Journal of the Korea Institute of Information Security & Cryptology (정보보호학회논문지)

Korea Institute of Information Security and Cryptology (한국정보보호학회)
권호 표지
DOI QR코드

DOI QR Code

Analysis on a Turnover Process of Information Security Professionals

정보보호인력의 직무이동과정에 대한 분석

  • Kim, Tae-Sung (Department of MIS, Chungbuk National University) ;
  • Kim, Kil-Hwan (Internet Research Lab, Electronics and Telecommunications Research Institute)
  • 김태성 (충북대학교 경영정보학과/BK21사업팀) ;
  • 김길환 (한국전자통신연구원 인터넷연구부문)
  • Received : 2011.02.08
  • Accepted : 2011.08.05
  • Published : 2011.12.31
Download PDF
⟨ Previous Next ⟩

Abstract

The turnover rate of information security professionals in Korea is over 10% and turnover into non-information security fields accounts for over 50% of all the turnovers [1]. It is not only important to recruit a new quality workforce, but also to make the current workforce perform satisfactorily, to improve their performance, and eventually to attain information security objectives. This study proposes a Markov chain model for the turnover process of information security professionals and forecasts the job duty composition of information security professionals. The results of this study can be applied to secure the justification of government policies for the promotion of information security professionals.

정보보호분야에 종사하고 있는 인력 중 10% 이상이 매년 직장을 옮기고 있고, 퇴사 인력 중 50% 이상이 정보보호 이외의 직무로 전환을 하고 있어 정보보호 전문인력의 유출이 상당한 규모이다[1]. 정보보호 분야에 신규로 우수한 인력을 채용하는 것 뿐만 아니라, 이미 정보보호 분야에 근무하고 있는 인력들에게 만족스럽게 업무를 수행할 수 있는 여건을 제공하여 정보보호인력들의 전문성을 높이고 정보보호 관련 업무의 완성도를 높이는 것이 중요한 과제이다. 본 연구에서는 정보보호인력의 직무 이동 과정을 마코프체인을 이용하여 모델링하고 향후 정보보호인력의 직무별 구성에 대하여 전망한다. 본 연구의 결과는 유망 분야 중점 육성의 효과를 예측하는 등 정보보호 인력양성 관련 세부적인 정책추진의 타당성을 확보하는데 참고가 될 수 있을 것이다.

Keywords

I. 서론

2010년 국내 정보보안산업 실태조사에 따르면, 2010년 기준으로 국내 지식정보보안 분야에 종사하고 있는 인력은 총 8,964명이고 수행직무별로는 전략 및 기획 1,118명, 마케팅 및 영업 1,800명, 연구개발 및 구현 3,308명, 교육 및 훈련 317명, 관리 및 운영 1,398명, 사고대응 717명, 평가 및 인증 306명으로 구분할 수 있다[2, p.223].

국내의 정보보호 분야의 교육은 1990년대 후반에 정보보호학과가 대학 및 대학원에 설치되면서 본격화되었다. 2009년 기준으로 국내 정보보호학과의 배출 인력은 전문대학 14명, 4년제 대학 382명, 대학원 186명으로 총 582명이다[3, p.174-178]. 2009년말 현재 재직 중인 정보보호 인력 중에서 정보보호학과를 졸업한 인력의 비율이 10% 이내이므로, 전체 정보보호 분야로 공급되고 있거나 수요만 있으면 공급될 수 있는 인력의 규모는 수천명 수준일 것으로 판단된다[3, p.190]. 하지만, 정보보안 분야의 신규 채용 규모는 2010년에 1,006명이고, 신입직원의 채용은 그 중 36.0% 정도인 367명 수준인 것으로 나타났다[2]. 정보보호 분야의 인력공급의 양적규모는 이제 수요규모에 비해 부족하지 않은 것이 현실이다. 하지만, 분야별로 공급이 수요에 미치지 못하는 경우가 많은 등[4], 정보보안 인력 양성 정책의 기본방향을 양적 확대에서 세부 분야별 수급에 대한 미세한 조정으로 변화할 필요가 있다. 또한, 정보보안 분야의 인력 수요가 법제도의 제정 및 개정이나 보안사고의 발생 등에 크게 영향을 받는 등 예측하기 힘든 측면이 있기 때문에 보안분야로 단기간에 유입을 할 수 있는 예비인력의 양성이 필요하다. 최근 국내 대학에서 정보보호학과를 신규로 신설하는 학교보다 폐지하는 학교가 더 많은 것도 유사한 이유 때문일 것이다[3, p.174]. 하지만, 공공 부문에서의 정보보호인력에 대한 잠재수요가 매우 큰 규모이므로 정부의 정책 변화에 따라 인력 수요의 형태는 변화할 여지가 있다고 볼 수 있다[5]. 

정보보호인력 분야 인력 중 10% 이상이 매년 퇴사를 하고 있고, 퇴사 인력 중 50% 이상이 정보보호 이외의 직무로 전환하여 정보보호 전문인력의 유출이 상당한 규모인 것으로 나타났다[1]. 기업이나 국가차원에서는 정보보호 분야에 신규로 우수한 인력을 채용하는 것 뿐만 아니라, 정보보호 분야로 진출한 인력에게 만족스러운 업무를 수행할 수 있는 여건을 제공하여 정보보호인력들의 전문성을 높이고 정보보호 관련 업무의 완성도를 높일 수 있도록 하는 것이 중요한 과제이다. 우수인력을 정보보호 분야로 유도하고, 정보보호인력의 직무 이동 사유를 파악하고, 직무별 정보보호인력 수요를 예측하기 위해서는 정보보호 분야 종사 인력의 직무이동경로(turnover path, 또는 career path, 또는 career map)에 대한 분석이 필요하다. 정보보호인력의 직무이동경로를 분석하게 되면, 상기한 사항 이외에도, 정보보호 분야에 신규로 취업을 희망하는 인력들에게 진입장벽을 낮춰줄 수 방안을 도출하거나, 정보보호분야의 전체적인 인력 유출을 감소시킬 수 있는 방안을 도출하거나, 인력 유출이 상대적으로 심각한 수준의 직무에 대한 별도의 방안을 도출하거나, 정보보호인력을 평가하거나 정보보호인력의 경력목표를 설정하는 등 정보보호인력의 장기적인 경력 개발을 위한 가이드라인으로 사용할 수 있는 등의 정보보호인력 관련 세부 정책방안 도출에 활용할 수 있을 것이다.

이러한 인력의 직무 전환의 다이내믹스를 변화시키는 정책을 검토할 때 주의할 점은 인력 전환의 다이내믹스가 전체 인력 구조에 미치는 장기적 영향을 검토해야 한다는 것이다. 인력의 양성과 전환은 대부분 장기간의 노력을 필요로 하는 프로젝트이며 한번 전환된 인력 구조를 다시 변경시키는 것은 또 다른 장기간의 정책적 노력이 필요하기 때문이다. 지금까지의 대부분의 정보보호인력의 직무이동경로에 대한 분석은 경로에 대한 탐색과 직무전환의 원인과 이를 변화시키기 위한 정책적 방안 등에 한정되어 있어, 직무 전환의 다이내믹스의 변화의 장기적 효과를 분석하기는 어려웠다. 따라서, 본 연구에서는 정보보호인력의 직무 전환의 다이내믹스가 장기적인 인력 구조에 미치는 영향을 분석하는 최초의 시도로 현재의 정보보호인력의 직무 전환의 다이내믹스를 단순한 마코프 체인으로 모델링하여 현재의 정보보호인력의 직무 전환의 다이내믹스가 장기적으로 정보보호인력의 직무간 인력 구조에 어떤 영향을 미칠 것인지를 예상해 보고 현재 상태의 직무간 인력 구조와 비교해 정책적 시사점을 도출해 보고자 한다.

본 연구에서는 정보보호 분야에 종사하고 있는 인력들이 직장 내부에서 또는 외부로 이동할 때의 직무 변동에 대해 분석한다. 정보보호 분야에서 직무 이동에 대한 전문적인 조사가 수행된 적이 없었기 때문에, 그동안 수행된 복수개의 조사를 취합하여 본 연구의 자료로 사용하였다. 정보보호인력의 직무이동을 마코프체인으로 모델링을 하고 일정 기간 후 직무별 인력 구성에 대해 전망을 한다. 2장에서는 정보보호 분야에서 직무와 관련되어 수행된 연구들을 고찰하고, 3장에서는 자료조사의 개요와 주요 결과들을 소개한다. 4장에서는 마코프체인 방법을 이용하여 정보보호인력의 직무간 이동에 대해 분석을 하고, 5장에서는 조사결과의 시사점과 정책 활용 방안을 제시하고, 본 연구의 한계와 향후 연구주제에 대해 논의한다.

II. 관련 연구 고찰

정보보호 분야에서 수행하는 직무에 대한 연구는 국내외 모두 매우 제한적이다. Simpson 등 (2006)은 미국 the Joint Security Training Consortium (JSTC)의 요청에 의해 물리보안(physical security), 정보보안(information security), 인적보안(personnel security), 보안조사(security investigations), 보안관리(security management), 통신보안(communications security), 정보시스템보안(information systems security) 등 7개 정보보호 세부 분야에서 직무체계를 개발하였다[6]. 전효정 등 (2009)는 국내 정보보호 분야 인력이 수행하는 업무에 대한 직무체계를 개발하였는데, 기존에 개발된 국내외의 IT분야 직무체계를 참고하고 전문가들의 의견을 반영하여 7개 직무군과 17개 세부 직무로 구분하였다[7].

Kesh and Ratnasingam (2007)은 조직에서 필요한 정보보호 지식 요구사항을 정하는데 사용할 수 있는 정보보호지식아키텍처(Information Security Knowledge Architecture)를 개발하였다[8]. 조직에서 보유하고 있는 정보보호 지식 현황을 분석하고, 정보보호 문제를 해결하는데 필요한 정보보호 지식 요구사항을 파악하는데 활용할 수 있는 수단이 될 것이다.

Wilson 등 (2009)는 정보보호 학습의 단계를 인식(awareness), 인식훈련(awareness training), 직무기반훈련(role-based training), 교육(education)으로 구분하고, 단계별 학습대상자와 학습목표를 제시하고 있다[9]. 유혜원과 김태성(2010)은 정보보호인력의 직무전환 의도에 영향을 미치는 요인들에 대해 실증분석하였다[10]. 초급 인력들이 교육기회를 얻기 위해 전환을 희망하는 정도가 높이 나왔는데, 조직이나 국가 차원에서 신규 채용된 초급 인력들이 조직환경과 수행업무에 쉽게 적응할 수 있도록 교육 프로그램의 개발 및 운영이 필요할 것이다.

ISACA는 2008년에 전세계 CISM 자격 보유자를 대상으로 현재 직위에 오르기까지의 경위(경로), 현재 담당하고 있는 역할, 향후에 희망하는 진로 등에 대해 조사를 수행하였다[11]. 정보보호 분야의 업무를 하게 된 이유에 대해서는, 응답대상자의 25.5%가 정보보호가 흥미있는 분야이기 때문이라고 응답했고, IT분야 업무를 수행하다가 자연스럽게 정보보호 분야 업무를 하게 된 경우가 14.3% 였다. 8.6%의 응답자는 취업 기회 때문에 정보보호 분야의 직업을 택하게 되었다고 응답하였다. 현재 수행하는 업무, 이전에 수행했던 업무에 대한 응답결과를 살펴보면, 정보보호관리 분야에서는 기술적인 해결책을 제시하는 역할에서 경영의사결정에 도움을 줄 수 있는 역할로 변화하고 있 으며, 담당업무의 범위도 확대되고 있음을 알 수 있다. 점차 위험관리(risk management), 거버넌스(governance), 아키텍처(architecture)에 관련된 업무를 많이 수행하고 있으며, 이러한 분야들이 결국 정보보안이 기업에 제공하는 가치를 보여주는데 도움이 될 수 있다.

SANS Institute에서는 정보보호 분야의 주요 직무에 대한 교육과정을 로드맵으로 정리하여 제공하고 있는데, SANS에서 언급하고 있는 정보보호 직무로는 사고처리(incident handling), 침입테스트(penetration testing), 네트워크/응용시스템 보안(network and application security), 침입분석(intrusion analysis), 시스템 관리(system administration), 포렌식(forensics), 감사(audit), 법무(legal), 관리(management) 등이 있다[12].

III. 자료 조사 개요 및 주요 결과

본 연구에서는 정보보안 분야 종사인력의 직무이동경로에 대한 분석을 통해 직무별 인력소요에 대한 예측을 수행한다. 본 연구에서 사용하는 자료는 2008년 8월부터 10월까지 한국정보보호산업협회(현 지식정보보안산업협회, KISIA) 회원사에 근무하고 있는 정보보안 인력을 대상으로 수행된 조사결과(조사 1)와 2010년 6월 22일부터 7월 23일까지 정보보안 컨설팅 분야에 근무하고 있는 정보보안 인력을 대상으로 수행된 조사결과(조사 2)이다[1, 13].

조사 1은 2008년 8월부터 10월까지 KISIA 회원사 소속 정보보안 인력을 대상으로 수행되었으며, 총 178명이 학력 및 전공, 경력년수, 현재 수행 직무[1,7], 보유 자격증, 이전 수행 직무, 직무 또는 직장 이전 사유 등에 대해 응답하였다. 조사 1의 응답자 기본 사항을 살펴보면, 성별로는 83%의 응답자가 남성에 해당되고, 학력은 학사 출신이 68%이었으며, 과장/대리급의 인력이 52%, 전공은 정보보호관련학과가 56%, 전체 정보보호분야 경력은 5년 이하의 응답자가 57%로 가장 많았으며, 현재 수행중인 직무에 종사한 경력은 3년 이하가 46%로 나타났다. 현재 수행중인 직무는 연구개발 및 구현이 47%로 가장 많았고, 직무 또는 직장 이동 이전에 수행한 직무도 ‘연구개발 및 구현’이 31%로 가장 많았다[표 1].

[표 1] 조사 1의 응답자 특성

조사 2는 2010년 6월 22일부터 7월 23일까지 정보보안 컨설팅 분야 종사 전문인력을 대상으로 수행되었으며, 총 149명이 전공구분(정보보호학과, 정보보호관련학과, 비관련학과), 경력구분1)(초급, 중급, 고급, 특급), 현재 직장 유입경로(구직기간, 이직유형), 현재 수행 직무, 현재 직장에서의 부서이동경로, 이전 직장 이동 경로 등에 대해 응답하였다. 조사 2의 응답자 기본사항을 살펴보면, 정보보호관련학과를 졸업하고(58%) ‘연구개발 및 구현’(28%) 또는 ‘관리 및 운영’(28%) 직무에 종사하는 초급 경력(38%)의 인력이 가장 많았다[표 2].

[표 2] 조사 2의 응답자 특성

조사 1과 조사 2에서 공통으로 응답자들의 수행직무에 대해 중복 응답을 허용했으며, 전체 조사 응답자들의 수행 직무별 현황을 살펴보면 ‘연구개발 및 구현’ 직무를 수행하는 응답자가 35.6%로 가장 많은 비중을 차지하고 있으며, 그 다음으로 ‘관리 및 운영’(18.1%), ‘전략 및 기획’(16.7%), ‘마케팅 및 영업’(10.7%), ‘사고대응’(8.5%), ‘평가 및 인증’(8.2%), ‘교육 및 훈련’(2.3%)의 순서로 나타났다[표 3].

[표 3] 전체 응답자 수행 직무 현황

직무나 직장의 이동이 있을 때까지 동일한 직무에서 근무한 평균 시간은 전체 응답자 평균은 2.8년이었고, ‘교육 및 훈련’이 가장 길고(5.0년), 그 다음으로 ‘관리 및 운영’(3.6년), ‘연구개발 및 구현’(2.9년), ‘사고대응’(2.7년), ‘평가 및 인증’(2.3년), ‘전략 및 기획’(2.1년), ‘마케팅 및 영업’(1.9년)의 순서로 평균 근무 기간이 긴 것으로 나타났다[표 4].

[표 4] 직무별 평균 근무기간

IV. 정보보호인력의 직무이동에 대한 모델링

본 장에서는 정보보호인력의 직무이동과정을 마코프체인(Markov chain)을 이용하여 확률적으로 모델링한다. 2개 조사에서 파악된 직무(및 직장)이동에 대한 응답을 취합하여 직무이동 전후의 수행 직무별로 빈도를 기입하면 [표 5]와 같다. 조사 1에서 124회, 조사 2에서 64회, 총 188회의 직무 및 직장 이동 사례에 대한 응답 결과를 이용하여 직무이동빈도행렬(turnover frequency matrix)을 작성하였다2). 행렬의 구성에 대해 예를 들어 설명을 하면, ‘연구개발 및 구현’(직무3)에서 ‘전략 및 기획’(직무1)으로 직무를 이동한 횟수는 8회이다.

[표 5] 직무이동빈도행렬

[표 5]의 직무이동빈도행렬의 각 행별로 상대빈도를 구해서 직무이동확률분포를 추정할 수 있는데, 직무나 직장의 이동이 발생할 때 어느 직무로 이동하는지를 보여주는 직무이동확률분포(transition probability distribution)는 [표 6]과 같다. 행렬의 구성에 대해 예를 들어 설명을 하면, ‘연구개발 및 구현’(직무3)에서 (직무전환이 발생하는 시점에) ‘전략 및 기획’(직무1)으로 직무를 이동할 (조건부) 확률은 0.10이다.

[표 6] 직무 전환 발생 시점의 직무이동확률분포행렬

직무별 평균 근속기간 [표 4]와 직무 전환 발생시의 직무이동확률분포 [표 6]를 이용하면 정보보호인력의 직무간의 시계열적 이동(분석 시간 단위는 ‘년’을 기준)을 마코프체인을 이용하여 다음과 같이 모델링할 수 있다.

분석의 단순화를 위해 매년 직무 전이가 이루어질 확률은 과거의 직무 전이 이력과는 독립적으로 이루어진다고 가정한다. 그러면, 직무 i에 종사하는 사람이 1년 안에 직무 전이(다른 직무로의 전환과 같은 직무에서 직장 이동 포함)를 할 확률 ri 는 직무별 평균 근속기간을 이용하여 다음과 같이 추정할 수 있다(가정에 의해 직무 i의 근속 기간은 ri 를 매개변수로 하는 기하 분포가 된다)[14, p.31-32, 40-41].

ri = 1/(직무i의평균근속기간)       (1)

앞서 도출된 직무 전환 발생시의 직무이동확률분포의 행렬을 T= (tij)라고 하자[표 6]. 또한, 직무 전환 시점과 직무 전환 발생 시의 직무이동확률분포가 서로 독립이라고 가정하면, 직무 i에 소속된 인력이 1년 후에 직무 j에 종사하고 있을 확률 pij, i,j = 1,2,...,7,는 다음과 같이 추정할 수 있다.

#(2)

pii는 1년 후에도 동일 직무 i에 계속 머물 확률인데, 이는 1년 동안 직무나 직장 이동이 없는 경우(확률 1-ri)와, 1년 안에 직장이나 부서 이동이 있으나 동일 직무 군으로 전환하는 경우(확률 ri ∙ tii)를 모두 포함한다.

위와 같은 방법으로 우리는 정보보호인력의 (년간 기반) 시계열적 직무 전환에 대한 이산시간 마코프체인(discrete-time Markov chain)으로 모델링할 수 있으며, 해당 마코프체인의 전이확률행렬(transition probability matrix) P = (pij)은 [표 7]과 같다. 행렬의 구성에 대해 예를 들어 설명을 하면, 연간 ‘연구개발 및 구현’(직무3)에서 ‘전략 및 기획’(직무1)으로 직무를 이동할 (조건부) 확률은 0.033이다. 

[표 7] 년간 기반 직무이동확률행렬​​​​​​​

[표 7]의 전이확률행렬을 통해 마코프체인 분석 기법을 이용하면 정보보호인력이 장기적으로 직무별로 분포될 안정상태확률 [표 8]을 추정할 수 있다[14, p.204-217].

[표 8]의 직무별 안정상태확률분포(steady-state probability distribution)와 [표 3]의 현재 시점에서의 직무별 인력 분포와 비교하면 [그림 1]과 같다. [그림 1]을 통해 다음과 같은 시사점을 얻을 수 있다.

[표 8] 직무별 인력 분포의 안정상태확률분포​​​​​​​

• ‘안정상태에서의 직무간 인력 분포’란 현재의 직무 전환 행위의 다이내믹스(직무이동확률행렬)가장기간 지속될 경우 달성되는 이론적인 직무간 인력 분포인 반면, ‘현재상태에서의 직무간 인력 분포’는 실제 조사에 의해 얻어진 경험적인 직무간 인력 분포이다. 만약, 현재의 직무 전환의 다이내믹스가 형성된지 오래되지 않았다면 미처 현재의 인력 구조에 충분히 반영되지 못했을 것이 므로, 이론적인 ‘안정상태에서의 직무간 인력 분포’와 실측치인 ‘현재 상태에서의 직무간 인력 분포’는 상이할 수 있다. 그런데, [그림 1]에서도 확인할 수 있듯이 두 분포는 전반적으로 유사한 모습을 보이고 있어, 현재의 직무 전환의 다이내믹스가 어느 정도 지속되어 현재의 직무간 인력 분포가 형성에 영향을 끼쳐 직무 전환의 다이내믹스의 변화가 없다면 현재의 인력 구조가 어느 정도 안정된 상태에 접어들었다고 판단된다.

• 또한 직무간 인력 분포의 편차도 점차 축소될 것으로 예상된다. 현재 최고 비율인 ‘연구개발 및 구현’ 직무(35.6%)와 최소 비율인 ‘교육 및 훈련’ 직무(2.3%) 사이의 33.3%의 격차가, 안정상태에서는 최고 비율인 ‘연구개발 및 구현’ 직무(27.2%)와 최소 비율인 ‘평가 및 인증’ 직무(5.9%) 사이의 21.3%의 격차로 그 규모가 축소될 것으로 전망된다.

• ‘연구개발 및 구현’ 직무에 대한 현재 인력이 장기적으로는 어느 정도 축소될 것이 예상된다.

• ‘교육 및 훈련’과 ‘관리 및 운영’ 직무에 대한 인력의 비중이 장기적으로는 확대될 것으로 예상된다. 이는 정보보호산업이 성숙됨에 따라 ‘교육 및 훈련’과 ‘관리 및 운영’ 등의 중요성이 점점 증대 되는 현 추세를 반영하는 것으로 보인다.

V. 결론

5.1 시사점 및 정책활용방안

본 연구에서는 정보보호인력의 직무 이동 과정을 마코프체인을 이용하여 모델링하고, 향후 정보보호인력의 직무간 비율에 대하여 전망을 하였다. 본 연구의 결과는 정보보호인력의 제반 환경, 즉, 거시적인 경제 상황, 주 수요산업인 IT산업 동향, 정보보호인력의 수급구조 등이 향후 일정기간 동안 동일하게 유지된다는 가정에서 도출된 것이다. 따라서, 정부 정책이나 시장상황이 크게 변하지 않을 것으로 예상되는 단기에서 중기 정도의 기간에 적용할 수 있을 것으로 판단된다.

자료의 한계로 인해 본 연구에서 고려하지는 못했지만, 타 분야에서 정보보호 분야로 유입되는 인력의 규모도 상당하다. 특히 ‘연구개발 및 구현’ 직무로의 IT분야에서의 인력 유입은 상당한 규모이고, 초기 정보보호 분야 종사자의 상당수는 이러한 경로로 유입이된 것으로 판단된다. 정보보호 분야내의 직무간 이동뿐만 아니라 IT를 포함한 타산업 분야(또는 해당 산업에서의 세부 직무)와의 인력 유입 및 유출에 대한 조사를 수행하게 되면 좀 더 상세한 정보보호인력의 유입 경로를 파악할 수 있을 것으로 판단된다. 현재 정보보호 직무별 종사자수 분포가 실제로는 정보보호 분야내의 직무간 이동 뿐만 아니라 정보보호 이외 분야와의 인력이동에 영향을 받을 수 있기 때문에 세밀한 검토가 필요하다.

정보보호산업의 구조적인 변화를 배제했지만, 본 연구의 결과만으로도 ‘연구개발 및 구현’ 직무 종사사 수의 비율은 점차 감소할 것이라는 것을 예측할 수 있다. 반대로 ‘교육 및 훈련’과 ‘관리 및 운영’ 직무 종사자 수의 비율은 점차 증가할 것으로 보인다. 타 분야의 성숙된 산업과 유사하게 정보보호분야에서도 산업의 초기에는 개발 및 구축 관련 인력의 수요가 상대적으로 컸지만, 점차 관리 관련 직무에 종사하는 인력의 상대적 수요가 증가할 것이라고 판단할 수 있다.

인력의 직무간 이동, 산업간 이동 등 인력의 이동은 다양한 형태를 가질 수 있기 때문에, 관심대상 직무에 대한 중점 육성을 위해서 관련 직무 또는 산업간 인력 이동에 대한 사전적인 분석이 필요하다. 특히, 장기적인 산업전망이나 전략적인 목표에 의해 육성이 필요한 세부 분야에 대해서는 인력의 이동경로 등에 대한 사전분석을 수행하여야 목표 시점에 원하는 정책목표를 달성할 수 있을 것이다. 인력의 직무간 및 산업간 이동에 대한 분석이 체계화되면, 정보보호인력의 육성이나 관리에 관련된 세부정책들을 정책수행목표와 그 효과를 비교하면서 추진할 수 있을 것이다.

5.2 연구의 한계 및 추후 연구 과제

현재 연구에서 사용한 데이터의 수는 직무전환확률을 추정하기에는 그 숫자가 매우 부족하여 통계적으로 유의한 결과를 얻거나 추가 분석을 수행하기에 어려움이 있다. 정보보호인력에 대한 2010년 현재 종사인력 8,964명, 2010년 1년간 채용인원 1,006명(신규채용 367명, 경력채용 639명), 2010년 상반기 중 퇴직인력 719명으로 최소한 1,000건 이상의 정보보호인력의 직장간 이동이 발생하는 것을 알 수 있다[2]. 직장 내 직무이동을 포함한다면 수천건 이상의 데이터를 확보할 수 있을 것으로 판단되므로, 자료의 확보만 용이하다면 본 연구에서 사용하였지만 통계적인 유의성이 부족한 모형과, 사용하려고 했지만 자료를 확보할 수 없어서 실제 적용을 하지 못한 모형들을 적용하여 정보보호인력의 효율적인 관리를 위한 방안을 도출할 수 있을 것이다.

어떻게 정보보호 분야에 종사하거나 정보보호 세부 직무를 수행하게 되었는지, 현재 수행중인 직무에 대해 만족하고 있는지, 만족하거나 불만족하고 있다면 그 이유는 무엇인지, 현재 직무를 수행하기 이전에 수행했던 직무는 무엇이고 당시 직위는 무엇인지, 수행하기를 희망하는 직무 및 직위는 무엇인지, 장기적인 경력상의 목표는 무엇인지 등에 대한 정기적인 조사를 수행한다면, 정부에서는 정보보호인력 양성의 세부적인 정책의 수행 목적과 그 효과를 분석할 수 있을 것이고, 기업에서는 경력개발지도(career map) 등을 이용하여 정보보호인력 관리에 참조할 수 있을 것이다. 본 조사를 통해 축적된 자료는 정보보호인력 수급을 파악하기 위한 목적으로도 사용될 수 있을 것이다.

References

  1. 한국정보보호진흥원, 정보보호 직무수행기준 개발및 인력수급 실태조사, pp. 44-79, 2008년 11월.
  2. 한국인터넷진흥원, 2010년 국내 정보보안산업 실태조사, pp. 223, 2010년 12월.
  3. 방송통신위원회, 행정안전부, 지식경제부, 2010국가정보보호백서, pp. 174-190, 2010년 4월.
  4. 디지털타임즈, "공공 보안관제사업 인력수급 '비상'", http://www.dt.co.kr/contents.html?- article_no=2010051902010860746002, 2010년 5월 19일.
  5. 디지털타임즈, "정부 사이버 보안 '헛구호'", http://www.dt.co.kr/contents.html?article_no=2010102102010260746002, 2010년 10월 21일.
  6. Simpson, H.K, Fisher, L.F., Tippit, J.D., and Hayes, A., Development and Acquisition of Skill Standards for Security Practitioners, Defense Personnel Security Research Center, Technical Report 06-01, pp. 1-66, Jul 2006.
  7. 전효정, 김태성, 유진호, 지상호, "정보보호 분야직무체계 개발", 정보보호학회논문지, 19(3), pp.143-152, 2009년 6월.
  8. Kesh, S. and Ratnasingam, "A knowledge architecture for IT security," Communications of the ACM, vol. 50, no. 7, pp. 103-108, Jul 2007.
  9. Wilson, M., Stine, K., and Bowen, P. Information Security Training Requirements: A Role- and Performance-Based Model (Draft), National Institute of Standards and Technology, Special Publication 800-16 Revision 1 (Draft), Gaithersburg, MD, pp. 3-48, Mar 2009.
  10. 유혜원, 김태성, "정보보호 전문인력의 직무전환의도와 전환사유", 정보보호학회논문지, 20(1),pp.95-104, 2010년 2월.
  11. ISACA, Information Security Career Progression Survey Results, pp. 5-10, 2008.
  12. SANS Institute, SANS Training Roadmap, www.sans.org/security-training/ roadmap.pdf, accessed 13 Jan 2011.
  13. SANS Institute, SANS Training Roadmap, www.sans.org/security-training/ roadmap.pdf, accessed 13 Jan 2011.
  14. Ross, S.M., Introduction to Probability Models, 9th edition, Academic Press, Burlington, MA, pp. 31-32, 40-41, 204-217, 2007.