현재 보안의 갈 길은 ‘Back to the Basics’[보안뉴스]
국가정보전략연구소
2013-07-08 오후 9:15:00
현재 보안의 갈 길은 ‘Back to the Basics’

입력날짜 : 2013-07-01 10:40

‘Back to the Basics’...보안, 기본으로 돌아가 근원적 문제 짚어야

한국기업보안협의회, ISCR 2013 동시 행사로 정기 세미나 개최

[보안뉴스 김경애] 최근 발생한 6.25 사이버테러를 비롯해 3.20 사이버테러, 잇따른 사이버범죄 등으로 인해 각종 보안사고에 대한 근본적인 원인을 파악하고, 이를 바탕으로 문제 해결에 나서야 한다는 목소리가 높아지고 있다.

이와 관련 한국기업보안협의회(회장 최진혁)는 ISCR 2013(국제사이버범죄대응 심포지엄)과 동시행사로 개최된 정기 세미나에서 ‘Back to the Basics’라는 주제로 논의의 장을 마련했다.

이날 마련된 정기 세미나에서는 잇따른 사이버범죄 및 해킹 등이 왜 발생하는지에 대한 근본적인 원인을 해결하기 위해서는 보안에 대해 기본으로 돌아가야 한다고 강조했고, 이에 대해 기업, 학계, 언론 등 각분야 전문가들이 모여 심도 깊은 논의를 진행했다.
특히, 이날 세미나에서는 울산대학교 정보보호동아리 ‘UOU - Unknown’(회장 임종민) 회원들과 상명대학교 지식보안경영학과 대학원생들, 서울과학종합대학원 산업보안MBA 수강생, 그리고 대전대학교 경찰학과 학생들이 옵저버로 참여해 보안 분야에 있어 가장 중요한 측면에 대한 보안전문가들의 의견을 경청하고, 공부하는 과정에서 느낀 핵심포인트에 대해 각자의 의견을 피력하는 시간도 가졌다.

<
▲한국기업보안협의회(회장 최진혁)는 ISCR 2013 행사와 동시 개최된 정기세미나에서 ‘Back to the Basics’라는 주제로 기본적인 관점에서의 보안에 대해 논의했다.

이에 대해 참석자들은 인력양성과 보안인식 제고의 중요성, 그리고 왜 사이버범죄에 탐닉하게 되는지 등을 비롯한 사람에 대한 연구가 우선되어야 한다는 등의 다양한 의견들을 제시했다.

우선 한국기업보안협의회 회장인 최진혁 대전대학교 경찰학과 교수는 “3.20 사이버테러 이후 망분리가 이슈가 되고 있다. 그런데 자세히 들여다보면 망분리에 대한 진지한 고찰 없이 망분리의 필요성과 장점만 부각되고 있다” 며, “보안이슈에 대한 근원적인 문제제기가 필요하다” 고 서두를 꺼냈다.

금융보안과 관련해서 씨티은행의 이성규 부장은 “10년 전부터 대학교에 보안관련 학과가 계속 증가하고 있고, 요즘 보안분야 인력채용이 활발해지고 있는 등 보안에 대한 전망이 대단히 밝다”며, “일례로 은행 내부직원들을 대상으로 보안인력을 채용할 때도 지원자가 몰리는 등 보안을 주요 업무로 생각하고 있다”고 말했다. 그러나 금융권의 보안관련 규제가 상당히 강화되고 있는 만큼 인력 채용과 운용에 보다 심혈을 기울이고 있다고 말했다.

삼성, LG 등 대기업을 출입하고 있는 파이낸셜뉴스의 양형욱 차장은 “기업이 아무리 많은 비용을 보안인력과 시스템에 비용을 투자한다고 해도 완벽할 수는 없다”며 “보안에 대해 물리적, 기술적으로 할 수 있는 부분은 한계가 있다”고 밝혔다. 그러면서 양 차장은 “무엇보다 임직원의 보안의식이 중요하고, 대학교 학부 및 대학원 과정에서 산업보안 특히, 관리적 측면의 보안에 대해 좀더 심층적으로 배울 수 있는 기회가 마련되어야 한다”고 강조했다.

또한, 기업보안책임자로 근무하면서 서울과학종합대학원 산업보안MBA 과정을 이수하고 있는 남궁록 실장은 “보안에 대한 투자는 과거보다 나아졌지만 보안의 근원적인 문제에 대한 인식은 아직 미흡하다”며 “대기업이 막을 수 없었던 경우는 실제 발생 사례를 모델링화으로 분석하고, 집중적으로 연구해야 한다”고 밝혔다.

이를테면, 사이버범죄 등에 이용되는 사회공학적 기법들은 이미 10~30년전에 언급됐던 기법들이 대다수라는 것. 피싱, 파밍 등도 이러한 사회공학적 기법들에 기반을 두고 파생되었다는 얘기다. 따라서 기본이 탄탄하게 갖추어져 있는지 점검할 필요가 있고, 과거의 흐름을 이해한 후 미래를 대비해야 한다고 남궁 실장은 설명했다.

보안책임자의 자질과 관련해 보안뉴스의 권 준 국장은 “한 분야에 대해 전문성이 있다고 해서 넓게 볼 수 있는 것은 아니”라며 “스킬에 집중하지 말고, 네트워크의 전반적 이해와 함께 인력관리 등의 관리적 보안 등 보안의 기본적인 사항을 갖추고, 미래의 트렌드를 읽을 수 있도록 보안의 시야를 넓혀야 한다”고 말했다.

국가정보전략연구소 민진규 소장은 “관리적 보안에 대한 연구와 기업내부 범죄에 대한 컨트롤이 제대로 안 되고 있다”며 “보안전문가의 경우 사람의 근원적인 욕망에 대해 인식하고, 이를 예방할 수 있는 방안을 고민해야 한다”고 말했다. 또한, 장기적인 관점에서 왜 보안사고가 일어나는지 원인을 찾고, 사람의 본질에 대해 연구해야 한다고 덧붙였다.

한국기업보안협의회 최진혁 회장은 “일례로 이미 18년 전인 1995년 이미 10만 사이버 전사를 양성해야 한다는 주장이 나온 바 있다. 결국 지금 얘기 나오고 있는 화이트해커 양성론과 하나도 다르지 않다”고 아쉬워했다.

결국 보안사고는 사람에 의해 발생하는 것임에도 불구하고 그간 사람에 대한 연구가 취약했다는 점을 지적했다. 외국의 경우 사이버범죄를 비롯한 범죄자들의 심리와 행동에 대해 연구하는 노력이 활발하다는 것. 왜 사이버범죄에 탐닉하는지 행동의 동기와 심리적인 요인에 대한 연구가 필요하다는 얘기다.

덧붙여 그는 “범죄해결에 있어 인간의 심리를 중요하게 생각하듯이 보안도 인간에 대한 이해를 바탕으로 임직원, 관리자, 경영자 등의 다양한 측면에서 보안사고의 원인에 대해 성찰해야 한다”며, “보안은 사람에 대한 보다 근원적인 접근이 필요한 분야로 사람을 통제의 대상으로 보는 것이 아니라 왜 침해가 일어나는지 사람에 대한 심리적인 탐구가 필요하다”는 말로 끝을 맺었다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

[출처:보안뉴스]
저작권자 © Institute for National Intelligence Strategy, 무단전재 및 재배포 금지
Opinion 분류 내의 이전기사