<전문가 기고> 해커의 눈으로 보안 전문성을 갖추자

조주봉 라온시큐어 화이트햇센터 보안기술교육팀장

조주봉 라온시큐어 화이트햇센터 보안기술교육팀장

전 세계적으로 해킹과 개인정보보호에 대한 관심이 높아지면서 보안에 대한 투자와 인재 양성의 중요성 높아지고 있다.

국내도 최근 발생한 대형 보안 사고들로 인해 보안 전문가의 실력 향상과 인재 양성에 대한 중요성이 더욱 부각되고 있다.

이렇듯 보안 강화의 필요성과 시장은 계속적으로 성장하고 있지만 실제 해킹을 막을 수 있는 보안전문 인재는 많이 부족한 상황이다.

보안은 공격과 보안 두 가지 측면을 모두 포함한다.

공격은 말 그대로 보안 취약점을 찾아내 공격하는 것이고 보안은 공격에 대응하면서 보안 취약점을 보완해 나가는 것이라 할 수 있다.

현재 대부분의 보안 실무자들은 솔루션이나 장비에만 의존해서 보안만 하고 있다.

즉 보안하는 것에만 집중하고 공격자의 입장을 파악해 입체적으로 대응하지 못하고 있는 것이다.

해커들이 어떤 목적과 방식으로 공격을 하는지 그 방법을 정확하게 파악하고 방어하면서 보안을 대비해야 하는데 공격 방법을 잘 모르는 상태에서 방어만 하고 있는 것이다.

이이제이(以夷制夷)란 말이 있듯이 해커는 해커로 대응할 수 있고 뚫어 본 자만이 막을 수 있다.

보안 실무자들이 해커의 입장에서 공격을 해봐야 해커들의 공격을 제대로 분석해서 파악할 수 있고 그 원인을 원천적으로 막아낼 수 있다.

이렇게 공격과 보안 둘 다 가능한 사람이 진정한 보안전문가라고 할 수 있다.

이미 오래 전부터 미국을 비롯해 주요 국가들은 정부에서 적극적으로 나서서 화이트해커나 보안전문가 양성에 많은 투자를 하고 있고 모의 해킹 훈련장을 활발하게 운영하고 있다.

하지만 IT 강국으로 자리매김하고 있는 우리나라에서는 보안전문가 양성을 위한 특화된 교육 프로그램이나 교육기관이 전무한 실정이다.

최근에 발생한 해킹 사건들의 영향으로 정부에서도 한창 보안 인재 양성에 열을 올리고 있다.

하지만 무엇보다 시급한 것은 실제 현장에서 보안을 담당하고 있는 실무자들의 실력을 향상시키는 데 초점을 맞추고 기존 보안 실무자가 해킹 보안 기술을 갖출 수 있도록 적극적으로 지원해야 한다는 점이다.

더불어 정부뿐 아니라 기업과 개인 차원에서도 보안 전문성을 높이기 위한 노력이 필요하다.

기업은 보안 실무자가 해킹 보안 교육을 체계적으로 받을 수 있도록 환경을 만들어줘야 하며 보안 실무자는 해킹 기술에 대한 동향을 계속적으로 파악하고 직접 공격도 해보면서 해커의 눈으로 보안 전문성을 높여야 한다.