대한민국이 보안강국으로 나아가기 위한 전문가 제언 ④ 홍준호 성신여자대학교 융합보안공학과 교수
<디지털데일리>는 10월13일 시작하는 국회 국정감사를 앞두고, 사이버보안·안보 중요성을 환기하고자 합니다. 대기업·금융사·중소기업 가리지 않고 해킹사태가 연이어 발생하면서, 국민 불안은 더욱 커지고 있습니다. 안전한 대한민국을 위해서라도, 대한민국이 보안강국으로 나아가야 할 구체적 전략을 세워야 할 때입니다. 이에 본지는 각 분야 전문가를 통해 대한민국 보안의 현 주소와 정책적 과제 등을 짚어보고자 합니다. <편집자 주>
[디지털데일리 김보민기자] 한국은 사이버 공격의 요충지다. 올해에는 SK텔레콤을 시작으로 KT, 롯데카드, 예스24에서도 연이어 보안 사고가 발생했다. 수면 위로 드러나지 않은 공공기관과 기업의 사고도 많다. '세상의 모든 기업은 해킹을 당한 곳과 해킹을 당한 줄도 모르는 곳으로 나뉜다'는 말이 농담이 아니라는 것을 체감할 수 있는 시대다.
그러나 사이버 공격의 방패가 되어줄 전문 인력은 여전히 부족한 실정이다. 통신·의료 등 특정 산업을 겨냥한 공격이 거세지는 것과 달리, 산업 특화 전문 지식을 갖춘 인력도 체계적으로 양성되지 못하고 있다. 인력 양성을 고민할 때 '양보다 질'을 따질 시점이다.
<디지털데일리>를 만난 홍준호 성신여자대학교 융합보안공학과 교수는 한국의 사이버 방패를 강화하기 위해, 보안 인력 양성의 고질적인 문제를 해결해야 한다고 제언했다. 새로운 인재를 키울 교육자 풀 또한 체계적으로 관리할 필요가 있다고 강조했다.
 |
그러나 사이버 공격의 방패가 되어줄 전문 인력은 여전히 부족한 실정이다. 통신·의료 등 특정 산업을 겨냥한 공격이 거세지는 것과 달리, 산업 특화 전문 지식을 갖춘 인력도 체계적으로 양성되지 못하고 있다. 인력 양성을 고민할 때 '양보다 질'을 따질 시점이다.
<디지털데일리>를 만난 홍준호 성신여자대학교 융합보안공학과 교수는 한국의 사이버 방패를 강화하기 위해, 보안 인력 양성의 고질적인 문제를 해결해야 한다고 제언했다. 새로운 인재를 키울 교육자 풀 또한 체계적으로 관리할 필요가 있다고 강조했다.
Q. 보안 직군으로 취업을 희망하는 학생들이 가장 우려하는 점은 무엇인가.
▲ 학생들도 명확하게 안다. 일반 기업에 취업할 때 '신입' 보안 담당자로 취업하기 어렵다는 점을 말이다. 보안 사고가 난 기업도 채용을 할 때 신입이 아닌 경력을 채용한다. 그러다 보니, 이미 보안기업에 재직 중인 이들이 경력직으로 이동하는 연쇄 현상이 벌어진다. 그나마 보안 전문기업은 신입을 뽑지만, 일반 기업들은 그렇지 않다.
그러다 보니 경력으로 입사한 이들에게 정보보호최고책임자(CISO)와 개인정보보호책임자(CPO)를 따르라고 하는 것에도 한계가 있다. 보안 인력이 입사 후 현 CISO나 CPO처럼 성장하는 그림을 그리도록 해야 하는데, 현실적인 구조가 그렇지 못하다는 의미다. 지금은 그저 CISO와 CPO가 (보안 사고가 나면) 혼이 나는 존재로 여겨지는 경우가 많다.
Q. 취업 장벽이 높은 것과 달리, 처우가 좋지 않다는 우려도 있는데.
▲ 채용 시장에서 보안은 두 가지 측면에서 이뤄진다. 일반 기업의 보안 담당자와, 보안기업의 직원이다. 잘 알려진 대기업은 임금 처우 측면에서 걱정이 없겠지만, 평범한 중소기업과 보안 전문기업의 경우 현실적으로 격차가 있다.
처우만 문제가 아니다. 수요와 공급 체계로 봐도 현실적으로 어려움이 있다. 국가 사이버안전관리 규정을 보면 보안관제 전문업체를, 정보보호산업법에 의해 보안서비스 업체를 지정하도록 하고 있지만 초급 인력 기준은 '대졸'이다. 그외 학력을 가진 이들이 투입 자체가 불가능한 실정이다. 다른 산업군은 블라인드 채용을 이야기하지만, 결국 (보안과는) 맞지 않는 이야기다.
Q. 윤석열 정부에서 '사이버보안 10만 인재 양성'을 추진했고, 이제는 보안 인력을 키우기 위한 새 접근법이 필요한 때다. 기존 정책의 한계는.
▲ (인재를 몇 명 키우겠다는) '숫자'에 국한되지 말아야 한다. 한국의 학력 인구가 감소되는 측면에서 보면 보안 인력 또한 줄어들 텐데 양성 인원을 정하는 것보다 스킬업(Skill-Up)에 대한 고민이 필요하다. 보안 인력을 확대하려면 대학들이 보안 학과를 만들고 많은 학과들에서 보안 인력을 양성할 수 있는 흐름이 필요하다. 정보보호특성화 대학을 한두 곳 추가하는 데 그치는 것이 아닌 구조 체계를 갖출 필요가 있다.
특히 (보안 관련) 분야를 전혀 모르는 사람이 공부를 시작한다면, 이를 지탱할 기반이 단단해야 한다. 처우가 좋지 않아서 일반 기업으로 취업을 희망하는 이도 있겠지만 이러한 인력이 누적된다면 언제든 우리 산업에 유입될 가능성이 있기 때문이다. 현시점에서 우리 산업이 20살, 대학교 1학년 학생을 얼마나 보유하고 있는가를 되돌아봐야 한다.
Q. 최근 ISMS-P(정보보호 및 개인정보보호관리체계 인증) 제도 개선에 대한 이야기가 나오면서, 산업 특화 인력이 필요하다는 의견도 제기됐는데. 인재 양성을 넘어 살펴볼 만한 부분은.
▲ 현행 보안 인증체계의 가장 큰 문제점은 '체크리스트(Checklist)' 방식으로 운영된다는 점이다. 항목 기준을 충족해 심사를 통과했다는 이유만으로 '끝'이라고 생각하는 이들이 있는데, 이러한 보안 점검 체계는 무의미하다. 명확하게 체계를 만들어 나가지 않으면 또 사고가 날 수 있다.
지금은 인증 심사 자격을 갖춘 심사원이라면 모두 현장에 투입될 수 있는데, 이에 대한 제도적 개편도 필요하다. 이 심사원이 어느 분야의 전문가인지 파악하고 컴플라이언스 기반의 작업과 기술적 컨설팅을 할 수 있는 이들과 조합을 갖춰 투입될 수 있도록 해야 한다.
Q. 정부가 인공지능(AI)을 강조하면서 AI 보안의 중요성도 커지고 있다. AI 보안에 특화된 인재를 키우기 위한 첫 단추는 무엇인가.
▲ AI 보안 전문가 명단을 확보하는 것이 중요하다. 예를 들어 20명의 전문가 명단이 있다면 클라우드 보안 전문가는 누구, 침해사고 대응 전문가는 누구, 법·제도 전문가는 누구인지 명확히 구분해둘 필요가 있다. 그 이후 제대로 된 재직자 교육을 시행해야 한다. 마치 '땜질'하듯 전문가를 투입한다면 전문성이 결여될 수밖에 없다.
Q. 채용 장벽을 낮추고, 처우를 개선하기 위해서는 보안에 대한 적정 대가도 필요한 시점이다. 이에 대한 의견은.
▲ 공공기관과 기업이 사고가 터진 뒤 보안과 인프라에 투자하는 것이 아닌, 미리 예방체계를 갖출 수 있도록 해야 한다. 만약 사이버 위기 경보 단계가 올라간다면 그만큼 추가로 투입돼야 하는 인력이 늘어나는데 그 돈을 누가 부담하고 있는지 살펴보면 결국 '기업'이지 '국가'가 아니다.
이를 개선하기 위해서는 사이버 위기 경보 단계에 따라 실질적으로 추가 투입되는 인력에 대한 비용을 따로 편성해야 된다는 법률적 근거를 만들어 놓는 등 대책이 있어야 한다. 혹은 과징금을 국가 세수로 돌려 사이버 위기 상황에 활용하는 것도 방법이다.
◆ 홍준호 성신여자대학교 융합보안공학과 교수는?
홍준호 교수는 보안 산업에서 법정책 연구와 인재 양성에 힘쓰고 있는 인물이다. 특히 정보보호, 개인정보보호, 산업보안, 지식재산권 법정책 분야에서 연구를 수행하고 있다.
이외에도 한국법이론실무학회 부회장, 한국지급결제학회 부회장, 한국법학회 총무이사, 개인정보보호법학회 상임이사, 한국정보보호학회 이사, 한국산업보안연구학회 상임이사, 한국디지털포렌식학회 이사를 역임했다.
- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -
이 기사의 카테고리는 언론사의 분류를 따릅니다.