"기술은 선진국, 관리는 후진국"
국내 기업들 중 보안에 자신이 있는 기업은 얼마나 될까? 세계적인 통신 네트워크 강국인 한국에서 기업들은 보안에 대해 자신이 없어 하고 있고, 그같은 불안감은 갈수록 커져가고 있다.
지난해 한국 IDC의 조사에 따르면 자사에서 확실하게 보안이 이뤄지고 있다고 응답한 기업의 비율은 2004년에 비해 오히려 줄어들었다.
기업들의 보안 관리에 빨간불이 켜졌다. 저마다 예산을 투자해 보안제품을 갖추고 있지만 제대로 된 사후 관리는 거의 이뤄지지 않고 있다.
따라서 체계적으로 보안을 관리하고 제대로 된 방향을 잡아줄 수 있는 최고보안담당책임자(CSO)의 도입이 절실하다. IT기술의 빠른 발전만큼 보안의 중요성이 커지고 있는 현실에서 보안전담자의 양성이 중요성을 더하고 있는 것이다.
◆ CIO가 CSO 역할 겸하고 있어 전문성 떨어져
아직까지 우리나라에선 대부분의 기업들이 최고정보관리책임자(CIO)가 최고보안담당책임자(CSO)를 겸하고 있으며, 보안관련 전문전담부서조차 설치돼 있지 않은 경우도 허다하다. 보안담당자가 있더라도 대부분 CIO 부서에 속한 팀장이나 과장의 직책을 갖고 있기 때문에 정책을 제안하고 결정에 참여할 수 있는 권한은 거의 없다.
CSO를 활성화하는 데 가장 큰 걸림돌이 되는 원인은 바로 기업 자신이다. 기업들은 해킹 등의 피해를 입지 않는 이상 보안에 예산을 들여야 할 절실한 이유를 찾지 못하기 때문이다. 특히 보안을 전담으로 하는 인력을 별도로 두는 것이 불필요하다는 것이 기업 정책 결정자 대부분의 생각이다.
현실이 이렇다 보니 기업 보안은 체계적인 정책 없이 필요에 따라 보안 장비를 구입하는 선에서 머무르고 있다. 당연히 보안 기기들이 각각의 제 역할을 다 해내지 못하는 것은 물론, 보안 장비 간의 시너지 효과도 기대할 수 없다.
삼성전자 이상용 정보전략팀 차장은 "우리나라 보안제품의 기술은 외국보다 3년 정도 앞서있지만 주먹구구식으로 제품을 사다 들이기만 하고 유지·관리가 제대로 이뤄지지 않아 효율은 오히려 떨어지고 있다"고 지적했다.
이글루시큐리티 조창섭 보안관제 이사 역시 이 차장의 견해에 동의했다. 그는 "기업들이 눈에 보이는 어플라이언스 장비에 비해 눈에 보이지 않는 서비스는 상대적으로 필요성을 절감하지 못하고 있다"며 "이는 보안 서비스가 가장 높은 비율을 차지하고 있는 미국과는 확연히 대조되는 모습"이라고 말했다.
◆ "CSO 할 사람도 없다"
보안 업계의 구조상 CSO 역할을 해낼 만한 인력이 부족한 것도 문제다. CSO는 IT기술 전반을 섭렵한 사람이어야 하지만 영세적인 보안 업계의 분위기에선 제대로 된 인력을 키워 CSO로 제공하는 등의 선순환 고리를 엮어나갈 수 없기 때문이다.
기업 역시 자체적인 CSO 양성을 통한 체계적인 보안에 관심을 기울이지 않는다. 관리자 양성에 드는 막대한 비용에 비해 당장 거둘 수 있는 효과가 없다는 것이 이들의 주장이다. 보안 관리에 들일 예산으로 제품의 개발과 생산에 집중하는 것이 더 낫다고 생각한다.
조 이사는 "CSO는 네트워크, 시스템, 보안정책 등 IT의 모든 분야를 섭렵해야 하기 때문에 기술적으로 봤을 땐 CIO보다 상위 개념"이라며 "때문에 소위 IT 업계의 베테랑으로 불리는 엔지니어라고 해서 보안책임자가 될 수 있는 것이 아니기 때문에 CSO를 길러내기가 어렵다"고 현실을 설명했다.
◆ 정부 차원의 전문적인 CSO 양성 교육 필요
전문가들은 기업의 정책결정권자들이 보안의 중요성을 알 수 있도록 정부 차원에서 CSO 양성 교육이나 보안의 필요성을 알리는 교육 프로그램을 마련해야 한다고 조언한다.
하지만 현재 정통부나 한국정보보호진흥원(KISA)등의 관련 기관에선 이러한 교육프로그램에 대한 계획이 전무한 실정이다. 업계의 한 관계자는 "한국정보보호진흥원(KISA)에서 보안전담인력 양성 프로그램이나 보안체계를 세울 수 있는 교육 프로그램을 개설해야 한다"며 "특히 이런 교육은 자체적으로 보안 교육을 할 여력이 없는 중소기업에 큰 도움이 될 것"이라고 강조했다.
또 다른 한 관계자는 "아직 생긴 지 얼마 되지 않아 성과를 두고 봐야겠지만 정보보호대학원 등의 전문 교육 기관이 만들어지고 있는 것은 환영할만한 일"이라며 전문기관의 양성이 중요하다고 지적했다.
"보안은 관리가 생명이다"...삼성전자 94년 보안전담부서를 개설한 삼성전자는 현재 100여명에 달하는 보안전담 인력을 보유하고 있다. 전문경호업체의 아웃소싱 인력을 제외한 순수 보안전담 인력이다. 국내 대기업들의 보안 전담 인력이 열 명 안팎임을 감안해보면 상당한 숫자의 인력이다. 삼성전자는 무엇보다 보안관리자 육성을 위한 교육을 강조하고 있다. 지난해 말부터는 1년에 두 차례씩 4주 동안 '보안관리자 육성과정'을 운영하고 있다. 이 과정은 정보보안체계·보안 법규·보안 환경 이해 등의 전반적인 개관을 비롯해 PC보안·네트워크 보안 등의 IT보안, 출입 관리· CCTV 등의 물리 보안을 함께 강의하고 있다. 연내로 심화과정도 개설할 예정이다. 교육을 기획한 삼성전자 이상용 정보보호그룹 차장은 "보안 관리는 엔지니어의 기술만으론 할 수 없다"며 "교육을 통해 보안 관리자로서의 마인드를 키우는 데 중점을 두고 있다"고 교육의 취지를 설명했다. 한편 삼성전자 정보전략팀은 외부로부터의 정보유출보다는 내부보안에 중점을 두고 있다. 국가정보원의 최근 자료에서도 그 이유는 드러난다. 기술 유출이 일어나는 경로가 주로 인력 스카우트(44%)나 관계자 매수(29%)이기 때문이다. 이에 반해 해킹이나 도청(14%), 기술 절취 또는 복사(13%) 등은 상대적으로 적은 비율을 차지하고 있다. 이 차장은 "아직까지 보안의 중요성에 대해 인지하지 못하는 기업들이 많다"며 "하루 빨리 모든 기업에서 보안전담조직을 만들어 전문성을 키우고 그들이 만든 정책에 따라 체계적인 보안 관리가 이뤄져야 한다"고 강조했다.
포토뉴스
|
--comment--
첫 번째 댓글을 작성해 보세요.