충남대 류재철 교수가 한국침해사고대응팀협의회(CONCERT) 신임 회장으로 취임한지 1달이 좀 지났다. CONCERT의 정회원사는 143개사로 국내 대표적인 기업들이 상당수 포진해 있다. 최근 강화된 정보보호 관련 법과 제도에 대응하고 고도화된 해킹공격에 기업들은 많은 정보를 원하고 있고 그들의 현실적인 목소리가 정책에 반영되기를 기대하고 있다.
 
이런 시점에 CONCERT의 새로운 변화와 보다 적극적인 활동이 필요하다는 목소리도 높다. 류재철 CONCERT 회장을 만나 CONCERT의 향후 청사진도 들어보고 몇가지 국내 정보보호 현실에 대한 류회장의 생각도 들어봤다. 
 
◇보안현실 정책 반영 및 기업 보안투자 규모 가이드 제시=류회장은 CONCERT에서 어떤 일들을 추진해 나갈 계획일까. 그는 “CONCERT 회원사는 대부분 보안팀을 운영하고 있는 회사들이다. 그래서 보안관련 정책에 아주 민감하다”며 “현재 국내 정보보호 법과 규제는 기업입장에서는 무리한 측면이 많다. 회원들의 목소리는 실제 국내 기업들의 보안현실이기 때문에 회원들의 의견을 수렴해 현실과 법의 괴리를 줄여나가는데 CONCERT가 앞장설 수 있도록 노력하겠다. 너무 지나치게 정부위주, 매니저 위주의 정책이 아닌 실무자들의 의견이 적극 반영될 수 있도록 하는 것이 중요하다”고 말했다.
 
또 하나 해보고 싶은 일에 대해 그는 “최근 정보보호에 대한 관심이 높아지고 있지만 정보보호 업무에 대한 직무규정이 명확하지 않아 예산과 인력문제들이 발생하고 있다”며 “회사 규모에 맞는 적정 보안인력은 몇 명이고 이들의 직무는 어떻게 구분되며 직무에 따른 전문인력은 몇 명이 필요하고 그들의 대우는 어느정도 수준이 적정한지 등 표준모델 제시가 필요하다. 아직은 주먹구구로 보안팀을 구축하기 때문에 어느정도 인원과 예산이 필요한지 기업들에게 가이드를 제시해 준다면 업무에 큰 도움이 될 것”이라고 밝혔다.
 
즉 회사 규모와 직종별로 어느정도 인력과 장비 그리고 예산이 필요한지 표준모델을 제시해 준다면 기업의 정보보호 수준도 높아지고 정보보호 인력들 대우도 개선될 수 있다는 것. 지금까지는 이런 표준이 없어 기업들은 예산편성 근거를 찾지 못해 주먹구구로 보안투자를 하게 되고 보안팀 인력들은 항상 부족한 인력문제로 힘들어하는 상황이 반복되고 있다는 점을 지적한 것이다. 류회장은 CONCERT 회원사를 대상으로 리서치를 해 표준모델을 만들어볼 계획을 가지고 있다. 
 
특히 류회장은 “표준모델을 통해 정보보호 인력들의 처우개선도 이루어져야 한다. 대부분 보안담당자들은 사고나면 법적 책임도 져야 하고 강화된 컴플라이언스 맞추는 것도 힘들어한다. 지금 상태는 60%가 다른 직종으로 가고 싶어 하는 상황”이라며 “책임감에 대한 스트레스가 만만치 않은 상황이다. 피로도가 높은 직종인 만큼 그에 따른 대우도 잘 해줘야 한다. 힘든 만큼 정당한 대우가 뒤따르도록 하는데도 표준화 작업이 필요하다”고 강조했다.
 
그는 CONCERT에 또 다른 변화도 계획하고 있다. 그는 “좀더 실무적이고 구체적인 사안을 가지고 접근하고 싶다. 젊은 실무자들과 소통하고 현실적인 문제들을 가지고 정부에 건의하도록 하겠다”며 “관계 기관들이 CONCERT 조직이 있다는 것은 알면서도 함께 어떤 일을 해야 하는지 모르고 있다. 실무적인 부분에서 정부기관과 긴밀하게 의사소통이 될 수 있도록 노력할 것이다. 이를 통해 효율적이고 합리적인 정책이 나올 수 있도록 정부와 CONCERT의 양방향 채널을 만들어 갈 계획”이라고 말했다.
 
◇정부와 민간의 네트워크 관제정보 통합관리 되어야=한편 최근 이슈가 되고 있는 국가사이버위기관리법 제정과 관련 그의 의견을 들어봤다. 그는 한달전 열린 관련 공청회에서 보안관제 기능강화를 주장하며 정부와 민간의 보안관제 정보를 통합 운영해 대응책을 제시할 수 있는 사이버보안청이 필요하다는 대안을 제시한 바 있다.
 
류회장은 “2년 전, 학교에서 프로젝트를 위해 현장 실무자들 25명을 만났다. 그때 나온 답이 바로 사이버보안청이다. 국정원 중심으로 가게 되면 정보가 유기적으로 움직여야 하는데 국정원의 정보가 밑으로 내려오기는 힘들다. 일방향 정보흐름으로는 진정한 공유가 이루어지기 힘들다는 것이 당시 연구결과로 나왔다”며 “사이버분야는 유기적인 협력 속에서 이루어져야 선제적 대응이 가능하다. 그러기 위해서는 국가사이버안전센터와 정부통합전산센터의 관제, 민간분야 관제 등에서 올라오는 정보들을 모아 통합대응책을 제시할 수 있는 네트워크 보안관제 중심의 보안인프라를 만드는 것이 필요하다. 그래서 사이버보안청 설립이야기를 꺼낸 것”이라고 설명했다.
 
3.20 사건에 대한 견해도 들어봤다. 그는 “이런 시행착오를 거치면서 우리나라 보안수준은 계속 높아지고 있다고 생각한다. 그런데 좀 아쉬운 부분은 현재의 관련 법들이 너무 작은 사고들까지 모두 막으려고 한다. 그래서 더 효과가 없는 것 같다”며 “사이버 방어전략을 세우는데 있어 대형사고에 의한 큰 피해가 발생하지 않도록 하는데 전략을 집중하면 어떨까. 지금 방어해야 할 대상이 너무 광범위하다. 작은 사건까지 막으려고 규제가 눈덩이처럼 불어나고 있다. 우선 큰 사고들을 막을 수 있는 대비부터 하는 것이 중요하다. 그러기 위해서는 모니터링이 강화되어야 한다. 국민 정서상 모니터링 문제는 예민하지만 대형 사고가 발생하지 않도록 하기 위해서는 국민들도 모니터링에 대해 일정부분 받아들여야 하는 시대가 된 것 같다. 모니터링을 강화해 대형 사고를 줄일 수 있는 방어전략에 우선 집중했으면 하는 생각이다”라고 피력했다.
 
◇보안인력 양성은 장기적 관점으로=정보보호 인력양성 문제로 넘어가 봤다. 그는 “정보보호 인력양성은 장기적인 관점에서 계획해야 한다. 정부, 교육기관, 기업 등의 다양한 트랙에서 다각적으로 양성프로젝트를 진행 해야 한다”며 “특히 교육기관은 인증제도가 필요하다. 윤리교육이 제대로 되고 있는지, 커리큘럼이 잘 짜여져 있는지 등을 인증할 수 있는 인증제도를 통해 인증된 교육기관에서 교육이 이루어질 수 있어야 한다”고 강조했다.
 
또한 그는 “컴퓨터공학과와 정보보호학과가 어떤 차별화가 있는 것일까. 현재는 커리큘럼에서 큰 차별화가 안되고 있다”며 “혹여 정보보호학과 학생들이 사회에 진출할 수 있는 영역을 너무 한정화시키는 것이 아닌지 걱정스럽기도 하다. 아직 정보보호학과를 졸업해 진출할 수 있는 기업이 그리 많지 않다. 정보보호 산업이 그리 크게 성장하지 못한 때문이기도 하다. 학과를 만드는 것도 필요하지만 학생들의 사회 진출 범위도 고려해야 하는 것이 교수로서의 입장이다”라고 전했다.
 
류재철 교수가 회장을 맡는 동안 CONCERT가 새로운 모습으로 변모하길 기대해 본다. 정부 정책에 보안실무자들의 의견이 적극 반영될 수 있도록 하는 것 그리고 기업 정보보호의 직무규정과 표준모델 제시 등은 꼭 필요한 사업으로 보인다. 이를 통해 기업의 보안투자 확대, 보안담당자들의 처우개선 그리고 보안산업이 발전해 보안인력들의 활동영역이 더욱 확대될 수 있는 길을 열어 주기 바란다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com