세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
쉴 새 없이 터지는 보안사고, 보안 인력 휴식권은?
  |  입력 : 2017-09-14 17:15
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
보안 인력 휴식권에 대한 본지 설문조사, 보안인 1,300명 응답
정부기관, 민간기업, 비영리단체 소속 보안 전문가 5인 의견 공유


[보안뉴스 오다인 기자] 워너크라이(WannaCry) 랜섬웨어 공격은 5월 12일 금요일 오후 12시 30분(현지 시간) 쯤 영국의 국민보건서비스(NHS) 소속 병원이 피싱 이메일 공격에 당하면서 시작됐다.

[이미지=iclickart]


주말을 불과 몇 시간 앞두고 터진 역대 최대 규모의 랜섬웨어 공격으로 인해 전 세계 보안 전문가들은 그야말로 공포의 주말을 보내야 했다. 돌아오는 월요일, 근무시간이 시작되면 그 피해가 훨씬 더 커질 것으로 예상됐기 때문이다. ‘월요일 대란’은 없었으나 그 주말에 쉴 수 있었던 보안 전문가는 과연 몇이나 될까?

미국의 보안 업체 파사이트 시큐리티(Farsight Security)는 보안 전문가 2명 중 1명이 주말에 일하고 3명 중 1명은 하루 평균 10시간을 일한다고 밝혔다. 이에 본지는 보안 인력의 휴식권에 대해 지난 달 설문조사를 진행했다. 이번 설문조사는 8월 2일부터 9월 6일까지 약 한 달 간 진행됐으며 총 1,299명이 응답했다.

이를 바탕으로 보안 전문가 5명이 보안 인력의 휴식권에 대한 심층적인 의견과 대안을 본지에 공유했다. 해당 보안 전문가들은 정부기관(1명), 민간기업(3명), 비영리단체(1명) 소속으로, 이들 요청에 따라 익명(A, B, C, D, E)으로 처리함을 밝힌다.

설문조사 결과는 다음과 같다.

*질문: 보안 전문가 2명 중 1명은 주말에도 일합니다. 여름 휴가도 마찬가지일 것 같은데요. 보안 인력의 휴식권에 대해 어떻게 생각하시나요?

△1위: 보안 인력에 대한 인식과 처우가 낮다는 게 근본적인 문제다 (36.80%)
△2위: 제대로 쉬려면 보안 인력을 늘리는 수밖에 없다 (29.25%)
△3위: 국가적 차원에서 보안 인력의 근로 조건을 개선해야 한다 (19.01%)
△4위: 제대로 못 쉬는 대신 금전적으로 보상하면 된다 (9.62%)
△5위: 보안 업무의 특성상 휴식권을 보장하기 어렵다. 감수해야 한다 (4.85%)
△6위: 기타 (0.46%)


보안 전문가 A의 의견 – 민간기업 소속
보안 전문가 A는 “보안인 뿐만 아니라 우리나라 IT 시스템을 담당하는 인력 대부분이 휴식할 기회가 매우 적다”고 말했다. “특히 보안 담당자가 1명일 경우, 퇴근 후든 휴일이든 사이버 공격과 보안 취약점에 대해 실시간으로 신경을 써야 합니다. 주말엔 보안뉴스를 포함해 사이버 공격 동향을 살펴야 하고, 혹여 사건이라도 발생했다 하면 자사 보안 시스템에는 문제가 없는지 확인하는 것이 일상이 됐죠.”

그는 보안 인력이 “실시간 업무의 연장선”으로 인해 피로감을 호소한다며 “수시로 문자와 카톡을 통해 사이버 공격에 대응해야 하는 상황”이라고 설명했다. “늘어나는 사이버 위협 때문에 보안 업무는 낮과 밤, 평일과 주말의 구분 없이 일상적으로 지속되고 있습니다. 워너크라이 랜섬웨어와 같은 사건이 터지면 확산을 막기 위해 즉각 현장에 달려가야 하죠.”

이어 그는 “사이버 공격 발생 시 보안 인력이 긴급 대응해야 하는 건 당연한 이치이지만, 기업이나 기관의 규모에 맞지 않는 보안 인력의 비중은 보안 담당자들의 과한 업무 및 스트레스의 근본 원인”이라고 지적하기도 했다.

이런 문제를 해결하기 위해 보안 전문가 A는 비상 시 보안 업무를 보충해줄 인력을 수시로 양성할 것을 권고했다. 그는 “보안 인력 1명이 전담하는 것보다 다양한 상황에서의 기업보안 수준을 향상하는 데도 기여할 수 있을 것”이라고 말했다. 또한, 보안 인력을 파견으로 사용할 경우에는 ‘갑을 관계’ 때문에 융통성 발휘가 더 어렵지만 각 조직에 맞게 효율적으로 조정한다면 이 때도 휴식권 보장 방안을 마련할 수 있을 것이라고 조언했다.

“결과적으로 가장 중요한 건 예산이 아닐까 합니다. 예산이 있다면 기업의 경영진도, 보안관제 업체도 보안 인력을 안정되게 운영할 수 있지 않을까요? 보안 인력의 처우 개선과 휴가비 지급 역시 예산 증액으로 해결할 수 있을 것입니다. 그리고 이런 예산 문제를 가장 빠르게 해결할 방법은 정부에서 보안관제 및 보안컨설팅 사업 발주에 대한 표준안과 심사위원회를 마련하는 것이라고 생각합니다.”

보안 전문가 B의 의견 – 정부기관 소속
보안 전문가 B는 “최근 보안 사고들을 보면 휴일이나 주말을 겨냥해 집중 공격을 시도하는 경우가 많다”고 설명했다. 그러면서 “보안 사고는 근무일이나 근무시간에만 발생하는 것이 아니기 때문에 보안 업무의 특성상 휴식권을 보장하기가 어려운 것이 사실”이라고도 말했다.

“보안 인력의 휴식권 문제를 개선하려면 사이버 위협을 탐지하고 대응하는 시간을 최소화할 수 있는 보안 장비나 자동화를 도입해야 할 것으로 보입니다. 또한, 보안 인력도 늘려서 조금이나마 휴식권을 보장하도록 노력해야 할 것입니다.” 그는 “결국은 보안에 대한 투자가 필요하다는 뜻”이라고 강조했다.

보안 전문가 C의 의견 – 민간기업 소속
“과중한 보안 업무에 비해 그 급여와 처우가 부족하다는 게 문제입니다.” 보안 전문가 C는 보안 인력에 대한 처우 개선이 시급하다고 지적했다. 이어 만성적인 보안 인력 부족 문제에 대해서도 짚었다.

“보안 분야의 업무는 3D 업종으로 인식돼 지원 인력이 부족한 것이 현실입니다. 국내 대학교의 보안 관련 학과 개설도 미흡하고요. 배출되는 보안 인력이 부족하기 때문에 현재 보안 인력의 휴식도 부족하다고 할 수 있습니다.”

그는 “24시간 발생하는 사이버 보안 침해사고와 정보 유출 등으로 긴장감이 큰 데다 근무환경도 부실하다”고 덧붙였다. 보안 전문가 C는 보안 인력 부족으로 현행 보안 인력의 절대적인 근무량이 너무 많다고 말했다.

보안 전문가 D의 의견 – 민간기업 소속
보안 전문가 D는 “보안 인력의 휴식권은 보장해야 하지만 우리나라의 전반적인 실정을 고려했을 때 그 휴식권을 완전히 누리기에는 현실적으로 불가능해 보인다”고 말했다.

“보안 산업을 군대에 비유해서 말씀드리겠습니다. 만일 군인이 쉬고 있을 때 적군이 한국을 공격하고 여러 국민의 목숨을 앗아 간다면 그 군인은 본연의 임무를 다 했다고 보기 어려울 것입니다. 기업의 경우도 마찬가지입니다. 보안 담당자가 쉬고 있을 때 그 기업이 멀웨어 공격에 당해 정보 유출 등 막대한 피해를 입게 된다면 그 담당자는 본연의 역할을 다했다고 보기 어렵지 않을까요?”

그는 “군인이나 보안 인력 모두 기계가 아닌 사람이기 때문에 기본적인 인권과 휴식은 보장해줘야 한다”고도 짚었으나 “현 실정에서 그 타협점까지 이르는 데 많은 변화가 수반되지 않는 이상 아주 어려울 것으로 보인다”고 말했다. 그래서 “보상 체계의 개선”을 제안한 그는 “야간이나 주말에 근무를 할 경우 철저하게 금전적으로 보상을 해줘야 한다”고 강조했다.

보안 전문가 D는 보안 인력에 대한 인식과 처우를 개선하기 위해 “정부가 관련 제도나 장치를 마련하는 것 역시 이런 인식 개선을 촉진할 수 있다”고 설명했다. “예컨대, 보안 전문가 육성 프로그램을 만드는 것부터 보안 분야에 대한 창업 독려 지원금 구축, 그리고 창업이 실패할 경우를 대비한 제도적 장치 등을 마련할 수 있을 것입니다.”

보안 전문가 E의 의견 – 비영리단체 소속
보안 전문가 E는 “보안 인력에 대한 처우나 인식이 낮아 보안 인력 신규 채용에 어려움을 겪는 사례가 많고 기업 내 보안 인력의 이직도 잦다”고 지적했다. “현상 유지조차 어렵다”는 것이다.

“특히, 대다수 기업의 경영진은 정보보안을 투자가 아닌 비용으로만 인식하는 경우가 많습니다. 이것이 보안 인력의 처우 개선을 더욱 어렵게 하고 있죠. 이 문제를 해결하기 위해선 보안 비용을 단순한 지출 비용이 아니라 재무적인 위험을 포함해 기업 이미지 위험을 방어할 수 있는 투자로 인식해야 합니다.”

그는 정보보안 인력에게 “권한은 없고 문책만 있는” 것이 현실이라고 비판하기도 했다. “잘 되면 그만이고 문제가 생기면 책임만 부여한다”는 것이다. 보안 인력을 고급 전문 인력으로 성장시키기 위해선 이런 현실부터 개선해야 한다고 그는 강조했다. 보안 솔루션 유지 및 보수에 대한 적정한 대가 산정을 통해 보안 업체의 매출 개선을 뒷받침하는 것도 필요하다고 덧붙였다. “이런 것들이 모두 종합될 때, 보안 산업의 선순환 구조가 이뤄질 수 있다고 생각합니다.”
[오다인 기자(boan2@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
북한의 사이버 공격이 갈수록 심해지고 있습니다. 해킹 공격이 미사일 공격보다 더 무섭다는 소리도 나올 정도입니다. 정부 차원에서 더 강화된 사이버 보안을 위한 전략을 새롭게 수립해야 한다고 생각하십니까?
아니다. 지금 있는 것만 제대로 해도 충분하다.
그렇다. 단, 미국의 행정명령처럼 장기적인 방향성을 가져야 한다.
그렇다. 단, 지금의 위기상황에 당장 적용할 수 있는 것이어야 한다.
아니다. 민간 차원에서 해결할 수 있어야 한다.
정부 차원의 전략이 얼마나 도움이 될지 잘 모르겠다.
크게 보면 외교 문제다. ‘보안’의 시각으로만 접근해서는 안 된다.
기타(댓글로)