출처 : 보안뉴스

https://www.boannews.com/media/view.asp?idx=108745&kind=0

정보보안은 꽤나 전망이 좋은 직종 중 하나다. 하지만 난이도가 높고 업무 강도가 높은 것으로도 악명이 높다. 그래서인지 항상 사람이 모자라고, 그 모자란 인력들 사이로 공격이 비집고 들어와 각종 피해를 일으킨다. 보안교육이 그야말로 시급한 시대다.

[보안뉴스 문가용 기자] 보안 분야에서 가장 널리 알려진 자격증인 ‘CISSP’를 운영하는 단체 (ISC)²가 약 20개월 전 새로운 수장을 선두에 놓고 바쁘게 움직이기 시작했다. 새 CEO의 이름은 클레어 로소(Clar Rosso)이며, 금융 분야에서 리스크 관리와 교육을 오랜 시간 담당했던 이력을 가지고 있다. 그의 바쁜 걸음 속에 마침 한국도 포함되어 있기에 만남을 가졌다.
 

▲클레어 로소 (ISC)² 회장[사진=보안뉴스]

보안뉴스 : 요 며칠 항공 마일리지 적립을 적잖이 했다고 들었다. 왜 이렇게 바쁜가?
클레어 로소 : 수일 만에 싱가포르, 일본, 미국을 왔다갔다 했다가 다시 한국에 도착했다. 정보보안과 관련된 새로운 교육 프로그램들을 알리고, 또 보안 인력난 문제 해결을 위해 적극적으로 활동하다 보니 그럴 수밖에 없었다. 또한, 이러한 움직임이 (ISC)²의 보안 관련 자격증을 획득한 멤버들의 인지도를 여러 지역의 시장에서 높이는 길이라고 생각한다.

보안뉴스 : 회장이 이 나라 저 나라를 돌아다니는 것과 (ISC)² 자격증의 인지도가 어떻게 연관되는가?
클레어 로소 : (ISC)²라고 하면 그 무엇보다 ‘CISSP’ 자격증으로 가장 널리 알려져 있다. CISSP는 보안 자격증의 세계적인 표준으로 인정을 받는다. 이것이 CISSP 자격을 가진 우리 회원들이 가지는 가장 큰 가치이자 혜택이다. 또한 자격증 유지를 위한 지속적인 교육기회가 제공되는데, 이것이 우리 회원들이 가지는 또 다른 혜택이라고 할 수 있다. 그 다음으로 (ISC)²가 회원들에게 뭘 더 줄 수 있을까 고민하면서 시작한 것이 바로 ‘advocacy’인데, 간단히 말해 보안 전문가들의 목소리를 대신 내 주는 것을 말한다.

특히, 정부기관들에 강력한 사이버 보안 능력이 필요하다는 것과 사이버 보안과 국가안보는 직결된 문제라는 것을 계속해서 피력하고 있으며, 이것이 CISSP 및 기타 보안 자격증을 보유한 회원들에게 직접적인 영향을 준다. 전 세계적으로 정부기관들은 ‘사이버 보안 전문가들을 어떻게 관리해야 하는가?’를 주로 고민하는데, 그렇기 때문에 보안전문가 한 사람 한 사람이 목소리를 내는 게 어려운 것이 현실이다. 반면, 우리 (ISC)²는 전 세계 17만 명이 넘는 보안 전문가 집단이기 때문에 정부의 정책 마련이나 사이버 보안 전문성 발휘라는 측면에서 보안 전문가들을 대변해 목소리를 낼 수 있다.

보안뉴스 : 하지만 지금은 보안전문가가 턱없이 부족하기 때문에 굳이 (ISC)²의 자격증을 보유하지 않더라도 쉽게 직장을 구할 수 있는 상황 아닌가?
클레어 로소 : 굳이 CISSP 자격증을 가진 회원들을 콕 집어서 고용하라고 피력하는 건 아니다. 말했다시피 보안에 투자하는 것이 얼마나 중요한지를 계속해서 알리려 한다. 전 세계적인 보안 인력난은 (ISC)²가 가장 고민하는 부분이고, 가장 큰 보안교육 조직으로서 해결에 이바지해야 한다고 믿고 있다. 그렇기 때문에 보안인력 양성이라는 본질 자체에 집중하지, 우리 자격증만이 최고라고 강조하지는 않는다.

인력난이 어마어마하기 때문에, 그리고 매년 모자란 전문가의 수는 증가하고 있기 때문에 보안 인력의 몸값은 꾸준히 증가하고 있다. 그러나 그 때문에 누구라도 쉽게 고용될 수 있다는 건 아니다. 또 보안 분야가 매력적이고, 연봉 수준도 나쁘지 않고, 할 일이 앞으로도 많다고 하더라도 아무나 접근하지 않는다. 아직도 보안은 어렵고 힘든 분야이며, 컴퓨터 기술이 뛰어난 사람만 해야 한다는 관념이 존재한다. 더 많은 사람을 이 분야로 끌어들여 현장에 투입될 정도로 교육을 시키는 것이 중요하다.

보안뉴스 : 하지만 관심도 없는 사람들에게 억지로 교육을 시킬 수도 없는 노릇이다. 기업 입장에서 아무나 데려다가 훈련시킬 수도 없고 말이다.
클레어 로소 : 그래서 공교육에 정보보안 과정을 넣어야 한다고 생각한다. 지금은 컴퓨터 과학을 전공하는 학생들조차 보안에 대해 한 글자도 배우지 못하고 졸업하는 경우가 허다하다. 알지 못하는 것에 어떻게 관심을 두겠나. 공교육 시스템을 바꾼다는 접근법은 보안에 대한 인지도를 어린 학생들 사이에서 빠르게 높이긴 하겠지만, 넘어야 할 벽이 너무나 많다. 교육과정에 관한 것이므로 여러 가지 요인들과 변수들이 작용하게 되며, 그 열매를 맛보기에는 제법 긴 시간이 걸린다. 당장의 인력난 문제를 해결하는 데에는 크게 도움이 되지 않는다.

그래서 우리가 집중한 것은 현장에서의 교육이다. 한 연구에 의하면 우리가 배우는 것의 70%는 현장 경험을 통해서라고 한다. 교육이 뒷받침되어야 더 잘 배울 수 있는 건 사실이지만, 공교육만이 보안 인재를 키우는 유일한 방법은 아니라는 뜻이다. 전혀 다른 배경을 가진 사람이라도 현장에 투입되어 학습함으로써 보안과 관련된 기술들을 익혀갈 수 있지 않을까, 하는 데에까지 생각이 이르렀고 여러 가지 실험을 통해 이것이 올바른 생각인지 확인했다.

보안뉴스 : 실험 결과가 어땠나?
클레어 로소 : IT 지식이나 기술이 없더라도 문제 해결 능력, 팀워크 능력, 소통 능력 등을 갖춘 사람이라면 현장 교육을 통해 보안전문가로 성장할 수 있다는 것을 충분히 경험했고, 많은 조직들에서 이런 시도를 한 후 긍정적인 피드백을 줬다. IT 기술과 지식이 보안 업무를 수행하는 데 당연히 필요하지만, 그 기술과 지식이라는 것을 현장에서도 배울 수 있다는 게 입증된 것이다.

(ISC)²는 여기서 한 발 더 나아갔다. 멤버들 중 회사나 기관의 결정권을 가진 사람들과 이 문제에 대해 논의했다. ‘문제 해결 능력, 팀워크 능력, 소통 능력과 같은 소프트 스킬을 갖춘 사람을 실제로 고용해 현장에서 보안 교육을 시킬 수 있는가’를 물었고, 그 결과 ‘그래도 어느 정도의 기본기는 있어야 한다’는 답을 받았다. 아예 하나도 모르는 사람을 보안전문가로 기르기에는 무리가 있다는 것이다. 그래서 ‘그럼 그 조건에 충족하는 최소한의 조건은 무엇인가?’를 묻고 답을 받았다. 그 내용을 바탕으로 ‘서티파이드 인 사이버시큐리티(Certified in Cybersecurity)’라는 자격증을 신설했다.

보안뉴스 : 개인적으로 궁금한 것이, 이 시험을 치러서 통과하면 기자 같은 비전공 무경험자도 보안 전문가로서의 경력을 시작할 수 있는 건가?
클레어 로소 : ‘서티파이드 인 사이버시큐리티’, 줄여서 ‘CC 자격증’은 ‘이 사람은 보안 전문가’라고 보증해 주지 않는다. 하지만 ‘이 사람은 귀사에서 보안 업무를 배우면서 경력을 시작하기에 충분한 기본기를 갖추고 있다’는 걸 고용주들에게 말해 준다. 보안전문가가 필요하긴 한데 숙련된 전문가를 들이기에는 부담스럽고, 어느 정도 기업의 상황에 맞춰 보안업무를 배워갈 만한 사람을 찾는 고용주들에게는 딱 필요한 메시지이다. 또한, 경영이나 어문학을 전공했는데 사회 생활을 하다 보니 정보보안이라는 것에 관심이 생겼지만 어떻게 해야 할 지 모르는 사람들에게도 방향을 제시해줄 만한 자격증이라고 볼 수 있다.

그런데 이 ‘CC 자격증’은 이런 고용-피고용 관계에서만 필요한 게 아니다. 지금 우리는 누구나 ‘사이버 리터러시(Cyber Literacy)’를 갖춰야 한다. 보안업무를 직접 하지 않더라도 누구나 보안에 참여할 수밖에 없는 쪽으로 점점 흘러가고 있다. 예전에는 타이피스트들만이 타이핑을 할 줄 알면 됐지만, 이제 현대인의 기본기가 된 것처럼, 보안과 관련된 지식이나 어느 정도의 수행 능력이 기본기처럼 여겨질 때가 조만간 올 것이라고 본다. ‘CC 자격증’ 공부를 통해 보다 조직적으로 그런 ‘사이버 리터러시’를 갖출 수 있다. 그게 장기적으로는 더 중요한 변화의 밑거름이 될 수 있다.

보안뉴스 : 누구나 보안에 참여해야 하며, 모두가 보안 책임을 공유한다는 말이 생각난다. 그 말에 동의하는 편인가?
클레어 로소 : 당연하다. 우리가 당연한 것처럼 세수를 하고 양치를 하듯이, 팬데믹 기간에 마스크를 필수로 착용하듯이, 보안 역시 모두가 감당해야 할 몫이다. 그래서 우리는 이 ‘CC 자격증’의 학습과 응시를 무료로 할 수 있도록 지원할 예정이다. 전 세계 총 100만 명이 무료로 ‘CC 자격증’ 공부를 하고 시험도 무료로 볼 수 있게 할 계획을 세웠고, 이미 영국에서는 10만 명에게 이러한 혜택을 제공하기 시작했다. 보안전문가를 육성하는 것도 좋지만, 현재 인력의 다양화를 꾀하여 모자라는 보안전문가를 시급히 충당해야 하는 시기라고 판단했기 때문이다. 인력난 해소를 위해 (ISC)²가 책임감을 가지고 나서야 한다는 것이 우리의 진심이다.

한국에도 ‘CC 자격증’ 관련 지원이 곧 이뤄진다. 현재 학습에 필요한 교재와 CC 자격증 시험지들이 한국어로 번역되는 중이다. 그 외에도 5~6개 언어로도 현지화가 진행되고 있다. 한국의 경우 번역 작업이 가을 내로 완료될 것으로 예상된다. 아무리 늦어도 늦가을부터는 한국에서도 보안에 관심이 있던 사람들이 CC 공부를 시작하고 응시할 수 있을 것이다. 보안을 잘 아는 사람, 그리고 우리의 의도를 잘 이해하는 사람이 한 글자 한 글자 번역 중에 있는 것으로 알고 있다.

보안뉴스 : 보안전문가도 키우고 싶고, 일반 대중들의 사이버 리터러시도 잡고 싶은 것이라고 이해하면 되는가?
클레어 로소 : 그것이 보안 교육의 두 가지 갈래라고 생각한다. 현장에서는 뛰어난 IT 기술을 보유한 해커들에 직접 맞설 전문가도 필요하고, 그런 전문가들의 방어 강화 노력에 찬물을 끼얹지 않을 정도로 보안에 대해 알고 있고, 그러므로 각종 보안 강화 시도를 따라올 수 있는 일반 직원들도 필요하다. 모두가 참여하지 않으면 보안은 성립되지 않기 때문이다.

일반 대중들을 강조한다고 해서 보안 전문가를 소외시켜서도 안 되고, 보안 전문가에 집중한 나머지 일반 대중들을 다 놓치는 건 더 이상 있을 수 없는 일이어야 한다. (ISC)²는 이 두 가지 모두에 집중하고 있고, 그래서 지금 개인적으로 매우 익사이팅한 시간을 보내고 있다. 보다 큰 사회적 기여를 하고 있다고 생각한다. 보안이라는 것 자체가 보다 큰 관점에서 공공의 이익을 생각할 수 있어야 한다고 믿는데, 그 믿음대로 사업을 펼칠 수 있다는 것이 무척 감사하다.
[국제부 문가용 기자(globoan@boannews.com)]