"보안을 담당하는 컨트롤타워가 필요하다"

계속되는 보안사고로 인해 기업들의 보안에 비상이 걸렸다. 기업들마다 정보보안 전문가를 영입하기 위해 각고의 노력을 하고 있지만, 해마다 정보보안 전문가의 공급은 수요에 비해 원활치 않은 추세다. 이러한 모습에 최근 국가기관과 보안기업을 중심으로 정보보안 전문가를 양성하려는 움직임이 거세게 일고 있다. 특히나 시스템의 취약점을 찾아내도 공격코드를 만들어 대응할 수 있는 방어 전략을 세울 수 있도록 '화이트해커'가 새롭게 조명받고 있다.
정태명 성균관대학교 정보통신공학부 교수는 화이트해커 양성을 위해 지난해까지 코드게이트 조직위원장을 겸임했다. 음지에서 활동하던 해커를 제도권으로 끌어들이고, 주니어 해커를 육성해야 한다는 정태명 교수. 그를 만나 최신 보안트렌드와 기업보안, 그리고 정보보호 교육 실정 등에 대한 생각을 들어봤다.

양광수 기자 ksyang@ciociso.com

정보보호 투자 아직도 미흡해

“국내 기업보안은 사고가 나야 그때서야 허둥지둥 대비하는 경향이 크다. 그러나 보안사고를 자동차사고와 비교해서 살펴보면 이러한 사후처리가 얼마나 비효율적이며, 위험한 것인지 단번에 알 수 있다.”
정태명성균관대학교 정보통신공학부교수는 기업들이 보안에 대한 인식이 변화해야 한다며 이와같이 강조했다. 정교수는 우리나라가 IT를 통해 폭발적인 경제성장을 이룩했는데, 이는 마치 200Km로 달리는 폭주자동차와 같다면서, 원칙대로라면 경제성장과 함께 보안도 고려됐어야 한다고 주장했다.
IT가 기업을 움직이는 엔진이라면, 보안은 브레이크 역할을 하는 보완재의 역할을 수행한다. 그동안 기관과 기업에서는 ‘설마 우리한테 사고가 나겠어?’라며 브레이크를 밟지않은채 속력만을 높여왔다는 것이다.
그는 “지금 보안에 각별한 투자를 하고 있는 금융권에서도 마케팅 비용의 1~2%, 전체 정보화 투자비용의 4~5% 수준에서 정보보안에 대한 투자가 이뤄지고 있다”며 “투자가 미흡하다보니 보안사고를 사전에 방지하지 못하고, 뒤늦게 도입하는 폐단이 생기고 있다”고 말했다.
뿐만 아니라 보안사고가 잦은 금융권에서만 보안이 이슈가 되고, 비금융권 기업에서는 여전히 ‘보안불감증’이 심각한 점도 지적했다.
정 교수는 “대부분의 기업들이 보안은 불편한 것, 귀찮은 것, 쓸모없는 것으로 생각하는 인식이 크다”면서 “보안사고는 언제든지 날 수 있다는 것을 인식하고, 이에 대한 대비를 하는 것이 반드시 필요하다”고 주장했다.

▲ 기업들도 해킹기술이 정보보호에 있어 가장 기본적인 기술이며, 이를 통해 취약점을 개선하고, 보안을 강화할 수 있는 중요한 자원임을 인식해야 한다. 지금처럼 해커가 보안전문가로 우대받지 못하는 상황이 지속된다면, 국내의 기업보안 수준은 제자리에 머물 수밖에 없다.” 정태명 성균관대학교 정보통신공학부 교수

정태명 교수는 지난 2013년까지 국내 최초의 해커양성대회인 코드게이트의 조직위원장을 역임했다. 코드게이트는 2008년 첫 컨퍼런스를 시작으로 화이트해커 양성 및 증진을 위해 매년 개최됐다.
정 교수는 코드게이트를 통해 음지에 숨어있는 블랙해커를 양지로 이끄는 동시에 전산업군에서 정보보호에 대한 인식을 부각시키고자 노력했다. 뿐만아니라 지난 해코드게이드 주니어 해킹방어대회 부문을 창설하고, 화이트해커 영재의 육성을 위한 기틀을 다졌다.
그는 “보안은 어렸을 때부터 관심을 가져야 하는 분야기에 주니어대회를 통해 지속적인 육성지원이 이뤄져야 한다”며 “또한 단순히 해킹경연에서 멈춰야 하는 것이 아니라, 주니어해커들의 실력을 더욱 배양할 수있는 고급기술의 세미나가 동반돼야한다”고 주장했다.
이와함께 기업들이 가지는 해커에 대한 인식변화도 필요하다고 정 교수는 강조했다. 현재 기업들은 ‘해커=범죄자’라는 부정적인인식을 가지고있어, 해커고용에 대한 우려를 나타내고 있다고 전했다. 기업의 이러한 부정적인 인식이 해커들로 하여금 반발감을 야기해 더 어두운 음지로 숨어들게 하는 악순환이 계속되고 있다는 것이다.
“기업들도 해킹기술이 정보보호에 있어 가장 기본적인 기술이며, 이를 통해 취약점을 개선하고, 보안을 강화할 수 있는 중요한 자원임을 인식해야 한다”며 “지금처럼 해커가 보안전문가로 우대받지 못한다면 국내의 기업보안수준은 제자리에 머물 수밖에 없을 것”이라고 전했다.
현재 정보보호가 필요한 기업은 약 40만 곳으로 추산되고 있다. 최소 40만명의 보안전문가가 있어야만 산업전반의 기업보안을 체계화시킬 수있다.
정 교수는 우수한 해커인력을 양지로 이끌 수단이 바로 기업 자신들에게 있다는 것을 상기할 필요가 있다고 강조했다.
뿐만아니라 그는 사회 전반에 정보보안교육체계의 보편화와 전문화가 함께 이뤄져야 한다고 주장했다. 이는 전문가를 양성하는 교육체계와 또다른 교육체계로써 구성할 필요가 있고, 기업을 포함한 일반인들도 정보보안에 대한 중요성을 파악할 수 있는 체계를 만들어야 한다는 것이다. 또한 정부와 교육기관, 그리고 산업이 연계해 최고보안 전문가를 양성하는 고도의 교육체계를 구성함으로써 보안교육에 대한 질과 양을 모두 충족시킬 수있는 수단이 정부체계안에서 고려돼야 할 것이라고 전했다.

보안, 신뢰를 위해 반드시 지켜져야

정태명 교수는 보안문제는 CEO의 강력한 의지가 무엇보다 필요하다고 강조했다. 정 교수는 “보안은 어디로 튈지 모르는 럭비공같아서, 그것을 잡고 골대를 향해 달릴 수 있는 강력한 의지와 실천력이 필요한 사람이 필요하다”고 전했다.
CEO 역할은 보안전문가가 없다고 국가에 불만을 토로해야 하는 것이 아니라, 보안에 필요한 인재를 기업에서 배양할 수있도록 CISO를 지정하고, 보안전문가을 육성해야 한다는 것이다. 이를 위해 CEO는 정보보호 인식 제고를 위한 정보보호에 대해 교육이 필요하다고 정 교수는 주장했다.
“최근 개인정보 유출에 대한 책임을 CEO에게 묻겠다는 이야기에 솔루션 도입만을 검토해야하는 것이 아니라, CEO 자신 스스로 정보보호에 대한 인식을 고취시키고, 기업의 보안문화를 선도해야할 필요성이 있다”며 “이제 보안은 단순히 어쩔 수없이 짊어지는 짐이 아니라 기업의 신뢰도를 지키기 위한 기업 전략으로써 고민해봐야 한다”고 말했다.
뿐만 아니라 정 교수는 기업의 정보보호 담당자들의 위상 강화도 함께 이뤄져야 한다고 주장했다. 정보보호 담당자들은 기업내에서도 기피되고 있다면서, 다른 부서는 성과가 나면 적절한 보상이 주어지는데 반해 정보보호부서는 그렇지 않은 것이 문제라고 전했다. 정보보호는 그 특수성상 축구의 골키퍼와 같은 입장이어서 잘하면 당연한 것이고, 못하면 모든 책임이 전가되는 문제가 있다고 전했다.
“기업에서 아무 일도 일어나지 않고 있다는 것은 보안부서가 잘하고 있다는 것이다. 그러나 아무 일이 일어나지 않는다고해서 보안담당자에게 공적이나 보상이 주어지는 것이 아니다. 정보보호는 고된 중노동이면서, 기업을 수호하는 철벽으로 인식이 변해야 한다”
그는 정보보호의 마이너스 결과만 중시되고 플러스 결과가 멸시되는 상황에서 누구도 기업보안을 위해 열정을 다하지는 못 할 것이라며, 지금보다 더 바람직한 수준과 처우개선이 필요하다고 전했다.

기술, 인재, 세계화를 통해 보안시장 넓혀야

“국내 보안관련 인프라는 세계 최고 수준이다. 그러나 우리나라를 보안강국이라고 부르지는 않는다. 우리나라는 IT 인프라가 상대적으로 빈약하지만, 보안강국이라고 불리는 이스라엘에 대해 주목할 필요가 있다.”
정태명 교수는 IT 인프라에 비해 정보보호 인프라는 왜소하다고 강조했다.
정보보안사고는 ‘자산의가치’, ‘취약점’, ‘정보유출자’와 같이 세 가지 관점에서 살필 수 있는데, 우리나라의 경우 IT 인프라를 통해 자산의 가치가 점차 커지고 있어, 이에 대한 정보보호의 투자가 필요하다는 것이 정 교수의 주장이다.
중국, 러시아, 미국의 경우 자국의 IT 인프라에 걸맞는 보안인력(또는해커)를 보유하고 있거나, 보안시스템을 도입하고 있지만, 우리나라는 아직까지 그 수준에는 미치지 못하고 있다.
정교수는 이스라엘이 중동지역에서 보안강국으로 살아남을 수있었던 이유는 엄청난 IT 인프라가 있었기 때문이아니라, 자국이 살아남기 위한 보안체계를 구축해서 보안강국이 될 수있었음을 기억할 필요가 있다고 전했다.
“우리나라 역시 북한에서의 사이버공격이 매년 일어나고 있고, 주변국들의 해커전력이 점차 가시화되고 있는 시점에서 보안산업을 한 단계 발전시켜야할 필요성이 있다”며 “보안은 표준에 맞춰서 도입하는 것이 아니라, 더 좋은 기술을 사용해 보안자체를 발전시키는 것에 의의가 있다”고 말했다.
또 그는 기술, 인재, 세계화를 통해 보안산업을 이룰 수 있다고 강조했다. 기술중심의 보안산업은 사상누각(沙上樓閣)에 불과하며, 인재양성 및 세계화를 통해 세계에서 통할 수 있는 보안산업을 육성해야 한다고 말했다.
“기술뿐만 아니라 그것을 개발하고 발전시킬 수 있는 인재 양성이 필요하며, 국내 보안시장만을 바라봐서는 그 규모가 매우 작기 때문에 전세계를 대상으로 보안산업을 육성할 필요가 있다”며 “한편으로 중구난방으로 퍼져있는 정보보호체계를 정보보호주관부처 주도의 컨트롤타워로써 관리할 수있다면 정보보안산업이 한층 성숙될 수있는 방안이 될 것”이라고 정교수는 제안했다