앨런 튜링 상징하는 블레츨리 파크에 건립, 성적 대신 적성 시험
청소년들의 기술력은 갈수록 높아져...어른들은 문화 조성에 힘써야
[보안뉴스 문가용 기자] 영국의 정보보안 역사는 그리 짧지 않다. 공적 또한 작지 않은 것이, 영국에는 세계2차대전의 암호 해독의 영웅 앨런 튜링(Alan Turing)이 있기 때문이다. 그 이전부터 영국 정부는 블레츨리 파크(Bletchley Park)라고 불리는 정부암호학교(Government Code & Cipher School)를 개설하고, 퍼즐 시험에 통과하는 자들만 특별히 엄선하여 국가 인재로 양성하기도 했다. 블레츨리 파크는 이후 여러 스파이 영화의 양념처럼 등장하기도 했다.
즉, 영국은 전쟁의 새로운 양상을 일찍부터 파악했다는 것이다. 그리고 시간이 흘러 현대에 와 영국은 또 다시 이런 능력을 발휘하고 있다. 온라인 공간에서의 범죄와 음모가 심상치 않다는 걸 파악한 것이다. 그래서 영국은 온라인에서의 일반 시민들의 권리를 보호하기 위한 캠페인을 정부 차원에서 벌이고 있다. 미국처럼 맹목적인 ‘자유’의 물결 아래 인터넷 공간을 서부 개척 시대처럼 변하도록 보고만 있지 않은 것이다. 정확히 뭘 하고 있는 걸까?
예전 영국 정부가 브레츨리 파크 입학자를 뽑기 위해 퍼즐 시험을 실시했다면 현대 영국 정부는 사이버 보안 챌린지(Cyber Security Challenge UK)라는 대회를 열어 우승자를 채용하는 시스템을 보유하고 있다. 그리고 현대판 브레츨리 파크에 해당하는 사이버 보안 학교를 열었으니, 바로 국립 사이버보안 대학(National College of Cybersecurity)이 바로 그것이다. 재미있는 건 이 대학교가 브레츨리 파크에 위치하고 있다는 것이다. (브레츨리 파크는 지명이기도 하다.)
영국의 국립 사이버보안 대학은 16~19세 사이의 학생들만 선발해 교육한다. 학과목 성적은 보지 않고 적성 검사와 IT 기술 성숙도만 평가한다. 정보보안교수학회(Institute of Information Security Professionals)의 의장인 알라스테어 맥윌슨(Alastair MacWilson)은 “정부의 이런 움직임은 국내 재능 있는 젊은이들을 불러 모으는 데에 매우 큰 효과가 있을 것이라고 기대하고 있다”고 한다. “심지어 매우 똑똑한 방법”이라고까지 치하했다.
물론 이것만으로 모든 문제가 해결되지는 않는다. 16~19세 학생들이 곧바로 전력감은 아니기 때문이다. 첫 졸업생은 2018년 9월에나 배출될 예정이다. 같은 해 5월 유럽연합은 새로운 데이터 보호 정책은 GDPR을 발효시킬 예정으로, 아마도 많은 기업들이 유럽연합에 어마어마한 벌금을 지불한 상태일 것이다. 즉 이 졸업생들을 실제로 거둬들일 만한 여유가 민간 부문에 남아있을 것이냐 하는 문제 역시 불투명하다는 뜻이다. 심지어 이들이 자라나 국가의 편에 서서 사이버 범죄에 대처해나간다고 해도, 이 학교의 졸업생만으로는 턱도 없다.
최근 국제프라이버시전문가협회(International Association of Privacy Professionals)의 보고서에 의하면 앞으로 2년 간 전 세계 기업들은 데이터 보호 전문가를 대거 영입해야 할 것이라고 하는데, 그 수는 최소 75000명이라고 한다. 그래야 최소 GDPR에 내는 어마어마한 벌금을 어느 정도 피해갈 수 있을 거라는 예측이다. 민간 부문에만 2년 안에 75000명인데, 정부기관까지 합하면 이는 어마어마한 숫자가 된다. 영국의 국립 사이버보안 대학의 500명 졸업생 2회로는 건드리지도 못할 문제라는 것이다.
우리는 이미 우리가 생각하는 미래에 들어섰다. 시간을 되돌릴 수 없듯이 예전의 방식으로도 돌아갈 수 없게 되었다. 그 예전 방식 중에는 사람의 가치를 평가하는 제도 역시 포함되어 있다. 국립 사이버보안 대학이 현재 뽑고 있는 학생들이라면, 아마 기존 가치 평가 제도 아래서 범죄자 혹은 잠정적인 범죄자 취급을 받을 만한 기술을 가진 사람들이 대부분이다. 하지만 이들은 이 학교를 통해 사회가 원하는 인물이 된다. 이 국립 시설의 사람 선발 기준이 기존의 틀을 탈피하고 있는 것이다. 이 학교가 조금 더 일찍 졸업생들을 배출시켰더라면 작년 16세 청소년이 그저 기술을 자랑하고 싶어서 일으킨 토크토크 사건도 일어나지 않았을 가능성이 높다.
솔직히 사이버 범죄라고 하면 엄청나게 똑똑한 해커를 떠올리는데, 현실은 그렇지도 않다. 해킹을 쉽게 해결해주는 툴들이 이미 널리고 널렸기 때문이다. 즉 범죄를 대행해주는 서비스가 셀 수 없을 만큼 많이 개발되었다는 것이다. 이는 필연적으로 ‘질 낮은’ 사이버 공격도 증가시켜 주었다. 그런데 질이 낮다고 해서 피해자가 피해를 안 받는 건 아니었다. 그 반대편에는 국가가 후원하는 해커들이 있다. 이들이야 말로 우리가 상상하는 천재에 가까운 인물들로, 사실 이들의 공격을 잘 막아낼 수 있는 업체나 조직은 없다고 보는 게 맞다. 정보보안은, 아래로는 기술력이 낮은 공격들이 머릿수로 우릴 밀어붙이고 있고, 위에서는 넘보지도 못할 기술력으로 덮쳐오고 있는 상황이다.
이런 흐름 속에서 청소년 세대들은 IT 기술로 둘러싸인 환경으로부터 태어나 자라고 있다. 그들에 비해 기술적 지식이나 숙련도가 낮을 수밖에 없는 어른 세대들은 도움을 요청할 수밖에 없다. 그러면서 그들의 청소년기에 올바른 보안 습관과 문화가 깃들도록 안내해주어야 한다. 사이버 보안은 단순한 문제가 아니다. 사이버 경찰관 몇 명으로 해결되는 것도 아니다. 오죽하면 국제법으로 이를 다루고자 연구한 탈린 매뉴얼 2.0이 나왔을까. 좀 더 장기적으로, 현명한 해결책을 꾸려야 한다. 더 많은 정부들이, 미래 보안 인재 육성을 위해 투자를 아끼지 말아야 할 때다.
글 : 마크 플레그(Mark Flegg)
[국제부 문가용 기자(globoan@boannews.com)]
청소년들의 기술력은 갈수록 높아져...어른들은 문화 조성에 힘써야
[보안뉴스 문가용 기자] 영국의 정보보안 역사는 그리 짧지 않다. 공적 또한 작지 않은 것이, 영국에는 세계2차대전의 암호 해독의 영웅 앨런 튜링(Alan Turing)이 있기 때문이다. 그 이전부터 영국 정부는 블레츨리 파크(Bletchley Park)라고 불리는 정부암호학교(Government Code & Cipher School)를 개설하고, 퍼즐 시험에 통과하는 자들만 특별히 엄선하여 국가 인재로 양성하기도 했다. 블레츨리 파크는 이후 여러 스파이 영화의 양념처럼 등장하기도 했다.
즉, 영국은 전쟁의 새로운 양상을 일찍부터 파악했다는 것이다. 그리고 시간이 흘러 현대에 와 영국은 또 다시 이런 능력을 발휘하고 있다. 온라인 공간에서의 범죄와 음모가 심상치 않다는 걸 파악한 것이다. 그래서 영국은 온라인에서의 일반 시민들의 권리를 보호하기 위한 캠페인을 정부 차원에서 벌이고 있다. 미국처럼 맹목적인 ‘자유’의 물결 아래 인터넷 공간을 서부 개척 시대처럼 변하도록 보고만 있지 않은 것이다. 정확히 뭘 하고 있는 걸까?
예전 영국 정부가 브레츨리 파크 입학자를 뽑기 위해 퍼즐 시험을 실시했다면 현대 영국 정부는 사이버 보안 챌린지(Cyber Security Challenge UK)라는 대회를 열어 우승자를 채용하는 시스템을 보유하고 있다. 그리고 현대판 브레츨리 파크에 해당하는 사이버 보안 학교를 열었으니, 바로 국립 사이버보안 대학(National College of Cybersecurity)이 바로 그것이다. 재미있는 건 이 대학교가 브레츨리 파크에 위치하고 있다는 것이다. (브레츨리 파크는 지명이기도 하다.)
영국의 국립 사이버보안 대학은 16~19세 사이의 학생들만 선발해 교육한다. 학과목 성적은 보지 않고 적성 검사와 IT 기술 성숙도만 평가한다. 정보보안교수학회(Institute of Information Security Professionals)의 의장인 알라스테어 맥윌슨(Alastair MacWilson)은 “정부의 이런 움직임은 국내 재능 있는 젊은이들을 불러 모으는 데에 매우 큰 효과가 있을 것이라고 기대하고 있다”고 한다. “심지어 매우 똑똑한 방법”이라고까지 치하했다.
물론 이것만으로 모든 문제가 해결되지는 않는다. 16~19세 학생들이 곧바로 전력감은 아니기 때문이다. 첫 졸업생은 2018년 9월에나 배출될 예정이다. 같은 해 5월 유럽연합은 새로운 데이터 보호 정책은 GDPR을 발효시킬 예정으로, 아마도 많은 기업들이 유럽연합에 어마어마한 벌금을 지불한 상태일 것이다. 즉 이 졸업생들을 실제로 거둬들일 만한 여유가 민간 부문에 남아있을 것이냐 하는 문제 역시 불투명하다는 뜻이다. 심지어 이들이 자라나 국가의 편에 서서 사이버 범죄에 대처해나간다고 해도, 이 학교의 졸업생만으로는 턱도 없다.
최근 국제프라이버시전문가협회(International Association of Privacy Professionals)의 보고서에 의하면 앞으로 2년 간 전 세계 기업들은 데이터 보호 전문가를 대거 영입해야 할 것이라고 하는데, 그 수는 최소 75000명이라고 한다. 그래야 최소 GDPR에 내는 어마어마한 벌금을 어느 정도 피해갈 수 있을 거라는 예측이다. 민간 부문에만 2년 안에 75000명인데, 정부기관까지 합하면 이는 어마어마한 숫자가 된다. 영국의 국립 사이버보안 대학의 500명 졸업생 2회로는 건드리지도 못할 문제라는 것이다.
우리는 이미 우리가 생각하는 미래에 들어섰다. 시간을 되돌릴 수 없듯이 예전의 방식으로도 돌아갈 수 없게 되었다. 그 예전 방식 중에는 사람의 가치를 평가하는 제도 역시 포함되어 있다. 국립 사이버보안 대학이 현재 뽑고 있는 학생들이라면, 아마 기존 가치 평가 제도 아래서 범죄자 혹은 잠정적인 범죄자 취급을 받을 만한 기술을 가진 사람들이 대부분이다. 하지만 이들은 이 학교를 통해 사회가 원하는 인물이 된다. 이 국립 시설의 사람 선발 기준이 기존의 틀을 탈피하고 있는 것이다. 이 학교가 조금 더 일찍 졸업생들을 배출시켰더라면 작년 16세 청소년이 그저 기술을 자랑하고 싶어서 일으킨 토크토크 사건도 일어나지 않았을 가능성이 높다.
솔직히 사이버 범죄라고 하면 엄청나게 똑똑한 해커를 떠올리는데, 현실은 그렇지도 않다. 해킹을 쉽게 해결해주는 툴들이 이미 널리고 널렸기 때문이다. 즉 범죄를 대행해주는 서비스가 셀 수 없을 만큼 많이 개발되었다는 것이다. 이는 필연적으로 ‘질 낮은’ 사이버 공격도 증가시켜 주었다. 그런데 질이 낮다고 해서 피해자가 피해를 안 받는 건 아니었다. 그 반대편에는 국가가 후원하는 해커들이 있다. 이들이야 말로 우리가 상상하는 천재에 가까운 인물들로, 사실 이들의 공격을 잘 막아낼 수 있는 업체나 조직은 없다고 보는 게 맞다. 정보보안은, 아래로는 기술력이 낮은 공격들이 머릿수로 우릴 밀어붙이고 있고, 위에서는 넘보지도 못할 기술력으로 덮쳐오고 있는 상황이다.
이런 흐름 속에서 청소년 세대들은 IT 기술로 둘러싸인 환경으로부터 태어나 자라고 있다. 그들에 비해 기술적 지식이나 숙련도가 낮을 수밖에 없는 어른 세대들은 도움을 요청할 수밖에 없다. 그러면서 그들의 청소년기에 올바른 보안 습관과 문화가 깃들도록 안내해주어야 한다. 사이버 보안은 단순한 문제가 아니다. 사이버 경찰관 몇 명으로 해결되는 것도 아니다. 오죽하면 국제법으로 이를 다루고자 연구한 탈린 매뉴얼 2.0이 나왔을까. 좀 더 장기적으로, 현명한 해결책을 꾸려야 한다. 더 많은 정부들이, 미래 보안 인재 육성을 위해 투자를 아끼지 말아야 할 때다.
글 : 마크 플레그(Mark Flegg)
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
