국내 사이버보안 분야 발전 위한 10가지 제언

[보안멘토]

이재우 석좌교수 “국내 사이버보안 발전 위해 이것만은 고쳐야”   
한국CSO협회, 2013년 10월 한국CSO포럼 개최...11월 총회 열려  

[보안뉴스 김지언] 최근 사이버보안에 대한 관심이 고조되고 있는 가운데 현재 국내 사이버보안의 문제점을 제기하고, 향후 개선방향을 제시한 자리가 마련됐다.

▲동국대 이재우 석좌교수가 한국CSO포럼에서 ‘사이버보안 분야의 발전을 위한 제언’ 을 주제로 강연하고 있다.  

정부부처 및 유관기관, 기업보안책임자, 교수 등 40여명의 회원들이 참석한 가운데 개최된 ‘제9차 한국CSO포럼’이 바로 그것.   

이날 행사에서 한국CSO협회(회장 이홍섭)의 자문위원장을 맡고 있는 동국대 이재우 석좌교수는  ‘사이버보안 분야의 발전을 위한 제언 - 이것만은 고쳐야 한다’라는 주제로 발표를 진행했다.

이 교수는 △해킹방어대회의 모순 △윤리적 해커 용어의 모순 △맹목적이고 지나친 관용은 어리석음이다 △Penetration Tester(시스템 침투 테스터)를 기르자 △세계적인 침투방어 훈련인 Cyber Storm에 참여하자 △우리나라 각종 자격증의 후진성 개선 △각 부처의 프로젝트로 진행되는 다양한 사이버보안기술 연구물의 집중화 △정부 각 부처의 임무 특성을 고려한 독립적 보안 시스템 구축·운영 △사이버보안 전력 양성은 비밀로 해야 △보안의 원칙과 기본에 충실해야 할 때가 왔다 등 10가지 제언을 바탕으로 사이버보안 분야의 발전을 위한 의견을 제시했다. 이 교수가 제시한 10가지 제언의 세부내용은 다음과 같다.

△해킹방어대회의 모순

현재 국가기관, 대학 등에서 진행하는 해킹방어대회는 해킹에 대한 방어능력이 뛰어난 우승자를 선출하는 방식이 아니라, 공격을 해 가장 많이 공격하거나 제일 빨리 공격하는 자가 우승하는 방식이다. 명칭 그대로 행사 주최 측이 준비한 공격으로부터 시스템을 안전히 보호하는 지원자가 우승하는 방식으로 바뀌어야 한다.

△윤리적 해커 용어의 모순

윤리적 해커 자격증을 비롯해 윤리적 해커라는 말이 너무 공공연히 쓰이고 있다. 일례로 윤리적 해커라는 이름의 자격증만 봐도 정보보호에 관련한 시험이지 윤리적인 측면에 대해 다루고 있지 않은 것처럼 말이다. 윤리적인 기준을 정확히 측정하지 못하기 때문이다. 이에 타국에서는 CNDA(Certified Network Defense Architect)로 자격명을 변경해서 부르고 있으나 우리나라에서는 마치 윤리적인 측면에 대해 다루는 자격증인 것처럼 인식되고 있다. 윤리적인 측면을 다루지 않는 만큼 우리나라에서도 CNDA라는 이름으로 고쳐 불러야 한다.

△맹목적이고 지나친 관용은 어리석음이다

많은 해킹대회에서 화이트해커라는 용어를 사용한다. 1980년대 이후 해커는 실존법상 범죄자를 의미하므로, 사이버전사나 보안전문가와 같은 용어로 대체해야 한다.

△Penetration Tester(시스템 침투 테스터)를 기르자

각 대학의 IT관련학과에서도 해커의 공격으로부터 방어할 수 있는 실무교육을 진행해 보안실무자들을 배출해야 하고, 이들을 기업에서 시스템 침투 테스터로 적극 활용해야 한다.

△세계적인 침투 방어 훈련인 Cyber Storm에 참여하자

세계적인 침투 방어 훈련인 Cyber Storm과 같은 국제적 트레이닝에 우리나라가 주도적으로 참여해야 진짜 IT 강국으로 성장할 수 있다.

△우리나라 각종 자격증의 후진성 개선

현재 우리나라의 많은 자격증은 한번 취득하면 평생 갱신 없이 자격을 갖는다. 급변하는 공격기술에 대해 제대로 대응하기 위해서는 지속적으로 교육을 받도록 하는 것과 같이 자격 유지를 위한 제도가 도입돼야 한다.

△각 부처의 프로젝트로 진행되는 다양한 사이버보안기술 연구물의 집중화

현재 연구물들이 특정기관에서 통합적으로 관리되지 않아 같은 연구를 각 부처에서 다시 진행하는 사태가 발생한다. 각 부처에서 프로젝트로 진행되는 사이버보안기술 연구물 관리를 한 기관에 집중시킨다면 자료 확인과 함께 창의적 가치를 창출하는데 용이할 것이다.

△정부 각 부처의 임무 특성을 고려한 독립적 보안 시스템 구축·운영

많은 국가기관에서 같은 보안 솔루션과 백신을 사용하고 있어 한 곳이 해킹당한다면, 다른 국가기관 홈페이지 전체가 위험할 수밖에 없다. 각 기관별로 기관의 특성에 맞는 각각의 보안 솔루션과 백신을 도입해야 보안기반을 튼튼히 다질 수 있다.

△사이버보안 전력 양성은 비밀로 해야

국가적으로 주요 보안인력을 양성한다는 것 자체가 다른 나라에게는 매우 중요한 정보가 될 수 있으므로, 어떤 기관에서 양성하는지, 교육 후 그들이 배치되는 곳은 어디인지, 몇 명의 보안인력을 키우는지, 양성된 인력의 능력은 어느 정도인지 등의 노출은 최대한 피해야 한다.

△보안의 원칙과 기본에 충실해야할 때가 왔다

대부분의 기업과 기관에서는 제대로 된 정보보호 정책이 없다. 각종 보안사고 및 재난에도 시스템이 정상적으로 작동할 수 있도록 미봉책이 아닌 제대로 된 보안 인프라가 구축되어야 한다.

이날 행사에서는 이재우 석좌교수 외에도 시만텍 윤광택 이사가  ‘HiddenLynx_전문 청부해커 그룹의 실체분석’이라는 주제로 발표를 진행했다.  

한편, 이번 행사를 주최한 한국CSO협회는 11월 26일 개최되는 총회에서 미래창조과학부로의 부처 이관과 명칭 개정이 이루어질 예정이다. 이와 관련 협회 이홍섭 회장은 “한국CSO협회라는 이름을 달고 진행한 마지막 조찬행사라 섭섭함을 느낀다”면서도 “협회를 4년간 이끌어오면서 하고 싶은 일, 해야 하는 일, 할 수 있는 일등 3가지 종류의 일을 한번에 할 수 있게 돼 뜻깊었다”고 그간의 소회를 밝혔다.  

[김지언 기자(boan4@boannews.com)]

카페 소개 : 정보보안기사 카페(다음 정보보안기사 대표 카페)

카페 주소 :http://cafe.daum.net/Security-no1클릭

교재 소개 : 알·기·사(알기쉬운 정보보안기사.산업기사(필기편,실기편))