실시간 뉴스



[김홍선의 보안이야기]소통의 업무문화가 절실하다


정보 보안을 기피하는 이유-1

지난 회까지 3회에 걸쳐 우리 나라에서 왜 소프트웨어를 하지 않으려는지 그 이유를 살펴 보았다. 우리 사회가 소프트웨어에 대해 가지고 있는 잘못된 선입관과 편견이 소프트웨어를 제대로 평가하지 않는 이유라고 설명했다. 소프트웨어로 인해 보안 문제가 발생함에도 정보 보안과 소프트웨어를 분리해서 생각하는 우를 범하고 있는 것도 심각하다. 정보 보안은 소프트웨어를 기반으로 하기 때문에 정보 보안 인력도 결국 소프트웨어를 기반으로 할 수밖에 없다는 점을 명확히 인식해야 한다.

이번 회부터는 정보 보안에 초점을 맞추어서 왜 정보 보안을 힘들어 하는지를 생각해 보고자 한다. 일부 산업 구조와 관행에 문제가 있고, 이로 인해 올바른 인력이 양성되지 않는 점을 지적할 것이다. 구조적 문제점도 있고 인식의 오해도 있다. 이를 정부나 산업 또한 각 개인들이 명확히 인식해야 개선책이 나올 것이라고 생각한다.

첫째, 명령(order)하는 사람만 있고 수행(execution)하는 전문가는 적다.

우리 나라에서 ‘보안’이라는 용어는 군대와 정보 기관의 전유물이었다. 과거 군사 정권의 권력 획득 및 유지의 기반이 되었던 것은 ‘보안사령부’, ‘중앙정보부’ 같은 정보 기관이었다.

이와 같은 기관에서 ‘보안’은 100% 완벽함을 기하지 않으면 안 되는 생명과 같은 키워드다. 일반인은 절대로 접근할 수도 없고 해서도 안 되었고 여기에서 보안은 존재 그 자체를 결정한다. 지금도 국가 안보를 담당하는 업무는 폐쇄된 형태로 운영될 수밖에 없고 보안은 필수적 요소다.

그런데 인터넷이 나오고 개방적 사회가 되면서 ‘정보 보안’이라는 이슈가 일반화되었다. 정보 보안이라는 동일한 용어를 사용하지만 환경은 전혀 다르다. 아무리 목표를 100% 보안에 맞추더라도 실질적 환경을 들여다보면 100% 보안은 불가능하다. 네트워크로 항시 연결되어 있고 범용화된 PC와 개방적인 채널을 통해 정보를 주고 받으며 개인에게 규칙을 강요할 수도 없다. 폐쇄된 조직에서 사용하는 보안과 글로벌하게 오픈된 환경에서 사용하는 보안의 현실이 같을 수가 없다.

문제는 기업과 기관의 최고 책임자나 사회 지도층, 혹은 기술적 현실을 잘 모르는 분들은 이런 현실적 상황을 직시하지 못하는 경향이 있다는 점이다. 아직도 군대 시절에 경험한 ‘보안’의 개념, 또는 과거 특정 기관에서 사용하던 단어의 개념으로 기억하는 분도 있다. 그들은 여전히 ‘보안’이란 100% 완벽해야 하는, 추상과 같은 명령과 규율로 다스려야 하는 성격의 것으로 인식한다. 여기에서 보안의 목표와 실제 간에 격차가 발생한다.

어느 기관에서 보안을 담당하는 분에게 이런 얘기를 들은 적이 있다. “우리 기관장은 바이러스가 몇 개라도 발생하면 불호령이 떨어진다. 시말서를 쓰고 대책을 마련하라고 난리다. 그래서 매일 가슴을 조리며 지낸다.” 이는 지도자가 IT의 현실을 모르기 때문에 벌어지는 상황이다.

이런 환경에서 보안에 대한 지시는 경직되고 상명하달식이 된다. 그런 호통은 보안 담당자에게 전달되고, 이는 연이어 솔루션을 제공하거나 파견 지원을 하는 보안 업체로 전달된다. 결국 보안은 제대로 된 대책을 마련할 여유도 없이 계속 위로부터의 스트레스에 시달리는 신세가 된다.

쥐꼬리만한 예산에 상부로부터 호되게 야단 맞으면서 이런저런 대책을 마련해야 하니 어느 누가 즐겁게 하겠는가? 그렇게 보안이 중요하다면 차근차근 환경적으로 어떤 구멍이 있는지 실질적인 분석 방법으로 접근해야 한다. 그리고 나서 적합한 기술과 제품을 접목해 나가야 한다. 최근의 사이버 공격은 전쟁 수준이다. 무기도 없이 어떻게 전쟁을 치르라는 얘기인가?

미국 공공 기관의 IT 보안 수요가 급증한 까닭은?

얼마 전 미국의 보안 전문 업체 임원과 얘기를 한 적이 있다. 금년도 실적이 어떠냐고 물으니 금융 위기의 여파로 인해 민간 시장의 성장은 정체되었지만 연방 정부에서 보안에 투자를 꾸준히 하기 때문에 실적이 나쁘지 않다고 한다.

정부 시장에서 뭐가 달라졌냐고 하니 “오바마 대통령이 사이버 보안을 더 강화하라고 특별 지시를 내렸다”고 한다. 그래서, “부시 행정부도 테러와 보안 대책은 최우선 이슈가 아니었냐? 9-11 테러 이후 정부에서 많은 관심을 가지고 있던데..”하고 물으니, “그렇기는 했는데 정작 예산이 없었다. 전쟁하느라 다른 데 쓸 곳이 더 많았기 때문에 사이버 보안은 얘기만 무성했을 뿐 집행할 예산이 부족했다. 그러나 오바마 정부는 실제로 보안 예산을 늘려 주었다.”라고 답했다.

이와 같이 진정한 관심과 예산이 받쳐주지 못하는 대책은 무의미하다. 보안을 잘하라고 지시하는 것만으로는 보안이 이루어지지 않는다. 예산이 있어야 보안 조직을 만들고 보안 전문가를 채용하고, 그에 따른 체계적 보안 대책을 마련할 수 있다. 예산이 따르지 않으니 이들을 대상으로 사업을 전개하는 보안기업과, 그 곳에서 일하는 전문 인력이 의욕을 가지기란 어렵다. 더구나 보안 기술에 대한 연구는 끝이 없이 많은 상황에서 말이다.

해외에서 보안 전문가는 존경받고 대우받는 위치에 있다. 컨설팅 비용도 아주 높고 전문가들의 팀웍으로 문제를 해결해야 하는 경우도 많다. 일단 보안 전문가라면 IT 전반에 대해 해박한 지식을 갖춰야 하고, 최근의 위협 형태도 잘 알아야 한다. 게다가 대상 기업의 환경과 사업 모델, IT 인프라에 대한 통찰력이 있어야 적합한 대책을 세워줄 수가 있다. 당연히 깊이와 폭이 필요한 분야다.

결국 IT 보안은 그 조직의 최고 책임자의 몫이다. 일부 IT 부서나 IT 보안 담당에게 일임하고 야단칠 문제가 아니다. 혹은 보안 전문 업체에 책임을 전가할 수 있는 성격도 아니다. 조직의 문제에 대한 성찰과 많은 소통이 필요하다. 시키는(order) 역할만으로는 기술적으로 복잡다단한 현실을 헤쳐나가기가 어렵다.

현실을 직시하는 자세가 결여되면 보안 업무가 상명하달식으로 진행되는 결과가 나온다. 그럴 경우 보안 인력은 벼랑 끝으로 몰리고, 창의적이고 합리적인 대책을 내놓을 수 없게 된다. 이런 불행한 상황을 막으려면 기술 전문가인 보안 인력과 소통하는 자세가 절실하다. 또한 그 길이 보안 인력들에게 더 많은 역량과 기회를 부여하고 더 나아가 비전을 가질 수 있게 하는 방향이다. 존중(respect)까지는 아니더라도 경청하고 소통하는 업무 문화의 정착이 우선되어야 한다.

/김홍선 안철수연구소 대표이사 column_phil_kim@inews24.com







alert

댓글 쓰기 제목 [김홍선의 보안이야기]소통의 업무문화가 절실하다

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중
포토뉴스