◆최운호 엔에스컨설팅 상무, 경기대 교수
공공기관이나 기업, 은행의 전산실을 가서 시스템 운영자나 네트워크 운영자를 만나면 다음과 같은 생각을 많이 하게 된다.
건설현장이나 공장들을 지나다 보면 365일 무사고, 1000일 무재해 달성 등 요란한 구호를 보면서 이들은 이러한 실적에 따라 적절한 보상을 받게 되는데 비해 이것과 동일한 구호, 가령 ‘365일 무해킹 달성’ ‘100일 무사고서비스’등에 대한 정보시스템 운영자들이나 정보보호책임자들에 대한 대우나 사기 문제를 생각하게 된다. 무해킹 365일이면 보너스나 보상금도 주고 사기를 앙양해 주기도 하고 승진의 발판을 만들어 줄 법·제도 정비도 필요한 시점이 아닌가 싶다.
국내에 소수의 정보보호관리자나 시스템, 네트워크 운영자들은 열악한 환경 속에서 자사의 시스템을 보호하느라고 열정을 쏟고 있다. 그런데 해킹이나 바이러스 사고, 그리고 시스템의 부분적인 장애라도 발생하면 마치 죄인인 양 취급되기 일쑤고 경영개선이나 비용절감이 나오면 힘이 없는 부서인 전산실이 제일 먼저 피해를 보는 사례를 여러군데서 보아왔다.
최근 미국 국방부의 고위관리는 의회증언에서 연방정부의 정보보호인력의 보수는 신입이 4만∼5만달러지만 이들이 정보보호회사에 가면 10만∼12만달러를 받는 사례 때문에 많은 우수한 인력이 민간으로 돌아서고 있다며 인력보수기준에 대한 새로운 기준을 세워줄 것을 요청한 바 있다. 이에 따라 미국 정부가 연방정부공무원 중 정보보호담당자들의 보수체계를 별도 검토해 의회에 보고했다.
한국정보보호진흥원(KISA)의 침해사고대응팀에 따르면 공공기관의 경우 현재 연간 1000여건의 해킹사고가 발생하고 있고 이러한 신고조차 전체사고의 오직 5%만 보고된다는 미국방부의 보고서를 인용하면 보다 많은 사고가 발생하고 있다는 것을 예상할 수 있다.
매년 2배씩 증가하는 해킹·바이러스 관련 문제를 단 10여명의 인력으로 해결하고 침해사고대응팀협의회(CONCERT)의 회원기관과 국내외의 해킹피해 예방에 일선 공조체계를 갖추어 담당하고 있다.
따라서 KISA나 기업의 정보보호담당자는 연간 개인이 처리할 수 있는 사고 처리 능력이 한계가 있는데 사고나 막아야 할 영역은 무한대로 확대되고 있다.
B은행·P그룹·H부처 등 많은 전산실을 가보면 실제 1명이 여러업무중 하나로 정보보호를 맡고 있는데가 70%, 1∼2인을 지정한 곳이 20%, 정보보호를 맡는 조직이 있는 곳은 극소수다.
이러한 문제는 기업의 정보자산이 몇조 규모인데 비해서 이를 지키는데는 가트너그룹의 권고에 따라 5% 내외의 예산과 전산실 인원 중 10% 정도가 할당되는데
비하여 국내는 상상할 수 없는 조악한 환경이다.
한 예로 해외 모 은행은 정보보호인력이 500명이라고 한다. 하지만 국내의 대표적인 A은행의 경우 200여명의 전산실 인원 중 정보보호인력은 1명이고 대부분의 은행이 이와 비슷한 상황이다.
따라서 중대한 역할에 비해 주어진 예산과 조직이 절대적으로 부족하다면 이들에게 거는 기대치도 하향 조정돼야 하며 따라서 이들의 사기를 앙양할 대책이 필요한데 필자도 과거에 경험한 바지만 매년 임금이나 새로운 수당이 추진되다가 좌절되곤 하는 것을 보아왔다.
경영자의 해킹이나 사이버테러에 대한 정보보호 시각이 변화돼야 하며 얼마만큼의 예산과 인원이 주어지는가는 투자된 정보보호자산규모에 비례하여 결정돼
야 한다.
tiger@netnsec.com