[ET단상]정보보호 주도 인력 양성 시급하다

최근 수년간 다양한 정보보호 사고가 지속적으로 발생하면서 정보보호 전문인력 수요가 급증했다. 이에 따라 여러 기관이 다양한 정보보호 전문인력 양성 프로그램을 운영한다. 정보보호 기초 기능인력, 고급 화이트 해커, 최고정보보호책임자(CISO) 등을 양성하는 프로그램과 대학의 정보보호 교육 프로그램 등이 그것이다. 그런데 정부의 자원 배분 정책을 보면 정보보호 문제의 핵심을 놓치고 있는 것 같다.

현재 기업 정보보안의 가장 큰 문제는 정보기술(IT) 부서와 정보보호 업무의 이해 상충이다. 대부분의 기업에서는 정보보안을 IT담당 중역, 즉 최고정보책임자(CIO)가 맡고 있다. 정보보안은 정보를 보호하는 일이니 IT부서의 일이므로 CIO가 이 문제를 다뤄야 한다고 생각할 수 있다. 그러나 IT부서의 성과평가는 정보시스템에 얼마나 신속하게 접근할 수 있는지, 편리하고 효율적으로 활용할 수 있는지 등 생산성을 중시한다.

반면에 정보보안을 위한 제반 통제 사항 도입은 단기적으로 업무 수행의 효율성을 떨어뜨릴 수 있다. 정보보안은 업무의 단기적 효율성 추구를 목적으로 하는 IT부서의 이해와 충돌하고 다양한 갈등을 일으킨다. 최근에 발생한 농협 사건 등 정보보안 사건 대부분의 기저에는 이 문제가 깔려 있다. 정보보호 업무가 IT부서의 IT업무에 종속되면 정보보호 문제는 해결되지 않는다.

미래 사이버 공격을 제대로 막으려면 정보보호 부서를 IT부서에서 독립시키고 정보보호 부서의 권한을 강화해야 한다. 그런데 지금의 정보보호 인력 양성 방향을 보면 정보보호 부서를 IT부서의 보조적인 일부로 본 인력 확보 위주로 진행된다. 인터넷에서 한번 검색해 보면 정보보호 인력 양성 학원이 난무한다. `정보보호 전문가 6개월 과정`과 같이 마구잡이식으로 정보보호 인력이 양산되고 있다. 마치 엑셀이나 파워포인트 사용법을 가르쳐 사무 보조원을 양산하는 것처럼 침입탐지시스템(IDS)과 방화벽 사용법 하나를 익히게 한 후 정보보호 인력을 양성하고 있다. 이들에게 독립된 정보보호 부서를 권한과 책임을 가지고 운영해 나가기를 기대하는 것은 무리다.

대학의 정보보호 교육 프로그램을 보면 대부분 전산학의 틀에서 벗어나지 못하고 있다. 기업에서 정보보호를 전사적으로 주도해 나갈 수 있는 교육 내용이 제대로 설계돼 있지 않다. 대학생을 정보보호 주도 인력으로 키우기 위해서는 전산학뿐만 아니라 경영학, 리더십 강좌를 통해 독립적인 부서를 운영할 능력을 키워줘야 한다. 한 기업에서 독립되고 권한과 책임을 가진 정보보호 부서를 운영·관리하는 일을 맡을 CISO로 커 나갈 수 있게 해야 한다. CISO의 업무는 쉬운 일이 아니다. CISO는 정보보호 신기술을 모두 이해해야 하고, 조직의 정보 흐름을 알아야 하며, 조직 안의 다른 부서가 정보보호 정책이나 지침을 따르도록 이끌 리더십과 관리기술을 알아야 한다.

정부는 고급 화이트 해커 양성 사업에도 더 많은 비중을 둘 필요가 있다. 이들이야말로 기업에서 독립된 정보보호 부서를 권한과 책임을 가지고 운영할 사람들이기 때문이다. 그동안 우리나라에서 열린 각종 해킹 대회에서 두각을 나타낸 많은 해킹 고수들은 과연 기업에서 정보보호를 위해 얼마나 근무하고 있을까. 관료화하고 거대한 IT부서에 속한 자그마한 정보보호 부서에서 억압된 사내 분위기를 견디지 못하고 프리랜서로 돌아가는 사례가 많다. 이들에게는 이들의 무대가 필요하다. 이들이 자리를 잡고 기업에 기여할 수 있는 곳은 독립되고 권한과 책임을 가진 정보보호 부서다. 이제는 이러한 정보보호 주도 인력을 양성하고 이들이 자리를 잡고 활동할 수 있는 방향으로 정책을 수립해야 한다.

김세헌 KAIST 정보보호대학원 교수 shkim@kaist.ac.kr