반응형

2011년 작년 한해에는 많은 보안 사건 사고가 일어 났습니다. 이에 국가에서도 조금은 보안에 대한 중요성을 인식하지 않았나 하는 생각을 가지고 있습니다. 하지만 늘 그렇듯이 여러가지 이슈가 있고 난 이후에 일정 시간이 지나면 또 같은 사건이 재발 되는 형태는 보안사고에 있어서 고쳐야 할 점 중에 하나입니다. 보안은 100% 완벽함이 없기 때문에 불확실성은 있지만 최대한 예방과 통제를 할 수 있는 대비를 더욱 권고히 할 필요가 있겠습니다.  이에 보안인력에 대하여 한번 살펴보겠습니다.


보안사고의 지능형지속가능위협의 증가가능 높아

올 2012년에는 4월에 총선이 있고 12월19일에는 대통령선거가 있습니다.  그야 말로 선거로 인한 정치적 혼란이 일어날 수 있는 한해 중에 하나입니다. 사회가 혼란스럽고 선거철에 여러가지 정치적 이슈들이 나타나면 이에 따라 보안사건 사고 이슈가 나타날 가능성이 있습니다. 이에 대비하여 사이버 안전을 책임지는 많은 전문 인력이 필요로 하게 됩니다.

늘 사건사고가 터지고 나면 나오는 이야기는 바로 "사람에 따른 재난" 이라는 말이 뉴스에 가장 많이 나옵니다. 즉, 천재지변 보다는 사람이 통제 할수 있는 부분이지만 사람에 재난으로 인하여 사건사고가 발생하였다는 것이지요.

최근 보안사고의 경향을 보면 지능형지속가능위협(APT·Advanced Persistent Threat)으로 발전하고 있습니다. 이는 다음과 같은 절차를 통하여 공격이 됩니다.


    • 침투 - 공격자가 취약한 시스템이나 직원들을 악성코드로 감염시켜 네트워크 내부로 침투
    • 검색 - 침투한 내부시스템 및 인프라 구조에 대한 정보를 수집한후 다음 단계를 계획
    • 수집 - 보호되지 않는 시스템상의 데이터 수집 또는 시스템 운영 방해
    • 유출 - 공격자의 근거지로 데이터 전송 시스템 운영방해 또는 장비 파괴

      ▲ 시만텍 APT공격 프로세스

    출처: http://www.zdnet.co.kr/news/news_view.asp?artice_id=20120112004506&type=xml

이렇듯 보안사고도 다양화와 지능화 되고 있습니다. 이런 가운데 보안인력의 전문화와 계약직 , 전문직으로 전락하는 현상은 참 안타까운 일 중에 하나입니다.

기술은 진화하고 공격은 점점 지능화 되어 가는데 자신의 신분을 보장 받지 못하고 비정규직이나 전문직으로 혹은 프리랜서로 떠 돌면서 언제 짤릴지 모르는 신분으로는 제대로 된 보안방어를 하기 어렵다는 것입니다.


 ■  공공기관의 보안인력 문제점

1. 순환근무에 따른 잦은 인사이동

순환근무 정책에 따른 잦은 인사이동으로 업무에 대한 이해도가 낮고 기술습득 및 축적이 이루어지지 않아 전문성 결여 되는 경우가 있습니다. 업무를 지속적으로 해야  업무에 대한 이해도와 기술이 축적되는데 그렇지 못한 것이 현실입니다. 제가 작년 개인정보보호 교육시  교육 섭외 할때 담당자와 실제 교육을 위해 방문했을때 담당자가 바뀌었더군요. 그 이유는 바로 인사발령으로 업무가 바뀌어서 지금 업무 파악중이라고 하는 것을 보았습니다.

2. 정보보호 업무나 보안담당 부서 배치꺼려

보안업무의 특성상 잘 하면 기본이고 보안사고 나면 책임을 져야하는 자발적으로 원해서 업무를 하는경우는 그다지 많지 않을 것입니다. 특히 어쩌다가 보안 사건 사고가 발생하여 책임을 지게 되면 동분야에 근무하기를 기피하게 되고 심지어는 부서 이동을 하게 되겠지요. 같은 업무라도 조금은 직접적인지 않은 업무로.


3. 전산.통신직렬이 승진 오래 소요

전산.통신직렬이 행정직렬에 비해 승진 소요기간이 오래 걸리는 경우가 발생이 됩니다.  특히 정보보호분야에 대하 최신기술과 전문성 확보를 위하여 대학원 진학이나 연수등의 학습을 하여야 하지만 이보다 승진에 도움이 되는 분야로 직렬변경이나 학습과목 선택하는 경우가 많아 전문성이 결여 되고 있습니다.

4. 공공시스템 민간전문업제가 외주 하여 개발과 관리

대부분 공공기관에서 사업발주만을 하여 민간 기업에서 외주하여 개발하고 운영도 아웃소싱하여 관리하는 경우가 대부분입니다. 이러다 보니 외주업체에 의존하게 되고 개발이 제대로 되었는지 오류가 발생이 어디서 되었는지등을 전적으로 외주업체에 의존하게 됩니다. 당연히 전문성이 결여되고 사이버 위협에 제대로 대응을 하지 못하는 현상이 발생이 됩니다.


■  민간기업의 보안인력 문제점

1. 비정규직, 전문직 형태 많아

보통 보안에 관심이 있는 사람들은 보안전문회사에 취직을 할것인지 아니면 일반 기업에 보안담당부서에 취직을 할것인지에 대하여 고민을 하게 됩니다. 대부분 보안전문회사에 취직 하기를 원하는 인력이 많이 있으나 대기업이나 공공기관을 고객사로 하다보니 대부분 갑과 을에서 갑의 위치에 있는 담당부서 담당자로 선호 하는 경우도 있습니다.

하지만 대기업과 금융권 , 공공기관 대부분 비정규직과 전문직 형태로 고용하는 경우가 많아서 고용에 대한 불안정성이 많습니다.

2. 경력자나 능력인정 받아 안정된 곳으로 이탈 혹은 프리랜서

상황이 이렇다보니 자신이 조금만 경력을 쌓게 되면 조금 더 안정적인 곳으로 이동을 하게 되고 혹은 프리랜서 시장으로 나오게 됩니다. 왜냐하면 프로젝트 단위로 하는 프리랜서의 경우 일반 기업에서 받는 대우보다 자신의 몸값에 따라 움직이기 때문이죠.


■  악순환에서 선순환의 구조로 만들거나 정규직 확대로


무엇보다 어떠한 분야에서도 고용이 안정이 되어야 전문화가 나오고 이에 따른 롤모델도 나오게 됩니다. 특히 공공기관이나 금융권에서 보안인력을 채용하고자 할때 롤 모델이 되기 위하여 정규직 채용을 확대하고 보다 안정적인 기회를 제공을 해 준다면 조금 더 장기적인 안목에서 개선되어 나가지 않을까 생각이 됩니다. 처음부터 무리하게 확대 적용하기 보다는 기업 한곳에서 하나 하나씩 케이스를 만들어 가면서 그 케이스가 베스트프랙티스가 되는 사례가 되면 업계에서 벤치마킹을 하게 되고 점점 선순환의 구조로 나가지 않을까 생각이 듭니다.

다소 급하게 러프하게 적느라 조금은 밀도감 있게 적지는 못하였지만 공공기관에서도 보안담당자의 문제점을 개선하고 민간에서도 너무 안정만 추구하는 공공으로의 전문능력을 가진 인력을 이탈하지 않도록 기회제공을 하여 대한민국 보안강국으로 발전하는데 보안업무를 하는 사이버 전사들의 미래를 밝게 밝혀 주었으면 하는 바램이 듭니다.

글을 적다보니 더 할이야기와 할말이 많았는데 다른 할일때문에 급마무리 된는것에 양해 부탁드립니다. 또 기회가 있으면 다시 수정보완해 올리겠습니다. @엔시스



관련기사및 포스팅

보안뉴스
보안전문 인력 정규직 확대·보안예산 확충·보안의식 제고 등이 우선
http://www.boannews.com/media/view.asp?idx=29861&kind=0


[참고문헌]

1. 한근희.  "전자정부 정보보호관리체계 적용정책 " , 정보보호학회  2009.10
2. 지디넷코리아


,