“최근 공격자들의 공격 성향은 메인 시스템을 타격하는 것이 아니다. 대부분 보안에 무지한 임직원을 대상으로 효율적인 공격을 지향하고 있다. 따라서 임직원을 대상으로 한 실질적인 정보보안 교육이 반드시 필요하다. 기업이든 공공이든 보안담당자가 전체 정보보안을 책임지기는 힘들다. 교육을 통해 임직원들의 최소 정보보호 역량을 끌어올리는 것이 조직의 보안성을 높이는데 큰 역할을 할 것이다.”
 
김휘영 씨드젠(www.seedgen.kr. 사진) 대표를 얼마전 여의도 사무실에서 만났다. 씨드젠은 안랩 컨설턴트 맴버들이 나와서 설립한 회사로 현재 정보보안 교육, 컨설팅, 리서치와 솔루션을 유기적으로 결합해 시너지를 극대화할 수 있는 정보보안 서비스 기업으로 입지를 굳혀가고 있다.
 
특히 시장에서 정보보안 교육 니즈가 증가하면서 씨드젠의 역할도 커지고 있다. 김휘영 대표는 “사업 초기, 컨설팅 역량을 모태로 조직에 필요한 교육 콘텐츠 개발을 위해 많은 공을 들였다. 그래서 현재 산업군별로 특화된 임직원 교육과 보안전문가 수준별 업그레이드 교육 등이 온·오프라인으로 활발하게 진행되고 있다. 특히 임직원 교육에 대해 니즈가 증가하면서 시장도 커지고 있다”고 설명했다.
 
그는 임직원 대상 보안교육이야 말로 저비용으로 가장 큰 효과를 볼 수 있다고 강조한다. “교육의 핵심은 직원들이 변화할 수 있도록 스킬업 시키는 것이다. 고도화된 전문 보안 교육이나 해킹 기술을 가르쳐 주는 것이 아니다. 임직원들이 최소 정보보호 역량을 갖추도록 변화시켜 이를 통해 조직 전체의 보안성을 향상시키는 것이 궁극적인 교육 목적이다. 그래서 씨드젠의 보안교육은 아주 실무적이고 실용적인 교육이며 또 그것을 지향하고 있다”고 강조했다.
 
국내 정보보안 교육 시장은 2012년 기준 70억 정도다. 매년 20~30% 정도 성장하고 있다. 주요 시장은 일반학생 교육, 기업 위탁교육, 공공기관 교육 등 3개 영역으로 구분할 수 있다. 최근 기업 위탁교육 시장은 연간 100억 정도 시장으로 커졌다고 한다. 하지만 여전히 작은 시장이다. 국내 전체 정보보안 시장을 대략 1조6천억 정도로 본다면 교육 시장은 여전히 1%에도 못 미치는 수준이다. 정보보호 기업 A사 같은 경우도, 보안교육을 시작했지만 큰 재미를 보지 못하고 소리소문 없이 접는 경우도 있었다. 지속적인 교육 콘텐츠 업데이트가 이루어지지 않았기 때문이다. 어설픈 투자와 철학이 없는 교육관으로 섣불리 덤벼들어서는 안되는 분야이기도 하다.
 
그럼에도 불구하고 교육 시장은 좀더 커질 필요성이 있으며 실제로 계속 성장하고 있는 분위기는 맞다. 기업들도 교육의 중요성을 인식하고 있으며 법으로도 의무 보안 교육 시간을 정해두고 있다. 또 최근 정부 예산으로 KISA에서 주관하는 K-Shield 등 다양한 교육 프로그램들도 제공되고 있다.
 
김 대표는 “교육 서비스는 콘텐츠 업데이트가 생명이다. 지속적으로 투자가 이루어지지 않으면 제대로 교육이 이루어지지 않는다. 특히 시간만 늘린다고 교육효과가 있는 것이 아니다. 한 시간을 해도 임팩트있게 해야 한다. 즉 내용이 중요하다. 보안전문가도 물론이지만 임직원 대상 교육은 최소 시간을 투자해 실질적인 교육이 이루어져야 한다. 업무에 적용 가능한 내용으로 실질적인 교육이 이루어져야 목적한 바를 이룰 수 있다”고 강조했다.
 
씨드젠은 지난해 12월 기업의 효과적인 정보보안 교육 및 훈련을 위한 SETA(Seedgen Education Training Awareness) 서비스를 내놨다. SETA 서비스는 지난 3년간 다양한 기업 및 기관의 정보보안 온라인 교육 및 위탁 교육을 수행해 온 씨드젠의 교육 노하우가 반영됐다. 조직 내 임직원의 정보보안 인식제고 활동(e-Awareness), 온라인 실습 훈련장(e-Training) 그리고 기존 온라인 정보보안 교육(e-Education)이 결합한 종합 정보보안 교육 서비스다.
 
한편 정보유출 사고 원인에 대해 김 대표의 생각을 들어봤다. 그는 “정보유출 사고의 원인은 자산 식별을 못했기 때문이다. 우리 조직의 정보가 어디서부터 어디까지인지 모르는 곳이 의외로 많다. 자산식별이 안되는 문제와 더불어 정보의 흐름을 모르고 있기 때문”이라며 “이 두가지 이슈가 가장 큰 원이라고 생각한다. 마지막으로 의사결정권자의 인식  부족도 한 몫하고 있다. 자산 식별은 담당자 선에서 얼마든지 할 수 있다. 자산 식별과 정보의 흐름을 정확히 파악하는데 투자하는 것이 중요하다. 특히 공공기관은 조직 변경이 잦아 관리가 안되는 경우가 많다. 개선이 필요한 중요한 부분이다”라고 강조했다.
 
또 기업에서 정보보안팀을 조직하는데 고려해야 할 사항에 대해 “정보보안팀을 구축할 때, 그 조직에서 오래있으면서 평판이 좋은 직원을 추천한다. 보안문제 발생하면 현업에서는 숨기려고 한다. 이럴 때 귀가 열려있는 사람이 필요하다. 현업인력들과 술도 마시고 이야기도 들어줄 수 있는 소통역할을 할 수 있는 사람이 꼭 필요하다”며 “그 다음이 관리 인력이다. 내부 비즈니스를 이해하는 사람이어야 한다. 기술인력은 외주를 줄 수 있지만 관리 인력은 비즈니스 이해도가 반드시 필요하다. 보안이 비즈니스 위에 있는 것이 아니라 비즈니스에 도움을 주기 위해 있다는 것을 이해해야 한다. 그래야 무엇을 보호해야 하는지 알 수 있기 때문이다. 기술자를 뽑을 때는 탐지, 분석가 보다는 예방할 수 있는 기술자가 더 필요하다. 그 다음 순이 탐지, 분석, 복구 기술자들이라고 생각한다”고 전했다.
 
마지막으로 씨드젠 청사진에 대해 김 대표는 “씨드젠은 앞으로도 변화관리에 집중할 것이다. 현재 씨드젠의 컨설팅, 교육, 리서치, 솔루션 등이 변화관리를 위해 하나로 통합되길 원한다”며 “남들이 다들 하는 분야보다는 기업의 변화관리와 관련된 시장을 계속해서 만들어가 보고 싶다”고 밝혔다.
 
씨드젠은 정보보안 컨설팅과 전사적 법규 준수 관리 솔루션 ’Solid-ISMS‘, 정보보안 변화관리를 위한 교육, 훈련서비스 ‘SETA’, 웹 악성코드 탐지 솔루션 ‘HYENA(하이에나)’, 정보보호 전략 수립을 위한 리서치 서비스 등을 제공하고 있다.
 
<★정보보안 대표 미디어 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com