이제 말레이시아, 싱가포르, 가나에서 보안 전문가로 활동하려면 국가가 발급하는 면허증부터 받아야 한다. 아무나 보안 전문가가 될 수 없으니 당연한 절차이지만, 이를 사기업이 아니라 면허증 발급 주체가 국가라니, 어딘가 찜찜하다.
[보안뉴스 = 로버트 레모스 IT 칼럼니스트 ] 말레이시아와 싱가포르, 가나가 새로운 법안을 통과시켰다. 사이버 보안 전문가들이나 전문 기업들이 공식 인증을 받고 면허증까지 취득해야만 보안 관련 일을 할 수 있다는 내용이다. 보안 전문가라는 타이틀을 붙이고 다니려면 국가의 인정을 먼저 받으라는 뜻이다.
[이미지 = gettyimagesbank]
“면허를 취득해야만 하는 사이버 보안 전문 분야가 무엇인지 아직까지 법안에 명시되지는 않았습니다. 그렇기 때문에 누가 이 법안의 적용 대상이 될지도 확실하지 않습니다. ‘보안 전문가’라는 건 지나치게 광범위한 말이지요. 다만 일반적으로 통용되는 선 안에서 생각한다면 정보와 통신 기술을 보호하는 모든 서비스와 관련된 전문가들이 포함될 거라고 예상할 수 있습니다.” 말레이시아의 로펌인 크리스토퍼앤리옹(Christopher & Lee Ong) 측의 설명이다.
이웃나라 싱가포르에서는 이미 이것과 유사한 법이 2년째 시행되고 있다. 사이버 전문 업체가 사업을 하려면 면허증을 취득해야 한다. 서부 아프리카의 가나 역시 면허증 없이는 보안 전문 사업을 할 수 없도록 만들었다. 그러나 이것이 대단히 특이한 일은 아니다. 유럽연합 내 일부 국가들도 사이버 보안 전문 업체라는 이름표를 아무나 사용할 수 없도록 하고 있고, 미국의 뉴욕 주도 특정 산업군에 보안 전문 서비스를 제공하려면 먼저 허가부터 받으라고 한다.
보안 면허증?
아무나 보안 전문가라는 타이틀을 갖지 못하게 하는 건 타당한 일이다. “하지만 그것이 개개인에게도 해당된다면 조금은 다른 문제입니다. 개인이 보안 전문가가 되려면 국가가 발급하는 면허증을 가지고 있어야만 한다고 법으로 정해둔 나라는 가나 뿐입니다.” 보안 업체 포지티브테크놀로지스(Positive Technologies)의 컨설팅 총괄인 알렉시 루카츠키(Alexey Lukatsky)의 설명이다.
“게다가 가나 정부는 면허증을 반드시 취득해야 한다는 규정을 모든 사이버 보안 전문가에게 적용하지 않고 있습니다. 취약점 평가와 모의 해킹, 디지털 포렌식, 사이버 보안 대행, 사이버 보안 교육 및 훈련이라는 네 가지 분야의 전문가들에게만 해당되죠. 굉장히 독특한 체계라고 할 수 있습니다.”
싱가포르는 어떨까? 일단 싱가포르는 민간 기업들이 엄격한 보안 수칙을 지키도록 정부 차원에서 강조하는, 다소 강압적인 분위기를 만들고 있다는 특징을 가지고 있다. 민간 보안 업체라면 ‘사이버 에센셜즈(Cyber Essentials)’라는 인증서를 획득해야 하는데, 이 인증서가 요구하는 사항들이 꽤 많은 편이라고 한다. 현재 싱가포르의 보안 업체들은 이 요구 사항의 최소 70% 정도는 기본으로 맞추고 있는 것으로 알려져 있다.
로펌인 웡앤파트너즈(Wong & Partners)의 IP 및 기술 분야 파트너인 세렌 캔(Serene Kan)은 “보안의 최소 요구 사항의 수준이 높다는 건, 생태계 전체가 보다 더 안전할 수 있다는 뜻이 된다”며 “사이버 공격에 대한 국가 전체의 대처 능력이 좋아질 수 있다”고 설명한다.
미국과 유럽 등을 비롯해 여러 지역에서도 아무나 보안 전문가 행세를 하지 못하게 하는 건 마찬가지다. 다만 국가가 개개인에게 보안 전문가 면허증을 발급하거나, 어떤 기업이라도 반드시 지켜야 하는 보안 기본 사항의 수위를 대단히 높게 설정한 것은 아니다. 그런 식으로 접근하지 않는다. 보안 전문가가 갖추고 있는 여러 스킬들을 하나하나 쪼개서 비영리 단체나 민간 기업이 해당 스킬에 대한 자격증을 부여하는 게 보통이다. 예를 들어 (ISC)2는 CISSP 자격증을 보안 전문가 시험을 치르고 통과한 사람들에게 부여한다.
표현의 자유에 대한 보호 장치 부족
이처럼 가나와 싱가포르 정부가 취하고 있는 접근법과, 나머지 대부분 나라들이 취하고 있는 접근법은 ‘자격을 갖춰야만 보안 전문 서비스를 제공할 수 있다’는 점에서 동일하지만, 자세히 들여다보면 완전히 다르다. 이 차이를 정확히 어떻게 규정하고 설명해야 할까? 먼저 대부분의 나라들은 ‘표현의 자유’라는 기본권을 중요하게 생각하고 있다는 차이가 존재한다.
사이버 보안 전문가들이 움직일 수 있는 범위를 나라가 직접 나서서 지정한 국가들의 경우, 대부분은 국가가 거의 모든 디지털 서비스를 제어할 권한을 가지고 있다. 그렇기 때문에 정부의 비리나 부정 부패를 고발할 채널이 존재하지 않거나 힘이 미약하다. 기자들이 표적이 되는 경우가 많고, 내부 고발은 꿈꾸기 어렵다. 가나와 싱가포르는 이런 분위기를 가진 국가에 가깝다. 거기에 말레이시아까지 합류한 것이다.
그렇기 때문에 이 세 나라의 보안 전문가들은 함부로 보안 연구를 진행했다가 범죄자가 될 수 있다. 특정 조직의 방어 시스템을 모의로 해킹한다든가, 익스플로잇 소스코드를 공개하는 식의 행동들은 특히나 면허증부터 획득해야만 가능하다. 즉 보안 전문가로서, 보안의 언어로 연구하고 그것을 표현하는 자유가 막힌 거라고 볼 수 있다.
루카츠키는 “보안 전문가들이 더 안심하고 활동할 수 있도록 면허증 제도를 마련한 거라고 정부는 홍보하는데, 사실은 보안 전문가들의 활동 범위를 크게 제약하는 효과가 나타날 것”이라고 예측한다. “그것이 정부 기관의 원 의도인지 아닌지는 확실히 알 수 없지만, 나타나는 부작용이 ‘사이버 보안 전문가들의 운신의 폭이 줄어든다’가 될 것은 확실합니다. 그랬을 때 사회 전체적으로 보안이 약화될 가능성이 높습니다.”
글 : 로버트 레모스(Robert Lemos), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스 = 로버트 레모스 IT 칼럼니스트 ] 말레이시아와 싱가포르, 가나가 새로운 법안을 통과시켰다. 사이버 보안 전문가들이나 전문 기업들이 공식 인증을 받고 면허증까지 취득해야만 보안 관련 일을 할 수 있다는 내용이다. 보안 전문가라는 타이틀을 붙이고 다니려면 국가의 인정을 먼저 받으라는 뜻이다.
[이미지 = gettyimagesbank]
“면허를 취득해야만 하는 사이버 보안 전문 분야가 무엇인지 아직까지 법안에 명시되지는 않았습니다. 그렇기 때문에 누가 이 법안의 적용 대상이 될지도 확실하지 않습니다. ‘보안 전문가’라는 건 지나치게 광범위한 말이지요. 다만 일반적으로 통용되는 선 안에서 생각한다면 정보와 통신 기술을 보호하는 모든 서비스와 관련된 전문가들이 포함될 거라고 예상할 수 있습니다.” 말레이시아의 로펌인 크리스토퍼앤리옹(Christopher & Lee Ong) 측의 설명이다.
이웃나라 싱가포르에서는 이미 이것과 유사한 법이 2년째 시행되고 있다. 사이버 전문 업체가 사업을 하려면 면허증을 취득해야 한다. 서부 아프리카의 가나 역시 면허증 없이는 보안 전문 사업을 할 수 없도록 만들었다. 그러나 이것이 대단히 특이한 일은 아니다. 유럽연합 내 일부 국가들도 사이버 보안 전문 업체라는 이름표를 아무나 사용할 수 없도록 하고 있고, 미국의 뉴욕 주도 특정 산업군에 보안 전문 서비스를 제공하려면 먼저 허가부터 받으라고 한다.
보안 면허증?
아무나 보안 전문가라는 타이틀을 갖지 못하게 하는 건 타당한 일이다. “하지만 그것이 개개인에게도 해당된다면 조금은 다른 문제입니다. 개인이 보안 전문가가 되려면 국가가 발급하는 면허증을 가지고 있어야만 한다고 법으로 정해둔 나라는 가나 뿐입니다.” 보안 업체 포지티브테크놀로지스(Positive Technologies)의 컨설팅 총괄인 알렉시 루카츠키(Alexey Lukatsky)의 설명이다.
“게다가 가나 정부는 면허증을 반드시 취득해야 한다는 규정을 모든 사이버 보안 전문가에게 적용하지 않고 있습니다. 취약점 평가와 모의 해킹, 디지털 포렌식, 사이버 보안 대행, 사이버 보안 교육 및 훈련이라는 네 가지 분야의 전문가들에게만 해당되죠. 굉장히 독특한 체계라고 할 수 있습니다.”
싱가포르는 어떨까? 일단 싱가포르는 민간 기업들이 엄격한 보안 수칙을 지키도록 정부 차원에서 강조하는, 다소 강압적인 분위기를 만들고 있다는 특징을 가지고 있다. 민간 보안 업체라면 ‘사이버 에센셜즈(Cyber Essentials)’라는 인증서를 획득해야 하는데, 이 인증서가 요구하는 사항들이 꽤 많은 편이라고 한다. 현재 싱가포르의 보안 업체들은 이 요구 사항의 최소 70% 정도는 기본으로 맞추고 있는 것으로 알려져 있다.
로펌인 웡앤파트너즈(Wong & Partners)의 IP 및 기술 분야 파트너인 세렌 캔(Serene Kan)은 “보안의 최소 요구 사항의 수준이 높다는 건, 생태계 전체가 보다 더 안전할 수 있다는 뜻이 된다”며 “사이버 공격에 대한 국가 전체의 대처 능력이 좋아질 수 있다”고 설명한다.
미국과 유럽 등을 비롯해 여러 지역에서도 아무나 보안 전문가 행세를 하지 못하게 하는 건 마찬가지다. 다만 국가가 개개인에게 보안 전문가 면허증을 발급하거나, 어떤 기업이라도 반드시 지켜야 하는 보안 기본 사항의 수위를 대단히 높게 설정한 것은 아니다. 그런 식으로 접근하지 않는다. 보안 전문가가 갖추고 있는 여러 스킬들을 하나하나 쪼개서 비영리 단체나 민간 기업이 해당 스킬에 대한 자격증을 부여하는 게 보통이다. 예를 들어 (ISC)2는 CISSP 자격증을 보안 전문가 시험을 치르고 통과한 사람들에게 부여한다.
표현의 자유에 대한 보호 장치 부족
이처럼 가나와 싱가포르 정부가 취하고 있는 접근법과, 나머지 대부분 나라들이 취하고 있는 접근법은 ‘자격을 갖춰야만 보안 전문 서비스를 제공할 수 있다’는 점에서 동일하지만, 자세히 들여다보면 완전히 다르다. 이 차이를 정확히 어떻게 규정하고 설명해야 할까? 먼저 대부분의 나라들은 ‘표현의 자유’라는 기본권을 중요하게 생각하고 있다는 차이가 존재한다.
사이버 보안 전문가들이 움직일 수 있는 범위를 나라가 직접 나서서 지정한 국가들의 경우, 대부분은 국가가 거의 모든 디지털 서비스를 제어할 권한을 가지고 있다. 그렇기 때문에 정부의 비리나 부정 부패를 고발할 채널이 존재하지 않거나 힘이 미약하다. 기자들이 표적이 되는 경우가 많고, 내부 고발은 꿈꾸기 어렵다. 가나와 싱가포르는 이런 분위기를 가진 국가에 가깝다. 거기에 말레이시아까지 합류한 것이다.
그렇기 때문에 이 세 나라의 보안 전문가들은 함부로 보안 연구를 진행했다가 범죄자가 될 수 있다. 특정 조직의 방어 시스템을 모의로 해킹한다든가, 익스플로잇 소스코드를 공개하는 식의 행동들은 특히나 면허증부터 획득해야만 가능하다. 즉 보안 전문가로서, 보안의 언어로 연구하고 그것을 표현하는 자유가 막힌 거라고 볼 수 있다.
루카츠키는 “보안 전문가들이 더 안심하고 활동할 수 있도록 면허증 제도를 마련한 거라고 정부는 홍보하는데, 사실은 보안 전문가들의 활동 범위를 크게 제약하는 효과가 나타날 것”이라고 예측한다. “그것이 정부 기관의 원 의도인지 아닌지는 확실히 알 수 없지만, 나타나는 부작용이 ‘사이버 보안 전문가들의 운신의 폭이 줄어든다’가 될 것은 확실합니다. 그랬을 때 사회 전체적으로 보안이 약화될 가능성이 높습니다.”
글 : 로버트 레모스(Robert Lemos), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
