• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[사이버국방리포트] 사이버 안보, 전 세계 안보분야 최우선 아젠다 2013.05.16

사이버 보안 경진대회의 새로운 흐름과 인력양성 패러다임의 전환

우리의 사이버 보안 교육과 인력양성 패러다임, 근본적 검토 필요


[보안뉴스=고려대 사이버국방연구센터] 전 세계 국가들을 향한 전례 없는 사이버 공격으로 인해 각국 정부들은 사이버 보안 수준을 높이는데 혈안이 되어 있다.

     

미니듀크(MiniDuke)나 스턱스넷(Stunxnet)과 같은 사이버 공격들은 정부와 기업들이 더 이상 방화벽이나 침입방지시스템과 같은 능동적이지 못한 경계기반 방어에만 의존할 수 없다는 사실을 인식시켰다. 공공부문과 민간부문에 대한 사이버 위협에 대비하기 위해 사이버 안보는 이제 각국 안보분야의 최우선 아젠다가 되고 있다.


사이버 안보문제에 있어 가장 적극적인 국가는 단연 미국과 영국이라고 할 수 있다. 미국과 영국 정부는 사이버 방어 및 공격 프로젝트 개발에 막대한 자금을 쏟고 있으며, 사이버 위협에 적극 대응하기 위해 예산 및 정책을 체계적으로 정비하고 있다.

양국은 군사 및 기술력 확보에 투자하는 것뿐만 아니라 근본적 문제 해결을 위한 사이버 안보 교육개선과 인재양성에도 노력을 기울여 왔다. 최근 주목할 점은 이 두 국가가 사이버 위협대응 교육 및 인재양성에 있어 기존과는 사뭇 다른 시각과 차별화된 전략으로 접근하고 있다는 것이다.


정책 생산 능력에 초점을 맞춘 미국의 ‘사이버 9.12’ 경진대회

우선 미국은 ‘사이버 9.12(Cyber 9.12)’라는 국가 사이버 안보 정책 경진대회를 올해 6월에 개최할 예정이다. 워싱턴 소재 정책 싱크 탱크인 대서양위원회(Atlantic Council) 등의 주관으로 전 세계 대학생들과 대학원생들을 대상으로 매년 개최될 이 경진대회는 기존의 해킹기술을 평가하는 사이버 보안 경진대회들과는 달리 사이버 보안 문제에 대한 정확한 문제분석 능력과 문제를 해결할 수 있는 적절한 보안정책을 수립하는 능력을 평가하게 된다.


이 경진대회의 목표는 특정 글로벌 사이버 분쟁 상황에 직면하여 이 문제를 해결할 수 있는 최적의 사이버 안보정책 대안을 제시하는 것으로, 해킹이나 보안기술이 아닌 정책을 통한 학생들의 문제해결 능력을 평가하는 것이다.


대서양위원회는 이 행사의 개최 목적을 사이버 보안 정책의 중요성에 대한 인식을 촉진시키는 한편, 미래의 사이버 안보정책과 관련한 새로운 아이디어를 개발하기 위한 것이라고 밝히고 있다.


또한, 이 행사는 정부·금융·통신·언론 등 다양한 분야를 대표하는 전문가들과 여러 국가의 학생들이 함께 사이버침해에 대한 정책결정 과정에 참여해 자유롭게 토의해볼 수 있는 장을 제공하는 한편, 사이버 보안에 관심 있는 다양한 국가의 학생들과 함께 사이버 안보 전문가 인적 네트워크를 마련할 수 있는 기회도 제공할 것이라고 한다.


문제 해결 능력에 초점 맞춘 영국의 ‘사이버 제다이’ 경진대회

사이버 무기를 포함한 기술개발 투자에 집중해왔던 미국과 달리 영국은 초기부터 다양한 사이버 안보 인식제고와 교육훈련 프로그램을 개발하는 등 중장기적인 사이버 보안 대응책을 마련하는데 집중해왔는데, 최근에는 십대 청소년들을 대상으로 ‘사이버 제다이(Cyber Jedi)’라고 불리는 전국적인 사이버 보안 경진대회를 계획하고 있다.


이 대회 또한 해킹이나 보안기술을 평가하는 것이 아니라 해킹에 대한 기술적 배경이 없는 어린 학생들을 대상으로 학생들의 사이버 공간에서 직면하는 다양한 문제들에 대한 문제해결 능력을 평가하게 된다.


대회 책임자인 스테파니 데이먼(Stephanie Daman)은 이번 대회는 학생들의 해킹능력이나 컴퓨터능력이 아니라 문제 해결 능력 및 잠재적 재능과 적성을 볼 것이라고 말하고 있다. 또한, 그녀는 이 대회를 통해 청소년들에게 사이버 보안 분야에 지속적인 관심을 가지게 하는 것은 물론 사이버보안 분야의 직업이 해커로 상징되는 지금까지의 부정적인 이미지와는 달리 정상적인 직업일 뿐 아니라 회계사나 변호사와 같은 고연봉의 전문직이라는 긍정적인 인식을 심어주는 것이 또 하나의 목표라고 밝히고 있다.


올해 9월 처음 개최되는 15~18세 중등학교 학생들을 대상으로 진행될 소위 ‘사이버 제다이’라고 불리는 사이버 보안 챌린지(Cyber Security Challange U.K.) 주니어 대회의 파일럿 프로젝트에는 현재 2천여 개의 학교들이 참가할 의사를 밝혔다고 한다.


기존 사이버보안 인력양성 및 채용 패러다임의 한계

데이먼도 밝히고 있듯 현재 많은 기업에서 사이버보안 전문가를 적극적으로 채용하고 있으나, 만족할 만큼 실력 있는 사이버보안분야 인재들을 찾지 못하고 있는 상황에서 최근 미국과 영국을 포함한 대부분의 국가에서 사이버보안 인력을 확보하기 위한 일반적인 방안중의 하나로 각광받고 있는 것이 해킹대회나 방어대회를 개최하여 우수한 성적을 거둔 사람들을 대상으로 군, 공공기관, 기업에 채용기회를 제공하는 것이었다.


지금의 기술 콘테스트 방식이 당장 임박한 사이버보안 위협에 대응할 수 있는 부족한 기술 인력을 확보하기 위한 불가피한 최선의 방안이긴 하지만, 이는 기술에 대한 평가일 뿐 다양한 문제들을 창조적으로 해결할 수 있는 능력을 평가하는 것이 아니어서 이러한 기술 능력이 실제 사이버 보안강화로 이어질지에 대해 확신할 수 없으며, 사이버전문가와 비전문가 사이의 장벽을 더 높여 사이버안보 영역이 소수의 전문가들의 영역으로 인식되게끔 하는 부정적인 효과도 낳기도 했다.


사이버경진대회의 새로운 흐름의 의미와 사이버 보안 교육 新패러다임의 대두

이처럼 기술에서 정책으로, 특정 스킬보다는 합리적 문제해결 능력으로의 중점의 변화는 지금과 같은 기술과 기능 중심의 교육과 평가 방식으로는 원하는 사이버 보안 전문가들을 확보할 수 없을 뿐만 아니라 사이버 안보 수준도 실질적으로 강화할 수 없다는 현실인식에 기초해 있다. IT 기술이 지속적으로 신속하게 변화해 가는 상황에서 특정 기술과 기능 중심의 대응은 한계가 있을 수밖에 없기 때문이다. 지금까지의 그때 그때 필요한 기술과 기능을 가진 한 가지만 잘하는 인력들을 수급하는 체계로는 다양한 사이버 보안 위협 환경에 적절히 대처하는데 한계가 있을 수밖에 없다.


이러한 의미에서 천편일률적인 기술 콘테스트에서 벗어나 특정 기술에 기대지 않고 문제 해결 능력 체와 정책생산 능력의 평가를 중시하고 있는 미국과 영국의 최근 변화는 상당히 고무적이다.


영국과 미국 정부는 이처럼 최근 들어 좀 더 다양한 분야에서 활동한 학생들의 관심과 참여를 모으기 위해 노력하고 있으며, 사이버 위협에 뒤따르는 기술의 빠른 변화와 한계를 인식하고 근본적 문제 해결 능력을 갖춘 전문가양성과 교육에 힘이 싣고 있는 추세이다.


중요한 것은 어떤 기술을 사용하던 어떤 상황에서 어떤 기술을 사용할지 합리적으로 판단하여 창조적인 문제해결 정책과 전략을 수립할 수 있는 능력이다. 또 누구나 어릴 때부터 사이버 공간에서 자신과 조직을 보호하기 위한 문제해결 능력과 지식을 배양하기 위한 교육과 훈련을 받는 것이다.


많은 학생들이 사이버 보안이 소수의 특수한 기술을 가진 기술자들만이 해결할 수 있는 대단한 무언가가 아니라 자신과 조직이 직면한 문제를 스스로 해결하기 위한 문제해결방법의 하나로 인식하게 하고, 국가 입장에서는 창의적인 문제해결 능력을 갖춘 학생들을 조기에 발견하여 적절한 기술교육과 윤리교육을 제공함으로써 구체적인 문제해결에 필요한 충분한 역량을 갖춘 전문가를 확보할 수 있도록 국가 사이버보안 교육체계가 자리 잡아야 한다.


올바른 문제인식과 문제해결을 위한 창조적 아이디어, 문제해결에 수반되는 윤리의식과 법적 인식, 문제해결을 위한 정책생산 능력, 구체적인 문제 해결을 위한 기술적인 능력에 대한 교육이 전체 사회의 사이버 보안의 수준을 강화시킬 것이다. 이러한 체계적인 교육시스템의 마련을 통해 특정 기술 중심으로 경도된 작금의 사이버 보안 교육체계를 바로 잡아야 한다.


더 근본적으로 중요한 것은 영국의 사례처럼 사이버보안이 자신의 문제뿐만 아니라 사회의 다양한 문제를 해결해줄 수 있는 가치 있는 일이라는 것을 인식시키는 것이다. 또한, 그에 걸맞게 사이버 보안이 높은 대우를 받을 수 있도록 공공기관에서의 사이버보안 인력에 대한 처우를 강화하고 사이버 보안 산업에 대한 지원을 강화함으로써 어린 학생들이 선호하는 직업군으로서 변호사, 회계사와 마찬가지로 사이버보안을 선택하고 자신의 일에 자부심을 가지고 일할 수 있는 환경을 마련해야 한다.


이러한 건전한 사이버 보안 인력 생태계를 마련함으로써 중장기적으로 윤리의식과 건전한 직업의식을 갖추고 창의적인 문제해결능력을 갖춘 실력 있는 인재들을 안정적으로 확보할 수 있을 것이다.


결론 : 국내 시사점과 우리의 과제

미국과 영국이 최근 보여주고 있는 이러한 다각화된 인재양성 프로그램은 최근 3.20사태를 비롯하여 지속적으로 사이버 위협에 노출되어 있는 우리에게도 중요한 시사점을 던져주고 있다. 우선 사이버 보안 강화를 위해서는 다른 어떠한 분야보다도 중장기적인 관점에서 교육과 인식제고 프로그램에 더욱 더 근본적인 투자를 해야 할 것이다.


또한 최근 국내에서도 사이버보안에 대한 관심이 높아지고 사이버보안 인력의 중요성이 대두되면서 인력확보를 위한 수단으로 해킹대회들이 우후죽순 생겨나고 있다. 하지만, 이러한 행사가 실제 일반인들과 청소년들에게 얼마나 사이버보안에 대한 관심과 인식제고 기회를 제공하고 인력 양성과 인력채용의 기회로 활용되고 있는지, 그리고 이를 통해 실질적인 국가 사이버 보안 강화로 이어지고 있는지 그 효과에 대해 근본적으로 검토해볼 필요가 있다.


사이버 보안 경진대회가 주최측의 보여주기식 행사나 해커들이 단순히 자신의 기술을 뽐내고 용돈 버는 행사 정도로 전락해서는 안 된다. 다양한 분야와 다양한 수준의 더 많은 사람들이 참여할 수 있도록 프로그램을 다양화하고 문제해결 능력에 초점을 맞춤으로써 사이버보안에 대한 국민들의 인식을 제고하고 사이버 보안 분야의 전문 인력의 저변을 확대할 수 있는 실질적인 기회의 장으로 이어질 수 있도록 해야 한다.


올해 영국의 성인대상 사이버 보안 챌린지에서 IT분야에 대한 전문지식이 없던 28살의 화학자가 우승을 차지했다는 사실은 우리에게 시사하는 바가 크다. 우리의 사이버 보안 교육과 인력양성 패러다임을 근본적으로 검토하고 바로잡아야 할 때이다.


[사이버국방리포트 원본 링크]

www.boannews.com/board/view.asp?idx=40

 

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>