2024-03-29 17:25 (금)
[2013 특별기고] 정보보호 인력양성정책, 개선이 필요하다
상태바
[2013 특별기고] 정보보호 인력양성정책, 개선이 필요하다
  • 길민권
  • 승인 2013.01.06 17:13
이 기사를 공유합니다

정보보호 분야 특성 인식하고 체계적 중장기적 정책수립 필요
2007년 미국 국무부와 상무부에 기존에 알려지지 않은 일명, 제로데이(Zero-Day) 취약점을 이용한 해킹이 발생하였다. 두 기관 모두 안전성이 평가·인증된 최신 보안제품들을 설치해놓고 있었지만 해커가 제로데이 취약점을 이용한터라 모두 무용지물이었다. 그런데 흥미로운 것은 국무부의 경우 네트워크 포렌식 조사관, 패킷 분석 전문가, 보안 프로그래머 등으로 구성된 전담 보안팀이 해커의 침입시도를 즉각 탐지하고 조치를 취한 반면, 이러한 보안팀이 없는 상무부의 경우에는 해커의 침입이 있었는지 파악조차 못하고 있었다는 사실이다.
 
이 사건 이후 미국 정부는 조직의 보안을 단순히 제품에만 의존하는 경우 날로 발전해가는 해킹에 효과적으로 대응하기 어렵다고 판단, 검증된 보안 전문인력을 체계적으로 발굴·육성 및 채용하기 위한 계획을 마련하게 된다. 이 계획에서 미국 정부는 다음 4가지를 주요 실천항목들로 제시하였는데, △첫째, NSA(National Security Agency, 국가안보국)와 NSF(National Science Foundation, 국가과학재단)를 중심으로 각 학교의 정보보호교과과정에 대한 품질인증제도(일명, 보안교육 인증 프로그램)를 구축하고 운영, △둘째, 각종 보안 관련 자격증들 중에 실제 현장 실무에 도움이 되는 자격증을 선별할 수 있도록 하는 보안자격증 품질 인증제도의 도입, △셋째, 이렇게 검증된 보안교육, 보안자격증 등이 고용과 연결되고 우수한 보안 전문인력들에게 안정적인 취업기회를 제공할 수 있도록 정부 및 공기업의 직원채용 방법을 개선, △넷째, 의대와 같이 미래 진로에 대한 확신과 강한 동기부여를 제공할 수 있는 방안 마련 등이 그것이다.
 
이러한 계획하에 만들어진 미국의 대표적인 정보보호 인력양성 프로그램이 바로 NIETP(National Information Assurance Education and Training Programs)이다. 미국 정부는 이 프로그램을 통해 정보보호교육과 관련한 표준을 정립하고, 각 학교의 정보보호 교과과정에 대한 품질을 평가하며, 일정 기준을 통과한 학교에 대해서는 ‘National Centers of Academic Excellence in IA Education (CAE/IAE)’ 또는 ‘National Centers of Academic Excellence in Research (CAE/R)’ 등으로 지정해주게 되는데, 이렇게 CAE/IAE 또는 CAE/R 등으로 지정된 학교의 학생들은 미 국방부나 NSF로부터 장학금 혜택이나, NSA로부터 인턴쉽 기회를 제공받게 된다. NSA의 자료에 따르면 2012년 6월 현재 42개 주 의 166개 학교가 CAE/IAE 또는 CAE/R 등으로 지정되었다고 한다.
 
물론 우리나라도 ITRC(IT Research Center, 대학 IT연구센터) 사업이란 것이 있다. ITRC 사업은 ‘정보통신분야의 석·박사급 고급인력 양성 및 대학의 우수인력을 활용한 R&D활동 적극 지원’을 목표로 1998년에 시작하였으며, 전국적으로 연 평균 40여 개의 센터가 운영되고 있다(현재 종료된 연구센터는 20여개 임). 이중 정보보호분야 ITRC는 총 7개이며, 이중 5개는 종료됐고 현재 2개(고려대, 숭실대)만이 운영중이다.
 
얼핏 보면 미국의 NIETP 프로그램은 우리나라의 ITRC 사업과 상당히 유사해 보이는 것이 사실이다. 그러나 이 둘은 본질적으로 큰 차이가 있다. 우리 ITRC 사업은 사업대상이 IT 분야의 대학원이며, 그 성과를 주로 ‘석·박사급 인력 배출수’, ‘SCI급 논문수’, ‘국내 및 해외 특허 등록수’, ‘기술료 수입’ 등으로 평가한다. 즉 일반 R&D 사업과 크게 다르지 않다. 이에 반해 미국의 NIETP 프로그램은 사업대상이 정보보호분야의 2년제/4년제 대학 및 대학원이며, ‘정보보호를 가르치는 교수 및 과목 수’, ‘정보보호 교과과정의 완성도 및 과목 개설 빈도’, ‘정보보호 관련 각종 실습장비 및 연구자료 제공 여부’, ‘정보보호 연구를 장려하기 위한 학교 차원의 지원책’ 등을 평가한다.
 
즉, NIETP 프로그램은 R&D 사업이라기보다는 해당 학교가 학생들을 제대로 가르칠 수 있는 역량이 되는지를 진단·평가하는 프로그램이다. 더욱이 우리가 주목해야 할 것은 미국 정부는 고급 정보보호인력을 육성하기 위해 대학원 석?박사과정에 투자하는 것과 동시에 정보보호인력의 양적 확대를 위해서 대학교 학부과정, 더 나아가 고등학교(일명, K-12 프로그램)에까지도 지원을 아끼지 않고 있다는 점이다.
 
정보보호분야는 대표적인 통섭(統攝) 분야이며 그 트렌드가 시시각각 변화하는 것이 특징이다. 게다가 해킹 등 몇몇 분야에서는 그 재능이 타 분야에 비해 일찍 발견되기도 한다. 이제는 우리 정부도 이러한 정보보호 분야의 특성을 인식하고 대학원 중심의 SCI급 논문 일변도의 인력양성정책에서 탈피해 보다 더 체계적이고 중장기적인 정책수립이 필요하다.
 
[글. 김승주 고려대학교 정보보호대학원 교수 skim71@korea.ac.kr]
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★