사이버 보안 전문가가 하는 일이란 무엇인가? 합의 필요
엘리트 코스가 아닌 풍성한 밑그림 그려야 많은 인재 끌려

[보안뉴스 문가용] 시대마다 그 문제가 다르긴 했지만 보안 분야가 문제 하나 없이 지나온 날은 단 하루도 없었다. 그런 과거의 문제들도 온전히 해결하지 못한 상태인데 새로운 문제들도 치고 올라오고 있다. 그 중에서 제일 큰 문제는 뭐니 뭐니 해도 인력 부족이다. 결국 계속해서 취약점이 생기고 뚫리고 정보가 유출되는 건 인력이 부족해서다. 사이버 범죄는 계속해서 자라는데 사이버 보안은 계속해서 줄어들고 있다. 그리고 우리는 이에 대한 대처를 크게 고민하고 있지 않다.
 


국제정보시스템보안자격증컨소시엄(International Information Systems Security Certification Consortium, 일명 (ISC)2)은 약 3십만 명의 인력이 더 필요하다고 현 상황을 평가했는데, 이는 굉장히 긍정적이고 희망적이기까지 한 숫자다. 시스코에서 발간한 2014 애뉴얼 리포트에서는 같은 항목에 백만 명이라고 적혀 있다. 3십만이든 백만이든 결국 새 피가 사이버 보안 시장으로 수급되어야 함에는 변함이 없다. 이를 위해 세 가지를 제안한다.

1. 사이버 보안 전문가를 명확하게 정의하자
아직도 사이버 보안 전문가라는 직업 자체의 정의가 애매모호하다. 그러니 뭘 해야 하는 것인지 이 사람 저 사람 말이 다르다. 나라마다 사이버 보안을 해석하는 것이 다르고, 같은 나라 안에서조차 기업들끼리 다르다. 그러니 사이버 보안 전문가가 될 재능을 가지고 있는 사람도 그 재능을 잘 발휘하기가 힘들고, 자신이 사이버 보안 전문가가 될 소질이 있다는 것조차 깨닫지 못한다. 심지어 사이버 보안 관련 학과를 졸업한 학생들도 사회의 문턱에서 혼란을 느낀다.

사이버 보안 전문가라는 직업에 대한 표준 정의가 필요하다. 그래야 그 명확한 정의와 근거를 바탕으로 어떤 기술이 필요하고 어떤 능력이 요구되는지 큰 그림을 그릴 수 있고, 이런 큰 그림이 마련되어 있어야 새로운 피가 수급이 된다. 또한 이런 명확한 정의가 있으면 국제적인 공모와 소통도 원활해질 수 있다.

2. 사이버 보안 전문직에 대한 기본 틀을 세우자
이런 시도는 정보시스템보안협회(Information Systems Security Association, ISSA)가 이전에 해본 적이 있다. 그때 사이버 보안 직무 주기(Cybersecurity Career Lifecycle, CSCL)라는 개념 안에서 직무의 기본 틀을 수립했다. 하지만 이는 어떤 기관 혼자서 할 수 있는 일이 아니다. 산업이 적극 참여해 이 기본 틀의 모양새를 다듬어주어야 한다. 모든 직무는 해당 산업의 구조와 현황에 민감할 수밖에 없기 때문이다. 그래야 후속주자들이 길을 헤매지 않게 된다.

기본 틀을 짤 때 ‘엘리트 코스’를 정의하라는 게 아니다. 이런 절차를 밟아나가면 미래에 CISO가 될 수 있다는 ‘출세 중심’의 기본 틀은 앙상한 나무가 되기 마련이다. CISO만이 보안 관련 직종의 최종 목표가 아니며, 그렇게 인식되어서도 안 된다. 누구나 CISO에 어울리는 것도 아니다. 그러므로 ‘엘리트 코스’가 아닌 가지가 사방으로 넉넉히 자란 풍성한 틀을 마련해야 한다. 또한 기술의 발전과 시대의 변화로 생길 수 있는 여러 가지 변수가 끼어들 수 있도록 여백도 있어야 한다. 사이버 보안은 숨 가쁘게 변하는 현장이다. 어떤 변수도 이상하지 않고, 심지어 잘 어울려 녹아들 수 있다.

이처럼 ‘사이버 보안’이라는 경력의 큰 그림이 넉넉해지면 많은 이들이 가지를 칠 수 있게 된다. 그러려면 진입 방법과 지점에 대한 명확한 표시도 있어야 한다. 최소한 이런 이런 기술력은 갖추고 있어야 한다는 표준 한계점도 존재해야 한다. 그리고 그런 최소한의 표준 한계점을 갖출 수 있도록 교육의 장도 마련하면 더 좋다.

3. 정보보안 지식과 IT 인프라를 융합하자
보안 소프트웨어 개발에만 돈을 투자해봐야 효율을 뽑을 수가 없다. 보안은 그 자체로 하나의 독립 인프라가 아니라, 기존의 인프라를 보완해주고 보호해주는 필수적인 추가 요소다. 그러므로 그 자체의 색깔과 존재감을 강력히 뿜어대는 것보다 기존의 것을 이해하고 품어주는 방향으로 나가야 한다. 이는 사람을 대상으로 한 보안 교육을 뜻한다. 소프트웨어의 기능보다 그것을 활용하는 사람의 태도가 중요한 것이다. 아무리 좋은 소프트웨어를 갖추고 있다 한들 그걸 사용하는 사람이 올바른 보안 개념을 갖추고 있지 못하다면 그 자체로 회사의 커다란 취약점이 된다.

새로운 사람들이 이 분야에 큰 어려움 없이 들어올 수 있도록 하고, 직무의 정의를 표준화시키며, 산업 전체에 필요한 기술이 무엇인지 그 범위를 정하고, 그 범위 내에서 협업할 수 있는 여건을 만들어준다면 사람은 절로 ‘꼬일 것’이다. 내세울 수 있는 사이버 보안 분야만의 장점은 많다. 무엇보다 사이버 공격이 끝날 기미가 없으므로 당분간 실업자 되지는 않을 거라는 것도 농담 같지만 직업으로서는 장점이 아닐 수 없다. 언젠가 우리 손으로 제거해야 하는 그런 장점이라는 게 아이러니 하면서도 어쩐지 아련하지 않은가. 일단 첫 단추는 직무의 정의이다. 사이버 보안 전문가는 과연 무슨 일을 하는 사람인가? 그에 대한 합의가 먼저 필요하다.

글 : 미쉘 드롤렛(Michelle Drolet)
@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>