메뉴 바로가기

본문으로 바로가기



정보보호 이야기

HOME > 정보센터 > 정보보호 이야기

제목
IT보안의 제도 및 의식적 개선 방향
작성일 09.08.01

영화 <시계태엽 오렌지>를 보면 치안 유지를 위한 새로운 범죄자 치료법으로 ‘루도비코 치료법’이 소개된다. 이는 범죄자를 감옥에 가두는 것 대신, 반 사회적인 내용을 보도록 하는 것으로, ‘악’을 ‘악’으로 맞서게 하면 ‘선’에 대한 욕구가 강해지고, 따라서 ‘악’에서 멀어지도록 한다는 치료법이다. 즉 범죄자는 ‘악’에 대한 본성을 잃고, 조건 반사적으로 폭력에 대해 거부반응을 일으키게 된다는 것이다. 영화에서처럼 극단적인 방법은 아닐지라도 IT보안에 대한 적극적인 사고의 변화가 필요한 시점이다.

 

IT산업의 발전과 함께 IT보안 산업은 빠른 속도로 성장해왔다. 날로 다양해지고 고도화되는 공격기법에 따라 보안형태 역시 여러 변화를 거듭해왔으며 현재 솔루션 중심의 일괄적 보안 형태에서 변화관리 및 의식관리 기반의 보안 형태로 탈바꿈하고 있다. 솔루션 기반의 기술적 대응의 한계를 경험하고 있는 현 시점에서 보안수준 향상을 위한 근본적인 방안으로 제도적․의식적 개선이 절실히 요구되고 있다.

 

그러면 IT보안의 제도적․의식적 개선 방안에는 어떤 것이 있을까? 현실성 및 적용 가능성에 대한 우선순위는 차치하고, 간략한 설명과 함께 몇 가지 방안을 들어보았다.

 

1. ‘조기정보윤리교육’

 

의식변화는 하루아침에 이뤄지는 것이 아니다. 이것은 의식의 문제이므로, 변화관리가 필요한 사안으로유아 때부터 체계적인 교육을 실시 함으로서 비로소 근본적인 의식변화를 이룰 수 있다.

 

교육 자원부에서 유치원/초등학교부터 윤리 교육을 수행하는 것처럼 ‘컴퓨터’ 교과, ‘도덕’ 교과에 ‘정보윤리교육’을 의무화 하거나, 과목으로 채택하는 등 어릴 때부터 주기적 보안 의식 교육을 의무화 하는 방안이 도입돼야 할 것이다. 프로이드는 3세부터 도덕적 판단을 하게 되는 ‘초자아’가 형성된다고 하였다. 가장 근본적인 방안으로 안전에 대한 올바른 의식 형성을 위해서 유치원 및 초등학교는 물론 가정에서도 PC사용에 대한 정보윤리 교육이 자리 잡아야 할 것이다.

 

2. 보안전문가 및 보안담당자 대상 ‘보안적성검사 제도’ 개발

 

보안전문가나 보안관리자가 되기 위한 필요조건으로 지식만을 포함해서는 안 될 것이다. 자격증을 획득하기 위한 선결조건으로 보안적성검사를 의무화하는 것이 필요하다.

 

보안담당자는 성격상 기업의 중요 정보에 접근할 수 있는 기회가 많을 수 밖에 없다. 역으로 보안담당자를 통해 기업의 중요정보가 유출될 수 있는 위험도 상존한다고 할 수 있다. 따라서, 고양이에게 생선을 맡긴 격이 되지 않기 위해서는 도덕성을 겸비한 보안담당자가 필요하다.

 

많은 기업에서 인력 채용 시 적성검사를 실시하고 있다. 같은 맥락으로 보안담당자 채용 시 또는 정보보안 전문 자격증 제도 등에 활용할 수 있는 과학적인 ‘보안적성검사 제도’를 국가차원에서 개발하여 사전에 도덕적 해이를 방지하는 것이 필요하다.

 

3. 화이트해커 선발 제도 강화

 

과거, 보안과 관련하여 법적인 규제가 강화되기 전 크래커 중 유능한 인재를 기업에서 채용한 사례가 있다. 음성적인 크래킹을 방지하고 이들의 능력을 사회발전에 기여할 수 있도록 하기 위해서는 해킹대회 개최 확대 등을 통해 실력 있는 해커들을 합법적인 길로 인도하는 제도적 방안이 더욱 필요하겠다. 그리하여, 불법적인 크래커를 일벌백계로 응징하고 합법적 해킹대회를 통해 유능한 인재를 발굴하고 기용하여 국가 경쟁력 강화에 기여할 수 있도록 하는 것이 지식정보보안 선진국으로 가는데 있어서 필수적이다.

 

4. 공․사기업의 보안전문가 기용 의무화

 

보다 많은 기업에서 위에서 언급한 적성검사를 통과한 일정 부분을 자격을 갖춘 보안 전문가를 의무적으로 채용하도록 하는 제도마련이 필요하다.

 

지금까지 제도․의식적 변화를 위한 방안을 몇 가지 짚어보았다. Best Practice라는 말로 여태까지 보안 선진국의 뒤에서 따라가기 식 제도도입에 치중하였다면 이제부터는 우리 스스로 창의적인 보안관련 아이디어의 도출과 제도 및 의식의 개선을 통해 IT보안의 선진국이 되어야 할 것이다.

 

* 본 기고글은 지난 2009년 8월 에이쓰리시큐리티 뉴스레터를 통해 공개된 자료임.

이전글 7.7 DDoS 분석
다음글 내부정보유출방지를 위한 방안