국정원을 컨트롤 타워로 하는 '국가 사이버전략'에 대한 대책이 발표가 되었습니다. 그중에 가장 핵심은 '사이버 보안관 3000명'을 육성하겠다는 것입니다.
관련기사: http://www.etnews.co.kr/news/detail.html?id=200909130022
역시 정보보호(보안)은 바로 우수한 인력과 연결이 되기에 '인력 양성' 은 무엇보다 정부가 정책적 의지를 가지고 진행해야 하는 부분이기도 합니다.
1. 사이버 보안관 어떻게 양성 할 것인가?
무엇이든 일단 대책이 마련이 되면 그 다음엔 방법이 문제입니다. 어떻게 3000명 인력을 양성 할 것인가? 라는 문제가 대두가 됩니다.
이번 7.7 DDoS 사고로 인한 보안대책으로 마련 된 것인만큼 이번 만큼은 숫자에 연연하기 보다 실질적인 인력 양성이 되었으면 합니다.
사실, 3000명이란 숫자가 그리 적은 숫자는 아닙니다. 연 300명씩 인력 양성을 한다고 해도 10년이 걸리는 것이며 연 1000명씩 양성을 한다고 해도 3년이 걸리는 사업입니다. 정보보호(보안) 특성상 그리 오래가져갈 사업도 아닙니다.
그냥 막연히 몇년간 3000명 인력 양성을 하겠다는 발표만 내면 자칫 숫자에 연연하며 부실한 대책이 될 가능성이 많습니다. 따라서 정부는 어떻게 양성 할 것인가에 대한 고민을 심도 있게 하여서 이번 만큼은 정보보호 강국으로 갈수 있는 내실 있는 보안 인력을 양성 하길 기대합니다.
2. 서울(수도권)만 집중된 보안 인력양성을 할 것인가?
우리는 보통 자신의 그 상대방 입장이 되어 보지 않으면 또는 체험 하지 않으면 그 입장을 이해하기란 그리 쉽지 않습니다. 따라서 사이버 보안관 3000명 양성이라는 정책은 반길만한 대책이지만 한곳에 집중이 되지 않았으면 하는 바램을 가져 봅니다.
결국, 사이버보안을 해야 하는 것은 말 그래도 전국 사이버에 대한 지킴이 역할을 해야 하고 때로는 현장에 나가서 또는 직접 방문을하여 조사 및 도움을 주어야 하는 경우도 있습니다. 하지만 현실은 모두 서울(수도권) 위주로 정부 정책이 지나치게 집중되어 진행 되는 경우가 많습니다. 이러한 경우는 결국 비율에 있어서는 조금 우위로 점하더라도 지역에도 분할하여 보안 인력을 양성하는 대책을 마련 하여야 할 것입니다.
3. 보안사고는 산불과 같아 처음엔 지역에서 발생하였으나 전국으로 번져
최근 사이버 사고는 글로벌 하게 움직이고 있고 제로데이(Zero-day) 공격이라 해서 업데이트나 패치가 나오지 않은 하루만에 공격을 할수 있는 익스플로잇이 발표 되고 있습니다. 이러한 시점에서 인력 양성 서울 집중화는 고려 해야 할 사항중에 하나입니다.
최근 신종플루에 대한 감염때문에 전국 병의료원에 '지역 거점병원'을 지정하여 따로 관리를 하고 있습니다. 사이버 방역에 대한 사이버 보안에 대한 보안관을 '지역 거점 보안관' 으로 두어야 하는 것은 자명한 것입니다.
만약, 특정 지역 한 곳에서 발생한 사이버 취약성 위협이 그 곳을 대처 할수 있는 인력이 있었더라면 쉽게 방어 할수 있는 것을 정부가 무관심하게 방치하는 동안 한쪽으로만 기울어지는 인력 공급이 될 가능성이 있습니다. 여기서 말 하는 인력이란 ? 정보보호 기술적인 부분뿐만아니라 관리적인 부분도 잘 이해하고 운영하고 감독 할수 있는 인력이 있어서 서울과 수도권과 공조하여 사이버 안전을 지켜야 하는 것을 의미 하는 것입니다.
마무리글
늘 어떠한 사고가 발생을 하면 재발 방지를 위하여 대책을 마련하게 됩니다. 하지만 어쩌면 그것은 책상에서만 앉아서 만들어내는 대책일 가능성도 많이 있기에 사이버보안관 3000명 이라는 허울좋은 명분보다는 실질적으로 각 역할과 책임을 분할하여 전담할수 있는 서울과 수도권을 비롯한 각 주요광역시의 인력 양성에도 심혈을 기울여야 할 것입니다.
그냥 붕어빵 찍어내듯이 찍어낸 3000명이 아닌 전국에 골고루 분포하여 조금은 시간적 여유를 갖더라도 제대로 된 그리고 써 먹을수 있는 그런 인력 양성을 하였으면 하는 바램으로 다음과 같이 제언해 봅니다.
사이버 보안관 3000명 인력 양성에 대한 제언
- 서울(수도권)과 지방 인력 양성 분포를 6:4 비율
- 전국 주요 광역시에 골고루 분포한 정보보호 인력 양성
- 인력 양성을 네트워크화하여 천편 일률적인 인력 양성이 아니라 스스로 발전하고 조직화 시킴
- 관리적,기술적,물리적 보안에 대한 3:5:2의 비율로 골고루 할수 있는 교육 커리큘럼
- 정보보호 교육 전담 기관 선정
- 정보보호 교육에 대한 우수한 강사진 선정
- 사이버 보안관 3000명 양성에 따른 정부의 재정적 지원 확대
- 정보보호(보안 인력) 양성 후 우수인력의 활용성 제고 (행정기관 취직이나 대기업 취업 마련 기회 제공)
그외에 더 많은 사항들이 있겠지만 무엇이든 대책 마련은 쉽지만, 실제 운영과 사후 관리가 상당히 중요 합니다. 따라서 인력 양성후에 어떻게 활용할 것인가에 대한 구체적인 대응 마련이 된다면 조금 더 실질적인 대책이 되지 않을까 생각해 봅니다. 부디 글로벌한 환경하에서 사이버 안전을 지키는 보안지킴이가 많이 탄생하길 기대해 봅니다. @엔시스.
'Lecture&Column' 카테고리의 다른 글
[칼럼-96] 침해사고(해킹) 보단 얼마나 잘 대응했느냐가 중요 (0) | 2009.09.25 |
---|---|
[기고-4] 7.7 DDoS 사태이후, 변화는 아직도 미지수 (3) | 2009.09.16 |
[칼럼-94] 정보보호 기술자 노임단가 기준없어 억울 (0) | 2009.09.02 |
[강연-7] 행안부 개인정보보호 순회 교육 강연 (0) | 2009.08.31 |
[칼럼-93] 국가공인 정보보호자격증 SIS, 체계적인 관리 허술해 (6) | 2009.08.14 |