보안경영이 자리가 잡히기까지 본문
http://m.media.daum.net/m/media/digital/newsview/20140328110722737
기사를 보고 제 생각을 정리해 봅니다.
위의 링크의 글에 대해 280건 댓글이 달렸네요. 댓글은 많지만 깊이 있는 댓글이 없는 것 같아서 왜 그럴까? 라는 이유에 대해 심도 깊게 여기서 얘기를 해 볼까 합니다.
많은 관심은 바로 대기업과 연봉 1억 때문이 아닐까요? 대기업에서 연봉 1억을 준다는데, 왜? 충분히 재미있는 주제가 맞죠?
사실 절반 정도 글을 적어 내려갔었는데, 배고픔을 못 이겨 아내가 만들어 준 샌드위치를 하나 더 먹고 온 사이에 아이패드 조작의 실수로 글이 다 날아가 버렸네요. 그래서 아까 무슨 얘기를 했는가를 다시 생각하면서 글을 적어 내려갑니다. 화이트 해커들이 시큰둥한 이유에 대해 정말 깊이 생각해 보아야 합니다. 우선 해커와 보안전문가라는 부분이 상반된 개념이라는 것부터 알아야 합니다. 글을 적어 내려가기에 앞서 잠깐 둘러서 다른 얘기를 하고자 합니다.
저는 IE를 전공한 산업공학도입니다. 지금은 그렇게 말하고 있지만 처음 대학에 들어갔을 때는 잡과라는 생각이 들었습니다. 아마 그게 산업공학을 이해하지 못한 학부생 대다수의 생각일겁니다. 당시 저는 컴퓨터에 주로 관심이 많아서 특히나 산업공학에 대해서는 다른 친구들보다 더 몰랐던 것 같습니다. 그런데 아직도 기억에 남는 일이 하나 있죠. 품질분임조 경연대회에 참관했던 일입니다. 아마 전 학년이 모두 해당 행사에 참관했었던 것으로 기억이 나는데요. 우리나라에 품질경영이란 말이 나돌기 시작한 것이 80년대 후반부터 90년대 초반이었을 겁니다. 그 이전까지만 해도 KS 마크, KS 인증 정도만 생각을 했었죠. 그런데 90년대 들어서면서 우리나라 기업들도 글로벌경영이란 기치를 내 들고 글로벌 시장으로 뛰어들었지만 KS 인증을 가지고는 글로벌 시장에 명함도 내밀 수 없었습니다. 글로벌 시장에 뛰어들기 위해선 글로벌 시장이 요구하는 품질인증제도가 필요했었죠. 그것이 바로 ISO 9000 시리즈 인증이었습니다. 지금이야 모든 기업들이 ISO 9000 시리즈 인증 및 후속으로 각 산업별로 확장된 개념의 AS 9000(항공), TS16949 등의 인증을 다 가지고 있지만 그 시대에는 이 인증을 획득하는 것이 마치 큰 자랑과도 같았습니다. 그래서 이 인증을 획득한 회사들은 회사 입구에 마치 큰 자랑처럼 우리회사는 ISO 9000 인증을 획득한 기업입니다. 라고 플래카드를 붙이기도 했었죠. 아직도 회사 명함에 그런 인증을 심는 기업들이 많이 있는데, 아마도 그때의 유전이 지금까지 내려오는 게 아닌가 싶습니다. 아무튼 당시에 품질명장의 초청 강연도 많았고, 품질분임조 활동이 각 기업들의 품질경영활동 결과를 자랑하는 대회가 되어 버렸죠. 이것의 영향으로 IE를 전공한 학도들은 품질기사 자격증을 따는 게 필수 코스가 되었습니다. 그리고 그 자격증이 취업을 위한 하나의 수단이 되어버렸죠. 지금까지의 얘기가 화이트 해커와 동떨어진 얘기처럼 들릴지 모르지만 끝까지 얘기를 들어보면 관련이 있다는 것을 알 수 있을 겁니다.
품질인데 왜 경영이 붙어서 품질경영이라고 하느냐... 단순히 품질이 아니라 품질요구 조건을 맞추기 위해서는 생산뿐만이 아니라 사내 모든 분야에서 표준화된 절차에 의해서 업무를 수행할 때 고객이 요구하는 수준의 품질을 제공할 수 있기 때문에 품질경영이라고 한다는 것입니다. 여기서 해커라는 부분도 마찬가지라는 겁니다. 해커라는 말이 원래의 뜻과 다르게 나쁜 의미로 지금은 통용이 되고 있습니다. 때문에 반대적으로 나쁜 쪽을 일하지 않는 해커를 화이트 해커라고 합니다. 그런데 기업에서 요구하는 보안 전문가가 화이트 해커를 말하는 것일까요? 해커는 다른 시스템을 기술적으로 뚫는 하나의 단편적인 기술만을 가지고 있는 것입니다. 그런데 방어를 위해서는 단편적인 기술만 가지고 되는 것이 아닙니다. 아무리 좋은 보안시스템을 구축하더라도 내부에서 유출이 되거나 사회공학적인 기법을 통해서 정보를 빼나가면 어떻게 할까요? 해킹은 기술적이 한 부분을 전문적으로 다루고 있지만, 보안은 기술적 보안, 관리적 보안, 물리적 보안까지 체계적으로 다루고 있습니다. 때문에 화이트 해커들과 같이 단순히 기술적인 지식만 가지고 있는 사람들이 기업에서 보안 전문가로 일을 하기에는 관리적인 부분의 지식을 요구하는 부분이 너무나 많기 때문에 부담을 느낀다는 것입니다. 그래서 그들은 자신이 잘하는 그 분야만 가지고 프리하게 일하고 싶어하는 것이죠. 그리고 해외에는 급여 조건이 좋다고 하는데 그들은 단순히 기술적인 보안뿐만이 아니라 관리적인 보안의 지식까지도 가지고 있다는 것입니다. 다행이 우리나라에도 보안기사라는 자격증 제도가 생겨났지만 아직도 기술적인 보안에 편중이 된 것 같아서 아쉽습니다.
그러나 품질경영, 품질인증이 품질분야의 중요성을 인지시키고 기업에 있어 품질이 큰 축으로 자리를 잡게 했듯이 조만간 보안분야가 경영의 큰 축으로 자리를 잡을 날이 올 것이라 생각이 되어 집니다. 글로벌 고객에게 납품하기 위해 품질인증을 갖추어야 하듯이 보안인증도 갖추어야 협력업체의 요건을 만족해야 하는 날이 조만간 도래될 것이라 예상됩니다. 제 입장에서는 그런 날이 빨리 왔으면 합니다. 그리고 국내의 보안관련 교육도 단순히 해킹과 관련된 기술적인 보안뿐만이 아니라 관리를 위한 보안에 대해서는 교육하는 기관들이 생겨나기를 바랍니다. 그때가 되면 기업들도 보안인력들에 대한 대우가 달라질 것이고, 보안인력들도 기업들에서 근무하는 것을 부담스러워하지 않게 될 것이라 생각을 합니다. 정말 그런 날이 빨리 오기를 바랍니다.