한국 보안시장, 퀀텀점프 가능한가?

3.20 사이버테러, 카드 3사 개인정보유출, 최근 한국수력원자력 해킹까지 굵직한 해킹사고가 터지면서 보안 투자가 늘 것으로 예상됐지만 현실은 크게 달라진게 없다는 지적이 많다. 국내외적으로 보안에 대한 관심이 고조되는 것을 감안하면 역설적인 상황이다.

이런 가운데 국내 보안 산업 경쟁력을 '퀀텀점프' 시키기 위한 방안을 논의하는 토론회가 열렸다. 3일 미래창조과학부 주최로 서울 포스트타워에서 개최된 '사이버안심 국가 실현을 위한 정보보호 대토론회'에서는 정부, 산업계, 학계 전문가들이 한 자리에 모여 보안산업육성책, 보안 수요기업 입장에서 겪는 애로사항, 전문인력양성까지 폭넓은 내용을 논의했다.■보안 인식 높아졌는데 선순환 생태계 아직

보안업계는 기업/기관/개인의 보안의식은 높아졌는데 투자는 제자리 걸음이고, 보안담당자들의 처우도 개선되지 않았다고 지적한다.

심종헌 정보보호산업협회(KISIA) 회장은 보안이 핵심산업이라는 것에는 거부감이 없는데 지금은 산업이 선순환 할 수 있는 연결고리가 없는 상황이라고 말했다. 일례로 정부나 공공기관에서는 보안성을 높여 무선 네트워크를 활용하는 대신 아예 무선 접속 자체를 모두 차단하는 식으로 보안을 피하려고 한다는 것이다. 2009년 정부보안예산이 2천700억원대로 정점을 찍은 후에는 그 이상 간적이 없다는 것이 그의 지적이다.

현재 정보보호 관련 예산은 약 5조원에 달하는 국가 정보화 예산 안에 포함돼 있다. 심 회장은 땅따먹기하는 식으로 다른 예산을 줄이면서 정보보호 예산을 늘리기 보다는 중요성을 고려해 국가 정보화 예산에서 정보보호 예산을 별도로 분리하는 안이 필요하다고 밝혔다. 이 같은 내용은 현재 권은희 의원(새누리당)이 발의한 정보보호산업진흥법에 담겼다.

보안전문인력 처우개선 관련 내용에선 수년 간 지적됐던 적절한 유지보수 및 보안서비스 비용 산정 문제가 다시 도마위에 올랐다. 한국인터넷진흥원(KISA) 이재일 정책협력본부장은 보안은 일반 SW와 달리 한번 설치하고 끝나는 것이 아니라 지속적으로 보안패치를 해줘야 하고, 침해사고가 발생하면 공격을 차단하고, 시스템을 보완하는 등 사후서비스의 비중이 크다며 이러한 점을 고려해 적절한 유지보수비, 서비스 비용을 산정해야 한다고 밝혔다.

박동훈 닉스테크 대표는 규모가 큰 공공보안 사업의 경우 솔루션 구축과 별개로 통합유지보수 사업을 발주하는 경우가 있는데 대부분 실제로는 기술노하우가 없는 시스템통합(SI) 업체들이 최저가 입찰로 수주한 뒤 다시 더 낮은 가격으로 협력업체를 동원하는 것도 문제라고 지적했다. 현재는 악순환이라는 것이다. 그는 공공분야에서 추진 중인 SW분리발주처럼 정보보호솔루션도 분리발주를 통해 유지보수비가 해당 보안업체에 돌아갈 수 있도록 해야한다고 주장했다.

■보안, 비즈니스 관점에서 커뮤니케이션 해야

쓴소리도 나왔다. 정보보호솔루션과 서비스를 구매해 직접 활용하는 수요자 입장에서는 백화점식으로 여러 기술을 이것저것 도입하다보니 오히려 보안성을 보장하지도 못하고, 비즈니스에도 큰 도움이 되지 않는다는 지적이다.

김종현 KB국민은행 최고정보보호책임자(CISO)는 2013년부터 금융권에서 망분리 솔루션을 도입하기 시작했는데 내부망과 인터넷망을 동시에 써야하는 업무에 어려움이 있어 망연계 솔루션을 다른 곳에서 또 구입해야 하는 등의 문제가 생겼다고 말했다. 보안 엔지니어가 만드는 기술 자체도 중요하지만 수요자 입장에서 어떻게 하면 더 쉽게 활용할 수 있는지에 대한 심각한 고민이 필요하다는 지적이다. 김종현 CISO는 금융기업 입장에서 보안은 투자인데 솔루션별로 등급을 특급/1급/2급/3급 등으로 나눠 (경영진 입장에서) 투자 해야할 이유를 끌어낼 필요가 있다고 덧붙였다.

안랩 대표로 있다 지난해 스탠다드차타드 은행으로 자리를 옮긴 김홍선 CISO 역시 단순히 공격을 막아낼 수 있다는 식의 접근이 아니라 비IT기업 입장에서 비즈니스를 잘 하기 위한 리스크 관리 관점에서 볼 수 있도록 설득하는 작업이 필요하다고 강조했다. 보안기술이 실제 비즈니스에 어떤 도움을 줄 수 있는지에 대해 커뮤니케이션해야 투자에 대한 정당성이 확보된다는 것이다.

숭실대 정수환 교수는 정보보호를 IT제품이라는 관점에서만 보는 점이 문제라며 비즈니스를 잘 하기 위한 서비스로서 접근할 필요가 있다고 강조했다.

보안업계가 모든 문제를 자사가 해결하려는 경향이 있다는 점도 한계로 지적된다. 원유재 미래부 정보보호 CP는 연구개발 차원에서 보안업계가 빅데이터 엔진까지도 자체적으로 구축하려는 등 다른 분야에서 잘하는 기업들과 협업 능력이 떨어져 단기적인 제품개발에만 급급한 것도 문제라고 밝혔다.

이와 관련 윤종록 미래부 제2차관은 네트워크 품질을 따지듯이 소비자도 해당 제품이나 서비스에 대한 보안수준이 어느 정도인지를 알 수 있어야 한다며 이를 확인할 수 있는 툴이 중요할 것이라고 말했다. 처우개선과 관련해서는 SW산업과 거의 비슷한 문제가 있기 때문에 여러가지 유사하게 적용할 수 있는 방안들이 있을 것이라고 덧붙였다.

최근 임명된 임종인 청와대 안보특보는 이미 업계에서 오랫동안 제기됐던 문제들이며 정책에 반영해 추진해 나갈 것이라며 새로운 시장을 개척해야 성장동력이 확보되는 만큼 사이버 방위산업 분야에서 국방부의 투자를 이끌어 내는 것이 중요하며 IoT 분야에서 삼성전자, KT 등에 맞는 선제적인 보안수요를 만들어낼 필요가 있다고 전망했다.

■보안전문인력 양성, 양보다 질…실무경험 중요

보안전문인력 양성이 중요하다는 것은 어제 오늘 일이 아니다. 지능형 공격을 통해 소리 소문없이 많은 기업, 기관들이 피해를 입고 있는 현재 상황에선 전체 보안 프로세스를 파악해 종합적인 조치를 취할 수 있는 인력의 질이 중요해진 시점이 됐다.

제대로 된 전문인력을 양성하기 위해 KISA에서는 재직자들을 대상으로 K실드라는 보안전문인력 양성 프로그램을 운영 중이다. 한국정보기술연구원(KITRI)는 중, 고, 대학생들을 대상으로 차세대 보안리더양성(BoB) 프로그램을 운영해 오고 있다.

기업 차원에서 인력양성사업을 하고 있는 라온화이트햇센터 조주봉 센터장은 여러 시나리오를 기반으로 공격기업에 대한 경험이 중요하다고 말했다. 원전을 예로 들면 예비 보안 전문가들이 제대로 모의침투 테스트를 해 볼 수 있는 경험을 갖기 어렵다는 점에서 실무경험에 제약이 있다는 것이다. 글로벌 보안 기업들을 배출하기로 유명한 이스라엘의 경우 시나리오 기반 시뮬레이션 장비들을 갖춰 놓고, 모의 침투테스트를 진행하는 등 실제 환경에 가까운 시스템에 대한 경험이 쌓이지만 국내서는 이런 부분들이 나라에 지정한 일부 항목에 대해서만 다뤄지고 있다는 점에서 개선될 필요가 있다고 그는 설명했다.

BoB에서 직접 학생들을 가르치고 있는 심준보 블랙펄시큐리티 대표는 학생들이 국가기반제어시서리 안전한지를 확인하기 위해 모의 침투 테스트를 하고 싶다고 제안했지만 현실적으로 정부기관이 아닌 이상에야 어려웠다며 여러 기관들의 협조를 얻어 실제 테스트를 해 본 결과 많은 취약점을 찾아낼 수 있었다고 말했다. 화이트해커 입장에서 적절한 연구여건을 만들어 주는 것이 실제로 보안성을 높이는데 도움을 줄 수 있다는 것이다.

김혁준 나루시큐리티 대표는 단위 보안기술 전문가들을 많이 양성하고 있지만 관련 교육은 일종의 개인기를 전수하는 방식으로 이뤄지고 있다며 보안 관련 지식 자체가 일부 전문가들에게만 개인화, 사유화 되는 경향이 있다는 점도 전반적인 보안 수준을 떨어뜨린다고 꼬집었다.