2020.02.13

강은성의 보안 아키텍트 | 정보보안 인력과 개발 중시 문화

강은성 | CIO KR
작년 말에 정보보호 인력 양성 관련 간담회에 참석한 적이 있다. 담당 부처, 공공, 대학, 보안기업, 공공 및 일반기업 등 정보보호산업의 주요 이해관계자에서 주요 역할을 하시는 분들이 참석해서 오랜 시간 토론했다. 뾰족한 답은 찾지 못했지만, 정보보호 인력과 관련한 각 주체의 관점을 이해할 수 있는 좋은 자리였다. 사실 단기적인 답이 있으면 정보보호 인력 양성에 관한 화두가 10년이 넘도록 계속되지도 않았을 것이다. 

ICT가 사회의 기반이 되고, 대다수 국민의 일상생활과 함께하는 우리나라에서는 정보보안 문제가 우리 사회의 근간을 흔들 수 있으므로, 정부는 정보보호산업법, 소프트웨어산업법 등을 근거로 정보보호시스템 분리 발주나 정보보호제품과 서비스의 적절한 대가 산정 등 정보보호산업의 성장을 위해 노력해 왔다. 

정보보호 인력 확보를 위해 필요한 “정보보안산업(기업)의 성장 → 정보보안기업의 좋은 처우 → 좋은 인력의 확보·유지 → 정보보안산업(기업)의 성장”의 선순환 구조가 아직 정착하지는 못했지만, 그렇다고 해서 “영세한 정보보안산업 → 정보보안기업의 열악한 처우 → 좋은 인력 확보·유지의 어려움 → 정보보안산업 성장 저해”의 악순환 고리가 여전하다고 하는 것도 적절해 보이지 않는다. 사업이 제 궤도에 올랐다고 볼 수 있는 매출 100억 원 이상의 정보보안기업이나 멀리만 보였던 매출 1천억 원을 넘은 정보보안기업도 여럿 있기 때문이다.

<표> 부문별-수준별 정보보호 업무인력 규모 (단위: 명)
  • 보안업체: 정보보안기업과 물리보안기업을 포함
  • 정보보호산업: 정보보안산업과 물리보안산업을 포함
출처: 과학기술정보통신부, 한국인터넷진흥원, 「2016년 정보보호 인력수급 실태조사」, 2017.8.

「2016년 정보보호 인력수급 실태조사」(과학기술정보통신부, 한국인터넷진흥원, 2017.8)에 따르면, 2016년 10월 현재 총 정보보호 업무인력 123,743명 중 정보보안기업(보안솔루션 공급자)에 39,928(32%)명, 공공부문과 비보안기업(보안솔루션 수요자)에 83,815(68%)명이 종사하고 있어서 후자가 전자보다 2배 이상 많다. 정보보호산업법에서 양성하라고 규정한 “정보보호산업의 진흥에 필요한 전문인력”은 좁게 보면 보안기업에서 필요로 하는 보안인력으로 볼 수 있고, 넓게 보면 공급자와 수요자 양쪽에서 필요한 보안인력이라고 할 수 있다. 어떻게 정의하든 보안인력 양성에 관해 논의할 때 공급자와 수요자를 구분하여야 한다. 보안인력의 직무 분류, 인력의 수요와 공급, 인력 양성을 위한 교육 프로그램 등이 긴밀하게 연계되어 있는데, 이 두 부문 사이에 공통점도 있지만 차이점도 적지 않기 때문이다. 

(이에 관한 상세한 내용이 궁금하신 분은 다음 칼럼을 참고하시기 바란다.
-> [CxO를 위한 정보보안] 이제 수비 전문가가 필요하다.
-> 강은성의 보안 아키텍트 | 문재인 정부의 사이버보안 정책에 거는 기대)

간담회에서 특히 ‘보안개발 인력의 유출’에 관한 논의가 필자의 관심을 끌었다. 최근 인공지능(AI)과 같은 신기술 이슈가 떠오르면서 보안기업에서 AI 기술을 적용하는 보안제품을 개발하는데, 여기에서 경험을 쌓은 개발인력이 대기업으로 이직하는 문제가 있다고 한다. 중소기업이 대다수인 보안기업에서 좋은 인력을 구하기도 힘든데, 제품을 개발하면서 성장한 인력이 대기업으로 가버리면 제품의 경쟁력 확보나 인력 관리에 심각한 영향을 미칠 것이다. 

「2019 국내 정보보호산업 실태조사」(과학기술정보통신부, 한국정보보호산업협회, 2019.12) 따르면 2019년 정보보안산업(물리보안산업 제외)의 매출액은 정보보안제품 약 2조 2,400억 원(68%), 정보보안서비스 약 1조 370억 원(32%)으로 추정된다. 정보보안서비스의 매출 규모는 정보보안제품의 절반에도 못 미치는 데다 현실적으로 인력 기반 사업인 보안컨설팅과 보안관제가 큰 비중을 차지하여서 해당 기업의 성장성과 수익성에 제약이 있다.

따라서 정보보안산업이 성장하기 위해서는 정보보안제품의 매출 규모가 커져야 한다. 기술적으로 보면, 대다수 정보보안제품은 소프트웨어 제품(또는 서비스)이거나 소프트웨어 기술이 핵심인 어플라이언스이다. (정보보안서비스 역시 SaaS와 같이 소프트웨어 기반의 서비스가 성장해야 한다.) 정보보안산업의 성장 측면에서 보안개발자가 매우 중요함에도 정보보안 인력에 관한 관심과 양성 정책에서 좀 벗어나 있었던 게 사실이다.

고급 보안개발자는 보안전문성을 가진 소프트웨어 개발자이다. 스마트폰 SW개발자나 자동차 SW개발자와 비슷하다. 보안설계에 필요한 위협모델링이나 위험평가, 완화방안 등을 충분히 이해하고 있거나, 운영체제 커널, 네트워크, 딥러닝 등 관련 분야에 깊이를 갖췄다. SW개발을 잘하는 것은 물론이다. 이런 능력 있는 보안개발자가 좋은 조건으로 이직한다는데, 어떻게 막을 수 있느냐는 한탄이 나올 법하다. 
 
그렇지만 이제 매출액이 수백억 원에 이르는 보안기업이라면 개발자 확보·유지의 어려움이 오로지 처우 때문인지 들여다봐야 할 때가 되지 않았나 싶다. 처우는 언제나 중요하지만, 그것 이외에도 개발자의 고민과 관심은 여러 지점에 걸쳐 있기 때문이다. 필자는 좋은 보안개발자를 확보·유지하기 위해서는 무엇보다도 ‘개발을 중시하는 기업’이 되어야 한다고 생각한다. 일정 수준의 처우와 개발 중시의 체계를 갖춘 회사가 좋은 보안개발자를 확보·유지하는 데 유리하다. 실제로 정보보안산업에서도 개발자들이 선호하는 회사가 있다. 

개발자가 바라는 근무 여건을 거칠게나마 살펴보면 다음과 같다.
  • 개발자가 제품개발에 집중할 수 있는가? (영업 지원, 고객사 지원을 자주 다니나?)
  • 개발자가 30대 후반, 40대가 되더라도 본인이 원한다면 계속 개발업무를 할 수 있는가?
  • 개발자가 회사에서 기술적으로 성장한다고 느끼는가, 아니면 소모된다고 느끼는가?
  • 개발체계(개발 프로세스, 기반 시스템, 관련자들 사이의 협업)가 잘 갖춰져 있어서 제품개발이 체계적으로 진행되는가? 
  • 개발일정에 영향을 미치는 요인이 발생할 때 적절한 절차와 협의를 통해 변경되는가, 아니면 CEO나 영업담당자의 요구에 따라 쉽게 변경되는가?

이러한 근무여건을 갖출 수 있다면, 좋은 보안개발자를 확보·유지하기 위해 “자금 투자 → 좋은 처우 → 좋은 개발 인력 확보 → 좋은 제품 개발 → 매출 증대 → 좋은 처우 → 좋은 개발 인력 확보”의 선순환 구조를 고려할 수 있다. 한 사람의 훌륭한 개발자는 다른 개발자를 끌어들이는 데도 도움이 된다. 그래도 나갈 사람은 가겠지만, 좋은 개발자를 확보하고 유지하는 데 큰 도움이 된다.

담당 부처의 정책 변화도 필요해 보인다. 보안개발자는 정보보호산업법의 전문인력에 포함되므로, 고급 보안개발자를 확보‧유지하는 역시 정보보호 인력 양성의 주요 주제 중 하나이다. 기존 정보보안 인력이나 SW개발자와 공통점도 있지만 차이점도 있으므로 관련 인력양성을 위한 교육과 훈련 프로그램에 반영하는 것이 바람직하다. 끝으로 보안개발의 SW개발 특성을 이해하는 데 도움이 될 것으로 생각하여 필자의 예전 칼럼을 소개한다. 

-> 좋은 소프트웨어를 개발하기 위하여(2)

*강은성 대표는 국내 최대 보안기업의 연구소장과 인터넷 포털회사의 최고보안책임자(CSO)를 역임한 국내 최고의 보안전문가다. CISO Lab을 설립하여 개인정보보호 및 정보보호 컨설팅과 교육 사업을 하고 있다. 저서로 IT시큐리티(한울, 2009)와 CxO가 알아야 할 정보보안(한빛미디어, 2015)가 있다. ciokr@idg.co.kr
 



2020.02.13

강은성의 보안 아키텍트 | 정보보안 인력과 개발 중시 문화

강은성 | CIO KR
작년 말에 정보보호 인력 양성 관련 간담회에 참석한 적이 있다. 담당 부처, 공공, 대학, 보안기업, 공공 및 일반기업 등 정보보호산업의 주요 이해관계자에서 주요 역할을 하시는 분들이 참석해서 오랜 시간 토론했다. 뾰족한 답은 찾지 못했지만, 정보보호 인력과 관련한 각 주체의 관점을 이해할 수 있는 좋은 자리였다. 사실 단기적인 답이 있으면 정보보호 인력 양성에 관한 화두가 10년이 넘도록 계속되지도 않았을 것이다. 

ICT가 사회의 기반이 되고, 대다수 국민의 일상생활과 함께하는 우리나라에서는 정보보안 문제가 우리 사회의 근간을 흔들 수 있으므로, 정부는 정보보호산업법, 소프트웨어산업법 등을 근거로 정보보호시스템 분리 발주나 정보보호제품과 서비스의 적절한 대가 산정 등 정보보호산업의 성장을 위해 노력해 왔다. 

정보보호 인력 확보를 위해 필요한 “정보보안산업(기업)의 성장 → 정보보안기업의 좋은 처우 → 좋은 인력의 확보·유지 → 정보보안산업(기업)의 성장”의 선순환 구조가 아직 정착하지는 못했지만, 그렇다고 해서 “영세한 정보보안산업 → 정보보안기업의 열악한 처우 → 좋은 인력 확보·유지의 어려움 → 정보보안산업 성장 저해”의 악순환 고리가 여전하다고 하는 것도 적절해 보이지 않는다. 사업이 제 궤도에 올랐다고 볼 수 있는 매출 100억 원 이상의 정보보안기업이나 멀리만 보였던 매출 1천억 원을 넘은 정보보안기업도 여럿 있기 때문이다.

<표> 부문별-수준별 정보보호 업무인력 규모 (단위: 명)
  • 보안업체: 정보보안기업과 물리보안기업을 포함
  • 정보보호산업: 정보보안산업과 물리보안산업을 포함
출처: 과학기술정보통신부, 한국인터넷진흥원, 「2016년 정보보호 인력수급 실태조사」, 2017.8.

「2016년 정보보호 인력수급 실태조사」(과학기술정보통신부, 한국인터넷진흥원, 2017.8)에 따르면, 2016년 10월 현재 총 정보보호 업무인력 123,743명 중 정보보안기업(보안솔루션 공급자)에 39,928(32%)명, 공공부문과 비보안기업(보안솔루션 수요자)에 83,815(68%)명이 종사하고 있어서 후자가 전자보다 2배 이상 많다. 정보보호산업법에서 양성하라고 규정한 “정보보호산업의 진흥에 필요한 전문인력”은 좁게 보면 보안기업에서 필요로 하는 보안인력으로 볼 수 있고, 넓게 보면 공급자와 수요자 양쪽에서 필요한 보안인력이라고 할 수 있다. 어떻게 정의하든 보안인력 양성에 관해 논의할 때 공급자와 수요자를 구분하여야 한다. 보안인력의 직무 분류, 인력의 수요와 공급, 인력 양성을 위한 교육 프로그램 등이 긴밀하게 연계되어 있는데, 이 두 부문 사이에 공통점도 있지만 차이점도 적지 않기 때문이다. 

(이에 관한 상세한 내용이 궁금하신 분은 다음 칼럼을 참고하시기 바란다.
-> [CxO를 위한 정보보안] 이제 수비 전문가가 필요하다.
-> 강은성의 보안 아키텍트 | 문재인 정부의 사이버보안 정책에 거는 기대)

간담회에서 특히 ‘보안개발 인력의 유출’에 관한 논의가 필자의 관심을 끌었다. 최근 인공지능(AI)과 같은 신기술 이슈가 떠오르면서 보안기업에서 AI 기술을 적용하는 보안제품을 개발하는데, 여기에서 경험을 쌓은 개발인력이 대기업으로 이직하는 문제가 있다고 한다. 중소기업이 대다수인 보안기업에서 좋은 인력을 구하기도 힘든데, 제품을 개발하면서 성장한 인력이 대기업으로 가버리면 제품의 경쟁력 확보나 인력 관리에 심각한 영향을 미칠 것이다. 

「2019 국내 정보보호산업 실태조사」(과학기술정보통신부, 한국정보보호산업협회, 2019.12) 따르면 2019년 정보보안산업(물리보안산업 제외)의 매출액은 정보보안제품 약 2조 2,400억 원(68%), 정보보안서비스 약 1조 370억 원(32%)으로 추정된다. 정보보안서비스의 매출 규모는 정보보안제품의 절반에도 못 미치는 데다 현실적으로 인력 기반 사업인 보안컨설팅과 보안관제가 큰 비중을 차지하여서 해당 기업의 성장성과 수익성에 제약이 있다.

따라서 정보보안산업이 성장하기 위해서는 정보보안제품의 매출 규모가 커져야 한다. 기술적으로 보면, 대다수 정보보안제품은 소프트웨어 제품(또는 서비스)이거나 소프트웨어 기술이 핵심인 어플라이언스이다. (정보보안서비스 역시 SaaS와 같이 소프트웨어 기반의 서비스가 성장해야 한다.) 정보보안산업의 성장 측면에서 보안개발자가 매우 중요함에도 정보보안 인력에 관한 관심과 양성 정책에서 좀 벗어나 있었던 게 사실이다.

고급 보안개발자는 보안전문성을 가진 소프트웨어 개발자이다. 스마트폰 SW개발자나 자동차 SW개발자와 비슷하다. 보안설계에 필요한 위협모델링이나 위험평가, 완화방안 등을 충분히 이해하고 있거나, 운영체제 커널, 네트워크, 딥러닝 등 관련 분야에 깊이를 갖췄다. SW개발을 잘하는 것은 물론이다. 이런 능력 있는 보안개발자가 좋은 조건으로 이직한다는데, 어떻게 막을 수 있느냐는 한탄이 나올 법하다. 
 
그렇지만 이제 매출액이 수백억 원에 이르는 보안기업이라면 개발자 확보·유지의 어려움이 오로지 처우 때문인지 들여다봐야 할 때가 되지 않았나 싶다. 처우는 언제나 중요하지만, 그것 이외에도 개발자의 고민과 관심은 여러 지점에 걸쳐 있기 때문이다. 필자는 좋은 보안개발자를 확보·유지하기 위해서는 무엇보다도 ‘개발을 중시하는 기업’이 되어야 한다고 생각한다. 일정 수준의 처우와 개발 중시의 체계를 갖춘 회사가 좋은 보안개발자를 확보·유지하는 데 유리하다. 실제로 정보보안산업에서도 개발자들이 선호하는 회사가 있다. 

개발자가 바라는 근무 여건을 거칠게나마 살펴보면 다음과 같다.
  • 개발자가 제품개발에 집중할 수 있는가? (영업 지원, 고객사 지원을 자주 다니나?)
  • 개발자가 30대 후반, 40대가 되더라도 본인이 원한다면 계속 개발업무를 할 수 있는가?
  • 개발자가 회사에서 기술적으로 성장한다고 느끼는가, 아니면 소모된다고 느끼는가?
  • 개발체계(개발 프로세스, 기반 시스템, 관련자들 사이의 협업)가 잘 갖춰져 있어서 제품개발이 체계적으로 진행되는가? 
  • 개발일정에 영향을 미치는 요인이 발생할 때 적절한 절차와 협의를 통해 변경되는가, 아니면 CEO나 영업담당자의 요구에 따라 쉽게 변경되는가?

이러한 근무여건을 갖출 수 있다면, 좋은 보안개발자를 확보·유지하기 위해 “자금 투자 → 좋은 처우 → 좋은 개발 인력 확보 → 좋은 제품 개발 → 매출 증대 → 좋은 처우 → 좋은 개발 인력 확보”의 선순환 구조를 고려할 수 있다. 한 사람의 훌륭한 개발자는 다른 개발자를 끌어들이는 데도 도움이 된다. 그래도 나갈 사람은 가겠지만, 좋은 개발자를 확보하고 유지하는 데 큰 도움이 된다.

담당 부처의 정책 변화도 필요해 보인다. 보안개발자는 정보보호산업법의 전문인력에 포함되므로, 고급 보안개발자를 확보‧유지하는 역시 정보보호 인력 양성의 주요 주제 중 하나이다. 기존 정보보안 인력이나 SW개발자와 공통점도 있지만 차이점도 있으므로 관련 인력양성을 위한 교육과 훈련 프로그램에 반영하는 것이 바람직하다. 끝으로 보안개발의 SW개발 특성을 이해하는 데 도움이 될 것으로 생각하여 필자의 예전 칼럼을 소개한다. 

-> 좋은 소프트웨어를 개발하기 위하여(2)

*강은성 대표는 국내 최대 보안기업의 연구소장과 인터넷 포털회사의 최고보안책임자(CSO)를 역임한 국내 최고의 보안전문가다. CISO Lab을 설립하여 개인정보보호 및 정보보호 컨설팅과 교육 사업을 하고 있다. 저서로 IT시큐리티(한울, 2009)와 CxO가 알아야 할 정보보안(한빛미디어, 2015)가 있다. ciokr@idg.co.kr
 

X