KISA, 정보보호 3대 핵심직무 NCS 개발 참여- 정보보호 관리․운영, 정보보호 진단․분석, 보안사고 분석대응 직무능력 정의

KISA, 정보보호 3대 핵심직무 NCS 개발 참여- 정보보호 관리․운영, 정보보호 진단․분석, 보안사고 분석대응 직무능력 정의

 

담당자 보안교육기획팀 등록일2017-01-10

 

 

 

KISA, 정보보호 3대 핵심직무 고용부 NCS 개발 참여
- 정보보호 관리․운영, 정보보호 진단․분석, 보안사고 분석대응 직무능력 정의 -

  한국인터넷진흥원(KISA, 원장 백기승)은 한국정보보호산업협회(KISIA) 등 산업계와 함께 정보보호 분야 직무를 고용노동부의 국가직무능력표준(NCS)*에 신규 반영했다고 10일 밝혔다.
  ※ 국가직무능력표준(NCS) : 자격기본법 제2조 2호에 근거하여 산업현장에서 직무를 수행하기 위하여 요구되는 지식․기술․소양 등의 내용을 국가가 산업부문별․수준별로 체계화

<신규 개발․보급되는 정보보호분야 국가직무능력표준>

  그간 정보보호 분야는 국가직무능력표준에 별도의 분류체계 없이 22개의 정보기술(SW) 하위 세분류 중 ‘보안엔지니어링’만이 정보보호 직무로 정의되어 있어 다양한 정보보호 직무를 반영하기 어려웠다.

  인터넷진흥원은 정보보호 분야의 세분화된 NCS 개발 필요성에 따라 고용노동부 ‘2016년 국가직무능력표준(NCS)’*에 정보보호 분야를 신설하고, 산․학․연 전문가와 함께 △정보보호 관리․운영, △정보보호 진단․분석, △보안사고 분석대응 등 3개의 세분화된 정보보호 분야 NCS 개발에 참여했다.
  ※ 2016년 국가직무능력표준 : 고용노동부는 2017년 1월, 4차 산업혁명 등 기술․직무 변화 반영을 위해 정보보호 등 미래유망분야 관련 26개를 포함한 50개 NCS를 신규 개발했다고 밝힘.

  정보보호 관리․운영 분야는 정보자산을 안정적으로 운영하는데 필요한 전략 및 정책 수립, 관련 법제도 준수, 위험관리에 기반한 정보보호 대책 마련 등을 하는 직무로 정보보호 정책 및 개인정보정책의 기획, 보안위험 관리, 보안성 검토, 네트워크 보안 운영 등의 역량이 필요하다.

  정보보호 진단‧분석 분야는 정보자산 보호를 위한 관리적, 기술적, 인적 영역의 보안 요구사항과 위험에 대한 위험평가를 통해 객관적 충족여부 검증, 보안대책 및 전략 수립, 관리체계 설계, 정보보호 비전 수립․자문 등을 컨설팅 하는 직무로 필요한 역량은 보안전략수립 컨설팅, 보안감리, 모의해킹 등이다.

  보안사고 분석대응 분야는 침해사고의 피해확산 방지를 위해 위협정보 탐지, 침해사고의 증거 확보 후 분석․대응을 하는 직무로 보안관제 운영, 디지털포렌식, 악성코드 분석, 보안로그 분석 등의 역량이 필요하다.

  개발된 NCS는 한국산업인력공단 국가직무능력표준사이트(www.ncs.go.kr)에 공개 후 국민 의견수렴 및 최종 검증을 통해 확정․고시되며, 향후 정보보호 분야 각계에서 직무별 인력채용, 경력관리 및 일학습병행제 운영, 직무별 인력 양성을 위한 표준 교육과정 개설, 신규 자격 개발 등에 활용될 예정이다.

  인터넷진흥원 조성우 사이버보안인재센터장은 “4차 산업혁명을 주도할 스마트 자동차, 사물인터넷, 지능형 반도체 등 특화된 분야의 정보보호 인력 수급 균형을 위해 업계의 필요에 적합한 정보보호 국가직무능력표준 개발을 지속 추진할 예정”이라고 밝혔다.

붙임. 정보보호분야 국가직무능력표준 추진 개요

정보보호분야 국가직무능력표준(NCS) 추진 개요

□ 개요

 o (배경) 2014년 개발된 정보보호 관련 국가직무능력표준(NCS)은 ‘보안엔지니어링’ 1개 세분류 구성되어 다양한 정보보호 직무(괸리‧서비스‧사고대응)를 반영하기 미흡
   * 근거: 자격기본법 제2조 2호, 정보보호 산업진흥에 관한 법률 제15조(전문인력 양성)
   ※ 국가직무능력표준(NCS) National Competency Standards

 o (목적) 정보보호관리, 정보보호 서비스 인력의 표준화된 지식․기술․소양 등을 반영하기 위한 정보보호 분야 NCS 확대 개발

 o (참여기관) 한국인터넷진흥원(KISA), 한국SW산업협회(KOSA), 한국정보보호산업협회(KISIA)

 o (개발기간) ‘16.8월~12월

□ 개발경과

 o (정보보호 소분류 신규 반영) 정보보호 산업 중요성을 반영한 정보기술(중분류) 內 정보보호(소분류) 신설

 o (정보보호 NCS 확대 개발) 정보보호 관리, 정보보호 서비스 인력의 육성을 위한 3개 세분류 신규 개발

  - △정보보호 관리․운영, △정보보호 진단․분석, △보안사고 분석 대응

 o (직무정의 설정) 세분류별 산‧학‧연 전문가 10인 이상의 참여를 통한 직무 정의 구성

  - 산업계 통용성 확대를 위한 세분류별 기업체 30개 이상의 산업체 검증 실시

세분류명
직무 정의
정보보호관리‧운영
조직의 비전과 미션을 수행하기 위하여 정보 자산을 안정적으로 운영하는 데 필요한 정보보호 전략 및 정책을 수립하고, 관련 법제도 준수, 보호관리 활동을 수행하며, 위험관리에 기반한  정보보호 대책을 도출하고 실행하는 일이다.
정보보호 진단‧분석
주요 정보자산을 보호하기 위한 관리적, 기술적, 인적 영역의 보안 요구사항과 위험에 대하여 모의해킹을 포함한 위험평가를 통하여 객관적인 충족여부를 검증하고 보안대책 도출, 보안전략수립, 관리체계 설계, 정보보호 비전과 목표 수립을 수행하고 자문하는 일이다.
보안사고 분석 대응
침해사고의 피해확산 방지를 위해 위협정보를 탐지하고, 시스템 복구와 예방 전략을 수립하는 일과 정보보호 침해사고로 인한 업무 및 서비스에 영향을 준 증거를 확보 후 분석하여 신속하게 대응하는 일이다.

 o (능력단위 개발) 세분류별 필요한 업무를 수행하기 위해 갖추어야할 능력단위 8~15개 개발
  - 능력단위별 지식‧기술‧태도‧역량 설정을 통한 교육‧취업 등에 요구되는 기초 정보보호 지식 설정

정보보호 관리‧운영
정보보호 진단‧분석
보안사고 분석 대응
1. 정보보호 거버넌스 구현
1. 보안전략수립 컨설팅
1. 보안관제 기획 운영
2. 개인정보보호 거버넌스 구현
2. 보안감리
2. 침해대응팀(CERT) 구축
3. 정보보호 정책 기획
3. 보안감사
3. 디지털포렌식
4. 개인정보보호 기획
4. 정보보호관리체계 인증
4. 사이버수사
5. 보안위험관리
5. 정보보호제품 인증
5. 침해사고 분석
6. 보안성 검토
6. 보안대책설계 컨설팅
6. 악성코드 분석
7. 내부 보안 감사 수행
7. 정보시스템 진단
7. 보안로그 분석
8. 정보보호 계획 수립
8. 정보보호관리체계 심사 컨설팅
8. 보안이벤트 대응
9. 개인정보보호 운영
9. 정보보호제품 평가 컨설팅

10. 네트워크 보안 운영
10. 모의해킹

11. 애플리케이션 보안 운영

12. 시스템 보안 운영

13. 관리적 보안 운영

14. 물리 보안 운영

15. 보안 장비 운영

 o (활용패키지 개발) 세분류별 직무기술서, 평생경력개발 체계도, 채용배치승진 체크리스트, 직무역량 자가진단도구, 훈련과정, 출제기준 작성
  - 예) 평생 경력개발 체계도 : 정보보호 산업 진출이후 정보보호 담당자 → 보안정책관리자 → 정보보호 최고 책임자에 이르는 경력경로 모형 설정을 통한 개개인 Career-Path 설정(붙임 1)
□ 향후 추진계획(안)

 o (NCS 활용․확산) 표준 교육과정 개발․보급‧컨설팅, 일학습병행제, 新직업자격 등 정보보호 NCS를 활용한 인력 역량강화 및 취업 활성화 추진
  - ‘16년 개발한 NCS 세부능력단위별 학습모듈 개발 및 보급
  - ‘16년 개발한 NCS를 기반으로 자격제도 수요 조사 및 개발

 o (정보보호 NCS 추가 신규개발) 스마트 자동차, 빅데이터, 지능형 반도체 등  4차 산업 안정적 육성을 위한 정보보호 NCS 세분류 추가 신규 개발

   * 예) 사물인터넷(IOT) 보안, 지능형 영상정보처리(CCTV) 등

[붙임 1] 정보보호 평생경력경로 모형(Career-Path)

[붙임 2] 정보보호 NCS 개발 참여 전문가 명단

□ 세분류명 : 정보보호관리·운영

구    분
소    속
직   위
성   명
개발진
산업계
EastSun
전문위원
이승훈
키움증권
과장
이은경
KB데이타시스템
실장
이창근
지니네트웍스
전무
허광진
유넷시스템(주)
전무
이상준
한국인터넷진흥원
팀장
박순태
㈜윈스
부장
마기평
교육훈련
아주대학교
부교수
김종현
충북대학교
교수
김태성
중앙대학교
교수
김정덕
자격
사이버보안인재센터
팀장
이용필
퍼실리테이터
한국소프트웨어산업협회
전문위원
조준범

□ 세분류명 : 정보보호진단·분석

구    분
소    속
직   위
성   명
개발진
산업계
비트러스트
부사장
박천용
유넷시스템
이사
김종평
트리니티소프트
이사
이은진
윈스
이사
이문주
한국씨티은행
이사
차민호
한국인터넷진흥원
수석
백남균
한양대학교
교수
이준택
대전대학교
교수
박진섭
교육훈련
공주대학교
교수
김황래
영남이공대
교수
이종락
사이버보안인재센터
주임
김주희
자격
동덕여자대학교
교수
전정훈
퍼실리테이터

□ 세분류명 : 보안사고분석대응

구    분
소    속
직   위
성   명
개발진
산업계
하우리
연구소장
김의탁
AKIS
과장
김인수
사이버침해대응본부
수석
신화수
이글루시큐리티
부장
정일옥
에스티지시큐리티
부사장
김양욱
레드비씨
부장
한성화
신세계
부장
강안구
극동대학교
교수
박원형
교육훈련
경찰청
경위
신충근
한국포렌식학회
사무국장
김용호
사이버보안인재센터
선임
양범선
자격
한국정보보호산업협회
단장
조연호
퍼실리테이터