기 시작하였다.

전효정 등(2008)은 정보보호 분야에 필요한 55개 지식 및 기술들을 제시하였다. 또한 55개 지식 및 기술의 필요한 수준을 정보보호 분야 주요 직무군에 종사 중인 전문인력을 대상으로 조사 및 분석하였다. 최명길, 김세헌(2004)은 정보보호 관리자에게 필요한 지식 및 기술을 도출하고 이를 연구자 그룹과 실무자그룹별로 설문조사하여 3- 차이를 분석 . 제시하였다. 제시된 지식 및 기술로는 관리적 정보보호대책 수립, 정보보호정책 수립, 정보보호시스템 취약성 분석, 위험분석 및 평가 등 15개이다. Cheney, Lyons(1980) 는 정보시스템 관리자에게 필요한 지식을 분석하여 제시하고, 데이터관리자, 시스템분석가, 프로그래머 별로 중요도를 조사 . 분석하였다. Cockcroft(2002)는 전자상거래 전공에 필요한 보안 지식 및 기술을 제시하였다. 제시된 항목은 접근통제시스템 및 방법론, 통신 및 네트워크 보안, 보안관리실무, 암호학 등이다. Irvine et al.(1998)은 정보보호 관련 교과목이 공학 계열의 전공에 필수적이라고 보고, 수학 및 과학을적용시킬 수 있는 능력, 올바른 의사소통 능력 등 11 개를 제시하였다. Lee et al. (1995)은 정보시스템 관련 실무 처리에 필요한 지식 및 기술을 제시하고 학계와 업계별로 조사하였다. 제시된 정보시스템 분야의 지식 및 기술은 시스템 개발 및 구현, 비즈니스 문제 및 IS 솔루션 분석, 데이터베이스 개발 등 총 21개이다. Logan(2002)은 대학원생들을 위한 지식 및 기술의 개발에 집중하여 보안관리실무, 보안구조 및 모델, 접근통제시스템 및 방법론, 운영체제 보안 등을 제시하였다. Nelson(1991)은 전문인력과 최종사용자를 대상으로 정보시스템 관련 지식 및 기술에 대해 필요 정도, 숙련 및 미숙련 정도를 조사하여 제시하였다. Rainer et al. (2007)은 정보보호 분야 기술 자와 관리 자간의 정보보호 이슈에 대한 인식의 차이를 조사하였다. 제시된 보안이슈는 정보기밀성, 정보무결성, 방화벽. 정보가용성, 위험관리, 바이러스공격 등 142 개이다. Trauth et al.(1993)은 정보시스템 전문가들에게 필요한 지식 및 기술로 데이터베이스 개발, 정보보호 기술 등의 정보시스템 기술, 프로그래밍 언어 등을 제시하였다. Wright(1998)는 정보시스템 보안의 경우 범주가 넓어 다학제적인 교육이 필요하다고 전제하면서 , 공학계열 학과의 교육과정과 보안 교육이 어떻게 연계되는지에 대해서 분석하였다. 제시된 보안 관련 지식영역은 접근통제, 암호학, 위험관리, 사업지 속성계획 등 16개 영역이다. Yen et al.(2003) 은 산업계가 원하는 정보시스템 관련 지식 및 기술들을 제시하고 학계의 관점을 함께 논하였다.

본 연구에서는 정보보호를 비롯한 정보통신 분야의 지식 및 기술에 대한 선행연구에 대한 빈도분석을 수행하여 55개 정보보호 분야 지식 및 기술을 도출하였다 〔표 1].

〔표 1) 빈도분석을 통해 선정된 지식 및 기술

*문헌조사에서 도출된 지식 및 기술 중 본 연구에서 최종적으로 채택한 지식 및 기술만을 제시한 것임.

Ⅲ. 연구 방법

정보보호 전문인력의 경력별 필요 지식 및 기술을 분석하기 위해 본 연구에서는 2단계에 걸쳐 조사를 수행하였다. 1단계 조사는 정보보호 분야의 지식 및 기술을 최종 도출하기 위한 과정으로, 유혜원 등 (2009)의 내용과 일부는 중복되지만 2단계 조사와의 연계를 위해 부연설명을 하겠다. 1단계 조사는 앞서 도출한 55개 지식 및 기술에 대해 신뢰성 확보 및 검증을 위한 목적으로 정보보호 분야의 전문가(정보보호 전공 교수) 10명을 대상으로 진행하였다. 설문내용은 〔표 1〕과 같이 빈도분석을 통해 도출된 정보보호 분야 지식 및 기술을 제시하고 그 중 삭제 또는 추가되어야 할 항목을 기재하도록 구성하였다. 설문은 이메일을 통해 2008년 8월 18일부터 30일까지 진행되었으며 회수된 10개의 설문을 토대로 전문가들의 의견을 수렴함으로써 최종적으로 기개의 정보보호 분야 전문지식 및 기술을 선정하였다〔표 2〕.

(표 2) 정보보호 분야 지식 및 기술(71개)

2단계 조사는 1단계 조사를 통해 확정한 정보보호 분야 전문지식 및 기술 기개에 대하여 실질적으로 현업에 종사하고 있는 정보보호 전문인력을 대상으로 직무수행 시 필요하다고 생각되는 정도(필요정도)와 본인의 숙련된 정도(숙련정도)에 대해 설문을 진행하였다. 이를 위해 5점 척도를 이용하여 설문에 응답하도록 설계하였다. 조사는 한국정보보호산업협회(KISIA) 회원사에 종사중인 전문인력을 대상으로 수행되었다. 설문은 2008년 9월 1일부터 11월 20일까지 수행되었으며 총 238명으로부터 설문을 회수하였다.

Ⅳ. 연구 결과

설문에 응답한 정보보호 전문인력의 기본사항을 살펴보면 〔표 3〕, 〔표 4〕와 같다. 전체 응답자 238명 중 무응답자(3명)를 제외한 응답자들의 최종학력은 학사가 123명으로 가장 많은 비중을 차지했으며, 전공 분야는 무응답자(10명)를 제외하면 정보보호가 98명, 정보보호 관련 분야가 100명으로 대다수를 차지했다. 업무경력은 7년 이상의 고급 인력이 96명을 차지하며 가장 높은 비율을 보였다. 전공 범위 및 업무 경력의 구분은 정보통신기술자의 전공학과의 범위 및 경력인정 방법 (정보통신부고시 제2005-42호)을 참조하였다. 마지막으로 주 직무군별 응답자 수를 살펴보면, 연구개발 및 구현 직무군이 131명으로 가장 높은 비율을 차지했으며, 다음으로 전략 및 기획 직무군이 30명으로 그 뒤를 이었다. 주 직무군은 정보보호 직무체계 (전효정 외, 2009)를 참조하였다.

〔표 3) 응답자 기본사항 (238명)

(표 4) 응답자 주 직무군 (238명)

본 연구에서는 정보보호 전문인력을 업무 경력별로세 그룹으로 구분하여 71개 지식 및 기술 항목에 대한 필요 및 숙련 정도에 대한 그룹간의 차이점을 분석하고자 한다.

4.1 정보보호 전문인력의 지식 및 기술 조사

기개의 정보보호 분야 지식 및 기술에 대하여 직무수행 시 필요한 정도와 본인의 숙련정도를 5점 척도로 제시하여 조사한 결과, 필요정도의 평균값은 3.41, 숙련 정도는 3.06으로 필요한 수준에 비해 실질적으로 숙련된 수준이 더 낮은 것으로 파악되었다.

우선 필요정도의 높은 순위를 살펴보면, 의사소통 능력을 비롯하여 프로정신에 대한 이해, 직업윤리에 대한 이해, 원만한 대인관계능력 등 정보보호와 직접적으로 관련된 지식 및 기술 외에 업무에 필요한 기본적인 지식에 대한 필요성을 높게 인식하는 것으로 나타났다 〔표 5L 이에 반해 침입탐지와 차단 관리 능력, COBIT 4.0에 대한 이해, 사업지속성 관리에 대한 이해, ITIL에 대한 이해. 생체인식기술에 대한 이해 등 정보보호와 간접적으로 관련이 있는 지식 및 기술에 대한 필요성이 낮게 나타났다〔표 6〕.

〔표 5) 필요정도가 높은 지식 및 기술

〔표 6) 필요정도가 낮은 지식 및 기술

다음으로 지식 및 기술에 대한 숙련정도를 살펴보면, 앞서 살펴본 필요정도의 결과와 비슷한 양상을 보이고 있다. 즉, 직업윤리에 대한 이해, 원만한 대인관계 능력 , 의사소통 능력 등 업무에 필요한 기본적인 지식에 대한 숙련정도가 높게 나타났다〔표 7〕. 또한 숙련 정도가 낮은 지식 및 기술 항목도 필요정도와 마찬가지로 COBIT 4.0에 대한 이해, ITIL에 대한 이해, 사업지속성 관리에 대한 이해, 생체인식기술에 대한 이해, 그리고 암호프로토콜 및 물리적 기술 등으로나타났다 〔표 8〕.

〔표 7) 숙련정도가 높은 지식 및 기술

〔표 8) 숙련정도가 낮은 지식 및 기술

마지막으로 필요정도와 숙련정도의 평균값의 차가 큰 지식 및 기술의 항목은〔표 9〕와 같다. 수리능력 (이산수학, 미분적분학, 확률통계학 등)이 가장 큰 차이를 보였으며 , 그밖에 보안 및 암호와 관련된 기초적인 지식 및 기술에 대한 차이가 크게 나타났다. 따라서 이들 지식 및 기술에 대한 중점적인 교육을 통해 숙련 정도를 높여 필요정도와의 격차를 줄여야 할 것으로 보인다.

[표 9] 필요정도와 숙련정도의 차가 큰 항목

이상의 결과를 종합해 보면, 필요정도와 숙련 정도의 순위가 비슷한 지식 및 기술 항목으로 구성되어 있는 것으로 보아, 중요도가 높은 지식 및 기술에 대해더 많은 노력을 기울이고 있는 것으로 분석된다. 또한 정보보호와 직결된 핵심 지식 및 기술 보다 직업윤리에 대한 이해, 원만한 대인관계 능력, 의사소통 능력 등 모든 업무에 필요한 기본적인 지식 및 기술에 대한 필요 정도와 숙련정도가 모두 높게 나타난 것은 정보보호 분야에 있어서도 조직 구성원과의 협업이 무엇보다 중요함을 나타내는 결과라 할 수 있다.

4.2 전문인력의 경력별 지식 및 기술 조사

정보보호 전문인력 전체에 대한 지식 및 기술 수준 조사에 이어서, 본 연구에서는 전문인력의 정보보호 실무 경력에 따라 각 지식 및 기술에 대한 필요정도 및 숙련 정도에 차이점이 존재하는지 알아보고자 그룹 간 평균을 비교 분석하였다. 이를 위해 다변량 분산분석 (multivariate analysis of variance, MANOVA) 과 분산분석(analysis of variance, ANOVA)을사용하였다. 두 기법은 특정 종속변수에 대해 집단간평균 차이를 분석하는 것으로, 다변량 분산분석은 복수의 관련성 있는 종속변수들의 집단간 평균차이를 동시에 평가하는 기법이며, 분산분석은 단일의 종속변수에 대한 집단 간 차이를 비교하는 분석 기법으로 집단 간 구체적으로 어떤 종속 변수에서 수준 차이가 발생했는지 알 수 있는 측정 방법이다. 따라서 MANOVA를통해 기개의 지식 및 기술들에 대한 그룹별 차이점을 동시에 검증한 후, ANOVA# 통해 각 지식 및 기술들에 대한 그룹별 차이점을 개별적으로 검증함으로써 구체적으로 어떤 지식 및 기술에서 필요정도 및 숙련 정도에 대한 그룹간 차이를 보이는지 분석하는 것이다.

238명의 정보보호 전문인력이 응답한 기개 지식 및 기술의 필요정도 및 숙련정도에 대해 경력별 차이를 분석한 MANOVA 분석 결과는〔표 10〕과 같다. MANOVA 분석시 총 4가지 분석기법을 사용하며 각각에 대해 유의한 수준(p-value 0.05 이흐卜)을 보이는지 살펴보았다. 분석 결과, 필요정도와 숙련정도 모두 유의하게 나타나, 기개 지식 및 기술에 대해 전문인력이 필요로 하는 수준과 숙련된 수준이 경력별로 차이가 있다는 것이 증명되었다.

(표 10) MANOVA 분석 결과

4.2.1 경력별 지식 및 기술 수요

기개 지식 및 기술에 대해 전문인력의 경력별로 수준 차이가 있다는 것이 증명되었다. 이어서 ANOVA 분석결과를 통해 어떠한 지식 및 기술 항목에서 경력별로 유의한 차이를 보이는지 살펴보았다.

우선 필요정도를 분석한 결과 총 21개의 지식 및 기술에 대해 유의한 차이가 있는 것으로 나타났다〔표 11〕. 이 중 무선 보안 기수 보안모듈 관련 지식 및 기술, 보안 키 관리 기술을 비롯하여 물리적인 기술과 연계된 지식 및 기술까지 주로 정보보호와 밀접한 관련이 있는 항목들이 경력에 따라 유의한 차이가 있는 것으로 나타났다.

〔표 11) ANOVA 분석결과 : 경력에 따른 지식 및 기술 필요정도 분석

p<0.05

다음으로 그룹간 숙련정도를 분석한 결과 총 22개의 지식 및 기술에 대해 유의한 차이가 있는 것으로나타났다 〔표 12], 또한 전체적인 구성항목도 필요 정도와 마찬가지로 정보보호와 밀접한 관련이 있는 지식 및 기술들이 대부분이어서 이들 지식 및 기술에 대한 필요 정도가 높은 만큼 숙련정도도 높은 것으로 분석되었다.

〔표 12) ANOVA 분석결과 : 경력에 따른 지식 및 기술 숙련정도 분석

P<0.05

4.2.2 경력별 지식 및 기술 비교 분석

필요정도와 숙련정도에 있어 경력별로 유의한 차이를 보인 지식 및 기술에 대해 그룹별 평균 및 순위를 비교 분석하면 다음과 같다.

우선 필요정도에서 경력별로 유의한 차이를 보인 21개의 지식 및 기술에 대해 그룹별 순위를 살펴보면 〔표 13M 같다. 세 그룹 모두 개인 프라이버시와 윤리에 대한 이해를 비롯하여 PC 보안 기술에 대한 능력 , 시스템 구조 분석 능력 , 정보시스템 설계 및 개발능력, 전자 서명 및 인증 기술 등 주로 보안 업무상 필요한 시스템 관련 지식 및 기술에 대한 필요정도가 높게 나타났다. 다만, 경영기능에 대한 이해, 마케팅에 대한 기본 지식 등 경영과 관련된 일반적 지식에 대한 필요 정도가 그룹 1과 그룹 3에서는 낮게 나타난 반면 그룹 2에서는 가장 높게 나타난 것이 주목된다. 이는 그룹 2에 해당하는 중급 경력자들이 초급 단계에서 익힐 수 있는 정보보호와 관련된 기본적인 보안 지식 및 기술 보다는 기업의 운영 및 제품 홍보에 필요한 지식의 필요성을 더욱 크게 인식하고 있기 때문인 것으로 분석된다. 또한 그룹 1과 그룹 3은 보안관련 지식 및 기술에 대한 필요정도 순위가 비슷하게 나타난 것을 볼 수 있다. 그룹 1에 해당하는 초급 경력자들은 학교를 졸업하고 현업에 종사하기 시작한 지 얼마되지 않았기 때문에 기초적인 보안 지식 및 기술에 대한 수요를 높게 인식하고 있는 것으로 파악된다. 그룹 3에 해당하는 고급 경력자들은 특정 지식 및 기술 분야에 대한 전문적인 수요 보다는 전반적인 보안 업무를 관리하는 데에 필요한 기초 지식 및 기술들의 필요성을 높게 인식하는 것으로 파악된다.

〔표 13) 경력별 지식 및 기술의 필요정도 순위

다음으로, 21개의 지식 및 기술에 대해 그룹별 평균을 비교하면〔표 14〕와 같다. 평균값을 비교한 결과 그룹 3에 해당하는 경력 7년 이상의 고급인력이 21개 지식 및 기술 모두에 있어 필요정도를 가장 높게 인식하고 있는 것으로 나타났다. 또한 그룹 1과 그룹 2를 비교하면 경영기능에 대한 이해와 마케팅에 대한 기본지식을 비롯하여 정보시스템 설계 및 개발 능력, 개인 프라이버시와 윤리에 대한 이해, 사업지속성 관리에 대한 이해, 무선 보안 기술 등에서 그룹 2가 더 높은 필요 정도를 나타냈다. 이에 비해 그룹 1은 나머지 항목에 해당하는 시스템 구조 분석 능력. 임베디드 시스템에 대한 이해를 비롯하여 정보보호시스템 평가 및 인증에 대한 이허], 물리적 정보보호대책 설계 능력, 보안모듈 관련 지식 및 기술, 보안 키 관리 기술, 전자서명 및 인증 기술, PC 보안 기술에 대한 능력 등 주로 보안과 관련된 지식 및 기술에서 그룹 2에 비해 높은 필요정도를 나타냈다. 이러한 결과는 앞서 살펴본 그룹별 필요정도 순위와 일치하는 결과로서 그룹 1은 주로 정보보호 업무상 필요한 보안 관련 지식 및 기술에 대한 교육이 필요하며, 그룹 2는 이보다 상대적으로 기업 운영상 필요한 일반적 지식에 대한 교육이 더 필요하다고 분석된다. 또한 그룹 3은 7년 이상의 업무경력을 갖는 고급 경력자로서 정보보호 분야의 전반적인 지식 및 기술에 대해 높은 수준을 필요로 하며, 특히 초급 경력자들에 대한 교육을 위해 기본적인 보안 관련 지식 및 기술의 재교육을 필요로 한다고 볼 수 있다.

〔표 14) 경력별 지식 및 기술의 필요정도 평균

* 밑줄은 그룹 1과 그룹 2에 대한 비교 결과 평균값이 더 높은 쪽을 나타냄

숙련정도에서 경력별로 유의한 차이를 나타낸 22 개의 지식 및 기술에 대해 그룹별 순위를 살펴보면 〔표 15〕와 같다. 세 그룹 모두 개인 프라이버시와 윤리에 대한 이해에 대하여 가장 높은 숙련정도를 나타냈다. 이는 전문인력이 정보보호 관련 업무에 임하는 기본적 소양과 자세를 갖춘 것으로 분석된다. 전체적인 순위는 필요정도와 마찬가지로 주로 보안 업무상 필요한 시스템 관련 지식 및 기술들이 높은 순위를 차지 했다. 또한 그룹 2가 경영기능에 대한 이해. 마케팅에 대한 기본 지식 등 기업 운영에 관련된 지식의 필요 정도를 높게 인식한 만큼 그에 대한 숙련정도도 높은 것으로 조사되었다.

〔표 15) 경력별 지식 및 기술의 숙련정도 순위

이상의 22개 지식 및 기술에 대해 그룹별 평균을 비교 분석하면〔표 16〕과 같다. 숙련정도도 필요 정도와 마찬가지로 그룹 3이 22개 지식 및 기술 모두에 대해 가장 높은 수준을 나타냈다. 또한 그룹 1과 그룹 2 에 대한 비교 분석도 비슷한 결과를 보였다. 즉, 그룹 2는 경영기능에 대한 이해와 마케팅에 대한 기본 지식 등 기업 운영과 관련된 일반적 지식을 비롯하여 , 개인 프라이버시와 윤리에 대한 이해, 사업지속성 관리에 대한 이해, 무선 보안 기술 등에서 더 높은 숙련 정도를 나타냈다. 그룹 1은 이에 비해 시스템 구조 분석능력, 임베디드 시스템에 대한 이해 등 시스템 관련 지식 및 기술과, 정보보호 시스템 평가 및 인증에 대한 이해, 물리적 정보보호대책 설계 능력, 보안 모듈 관련 지식 및 기술 등 보안 관련 지식 및 기술에서 더 높은 숙련정도를 나타냈다.

(표 16) 경력에 따른 지식 및 기술 숙련정도 분석

밑줄은 그룹 1과 그룹 2에 대한 비교 결과 평균값이 더 높은 쪽을 나타냄

Ⅴ. 결론

본 연구는 정보보호 전문인력의 경력별로 세분화되고 효율적인 교육 및 관리를 위하여 정보보호 분야 전문 지식 및 기술을 도출하고, 도출된 지식 및 기술에 대해 전문인력을 대상으로 설문조사를 수행하였다’ 설문은 각 지식 및 기술에 대하여 필요정도와 숙련 정도를 파악하는 것으로 진행되었으며, 이에 대한 전체적인 전문인력의 수준과 경력별 차이점을 분석하는 데에 집중하였다.

설문에 대한 분석결과를 종합해 본 결과, 정보보호 전문인력은 주로 정보보호와 직접 관련된 지식 및 기술 보다는 모든 업무에 필요한 일반적인 지식 및 기술들에 대한 필요정도가 높은 것으로 드러났다. 이는 정보보호 분야에 있어서도 업무에 필요한 필수적인 지식과 협업 능력이 무엇보다 중요함을 나타낸다. 또한 수리능력을 비롯하여 보안 및 암호 관련 기술 등에서 필요 정도에 비해 숙련정도가 낮게 나타나 기초적인 보안 관련 기술에 대한 재교육이 이루어져야 할 것으로 분석 된다.

경력별로는 주로 정보보호 분야와 직접적인 연관이 있는 지식 및 기술에 대한 필요정도와 숙련정도의 차이가 있는 것으로 분석되었으며. 이들 지식 및 기술 모두에 대해 7년 이상의 경력 (그룹 3)을 갖고 있는 고급인력이 높은 수준을 나타냈다. 또한 그룹 1(경력 3 년 미만)과 그룹 2(경력 3년 이상 ~ 7년 미만)를 비교 분석한 결과, 그룹 1은 주로 정보보호 업무상 필요한 보안관련 지식 및 기술에 대한 필요정도와 숙련 정도가 높게 나타났으며 그룹 2는 상대적으로 기업 운영에 필요한 일반적 지식 및 기술에 대해 높은 필요 정도와 숙련정도를 나타냈다.

따라서 이상의 결과를 토대로 경력별로 정보보호 분야의 전문 지식 및 기술에 대한 교육방향을 제시하면 다음과 같다. 우선 업무 경력 3년 미만의 초급 경력자에 대해서는 크게 시스템 관련 지식 및 기술과 보안 관련 지식 및 기술에 대해 중점적인 교육이 이루어져야 할 것이다. 그 중에서도 PC 보안 기술에 대한능력, 시스템 구조 분석 능력, 정보시스템 설계 및 개발 능력 , 보안키 관리 기술, 보안모듈 관련 지식 및 기술 등 정보보호 관련 업무 수행시 필수적으로 요구되는 핵심적 지식 및 기술에 대한 교육이 강화되어야 할 것으로 분석된다. 다음으로 업무 경력 3년 이상 〜 7 년 미만의 중급 경력자에 대해서는 앞서 제시한 초급경력자에게 요구되는 정보보호 분야 지식 및 기술과 함께 경영기능에 대한 이해, 마케팅에 대한 기본 지식 등 기업 운영과 홍보에 관련된 지식 및 기술에 대한 교육 투자가 강화되어야 할 것이다. 마지막으로 업무경력 7년 이상의 고급 경력자는 필요정도와 숙련 정도에서 경력별로 유의한 차이를 나타낸 지식 및 기술 모두에 대해 가장 높은 수준을 나타냈으므로, 고급인력에 대한 정보보호 핵심 지식 및 기술의 수준 제고도 초 . 중급 인력 못지않게 중요하다는 결론을 얻을 수 있었다. 또한 이들 지식 및 기술에 대한 그룹별 순위에서도 살펴보았듯이, 전문인력의 교육 및 훈련을 책임지는 고급 경력자에게도 초급 경력자에게 요구되는 필수적인 시스템 및 보안 관련 지식 및 기술에 대한 중점적인 재교육이 이루어져야 할 것이다.

향후, 본 연구에서 도출된 기개 전문 지식 및 기술을 정보보호 분야 직무별로 세분화하여 추가적인 설문을 수행한다면 산업체의 지식 및 기술 수요를 더욱 분명하게 파악할 수 있을 것으로 기대된다. 정보보호 인력에 대한 교육 요구사항을 주기적으로(이상적으로는 실시간으로) 파악하고 인력의 신규 교육 및 재교육을 담당하는 교육기관과 산업체에서 정보보호 교육프로그램 수립에 반영한다면 수요 지향적이고 효율적인 인력양성 체계를 구축할 수 있을 것이다. 또한 정보보호 분야에서 직무를 수행하기 위하여 필요한 지식 및 기술의 분류체계를 작성하고, 지식 및 기술 분류(또는 지식 및 기술 그룹)어】 대해 직무별, 산업별, 경력별, 학력별 수요 특성을 분석하는 것도 매우 유용할 것이다.

* 이 논문은 2008년도 충북대학교 학술연구지원사업의 연구 비지원에 의하여 연구되었음.

References

  1. 전효정, 김태성, 유진호, 지상호, '정보보호 분야 직무체계 개발.' 정보보호학회논문지, 19(3), pp. 143-152, 2009년 6월
  2. 전효정, 유혜원, 김태성, '정보보호 분야 직무별 필요 지식 및 기술 분석.' Information Systems Review, 10(2), pp. 253-267, 2008년 8월
  3. 유혜원, 김태성, 전효정, '정보보호 분야 지식 및 기술 수요.' 정보보호학회지, 19(1), pp. 9-14, 2009년 2월
  4. 최명길, 김세헌, '정보보호전문가의 직무수행을 위한 지식 및 기술 분석.' 경영정보학연구, 14(4), pp. 71-85, 2004년 12월
  5. 한국정보보호진흥원, '정보보호 직무수행기준 개발 및 인력수급 실태조사.' pp. 44-82, 2008년 11월
  6. P.H. Cheney and N.R. Lyons, 'Information systems skill requirements: A survey,' MIS Quarterly, vol. 4, no. 1. pp. 35-43, Mar. 1980 https://doi.org/10.2307/248866
  7. S. Cockcroft, 'Securing the commercial Internet: Lessons learned in developing a postgraduate course in information security management,' Journal of Information Systems Education, vol. 13, no. 3, pp. 205-210, Sep. 2002
  8. C.E. Irvine, S.K. Chin, and D. Frincke, 'Integrating security into the curriculum,' Computer, vol. 31, no. 12, pp. 25-30, Dec. 1999 https://doi.org/10.1109/2.735847
  9. S.U. Lee, S.H. Koh, D. Yen, and H.L. Tan, 'Perception gaps between IS academics and IS practitioners: An exploratory study,' Information & Management, vol. 40, no. I, pp. 51-61. Oct. 2002 https://doi.org/10.1016/S0378-7206(01)00132-X
  10. P.Y. Logan, 'Crafting an undergraduate information security emphasis within information technology,' Journal of Information Systems Education, vol. 13, no. 3, pp. 177-182, Sep. 2002
  11. R.R. Nelson, 'Educational needs as perceived by IS and end-user personnel: A study of knowledge and skill requirements,' MIS Quarterly, vol. 15, no. 4, pp. 503-525, Dec. 1991 https://doi.org/10.2307/249454
  12. R.K. Rainer, T.E. Marshall, K.J. Knapp, and G.H. Montgomery, 'Do information security professionals and business managers view information security issues differently?,' Information Systems Security, vol. 16, no. 2, pp. 100-108, Apr. 2007 https://doi.org/10.1080/10658980701260579
  13. E.M. Trauth, D.W. Farwell, and D. Lee, 'The IS expectation gap: Industry expectations versus academic preparation,' MIS Quarterly, vol. 17, no. 3, pp. 293-307, Sep. 1993 https://doi.org/10.2307/249773
  14. M.A. Wright, 'The need for information security education,' Computer Fraud & Security, vol. 1998, no. 8, pp. 14-17, Aug. 1998 https://doi.org/10.1016/S1361-3723(98)80019-5
  15. D.C. Yen, H.G. Chen, S.U. Lee, and S.H. Koh, 'Differences in perception of IS knowledge and skills between academia and industry: Findings from Taiwan,' International Journal of Information Management, vol. 23, no. 1, pp. 507-522, Sep. 2003 https://doi.org/10.1016/j.ijinfomgt.2003.09.011