[기사] 위기의식 갖고 변화해야

출처 : http://www.dailysecu.com/news_view.php?article_id=7423


“정체의 시기, 시대는 정보보안 컨설팅의 변화를 요구한다”
[윤원석 싸이버원 본부장. 사진] 우리나라에 정보보안 컨설팅이라는 새로운 업역이 만들어 진 것은 언제일까? 필자도 보안 컨설팅이란 이름으로 프로젝트를 1997년부터 수행했으니 최소한 17년은 넘은 듯 하다. 당시에는 각 행정부처와 사법부 등 국가기관의 중요 업무에 대한 전산화가 IT 아웃소싱이란 이름으로 폭발적으로 증가하던 시기로 기존에 없던 정보기술의 도입에 따른 새로운 정보침해 위험이 발생함에 따라 국내의 주요 SI 사업자들이 위험을 최소화하기 위해 SI 사업의 한 부분으로 정보보안 컨설팅을 적용하였다. 이러한 SI 사업의 한 부분으로 지원된 컨설팅이 명실상부하게 새로운 업역으로 정립된 것은 2001년 1월 정보통신기반보호법이 제정 이후가 아닐까 한다.
 
정보통신기반보호법의 발효를 통해 8대 영역 주요정보통신기반시설이 지정되었고, 기반시설에 대해 취약점분석평가라는 정보보안 컨설팅을 법적 의무로 부과하여 이를 담당할 신뢰할만한 전문 기업을 국가가 정보보안 컨설팅 전문업체로 지정함으로써 정보보안 컨설팅이라는 업역이 정립되어 현재에 이르게 된 것이다.
 
그런데 최초 14개로 지정되었던 전문업체가 현재 18개로 대폭 늘어 났고(사실은 우여곡절 끝에 작년까지 14개에서 7개로 줄었다가 올해 11개가 새로 지정된 결과이지만), KISA에서 매년 발표하는 산업동향보고서에 정보보안 컨설팅 산업 규모가 매년 10% 이상 꾸준히 증가하고 있으니 충분히 발전하고 있다고 자족해도 되는 것일까?
 
◇정체기에 직면한 정보보안 컨설팅=필자는 이러한 표면적인 산업의 성장에도 불구하고 정체기(停滯期)에 직면해 있다고 말할 수 밖에 없을 듯 하다. 필자의 이런 견해에 의아해 하는 분들도 있겠지만 현재의 정보보안 컨설팅 구조와 내면을 깊이 들여다 보면 정보보안 컨설팅은 중대한 정체기에 직면하여 새로운 돌파구를 모색하지 않으면 안되는 시기라고 판단한다.
 
정체기의 내면을 들여다 보려면 우선 정보보안 컨설팅이란 도대체 무엇이고 어떤 요구 받고 있는 업역인지에 대한 이해가 필요하겠다. 정보보안 컨설팅이란 무엇인가? 일반적으로 컨설팅이란 Problem Solving, 즉 조직과 기업이 안고 있는 복잡다단한 문제의 해결 과정이라 할 수 있으니, 필자는 정보보안 컨설팅이란 ‘조직의 정보보호 문제와 관련하여 복잡다단한 현상을 진단하고 문제의 근본원인을 밝혀 이에 대한 현실적인 대안을 제시함으로써 정보침해 가능성을 최소화하는 과정’이라고 정의하고자 한다.
 
이러한 필자의 정의에 비춰 본다면 과연 현재의 정보보안 컨설팅은 그 역할을 제대로 하고 있는가? 필자의 대답은 매우 미흡하다는 것이다. 즉, 정보침해 문제의 근본원인을 분석하고 파악하는데 미흡하며, 정책적 대안을 제시하고 해결하는데 미흡하며, 기술의 선진성을 획득하고 활용하는데 미흡하여 10년 전과 크게 다르지 않은 내용으로 의뢰인의 필요에 크게 못미치는 현재의 상황이 바로 정체(停滯)의 핵심이 아닐까 싶다.(물론, 컨설턴트의 보수도 10년 전이나 별 차이가 없이 미흡하지만…)
 
정체(停滯)의 몇 가지 현실을 확인해 보자. 정보통신기반보호법에 따라 수행되는 취약점분석평가 업무는 한정된 예산과 자원으로 인해 철도, 전력, 금융망, 통신망 등에 내재하는 정보침해 위험을 지속적이고 정밀하게 분석/연구하지 못하고, 법에서 요구하는 기반보호 지침의 항목에만 의존하여 법적 의무사항을 이행하는 데에만 급급해 하고 있지 않은가? 컨설턴트는 정부의 정책 입안자나 기업의 최고 경영층과 적극적으로 협업하고 소통하여 정책적 대안과 근본적인 해결책을 제시하는 대신 늘 해오던 대로 알려진 취약점이나 진단하고 실무자 중심의 대책을 반복하는데 그치고 있지는 않은가? 국가가 지정한 전문업체는 낮은 용역단가와 높은 가동율 사이에서 매너리즘에 빠져 전문가 조직으로서 새로운 지식을 생산하고 현장에 적용해야 하는 본연의 역할은 외면하고 있지는 않은가?
 
위에서 나열한 문제점들은 복합적인 이유로 나타난 결과인지라 어느 한 주체의 문제로만 바라보기는 어려운 면이 있고, 어느 하나의 해결방안이 모든 문제를 아우르는 해결책이 되긴 어려운 면도 있다. 하지만 정보보안 컨설팅의 정체기에 대한 문제의식이 필자와 유사하다면 우리는 문제점을 솔직하고 과감하게 꺼내놓고 관련 주체들과 소통함으로써 정체(停滯)의 위기를 해결하려는 노력을 해야 한다.
 
◇정보보안 컨설팅 발전방향 제시=이러한 해결과정을 통해 컨설턴트가 컨설팅의 본령을 제대로 수행하도록 하는 것이 결국 정보보안 컨설팅의 발전 방향이 되지 않을까 생각하며, 필자는 오랜 시간 몸담아 온 정보보안 컨설팅에 무한한 애정을 가진 한 명의 컨설턴트로서 미력이나마 소통과 노력에 참여하는 마음으로 몇 가지 고민해 왔던 의견을 드려보고자 한다.
 
우선, 정보보안 컨설팅을 수행하는 전문업체와 컨설턴트는 선투자의 관점에서 의뢰인이 요구하는 보안 기술력을 배양하는 노력을 기울여 기술적 선진성을 획득해 나가야 한다. 이러한 노력은 컨설턴트와 전문업체의 발전을 위해서 뿐만 아니라 의뢰인의 지속적인 신뢰 유지를 위해서도 필요하다.
 
이를 위해 필자는 ‘국가기관, 기업 등 이해당사자와 전문업체 간의 공동 연구과제 수행’, ‘선진기술 개발 및 공유를 위한 자율적 컨설턴트 협의체 구성’과 같은 방안을 제안하고자 한다. 이러한 방안은 많은 비용이 소요되는 새로운 영역의 위험을 사전에 파악하고 예방 중심의 대책을 제시함으로써 1.25 대란, 7.7 대란 등과 같은 국가 차원의 정보침해 참사를 방지하는데 큰 도움이 될 것이며, 아울러 컨설턴트는 자체적인 기술개발과 공유의 장을 통해 사회적으로 기여함과 동시에 스스로의 가치를 시장에서 인정받고 유통할 수 있는 생태계(ECO System)을 형성함으로써 현장 중심의 정보보안 정책을 생산해 내는 주체로서 역할을 인정받게 될 것이다.
 
둘째로 정보보안 컨설팅을 요구하고 의뢰하는 정부기관과 기업에 대해서는 효율(Efficiency) 보다는 정보보안의 효과성(Effectiveness) 극대화를 중심으로 하는 접근법을 적극 채용할 것을 제안한다. 효과성은 하나의 업무를 완료하는 것에 초점을 맞추는 것이 아니라 보다 안전해 졌다는 확신을 얻는데 목적을 둠으로써 달성될 수 있다.(이를 보안업계에서는 보증수준이라고 표현한다.)
 
이를 위해 필자는 ‘기반시설 취약점분석평가 예산 후할당제’, ‘신규 위험 발견 인센티브제’ 등과 같은 제도적 보완 방안을 제안하고자 한다. 이러한 제도는 법조계에서는 ‘성공보수’라는 형태로 실제하는 보상제도를 정보보안 업계에도 적용해 보자는 것인데, 정보보안 컨설팅이 하나의 법적 의무를 해치우는 도구로 전락하지 않고 실효성을 제공하도록 견인하는데 큰 도움이 될 것으로 사료된다. 또한 현장에서의 새로운 위험에 대한 검토에 사전적인 제한을 두지 않음으로써 “파이어세일(Fire Sale)”과 같은 SOC(사회간접자본)를 무력화하는 시도가 실제 발생 가능한지 현장에서 검토하고 대응하는 데에도 큰 도움을 줄 것이다.
 
셋째, 좀더 근본적으로는 정보보안 컨설팅의 활용에 있어 기존의 정보시스템 위험 관점에서 정보위험 관점으로 무게 중심을 이동해 나갈 것을 업계와 정부기관, 기업 등에 제언하고자 한다. 기존의 정보보안 컨설팅은 기능 중심의 정부 조직, 기업 조직의 한계로 인해 정보시스템 위험 중심으로 전개됨으로써(이는 최근의 개인정보보호 컨설팅에서도 동일하게 나타나는 문제점이다.)
 
정보시스템과 현업이 결합되어 나타나는 실제 보안사고의 해결에는 많은 한계를 드러내 왔고, 정보보안 컨설턴트의 역할도 정보시스템에 한정하여 활용성이 매우 낮은 문제가 있었다. 필자는 이러한 문제의 해결을 위해 기존에 꾸준히 시행해 왔던 취약점분석평가, 정보보호 관리체계 수립/인증, 개인정보보호 체계 수립, 웹사이트 모의해킹 등과 같은 이제는 어느 정도 정형화된 컨설팅 서비스의 틀을 깨고 정보위험 관점의 프로젝트를 진행할 것을 제안한다.
 
정보위험 관점이라고 하니 어려운 이야기로 들릴 수 있겠으나, 쉽게 이야기하자면 정부나 기업의 업무 단위에서 발생 가능한 모든 정보위험을 검토할 수 있도록 업무 단위의 위험평가 중심으로 프로젝트를 발주해 나가는 노력을 기울여 달라는 것이다. 이를 통해 정보보안 컨설팅은 경영혁신, 법률자문 등의 전문조직과 통섭하면서 산업적 위상을 제고할 수 있겠고, 의뢰인의 입장에서는 컨설팅에 들인 비용과 노력을 정보시스템 부서의 한계를 넘어 업무 단위 전반에 최대로 활용함으로써 기업 내의 정보위험을 실질적으로 제거하는데 큰 도움을 얻게 될 것이다.
 
이상으로 부끄러운 몇 줄의 글로 현재의 정보보안 컨설팅의 문제점과 발전 방향에 대한 소견을 정리해 보았으나, 20년 가까이 이어온 정보보안 컨설팅의 문제와 발전 방향을 본 시론의 몇 줄 글에 다 담기엔 매우 부족한 듯 하다. 기회가 된다면 필자도 업계의 전문가들과 좀더 머리를 맞대고 협의하면서 위에 언급한 핵심 문제점과 근본원인, 발전 방향에 대한 제언들을 구체화하고 향후 지속적으로 소통할 기회를 가져볼까 한다. 졸고에 관심 갖고 읽어주신 분들께 감사 드린다.
 
[글. 윤원석 싸이버원 컨설팅본부 본부장 / marshal@cyberone.kr]