[인터뷰] 박대하 한국디지털대학교 정보관리보안학과 교수

“보안인력양성, 그에 따른 법·제도적 정비도 필요”

한국디지털대학교는 올해 2010년도부터 IT미디어학부 내에 정보관리보안학과를 신설해 신입생을 모집하고 있다. 정보보호가 사회적인 중요 키워드가 되면서 이를 좀더 세심하게 체계화하고 전문보안인력을 양성한다는 박대하 한국디지털대학교 IT미디어학부 학부장의 열성이 묻어난 결과라 하겠다. 박대하 교수는 전산학을 전공하여 소프트웨어 엔지니어링과 보안 솔루션 개발부터 보안관리 분야에 관심을 갖기 시작해 현재는 CISSP, CISA 등의 보안관련 자격증을 취득하고 국가공인정보시스템감리사, ISMS 인증심사원으로 활동하며 보안관리 분야에 지대한 관심과 열정을 보이며 2004년도부터는 학계에 몸을 담아 후학양성에 힘을 기울이고 있다. 이에 박대하 교수를 직접 만나 그의 보안인력 양성에 대한 이야기는 물론 전반적인 보안업계의 이모저모에 대해 들어봤다.

- 전문보안인력, 왜 중요한가?

현업에 종사하면서 일반 기업들이 IT 기술에 대한 투자는 아끼지 않으면서 보안전문업체가 아닌 이상에는 보안을 전담하는 인력이 너무 부족하다는 것이 문제라는 것을 경험했다. 더구나 그 중에는 IT 기술에 바탕을 둔 서버나 네트워크 관리 인력이 그나마 현업에서 주류로써 활동하는데 반해, 보안 정책과 위험 관리 및 인적 보안과 같은 관리적 보안을 위한 전문적인 인력은 거의 찾을 수 없는 것이 현 우리 기업의 보안 유지의 한계라고 하겠다.

그럼에도 우리 사회는 직접적으로 보안업계에 종사하지 않으면 이러한 실태에 대해 묵과해 왔던 것이 사실이다. 하지만 이제 우리 사회는 늦게나마 정보보호의 이슈를 등에 업고, 전문보안인력의 중요성에 대해 어느 정도 인지하게 됐다.

무엇보다도 기업 내부에 안정적으로 고용된 전문보안인력은 지속적이고 체계적인 보안을 유지하는데 도움을 주기 때문에 중요하다.

- 올해 처음으로 한국디지털대학교에서는 정보관리보안학과를 신설했는데?

정보정책·정보관리·정보보안 부분 크게 3개의 트랙으로 정보관리보안학과를 올해 처음으로 신설해 현재 신입생을 모집해 운영 중에 있다. 한국디지털대학교에서의 이러한 보안학과의 신설은 사회요구 사항이라 할 수 있겠는데, 그런 때문인지 신입생들이 다른 여타 과들보다도 많은 관심을 보이고 있다.

물론 정보보호가 이제 사회의 요구사항이 됐다는 점은 주목하고 반길만한 일이며, 학계에서 이러한 보안학과가 전문보안인력 양성이라는 아래 태생했다고는 하지만 단순히 이를 보안인력 배출에만 머물러서는 안 된다고 생각한다. 이들 보안인력들이 사회에 진출했을 때 충분히 활동할 수 있는 기반을 마련해 주는 것도 간과해서는 안된다는 말이다. 즉 보안전문인력들이 확고하게 활동할 수 있는 법제적인 부분이 필요할 것이다.

- 그런 측면에서 법·제도는 어떤 보완이 필요하리라 여기는지?

우선 전문보안인력 측면에서는 무엇보다도 인센티브를 부여할 수 있도록 하는 등의 법·제도적 뒷받침이 필요하다. 또한 대부분의 법은 물론 규제이기는 하지만 보안업계 측면에서는 단순히 규제로 보고 있는 현실에서 탈피한 현실적인 법·제도 작용이 필요하다.

지난 7.7DDoS대란에서도 볼 수 있었듯이 보안 쪽 침해사고 발생 시 기업 측면에서도 엄청난 피해가 따른다는 교훈을 우리는 얻었다. 즉 보안도 투자라는 것을 알게 된 것이다. 국가 차원에서도 이는 마찬가지다.

그런 측면에서 IT 기술은 지금까지도 그래왔듯 앞으로도 끊임없이 발전해 갈 것이며, 이를 이용한 정보 서비스는 지속적으로 우리들에게 제공이 되고 있는 상황에서 정보보호 관련 법·제도는 멈춰있어서는 안되고 산업을 활성화하는 방향으로 변화해야 한다. 따라서 정보보호와 관련된 법·제도도 국가 전체적으로 기존의 단순한 규제로써만이 아니라 국가 산업의 활성화에 필요한 사회안전망으로써 작용해야 할 것이다.

- 법·제도의 정비 외적으로 필요한 것은 또한 무엇인가요?

일반 사용자도 다른 사용자들에게 피해를 주지 않고 사용하는 것이 자연스럽게 생활화 돼야 할 것이다. 즉 인터넷·사이버윤리가 각 개인, 국민 구성원 모두에게 가장 중요한 것이다.

하지만 일반 국민에게 미치는 프라이버시는 현재 보안의 한 부류로 다루고 있지만 법·제도와 사이버윤리가 맞물리면서 일반 보안과는 상충되는 부분이 있는 것이 현실이다. 보안을 강화하면 프라이버시가 약화되는 아이러니가 발생하는 것이다.

이해의 부분이 필요한 대목이라 하겠다. 정책적인 부분도 중요하겠지만 홍보 및 계도 측면에서의 돌파구 마련이 필요하겠다. 국가적으로도 7.7DDoS대란과 같은 문제를 해결하기 위한 기술적인 임시방편보다는 국민들이 인터넷의 사용자로서 주의하지 않으면 이후에도 언제든 유사한 사건이 발생할 수 있음을 인식시켜주는 국가적인 홍보가 더 필요하겠다. 그런 측면에서는 인터넷·사이버윤리에 대한 교육이 초등교육부터 정식교육과목으로 될 필요도 있겠다.

- 앞서 말씀한 부분들은 한 부처가 총괄해 맡을 수 있는 부분은 아닌 것 같은데?

그렇다. 그런 만큼 이를 모두 총괄할 수 있는 보안컨트롤타워의 역할은 무엇보다도 필요하겠다.

한국인터넷진흥원(KISA)을 예로 들면, 정통부 시절에서 분리되면서 현재 방통위, 행안부, 지경부에 대해 같은 내용을 세 곳에 분산해 활동하는 경우가 그것이다. 그러다보니 정부기관 마다 전혀 다른 내용으로 전달이 돼 이루어지고 있는 문제가 발생하고 있는 실정이다. 즉 중복투자가 이루어지고 있는 것이다.

보안은 단순하게 특정 분야에만 적용되는 것이 아니고 모든 분야에 적용이 된다. 그런데 현재의 정부기관들은 그러한 현실에 각자 나름이 생각하는 보안을 적용하다 보니 국가전체적인 적용이 쉽지 않은 것이다. 그렇듯 각 부처들마다 다른 방향을 제시함으로써 국민들로 하여금 혼란을 야기하게끔 하는 결과를 초래하는 만큼 이를 총괄해 한 목소리를 국민들에게 전달할 수 있는 보안컨트롤타워를 할 수 있는 한 기관이 필요하다.

- 마지막으로 개인이 생각하는 ‘보안’이란?

보안은 너무 폐쇄적이면 오히려 안전성이 떨어진다. 예를 들어, 암호 기술에서 대부분의 암호화 알고리즘 자체는 공개하여 외부로부터 안전성을 검증받고, 다만 키만 기밀로 유지하는 방식을 이용한다. 조직에서 ISMS나 감리 등의 제도를 통해서 외부로부터 보안에 대해 검증을 받는 것이 보안을 강화하는 방법이며, 그런 측면에서 개인적으로도 보안의 전도사 역할을 지속할 예정이다.

그런 측면에서 다른 모든 일도 마찬가지겠지만 보안은 밸런스(균형)가 생명이다. 조직이 소유한 정보자산의 가치와 밸런스를 맞춘 보안 투자가 필요하며, 기술적인 보안과 관리적인 보안의 밸런스를 고려해야 한다. 또한 경영자의 입장과 사용자 또는 고객의 입장에서 보안이 미치는 영향을 고려하면서도 특정 분야에 취약성이 없는 보안 수준을 유지해야 한다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>