최근의 보안 사고는 정보시스템 자체 취약점에 대해 외부로부터의 공격을 통해 발생하는 경우도 있지만, 작년 카드 3사의 고객개인정보 유출 같이 조직 내 업무를 수행하는 과정상에서 내부자 또는 수탁자 등과 같은 업무관계자를 통해 사고가 발생하는 경우가 빈번히 발생하고 있다. 또한 최근 한수원 사고처럼 직원들에게 악성코드가 담긴 이메일을 발송하여 시스템을 감염시키고 내부 기밀정보를 유출하는 등 사회공학적 기법을 이용한 공격을 감행하는 사고도 크게 증가하고 있는 추세다.
이러한 상황에서는 아무리 뛰어난 기술적 대책도 완벽하게 막을 수는 없다. 즉, 보안은 사람에 대한 관리가 더 중요하다고 할 수 있다. 조직 내에서 보안은 한정된 Information Security에서 모든 비즈니스 프로세스 상에서 보안을 고려해야 하는 Business Security 관점으로 변하고 있다.
이에 이러한 업무를 담당할 고급전문인력을 양성하고 있는 학과가 있어 눈길을 끈다. 상명대학교의 지식보안경영학과 (학과장 유진호 교수)가 바로 그곳이다.
학과를 이끌고 있는 유교수는 “대부분의 정보보호학과들은 기술 중심의 인재를 양성하고 있다. 이에 반해 상명대 본교의 지식보안경영학과는 IT 부서에 한정된 보안활동을 넘어, 조직의 경영전략과 연계된 보안전략을 수립함은 물론, 조직 내 위험분석 및 위험평가 등의 보안관리 업무를 수행하는 멀티인재를 양성하는 것이 학과의 설립 목적입니다. 이를 위해 기본적인 기술 역량뿐만 아니라 정보보호 관련 법/제도, 정책, 관리 등 여러 방면으로 균형 잡힌 역량을 갖추도록 교육하고 있습니다”라고 학과에 대한 자부심을 내비치고 있다.
학과의 교육과정은 보안경영학, 보안공학 과목을 이론과 실습 과정으로 구분하여 운영하고 있고, 특히 현업 전문가들의 강의 비중을 높여 실무 위주로 교육을 이끌어 가고 있다.
보안경영 과목에는 정보통신정책론과 정보보호정책, 기업보안 관리론, 기업보안 법률과 정책, 기업보안 투자 및 성과분석, 위험관리론, 보안컨설팅 이론과 실제, 개인정보영향평가, 비즈니스 영향분석 및 연속성 관리, 보안관리 실무연습 등이 있고, 보안공학 과목에는 정보보호이론, 보안시스템 분석 및 설계, 네트워크 보안과 시스템 보안, 기업보안관제 및 감사, 보안기술과 활용 등 실무위주의 교과목들로 편성이 되어 있다.
특화된 교육과정으로 현장밀착형 교육 펼쳐
이러한 교과목들을 바탕으로 석사과정 졸업 후에 바로 현장에 투입될 수 있도록 현장 밀착형 교육을 실시한다는 것이 장점이다. 현장에서 뛰고 있는 보안 전문가들의 수업 참여비중을 최대한 높여 현장의 실무사례를 가지고 실습수업을 진행하고 있으며, 졸업과 동시에 바로 업무에 투입될 수 있는 특화된 교육과정을 펼치고 있다.
이에 이러한 교육과정 및 다양한 산학협력의 경험을 바탕으로 졸업시까지 개인정보관리사(CPPG), 산업보안관리사, 윈도우포렌식 등 관련 자격증을 취득하도록 하여 시장에서 객관적 전문성을 입증 받도록 권장하고 있다. 최근에는 20명 재학생 가운데 8명이 개인정보관리사(CPPG) 자격증을 취득하였고, 5명이 산업보안관리사, 19명이 윈도우포렌식 2급 자격증, 1명이 Accessdata Certified Examiner(ACE) 포렌식전문가 자격증을 취득하기도 했다.
학문적인 측면에서는 석사과정 학생으로서 스스로 논제를 설정하고 문제해결 능력을 키워 논문을 작성할 수 있도록 연구방법론 교육을 실시하고 있으며, SAS, SPSS 등과 같은 통계패키지 활용 교육도 병행하여 논문 작성에 도움을 주고 있다.
뿐만 아니라 보안 전문가는 습득한 보안지식을 어떻게 사용하느냐에 따라 <악의적인 공격자> 또는 <보안 전문가> 등으로 상반되게 진출할 수 있기 때문에, 보안윤리교육도 강조하고 있고, 중소규모의 기업에서 기본업무에 충실하면서, 직장 동료와 협업하면서 미래의 자기계발을 할 수 있도록 소양교육도 실시하고 있다.
또한 세계 정보보안 시장의 동향 파악을 위하여 학생들에게는 정보보안 관련 국제 컨퍼런스에 참가하는 기회를 제공하여 보안전문가들과의 만남은 물론 이를 통하여 네트워킹 할 수 있는 기회를 제공하여, 전문가로서 비전을 갖고 업무를 할 수 있도록 지원을 아끼지 않고 있다.
작년에는 10명의 석사과정 학생들에게 중국 북경에서 개최된 SecureAsia 컨퍼런스에 참가하는 기회를 제공하여 학생들이 최신 보안 트렌드에 대한 지식 습득은 물론, 글로벌 보안전문가들로부터 어떤 로드맵을 가지고 정보보호 업무를 해야 하는지에 대한 멘토링을 받기도 하였다.
또한 본 학과에서는 사이버 포렌식 컨설팅 역량을 갖추도록 하기 위해 사이버포렌식 총론, 사이버포렌식 증거분석, 사이버포렌식 컨설팅 및 조사, 윈도우 포렌식 등의 교육을 진행할 계획을 갖고 있다.
산•학협력을 바탕으로 현장형 실무인재 양성
최근에는 빠른 속도로 스마트 기기가 대중화되면서 사이버 범죄 역시 상당히 광범위한 범위로 일어나고 있다. 개인적인 부문으로는 소액결제 등과 같은 금융사기부터 정보 유출 등다양한 분야의 사고가 일어 날 수 있기 때문이다. 그러나 정작 중요한 것은 이러한 문제가 기업이나 정부 차원에서 발생할 경우 그 위험성은 더 높다는 것이다. 기밀문서 유출로 심각한 브랜드 손상이 발생할 수도 있고, 국제 사회에서의 경쟁력을 약화시켜 돌이킬 수 없는 지경에 이를 수도 있다. 이처럼 사회의 정보화와 함께 범죄도 물리적 공간을 넘어 전자공간으로 스며들고 있다. 이를 대처하기 위해서는 과학수사와 수사과학 분야에서 새로운 형태의 컴퓨터 법의학이 필요하게 되어서 본 학과에서는 사이버포렌식과 관련된 인재도 양성할 계획이다.
이 밖에도 방학중에는 기업현장을 통하여 인턴쉽을 진행하고, 개개인들이 부족한 내용을 바탕으로 특강 중심의 심화학습을 산ㆍ학 공동으로 실시하여 현장에서 일어나는 다양한 경험들을 쌓아나가고 있다.
전자신문인터넷 미래전략팀