[디지털데일리 최민지기자] “규제를 완화하고, 다양한 분야의 보안인재를 육성하고, 시큐리티를 고려할 수 있는 조직으로 변화해야 한다.”

지난 27일 삼성전자 서울 R&D 캠퍼스에서 열린 ‘제2회 삼성전자 보안기술 포럼(SSTF)’에서 한국의 정보보안 수준을 개선하려면 규제, 인력, 조직에 대한 변화가 필요하다는 의견이 개진됐다.

우선, 보안산업의 규제를 완화해야 한다는 주장이 나왔다. 보안은 규제와 정비례하는 시장으로 알려져 있다. 보안사고를 줄이기 위해 특정 기술을 도입하라는 규제와 가이드라인을 통해 보안기업의 먹거리도 창출되기 때문이다. 하지만, 이는 장기적으로 다양한 보안기술 출현과 경쟁을 막아 한국의 보안산업 발전을 막는다는 것.

김용대 카이스트 교수는 “규제를 없애는 순간 한국은 오히려 발전할 가능성이 커진다”며 “시장경제에 맡기면서 필요한 기술에 대해 경쟁할 수 있게 하면 되는데, 특정 기술을 표준이니까 써야 한다고 말하는 순간 나머지 기술의 발전 저해를 초래한다”고 말했다.

이어 “규제보다는 자유롭게 경쟁했을 때 다양한 보안 산업이 발전되고, 학계·연구소·회사 간 다양한 협업이 나올 수 있다”며 “특정 기술을 사용하라고 하는 순간 보안 카르텔이라는 이야기가 나온다”고 덧붙였다.

세계적인 해킹방어대회에서 우승할 정도로 한국의 보안인력들의 수준은 높은 편이지만, 이를 실제 제품과 조직에 반영하기 어려운 환경이라는 지적도 이어졌다.

김휘강 고려대 교수는 “일부 연구진, 해커, 개인은 상당히 높은 수준에 도달했으나 이것이 제품화와 보안서비스로 이어져 동일한 수준에 도달했느냐는 다른 문제”라며 “대회에서 1등은 하지만 1등 보안제품이 없는 것이며, 정형화된 조직에서 이들이 제품 개발 인원으로 일하기에는 아직까지 어렵다”고 설명했다.

아울러, 신승원 카이스트 교수는 “기업 입장에서는 개발을 일정에 맞춰 완료한 후 제품을 적기에 출시하는 것을 가장 중요하게 생각하기 때문에, 중간에 보안 이슈가 발생하더라도 출시 이후에 생각하자라는 반응이 많았다”며 “보안영역이 기업 내에서 어느 정도 컨트롤타워를 쥐고 있고, 제품 프로세스 내에서 보안이슈 발생 때 이를 감사하고 막을 수 있는 권한이 있어야 한다”고 제언했다.

이승진 그레이해쉬 대표는 보안인재들이 취약점뿐 아니라 신기술, 새로운 분야에 대해서도 도전해야 한다고 강조했다. 한국뿐 아니라 해외 연구그룹과의 활동도 늘어야 한다는 언급도 했다.

이 대표는 “데프콘에서 우승했지만, 이 대회는 여러 해킹 분야 중 하나”라며 “한국 해커들은 신기술이나 선진적인 연구에는 잘 등장하지 않고 있어 아쉽다”고 전했다.

또 “한국 내에서만 활동하고 있다 보니, 문제를 푸는 지식은 높지만 기여할 수 있는 연구를 하는 점에서는 부족하다”며 “해외 커뮤니티에서도 한국 보안인재들이 활동할 수 있는 통로가 열리기를 바란다”고 말을 보탰다.

이에 ‘제2회 삼성전자 정보보안기술 경진대회(SCTF)’에서는 공격·방어뿐 아니라 코딩, 역공학, 암호학으로 이뤄진 5개 분야를 종합 평가했다. 공격과 방어에만 중점을 두는 기존 CTF와 차별화를 두고 실제 기업과 산업에서 쓰이는 분야와 신기술 및 최신 취약점에 대해서도 문제를 출제한 것이다.

올해에는 타이젠 운영체제(OS) 취약점, 머신러닝 문제, 트러스트존 취약점, 블록체인 스마트컨트랙트 취약점 등에 대한 문제가 나왔다. 지난해 암호학을 푼 참가자는 5명도 되지 않았는데, 올해는 12명 이상으로 늘었다.

안길준 삼성전자 전무는 “한국과 글로벌의 보안인재들이 단지 공격과 방어뿐 아니라 암호, 코딩 등 새로운 분야까지 봐야한다는 메시지가 성공적으로 SCTF에서 전달됐다”며 “개인전, 신기술을 포함한 다양한 보안 영역에 대한 문제 출제 등을 통해 더 많은 좋은 인력이 성장할 수 있을 것으로 기대한다”고 강조했다.

<최민지 기자>cmj@ddaily.co.kr