국가 사이버 보안 역량 강화 위한 관리체계 구축해야
원천기술 개발 투자 확대와 성과관리 체계 마련 필요

[보안뉴스= 곽 진 아주대학교 사이버보안학과 교수] 지속적인 발전과 변화를 거듭하는 정보통신기술(ICT)은 자동차, 선박, 항공, 금융 등과 같이 독자적인 영역으로 여겨지던 과학기술 분아와의 융합으로 더욱 다양한 환경에서 필요한 기술로 자리 잡고 있다. 또한, 정보통신기술은 4차 산업혁명을 대표하는 핵심이라 할 수 있는 사물인터넷(IoT)과 클라우드(Cloud), 모바일(Mobile), 빅데이터(Big Data), 인공지능(AI) 등 미래 글로벌 경제의 흐름을 좌우하는 기술의 효과적이고 안전한 구현에 있어 반드시 필요한 기반기술이라 할 수 있다.

그렇다면 이러한 정보통신기술과 과학기술의 안정적이고 성공적인 융합을 위하여 반드시 필요한 핵심요소는 무엇인가? 필자는 2017 세계경제포럼(2017 World Economic Forum)의 핵심 아젠다가 ‘사이버 보안(Cyber Security)’이었다는 점에서 그 답을 찾을 수 있을 것이라 생각한다.

세계 각국은 이미 4차 산업혁명의 거대한 변화와 흐름 속에서 ‘보안’의 중요성을 인식하고 이에 빠르게 대응하기 위한 사이버 보안 관련 정책들을 발표하고 있으며, 향후 사이버 보안 분야의 글로벌 주도권 확보를 위해 노력하고 있다. 미국의 ‘국가 사이버보안 인력양성 종합대책(NICE : National Initiative for Cyebr Security Education)’과 이스라엘의 ‘마그니엄 류미트(Magshimim Lemit)’ 등은 이러한 움직임의 대표적인 예라 할 수 있다.

이렇듯 사이버 보안 분야의 국제적인 흐름에 맞추어 국내에서도 사이버 보안 역량을 강화하기 위한 적극적인 투자가 그 어느 때 보다도 중요한 시기다. 특히, 사이버 보안 관련 원천기술 개발에 대한 투자 확대와 함께 학문적 융합을 통해 ‘사이버 보안 인재(Cyber Security Talent)’를 양성하기 위한 노력과 시간의 투자가 필요할 것으로 본다.

원천기술에 대한 투자 확대와 함께 지속적인 성과 추적관리 체계 확립 필요
사이버 보안은 이제 과학기술 관련분야 뿐만 아니라 인문, 사회, 예체능 분야 등 그동안 보안과는 거리가 멀다고 생각되었던 다양한 분야들과도 융합이 빠르게 진행되고 있다. 그러므로 국가의 사이버 보안 역량을 강화하기 위해서는 다양한 학문 및 산업과의 연계를 활성화시키는 방안이 필요할 뿐만 아니라, 보안기술이 이러한 다양한 분야에서도 활용될 수 있는 ‘기반기술’로 자리 잡을 수 있어야 한다.

사이버 보안 기술이 사회 전반에 걸친 기반기술로 자리를 잡기 위해서는 첫째, 그동안 상대적으로 지원이 미흡했던 원천기술 연구에 대한 투자가 보다 확대되어야 한다. 이와 함께 이러한 원천기술 자체가 가지고 있는 가치에 대한 이론적 고찰과 활용성, 확장성 등에 대한 연구가 보다 확대되어야 한다. 그러나 원천기술에 대한 연구개발보다는 융·복합 환경에서의 활용기술에 대한 투자 확대가 큰 비중을 차지하고 있는 것이 국내의 현실이다.

원천기술이 보유한 특수성과 활용성, 확장성 등에 대한 연구가 뒷받침되지 않을 경우 융·복합 환경에서의 개발기술이 자칫 단편적인 기술 개발로 이어져 그 활용성과 기술적 가치가 매우 한정된 분야에서만 일시적 성과로 나타나는 반짝 효과에 그치는 경우가 발생할 수 있으며, 이는 또 다른 중복 투자로 이어질 가능성이 매우 크다고 할 수 있다. 그러므로 원천기술에 대해 보다 활발한 연구 지원 확대를 통해 다양한 학문분야의 특성에 적합한 활용성과 확장성, 유연성을 확보할 수 있는 지원 정책이 필요하다.

이러한 원천기술에 대한 지원과 함께 다크웹(Dark Web), 인포데믹스(Infordemics) 등과 같이 새롭게 주목받고 있는 현상에 대한 관심과 주의가 필요하다. 진화를 거듭하는 사이버 공격은 이제 사이버 범죄와 사이버 테러 등 그 범위가 특정 시스템이 아닌 불특정 다수를 대상으로 확대되고 있으며, 이렇게 심각성과 주의를 요하는 사이버 위협들에 시기적절하게 대응하기 위해서는 인공지능 등 새로운 환경과 관련된 위협분석과 대응을 위한 지능형 보안기술에 대한 투자도 병행되어야 할 것이다. 또한, 새로운 환경에서의 생각지 못한 위협에 대해서도 주의를 기울여야 할 것이다.

“인공지능(AI)은 멀지 않은 시기에 인류가 누리는 문명의 최대 위협이 될 것이다. 각국 정부는 사전 규제를 서둘러야 한다.”

이는 지난 7월 15일 미국 로드아일랜드에서 열린 전미주지사연합(National Governors Association)의 회의에서 앨런 머스크(테슬라)가 한 말이다. 인공지능 로봇이 스스로 판단해 인간을 위험에 빠뜨리거나 자칫 생명에 위협을 가해 직접적인 피해를 유발할 가능성과 위험성에 대하여 언급한 것이다.

더욱 심각한 것은 인공지능 로봇이 사람의 생명의 위협하는 경우가 발생하더라도 그 심각성과 위협에 대해 전혀 인지하지 못할 수도 있다는 사실이며, 인공지능에 대한 규제는 사후 규제보다는 사전 규제가 시급한 과제임을 강조하는 일종의 경고 메시지라 할 수 있다. 또한, 이는 새로운 분야에 대한 맹목적 기술개발 확대 보다는 기술에 대한 투자와 함께 발생 가능한 여러 위협과 부작용 등에 대한 연구도 반드시 수반되어야 한다는 것을 의미하는 것이라 할 수 있다.

기반기술로서의 사이버 보안 기술 구축을 위해 요구되는 두 번째 요소는 기술개발 투자 확대와 함께 그에 따른 성과 추적관리 대한 지원제도의 확립이다. 지금까지 대부분의 기술개발에 대한 투자가 단순한 성과 위주의 지원에 머물러 있던 것이 사실이지만, 이렇게 개발된 기술들이 그 가치를 인정받고 다양한 분야에서 활용될 수 있기까지는 다양한 형태의 검증과 보완이 필요하며 그에 따른 많은 노력과 시간이 필요하다.

소중한 시간과 막대한 예산을 투입해 개발된 기술들이 과제가 종료되면 그 기술에 대한 효과가 빛을 보기도 전에 사라지기 쉬운 현실적 문제를 해결하기 위해서는 지원 종료 후에도 산출된 결과물에 대한 지속적인 유지와 관리가 가능하도록 지원해 주는 사후 지원제도가 확립되어야 한다. 개발된 기술이 가치를 인정받기 위해서는 장기간에 걸친 검증과 유지가 필요하기 때문에 기술개발 성과를 계속해서 유지 발전해 나갈 수 있는 지원제도는 반드시 필요하며, 이는 국가적 사이버보안 역량을 강화하는데 매우 중요한 부분이라 할 수 있다.

그러므로 단기간의 성과로서 기술개발 지원의 성패를 판단하기 보다는 개발된 기술들이 지속적이고 장기적으로 그 가치를 인정받고 활용될 수 있을 때까지 유지할 수 있는 성과 추적관리 체계 확립이 반드시 필요하다.

장기적인 사이버보안 인재(Cyber Security Talent) 양성 정책 필요
수년간 보안전문가는 국내·외를 막론하고 미래유망직업 순위에서 항상 상위권에 자리하고 있다. 그만큼 보안에 대한 중요성은 점점 커지고 있으며, 보안인력에 대한 수요는 매년 증가하고 있음을 의미한다고 할 수 있다. 하지만, 그럼에도 불구하고 보안전문가라는 직업이 현재보다는 미래의 유망직종으로 각광받는 이유는 무엇일까?

가장 큰 이유는 단기간의 성과위주 인력양성 정책을 통한 보안인력 배출에 주력한 반면, 오랜 시간과 기다림을 필요로 하는 보안 인재를 양성하기 위한 정책은 미흡했기 때문이라고 생각한다. 즉 보안에 재능을 가진 인재(Cyber Security Talent)를 양성하기 위한 노력이 매우 부족했다는 것이다. 단기간의 교육을 통해 배출된 보안 인력은 다양한 과학기술이 융합되는 4차 산업혁명 시대의 변화에 대응하기에는 그 지식과 경험이 매우 부족할 수밖에 없으며 그에 따른 한계가 분명히 존재하기 때문이다.

“2020년까지 전 세계적으로 사이버 보안 일자리 150만개가 부족함에도 불구하고 사이버 보안 분야는 현재 심각한 인재부족에 시달리고 있다. 이러한 문제가 발생하는 가장 큰 이유 중 하나는 우리가 필요로 하는 보안인력은 전통적인 보안기술에 대한 지식을 보유한 인력을 찾고 있기 때문이다.”

IBM에서 20여 년간 보안 분야에 종사하면서 현재 총괄책임자(General Manager)로 재직 중인 Marc van Zadelhoff는 올해 5월 Harvard Business Review에 위와 같은 내용을 언급했다. 이는 국내·외를 불문하고 보안 인력은 많지만 진정으로 조직이나 기업에서 필요로 하는 전문가는 늘 부족하다는 것을 시사하는 것으로, 보안과 관련된 폭넓은 기본학문의 이론적 지식을 바탕으로 다양한 과학기술 분야에 창의적으로 적용할 수 있는 재능을 보유한 인재(Cyebr Security Talent)는 늘 부족하기 때문이라는 것을 의미한다.

또한, 보안전문가의 분야가 다양화·세분화 되는 현실에서 각 조직이나 기업에서 필요로 하는 인재의 역할과 수준에 대해 정확하게 파악하지 못하는 것도 또 하나의 문제점이라 할 수 있다.

보안 전문가(Security Expert)는 보안 관리자(Security Administrator), 보안엔 지니어(Security Engineer), 보안 기술자(Security Technician), 보안 분석가(Security Analyst), 보안 프로그래머(Security Programmer) 등 세부적인 기술과 역할에 따라 다양하게 구분될 수 있다.

이러한 보안 전문가들은 기본학문의 이론적 지식을 기반으로 다양한 기술 개발 경험이 더해져야 양성이 가능한 것임에도 불구하고 조직이나 기업이 최적화된 인재를 양성하기 위한 재교육에 많은 비용과 시간이 소요된다는 이유로 당장 투입이 가능한 경력자를 선호하는 경향이 하나의 원인이 될 수 있다. 우리에게 필요한 ‘인재’는 단기간에 배출되는 인력보다는 장기적으로 조직과 기업의 특성에 맞는 재교육 등을 통해 그들이 보유한 능력을 최적화시킬 수 있는 보안전문가이다. 이러한 인재 양성을 위하여 각 조직과 기업은 경험적 교육 환경 마련을 위해 지속적인 노력을 기울여야 한다.

“Learn how to learn”

이는 2017년 세계경제포럼에서 세계 유수의 대학 총장들은 미래의 교육방향에 대한 토론에서 거론된 것이다. 이 말의 의미는 단순한 지식을 가르치는 교육에서 벗어나 스스로 생각하고 문제를 풀어나갈 수 있는 교육의 필요성을 강조한 것이라 할 수 있다.

즉, 기본적인 보안 이론을 다양한 과학기술 경험을 통해 변화에 대응하고 활용할 수 있는 적응력과 창의력이 우수한 ‘사이버 보안 인재’를 양성하는 것이 필요하다. 이를 위하여 학제간 연계 방안 등 장기적인 관점에서의 투자가 요구되며, 이러한 기다림 속에서 견고한 인재 양성 체계가 확립될 수 있는 것이다. 그리고 보안전문가로서 갖추어야 할 인성과 윤리에 대한 교육이 그 어떤 것보다도 우선시 되고 강화되어야 할 것이다.

국가적 사이버보안 역량을 단기간에 끌어 올리는 것은 쉽지 않다. 오랜 기간 지속적이고 흔들림 없는 기술개발 투자 확대와 이를 통해 현장에서 필요로 하는 사이버보안 인재를 양성하고, 이렇게 양성된 인재들이 급변하는 사회의 변화에 부응하는 새로운 기술을 개발하는 성과로 이어지는 순환구조가 확립되어야 가능한 것이다. 국내에서도 많은 노력이 진행되고 있는 만큼 지속적인 관리와 투자, 그리고 기다림에 대한 인내가 필요한 시기라 할 수 있다.

하지만 국가의 사이버 보안 역량 강화는 보안 분야 종사자들에 의해서만 이루어지기는 매우 어려운 일이며 국민들의 사이버 보안에 대한 인식 변화가 반드시 수반되어야 가능할 것이다. 이 또한 매우 어려운 것인 만큼 오랜 기간에 걸쳐 범국민적 사이버보안 인식 체계를 확립해 나가는 노력이 필요할 것이라 생각된다.

예컨대, 현재 대국민 대상으로 시행되고 있는 ‘재난안전알림 서비스’와 같은 ‘사이버보안알림 서비스’ 도입을 통해 국민들이 사이버 보안에 대한 거리감을 좁히고 특정 전문가의 영역으로 생각되는 보안에 대한 이미지를 보다 가깝게 접할 수 있는 방안도 검토해 볼 수 있을 것이다.

이와 더불어 ‘사이버보안인재센터’ 또는 ‘사이버보안인재포털’과 같이 사이버 보안 분야 종사자들의 현황과 경력, 기술개발 내용 등 인재 중심형 관리와 경력 계발이 가능한 컨트롤타워 설립에 대한 검토가 필요하다. 이는 경력 단절에 대한 지원체계 확립과 함께 지역별 보안전문대학원 설립 지원 등 국가 사이버보안 역량 강화를 위한 기틀 마련에 도움이 될 수 있을 것으로 생각된다.

사이버 보안 역량 강화을 위해서는, 필요한 것도, 할 수 있는 것도, 해야 할 것도 매우 많다. 그만큼 기회와 위기에 대해 다양한 관점에서 분석하고 준비하는 것이 반드시 필요하다. 최근 정부는 미래창조과학부의 역할과 기능을 확대함과 동시에 효과적이고 효율적인 과학기술과 정보통신 분야의 발전을 위해 과학기술정보통신부로의 개편을 발표했다. 과학기술정보통신부의 새로운 시작과 함께 국가 사이버보안 역량 강화를 위한 정부의 적극적인 노력을 기대해 본다.
[글_ 곽 진 아주대학교 사이버보안학과 교수(jkwak.security@gmail.com)]

필자 소개_아주대학교 사이버보안학과 곽 진 교수는 일본 큐슈대학교 방문연구원, 큐슈시스템정보기술연구소 특별연구원, 정보통신부 통신사무관을 거쳐 순천향대학교 정보보호학과 교수로 근무했다. 현재는 아주대학교 사이버보안학과 교수로 재직 중이며 과학기술정보통신부 지원사업인 아주대학교 ‘정보보호특성화대학 지원사업’ 총괄책임교수 및 한국정보보호학회 상임이사로 활동하고 있다.

* 원본기사 : http://www.boannews.com/media/view.asp?idx=56383&mkind=1&kind=6