정보보안전문가는 조직의 정보시스템이나 네트워크를 보호하기 위한 보안 조치를 계획·실행하여 내외부의 위협으로부터 정보자산을 보호한다.

하는 일
정보보안전문가는 조직의 정보시스템이나 네트워크를 보호하기 위한 보안 조치를 계획·실행하여 내외부의 위협으로부터 정보자산을 보호한다. 이를 위하여 정책 수립부터 시스템, 네트워크, 데이터베이스, 애플리케이션 등 관련 시스템을 점검하고 다각적인 해결책을 제시하는 역할을 한다.

IT기술이 발전되고 확대되면서 보호해야 할 대상이 시스템, 정보, 사람으로 확대되고 있다. 컴퓨터, 시스템, 스마트폰, 사물인터넷, 스마트팩토리, 자율주행차 등 IT기술이 접목되는 모든 분야에서 정보보안이 필수이다. 기술중심의 정보보안보다 범위가 넓은 정보보호, 사이버보안 등의 용어도 많이 사용된다.

정보보호전문가, 컴퓨터보안전문가로도 불리는 이들은 개인용 PC의 백신 사용 여부, 바이러스 침투 여부 및 데이터베이스 접근 권한, 프로그램 소스코드분석, 시스템 접근 권한에 이르기까지 보안 취약점을 분석해 고객의 환경에 적합한 최적의 보안시스템을 설계하여 제시한다.

또한 고객의 동의하에 모의 해킹 테스트를 하기도 하며, 자체 개발한 스크립트, 상용 프로그램 등을 이용해 보안상의 문제점에 대한 해결방안을 제시해준다.

설계된 보안시스템이 적절히 구현되도록 감리하며, 보안점검과 문제점 해결이 끝나면 보고서를 통해 고객에게 그동안의 상황과 테스트 결과, 해결된 문제점, 비상대책 방침, 향후 조치 등을 알린다. 주기적으로 보안시스템의 유지·보수를 담당하기도 한다.

◎ 컴퓨터 보안업무는 다양한 영역으로 확대되고 있으며 규모가 큰 회사일수록 보안 관련 업무가 세분화·전문화되어 있다.

첫째, 정보보호관리·운영이다. 조직의 비전과 미션을 수행하기 위하여 정보 자산을 안정적으로 운영하는 데 필요한 정보보호 전략과 정책을 수립하고, 법령 준수, 보호관리 활동을 수행하며, 위험관리에 기반한 정보보호 대책을 도출하고 실행한다.

둘째, 정보보호진단·분석이다. 주요 정보자산을 보호하기 위한 보안진단과 위험평가를 수행하고 제품평가 인증, 정보보호 대책 도출, 관리체계 설계, 보안전략을 수립하고 자문한다.

셋째, 보안사고분석대응이다. 보안사고의 위협정보를 탐지하고, 시스템 복구와 예방 전략을 수립하는 일과 보안사고로 인한 업무 및 서비스에 영향을 준 증거를 확보 후 분석하여 신속하게 대응한다.

넷째, 정보보호암호·인증이다. 정보의 기밀성과 무결성, 신뢰성을 보장하기 위한 암호 및 인증 기술을 개발, 관리, 검증하고 해당 시스템을 운영한다.

다섯째, 지능형영상정보처리이다. 영상 내 이벤트 검출을 위하여 이벤트 유형에 따라 지능형영상정보처리 알고리즘을 개발하고, 이를 탑재한 정보처리시스템을 구축한다.

여섯째, 생체인식(바이오인식)이다. 개인의 고유한 생리학적 또는 행동학적 특징을 획득 및 추출한 정보로 신원을 식별하거나 인증하기 위하여 생체인식 시스템을 개발 및 평가한다.

일곱째, 개인정보보호이다. 개인정보를 법령 등에 따라 생명주기별로 안전하게 보호하고 관리·운영하기 위한 기술적, 물리적, 관리적 보호조치를 수행한다.

여덟째, 디지털포렌식이다. 디지털 기기에서 발생된 특정 행위의 사실 관계를 규명하고, 추후 법정에서 증거 자료로 인정될 수 있도록 요건을 갖추어 과학적 방법으로 증거물을 수집, 이동, 보존, 분석, 제출, 검증한다.

아홉째, 영상정보보안·운영이다. 영상정보의 수집, 저장, 반출, 파기 등 처리 과정에서 기밀성, 무결성, 가용성을 확보하고 접근통제와 오남용 방지, 영상정보관제, 보안사고대응 등의 업무를 수행한다.

< 업무 환경 > 종사 분야와 업무 성격에 따라 근무환경이 다르다. 보안관제센터는 365일 24시간 운영되어 야간근무나 교대근무 등이 이루어지는 운영팀과 보안사고에 대한 예방과 분석을 하는 CERT팀이 존재한다. 보안컨설팅, 취약점 진단 등의 중장기 프로젝트를 수행할 때는 의뢰한 회사에 몇 개월간 상주하면서 근무하기도 한다.

크고 작은 해커의 공격이나 해킹시도 등의 보안 사고는 언제든 발생할 수 있기 때문에 항상 긴장을 늦출 수 없으며, 업무시간을 피해 야간에만 수행해야 하는 작업도 종종 발생한다. 코로나19 팬데믹 이후 재택근무가 확산되고 있다.

되는 길
컴퓨터 보안 업무를 하기 위해서는 각종 운영체제(OS)와 HW는 물론 네트워크, 프로그래밍, 데이터베이스 등 다양한 컴퓨터 관련 지식이 필요하다. 따라서 전문대학이나 대학교의 컴퓨터나 정보보호 관련 학과 등에서 IT 분야 전반에 대한 지식을 쌓은 후 진출하는 것이 유리할 수 있다.

또한 정보보호 관련 동아리 활동 경력이나 각종 보안 관련 대회에서 수상한 경력도 도움이 된다. 이외에도 컴퓨터 보안과 관련된 사설교육기관의 교육과정을 이수할 수도 있다. 정보기술 및 정보보안 기술의 발전과 법제도 변경에 따라 취직 후에도 꾸준한 자기계발이 필수적이다.

관련 학과: 정보보호학과, 정보보안공학과, 정보보안해킹과, 사이버경찰과, 통계학과, 컴퓨터공학과, 수학과, 통계학과, 응용소프트웨어공학과 등

관련 자격: [국내] 정보보안기사, 네트워크관리사, 리눅스마스터, 정보처리기사
[국제] CISA(국제공인정보시스템 감사사), CISSP(국제공인정보시스템 보안전문가),
ISMS-P(인증심사원 자격), CCNA, CCNP, LPIC

< 적성 및 흥미 > 정보자산 보호를 위한 정책 수립, 시스템, 네트워크, 데이터베이스, 애플리케이션 등 관련 정보보안 개발 및 운영이 기본 업무이므로 분석적으로 사고할 수 있어야 한다. 전산, 기술 분석, 기술 설계, 정보보안기술 등의 능력이 요구되며, 컴퓨터와 전자공학, 통신, 공학과 기술, 의사소통과 미디어, 정보보호 관련 법 등의 지식을 갖춘 사람에게 적합하다. 혁신적이고 탐구적인 성격의 사람에게 적합하다.

< 경력 개발 > 중요한 국가 정보통신 기반시설에 대한 취약점 분석과 보호대책 수립을 지원하는 정보보호컨설팅 전문업체를 비롯해 보안관제업체, 바이러스백신개발업체, 인터넷서비스제공업체(ISP), 보안시스템개발업체, 기업체의 정보보호 부서, 국가기관 등에서 일한다.

규모가 큰 업체나 정보보호컨설팅업체 등에서는 4년제 대학교 졸업 이상자에 한해 채용하는 곳도 많으며 신입직원보다 경력직원을 우대하여 채용하는 편이다. 소프트웨어, 하드웨어, 네트워크 등 컴퓨터 전반에 대한 해박한 지식이 있어야 하고, 다양한
장비와 소프트웨어들을 다루어본 경험이 있으면 채용에 유리하다. 응용소프트웨어개발자로 종사하다가 정보보안전문가가 되기도 한다.

보안전문업체에 입직한 경우는 다양한 프로젝트 경력을 쌓으면서 단위 업무의 리더인 프로젝트 리더(PL)를 거쳐 하나의 프로젝트를 총괄하여 책임지는 프로젝트매니저(PM)로 승진할 수 있다.

국가기관이나 연구기관의 경우 해당 승진체계에 따라 승진한다. 어느 정도 경력이 쌓이면 기술직에서 관리직으로 전환할 수 있으며, 관련 업체에 경력직으로 이·전직할 수도 있다. 경력을 바탕으로 SM직군(시스템 운영관리), 감리나 인증심사원 등으로 활동할 수도 있다.

보안관제업체에 입직한 경우에는 다양한 보안장비를 구축하거나 운영할 수 있는 업무가 주어지며, 침해사고대응(CERT) 등의 업무를 통해 현장의 스킬을 습득하여 고급 보안전문가로 성장할 수 있다. 따라서 최근 이러한 인력들이 대기업의 보안전문가로 이직하기도 한다. 이외에도 보안컨설팅 회사나 보안 관련 프로그램 제작 및 판매 업체 등을 창업할 수 있다.

일자리 전망

향후 10년간 정보보안전문가의 일자리는 다소 증가할 것으로 전망된다.「2021-2031 중장기인력수급전망」(한국고용정보원, 2020)에 따르면, 정보보안전문가는 2021년 약 12천 명에서 2031년 약 14천 명으로 향후 10년간 약 2천 명(연평균 1.8%) 증가할 것으로 전망된다.

사물인터넷, 클라우드 컴퓨팅, 개인용 서버, 모바일 기기 등의 사용이 보편화되면서 정보에 대한 보안이 갈수록 중요해지고 있다. 개인정보보호 등 정보보안은 우리 생활과도 아주 밀접한 문제이다.

더욱이 기업에서는 산업활동에 유용한 기술 등 산업자산 보호가 중요해지고 있으며 국가기반시설에 대한 보안 문제는 국가안보 또는 국익과도 직결되기 때문에 전문가를 통한 보안 유지의 필요성이 커지고 있다.

특히 사물인터넷과 클라우드컴퓨팅 환경의 확대, 스마트폰 등 모바일 기기 사용자 확대 등 초연결 사회로의 이행은 필연적으로 정보보안의 수요를 촉진하고 있다. 향후 지능형 사이버 보안이 핵심사이버 방어기술로 예측되고 있으며, 지능형 영상감시 등 물리 보안 역시 국가안보전략기술로 인식되어 빠르게 성장하고 있다.

한국정보보호산업협회(2022)의 「국내 정보보호산업 실태조사」에 따르면, 2020년 말 기준, 정보보안 시장 3조 9214억 원, 물리보안 시장 8조 3029억 원으로 지난 2014년 이후로 매년 9.1%의 증가세를 보이고 있다. 세부적으로 보면 정보보안이 9.1%로 물리보안보다 높다.

정보보호산업 인력의 수는 총 54,706명(2020.12.)으로 이중 정보보안 인력은 28.9%인 15,832명, 물리보안 인력은 71.1%인 38,874명인 것으로 조사되었다.

정보보안 인력을 직무별로 보면 정보보안관리직이 7,936명(정보시스템관리, 3,660명, 정보보안컨설팅 2,073명, 정보보안관제 2,233명)으로 가장 많았고, 정보보안연구 및 개발직이 4,510명, 정보보안영업직(마케팅직) 2,097명, 기타정보보안시스템감리 및 인증, 정보보안교육 등이 포함된 기타 정보보안관련직은 1,307명이었다.

한편, 개인정보를 비롯하여 정보보호 및 보안에 대한 정책은 국내외적으로 강화될 것으로 보여 일자리 증가에 긍정적이다. 주요 국가들은 데이터 기반 디지털경제에서 주도권을 확보하고 자국민의 개인정보를 위해 개인정보보호 관련 법제도를 정비·강화하고 있다.

대표적으로 EU는 유럽 내 사업장을 운영하는 기업뿐만 아니라 전자상거래 등을 통해 해외에서 EU 주민의 개인정보를 처리하는 기업에도 적용되는 일반 개인정보보호법(GDPR, General Data protection Regulation)을 제정해 2018년 5월 25일 시행에 들어갔다.

GDPR은 금융기관, 생명보험사처럼 정보 주체의 민감한 정보를 처리하는 경우 개인정보보호전문관리자(DPO, Data Protection Officer)를 의무적으로 지정하도록 규정을 도입하였다. 국내에서도 국제적 수요에 맞는 개인정보관리자를 육성하고 기업에서 의무적으로 고용하도록 하는 법률의 도입을 추진하고 있다.

종합하면, 지능정보기술의 발전과 해당 기술이 범 산업적으로 융합되어 클라우드컴퓨팅 서비스를 비롯한 정보보안 연계 서비스가 확충될 것으로 예측됨에 따라 개인정보를 비롯하여 산업보안, 국가보안 등 정보보호 및 보안에 대한 중요성은 커질 것으로 보이며 이에 대한 국내외적 정책 및 법제도 강화가 더해져 정보보안전문가의 일자리는 향후 10년간 다소 증가할 것으로 전망된다.

관련 직업: 네트워크시스템개발자, 데이터전문가, 정보시스템운영자, 웹운영자 등

분류 코드: 한국고용직업분류(KECO): 1350
한국표준직업분류(KSCO): 2233

관련 정보처: 한국정보보호산업협회 (02)6748-2000 www.kisia.or.kr
한국정보산업연협회 (02)2046-1421 www.fkii.or.kr
한국인터넷진흥원 1443-25 www.kisa.or.kr
한국침해사고대응팀협의회 (02)3474-2490 www.concert.or.kr

*[한국직업전망 2023, 한국고용정보원 발췌]


*에듀진 기사 URL : http://www.edujin.co.kr/news/articleView.html?idxno=44062
기사 이동 시 본 기사 URL을 반드시 기재해 주시기 바랍니다.