[김홍선의 보안이야기]인력양성, SW 안 하려는 이유부터 찾아야


정보보안 인력에 대해서 (1)

지난 주 대통령 주재 미래기획위원회에서 발표한 'IT Korea 미래전략'에서 소프트웨어와 정보보호의 중요성이 나란히 주요 키워드로 나온 것은 인상적이었다. 물론 이런 육성 전략은 과거에도 여러 번 있었다. 그러나 IT라고 하면 하드웨어와 통신이 대세를 이루었던 과거에 비한다면 큰 변화다. 무엇보다 소프트웨어의 부가가치가 중요하다는 인식이 대세를 이루었고, 정보 보안이 향후 인터넷 인프라 발전에 기본적인 대전제가 되었다는 자체가 환영할 만하다.

소프트웨어와 정보 보안은 두뇌만으로 하는 지식산업의 대표적인 예다. 따라서, 경쟁력 향상을 위한 핵심은 전문 인력이다. 설비와 공장에 기반을 둔 산업 시대에는 잘 훈련된 인력을 양성하는 방법이 효과적이었다. 그러나, 소프트웨어, 정보 보안 인력의 양성 정책은 질적으로나 내용적으로 달라야 한다. 미국 인력의 기술력, 인도 인력의 가격 경쟁력을 부러워하기에 앞서, 우리가 창의적인 인재가 양성될 수 있는 환경을 갖추었는지 자문해야 한다.

일반적으로 소프트웨어와 정보 보안 인력을 별도로 생각하는 경향이 있다. 이는 근본적 문제를 외면한 채 겉모습만 본 결과다. 그러다 보니 정보 보안 인력 양성이라고 하면, “해커를 키워야 한다”, “군대에서 훈련시키듯이 양성해야 한다”와 같은 저돌적 구호로 표현하곤 한다. 아마도 ‘보안’이라는 용어가 집의 경비 시스템이나 군대 ‘통신 기밀’에서 사용되다 보니, 이런 인식을 가지게 되는 것 같다.

하지만, 그런 인식이 인력 양성의 방향에 혼란을 야기하지 않을까 우려된다. 시급할수록 정보 보안의 근원과 정체성을 되새겨야 한다. 근본적으로 정보 보안의 문제는 소프트웨어에서 시작하며, 전문 인력 양성 문제도 이를 토대로 풀어가야 한다.

정보 보안 사고가 발생하는 원인 두 가지

정보 보안 사고의 발생은 크게 두 가지 측면으로 생각할 수 있다. 그 하나는 보안 정책이 잘 수행되지 않는 것이다. 이는 정책이 잘못 설계되어 있거나, 혹은 정책은 잘 세웠는데 실행이 되지 않았기 때문이다. 후자의 이유로는 사용자가 고의적으로 따르지 않거나 혹은 따르기 힘든, 한 마디로 실용성이 떨어지는 경우다. 이는 다분히 사람과 프로세스의 문제로 귀결된다.

그 다음으로 기술적인 사고를 들 수 있다. 기술적인 사고는 소프트웨어의 취약점을 노린 위협에 기인한다. 어떤 소프트웨어 개발자가 자신은 바이러스 백신을 왜 사용하는지 모르겠다며 투덜대는 것을 들었다. 자신은 백신 없이도 모든 것을 스스로 통제할 수 있다고 자랑한다. 사실 검증된 소프트웨어만 신중하게 사용한다면 그럴 수 있다. 그러나, 과연 그런 사람이 얼마나 될까? 또한 그런 사람이 있다 하더라도 과연 100% 통제가 가능할까?

오늘날 우리는 각종 정보와 콘텐츠의 범람 속에 살고 있다. 크고 작은 많은 서비스가 선 보이고 있고, 이는 소프트웨어를 통해 인프라와 서비스의 형태로 구현된다. 그 과정에서 수많은 소프트웨어 기술이 생성, 진화한다. 예를 들어 웹이 사용자가 직접 접하는 플랫폼이 되자, 웹의 소프트웨어 기술이 괄목할 만한 성장을 이루었다. 더욱 편리하고 매력적인 사용성(usability)을 제공하기 위해서 웹에서는 각종 스크립트 언어와 실행성 소프트웨어가 점점 더 많이 사용된다.

그런 가운데, 소프트웨어 취약점이 연일 발견되고 이에 대한 대응 기술을 연구해야 하는 상황이 반복된다. 그러나, 최근 웹 취약점을 파고드는 악성코드가 급증하고 있고 웹을 보기만 해도 감염될 수 있다는 사실을 아는 사람은 의외로 적다. 웹을 구축하기 위해 소프트웨어를 급하게 만드느라 제대로 검증하지 못할 경우 그 소프트웨어는 구조적인 취약점을 지니게 되고 이는 보안 사고로 직결된다.

마이크로소프트와 같은 최대 소프트웨어 기업은 엄격한 설계 가이드라인으로 보안성 검증에 최선을 다한다. 그럼에도 취약점을 피할 수 없기에 수시로 패치(patch)를 발표한다. 하물며 소프트웨어 설계 시에 보안에 대한 깊은 고려 없이 시간에 쫓기며 개발한 소프트웨어가 취약점이 더 많음은 불을 보듯 뻔하다. 소프트웨어의 양이 기하급수적으로 늘고, 다양한 기능을 구현하는 데 주력할수록 취약점은 더욱 많이 나올 수밖에 없다.

반면 사용자의 보안 수준은 천차만별이고, 각 PC의 관리 상태도 예측 불가능하다. 이런 환경이 오늘날 조직적 사이버 범죄가 횡행하는 원인을 제공한다. 정보 보안은 소프트웨어와 사용자의 취약점 때문에 발생한다는 평범한 진리를 공감해야 보안 인력에 대한 방향도 설정할 수 있다.

소프트웨어를 하지 않으려는 이유를 찾는 게 첫째 열쇠

그러면 일단 왜 소프트웨어를 하지 않으려고 하는가? 이 질문의 답은 정보 보안을 하지 않는 첫째 이유와 동일하다. 소프트웨어 역량에 보안 전문성을 갖추어야 소위 정보보안 전문 인력이라고 할 수 있기 때문이다.

앞서 언급한 대통령 주재 회의에서 어떤 소프트웨어 공학 교수님이 “젊은이들이 소프트웨어는 4D라고 합니다. 3D에 하나 더해진 D는 Dreamless라고 자조한다”라며, 소프트웨어에 대한 인식을 개탄했다. 오늘날 소프트웨어에 대한 무시는 향후 우리 나라 산업 발전의 발목을 잡을 수 있다는 우려를 금할 수 없다.

소프트웨어 인력의 사기 저하와 기피 현상은 아주 심각하다. 소프트웨어가 공정한 거래가 되지 않고, 제 값을 받지 못하기 때문에 인력들이 3D 업종이라며 기피한다. 장기적으로 전문 인력을 양성하는 것도 중요하지만, 소프트웨어의 전문성과 가치가 대우 받는 사회 풍토를 만들어야 한다. 정보보안 전문 인력 양성 문제도 그 연장선 상에 있다.

어떤 인력이 정보 보안에 적합한지, 어떤 교육과 과정을 통해 양성해야 하는지를 향후 몇 회에 걸쳐 논의하고자 한다.

/김홍선 안철수연구소 대표이사 column_phil_kim@inews24.com






포토뉴스