KITRI 정보보안 칼럼

지난 2003년 1월 25일KT 혜화전화국의 DNS를 공격하면서 전국 대부분의 인터넷망을 불통으로 만들었던 슬래머웜 보안사건이 발생했다.

당시 슬래머웜이 악용하는 보안취약성에 대한 패치는 이미 2002년 7월에 발표됐으며 이 패치를 사전에 설치한 서버들은 피해를 받지 않고 무사할 수 있었다.

이에 따라 여러 보안 전문가들은 당시 대란이 불가항력이 아닌 인재(人災)임을 강조하며 피해를 막을 조치를 미리 할 수 있는 시스템 구축과 보안인식 제고의 필요성을 역설했다.

그러나 약 10여년이 지난 지금도 매번 사고가 반복될 때마다 많은 보안전문가들이 같은 말을 앵무새처럼 반복하고 있다.

지난 10년간 정보보호에 대한 인식과 환경은 많이 달라졌다. 악화가 양화를 구축한다는 말이 정보보호 분야에도 적용이 되어, 매년 터지는 대형 보안 사고를 겪으면서 많은 국민들이 개인정보 유출 및 해킹사건의 심각성을 인식하게 되었다. 또한, 기업이나 정부에서도 정보보안 대책 마련을 추진하고 있게 된 것은 고무적인 일이 아닐 수 없다.

그럼에도 불구하고 최근에 발생한 보안사건에서도 알 수 있듯이 전문성을 갖춘 정보보호 인적자원의 취약성이 지속적으로 지적되고 있다.

보안 전문 인력 양성에 적극 나서야
우리나라는 정보보안 분야의 학부 과정에서는 교육 인프라가 제대로 갖추어지지 않은 상태의 학과 운영으로 실습보다는 이론 쪽에 치우친 교육이 많다보니 실무에 적합한 인력으로 배출되기 어려운 환경이다.

우선 기업이 필요로 하는 인력이 어떤 수준인지 확인하고, 필요하다면 정부가 기업에 맞추어 각종 사업에 참여할 인력에 대한 요건을 조정해 나가야 한다.

기업이 일방적으로 투자하도록 유도하는 정책 방향에서 벗어나, 정부가 주도하고 기업에 인센티브를 주어 적극적인 참여를 유도하는 형태의 정보보안 인력 양성이 효율적이다.

정부가 주도하는 보안인력 양성이 효율적
정부와 기업이 각각 가지고 있는 강점을 살리는 고민도 필요하다. 인력양성의 측면에서 기업의 강점은 현재 보유하고 있는 전문인력이다. 정부의 강점은 일자리 창출을 위한 행정력과 공공성에 투입할 수 있는 예산의 집행 권한이 될 것이다.

이를 효율적으로 활용한다면 기업체 재직중인 전문인력이 직접 교육을 하여 기업 맞춤형 인력을 양성하도록 투자를 하고, 정부는 인력양성 인프라 구축 및 전문인력 공백으로 인한 기업의 손실을 보상하는 형태로 예산을 지원하는 인력양성을 시스템을 구축할 필요가 있다.

또한, 이러한 시스템 속에서 충분히 교육받고 자격을 갖춘 인력이라면 경력 여부와 상관없이 정부 사업에 참여할 수 있도록 독려하는 정책적 고려가 필요하다.