Home > 전체기사

[한국정보보호학회 칼럼] 사이버물리-O2O 시대, 보안 책임은 누가 맡나

  |  입력 : 2016-06-16 17:25
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
정보보호와 정보보안은 기술적 요소를 기초로 한 대표적인 융합분야

[보안뉴스= 권헌영 고려대학교 정보보호대학원 교수] 전국에 정보보호학과가 50개 학교를 넘어섰고 행정고시를 비롯한 공무원시험에서도 정보보호 전문가를 별도 직렬로 선발한다. 입시학원은 물론 직업전망을 내놓은 다양한 기관에서도 사이버보안이나 정보보안전문가에 대한 선호와 추천이 매우 긍정적이다. 이제는 대학입시에서 의대에 육박하는 입시성적을 자랑하기도 한다. 정보보안이 대세를 형성하고 있는 것이다.


빅데이터나 인공지능, 자율주행자동차, 드론을 비롯한 무인항공기나 자동항법 소형항공기, 원격진료, 인터넷은행, 사물인터넷과 클라우드서비스 등 우리 삶이 정보기술에 의존하게 될수록 이런 현상은 더욱 심화될 수밖에 없다.

여기에 더해 미국은 사이버물리시스템(Cyber Physical System) 보안이라는 개념을 국가사이버보안의 전략 개념으로 도입했다. 사이버 세계(Cyber World)와 물리적 세계(Physical World)가 융합하고 있으니 국가보안도 이에 대비하여야 한다는 말이다. 지극히 당연한 이 개념은 우리나라에서는 일상적으로 일어나는 사고를 통해 겪을 수 있는 개념이다. 한수원 해킹 사건이 전형적이다. 실제로 원전에 영향을 미치는 사이버공격기술이 힘을 발휘하는 날에는 온 나라가 큰 혼란에 빠질 것이다.

이미 금융회사나 방송사가 이런 일을 겪었다. 정보보안이 개인 컴퓨터 안의 오작동이나 정보유출 정도로 끝나는 시절을 훌쩍 지나 우리의 삶과 우리 공동체에 직접 영향을 끼치는 시절로 접어든 것이다. 한국과 북한은 물론 미국과 중국, 서방세계와 중동의 IS는 이미 사이버전쟁상태로 진입했다고 보는 전문가가 많다.

지난 봄에 우리를 깜짝 놀라게 했던 공무원 시험 준비생의 청사 침입과 시험성적 조작사건은 또 다른 차원의 정보보안을 실감하게 한다. 이 대담한 청년은 청사 경비인력의 모습을 하고 청사에 몰래 들어가 청사출입증을 훔치고 컴퓨터에 접속하는 다양한 보안무력화 기술을 활용한 것으로 드러나고 있다. 그야말로 열 사람의 파수꾼이 한 사람의 도둑을 막아내지 못한 것이다. 사이버(cyber)도 뚫리고 물리(physical)도 뚫린 사건이다. 정보보안 침해사고의 O2O(온라인과 오프라인의 융합)라 할 만하다.

왜 이런 일이 생겼을까? 우리는 왜 수도 없이 정보가 유출되고 은행과 방송사는 물론 원자력회사까지 뚫리는 일을 반복적으로 당하는 것일까?

필자는 그 이유 중의 하나가 지나친 전문가주의의 폐해가 아닐까 생각한다. 최근 정보침해사고를 겪은 기관은 대부분 정보보안책임자 제도를 도입한다. 개인정보보호책임자도 있다. 그런데 누구에게 이 일을 맡겨야 할까하는 고민은 제각각이다. 정보기술전문가나 제도전문가가 일시적으로 맡고 자주 변경되는 것도 한 추세다. 아직 제대로 이 문제를 이해하지 못하고 있다는 반증이다.

정보보안 내지 정보보호는 특정 분야의 일이 아니다. 침해사고가 나면 이는 해당 기업이나 기관 또는 서비스 전체에 치명적 영향을 미친다. 결국 나라에서는 대통령, 기업에서는 대표 또는 업주가 책임을 져야 하는 일이다. 그런데 대통령이나 사업주가 자신의 운명을 임시로 맡는 전문가에게 맡기는 것이다. 매우 용감하게도 말이다. 전문가에게만 맡겨두고 전문가만을 문책하는 일은 아무리 반복해도 정보보안에 대한 국민과 소비자의 신뢰를 얻을 수 없다. 형식적인 절차를 복잡하게 마련하고 정작 본인들은 지키지 않는 보안 형식주의에 빠질 우려도 높다.

보안의 최고책임자는 결국 대표자이고 대표자가 해당 전문가와 운명을 같이 해야 한다. 그것이 정보보안최고책임자(CISO)의 개념이다. 그리고 이 책임자는 정보기술부문의 한 분야인 정보보안의 전문가여서는 곤란하다. 이런 접근을 하게 되면 사이버는 막을 수 있을지 몰라도 물리적, 제도적 보안은 못 막는다. 최고의 반도체 칩 설계도를 사업의 핵심 내용으로 하는 굴지의 기업을 보라. 보안이 전문분야의 회피대상 업무가 아니다. 모든 임직원이 똑같이 준수하여야 할 최우선 업무가 된 지 오래되었다.

이런 관점에서 필자는 보안이 학문적으로도 특정 학문의 하위 분야로 자리매김하는 것을 경계한다. 정보보호와 정보보안은 기술적 요소를 기초로 할 수는 있지만 대표적인 융합분야이다. 보안은 규범적 요소가 많고 그리하여 준수사항이 엄격하다. 이른바 컴플라이언스가 따라 붙는다. 이 컴플라이언스의 최상위 근거는 법규범이 될 테고 법이 아닌 규정이나 절차는 물론 심지어 표준이나 서비스요소 등도 근거가 된다. 이런 규범을 이해하고 기술과 시스템과의 소통능력에 못지 않게 규범을 따라야 하는 사람과의 소통능력도 갖추어야 진정한 정보보호 전문가라 할 수 있다.

정보보호 전문가가 대통령이나 사업주와 운명을 같이 하기 위해 필요한 능력은 기술 전문성을 뛰어 넘는 소통능력이요 해당 분야(도메인)에 대한 전문적 이해가 필수적이다. 이런 전문가를 찾거나 길러 내지 못한다면 그 때까지는 대표자를 위원장으로 하는 보안위원회를 꾸려서 끌고 나가야 한다. 나라로 치면 사이버안보전략위원회가 될 것이고 회사로 치면 정보보안최고임원회의가 될 것이다. 반드시 대통령이나 사업주 같은 대표자가 해당 문서에 결재하도록 해야 한다.

역량이 부족한 전문가에게 지나치게 큰 짐을 지우고 자주 갈아 치우는 보여주기식 행정은 그만 둘 때가 되었다. 물론 장기적으로는 양수겸장의 참 전문가를 지속적으로 길러내야 한다. 이 분야가 인문계-자연계, 이학계-공학계, 통신공학-정보공학, 정보공학-보안공학 등의 이분법적이고 분파적인 낡은 시대의 생각 틀에서 벗어나서 진정한 문제 해결형 전문가, 미래 시대의 창의적 가치를 구현하는 전문가를 양성할 수 있는 세상으로 나아가기를 소망한다.
[글_ 권헌영 고려대학교 정보보호대학원 교수(khy0@korea.ac.kr)]

필자 소개_ 권헌영 교수는 연세대학교에서 법학박사를 취득하고 광운대 법과대학 교수(학생처장 역임)를 거쳐 현재는 고려대학교 정보보호대학원 교수로서 정보보호법 및 정책, 개인정보보호제도, 사이버 윤리 등 융합과목을 강의하고 있다. 정보통신정책연구원, 한국정보화진흥원 등 공공정책 분야에서 다수의 정보통신법제 제개정 작업에 참여했으며 특히 대통령소속 전자정부위원회에서 근무하며 개인정보보호법제 및 전자정부법제 업무를 수행했다. 현재는 정부3.0추진위원회 법제도특별위원회 위원장, 공공데이터 법제도서비스전문위원회 위원장을 비롯해 방송통신위원회 규제심사위원과 한국정보보호학회 법무이사 및 개인정보보호연구회장을 맡고 있으며, 한국인터넷윤리학회 수석부회장(차기회장)으로 활동하고 있다.

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018
설문조사
오픈AI가 개발한 인공지능 챗봇 챗GPT가 GPT4 버전까지 나오면서 디지털 혁신의 촉매재 역할을 하고 있습니다. 보안 분야에서도 챗GPT로 인해 보안위협이 가속화될 것이라는 전망과 함께 보안업무에 효과적으로 활용된다면 보안대응 역량 향상에도 크게 기여할 것이라는 의견도 제기됩니다. 이에 대한 여러분들의 생각은 어떠신가요?
챗GPT 악용으로 인해 보안위협이 더욱 고도화되고 증가할 것
챗GPT를 악용하는데 한계가 있어 보안위협이 소폭 늘어나는 추세에 그칠 것
챗GPT 활용에 따라 보안대응 업무에 적지 않은 도움이 될 것
챗GPT의 적극적인 도입 및 적용 통해 보안대응 역량이 획기적으로 향상될 것
보안위협 또는 보안대응과 관련해서는 큰 영향이 없을 것
기타(댓글로)