국제 싱크탱크 랜드연구소, 보안업무 실태 조사보고서 발표

[보안뉴스 문가용] 과도한 업무와 야근에 지친 보안담당자들이여, 힘을 내시길. 지금 당장의 현실과 산적한 일들을 바꾸지는 못해도 변화의 씨앗은 이미 심겨져 있는 듯 하다. 조금만 인내심을 가지고 열매를 기다리면 달달한 맛을 입안 가득히 느낄 수 있을 것이다.

최근 국제 과학기술정책 관련 싱크탱크인 랜드연구소(RAND Corporation)에서 발표한  ‘해커 모집 : 사이버보안 종사자 업무 실태에 대한 연구’에 의하면 차세대 보안 전문가의 등장이 절실한 시장상황이 세계적으로 진행되고 있고, 아직 덜 영근 다음 세대를 기다리는 동안 필요한 인재들을 충원할 방법들이 여러 가지로 동원된다고 한다. 심지어는 보안인력 충원보다 보안업무에 대한 소요를 줄이는 데 집중하는 곳도 있다고.

랜드의 수석연구원인 마틴 리빅키(Martin Libicki) 씨는 이번 보고서를 작성한 공동 저자의 하나로 다음 세대를 기다리는 시간이 아직은 좀 길어질 수 있다고 보았다. “어떤 분야든 누군가 프로 레벨로까지 성장하려면 시간이 많이 필요합니다. 누구든 적어도 5~6년은 지나야 제대로 프로페셔널한 역할을 할 수 있지 않을까요.”

하지만 현실 세계에서 5~6년은 영원과도 같은 시간이다. 그래서 기업들은 나름의 타계책을 모색했다고 한다. “기업들이 기존 고용인들 사이에서 보안 분야에 재능을 가지고 있는 사람들을 찾아내는 데 필요한 방법을 나름 고안해 활용하고 있습니다.”

보안교육은 어떤 회사에서나 이제 필수요소가 됐다. 그렇기 때문에 직원들은 적어도 한 번쯤은 보안 관련 강의를 듣거나 훈련을 해야 한다. 그래서 기업들은 그런 교육시간 때에 보안관련 적성 및 성향 테스트도 병행하기 시작했다. 먼저는 집에서 컴퓨터를 해체하거나 조립해본 사람들을 찾기 시작했다. 이는 퍼즐 맞추는 걸 좋아하는 성향과도 연결이 된다. 이는 뒤에서 벌어지고 있는 일, 즉 본질 찾기에 시간을 투자할 줄 아는 사람이기도 하다. 이런 성향을 가지고 있는 사람이라면 문과 출신이라도 정보보안 분야로의 전환을 고려해보라고 장려했다.

하지만 기업 입장에서 이런 방법은 어느 정도 위험부담이 있을 수밖에 없었다. 전혀 새로운 분야로의 전환을 위한 훈련을 기꺼이 받는 사람이 얼마나 되느냐는 차치하더라도 새로운 기술을 어렵게 가르쳐 놓으면 이직하는 경우도 상당했기 때문이다.

리비키 씨는 이런 경우가 어느 분야에서나 상당히 흔히 일어난다고 한다. “예외가 있다면 군대 정도? 부대를 막 옮겨 다닐 수 없으니까요.” 그런데 군대외 정부 및 공공기관에서는 직원들의 보안교육 자체가 어려워서 문제다. 기업체들의 해결방안을 아예 적용할 수가 없는 것이다. 이는 정부 및 공공기관일수록 보안교육에 들어가는 비용을 마음대로 배정할 수 없기 때문이다.

“정보보안 종사자들의 평균 연수입은 십만 달러 정도입니다. 이 정도면 정부기관도 충분히 소화할 수 있는 금액이죠. 그런데 평균 종사자를 훨씬 웃도는 능력자들의 경우에는 희소성 때문에 연봉이 2십만에서 25만 달러까지 치닫습니다. 이는 정부가 해결할 수 없는 금액이죠. 미국 정부로서는 많아야 15만 달러 정도까지 감당할 수 있을 겁니다. 자연히 몸값이 비싼 보안담당자들은 민간업체에 있을 수밖에 없습니다. 정부는 이런 점부터 해결하는 것이 급선무입니다.”

하지만 국가재정이 그렇게 빨리 해결되는가? 보고서에서는 이런 점을 보완하기 위해 사이버보안 예비군 제도라는 걸 소개한다. 위급한 때에 소집할 수 있는 ‘보안병력’을 확보해 유지하라는 것이다. 하지만 ‘강하게 추천’하지는 않는다. 그런 식으로 가끔씩만 발동되는 인력들이 큰 힘을 발휘할 수는 없기 때문이다. 보고서에는 다음과 같이 기술되어 있다.

“사이버보안관련 업무의 기본 전제는 ‘공격을 당하고 있는 시스템을 잘 알아야 한다’는 것이다. 이는 가끔씩 시스템을 둘러보는 파트타임 예비군들로서는 갖출 수 없는 조건이다.” 여기에 더해 리비키 씨는 “보안담당자가 정부기관의 급한 일을 처리하기 위해 갑자기 소집되면, 순식간에 그 보안담당자가 있던 자리가 위험에 노출되고 맙니다”라며 구멍 하나를 막기 위해 다른 구멍을 파는 어리석은 짓이라고 했다. “카드는 돌려막기라도 되는데 보안사고는 절대 안 되죠.”

결국은 정보보안 자리는 체온이 있는 진짜 사람으로 채워야 한다. 이번 보고서는 그럼에도 희망의 메시지를 전달하고 있는데, 수년 안에 정보보안 분야의 빈 자리가 대부분 채워질 것이라고 예측하고 있기 때문이다. “그 근거는 학교 등 교육기관에서 이 분야 교육이 상당히 진행되어 왔다는 것입니다.” 하지만 그만큼 수요 또한 늘지 않을까?

리비키는 바로 그 점이 관건이라고 한다. “그저 공석이 생길 때마다 사람을 채워 넣을 생각을 하는 것이 아니라 공석이 생기지 않도록, 즉 보안관련 일거리가 줄어들도록 연구해야 합니다. 전 세계적으로 사이버보안 분야에 쓰는 비용이 총 7천억 달러에 달한다고 합니다. 이 돈의 일부만 아예 개발단계에서 소프트웨어의 허점을 보강하는 데 써도 인력을 많이 줄일 수 있을 겁니다.”

소프트웨어뿐만이 아니다. 구조나 분위기 전체를 바꿔서 보안이 더 잘 되게 만들 수도 있다. 애플이 바로 그런 예다. 꼭 닫힌 문, 폐쇄적이기까지 한 기풍 덕분에 얼마나 보안이 굳건히 지켜지고 있는지를 보면 이해가 갈 것이다. 특히 개방성을 모토로 삼은 안드로이드 관련 회사들이 겪고 있는 유출사고들과 비교해보면 구조나 분위기 전체를 바꾸어 보안을 강화하라는 게 무슨 의미인지 잘 와 닿는다. 구글의 크롬이 왜 파이어폭스보다 안전한지 역시 생각해볼만하다.

“사이버 보안 프로페셔널이 될 가능성을 가지고 있는 사람들 중 10% 정도가 보안 분야에서 이미 일을 하고 있다고 해봅시다. 저희가 필요한 건 그 10%를 100%로 대폭 확장하는 게 아니라 15%로 살짝 늘이는 겁니다. 사이버보안 분야가 똑똑한 사람들을 다 독식할 수도 없고, 그럴 필요도 없습니다.”

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>