비를 너무나 좋아하는 기자조차도 지긋지긋했던 비가 또 다시 쏟아져 내리던 날. 한국국방연구원을 찾은 기자는 장월수 보안과장과 함께 빗소리를 들으며 따뜻한 차를 마셨다. 그러나 차 한 잔의 여유는 잠시 뿐. 우리나라 보안수준과 문제점에 대한 장월수 과장의 냉철한 분석이 이어지면서 일순 분위기는 긴장감이 감돌았다. 그에겐 얼마 전 매스컴을 강타한 전 공군참모총장의 군사기밀 유출사건이 큰 충격으로 다가온 듯 했다. \r\n

\r\n

보안경제의 중요성 짚은 박사논문 준비중

\r\n

“최근 전직 공군수뇌부의 기밀유출 사건도 그렇고, 국방 분야나 민간기업의 핵심기술이 중국 등으로 많이 유출되면서 해당국가의 기술수준이 크게 향상됐어요. 이렇게 되면서 우리나라 국가경쟁력 제고에 막대한 지장을 초래하고 있지만, 더 큰 문제는 아직까지도 이에 대한 심각성을 인식하지 못하는 점인 것 같아요.” 최근 개인정보 유출사건이 잇달아 터지고, 개인정보보호법 시행을 앞두고 있는 상황이라 개인정보 보호에 대한 관심은 매우 높아졌지만, 정작 더 중요한 기밀정보인 공공기관과 기업의 핵심기술 유출에 대해서는 언론으로 보도되는 큰 사건 외엔 별다른 관심을 갖지 않는 점에 아쉬움을 나타내는 장월수 과장이다.

\r\n

이러한 문제에 착안해 장월수 과장은 고려대학교 정보보호대학원에서 박사과정을 밟으며 기술유출 규모와 피해액 등을 수치화할 수 있는 연구논문을 준비하고 있다고 밝혔다. 결국 정부기관이나 기업 모두 자신들이 보유하고 있는 기술이나 정보가 얼마나 중요하고 가치 있는 것인지 수치화·계량화하지 못했기 때문에 보안에 소홀할 수밖에 없었다는 것이다. 그는 이러한 연구 분야를 ‘보안경제’라고 표현하면서 자신이 기술한 책 보안총론에서 자세히 소개하기도 했다. “보안경제는 보안예산 투자근거에서부터 기술유출시 피해규모를 산정하는 방법 등을 세부적으로 소개함으로써 보안의식을 고취시키고, 보안투자를 확대시켜 사고예방에 기여할 수 있도록 하는 것”이라고 그는 설명했다.

\r\n

덧붙여 그는 “외부의 해커나 침입자에 의해 기밀이나 정보가 유출되는 경우는 5% 정도에 불과하다”며, “그보다 훨씬 비중이 높은 건 시스템 취약점을 노린 내부로부터의 유출이지만, 경영진들이 내부 직원보다는 외부의 침입자나 해커에 더 큰 관심을 가지면서 제대로 된 보안대책이 시행되지 못하고 있다”고 말했다.

\r\n

\r\n

사후약방문식 보안대응은 이제 그만!

\r\n

또 한 가지 그는 융통성 없는 보안대책에 대해서도 일침을 가했다. “댐의 경우 비가 많이 와 댐이 넘칠 지경에 다다르면 수문을 열어 수위를 낮춰야 함에도 불구하고 무조건 막으려고만 하다 보니까 문제가 발생하는 것”이라며, “보안도 마찬가지로 무조건 차단하고 어렵게 만드는 게 능사라 아니라 중요도에 따라 어느 정도의 편의성을 담보해야만 큰 부작용 없이 진행될 수 있다”고 밝혔다.

\r\n

이를 위해서는 무엇보다 각 공공기관과 기업마다 자사의 특성에 맞는 보안 개념을 정립시키고, 자사 보유 기술과 영업비밀의 중요도를 면밀히 분석해 체계적으로 구분해 놓는 일이 선행되어야 한다는 게 장 과장의 설명이다. 미국의 경우 전문기구를 두고 비밀분류체계를 매년 평가하면서 이에 대한 외부자문도 진행하는 반면, 우리나라는 정부기관, 그리고 각 기업마다 비밀분류기준이 다르고, 체계적이지 못해 정작 중요하지 않는 정보나 기술에 많은 비용과 자원을 집중시키는 경우가 많다는 지적이다.

\r\n

또한, 그는 민간 기업은 물론 관련 공공기관의 보안정책이 사후 처벌, 징계 위주보다 사전 서비스 개념으로 바뀌어야 한다는 의견도 피력했다. “보안사건이 터졌을 때에만 샅샅이 조사하고 문제 삼는 사후약방문 식 대응은 지양해야 한다고 봐요. 미국의 경우 관련 정부기구에서 미국의 방산업체나 대기업들의 보안업무에 대해 적극 자문해주거나 컨설팅 서비스도 해주거든요. 우리나라의 경우도 이러한 별도의 지원기관이 필요하다고 봅니다.”

\r\n

\r\n

보안담당자들이여! 보다 유연한 대처가 필요하다

\r\n

국군기무사령부에서 문서보안, 시설보안, 인원보안, 보안사고 조사 등 다양한 보안업무를 수행하다 2004년부터 한국국방연구원에 근무하면서 보안업무를 총괄하는 자리에 이르기까지 27년간 보안이라는 한 우물만을 파온 장월수 과장. 그는 그동안 축적했던 보안이론과 노하우를 집대성해 ‘보안총론’이라는 책자를 출간하기도 했다. 책자 출간목적에 대해 그는 “현재 기업에서 정보나 자산을 스스로 파악하고 중요도를 분류할 수 있도록 하고, 어떻게 보호할 것인지 그 방법을 제시하고자 했으며, 끝으로 피해를 입었을 때 대처할 수 있는 방법에 대해 모두 담고자 했다”고 말했다. 이를 위해 이 책에는 보안개요에서부터 보안관계 법규, 사이버 보안위협, 보안업무 수행을 위한 기본자세는 물론 각 기능별·분야별 보안업무와 보안조사, 보안경제, 보안전쟁사에 이르기까지 보안의 A부터 Z까지 상세하게 기술했다.

\r\n

\r\n

스마트폰의 폭발적 보급 등 격변하는 IT 환경의 변화 속에서 보안담당자들은 어떤 노력과 준비를 해야 할까? 이와 관련 장 과장은 “스마트폰을 비롯한 최신 IT 기기들의 보안위협을 철저히 분석하고 연구하되, 직원별로 그리고 기업환경에 따라 좀 더 유연한 대처를 해줄 것”을 주문했다. 앞으로 그는 “국제적 보안흐름에 우리나라가 뒤처지지 않도록 보다 적극적인 연구 활동과 함께 미국의 국토안보부(DHS)처럼 국내 보안 분야를 총괄할 수 있는 컨트롤타워의 필요성을 전파하기 위한 논리적 기반을 제공하고 싶다”는 바람을 피력했다.

\r\n

장월수 과장과의 인터뷰는 그의 보안인생 27년 동안 쌓아온 보안 노하우와 연구결과를 바탕으로 우리나라 국방보안 더 나아가 산업보안 수준이 한 단계 발전하는 데 큰 역할을 담당할 것이란 확신이 들었던 시간이었다.

\r\n

<글 : 권 준 기자>

\r\n

\r\n

[월간 시큐리티월드 통권 제176호(sw@infothe.com)]

\r\n

<저작권자 : 시큐리티월드(www.securityworldmag.co.kr) 무단전재-재배포금지>