보안전문가의 진정한 조건

요즘 여러 매체를 통해 보안전문가가 절대적으로 부족하다는 얘기가 부쩍 많이 나오는 것을 보면서 이분야에서 오랫동안 뿌리를 묻고 일해 온 지난 시간들을 되돌아 보게 되었다.

기본적으로 정보보안은 폭넓은 분야에서 다양하게 이루어져야 하나 실제로 전반적인 분야의 핵심을 두루 파악하고 총괄적으로 리드할 수 있는 진정한 전문가는 많지 않은 듯하다.

보안전문가가 되기 위해서는 이론적인 학습이나 교육뿐만 아니라 실무경험을 통한 계속적인 현상분석과 문제점에 대한 대책 수립 등 끊임없는 노력과 엄청난 양의 시간 투자가 있어야 한다.

이를 통해 정보유출의 취약점을 지속적으로 발견·개선·제거해 나갈 수 있는 자기만의 전문적인 식견과 기술을 터득하는 것이 무엇보다 중요하기 때문이다.

국내기업들의 정보보안 업무 현실에서는 다음과 같은 목소리를 들을 수 있을 것이다. 보안업무가 겸직이거나, 전담이지만 지원인력이 없다거나, 아예 보안조직 자체가 없다거나, 조직이 대표이사 직속이 아니라 일반 지원부서라 보고 과정에서 내용이 왜곡되거나, 조직이 IT부서에 배정되어 IT중심의 보안만이 이루어지게 되는 등의 여러 가지 한계점들이다.

그러나 기업 정보보안의 중심은 한 가지다. 보안사고 예방 즉 정보유출 징후를 미연에 방지하고 관리체계를 구축하는 것이다.

이를 위해 항상 염두 해야 할 것은 " 無에서 有를 창조하라" 이다. 정보보안 로드맵을 그려보면, "모든 정보는 사람에 의해 입수되고 가공되며, 가공된 정보는 개인 PC에서 저장된다. 이러한 정보는 각종 산출물(프린터, 각종 저장매체)로 나타나거나 개인의 지식에 축적되기도 한다.

보통 정보는 내부 인프라를 통해 여러 형태로 외부로 발송되기도 한다. "이러한 로드맵을 기반으로 보안 관리자들은 정보보안의 틈과 맥을 잡아 나가면 된다. 우선 일선에 있는 모든 담당자들은 각자가 현재 소속되어 있는 크고 작은 여러 형태의 조직에서 최선을 다해 자기만의 독창적인 관리 프로세스를 만들어 나가야 하며, 다양한 상황들에서 풀어나가게 되는 해결과정을 통해 새로운 관리기법과 노하우를 쌏아나가다 보면, 전반적인 총괄능력 및 전문적인 식견을 갖춘 보안전문가에 근접해 갈 수 있다.

마지막으로 현재 설치·운영되고 있는 각종 정보보안 시스템의 점검 측면에 대해 언급하고자 한다. 보안에서 말하는 물리적 보안장비는 단순한 보안장비라기 보다는 기업에서 직접 유출을 차단하기 위해 설치된 장비로서 잘못하면 장비 투자에 대한 개념이 유명명실해질 가능성이 크다. 투자된 보안장비는 보안담당자에 의해 관리 운영되는 것이 아니라 보안요원(외주용역)에 의해 운영 관리되기 때문에 이에 대한 각별한 관리 시스템을 확보할 필요성이 있으며, 보안 요원이 본사 보안조직의 인원과 하나라는 일체감을 가질 수 있게 해야 할 것이다.

IT인프라 또한 보안정책이 보안조직에서 관리 운영되는지 아니면 IT조직에서 관리되는지 다시 한번 점검해 보고 보안에 관련된 정책은 정보보안 조직에서 총괄 운영 될 수 있도록 해야 할 것이다. 또한 각종 IT인프라와 관련해 개발되는 소프트웨어는 필수적인 보안사항들이 사전에 반영될 수 있도록 정책 수립이 우선되어야 할 것이다. 정보보안은 오프라인과 IT조직을 하나로 융합시키고 위 언급한 사항들을 토대로 체계적인 업무능력을 갖춘 전문 보안전문가의 진두지휘를 통해 보달 안정적인 보안환경을 만들어 나갈 수 있다고 확신 한다.