Journal of the Korea Institute of Information Security & Cryptology (정보보호학회논문지)

Korea Institute of Information Security and Cryptology (한국정보보호학회)
권호 표지
DOI QR코드

DOI QR Code

Development of Skills Framework for Information Security Workforce

정보보호 분야 직무체계 개발

  • 전효정 (충북대학교 경영정보학과/BK21사업팀) ;
  • 김태성 (충북대학교 경영정보학과/BK21사업팀) ;
  • 유진호 (한국정보보호진흥원) ;
  • 지상호 (한국정보보호진흥원)
  • Published : 2009.06.30
Download PDF
⟨ Previous Next ⟩

Abstract

Successful industries that have maintained their competitiveness are characterized by well-established skills framework system. Skills framework establishes the agreed-upon, industry-identified knowledge, skills and abilities required to succeed in the workplace. Skills framework forms a solid foundation for the development of outcomes-based instruction and assessment, thus it benefits industry, students, educators and government. Each group has a major stake in the education of our students and in the efficient development of a productive workforce. Particularly in fast-changing fields like information security, relevant data that accurately reflect current and future knowledge and skills enable timely direction of resources, development and revision of industry-relevant curriculum, and efficient development of career information and job profiles. Skills framework occupies an indispensable position in any dialog concerning education or training in technical fields. In this study, we develop the skills framework for information security professionals.

정보보호 전문인력을 정의하고 양성하기 위해서는 무엇보다도 정보보호업무 전반을 체계화하여 표준화한 '직무체계'를 개발하고, 직무체계에 기반하여 인력을 어떻게 교육할 것인가를 정하는 교육과정 및 직무분석이 필요하다. 정보보호 분야의 직무를 정의하고 표준화함으로써 인력의 직무능력을 표준화하고 직무수행을 위해 필요한 지식 및 기술에 대한 정의가 가능해짐으로써 보다 실무 지향적인 전문인력의 양성이 가능할 것으로 기대된다. 직무체계(Skills Framework)란 산업현장의 직무에 근거하여 직무분류 및 직무수준을 설정하고 직무수준별 수행기준을 제시하는 것으로써, 현장 수요에 기초한 교육훈련과정의 개발, 자격 및 인력수급 체계 등을 위한 인프라 정비의 핵심 요소이다. 따라서, 본 논문에서는 정보보호산업의 발전을 이끌어갈 실수요에 기반한 체계적인 '정보보호 전문인력'의 중급을 위해서는 무엇보다도 표준화된 직무체계의 개발이 시급하다고 인식하고, 정보보호 분야의 직무체계를 개발하여 제시하고자 한다.

Keywords

Ⅰ. 서론

정보보호의 필요성은 역설적으로 정보화의 성장 속에서가 아닌 정보화의 역기능 속에서 발견된다. 해킹 및 바이러스 피해의 증가율은 둔화되었다 하더라도 꾸준히 정보화 촉진의 걸림돌-이 되고 있고, 최근에는 개인정보 침해사고 및 스팸메일 등이 빠른 추세로 증가하고 있어 정부 및 기업체뿐만 아니라 일반 개인 사용자까지 '정보보호'의 필요성을 강조하고 있다(Schultz, 2006). 특히, 기업에게 정보보五는 기업의 신뢰도를 결정하는 문제로서 기업의 존망을 좌우한다. 기업의 '정보보호' 구현을 위해서는 무엇보다도 이를 책임지고 수행할 수 있는 양질의 정보보호 전문인력이 필요한데, 실질적으로 정보보호 전문인력을 양성하는 기반은 매우 미약하다(한국정보보호진흥원 , 2007). 전문직 업으로서 정보보호 전문인력에 대해 사회적 관심이 높아져 가고 있음-에도 불구하고. 전문인력을 양성할 수 있는 교육기반은 거의 형성되어 있지 못하며 기존인력에 대한 재 훈련을 위한 기반도 찾아볼 수 없어 고급인력의 타 분야로의 이탈현상까지 일어나고 있다(한국 정보보호진흥원. 2008). 현재, 국내 정보보호 관련 업무 종사자 수는 약 3만명으로 추산되고 있다. 69만 명 에 이르는 정보통신 인력에 비해 턱없이 부족하고. 아직까지도 업계에서는 전문적인 지식과 기술을 갖춘 정보보호 전문인력에 대한 부족 현상을 호소하고 있다(한국정보보호진흥원, 2008). 그러나. 우리는 업계에서 인식하고 있는 인력 부족 문제가 단순히 정보보호 인력의 절대적인 양적인 부족이 아니리는 점에 주목해야 한다. 업계에서 필요로하는 인력은 보다 전문적인 정보보호 관련 업무수행능력을 갖춘 인력이며. 이러한 인력을 확보할 수 있는 방안에 대한 정책적 방안 마련과 체계적인 인력양성을 위한 기반을 확보해주기를 호소하고 있는 것이다.

일반적으로 정보보호 전문인력은 정보보호에 대한 정규 및 비정규 교육기관을 통해 배출된 정보보호에 대한 전문지식을 가진 자로서 정보보호관리지、정보시스템 개발자, 정보시스템 운영자, 정보보호 컨설턴트 등의 직업군에 종사하는 자로 정의된다(한국 정보보호진흥원, 2007). 정보보호 전문인력에 대한 정의는 단순히 어떠한 인력을 정보보호 인력으로 범주화할 것인가를 설명해준다. 따라서, 업계에서 직접적으로 필요로 하는 정보보호 전문인력을 상세화하기 위해서는 정보보호 전문인력의 업무능력, 즉 직무를 설명할 수 있는 '직무체계(Skills Framework】를 개발하여야 한다. 직무체계란 산업 현장의 직무에 근거하여 직무분류 및 직무수준을 설정하고 직무 수준별 수행기준을 제시하는 것으로써, 현장 수요에 기초한 교육 훈련과정의 개발, 자격 및 인력수급 체계 등을 위한 인프라 정비의 핵심 이다(NT。, 2002: NSWCET. 2002: DH, 2004: OGC, 2004: SFIA, 2005; 한국직업능력개발원, 2005: JSTA, 2008). 즉, 정보보호 분야 업무 전반을 체계화하여 표준화하는 직무체계의 개발은 해당 분야의 전문인력을 어떻게 교육할 것인가를 정하는 교육과정 마련 및 직무분석을 위한 기반자료가 되며(Rada, 1999: McLaren, 2003: Gould et al., 2007: Wright et al., 2008), 궁극적■으로는정보보호산업의 발전을 위한 인력양성체계 구축을 위한 기반이 될 것이다.

본 논문에서는 우선 문헌 연구를 통해 일반적인 직무체계 개발 프로세스와 타 분야의 직무체계 개발 연구현황에 대해 분석해 보고, 정보보호 분야 산. 학 . 연 전문가들로 구성된 전문가자문위원회의 자문을 통해 정보보호 분야의 직무체계를 개발하여 제시하고자 한다.

Ⅱ. 직무체계 개발의 개요

2.1 직무체계 개요

직무체계(Skills Framework)란 산업 현징, 의 직무에 근거하여 직무분류 및 직무 수준을 설정하고 직무 수준별 수행기준을 제시하는 것으로써, 현장 수요에 기초한 교육훈련과정의 개발, 자격 및 인력수급 체계 등을 위한 인프라 정비의 핵심 요소이다(NWCET, 1999: NTO, 2001; OGC, 2004; SFIA, 2005: 한국직 업능력 개발원, 2005; JS'TA, 2008). 일반적으로 직무체계는 대분류 및 중분류 정도의 몇 단계로 구성되며, 각 분류별 세부직무를 명세화하여 제시하고 각 세부직무에 대해서는 수행수준을 명시해준다([표 1]) 참조).

[표 1] 직무체계의 일반적인 구성

※분류의 단계, 분류단계별 직무의 수, 직무수행 수준의 단계는 분야마다 매우 상이함

직무체계의 개발이 필요한 이유는 다음과 같이 정리해볼 수 있다(NWCET, 1999; NTO, 2002; OGC, 2004; 한국직업능력개발원, 2005). 첫째로 직무체계는 각종 조사 및 인력수급을 위한 기초 자료로 활용 가능하다. 직무(skill) 중심의 분류와 함께 직무에 대한 정의 및 수준 등이 제시되므로. 체계적 틀에 의한 직무조사가 7] 능하다. 둘째로 교육 . 훈련과정의 참조자료로 활용 가능히.다. 개설하고자 하는 교육 . 훈련 분야의 목적, 수준, 훈련내용을 해당하는 직무 유형에서 찾아 참조할 수 있기 때문이디-. 셋째로 인력의 주 수요자인 고용주에게 신규인력 채용 및 기존인력 재배치를 위한 기본골격을 제시해 준다. 직무체계는 직무유형별 정의, 지식, 도구, 주요활동 등을 명세화하기 때문에 고용주와의 의사소통을 원활하게 하는데 도움이 된다. 넷째로 근로자에게는 개개인의경력개빌I 구직. 진로 탐색 등을 위한 기초자료가 된다. 구직자는 자신이 해당하거나 또는 희망하는 직무 분야의 직무체계를 구직활동 및 진로설정의 잣대로 활용할 수 있다. 또한, 표준화된 직무체계를 통해 직무유형별로 표준화된 경력개발 경로 파악이 가능하여 미래의 경력진로에 대한 예측이 가능하디..

2.2 타 분야 직무체계 개발 연구 현황

직무체계의 개발은 국내외적으로 일반 연구자들이 아닌 기관 및 정부 차원에서 이루어지고 있는데. 공인되고 표준화된 직무체계의 개발을 위해서는 많은 시간이 소요되고 산학연의 지속적이고 유기적인 연계가 뒷받침되어야 하기 때문으로 분석된다. 또한, 대부분의 나라에서 해당 산업 분야의 전문가로 구성한 패널 또는 위원회를 구성하여 전문가들의 의견교환을 중심으로 직무체계를 개발하는 DACUM(Developing A CurriculUM)에 기반하여 개발하였다는 공통점도 갖는다. DACUM은 직무 분석 기법으로서 해당 직무에 대해서는 해당 직무의 실무자가 가장 잘 알고 있다라는 것을 기본전제로 히는 기법이디.. 표준 교과과정의 개발 및 근로자의 훈련 프로그램, 시험 개발, 요구 판단을 위해 사용되며. 현직 근로자와 관리자로 구성된 작은 그룹 인터뷰 과정과 그룹 인터뷰 과정 등을 통해 직무의 업무 처리 과정을 도출하고 임무와 처리괴정의 순서를 정리하는 기법이다(Norton. 1997).

직무체계를 개발하는 목적은 실무중심적인 인력을 교육.훈련할 수 있는 기반을 마련함으로써 전문적이고 숙련된 인력을 확보하기 위한 것이다. 오랜기간 동안 인력 에 대한 연구가 진행되어 온 보건.의료 분야의 경우에도 인력의 안정적인 수급을 위한 인력 수급실태 및 수급전망에 대한 연구에 이어 최근에는 국가의 표준 보건, 의료 분야 직무체계를 개발하는 것과 그에 기반하여 직무수행에 적합한 전문인력이 갖추어야 할 전문적인 지식 및 기술을 밝히거나 전문성을 평가히는방법에 대한 연구가 주를 이루고 있다(Walsh et al., 2005: Gould et al., 2007: Wright et al., 2008; Pearce and Marshman, 2008).

정보통신 분야도 최근에는 국내외에서 표준적인 직무체계를 개발하기 위한 연구가 활발히 진행되어 왔다. [표 2]는 국내외 정보통신 분야 직무체계 개발에 대한 연구현황을 정리한 것이다. 미국의 NSF의 지원을 받는 NWCET는 직무체계의 개발로 일반 교육과정의 개발, 직원의 고용과 평가, 대학기관과 전문 자격증 프로그램 등-의 설계에 도우을 줄 수 있도록 하기 위해 직무분류를 IT 기술자의 교육개혁, 교육과 사업과의 연계강화, IT교육과정 개발에 의한 고교나 대학 및 직업 전문 교육기관과 연계하는 것을 목표로 하였다. NWCET 는 데이터베이스 관리 및 개발. 디지털 미디어. 기업 시스템 분석 및 통합, 네트워크 설계 및 관리, 프로그래밍 SW 엔지니어링, 기술 지원, 기술문서 작성, 웹 개발관리 등 총 8개의 직무군을 제시하고 있다(NWCET, 1999). 영국의 SFIAtSkills Framework for the Information Age) 협회 1)에서 개발한 정보통신 직무체계는 카테고리와 하위 카테고리 두 단계로 IT 분야의 직무를 구분하고 있다. 기본적으로 IT인력에 대한 교육 및 훈련과 근로자 개개인의 경력관리에 활용되는 것을 목표로 한다. IT 분야의 직무를 분류하고 직무의 수행수준 정도를 가늠할 수 있는 직무체계의 참조모델로서 총 6개의 카테고리, 17개의 하위 카테고리, 78개의 세부직무(skills)로 구성되어 있다(SFIA, 2005). 일본은 2001년 과학 산업성 (Jaipan Science and Technology Agency, JSTA)을 중심으로 정보통신 분야 스킬 체계를 개발한 이래 2003년 경제산업성 산하에 'IT 표준스킬센터(Information-Technology Promotion Agency)'를 창설하고 2006년 2차 개정과 2008년 3차 개정을 내놓고 있다. 일본의 정보통신 분야 직무체계는 기존 IT 관련 서비스의 제공에 필요한 능력을 체계화한 지표를 제시하고 있으며, 산업체 및 교육현장에서의 IT서비스 및 교육 훈련 등에 유용한 정보를 제공하고 인력양성을 위한 기반을 마련하는데 그 목적이 있다. 마케팅(marketing), 세일즈 (sales), 컨설팅(consultant) 등 11가지의 직무를 구분하여 제시하고 있다(IPA, 2008). 국내에서는 정보통신부의 지원으로 한국 직 업 능력 개발원 (KRIVET) 이 2005년 정보통신 분야의 직무체계를 개발하였다. 정보통신 분야를 6개 대분류와 15개 중분류로 구성하고 55개의 세부직무를 제시하고 있으며, 직무 수행 수준은 10단계로 세분화하여 제시하고 있다. 기본적인 골격은 카테고리에 절차(process)의 개념을 담고 있어 보다 쉽게 현장에 적용 가능하고 스킬항목이 54개로 매우 다양하게 제시되어 있는 2001년 개발된 영국 SFIA의 정보통신 직무체계(ver. 1)를 따르고 있다 (한국직업능력개발원, 2005).

[표 2] 국내외 정보통신 분야 직무체계 개발 연구 현황

정보통신 분야의 직무체계에 대한 일반연구로는 Rada(1999)가 정보통신 분야 직무표준 개발의 필요성을 주장하면서 직무표준 개발로 인해 발생가능한 이점에 대해서 설명하고 오래도록 인력에 대한 연구가 진행되어온 의료분야의 직무체계 개발사례를 참조하여야 한다고 주장하였으며, 영국의 SFIA 협회에서 주관한 정보통신 분야 직무체계 개발에 참여한 McLaren(20()3)은 논문을 통해 직무체계가 기업으로 하여금 제대로 된 훈련된 인력을 골라낼 수 있도록 도와준다고 주장하였다.

Ⅲ. 정보보호 분야 직무체계 개발 프로세스

국내외적으로 정보보호 분야의 직무체계 개발을 위한 연구는 진행된 바가 없는 것으로 포} 악된다. 이에. 본 논문에서는 정보보호 분야와 가장 유사한 형태를갖는 정보통신 분야에 대한 직무체계 개발 연구를 참조하여 정보보호 분야 직무체계 개발을 위한 기본 프로세스를 확립하였다. 협의의 정보보호는 산업적으로나 기술적으로 정보통신 분야의 부분집합으로 인식되고 있다는 점에서 인력의 직무체계 또한 정보통신 인력의 직무체계와의 관계를 고려해야 함을 전제로 하였다. [그림 1]은 정보보호 분야 직무체계 개발을 위한 본 연구의 기본적인 프로세스를 보여주고 있다. 기본적으로는 영국 SFIA의 정보통신 직무체계와 한국직업능력개발원의 정보통신 직무체계의 구성을 참고하였다(SFIA, 2005; 한국직업능력개발원. 2005). 직무체계의 개발은 국내외 정보통신 분야의 직무체계 개발 사례에 대한 문헌 조사를 통해 정보보호 분야 직무체계의 초안을 구성하고 인터뷰를 통해 국내 정보보호 분야 기업체의 직무체계를 참조하거나 현장 전문가의 의견을 수렴하여 초안을 확정하는 것을 주요 골자로 한다.

[그림 1] 본 논문의 연구 프로세스

3.1 단계1 : 국내외 타 분야 직무체계 개발현황에 대한 문헌 조사

국내외의 정보보호 분야 직무체계 개발사례에 대해 조사하였으나, 아직까지 검토된 바 없는 것으로 파악되었다. 정보보호는 더 이상 기술적으로나 산업적으로 정보통신의 일부분이 아니다(Colley, 2007). 그러나, 국내에서는 기술적으로는 상당 부분 정보보호를 독자적인 연구영역으로 취급하고 있으나, 정책 수립이나 인력연구에 있어서는 아직까지 정보보호를 독립적인 연구영역으로 인식하지 못하고 있는 것이 현실이다.

따라서. 본 논문에서는 정보보호 분야의 전체적인 직무체계 개발을 목표로 정보통신 분야 직무체계 개발현황에 대해서 조사하고 이를 참조하였다. 아직까지국내에서는 정보보호를 정보통신 분야에서의 하나의 직무 내지는 직무군으로 포함하고 있기 때문이다. 이러한 과정을 통해서 정보보호 분야의 직무체계 개발에 있어서의 시사점으로 다음과 같은 결론을 도출하였다.

1) 직무체계는 산업 또는 기술 분류가 아닌 직무의 직능유형에 기초한 분류여야 한다. 이를 위해 산업 현장의 실제 직무구성 및 운영 현황에 대한인 터 뷰조사를 실시 하고 전문가자문위 원회 의 자문을 받았다.

2) 기술 특성에 의존하는 정보보호 직업의 특수성을 반영하여 현실 적합성을 높여야 한다(기술 특성은 직무분류의 저 12 분류원칙.으로 활용). 이를 위해. 현재 실제 산업 현장에서 통용되는 정보보호 관련 최신 기술적 특징과 용어들을 최대한 직무체계에 반영하고자 하였다.

3) 정보보호 분야가 시간에 따른 변화가 매우 크다는데 어려움이 있으므로, 주기적인 직무분류를 수행하되 분류의 효율성을 높이기 위하여 부분적인 변화를 신속히 반영할 수 있도록 분류 틀을 구성해야 한다. 이를 위해, 향후 새로운 기술이 출현할 때마다 직무체계에 상시적으로 반영될 수 있도록 하기 위해 직무군명은 일반적인 용어로 구성하고(예: 전략 및 기획) 직무군별 상세직무에 정보보호의 특성을 나타내도록 직무 명을 구성하였다(예: 정보보호 정책 및 계획 수립).

4) 정보보호 인력의 전체 산업 내에서의 역할에 대해 정의하기 위해 필히 한국표준직업분류 (KSCO)와의 연계를 고려해야 한다. 이를 위해, 한국표준직업분류에서 사용하고 있는 직업분류 용어를 최대한 활용하여야 한다. 그러나. 아직까지 한국표준직업분류 상에서 정보보호 관련 직업은 분류되어 있지 않은바. 한국표준직업분류와 정보보호 분야 직무체계와의 연계에 대한 고려는 차후에 논의하기로 하였다.

3.2 단계2 : 산업체의 직무체계 개발 현황조사 및 전문가 의견수렴

정보보호 분야 주요 산업체의 직무체계 개발 및 운영 현황에 대해서 조사하였다. 이 조사는 한국침해사고대응팀협의회(CONCERT)의 회원사를 대상으로 인터뷰를 통해 이루어졌으며, 10여 개 업체로부터 내부자료를 제공받아 활용하였다. 이 조사결과는 정보보호 분야 직무체계 개발에 있어서의 현장중심적인 용어 선택을 위한 훌륭한 가이드라인이 되어주었다. 앞서 문헌 연구에서도 살펴본 바와 같이 대부분의 정보통신 분야의 직무체계 개발에 있어서도 주관기관이 직무체계 초안을 작성하고 이에 대해 해당 분야에서의 산 . 학, 연, 관별 전문가들로 구성된 전문가자문위원회의 의견수렴을 통해 직무체계를 개발하고 있는바, 본 연구에서도 산업현장에서의 의견수렴과 산업계와 학계 및 정부 측면에서의 의견차 조율을 목표로 정보보호 분야 전문가자문위원회2)를 구성하고 정기적으로 자문을 받아 정보보호 분야.직무체계 최종안을 확정하는 프로세스를 마련하였다.

3.3 단계3 : 직무체계의 구성요소 검토 및 직무 정의개발

정보보호를 포함하고 있는 정보통신 분야 직무체계개발 연구에 대한 문헌 조사와 정보보호 산업체의 직무체계 개발 . 운영현황에 대한 조사를 바탕으로 정보보호 분야 직무체계 초안을 개발하였다. 정보보호 분야의 직무체계는 '직무 유형(Skill Type)'을 기준으로 우선 분류하였다. 직무 유형을 기준으로 구분한 후에 '직무 수준(Skill Level)3)'을 고려하였다. 각 직무군 및 세부직무는 최대한 배타적으로 설계하려고 노력하였다. 또한, 현장 응용력을 높이기 위해 가급적 실질적으로 산업체에서 사용되는 용어를 중심으로 직무명세를 작성하고자 하였으며, 가까운 미래에 실현될 직무로써 최근의 기술적. 관리적 이슈도 반영하고자 하였다. 기*는 본적 영국의 정보통신 분야 직무체계에서와 같이 '직무의 흐름(process)'를 고려하여 직무군의 순서를 정하였으며 (SFIA, 2005), 일본의 정보통신 분야 직무체계에서의 직종 및 전문분야를 참조하여 직무군 및 세부직무 명의 기본틀을 작성하였다(IPA, 2008). 이상의 단계를 통해[표 3]과 같은 정보보호 분야 직무체계 초안을 작성하였다. 우선, 직무군(대분류)은 일반적인 용어로 구성하였으며 정보통신 분야의 직무체계 개발 연구의 직무군명과 직무군의 순서를 참조하였다. 직무군은 전략 및 기획, 관리 운영, 영업 및 마케팅, 개발 및 구현, 기반 서비스, 지원 서비스로 구성하였다. 세부직무(중분류)는 각 직무군별로 직무 특성을 고려하여 상세화하여 제시하였다.[표 3]의 직무체계 초안에 대해 저 H 차 전문가자문위원회에서는 브레인스토밍 방식을 통해 자율적으로 의견을 교환하면서 수정 . 보완하였다. 가장 큰 문제점으로 지적된 사항은 너무 일반적인 용어로 직무체계를 구성하였기 때문에 정보보호의 기술적 및 산업적 특성을 반영하지 못했다는 것이었으며, 이 외에도 비즈니스 전략(경영 및 전략 전문가)에 대한 수요가 매우 높음을 반영해야 하겠다, 포렌식이나 게임해킹 보안 등 신규 분야에 대한 인력수요가 매우 높은데 이를 반영할 수 있어야 하겠다, 개인정보보호에 대한 보장 없이는 웹 운영이 안된다는 점을 강조할 수 있어야 한다. 정보보호 분야에 10년 이상 된 인력은 거의 없는 현실을 반영하여야 한다 등의 의견이 있었다.

[표 3] 제1차 전문가자문위원회 회의에 제시된 정보보호 분야 직무체계 초안

제1차 전문가자문위원회 회의 결과를 반영하여 수정 . 보완한 수정안은[표 4]와 같다.[표 4]의 수정안에 대한 주요 의견으로는 업체별로 직무흐름은 매 우상이 하므로 현재의 대분류별 직무구성 및 흐름은 합리적이라고 본다, 사고 대응에는 모니터링 업무가 매우 중요함에도 불구하고 직무체계 상에 반영되어 있지 않다 등이었다. 전문가자문위원회 회의와는 별도로 다시 20인의 정보보호 분야 전문가들을 대상으로 한 이메일 의견수렴조사4)를 실시하였으며, 이 의견을 반영하여 최종적으로 정보보호 분야 직무체계를 구성하였다. 별도의 전문가 의견수렴조사를 실시한 이유는 보다 현장 응용력이 높은 직무체계의 개발을 위해 실무 전문가들의 의견을 최대한 반영하기 위해서이다.

[표 4] 제2차 전문가자문위원회 회의와 전문가 대상 이메일 의견수렴조사에 제시된 정보보호 분야 직무체계 수정안

3.4 단계4 : 직무별 및 수준별 수행기준 개발

본 논문에서는 정보보호 분야의 직무를 큰 틀에서 분류하는데 목적이 있기 때문에 각 세부직무별 수행기준은 포함하지 않았다. 다만, 각 직무군별 특성을 고려하여 정보보호 분야 전문인력의 직무수준으로 경력년수와 학력을 기준으로 하여 7단계로 구분할 것을 제시하였다. 우선, 경력년수는 정보보호와 정보통신 및 관련 전공의 전문대졸을 기준으로 하며, 학사, 석사, 박사 학위자의 경우 각각 2년, 4년, 7년 경력을 추가로 인정하는 것으로 하였다. 이의 전체적인 흐름은 정보통신 전문인력의 기술 수준 및 경력년수 구분을 채용하였으며 5), 경력년수는 정보보호와 직 . 간접적으로 관련된 IT분야에서의 경력을 모두 포함하는 것으로 설정하였다.

Ⅳ. 정보보호 분야 직무체계 개발 결과

4.1 직무체계

[표 5]는 본 논문에서 개발한 정보보호 분야 직무체계의 최종안이다. 7개의 직무군과 17개의 세부직무로 구성하였으며, 직무의 수행흐름(process)을 최대한 고려하였다. 최종적으로, 직무군은 전략 및 기획, 마케팅 및 영업, 연구개발 및 구현, 교육 및 훈련, 관리 및 운영, 사고 대응, 평가 및 인증 등의 순서로 구성하였으며, 각 직무군별로 2〜3개의 세부직무를 구성하고 각각의 직무별로 상세 적으로 직무의 특성을 정의하였다. 각 직무별 상세정의는 전문가자문위원회 위원들의 의견을 최대한 반영하였으며, 산업현장의 용어를 그대로 채용하였다.

[표 5] 정보보호 분야 직무체계

4.2 직무 수준

본 논문에서는 정보보호 분야 직무체계를 개발함에 있어 1차적으로 직무분류까지만 수행하였다. 정보보호 직무분류를 하면서 정보보호 분야 전문인력의 직무 수준을 경력년수와 학력을 기준으로 하여 7단계로 구분할 것을 제안하였다. 우선, 경력년수는 정보보호 . 정보통신 및 관련 전공의 전문대졸을 기준으로 하며, 학사, 석사, 박사 학위자의 경우 각각 2년, 4년, 7년 경력을 추가로 인정하는 것으로 한다. 또한, 전체적인 흐름은 IT전문인력의 기술 수준 및 경력년수 구분을 채용하였다 6). 이때, 경력년수는 정보보호와 직 . 간접적으로 관련된 IT분야에서의 경력을 모두 포함하는 것으로 하였다([표 6] 참조). 직무수준과 관련하여서는 각 직무군별 수행 특성을 고려한 직무군별 세부 직무 수준에 대한 연구가 더 진행될 필요가 있다.

[표 6] 정보보호 분야 직무 수준

Ⅴ. 결론 및 시사점

정보보호 분야의 직무체계 개발은 다음과 같은 의의를 갖는다. 첫째로 직무체계는 정보보호 인력 관리를 위한 통계체계 정비를 위한 기반이 되며 통계체계의 마련은 인력수급에 대한 누적 데이터를 생성하므로 인력에 대한 체계적인 관리를 가능하게 한다. 둘째로 기업의 수요를 분석하고 대학 및 대학원의 인력 공급의 내용과 질을 평가할 수 있는 틀을 마련해 주므로 인력의 수요와 공급 분석을 용이하게 해준다. 셋째로 신규인력 양성 및 기존인력 재교육을 위한 교육과정과 교육내용의 설계를 가능하게 하여 결과적으로 현장에서 원하는 인력을 양성할 수 있는 기반을 마련해 주며 교육 . 훈련 및 자격관리를 위한 척도가 되므로 타분야 전문인력의 정보보호 분야로의 전환을 유도할 수도 있다.

그러나 본 논문은 몇 가지 한계점을 갖는다. 첫째, 본 논문에서 개발한 정보보호 분야 직무체계는 직무의 범주를 직무군과 세부직무 등 2단계로만 분류하였기 때문에 세세한 현장직무를 모두 포괄하지는 못하였다. 이 때문에, 실제 산업 현장에서의 활용에 한계가 있을 수 있다. 둘째, 직무체계는 원칙적으로 산업 또는 기술 분류가 아닌 직무의 직능유형에 기초한 분류여야 한다. 그러나 정보보호 분야는 역사가 비교적 짧고 기술 중심적인 분야로써 새로운 직무군이 끊임없이 발생하고 있기 때문에 이러한 직무를 직무체계에 신속하게 반영하기 위한 방법으로 개인정보보호 관리 및 디지털포렌식과 같은 일부 직무는 산업 또는 기술을 중심으로 분류하였다. 셋째, 본 논문에서는 각 세부직무별로 직무능력을 표준화하는 직무 수준은 개발하지 않았다. 직무를 수행하는 기준이 되는 직무 수준을 개발하는 것은 많은 실무자들의 경험에서 비롯된 다차원적인 의견수렴 과정이 선행되어야 하므로 직무체계 자체를 개발하는 것보다 훨씬 많은 시간과 비용이 소요될 것이다. 향후에는 이러한 한계점을 수정. 보완할 수 있는 보다 정교한 직무체계의 개발을 위한 연구가 진행되어야 할 것이다.

* 이 논문은 200음년 절부(교육과학기술부 )의 재원으로 한국학술진흥재단의 지원을 받아 수행된 연구임. (KRF-2008-321^B00055)

References

  1. 한국정보보호진흥원, "시대의 요구, 정보보호 전문가를 양성하라," 정보보호뉴스, pp. 14-18, 2008년 10월
  2. 한국정보보호진흥원, 정보보호 실태조사: 기업편, pp. 1-335, 2007년 12월
  3. 한국직업능력개발원, IT Skill 체계 개발 연구, pp. 1-320, 2005년 6월
  4. C.L Walsh, M.F. Gordon, M. Marshall and F. Wilson, "Interprofessional capability: A developing framework for interprofessional education," Nurse Education in Practice, vol. 5, no. 4, pp. 230-237, July 2005 https://doi.org/10.1016/j.nepr.2004.12.004
  5. C. Pearce and J. Marshman, ''A framework for specialist nurses," Nursing Management, vol. 15, no. 3, pp. 18-21, June 2008
  6. D. Gould, E.J. Berridge, and D. Kelly, "The national health service knowledge and skills framework and its implications for continuing professional development in nursing," Nurse Education Today, vol. 27, no.1, pp. 26-34, Jan. 2007 https://doi.org/10.1016/j.nedt.2006.02.006
  7. E.E. Schultz, "The changing winds of information security," Computers & Security, vol. 25, no. 5, pp. 315-316, May 2006 https://doi.org/10.1016/j.cose.2006.06.002
  8. IPA(Onformation-Technology Promotion Agency), I T スキル標準V(バーヅ彐ン3) について, pp. 1-188, Apr. 2008
  9. J. Colley, "Security professionals need to improve people (and business) management skills before IT skills," InfoSecurity, pp. 40-41. Apr. 2007
  10. NTO(National Training Organizations), An Assessment of Skill Needs in Information and Communication Technology, pp, 1-106, Jan, 2002
  11. NWCET(NorthWest Center for Emerging Technologies), Building a Foundation for Tomorrow: Skill Standards for Information Technology, pp. 1-244, Dec. 1999
  12. OGC(Office of Government Commerce), Successful Deli very Skills, pp. 1-13, Mar. 2004
  13. R. McLaren, "Framework scheme Set to help firms choose it staff with right skills," IEE Engineering Management, p.5, Aug.-Sep. 2003
  14. R.E. Norton, DACUM Handbook, Center on Education and Training for Employment, College of Education, The Ohio State University, Mar. 1997
  15. SFIA(Skills Framework for the Information Age), Skills framework for the information age, Ver. 3, pp. 1-24, June 2005
  16. R. Rada, "IT Skills Standards," Communications of the ACM, vol. 41. no. 4, pp. 21-26, Apr. 1999