반응형

 


" 이젠 정보보호(보안) 잘 하는 사람과 잘 못하는 사람은 구별 하여야 한다"


아이폰 때문에 'S/W 육성책'이라 하여 몇조씩 투입한다고 합니다. 그동안 S/W 인력들 사실 찬밥신세를 많이 졌습니다. 2000년대 초반부터 IT버블이 꺼지고 나서 IT의존도가 높음에도 불구하고 아이러니 하게 홀대를 많이 받았습니다. 지금은 공대생이 점점 줄어 들고 있는것도 이러한 현상을 반영한 것입니다.

작년에는 '사이버 보안관 3000명' 육성한다고 하였지만 2009/11/19 - [Security Policy] - 사이버보안관 3000명 인력양성, 백지화 되나?  또는 2009/09/14 - [Lecture&Comlumn] - 사이버 보안관 3000명 양성에 대한 제언 그 실효성에 의문이 들고 있습니다. 꾸준한 개선책이 필요 한 것이지요.

우린 '보안'이 중요하다,. '정보보호'가 중요하다는 것은 모두 알고 있습니다.

그런데 왜 인터넷침해사고는 자꾸 일어나고 있을까요? 이제는 엔드유저쪽 보안에도 상당한 관심을 기울여야 할때입니다.
 즉, 일반인들의 보안 마인드가 향상이 되어야 합니다. 정말 보안과 정보보호가 중요하다는 것을 스스로 깨우쳐야 하는데 현실은 한계가 있기 마련입니다.

그것이 지금까지 이어온 보안에 대한 방식이었습니다. 보안은 그쪽에 근무하는 사람이나 관심있는 사람이나 하는 것이지 일반 사람들과 상관이 없다고  하는데에서 기인한다고 생각을 합니다.

이제는 바꾸어야 합니다. 말로만 하는 보안, 정보보호가 아닌 실제 실천 할수 있도록 기틀을 잡아 주어야 한다고 생각합니다. 그렇할수 있도록 유도를 해야한다고 생각합니다.

그렇지 않고 무조건 채찍만 가하면서 "PC좀비법(가칭)" 같은 것으로 아무리 규제를 해도 안됩니다. 우린 무엇이든 스스로 자기 필요성에 의해서 스스로 하게끔 당근을 주어야 합니다. 그것이 가장 효율적입니다.

어떻게 하면 일반인들에 '정보보호' '보안' 에 대한 인식 고취를 시킬수 있을까요? 나름 개인적인 생각을 제안해 봅니다.

  • 초,중고 정보보호와 윤리 교육 - 며칠전 기사에 중고등학교 기술과 가정시간에 보안교육 내용이 들어 갔다고 하였습니다. 조금 늦은감은 있지만 아직 그것으로 부족합니다. 과연 교과서에 몇십장 종이에 글이 들어 갔다고 해서 정보보호 교육이 잘 될수 있을까요? 또한 정보보호를 교육할 준비가 된 기술,가정 교사가 얼마나 될까요? 조금더 체계적이고 실질적인 교육을 위한 제언입니다.
    • 정보보호,보안 전공 교사 우선채용
    • 기술,가정 교사 방학을 이용한 보안,정보보호교육 필수 이수 (년 2회 이상 교육실시)
    • 담당 교사 정보보호,보안 자격증 취득 필수

 

  • 일반인 보안교육시 인센티브제도 - 제대로 된 국가지정 교육기관에서 교육 이수시에 일반인에게도 인센티브를 제공해 주는 것입니다. 예를들면

 

      • 공무원 시험시 가점부여
      • 공기업,공공기관 면접시 가점부여
      • 창업시 가점부여
      • 벤쳐인증시 가점부여
      • 이노비즈 인증시 가점부여
      • 대학교 관련 정보보호학과 진학시 가점부여
      • 민간기업 정보보호관련, 정보보호업체 지원시 가점부여등등
      • 조금 더 욕심을 낸다면 각종 세금에서 일정부분 할인혜택등



너무 황당할까요? 실현 불가능 할까요? 하지만 때로는 일반인들이 보안인식제고를 위한 조금은 채찍과 당근이 주어져야 한다고 생각합니다.

이제는 보안마인드와 정보보호 마인드가 있는 일반인과 아닌 일반인들의 구별을 두어야 할 것입니다. 그렇지 않고서는 절대 보안에 대한 인식을 높아지지 않습니다. 똑 같은 일을 지속적으로 반복 할 뿐이죠. 극단적으로 생각해보면  보안을 잘 지키는 사람과 그렇지 않고 아무렇게나 생각하는 사람이 추후 조직적으로나 사회적으로 불러올 비용을 생각해 보면 분명히 차별은 되어야 한다고 생각합니다. 그런 의미에서 일반인 보안인센티브제도는 어떤식으로든 보안에 대한 여러가지 기준을 만족하였을때 차별성을 두어야 할 것입니다. 그것이 추후 사회적 비용을 줄일수 있는 밑거름이 될 것입니다.

그럼 일반인들 보안 충족 기준이 필요할 것입니다. 누가 판단하고 누가 보안에 대한 기준을 잘지키는지 보안마인드가 철저한지를 규명하는 일이 쉽지 않을 것입니다.

그런측면에서 다음과 같이 2가지 방법을 제안합니다.

  • 일반인측면
    • 정보보호관련 업체 근무자
    • 정보보보호 담당자
    • 정보보호 자격증 소지자 (일반인 보안관련 자격증 소지자 포함)
    • 정보보호 전공자
    • 자신의 PC에 백신과 운영체제 기본 방화벽 설치 운영하는 자
      • 일반 PC 사용자 대상으로 몇가지 가장 기본적인 PC체크리스트 기준을 만족하는 자
      • 이러한 사항을 패스하면 증빙해 줄수 있는 시스템에서 인증 받은자

 

  • 기업,공공기관적인 측면
    • 안전진단 수행 기업과 공공기관
    • 정보보호관리체계를 인증 받은 기업과 공공기관
    • 개인정보보호관리체계를 수립한 기업과 기관
    • 개인영향평가를 수행한 기업과 기관
    • 보안성평가를 수행한 공공기관
    • 기타등등


일방적으로 보안이 중요하다. 보안에 대한 마인드를 갖자라고 아무리 이야기 해도 메아리가 될수 있습니다. 이런 차원이라면 조금은 실질적으로 보안을 함으로 어떠한 혜택이 개인에게 있는지에 대한 행동 규범과 원칙을 체험적으로 느낄수 있는 방안을 제시해 주면 더 효과적이지 않을까요?  규제를 위한 규제를 하자는 것은 아닙니다.

보안 마인드가 되었을때와 보안마인드가 되지 않았을때 추후 불러올 사회적 비용을 연구하고 이를 대응하고 일반인들에게 어떻게 하면 보안에 대한 중요성을 알수 있는가에 대한 고민에 기초한 개인적인 생각입니다. 이러한 연구가 되지 않고서는 분명히 말씀 드릴수 있지만 사고 터지면 막고, 반짝하고 또 터지면 언론 대서특필하고 사후약방문식으로 처리되고 계속지속적으로 되풀이 되는 일만 반복이 될 것입니다. 그것은 곧 사이버전과 연관이 되겠지요.

  이젠 정보보호(보안)이 곧 국력입니다. @엔시스.


,