‘어떻게 잘’ 투자할 것인가? 지금은 전략적 투자를 고민할 때

[보안뉴스= 이동훈 고려대학교 정보보호대학원장·한국정보보호학회 수석부회장] 지난 2월 초 미국 오바마 대통령은 사이버보안 국가행동계획(Cybersecurity National Action Plan, CNAP)과 함께 관련된 일련의 세부계획을 발표했다. 그는 이 계획을 통해 사이버위협이 미국이 직면한 가장 주요한 도전이며, 전 국가적 차원에서 이 도전에 맞서야 한다는 점을 다시금 강조하고 있다.

이번 계획에는 대통령 임기를 시작한 2009년도부터 국가사이버안보 강화에 공을 들여왔던 오바마 대통령이 소니영화사 해킹, 인사관리처 해킹을 포함한 사이버 위협들과 사이버보안 입법화와 행정명령, 사이버사령부 창설 등 7년간의 다양한 경험을 통해 얻은 교훈이 오롯이 담겨 있다.

상대적으로 보안이 강할 것이라고 믿었던 국세청과 인사관리처와 같은 연방기관을 대상으로 이뤄진 사이버공격이 미국의 국가안보와 국민안전에 미친 피해의 심각성과 연방정부의 사이버보안 취약점과 역량에 대한 냉정한 분석을 통해 오바마가 제시하고 있는 계획은 거창하고 특별한 것이 아니다.

이는 연방정부 시스템과 네트워크의 사이버 취약점을 최소화하고 국가기관의 사이버보안 역량 강화와 민간영역과의 협력증진을 통해 국가 사이버보안을 강화해야 한다는 것이다.

구체적으로 이번 계획은 사이버 취약점 최소화를 위해 정부가 가지고 있는 보안에 취약한 오래된 레거시 IT 장비를 퇴출시켜 정부 IT 체계를 현대화하고, 온라인 계정 로그인 시 효과적인 신원검증과 다중요소 인증서비스를 지원하도록 권고하며, 개인식별자 용도의 사회보장번호 사용을 최소화하기 위한 방안을 마련할 것을 요구하고 있다.

예방능력 강화를 위해서는 연방 보안시스템인 EINSTEIN 사용을 강화하고, 연방차원의 민간 사이버방어팀을 48개로 증가시키는 동시에 최고의 사이버보안 인재들을 배치할 것이 요구되고 있다. 대응능력 강화를 위해서는 국가 사이버사고 조정정책과 사이버사고 평가방법론을 수립하고, 복원력 강화를 위한 기반시설 소유자․운영자들과의 협력 강화와 ‘국가 사이버보안 복원력 센터’ 설치 계획도 포함하고 있다.

또한, 이번 계획의 성공적인 운영과 관리를 위해 ‘국가사이버안보강화위원회’라는 새로운 국가자문기구를 설립해 2016년 말까지 국가 사이버보안 강화 로드맵을 작성하도록 하고 있으며, 연방정부 차원의 사이버보안 계획․실행 촉진을 위해 연방 최고정보보호책임자(CISO)를 신설할 것을 요구하고 있다.

오바마 대통령은 이번 행동계획을 현실화하기 위해 2017년도 사이버보안 예산으로 전년도 예산보다 35% 증액된 190억 달러를 요구했다. 예산규모를 통해서 엿볼 수 있는 사이버보안 강화에 대한 미국의 의지와 연방정부와 국가기관의 사이버역량 강화를 위한 국가 사이버보안강화자문위원회 설립과 연방 최고정보보호책임자 설치와 같은 구체적인 세부 계획들은 그 자체로 우리에게 시사하는 바가 크다.

하지만 무엇보다 특히 눈 여겨 보아야 할 점은 미국은 이 계획의 현실화 방안으로 교육훈련 프로그램을 강화하고 정부와 공공기관에 더 많은 사이버보안 전문가를 고용하기 위한 방안을 마련하는 등 사이버보안 인력의 중요성을 강조하고 있다는 점이다.

이와 관련한 세부적인 내용으로는 2년간 기반시설 보호를 지원하게 될 사이버예비군 지원자 대상 장학 프로그램(CyberCorps)의 마련, 국가사이버보안 우수교육센터 프로그램(CAE)을 포함한 정부기관 지원 프로그램의 강화(커리큘럼 강화, 참여 교육기관과 수혜학생 수 증가, 참여기관에 대한 지원 강화), 오바마 대통령이 강조해온 ‘모두를 위한 컴퓨터과학’ 교육 프로그램에서의 사이버보안 교육 강화 등 교육 프로그램 강화는 물론 연방정부기관의 사이버보안인력 고용 촉진을 위한 학자금 융자탕감 프로그램 확대조치도 포함하고 있다. 미국은 이번 계획의 사이버인력 양성 프로그램에 2017년도 1년간 6천5백만 달러를 투자할 계획이라고 한다.

다행히 우리나라 미래창조과학부도 2020년까지 글로벌 보안인재 1천명을 양성할 계획을 수립하고 있다. 하지만 주의 깊게 봐야 할 것은 미국이 이번 계획에서 강조하고 있는 교육과 인력양성 프로그램은 우리처럼 민간 보안산업과 기업들을 위한 보안인력의 양적 확대를 위한 것이 아니라 정부와 국가기관을 위한 사이버보안 인력 양성을 통해 국가기관이 우수한 사이버보안 인력을 확보하도록 보장하는 것에 중점을 두고 있다는 것이다.

국방부(DoD), 국가보안국(NSA), 국토안보부(DHS), 연방수사국(FBI) 등 국가 사이버보안에서 중요한 역할과 책임을 맡고 있는 국가기관에서 국가 네트워크와 기반시설을 방어할 우수 보안인력을 양성해 국가기관의 자체 사이버보안 역량을 강화함으로써 국가 사이버보안을 강화하겠다는 것이다.

그러나 이와는 달리 단기간 교육과정을 통한 민간 사이버보안인력 양성에 중점을 두고 있고, 배출된 우수 보안인력들은 더 많은 돈을 주는 민간 기업을 선택할 수밖에 없는 구조를 가진 대한민국의 보안인력시장 상황에서는 지금과 같은 민간과 공공의 사이버보안 역량의 심각한 불균형 현상을 피할 수 없다.

대한민국에서 국가기관의 사이버보안 역량 강화를 통해 공공영역의 사이버보안 역량의 민간영역에 대한 균형과 리더십을 회복하고 국가 사이버안보를 강화하기 위해서는 국가기관들의 수요에 기반한 사이버보안 전문인력 양성프로그램들이 많이 만들어지고, 배출된 우수 인력들을 국가기관이 우선적으로 활용할 수 있도록 보장해주는 혁신적인 고용정책이 마련돼야 한다. 우리에게는 이미 우수 학생들을 선발하여 사이버보안 교육을 통해 7년간 사이버장교로 군에 복무하도록 하는 사이버국방학과라는 성공적인 모델도 존재한다.

앞으로 사이버국방학과 모델을 확장해 군뿐만 아니라 정보기관, 경찰, 정부부처 등 국가 사이버안보체계에서 핵심적인 역할을 맡고 있는 국가기관이 필요로 하는 우수 사이버 인력을 양성하기 위한 대학, 대학원 과정의 맞춤형 교육 프로그램들을 다양하게 개발하고, 사이버국방학과와 같은 기존의 프로그램에 대한 지원도 강화해야 한다.

더 나아가 이 교육 프로그램들은 지금까지의 지원 프로그램들처럼 단순히 학생들의 장학금 지급 정도의 수준에만 머물러서는 안 되며, 사이버보안 실무역량 강화를 위한 교육훈련환경 구축비용 지원과 교육생들의 해당기관 사이버보안 연구개발 프로그램 참여 기회 제공 혜택도 반드시 포함해야 한다.

국가 사이버보안 강화를 위해 ‘사람에 투자해야 한다’는 말은 항상 옳다. 하지만, 이제는 무조건적 투자보다는 한 발 더 나아가 효과적이고 실질적인 국가 사이버보안 강화를 위해 ‘어떤 사람들에 우선 투자할 것인가’, 국가적인 차원에서 ‘사람들을 어디에 우선 배치할 것인가’에 대한 전략적 투자를 고민해야 할 때다.

미국의 이번 계획은 이 문제에 대한 미국의 고민과 선택을 잘 보여주고 있으며, 위에서 살펴본 것처럼 공공과 민간의 보안역량의 불균형으로 리더십에 어려움을 겪고 있는 우리에게 주는 시사점도 크다. 우리도 우리 자신의 그간의 경험과 교훈, 그리고 역량에 대한 객관적이고 냉철한 분석을 통해 국가적 차원에서 사이버보안 강화를 위해 사람에게 ‘어떻게 잘’ 투자할 것인지에 대한 고민을 본격적으로 시작해야 한다.
[글 _ 이동훈 고려대학교 정보보호대학원장·한국정보보호학회 수석부회장
(donghlee@korea.ac.kr)]

필자 소개_ 고려대학교 이동훈 원장은 고려대학교 경제학 학사를 수료한 후 오클라호마대학에서 석박사를 수료했다. 이후 금융감독원 전문위원과 위원장을 지냈으며, 한국암호포럼 초대의장으로 활동했다. 현재는 국가과학기술자문위원회 위원, 사이버사령부 자문위원, 한국정보보호학회 수석부회장이자 고려대학교 정보보호대학원 원장으로 활발하게 활동하고 있다.

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>