교육 및 세미나 참석

정보보호제품 성능평가자 양성교육 후기

IntoTheSec 2025. 9. 19. 16:43
반응형

2025년 정보보호제품 성능 평가자 양성교육(보안성능, 1차)에 다녀왔다.

참고 : 신청 안내 URL

 

정보보호제품 성능 평가는 「 정보보호산업의 진흥에 관한 법률 」 제17조(성능평가 지원)에 근거해 정보보호제품의 품질확보ㆍ유통촉진ㆍ이용자 보호ㆍ융합산업 활성화를 목적으로 정보보호제품에 관한 성능을 평가하는 제도이며, 사전에 지정된 성능 평가기관에서만 할 수 있다.

정보보호산업법 제17조(성능평가 지원) 
① 과학기술정보통신부장관은 정보보호제품의 품질확보ㆍ유통촉진ㆍ이용자 보호ㆍ융합산업 활성화 등을 위하여 정보보호제품에 관한 성능평가를 실시할 수 있다.
② 과학기술정보통신부장관은 제1항에 따른 성능평가를 전문적으로 수행하기 위한 평가기관을 지정할 수 있다.
③ 제1항에 따른 성능평가를 받으려는 자는 제2항에 따른 평가기관에 평가를 신청하여야 한다. 이 경우 소요되는 비용은 신청인이 부담하며, 과학기술정보통신부장관은 예산의 범위에서 이에 필요한 지원을 할 수 있다.
④ 제1항에 따른 성능평가의 방법, 제2항에 따른 평가기관의 지정 등에 필요한 사항은 대통령령으로 정한다.

 

성능 평가자는 동법 시행령의 위임을 받은 행정규칙인 「정보보호제품 성능평가 운영지침」을 근거로 두고 있으며, 평가자 양성교육 과정 수료와 시험 합격이 필수적이다.

정보보호제품 성능평가 운영지침 제19조(평가자의 구분 및 자격요건) 
평가자는 선임평가자, 주임평가자, 수습평가자로 구분하며, 평가자에 대한 최소 자격요건은 다음 각 호와 같다. 
1. 선임평가자 : 주임평가자 자격 취득 후 성능평가 업무에 3년 이상 종사하고 총 9회 이상 평가수행에 참여한 자
2. 주임평가자 : 수습평가자 자격을 보유한 자로서 다음 각 목의 어느 하나에 해당하는 자
 가. 성능평가 업무에 1년 이상 종사하고 총 3회 이상 평가수행에 참여한 자
 나. 정보보호제품 보안성 평가 업무에 2년 이상 종사한 자
 다. 성능계측장비를 이용한 성능시험 업무에 2년 이상 종사한 자
 라. 보안취약점 분석 및 모의시험 업무에 2년 이상 종사한 자
3. 수습평가자 : 별표 3의 요건을 만족하는 자로서 한국인터넷진흥원 또는 한국인터넷진흥원이 지정하는 기관에서 평가자 양성교육 과정을 수료하고 시험에 합격한 자

 

교육은 총 교육시간의 80%이상을 들어야 수료처리가 되고 시험은 필기(30점 만점)와 실기시험(70점 만점)으로 나눠져 있으며, 필기는 10점 미만, 실기는 40점 미만이면 과락에 해당한다.

 

교육 커리큘럼을 보면 알 수 있듯이 평가 기준과 같은 정보보호제품 성능 평가에 대한 주제는 교육에서 다루지 않는다. 아마도.. 성능 평가를 성능 평가 기관에서만 할 수 있고, 대부분의 교육 신청자가 평가 기관 소속 직원이기 때문에 관련해서는 이미 알고 있을 거란 전제가 깔려 있는 것 같고 그간의 교육에서의 수강생 피드백을 받아 성능 평가 자체 보다는 종합적인 보안 소양을 갖추기 위한 교육을 진행하려는 의도가 있어서 아닐까란 생각을 해본다.

 

o 커리큘럼

 

시험결과는 교육을 진행한 다음 주 월요일에 알려 주고, 합격 증명서는 금요일에 이메일로 보내준다고 한다. 또한 시험은 교육에서 배웠던 내용을 위주로 출제가 되고 시험 불합격자를 위한 재시험 기회 또한 제공하고 있기 때문에 시험에 대해 큰 걱정을 할 필요는 없다고 생각한다. 

 

아쉬움으로는 실제 정보보호 제품을 대상으로 성능 평가를 해보는 기회가 짧게라도 주어졌으면 좋았을 텐데 그렇지 못했단 것이다. (곰곰이 생각해 보면 성능 평가를 통과한 제품은 이미 문제점이 없음에 대한 검증이 완료되었을 가능성이 높기도 하고 타사 정식 제품의 문제점을 수업 시간에 찾게 하는 게 바람직한 방향은 아닌 것 같다.)

 

이번 교육을 통해 얻고 싶었던 것들은 다음과 같다.

1) 정보보호 제품 성능 평가 생태계에 대한 이해

2) 정보보호 제품 성능 평가 방법 습득

3) 정보보호 제품 성능 평가자 자격 획득
 > 어떤 자격이든 빨리 따놓는 게 좋다는 그간의 경험 때문이랄까?

4) 정보보호 제품 성능 평가, 기술심의위원회 등에 참여할 수 있는 기회 획득
 > 업무 영역을 확장하고 싶은 욕심

 

아쉽게도 3)을 제외하고는 쉽지 않겠단 생각이 든다.

성능 평가를 받은 제품 수 대비 성능 평가 기관의 수(5개)가 많고, 유관 전공의 학사 학위만 있으면 수습평가자에 도전할 수 있어 진입장벽이 높지 않은 점, 성능 평가가 의무가 아닌 점, 성능 평가 소요 기간이 20~30일인데 비해 성능 평가 비용이 제품별 1,000~2,500 만원 정도밖에 하지 않아 시장이 크진 않기 때문인 점 등을 고려했을 때 내린 결론이다. 새로운 기회로 연결될 수 있을지는 조금 더 두고 봐야겠다. 

반응형
저작자표시 (새창열림)