정보보호협회장 "사후관리 허술이 대규모 해킹 원인"

[이데일리 이유미 기자] 3.20 사이버 테러에 이어 대북정보매체 인터넷페이지가 다운되고, YTN과 7개 지자체 전산망이 다운되는 등 해킹의 여진이 계속되고 있다. 해킹을 통한 악성코드 침입이 원인이었지만 정확한 경로와 공격자가 누구인지는 아직 밝혀지지 않았다. 해킹사건이 아직 마무리되지 않은 27일 조규곤 지식정보보안산업협회장이 국내 보안산업의 문제점에 대해 입을 열었다.

▲조규곤 지식정보보안산업협회장(사진=이데일리 한대욱 기자)

조 회장은 “우리나라는 다른 국가에 비해 악의적인 해킹 공격을 많이 받고 있어 기술력은 뛰어나다”면서도 “하지만 기업 내부 직원 보안 교육이나 보안제품 관리 매뉴얼 등의 서비스가 아직 부족해 결국 대형 사고가 일어나게 된 것”이라고 말했다. 보안은 기술력이 좋다고 해서 해결되지 않는다. 좋은 보안 제품을 어떻게 관리하느냐도 가장 큰 관건이다.

조 회장은 “이번 사건도 엄청난 고도의 해킹 기술을 사용한 것이 아니라 보안 시스템의 헛점을 노린 것”이라며 “이는 제품의 문제라기보다는 제품을 관리하고 활용하는 부분에서 문제가 있었던 것으로 보인다”고 말했다. 그는 이어서 “보안업체에서 보안제품을 납품하는 업체에 내부교육과 매뉴얼 제공 등 사후 관리도 해야하나 국내 보안업체들은 그럴 여유가 없다”고 덧붙였다. 국내 보안산업의 열악한 환경 때문이다.

현재 국내 보안업체들의 평균 이익률은 10%다. 정부 차원에서 투자 지원이 많지 않아 민간 투자라도 필요하다. 하지만 이익률이 낮다보니 투자자들도 꺼리는 상황이다. 낮은 이익률 때문에 코스닥에 상장된 보안업체들도 제대로 평가받지 못하고 있다. 미국에 잘나가는 소프트웨어(SW)업체들의 이익률은 약 30%다.

조 회장은 “국내 보안업체들이 적정수준의 보수를 받지 못하고 있기 때문에 이익률이 낮은 것”이라며 “보안산업이 크지 못하는 가장 큰 문제점은 바로 낮은 유지관리요율”이라고 강조했다.

유지관리요율은 보안업체가 다른 공공기관이나 민간기업에 보안 솔루션을 제공하거나 보안관리를 담당하면서 받는 비용으로 보통 전체 프로젝트 예산의 일정 비율을 받는다. 국내 보안업체들의 유지관리요율은 평균 8%로 알려졌다. 협회에서는 오래전부터 15%로 올려야한다고 주장하고 있다. 해외보안업체는 20~30% 받는다.

조 회장은 “보안업체들이 받는 금액이 더 높아져야 산업이 성장하고, 투자도 늘어날 수 있다”며 “이는 결국 우수한 인재가 보안업계로 유입되고 보안 기술력도 높아지는 선순환 구조가 만들어지게 된다”고 설명했다.

보안서비스가 인건비 산정이 아닌 보다 높은 부가가치 산업으로 자리 잡아야 보안관련 직업도 ‘3D 업종’ 이미지에서 탈피할 수 있다. 의대로 몰렸던 인재들이 보안분야로도 눈을 돌리게 할 수 있는 방법인 셈. 이는보안산업을 튼튼하게 만들고 해킹 대응력을 높이는 길이기도 하다.

조 회장은 민간기업의 보안 의식도 높여야 한다고 당부했다. 국내 공공기관이나 금융기관은 많은 해킹 공격을 받고 있지만, 일반 민간기업의 경우는 보안에 대한 경각심이 부족하다. 대규모 사이버 공격의 경우 그 대상이 민간기업인 경우는 드물었던 이유에서다.

조 회장은 “민간기업도 공공기업이나 금융기관과 네트워크로 연결됐기 때문에 민간기업을 통해 악성코드가 공공기업으로 침투할 수 있다”며 “보안수준은 어느 한 부분만 높아진다고 해서 해결되는 것이 아니라 모든 부분이 같이 높아져야 효과가 있는 것”이라고 강조했다.