뒤로가기
스페셜뉴스
[해킹, 그 은밀한 습격⑤] 유준상 한국정보기술연구원장 “보안 중요하다면서 투자 안 해”
2018. 07. 31 by 이미정 기자 wkfkal2@sisaweek.com

사이버 세계에선 오늘도 보이지 않는 습격이 이어지고 있다. 불순한 목적을 가진 해커들의 공격이 쉼없이 시도되고 있다. 교묘한 기술로 무장한 이들은 컴퓨터 정보시스템에 은밀히 침투, 전산망을 무력화시키거나 악성코드를 심어놓고 정보를 빼가고 있다. 4차산업혁명시대에 접어들며 이같은 사이버 범죄는 더 위협적으로 다가오고 있다. 보안이 담보되지 않으면 4차산업혁명은 제대로 뿌리를 내릴 수 없다. 우리는 제대로 된 대비를 하고 있는 것일까. 이같은 문제의식 아래, <시사위크>에서는 사이버 위협의 현주소를 짚어보고 대응책을 찾아보고자 한다. <편집자주>

 

유준상 한국정보기술연구원장이 국내 기업들이 보안 투자를 비용으로 인식하고 있다는 점에 안타까움을 표했다. <시사위크>

[시사위크=이미정 기자] “소 잃고 외양간 고치는 일이 반복되고 있다. 기업은 보안을 비용으로 인식하고 투자를 하지 않는다. CEO들은 보안이 기업의 생명과 직결된다는 마음을 갖고 투자해야 한다.”

유준상 한국정보기술연구원장은 기업들의 안일한 보안 인식에 비판의 목소리를 쏟아냈다. 4선 국회의원 출신인 그는 2010년 한국정보기술연구원장으로 깜짝 변신한 뒤, 9년째 ‘화이트해커 양성’에 힘을 쏟고 있다. 그의 주도 아래 2012년 탄생한 ‘차세대 보안리더 양성프로그램 BOB(Best of the Best)’은 최근 몇 년간 성과를 내며 국내는 물론 전세계의 관심을 이끌고 있다.

하지만 보안산업과 인력 시스템이 안정화되기 위해선 여전히 갈 길이 멀다는 게 그의 설명이다. 우수한 해커 인력이 사회 곳곳에서 제 역할에 맞게 쓰이기 위해선 정부와 기업들의 인식 전환과 투자가 필요하다고 강조했다. 본지는 최근 서울 가산동에 위치한 BoB 교육센터를 찾아 그의 이야기를 들어왔다. 다음은 일문일답이다.

- 한국정보기술연구원은 어떤 기관인지 설명해달라.
“1985년 산업통상자원부 산하 IT 전문인력양성 기관으로 출발했다. IT분야 교육을 중심으로 국가에 이바지 할 수 있는 다양한 사업을 운영하고 있다. 현재 구로디지털 단지에 본원이 있다. 최근 차세대 보안리더 양성프로그램 BOB(Best of the Best) 센터를 강남에서 여기(가산동)로 옮겨 규모를 넓혔다. 교육생들이 보다 더 좋은 시설에서 체계적으로 교육을 받을 수 있도록 하기 위해서다.”

- 2010년부터 9년째 기관을 이끌고 있다. 정치인으로 오랫동안 활동했는데, 보안 양성 분야에서 꾸준히 몸담게 된 배경이 있나.
“처음에 기관에 왔을 때, 충격을 받았다. 보안이 중요하다는 얘기는 해왔지만 보안인력 양성에 대한 관심은 부족했다. 취임해서 보니, 한국정보기술연구원은 속된 말로 ‘학고방(판자집 또는 작은방)’ 수준에 불과했다. 직원은 13명 정도에 여러 시설도 낙후돼있었다. 심지어 지인이던 모 교수로부터 한국정보기술연구원이 ‘사설교육기관’인 줄 알았다는 얘기를 들으면서 충격을 받았다.

그때부터 보안 분야에 대한 서적을 읽으며 무엇이 필요한지부터 고민했다. 이후 정보 분야 각계 전문가를 만나 의견을 청취한 결과 BOB 센터 설립을 결심하게 됐다. 하지만 초기에는 그야말로 맨땅에 헤딩하는 기분이었다. 당시에는 제대로 된 교육 프로그램을 운영할 시설과 비용 모든 것이 갖춰지지 않았다. 모든 걸 새로 만들어야 했다. 교육 시스템 체계를 안착하는데 집중하다보니, 자연스럽게 오래 몸담게 됐다. 자리에 대한 욕심은 없다. 태생이 정치인이다 보니 곱지 않게 시선으로 보는 분들도 있지만 그저 우수한 인재들이 육성될 될 수 있도록 옆에서 서포트하고 힘을 보태고 싶을 뿐이다.”

- BOB 센터를 만드는 과정이 녹록지 않았을 것 같다. 가장 어려운 점이 뭐였나.
“교육 프로그램을 운영하기 위한 예산을 받는 게 쉽지 않았다. 우리나라에 꼭 필요한 프로그램이라는 확신이 있었는데 정보보안 분야에 대한 (정부 관계자들의) 관심이 낮았기에 설득하기가 힘들었다. 하지만 포기하지 않고 끈질기게 설득한 끝에 BOB를 출범할 수 있게 됐다.

물론 이후에도 고민은 많았다. 교육시스템을 정상적으로 구축하기 위해선 가르칠 사람, 충분한 교육장, 컴퓨터 실습 시스템 뿐 아니라 콘텐츠가 충분히 갖춰져야 했다. 또 고가에 판매되는 다양한 보안 소프트웨어도 있어야 하고, 장비를 이용해서 어떻게 교육을 할 것인가에 대한 연구도 있어야 했다. 시간적, 금전적, 인적 문제들이 지금도 고민이다.”

유준상 한국정보기술연구원장이 능력 있는 해커들을 수용할 수 있는 시스템 기반이 필요하다고 말했다. <시사위크>

- 어느덧 BOB가 7기째를 맞았다. 교육시스템에 자세히 설명해달라.
“교육 기관들은 많지만 체계화된 곳이 없다. BOB는 멘토와 멘티의 1대 1의 도제식의 교육이다. 한 멘토가 분야별로 3~4명씩 그룹을 짜서 지도하거나, 1대 1 교육을 한다. 또 단순히 보안 기술을 가르치는 것을 목표로 하지 않고 있다. 4차산업혁명 시대를 이끌어갈 우수 영재를 발굴해 보안 리더를 양성하고, 나아가 사회 진출(취업, 창업)까지 지원하는 것을 목표로 하고 있다. 윤리 교육 문제도 중요하다. BOB 교육시스템은 교육생들에게도 막연하게 보안 전문가로서의 기술만 갖추라고만 얘기하지 않는다. 인성이 담보되지 않는 과학기술은 죄악이다. 무엇이 범죄고 무엇이 학습인지 명확하게 구분하고 기준을 알려주는 수업을 하고 있다.”

- 초기와는 사뭇 위상이 달라진 분위기다. 다른 해외 국가들도 BOB 교육 시스템에 관심을 보이고 있다고 하는데.
“많은 해외 국가에서 BOB 프로그램에 관심을 보여 왔다. 이렇게 체계적인 시스템을 갖춘 것은 전세계에 유일하다고 자부한다. 여러 기수를 거치면서 교육생과 멘토들이 꾸준한 성과를 내준 것도 감사하다. BOB 교육생들은 여러 해킹 대회에서 입상을 하고 있다. 2015년에는 정보 분야 최고 올림픽이라는 불리는 미국 세계 해킹 방어대회인 데프콘23에서 BOB 교육생팀이 아시아 최초 우승을 거두기도 했다. 멘토와 멘티 모두 노력해준 덕분이라고 생각한다.”

한국정보기술연구원이 운영하는 차세대 보안리더 양성 프로그램 (BOB) 센터의 모습. 교육생들이 열정적으로 수업을 받고 있다. <시사위크>

- 국내 화이트 해커 인력수가 여전히 부족하다는 지적이 있다.
“미국과 중국 등의 나라와 비교하면 적은 것은 사실이다. 숫자로만 보면 뒤져있다. 보안의 교육을 받은 사람들이 꾸준히 나오지만 정확한 인원수는 애기할 수 없다. BOB 프로그램을 시작하고 7년이 더 흘렀지만 아직도 다른 나라들을 따라가지 못하고 있다. 물론 중요한 것은 숫자가 아니다. 충분한 실력을 갖춘 보안 전문가를 양성하는 것이 중요하다.”

- 어떤 제도적 개선이 필요하다고 보나.
“교육이 모든 것을 해결할 수는 없다. 교육이 사회 진출로 이어지는 체계가 필요하다. 보안 분야의 경우 인력 수요를 공급이 따라가지 못하는 현상이 매년 발생한다. BOB를 통해서 열심히 고급 인력을 양성하는데 그들이 취업하여 역량을 발휘할 곳이 부족하다. 양성된 인재들이 자연스럽게 사회로 나갈 수 체계에 대한 고민이 필요하다.”

- 기업들의 보안 인식과 투자가 미진하다는 지적이 적지 않다.
“소 잃고 외양간 고치는 일이 반복되고 있다. 한번 정보 유출이 사건이나 해킹 사건이 발생하면 대규모 피해가 발생하는데 보안을 비용으로 생각하고 투자 안 한다. 몇 억을 아끼자고 부실한 보안을 유지하는 곳으로 대부분이다. 100억 짜리 사고가 난 뒤 후회를 하면 뭐하냐. 호미로 막을 것 가래로 막고 있다. 결국 최고경영진과 오너, 기관장이 보안에 대한 뚜렷한 인식을 가지고 있어야 한다. 보안책임자도 반드시 둬 관리시스템을 체계화해야 한다고 본다.”

유준상 한국정보기술연구원장이 차세대 보안리더 양성프로그램에 대해 설명하고 있는 모습. <시사위크>

- 우수한 국내 화이트해커 인력들이 해외로 빠져나가는 사례가 많다는 지적도 나온다. 어떻게 보고 있나.
“당장 BOB 출신 중에도 다수의 사례가 나온다. 능력 있는 해커들은 국내 기업이 아닌 해외 기업을 선택하고 있다. 글로벌 기업에 활약하는 것이 잘못된 것은 아니지만 국가 입장에서 보면 국력의 손실이다. 능력에 맞는 충분한 대우를 해주고 그들이 국가와 사회에 기여할 수 있도록 환경을 만들어줘야 한다. 또 자유로운 사고방식을 가지고 있는 화이트해커들을 이해하고 이에 맞는 근무환경을 고민할 필요도 있다.”

- 버그바운티 제도는 어떻게 보나. 우리나라는 걸음마 단계라는 지적이 높은데. 
“우리나라도 버그바운티 제도를 적극 활용하도록 해야 한다. 구글 등 해외 기업이 이 제도를 적극 활용하는 것과 달리, 우리나라 기업들의 참여는 미진하다. 화이트해커들이 보안취약점을 찾아내고 싶어도 기관이나, 기업의 동의가 받지 못하면 하지 못한다. 이 제도를 활성 할 수 있도록 기업들의 적극적인 관심이 필요하다.”

- 현 정부의 보안 정책에 대해선 어떻게 보나.
“아직까지 크게 부각되는 정책은 없는 것 같다. 다만 정부 정책에 대해 비판만 해서 될 일이 아니다. 정부와 각 부처가 보안 문제에 대해 한 마음이 돼 소통을 거쳐 빠른 의사 결정을 하도록 노력해야 한다고 본다. 지금은 매우 중요한 시기다. 보안에 대한 제도적, 인적 토양이 마련되지 않으면 4차산업혁명의 성공은 담보하기 어렵다. 4차산업혁명의 인공지능, 블록체인, 그리고 사이버 보안 등 이 세가지 요소가 가장 중요하다. 정보 보안이 담보되지 않고는 4차산업산업은 사상누각이다.”

- 향후 프로그램 발전 방향과 목표가 있는지 얘기해 달라. 
“앞으로의 갈 길이 더 멀다. 지금까지 BOB가 이뤄온 것이 적지 않지만 앞으로 헤쳐 나갈 부분이 많다. 국내에서 최고의 정보보안 인재 프로그램으로 자리잡는데는 성공했다고 생각한다. 그러나 사이버보안 문제는 우리나라만 잘 한다고 해결되지 않는다. 가깝게는 우선 아시아부터 묶어볼 계획이다. 특히 아시아에서 정보 보안 인력 양성에 관심을 가지고 있는 대만, 일본, 싱가폴을 중심으로 아시아 시큐리티 얼라이언스(Asia Security Aliance, 아시아보안연맹) 구축을 추진하고 있다. 각 나라에서 10명씩 선출해, 돌아가면서 현지 시설에서 교육을 하는 시스템이 운영될 예정이다. 지금보다 더 많은 인재들이 체계적으로 교육을 받을 수 있도록 노력할 방침이다.”