신수정 인포섹 "보안사고, 사각지대부터 관리해야"

일반입력 :2011/04/22 06:47    수정: 2011/05/04 08:13

김희연 기자

보안사고가 날 때마다 보안 솔루션 도입만 주장하면 결국 보안업계의 신뢰성만 하락할 뿐입니다. 솔루션 도입만이 정답은 아니기 때문이죠. 고객들에게 단편적으로 솔루션 도입만 권하는 건 보안업체에겐 오히려 독이죠.

현대캐피탈 해킹에 농협사태까지 연일 이어지는 보안사고로 대한민국이 들썩이고 있다. 보안 경각심을 불러일으킨다는 차원에서 보안업계에게는 분명 환영할 만한 일이다. 하지만 언론보도처럼 보안 솔루션만은 답이 아니라고 그는 보안사고의 해답을 명쾌하게 내놓았다.

보안업계에서 유명한 스타CEO, 신수정 인포섹 대표의 이야기다. 기자는 최근 많은 금융 보안사고로 시끄러운 업계의 묵은 궁금증들을 쏟아냈다. 그는 선두 보안업체로, 그리고 학생들을 가르치는 교수님으로 보안에 대해 주관적이지만, 객관적일 수 있는 사람 중 한 명이라고 생각했기 때문이다.

신수정 대표는 이번 금융 보안 사건사고들에 대해서는 고질적인 체계의 문제점이라고 지적했다. 사실 처음이 아니라 늘 반복되어오던 시행착오라는 얘기다.

■보안기술을 넘어 체계적 보안관리 필요해...

보안의 총체적인 답이 보안 솔루션이 아닙니다. 예를 들어, 분산서비스거부(DDoS)공격이 일어났다고 해서 해당 솔루션만 도입하면 다 해결되는 게 아니잖아요. 제 1금융권에 경우 상대적으로 굉장히 보안 솔루션 구축을 많이 했습니다. 그렇다 하더라도 사고는 언제든 발생할 수 있습니다.

이번 금융보안 사고로 보안업계 일각에서는 이번 기회를 발판으로 삼으려는 업체들도 있다. 불안한 고객사들에게 보안 솔루션 도입이 해답인 것처럼 이야기하기도 한다. 이에 대해 신대표는 보안은 솔루션 뿐 아니라 총체적인 모든 요소들이 효율적으로 리스크관리가 이뤄져야 한다고 말했다. 보안의 사각지대는 반드시 존재한기 때문이다.

아무리 보안이 잘되어 있더라도 보안 취약성은 항상 존재하는 것이고, 이를 위해 규정들을 만들어 이행하는 활동들이 중요합니다. 얼마나 꾸준히 지속적으로 지켜지느냐는 것이 '기업보안'에 관건인거죠.

그는 아무리 솔루션이나 관제를 통해 보안을 철저히 하더라도 어디에든 보이지 않는 보안의 사각지대가 있다고 말했다. 오류를 많이 잡아낼 수는 있지만, 여러 가지 복잡한 보안사안들을 다 해결할 수 없어 남아있는 리스크를 어떻게 체계적으로 관리하느냐가 향후 가장 중요한 문제라고 분석했다.

■보안인력 부재...악순환의 고리부터 끊어야

이번 금융권 보안사고로 IT보안 조직과 인력에 대한 문제도 함께 지적됐다. 중요도에 비해 부족한 보안관리인력을 원인으로 꼽은 것이다.

매번 사고가 날 때마다 질타받는 보안업계. 이쯤이면 보안업계 사람들은 조금 억울하진 않을까 하는 생각도 들었다. 기자의 질문에 그는 당연히 억울하다는 대답을 할 줄 알았다. 하지만 그는 오히려 실제 기업내 보안담당자가 더 억울하지 않겠냐는 의외의 답변을 했다.

평소에 사고가 없으면 도대체 뭐하는거냐는 시선들이 많고, 사고가 나면 모두 책임이 보안담당자에게 돌아옵니다. 의무와 책임만 무겁게 지워지다보니 결국 보안업무를 회피하게 되는 거죠. 보안인식 변화가 필요하다고 느끼는 가장 큰 이유가 바로 여기에 있습니다.

현재 동국대학교 국제정보대학원 겸임교수로 제자들을 양성하고 있는 신수정 대표는 이외에도 보안인력에 대해 '수요'가 문제라고 지적했다. 항상 보안인력양성이 필요하다는 얘기는 무성하지만, 실제 졸업 후 진로가 문제가 되는 경우가 많다. 업무도 만만치 않고, 대우도 좋지 않은 것이 현실이다.

사실상 기업들의 보안투자가 늘었다고 하지만 일반적인 얘기가 아닙니다. 대부분은 아웃소싱을 주더라도 예산을 축소화하고, 전문인력을 줄여나갑니다. 그런 부분에서는 기업들의 투자가 가장 먼저 선행되어야 해요. 여기에 법적인 체제가 뒤따른다면 금상첨화죠.

관련기사

신대표는 법적인 체계가 먼저 잡혀야 보안산업 전체구조가 선순환 될 수 있어 인력과 보안산업 발전까지 함께 가져올 수 있다고 강조했다. 기술로 해결할 수 없는 예외적인 부분들은 강제력을 통한 체계도 필요하다는 얘기다. 공공기관은 가능하지만, 사실상 사기업들은 나머지 예외적인 부분 때문에 문제가 발생할 수 있기 때문이다.

대한민국 어떤 기업이라도 보안사고는 일어날 수 있습니다. 매번 보안사고가 발생할 때마다 진짜 본질은 잊고 해당 기업에 마녀사냥만 할 뿐인 것 같아요. 사실상 다른 기업들의 현실도 별반 다르지 않기 때문입니다. 이번 금융권 보안사태를 통해 보안에 대한 인식변화와 체계구축을 통해 보안이 이뤄졌으면 하는 바램입니다.