ISACA, 글로벌 사이버 보안 기량 위기 대처 위해 종합적인 ‘사이버시큐리티 넥서스 프로그램’ 공개

- 기업 5곳 중 1곳 APT 공격 경험 불구, 기업 62%가 2014년 보안 교육 강화 외면

뉴스 제공

ISACA

2014-04-29 11:15

가

가 가 가 가

롤링메도스, 일리노이--(Business Wire / 뉴스와이어)--정보시스템감사통제협회(ISACA)가 실시한 ‘2014 APT 서베이’에 따르면 IT 보안 전문가 5명 중 1명이 자신이 속한 기업이 지능형 지속 위협(APT: Advanced Persistent Threat)의 목표가 된 적이 있다고 밝혔다. 하지만 기업의 62%는 2014년 보안 교육을 늘리지 않은 것으로 조사됐다. 이와 별도로 시스코(Cisco)가 수행한 연구에 따르면 100만 개에 육박하는 보안 전문가 일자리가 공석으로 남아있는 것으로 나타났다.[1] 대규모 인력 부족을 보여주는 이들 지표들은 기술은 물론 비즈니스 전략과 커뮤니케이션 전문성을 강조하는 사이버 보안 프로그램이 드문 가운데 기량 격차로 더 악화됐다. 글로벌 IT 기구인 ISACA는 세계적으로 고조되고 있는 기술 위기에 대한 대처를 지원하고자 오늘 북미 CACS 컨퍼런스에서 ‘사이버시큐리티 넥서스’(Cybersecurity Nexus, 이하CSX)를 공개했다.

세계 주요 기업의 최고정보보안책임자와 사이버 보안 전문가들의 공조로 개발된 CSX는 보안 전문가와 기업이 사이버보안 연구, 가이드, 인증, 보증, 교육, 멘토링, 커뮤니티를 검색할 수 있는 단일한 중앙 창구에 대한 수요를 충족시켜준다. CSX의 모든 자료는 보다 광범위한 비즈니스적 맥락에서 보안 관련 정보를 제공하고자 만들어졌다.

ISACA 인터내셔널 대표에 선임된 로버트 스트라우드(Robert Stroud) CA테크놀로지스(CA Technologies) IT 비즈니스 관리 전략/혁신 부사장은 “업계가 지금 시점에 사이버보안 기량 위기에 대처하기 위해 나서지 않는다면 유통 데이터 유출과 하트블리드 버그(Heartbleed bug)와 같은 위협이 계속되고 결국 기업의 위협 방어 능력을 넘어서게 될 것이다”며 “ISACA가 사이버보안 전문가들의 경력 등급에 맞춰 전문가 수준의 사이버 보안 자원을 제공하는 종합 프로그램으로 그 격차를 없애는 데 일조한다는 데 자부심을 느낀다”고 말했다.

사이버공격의 지속적인 증가는 엄청난 비용을 초래한다. 세계경제포럼/맥킨지(World Economic Forum/McKinsey) 보고서는 사이버보안에 대한 현재의 접근방식을 혁신하지 않을 경우 세계 경제에 3조 달러에 이르는 부담을 지울 수 있다고 추정한 바 있다.[2]

CSX(www.isaca.org/cyber)는 경력개발 자원, 프레임워크, 커뮤니티와 더불어 ‘표적화된 사이버 공격에 대한 대처와 코빗5(COBIT 5)를 활용한 사이버보안 혁신’(Responding to Targeted Cyberattacks and Transforming Cybersecurity Using COBIT 5) 등의 연구 가이드를 포함하고 있다.

CSX 프로그램은 ISACA가 NIST(미국 국립표준기술연구소), ENISA(유럽 네트워크 정보 보안 기구) 등 사이버 보안의 주축을 이루고 있는 글로벌 기관과 추진 중인 지속적인 협력을 반영하고 있다. ISACA는 스페인 바르셀로나에서 열릴 ‘유로CACS/정보 보안 및 리스크 관리 컨퍼런스’(EuroCACS/Information Security and Risk Management Conference)에서 EC-Council이 운영하는 윤리적 해킹 대회인 사이버림픽스(CyberLympics)의 세계 결승전도 주최할 예정이다.

차세대 사이버 보안 담당자

CSX 프로그램을 통해 ISACA는 45년 역사상 처음으로 보안 관련 인증을 제공하게 된다. 공인 정보 보안 관리자(CISM: Certified Information Security Manager) 자격증명을 비롯한 ISACA의 4개 인증은 시험과 업무 경력 증명을 함께 요구한다. 최근 대학 졸업자나 분야 변경을 모색하는 IT 전문가에 적합한 ‘사이버보안 기초 인증’(Cybersecurity Fundamentals Certificate)의 경우 응시자들이 잠재적 고용주에게 주제에 대한 숙련도를 객관적으로 입증해줄 수 있는 지식 기반 시험을 통과해야 한다.

사이버 보안 일자리에 대한 학생들의 관심은 지대하다. 최근 ISACA 학생 지부 회원을 대상으로 실시한 글로벌 투표에 응한 ISACA 학생 회원의 88%가 일정 수준의 사이버보안 관련 지식이 필요한 직종에서 일할 계획이라고 답했다. 하지만 졸업 시 해당 직무를 수행하는 데 필요한 적절한 기술과 지식을 갖추게 될 것이라고 답한 학생은 절반에도 못 미쳤다.

에디 슈워츠(Eddie Schwartz) 버라이즌 엔터프라이즈 솔루션(Verizon Enterprise Solutions) 글로벌 사이버보안 및 컨설팅 솔루션 담당 부사장 겸 ISACA 사이버보안 태스크포스 위원장은 “보안은 최고정보책임자가 가장 우선으로 여기는 3대 항목에서 빠지는 일이 없다. 하지만 대학의 IT 및 컴퓨터 과학 프로그램은 사이버보안에 적절한 비중을 할애하지 않고 있다”며 “정식 교육과 실제 현장의 필요 간에 상당한 격차가 존재한다. 보안은 즉각 무게를 두어야 할 영역이다. 업계가 사이버위협을 감지하고 완화시키는 역량을 키울 수 있도록 해주어야 한다”고 강조했다.

토니 헤이즈(Tony Hayes) ISACA 인터내셔널 대표는 “기업들은 사이버보안을 가르치는 소수의 대학에만 의존할 수 없다”며 “모든 직원과 부문이 사이버 범죄에 노출될 위험이 있는 상황에서 보안은 모든 이의 문제다. 차세대 보안 담당자들이 사이버보안 교육을 최대로 접할 수 있도록 해야 한다”고 지적했다.

사이버보안 넥서스 프로그램에 추가될 항목으로는 멘토링 프로그램, 실무자급 사이버 보안 인증, SCADA 지침, 훈련 코스, NIST가 개발한 미국 사이버보안 프레임워크와 관련된 실행 지침, 교수용 교재 등이 있다.

정보시스템감사통제협회(ISACA) 소개

180개국 11만5000여 명의 회원을 둔 정보시스템감사통제협회(ISACA®)(www.isaca.org)는 기업과 IT 책임자들이 정보 및 정보시스템에서 신뢰를 구축하고 가치를 창출할 수 있도록 지원한다. 1969년 설립된 ISACA는 정보시스템 감사, 보증, 보안, 리스크, 개인정보보호, 운영 전문가를 위한 지식, 표준, 네트워킹, 경력개발을 지원하는 믿을 수 있는 창구다. ISACA는 사이버보안 전문가들을 위한 종합 자원 모음인 ‘사이버시큐리티 넥서스’(Cybersecurity Nexus™)와 비즈니스 프레임워크로 기업이 정보 및 기술을 운영, 관리할 수 있도록 지원하는 코빗(COBIT®)을 제공하고 있다. ISACA는 세계적으로 인정받는 CISA®(Certified Information Systems Auditor®), CISM® (Certified Information Security Manager®), CGEIT®(Certified in the Governance of Enterprise IT®), CRISC™ (Certified in Risk and Information Systems Control™) 자격증명을 통해 기업의 핵심 기술과 지식을 개선, 평가하고 있다. ISACA는 전 세계 200개 이상의 지부를 두고 있다.

ISACA 트위터: https://twitter.com/ISACANews

[1] 시스코 2014 연례 보안 보고서(Cisco 2014 Annual Security Report)

[2] ‘초연결사회’에서의 위험과 책임: 기업에 대한 시사점, 세계경제포럼(The World Economic Forum)/맥킨지앤컴퍼니(McKinsey & Company)

[이 보도자료는 해당 기업에서 원하는 언어로 작성한 원문을 한국어로 번역한 것이다. 그러므로 번역문의 정확한 사실 확인을 위해서는 원문 대조 절차를 거쳐야 한다. 처음 작성된 원문만이 공식적인 효력을 갖는 발표로 인정되며 모든 법적 책임은 원문에 한해 유효하다.]

웹사이트: http://www.isaca.org