창의적이고 집요하게 공격해 오는 사이버 범죄자들에 대비해 우리는 어떤 대응 방안들을 마련해야 할까. 김승주 고려대학교 정보보호대학원 교수는 “정부 주도로 직접 규율하는 현 대응체계에는 문제가 있다. 또 기업들이 보안의 핵심이 제품이 아닌 전문인력에 있다는 점을 간과해 왔다”고 강조했다.
 
또 김 교수는 “성적은 A+, 실무는 F인 인재가 양산되게 되고, 기업은 자신의 요구를 충족시켜주지 못하는 사원을 다시 교육하기 위해 재교육을 실시하는 악순환이 반복되고 있다”며 “단순 교과서형 인재가 아닌 검증된 현장맞춤형 전문인력을 체계적으로 발굴·육성해야 하고 검증된 보안교육을 이수한 전문인력들에게 안정적인 양질의 취업기회를 제공하는 시스템이 필요하다”고 말했다.
 
다음은 김승주 교수와 인터뷰 내용이다.
 
<INTERVIEW>
현재 발생하고 있는 일련의 보안사건 사고들에 대해 그 근본적인 원인들은 어디에 있다고 생각하시나요?
크게 2가지로 볼 수 있습니다. 첫번째는 보안위험에 대한 보안대책을 정부가 직접 규율하는 현 응 체계의 문제입니다. 지금처럼 정부가 법, 시행령, 지침 등을 통해 천편일률적인 보안대책을 모든 곳에 일괄 적용하는 방식으로는 TGIF(Twitter-Google-iPhone-Facebook)로 촉발된 최근의 급속한 상황변화에 대처하기 어렵고 설혹 대응한다 하더라도 효과를 기대하기 어렵습니다. 그러므로 각 업체가 자신이 소유한 유·무형 자산의 가치에 따라 창의적으로 최대한의 보안대책을 수립하도록 유도하고, 책임규명설비 구축을 의무화해 문제 발생시 피해보상을 확실히 하는 형태로 정부의 정책이 바뀌어야 합니다.
 
둘째는 그동안 업체들이 보안의 핵심은 제품이 아닌 인력이란 점을 간과해 왔다는 것입니다. 2007년 미국 국무부와 상무부에 해킹이 발생한적이 있습니다. 두 기관 모두 검증된 최신 보안제품들을 설치해놓고 있었지만 해커가 제로데이(Zero-Day) 취약점을 이용한터라 무용지물이었습니다. 그런데 재미있는 것은 국무부의 경우 네트워크 포렌식 조사관, 패킷 분석 전문가, 보안 프로그래머 등으로 구성된 전담 보안팀이 해커의 침입시도를 즉각 탐지하고 조치를 취한 반면, 이러한 보안팀이 없는 상무부의 경우에는 해커의 침입이 있었는지 파악조차 못하고 있었다는 사실입니다. 이것만 봐도 우수한 인력이 보안에 있어 얼마나 중요한 요소인지를 쉽게 알 수 있습니다.
 
정보보호 전문가 인력 구조의 문제점은 어디에 있다고 생각하나요?
대학에서 가르친 지식·기술수준과 기업현장에서 요구하는 수준 차이가 크다는 것이 문제입니다. 우리나라의 정보보호교육은 주로 대학원에 집중되어 있습니다. 그렇다 보니 SCI급 논문을 양산하는 위주의 대학원 교육과 실무에서 요구하는 인재상간에 불일치가 생기게 됩니다. 즉, 성적은 A+, 실무는 F인 인재가 양산되게 되고, 기업은 자신의 요구를 충족시켜주지 못하는 사원을 다시 교육하기 위해 재교육을 실시하는 악순환이 반복되게 됩니다.
 
인력 생성 구조의 문제점을 해결하기 위한 방안은 무엇이 있을까요?
국내의 경우 다른 이공계 분야에서 공학교육인증제(ABEEK)나 서울어코드사업을 활발히 시행하고 있는 것과는 대조적으로, 정보보호 교과과정에 대한 품질인증은 그 어느 부처에서도 시행하고 있지 않습니다. 미국이 국가안보국(NSA : National Security Agency)과 국가과학재단(NSF : National Science Foundation)을 중심으로 각 학교의 정보보호 교과과정에 대한 품질인증제도(일명, 보안교육인증프로그램)를 시행하고 있는 것처럼, 우리도 정보보호 교과과정에 대한 품질인증을 실시함으로써 단순히 교과서형 인재가 아닌 검증된 현장맞춤형 전문인력을 체계적으로 발굴•육성 할 필요가 있습니다.
 
정보보호 전문가양성을 위해 정부와 기업은 어떤 노력을 기울여야 할까요?
최근 구글과 페이스북이 우수인재들을 확보·유지하기 위해서 치열한 인재전쟁을 벌이고 있다는 사실은 유명합니다. 또한 삼성전자의 경우 반도체 분야의 인재 확보가 필요하다는 판단에 따라 졸업후 삼성전자 입사를 전제로 매년 50억원 규모의 장학금을 성균관대 반도체학과에 지원하고 있는 실정입니다.
이와 같이 우수한 정보보호전문가를 양성하기 위해서는 검증된 보안교육을 이수한 전문인력들에게 안정적인 양질의 취업기회를 제공함으로써, 의대와 같이 미래 진로에 대한 확신과 강한 동기부여를 제공하는 것이 중요합니다. 이에 정부 및 공기업은 직원채용 방법을 개선함으로써 앞서 언급한 보안교육인증프로그램이 고용과 연결될 수 있도록 해야겠습니다.
 
고려대학교에서는 어떤 준비를 하고 있나요?
고려대학교의 경우 심도있는 정보보호원천이론교육과 더불어 실무 중심의 다양한 실험실습 교육을 통하여 학생들이 창의적인 문제해결능력을 갖도록 교육하고 있습니다. 또한 정보보호대학원의 금융보안학과, 정보보호학부의 사이버국방학과 등은 기업(또는 군)이 등록금을 전액 지원해주고 학생들은 졸업과 동시에 그 기업(또는 사이버사령부)에 취업하게 되는 채용조건형학과로서, 학생은 학비걱정과 향후 취업걱정을 하지 않아도 되며, 기업은 미리 좋은 실무형 인재를 확보할 수 있어 인기입니다. 고려대학교는 앞으로도 이러한 교육과 고용이 연계된 다양한 교육프로그램들을 개발할 예정입니다. [데일리시큐=길민권 기자]