기업이나 국가기관의 해킹 사고, 보안 문제는 어제오늘의 일이 아니다. 기업은 정보 유출로 비즈니스에 타격을 받는다. 국가기관은 안보 문제와 사회 위험에 노출된다. 이런 리스크를 줄이기 위해선 어느 분야에 투자하면 가장 좋을까. 해답은 과감한 보안 서비스와 보안 인력 투자다.
중요한 정보 보호를 위해 보안 장비를 설치하지 않은 기관이나 기업은 없다. 사이버 공격은 날로 지능화, 고도화되고 있다. 그만큼 보안 솔루션의 탐지, 분석력도 높아졌다. 그러나 특별한 컴퓨터 기술이 없어도 사회공학이라고 불리는 소셜 엔지니어링 기법을 이용해 사람을 속이거나 어떤 행동을 유도, 중요한 정보를 훔친다.
이 수법은 이메일, 휴대폰, 사회관계망서비스(SNS), 직접 만남 등 다양한 수단과 방법을 오랜 기간 표적 공격해서 취약점을 찾아 침투한다. 전혀 예상하지 못한 틈을 파고들어 정보를 탈취하는 공격은 고가의 보안 장비만으로 해결할 수 있는 부분이 아니다. 보안 장비를 도입하는 것만큼 꾸준한 보안 교육으로 내부 사용자와 운영 요원의 보안 수준을 높여야 한다.
그러나 현실은 이와 동떨어진 경우가 많다. 대체로 기업이 값비싼 보안 솔루션 도입에는 과감하지만 보안 서비스 투자와 보안 엔지니어 대우에는 인색하다. 보안 공격을 막는 것도 결국 솔루션이 아니라 사람이다. 솔루션과 사람 투자 비중은 어떻게 하면 좋을까. 만약 인력 대비 솔루션 투자 비중이 많아지고 있다면 재고가 필요하다.
혹자는 인공지능(AI)이 발전하면 정보 보안도 사람 업무를 대체할 것이라며 비용 측면에서라도 사람보다 AI 기술에 투자하는 것이 옳다고 주장한다. 잘못된 생각이다. AI가 발전하려면 그 중심에 사람이 있어야 한다. 현재 정보 보안 분야에서 이용하는 AI 기술은 지능 공격의 수집·분석·탐지·대응 등을 일원화해서 정확성을 높이고, 효율성도 높여서 사람이 할 일을 대체하는 것이다. 그러나 이를 위해서는 먼저 해결돼야 할 부분이 있다. AI를 잘 훈련시키고 다룰 수 있는 보안 전문 인력의 양성이다.
AI 스스로 일을 하기 위해서는 우선 보안 학습 데이터가 필요하다. 자료가 많이 쌓여야 AI의 지능이 높아진다. 전문 인력 양성이나 유효한 데이터를 확보하기 위한 사람의 노력 없이 자동으로 AI가 학습하길 바라는 것은 기름도 안 넣고 자동차로 서울에서 부산을 가겠다는 것과 같다.
'리비히의 최소 법칙'이란 것이 있다. 식물의 성장은 필요 영양소 가운데 주어진 양의 가장 적은 것에 영향을 받는다는 법칙이다. 나무통에 비유하면 나무통 둘레를 구성하는 나무판의 높이가 각각 다를 때 가장 짧은 나무쪽의 높이만큼만 물을 채울 수 있는 것과 같다. 보안의 핵심은 리스크를 줄이는 것이다. 각 리스크를 줄이기 위한 여러 요소는 이러한 리비히의 최소 법칙이 잘 적용되는 분야라 할 수 있다. 이 보안의 여러 요소 가운데 가장 취약한 분야가 바로 사람이다.
문재인 정부는 '일자리 정부'를 표방하고 임기 5년 동안 이행할 일자리 로드맵을 만들었다. 양질의 일자리를 창출하고 사람 중심의 지속 성장 경제를 만드는 계획이다. 단순 일자리를 늘리는 것만이 정답은 아니다.
10여 년 전부터 보안 전문가 '10만 양병설'을 주장하고 보안 전문가를 늘려야 한다고 주장했다. 그런 주장이 오히려 단순히 보안 전문가 수 늘리기에는 공헌했을지 모르지만 양질의 일자리 창출에 방해가 된 것은 아닌지 자책한다.
여러 학원이나 기관에서 단기 과정을 통해 자격증을 받는 초급 직원은 많아졌지만 보안 분석, 컨설팅을 포함한 파견과 원격 관제 서비스 직군의 서비스 단가는 개선되지 않았다. 기존의 정보기술(IT) 업종 사례와 같이 점점 척박한 업무 환경에 노출된다. 소득 만족도 낮다. 이런 현실이 심화되면 한국에서 보안 전문가로의 비전은 찾기 어려워질 것이다.
해결책은 보안 솔루션과 서비스 제값 받기다. 최저 입찰제는 금지돼야 한다. 소득 주도형 경제에도 맞지 않는 콘셉트다. 보안에서는 사람이 중요한 만큼 통 큰 결단으로 최저임금제와 같은 로드맵을 도입, 보안 서비스 비용의 대가를 다시 산정해야 할 시점이다.
조영철 파이오링크 대표 jyc@piolink.com