해커 막는 유비쿼터스 시대의 파수꾼

직업인에게 듣는 나의 전공 / 무선보안 전문가 이상준씨

인터넷의 시대를 넘어 바야흐로 유비쿼터스의 시대다. 언제 어디서나 커뮤니케이션을 하고 동영상 정보를 바로 볼 수 있다. 기업 업무 네트워크는 물론이고 디지털위성방송(DMB), 피디에이(PDA) 등 개인 단말기도 이제 무선이 대세다.

문제는 보안. 무선 서비스는 편리성이 비약적으로 높아지고 있지만 보안 취약성도 그만큼 높다. 얼마전 휴대폰을 이용해 남의 통장 비밀번호를 알아내 돈을 인출해간 사건, 한 정부기관에서 청와대에 보고할 중요 자료가 외부로 유출된 사건 등은 빙산의 일각이라는 게 전문가들의 견해다.

국내 무선 보안 분야에서 몇손가락 안에 드는 이상준(41) 유넷 정보보호연구소장은 무선 보안에 대한 우리 사회의 대비 정도는 50점에도 미치지 못한다고 지적했다. “노트북, 피디에이 등 무선랜카드가 달린 단말기와 인터넷 서비스업체의 무선랜 사이의 무선 구간에 대해서 아무런 보안장치를 해놓지 않은 경우가 너무 많기 때문”이다. 이 구간이 해킹을 당하면 회사로서는 전체 내부 네트워크가 뚫리고 가정에선 쓰고 있는 모든 컴퓨터나 인터넷 단말기가 무장해제된다. 최근 인터넷 온라인 게인 리니지에서 명의도용 사건이 발생했는데, 만약 무선으로 그 서비스를 제공했더라면 엄청난 규모의 정보 유출이 일어났을 수도 있다는 그의 경고는 그래서 더욱 섬찟하게 다가온다.

그가 보기에 무선 보안전문가의 양성이 무엇보다 시급한 실정이다. 아직까지 무선 보안의 필요성에 대한 일반의 인식은 낮은 상태지만 1~2년 안에 인력 부족이 심각할 것이라는 예상에 근거한 것이다.

“백화점에서는 무선 포스를 사용해 신용카드 결제를 합니다. 또 물류업체에선 피디에이에 무선랜을 꽂아 창고의 재고를 확인하고 있고요. 게다가 기업들이 앞다퉈 무선랜으로 내부 네트워크를 바꾸는 추세입니다. 건물을 지으면서 네트워크를 무선으로 구성하는 것도 이제는 기본이 됐습니다. 무선 보안전문가가 해야 할 일이 엄청나게 많은 셈이죠.”

삼성전자-삼성에스디에스-시큐아이를 거쳐 현재의 회사에서 일하고 있는 이 소장은 무선 보안의 여러 가지 방법 가운데 인증을 통한 방식을 자체적으로 개발했다. 무선 구간을 연결하는 에이피 뒷단에 인증 서버를 두고 피시나 개인 단말기에도 소프트웨어를 설치하는 방식이다. 아직 외국 기업들이 이런 기술 개발에 미진한 상황이어서 그가 개발한 제품(애니클릭)은 지난해 국내 보안 시장의 20%를 차지하는 성과를 거뒀다.

그러나 무선 보안전문가가 단순히 기술직이나 연구직만을 의미하지는 않는다고 그는 설명했다. 정보 보안 소프트웨어를 개발하고 보급하는 사람들 말고도 정보보호 정책을 수립하는 일을 하는 사람이나 해킹을 탐지하고 대응하는 일을 하는 사람도 보안전문가에 포함된다는 것이다. 분야가 넓다는 얘기다.

“1세대 아이티(IT) 강국은 분명 한국이었습니다. 그러나 2세대, 3세대 아이티 강국은 무선 분야를 지배하는 나라가 될 겁니다. 그런 점에서 무선 보안전문가가 되기 위해 준비한다는 것은 미래를 미리 내다본다는 의미가 되겠죠.”

글·사진 박창섭 기자 cool@hani.co.kr

정보보호 관련 자격증 따면 취업 유리
무선보안 전문가 되려면

● 관련 학과 이상준 소장은 대학에서 전산학을 전공했다. 졸업 뒤 삼성전자를 거쳐 1997년 삼성에스디에스로옮겼고 이 곳에서 방화벽 개발 등 작업을 하면서 보안과 인연을 맺었다. 이후 보안전문업체로 와서는 PKI, DRM, ESM 등 보안 관련 연구개발쪽 일을 웬만큼 다 해봤다.

현재 보안전문가들을 보면 이 소장처럼 전산학이나 컴퓨터 공학을 전공한 사람들이 가장 많다. 하지만 수학이나 물리학 등 자연과학 전공자도 꽤 있다. 학부 과정에 보안을 전문으로 가르치는 곳은 없지만 대학원에는 그런 과정이 많이 생기고 있다. 고려대, 동국대, 성균관대, 서강대 등의 대학원에 정보보호 전공 과정이 있다.

● 자격증 국내외 정보보호 관련 자격증의 종류는 그리 많지 않다. 미국에는 민간단체인 ISC2에서 실시하는 국제공인정보시스템전문가(CISSP)와 ISACA에서 실시하는 국제공인정보시스템감사사(CISA)가 있다. 영국에는 BS7799를 인증하는 C:CURE감사가 있다.

우리나라에서는 한국정보통신자격협회에서 인터넷보안전문가1,2급 자격시험을 지난해 처음 시작했다. 정보통신교육원은 민간자격시험을 준비하고 있고, 동국대에서는 CISSP 시험을 도입해 작년말 국내에서 첫 시험을 치렀다. 정보통신부는 정보보호 전문 자격증 제도를 국가 공인 자격제도로 도입하는 문제를 적극 검토하고 있다.

자격증 시험은 대체로 3년 정도의 관련 분야 경력이 있어야 응시할 수 있고 문제도 어려운 편이지만, 일단 취득하면 전문업체나 대기업 보안담당 부서에 취업하는데 상당히 유리하다. 박창섭 기자