2022-08-19 16:25 (금)
작은 보안업체에 공짜로 정보 요구하는 한국기관들!
상태바
작은 보안업체에 공짜로 정보 요구하는 한국기관들!
  • 길민권
  • 승인 2012.07.13 04:56
이 기사를 공유합니다

FBI, 5만명의 외부 파트너들과 업무협력…충분한 보상은 당연
지난 6월 26일 오전 서울 대한상공회의소 국제회의장에서 경찰청 사이버테러대응센터 주최로 '국제 사이버범죄 심포지움'이 개최됐다. 이날 발표자인 FBI 사이버분야 요원으로 활동하고 있는 마이클 샤난을 만날 수 있었다. FBI와 민간기업의 공조체계가 어떻게 이루어지고 있는지 궁금해 임동빈 큐브피아 전략기획부장의 도움으로 그와 대화를 나눴다. 늦은 감이 있지만 데일리시큐 독자들과 공유하고자 정리해 보았다. 다음은 그와의 대화 내용이다.
 
-데일리시큐=흥미로운 발표 주제를 한국에서 발표해 줘서 고맙다. 발표한 자료에 보니 FBI가 외부 파트너들과 매우 다양하게 일하고 있는 것으로 되어 있고 또 그 숫자가 5만이라고 되어 있는데 사실인가?
 
-FBI=사실이다. 그 5만이라는 숫자에는 정식 회사들과의 업무 협력 부분들부터 시작해서 작은 개인 기업들, 심지어는 개인들까지도 포함이 된다.
 
-데일리시큐=왜 이렇게 많은 외부 파트너들이 필요한가?
 
-FBI=FBI는 신이 아니다.(ㅎㅎ) 방대한 나라의 사이버 보안을 효율적으로 운영하기 위해서는 외부 파트너들과의 업무 협조는 필수적이다.
 
-데일리시큐=외부 파트너들을 정할 때 어떤 특별한 기준이 있나?
 
-FBI=필요한 파트너들에 대한 실력 및 그들의 사람 됨됨이에 대한 검증은 있어야 한다. 아무리 기술이 출중해도 기술 한 가지만 가지고 파트너로 같이 일할 수는 없다. 또 반대로 아무리 겉으로 보기에는 번듯해 보여도 실제적인 노하우와 기술력이 부족하면 파트너로써 일하기 힘들다.
 
-데일리시큐=한국에서는 정부기관과 함께 일하는 민간 기업들이 나름대로 어느 정도의 자격 조건에 대한 부담감이 크다. 예를 들면 매출 규모라든지, 개발한 솔루션의 정부기관 인증 마크 보유 상태라든지, 이전 정부 기관이나 대기업 등과 일해본 경력이 눈에 띄게 몇 건 정도 있어야 한다 등의 조건들이 필요하다. FBI는 이런 점에서 볼 때 민간 파트너를 결정하는데 있어 어떤 정책을 가지고 있나?
 
-FBI=물론 기업도 튼튼하고 실력도 좋고 대외 신용도도 다 좋다면 어떤 정부 기관에서 그들을 싫어하겠나.(ㅎㅎ) 그러나 모든 파트너들이 그런 위치에 다 있을 필요는 없다. 어떤 파트너는 정보 수집에 발 빠른 노하우와 기술이 있는가 하면 어떤 파트너는 기술 쪽에 탁월한 파트너도 있다. 또 어떤 파트너는 심지어 사람들을 잘 다루고 관리하는 능력이 탁월한 파트너들도 있다.
 
다양한 파트너들과 일하려면 다양한 선택 기준이 필요하고 따라서 FBI 안에는 솔직히 그렇게 많은 자체 요원들이 있지는 않다. 다만 외부 파트너들과의 유기적 관계들을 잘 지속하고 관리할 수 있는 탁월한 능력을 가진 A급 요원들이 있다.
 
FBI 안에 5만명의 모든 방면의 실력자들을 자체 모집해서 월급을 다 주려면 아마 돈도 무지하게 들어갈 것이고 매우 비효율적이게 될 것이다.
 
-데일리시큐=이 부분은 솔직히 부럽다. 한국도 이제 정부 기관들이 적극적으로 화이트 해커들을 양성하려는 움직임을 보여주고 있다. 하지만 정부 기관들이 파트너를 선정할 때 큰 기업 위주로 선정하고 실력과 노하우가 출중하지만 회사의 규모 및 과거, 현재 이력 사항 등 스펙이 밀리는 작은 기업과는 손잡기를 꺼려 한다. 
 
-FBI=그럴 것이다. 나라들마다 차이는 있으니 충분히 이해는 간다. 그러나 미국이라는 나라는 기본적으로 정부가 자국민을 보호하고 외부에서 미국을 침공하려는 움직임에 대해서는 매우 엄격한 자세를 취하고 있다. 이 말은 국민의 생명과 안위를 위하는 것이 가장 첫 번째 고려 사항이기 때문에 정부가 어떠한 결정을 내리는데 있어서 가장 시급하고 유연하게 대처할 수 있는 중요 사항이 무엇인지를 정확하게 인식하고 있다.
 
어떤 특정한 사이버 범죄로 인하여 많은 국민이 피해를 보고 있는데 FBI가 판단해 보니 어떤 작은 회사가 그 분야에 있어서 탁월한 전문성과 노하우를 가지고 있을 경우 비록 그 회사가 볼륨은 적고, 매출 이력 사항이 미비해도 FBI가 당장 그 회사를 조사하고 판별해 이상이 없다 판단되면 언제든지 급하게 공조 체제를 이루려는 움직임이 매우 빠르다. 사실 FBI는 굉장히 큰 조직이다.
 
그러나 우리 파트너 중에는 단 2명이 개인회사를 운영하면서 보안업계에서 일하고 있는 파트너도 있다. 물론 법인 조직은 아니다. 그들은 단 2명 밖에 없는 회사이지만, 우리는 그들에게 상당한 액수의 보상금을 지급하고 있다. 그들의 노력과 노하우를 이용해 FBI는 2011년에 좋은 결과들을 가져 왔다. 앞으로도 그들이 FBI의 업무에 많은 실질적인 도움을 주고 또 국민의 생명과 안녕에 귀하게 쓰이는 일들을 계속 해줄 수 있다면 우리는 그들에게 더 많은 돈을 지급하고서라도 그들과 일하는 것에 조금도 주저함이 없다.
 
간단히 말해서 미국 정부의 원칙은 이것이다. 국민의 생명과 안위를 위해서 필수 불가결하게 외부 파트너와 급히 공조체제를 구축해야 하는 결정을 해야 할 때에 그것이 명백한 불법행위가 아닌 이상 최대한 모든 절차와 쓸데없는 과정들을 일단 뒤로하고 급한 불을 끈 다음에 그 파트너에 대한 평가와 다양한 조사는 후에 한다.
 
물론 그 파트너가 위급한 상황에서 급한 불을 한 번 껐다고 해서 바로 FBI와 파트너가 되는 것은 아니다. 말의 요지는 어찌 되었건 급한 불은 급한 방식으로 일단 끄고 차후에 뒤 처리들을 한다. 그것이 국민의 생명과 안위를 보장하는 중요한 일이라면 바로 그것이 정부에서 해야 하는 가장 중요한 부분이라고 생각한다. 모든 일에 원칙은 존재하지만 급하게 처리해야 할 부분들에 있어서 정부가 먼저 강하고 발 빠르게 대처하는 리더십의 모습을 보일 수 없으면 민간 기업들이 뭘 어떻게 할 수 있겠는가.
 
-데일리시큐=파트너들과의 계약은 어떤 식으로 이루어 지나?
 
-FBI=이 부분은 여기서 밝힐 수 없는 부분들도 있다. 양해를 부탁한다. 다 그런 것은 아니지만 어떤 파트너들과는 파트너 관계에 대한 부분까지도 NDA를 맺고 각별한 신뢰를 바탕으로 진행하고 있기도 하다. 외부에서는 그 파트너가 FBI의 파트너인지 전혀 모른다.
 
-데일리시큐=파트너들에게 돈은 많이 주나?(ㅎㅎ)
 
-FBI=글쎄.(ㅎㅎ) 돈의 액수는 천차만별이지만, 상식적인 선에서 충분히 보상한다. 액수는 밝힐 수는 없지만 예를 들어서 FBI가 보상한 액수가 마음에 들지 않아서 다음부터는 절대 FBI와 일하지 않을 꺼야!라고 마음먹지 않도록 정도는 원만하게 보상을 하는 편이다.
 
-데일리시큐=더러 민감한 질문들도 있었는데 답변 고맙다.
 
-FBI=한국도 사이버 관련 분야에서 나날이 발전해 가고 있는 모습이 보여 매우 좋다. 우리도 어떤 부분들은 한국을 통해 배울 점도 많이 있다고 생각이 든다.
 
◇한국 국가기관은 어떻게 하고 있나=그와의 대화를 통해 생각해 볼 문제가 몇가지 있는 것 같다. 우선 미국은 실력과 노하우가 풍부한 민간 기업들을 선별하고 분석 해내는 정교한 작업들을 최선을 다해 잘하고 있다는 점이다. 우리나라의 국가정보원이나 정부기관들이 사이버 보안을 위해 이런 작업들을 제대로 하고 있는지 생각해 볼 부분이다.
 
또 그런 민간 기업들을 선별하고 다양한 측면들을 판단해 내는 고도의 전문가들이 미국 정부 중심에 많이 포진되어 있다는 점이다. 우리도 이런 능력을 가진 진정한 요원들이 기관에 포진되어서 규모보다는 실력과 맨파워를 보고 판단할 수 있는 날이 오길 바란다.
 
더불어 미국 정부는 윈칙을 중요하게 생각하지만 예외 상황이 생길 때에 그것이 국민의 생명과 국가의 안위를 위하는 일이라면 다방면으로 유연하게 대처해 신속히 그 문제점을 해결하려고 한다는 점이다. 이 또한 하나의 원칙일 것이다. 원칙도 국민의 안전 앞에서는 무시해야 할 때도 있다는 것이다. 한국은 여기에 어떤 원칙을 가지고 있을까. 얼마나 유연하게 대처할 수 있는지는 생각해 볼 부분이다.
 
마지막으로 FBI는 단 2명이 일하는 회사에게도 무한 신뢰를 보내고 있다. 그리고 그들이 충분히 보상을 받았다고 생각할 만큼의 보상을 해 주고 있다. 하지만 국내 모 정보기관은 실력은 있지만 비즈니스 모델을 찾지 못해 힘들어하고 있는 작은 보안기업들에 연락해 이런 저런 정보들을 공짜로 요구하고 있다. 국익을 위해 정보를 공유하자는 둥 그 회사를 생각하는 마음은 전혀 찾아 볼 수 없는 상황이다. 하지만 실제로 작은 기업 입장에서는 소위 찍히면 사업이 힘들 것 같아 울며 겨자먹기 식으로 정보를 줄 수밖에 없는 상황이다.
 
작지만 실력있는 기업들이 제대로 보상을 받고 정부와 파트너 기업으로 커 간다면 당연히 그들은 더 좋은 정보와 솔루션을 생산해 낼 것이다. 공짜로 요구하다 보면 작은 기업은 얼마 버티지 못하고 문을 닫게 된다. 결국 그동안 공짜로 받아왔던 정보도 받을 수 없게 된다는 것을 알아야 한다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com
Tag
#FBI