지난 해 7월 유로2016 결승전에서 포르투갈이 강적 프랑스를 꺾고 처음 유럽축구선수권대회의 우승 트로피를 안았을 때, 많은 언론에서 ‘호날두의 눈물’ 덕분에 포르투갈이 우승했다고 썼다.

자타가 인정하는 세계 최고의 공격수 중 하나이지만, 정작 메이저 국가대항전에서 한번도 우승하지 못한 호날두가 전반 7분에 파울을 당하고도 ‘부상 투혼’을 발휘해 힘들게 경기를 하다가 결국 25분에 눈물을 흘리며 퇴장했는데, 그가 벤치에서 끝까지 선수들을 독려한 것이 우승의 원동력이 되었다는 것이다.

얼마 전 언론에 국방부 IDC가 해킹을 당해 군사 기밀이 유출되었다는 기사가 실렸다. ‘망 분리’가 의무인 국방망에서 내부망은 당연히 인터넷에서의 접근을 차단했을 것이나 내부망과 인터넷을 동시에 연결된 PC나 서버가 존재, 거기에 악성코드가 설치되어 내부망에 접근했다는 것이 기사가 밝힌 사고 원인이었다. 망 분리가 말만큼 간단한 일이 아니기 때문에 각 회사 실무자들의 고민이 많을 것 같다.

사실 이 문제는 전형적인 정보보호 정책과 인력의 문제다. 망 분리 솔루션에 취약점이 있거나 망 분리 구조를 잘못 잡은 게 아니라면, 망 분리 운영 정책을 수립하고 그에 따라 담당 인력이 관련 룰의 설정, 모니터링, 점검 등 운영업무를 하고 있었을 것인데, 인터넷에서 내부망을 접근할 수 있는 접점이 존재했고, 그 곳을 통해 해킹이 발생했기 때문이다.

관련 정책은 적정했는지, 업무는 정확하게 정의되어 수행되었는지, 담당 인력의 규모와 질은 부족함이 없었는지, 실무에 들어가면 검토해야 할 게 많이 있지만, 여기에서는 정보보호 인력 양성에 관해 기업보안에 오랫동안 관여했던 입장에서 몇 가지를 지적하고자 한다.

첫째, 수비수를 양성해야 한다는 점이다. 국내에서 그 동안 인력 양성의 초점이 맞춰진 정보보호 인력은 주로 화이트햇(또는 화이트햇 해커)이었다. 축구에 비유하자면 공격수들이다. 공격수는, 훈련할 때 수비를 점검해 줄 수 있고, 실전에서 후방으로 내려와 수비를 도울 수도 있지만, 수비를 전문으로 하는 인력은 아니다.

세계 최고의 공격수인 호날두, 메시, 네이마르, 그 누구도 최고의 수비수는 아니다. 기업보안의 많은 문제는 수비의 문제다. 모의해킹을 통해 보안취약점을 발견할 수 있지만, 그에 대한 대책을 구현하는 일은 수비수의 몫이다. 모의해킹팀에서 내는 보안대책은 단편적인 경우가 많다. 수비 전문이 아니기 때문이다.

공격수가 필요한 곳이 있다. 모의해킹을 업으로 하는 보안컨설팅 업체나 인터넷 서비스가 많은 포털업체 같은 곳이다. 최근에는 완성차 업체에서도 자체적으로 모의해킹을 실시하곤 한다. 국정원이나 사이버사령부에서도 필요할 수 있겠다. 하지만 일반적인 기업에서 주로 필요한 인력은 수비인력이다. 수비인력의 양성(또는 재교육)에 좀더 초점을 맞추면 좋겠다.

둘째, 수비수에도 고급 인력이 필요하다는 점이다. 대한민국의 중요한 정보자산을 다수의 경력이 3년도 되지 않는 인력들에게 맡겨 놓고, 해킹 방어가 잘 되리라고 기대하는 것이 우리의 현실이다.

보안관제는 정보보호 분야에 처음 발을 들여 놓는 인력들이 맡는 업무이다. CERT팀 등 분석인력이 붙고 시스템과 프로세스로 보완한다 하더라도 범행자들이 공격하기 좋아하는 한밤중이나 휴일에는 여전히 보안관제 인력의 역량이 해킹 방어에 상당한 영향을 미친다.

일정 규모 이상의 IT 인프라를 갖추고 있는 조직이라면 IT 아키텍처 및 정보보호 아키텍처, 정보보호시스템, IT개발과 프로세스, 개발 및 운영 환경을 종합적으로 이해하고 방어체계를 구축할 수 있는 수비 보안전문가들이 있어야 한다. 그들이 회사 정보자산을 분석하고, 보안대책을 수립, 구현, 점검해야 한다. 보안관제는 그렇게 갖춘 정보자산 보호체계의 일부를 맡을 뿐이다.

셋째, 공정한 시장이 형성되어야 한다는 점이다. 대학이나 학원, 또는 여러 인력양성 과정을 통해 양성된 인력은 현업에서 보안전문가로 성장한다. 그러기 위해서는 인력의 양성도 중요하지만, 결국 실력 있는 업체들이 클 수 있는 공정한 시장이 형성되어야 한다.

이른바 ‘갑질’이 횡행하는 시장에서는 좋은 인력들이 제 값을 받으며 보안전문가로 성장하기 어렵다. 금융, 민간과 함께 보안시장의 한 축을 형성하고 있는 정부와 공공 부문에서 가격이나 인맥이 아니라 실력으로 승부할 수 있도록 시장을 만드는 것이 정부가 보안전문가를 양성하는 데 가장 크게 기여하는 길이다. 정부의 영향력이 큰 금융, 통신에도 확산되면 더욱 좋을 것이다.

컴플라이언스 위주로 보호체계를 갖추고 공격수 위주의 인력 양성이 이뤄지는 상황에서 해킹 범죄를 방어하기 어렵다. 이제 수비 전문가를 키워야 한다.

글 강은성(CISO Lab 대표)