세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
[주말판] 공부하고 싶은 봄, 보안 분야 국제 자격증 총망라
  |  입력 : 2018-03-03 15:21
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
정보보안, 국제적으로 인정받고 있는 자격증은 무엇일까?
초급부터 고급까지...보안 분야에서 성공하기 위해 알아야 할 분야들


[보안뉴스 문가용 기자] 1월만큼 공부에 대한 각오가 새롭게 다져지는 때가 있으니, 바로 봄이 막바지 바람을 뚫고 도착하는 3월이다. 봄맞이 대청소 할 때 언젠가 읽겠다고 쌓아둔 책들이 머금은 먼지도 털어내고, 평소 관심을 가지고 있었던 자격증에 대한 정보도 알아본다. 그런 건강한 결단들을 북돋고자, 본지에서는 이번 주말 보안 분야의 국제 자격증들을 정리해 보았다. 어느 정도 이름값이 있고, 그래서 사실상의 공신력을 가지고 있는 공인 자격증과 민간 자격증 모두를 포함했다.

[이미지 = iclickart]


1. (ISC)2의 자격증들
먼저는 국제 자격증의 ‘디폴트’라고 볼 수 있는 CISSP 자격증으로 유명한 (ISC)2에서 제공하는 자격증들이다. 자격증 자체에 대한 정보도 좋지만, 왜 지금 시대에 이러한 자격증들이 제공되고 있는지도 파악하면서 공부를 해나간다면 더 도움이 될 것이다. 보안은 복잡한 분야라 다양한 전문 지식 및 기술이 필요하다.

1) CISSP : 1994년 처음 신설된 정보보안 분야 자격증(Certified information Systems Security Professional)으로 미국규격협회 혹은 미국표준협회(ANSI)가 정보보안 분야에서는 처음으로 인증한 전문가 과정이다. 지금은 국제 보안 전문성을 가늠하는 표준 자격증과 마찬가지의 가치를 가지고 있다. 5년 이상의 해당 분야 경험이 있어야만 자격을 취득할 수 있다. 실무 경험이 없다면 Associate 버전을 노려보는 것도 나쁘지 않다.

2) CCFP : 사이버 포렌식 전문가(Certified Cyber Forensics Professional) 과정으로, 사건을 대응하고 수사하는 기술을 공부할 수 있다. 이전에는 사건이 발생하지 않도록 예방하는 것이 가장 중요한 일이었다면, 사건 대응 시간을 줄이는 것이 현대 정보보안의 핵심 가치다.

3) CCSP : 클라우드 보안 전문가(Certified Cloud Security Professional) 과정으로 (ISC)2와 클라우드 보안 동맹(Cloud Security Alliance)가 공동으로 제공한다. 클라우드를 제어하고 보안을 강화하는 방법에 대해 공부할 수 있다. 클라우드는 앞으로 디지털 기술과 맞물린 인간의 생활을 크게 바꿀 것으로 기대되는 기술이다.

4) CCSLP : 한국에서는 좀 덜 알려진 자격증으로 보안 소프트웨어 생애주기 전문가(Certified Secure Software Lifecycle Professional) 과정을 공부할 수 있게 해준다. 소프트웨어가 경제 활동의 중심부로 점점 들어가는 때에 ‘보안에 입각한 설계’라는 개념이 점점 더 중요해지는데, 그 부분에 관한 전문 지식을 쌓을 수 있게 해준다.

5) HCISPP : 의료건강 정보 보안 및 프라이버시 전문가(HealthCare Information Security and Privacy Practitioner) 자격증으로, 이름 그대로 의료 분야의 정보보안 전문가를 양성하기 위한 과정이다. 의료 분야의 개인정보는 허술하게 지켜지고 있고, 암시장에서는 일반 개인정보보다 높은 가격에 거래되고 있어, 앞으로 보안 전문가들이 많이 신경 써야 할 것으로 보인다.

6) JGISP : 수요가 매우 드문 자격증일 수도 있는데, 혹시나 일본 정부와 관련된 보안 업무에 관심이 있다면 JGISP 자격증을 공부해보는 것이 도움이 될 것이다. 일본 정부 정보 보안 전문가(Japanese Government Information Security Professional)의 준말로, 일본 정부가 필요로 하는 정보보안 지식과 기술을 평가한다. 일본은 IT 강국이긴 하지만 보안에 있어서 그다지 뚜렷한 성과를 내고 있지 못한데, 정부 차원에서 국제적인 자격 인증 기관과 손을 잡고 이런 자격증을 마련했다는 것이 고무적이다.

7) CAP : 증명 및 인가 전문가(Certification and Accreditation Professional) 과정으로 미국 국무부의 정보 보증 사무국(Office of Information Assurance)과 (ISC)2가 공동으로 만들었다. 복잡한 시스템과 환경의 위협을 평가하고 보안에 필요한 것들을 계획하고 구축할 수 있게 해주는 전문가를 양성하는 프로그램이기도 하다. 산업 시스템과 사회 기반 시설에 대한 해킹 공격이 빈번해짐에 따라 만들어졌다.

8) CISSP과 궁합이 좋은 자격증이 따로 마련되어 있다. 총 세 가지로, 정보 시스템 보안 아키텍처 전문가(ISSAP), 정보 시스템 보안 엔지니어링 전문가(ISSEP), 정보 시스템 보안 관리 전문가(ISSMP)가 바로 그것이다. CISSP을 취득한 이후 공부를 더 진행하고 싶다면 이 세 가지를 필요에 따라 차례로 취득하면 기술과 관리적인 측면에서 지식을 더 쌓을 수 있다.

2. (ISC)2 외 국제 자격증들 – 보편적인 자격증
보안과 관련된 코스를 제공하고 자격증을 주는 기관은 (ISC)2 만이 아니다. CISSP과 비슷한 혹은 CISSP과 경쟁 관계에 있는 자격증들도 있다. 그러므로 상세히 비교해보고 자기에게 더 잘 맞는 자격증을 목표로 삼는 것이 현명할 것이다. 이 부분은 크게 ‘특정 기업이나 기술에 묶이지 않은 보편적 자격증’과 ‘특정 기업이나 기술에 특화된 자격증’으로 구분했다.

먼저는 특정 기업이나 기술에 특화되지 않은 자격증들이다. 업계 평가가 괜찮은 것들만 모아보았다.
1) CISA : 정보 시스템 감사(Certified Information Systems Auditor) 자격증으로 내부 감사 전문가가 되고 싶다거나, HIPAA, PCI, GLBA 등 보안 산업 표준 및 규정에 특화된 전문가가 되고 싶을 때 알맞다. 정보시스템감사조정협회(ISACA)가 주관하며 www.isaca.org/cisa에서 보다 상세한 정보를 열람할 수 있다.

2) CISM : 정보 보안 관리자(Certified Information Security Manager) 자격증으로 (ISC)2의 ISSMP와 비슷한 위치에 있다. 보안 관리자 직책에 있거나 관련 지식을 보강하고 싶을 때 검토해볼 수 있는 자격증이다. 역시 ISACA가 관리하고 있다. 보다 상세한 정보는 www.isaca.org/cism에서 열람 가능하다.

3) CRISC : 위험 및 정보 시스템 제어 인증(Certified in Risk and Information Systems Control) 과정으로 ISACA가 비교적 최근에 마련한 새로운 자격증이다. 보안이 ‘위험을 관리하는 분야’라는 인식이 대두되고 있는 것을 보여준다. 보다 상세한 정보는 www.isaca.org/crisc에서 열람이 가능하다.

4) CGEIT : 거버넌스 및 기업 IT 인증(Certified in the Governance of Enterprise IT) 과정으로 IT 관리 및 거버넌스 분야에서 보안 업무를 담당하고 싶다면 노려볼 만한 자격증이다. 효율적인 보안이란 IT 관련 전문가 및 자산의 효율적인 관리와 통제, 즉 거버넌스가 뒷받침 해주어야만 가능해진다. www.isaca.org/cgeit에서 보다 상세한 정보의 열람이 가능하다.

5) CPP : 보호 인증 전문가(Certified Protection Professional) 과정으로 기본적인 보안 관리에 관한 지식을 제공하며, 그에 대한 전문가를 인증해준다. ASIS 인터내셔널(ASIS International)에서 관리하며, 보안 컨설턴트 및 보안 관리사를 꿈꾸는 많은 전문가들에게 ‘광범위한 지식’을 전수해주는 과정이다. 보다 상세한 내용은 www.asisonline.org/certification에서 열람이 가능하다.

6) PSP : 물리 보안 전문가(Physical Security Professional) 과정으로 역시 ASIS 인터내셔널에서 관리한다. 위협을 관측하고 예측하며, 그에 따라 물리와 논리를 아우르는 통합 보안 시스템을 구축하는 데 필요한 전문 지식을 쌓게 해준다. www.asisonline.org/certification에서 상세 정보를 열람할 수 있다.

7) CIPP : 정보 프라이버시 전문가(Certified Information Privacy Professional) 과정으로 국제프라이버시전문가협회(International Association of Privacy Professionals)가 마련했다. 개인정보와 프라이버시 보호에 특화된 정보보안 전문가가 되고 싶다면 공부해봄직한 자격증이다. 보다 상세한 정보는 www.privacyassociation.org서 열람이 가능하다.

8) CBCP : 비즈니스 지속성 기획 전문가(Certified Business Continuity Planner) 과정으로 재난복구기관(Disaster Recovery Institute)에서 관리한다. 각종 사이버 공간 속 위협 속에서 사업 운영과 서비스가 끊이지 않도록 하게 해준다. 보다 상세한 정보는 www.drii.org에서 열람이 가능하다.

9) DRCE : 재난 복구 인증 전문가(Disaster Recovery Certified Expert) 과정으로 사건 발생 시 복구를 신속하게 진행하기 위한 대비책 마련 및 보안 시스템 마련에 대한 전문 지식을 쌓게 해준다. 보다 상세한 정보는 www.bcm-institute.org서 열람이 가능하다.

10) PMP : 프로젝트 관리 전문가(Project Management Professional) 과정으로 프로젝트 진행에 필요한 자원과 시간 관리하는 법에 대해 공부할 수 있다. 보안이 IT 환경뿐만 아니라 사업 영역의 관리에도 점점 관여하게 되면서, PMP도 해외 보안 전문가들이 꽤나 주목받고 있다고 한다. 보다 상세한 정보는 www.pmi.org에서 열람이 가능하다.

11) PCI-QSA : 지불 카드 산업 인증 보안 평가자(Payment Card Industry Qualified Security Assessor) 과정으로 PCI-SSC로 유명한 지불카드산업보안표준위원회(Payment Card Industry Security Standards Council)가 관리한다. 지불 카드의 프로세싱과 관리, 관련 정보의 보호 전문가가 되고 싶을 때 필요한 자격증이다. 보다 상세한 정보는 www.pcisecuritystandards.org서 열람이 가능하다.

12) PCI-ISA : 지불 카드 산업 내부 보안 평가자(Payment Card Industry Internal Security Assessor) 과정으로 역시 PCI-SSC에서 관리한다. 조직 내에서 고객들의 지불 카드 정보를 관리하기 위한 전문가가 필요하다면, 이 자격증을 공부시켜 봄직하다.

13) GIAC : 세계 정보 보증 자격증(Global Information Assurance Certification)으로 감사, 관리, 운영 등의 항목으로 구성되어 있다. CISSP와 상당히 유사하다. CISSP의 자매 자격증과 비슷한 포렌식 자격증인 GCFA, 사건 대응 관련 자격증인 GCIH도 있다. 보다 상세한 정보는 www.giac.org/certifications에서 열람이 가능하다.

3. (ISC)2 외 국제 자격증들 – 특정 기술 및 업체 특화 자격증들
이 분야에 속하는 자격증은 무수히 많기 때문에 일일이 열람하는 게 불가능하다. 그래서 유명한 것들만 몇 가지 뽑아 간추렸다.

1) CCIE : 시스코 인증 인터네트워킹 전문가. www.cisco.com/certifications
2) CPSA : 체크포인트 보안 관리자 전문가. www.checkpoint.com/certification
3) CSFA : 사이버 보안 포렌식 분석가. www.cybersecurityforensicanalyst.com
4) RHCSS : 레드햇 인증 보안 전문가. www.redhat.com/certification/rhcss
5) CompTIA Security+ : 초심자급 자격증으로 보안의 ‘ㅂ’도 모르는 사람들이라면 처음 도전해보기 좋은 자격증이다. https://certification.comptia.org

4. 자격증, 어떻게 선택할까?
자격증은 끝도 없이 많다. 1년에 하나씩 취득한다고 해도 평생 다 취득하는 게 불가능할 정도다. 그러므로 다음과 같은 질문을 통해 신중하게 선택하도록 하자.

1) 보안 분야에 있어 나의 위치는 어느 정도인가? 나의 강점은 기술인가, 정책인가, 운영인가, 개발인가, 관리인가? 그 강점을 키워야 하는가, 다른 부분을 보완해야 하는가?
2) 나는 미래에 어떤 위치에 오르고 싶은가? 보안 관리자가 되고 싶은가, 멀웨어 분석가가 되고 싶은가, 해킹으로부터 방어하는 전문가가 되고 싶은가?
3) 내가 지금 보유한 자격증은 무엇인가? 내가 현재 보유한 기술과 지식으로 보다 쉽게 딸 수 있는 자격증은 무엇이며, 그렇지 않은 자격증은 무엇인가?
4) 미래에 반드시 확보해야 할 기술이나 지식은 무엇인가? 내가 속한 조직이나, 내가 가고 싶은 조직에서 요구하는 기술과 지식은 무엇인가?
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 3
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)