• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[보안칼럼] 해커 양병론? 그 많은 해커를 어디에 쓰게? 2011.02.08

각 역할에 맞는 보안 인력 고루 양성해야

1996년부터 제기된 해커 10만 양병론은 지금도 보안 인력의 부재를 논할 때면 심심치 않게 등장하는 용어 중 하나이다. 또한 흔히 하는 말 중에 하나는 ‘뚫어 본 자만이 막을 수도 있다’라는 문구도 많이 들린다.

그러나 국가 및 산업의 전 영역에 걸쳐 보안 인력을 양성하기 위해 해커 10만 명을 양성해야 한다는 주장은 과연 옳은 것일까? 이 주장은 마치 ‘보안 인력 = 해커’ 라는 등식이 성립되는 것과 같은 착각을 불러온다. 그러다 보니 보안이란 것이 고도로 숙련된 인력이 아니고서는 시작할 수 없는 매우 높은 진입 장벽을 가진 것처럼 심리적 압박을 느끼게 된다.

또 ‘보안 인력 = 해커’를 지향하다 보니 보안에 입문하는 사람들을 위한 커리큘럼을 보면 전체적인 관점에서 보안을 염두에 두고 만들어진 것이 아니라 특정 인프라에 대한 학습과 심지어 잡다하기까지 한 해킹 실습으로 짜여 있는 것이 일반적이다. 물론 보안 인력의 구성원에서 ‘해커’라는 스페셜리스트(Specialist)는 매우 중요하고 필요하다.

정말 높은 기술 수준의 해커는 국가적 자산이다. 그러나 비즈니스에 있어 기술이 전부가 아니듯 보안에 있어서 반드시 고도로 높은 기술적 수준을 모두에게 요구하는 것은 이상적인 것이 아닌 비상적인 접근 방법이다. 특히 해커로써 기업에 보안 인력으로써 취업한 해커들이 그 조직 내에서 보다 높은 지위로 성장하지 못하고 최악의 경우에는 얼마 가지 못해 퇴사하는 경우가 많은 것을 보면 분명 해커가 필요한 영역과 또 다른 형태의 보안 인력이 필요하지 않을까.

전 세계적으로 많은 사례로 볼 때 해커로 명성을 높인 사람들은 보안 연구원이나 보안 제품 개발자로 해커로써의 보안 전문가의 길을 계속 완성해 나간다. 그러나 또 다른 형태의 보안 전문가는 제네럴리스트(Generalist)로써 국가와 기업 전반에 걸쳐 최고의 지위로는 최고 보안 책임자인 CSO(Chief Security Officer)와 보안 관리자로써 역할과 소임을 다하고 있다.

그렇다면 제네럴리스트로써의 보안 전문가에게 필요한 소양이란 어떤 것이 있을까? 조금 더 쉬운 예를 들자면 기업의 보안 담당자로써 필요한 소양이 어떤 것일까 하는 것이다. 첫째는 전사적인 보안을 이끌어야 하기 때문에 보안에 대한 지식은 깊을수록 좋지만 가능한 한 넓게 아는 것이 중요하다. 각 상세 영역은 해당 보안 업체나 관련 전문 지식을 가진 다른 사람들의 도움을 받을 수도 있기 때문에 적어도 이런 스페셜리스트와의 커뮤니케이션과 이들과의 업무 협의를 할 수 있을 정도는 되어야 한다.

두 번째는 보안, IT 그리고 비즈니스 동향을 파악하고 취약점, 위협과 위험을 식별하여 방향을 제시할 수 있는 통찰력도 필요하다. 보안을 위한 보안을 말하는 보안 전문가는 더 이상 살아남기 힘들다. 현실적인 균형 감각 속에서 지속적으로 비즈니스의 위험을 말하고 그것을 관리할 수 있는 사람이 필요하다. 이것은 더 이상 기술적인 논의가 아니다.

세 번째는 보다 높은 사람으로부터 지원을 이끌어 내고 보다 많은 사람들을 보안 활동에 참여시키기 위한 커뮤니케이션과 마케팅에 대한 지식이 필요하다. 혼자만의 보안으로는 전체적인 보안을 완성시킬 수 없다. 더구나 보안 담당자는 보안을 책임지는 사람이라기 보다는 보안을 할 수 있도록 이끄는 사람이다. 그런 관점에서 보다 많은 사람과의 커뮤니케이션, 협상, 홍보와 마케팅 등은 생각보다 매우 필요한 소양 중 하나이다.

이처럼 제네럴리스트는 보안에 대한 지식 이외에도 전략적인 사고와 통찰력, 커뮤니케이션 등 매우 많은 소양이 필요하다. 이와 같은 제네럴리스트 직군의 예를 들자면 국가 및 기업 내의 최고 보안 책임자(CSO)와 보안 관리자, 그리고 보안 컨설턴트 등이 해당된다고 할 수 있다.

물론 해커도 많이 필요하지만 현재 국가 및 산업별로 필요한 것은 제네럴리스트로써의 보안 전문가이며 좀 더 바란다면 역할에 맞는 보안 인력을 고루 양성하는 것이다. 마케팅 용어로써의 해커 십만 명 양성이 아니라 정말 각 역할에서 필요한 보안 인력 십만 명을 고루 양성하기 위한 국가적 차원에서의 백년 대계와 그에 따른 정책적 지원, 그리고 그런 인력 양성의 책임을 맡은 교육계의 다양한 커리큘럼 개발이 필요하다.

다음에는 “다가 올 클라우드 빙하기 속에서 죽느냐 사느냐!”란 제목으로 클라우드 컴퓨팅이 왜 화두이며 국내 보안 업체에서 어떻게 대응할 것인지에 대해 논의해 보고자 한다.
[글 _ 박형근 시큐리티플러스 운영자(phk@kr.ibm.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>