- “국가·기업 고위임원들의 생각이 바뀌지 않으면 보안 지킬 수 없다”

[디지털데일리 이민형기자] 아시아권의 국가나 기업들이 대체로 보안을 쉽고, 간단하게 생각하는 반면에 북미에서는 보안을 매우 어렵고 전문적인 것으로 인식하고 있는 것으로 나타났다.


이로 인해 한국을 포함해 아시아지역 국가에서 보안 인력 대우나 투자가 미진해 결과적으로 보안수준이 하락하는 결과를 불러온다는 것이 전문가들 사이에서 지적됐다. 

지난 3일 서울 삼성동 코엑스에서 열린 ‘코드게이트 2012 - 글로벌 시큐리티 리더 패널 토의’에서 제프 모스 데프콘 설립자(미국)는 “미국은 보안에 대한 인식이 매우 높기 때문에 보안 전문 인력에 대한 욕심이 많다”며 “업체 간 인력쟁탈전이 매우 심할뿐더러 보안인력에 대한 대우나 연봉조건도 매우 좋다. 미국의 보안시장은 앞으로 10년간 이런 분위기로 갈 것”이라고 말했다.

실제 미국에서는 보안인력이 타사로 이탈하는 것을 막기위해 높은 연봉과 복지 등을 제공하고 있다. 또한 보안인력 양성을 위해 국가에서 보안인력 양성 프로그램을 실시해 연간 1만명의 보안전문가를 발굴하는 프로젝트도 시행중이다.

아시아권 국가들의 보안인식은 어떠할까. 한국 보안업계에서 8년, 미국 보안업계에서 8년을 보낸 오정욱 연구원(마이크로소프트)는 “한국, 미국 보안시장의 가장 큰 차이점은 보안 전문인력들의 대우”라고 강조했다

그는 “한국에서는 보안인력을 회사 시스템의 일부라고 생각하는 것 같다. 최대한 많은 과업을 수행할 수 있도록 강요하는 분위기를 보인다”며 “미국은 한국과 정반대로 보안인력을 보호해주기 위해 최선을 다하고 있었다. 이는 동서양의 문화적 차이일 수도 있는 것 같다”고 지적했다.

말레이시아도 한국과 상황은 유사했다. 딜런 HITB(말레이시아 해킹포럼) 대표는 “말레이시아의 보안시장 역시 한국과 매우 비슷하다”며 “국가나 기업이 보안인력을 채용할 때는 ISO 인증을 받을 때 뿐이며, 인증을 받으면 보안인력을 즉시 해고한다. 보안을 어떻게 바라보고 있는지 잘 보여주는 예가 될 것”이라고 설명했다.

중국·홍콩 역시 정보보호에 대한 인식이 매우 낮은 것으로 알려졌다.

앤서니 라이 VXRL(홍콩 보안포럼) 운영자는 “중국이나 홍콩정부는 침입방지시스템(IPS), 방화벽만 있으면 모든 침입을 막을 수 있다고 맹신한다. 보안 전문인력이 왜 필요한지, 어떻게 운영해야 하는지 모른다”며 “이는 홍콩의 문제뿐 아니라 아시아권 국가의 전형적인 문제일 것”이라고 주장했다.

유지 유카이 FFR(일본 보안컨설팅 업체) 대표는 “일본의 대부분의 기업들은 보안 투자를 거의 하지 않는다. 자신들의 기술을 개발하려하지 않고 외부의 솔루션을 도입해서 사용하고자하는 요구가 강하다”며 “이는 기술적인 리스크를 짊어지기 싫어하는 일본 기업들의 전형적인 모습을 보여주는 것이며, 이는 보안인력의 수준하락과 부족으로 이어진다”고 말했다.

이와 관련 패널토의의 좌장을 맡은 김휘강 고려대 정보보호대학원 교수는 “한국의 경우 최근 3년간 대규모 디도스 공격이 있었음에도 불구하고 근본적인 변화는 이뤄지지 않은 것 같다”며 보안인식 제고에 대한 근본적인 대책 마련이 필요하다고 강조했다.

딜런 대표는 “지난해 말레이시아 정부부처 해킹사건이 있었을 당시 정부관계자는 해킹공격이 들어온다는 보고를 받고 서버의 콘센트를 뽑으라고 지시했다”며 “결국 다시 코드를 꽂아서 서버를 가동하면 똑같은 일이 발생하지만 이에 대한 위기의식은 없었다. 어나니머스 공격이 있었을때도 문제의식을 느끼지 못하고 있었다”고 전했다.

그는 이어 “결국 정부 고위간부들의 마인드가 변해야한다고 생각한다”며 “국가차원에서 보안에 대한 정책을 수립해 하나하나 해결해나가는 것이 중요하다”고 말했다.

기업이 보안에 대한 경계심이나 인식을 높이기 위해서는 보안전문가 영입에 앞서 ‘위기관리 담당자(Risk Manager)’를 채용해야 한다는 주장도 나왔다.

제프 모스는 “위기관리담당자를 고용한 기업의 경우 보안에 대한 투자에서부터 직원들 교육까지 모든 것을 그에게 위임한다”며 “위기관리담당자는 기업의 리스크매니지먼트를 통해 보안취약점을 하나하나 없애는 능력을 갖춰야한다”고 주장했다.

이어 “위기관리담당자는 엔지니어와 달리 기업의 의사결정론자(임원)에게 그들의 언어로 설명해줄 수 있는 능력도 갖추고 있기 때문에 보안인식 제고에 많은 도움을 준다”고 덧붙였다.

앤서니 라이도 제프 모스의 주장에 힘을 실었다. 그는 “미국과 유럽의 주요기업들은 위기관리담당자를 잘 활용하고 있어 자신들의 취약점이 무엇인지에 대해 잘 안다. 특히 임직원 모두가 리스크 매니지먼트에 대해 잘 이해하고 있어 취약점을 보완하기가 매우 수월하다”며 “아시아지역 국가들도 이같은 사례를 잘 배워서 활용해야 보안선진국이 될 수 있을 것”이라고 말했다.

<이민형 기자>kiku@ddaily.co.kr




네이버 뉴스스탠드에서 디지털데일리 뉴스를 만나보세요.
뉴스스탠드


  • IT언론의 새로운 대안-디지털데일리
    Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지
 
· [카드뉴스] 기업의 지속가능성 해법은 결국···
· [카드뉴스] B tv 서라운드, 거실을 영화관으로
· [이지크로] 안전하고 믿을 수 있는 에스크로
  • 동영상
  • 포토뉴스
삼성전자, ‘비스포크’ 적극 홍보…유니온아… 삼성전자, ‘비스포크’ 적극 홍보…유니온아…
  • 삼성전자, ‘비스포크’ 적극 홍보…유니온아…
  • LGD, 중국 대형 OLED 키운다…2020년 10…
  • 삼성전자 vs LG전자, 8K TV ‘논란’…쟁…
  • 삼성전자, 갤노트10 국내 판매 100만대 돌파