"정보보안은 '인프라' 365일 관심이 필요"

심종헌 정보보안산업협회( KISIA) 신임 회장 인터뷰

"시험 문제를 틀린 학생은 스스로 무엇을 잘못했는지 알죠. 개선할 수 있는 능력이 있는 겁니다. 기업도 마찬가지에요. 보안이 뚫려서 사고가 터지면, 스스로 원인과 대책을 마련할 수 있습니다."

올해 들어 잇따른 정보보안 사고로 보안업계 주가가 등락을 반복했다. 정부가 보안 강화 정책을 내놓자 보안 산업이 호재를 맞았다는 분석이 제기되면서다. 하지만 심종헌 지식정보보안산업협회(KISIA) 회장은 '현실을 모르는 말'이라고 일축한다.


그는 정부가 주도적으로 대책을 세우면 정작 기업은 몸을 잔뜩 움츠린다고 말했다. 실제 계획했던 보안 관련 사업마저도 모두 '일시 정지' 상태다. 정부가 정한 기준에 맞게 보안 예산을 다시 짜기 위해서다. 이렇다보니 투자 확대가 아니라 '눈 가리고 아웅' 식의 변화가 있을 뿐이다.

실제 지난해 3.20 사이버 테러 등 잇단 해킹사건 이후에도 보안투자는 특정 분야에서 다른 분야로 이동했을 뿐 거의 확대되지 않았다. KISIA 조사 결과 지난해 정보보안시장은 전년보다 2.5% 성장하는데 그쳤다.

취임 이후 지난 70여일간 연일 터지는 보안 사고로 심종헌 회장은 정부 등 관계기관과 하루가 멀다하고 만났다. 그가 항상 당부하는 말은 "두세요"였다. 정부가 하나부터 열까지 기준을 세우는 것 보다는 사고 당사자가 직접 잘못을 개선해나가도록 유도하는 정책이 필요하다는 의미였다.


심 회장은 모든 것이 통신망으로 연결된 현대사회에서 정보보안은 전기, 수도 같이 사회에 '인프라'라는 점을 강조했다. 협회장으로서 정부, 기업, 개인까지 보안을 인프라로 인식하고 365일 관심을 갖도록 알리는데 앞장서겠다는 포부를 밝혔다. 보안업계도 이러한 인식이 바뀌어야 장기적인 성장 발판을 마련할 수 있다는 판단이다.

- 취임 당시부터 보안사고가 연일 터지고 있습니다. 주요 원인이 무엇이라고 진단하십니까.
▶ 보안에 대한 예산 투자가 적으니 사고가 터질 수 밖에 없습니다. 단순히 투자 비용만 보면, 미국 금융사가 IT(정보통신)예산 총액의 약 10%를 보안에 투자하는데 반해 국내 금융사들은 5~6% 수준입니다. 특히 기존 보안시스템을 유지 관리하는데 투자가 인색합니다. 사고가 나면 반짝 관심을 두고 말죠. 실질적으로 보안투자가 꾸준히 확대 되지 않고 있는 현실입니다. 365일 관심이 없다면 보안 수준은 향상시키기 어렵습니다.

- 보안업계에서 수년간 지적한 유지관리요율 현실화와도 연결되겠군요. 현재 국내 보안솔루션 유지관리 요율 평균은 국제 수준의 절반이라던데.
▶ 정부나 기업이 보안에서 '유지관리'가 갖는 의미를 몰라서 발생하는 문제입니다. 일반 가전제품처럼 고장이 나면 고쳐주는 일이라고 생각하는데 보안은 고장이 나면 이미 '소를 잃은 후'입니다. 평소에 꾸준히 개선해 나가야 생명이 유지가 되죠. 일부 기업들이 '콜베이스 유지관리서비스'를 요구하는 것도 이런 특성을 이해하지 못해서입니다. 고장나면 연락할테니 그때만 와서 고치고 서비스비용을 받아가라는 것은 위험한 생각입니다. 이러한 안일한 태도는 민간이나 정부나 마찬가지입니다.

- 정부나 공공기관의 보안정책에 있어 미흡한 점이 있다면 무엇인가요.
▶ 정부의 정보보호 투자비용은 4년간 제자리입니다. 물가는 오르는데 새로운 보안투자는 안하고 유지관리 비용도 안 쓰고 있죠. 2000억원 수준인 정부의 정보보안 예산은 두배까지 올라가야한다고 생각합니다. 그 정도 올려도 다른 예산에 악영향은 없을 겁니다. 공공기관의 정보보호제품의 교체 주기도 문제입니다. 기업은 3~5년인데 비해 정부는 5~7년에 한번씩 투자를 합니다. 보안제품이 정부의 'CC인증'을 3년마다 재승인받는 점을 감안하면, CC 재인증을 못받은 상품을 공공기관이 사용하는 일도 발생할 수밖에 없습니다.

심종헌 정보보안산업협회( KISIA) 신임 회장 인터뷰

- 협회 차원에서 유지관리요율 현실화에 대한 대응이 필요할 것으로 보입니다.
▶ 그렇죠. 유지관리요율은 보안산업이 성장하는데 중요한 요소입니다. 보안 개발자들은 이 유지관리를 연구하는 일을 주로 하는데, 제 비용을 못 받으면 결국 인건비 하락, 기술개발비 축소 등이 발생해서 산업 전반이 어려워집니다. 그래서 협회는 지난해 유지관리 합리화 추진 협의회를 발족해서 필요성을 홍보하고 있습니다. 올해는 정보보안 제품의 특성과 유지관리 서비스 난이도에 따른 표준화된 유지관리 서비스 기준, 발주자의 부당한 유지관리 요구와 불법 발주행위 등을 모니터링해 관계기관에 시정 요청할 수 있는 '모니터링 센터' 운영도 병행하려고 합니다.

- 회장 취임 후 우선 과제로 '수출'을 꼽았습니다. 어떤 지원을 계획 중이십니까.
▶ 지난해 협회 조사 결과, 국내 정보보호 기업들은 700억원 가까이 수출했습니다. 이중 70%가 일본 시장 매출이었습니다. 수출대상국을 다각화해야하는 이유죠. 미국이나 이스라엘 업체들과 협력을 통해서 동남아시아나 유럽, 북미에도 진출을 할 수 있도록 지원할 계획입니다. 현재 이스라엘과 교류협력은 구체화된 단계에 접어들었습니다. 매년 한두차례 공동세미나도 열고 있고, 올해는 처음 이슬라엘 정보보호 시장개척단을 모집해 파견할 예정입니다. 유럽시장 진출 포석이죠.

- 수출 성공 가능성은 높습니까.
▶ 일본에서 성공하기까지도 5~10년이 걸렸습니다. 쉽지 않죠. 하지만 국내 보안 산업은 규모는 작아도 튼튼합니다. 전 보안 분야에 걸쳐 자국 솔루션이 있는 경우는 드뭅니다. 세계적으로 미국, 이스라엘 그리고 우리나라 뿐입니다. 지난달 미국 샌프란시스코에서 열린 보안전시회 'RSA2014'를 다녀와보니 '호환성이 좋은 상품'을 선호하더군요. 이제는 보안 솔루션 하나로는 해결이 되지 않기 때문에 기존 솔루션과 호환이 잘 되면서 전체 솔루션의 일부로 작동할 수 있는 상품을 원하는 겁니다. 협회도 이런 부분들을 연구해서 업계 수출을 지원하려고 합니다.

- 보안 산업 기반을 닦는데 인재 양성이 가장 중요하다고 말합니다. 취임 당시에도 협회의 교육 기능 강화를 언급하셨는데요.
▶한국인터넷진흥원(KISA)이 진행하는 교육프로그램 등을 이양 받거나 자체적인 프로그램 개발 등을 통해 교육 기능을 강화할 생각입니다. 협회 안에 강의실, 실험시설 등도 구비하고 정기적인 교육프로그램 만들어서 업계 인력 재교육 등은 협회가 도맡아하는거죠. 이미 올해는 권석철 큐브피아 대표가 정보보안 스펙초월 멘토스쿨를 맡고 있고, 순천향대학교 정보보호학과와도 산학협력프로그램을 진행 중입니다.

- 1998년에 문을 연 KISIA가 이제 설립 16주년을 맞았습다만, 아쉽게도 보안업계에서 협회의 역할이 미미하다는 목소리도 들립니다.
▶ 취임 전 협회가 임원사 중심으로 운영되는 분위기에 대한 지적을 들은 적 있습니다. 그래서 실무진 모임을 협회 중심으로 활성화하는 방안 등을 계획하고 있습니다. 영업본부장 모임이나 CC인증 담당모임 등 현재 회원사뿐 아니라 비회원사들도 같이하는 모임들이 있는데, 이들을 협회가 지원하면서 자연스럽게 업계 소통의 중심이 협회가 되도록 하는 거죠. 이를 통해 협회도 주도적으로 개선방안 등을 정부에 건의할 수 있도록 노력할 겁니다.

- 신임 회장으로서 포부가 있다면.
▶ 사실 사이버를 또다른 영토로 봤을 때 사이버 영역이 차지하는 중요성이나 범위는 갈수록 늘어날 것으로 보입니다. 국가 방위산업과 같은 국가의 존립을 결정짓는 산업으로 보안을 인식할 수 있게 알리겠습니다.