2017.05.22

강은성의 보안 아키텍트 | 문재인 정부의 사이버보안 정책에 거는 기대

강은성 | CIO KR
“정보보호산업은 규제산업이다.”

이렇게 말하면 “그게 무슨 소리야?” 할 분들이 계실 것이다.

대표적인 규제산업으로 꼽히는 금융산업은 국가 경제의 인프라이고, 국민의 재산을 관리하는 산업이기 때문에 그에 대한 법과 규제가 매우 강력하다. 요즘 인터넷 전문은행을 포함해 핀테크가 뜨면서 금융산업에도 규제를 약화시켜야 한다는 주장들이 나오긴 하지만 아직 우리나라에서는 대세가 아니다.

필자가 정보보호산업을 규제산업이라고 한 것은 이와는 좀 다른 의미다. 정보보호산업에 규제가 많다는 뜻이 아니라 이 산업이 규제의 혜택을 많이 받는다는 의미다. 정보통신기반보호법에서 금융·통신·공공부문 등 여러 산업에 걸쳐 지정되는 정보통신기반시설의 취약점 분석·평가를 의무화하면서 정보보호컨설팅이 본격적으로 시작했고, 정보통신망법에서 일정 규모 이상의 기업에 의무화했던 ‘정보보호 안전진단’과 그것을 이은 ‘정보보호 관리체계(ISMS) 인증’이 성장의 계기가 되었다.

전자금융거래와 신용정보를 보호하기 위한 규제가 강력한 금융산업 이외에 근래 정보보호시장에 가장 큰 영향을 미친 것은 개인정보보호 관련법이다. 개인정보를 처리하는 정보통신서비스 사업자가 정보통신망법을 준수하기 위해 침입차단시스템(방화벽), 침입탐지(방지)시스템(IDPS), 데이터베이스 암호화, ‘망 분리’ 솔루션, DB접근제어 솔루션 등을 도입하고 있다. 안전성 확보조치가 미비하여 개인정보 유출 등의 사고가 발생한 법인이나 책임자를 형사처벌하는 조항도 있다.

이러한 규제로 인해 단기적으로 정보보호시장이 커지고 보안업체와 산업이 성장한 것은 사실이지만, 부작용도 적지 않아 보인다. 규제는 제품 혁신의 동력이 되지 못하기 때문이다. 국내 시장은 규제 준수의 수준에서 더 이상 커지지 않고, 글로벌 경쟁력을 갖추지 못한 제품은 동일한 규제가 없는 해외 시장에서 힘을 쓰지 못한다. 정보보호산업의 문제를 규제강화로 풀려고 할 게 아니라 벤처·중소기업이 성장할 수 있는 환경 구축, 실력으로 경쟁하는 공정한 시장 질서 수립, 해외시장의 개척 등 우리나라 산업 활성화의 공통적 대책을 바탕으로 보다 근본적인 해결책과 큰 그림을 그려야 하지 않을까 싶다.

정보보호 인력도 정보보호 관련 단골 주제다. 보안 이슈가 터지면 전문인력의 부족이 원인의 앞에 나오고, ‘화이트 해커’의 양성이 필요하다는 의견이 그 뒤에 이어지곤 한다. 한국인터넷진흥원이 펴낸 『2014년 정보보호 인력수급 실태조사 및 분석전망 결과보고서』(2014.12)의 내용은 이와 좀 다르다. 2013년도 말 기준 정보보호 인력 수는 보안업체(13.2%), 일반기업(77.7%), 공공기관(9.1%)을 포함해 9만 4천여 명으로 추정된다. 수요에 비해 1만여 명이 부족한데, 직무별로 보면 IT시스템 보안운영(40.9%), 기술영업(14.2%), 제품개발 및 기술지원(13.7%) 등의 순이다. 사회적으로 회자되는 내용과는 상당히 거리가 있는 셈이다. 특히 정보보호인력 중 87%를 차지하는 일반기업과 공공기관에는 ‘화이트 해커’ 같은 ‘공격수’들이 아니라 ‘수비수’가 필요하다는 점을 인식해야 정부의 정보보호 전문인력 관련 정책이 업계에 실제 도움이 될 수 있다(강은성, “이제 수비 전문가가 필요하다”, 디지털데일리 2017.01.16).

사실 우리나라에서 배출되는 정보보호 인력의 수는 적지 않다. 『2017 국가정보보호백서』에 따르면, 2016년 현재 전문대학 15개, 대학교 55개, 대학원 43개 등 총 113개의 정보보호 관련 학과가 운영되고 있고, 재적 학생 수는 1만 284명, 2016년 졸업생 수는 총 1158명에 이른다. 게다가 학원 같은 사교육 출신, IT운영 같은 다른 직무에서 정보보호로 이동하는 인력들을 포함하면 정보보호분야로 들어오는 인력이 상당하다고 볼 수 있다.

신규 정보보호 인력이 적지 않음에도 현장에서 인력이 부족한 가장 큰 원인은 업무 환경과 처우가 좋지 않기 때문일 것이다. 인력은 적은데 일은 많고 휴일에 근무하는 경우도 적지 않다. 일을 열심히 해도 빛이 나지 않는데(심지어 욕을 더 먹기도 하는데), 책임은 무겁다. 심지어 형사처벌을 받을 수도 있다. 앞서 인용한 실태조사 보고서에 따르면 2013년에 정보보호 직무에서 탈락한 인력이 약 2,300명으로 같은 해 신규 채용된 9,900명 대비 23%에 이르고, 그 중 보안업체에서의 탈락 인력은 약 1,400명으로 전체 탈락 인력의 60%를 차지한다. 이러한 문제를 해결하기 위해서는 환경과 처우의 개선, 영세함을 면치 못하는 보안업체의 성장, 수비수 중심의 양성(재교육)이 필요하다.


보안사고가 터져서 비난 여론이 비등하면 정부와 국회는 앞다퉈 규제를 강화하고, 정보보호업계는 규제에 맞는 (신)제품과 서비스를 만들고, 일반기업의 경영진이나 정보보호담당자들은 규제에 근거한 시스템 도입과 규제 준수를 중심으로 업무를 진행하고, 그러다가 실무자들은 기회가 나면 다른 분야로 옮긴다. 정부의 정보보호 예산이 늘어나면 자잘한 프로젝트들이 나와서 그것을 노린 업체들이 몰리고, 지나면 별로 남는 건 없다. 이제 웬만큼 패턴이 보일 정도다.

지난 4월 정보통신망 정보보호컨퍼런스(NETSEC-KR)에서 열린 ‘2017 대선후보 사이버보안 정책 이슈’ 토론회에서 문재인 후보 캠프가 발표한 ‘사이버보안 정책 공약’ 기사 를 살펴보니 중요 의제는 정확하게 짚은 것 같다. 다만 사이버보안과 사이버안보의 공통점과 차이점을 충분히 이해하고 세계 10위권을 이룬 민간의 실력과 현장의 목소리가 반영되어 구체화 될 수 있기를 바란다. 기존 패러다임을 넘어서서 민-관 협치 또는 산-학-관-연의 역할 분담과 협업의 틀을 가지고 정부·공공-기업·금융-개인·가정 영역 등 구체적인 정보보호 현장에서 공약이 실행되어 성과를 내고, 현장을 혁신해 나가면 좋겠다. 취임한 지 열흘 만에 우리 사회에 큰 변화와 개혁을 몰고 온 문재인 정부가 보안분야에서도 치열한 토론을 통해 잘 준비된 정책을 펴나가길 기대해 본다.

*강은성 대표는 소프트웨어 개발자로 시작하여 국내 최대 보안전문업체에서 연구소장과 시큐리티대응센터장을 거치고, 인터넷 포털회사에서 최고보안책임자(CSO)를 역임한 국내 최고의 보안전문가다. 그는 대기업 임원으로서 기업보안을 책임졌던 리더십과 보안 현업에서 얻은 풍부한 관리적ㆍ기술적 경험, 수사기관과 소송에 대응했던 위기관리 경험을 토대로 실효성 있는 기업보안 거버넌스와 보안위험 관리, 정보보호대책을 제안하고 있다. 지금은 CISO Lab을 설립하여 기업 차원의 보안위험 대응 전략을 탐구하여 기업 보안컨설팅과 보안교육을 진행하고 있으며, 저서로 IT시큐리티(한울, 2009)와 CxO가 알아야 할 정보보안(한빛미디어, 2015)가 있다. ciokr@idg.co.kr
 
2017.05.22

강은성의 보안 아키텍트 | 문재인 정부의 사이버보안 정책에 거는 기대

강은성 | CIO KR
“정보보호산업은 규제산업이다.”

이렇게 말하면 “그게 무슨 소리야?” 할 분들이 계실 것이다.

대표적인 규제산업으로 꼽히는 금융산업은 국가 경제의 인프라이고, 국민의 재산을 관리하는 산업이기 때문에 그에 대한 법과 규제가 매우 강력하다. 요즘 인터넷 전문은행을 포함해 핀테크가 뜨면서 금융산업에도 규제를 약화시켜야 한다는 주장들이 나오긴 하지만 아직 우리나라에서는 대세가 아니다.

필자가 정보보호산업을 규제산업이라고 한 것은 이와는 좀 다른 의미다. 정보보호산업에 규제가 많다는 뜻이 아니라 이 산업이 규제의 혜택을 많이 받는다는 의미다. 정보통신기반보호법에서 금융·통신·공공부문 등 여러 산업에 걸쳐 지정되는 정보통신기반시설의 취약점 분석·평가를 의무화하면서 정보보호컨설팅이 본격적으로 시작했고, 정보통신망법에서 일정 규모 이상의 기업에 의무화했던 ‘정보보호 안전진단’과 그것을 이은 ‘정보보호 관리체계(ISMS) 인증’이 성장의 계기가 되었다.

전자금융거래와 신용정보를 보호하기 위한 규제가 강력한 금융산업 이외에 근래 정보보호시장에 가장 큰 영향을 미친 것은 개인정보보호 관련법이다. 개인정보를 처리하는 정보통신서비스 사업자가 정보통신망법을 준수하기 위해 침입차단시스템(방화벽), 침입탐지(방지)시스템(IDPS), 데이터베이스 암호화, ‘망 분리’ 솔루션, DB접근제어 솔루션 등을 도입하고 있다. 안전성 확보조치가 미비하여 개인정보 유출 등의 사고가 발생한 법인이나 책임자를 형사처벌하는 조항도 있다.

이러한 규제로 인해 단기적으로 정보보호시장이 커지고 보안업체와 산업이 성장한 것은 사실이지만, 부작용도 적지 않아 보인다. 규제는 제품 혁신의 동력이 되지 못하기 때문이다. 국내 시장은 규제 준수의 수준에서 더 이상 커지지 않고, 글로벌 경쟁력을 갖추지 못한 제품은 동일한 규제가 없는 해외 시장에서 힘을 쓰지 못한다. 정보보호산업의 문제를 규제강화로 풀려고 할 게 아니라 벤처·중소기업이 성장할 수 있는 환경 구축, 실력으로 경쟁하는 공정한 시장 질서 수립, 해외시장의 개척 등 우리나라 산업 활성화의 공통적 대책을 바탕으로 보다 근본적인 해결책과 큰 그림을 그려야 하지 않을까 싶다.

정보보호 인력도 정보보호 관련 단골 주제다. 보안 이슈가 터지면 전문인력의 부족이 원인의 앞에 나오고, ‘화이트 해커’의 양성이 필요하다는 의견이 그 뒤에 이어지곤 한다. 한국인터넷진흥원이 펴낸 『2014년 정보보호 인력수급 실태조사 및 분석전망 결과보고서』(2014.12)의 내용은 이와 좀 다르다. 2013년도 말 기준 정보보호 인력 수는 보안업체(13.2%), 일반기업(77.7%), 공공기관(9.1%)을 포함해 9만 4천여 명으로 추정된다. 수요에 비해 1만여 명이 부족한데, 직무별로 보면 IT시스템 보안운영(40.9%), 기술영업(14.2%), 제품개발 및 기술지원(13.7%) 등의 순이다. 사회적으로 회자되는 내용과는 상당히 거리가 있는 셈이다. 특히 정보보호인력 중 87%를 차지하는 일반기업과 공공기관에는 ‘화이트 해커’ 같은 ‘공격수’들이 아니라 ‘수비수’가 필요하다는 점을 인식해야 정부의 정보보호 전문인력 관련 정책이 업계에 실제 도움이 될 수 있다(강은성, “이제 수비 전문가가 필요하다”, 디지털데일리 2017.01.16).

사실 우리나라에서 배출되는 정보보호 인력의 수는 적지 않다. 『2017 국가정보보호백서』에 따르면, 2016년 현재 전문대학 15개, 대학교 55개, 대학원 43개 등 총 113개의 정보보호 관련 학과가 운영되고 있고, 재적 학생 수는 1만 284명, 2016년 졸업생 수는 총 1158명에 이른다. 게다가 학원 같은 사교육 출신, IT운영 같은 다른 직무에서 정보보호로 이동하는 인력들을 포함하면 정보보호분야로 들어오는 인력이 상당하다고 볼 수 있다.

신규 정보보호 인력이 적지 않음에도 현장에서 인력이 부족한 가장 큰 원인은 업무 환경과 처우가 좋지 않기 때문일 것이다. 인력은 적은데 일은 많고 휴일에 근무하는 경우도 적지 않다. 일을 열심히 해도 빛이 나지 않는데(심지어 욕을 더 먹기도 하는데), 책임은 무겁다. 심지어 형사처벌을 받을 수도 있다. 앞서 인용한 실태조사 보고서에 따르면 2013년에 정보보호 직무에서 탈락한 인력이 약 2,300명으로 같은 해 신규 채용된 9,900명 대비 23%에 이르고, 그 중 보안업체에서의 탈락 인력은 약 1,400명으로 전체 탈락 인력의 60%를 차지한다. 이러한 문제를 해결하기 위해서는 환경과 처우의 개선, 영세함을 면치 못하는 보안업체의 성장, 수비수 중심의 양성(재교육)이 필요하다.


보안사고가 터져서 비난 여론이 비등하면 정부와 국회는 앞다퉈 규제를 강화하고, 정보보호업계는 규제에 맞는 (신)제품과 서비스를 만들고, 일반기업의 경영진이나 정보보호담당자들은 규제에 근거한 시스템 도입과 규제 준수를 중심으로 업무를 진행하고, 그러다가 실무자들은 기회가 나면 다른 분야로 옮긴다. 정부의 정보보호 예산이 늘어나면 자잘한 프로젝트들이 나와서 그것을 노린 업체들이 몰리고, 지나면 별로 남는 건 없다. 이제 웬만큼 패턴이 보일 정도다.

지난 4월 정보통신망 정보보호컨퍼런스(NETSEC-KR)에서 열린 ‘2017 대선후보 사이버보안 정책 이슈’ 토론회에서 문재인 후보 캠프가 발표한 ‘사이버보안 정책 공약’ 기사 를 살펴보니 중요 의제는 정확하게 짚은 것 같다. 다만 사이버보안과 사이버안보의 공통점과 차이점을 충분히 이해하고 세계 10위권을 이룬 민간의 실력과 현장의 목소리가 반영되어 구체화 될 수 있기를 바란다. 기존 패러다임을 넘어서서 민-관 협치 또는 산-학-관-연의 역할 분담과 협업의 틀을 가지고 정부·공공-기업·금융-개인·가정 영역 등 구체적인 정보보호 현장에서 공약이 실행되어 성과를 내고, 현장을 혁신해 나가면 좋겠다. 취임한 지 열흘 만에 우리 사회에 큰 변화와 개혁을 몰고 온 문재인 정부가 보안분야에서도 치열한 토론을 통해 잘 준비된 정책을 펴나가길 기대해 본다.

*강은성 대표는 소프트웨어 개발자로 시작하여 국내 최대 보안전문업체에서 연구소장과 시큐리티대응센터장을 거치고, 인터넷 포털회사에서 최고보안책임자(CSO)를 역임한 국내 최고의 보안전문가다. 그는 대기업 임원으로서 기업보안을 책임졌던 리더십과 보안 현업에서 얻은 풍부한 관리적ㆍ기술적 경험, 수사기관과 소송에 대응했던 위기관리 경험을 토대로 실효성 있는 기업보안 거버넌스와 보안위험 관리, 정보보호대책을 제안하고 있다. 지금은 CISO Lab을 설립하여 기업 차원의 보안위험 대응 전략을 탐구하여 기업 보안컨설팅과 보안교육을 진행하고 있으며, 저서로 IT시큐리티(한울, 2009)와 CxO가 알아야 할 정보보안(한빛미디어, 2015)가 있다. ciokr@idg.co.kr
 
X