낮은 보안컨설팅 수준...경험 많은 전문가 부족 때문

GS칼텍스를 비롯한 잇단 보안사고로 인해 보안점검에 신경 쓰는 기업이 늘고 있다. 물론 이런 보안위협은 기업만의 문제는 아니다. 국정원이 발표한 정보보호백서에 따르면 지난해 사이버침해사고 발생현황은 공공기관에서 총 7,588건이 발생, 2006년의 4,286건에 비해 약 80% 가까이 늘어났다고 전하고 있을 정도로 공공기관에서의 보안문제도 점점 커져가고 있다.

이렇게 보안문제가 커져갈수록 기업이나 공공기관은 이에 대한 대응을 강화하려는 움직임을 보이고 있지만, 그동안 보안에 신경을 못 썼는지라 어디서부터 보안점검을 시작해야할지에 대한 고민에 담당자들의 주름은 늘어만 간다.

하지만 구세주처럼 나타난 이들이 있으니, 그들은 바로 보안컨설턴트들이다. 보안컨설턴트는 기업이나 공공기관에서 보안위협에 대한 취약점을 찾고 보안 정책부터 보안 장비, 애플리케이션에 이르기까지 차근차근 상담해주며 이를 보고서로 만들어주는 일을 한다.

허나 문제는 보안담당자들의 보안컨설팅에 대한 믿음이 그리 크지 않다는 것이다. 한 기업의 보안담당자는 “사실 그동안 받았던 보안컨설팅은 특별히 대단한 게 없었고 다만 보안장비나 보안인력을 늘릴 때, 상부에 보고하기 위한 자료로 컨설팅자료를 쓰는 게 전부”라고 말하고 있기 때문이다.

물론 보안컨설팅에 만족한다고 말한 기업도 일부 있었지만 대부분의 경우 “그냥 그렇다”라고 말하거나 “기대에 미치지 못했다”라는 신랄한 평가를 내리기도 한다. 그렇다면 이와 같은 보안컨설팅의 불신은 어디서부터 오는 걸까?

이에 대한 대답을 한 공공기관의 담당자에게 들을 수 있었다. 그는 “보안컨설턴트의 수준이 기대에 못 미쳐 실망했다. 아마도 업계에서 오래 종사한 보안전문가는 아닌 것 같았다”라며 보안컨설턴트의 수준을 지적했다.

현재 우리나라는 다른 나라에 비해 보안담당자가 많이 부족한 편이다. 그동안 기업이나 공공기관에서 보안에 신경 쓰지 못했던 탓이다. 거기서 발생한 문제는 경험 많은 보안전문가는 더욱 부족한 상황을 초래했다는 것.

그러다보니 보안컨설턴트의 수준도 기대이하다. 물론 경험이 풍부한 보안컨설턴트도 더러 있지만 늘어가는 보안컨설팅에 비해 이들의 수는 매우 부족하다. 그러다보니 경험이 부족한 보안컨설턴트들이 늘고 있고 그들을 만난 보안담당자들의 실망의 눈초리도 커져가고 있다.

결론은 재미없게도 경험 많은 보안전문가를 보다 많이 양성해야 한다는 이야기로 마무리 짓겠다. 이를 위해서는 보안담당자들의 처우가 좀더 개선돼야 할 것이다. 보안담당자들은 보수에 비해 과중한 업무에 시달리고 있다. 대부분 보안담당자의 수는 기업이나 기관의 규모에 비해서 적기 때문이다. 다시 한 번 말하지만 처우가 개선돼야 경험 많은 보안 담당자들이 늘어날 것이고 여기서 전문가도 늘어날 수 있으리라 생각된다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>