• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

황혜선 원자력연구원 책임연구원 "보안 교육이 가장 중요하다" 2007.06.13

정보보안관리체계를 수립하고 이행하라

“보안, 장기적 관점에서 ‘교육’이 가장 중요”

보안SW, 필드테스트 필수...보안담당자 의견 귀 기울여야


새로운 곳을 여행하는 것은 언제나 설레고 마음이 들뜨게 마련이다. 하물며 새로운 사람을 만나는 것은 두말할 것도 없다. 특히나 자기 분야에서 뚜렷한 의식을 가지고 일하는 당당한 사람들을 만나 대화를 하다보면 그 기운이 전해져 대화상대자까지 기가 충만해지는 것을 느낀다.


이번에는 보안1세대 주역중 한명이라고 할 수 있는 황혜선 한국원자력연구원 정책기획단 책임연구원을 만나봤다. 한마디 한마디가 체험에서 묻어나는 말들로 가득했고 그 일을 사랑하고 있다는 모습이 역력했다.


보안담당자들을 인터뷰하다보면, “내 자식들은 보안 일 절대 안했으면 좋겠어요. 너무 힘들어요”라는 말을 가끔 듣게 된다. 하지만 대부분 그 일에 열정을 가지고 있다.


황혜선 책임연구원 또한 ‘보안’이라는 개념도 없던 90년대 중반부터 지금까지 연구원의 보안업무를 책임져 왔다. 이런 저런 보안 사고를 겪으면서 몸으로 채득한 보안 노하우에 대해 들어봤다. 다음은 황 연구원과의 인터뷰 내용이다.


Interview

황혜선 한국원자력연구원 정보통신팀 책임연구원

 


“솔루션을 파는 것 아니고 서비스를 팔아야 한다”

-보안업무는 언제부터 시작하게 됐나

연구원에는 87년부터 전산실에서 근무를 시작했다. 그런데 94년에 해킹사건이 터졌다. 그것도 국제 해킹사건으로 워싱턴포스트지에까지 보도가 됐다. 영국 16살짜리 해커가 원자력연구원을 해킹한 사실이 밝혀졌고 해외 언론은 한국의 주요 국가기관망이 뚫렸다는 점에 주목했다. 당시에는 방화벽도 몰랐고 라우터를 만질 수 있는 사람도 없는 시대였다. 그 사건이 계기가 돼 보안에 눈을 뜨게 됐고 지금까지 보안업무를 해 오고 있다.


-이후로는 보안사건이 없었나

94년 해킹사건 이후 95년부터 준비해 96년에 방화벽을 연구원에 도입했다. 다른 기관에서도 관심이 많아 97년부터 여러 곳에서 방화벽 도입사례 발표를 하기도 했다. 그리고 97년 초에 지금도 각 분야에서 보안담당자로 활약하는 보안 1세대들과 보안커뮤니티를 결성해 정보도 교환하고 연구도 같이 해오고 있다. 그런데 2004년에 또 중국발 해킹 사건이 또 터진 것이다. 국회와 정부기관 등이 뚫렸다. 그때는 보안패치가 허술해 많은 기관이 해킹을 당한 사건이었다. 물론 지금은 철저히 대비를 하고 있는 상황이다.


-보안솔루션에 대한 생각과 도입 노하우가 있다면

보안솔루션은 다른 기관보다 빨리 도입하는 편이다. 그래서 보안업체들이 제품을 출시하면 가장 먼저 가져오는 경우도 많았다. 보안제품은 반드시 철저한 필드테스트를 받아야 한다. 그래서 꼼꼼하게 테스트를 하고 더 필요한 부분은 업체에 수정을 요구한다. 또 모든 기능을 다 활용해 본다. 그러다보면 연구원에 꼭 맞는 솔루션이 만들어지고 해당 솔루션 업체도 더욱 튼튼한 보안제품을 만들 수 있게 된다. 그리고 그 대가로 좀 저렴한 가격으로 도입할 수 있다는 장점도 있다. 


-지금은 주로 어떤 업무를 하고 있나

예전에는 솔루션 하나하나까지 다 신경을 썼지만 이제는 보안 관련 기획, 정책마련, 프로세스 업무 등이 대부분이다. 그 전에는 보안담당자가 보안솔루션을 만지는 사람이라고 생각했는데, 이제는 보안 프로세스를 정립하는 사람이 보안담당자라고 생각한다. 보안은 기술보다는 관리가 더 중요하다는 것을 갈수록 느끼고 있다. 과기부나 국정원 등에서 다양한 보안상태를 체크하고 있다. 개인정보보호 문제 하나만 가지고도 이와 관련된 보안관리 업무가 엄청나게 많다. 구글 문제는 어떻게 해결해야 하나, 보안서버는 구축했는가, 주민번호를 받을 것인가 말 것인가, 80개가 넘는 연구원 관련 홈페이지에 대한 보안은 어떻게 할 것인가 등등 세세한 부분에까지 보안가이드라인을 제시하는 것이 보통 작업이 아니다. 그래서 요즘은 연간 보안플랜뿐만 아니라 이슈가 생길때마다 가이드라인을 만들고 프로세스를 정립하고 교육을 하는데 치중하고 있다. 


-보안에 있어 가장 중요한 것은 무엇이라고 생각하나

보안은 관리와 프로세스가 중요하다. 또 무엇보다 중요한 것은 장기적 관점에서 봤을 때 ‘교육’이 가장 중요하다. 이 교육을 통해 관리와 프로세스가 이루어지는 것이다. 보안 체계와 제도만 만들었다고 다 되는 것이 아니다. 이를 직원들에게 알려야 실행이 되는 것이다. 그런 의미에서 교육이 보안에서 가장 중요한 부분이라고 생각한다.


-보안업무에서 힘든 점이 있다면

국가정보원의 2007년도 정보보호백서에 보면 “공공기관 중 정보보호전담부서가 없는 기관이 76.1%나 된다”는 보고가 있었다. 우리 기관도 마찬가지로 정보보호전담 조직이 없는 상태다. 정보보안에서 가장 중요한 것은 정책을 수립하고 이행하는 활동인데 그 주체인 조직이 없다는 것은 정보보안이라는 목적을 달성하는데 다른 요인들이 많이 작용할 수 있다는 것. 전담인력이 있는 것과 전담조직이 있는 것은 많은 차이가 있다. 의사결정을 하는 사람이 보안 외에 다른 업무도 같이 하고 있다면, 보안만 생각하고 결정할 수가 없다. 한마디로 말해 정보보안조직은 일반조직과는 분리되어 최고책임자의 의지를 바로 반영할 수 있는 직속라인에 존재하고 외압에 흔들리지 않고 정책을 수립하고 이행할 수 있는 권한이 보장되어야 한다. 연구소는 아직 전담조직도 없고 정보보안의 위상이 아직 그렇지가 못하다. 그러다 보니 정책결정을 하기 위한 라인이 명확하지 않아서 오는 어려움이 있다. 내부 조직체계에서 정보보안업무를 명확히 이해하지 못함으로 해서 생기는 오해도 많다. 연구소는 일반 회사와는 달라서 연구원들의 개성과 연구환경의 자율성이 많이 보장되어 있는 곳이다. 그래서 정책을 수립할 때 항상 명확한 대의명분과 필요성을 가지고 정확한 근거자료를 제시하려고 노력하고 있다. 사람을 설득하는 것이 가장 힘들다.


-보안업무를 통해 얻는 보람은

사용자들이 정보보안 정책을 숙지하고 어떤 새로운 환경이 발생했을 때 고민을 하면서 미리 상의해 올 때 보안관리자로서 보람을 느낀다.


-보안업무에 관심을 가지고 있는 후배들에게 해주고 싶은 말

현재 모든 사회현상이 사이버환경으로 이전하고 있다. 정보보안은 앞으로 많은 분야에서 계속해서 업무가 발생하고 확대될 것으로 판단된다. 지금까지의 정보보안관리자는 솔루션을 다루는 관리자가 많았다. 앞으로는 정보보안관리자가 정책기획과 교육, 변화관리 등을 담당하게 될 것이라고 생각한다. 기술전문가가 아니라는 말이다. 지금 시작한다면 정보보안법규 전문가, 정보보안교육 전문가 등 정보보안관리의 전문가가 되라고 권고하고 싶다. 


-현재 보안담당자들에게 도움이 될 만한 조언이 있다면

기관 보안담당자들에게 정보보안관리체계를 수립하고 이행하는 것이 얼마나 중요한지 말해주고 싶다. 솔루션 한대 더 사는 것 보다 교육체계를 만들고 교육을 자주 실시하는 것이 더욱 더 중요하다는 뜻이다. 


-하루 일과는 어떻게 되나

누구나 처럼 아침시간에 메일점검을 한다. 그리고 그날 할일을 우선순위별로 수첩에 적고 급한 일부터 시작한다. 예를 들면 기한이 정해져 있는 상위기관의 공문처리 같은 일 또는 타부서나 동료들과 함께 하는 일정을 확인하거나 회의일정을 잡는다. 그리고 나면 정보보안관련 정보를 검토한다. 여기저기서 관련 뉴스나 정보가 쏟아져 들어오니까 오는 내용만 보기도 벅찰 정도다. 새로운 정보나 뉴스중 우리기관과 관련된 부분을 발췌하고 관련 자료를 조사하도록 지시한다. 요즘은 새로운 정보보안정책을 수립하고 프로세스를 만드는 일에 많은 시간이 쓰고 있다.  


-보안업무 해오면서 겪었던 에피소드

최근 국세청, 검찰청등을 사칭한 사기 전화가 많이 왔다. 기관의 전화번호가 일련번호로 되어 있어서 같은 날 전 직원이 모두 사기 전화를 받았다. 그런데 정말 뜻밖에도 사기 전화가 왔다는 신고를 직원들이 나에게 하는 것이었다. 바이러스감염, 또는 해킹사건, 수상한 메일 신고 등 여러가지 사건들을 다루다 보니 거의 수사기관 정도의 위상이 된 것 같다는 생각이 들었다. 처음에는 왜 내게 전화했냐고 물었더니 전화한 직원도 웃었다. 어디로 전화해야 할지 몰랐다고 하면서...


-정보보호업체 관계자들에게

기관에서 정보보호를 담당하는 관리자들의 목소리를 간과하지 말아야 한다. 그들의 관점을 반영하면 정말 좋은 솔루션을 만들 수 있다. 그리고 정말 필요한 서비스를 개발할 수 있다. 사용자 커뮤니티가 많이 만들어져서 활성화 되고 산업체와 제도권에 많은 아이디어를 제시하고 정보보안 트렌드를 사용자 그룹이 리드해야 한다고 생각한다. 솔루션을 만들어서 출시하기 전에 반드시 필드테스트를 거쳐달라고 당부하고 싶다. 그러려면 사용자 그룹과 함께 나아가야 할 것이다. 그게 서로 win-win하는 길이라고 생각한다. 


-향후 정보보호 트렌드는 어떤 식으로 흘러갈까

정보보호업체는 솔루션을 파는 것이 아니고 서비스를 팔아야 한다고 생각한다. 정보보호 솔루션이 만들어져서 팔리고 운영되는 사이클과 비교할 때 해킹 기술의 발전 속도는 너무 빠르다. 그리고 해킹은 사람이 하는데, 우리의 현실은 정보보호 솔루션인 기계가 방어를 하고 있는 것이다. 정보보안솔루션이 개발되고 정착되면 이미 새로운 위협이 발생하고 있는 것이다. 기관의 정보보안 관리자는 이런 트렌드를 읽을 줄 알아야한다. 새로운 위협을 읽고 그걸 대비할 방법을 찾아야하는 것이다.  정보보호 업체는 앞으로 정보보호서비스를 다각도로 개발해서 그걸 팔아야 한다. 기관입장에서 같은 돈을 투자해서 얼마나 빨리 위협에 방어체계를 갖추느냐가 관건이다. 공격이 사람이라면 방어도 사람이 해야 한다. 물론 기계적인 공격도 있다. 그런 부분으로 인해 솔루션의 역할은 지속적으로 존재하겠지만... 


-올해 원내에서 보안분야중 가장 신경을 쓰고 있는 분야가 있다면

국가 전체적으로 개인정보보호를 위한 체계가 잡히는 원년이 될 것이라 생각한다. 우리 기관도 그럴 것이다. 연구원도 올해 개인정보보호와 정보유출방지 쪽에 초점을 맞추고 있다. 최근 몇 년 간 계속되어온 홈페이지 보안도 관리체계 쪽으로 자리가 잡힐 것 같다. 그리고 정보보안교육을 위한 본격적인 태동이 시작되는 해가 될것 같다.  


-직원교육에 신경을 많이 쓰신다고 들었다. 교육과 관련해 계획이 있다면

전체를 대상으로 하는 교육은 물론, 특정 대상별 교육을 실시하고자 한다. 예를 들면 간부급, 외부인력들, 소내 창업벤처들, 용역계약사들, 과제책임자들, 신입사원들, 과제소속원들 등등. 또한 정보보안 교육의 의무이수제를 실시하는 것이다. 연간 받아야하는 시간량을 정해놓고 정보보안교육 이수시간 실적이 부서평가나 개인평가에 반영이 되도록 하는 것이다. 최대한 반영해 보안교육을 더욱 강화할 방침이다.

또 교육의 형태를 집체교육과 온라인교육을 섞어서 실시하는 형태로 구성하려고 한다. 온라인교육은 또 개발비용도 들것 같고, 일단 비용없이 할 수 있는 것부터 하나씩 해나가 보려고 한다. 잘 되어있는 기관의 교육프로그램도 벤치마킹할 생각이다.


-나만의 보안 노하우가 있다면

위협을 알게 되는 순간 그것을 방어할 수 있게 된다. 업무를 하다보면 자연스럽게 위협이 존재한다는 것을 알 수 있다. 파악된 위협에는 반드시 방어체계를 만들어 나간다는 것이 철칙이다. 위협을 알게 되는 순간 ‘이미 늦은 것이 아닐까’라고 생각하며 두려움에 쌓이면 안된다. 지나고 보면 늦지 않았다는 것을 알게 된 경우가 많았다. 또 예방체계를 마련하는데 게을리 하면 안된다. 예방체계를 마련해 위협을 사전에 막았을 때 느끼는 보람은 이루 말할 수 없다. 정보보안은 예방이 정말 중요하다. 알게된 위협은 절대 그냥 넘어가면 안된다. 나중에는 감당할 수 없는 규모로 공격이 들어오게 된다.   

[길민권 기자(reporter21@boannews.com)]


<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>