[디지털데일리 이민형기자] “한국인터넷진흥원 부원장으로서 직원들의 전문성을 향상시키고 부서(팀)간의 융화를 적극적으로 추진할 계획입니다. 이를 통해 지능형지속가능위협(APT) 공격이나 사물인터넷(IoT)에 대한 위협 대응을 위한 힘을 키울 수 있으리라 생각합니다.”

KISA는 지난 7월 부원장직을 신설했다. 부원장은 국제협력, 인터넷 진흥, 정보보호, 침해대응 등 KISA 4대 업무 중 정보보호와 침해대응을 총괄한다. 부원장직을 신설한 이유는 최근 국내에서 발생하는 보안사고가 급격히 증가하고 있고, 수법도 교묘해짐에 따라 보다 적극적인 KISA의 대응이 필요해졌기 때문이다.

이와 관련 정 부원장은 “이제 KISA는 단순히 디도스(분산서비스거부, DDoS) 공격이나 악성코드 분석 등 사후처리에 대한 업무만 해서는 안된다고 생각한다”며 “숨어있는 공격자를 찾아내거나 사고를 예방할 수 있는 능력을 갖춰야 될 것”이라고 말했다.

정 부원장은 ‘KISA의 전문성 강화’를 내걸고 업무를 수행할 계획이다. 내부 직원들의 역량 강화를 통해 사고 예방에 대한 힘을 기르고, 부서간의 융화를 꾀해 유연한 위협 대응도 가능하도록 조직을 매만질 예정이다. 특히 ‘사후대응’보다는 ‘사전징후 예측’에 초점을 잡은 부분도 주목할 만 하다.

그는 “KISA는 그간 사후대응에만 집중했기 때문에 개개인의 역량을 높일 수 있는 기회가 없었다. 혹자는 KISA에 사람이 부족하기 때문에 사고 예방을 제대로 못한다고 말하지만, 본질적인 문제는 직원들의 전문성이 정체되고 있기 때문”이라며 “예방이나 사고예측을 위해서는 악성코드 분석, 취약점 분석뿐만 아니라 전체를 아우를 수 있는 기술이 필요하다. 이를 위해 직원 재교육 등을 통한 전문성 강화에 나설 것”이라고 설명했다.

KISA는 서울지역 정보보호대학원과 보안전문업체들과 협력해 직원들의 재교육에 나설 계획이다. 업무와 교육을 병행해 KISA 연구원들의 실력을 최고로 만들겠다는 의도다.

정 부원장은 “단기적인 목표는 최근 운영을 시작한 사이버위협정보 분석 공유시스템(CTAS)에 축적된 정보를 분석하고 이를 통해 유의미한 결과를 뽑아낼 수 있는 역량을 만드는 것”이라고 전했다.

KISA는 미래창조과학부와 함께 ‘보안시스템 예방점검 연간계획’을 수립하고 진행할 계획이다. 이는 사후대응보다 예방점검이 우선돼야 한다는 정 부원장의 제안으로 만들어졌다.

예방점검과 관련 정 부원장은 “내년부터 어떤 시스템을 어떻게, 언제 점검해야할지에 대한 계획을 연간으로 세우고 진행할 계획”이라며 “취약점 분석 등을 비롯해 모의해킹, 침투테스트 등을 시행하고 문제점을 보완토록 해 위험레벨을 낮출 것”이라고 설명했다.

KISA내의 딱딱한 조직문화를 유연하게 만드는 것도 정 부원장의 목표 중 하나다. 한국전자통신연구원 출신인 정 부원장은 11년전 KISA로 자리를 옮기면서 수직적인 조직문화에 적응하기가 쉽지 않았다고 말했다.

그는 “딱딱한 조직문화는 상호간 의사소통을 방해하는 요소 중 하나다. KISA라는 조직은 다소 경직된 느낌이 든다”며 “좀 더 유연한 사고방식을 갖고 서로 소통할 수 있는 분위기를 만들기 위해 노력하겠다”고 말했다.

정 부원장은 이를 몸소 실천하기 위해 부원장실 문을 언제나 열어두고, 시간이 날 때마다 직원들을 부원장실로 모아 티타임을 갖고 있다.

끝으로 정 부원장은 “기업들이 모의해킹, 취약점 신고 등에 보다 관대해지길 바란다. 국내 기업들은 이를 너무 부정적으로 바라본다”며 “기업의 인프라를 안전하게 보호하고 고객서비스의 수준을 높이기 위해서는 경영자들이 이를 먼저 이해해야 한다”고 강조했다.

<이민형 기자>kiku@ddaily.co.kr