.jpg)
\r\n
차세대 보안리더 양성 프로그램(BoB) 탄생 주역 유 준 상 KITRI 원장
\r\n
\r\n
지난 8월 7일부터 미국 라스베이거스에서는 세계 최고 권위를 자랑하는 해킹대회인 데프콘 CTF 22가 개최됐다. 올해 본선진출팀 20개 팀 중 5개 팀이 한국 팀일 정도로 우리나라 보안전문가들의 실력이 세계 최고 수준에 올라와 있다는 평가다. 더욱이 5개 팀의 팀원 중 24명이 한국정보기술연구원(KITRI)에서 진행하고 있는 차세대 보안리더 양성 프로그램(이하 BoB) 졸업생이거나 교육생, 그리고 멘토들이라는 점에서 더욱 놀라움을 안겨주고 있다. 이제 겨우(?) 3기생을 모집한 BoB가 국내를 넘어 글로벌 보안인재 육성의 산실로 자리 잡으며, 국내외 보안인들의 주목을 한 몸에 받고 있는 것이다. 이러한 BoB가 탄생하기까지는 국회, 관련 정부부처, 공공기관, 기업 등 곳곳을 발품 팔아가며, 보안인력 10만 양성론을 주창하고, 이를 토대로 보안인력 양성 예산을 확보할 수 있었던 한국정보기술연구원 유준상 원장의 노력이 절대적이었다.
\r\n
\r\n
\r\n
BoB 3기 교육생이 선발돼 열심히 교육 중인 걸로 알고 있습 니다. 새롭게 교육생들을 맞이하신 소감은 어떤지 궁금합니다.
\r\n
2012년 7월 BoB 1기 60명을 선발한 이후에 교육생들의 안보 현장체험, 워크숍, 정보보안 관련 기관 및 산업체 견학, 임무 형 국외연수 프로그램과 같은 각종 교육 행사에 거의 빠짐없 이 참가하고, BoB 교육센터에서 매일같이 교육생들과 함께 해 온 것이 벌써 3년째입니다. 2기 120명의 수료식을 거행했 던 것도 엊그제 같은데, 시간이 빠르게 지나간다는 것을 새삼 느끼고 있습니다. 그간 교육생들이 수료한 후에도 교육센터에 자주 방문하여 연구 활동을 지속하는 등 지속적인 교류가 가 능한 문화가 형성된 것 같습니다.
\r\n
\r\n
이번 3기 교육생들에게도 마음껏 연구 활동을 즐길 수 있는 환경을 제공하고 기술 교육과 함께 인성교육을 병행한다면 BoB가 국내 정보보안 교육의 메카로서 자리 잡을 수 있을 것 이라고 봅니다.
\r\n
\r\n
이제 BoB는 자라나는 보안꿈나무들에게는 선망의 대상, 그리고 보안종사자들에게는 관심의 대상이 되고 있는 것 같습니다. BoB의 탄생비화에 대해 간략히 말씀해 주신다면?
\r\n
처음 부임할 때 한국정보기술연구원의 작은 규모와 IT 강국이 라는 명성에 비해 국내 보안 분야가 상대적으로 열악한 상황 이라는 점에 많이 놀랐습니다. 이에 직원의 처우를 개선하고, 연구원의 외연을 확대하고자 첫 방향으로 잡은 것이 정보보안 우수두뇌 양성사업이며, 이것이 최근 주목받고 있는 BoB의 시작이었습니다. 정보보안 분야의 중요성에 대한 인식부재와 종사자들의 열악한 처우개선이 가장 문제였습니다. 이로 인한 우수 보안인재들의 유출로 인력의 수급 불균형이 심각하다는 사실을 알게 됐습니다.
\r\n
\r\n
이때부터 생각하게된 것이 보안인력 10만 명 양성론입니다. 첫 해 어렵게 교육예산을 확보했으나, 당시 정부정책이 모든 인력 양성 사업을 노동부로 통합하게 되어 구직자를 위한 보안전문 가 양성 프로그램을 시행하게 됐습니다. 이후 2011년 농협, 현 대캐피탈 등 대형 보안사고가 잇달아 발생하면서 당시 연구원 의 주무부처였던 지식경제부와 기획하고, 이를 바탕으로 국회 등을 설득해 2012년에 BoB 1기를 시작할 수 있게 된 겁니다.
\r\n
\r\n
국가나 기업 등에서 BoB에 거는 기대가 그만큼 커지는 것 같습니다. BoB에서 배출된 인재들이 어떤 역할을 해주었으면 하시는지요?
\r\n
정보보안 분야는 IT 산업이 향후에도 안정적으로 발전할 수 있는 토대를 제공하고 국가안보와도 직결될 수 있는 분야로 써 그 중요성을 아무리 강조한다고 해도 부족함이 없다고 봅 니다. BoB 교육생들이 이와 같이 중요한 분야의 핵심인력으 로 성장해 국내 정보보안 기술력 향상에 도움을 주며 국내 정 보보안 기술이 국제적인 경쟁력을 갖출 수 있도록 기여했으면 하는 마음은 저도 다른 분들과 마찬가지입니다.
\r\n
\r\n
하지만 제가 덧붙이고 싶은 것은 국내 정보보안 산업 환경이 여전히 열악한 수준이라는 것입니다. 저는 BoB 교육생들이 차세대 보안리더가 되기 위해서는 단순히 기술력만 높은 수 준으로는 어렵다고 생각합니다. 기술적인 창의력뿐만 아니라 국내 정보보안 종사자 분들이 영감을 얻고 따를 수 있을 사업 적·전략적 창의력도 고루 갖춰야 진정한 보안리더로 성장할 수 있다는 겁니다. 이에 교육센터에서도 교육생의 기술력과 함께 리더로써의 자질과 협업능력, 창의력을 중시합니다. 이러한 능력이 뒷받침되어야만 현 정부에서 강조하는 창조경제 의 밑거름되는 인재로 성장할 수 있는 거 아닐까요? 전 결국 창조경제의 핵심과제 중 하나가 정보보안이라고 보니까요.
\r\n
\r\n
이제 BoB를 통해 배출되는 보안인력들은 글로벌 인재로 성장해야 하는데요. 이를 위해 원장님께서 특히 강조하시는 부분이 있으신가요?
\r\n
정보보안은 한 명의 최고실력자가 만 명의 공격을 막아낼 수 있는 두뇌싸움, 즉 창의적인 문제 해결력이 매우 중요한 분야 로 최정예 인재의 양성은 이제 전 세계 공통의 관심사입니다. 이와 관련해 한 가지 예를 들고 싶은 제도가 바로 이스라엘의 인재육성 제도인 탈피오트(Talpiot)입니다. 탈피오트는 최근 미국 실리콘밸리에서 이스라엘 회사의 창업과 성공이 늘어가 는 데 큰 역할을 하고 있어 BoB 교육을 이끌고 있는 저에게도 많은 영감을 주는 제도입니다.
\r\n
\r\n
탈피오트는 수학·물리학·컴퓨터공학에 뛰어난 재능을 지닌 우수 고등학생을 매년 50~60명 내외로 선발하여 예루살렘의 히브리 대학에서 40개월 동안 공부시켜 과학학사(Bsc)를 취득하게 하고, 장교로 임관할 수 있도록 하는 제도입니다. 탈피오트가 이스라엘에서 각광 받는 이유는 수료생이 하버드 출신 이상의 대접을 받기 때문이기도 하지만, 이면에는 계급을 따지지 않는 수평적 네트워크와 창의성을 강조한 활발한 토론문화를 통해 우수한 인재로 거듭날 수 있는 기회를 제공받기 때문이죠. 이러한 제도가 성공한 이유는 아무리 높은 사람과도 격 없이 토론하는 후츠파 정신이 밑바탕에 깔려 있기 때문이기도 합니다.
\r\n
\r\n
덧붙여 국내 보안인재들이 국제경쟁력을 갖추기 위해서는 국내 보안인들끼리의 경쟁에서 벗어나 해외의 인재들과 교류하고 글로벌 기술 동향을 이해하는 시야를 갖추어야 합니다. 얼마 전 은퇴한 축구선수 박지성이 한국 축구 국가대표팀의 리더로서 그만큼 좋은 선수가 될 수 있었던 것은 외국에서 치열하게 경쟁하며 자신만의 기술적·정신적 장점을 극대화해 왔기 때문이죠. 박지성의 사례와 같이 정보보안 분야에서도 국제적 경쟁력을 갖춘 인재가 되기 위해서는 도전정신을 통한 넓은 시야를 확보하는 것이 무엇보다 중요한 겁니다.
\r\n
\r\n
BoB를 통해 배출된 인력들이 마음껏 활동할 수 있는 부처, 기관이나 기업의 보안담당자 자리가 확보되지 않는다면 교육생들이 다른 유혹을 받을 여지도 그만큼 크다고 볼 수 있는데요. 교육을 이미 마친 수료생들의 취업 지원 등 지속적인 관리 프로그램이 있다면?
\r\n
BoB 교육의 가장 큰 특징 중 하나는 수료생들을 대상으로 하는 사후관리 프로그램입니다. BoB는 정보보안 분야에 잠재력을 지닌 청년층을 대상으로 모집을 진행하는 관계로 교육생들의 나이가 어린 특징을 지니고 있습니다. BoB 교육생들의 평균나이는 20대 초반이며 교육과정을 수료한 수료생들이 정보보안 학계나 산업계에 진출할 시기가 도래하기까지는 군복무 기간을 포함하여 6,7년 정도가 남게 됩니다. 따라서 수료생들이 다음 진로로 진출하게 될 시기가 도래하기까지 관련 전문성과 진로방향을 유지하고, 수료생 각자의 적성과 희망을 고려한 맞춤형 진로연계 시스템을 구축하는데 많은 신경을 썼습니다
\r\n
\r\n
이와 함께 BoB 수료생들은 국가 지원을 통해 양성된 정보보안 분야의 일원으로서 사회적 책임을 다할 수 있도록 중소기업을 대상으로 하는 무료 보안 컨설팅이나 정보보안 진로 희망자들을 대상으로 하는 강연 등을 진행하도록 하는 등 다양한 기회의 장을 마련해주고 있습니다. 수료생들은 보안연구회 등 상호 간 네트워크를 형성하여 연구 활동 등의 정보를 공유하고 창의적인 협력활동을 지속하는 등 협업 시너지를 창출할 수 있는 토대가 제공되는 겁니다. 이러한 프로그램 덕분인지 최근에는 BoB 교육생들이 주축이 된 코드레드팀이 국제 해킹방어대회인 시큐인사이드에서 준우승을 하고 데프콘 본선에도 진출하는 등 많은 성과를 이루어내고 있습니다. 향후에는 이 사후관리 프로그램을 보다 체계화·다양화해 더 많은 수료생들이 국내의 주요 기관이나 산업체에서 리더로서 성장할 수 있는 자질을 갖출 수 있도록 노력할 계획입니다.
\r\n
\r\n
올 상반기 개인정보 유출사고 등 보안이슈가 너무 많았는데요. 보안 측면에서 우리나라에서의 가장 큰 문제점은 무엇이라고 보시는지요?
\r\n
올해 초 발생했던 세월호 사건으로 인해 모든 국민들이 슬픔에 잠겼었습니다. 저는 세월호 사건을 보면서 정보보안 분야에서도 이러한 일이 발생했을 때에는 큰 재난이 닥칠 수 있겠구나라는 생각을 했습니다. 세월호 사건의 근본적 문제는 재난구조를 위한 컨트롤타워가 부재했다는 데 기반하고 있어요. 국내 정보보안 업계의 가장 큰 문제 중 하나도 컨트롤타워의 부재라고 볼 수 있습니다.
\r\n
\r\n
이제 정보보안판 세월호 사건이 일어나지 않으라는 법이 없으며, 항상 그래왔듯이 소 잃고 외양간을 고치고자 해도 이미 입은 피해는 복구하기 힘듭니다. 컨트롤타워는 굳이 큰 사건이 발생했을 때만 존재하는 것이 아니며, 보안 컨트롤타워 부재는 하나의 보안정책, 즉 국가 정보보안을 위한 하나의 정치적 책략의 부재를 의미하기도 합니다. 현재 정보보안 분야의 각 기관 및 산업체들은 소통이 부재하고 대기업들은 정보보안 분야에 대한 인식이 부족합니다. 특히 기업들은 정보보안 분야를 필수요소라기 보다는 오버헤드로 인식하여 투자를 꺼리는 경우가 많죠. 또한 정보보안 사고 발생 시 되풀이되는 정부의 솜방망이 처벌로 인해 국내 기업가들에게 정보보안 분야에 대한 투자를 종용하기에는 소위 약발이 먹히지 않는 게 사실입니다.
\r\n
\r\n
이를 위해선 청와대 내에 보다 강력한 정보보안조직을 신설하고, 기업에 대해서도 징벌적 손해배상 제도를 도입할 필요가 있다고 봅니다. 기업 자체적으로는 버그 바운티 제도를 활성화해 화이트해커들이 보안취약점을 찾아 신고하면 이를 신속히 개선시킬 수 있도록 하는 문화를 만들어야 합니다
\r\n
\r\n
.jpg)
\r\n
\r\n
\r\n
<글 : 권준 기자>
\r\n
\r\n
[월간 시큐리티월드 통권 제212호(sw@infothe.com)]
\r\n
\r\n
<저작권자 : www.securityworldmag.co.kr) 무단전재-재배포금지>
\r\n
