반응형

필자는 두렵다. 그것은 또 '보안'이라는 것이 '정보보호'라는 것이 사람들 관심에서 사라질것이라는 것 때문이다. 그럼 현실을 냉정하게 바라보고 미래에 대응할수 있는 방법에 대하여 살펴보도록 하자.

국내에서도 보안전문가들이 많이 있다.  실무에서 여러가지 체험을 하면서 노력하는 분들도 있고 학계에서 선도하시는 분들 그리고 이제 막 이러한 이슈가 터질때마다 국민적 이슈로 부상을 하기에 미래 장미빛 청사진을 가지고 이제 막 공부를 시작하는 분들도 있다. 필자는 커뮤니티를 운영하면서 이러한 질문을 상당히 많이 받는다. 어떻게 하면 보안전문가가 될수 있는지..과연 필자가 그런 답을 할만한 위치에 있는지 또는 그런 정도에 실력은 보유하고 있는지..하지만 늘 그런 고민을 하면서 필자라도 그렇게 하지 않으면 아무도 하지 않을꺼 같아 비록 부족하고 그릇도 안되지만 필자 역량에 맞게 조언을 해 준다. 이제 보안에 대한 시각을 바로 가져 보도록 하기 위한 몇가지 제언을 해 보고자 한다.

1. CEO가 보안에 관심을 가지고 실천을 해야

이러한 몸소 실천을 제일 잘 하고 있는 분이 바로 안랩의 김홍선 대표이다. '김홍선의 IT와세상' 을 통하여 보안 1세대 답게 '소통'을 하고 있는 것이다. 김대표는 보안업계에서 잔뼈가 굵었기 때문에 무엇보다 보안 현실에 대하여 잘 알고 있다. 그러한 사항을 블로그를 통하여 솔직하게 소통을 하고 있는 것이다. 실로 진실되어 보인다. 자신의 얼굴을 걸고 이야기 하는 것이기에 다른 말을 할수 없는 것이다,. 그것은 필자가 블로그 메인에 얼굴을 걸고 하는 것이나 마찬가지일 것이다. 최근 화제가 된 글 몇개를 링크걸어 보겠다.
안철수연구소 CEO가 바라 본 DDoS 대란 (1)
안철수연구소 CEO가 바라본 DDoS 대란 (2) : DDoS 공격의 성격
3D 업무에 한숨짓는 보안인력의 현실 : 안철수연구소 CEO가 바라본 DDoS 대란 (3)

물론 국내에서 보안을 대표하는 안랩 CEO라서 그런게 아니라 그런 솔직한 마인드를 가지는게 중요한 것이다. 스스로 현실을 냉철하게 분석하게 이야기 할 사람이 몇이나 되겠는가? 그것도 국내 보안 대표CEO가.

대통령도 보안에 관심을 가져야 하고 조직에 장도 보안에 대하여 관심을 가져야 한다. 모르면 전문가의 조언을 들어서라도 들어야 한다.  조직의 장이 보안에 관심이 없으면 결국 스스로 자멸하는 길임을 꼭 기억을 하여야 한다.

국내에서 일어나는 사건사고는 국내에서 어느정도 대한민국 국민으로 해결을 하면된다.하지만 국내 보안의식과 정보보호수준이 후진국이라서 미국이라든지 해외 나라로부터 사이트를 차단을 당하거나 미리 국내에서 차단을( 2009/07/16 - [Security Skill&Trend] - KISA, 어도비(adobe)社 웹사이트 일방적 차단 논란 )하게 된다면 이 얼마나 민망하고 얼굴 부끄러운 일인가? 세계12-13하는 경제국가가..이젠 정말 정신 차리자.

2.  법과 제도가 정비가 안되면 처벌할 법적근거가 없어

법에 대한 정비와 제도 운영도 미흡하긴 마찬가지이다. 이번엔 DDoS공격 때문에 이런저런 말들이 많았지만 지난해에는 개인정보보호 유출때문일때도 말이 많았다. 그때에도 사회적 이슈가되었지만 결국 처벌할 법적근거를 마련하지 못해 불기소처분이 되었다. 이렇듯 그때만 반짝하는 것은 이젠 일상화가 되어 버렸다. 17대 국회에서 '개인정보보호법'이 통과가 되지 못하였고 18대 국회에서도 '개인정보보호법'도 그 진척이 미진한 것 같다.  그러다가 이번에 DDoS공격을 당하고 나니 갑자기 예산을 200억편성을 하여 긴급 지원하겠다고 한다.  또한 '정보통신망 이용촉진 및 정보보호에 관한 법률 (일명 -망법)'의 개정에도 관심이 없는가 보다. 오죽하면 이런 광고도 냈을까 싶다. 2009/07/09 - [Security Skill&Trend] - '정보보호' 얼마나 급했으면 이런 광고까지.


3.  보안인력 양성과 개인들의 정보보호 인식제고에 힘써야

보안인력을 붕어빵처럼 찍어내라는 소리가 아니다. 우리나라는 '해커'라는 용어에 대해서는 관대하지 못하다. '해커'라고 하면 우선 왜곡된 시각으로 보고 사건이 터지고나면 이런 저런 대안을 봇물처럼 쏟아내곤한다. 여러가지 노력은 하고 있지만 아직까지 미흡한 것은 사실이다. 이러한 부분에 있어서 좋은 조언을 해 준 기사가 있어서 링크를 건다. http://www.boannews.com/media/view.asp?idx=17136&kind=0
요약을 해본다면
  • 부처별 정보보호과 신설
  • 청와대 국가사이버 총괄 코디네이터 필요
  • 국내 대학교에 정보보호학과 신설

민간이 아무리 주도적으로 하여도 국가기관에서 정책적으로 이루어지지 않으면 결국 스스로 포기하게 된다. 그것은 많은 수의 국내 대학에 '사이버경찰과'나 '정보보호학과'를 개설 하였다가 제대로 지원이 되지 않아 결국 학과를 통폐합 하는 경우도 있었다.  이러한 사항은 2009/04/29 - [Security Data] - 2008 정보보호 실태조사, 개인편 2009/04/29 - [Security Data] - 2008년 정보보호 실태조사, 기업편 에서도 알수 있으며 기업에 대한 현황은 2009/03/10 - [Security Statistics] - 2008 매출로 분석한 정보보호산업 현황 을 참고 하면 되겠다.


정보보호가 정보처리만도 못하는 현실은?  이젠 '처리'보단 '보호'를 해야 할때

흔히 우리는 전문가라고 한다면 관련 분야에 오랜동안 업무를 해오거나 전문가 반열에 올라서 관련 '자격증'을 취득 하였을때 인정을 한다. 늘 자격증이야기가 나오면 같이 등장하는것이 자격증 유무론에 대한 이야기인데 '자격증'이 있다고 해서 반드시 전문가는 아니다. 하지만 그 보안의 지식을 가늠하는 척도가 되거나 자격증 공부를 하면서 이론적 공부를 하게 되는 것이다. 그런 관점에서 본다면 다음과 같은 점을 개선 하였으면 한다.

  • 정보처리 - 국가기술자격증으로 노동부 산하 한국산업인력공단에서 관리를 하며 국가공공기관이나 지자체 각종 공무원시험과 공공기관 진출이나 통신업무를 하고 있는 것에 경력관련 척도로 사용이 되고 있어 해마다 많은 사람들이 시험에 응시를 하고 있다.  이것은 초창기 컴퓨터와 인터넷이 등장하면서 '정보'를 생산해 내기 위한 목적과 처리 하는 과정을 이해하기 위하여 마련된 자격증이라 생각을 한다. 하지만 지금은 '정보의 처리'는 물론이고 '보호'까지 해야 하는 시대로 발전이 되었다.  지금 집집마다 컴퓨터 보급이 되고 초고속 인터넷이 보급 된 만큼 '정보를 처리'하지 못하는 사람은  많지 않다. 각종 게임과 인터넷이 익숙한 학생들은 오피스와 워드를 쉽게 접하고 활용하는 것이다.
  • 정보보호 - 이젠 '정보를 처리'를 하는것도 중요하지만 '정보를 보호'하는 일이 더 크게 되었다. 누구나 정보를 생산,가공,처리,폐기를 할수 있는 능력을 가지고 있다. 하지만 그런 소중한 정보를 '보호'하는 데에는 아직도 인색하고 귀찮은 일로 생각을 한다. 이러한 부분을 일정한 자격제도로 운영을 하여 국가 기술로 인정을 해 주어야 한다.
  • SIS 국가기술자격 승격화 - 필자는 늘 이러한 부분을 제안하고 요청해 오고 있다. 또한 이러한 사항은 2009/01/18 - [Security Policy] - 지경부, 보안산업 강화를 위한 중기 계획 어떻게 이끌어 갈 것인가?  2009/05/09 - [Security Policy] - 공공·민간의 정보보호 종합대책 발표 - 2008.7.22
    에서 정부주도로 SIS 자격증을 국가기술 자격증으로 만들겠다고 발표를 하였다. 이제는 조금 더 앞당겨 이러한 분위기가 무르익었을때 논의를 해서 집행을 해야한다. 그것은 이러한 분위기가 사라지면 또 그 시점에 이슈에 밀려 흐지부지 되는것은 자명한 일이고 또 그렇게 되어 왔다. 하지만 이번만은 꼭 이루어지길 제안한다. 한 언론에 따르면 SIS자격증을 국가기술자격증으로 승격하려면 '노동부'소관이라 부처간 협조가 이루어져야 한다고 한다. 하지만 빨리 움직이길 바랄뿐이다. 그렇지 않으면 다음엔 또 관련부처가 DDoS공격을 당하거나 담당자가 문책을 당할 수도 있는 것이다.

SIS자격증이 국가기술자격증이 된다면

SIS자격증이 국가기술자격증이 되면 인센티브가 많이 부여가 될것이다., 우선 공무원 시험에 가점을 부여를 하고 그러면 많은 사람들이 자격증을 취득을 하게 되고 그러한 자격증이 있는 인력을 각 부처에 우선 배치하고 정보보호에 대한 업무를 담당하게 된다.  기존에 있던 공공에 대한 인력은 이러한 자격증을 취득 함으로 인하여 정보보호에 대한 인식도 높이고 승진 가점을 주어 '정보를 보호' 한다는 것이 얼마나 중요한 것인지를 같이 인식하게 만드는 선순환 구조를 만드는 것이다.

이러한 현상은 자연히 민간으로 가게 되어 각종 프로젝트시에 입찰 할땐 국가기술 자격증인 SIS 자격증 소지자를 기본 기준으로 하면 각 기업은 또한 이러한 공급을 위하여 정보보호 인력을 수요하게 된다.

 
4.  국정원이나 KISA는 블로그를 운영하여 '발빠른 소통'을 해야

각 정부 기관에서는 지금 블로그를 운영을 하고 있다. 하지만 아직까지 본질을 이해하면서 운영하기엔 많은 부분이 미흡하다. 이번 DDoS 공격 당시에도 민간 기업에 근무하는 연구원들이 자신의 블로그에 자세히 분석해서 기록 함으로 인하여 빠른 상황 전파를 할 수 있었다. 이렇듯 방통위에서 '두루누리'를 운영하고 있지만 아무런 반응이 없었고, 국정원에서도 그렇고, 사실, 공격에 대응하기 바쁘기 때문에 이러한 부분을 신경쓸 겨를이 없었겠지만 중요한 것은 쓰고 안쓰고를 이야기 하는 것이 아니라 그렇게 국민들에게 알려줄수 있는 '소통'의 공간이 없다는 것이다. 이러한 사항을 홈페이지 메인을 수시로 장식하면서 올리는 일도 사실 부담스러운 일이다.

따라서 가볍게 소통할수 있는 도구을 활용해 주고 '대국민요령'을 어떻게 대처해 주어야 하는지를 먼저 알려 줄수 있는 것이 공공기관이 할 일이고 대응해야 하는 것이다. 그래서 힘든 것이다. 국민은 내부 사정은 잘 모른다. 그냥 결과만 가지고 이야기 할 뿐이다. 그렇기 때문에 컨트롤 타워가 없었네 어떻네 이야기를 하는 것이다. 결국 고생은 고생대로 했지만 인정을 받지 못하는 것은 국민이 어떻게 대응하고 대처했는지를 모르기 떄문이다. 실시간으로 일어나는 일을 하나씩 알려 주면서 '위기관리'에 대처를 했다면 지금처럼 이야기 하지는 않을 것이다.

5. 국민 개개인도 제발 보안에 대한 인식을 가지길.

조직에서 일하던 사람도 집으로 돌아오면 하나의 '개인'이요. '국민'인 것이다. 개개인의 보안마인드가 되어있다면 조직에서도 잘 행동하고 실천하는 것이지만 그렇지 않으면 결국 조직이든 집이든 개인의 마인드 문제이다. 따라서 대 국민 보안의식 계몽을 위하여 필자가 나름대로 제안을 해 본다.

  • 매주 수요일은 최신 백신으로 내PC 점검 하는 날
  • 매달 15일은 운영체제 및 어플리케이션 업데이트 하는 날
  • 각 조직에서는 업데이트가 되지 않은 PC는 업데이트 후에 인터넷 접속 유도
  • 각 ISP에서 업데이트 되지 않은 PC에는 경고문을 보내어 업데이트를 유도
  • 대 국민 홍보를 각 방송과 언론을 통하여 계몽 운동을 할 것. (정보보호 홍보대사 활용)
  • 보안 솔루션 도입시 세제 감면과 각종 인센티브 제공
  • 패치와 업데이트, 백신으로 점검을 하면 인센티브 제공 (각종 보험료 20% 할인 -부족분은 정부에서 대납, 유명음식점,영화 관람권 20% 할인) - 안해서 그렇지 국민을 유도 하는 방법은 많음 이렇게 해서라도 대 국민 계몽을 펼치지 않으면 몇달 지나면 또 사람들 기억속에서 사라지는 보안의식.

 

마무리글

지금까지 3회에 걸쳐서 이번 7.7 DDoS 사태에 대하여 필자가 생각하는 것을 가감없이 한번 포스팅 해 보았다. 아는 이야기도 있고, 다소 황당한 제안일수도 있겠지만 누군가가 자꾸 이야기하고 공감하고 실천해 나가지 않으면 절대 이루어질수 없는 부분이기에 다소 무리를 해 보았다.  이글을 적는데에만에도 주말을 다 보냈다. 그만큼 필자는 마음이 절실한 것이다. 보안 업계가 힘들다고 외면하지 말고, 그렇다고 이제 막 입문 하고자 하는 사람들에게 미래의 청사진만 제시 하지도 말고 힘들지만 어렵지만 희망의 끈을 놓지 않고 한번 제대로 대한 민국이 '정보보호 후진국'이 아닌 '보안 선진국'으로 바꾸어 보고 싶다.  그리고 충분히 그럴 가능성도 있고 할 수도 있다. 다만 하지 않아서 못할 뿐이다.

다시 한번 부탁하건데 그냥 그들 만의 외침이라 절대 생각하지 말고 '내 건강 내가 지키듯이' '내 정도 내가 지킨다'는 마음으로 꼭 이글을 읽는 이들에게 부탁하고자 한다. 이제는 모르면 그냥 있는 것이 아니라 주변에 전문가에게 조언을 구하여 꼭 안전한 IT세상 만들기에 동참해 주었으면 하는 바램을 가져 본다. 필자가 알고 있는 말 중에 가슴에 와 닿는 말이 있어 마지막으로 적으면서 이 포스팅을 마감 하고자 한다.

아인슈타인은 이런 말을 했다고 한다. 개인적으로 가장 좋아 하는 말이기도 한다.

"같은 행동을 반복하고도 다른 결과를 원하고자 하는 사람은 정신병자나 마찬가지이다"

같은 사건사고를 되풀이 하지 않길 바라면서 이 글을 맺고자 한다.  @엔시스.

관련포스팅

 7.7 DDoS 사태가 남겨 준 교훈(1) -무엇이 문제일까?
 7.7 DDoS 사태가 남겨 준 교훈(2) -사이버 조폭 DDoS


,