보안 전문가로부터 수렴되는 공통 의견 가운데 하나는 '보안은 사람이다'라는 것이다. 사람이 중심이 되는 보안은 관점에 따라 다중의 의미가 있으며, 보안 활동 추진 주체 역할과 보안 활동 수행 참여 역할로 구분할 수 있다. 보안 활동 추진 주체는 주로 보안 담당자로 해석되고, 보안 활동 수행 참여는 조직구성원으로 한정돼 해석된다.
코로나19 창궐로 인한 기술 요새화 흐름이 국제 기술 패권 전쟁과 맞물리며, 경제활동 자체가 성장을 위한 핵심 원천 수준을 넘어 안보 수준 영역으로 확대되고 있다. 대외적 환경 변화에 선제 대응하기 위해서는 조직이 보유하고 있는 핵심 자산 고도화를 위한 기존 노력과 경제활동 지속 가능성 확보를 위한 안정적 보안체계 마련이 공진화돼야 한다.
다시 말해 정보자산은 물론 산업자산을 유출·탈취하고자 하는 다양한 위협 요소(외부 사이버 공격, 내부 정보 유출 등)에 대응할 수 있는 보안환경을 선제적으로 구축할 필요가 있다. 정부 부처에서도 흐름을 견지하고 이달 초 '국가첨단전략산업 경쟁력 강화 및 보호에 관한 특별조치법' 시행을 발표했으며, 첨단전략기술 지정에 따른 전략산업 육성과 더불어 보호에 관한 계획도 함께 준비하고 있다. 기존 기업과 산업 수준의 보안영역이 국가 수준의 안보 영역으로 확대되면서 다양한 제도적 장치를 통한 새로운 관점의 보안역량을 구축할 필요가 있다. 그 중심에 '사람'이 있다.
보안의 경제안보 흐름에 따라 보안활동 주체로서 보안 담당자에게 요구되는 역량도 혁신적 변화를 맞고 있다. 보안 인력에 관한 채용공고 분석과 관련 문헌을 조사한 결과 기본적으로 요구되었던 보안에 관한 전문성, 조직과 연계된 물리 공간과 사이버 공간에서 발생 또는 발생 가능한 보안위험을 예측(예지)하고 민첩하게 대응할 수 있는 '창의적 역량' '융합적인 소양'을 새롭게 요구하는 것으로 나타났다.
이 결과는 보안 활동이 조직의 가치 창출을 보조로 지원하는 기존 역할 수준을 넘어 창출된 가치 자체에 대한 무결성 확보와 창출된 가치 지속 가능성 확보를 위한 주 활동으로 자리매김하고 있음에 기인한다. 결론적으로 전문적 기술 습득과 적용에 한정되던 보안 역량이 조직의 업(業)과 연계되고(비즈니스 환경 변화), 초연결을 통한 공간 확대(물리 공간+사이버 공간)가 진행되면서(컴퓨팅 환경 변화) '창의적 융합 역량' 가치가 중요시되고 있다.
미래 보안 담당자로서 '창의적 융합 역량'을 배양하기 위한 세부적 역량은 다음과 같다.
우선 빠르게 변화하는 보안에 대한 기술 지식과 함께 기술을 잘 적용할 수 있는 능력이 필요하다. 이를 위해 기술에 대한 사고와 관심을 개방해서 보안제품(서비스)에 대한 흐름을 쉼 없이 이해하고 정리해야 한다.
둘째 환경 분석, 구체적으로 말하면 조직 가치사슬 및 네트워크에 대한 이해를 통해 조직이 보유하고 있는 핵심 자산은 무엇이고 얼마나 중요한지, 어디까지 보호해야 하는지 우선순위를 정할 수 있어야 한다(조직 전체를 바라볼 수 있는 능력). 이를 위해 예측이 가능한 농경사회와는 달리 현재는 매우 동적으로 환경이 변화하고 예측하기 어려운 시대이기 때문에 책과 함께 뉴스를 통한 움직이는 세상 공부가 필요하다.
셋째 조직의 비즈니스와 관련된 법과 보안 관련 법·제도에 대한 틀을 갖추어야 한다. 법은 모든 일의 기초이며, 조직의 규정을 설계하기 위한 시작점이 되기 때문에 관련 법이나 표준에 대해 해석하고 필요한 부분을 정확히 추출하고 합법 기준과 범위를 설정할 수 있어야 한다. 세부적으로 어떤 때 위법이 되고(형사적 처벌 등), 어떻게 구제받을 수 있는지(행정지원), 손해배상은 합리적으로 어떻게 산정할 수 있는지에 대한 논리적 사고력을 마련해야 한다.
넷째 변화하는 세대 특징과 부합해서 통제 중심보다 자율적 책임을 강조하는 보안정책 추진을 위해 사람에 대한 이해와 소통능력, 사람을 상대하는 친화력이 요청된다. 기존의 딱딱한 보안을 부드러운 보안으로 전환, 보안 수용성 개선을 통한 보안 공감대 형성을 위한 필수 소양이다.
마지막으로 주어진 상황으로부터 부가적으로 발생할 수 있는 다양한 이벤트에 대한 시나리오를 설계하는 상상력, 새로운 보안위험이 매우 빠르게 발생하기 때문에 이에 민첩하게 대응할 수 있는 순발력, 실제적인 현장대응 실무능력을 요청하고 있다.
경제안보시대에 미래 보안 전문가를 양성하고 역량을 배양하기 위해서는 보안교육 현장의 지속적 변화를 유도할 필요가 있다. 예를 들어 보안전략 관점에서 보안상황에 대한 다양한 관점을 해석·설계하는 '상황 인지 학습 과정'(Situation Awareness), 보안기술 개발과 적용을 위해 실무적으로 관계되는 법·제도를 비롯해 경영관리·범죄심리·공학 등에 대한 '다(多)학제적인 교과과정 편성'(Multidisciplinary Contents), 학술 중심의 수업을 넘어 실제 보안 현장에서 운영되는 보안 도구를 실제 수업에 활용하는 '감성적 체험교육 실험'(Emotional Touch), 정규 교과 과정과 빠르게 변화하는 지식 및 기술을 단기간 습득할 수 있는 '현장실무훈련 과정'(Field Task Training), 공통의 가치 추구를 위해 조직 내외부 구성원을 대상으로 필요한 정보교류(조율) 방법과 배려심을 내재화하기 위한 '소통과 인성학습 과정'(Communication and Care) 등 도입을 검토할 필요가 있다.
경제안보 시대의 융합환경에서 보안은 국가 안전 보장과 기업 지속 성장을 위한 핵심 구성 요소이며 새 가치를 창출하는 혁신제품과 서비스에 내재화돼야 하는 품질이다. 미래를 준비하는 보안 인재의 양성이 직관적인 숫자 수준을 넘어 새로운 인재상에 맞게 양성을 위한 충실한 내용으로 설계되길 기대한다.
장항배 중앙대 산업보안학과 교수 hbchang@cau.ac.kr
장항배 교수는…
중앙대 산업보안학과 교수로 재직하면서 (사)한국산업보안연구학회장을 지냈다. 현재 4단계 BK21 사이버 물리공간 청정화 연구사업단장직을 수행하면서 미래 융합 공간에서의 오염 요소(기술 유출과 탈취, 사이버 범죄 등)를 최소화하기 위한 다학제적 연구를 진행하고 있고, 2019년부터 한국공학한림원 기술경영정책분과 일반회원으로 활동하고 있다.