사이버 보안 자격증 과연 필요한가

글로벌 사이버 보안 인력 부족이 거의 400만 명에 달하고 있습니다. 이와 관련하여, 보안업계 전문가는 보안 인증 자격증에 대한 과도한 의존이 격차를 해소하기보다는 오히려 확대시키고 있다고 주장합니다.

인증은 유용하지만 반드시 실제 전문 지식과 동일하지는 않으며, 이는 조직에 잘못된 보안 감각을 조성할 수 있습니다. 가장 큰 과제 중 하나는 실제 사이버 인력 역할에 필요한 기술을 확보하고 이를 직업 준비 상태로 입증하는 쉬운 방법이 없다는 것입니다.  또한 실제 역할에서 사이버 보안에 탁월하려면 전문가는 분석적 사고, 문제 해결, 인내, 호기심 및 자기 연구 능력을 포함한 여러 특성을 갖추어야 합니다. 테스트 방법은 ' 이전에 본 적이 없는 위협에 대해 실제로 이 작업을 수행하거나 분석적 사고와 문제 해결을 사용하기 위해'가 아닌 객관식 시험을 통해 수행하는 것입니다. 그리고 그것을 증명하고 측정하는 것은 정말 어렵다는 것입니다.

채용 측면에서 오늘날 조직은 사이버 보안 채용을 위해 자격증이나 학위에 의존하고 있으며, 이로 인해 충분한 자격을 갖춘 지원자가 거부되거나 초기 경력 및 다양한 보안 인재에 대한 진입 장벽이 높아질 수 있습니다.

자격증과 실제 업무와의 격차 존재

오늘날의 조직은 사이버 보안과 관련된 자격증이나 학위에 의존하고 있지만 실제로 취업 준비에 필요한 기술을 제공하지는 않습니다. 고용주가 사이버와 관련된 지식, 기술 및 판단을 측정하거나 증명할 수 있는 쉬운 방법은 없습니다. 그래서 그들이 하는 경향은 초급 역할의 경우에도 수년간의 경험을 요구하는 것입니다. 이는 초급 수준의 인재에 대한 취업 입구를 극단적으로 좁히게 된다는 것을 의미합니다.

자격증이나 학위보다는 기술력 증명이 중요

이 문제를 해결하기 위해  조직이 취업 후보자에게 컴퓨터 과학 학위, 사이버 보안 자격증 또는 수년간의 경험을 기대해서는 안 됩니다. 대신 기술 기반 접근 방식을 취하고, 내부적으로 숨겨진 인재를 파악하고, 기술 향상 프로그램을 통해 인재를 확보할 수 있는 다양한 방법을 모색해야 합니다.

예를 들어, 미국 국가 사이버 국장 해리 코커(Harry Coker)는  올해  초 백악관이 "4년제 학위 요구와 같이 수많은 재능 있는 인재를 배제하는 불필요한 장벽을 줄임으로써 업계 파트너가 연방 계약의 사이버 공석을 채울 수 있도록 돕기 위해 노력하고 있다"고 발표했습니다. 특히 대기업에서는 기술(자격증 또는 학위)을 주장하기보다는 기술력을 입증하는 쪽으로 이동하는 변화가 보이기 시작했습니다. 사이버 보안 환경이 매우 빠르게 발전하기 때문에 숙련된 사이버 보안 전문가도 최신 위협 동향을 기반으로 자신의 보유 기술 상태가 최신 상태임을 입증해야 합니다.

가장 인기 있는 사이버 보안 인증 자격증

다음을 포함하여 널리 사용되는 사이버 보안 인증이 많이 있습니다  .

• (ISC)2의 공인 정보 시스템 보안 전문가(CISSP)
• CompTIA 의 Security+
• ISACA 공인 정보 보안 관리자(CISM)
• CompTIA의 공인 고급 보안 실무자(CASP+)
• CEH( Certified Ethical Hacker ) 시험

O'Reilly 2024 기술 동향  보고서에 따르면 가장 인기 있는 자격증은 CISSP와 Security+입니다. CISSP는 숙련된 보안 전문가를 위한 시험으로, 시험에 응시하려면 최소 5년의 경력이 필요합니다. 콘텐츠 사용량은 전년 대비 4.8% 감소했습니다. Security+는 초급 시험으로, 콘텐츠 사용량이 5.8% 가장 많이 증가했습니다.

CISM은 위험 평가, 거버넌스, 사고 대응에 중점을 두어 콘텐츠 사용량이 54% 증가했습니다. CASP+와 CEH는 각각 10%, 4.1% 상승했다.

업계 전문가는 사이버 보안 산업의 빠른 변화 속도로 인해 많은 인증이 시대에 뒤떨어지게 된다고 주장합니다. “사이버 업무를 잘하려면 3년 전에 책에 쓰여진 내용이 아니라 어제와 오늘 무슨 일이 일어났는지 말해야 합니다. 사이버가 정말 빠르게 움직이기 때문에 그것은 도움이 되지 않을 것입니다.”라고 그는 말했습니다. “3년 전 객관식 시험에 합격했기 때문에 누군가에게 의지할 수 있다는 생각은 도움이 되지 않습니다. 그것은 그 사람이 당신이 잘하는 데 필요한 기술과 관심과 갈망을 가지고 있다는 것을 증명하지 않습니다.

그러나 일부 인증 자격증이 여전히 업계 전문가에게 가치가 있음을 인정합니다. “저는 온갖 종류의 자격증에 대해 성토하려고 하는 것이 아닙니다. 내 생각에 CompTIA는 누군가가 네트워킹, 운영 체제 등과 같은 기본 기본 계층을 갖추고 있음을 증명하려는 의지가 있음을 보여주는 역할을 한다고 생각합니다 . 즉, 기본 IT가 있고 필요한 것이 필요하다는 의미입니다. 그 위에 사이버 보안을 추가하는 것입니다.”

그러나 사이버 보안 공급업체의 일부 인증 자격증은 고객에게 제조사 제품에 대한 충성도를 높이는데 도움이 되도록 설계되었을 수 있다고 그는 덧붙였습니다.