정보보호의 주춧돌, "정보보호 전문가 여전히 부족하다"
한국 전산원 초대 부원장, KISA(한국정보보호진흥원) 초대 원장, ISACA(정보시스템 감사 컨트롤 협회) 국제 부회장, 동국대 국제정보대학원 창립자, CISSP(국제공인정보보호전문가)의 아시아위원회 위원장, 한국 사이버 포렌식 전문가 협회장.
이재우 박사를 쫓아다니는 수식어다. 언뜻 보기에도 대단한 정보보호 분야의 이력을 갖고있다.
이재우 박사는 아무것도 없는 척박한 국내 정보보호를 그만의 성실함으로 가꾸어 발전시켰다. 최근에는 중국과 일본 등의 치열한 로비를 제치고 CISSP(국제공인정보보호전문가)의 아시아위원회 위원장으로 재선임까지 됐다. 이 박사는 국내 정보보호의 초석을 닦은 인물은 물론 그 영향력은 국내뿐 아니라 해외에까지 미친다.
이재우 박사를 통해 국내의 정보보호 과거와 현재 그리고 미래를 들어본다.
최은주 기자 choiej@it-solutions.co.kr
“우리나라는 해커들의 좋은 범죄 루트가 되고 있습니다”라고 말하는 이재우 박사는 국내뿐 아니라 해외에서도 정보보호의 확산을 위해 열심이다.
작년에 이어 최근 CISSP(국제공인정보보호전문가)의 아시아위원회 위원장으로 재선임된 이 박사를 CISSP의 방콕 회의를 앞두고 만났다.
이 박사는 이번 방콕 회의에서 아시아 지역 보안 전문가 양성과 사회 기여의 확산 등을 골자로 회의를 주재할 계획이다. 국내 보안 전문가 양성뿐 아니라 국제적인 안목에서 정보보호 분야를 꿰뚫고 있는 인물이다.
한마디로 이재우 박사를 표현하자면 ‘정보보호의 주춧돌’같은 인물이라고 할 수 있다.
한국 전산원 초대 부원장, KISA(한국정보보호진흥원) 초대 원장, ISACA(정보시스템 감사 컨트롤 협회) 국제 부회장, 동국대 국제정보대학원 창립자, CISSP(국제공인정보보호전문가)의 아시아위원회 위원장, 한국 사이버 포렌식 전문가 협회장.
이재우 박사를 쫓아다니는 수식어다. 언뜻 보기에도 대단한 정보보호 분야의 이력을 갖고 있지만, 더욱 놀라운 것은 그가 공군사관학교를 졸업 후 30년간 전투기를 몰았던 파일럿이라는 것이다.
“전투기 조종사는 최신의 컴퓨터를 다루는 사람입니다. 공군으로 재직하면서 유도탄 발사 등에 관심을 갖고 컴퓨터 분야를 공부하기 위해 시스템 매니지먼트를 공부하게 됐습니다”라며 컴퓨터에 대한 관심을 갖게 된 계기를 설명했다. 그리고 59세라는 남들은 은퇴를 하고 노후를 걱정하는 시기에 ‘또 다른 인생’을 위해 컴퓨터 분야의 박사학위를 취득했다.
그러한 이재우 박사의 부지런한 신념이 척박한 국내의 정보보호를 개척하기엔 적격이었는지 모른다.
“초대 전산원 부원장으로 재직하면서 정보보호가 중요하게 될 시기가 올 것이라고 생각했습니다. 그래서 ‘정보보호팀’을 만들어 수장을 맡게 되었는데, 그것이 계기가 되어 초대 KISA(한국정보보호진흥원) 원장으로 임명된 것 같습니다”라며 정보보호의 선봉에 서게 된 배경을 설명했다.
이재우 박사의 고민은 국내에 멈추지 않는다. ‘아시아 지역에 정보보호 전문가를 어떻게 많이 양성할 것인가, 정보보호 전문 지식과 첨단기술을 어떻게 사회에 기여할 것인가, 이미 양성된 전문가를 어떻게 훈련시켜 나갈 것인가’ 등의 고민을 갖고 CISSP 방콕 회의에 참석하는 것이다.
국내에서는 최근 ISC2(CISSP 총본부)의 요청으로 지난 7월 국내에 협회(Chapter)를 공식 발족하고, 이러한 고민들을 적극적으로 해결한다는 계획이다.
“국내의 자격증 제도는 자격증을 획득하는 것으로 끝입니다. 가령 미국의 경우 자격을 유지하기 위한 조건이 까다롭습니다. 3년 동안 세미나에 참석 또는 발표하여 전문교육을 120시간 이수해야만 자격이 업데이트되고 있으며, 미 이수시 자격이 박탈되고 있습니다”라며 “지금까지는 대학에서의 학점과 세미나의 참석을 통해 업데이트 하였지만, 앞으로는 협회차원의 전문기관을 육성하여 관리할 계획입니다.”
한편 이번 CISSP의 아시아위원회장의 자리를 놓고 일본을 비롯한 중국, 싱가포르, 인도 등 각국의 로비가 치열했지만, 미국과 캐나다에 이은 CISSP 850명(8월 기준)이라는 숫자는 무시할 수 없었다. 더욱이 이 박사는 동국대학교에 국제정보대학원을 창립한 후 교수로 재직하면서, 시스템 정보보호 전문가의 필요성을 인식하고 2000년에 CISSP를 국내에 도입했다.
또한 CISSP와 정보보호의 양대 산맥이라 할 수 있는 CISA(국제공인정보시스템감사사)의 국제본부인 ISACA의 국제 부회장으로 97년부터 3년간 역임하면서 국내 CISA를 3천명 이상을 양성하기도 했다.
그러나 이재우 박사가 바라보는 국내의 정보보호는 여전히 갈 길이 멀다.
“우리나라의 정보보호는 IT 인프라의 발전에 비해 상당히 취약합니다. 한국이 ‘IT 강국’이라고 하지만 내실화된 주장이라고 할 수 없습니다. 한국의 경우 시스템은 급속한 발전을 하고 있지만, 그에 비해 정보보호는 거기에 못 미쳐 해커들의 좋은 범죄 루트로 악용되는 것이 현실입니다.”
잃어버릴게 없으면 도둑을 걱정할 필요가 없지만, 과거와 달리 이제는 컴퓨터가 단순한 기기를 넘어 자산이라는 면에서 이를 지키기 위해선 범인을 잡는 것과 함께 예방하는 것이 중요해졌다고 했다. 그래서 이재우 박사는 더 이상의 사이버 범죄에 대해 보다 적극적인 대응을 위해 2003년에 한국 사이버 포렌식 전문가 협회를 창설했다. 회원들과 함께 하여 사이버 범죄를 분석하고 증거를 확보하여, 정보보호에 대한 피해를 줄여 나간다는 비전을 갖고 있다.
“컴퓨터 범죄를 예방하기 위해서는 법적·제도적인 장치가 필요합니다. 예를 들어 컴퓨터 범죄에 대한 증거와 범인을 확보하여도 무자격인 제3자의 증거 등은 법적인 효력이 없습니다. 한마디로 다 잡은 범인을 코 앞에서 놓치는 경우죠.”
이 박사가 말하는 포렌식은 법 과학적 수사기법이다. 즉 유자격자가 합법적이고 합당한 방법으로 증거를 제시하여 법정에서 인정을 받는 것이다.
“언뜻 보기엔 검찰과 경찰만 이러한 자격을 갖으면 될 거라고 보지만, 사실은 기업의 입장에서 오히려 포렌식 전문가가 필요합니다.”라며 최근에 업계에서도 관심을 갖고 교육을 받는 사람이 늘어나는 추세라고 했다.
“보안이라는 것이 기술을 계속 쫓아가며 최신의 사이버 범죄를 막을 수 있어야 합니다. 그러나 정보보호에 대한 국가의 투자가 상당수 필요함에도 정보보호 제품에 대한 투자 인식이 낮습니다”라며 “물론 벤처 붐이 한창일 때 우후죽순으로 업체들이 난립한 경향은 있지만, 실력 있는 정보보호 업체들이 세계적인 제품을 만들도록 투자와 시장이 조성되어야 합니다”라고 했다.
국내 정보보호 업체들이 상당수 정리가 되어가고 있지만, 여전히 국내 시장의 한계성은 문제로 지적된다. 또한 후발업체들의 난립으로 저가 경쟁을 통한 기술력 있는 업체들이 어려움을 겪고 있으며, 정부의 지원 역시 실속보다는 가시적인 지원으로 업체들의 불만이 쌓여가고 있다고 했다.
결국 정보보호 업체들이 경쟁력 있는 제품으로 해외 시장에서 인정받는 제품을 만드는 것이 관건. 이를 위해 정보보호진흥원에서는 국제적인 인증인 CC(공통평가) 인증을 2005년부터 새로운 제품에 대하여 도입하는 과도기라고 했다.
“CC인증을 도입했어도 국가정보원의 인증이 여전히 존재하기 때문에 외산 업체들의 불만은 여전합니다. 그러나 국가 네트워크를 남에 손에 맡긴다는 것은 위험한 일입니다. 경우에 따라 외산 제품 안에 트랩이 설치되어 국가의 정보가 노출될 염려가 있기 때문에 사실 확인을 위해 필요한 최소한의 절차입니다.”라며 “유럽과 미국의 경우도 보안성 평가 및 인증을 위해 각각 ITSEC(Information Technology Security Evaluation and Certification), TCSEC(Trust computer security criteria)를 두고 있습니다”라고 덧붙여 말했다.
‘CART BOFORE THE HORSE’라는 속담이 있습니다. 정보보호와 기술을 여기에 비유할수 있죠. 정보보호가 아무리 중요한 것이라도 기술을 앞서면 안됩니다”라며 “정보보호는 어디까지나 IT기술을 지원하는 위치에 있어야 합니다”는 지적도 잊지 않았다. 과거의 국가정보원이 보안을 명목으로 필요 이상의 기술을 갖고 국민을 감시하고 통제한 것이 그러한 맥락이라는 설명이다.
또한 일반 국민 역시 정보에 대해 보다 민감한 생활습관을 가져야 한다고 했다. 가령 은행이나 카드 영수증을 아무데나 버리는 습관이나, 시중은행의 ATM 뒤에 라인 설치의 미비로 개인 정보들이 쉽게 유출되는 환경이라는 것이다.
현재 이재우 박사는 교육자이자 협회장으로서 세미나와 언론을 통해 정보보호의 선봉장 역할을 하고 있다.
“사람이 기본적으로 성실하면서 과욕을 부리고 살지 않아야 합니다”라는 이 박사는 양심적인 학자가 되기 위해 먼저 깨닫고 알려줘야 그 지식이 가치 있다고 했다.