‘K-BoB Security Forum 정보보호 발전방향 조찬 좌담회’ 개최 ‘사이버 역량 강화 및 대국민 신뢰 회복’ 주제로 열띤 토론

[보안뉴스 김경애] 우리나라 사이버 역량 강화 및 대국민 신뢰 회복을 위한 정보보보호 발전방향 논의의 장으로 마련된 ‘K-BoB Security Forum 2015년 정보보호 발전방향 조찬 좌담회’가 더팔래스호텔 서울에서 개최됐다.





K-BoB Security Forum과 한국정보기술연구원, 21세기경제사회연구원이 공동주최한 이번 좌담회는 이탈리아 보안업체 해킹팀사의 정보유출 사고를 통해 변화하는 시장 환경에 대한 대응전략을 도출하고 방향성을 재정립하고자 ‘사이버 역량 강화 및 대국민 신뢰 회복’이란 주제로 포럼 이사진과 산·학·연 주요 정보보호 전문가들이 한 자리에 모여 열띤 토론을 펼쳤다. 

이번 좌담회에서 한국정보기술연구원(이하 KITR) 유준상 원장은 2015년 데프콘 CFT 23 한국팀 우승을 언급하면서 그 동안 정계, 학계, 산업계, 연구계, 보안전문가 등 다양한 분야 사람들의 적극적인 지원과 성원에 감사의 말을 전하고, 국회 정책자문기관으로서의 포럼의 역할에 대해 강조했다.
이어 유준상 원장은 “최근 발생한 해킹팀의 유출사건이 국내는 물론 전 세계적인 이슈가 되고 있는데, 이번 해킹팀 이슈를 통해서 우리나라 보안시장 현황을 살펴보고 대응전략을 모색하는 자리를 마련했다”며 “이번 좌담회가 사이버 보안 역량 강화 방안을 되짚어 보고, 보안을 기반으로 국가경쟁력 강화를 모색하는 자리가 되길 바란다”고 말했다.
토론회 좌장을 맡은 청와대 임종인 안보특별보좌관은 “해킹팀 이슈로 인해 사회적 관심이 높아진 시점에 이러한 논의의 장이 마련된 것은 시기적으로 적절하고 의미있다”며 “최근 전세계적인 흐름을 보면 사이버보안 역량 강화와 국제협력에 각국이 공감하고 있다. 그만큼 각국 간의 신뢰가 중요하며 이번 자리와도 일맥상통한다. 무엇보다 정보보안이 한 단계 도약할 수 있는 기회를 자꾸 만들고, 국민들이 정보보안에 관심을 갖도록 컨텐츠를 제공해야 한다”고 강조했다.
 
특히, 이번 좌담회는 고려대학교 이경호 교수가 ‘사이버 역량 강화 및 대국민 신뢰 회복’이라는 주제로 발표한 이후. 전문가들의 열띤 토론이 이어지면서 대응방안을 모색하는 의미 있는 자리로 마련됐다. 이 교수는 발표를 통해 “우리는 알려지지 않은 공격을 어떻게 탐지하고 방어하는지가 핵심”이라며 정보보호 역량 강화를 위해 △분석과 공유가 법제도를 기반으로 활성화 △현장에서 전문가에 의한 의사결정체계 필요 △위험에 따른 차등화된 추진체계 중요성에 대해 설명했다. 다음은 이슈별로 정리한 전문가들의 토론 내용이다.

 
1. 보안인식 변화 우선
이번 좌담회에서는 보안인식 변화와 문화조성의 중요성, 사이버역량 강화 방안, 보안인력 문제에 대한 논의로 압축됐다. 먼저 보안인식 변화와 관련해서는 정보보안 예산을 바라보는 시각과 실시간 감시 중요성에 대해 보안전문가들이 의견을 제시했다.

한국정보보호학회 박춘식 회장은 “이제는 IT 예산에서 정보보안 예산 비중을 논하는 관점에서 벗어나야 한다”며 “IT 예산은 전체적으로 줄고 있으며, 구조적으로 90% 이상이 인건비와 유지보수 비용으로 새로운 투자가 없는 구조”라고 지적했다. 이에 정보화 예산과 정보보안 예산을 철저히 구분해서 별도의 예산 항목이 될 수 있도록 먼저 연구하고, 그 다음에 예산의 적절성을 제시해야 한다고 설명했다.
이어 고려대학교 김승주 교수는 실시간 정보수집과 대응형태로 보안의 관점이 바뀌어야 한다고 말했다. 김 교수는 “미국은 이미 1990년대부터 Assurance 표현을 사용하며 사이버보안 패러다임이 바뀌었다”며 이제는 Security가 아닌 Information Assurance 패러다임으로 변화하는 추세를 설명했다.

블랙펄시큐리티 심준보 기술이사는 신뢰회복 문제를 언급하며, “정보보안 기업들이 서로 보유한 기술을 절대 공유하지 않고 있다”며 “기술 공유로 인해 가치가 떨어지거나 손해 볼 수 있다는 생각 때문”이라고 지적했다. 이어 그는 “하지만 구글이나 애플, 페이스북 등의 기업은 정보 공개를 통해 오히려 상호발전과 소통, 보안성 강화가 이루어졌다”고 강조했다.
 
또한, 소프트포럼 이경봉 대표는 불필요한 규제로 기업의 사기가 꺾일 수 있다며 개선방안을 제시했다. 이 대표는 “글로벌 진출전략에 맞게 회사명을 바꾸기로 했다. 그런데 회사명을 바꿀 경우 똑같은 제품이라도 제품 인증을 다시 다 받아야한다”며 “불필요한 부분에 대해서는 규제개혁이 이루어졌으면 좋겠다. 각종 규제에 대한 인식 전환이 이루어져야 소통이 가능해지는 동시에 신뢰 회복에 기여할 수 있을 것”이라고 밝혔다.

2. 문화 조성 중요
이어 사이버 역량 강화 및 대국민 신뢰 회복에 있어 보안문화 조성이 중요하다는 의견이 대두됐다.

충북대학교 이재철 교수는 “해킹팀 이슈로 공격도구가 민간, 범죄자 등을 대상으로 공격도구 판매가 확대되고, 제작툴이 범람할수록 방어가 어려워진다”며 “체계적인 방어를 위해서는 차분하면서도 내실 있게 대응할 수 있는 보안문화 조성이 선행되어야 한다”고 강조했다.

발표를 맡았던 고려대학교 이경호 교수는 소통의 중요성을 강조하면서 “해킹팀 이슈로 불거진 각종 이슈에 대한 대국민 신뢰 회복을 위해 정부와 보안종사자들 모두 국민에게 어떻게 다가설지 끊임없이 고민해야 한다”며, 국민들에게 정보보안을 좀더 쉽게 설명함으로써 보안문화를 보다 빠르게 전파시키는 일이 중요하다고 말했다.
3. 기술 역량 강화 필요성 
특히, 국내 보안기술의 역량을 강화하는 일이 시급하다고 보안전문가들을 지적했다.  김승주 교수는 기술적인 측면에서 보안인력은 한계가 있기 때문에 자동화를 염두에 두고 기술을 개발해야 한다며, 미국은 공격을 모니터링하는 일부터 방어가 되기까지 어느 정도 자동화가 진척됐는지 관심있게 보고 있다고 언급했다.

숭실대학교 정수환 교수는 예산과 인력 부족으로 따른 선택과 집중의 필요성을 강조했다. 정 교수는 “미국과 같이 오픈 문화로 민간 역량을 최대한 끌어내고 집중해야 한다”며 “하지만 국내의 경우 정부 주도로 예산을 확보하고 나눠주는 형태다. 이로 인해 민간기업의 축적된 데이터를 제대로 활용하지 못하고 있다. 이에 오픈 플랫폼을 만들어서 민간 역량을 최대한 결집해 이를 적극 활용해야 한다”고 설명했다.
 
이와 함께 지식정보보안산업협회(KISIA) 심종헌 회장은 “시장 원리로 냉정하게 생각해 봤을 때 국내 정보보안 기술수준이 IoT 시대에 걸맞은 정보보안 욕구를 충족시켜주기엔 부족한 게 사실”이라며 “특히 미국, 이스라엘, 중국 등의 기업규모와 차이가 있다. 시너지가 낼 수 있는 기업들은 서로 합치거나 결속하는 등 변화가 필요하다”고 강조했다. 또한, 대기업들이 정보보안 시장에 매력을 느끼고 진입할 수 있도록 환경을 조성해야 하고, 보안전문기업은 이러한 대기업과의 상생이 매우 중요하다고 덧붙였다.
 
이어 지식정보보안산업협회 오경수 명예회장은 현재 대기업이 공공기관에 진출하지 못하다보니 훌륭한 보안기술이 있어도 공공분야에 제대로 도입 및 활용되지 못하고 있는 점을 지적했다. 오 명예회장은 “양질의 보안기술을 지속적으로 개발하고 발전시킬 수 있도록 R&D에 투자해야 한다”고 설명했다.
또한, 고려대학교 권헌영 교수는 사이버 역량 강화에만 치우치지 말고 국민들의 신뢰 문제를 중요하게 생각해야 한다고 말했다. 특히, 사이버 역량 문제가 제기되는 것과 관련해 권 교수는 “개인의 역량이 취약한 구조에 문제가 있다”며 “사이버보안 이슈가 생겨도 일반인들의 경우 누군가 알려주지 않으면 모른다. 따라서 국가 및 보안전문가들의 역량 뿐만 아니라 시민들의 역량이 함께 높아져야 한다”고 강조했다.
 


4. 보안인력 양성 및 활용 문제
마지막으로 정보보안 인력 문제도 화두에 올랐다. 김승주 교수는 “우리나라는 보안전문가들을 적극 활용하지 못하고 있다”며 “미국은 보안전문가들에게 아이디어를 받아 연구과제를 하며, 보안전문가들을 위한 R&D과제를 만들어주기도 한다. 보안 분야 연구 인프라 확대를 통해 그들이 활동할 수 있는 공간을 많이 만들어줘야 한다”고 제시했다.
그레이해쉬 이승진 대표는 보안인력 육성 및 활용에 있어 정부의 보다 적극적인 태도 변화를 주문했다. 이 대표는 “일례로 미국은 정부기관에서 보안전문가를 스카웃하기 위해 NSA 수장이 블랙햇 컨퍼런스에 참가해 직접 발표하는 등 적극적으로 행동하고 있다. 국내에도 이러한 마인드가 필요하다. 좀더 변화된 모습을 보여야 보안전문가들도 정부를 믿고 활동할 수 있다”고 말했다.

윈스 김대연 대표는 보안업체 입장에서 장기적으로 볼 때 좋은 인력을 뽑아서 유지하는 게 매우 힘들다고 토로했다. 김 대표는 “우수한 보안인력을 채용하는 것도 중요하지만 정작 우수한 인재를 채용한다고 해도 5년 정도 트레이닝시킨 후에는 공공기관이나 대기업 포털사 등으로 스카웃된다”며 “보안기업에서 우수인재를 채용해 지속적으로 발전시켜 나갈 수 있는 방안도 모색되어야 한다”고 말했다.

펜타시큐리티 조석일 부사장도 “정보보안 전문인력을 아무리 많이 양성해도 취직이 되지 않으면 아무런 의미가 없다”며 “기업들이 보안인력들에게 월급을 많이 주고 복지후생이 뒷받침되는 선순환 구조가 이어질 수 있도록 각자의 위치에서 본연의 역할에 충실해야 한다”고 언급했다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>