보안컨설팅 기술인력의 기준 별도 제정안
기술인력의 자격 기준은 2017년 7월 26일 개정을 끝으로 무려 약 8년 간 변화가 없다. 그리고 이 기술인력이라 함은, 보안컨설팅 뿐만 아니라, 정보통신 혹은 정보보안 관련 인력을 모두 통틀어 포함한다. 그러다 보니, 너무 기준이 러프하고, 이걸 보안 컨설턴트에 적용하자니, 그 신뢰도가 많이 떨어진다.
컨설턴트의 등급에 대한 신뢰도가 떨어진다는 말은 곧 컨설팅 업계에 대한 신뢰도 저하로 이어질 수밖에 없다.
현행의 기술인력 기준은 다음과 같다.
| 구분 | 관련 자격 또는 관련 학력을 보유한 사람 | 관련 자격 또는 관련 학력을 보유 하지 않은 사람 |
| 초급 | 1. 학사 이상의 학위, 기사 또는 지식정보보안 관련 국내외 자격을 취득한 사람 2. 전문대학 졸업 또는 산업기사 자격을 취득한 후 2년 이상의 정보 통신 관련 경력이 있는 사람 |
1. 학사 이상의 학위를 취득한 후 2년 이상의 정보통신 관련 경력이 있는 사람 2. 전문대학을 졸업한 후 4년 이상의 정보통신 관련 경력이 있는 사람 |
| 중급 | 1. 1년 이상의 지식정보보안 관련 경력이 있고 석사 학위를 취득한 사람 2. 학사 학위, 기사 또는 지식정보보안 관련 국내외 자격을 취득한 후 3년 이상의 지식정보보안 관련 경력이 있는 사람 3. 전문대학 졸업 또는 산업기사 자격을 취득한 후 5년 이상의 지식 정보보안 관련 경력이 있는 사람 |
1. 학사 이상의 학위를 취득한 후 5년 이상의 지식정보보안 관련 경력이 있는 사람 2. 전문대학을 졸업한 후 7년 이상 의 지식정보보안 관련 경력이 있는 사람 |
| 고급 | 1. 박사 학위 또는 기술사 자격을 취득한 사람 2. 4년 이상의 지식정보보안 관련 경력이 있고 석사 학위를 취득한 사람 3. 학사 학위, 기사 또는 지식정보보안 관련 국내외 자격을 취득한 후 6년 이상의 지식정보보안 관련 경력이 있는 사람 4. 전문대학 졸업 또는 산업기사 자격을 취득한 후 8년 이상의 지식 정보보안 관련 경력이 있는 사람 |
1. 학사 이상의 학위를 취득한 후 8년 이상의 지식정보보안 관련 경력이 있는 사람 2. 전문대학을 졸업한 후 10년 이상의 지식정보보안 관련 경력이 있는 사람 |
| 관련 자격 또는 관련 학력의 보유 여부와 관계없이 인정되는 고급 기술 인력: 제10조제3항에 따른 기술심의위원회가 다음 각 목의 어느 하나에 해당 하는 사람 가운데 고급 기술인력으로서의 전문능력을 갖추고 있다고 인 정하는 사람 가. 최근 3년간 과제책임자로서 계약금액 1억원 이상의 지식정보보안 컨설팅 수행실적이 2건 이상 있는 사람 나. 학사 이상의 학위(정보통신 관련 학과의 학위만 해당한다)를 취득 한 후 3년 이상의 지식정보보안 관련 경력이 있는 사람으로서 최근 3년간 다음 중 어느 하나의 실적이 있는 사람 1) 계약금액 1억원 이상의 지식정보보안 컨설팅 수행실적 2건 이상 2) 계약금액 2천만원 이상의 지식정보보안 컨설팅 수행실적 5건 이상 |
||
| 특급 | 1. 3년 이상의 지식정보보안 관련 경력이 있고 박사 학위 또는 기술사 자격을 취득한 사람 2. 7년 이상의 지식정보보안 관련 경력이 있고 석사 학위를 취득한 사람 3. 학사 학위, 기사 또는 지식정보보안 관련 국내외 자격을 취득한 후 9년 이상의 지식정보보안 관련 경력이 있는 사람 4. 전문대학 졸업 또는 산업기사 자격을 취득한 후 11년 이상의 지 식정보보안 관련 경력이 있는 사람 |
1. 학사 이상의 학위를 취득한 후 11년 이상의 지식정보보안 관련 경력이 있는 사람 2. 전문대학을 졸업한 후 13년 이상의 지식정보보안 관련 경력이 있는 사람 |
이런 기준을 적용하다 보니, 다음과 같은 좋지 않은 사례들이 발생하곤 한다.
1. 보안 컨설팅을 단 한번도 수행하지 않았으나, 학사 출신 + 보안 업계에 9년 이상 몸을 담았다는 이유만으로 특급 컨설턴트로서 PM 수행
2. 보안 컨설팅을 N년 간 다수 수행하였으나, 고졸이라는 이유로 초급 딱지를 떼지 못하는 컨설턴트
컨설턴트의 등급에 더욱 신뢰를 주기 위해서는 결국 컨설팅 실적이 반영되어야 할 것이며, 아무리 학위를 많이 따고, 자격을 많이 취득하더라도, 결국 실무의 경험이 가장 중요하다는 것은 부인할 수 없다 생각한다. 특히나 컨설팅은 다양한 환경에서 수행하는 것이 특징이기 때문에 다양한 환경에서 다양한 과제를 경험할수록 큰 강점을 갖기 때문이다.
그리고
그러한 사항들을 고려한, 보안 컨설턴트만의 등급 기준 제정안은 다음과 같다.
| 구분 | 기준 |
| 초급 | 1. 컨설팅 사업 수행 실적 1건 이상 수행한 사람 2. 컨설팅 사업 수행 실적의 누적 기간이 1개월 이상인 사람 3. 한국인터넷진흥원의 K-Shield 인증서를 득한 사람 |
| 중급 | 1. 컨설팅 사업 수행 실적 10건 이상 수행한 사람 2. 컨설팅 사업 수행 실적의 누적 기간이 30개월 이상인 사람 |
| 고급 | 1. 컨설팅 사업 수행 실적 20건 이상 수행한 사람 2. 컨설팅 사업 수행 실적의 누적 기간이 60개월 이상인 사람 |
| 특급 | 1. 컨설팅 사업 수행 실적 30건 이상 수행한 사람 2. 컨설팅 사업 수행 실적의 누적 기간이 90개월 이상인 사람 |
| 기술사 | 1. 관련 분야의 기술사 자격을 득한 사람 |
※ 단, 컨설팅 사업 수행 실적은 연간 최대 4건 만을 인정한다.
※ 단, 여기서의 사업 수행 실적이란 전체 프로젝트 1건을 말하며, 프로젝트 내에서 여러 기업 및 기관을 대상으로 컨설팅을 수행하였다고 하더라도, 실적은 1건으로만 인정한다. 또한, 사업 수행 실적은 발주사에서 인정하는 인원에 한하여 공식 서류(발주기관 확인서)에 의해 인정한다.
※ 단, 관련 분야의 박사 학위 취득자는 컨설팅 사업 수행 실적의 누적 기간에서 2년(24개월)을, 석사 학위 취득자는 1년(12개월)을, 학사 학위 취득자는 6개월을 인정한다.
※ 단, 관련 분야의 자격증 취득자는 컨설팅 사업 수행 실적의 누적 기간에서 6개월을 인정한다. 그러나 ISMS-P 인증 심사원은 1년(12개월)으로 한다. 또한, 자격증 취득으로 인한 수행 실적 인정은 1개의 자격에 대해서만 가능하다.
- 대상: 정보처리기사, 정보보안기사, CPPG, ISMS-P 인증 심사원, 정보관리기술사, PIA, SW 약점 진단원, CISSP, CISA
------------------------------------------------------------------------------------------------------------------------------------------------------------
단서 조항의 1번은 모의해킹 처럼 짧게 치고 나가는 경우를 타깃한 항목이다. 이는 2번과도 이어진다. 실제로 같은 사업임에도 불구하고, 사업 실적을 부풀리기 위해 a사 컨설팅, b사 컨설팅 등 의미없는 나열을 하는 경우가 많기 때문이다.
그리고 컨설팅 업계는 자신들을 위해서라도 컨설턴트만의 등급 기준을 제정하자고 주장할 필요가 있다고 생각한다. 그것이 컨설팅의 신뢰도의 높이는 방법 중 하나이며, 그로 인한 사업 전체의 풀을 넓히는 기회가 될 수 있기 때문이다.