유학 한 번 안 가본 국내 보안전문가가 국제기구의 정보보호책임자로 근무하게 된 지 1년이 지났다. 금융결제원 정보공유분석센터(ISAC), 한국인터넷진흥원 및 국가청렴위원회 정보관리팀장을 역임하고, 도로교통공단 정보보호단장을 지내다 유엔난민최고대표사무소(유엔난민기구, UNHCR)의 보안업무를 총괄하게 된 최운호 정보보호책임자의 얘기다.
26일 스위스 제네바에서 전화 인터뷰에 응한 최운호 유엔난민기구 정보보호책임자는 유엔에서도 특히 난민들에 대한 정보를 캐내려는 해킹시도가 이어지고 있다고 운을 떼며 그동안 일하면서 느낀 국내외 정보보호를 다루는 시각 차에 대해 설명했다. 그는 유엔 등 국제기구에 진출을 꿈꾸는 이들에 대한 조언을 아끼지 않았다.
■유엔에도 해킹 시도 끊이지 않아
유엔 산하기구에서 유엔난민기구는 유엔개발계획(UNDP) 다음으로 가장 많은 인원이 근무하고 있다. 최 책임자에 따르면 유엔난민기구는 170개 국가에 230개의 지부가 설치돼 있다. 이곳에서 내전이나 정치적인 이유로 난민이 된 이들을 관리한다. 현재 이 기구는 약 4천300만명 정도의 난민이 존재하고 있는 것으로 파악하고 있다. 이 중에는 케냐 다다비 캠프에 60만명이, 요르단, 터키, 이라크 등으로 피신한 시리아 난민들 180만명 등이 포함된다.
최 책임자의 업무는 230개의 지부와 이를 운영하기 위한 5개의 글로벌 데이터 센터의 보안을 총괄하는 일이다. 국내서는 금융정보나 사회혼란 등을 노린 해킹사고가 연이어 발생하고 있지만 난민 캠프를 대상으로 한 해킹 시도는 언뜻 보기에는 의외의 일로 여겨진다.
그러나 난민들에 대한 정보는 주로 해당 정부 기관 등에서 알고 싶어하는 경우가 많다고 최 책임자는 설명했다. 그는 이를테면 시리아 정부에서는 시리아 반군에 대한 정보를 파악하기 위해 혈안이 돼 있고 이 때문에 여러가지 해킹 시도가 이어지고 있다고 밝혔다. 난민들 중 80%~90%는 일반인들이나 10%~20% 가량은 정치적인 이유로 피난길에 오른 사람들이고, 이들에 대한 정보수집이 지속되고 있다는 것이다.
그는 국내에서는 정부 등에 대한 해킹 시도가 하루 평균 400만건 정도라면 같은 기간 유엔에서는 최소 몇천만 건 이상의 해킹 시도가 있다며 대부분은 심각한 공격이 아니지만 이에 대해 대비하고 있다고 밝혔다.
■글로벌 기준, 국내 보안 세분화-정보공유 절실
최 책임자는 국내 보안환경과 글로벌 환경을 비교하며 따끔하게 충고했다. 여전히 우리나라는 보안에 대한 세분화된 전문성이 떨어지고, 몇 년째 구식 보안장비를 쓰는 경우가 허다하다는 지적이다.
그는 먼저 글로벌 환경에서는 보안도 직업이 상당히 세분화돼있다고 설명했다. 국내에서는 보안분석전문가, 컨설턴트, 보안관제 인력 등으로 나눠지는데 그치는 반면 글로벌 환경에서는 보안 직업군 자체만 해도 70가지 이상이 된다는 것이다.
각 분야에 대한 전문성을 중시하는 풍토가 국내와는 다른 점이다. 그는 미국 정부만 해도 50개 이상의 보안직종이 있고, 사이버 보안인력이 2천명이 넘는다며 시티뱅크는 최고정보책임자(CIO)가 1명인데 최고정보보호책임자(CISO)는 6명이 있을 정도로 세분화해서 보안을 다루고 있다고 말했다.
이제 막 CISO의 권한 강화에 대한 논의가 시작된 우리와는 사뭇 다른 분위기가 읽히는 대목이다. 최소 15년 이상 보안쪽 업무를 담당해 온 전문가가 CISO를 맡는 글로벌 환경과 달리 국내에서는 경력이 훨씬 적은 IT담당자가 보안업무까지 책임져야 하는 경우가 대부분이었다.
그는 정보공유의 부족함을 꼬집기도 했다. 공격은 스텔스급으로 이뤄지는데 F15/F16전투기로 막고 있는 형국이라는 설명이다. 최 책임자는 글로벌 환경에서 통용되는 해킹기법은 5만개가 넘는데 국내에서 탐지할 수 있는 정보는 5천개에서 1만개 정도의 샘플에 그치고 있다고 주장했다. 악성코드 등에 대한 DB가 충분하지 못하고 실제로 공유되지 않고 있다는 점도 문제라는 지적이다.
이를 테면 미국표준기술연구소(NIST)는 보안취약점(CVE)을 하나의 정부 DB로 통합하고 국가에서 직접 관리하고 있으나 국내에서는 KISA가 이 같은 역할을 제대로 진행하지 못하고 있다고 설명했다.
■국제무대 진출하려면 링크드인 필수
마지막으로 국내 보안전문가들 중 국제기구에 진출을 꿈꾸고 있는 사람들에게 해주고 싶은 당부에 대해 물었다. 최 책임자는 조종사도 전투기, 수송기, 헬기, 항공기 등 각 분야마다 전문성이 필요하듯이 이중 자기가 잘할 수 있는 몇 가지를 골라 전문성을 살리는 경력을 연구하고, 이를 위한 국제 자격증을 준비해야 한다고 조언했다.
또한 영문 이력서를 최대한 자신이 돋보일 수 있게 써야한다는 팁을 줬다. 국내 전문가들 대부분이 영문 이력서를 써본 적이 없기 때문에 지원시 한계를 느끼는 경우가 많다는 것이다. 의사소통 수단 역시 가장 중요한 문제 중 하나다. 최 책임자는 영어회화 수준이 아니라 실전 영어를 할 수 있어야 한다고 밝혔다. 그는 유엔 외에도 세계은행, IMF 등에 동시에 지원해 인터뷰를 한 적이 있다. IMF의 경우 8명이 4시간에 걸쳐 1분 간격으로 질문을 쏟아내는데 30초만에 서론, 본론, 결론 순으로 말을 이어가야 했다는 경험을 얘기했다.
관련기사
- 양지로 나온 보안취약점, 거래 활발2013.07.26
- 유망한 젊은이가 악의적 해커가 되는 이유2013.07.26
- 해커들의 지하경제, '블랙마켓' 이야기2013.07.26
- 여성 해커로 산다는 것…심선영 연구원2013.07.26
그는 이력 관리를 위해 링크드인을 잘 활용하라는 조언을 하기도 했다. 그는 영문링크드인은 서로 프로페셔널이라는 점을 인정해야 친구가 된다며 경력사항을 상세히 작성해야 한다고 설명했다. 이를 통해 글로벌 전문가들과 친분관계를 맺으라는 것이다. 외국 인사부서나 헤드헌터들 대부분이 링크드인 검색을 필수사항으로 꼽고 있기 때문이다. 링크드인닷컴은 실제 프로페셔널들이 자기 이력서의 첫 문장에 어떤 단어를 쓰고 어떤 표현들이 인사담당자의 머리에 긍정적으로 각인될 지 등을 알려주는 방법이라고 세부적인 팁을 주기도 했다.
최 책임자는 중학생에서부터 50세 중년까지 유엔 등 국제무대에 진출을 위한 조언을 구하는 사람들이 부쩍 늘어났다며 최대한 많은 한국인들이 유엔에 진출했으면 하는 바람이다라고 밝혔다.
