[보안뉴스= 최명길 한국정보보호학회 정보보호미래정책연구회 운영위원장] ‘사고가 나야 정보보호가 산다’라는 정보보호 관계자들 사이의 울고픈 우스개가 있다. 이 우스개는 ‘소 잃고 외양간 고친다’는 격으로 사고가 정보보호에 대한 관심과 투자를 늘린다는 무의식의 표현이다. 그러면 외양간은 고쳐졌을까? 외양간이 리노베이션 되었다면, 정보보호 사고는 현저하게 감소되거나 유지되어야 하지 않을까?
[이미지=utoimage]
정보보호 사고는 항상 진행형이다. 정보보호 분야에서 관행은 신규 위협이 등장하고 나서야 비로소 대책을 수립하는 추격형 전략을 채용하고 있다. 그러면 공격자보다 앞선 대책을 수립해 정보에 대한 위협을 막는 것은 불가능할까? 정보보호의 패러다임의 변화가 필요하다.
정보보호 정책에서 연구, 산업은 추격형 전략을 채용하고 있다. 추격형 전략은 정책 수립과 예산 투자의 관점에서 효율성이 높아 생존 가능성이 높지만, 정책과 연구의 존재 목적의 관점에서 보면 유효성이 낮다. 정보보호의 중요성에 대한 인식 개선으로 정보보호 분야가 다른 분야보다 공공 투자가 높았다. 그러나 정보보호의 유효성에 대한 존재 입증이 지금과 같이 사후 대책의 성격을 띤다면 공공 부문과 민간 부문에서 성장이 정체될 것으로 보인다.
▲최명길 한국정보보호학회 정보보호미래정책연구회 운영위원장[사진=최명길 교수]
정보보호 연구는 선도형으로 변경돼야 한다. 공격자보다 먼저 위협을 인지하고, 위협에 대한 대책을 수립하자는 것이다. 정보보호 분야에서 생소한 접근 방법이다. 선도형 대책 수립은 예산과 인력에 있어서 효율성이 낮을 것으로 보이지만, 우리나라 정보보호 연구와 산업을 세계 수준으로 올릴 수 있는 계기가 될 수 있다.
선도형 대책은 정보보호의 미래 위협을 예측하고, 미래 위협에 대한 정보보호 정책 수립과 연구 전략을 수립함으로써 세계적인 일류 정보보호 제품을 만드는 패러다임이다. 이제까지 정보보호는 인프라를 구축하는 노력과 결실을 맺는데 집중했다. 그러나 이제부터 정보보호는 누구도 걸어가 본 적이 없는 정책 개발 및 연구 개발에 전념할 필요가 있다. 언제까지 선진국 수준보다 정책과 기술 수준이 낮다고 자조할 수는 없는 노릇이다.
우리나라는 척박한 현실에서 다양한 정책을 시행했고 수준 높은 기술을 개발했지만, 정보보호 산업은 여전히 도전할 분야가 많다. 정보보호 정책과 연구 개발이 추격형에서 선도형으로 패러다임이 변경된다면, 우리나라의 정보보호 수준은 세계를 선도할 수 있을 것으로 기대된다.
[글_ 최명길 한국정보보호학회 정보보호미래정책연구회 운영위원장, 중앙대 교수]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>