I. 서론
원자력, 에너지, IT 첨단 기업 등 주요기반시설을 타겟으로 한 지능형 지속 공격(Advanced Persistent Threat, APT)과 방송 및 언론사 그리고 금융 기관을 타겟으로 한 각종 대형 사이버 해킹들이 무차별하게 시도되어짐에 따라, 정부는 주요 시설에 대한 보호조치를 강화하고 있다[2]. 이를 위해 미래창조과학부는 주요 정보통신기반시설을 2013년 209개에서 2017년까지 400개로 확대한다는 계획을 발표하였다. 이처럼 주요 정보통신기반시설의 확대로 인해 정보보호컨설팅 수요도 크게 늘어날 것으로 보이며, 더욱이 최근 카드 정보유출 사태로 금융권을 비롯한 개인정보 보유기관의 컨설팅 수요도 급증할 것으로 전망된다[1]. 2014년 3월 정부는 정보보호컨설팅 서비스 수준 향상과 인력난 해결을 위해 정보보호 컨설팅 전문 업체를 기존 7개에서 18개로 추가지정 하였다. 그러나 보안 컨설팅 시장의 인력난은 여전히 해소되지 않고 있다. 한국인터넷진흥원의 조사에 의하면, 2013년도에는 보안인력 신규 수요에 비해 1,767명이 부족했고, 2017년까지 16,197명의 신규 수요가 발생할 것으로 전망하고 있다. 하지만 신규 인력공급은 3,006명으로 나타나 앞으로의 보안인력이 13,191명이나 부족한 것으로 보인다[2].
컨설팅 전문 업체들은 정보보호컨설턴트 인력에 비해 상대적으로 많은 컨설팅 수요로 인력확보 경쟁이 더욱 치열해 질 것이고, 공공 부문의 경우 저가 수주 사례도 많아질 것으로 전망하고 있다[2]. 이러한 컨설팅 전문 업체의 경영 악화는 역량 있는 우수한 보안 컨설팅 전문 인력의 이탈을 초래하게 된다. 또한 기존 컨설팅 인력에 대한 각종 교육 등의 재투자가 이루어지지 않아 주요기반시설의 보안 수준이 전반적으로 하락할 수 있다.
정보보호컨설턴트의 경력개발과 관련해서도 해결해야 할 과제들이 많이 있다. 상대적으로 넓은 범주의 업무를 수행하는 특성 상, 실무자와 관리자 간의 업무수행역량에 대한 인식의 차이가 발생하고 있다. 정보보호컨설팅 전문 업체인 A사 대표와의 인터뷰에 따르면, 정보보호컨설턴트의 승진 시 역량 기준으로 결정하는 것이 바람직하다고 생각하는데, 대상자들은 일정 기간 업무에 종사하면 승진이 되어야 한다고 생각한다고 한다. 역량 기준으로 승진 등의 경력관리 의사결정이 되어야 한다는 것에는 동의하면서 실제 활용할 수 있는 가이드라인이 없다는 것이 현업에서의 고민인 것이다.
본 연구에서는 정보보호컨설턴트의 경력관리 의사 결정 가이드라인의 사례로, 정보보호컨설턴트의 핵심 역량을 도출하고 실무자가 관리자가 되기 위해 필요한 역량개발 방안을 제시한다. Ⅱ장에서는 정보보호 컨설턴트의 핵심역량을 도출한다. Ⅲ장에서는 설문을 통해 수집된 자료를 기반으로 정보보호컨설턴트 실무자와 관리자의 필요역량과 보유역량을 분석하고, Ⅳ장에서는 실무자가 관리자가 되기 위해 필요한 역량 개발모형을 제시한다. 마지막으로 Ⅴ장에서는 시사점과 향후 연구방향으로 결론을 맺는다.
II. 정보보호컨설턴트의 핵심역량
정보보호컨설턴트가 업무를 수행하기 위해 필요한 핵심역량을 도출하기 위해, 정보보호컨설턴트의 직무 수행 역량과 정보보호 인력에게 요구되는 기술 및 지식에 관한 기존 선행 연구를 검토하였다[3-11]. 또한 국가직무능력표준(National Competency Standards, NCS)의 정보보호 관리 기술 및 지식[12], 잡코리아[13]와 워크넷[14]의 정보보호컨설 턴트 구인광고, 중소기업청의 보안컨설턴트용 실무 가이드북[15] 등을 참조하여 1차적으로 28개의 역량을 도출하였다.
2단계 전문가 검증에서는 실제 정보보호컨설팅 경력이 풍부한 5명의 팀장급 이상의 정보보호컨설턴트를 대상으로 파일럿테스트를 겸한 전문가 설문을 실시하여 선행 단계에서 구축한 정보보호컨설턴트 역량의 타당성을 분석하였다[16,17]. 역량 체계의 전체적인 구성, 개별 항목에 대한 정의, 항목 간 중복 및 누락을 중점적으로 검토하여 35개 세부 역량을 도출하였다(Table 1). 전문가 검증 단계에서 실무적인 관점에서 필요한 역량을 추가하거나 기존 역량을 통합 및 탈락시키는 과정이 있었다.
Table 1. 35 competencies of information security consultant
III. 정보보호컨설턴트의 역량 분석
3.1 자료수집
정보보호컨설턴트 역량의 필요수준과 실제 보유 수준을 측정하기 위한 데이터를 수집하기 위하여 정보보호컨설턴트를 대상으로 2014년 11월 9일부터 11월 30일까지 설문조사를 실시하였다. 설문은 국내 정보보호컨설팅 업체와 일반 정보보호업체 및 프리랜서로 근무하는 정보보호컨설턴트를 대상으로 이메일, 직접방문 등의 방법을 이용하여 배포 및 회수하였다. 총 66부의 응답지를 회수하였으며, 회수된 응답지 중 누락 데이터, 이상치(outlier) 여부 등을 검증하여 총 60개 응답지를 유효 데이터로 사용하였다.
Table 2. Profile of Sample
응답자들은 30대(전체의 51.7%)의 남성(전체의 73.3%)이 많았으며, 과장 이상 직급의 관리자(manager)가 45%이고 대리 이하의 실무자(practitioner)가 55% 이다.
3.2 정보보호컨설턴트 역량의 필요수준
정보보호컨설턴트 역량의 필요수준을 분석한 결과 정보보호 관련 법률 및 규정의 이해가 35개의 역량 중 가장 높은 순위로 꼽혔다. 우리나라의 정보보호 관련 법률에는 '통신비밀보호법', '정보통신기반보호법' , '정보통신망이용촉진 및 정보보호 등에 관한법률', '공공기관의 개인정보보호에 관한법률', '위치 정보의 보호 및 이용 등에 관한법률' 등이 있다. 정보보호컨설팅은 이러한 법률이 정하고 있는 범위의 정보보호 행위를 효과적으로 수행하도록 정보보호와 관련된 경험이나 조언을 제공하고, 감사를 수행한다. 따라서 정보보호 관련 법률 및 규정의 이해가 필요하다.
컨설팅의 실제 업무는 고객으로부터 제안요청서(Request For Proposal, RFP)를 받아서 분석한 후, 제안서(Proposal)를 제출해 프로젝트를 수주함으로써 컨설팅이 시작된다. 마무리 또한 최종보고서 제출 및 발표로 끝나기 때문에 문서 이해 및 작성, 프레젠테이션이 높은 비중을 차지한다고 볼 수 있다.
기초 외국어와 경영활동에 대한 지식 및 경험은 필요수준이 매우 낮다. 이는 정보보호컨설팅 회사가 주로 국내 회사이고 고객 또한 외국계 보다 국내 고객이 대다수를 차지하고 있기 때문에 컨설팅업무에서 차지하는 외국어 활용비중이 낮은 것으로 예상된다.
3.3 정보보호컨설턴트 역량의 보유수준
성실함과 책임감의 보유수준이 가장 높은 것으로 나타났다. 이는 정보보호컨설턴트가 주어진 임무를 철저히 완수하고자 하는 책임 의식을 지니고 있으며 비록 낮은 충성도, 높은 이직률의 전문 직업군에 속하지만 정보보호컨설턴트는 자신들의 투철한 직업의 식을 강조하고 있다고 볼 수 있다.
기밀유지(Confidentiality)는 전문직업적인 서비스를 제공하는 사람들이 갖추어야 할 일반적인 원칙들 중의 하나이다. 컨설턴트는 고객에 관한 기밀 자료를 공개하거나 컨설팅회사나 다른 고객들에게 제공함으로써 개인적인 이익을 취해서는 절대로 안된다. 정보보호컨설턴트는 이러한 직업 특성 때문에 프라이버시와 윤리에 대한 인식의 순위가 높다고 볼 수 있다.
3.4 실무가 그룹과 관리자 그룹 내 필요수준과 보유 수준 차이 분석
3.4.1 정보보호컨설턴트 실무자 그룹의 필요수준과 보유수준의 차이
Table 3은 정보보호컨설턴트 실무자 그룹의 필요 수준과 보유수준의 차이를 보여준다. 프로젝트 관리가 1.33으로 가장 높으며 리더십 1.27, 프로젝트 대상 고객사의 이해, 정보보호 관련 법률 및 규정의 이해 1.21로 나타났다. 반면에 외모 및 복장은 0.12로 가장 낮고 기초 외국어 0.24, 프라이버시와 윤리 0.42로 나타났다.
Table 3. Required level for and skilled level of practitioners
3.4.2 정보보호컨설턴트 관리자 그룹의 필요수준과 보유수준의 차이
정보보호컨설턴트 관리자 그룹의 필요수준과 보유수준의 차이는 Table 4와 같다. 가장 높은 항목은 정보시스템 취약성 분석 0.85이며, 프레젠테이션 0.78, 정보보호 관련 법률 및 규정의 이해, 사고력, 프로젝트 대상 고객사의 이해 0.59 의 순서이다. 기초 외국어는 –0.30으로 가장 낮으며. 프로그램 소스 이해 및 프로그래밍 능력, 외모 및 복장 –0.11, 현황 및 분석결과에 대한 통계 구현 방법 –0.04 의 순서로 나타났다.
Table 4. Required level for and skilled level of managers
3.5 실무자 그룹과 관리자 그룹 간 필요수준과 보유 수준의 차이분석
실무자 그룹과 관리자 그룹에 따라 필요수준과 보유수준에 차이가 있는지 확인하기 위해 SPSS 18.0을 이용하여 다변량 분산분석(Multivariate Analysis of Variance, MANOVA)을 하였다. 다변량 분산분석은 Table 4와 같이 Pillai's Trace, Wilk's Lambda, Hotelling's Trace와 Roy's Largest Root의 4가지 기준으로 검증하였다. 분석결과 그룹별로 역량의 필요수준과 보유수준에 대해 유의한 차이가 있는 것으로 분석되었다. 보유수준 평균은 실무자 그룹이 3.09, 관리자 그룹이 3.50이고, 필요수준 평균은 실무자 그룹이 3.87, 관리자 그룹이 3.82의 값을 보이고 있다. 필요수준의 차이보다 보유수준의 차이가 실무자와 관리자 그룹간에 더 크게 나고 있는 것으로 파악된다.
Table 5. Results of MANOVA analysis
PT=Pillai's Trace
WL=Wilk's Lambda
HT=Hotelling's Trace
RLR=Roy's Largest Root
3.5.1 실무자 그룹과 관리자 그룹의 필요수준 비교
정보보호컨설턴트 실무자 그룹과 관리자 그룹의 필요수준 평균과 순위로 비교하였다.
정보보호 관련 법률 및 규정의 이해, 정보보호 대상의 정의와 범위, 대상 간의 관계, 정보시스템 자산/위험 현황 파악 및 분석은 실무자 그룹과 관리자 그룹이 모두 동일 순위의 높은 필요수준을 인식하고 있다. 정보보호컨설팅 업무에 기본적으로 요구되는 사항으로 볼 수 있다.
프레젠테이션에 관하여 관리자 그룹(4.30, 2위) 은 실무자 그룹(3.94, 15위)보다 더 중요하게 인식하고 있는 것으로 나타났다. 관리자 그룹은 최초 컨설팅을 수주하고 프로젝트 최종 결과를 발표하는 업무의 비중이 높은 반면 실무자 그룹은 프로젝트 수행 관련 업무를 주로 하고 있다는 것을 알 수 있다.
프라이버시와 윤리에 관하여 관리자 그룹(4.07, 10위)은 실무자 그룹(3.88, 23위)에 비하여 중요하게 생각하고 있다. 프로젝트 수행경험이 많은 관리자 그룹이 실무자 그룹보다 고객에 대한 프라이버시와 윤리에 대한 인식이 높다고 볼 수 있다.
프로그램 소스 이해 및 프로그래밍 능력, 기초외국어, 경영활동에 대한 지식 및 경험은 관리자 그룹과 실무자 그룹 모두 필요수준이 가장 낮았다. 이는 실제 컨설팅 업무 수행에서 필요도가 낮다기 보다는 대부분 기본적인 역량을 보유하고 있으므로 추가 교육의 필요성을 낮게 인식하고 있는 것으로 판단된다.
3.5.2 실무자 그룹과 관리자 그룹의 보유수준 비교
실무자 그룹과 관리자 그룹의 보유수준을 비교해 보면 프로그램 소스 이해 및 프로그래밍 능력, 기초 외국어, 정보시스템 평가 인증에 대하여 실무자 그룹과 관리자 그룹은 필요수준과 동일하게 가장 낮은 순위를 나타내고 있다.
성실함 및 책임감, 팀워크, 문서의 이해 및 작성, 프라이버시와 윤리는 실무자 그룹과 관리자 그룹은 보유수준에 큰 차이가 없었다. 이는 정보보호컨설팅 업무 수행의 기본적인 바탕이 되고 있는 것으로 판단할 수 있다.
3.5.3 관리자 그룹의 필요수준과 실무자 그룹의 보유 수준 차이
관리자 그룹의 필요수준과 실무자 그룹의 보유수준의 차이를 보면 다음 항목들의 경우 수준 차이가 크게 나타나고 있다.
정보보호 관련 법률 및 규정의 이해, 프로젝트 관리, 개인정보보호 진단 및 개선 계획수립, 정보보호 마스터플랜 설계 및 수립, 프레젠테이션, 정보보호 관련 표준 및 기준 이해, 사고력, 프로젝트 대상 고객사의 이해, 정보보호 대상의 정의와 범위, 대상 간의 관계가 있다. 이는 관리자 그룹의 필요수준보다 실무자 그룹의 현재 보유수준이 크게 낮은 것이다. 업무 수행 시 수준차이로 인한 문제와 컨설팅 업무수행 팀 내 불화를 일으킬 수도 있으며 더 나아가 컨설팅 의뢰기업의 성과에도 좋지 않은 영향을 미칠 수 있을 것이다. 따라서 실무자 그룹의 보유수준을 높이는 전반적인 역량 개발 및 교육에 대한 투자가 필요하다고 볼 수 있다.
IV. 정보보호컨설턴트 실무자 역량개발모형
서론에서 언급한 정보보호컨설턴트 실무자가 관리자가 되지 위해 필요한 역량개발에 대한 가이드라인을 제시하기 위해, 관리자 그룹의 필요수준과 실무자 그룹의 보유수준을 상대적으로 높고 낮음에 따라 Table 6과 같이 이차원 표로 표시하였다.
Table 6. Required level for managers and skilled level of practitioners
4.1 관리자의 높은 필요수준/실무자의 낮은 보유수준
관리자들의 필요정도와 실무자들의 보유정도의 차이가 큰 역량들의 경우 프로젝트 진행시 팀 내부의 불협화음을 초래할 수 있으므로 해당 역량의 개발에 대한 투자가 시급하다고 볼 수 있다. 정보보호 관련 법률 및 규정의 이해, 사고력, 프로젝트 대상 고객사의 이해, 정보보호 관련 표준 및 기준이해, 개인정보 보호진단 및 개선계획 수립, 정보보호마스터플랜 설계 및 수립 프로젝트 관리가 이에 속한다.
4.2 관리자의 높은 필요수준/실무자의 높은 보유수준
관리자들의 필요정도와 실무자들의 보유정도가 모두 높은 역량들의 경우 정보보호컨설팅 업무를 진행 하는 과정에서 매우 중요하게 활용되는 역량들이라 할 수 있으므로 역량 개발 및 교육훈련에 대한 노력을 현재 상태로 계속 유지하는 전략이 요구된다. 문서의 이해 및 작성, 프레젠테이션 등 8개 항목이 이에 속한다.
4.3 관리자의 낮은 필요수준/실무자의 낮은 보유수준
관리자들의 필요정도도 낮고 실무자들의 보유정도도 낮다는 것은 정보보호컨설팅의 업무로 진입 및 수행하는 데에 추가적인 노력이 크게 필요하지 않은 역량이라 할 수 있으므로 역량 개발에 대한 노력을 현재 상태로 계속 유지하는 전략이 원칙적이나, 상황에 따라서 노력을 축소하는 방안도 선택할 수 있다. 기초 외국어, 프로그램 소스 이해 및 프로그래밍 능력 등 8개 항목이 이에 속한다.
4.4 관리자의 낮은 필요수준/실무자의 높은 보유수준
실무자들은 취업 전에 이미 해당 역량에 대해 충분히 습득 후 정보보호컨설팅 업무로 진입하여야 할 것이다. 정보보호컨설팅 업무를 진행하는 단계에서 관리자로서의 역량 확보를 위한 분석적인 업무자세가 필요하며, 역량 개발 및 교육훈련에 대한 투자를 축소하는 것이 바람직하다고 해석할 수 있다. 현황 및 분석결과 대한 통계 구현 방법, 프로젝트 수행방법론과 툴의 이해 등 5개 항목이 이에 속한다.
V. 결론
본 연구에서는 정보보호컨설턴트가 경력별로 갖추어야 하는 역량을 개발하기 위한 가이드라인을 제시하기 위해 실무자와 관리자 그룹을 대상으로 실증연구를 실시하였다. 우선 선행 연구 검토와 정보보호컨설팅분야 전문가의 인터뷰를 통하여 35개 항목으로 구성된 정보보호컨설팅 역량 모델을 구축하였다. 그리고 각 역량별 필요수준과 보유수준에 대하여 정보 보호컨설턴트를 대상으로 설문조사를 실시하였으며, 실무자에서 관리자가 되기 위해 필요한 역량개발 전략을 도출하였다.
개인 역량개발, 승진, 급여 및 인센티브, 직무이동 등의 인력관리 의사결정이 역량 기반으로 수행됨에 따라 직무별 역량에 대한 관심이 증가하고 있다. 하지만, 실무적으로 활용할 수 있는 수준으로 역량에 대한 연구가 수행되지는 못하고 있으며, 정보보호컨 설턴트의 역량에 대해서도 이해관계자별로 상이한 인식수준을 보이고 있다.
본 연구에서 도출한 결과는 정보보호컨설턴트가 대리 이하의 실무자에서 과장 이상의 관리자로 승진하기 위해 필요한 역량 개발 전략이다. 개인적으로는 본인의 역량개발 목표로 활용할 수 있을 것이고, 조직 차원에서는 교육 계획 및 채용 계획에 활용할 수 있을 것이다. 실무자와 관리자의 직급을 세분화하거나 직무전환 등을 고려하는 등의 주제까지 고려한다면 실무적인 활용도는 더욱 높아질 것이다. 역량별 필요수준과 보유수준에 대한 평가에 컨설팅 고객까지 참여한다면 더욱 다면적인 분석이 가능해질 것이다 [18]. 이러한 주제를 포함하여 실무에서 필요한 방향으로 향후 연구가 진행되기를 기대한다.
* 본 연구는 2014년 한국정보보호학회 동계학술대회에서 발표한 내용을 수정 및 보완한 것임. 이 논문은 2015년 대한민국교육부와 한국연구재단의 지원을 받아 수행된 연구임 (NRF -2015S1A5A2A01009763).
참고문헌
- Boannews, "Issue of information security breach and certification... the growth of information security market," 23 Jan. 2014.
- Digital Times, "Knowledge and information security consulting market to grow," 21 May 2014.
- Yong-Kyum Kim, Woo-Seung Choi, "Study on the taxonomy for knowledge/ skill about information security for information education practical utilization," The Journal of Business Education, 23(3), pp. 123-140, Oct. 2009.
- Hye-Won Yoo, Tae-Sung Kim, "Considering information security professionals' career to analyze knowledge and skills requirements," Journal of the Korea Institute of Information Security and Cryptology, 19(4), pp. 77-89, Oct. 2009.
- Hye-Won Yoo, Tae-Sung Kim, "Differences in perception of information security knowledge and skills between academia and industry," Information Systems Review, 11(2), pp. 113-129, Oct. 2009.
- M.S. Lee, E.M. Trauth, D. Farwell, "Critical skills and knowledge requirements of IS professionals: A joint academic industry/investigation," MIS Quarterly, 19(3), 313-340, Sep. 1995. https://doi.org/10.2307/249598
- R.D. McLachlin, "Factors for consulting engagement success," Management Decision, 37(5), 394-404, May 1999. https://doi.org/10.1108/00251749910274162
- Hyo-Jung Jeon, Hye-Won Yoo, Tae-Sung Kim, "Analysis on knowledge and skills for information security professionals," Information Systems Review, 10(2), pp. 253-267, Oct. 2008.
- Myung-Gil Choi, Se-Heon Kim "Analysis of knowledge and skill for security professionals," Asia Pacific Journal of Information Systems, 14(4), pp. 71-85, Dec. 2004.
- M. Rynning, "Successful consulting with small and medium-sized vs large clients: meeting the needs of the client?" International Business Journal, 11(1), 47-60, Jan. 1992.
- P.A. Todd, J.D. McKeen, and R.B. Gallupe, "The evolution of IS job skills: a content analysis of IS job advertisements from 1970 to 1990," MIS Quarterly, 19(1), 1-27, Mar. 1995. https://doi.org/10.2307/249709
- National Competency Standards, http://www.ncs.go.kr/
- Job Korea, http://www.jobkorea.co.kr/
- Worknet, http://www.work.go.kr/
- Small and Medium Business Administration, Practitioners' Manual for Information Security Consulting, Dec. 2007.
- L.M. Spencer, S.M. Spencer, Competence at Work Models for Superior Performance, John Wiley & Sons, 1993.
- A.D. Lucia, R. Lepsinger, The Art and Science of Competency Models: Pinpointing Critical Success Factors in an Organization, San Francisco : Jossey-Bass, 1999.
- So Hyun Park, Kuk Hie Lee, "Consulting competence of IT consultants: Perceived differences between IT consultants and business clients," Information Systems Review, 11(1), pp. 107-132, Apr. 2009.