2024-03-29 17:10 (금)
기업 보안담당자가 바라는 정보보호 교육 방향은
상태바
기업 보안담당자가 바라는 정보보호 교육 방향은
  • 길민권
  • 승인 2014.07.11 12:14
이 기사를 공유합니다

“정보보호 관련 교육, 기술과 해커 양성에만 집중되어서는 안된다”
[송재훈 SK컴즈 매니저. 사진] 2014년 상반기에는 하루가 멀다하고 크고 작은 개인정보 유출사고가 발생하였고, OpenSSL과 같은 큰 취약점이 발견 되어 기업 보안 담당자들은 바쁜 나날들을 보낼 수 밖에 없었다. 보안사고나 보안 취약점이 발생할 때 근본 원인으로 지목 받는 것 중에 하나가 “사람”이고, 따라서 사람과 관련된 문제를 해결할 수 있는 방안으로 제시 되는 것 중에 대표적인 것이 바로 정보보호 교육이다.
 
이러한 중요성 때문에 정보보호 관리체계(ISMS)나 ISO27001에서도 중요한 통제 항목으로 정보보호 교육을 포함하고 있으며, 전자금융거래법의 고시에 해당하는 전자금융감독규정에서는 직무별 정보보호 교육 최소 이수 시간까지 규정을 하고 있고, 정보보호 관련 업무의 비중이 높을수록 더 많은 교육을 이수하도록 하고 있다. 특히 기업 보안담당자가 가장 많이 정보보호 교육을 이수하도록 한 이유는 기업을 보호하는 업무를 하는 기업의 보안담당자가 최신 보안 동향과 기술에 대해서 잘 알고 있어야지만 기업을 제대로 보호할 수 있다는 취지 때문일 것이다.
 
현재 국내에서 정보보호 관련해서 교육을 하고 있는 곳으로는 민간학원, 대학교, 대학원 및 정부 산하 단체 등을 들 수 있으며 기업 보안담당자들도 이러한 교육 기관을 통해서 관련 지식을 습득할 수 밖에 없는 상황이다. 그런데 2014년 2월 정보보호 학회지에 게재된 “국내 대학 및 대학원 정보보호 교육과정 분석 및 산업체 필요 지식과의 관련성 비교”라는 논문을 보면 기업 보안담당자가 가장 바라는 지식 중에 Top 5는 △대인관계 능력 △네트워크 및 통신보안 기술 △문서 작성 능력 △개인 프라이버시와 윤리 △법률 및 규정에 대한 지식 등이지만, 실제 대학 및 대학원에서 가르치고 있는 교과목의 85% 이상이 기술에 치중되어 있어서 괴리가 존재하고 있다는 논문이 발표 되었다. 따라서 정작 기업 보안담당자로서 필요한 지식을 대학교나 대학원으로부터는 얻지 못하는 어려움에 직면하고 있는 상황이다.
 
실제로 기업 보안담당자를 만나보면 전산을 전공한 사람의 경우라고 하더라도, 네트워크나 서버 운영과 같은 부분에 대해서는 대학교 때 공부한 경우는 많지 않으며, 설령 있다고 하더라도 해당 기술에 존재하는 취약점의 발생 원인에 대해서 이해하지 못하는 경우가 많았다. 예를 들면 TCP/IP나 Routing에 대해서는 잘 이해를 하고 있는 네트워크 담당자도 왜 네트워크 도청이 가능한지에 대해서는 이해를 못하거나 쉽게 설명을 못하는 경우를 흔하게 볼 수 있었다. 따라서 네트워크 및 통신 보안에 대한 기술 이해 부족으로 네트워크 담당자나 어플리케이션 개발자들에게 취약점 조치 요청이나 대응 방안 마련에 어려움을 느낄 수 밖에 없어 이에 대한 지식을 필요로 할 수 밖에 없게 된다.
 
정보보호가 처음 국내에서 기지개를 펴던 시기에 비하면 지금은 많은 사람들이 정보보호에 관심을 가지고 있다. 그 결과 현재는 많은 학원, 대학 및 대학원에서 정보보호와 관련 교과목을 가르치고 있다.
 
하지만 일부에서는 교육의 목표를 해커를 양성하기 위해 필요한 기술과 지식을 가르치는데 집중을 하고 있는 것도 사실이다. 그러나 기업이 고객의 개인정보를 잘 보호하고 보안사고가 발생하지 않도록 해야 되는 것은 해커의 몫이 아니고 해당 기업의 보안담당자의 몫이라는 점을 생각해보면 정보보호 관련 교육이 해커 양성에만 집중되어서는 안된다는 것을 알 수 있을 것이다.
 
국내 기업 보안담당자는 전 세계에서 가장 강력한 정보보호 관련 법규의 변화가 자신의 기업에 어떤 영향을 줄 수 있는지, 어떻게 하면 기업이 받을 수 있는 영향을 최소화할 수 있는지에 대해서 고민을 해야 한다. 법을 전공하지 않은 대부분의 기업 정보보호 관리자는 법률, 시행령, 시행규칙, 고시 그리고 이에 대한 해설서를 모두 읽는다고 하더라도 해당 법률을 어떻게 해당 기업에 적용을 해야 하는지에 관해 많은 어려움을 겪게 되기 때문에 법률 및 규정에 대한 지식을 많이 요구하게 된다.
 
설사 많은 고민 후에 마련한 정보보호 대책도 실제로 이행을 하기 위해서는 경영진을 설득해야 하며 특히 공학을 전공한 보안담당자라고 한다면 정보보호를 잘 모르거나 기술을 이해하지 못하는 경영진에게 보고를 하는데 많은 어려움을 겪게 된다. 이러한 이유가 바로 논문의 Top 5 중에 하나로 문서 작성 능력이 포함된 것으로 보인다.
 
기업에서의 정보보호 업무는 보안담당자 혼자서 수행할 수 있는 것이 아니다. 물리적 보안을 위해서는 총무 부서, IT인프라 보안을 위해서는 시스템 운영 부서, 어플리케이션 보안을 위해서는 서비스 개발 부서의 도움이 필요하게 된다.
 
또한 개인정보보호를 위해서는 개인정보를 많이 활용하는 서비스 기획 부서나 마케팅 부서의 협조가 절대적으로 필요할 수 밖에 없다. 이러한 업무의 특징을 잘 알기 어려운 해커는 왜 본인이 보기에 심각한 보안취약점이 빠른 시일 내에 조치가 되지 않는지 이해가 되지 않을 것이다.
 
이를 보안 취약점을 제보 받은 기업 보안담당자의 입장에서 본다면, 해당 취약점을 제거하기 위해서 해당 서비스 개발 담당자에게 해당 취약점을 설명해야 하고 해당 개발 담당자가 취약점 제거 방법과 취약점이 제대로 제거가 되었는지 확인할 수 있는 방법을 모른다면 이에 대해서 자세한 설명을 해야 된다.
 
해당 개발 담당자가 다른 회사내의 신규 서비스 개발 프로젝트에 투입되어 있는 경우라고 한다면 업무 우선순위 문제가 발생하게 되어 결국 경영진에게 해당 개발자의 업무 우선 순위 조정을 부탁해야 되는 경우까지 발생하게 된다.
 
대부분 이런 경우를 맞이 하게 된다. 따라서 경영진에게 해당 취약점이 얼마나 심각하며, 기업에 어떤 영향을 줄 수 있으며, 조치를 하기 위해서는 어느 정도의 인력 및 시간이 소요 되는지에 대해 기술을 모르는 경영진에게 그들이 이해할 수 있는 언어로 쉽게 설명을 해야 한다.
 
기업 정보보호 담당자는 기업을 보호하고 기업 내의 정보보호 업무를 원활하게 진행하기 위해서는 기업 내에서도 영원한 “을”이 될 수 밖에 없는 상황이며 빠른 진행을 위해서는 많은 실무 담당자와 원활한 대인 관계를 유지해야 한다. 하지만 본업이 아니라고 생각하는 일을 던져 주기만 하는 기업 보안 담당자를 실무 담당자가 좋아하는 경우는 많지 않다. 이런 경우 대인 관계에 많은 어려움을 겪을 수 밖에 없기 때문에 위 논문에서 대인 관계가 Top 5 중에 첫번째로 포함된 것으로 보인다. 
 
기업에서 보안사고가 발생하지 않게 하기 위해서는 기업의 정보보호 활동이 원활하게 되어야 하는데, 그러기 위해 교육 기관에서는 기술 관련 교육에만 집중하는 것은 문제가 있다. 기업 보안담당자가 어려워하는 부분을 어떻게 교육으로 해결할 수 있을지에 대해서 관심을 가져야 한다. 일부 학교에서는 이러한 문제점을 알고 교과 과정에 경영 관련 과정을 포함시키거나 MBA 과정을 개설을 하고 있는 것은 매우 고무적이라고 할 수 있으며 더욱 확대되어야 할 것으로 보인다.
 
[글. SK커뮤니케이션즈 보안팀 송재훈 매니저 / songjaehoon@hotmail.com]

<★정보보안 대표 미디어 데일리시큐!★>
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★