2014년 연초에 대한민국을 강타한 일이 발생이 되었다. 1억건이 넘는 국민의 개인 금융정보가 털린 것이다. 늘 그렇듯이 너도나도 언론과 방송에서 앞 다투어 보도가 되었고, 국무총리와 국회의원, 심지어 대통령까지 나서서 관심을 보였다. 결론은 한 사람의 내부통제가 안되어 이루어진 인재(人災)라는 것이다. 개인정보에 대한 중요성 인식이 조금은 되었으리라 생각은 들지만 그 파장은 크기만 하다.  보안에 대한 평소 고민한 내용을 기록해 보고자 한다. -주인백.



100% 완벽한 보안은 없다.


공격과 수비에서 항상 우위를 점하는 것은 '공격'이다. 언제든지 틈새를 찾아 공격의 날을 세우기 때문이다. 이는 공격이 이루어지기 전에는 나의 약점이 무엇인지를 잘 모르는 경우가 많기 때문이다. 기술이 급격하게 발전하는 IT분야에서는 더욱 그렇다. 그러나 100% 완벽하게 막아 내길 우린 바란다. 하지만 보안은 100% 완벽하게 막아내는 것이 아니라 그 위험(Risk)을 수용 가능한 수준까지 감소 시키는 것이 목적이다. 혹시 100% 모든 것을 막을 수 있다고 하는 말에는 현혹되지 말길 바란다. 


100% 막는다고 했는데 못 막으면 당신이 모든 것을 책임질수 있는가? 책임을 회피하려는 것이 아니다. IT보안에 있어서 늘 취약점은 있기 마련이기 때문이다. 이는 기술과 환경이 멈추어져 있는 것이 아니라 물처럼 흐르고 있기 때문이다. 새로운 기술이 나오고, 새로운 디바이스(Device)가 나오면 그것에 맞는 운영체제(OS)가 나오고 이는 또 새로운 위험(Risk)를 포함하고 있기 때문이다.


기술의 발전 뒤에는 늘 역기능이 있게 마련


보안이라는 분야는 상당히 광범위하다. 산업보안,IT보안, 물리적보안(영상정보)등 사회 전반적으로 유형자산과 무형자산을 담보로 하는 위험은 모두 보안의 범위에 포함이 된다. 농경시대에는 밭에서 씨앗을 심고 길러서 수렵과 채집을 통하여 살아왔다. 그것이 조금 발전을 하여 전기,자동차,기차가 개발이 되면서 대량화 하기 위한 공장이 세워지는 산업화 시대로 발전 되었다. 산업화 시대에는 굴뚝산업이 주류를 이루었고, 수동으로 사람이 모든 것을 처리하기엔 어려움이 있었다. 그 어려움을 해소하기 위한 컴퓨터와 인터넷 기술로 발전하였고 이는 정보화 시대로 도래가 되었다. 이제 집집마다 초고속인터넷이 들어가고 가정마다 PC 없는 곳이 없을 만큼 인터넷과 컴퓨터는 생활에 일부로 자리잡았다. 


인터넷의 역사는 그리 오래되지 않는다. 아무리 러프하게 잡아도 80년도라 해도 35년 90년도라고 하면 25년 역사밖에 안되는 것이다. 다른 산업에 비하면 정말 빠른 성장과 눈부신 발전이다. 특히 대한민국 IT는 더욱 그렇다. 이제 생활은 모든 IT를 통하여 점점 접목되어가고 있고, 자동차와 선박(조선)등도 ICT와 결합이 이루어짐으로써 점점 그 비중은 커지고 있다. 이에 따른 역기능도 점점 증가하고 있다.



전문분야에 따른 전문인력 수혈과 고용창출해야


2003년대 1.25 대란은 필자는 현장에서 직접 겪었다. 그때에 국내 K통신사에 일할때였는데 전국이 처음으로 인터넷이 마비되는 사태가 발생이 되었다. 아직도 기억이 생생하다. 


관련 포스팅 (http://www.sis.pe.kr/2432)


그 이후에 보안 사건사고는 지속적으로 발생하였다. 7.7디도스 , 3.3디도스 , 1억건 개인정보유출, 그리고 크고 작은 해킹사고와 정보유출등..관련 분야에 기술은 지속발전하고 글로벌 기술은 점점 자동차,선박,의료등 각 산업에서는 ICT와 융합을 하고 있다. 이러한 가운데 관련 분야에 경험과 지식, 그리고 실력을 가진 전문가를 많이 확보하는 것이 중요하다. 


지난해 철도파업으로 인하여 철도 기관사가 부족하였을때 퇴직한 기관사나 군에서 협조를 받아 대체하는등 전문 인력에 대한 공백을 임시나마 메우기도 하였다. 난 묻고 싶다. 과연 보안이 중요하다고 하면서 보안사태가 발생하였을때, 혹은 중요시설에 어떠한 외부적인 요인이나 공격으로 또는 심지어 전쟁이 일어났을때 일부 공백사태가 생기면 그 공백을 메워줄수 있는 버퍼(Buffer)가 될 수 있는 보안 인력이 과연 있는지..


타 산업분야는 경험과 나이가 들어 갈수록 연륜과 경험이 도움이 될수 있으나 IT분야는 오히려 나이가 들어갈수록 점점 체력적으로나 기술적으로 처질수 밖에 없어서 이러한 여러가지 측면에서 구조적으로 사회적 ICT에 대한 고민이 필요하다. 단순히 당신이 나이먹어서 노력하지 않으니 IT기술을 따라가지 못할 수 밖에 없다고 치부하기엔 너무 말뿐이다. 


현실은 현실인 것이다. 내부통제가 안되는 것도, 보안이 잘 안되는 것도, 경영자가 보안조직과 인력과 예산을 비용이라고 생각하는 것도 빨리 고쳐져야 할 고정관념중에 하나이다. 오히려 전문인력이 지속가능하게 그 일만 할 수 있다면 해킹과 정보유출시 기회비용을 회수하고도 남을 것이다. 보안사건사고만 나면 언론과 방송에 대서특필하면서 관련자 처벌과 이야기하지만 또 시간이 지나면 제자리로 돌아가는 악순환이 되는 도돌이표가 되는 것을 수없이 많이 봐 왔기 때문이다. 이번 카드사 개인정보 유출시에도 카드 재발급 비용이면 관련 전문가 높은 연봉과 정규직으로 채용을 몇명을 해도 할 수 있었을 것이다.


우린 보안분야에서 지속가능하고 안정적으로 자신의 업(業)으로 생각하고 자부심을 가지고 일할 수 있도록 처우개선과 고용창출의 자리를 마련해야 하도록 사회적 합의를 이끌어 내야 한다. 어쩌면 이러한 큰 보안사건사고가 생겼기 때문에 관심을 가지는 것인지도 모른다. 물론 해당 담당자나 기업은 희생이 되겠지만 말이다.



과연 당신이 생각하는 보안전문가란?


의사는 의사자격시험에 합격을 해야 하고, 변호사와 판,검사는 사법시험에 합격을 해야한다. 보안전문가는 도대체 어떤 기준으로 보안전문가라고 해야 하는가? 보안관련  자격증만 있으면? 아니면 보안전문업체에 근무만 하면? 학교에서 보안관련 수업만 하면? 기업체 보안담당이면? 보안관련 코딩만 하면? 도대체 보안전문가라는 기준점이 없다. 의사,변호사등 전문직과 같이 엄연히 아무나 보안에 대하여 함부로 말하거나 이야기 할 수 없다. 그만큼 범위도 넓고 깊이도 깊은 분야이며 빠른 기술의 발전으로 끊임없이 학습하고 공부해야 하는 분야이기 때문에 더욱더 노력해야 하기 때문이다.. 결코 관련분야 업무를 오래했다고 해서 전문가라는 소리를 들을수 있는 분야도 아니다. 나이들어서 실무와 떨어지는 업무를 하게 되면 금새 도태되는 그런 분야이기도 하다. 필자가 제시하는 보안전문가에 대한 기준은 다음과 같다. 카페나 블로그등에서도 여러번 언급한 적이 있지만 다시 한번 생각해 본다. 주관적인 생각이니 다르게 생각하는 분들은 댓글 바란다.


  • 보안관련 전공을 해야 한다. (정보보호학과등등..유사 학과 포함)
  • 보안관련분야에 최소한 2년정도 근무를 해야 한다.
  • 보안관련 라이센스 2개 이상 보유해야 한다.
  • 보안관련 메인 저자로 논문 한개는 써야 한다.
(위 요건을 충족하지 않더라도 전문가는 많다. 하지만 이제 막 시작하는 비기너를 위한 조언임을 감안할것)

1. 보안관련 전공을 해야 한다. 

자신의 진로를 이쪽 분야로 정했다면 아무래도 보안관련 전공을 하여 자신이 관련 지식을 쌓는 것이 중요하다. 그렇지 않을 경우에는 그만큼 힘이 들고 비전공자는 남들보다 두배의 노력을 기울여야 할 것이다.그러니 자신의 목표와 진로를 명확히 하고 꾸준히 발전하려고 노력하는 것이 중요하다. 비전공자는 보통 자신의 부족한 이론적 지식을 보충하기 위하여 회사를 다니면서 대학원에 많이들 다닌다. 대학원도 직장다니면서 비싼 등록금내면서 다니니 그리 쉬운 것은 아니다.

2. 보안관련 업무를 2-3년정도 해야 한다.

보안에 관심이 있으나 어려울 경우에는 관련 업무를 하는 담당자나 전문업체에서 최소 2년이상은 근무를 해 봐야 한다. 그렇다고 해서 모든 것을 아는 것은 아니겠지만 어느정도 어떻게 돌아가는지 무엇을 해야 하는지 정도는 알 수 있을 것이다. 물론 단순 자기업무만 바라보는 것이 아니라 큰 그림에서 보는 경험과 실무를 하기 위해 노력하는 것이 중요할 것이다. 2년동안 관제만 하였다고 해서 , 2년동안 컨설팅을 위한 문서작업만 하였다고 해서, 2년동안 시스템 운영만 하였다고 해서 보안을 이해하기란 쉽지 않다. 큰 그림을 볼 수있는 노력은 개별적으로 하여야 할 것이다. 그렇게 하기 위하여 보안업무를 하면서 늘 노력하는 자세가 필요하다.

3. 보안관련 라이센스를 2개이상 보유해야 한다.

우린 실무가 중요하다고 한다. 물론 맞는 말이다. 그러나 현장에서  부딪히다보면 실무는 바보가 아닌 이상 익혀진다. 모르는 것이 아니라 단지 내가 그 업무가 익숙해지지 않았기 때문이다. 시간이 지나고 반복적인 업무가 될수록 우리는 일상이 지루해지고 업무에 대한 회의감이 들게 마련이다. 이럴때 자신의 관련분야의 이론적 지식이 어느정도 되는지 객관적 기관의 검증을 받아보는 것이 굉장히 중요하다.

 자신의 지식이 부족하다는 사실을 인지하는 순간 허탈감에 빠진다. 관련분야에 오래 있었고, 많은 경험이 있었다고 생각을 했지만 실제 그것은 안다고 하는 지식이었을뿐 아는 지식은 아니었기 때문이다. 자신의 착각이 불러온 오류였던 것이다. 이런 신선한 충격이 자신에게 다가 왔다면 정말 깨어 있는 사람이다. 하지만 그것을 한낱 다른 탓으로 돌린다면 자신의 어리석음이었음을 세월이 지나 나이가 들면 그때 깨달을 것이다. 꾸준한 지식을 축적하고 시험이라는 긴장의 끈을 놓지 않는 것이 중요하다. 또한 합격시에는 성취감도 맛볼수 있으니 자신을 채찍질 하는데 중요한 포인트가 된다. 또한 결과물도 있으니 추후 활용도 방안도 생각후 도전하는 것이 좋겠다.

4. 보안관련 메인저자로 논문 한개는 써야 한다.

우리가 알고 있는 지식을 일정한 논리적인 형식에 따라 한번 정리를 해 보고 논증을 해 본다는 것이 굉장히 중요하다. 또한 관련 지식에 대하여 과거에는 어떠한 지식이 있었으며 현황 분석과 종류 그리고 나아가 내가 바라보는 개선되는 점, 나아지는 방법을 논리적으로 써 본다는 것은 굉장히 중요하고 힘든 일이다. 옆에서 누가 도와 주었건 내가 직접 적었건 자신의 이름으로 된 논문 하나를 써 본다는 경험은 자신이 연구한 주제에 대하여 한단계 성장 시키는 것은 틀림이 없다. 그래서 우린 늘 기록해야 한다. 그리고 기록한 글을 공유해야 한다. 그래야 올바른 정보인지 아닌지를 알수 있으니까. 


국가 기술자격증  '정보보안기사, 산업기사'에 거는 기대와 발전방향
 (정보보안기사, 산업기사 시험은 보안에 대한 기초지식 테스트)

관련분야에 일할 자격이 있는지 없는지에 대한 가장 간단하고 객관적인 잣대로 측정 할 수 있는 것이 바로 '자격증'이다. 그것은 어쩔수 없는 현실이다. 토익 990점 맞아도 회화 한마디 못한다는 우스게 소리가 있어도 또 토익점수를 측정잣대로 대는 것은 어쩔수 없는 현실이기 때문이다. 보안도 마찬가지이다. 보안관련 분야에 있어서 일할수 있는 사람인지 아닌지 측정 할 수 있는 근거 부족하다. 그렇다보니 어쩔수 없이 자격증과 경력으로 대부분 측정을 한다.  



                          

    <국가기술 자격증 '정보보안기사' 제2회 합격 >              
  
국가기술자격증인 '정보보안기사' , '산업기사' 자격증이 민간자격증에서 국가기술 자격증으로 승격된 만큼 그 신뢰도를 이어가길 기대해 보고, 또한 그렇게 될 것이라 생각을 한다. 그 이유는 해외 자격증도 있지만 너무 비싼 수험료와 그 금액이 고스란히 해외 검정기관으로 빠져 나간다는 것이다. 이러한 점을 고려해서라도 국가기술자격증의 신뢰도와 합격시에 주는 혜택은 커야 할 것이다. 아마도 필자의 예측으로는 관련분야  공공기관, 대기업 취직과 이직,전직시에 반드시 필요한 측정 기준이 될 것이다. 공공기관이 국가기술자격증 놔두고 해외자격증을 메인으로 둘수는 없는 노릇이기 때문이다. 

앞으로 공무원이 되고자 하는 전산직렬에서는 보안이 메인으로 자리 잡을 것이며, 이에 대한 중요성도 커질 것이다. 이미 2014년 9급 전산직렬 과목에 '정보보호론'이 채택이 되었다. 

또한 '정보보안기사'와 '산업기사' 국가기술 자격을 검정하는 한국인터넷진흥원이나 산업인력관리공단에서는 7급전산직 공무원과 9급 전산직 공무원 응시자격에 '정보보안기사, 산업기사' 자격도 추가로 넣는 노력도 하여야 할 것이다. 

필자도 다행히 운이 좋아서 지난해 국가기술 정보보안 기사 2회 시험에 필기, 실기 시험에 합격을 하게 되어 그나마 교재를 출간한 사람으로서 조금은 면을 세우게 되었다. 이제는 저자도 무자격자보다는 스스로 시험에 응시하여 합격을 하여 합격된 사람으로 검증을 받아야 더 신뢰감을 줄수 있는 시대가 되었다. 앞으로 더 노력해 나갈 것이다. 여러분이 생각하는 보안전문가는 어떤 사람이 보안전문가인지를 논(論)해 보면 좋겠다. 
끝. @엔시스.


신고
Posted by 엔시스