[CSO협회] 보안전문가의 필수 지식 ‘EBK’를 아십니까?

이재우 교수, “한국판 EBK 제정 필요” 강조

[보안뉴스 김정완] 국제공인정보시스템 보안 전문가 CISSP 자격증을 소지하고 있는 정보보안 전문가는 물론 정보보안에 관심을 가지고 있다면 정보보호지식체계인 CBK(Common Body of Knowledge)를 알고 있을 것이다. 그렇다면 EBK(Essential Body of Knowledge)에 대해서는?

▲28일, 한국CSO협회 제8차 CSO포럼에서 협회 자문위원장인 이재우 동국대 석좌교수가 ‘CBK와 IT보안 EBK’란 주제로 특별강연을 펼치고 있다. ＠보안뉴스.

미국 국토보안부가 지난 2008년 9월에 제정·공표한 EBK는 그런 만큼 국내에는 아직 널리 알려진 정보보안지식체계는 아니다. 하지만 CBK가 정보보안 전문가들에게 있어 필수 정보보호지식체계인 것처럼 EBK 역시 향후에 있어 글로벌한 보안전문가의 필수 지식이 될 것이란 것이 이재우 동국대 석좌교수(한국CSO협회 자문위원장)의 말이다.

한국CSO협회(회장 이홍섭)가 28일 가진 제8회 CSO포럼에서 특별강사로 나서 ‘CBK와 IT보안 EBK’란 주제로 강연을 펼친 이재우 교수는 그런 만큼 미국의 EBK를 알고, 이에 대한 공부와 연구를 통해 한국판 EBK 제정이 필요하다고 강조했다.

이날 이재우 교수는 “CBK가 총체적으로 알아야 하는 정보보호지식체계라면, EBK는 정보보호뿐만이 아니라 물리적 보안 등까지도 포괄하고 있는 만큼 보안전문가가 반드시 알아야 하는 보안지식체계”라며 “단순히 현재까지는 미국 정보보안의 기준이지만 반드시 이 시큐리티 기준이 글로벌화될 시기가 올 것인 만큼 그에 대한 공부와 연구가 필요하다”고 역설했다.

이재우 교수가 발표를 통해 소개한 EBK는 지난 2003년 설립된 美 국토보안부-사이버 보안청(DHS-NCSD)이 IT 보안 실무 전문가가 반드시 알고 시행해야 할 Essential Knowledge 및 Skill의 국가 기준이 될 높은 수준의 프레임워크를 작성한 것으로 2007년 최초로 EBK 초안을 소개하고 의견을 수렴한 후 2008년 9월 제1판 EBK를 공표하면서 매 2년마다 재평가해 보강할 것을 밝힌 만큼 올해 9월 제2판 EBK의 버전업에 이목이 집중되고 있는 상황이다.

그러한 EBK에는 △IT 보안인력 중 전문가(Professionals) 명시 △필수적인 보안지식과 Skill의 기준 △보안인력의 선발, 교육, 훈련을 위한 스탠다드와 가이드라인 △각기 다른 기준으로 자체 개발한 보안자격증의 참조 기준 △공공분야와 민간분야의 공동 사용 기준 등을 제공하고 있다.

▲IT Security EBK의 ‘Competency & Functional Framework’.

또한 CBK가 정보보안 관리, 암호학 등의 주제로 도메인(Domain) 1~10으로 구성돼 있는 데 반해 EBK는 △Data Security △Digital Forensics △Enterprise Continuity △Incident Management △IT Security Training & Awareness △IT Systems Operations & Maintenance △Network & Telecommunications Security △Personnel Security △Physical & Environmental Security △Procurement △Regulatory & Standards Compliance △Security Ri나 Management △Strategic Security Management △System & Application Security 이상 총 14개로 구성돼 있다. 특히 이들 14개의 카테고리의 기능은 M.D.I.E(Manage. Design. Implement. Evaluate) 라이프 사이클을 통해 상세하게 기술돼 있으며, 그 외에도 필수 내용 및 용어 등을 포함하고 있다.

한편 이재우 교수는 이날 발표를 통해 “이와 같이 미국이 국가적 기준을 제시해서 발전시키는 모습을 벤치 마킹할 필요가 있으며, 한국판 EBK를 만들 필요가 있다”고 강조했다.

[김정완 기자(boan3@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)