보안인력 이젠 국가가 선도하여야 하지 않을까요??

이번에 안랩대학생 기자단 지원하면서 썼던 에세이 부끄럽지만 올려봅니다. 엔시스님께서 감수를 해주셔서 그래도 많이 매끄러워진거 같네요 감사드립니다. 이 포스팅은 호환IT이야기(http://tigernet.tistory.com)에 공동기재 중입니다.

우리가 살고 있는현대사회에서 IT기술의 영향력이 뻗치지 않은 곳이 있을까? 눈을뜨면서부터 하루를 거쳐 다시 잠에 드는 시간까지 우리는 수많은 IT기기들과 기술을 접하고, 사용하며 살아가고 있다. 손안에 들어오는 조그만 휴대폰의 기능이최초의 컴퓨터인 콜로서스보다 그 크기는 월등히 작으면서도 성능은 비교가 불가능할 정도로 발전했을 만큼 IT기술의발전은 눈이 부시도록 빠르고 항상 꿈이라고만 생각했던 것을 현실로 이끌어 내왔다. 특히 우리나라의 경우특유의 민족적 기질인 “빨리빨리” 때문에 세계 어디보다 빨리 IT기술을 발전시키고 구축해 오면서 IT강국이 되었다고 자부하고 있는현실이다.

 하지만이것은 흔히들 말하는 지속적인 발전이 가능한 기반 즉 IT인프라를 구축하는 데에만 치중해 왔다고 생각할수도 있다. 실제로 지난 7.7 DDOS 사건이나 옥션 개인정보유출등 굵직한 사건만 보더라도 여태까지 우리가 개발하고 발전해왔던 것이 그저 몸집을 키우고 내실을 다지지 않았음을 여실히 보여주는 증거라고 생각된다. 자물쇠 없는 곳간을 지어놓고 곳간의 크기만 계속해서 증축해 온 것과 같다는 말이다. 그 결과 우리나라 IT 인프라는 크래커들이 판치는 놀이터가 되었다고보아도 과언이 아니다. 이제는 몸집이 아닌 보안이라는 내실을 다져야 할 때가 온 것이다.

  물론지속적으로 보안에 신경을 써오고 보안분야에 투자를 하며 꾸준히 내실을 다져온 기업들이 있기는 하다. 하지만이러한 부류는 우리나라에서 극소수라고 할 수 있다. 보안분야에 대한 교육과 인재양성이 국가적 차원이아닌 개인기업에 의하여 또는 일부 학원등에 의하여 이루어지고 있는 현실이다. 그런 이유로 체계적인 인재양성이아닌 소위 말하는 로또식의 인재양성이 이루어 지고 있다고 생각한다. 진짜 실력을 가진 정보보안전문가들은최근까지만 하더라도 악성해커(크래커)라는 오해를 받으며 오히려감시 해야 할 인물이라는 편견이 지배적이었다. 현재는 이러한 인식이 바뀌고 있기는 하지만 예전보다 크게나아진 점은 없어 보인다.

  

이러한점을 해결하기 위해서는 우선 인재양성과 인프라 구축부터 국가적인 차원에서 이루어져야 한다고 생각을 한다. 최근중국발 해킹등으로 그 성향이 많이 바뀌긴 하였지만, 보안 사고의 대부분이 일명 Script kiddy라 칭하는 소위 공부를 하는 과정에 있는 학생들로 인하여 벌어지는 경우도 허다하다. 체계적인 교육을 받지 못한 상태에서 호기심에 충만하여 그저 어딘가에서 검색하여 확보한 도구들을 사용하는 과정에서이러한 사고가 발생하는 경우가 대부분인 것이다. 이러한 학생들을 국가에서 양지로 끌어올리고 도덕성부터확실히 교육을 한 후에 이론, 실습 순으로 교육을 해 나간다면 당장은 아니더라도 비 악의적인 공격에의한 피해는 차차 줄여 나갈 수 있을 뿐만 아니라, 보안인력의 확보까지 이룰 수 있을 것이다.

  하지만, 여기서 그치지는 말아야 한다. 인력의 확보뿐만 아니라 해당 인력에대한 대우와 관리도 민간단독이 아닌 국가와 연계하여 이루어 져야 한다. 그 예로 국가공인 보안자격증인 SIS를 들 수 있다. 이처럼 보안관련 자격증들의 취득을 독려하고, 해당 자격증을 민간이 아닌 국가에서 관리를 하여야 한다. 또한, 주기적으로 자격을 검증 받고 재심의 할 수 있게 함으로써, 인력의구축과 더불어 기술 발전에 상응하는 인력을 양성하고 관리 할 수 있는 체계를 마련해야 할 것이다.

  마지막으로인재양성에 국한되지 않고, 피해예상과 공격패턴을 분석하고 결과를 데이터베이스화 해야 한다는 점을 말하고싶다. 7.7 DDOS공격 사건 이후 보안에 관한 관심과 투자가 많아진 것은 사실이다. 하지만 DDOS한 분야가 아닌 보안과 관련된 여러 분야에 걸친 공격의종류와 분석이 이루어지고 P.T.(모의침투)를 통한 공격가능성을 끊임 없이 점검하고 데이터베이스화 하는 것이 중요한 것이다. 외국에서는 매년마다 OWASP 10대 취약점이란 것을 발표하고 있다. 우리나라에서도 KISA에서 이와 비슷한 것을 발표를 하고 있다. 하지만 OWASP에 비해서는 그 범위가 너무 국한되어 있고 내용이 빈약한 것이 사실이다. 이러한 차이점이 발생하는 이유는 바로 지속적인 데이터베이스의 확보가 이루어져 있지 않기 때문이 아닌가 추측을해본다. 정보보호21C에 실렸던 WowHaker대표와의 인터뷰를 보면, 자신이 알아낸 취약점을 기업에알려줬을 때 오히려 오해를 받고 욕을 먹은 이후로 알게 되더라도 말을 하지 않게 되었다는 부분이 있다. 사고가나기 전 모의침투에 의하여 구멍이 확인되는 것은 결코 부끄러운 것도 아니며 숨길 사항도 되질 않는다. 중요한것은 이러한 것이 밝혀지거나 제보가 되었을 때 숨기지 말고 인정하고 고치는 것이다. 그래야 아주 미세한틈을 비집고 들어오는 공격자로부터 100%는 아니지만 높은 확률로 방어가 가능하게 되는 것이라 생각한다.

  해킹과 보안은 동전의 앞면과 뒷면 이라고 한다. 보안을잘하기 위해서는 해킹을 이해하고 예상해야 하기 때문이고, 반대로 해킹을 잘하기 위해서는 보안을 이해하고예상해야 하기 때문이다. 그 동안 민간, 개인 그리고 음지에있던 수많은 해커들을 국가차원에서 양지로 끌어올리고, 그들을 한데 묶음으로써, IT인프라 강국뿐만이 아닌 IT보안 강국이 되었으면 하는 바램이다.