밤샘 근무 잦고 보안 철저한 관제실 – 생활 리듬 깨지고 외부와 차단
보안 신규 인력들도 잘 모르는 관제, 위상 높이려면 “재교육 정립” 필요
3~4년 근무 후 다른 부서로 순환하기도...“우리의 가치”에 대한 답 찾아야
[보안뉴스 문가용 기자] 2015년 11월 본지에서는 보안 업계 종사자들 581명에게 “아끼는 지인에게 정보보안으로의 진출을 권해줄 것인가?”라는 질문을 던졌다. 가장 많이 나온 답은(173명) “업무가 너무 힘들어서 권해주지 않을 것”이었다. 보안의 모든 것을 담고 있기에 ‘보안의 꽃’, ‘종합예술’이라는 말로 수식되는 보안 관제는 위 설문에서 나온 보안의 ‘힘듦’마저도 종합적으로 담고 있으며 이는 극심한 인력 수급 문제로 이어지고 있다.
▲ 윗줄 : 안종문, 심택수, 김철수, 조영민
중간줄 : 공병철, 조명기, 지철민, 이익준
아랫줄 : 김학성, 마기평, 여동균
아직은 사람에 대한 의존도가 높은 보안이기 때문에 관제 인력 부족은 곧바로 보안 사고로 연결될 가능성이 높다. 혼란한 정국을 틈타 사이버 공격이 그 어느 때보다도 높이진 지금, 이는 커다란 재앙으로도 이어질 수 있다. 이에 11명의 정보보안관제 담당자들이 보안뉴스 사무국에 모여 대책을 논의했다.
관제가 어려운 이유 1 : 근무 환경
보안 관제란 말 그대로 누군가의 IT 환경에 이상 현상이 없는지 항시 지켜보고 관찰하다가, 사고가 터지면 그 사실을 관계자에게 즉시 전파하고 대응하는 것을 말한다. 흔히 ‘탐지, 분석, 대응, 예방’의 역할을 해야 하는 것으로 알려져 있다. IT 환경의 모든 요소가 관제실에서 모니터링되며 분석되고 주시된다는 것이다. 그러므로 관제실은 아무나 출입할 수도 없는 게 보통이다.
시큐브의 전무이자 前 국가사이버안전센터 상황실장인 심택수 전무는 이러한 관제 업무의 특성이 실제 근무자 입장에서는 다음과 같이 나타난다고 설명한다. “누군가는 밤을 새는 근무를 일주일에도 여러 번 해야 하고, 주말도 보장받을 수 없다는 것이죠. 생활주기가 깨진다는 겁니다.” 한국통신인터넷기술의 김철수 관제실장은 “심지어 보안 때문에 관제실에는 창문도 없는 곳이 많다”고 덧붙인다. “외부와의 교류가 서서히 닫혀간다는 느낌이 들 수밖에 없습니다.”
게다가 급여나 복지로 보상해주는 것도 어렵다. 보안 관제라는 것도 결국은 보안을 아이템으로 한 사업의 일종이기 때문이다. 윈스의 마기평 팀장은 “클라이언트 업체나 기관에 관제를 위탁받으면 그에 따라 인원을 교대조로 투입시켜야 하는 ‘인력 장사’이기 때문에 이윤을 남겨야 하는 기업 입장에서는 인건비나 복지비에 마냥 투자할 수도 없다”고 설명한다. 게다가 사업비가, 관제 인력이 하는 일에 비해 넉넉하다고 볼 수도 없다.
문제의 근원은 정부의 최저가 낙찰제도다. 관제 사업에 여러 민간업체가 입찰을 해도 기능성이나 전문성이 아니라 가격에 의해 업체를 선정하기 때문에, 관제 서비스 기업들도 여러 면에서 절약할 수밖에 없다. 결국 인원이 적게 투입되거나(즉, 한 사람이 창문도 없는 방에서 더 많은 밤을 새거나), 봉급이 낮은 초급 인력이 투입되거나(기능성이 떨어져 보안 관제에 대한 위상이 올라가질 않거나), 둘 중 하나다.
“그래서 그런 정부 관제 산업에 유찰이 많이 일어나고, 단독 입찰도 빈번한 것이죠”라고 싸이버원의 김학성 부장이 동의한다. 심택수 전무도 “국가기관들 내에 팽배한 후려치기 문화가 고쳐져야 한다”고 주장하고 이글루시큐리티의 여동균 팀장도 “그래서 발주자의 인식 전환이 문제 해결의 첫 단추”라고 말한다. 한국사이버감시단의 공병철 이사장도 “가격 산정법부터 바뀌어야 한다”는 입장이다.
관제가 어려운 이유 2 : 사람이 없다
발주자의 후려치기로 인해 보상도 충분히 받지 못하고, 생활 리듬을 희생시켜야 하는 업무 성격 때문에 나타나는 현상으로 ‘보안 관제’의 위상이 크게 떨어졌다는 것이다. 김철수 관제실장은 “언젠가부터 관제는 ‘초급 과정’이고, 그저 ‘거쳐 가는 곳’이란 인식이 확산되기 시작했다”며 “고급 인력들이 오려고 하지 않는다”고 현재 분위기를 설명한다. 김학성 부장 역시 “관제 사업의 목표 의식 자체가 흐려지고 있는 상황”이라고 심각함을 전달했다.
공병철 이사장은 “정보보안 분야에서 인정받고 자주 요구되는 CISSP이나 CISA 등의 국제 자격증 공부를 해서 전문성을 키우려는 사람들도 많은데, 이 자격증들 따는 게 쉬운 일이 아니”라며, “애써 어려운 국제 자격증 보유자가 되었는데, 누가 밤을 새며 근무하고 싶어 관제 쪽에 오겠느냐”고 반문한다. 신입 유입이 잘 될 수 없는 구조라는 것이다.
과연 현장에서의 신입 유입은 심각한 문제다. 마기평 팀장은 “신입 채용을 위해 인터뷰를 진행하다보면 ‘할 게 없어서 왔다’는 친구들도 있으며, 심지어 관제가 뭔지도 모르고 그냥 정보보안 관련 학과 전공했으니 지원하기도 한다”고 말한다. 김철수 관제실장은 “우리 회사도 비슷한 상황”이라며 동의했고, 김학성 부장 역시 “그런 사람들을 종종 만난다”고 유사 경험이 있음을 밝혔다.
게다가 관제에 배치되어도 인력들이 금방 지쳐간다. 단지 창문이 없고 밤을 많이 새서만은 아니다. 심택수 전무는 “3~4년이 최대 근무치인 듯 하다”고 현장의 분위기를 전달했다. “관제는 보안의 기본이고, 초임들의 가장 적합한 훈련장입니다. 분석도 하고, 예방도 하고, 수사를 해야 하니 분명히 관제 현장에 있으면 수준이 올라가요. 정말 ‘거쳐 가기에는’ 딱 좋은 곳이죠. 그러나 실력이 금방 올라간다는 말은 다시 말해 그만큼 힘들 게 노력해야 한다는 뜻입니다.”
한전KDN의 지철민 차장이 설명을 보충한다. “관제가 보안을 종합적으로 다룬다는 건, 업체와 조직마다 해야 하는 일이 천차만별이라는 뜻입니다. 즉, 뭔가 기준으로 삼고 ‘이것이 보안 관제다’라고 정의할 수 있는 커리큘럼이 부재해요. 어려운 공부이기도 하지만, 아직 덜 정립되었다는 것도 현장 근무자들이 학습하는 데 큰 장애가 됩니다.” ktds의 조명기 과장은 “아마 지난 10년간 여러 관제실에서 있었던 상황들만 잘 모아도 훌륭한 교육 자료가 될 테지만, 그 자료들이 다 업체와 기관의 보안 사항일 것이라 현실적으로 어렵다”고 덧붙였다.
해결의 실마리 1 : 인공지능
자연스럽게 인공지능 이야기가 나오지 않을 수 없다. 다른 건 몰라도 인공지능은 24시간 근무가 가능하며 창밖의 풍경과 능률이 갖는 상관관계에서 자유로운 존재이기 때문이다. 삼성SDS의 조영민 책임은 “인공지능의 가장 큰 장점은 결국 자동화라고 판단하고 있으며, 현재 관제 산업의 인력 유통 어려움에 대한 해결책이 될 수 있으리라고 본다”고 말하며 “자동화로 단순반복 업무를 처리하고, 사람은 컨설팅이나 자동화로 수집된 데이터의 고급 분석 등 더 ‘사람다운’ 일을 해 가치를 키울 수 있도록 하는 게 앞으로의 방향인 것으로 보인다”고 설명했다.
지철민 차장은 “빅데이터 자동화 시스템을 운영해 봤지만 담당자가 어떤 사람이냐에 따라 결과가 크게 차이나더라”라며, “결국 인공지능이나 머신 러닝이라고 해도 사람이 반드시 필요하다”고 말했다. 조명기 과장 역시 “IBM의 왓슨도 사람이 완전히 손을 놓도록 하지는 않더라”라며 “사람이 관제에서 완전히 손을 떼도 될 정도의 상황이 오려면 아직 먼 것으로 보인다”는 의견을 조심스레 내비쳤다.
여동균 팀장은 의학 사례를 예로 들며 “간암에 대한 여러 가지 증상은 이미 ‘정해져 있어’ 인공지능 기술로 진료가 가능하지만 정보보안은 공격의 기술이나 전략이 늘 바뀌어 컴퓨터가 정탐과 오탐을 사람 없이 판단한다는 건 매우 어려워 보인다”고 말했다. 공병철 이사장도 “의학적 진단에서 왓슨이 사람을 앞선다는 해외 연구 결과도 있다”며 “그건 병세에 대한 증상이 한정적이기 때문”이라고 여 팀장의 의견을 뒷받침했다.
김학성 부장은 “의학 등 다른 산업에 인공지능을 접목하는 것과 정보보안 분야에 접목하는 것은 상당히 다를 것”이라며 “지금이야 기대를 받고는 있지만 냉정히 말해 정보보안 분야에서 인공지능이 의미 있는 성과를 낸 것도 아니니 더 지켜봐야 한다”고 말했다. 그러나 “정보보안 분야에서 인공지능의 활용이 그리 쉽지만은 않아 보인다”는 의견을 추가하기도 했다. “결국 사람의 분석력이 큰 지분을 차지할 수밖에 없는 게 보안이기 때문입니다.”
해결의 실마리 2 : 재교육
얘기는 돌고 돌아 다시 사람으로 왔다. 세계적으로 인공지능에 대한 기대치가 높아 보이는 듯 하지만 관제 현장 투입까지는 앞으로 많은 시일이 걸릴 것이 분명해 보인다는 것이 모든 현장 근무자들의 의견이기 때문이다. 앞서 신입 유입이 없다는 게 당장의 큰 문제 중 하나라고 했는데, 사실 이는 심택수 전무의 말대로 “보안 관제의 위상이 올라가면” 자연히 해결될 문제다. 위상을 높이려면 이미 투입된 현재 관제 인원의 실력을 높이는 게 1차 과제다.
다행히 그런 흐름은 희미하게나마 이미 시작되고 있다. 정보보안관제사 자격증을 운영하고 있는 공병철 이사장은 “관제사가 되고 싶은 사람들이 자격증을 더 필요로 할 줄 알았는데, 최근에는 이미 현장에서 관제사로 근무하고 있는 사람들이 더 많이 찾는다”며 “정립된 교육에 대한 목마름이 있었다는 것이고, 관제 관련 프로젝트를 수주할 때 공공기관 등에서 제출을 요구하기 때문”이라고 설명했다. 즉, 발주자들도 관제 인력의 실력을 궁금해 하기 시작했다는 것이다.
CISSP 등을 필두로 한 국제 보안 자격증이 ‘갱신 제도’를 도입한 것도 이 때문이다. 바둑도 사람보다 잘 두고 의학적인 진단도 사람보다 낫게 하는 인공지능이 아직 어떠한 성과도 내지 못하는 정보보안 분야의 변화무쌍한 특성 때문에, 사람도 자격증을 한 번 따고 마는 게 아니라 계속해서 자격을 ‘유지’해야 한다는 개념이다. CISSP를 운영하는 (ISC)2의 클레이튼 존스(Clayton Jones) 아태지역 총괄은 “기업 차원에서 보안 인력의 자격증 갱신 여부를 확인하고 지원해줘야 한다”며 “최신 지식과 노하우를 가진 사람이 훨씬 보안 업무를 잘 하기 때문”이라고 설명한다.
마기평 팀장은 “현재 회사에서 팀장들의 재량 평가를 실시하는데, 여기에 자격증 소지(유지) 여부도 중요한 항목”이라며 보안 인력의 수준 유지에 신경 쓰고 있음을 나타냈다. “또 저희는 에스컬레이터 제도라는 게 있어서 관제실 근무를 통해 어느 정도 수준에 이르면 자기가 더 집중해서 역량을 키우보고 싶은 부서와의 협업을 가능하게 해줍니다. 멀웨어 분석에 더 집중해보고 싶다면 관련 부서에서 근무하게 해주거나 하는 식이죠.” 이는 심택수 전무도 마찬가지다. “3~4년차들은 다른 부서로 이동시킵니다. 관제가 ‘보안의 종합이다’라는 걸 활용해 개인 역량 강화의 기회로 만드는 것이죠.”
여동균 팀장 역시 “교육의 기회가 있을 때마다 자원하는 사람들을 보내긴 하는데, 사실 외부 교육이라고 할 만한 행사가 거의 없다”며 교육 지원의 어려움을 호소하기도 했다. 지철민 차장은 “KISA가 운영하는 K-Shield만 이수해도 전문성이 상당히 높아지지만, 6개월 과정이고 매우 적은 인원으로만 진행된다”고 그 한계점을 이야기했다. 롯데정보통신의 안종문 책임도 “교육 내용 중 보안 사항이 많아 외부 교육은 대부분 두루뭉술한 일반론 이상 되지 않는다”며 “그래서 내부 교육을 때 되는 대로 실시하고 있다”고 말했다.
해결의 실마리 3 : 활동 폭 넓히기
교육을 끊임없이 진행해야 하지만, 여러 제약 사항이 많아 제대로 된 교육 과정을 정립시키기 힘들다는 의견이 나오자 교육 사업을 하고 있는 공병철 이사장은 “여기 있는 실무자들만 모여 책을 집필해도 훌륭한 교육 자료가 나올 텐데...”하고 아쉬워했다. 그러면서 그는 “회사 소속이라 쉽지 않겠지만 보안 담당자들이 좀 더 활동 폭을 넓혀야 한다”고 주장했다.
“보안을 책임지는 자라면 공격 벡터를 최대한 줄이기 위해 자기 자신마저 드러내지 않는 게 미덕이었습니다. 그런데 그게 요즘에도 미덕일까요? 우리가 아무리 숨어도 이미 개인정보 다 털렸고, 공격자들이 우릴 못 찾을까요? 그리고 우리 하나 줄어드는 게 방어에 얼마나 큰 의미가 있을까요?” 동의의 웃음이 여기저기서 나왔다. “보안 관제의 위상을 높이려면 우리가 먼저 숨지 말고 나와야 합니다.”
그렇다면 어떻게 나와야 할까? 에이쓰리의 이익준 본부장은 “위상이라는 게 우리가 정하는 게 아니라, 바깥에서 우리를 어떻게 봐주느냐로 결정이 나는 것 아니겠냐”며 “우리가 우리 일 하는 걸 제대로 설명하고 보여줄 수 있어야 한다”고 주장했다. 가장 먼저 바뀌어야 할 건 보고서. “매일 ‘안전합니다. 아무 일 없습니다’라는 것만 보고하다가 사고가 나면 ‘어쩔 수 없었습니다’라고 하면 누가 관제를 믿겠습니까? 좀 더 우리의 역할을 이해하기 쉽게 알려줄 방법을 찾아야 합니다.”
공병철 이사장은 교육 현장을 꼽는다. “관제를 제대로 교육하는 고등학교나 대학교가 없습니다. 학교나 교육자들이 잘못한 게 아니라, 관제라는 게 원래 현장 경험 없이는 가르칠 수가 없는 거라서 그럽니다. 그러니까 현장 경험을 가진 실무자들이 대학도 찾고 고등학교도 찾아 기회를 만들어야 합니다.” 마기평 팀장은 “윈스는 이미 고등학교와 MOU를 맺어 현장학습도 지원하고 장비도 지원한다”고 설명했다.
심택수 전무는 목소리를 직접 내야 한다는 입장이다. “교육과 재교육을 통해 우리가 가진 인력들을 탄탄히 만들어 내실을 다져가는 것도 좋지만, 아까 말했다시피 발주기관의 후려치기 제도가 없어지지 않으면 결국 변화는 기대하기 힘들 겁니다. 결국 법이 바뀌어야 하는 부분이거든요. 정부나 정책 마련자가 현실을 파악할 수 있도록 정보를 알려주고 요청을 해야합니다.”
해결의 실마리 4 : 우리의 이름은
법 이야기가 나오자 공병철 이사장은 “보안 관제라는 용어에 대해 생각해볼 필요가 있다”고 제안했다. “보안 관제라는 산업에 대한 법이나 제도는 있습니다. 그런데 그 법문을 보면 그 산업이 어떤 기능을 해야 하는지에 대한 것은 명시되어 있는데, 아직 해당 산업 종사자, 즉 사람에 대한 내용은 전혀 없습니다. 산업만 있지, 사람은 없는 겁니다. 원래 새로운 분야가 생기면 그 분야 자체에 대한 고민이 먼저 이뤄지고, 그 다음 자리를 잡은 후에 사람에 대한 고민이 덧붙여지는 게 순서라 자연스러운 현상인데, 이 틈을 저희가 찔러보는 게 어떻겠냐는 겁니다.”
즉 ‘보안 관제’라는 말은 공식화되어 있지만 ‘보안 관제사’라는 말은 비공식 용어라는 것이다. “관제라는 말이 주는 느낌이 너무 안 좋아요. CCTV 모니터링만 주구장창 하는 사람 같죠. 저희가 하는 일과 맞지도 않을뿐더러 어감도 안 좋으니, 당연히 위상에도 좋지 않습니다. 저는 그래서 ‘침해 대응 전문가’라는 용어로 대체하는 게 어떨까 합니다. 취약점을 점검하고, 네트워크를 모니터링하고, 공격이 일어나면 분석해서 빠르게 전파하고, 그런 모든 관제실 요원의 할 일을 담아낸 표현입니다. 물론 ‘침해 대응 전문가’만이 올바른 이름이라는 게 아닙니다. 관제사나 관제 요원이라는 말을 바꿨으면 좋겠다는 거죠.”
이익준 본부장이 “결국 우리가 하는 일은 무엇이고, 관제란 무엇인가에 대한 정체성 고민이 선결되어야 한다”고 정리한다. “일이 힘들다고 가치가 높아지는 것이 아니고, 우리가 중요하다고 하지만 큰 시각에서는 아닐 수도 있지요. 어쩌면 우리가 열악하다고 하는 지금의 환경이 우리만 못 보는 우리의 가치일 수도 있고, 정말로 부당한 대우를 받는 것일 수도 있겠죠. 우리의 위상이 높아져야 한다는 게 우리만의 목소리가 아니려면, 스스로가 그런 고민을 끝내고 합리적은 답을 찾아야 합니다. 그 후에는 앞으로 나갈 방향이 쉽게 정해질 수도 있으리라고 봅니다.”
[국제부 문가용 기자(globoan@boannews.com)]
보안 신규 인력들도 잘 모르는 관제, 위상 높이려면 “재교육 정립” 필요
3~4년 근무 후 다른 부서로 순환하기도...“우리의 가치”에 대한 답 찾아야
[보안뉴스 문가용 기자] 2015년 11월 본지에서는 보안 업계 종사자들 581명에게 “아끼는 지인에게 정보보안으로의 진출을 권해줄 것인가?”라는 질문을 던졌다. 가장 많이 나온 답은(173명) “업무가 너무 힘들어서 권해주지 않을 것”이었다. 보안의 모든 것을 담고 있기에 ‘보안의 꽃’, ‘종합예술’이라는 말로 수식되는 보안 관제는 위 설문에서 나온 보안의 ‘힘듦’마저도 종합적으로 담고 있으며 이는 극심한 인력 수급 문제로 이어지고 있다.
▲ 윗줄 : 안종문, 심택수, 김철수, 조영민
중간줄 : 공병철, 조명기, 지철민, 이익준
아랫줄 : 김학성, 마기평, 여동균
아직은 사람에 대한 의존도가 높은 보안이기 때문에 관제 인력 부족은 곧바로 보안 사고로 연결될 가능성이 높다. 혼란한 정국을 틈타 사이버 공격이 그 어느 때보다도 높이진 지금, 이는 커다란 재앙으로도 이어질 수 있다. 이에 11명의 정보보안관제 담당자들이 보안뉴스 사무국에 모여 대책을 논의했다.
관제가 어려운 이유 1 : 근무 환경
보안 관제란 말 그대로 누군가의 IT 환경에 이상 현상이 없는지 항시 지켜보고 관찰하다가, 사고가 터지면 그 사실을 관계자에게 즉시 전파하고 대응하는 것을 말한다. 흔히 ‘탐지, 분석, 대응, 예방’의 역할을 해야 하는 것으로 알려져 있다. IT 환경의 모든 요소가 관제실에서 모니터링되며 분석되고 주시된다는 것이다. 그러므로 관제실은 아무나 출입할 수도 없는 게 보통이다.
시큐브의 전무이자 前 국가사이버안전센터 상황실장인 심택수 전무는 이러한 관제 업무의 특성이 실제 근무자 입장에서는 다음과 같이 나타난다고 설명한다. “누군가는 밤을 새는 근무를 일주일에도 여러 번 해야 하고, 주말도 보장받을 수 없다는 것이죠. 생활주기가 깨진다는 겁니다.” 한국통신인터넷기술의 김철수 관제실장은 “심지어 보안 때문에 관제실에는 창문도 없는 곳이 많다”고 덧붙인다. “외부와의 교류가 서서히 닫혀간다는 느낌이 들 수밖에 없습니다.”
게다가 급여나 복지로 보상해주는 것도 어렵다. 보안 관제라는 것도 결국은 보안을 아이템으로 한 사업의 일종이기 때문이다. 윈스의 마기평 팀장은 “클라이언트 업체나 기관에 관제를 위탁받으면 그에 따라 인원을 교대조로 투입시켜야 하는 ‘인력 장사’이기 때문에 이윤을 남겨야 하는 기업 입장에서는 인건비나 복지비에 마냥 투자할 수도 없다”고 설명한다. 게다가 사업비가, 관제 인력이 하는 일에 비해 넉넉하다고 볼 수도 없다.
문제의 근원은 정부의 최저가 낙찰제도다. 관제 사업에 여러 민간업체가 입찰을 해도 기능성이나 전문성이 아니라 가격에 의해 업체를 선정하기 때문에, 관제 서비스 기업들도 여러 면에서 절약할 수밖에 없다. 결국 인원이 적게 투입되거나(즉, 한 사람이 창문도 없는 방에서 더 많은 밤을 새거나), 봉급이 낮은 초급 인력이 투입되거나(기능성이 떨어져 보안 관제에 대한 위상이 올라가질 않거나), 둘 중 하나다.
“그래서 그런 정부 관제 산업에 유찰이 많이 일어나고, 단독 입찰도 빈번한 것이죠”라고 싸이버원의 김학성 부장이 동의한다. 심택수 전무도 “국가기관들 내에 팽배한 후려치기 문화가 고쳐져야 한다”고 주장하고 이글루시큐리티의 여동균 팀장도 “그래서 발주자의 인식 전환이 문제 해결의 첫 단추”라고 말한다. 한국사이버감시단의 공병철 이사장도 “가격 산정법부터 바뀌어야 한다”는 입장이다.
관제가 어려운 이유 2 : 사람이 없다
발주자의 후려치기로 인해 보상도 충분히 받지 못하고, 생활 리듬을 희생시켜야 하는 업무 성격 때문에 나타나는 현상으로 ‘보안 관제’의 위상이 크게 떨어졌다는 것이다. 김철수 관제실장은 “언젠가부터 관제는 ‘초급 과정’이고, 그저 ‘거쳐 가는 곳’이란 인식이 확산되기 시작했다”며 “고급 인력들이 오려고 하지 않는다”고 현재 분위기를 설명한다. 김학성 부장 역시 “관제 사업의 목표 의식 자체가 흐려지고 있는 상황”이라고 심각함을 전달했다.
공병철 이사장은 “정보보안 분야에서 인정받고 자주 요구되는 CISSP이나 CISA 등의 국제 자격증 공부를 해서 전문성을 키우려는 사람들도 많은데, 이 자격증들 따는 게 쉬운 일이 아니”라며, “애써 어려운 국제 자격증 보유자가 되었는데, 누가 밤을 새며 근무하고 싶어 관제 쪽에 오겠느냐”고 반문한다. 신입 유입이 잘 될 수 없는 구조라는 것이다.
과연 현장에서의 신입 유입은 심각한 문제다. 마기평 팀장은 “신입 채용을 위해 인터뷰를 진행하다보면 ‘할 게 없어서 왔다’는 친구들도 있으며, 심지어 관제가 뭔지도 모르고 그냥 정보보안 관련 학과 전공했으니 지원하기도 한다”고 말한다. 김철수 관제실장은 “우리 회사도 비슷한 상황”이라며 동의했고, 김학성 부장 역시 “그런 사람들을 종종 만난다”고 유사 경험이 있음을 밝혔다.
게다가 관제에 배치되어도 인력들이 금방 지쳐간다. 단지 창문이 없고 밤을 많이 새서만은 아니다. 심택수 전무는 “3~4년이 최대 근무치인 듯 하다”고 현장의 분위기를 전달했다. “관제는 보안의 기본이고, 초임들의 가장 적합한 훈련장입니다. 분석도 하고, 예방도 하고, 수사를 해야 하니 분명히 관제 현장에 있으면 수준이 올라가요. 정말 ‘거쳐 가기에는’ 딱 좋은 곳이죠. 그러나 실력이 금방 올라간다는 말은 다시 말해 그만큼 힘들 게 노력해야 한다는 뜻입니다.”
한전KDN의 지철민 차장이 설명을 보충한다. “관제가 보안을 종합적으로 다룬다는 건, 업체와 조직마다 해야 하는 일이 천차만별이라는 뜻입니다. 즉, 뭔가 기준으로 삼고 ‘이것이 보안 관제다’라고 정의할 수 있는 커리큘럼이 부재해요. 어려운 공부이기도 하지만, 아직 덜 정립되었다는 것도 현장 근무자들이 학습하는 데 큰 장애가 됩니다.” ktds의 조명기 과장은 “아마 지난 10년간 여러 관제실에서 있었던 상황들만 잘 모아도 훌륭한 교육 자료가 될 테지만, 그 자료들이 다 업체와 기관의 보안 사항일 것이라 현실적으로 어렵다”고 덧붙였다.
해결의 실마리 1 : 인공지능
자연스럽게 인공지능 이야기가 나오지 않을 수 없다. 다른 건 몰라도 인공지능은 24시간 근무가 가능하며 창밖의 풍경과 능률이 갖는 상관관계에서 자유로운 존재이기 때문이다. 삼성SDS의 조영민 책임은 “인공지능의 가장 큰 장점은 결국 자동화라고 판단하고 있으며, 현재 관제 산업의 인력 유통 어려움에 대한 해결책이 될 수 있으리라고 본다”고 말하며 “자동화로 단순반복 업무를 처리하고, 사람은 컨설팅이나 자동화로 수집된 데이터의 고급 분석 등 더 ‘사람다운’ 일을 해 가치를 키울 수 있도록 하는 게 앞으로의 방향인 것으로 보인다”고 설명했다.
지철민 차장은 “빅데이터 자동화 시스템을 운영해 봤지만 담당자가 어떤 사람이냐에 따라 결과가 크게 차이나더라”라며, “결국 인공지능이나 머신 러닝이라고 해도 사람이 반드시 필요하다”고 말했다. 조명기 과장 역시 “IBM의 왓슨도 사람이 완전히 손을 놓도록 하지는 않더라”라며 “사람이 관제에서 완전히 손을 떼도 될 정도의 상황이 오려면 아직 먼 것으로 보인다”는 의견을 조심스레 내비쳤다.
여동균 팀장은 의학 사례를 예로 들며 “간암에 대한 여러 가지 증상은 이미 ‘정해져 있어’ 인공지능 기술로 진료가 가능하지만 정보보안은 공격의 기술이나 전략이 늘 바뀌어 컴퓨터가 정탐과 오탐을 사람 없이 판단한다는 건 매우 어려워 보인다”고 말했다. 공병철 이사장도 “의학적 진단에서 왓슨이 사람을 앞선다는 해외 연구 결과도 있다”며 “그건 병세에 대한 증상이 한정적이기 때문”이라고 여 팀장의 의견을 뒷받침했다.
김학성 부장은 “의학 등 다른 산업에 인공지능을 접목하는 것과 정보보안 분야에 접목하는 것은 상당히 다를 것”이라며 “지금이야 기대를 받고는 있지만 냉정히 말해 정보보안 분야에서 인공지능이 의미 있는 성과를 낸 것도 아니니 더 지켜봐야 한다”고 말했다. 그러나 “정보보안 분야에서 인공지능의 활용이 그리 쉽지만은 않아 보인다”는 의견을 추가하기도 했다. “결국 사람의 분석력이 큰 지분을 차지할 수밖에 없는 게 보안이기 때문입니다.”
해결의 실마리 2 : 재교육
얘기는 돌고 돌아 다시 사람으로 왔다. 세계적으로 인공지능에 대한 기대치가 높아 보이는 듯 하지만 관제 현장 투입까지는 앞으로 많은 시일이 걸릴 것이 분명해 보인다는 것이 모든 현장 근무자들의 의견이기 때문이다. 앞서 신입 유입이 없다는 게 당장의 큰 문제 중 하나라고 했는데, 사실 이는 심택수 전무의 말대로 “보안 관제의 위상이 올라가면” 자연히 해결될 문제다. 위상을 높이려면 이미 투입된 현재 관제 인원의 실력을 높이는 게 1차 과제다.
다행히 그런 흐름은 희미하게나마 이미 시작되고 있다. 정보보안관제사 자격증을 운영하고 있는 공병철 이사장은 “관제사가 되고 싶은 사람들이 자격증을 더 필요로 할 줄 알았는데, 최근에는 이미 현장에서 관제사로 근무하고 있는 사람들이 더 많이 찾는다”며 “정립된 교육에 대한 목마름이 있었다는 것이고, 관제 관련 프로젝트를 수주할 때 공공기관 등에서 제출을 요구하기 때문”이라고 설명했다. 즉, 발주자들도 관제 인력의 실력을 궁금해 하기 시작했다는 것이다.
CISSP 등을 필두로 한 국제 보안 자격증이 ‘갱신 제도’를 도입한 것도 이 때문이다. 바둑도 사람보다 잘 두고 의학적인 진단도 사람보다 낫게 하는 인공지능이 아직 어떠한 성과도 내지 못하는 정보보안 분야의 변화무쌍한 특성 때문에, 사람도 자격증을 한 번 따고 마는 게 아니라 계속해서 자격을 ‘유지’해야 한다는 개념이다. CISSP를 운영하는 (ISC)2의 클레이튼 존스(Clayton Jones) 아태지역 총괄은 “기업 차원에서 보안 인력의 자격증 갱신 여부를 확인하고 지원해줘야 한다”며 “최신 지식과 노하우를 가진 사람이 훨씬 보안 업무를 잘 하기 때문”이라고 설명한다.
마기평 팀장은 “현재 회사에서 팀장들의 재량 평가를 실시하는데, 여기에 자격증 소지(유지) 여부도 중요한 항목”이라며 보안 인력의 수준 유지에 신경 쓰고 있음을 나타냈다. “또 저희는 에스컬레이터 제도라는 게 있어서 관제실 근무를 통해 어느 정도 수준에 이르면 자기가 더 집중해서 역량을 키우보고 싶은 부서와의 협업을 가능하게 해줍니다. 멀웨어 분석에 더 집중해보고 싶다면 관련 부서에서 근무하게 해주거나 하는 식이죠.” 이는 심택수 전무도 마찬가지다. “3~4년차들은 다른 부서로 이동시킵니다. 관제가 ‘보안의 종합이다’라는 걸 활용해 개인 역량 강화의 기회로 만드는 것이죠.”
여동균 팀장 역시 “교육의 기회가 있을 때마다 자원하는 사람들을 보내긴 하는데, 사실 외부 교육이라고 할 만한 행사가 거의 없다”며 교육 지원의 어려움을 호소하기도 했다. 지철민 차장은 “KISA가 운영하는 K-Shield만 이수해도 전문성이 상당히 높아지지만, 6개월 과정이고 매우 적은 인원으로만 진행된다”고 그 한계점을 이야기했다. 롯데정보통신의 안종문 책임도 “교육 내용 중 보안 사항이 많아 외부 교육은 대부분 두루뭉술한 일반론 이상 되지 않는다”며 “그래서 내부 교육을 때 되는 대로 실시하고 있다”고 말했다.
해결의 실마리 3 : 활동 폭 넓히기
교육을 끊임없이 진행해야 하지만, 여러 제약 사항이 많아 제대로 된 교육 과정을 정립시키기 힘들다는 의견이 나오자 교육 사업을 하고 있는 공병철 이사장은 “여기 있는 실무자들만 모여 책을 집필해도 훌륭한 교육 자료가 나올 텐데...”하고 아쉬워했다. 그러면서 그는 “회사 소속이라 쉽지 않겠지만 보안 담당자들이 좀 더 활동 폭을 넓혀야 한다”고 주장했다.
“보안을 책임지는 자라면 공격 벡터를 최대한 줄이기 위해 자기 자신마저 드러내지 않는 게 미덕이었습니다. 그런데 그게 요즘에도 미덕일까요? 우리가 아무리 숨어도 이미 개인정보 다 털렸고, 공격자들이 우릴 못 찾을까요? 그리고 우리 하나 줄어드는 게 방어에 얼마나 큰 의미가 있을까요?” 동의의 웃음이 여기저기서 나왔다. “보안 관제의 위상을 높이려면 우리가 먼저 숨지 말고 나와야 합니다.”
그렇다면 어떻게 나와야 할까? 에이쓰리의 이익준 본부장은 “위상이라는 게 우리가 정하는 게 아니라, 바깥에서 우리를 어떻게 봐주느냐로 결정이 나는 것 아니겠냐”며 “우리가 우리 일 하는 걸 제대로 설명하고 보여줄 수 있어야 한다”고 주장했다. 가장 먼저 바뀌어야 할 건 보고서. “매일 ‘안전합니다. 아무 일 없습니다’라는 것만 보고하다가 사고가 나면 ‘어쩔 수 없었습니다’라고 하면 누가 관제를 믿겠습니까? 좀 더 우리의 역할을 이해하기 쉽게 알려줄 방법을 찾아야 합니다.”
공병철 이사장은 교육 현장을 꼽는다. “관제를 제대로 교육하는 고등학교나 대학교가 없습니다. 학교나 교육자들이 잘못한 게 아니라, 관제라는 게 원래 현장 경험 없이는 가르칠 수가 없는 거라서 그럽니다. 그러니까 현장 경험을 가진 실무자들이 대학도 찾고 고등학교도 찾아 기회를 만들어야 합니다.” 마기평 팀장은 “윈스는 이미 고등학교와 MOU를 맺어 현장학습도 지원하고 장비도 지원한다”고 설명했다.
심택수 전무는 목소리를 직접 내야 한다는 입장이다. “교육과 재교육을 통해 우리가 가진 인력들을 탄탄히 만들어 내실을 다져가는 것도 좋지만, 아까 말했다시피 발주기관의 후려치기 제도가 없어지지 않으면 결국 변화는 기대하기 힘들 겁니다. 결국 법이 바뀌어야 하는 부분이거든요. 정부나 정책 마련자가 현실을 파악할 수 있도록 정보를 알려주고 요청을 해야합니다.”
해결의 실마리 4 : 우리의 이름은
법 이야기가 나오자 공병철 이사장은 “보안 관제라는 용어에 대해 생각해볼 필요가 있다”고 제안했다. “보안 관제라는 산업에 대한 법이나 제도는 있습니다. 그런데 그 법문을 보면 그 산업이 어떤 기능을 해야 하는지에 대한 것은 명시되어 있는데, 아직 해당 산업 종사자, 즉 사람에 대한 내용은 전혀 없습니다. 산업만 있지, 사람은 없는 겁니다. 원래 새로운 분야가 생기면 그 분야 자체에 대한 고민이 먼저 이뤄지고, 그 다음 자리를 잡은 후에 사람에 대한 고민이 덧붙여지는 게 순서라 자연스러운 현상인데, 이 틈을 저희가 찔러보는 게 어떻겠냐는 겁니다.”
즉 ‘보안 관제’라는 말은 공식화되어 있지만 ‘보안 관제사’라는 말은 비공식 용어라는 것이다. “관제라는 말이 주는 느낌이 너무 안 좋아요. CCTV 모니터링만 주구장창 하는 사람 같죠. 저희가 하는 일과 맞지도 않을뿐더러 어감도 안 좋으니, 당연히 위상에도 좋지 않습니다. 저는 그래서 ‘침해 대응 전문가’라는 용어로 대체하는 게 어떨까 합니다. 취약점을 점검하고, 네트워크를 모니터링하고, 공격이 일어나면 분석해서 빠르게 전파하고, 그런 모든 관제실 요원의 할 일을 담아낸 표현입니다. 물론 ‘침해 대응 전문가’만이 올바른 이름이라는 게 아닙니다. 관제사나 관제 요원이라는 말을 바꿨으면 좋겠다는 거죠.”
이익준 본부장이 “결국 우리가 하는 일은 무엇이고, 관제란 무엇인가에 대한 정체성 고민이 선결되어야 한다”고 정리한다. “일이 힘들다고 가치가 높아지는 것이 아니고, 우리가 중요하다고 하지만 큰 시각에서는 아닐 수도 있지요. 어쩌면 우리가 열악하다고 하는 지금의 환경이 우리만 못 보는 우리의 가치일 수도 있고, 정말로 부당한 대우를 받는 것일 수도 있겠죠. 우리의 위상이 높아져야 한다는 게 우리만의 목소리가 아니려면, 스스로가 그런 고민을 끝내고 합리적은 답을 찾아야 합니다. 그 후에는 앞으로 나갈 방향이 쉽게 정해질 수도 있으리라고 봅니다.”
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
