금융보안 전문기업 NSHC(대표 허영일 www.nshc.net)는 27일 엘타워에서 금융사 보안담당자 80여 명이 참석한 가운데 글로벌 금융 IT 보안 컨퍼런스 ‘SAFE SQUARE 2013’을 개최했다. 데일리시큐는 이날 ‘글로벌 금융기관을 대상으로 하는 최신 공격 유형과 대응현황’이란 주제로 발표를 진행한 싱가포르 TreeBox 치와(Chee Wah) 대표(사진)와 현장 인터뷰를 진행했다. TreeBox는 1년 전부터 NSHC와 공동으로 취약점 및 악성코드 분석, 제로데이 리서치 등의 업무를 진행하고 있으며 아시아 지역 정보보안 교육을 위해 교육시스템도 구축 중에 있는 기업이다.
 
-정보보호와 관련 싱가포르 금융사들의 가장 큰 고민거리는 무엇인가?
가장 큰 문제는 이용자들의 인식 문제다. 악성코드가 유포되고 있는 사이트를 방문하거나 악성 어플리케이션을 설치하면 정보유출이나 금전적 피해가 발생할 수 있다는 인식이 부족하다. 국민들의 인식강화를 위해 싱가포르 정부에서도 노력중에 있다.
또 하나는 이용자 스스로 계정관리 노력이 부족하다는 점이다. 너무 쉬운 패스워드를 만들어 발생할 수 있는 여러가지 보안 문제들에 대해 금융사들이 고민하고 있다.
 
-싱가포르 금융사들은 어느 정도 규모로 정보보호 투자를 하고 있나?
한국처럼 정규에서 어느 정도 규모로 IT보안 투자를 해야 한다는 규정은 아직까지 없다. 각 은행별로 예산을 책정하고 있지만 예산이 그리 큰 규모는 아직 아니다. 각 사별로 다르기 때문에 규모를 말하기는 무리가 있다.
 
-싱가포르에는 어느 정도의 정보보호 인력이 있나?
정보보호 전문가 풀이 작다. 현재 정부에 200~300명 정도가 전부라고 해도 과언이 아니다. 그 정도로 부족한 실정이다. 기업에서는 주로 IT매니저들이 정보보호 업무를 겸업하고 있다. 정보보호 팀이 별도로 구축된 기업이 아직 없는 상황이다.
인력문제 때문에 싱가포르 정부도 대학에 학과를 설립하고 학생들이 정보보호 교육을 받을 수 있도록 유도하고 있다. 또한 IT전문가들을 대상으로 정보보호 트레이닝 과정을 만들어 이를 이수하면 정보보호 업무를 맡을 수 있도록 지원하고 있다. 현재 TreeBox가 NSHC와 협력해 정보보호 관련 트레이닝 교육사업을 진행 중이다.
 
-정보보호 인력들의 대우는 어떤가?
다른 IT종사자들에 비해 연봉이 높은 편은 아니다. 정보보호 R&D 투자는 많지만 연구원들의 연봉이 특별히 높다고는 볼 수 없다.
 
-싱가포르 화이트해커들 활동은 활발한가?
화이트해커라고 할 수 있는 전문가들은 대부분 정부에 소속돼 일하고 있다. 그래서 활발한 활동을 하기에는 무리가 따른다.
 
-기업의 정보보호 담당자들은 평균 몇 명 정도인가?
그리 많지 않다. 국내 전문가가 부족하다. 그래서 해외 인력들이 정보보호를 담당하는 경우가 많다.
 
-최근 싱가포르에서 발생한 대형 해킹사건은 있나?
싱가포르 정부는 해킹에 대해 강한 법을 적용하고 있다. 그래서 해킹 사건이라고 해 봐야 학생들의 사소한 해킹 정도뿐이다. 대부분의 해킹공격은 해외 해커들에 의해 발생하고 있다. 최근 큰 이슈가 된 사건은 인도네시아 해커들이 싱가포르 정책에 불만을 품고 정부사이트를 공격한 사건 정도다.
 
-NSHC와 협력관계로 알고 있는데 주로 어떤 일들을 하고 있나?
TreeBox는 모바일 보안 솔루션 개발기업이다. 세계 금융시장을 타깃으로 비즈니스를 하고 있다. NSHC와는 지난해부터 취약점 분석, 악성코드 분석, 제로데이 리서치 등을 협력하고 있으며 NSHC가 싱가포르 주변 국가를 개척하는데 필요한 인프라를 제공하고 있다. 또한 정보보호 트레이닝 코스도 만들었다. 우수한 한국 해커들이 와서 좋은 교육도 해 주길 바란다. 이를 위해 NSHC와 협력하고 있다.  
 
데일리시큐 길민권 기자 mkgil@dailysecu.com