한국 보안, ‘C’학점 수준...사고 대응능력·법·정책·전문가 부족

최근 눈에 들어오는 책이 한권 있어 읽어봤습니다. <부처를 쏴라!>

모든 사람은 완벽하지 않습니다. 그런데 누군가가 나는 부처라고 한다면 당연히 부처가 아니므로 쏴 버려야 한다는 뜻입니다. 부처가 되기 위해 노력하는 사람은 있을 수 있지만, 부처가 될 순 없지요. 사람은 누구나 불완전하므로 완벽을 위해 노력하는 자세가 중요합니다.

대한민국 보안이 변화해야 한다고 부르짖었지만 자칭 보안전문가, 보안관련 교수, 보안 담당자 제 각각 따로 변화한다는 것이 옳을까요? 과연 잘 될까요? 한 사람이 아닌 많은 이들이 다 함께 고쳐야 할 방향을 잡고 함께 노력해야 하지 않을까요? 보안을 하는 부서가 많아져도 인력과 예산이 증가해도 왜 국민들은 불안할까요? 왜 계속해서 사이버범죄가 줄지 않을까요? 왜 인터넷 뱅킹을 100% 신뢰할 수 없을까요?

보안뉴스에서는 한국과 미국의 보안을 현실적인 사실 데이터를 가지고 비교하고 싶습니다. 그래서 부족한 부분을 확인하고 변화를 시켜보고자 합니다. 누군가가 변화하고 또 변화하여 목표를 간절히 원한다면 당연히 이루어집니다. 변화가 제일 쉬웠다는 모 카드 업체는 이제 업계 1위를 하지 않을까요? 러시아는 구 소련의 명성을 되찾겠지요. 만약 대한민국이 변화의 방향을 잘 잡으면 세계적으로도 보안이 잘되고 있는 나라가 되지 않을까요? 부처는 아니지만 부처가 되기 위하여 끊임없이 정진하는 승려는 언젠가는 부처가 되겠지요. 물론 부처는 아니겠지만.

보안을 보는 시각의 정착, 인식제고 및 교육, 윤리 및 민주성, 침해사고 대응, 위험평가 및 재평가, 보안대책, 보안관리 및 운영, 보안산업, 보안관련 정부의 역할, 법/정책/제도/전문가 등으로 한국과 미국 보안의 차이를 벤치마킹하고, 대한민국이 부족한 부분을 집중 점검하겠습니다.

최근 보안뉴스는 보안을 10가지 카테고리를 가지고 홈페이지를 통해 설문조사를 해 보았습니다. 물론 이런 설문조사가 정확한 사실 데이터에 근거한 결과는 결코 아닙니다만, 사람들의 생각을 모은 최초의 시도였고 예전 좌담회 결과에 따르는 통계 데이터를 개발하여 또다시 측정을 해볼 생각입니다만 제가 어렴풋이 느끼고 있던 내용을 다른 사람들도 똑같이 생각한다는 사실을 깨달았습니다.

미국 “B+(87)”, “한국 C-(71)”, 충분히 예상되는 수치였습니다. 참가자는 123명입니다.(www.boannews.com/security_poll/view.asp) 123명이 대한민국 보안을 대표한다고 말하진 못하겠지만, 충분한 근거는 된다고 생각합니다. “사고대응능력”, “법, 정책 및 전문가” 항목은 최하 점수입니다. “위험평가 및 재평가”도 최하위에 가깝습니다. 보안기술 등 기타 사항들은 좀 괜찮은 듯한데, 이러한 결과는 법·정책 및 전문가들의 구조적인 문제로 인하여 사고 대응 능력에 근본적인 문제가 있으며 위험평가, 취약성 평가를 통한 보안관리 등이 잘 이루어지지 않고 있음을 보여주고 있습니다.

사실 현재 한국의 IT 구조상 “A” 학점을 받기는 어렵습니다. A학점이란 생활·사회·경제 구조에 깊숙이 보안이 내재하여 각종 애플리케이션과 모든 장비 등이 저절로 보안을 하며, 이를 이용하는 사용자들도 자연스럽게 이를 이용할 수 있어야 하는데. 결코 쉬운 일이 아니며 아마 오랜 시간이 소요될 수밖에 없을 것입니다.

향후 보안 지수를 점검하는 항목을 구체적으로 개발하면 아마 대한민국이 가지는 허점들이 하나씩 나타날 것으로 판단합니다. 완벽하진 않겠지만 문제점들을 조목조목 가려내겠습니다. 하나씩 아이템들을 만들고 이들이 지수화(Indexing)에 영향을 끼치도록 만들고 싶습니다.

지수화가 되면 어떤 사람이, 어떤 조직이, 얼마나, 어떻게 보안 지수에 악영향을 끼치고 있는지 추적이 가능하게 만들고 싶습니다. 혹은 조직이나 사람이 아닌 구조적인 문제가 나올 수 있습니다. 그러면 다 함께 모여 이를 개선하기 위한 방안을 도출하여야 합니다. 법적 준수사항을 어떤 부분이 잘 안되고 있는지도 알고 싶습니다. 예산 투입 대비 보안 역량과 결과를 업무 실적이 아닌 질적 판단으로 평가하는 방법도 알고자 합니다.

삼성그룹 이건희 전 회장은 ‘신경영’을 강조하며 집식구 외에는 다 바꾸라고 역설했습니다. 특히 양보다는 질로 승부하라는 메시지를 임원진에게 강하게 어필하곤 했습니다. 얼마전 모 경제지에 이 전 회장의 그러한 모습이 잘 표현된 일화가 소개된바 있습니다.(아래 내용)

「1993년 가을, 이건희 전 회장이 신경영을 주창하는 가운데 분노에 찬 목소리로 임원진을 다그쳤다. “1979년부터 불량은 안된다고 소리쳤고 회장 취임하고 5년이 지나서도 불량은 안된다. 양이 아니라 질로 승부하라고 그렇게 강조했는데 아직도 ‘양’을 외치고 있어! 비서실장, 삼성전자 사장, 전자 본부장 모두 양이 중요하다고 그래. 이거 모두 썩어빠진 정신이야. 암을 번지게 하는 거라고!”」

보안도 투자 대비 실적과 양(量)이 아니라 질(質)을 추구해야 할 때 입니다. 많은 조직이 보안 투자를 양적으로만 증가시키면 될 것이라고 생각하고 있습니다. 보안서버 보급률만으로 국가의 보안 수준을 측정한다고 합니다. 보안 품질이 양보다 항상 뒤에 있다면 문제가 아닐까요? 예산을 얼마 받았고 그 예산으로 이것도 하고 저것도 수행했다는 것만으로는 부족합니다. 투자 대비 적합성, 효율성을 알 수 있어야 하는 것 아닌가요? 실적이 중요하지 않다는 것은 아니지만 실적과 품질이 잘 조화롭게 발전되어야 하지 않겠습니까?

정부는 기준과 방향을 제시하고 촉진될 수 있도록 정책을 세우고 또 그 만큼 책임을 지고, 민간은 정부를 신뢰하고 혹시 실수가 있어도 감싸주고 잘못된 부분을 지적하면서 분발을 외쳐주고 그것이 대한민국이 가야할 방향입니다. 

보안뉴스는 많은 전문가들을 모아 보안의 질적 변화, 발전적 변화, 자발적 참여와 개선을 통한 대한민국 보안 체계를 수립하고 싶습니다. 무엇을 바꾸어야 할지 정리를 해보겠습니다.

보안뉴스 TSRC(Trusted Security Research Center)의 보안 개념

Trusted와 Security. 보안을 보는 비슷한 시각인 듯 합니다만 차이가 크고 사실 Trusted가 Security 보다 큰 개념입니다. ‘SECURITY’는 보안이 되는가 아닌가 절대적인 시각을 가지고 있습니다. ‘TRUSTED’는 그 보안 기술, 기법 등을 어느 정도 믿을 만 한 것인가라는 상대적인 시각을 가지고 있습니다. SECURITY는 개발자 및 공급자가 자기 것이 우수하다고 강요하고 제공합니다. 그러나 TRUSTED 개념에서는 자기의 환경에 알맞은 방법인지 판단하고자 합니다. 사실 보안의 목표가 중요한 것이 아니라 보안의 특징이 중요합니다. TRUSTED 개념에서 공급자를 위한 보안을 할 것입니다. 수요자가 원하는 보안을 모으고 이를 공급자에게 전달할 것입니다.

그 동안 대한민국은 일방적인 SECURITY를 해왔습니다. 보안뉴스는 여러 수요자들을 위한 TRUSTED를 할 것입니다. TRUSTED SECURITY를 할 것입니다. 보안뉴스는 강요하는 일방적인 보안을 싫어하며 고객이 스스로 판단하도록 할 것입니다. 보안뉴스는 보안의 특성을 무조건 강요하지 않고, 증거와 원인을 분석할 것입니다. 보안뉴스는 절대적 관점으로 “Yes or No” “100% 보안”을 이야기 하지 않고 보안에서 나타나는 각종 Fact 데이터를 가지고 수준을 평가할 것입니다. 보안뉴스는 보안을 목표만을 보지 않고 보안의 특징을 살펴보고 판단할 것입니다. “최고의 보안 실천경험(Best Security Practice)”를 모아서 최고의 보안서비스(Best Security Service)”를 하도록 하겠습니다.

<연재 순서>

[글 · 임채호 보안뉴스 TSRC 센터장(chlim@boannews.com)]

*TSRC: Trusted Security Research Center

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>