#2.이수지 주임연구원은 국가기관인 한국보안진흥연구원에서 우수한 인재로 정평난 사람이다. 특히 웹 취약점 평가와 디지털포렌식 쪽에 재능을 보여 너도나도 자신의 팀으로 데려가려고 난리였다. 어느날 이 주임연구원은 경기도에 위치한 모 군청에 보안업무 지원을 위해 파견을 갔다. 하지만 모 군청에서 이 주임연구원에서 주문한 것은 엑셀파일 정리다.

#3.박준기 차장은 한 이동통신사의 정보보호를 담당하는 직원이다. 기업의 보안정책 수립에 조언하고 이를 실제로 집행하는 역할을 담당하고 있다. 최근 박 차장의 회사에서 고객정보가 유출되는 사고가 발생했다. 박 차장은 정보보호팀장이란 직책을 맡고 있었다는 이유로 개인정보유출의 모든 책임을 지고 경찰에 입건됐다.

기업, 기관의 보안담당자들이 푸대접을 받고 있다. 기업 정보보호의 최전선에서 땀을 흘리고 있는 그들에게 기업들은 막대한 책임을 부여하고 있으나, 이에 대한 권한과 보상책은 제대로 마련해주지 못하고 있다.

최근 금융권에서는 정보보호최고책임자(CISO)를 영입하는데 촉각을 세우고 있다. 관련 법령이 올해 중 통과돼 공포될 것으로 예상됨에 따라 일찌감치 준비에 나서고 있다.

하지만 금융회사에서 CISO가 할 수 있는 권한은 한정적인 것으로 알려졌다. 보안정책 수립과 대응책을 마련해야하는 중책을 맡고 있지만 이를 시행하고 집행할 수 있는 권한은 부족하다. 최소한의 방어책을 마련하기 위한 예산을 요구하지만 이마저도 삭감되는 경우가 많다고 한다. 2% 부족한 방어책이 될 수밖에 없다.

최근 KT 개인정보유출 사고를 한번 살펴보자. 이번 사건으로 KT 정보보호팀장이 경찰에 입건돼 현재까지도 조사를 받고 있다. 보안업계 현업인들은 KT의 사례로 ‘보안업무’에 두려움을 갖게 됐다고 말한다.

한 관계자는 “보안업무는 잘해야 본전이란 말이 머릿속에서 멤돈다”며 “실무자들에게 주어진 권한과 보상은 적은데 책임은 막중하니 두려움이 앞선다”고 전했다.

공공기관에서 보안담당자들의 처우는 더 안좋다. 전체 인력이 300명이 넘는 조직에서 보안을 담당하는 직원은 한명 뿐이다. 그마저도 다른 업무에 동원되는 경우가 많다. 앞서 소개한 ‘한국보안진흥연구원’의 사례가 부기지수로 일어난다.

정부에서는 보안사고가 발생할 때마다 보안에 대한 투자를 확충하겠다고 발표한다. 하지만 최근 3년간 기획재정부가 승인한 중앙부처, 지자치단체의 예산안을 살펴보면 크게 늘지 않음을 알 수 있다.

실제 지난해 3.20 전산망해킹, 6.25 사이버공격 등 대규모 보안사고가 발생했음에도 불구하고 정보보안 시장은 겨우 2.5% 성장이라는 처참한 성적을 거뒀다.

◆보안인력 경시, 사고로 이어진다=기업의 보안담당자들은 임원들이 ‘보안솔루션 만능설’을 믿고 있다는 점이 가장 우려스러운 부분이라고 지적한다. 반대로 생각하면 기업들은 보안솔루션만 구축하면 만사가 해결된다고 생각한다고 볼 수 있다.

많은 기업들은 새로운 위협이 등장하면 대응할 수 있는 보안솔루션을 도입한다. 보안솔루션을 도입했으니 사고가 발생하지 않을 것이라고 절대적으로 신뢰하고 추가적인 투자를 꺼려한다. 보안인력들이 다른 업무를 함께 진행하는 이유가 바로 여기에 있다.

이와 관련 젝 림 아카마이 이사는 이러한 풍토로 인해 보안인력의 전반적인 수준하락을 우려했다.

그는 “기업의 보안부서는 단순히 보안솔루션이 제대로 동작하고 있는지를 살펴보는 조직이 아니다”라며 “아울러 보안솔루션이 내놓는 로그를 정리해서 제출하는 것이 보안부서의 임무도 아니다. 기업의 보안부서는 보안솔루션이 하지 못하는 일을 찾아서 위협을 사전에 대응하는 일을 해야 한다”고 지적했다.

최근 많은 기업들은 여러 가지 이유로 인해 보안부서를 축소하고 예산을 줄이고 있다. 하지만 이를 이유로 보안인력을 무시한다면 장기적으로 회사가 타격을 입게 될 것이란 지적이 나오고 있다.

가트너는 기업들이 앞으로도 지속적으로 신기술을 도입하는 것에 반해 이를 관리할 수 있는 보안인력이 부족하다면 비즈니스에 큰 타격을 입을 수 있다고 설명했다.

기업이 어떤 비즈니스를 추진하건 간에 보안인력은 반드시 필요하고, 이를 제외시키는 것은 오판이 될 수 있다는 것이 가트너의 주장이다.

◆“결국 사람이 문제를 해결한다”=보안사고를 예방할 수 있는 가장 큰 인자는 바로 사람이다. 보안솔루션이 할 수 없는 일을 할 수 있기 때문이다.

기업의 취약점을 찾고 이를 해결하는 업무는 사람만 할 수 있다. 기계적인 모의해킹은 원천적인 문제를 해결하기 힘들다. 정부에서 정보보호관리체계(ISMS) 인증 등을 강조하는 이유도 여기에 있다.

ISMS 인증에는 보안인력이 수시로 점검해야 하는 부분이 상당히 많다. 단순히 보안솔루션 운영만으로 보안을 해결할 수 없다는 전제가 깔린 체계이기 때문이다. 방화벽이 이상 패킷을 잡아냈을 때, 이를 최종 판단하는 것은 사람이 할 수밖에 없다.

이처럼 보안솔루션은 기업의 정보보호를 위한 기반에 불과하다. 심종헌 지식정보보안산업협회장은 “보안솔루션이 할 수 있는 일과 보안인력이 할 수 있는 일은 분명히 차이가 있다”며 “결국 보안문제를 해결할 수 있는 것은 사람이다. 사람에 대한 투자를 아끼지 않아야 한다”고 지적했다.

다행스럽게도 최근에는 금융회사를 중심으로 보안인력 채용과 투자가 활발히 진행되고 있다. 국민은행과 신한은행은 정보보호최고책임자 직속 보안팀을 꾸리고 모의해킹, 취약점 분석 등을 꾸준히 진행할 계획이다.

다른 기업, 기관들도 이러한 분위기에 동참하고 있다. 화이트해커를 고용해 상시적으로 취약점을 진단하고 보안문제를 해결하고자 노력하고 있다.

보안인력이 제대로 평가받는 시대가 올 때, 우리나라의 보안체계는 보다 굳건해 질 것이다.

<이민형 기자>kiku@ddaily.co.kr