• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[특별좌담회]"한국 보안, 벤치마킹이 필요하다" 2009.11.02

보안정책, 정부주도 벗어나 자율적 시스템 마련해야


지난 10월 30일 한국정보보호학회 세미나실에서 보안뉴스 보안연구센터(센터장 임채호) 주최로 10여명의 국내 보안전문가들이 모여 ‘한국 보안, 벤치마킹이 필요하다’라는 주제로 국내 보안 환경 개선에 대한 특별좌담회가 진행됐다.


이날 주제발표는 박춘식 서울여대 교수와 임채호 보안뉴스 보안연구센터장이 맡았으며, 각각 “미국의 정보보호정책과 시사점” 그리고 “대한민국 보안, 미국과의 벤치마킹이 필요하다”라는 주제로 발표를 했다. 이후 자유토론에서는 한국이 미국 등 선진국의 보안정책에 대한 벤치마킹이 필요하다는 주제로 토론이 진행됐다. 

 

 ▲ 10월 30일 개최된 특별좌담회에서는 10여명의 국내 보안 전문가들이 참여해 열띤 토론을 벌였다. ⓒ보안뉴스

 

특별좌담회 패널

임채호 보안뉴스 보안연구센터장

박춘식 서울여자대학교 교수

김기영 ETRI 책임연구원

변진석 시만텍코리아 대표이사

방인구 안철수연구소 상무

박종섭 이베이옥션 정보보안팀 부장

최동근 롯데정보통신 SI부문 본부장

오익균 리아이티 기술연구소장

이상용 한국MS 보안담당 부장

최상명 하우리 연구원

 

"한국, 보안 관련 법...너무 자세히 만들려 한다"

변진석 시만텍코리아 대표는 “한국은 보안관련 법을 너무 자세하게 만들려고 한다”고 지적했다. 그는 “한국의 경우, 개인정보 노출에 대한 대응방법으로 이런 저런 기술로 암호화하라는 등 직접적인 지적을 하지만, 미국은 예를들어 해킹이 이뤄졌다는 사실을 공개하지 않으면 강력한 법적 패널티를 적용하는 등 의무를 부여하는 방향으로 정책을 만들지 어떤 방법이나 기술을 사용하라고 강제하지는 않는다”고 덧붙였다.

▲박종섭 이베이옥션 정보보안팀 부장    ⓒ보안뉴스

박종섭 이베이옥션 정보보안팀 부장 역시 “국내에는 법이 너무 구체적이라는 부분에는 공감한다”면서 “대부분 국가가 민간에 개입하는 것을 지양하고 있지만 국내는 이런 부분에 대한 개입이 적지 않다”고 동조했다.

보안문제, "IT분야에만 국한되는것 아니다"

최동근 롯데정보통신 본부장은 인식을 바꾸는 것이 우선이라고 주장했다. 그는 “우리나라 보안 역사는 길게 잡아도 10년이다. 미국은 정보시스템이 출발하면서 보안도 함께 출발했지만, 한국은 정보화가 추진된 후 인터넷이 활성화 되면서 보안에 대한 이야기가 시작됐기 때문이다. 게다가 정부의 입장에서는 보안을 이야기 할 때 눈에 보이는 것으로 표현하다보니 방화벽이나 IPS, 암호화 등으로 표현하고 있다. 우선 보안에 대한 인식이 먼저 해결돼야할 문제다. IT에 있는 사람도 보안에 대한 인식이 없는 상황에서 비(非) IT에 있는 사람들에게 투철한 보안의식을 기대하기는 무리”라고 지적했다.

 

  ▲최동근 롯데정보통신 본부장      ⓒ보안뉴스

이어 최 본부장은 보안 자체가 IT에 국한돼 있다는 점도 지적했다. 그는 “정부는 7.7 DDoS 공격을 보안장비의 문제라고 생각하는지 모르겠다. 대국민 인식재고 차원에서 이 사건을 이야기 해야 하는데, 이런 사건이 일어나면 방통위와 같은 관련 부서에만 적용되는 것처럼 이야기를 한다.

 

보안은 IT뿐만 아니라 비IT에서도 논의가 필요하다. 악성 해커들이 돈을 벌기 위해 나쁜 일을 한다면 법적인 처벌부터 생각하는 데, 사실 어릴 때부터 보안을 교육하지 않은 것이 문제라는 것을 잊고 있다. 이런 좌담회자리에서도 보안 전문가들만 모아놓고 이야기 하는데 교육이나 문화 등 여러 분야 전문가들과도 논의해야 한다. 즉, 정보보호는 정보보호 부서만 중요한 것이 아니다”라고 강조했다. 


 ▲방인구 안철수연구소 상무          ⓒ보안뉴스

방인구 안철수연구소 상무는 일본을 사례로 들어 자발적인 보안 실천의지를 다지는 것이 중요하고 시스템이 이를 뒷받침해야 한다고 주장했다.

 

그는 “2년 전 일본 기업들의 보안환경을 벤치마킹하기 위해 다녀온 경험이 있다. 일본 글로벌 기업의 경우, 우리나라처럼 보안서약서를 읽고 난 후 강제적으로 서명하라고 강요하지 않는다. 일단 철저한 보안교육을 하고난 후, 자발적으로 서명할 수 있도록 하고 있다. 그 다음이 시스템 보안이다. 가령 그 기업의 경우, 씬클라이언트를 적용해 데이터를 중앙관리하고 있는데, 이는 만약의 경우 직원이 유혹이나 실수를 통해 보안 허점을 보일 수 있기 때문이라고 한다”고 설명했다.


완벽한 보안 가능하다고 생각하는 것이 문제

 ▲이상용 MS 부장 ⓒ보안뉴스

보안에 대한 인식 전환이 필요하다는 의견은 참여한 패널들이 모두 공감하는 분위기였다. 보안은 기술적인 부분만으로는 해결할 수 있는 한계가 있다는 것.

 

이상용 한국마이크로소프트 부장은 “일단 완벽한 보안이 가능하다고 생각하는 것이 문제일 수 있다. 이런 생각 때문에 우리나라는 법이 모든 것을 정해놓고 준수를 요구하지만, 외국의 경우에는 법은 직접적인 책임을 주는 것을 원칙으로 한다”며 “사실 100%의 완벽한 보안은 불가능하다고 봐야하며 현실적으로 80% 정도가 보안을 지킬 수 있는 한계라고 봤을 때, 기업들은 80%의 보안을 위해 많은 노력을 한다. 표면상으로 80%의 보안으로 문제가 없었다고 해도 20%를 위해 기업 내부적으로 스스로 지켜야 할 가이드라인을 만들고 특히 보안교육에 많은 투자가 필요하다. 어떻게 보면 이런 부분이 기술적인 부분보다 중요하다”고 주장했다.


이에 대해 최동근 본부장은 “보안을 하는 사람들도 반성을 많이 해야 한다”고 말했다. 그는 “보안업체들이 방화벽만 설치하면 모든 보안 문제가 해결 된다고 했던 적이 있다. 하지만 1년 후에는 IPS를 추가해야한다고 하고 그후에 수도 없이 많은 보안 솔루션들이 등장해 신뢰를 주지 못했다”고 말했다. 당장 제품을 팔기위해 보안을 너무 쉽게 이야기 했다는 지적이다. 물론 비IT 사람들이 IT를 잘 몰라 이해하는 것이 달랐던 부분도 있지만, CIO 입장에서 본다면 같은 이야기를 계속 듣기 때문에 설득력이 떨어진다는 이유에서다. 그는 보안의 의미를 제대로 전달하지 못했던 것에 대해 보안업체들이 반성할 필요가 있다고 역설했다.


법은 자율적으로 보안을 지킬 수 있도록 해야

▲ 변진석 시만텍 코리아 대표          ⓒ보안뉴스

이어 보안에 대해 자율적인 노력이 필요하다는 주장이 제기 됐다. 보안을 누군가의 명령에 의지하지 않고 자율적으로 지킬 수밖에 없도록 만드는 시스템이 필요하다는 것.

 

변진석 대표는 “중요한 것은 자율적으로 노력하도록 만들어야한다. 모 국내 대기업의 경우, 개인정보 유출 사건이 발생했을 때 회장까지 나서 신경을 썼다고 전해지고 있다. 이유는 기업의 이미지에 큰 타격을 줄 수 있다고 판단했기 때문이다. 그런데 정부는 암호화가 답인 것처럼 말하고 법으로 규정하려고 한다. 그렇다면 암호화 다음엔 뭔가? 법은 기술적인 부분보다 자율적으로 보안을 유지할 수 있도록 체계를 마련하는 것이 중요하다”고 주장했다. 보안의 법제화가 기술적인 부분 보다는 민간 스스로 보안을 지킬 수 있도록 강한 의무를 부여하는 것이 더욱 효율적이라는 이야기다.


보안정책, 민간 목소리에도 귀 기울여야 

 ▲오익균 리아이티 기술연구소장     ⓒ보안뉴스

정부 주도적인 정책에서 민간부분으로 초점이 바뀌어야한다는 주장도 제기됐다. 오익균 리아이티 기술연구소장은 “국내에서 보안이라고 하면 정부 주도였고 정부가 가이드라인이나 법을 만들어왔다. 보안 업체도 살리고 죽이고, 제도나 인증도 주도하고 있다. KISA(한국인터넷진흥원)를 포함한 전문가 집단이 상당수 정부에 모여있다. 이렇게 정부가 주도로 하면 강하게 보안정책을 운영할 수 있다는 장점은 있지만, 민간의 목소리를 무시할 수 있다는 단점도 있다”고 말했다.


그리고 그는 “민간 부분에서 보안 강화를 위해 더 많은 시큐리티 베스트 프랙티스(Best practice) 정보를 서로 공유하는 것이 중요하다. 하지만 베스트 프랙티스 정보를 알려주는 곳이 없다. 중소기업들은 정보보호 컨설팅을 지정업체에게만 받으려하니 비용도 만만치 않다. 민간을 위한 교육 콘텐츠도 많이 나와야할 것으로 보인다”고 주장했다. 덧붙여 그는 “언더그라운드 보안전문가들이 설 곳을 찾아주는 것도 필요하다”면서 “정부나 벤더, 컨설팅업체에도 보안전문가들이 몰려있긴 하지만 언더그라운드 해커를 받아들이는 데는 한계가 있기 때문에 이들의 방향을 설정해주면서 역할을 찾을 수 있도록 하는 노력도 필요하다”고 역설했다.


▲최상명 하우리 연구원 ⓒ보안뉴스

최상명 하우리 연구원은 “7.7 DDoS 사건만 봐도 정부에서 숨기는 것이 많다고 본다. DDoS의 악성코드가 어디에서 감염됐는지 어떤 웹하드 회사였는지 밝히지 않았다. 이를 밝혀 치료를 하라고 하지 않고 덮어주고 업체를 보호하려고 했다. 정부가 너무 숨기는 것이 아닌가 생각했다” 며 "보안은 정보를 공유하는 가운데 발전할 수 있다"고 강조했다.


방인구 상무는 “민간에 포커스를 맞추는 것이 공공의 보안을 줄이자는 것이 아니다. 다만 정부가 하는 것을 객관적으로 평가해서 견제하는 역할도 필요하다는 것. 민간에 포커스를 맞추는 것은 공공에서도 여러 사례를 어필을 할 수 있을 것으로 보인다.

 

민간 주도의 ┖통계┖작업...보안 발전에 유익

  ▲김기영 ETRI 책임연구원          ⓒ보안뉴스

자율적인 제재나 민간 주도형 보안 환경을 위해서는 기업이나 공공기관들의 내부보안 정책에 대한 지표가 필요하다는 의견도 제기됐다. 특히 참석한 패널들은 일단 보안에 대한 제대로 된 통계가 필요하다는데 의견이 모아졌다. 물론 외국에서 나오는 자료는 많지만 국내 환경에서 살펴볼 수 있는 통계자료는 찾아보기 힘들다는 것.


최동근 본부장은 “일단 제대로 된 통계를 찾기가 힘들다는 생각이 든다”면서 “제대로 된 통계를 바  탕으로 기업군에 따라서 정보보안 가이드를 주면 실효성이 있을 것”이라고 말했다.


오익균 연구소장은 “보안 리포트가 대부분 정부에서 나온다. 따라서 색깔을 입히는 경우도 있어 민간이 보는 시각과 다르다”고 주장했다. 


김기영 ETRI 책임연구원은 “정부부처별 혹은 기업별 보안예산 규모와 어떤 부분에 더욱 투자를 해야하는지 정확한 통계수치가 나올 수 있다면 보안발전을 위해 유용한 정보가 될 것이다. 외국과 비교했을 때 상대적으로 취약한 상황이라는 리포트를 봤다. 어느 정도 기준에는 도달 할 수 있도록 노력해야 한다. 정확한 통계를 통해 한국의 정보보안이 한층 발전할 수 있을 것이라고 생각한다”고 말했다.

[오병민 기자(boan4@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>