최근 모일간지 신문에 스마트폰이 해킹된다는 사실을 전달함에 있어서 정확한 팩트(사실)을 전달하지 못해 언론으로서 이미지 실추가 되었다. 아마도 그것은 전달상에 문제가 있거나 아니면 정확하게 파악하지 못해서 그런경우도 있다. 꼭 이번뿐만 아니라 이미 보안기사에 있어서 그런 사례들은 많이 봐 왔다. 그래서 오늘은 평소 보안 기사를 접하면서 조금 안타까웠던 생각이나 느낌을 한번 정리 해 보고자 한다.


언제부터인가 우리는 tv에서 심심찮게 '의학전문기자' 또은 '법률전문기자' 이런 전문기자들을 보게 된다. 보안도 '보안전문기자'가 하면 안될까?



보안이라는 문제는 자칫 잘못 전달하면 구독자로 하여서 혼란을 가중시키고 흔히 ' 소설'을 쓴다는 이야기를 듣게 된다. 한정된 지면에 많은 것을 전달하려다 보니 모든 것을 전달 할수 없는 경우도 있고 기술적으로 부족한 부분도 있고, 또는 눈높이를 낮추어 일반인도 알기 쉽게 전달해야 하는 부분도 있기 때문이다.

그럼 소설을 안 쓸려면 어떻게 해야할까? 필자는 다음과 같이 제안하고 싶다.

1. 보안기사를 전문적으로 쓴다면 관련 자격증을 따보자.

누군가 이런 말을 하는 것을 보았다. "무슨 보안기사 조금 쓴다고 자격증을 따느냐고" 그렇지만 그것은 아직도 모르는 소리를 하는 소리이다. 남들과 같아서는 절대 남 이상 될수 없다. 흔히 듣는 말이라고 생각하지만 최소한 보안기사를 작성하는 사람이 보안자격증을 가지고 있으면 조금 더 신뢰하는 것은 당연한 것이다. 기사도 잡탕으로 쓰는 것보다는 자신의 분야에서 특화 시키는 것이 좋다.

비유가 조금 비약적이긴 하지만 의사가 의사 면허증이 없이 진료하는 것은 돌팔이에 지나지 않는다. 돌팔이도 굳이 의사 면허증이 없어도 진료를 잘 할수 있다.

최소한 관련분야에서 전문기자가 될려면 보안을 이해를 해야 자신이 소설을 안쓴다는 이야기이다. 그져 논리적으로 보안에 대한 설명만 잘 하는게 아니라 관련 전문지식이 있어 밑바탕이 되는 글을 적는다면 조금 더 신뢰하고 자신도 관련 자격증이 있기에 한번더 살펴 보고 공부하면서 기사 작성을 하게 될 것이다.

2. 사회부, 연예부기자 보다는 보안전문기자가 기사 작성 했으면

각 언론사에서 IT전문기자나 보안전문기자를 채용하여 IT에 관련된 지식있는 기사를 쓰는게 중요하다. 그러면 이런 반론을 제기 할 수도 있다. 1년동안 과연 몇번이나 보안기사쓰냐고? 몇번이나 해킹기사 쓴다고 보안전문기자를 따로 채용하는가? 물론 맞는 말이다. 하지만 주변을 찾아 보면 보안기사이고 IT관련 기사이고 또한 타 언론과 차별성을 띄는 관점에서 , 또는 이러한 전문지식을 가지고 있다면 해당 사건,사고시에 아주 정확한 팩트를 전달 할수 있을 것이다. 이는 보안인력을 활용하는 점에 있어서도 일자리 창출도 되지 않을까? IT전문기자. 보안전문기자.

3. 보안업계에선 이젠 보안인터뷰를 안 할려 하는 것도 공공연한 것.

언론과 인터뷰를 한다는 것은 그 사건사고에 대한 심각성을 알리고, 재발 방지를 위한 방법을 알아 보기 위한 것인데, 이미 기사 작성시에는 이러한 기자의 기사 구성과 이미 시나리오를 생각후에 인터뷰를 자연스럽게 삽입하여 그 기사에 신뢰성과 신빙성을 높여 주는 것인데, 대부분 기사가 나가고 나면 인터뷰 내용과 다르다고 이야기 하는 것이 대부분이다. 그래서 이제는 점점 인터뷰를 회피하려고 하는 경향도 나타난다. 인터뷰해 봐야 자신이 말한대로 의도한 대로 기사가 나가지 않으면 결국 자신에게 피해가 오기 때문이다.

인터뷰 당하고 낭패를 보지 않는 몇 가지 원칙.  이란 글도 있다. 아마도 읽어보니까 많은 공감이 간다는 사실을 인터뷰를 해 본 사람이라면 알 것이다. 물론 다행이도 본인은 아직까지 그런 적이 없어 다행이라 생각이 든다. 물론 몇번 인터뷰 해 본적도 없지만 말이다.

이 시간에도 무슨 사이버 사건 사고가 생기면 또 전문가를 찾아가서 온 갖 인터뷰를 하고 진상을 규명하려고 할 것이다., 그런 사항에 있어 인터뷰를 잘 하여 전문가로 하여금 피해가 없도록 만들어야 할 것이다. 인터뷰하고도 자신에게 피해가 돌아온다면 어느 누가 인터뷰를 하려고 할 것인가?

4. 민감한 사항인 보안사건사고 이슈를 언론 플레이용으로  사용하지 말아야

언론의 가장 중요한 덕목 중에 하나는 바로 '객관성'이다. 어디에도 치우치지 않고 객관적 사실을 얼마나 잘 전달하느냐에 딸린 것이다. 하지만 각자 보는 시각이 있고 주관이 있기 때문에 중립적으로 쓰기에는 한계가 있을 수 있다,. 그래도 가장 사실에 가까운 기사를 작성하는게 좋겠고, 인터뷰를 하는 사람들은 언론을 통하여 언론 플레이를 하지 말아야 한다. 아직도 언론 기사를 액면 그대로 믿는 사람이 있는가? 그렇다면 조금 더 냉철하고 자신만의 판단 기준을 가질 수 있는 인사이트를 길러야 할 것이다. 기사를 읽으면서 무엇이 옳고 그름인지 스스로 판단 할 수 있어야 한다. 그래서 그것이 언론 플레이인지 아닌지를 알아야 한다.


5. 보안 기사를 작성함에 앞서 자신이 보안 이슈를 다루는 사명감이 더 앞서야

필자가 보안 카페를 운영하고 블로그를 운영하고 트위터 그리고 이제는 인터넷 방송까지 하는 것은 온라인 상에서 주목 받기를 원해서 그러는게 아니다. 보안에 대한 올바른 인식과 중요성을 알려 주고 또 한 범 사회적으로 인식을 같이 해야 하는데 이런 사회적 보안 중요성을 전파하는 것이 한두사람이 한다고 되는 것이 아니기에 노력을 하는 것이다.

보안사건 사고를 다루는 기자도 마찬가지로 자신이 보안관련 사건사고 기사를 한번 적던 꾸준히 적던 ..아니면 '보안전문기자'로 기사를 쓰면 한번을 써도 보안에 대한 중요성을 알리고 조금 더 심도 싶은 기사를 적어서 적어도 남들 보다 더 깊이 있고 더 노력을 해서 조금 더 알려 질수 있는 사실을 쓰겠다라는 작은 '사명감'이라도 가지고 기사 작성에 임해야 할 것이다., 그렇지 않고 다른 언론이나 기자가 이미 터뜨렸는데 우리만 가만히 있자니 소외되는 것 같아, 적당히 확인 절차도 거치지 않고 짜깁기 형식으로 기사를 작성하여, 또는 업체에서 주는 '보도자료'를 그대로 작성하여 읽어도 읽을꺼리가 없는 그런 기사 작성은 지양하는게 좋을 듯 하다.

마무리 글

뉴스나 기사는 스트레이트성 기사와 기획기사 특집기사등으로 나누어 질수 있다. 물론 본인이 관련 분야에 있지 않아 잘 모르겠지만 기자분들 고생 많이 하시는거 같다. 하지만 언론이라는 것은 거대한 미디어의 힘을 가졌기에 신중하고 확인에 또 확인을 하고 검증에 검증을 한 다음 내 보내야 한다. 그냥 스트레이트성이라고 하여 남들과 경쟁하듯이 하다 보면 이번과 같은 오보성 기사를 접하는 관련 업계에서는 씁씁한 느낌을 가질 수 밖에 없다. 그리고 늘 말 하는 것이지만 보안은 100% 만족하는 수준으로 방어를 할 수 없다.

다만, 우리가 어떤 자산을 보호하고 그 자산을 분류하여 가중치를 부여하고 그 위험을 감수 할수있을 정도까지 리스크를 수용 하는 것이 보안인 것이다. 너무 기사가 과대 포장이 되어 마치 당장 어떻게 되는 것처럼 하기 보다 정확하게 어떤 위험성이 있고, 어떤 취약점이 있는지에 대한 사실을 전달함에 있는 것은 아닐까 하는 생각해 본다. 부디 보안 사건 사고를 취급 하는 기자분들의 오해가 없길 바라고, 스스로 조금 더 노력 하는 자세를 보이는 반성에 시간을 가져 보는 것은 어떨까?  @엔시스.



Posted by 엔시스

국내 유일한 국가공인 정보보호 자격증인 'SIS 자격증' 에 대한 관리가 허술 한 것으로 나타났다. 이는 '국가공인 정보보호전문가 자격증모임' 이라는 커뮤니티를 운영하고 있는 운영자가 올린 칼럼에서 여러가지 요구사항을 지적을 하였다.

필명인 '엔시스'를 사용하고 있는 운영자는 지금까지 수 많은 정보보호와 보안 홍보에 노력을 해 오고 있다고 말하면서 최근 DDoS 공격에 대한 대응 방안이나 기존에 침해사고만 터지면 대응방안으로 나오는 단골메뉴중에 하나가 보안인력부족으로 보안인력 양성이 포함된다고 하였다.

그중에 하나가 보안에 대한 지식이 얼마나 있는지 또는 실무에서 보안 업무를 하면서 자신의 실력이 얼마나 되는지에 대한 잣대를 가늠할수 있는 가장 쉬운 방법이 바로 '정보보호관련 자격증'을 취득 하는 것이다.

그중에 SIS 자격증이 국내 유일의 정보보호 국가공인 자격증인데 여러가지 관리상에 문제점이 많다고 지적을 하고 있다.

sistest.kr 사이트


그 내용을 잠시 살펴 보면 다음과 같다.

    • 자격증 검정 시행후  검정기관이 자주 바뀜
    • SIS 자격증 취득후 사후 관리 미흡, 자격증 유효기간 만료후에도 관리 미흡
    • SIS 자격증 홍보부족 (브로셔 및 책자 없음)
    • 시험시 시험 운영요원 관리 미흡
    • 시험시 시험장 관리 미흡 (일부 시험장에는 전날 파티로 인한 술병들이 나뒹었다고 함) - 시험장을 대학교등에서 사용하는 부분에서 오는 관리 미흡

-그 문제점의 내부를 살펴보면 지금까지 SIS 자격증 검정기관은 3회에 걸처셔 바뀌어 왔다. 제일 처음 시행한 곳이 <정보통신교육원> 두번째 시험한 곳이 <전파진흥원> 이번이 세번째인 <한국정보보호산업협회> 이렇게 변해 오면서 해당 기관에 따라 업무형태나 관리 형태들이 달라 그때마다 검정 업무에 대한 방법이 달라 많은 헛점이 나왔다.

그것은 고스란히 시험장에서 수험생에게 표출이 되었는데 '동일문제 출제' 라든지 '문제 오타 발견' 또는  '질문과 지문을 대조 하면 나올수 있는 답안문제' 등 같은 실수를 반복하는 경우가 있어 수험생들로 하여금 원성을 사기도 하였다.

-또한  '사후관리' 미흡으로 SIS 자격증 2급 만료 기간이 지났음에도 불구하고 검정기관에서는 어떠한 조치도 취하지 않고 있다. 즉, 사후관리가 제대로 되고 있지 않다는 것이다.

-SIS 자격증 홍보에 대한 부분도 기존에 정보통신교육원에서 검정사업을 하였을땐 브로셔가 조금 제작이 되어 그나마 홍보가 되었지만 민간으로 넘어오면서 예산문제와 맞물려 홍보는 뒷전에 있다. 이러한 부분도 문제이긴 마찬가지이다.

- 시험장운영요원 관리 미흡 - 수험생들이 시험을 보는 가운데 시험장 관리 감독원의 운영이 미흡하여 우왕좌왕 하는 모습을 많이 본 경우를 시험 후기를 통하여 이야기 하고 있으며 이것 또한 제대로 된 시험 관리감독 운영요원에 대한 교육 미비로 볼수있다.

- 시험장 관리미흡 - 검정기관이 한국정보보호산업협회 (KISIA)인 민간으로 넘어 오다보니 자연히 검정 비용문제에 직면하게 된다. 그러면서 일부 대학교를 빌려 시험장으로 사용하는 경우가 있는데 2009년 1회 필기 시험중 모 필기 시험장에서는 수험생이 시험장에 도착했을때 술병이 뒹굴고 시험장 분위기가 아니었다면서 당황하였다는 후기를 커뮤니티를 통하여 공개 하기도 하였다


체계적인 관리를 위해선 SIS 자격증, 국가기술 자격증으로 승격이 시급해


이러한 구조적인 문제점은 어제 오늘이 아니고 시험을 치르는 수험생이 그리 많지 않다 보니까 그냥 커뮤티니내에서 정보 공유하는 정도에 그쳤다. 지금 2009년 제2회 SIS 필기 시험을 접수 하고 있다. 이러한 체계적인 관리가 되지 않으다면 체계적인 관리를 위하여 더이상 미룰수 없다.

지난번 지경부와 행자부에서 내 놓은 중장기 정보보호방안에서 국가기술자격증으로 승격 시키는 문제를 거론 한 적이있다. 일부 언론에서는 국가기술 자격증 소관업무를 보는 <노동부>와 기관 업무협의를 해야 하는 부분이 남았다고 하는데 더 이상 미룰 사안이 아니다.

말로만 체계적인 보안인력 양성과 일시적인 집합 양성소처럼 몇주간 사람 모집해서 수치상으로 몇명 교육 했다고 해서 '정보보호인력' 이 양성되는 것이 아니다.

선순환 구조를 만들어야 한다. 그것은 [기고]7·7 DDoS 사태 한달이후, 변화는 아직도 미지수 에서도 이미 이야기 한 적이 있다.

다시한번 말하고 싶다. 눈에 보이는 당장 인력양성을 위한 수치보다 장기적인 안목과 제대로 된 체계적인 제도 운영이 더 시급한 문제 일 것이다. 그 첫번째 대안으로 SIS를 하루 빨리 국가기술 자격증으로 승격 시켜 제대로 된 체계적인 관리를 하였으면 하는 바램을 가져본다. 그렇지 않고 지금처럼 지속적인 제도 운영의 경우 시험을 준비하는 수험생이나 자격증을 이미 취득한 자격증 보유자 모두 엉뚱한 곳에서 시간 낭비 하고 있을지도 모른다. 빠른 결단이 이루어지기를 촉구 하는 바이다. @엔시스.


Posted by 엔시스