Haedong

서울대학교공과대학

해동일본기술정보센터
모바일메뉴 열기/닫기
  • 정기간행물
  • 단행본서적
  • 기술보고서/백서
  • 커뮤니티
  • 센터소개
  • 일본 관련 사이트
    •

    전기전자/정보통신

    책 커버 표지
    일경 컴퓨터_2017/03/16_시큐리티 인재확보의 해답
    • 저자 : 日経BP社
    • 발행일 : 20170316
    • 페이지수/크기 : 90page/28cm

    요약

    Nikkei Computer_2017.3.16. 특집요약 (p22~37)

    시큐리티 인재확보의 현실적 해답
    2020년을 대비한 인재부족 해소방안

    도쿄올림픽∙패럴림픽이 개최되는 2020년. 지금의 상태로는 시큐리티 인재가 약 20만 명 부족하게 된다. 정부는 인재 육성을 가속화하고 있지만, 지금도 사이버 공격은 점점 심각해 지고 있으며, 인재 육성은 기업에게 있어서도 긴급한 문제다. “최우수(Top Gun) 인재”의 쟁탈부터, 현장을 담당하는 시큐리티 전문가를 외부에서 구하면서 현장과 경영층을 연결하는「중개역할 인재」를 방어 축으로 삼는다. 기업은 인재가 부족한 상황에서, 위협을 극복하는 현실적인 해답을 찾기 시작하였다.


    Part 1. 필요한 것은「중개역할 인재」

    사이버 공격을 100% 방어하는 것은 불가능하다. 얼마나 빨리 사이버 공격을 간파하고 이에 대처하여 피해를 최소화할 것인가로 대책은 선회하고 있다. 그러나 일본의 경우 그 실행담당자인 시큐리티 인재가 30% 부족한 상황이다. 특히, 경영층과 시큐리티 현장을 연결하는「중개역할 인재」의 육성은 시급하다.

    국내외에 자회사 40개사∙전체 종업원 4만 5,972명(2016년 9월 30일 시점)을 넘는 SOMPO Holdings는 표적형 공격이나 랜섬웨어 공격 등이 증가하고 있는 가운데, 최근 2년 사이에 사고로 발전한 사태는 10건 정도의 소규모로 제어하고 있다. 그것이 가능했던 이유는「중개역할 인재」의 활약에 있다. 경영층과 실무자(현장의 시큐리티 기술자 등)를 연결하여, 회사 전체가 시큐리티를 기능시키는 역할을 한다.

    중개역할 인재의 한 명으로 IT기획부 시스템리스크관리그룹의 다카다(高田) 그룹리더는, 현장의 인재를 외부에서 조달∙지휘하면서 한편으로는「(사고 등의) 사실과 리스크를 경영층에 적시에 알기 쉽게 전달」하는 것에 주력한다고 한다. 이를 통해 경영층으로부터 투자를 이끌어 내어, 보안 대책 기술이나 인재 확보에 투자하여 회사를 지킨다. 이러한 “현실적인 해답”을 많은 기업이 채용하기 시작하였다.

    -- 조정 역할에서 진언 역할로 격상 --
    -- 인재 부족을 극복하는 현실적인 해답 --


    Part 2. 육성하는 것은 전달 능력

    유저 기업에게 있어 필수인「중개역할 인재」. 현장의 시큐리티 기술자를 지휘하면서 관계 부서와 빠짐없이 정보를 공유하고, 경영층에게 적극적으로 진언함으로써 회사 전체의 시큐리티를 견고하게 하는 역할이다. Mizuho FG나 SOMPO, Olympus, Yamaha Motor, TAISEI(大成)건설, Cybozu에서 활약하는 인재에 대해 알아보자.

    ●경영층의 판단을 이끌어낸다 -- Mizuho Financial Group
    「전방위로 경영층이나 관계부서에 대한 설명 책임을 다하며, 경영층을 자기편으로 만들어 예산을 받아낸다」. Mizuho FG의 데이터매니지먼트부 다카하시(高橋) 부장은 중개역할 업무를 이렇게 표현한다.

    데이터 활용이라는 공격의 IT와 시큐리티라는 방어의 IT의 양쪽을 기획 운영하는 데이터매니지먼트부에는, 다카하시 씨가 책임을 맡고 있는 CSIRT(Computer Security Incident Response Team)「Mizuho Cyber Incident Response Team(Mizuho-CIRT)」가 소속되어 있다. 국내외 약 150개의 자회사를 포함한 그룹 전체의 시큐리티 거버넌스를 정비하여, 사고에 대한 방어와 대응에 대처한다.

    Mizuho-CIRT에서 중개역할 인재는 다카하시 씨 외에 여러 명 있다. 이렇게 중개역할 인재로 여러 명을 두는 이유는 설명 책임을 담당해야 할 스테이크 홀더가 많기 때문이다.「임원만 해도 10명 이상이다」. 그 외에도 경영기획이나 법무, 홍보, 대기업 대상 영업, 금융법인 대상 영업, 소매 대상 영업, 해외영업 등이 있고, 그리고 감독관청이나 경찰, 개인이나 법인 고객에 대한 설명도 필요하다.

    ●희망적인 관측은 전달하지 않는다 -- SOMPO Holdings
    SOMPO HD의 다카다 씨는 CSIRT 인재 육성에 있어서,「중개할 때 알기 쉽게 전달하는 능력」을 중시한다.「개발 안건이나 장해 안건을 통해 거듭 훈련하고 있다. 시큐리티 분야의 전달 능력을 기르기 위해, 외부 세미나에 참석하기도 하고, 사이버 공격의 최신 동향이나 방어에 효과가 있는 기술 등의 정보를 수집하기도 한다」

    경영층이나 타부서에 대한 중개를 위해서는 보통, 과장에서 부장, 부장에서 CIO와 같은 라인을 통해 전달한다. 중대한 사고가 발생했을 때는, CIO에게 양해를 얻은 후에 부장이나 과장이 경영진에게 직접 메일을 보낼 수 있도록 하였다.「알기 쉽게 전달하기 위해, 사실과 리스크만을 전달하고 희망적인 관측은 섞지 않는다」

    ●전사(全社) 리스크 관리부에 중개 -- Olympus
    Olympus의 CSIRT「Olympus Cyber Incident Response Team(Olympus-CIRT)」는, IT부문의 시큐리티 담당자 4인을 중핵으로 이루어진 가상적인 팀이다. 사이트의 무단 변경이나 정보 누설, 부정 액세스, DDoS(분산형의 서비스 방해)공격, 랜섬웨어나 미지의 멀웨어 공격과 같은 사고에 대응하고 있다고 한다.

    회사 전체의 리스크 관리부서와 네트워크 담당이나 시스템 운용자회사가 중개 상대다.「오늘날에는 모든 곳에서 위험이 발생한다」(IT본부 IT전략추진부 3그룹의 나이토(内藤) 그룹리더 과장)는 생각에서, 2016년 4월에 해외 지역총괄거점에 PoC를 설치하였다. PoC를 통해 위협 정보를 집약∙공유하는 등 사고의 미연방치에 주력하고 있다. 실제로 해외에서 위장 메일의 발생을 감지하여, 각 거점에서 방어할 수 있었다고 한다.

    ●사고 대응은 전화 한 통 -- Yamaha Motor
    Yamaha Motor의 CSIRT「Yamaha Motor Corporation Computer Security Incident Response Team(YMC-CSIRT)」의 PoC를 맡고 있는 기획∙재무본부 프로세스∙IT부 디지털 전략그룹의 하라코(原子) 씨는, CSIRT가 주로 보호하는 대상을「200개가 넘는 나라나 지역에서 전개하는 고객용 웹사이트」라고 말한다.

    하라코 씨는 Yamaha Motor의 시큐리티를 20년 이상 담당하고 있으며, YMC-CSIRT도 설립하였다. 3인이 소속되어 있는 가상 팀은「매뉴얼이 없는 편이 기민하게 대응할 수 있었다」(하라코 씨)라고 하지만, 2017년은 향후 중개역할의 바통터치와 기능 강화를 위해 매뉴얼 작성을 추진한다. CSIRT의 업무를 파악하여, 그룹 전체의 가이드라인과 표준업무 매뉴얼을 준비한다. 베이스로 하는 것은 NIST의 프레임워크나 NCA의「CSIRT Starter Kit」등이다.

    CSIRT의 실무는「사고의 “초기 진화”. 본격적인 진화 활동은 외부에 맡긴다」라고 말한다. 하라코 씨는「사고 발생하였을 때에 벤더에게 전화를 걸기만 하면, 다음 일을 벤더에게 맡길 수 있도록, 어떻게 초기 진화 능력을 높일 것인가에 지혜와 기술을 써야 한다. 비전문가라도 시큐리티 교육을 받으면 CSIRT를 운영할 수 있도록 하는 것이 목표다」라고 말한다.

    ●공격시점에서도 육성 -- TAISEI(大成)건설
    「지금 있는 인재로 조직을 굴리고, 육성한다」. TAISEI건설 사장실 정보기획부의 쓰카(柄) 부장의 생각은 분명하다. TAISEI건설의 CSIRT「Taisei-SIRT(T-SIRT)」의 멤버에게 요구되는 것은,「중개역할 인재로서의 커뮤니케이션 능력과, 시큐리티 리스크를 판단할 수 있는 감성」. 차분히 시간을 들여 대응해야 할지, 바로 대응해야 할지를 판단하는 능력이라고 한다.

    TAISEI건설은 최신 기술을 외부에서 찾는다.「크레인을 움직이는 것은 전문가. 당사는 그것을 감독하는 역할이다」라고 동사(同社)의 CSIRT「Taisei-SIRT(T-SIRT)」에서 리더를 맡고 있는 기타무라(北村) 담당부장은 회사 사업에 빗대어 설명한다. 지금 있는 인재를 육성하기 위해, TAISEI건설이 중시하는 것이 “연습(演習)”이다.「훈련은 개인의 스킬 업, 연습은 계획대로 진행되는지를 리뷰하는 작업」이라고 기타무라 씨는 설명한다. 예를 들면, 2014년에는 중개역할로서의 리스크 판단 능력을 양성하기 위해,「귀사의 개인 정보가 누출되고 있을지도 모른다」라고 경찰로부터 연락이 들어오는 순간부터 매스컴에 발표할 때까지, 일련의 사고 대응을 외부와 함께 연습하였다.「정보가 단편적인 가운데, 어떻게 판단하여 무엇을 전달할 것인가를 훈련하였다」(쓰카 씨).

    ●5년 계획으로 Top Gun 육성 -- Cybozu
    인터넷 사업자의 경우, 사이버 공격으로 사업이 정지되면 바로 매출로 직결된다. 때문에 신속한 대응을 위해 자사에 시큐리티 기술자를 고용할 필요가 있으며, 선도자로서의 Top Gun이 필요하다. TAISEI건설과 대조적인 생각을 갖고 있는 것이 Cybozu다. 외부의 힘을 사용하면서도 서서히 인재를 고용하여, 사내 인재를 목표인 Top Gun으로 육성한다는 5개년 계획을 세웠다. 단, 현재의 상황은 심각한 인재부족이다. CSIRT「Cybozu 주식회사 CSIRT(Cy-SIRT)」에서 PoC를 맡고 있는 시큐리티실의 이토(伊藤) 씨는「멤버는 2명뿐이다. 사원 600명의 방어에 사고 대응, 미연 방지를 위한 조사, 그리고 자신의 기술 향상. 너무 바빠서 손이 미치지 않는다」라고 말한다.

    그도 그럴 것이 Cybozu는 2016년, 사장 직할 조직인 시큐리티실에서 CSIRT를 재출발시켰기 때문이다. 그때까지의 CSIRT는 2011년 8월에 클라우드 기반「cybozu.com」을 지키기 위해 개발부문에 설립한 것이었다. 역할을 명확히 하기 위해, 제품이나 서비스를 지키는「Cy-PSERT」로 명칭을 변경하였다. 이에 따라, 이토 씨와 상사가 함께 CSIRT를 재출발시킨 것이다.

    ●현장의 육성도 진행 -- NEC, Fujitsu
    NEC나 Fujitsu는 현장의 시큐리티 기술자의 공급 요구에 대응하기 위해, 모든 수단을 동원하여 발굴과 육성을 빠르게 추진하고 있다. 2017년 2월 24일, NEC 본사에서 20명 이상의 기술자가 표창을 받았다. 이들은 시큐리티 인재의 발굴과 육성을 위한 제2회 사내 콘테스트 입상자다. 제1회 때보다 2배 가까운 1,042명이 참가하여, 시스템의 취약성을 발견하는「CTF(Capture The Flag)」의 득점을 놓고 경쟁하였다. 100문제 중 99문제를 풀어서 우승한 사람은 시큐리티 사업부가 아닌 기술자였다고 한다. 사이버 시큐리티 전략본부의 마쓰오(松尾) 본부장은「CTF의 기술은 사고 대응을 위한 조사 기술 등에 도움이 된다」고 한다. NEC는 2018년 3월기까지 시큐리티 기술자를 2014년 대비 2배인 1,200명으로 증원하는 것이 목표지만,「이미 1,000명 가까운 인원이 있다. 목표 달성은 문제 없다」고 마쓰오 씨는 말한다.

    Fujitsu도 목표를 웃도는 기세로 시큐리티 전문가를 양성하고 있다. 2014년에 시큐리티 인재를 정의한「시큐리티 마이스터 인정제도」를 개시하였다. 예상 이상으로 인정자가 증가하여, 목표를 2017년까지 2,000명으로 상향 조정하였다. 기술을 조기에 습득하기 위해, 인정 시험에서는 공격과 방어로 나누어 사이버 공방을 유사 체험하는 장치「CyberRange」를 사용한다.


    Part 3. 2020년을 대비한 증원 경쟁

    2020년을 대비하여 시큐리티 인재 부족을 해소하기 위해, 정부가 인재육성을 향해 움직이기 시작하였다. NISC가 리더역할, 경제산업성과 총무성, 문부과학성이 실행부대가 되어, 경영자부터 학생까지 시큐리티 인재 육성 시책을 가속화시킨다. 1년 동안 회사에서 벗어나 연수를 받게 하거나 사회인에게 재교육의 기회를 주는 기획도 많다. 정부는 NISC를 중심으로, 경제산업성과 총무성, 문부과학성이 Top Gun후보나 사회인, 학생을 위한 육성책을 잇달아 실행한다. 기업에게 있어서 인재 획득을 위한 측면 지원이 될 것 같다.

    사회인을 위한 교육 중에서 중개역할 인재를 상정하고 있는 것은 경제산업성이 실시하고 있는「산업사이버시큐리티센터」사업이다. 이 센터를 2017년 4월에 정보처리추진기구(IPA) 내에 조직화하여,「중핵인재육성프로그램(가칭)」을 7월부터 개시한다는 계획이다.「자사 시스템의 안전성∙신뢰성을 객관적으로 평가하여, 자사의 사이버 시큐리티 전략의 입안이나 경영 리스크∙재무 리스크 등을 포함한 자사 내의 간부에게 설명해 줄 수 있는 인재」(모집요강 기재), 즉 중개역할 인재를 1년에 걸쳐 육성한다.

    -- 제어시스템에도 중개역할 인재 --
    -- 지방 지자체의 현장 인재 3,000명 육성 --
    -- 대학원부터 전문학교까지, 인재 육성의 현장으로 --
    -- 경력(Career Pass)의 정비가 과제 --

      -- 끝 --

    목차