사이버보안 관련 법안이 강해질수록 약해지는 개개인의 사생활
경력 5년을 쌓아야 발급되는 자격증이 채용 기본 요소인 현실

[보안뉴스 주소형] 최근 사이버 공격으로 인해 발생한 것으로 알려진 우크라이나 정전 사태. 관련 전문가들은 이와 비슷한 사건들이 올해 본격적으로 늘어날 것이라고 전망했다. 주요한 사회기반시설을 노리는 사이버공격이 많아진다는 것. 이는 정보시스템감사통제협회(ISACA) 보고서에 따른 것이다.


해당 보고서는 지난해 12월 21일부터 올해 1월 2일 사이에 미주지역 안에서 약 2,900명의 사이버보안 전문가들을 대상으로 다양한 국제 보안 이슈 및 관련 법안 등에 대해 조사한 결과를 토대로 작성됐다.

규제(Regulation)
먼저 규제에 대한 그들의 종합적인 의견을 통계 내니 다음과 같이 나타났다. 응답자의 62.88%가 정부가 암호화 무력화 정책(수사를 위해 암호화를 약하게 강제한다든지, 백도어를 삽입하게 한다든지)을 강력하게 시행할 것이라고 보고 있는 것으로 집계됐다. 또한, 58.87%는 정부가 사이버 보안 관련 법안을 강하게 하면 할수록 개개인의 사생활은 보장될 수 없을 것이라고 답했다.

하지만 응답자의 절반 이상인 56.78%가 지난해인 2015년 사이버보안 정보 공유 법안을 지속적으로 유지하는 방안이 가장 이상적이라는 생각을 가지고 있는 것으로 파악됐다. 다만 아직까지 더 강력한 보안을 위해서라도 자신들의 정보를 공유하는 것에 대한 준비는 되지 않았다고 덧붙였다. 실제로 응답자 가운데 자신들이 속한 기업이 스스로 유출관련 정보를 공유할 것이라고 답한 비중은 30.62% 수준에 그쳤다.

이번 보고서에서 눈에 띄는 점은 유럽연합(EU)과 미국 사이에 맺어진 정보공유 협정인 세이프 하버(Safe Harbor)가 무효화된 것에 대한 업계의 반응이다. 해당 법안은 유럽인들의 개인정보를 미국기업이 합법적으로 수집할 수 있다는 내용으로 약 15년 간 미국과 유럽에서 발효되고 있는 법안인데 최근 무효화됐다. 유럽법원은 미국의 타국 감시가 국가안보를 위협할 수준이라며 이 같은 판결을 낸 것.

하지만 이는 다국적기업들에게 꼭 필요한 법이다. 특히 온라인이 주요 무대인 구글 및 페이스북 등과 같은 기업들이 전 세계 회원을 거느리고 관리할 수 있는 근거인 것. 이와 관련해서 응답자의 18.02%는 해당 법안이 무효화된 사실조차 모른다고 답했으며, 해당 판결로 인해 어떠한 변화도 감지되지 않았다고 답한 이는 18.66%로 집계됐다. 응답자의 4.35%만이 이는 엄청난 일이며 벌써 관련 미국 기업에 변화가 감지되고 있다고 밝혔다. 그 외 12.95%는 자신들이 속한 기업이 이에 대해 대응 및 조치를 계획하고 있다고 답했다.

유출 및 위협 사실을 바로 다른 기업들과 정부에 공유해야 하는 것을 법으로 규정하는 것은 어마어마한 일들을 불러올 것이라고 사이버보안 전문가들은 입을 모으고 있다. 기업들은 고객들에게 해당 사실을 30일 안에 통보해야 하는 의무도 생긴다.

이 같은 법률 제정은 대단한 도전에 해당된다고 응답자들은 주장하고 있다. 이를 위한 새로운 시스템 구축 등과 같은 비용적인 문제보다 기업들의 이미지 자체에 큰 변화가 생겨 존폐의 위기에 처할 수 있다고 설명했다.

내부 요소
일반적으로 사이버범죄는 핵심을 공격하고 그 곳이 뚫려 발생한다고 생각하지만 아니다. 대부분의 사이버범죄의 발생지는 우리가 위협이라고 생각조차 못했던 곳에서부터 시작된다. 유출이 가장 빈번한 근원지 세 곳을 살펴보면 다음과 같다. 먼저 1위(52.26%)는 컴퓨터 보안에서 인간 상호작용의 깊은 신뢰를 바탕으로 사람들을 속여 정상 보안 절차를 깨트리기 위한 비기술적 침입 수단인 소셜 엔지니어링(Social engineering)을 이용한 공격이며, 그 다음은 40.34%로 내부자 위협으로 나타났다. 마지막으로 세 번째가 진화된 위협이다.

악성 멀웨어 가운데 랜섬웨어가 가장 널리 알려져 있지만, 랜섬웨어는 전체 멀웨어 공격의 한 부분에 불과하다. 랜섬웨어 사고를 겪은 기업 비중은 20.31%다.

응답자들은 사이버보안 기술 부족 문제는 올해에도 지속될 것이라고 우려했다. 미국 기업의 45.06%가 올해 새로운 보안인력 채용 계획을 갖고 있지만 쉽지 않을 것이라고 내다봤다. 보안인력 채용을 그냥 하면 되는 것이라고 생각하고 있는 기업의 비중은 2.65%에 불과했다.

일단 사이버보안 직종 채용에 가장 기본적인 기준은 CISSP 자격증 여부다. 이는 관련 분야에서 적어도 5년 이상 경력을 쌓아야 받을 수 있는 자격증이다. 하지만 대부분의 사람들은 CISSP 없이 초기 5년 경력을 만들 수 없다고 주장하고 있다. 이 분야 성격상 숙련된 전문가를 필요로 하는 곳은 많지만 업무를 실전에서 배우고 전문가로 성장할 수 있는 기회를 주는 곳을 찾기 어렵다는 것.

한편, ISACA가 작성한 보고서에 따르면 기업들 입장에서는 경력이 있고 사이버보안 기술이 보장된 전문가가 필요할 수밖에 없는 현실이다. 당장 실전에 투입되는 인력이 필요하기 때문이다. 따라서 사이버보안 업계의 인력 딜레마는 2016년에도 해결책 없이 지속될 것이라고 결론지었다.
Copyright © 2016 UBM Tech, All rights reserved
[국제부 주소형 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>