보안 훈련을 게임화시키면, 보다 큰 그림 볼 수 있게 돼
사람 모자라는 현상, 자동화 기술로 대체한다는 기대감 쌓이고 있어

[보안뉴스 문가용 기자] 보안 업체 맥아피(McAfee)의 CISO인 그란트 부르지카스(Grant Bourzikas)는 “게임이 보안 인재난을 해결할 것”이라고 주장한다. 정확히 말하면 ‘게임’이 아니라 ‘게임화(gamification)’다. 실제로 맥아피는 게임을 이용해 보안관제센터 운영 요원들을 찾아냈다고 한다.


리서치 기관인 밴슨 본(Vanson Bourne)에서 최근 발표한 자료에 의하면 실제로 업체의 3/4가 “경험이 풍부한 비디오 게이머들을 고용해 보안 팀 공석을 메울 수 있다”고 보고 있다고 한다. 보안과 게이머라니, 충격적일 수 있는 내용이다. 그러나 그렇지만도 않다. 왜 그럴까?

보안 인재난이 가장 극심하게 체감되는 곳은 관제센터다. 이곳에는 보안 전문가들이 오려고 하지도 않고, 온다고 해도 행복하게 근무하지 못하며, 그래서 일찌감치 떠난다. 그러므로 적절한 인재를 1) 찾아, 2) 성공적으로 배정하고, 3) 최대한 오래 머물며 4) 행복하게 근무하게 하는 것이 기업들이 말하는 ‘인재난’의 세부 사항이라고 밴슨 본은 말한다. 미국, 영국, 독일, 프랑스, 싱가포르, 호주, 일본의 500개 단체에서 근무하는 950명의 보안 전문가들을 대상으로 조사한 결과다.

그렇다면 보안 전문가들은 어떤 점에서 재미와 행복을 느끼게 될까? 밴슨 본의 조사에 의하면 이들은 “CTF나 그와 비슷한 프로젝트를 수행할 때 ‘극히’ 만족스럽다”고 답했다(54%). 반대로 CTF가 대단히 불만족스럽다고 답한 보안 전문가는 14% 뿐이었다. 이 부분을 생각하면 보안과 게임 사이에 희미한 연결고리가 생긴다.

부르지카스에 의하면 맥아피에서는 보안 담당 직원들을 대상으로 격주 PC 훈련을 하고, 매달 한 번 레드팀 훈련을 한다고 한다. CTF와 비슷한 실제 해킹 훈련을 게임처럼 전 회사가 실시한다는 것이다. “제 생각에는 이게 단순한 재미 차원을 넘어서는 훈련입니다. 오히려 보안의 더 큰 그림을 보게 해주죠. 매일 고정적인 일만 처리하다보면 큰 그림을 보지 못하지만 실제로 레드팀이 돼서 공격을 고민하면 내가 매일처럼 처리하던 일들이 어떤 의미를 가지고 있는지 알게 되더군요. 그게 게임화의 진짜 가치입니다.”

게다가 모의 공격 훈련을 게임처럼 진행하다보니 여러 기술들도 단련이 된다. “다양한 시나리오로 공격을 하다보니 자신이 가진 기술을 다른 각도에서 발휘하기 시작합니다. 문제 해결에 대한 폭넓은 시각을 갖게 되는 것이죠. 게다가 게임이니까 실수를 해도 부담없고, 그 실수를 통해 배우는 것은 더 부담이 없어지죠.”

맥아피가 말하는 격주 PC 훈련은 회사의 네트워크 및 워크스테이션에 일어나거나 일어날 수 있는 공격에 대해 방어하는 것으로 임직원들이 공격 발생 시 어떤 판단을 내리고 어떤 행동을 취할 수 있는지를 배울 수 있게 한다. “먼저는 현재 상태를 점검하게 하고, 그 정보를 바탕으로 직면한 사태에 대한 해결책을 떠올리게 하는 겁니다. 이 과정에서 우리가 가지고 있는 선입견이나 잘못된 가정들이 드러나더군요.”

한편 밴슨 본의 연구에 참여한 조직들 중 52%는 매년 보안 담당자들 중 누군가 퇴사한다고 답했다. 85%는 애초에 원하는 인재를 찾는 것 자체가 어렵다고 답했고, 31%는 언젠가부터 신입을 고용하려는 노력조차 하고 있지 않다고 답하기도 했다고 한다. 부르지카스는 “회사가 새로운 인재들의 관심을 끌기 위해 노력하고, 새로운 시도들을 해야 한다”고 말한다. “어떻게 해야 우리 회사에 오고 싶어할까? 어떻게 해야 우리 회사에서 보안 전문가로서의 경력을 안정적으로 쌓을 수 있게 해줄까? 이 고민에 대한 답을 노출시켜야 합니다.”

부르자키스는 이 부분에 있어서도 게임화가 큰 도움이 될 수 있을 것이라고 말한다. “우리 회사에 오면 게임을 많이 할 수 있다는 게 아니라, 우리 회사는 직원들에게 이런 것도 제공한다는 걸 보여줄 수 있다면 도움이 될 겁니다. 레드팀 훈련을 매달 하면서 보안의 최신 트렌드를 몸으로 직접 체험해볼 수 있다는 건 구구절절 설명하지 않아도 보안 전문가들에게 꽤나 매력적인 요소가 될 겁니다.”

보안 인력난 때문에 다른 한 편에서 대두되고 있는 건 자동화 기술이다. 기계가 보안 업무를 일부 자동으로 빠르게 처리해줄 수 있는 것만으로도 어느 정도 일이 밀리는 걸 해소할 수 있지 않을까 하는 기대감인 1~2년 전부터 팽배했었다. 부르지카스도 이 전망에 대해 긍정적이다. “매일처럼 처리해야 하는 기계적인 일들이 분명히 있어요. 이걸 자동화 기술이 맡아주면 보안 전문가들은 보다 전문적이고 진짜 보안과 관계된 중요한 일들에 집중할 수 있겠죠.”

맥아피의 정보 보안 책임자인 빌 우즈(Bill Woods)는 “어차피 세상에는 완벽한 보안이란 것이 있을 수 없다”고 말한다. “절대 뚫리지 않는 시스템이나 네트워크는 없어요. 해커와 방어자는 항상 체스 게임을 두고 있는 것과 같습니다. 이쪽에서 움직임을 취하면 반대쪽에서 그에 상응하는 수를 쓰죠. 그러니 보안 자체가 거대한 게임 한 판과 같다고 볼 수도 있습니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>