2020-01-25 00:00 (토)
김밥집·치킨집 시장보다 작은 정보보안 시장…무엇이 문제일까
상태바
김밥집·치킨집 시장보다 작은 정보보안 시장…무엇이 문제일까
  • 길민권
  • 승인 2014.07.20 13:02
이 기사를 공유합니다

“침해사고를 막지 못하는 장비와 인력·교육 등…근본적인 개선 필요해”
“국내 정보보호 교육은 아직 체계나 측정 기준이 없다. 문제는 교육의 표준화가 안되어 있기 때문이다. 다른 분야 IT 교육은 단계가 있다. 반면 정보보호 교육은 단계에 대한 기준도 없다. 그래서 보안인력을 채용할 때도 인력을 평가할 수 있는 기준이 없기 때문에 입소문을 통해서만 고용이 이루어진다. 이런 맹점 때문에 보안시장 활성화와 발전이 제대로 이루어지지 않고 있다.”
 
나루씨큐리티 김혁준 대표(사진)의 지적이다. 그는 보안시장과 인력이 점점 신뢰를 잃어가고 있다고 판단했다. 이 문제를 해결할 수 있는 방안은 없을까.
 
김 대표는 “예전에 보안컨설턴트라면 인정받는 분위기였다. 하지만 이제는 보안한다고 하면 뭐 또 팔러 왔나 의심 혹은 경멸의 눈초리로 보는 분위기”라며 “그 이유는 침해사고대응에 대해 기존 장비들과 인력들이 해결해 주지 못했기 때문이다. 고객들이 원하는 가치를 전혀 전달해 주지 못했기 때문에 이런 현상이 발생하고 있다. 정보유출 사고는 계속 터지지만 시장이 커지지 않는 이유가 이 때문이다. 대부분 업체들이 10년 전 기술로만 버티고 있고 더 이상 가치 창조를 못하고 있기 때문”이라고 분석했다.
 
이런 현상에 대해 그는 보안업체들과 인력들이 반성해야 할 부분이라고 말한다. 시장이 이렇게 어렵게 된 이유는 다른데 있는 것이 아니라 보안업체와 인력 내부에 있다는 말이다.
 
APT 장비도 기존 장비를 재구성해서 이름만 바꿔 팔고 있는 것이 현실이다. 다 막을 수 있다고 팔았지만 정작 막지 못했기 때문에 신뢰를 잃어가고 있는 것이다. 결국 우리 스스로가 시장을 망치고 있다는 지적이다. 만병통치약을 파는 약 장사처럼 해서는 지금의 상황을 벗어나기 힘들다.
 
정보보안 산업의 규모는 아직 산업이라고 하기에 부족할 정도로 작은 것이 현실이다. 비교하기 힘든 분야지만 실제로 통계청 자료에 따르면, 국내 김밥전문점 한 해 시장 규모는 3조가 넘는다. 그리고 치킨시장 규모도 2조가 넘고 있으며 유명 치킨 업체들은 이미 해외시장 진출에 성공하고 있다. 하지만 보안시장은 2013년 기준 1조6천억에 그치고 있다. 성장률도 2.5%에 머물러 있는 수준이며 해외시장 개척을 위해 노력하는 업체들은 있지만 이렇다 할 성과를 내고 있는 기업은 드문 실정이다.
 
김 대표는 인력문제도 지적했다. “정보보호는 현장 학문이다. 현장은 계속해서 변한다. 반드시 보안전문가는 현장 전문가로 키워야 한다. 과연 지금의 보안교육과 인력양성 프로그램들이 현장중심 전문가로 키우고 있을까 반문해 봐야 한다”며 “단편적인 공격기법 몇 개 안다고 해서 현장에 투입돼 침해사고를 대응할 수 있을까. 많은 변화와 개선이 필요한 대목”이라고 안타까워했다.
 
또 인력에 대한 능력 측정 평가 기준도 필요하다고 강조했다. 현재 개인의 정보보호 능력은 측정이 안되고 있다. 인력에 대한 정확한 평가 기준이 필요하다는 것이다. 그는 “다른 사람의 말만 믿고 인력을 평가하기 때문에 발전이 없는 것이다. 또 자신의 능력 측정을 못하고 있기 때문에 발전도 할 수 없는 것이다. 정보보호 인력에 대한 정확한 평가 기준과 지속적으로 평가받을 수 있는 체계가 필요하다”고 덧붙였다.
 
또 정보공유 문제도 꼬집었다. 그는 “한국은 현장의 정보들이 공개도 안되고 공유도 안된다. 실제로 3.20과 같은 공격이 다시 발생했을 때 기업들이 막을 수 있을까. 막을 수 없다고 생각한다. 왜냐면 침해사고 공격 정보들이 제대로 공유가 안됐기 때문”이라며 “특권층들만 정보를 갖고 공유하지 않고 있기 때문이다. 현장의 정보들이 좀더 공개되어야 한다. 침해사고가 터졌다면 정보가 낱낱이 공개되고 공유되어야 하고 유사한 패턴으로 계속해서 방어연습이 이루어질 수 있는 환경이 필요하다”고 강조했다.
 
정보보호 인력이 실전과 같은 침해사고 대응 교육을 받고 자신의 침해사고 대응 능력을 측정할 수 있는 시스템은 없을까.
 
최근 나루씨큐리니티는 사이버범죄 현장을 재현한 현장 중심의 교육시스템을 개발해 주요 기관 인력들을 교육하는데 적용하고 있다. 가상 머신 안에 실제 침해사고 현장을 그대로 재현해 두고 교육자들은 실제 공격이 이루어지는 현장 그대로를 접하면서 어떻게 대처해야 하는지 현장 중심의 교육을 받게 된다. 평가 기준은 실제로 침해사고를 어떻게 해결했는지에 따라 결정된다. 기존의 파편적이고 형식적인 교육에서 완전히 탈피한 시스템인 것이다.
 
김혁준 대표는 “다양한 침해사고를 직접 체험해 보고 어떻게 방어해야 하는지 반복해서 다양한 방식으로 대응하는 지식을 누적시키고 이를 실제 상황에서도 적용할 수 있도록 하는 교육이 필요하다고 판단했다”며 “실제와 거의 유사한 환경이 제공되고 있으며 이를 통해 자신이 부족한 부분이 무엇이고 발전시켜야 할 부분이 무엇인지 알게 되고 보충할 수 있게 된다. 또 기업에서 보안인력 채용시 정확한 측정 기준이 될 수 있을 것이다. 나아가 조직의 정보보호 능력을 측정하는데도 판단 기준을 제공할 수 있다”고 설명했다.
 
현재 나루씨큐리티에서 개발한 침해사고대응교육 시스템에는 7·7, 3·20, 6·25 등 국내 대형 사이버공격을 그대로 체험할 수 있으며 이외에도 다양한 해킹 시나리오와 웹해킹 공격 등이 현실 시스템과 거의 유사하게 구축돼 있다. 이와 관련 올해 사업수주도 계속해서 이루어지고 있다고 한다.
 
해커들의 해킹대회도 필요하지만 방어전문가들 대회도 필요하다는 생각이 든다. 실제 침해사고 상황을 재현해 두고 방어할 수 있는 능력을 배양하고 실질적인 보안전문가를 양성하는 것이 지금 우리에게 더욱 필요한 것이 아닐까.
 
<★정보보안 대표 미디어 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com