Offcanvas

리더십|조직관리 / 보안 / 이직|채용 / 훈련|교육

강은성의 보안 아키텍트ㅣ10만 사이버보안 인재 양성? 이젠 ‘질’을 따져야 할 때!

2022.05.13 강은성  |  CIO KR
‘10만 양병설’이 처음 나온 건 율곡 이이가 병조판서였던 1583년으로 알려져 있다. ‘설’의 진위부터, 시기, 실현 가능성 등 여러 논란이 있으나 당시 북방 여진족의 움직임이나 약 10년 뒤인 1592년 임진왜란이 터진 상황을 미뤄 짐작해 보면, 국방 책임자였던 이이가 국제 정세를 분석하고 제안했을 법하다. 더욱이 1584년에 이이가 사망했으니, 그의 마지막 유작과 같은 제안으로 안타까운 마음마저 든다. 

보안 분야에서 ‘10만 양병’ 주장이 언제 처음 나왔는지는 찾아보다가 1999년 10월 국정감사에서 정호선 의원이 보안 인력 ‘10만 양병설’의 원조 격이 되는 말을 했다는 기사를 발견했다.
 

(정호선 의원은) 21세기 사이버 전쟁에 대비하기 위해 ‘신 10만 사이버 양병 정책'을 수립하고, 국무총리 산하에 `사이버 테러 대책위'를 설치할 것 등을 촉구했다.” (“과기정위, 컴퓨터 해킹대책 추궁”, 연합뉴스 1999.10.11.


개별적인 기사나 주장으로 나왔던 이 주제가 공영방송의 토론 자리로 나온 것은 2008년의 일이다. 교육방송의 프로그램인 ‘미래포험 2050’에서 ‘10만 해커 양병해야 하나’라는 주제로 당시 쟁쟁했던 보안 분야 인사들의 토론을 진행한 것이다.

먼저 ‘10만 (화이트) 해커’와 ‘10만 보안 인력’은 매우 다른 내용임을 짚어야겠다. 보안에서 말하는 ‘해커’는 기본적으로 공격자로서 ‘병사’를 양성하겠다는 ‘10만 양병론’에 닿아있다. 사이버 전쟁이란 표현 역시 사이버 공간을 전쟁터로 인식하고, 거기서 벌어지는 보안 활동을 ‘전투’로 이해한다는 면에서 그리 다르지 않다. 

보안 현업에서 ‘화이트 해커’는 주로 모의해킹 분야에서 일한다. 하지만 모의해킹 외에도 보안 정책 및 관리, 보안시스템 운영, 보안사고 대응, 보안솔루션 개발 등 보안의 여러 분야에서 많은 보안 인력이 일한다(강은성, “이제 수비 전문가가 필요하다”, 2017.1.16). 
 
[표 1] 직무별 정보보호 인력 현원 ⓒ한국인터넷진흥원, 「2019년 정보보호 인력현황 조사」, 2019.12.

[표 1]에 따르면, 2019년 기준 정보보안과 물리보안, 보안기업과 일반기업, 공공부문을 모두 포함하여 보안 인력의 수는 135,194명이다. 그중 모의해킹 분야는 ‘보안 서비스’ 직무에 포함되고, 9,110명(6.7%)이 채 되지 않는다. 따라서 ‘10만 (화이트) 해커’ 양성은 10만 ‘보안 인력’ 양성과 전혀 다른 의미이고, 설사 그렇게 많은 수가 양성된다 하더라도 현실적으로 일할 곳이 없음을 알 수 있다.

‘10만 보안 인력 양성’에 대해서도 살펴보자. 

보안 인력의 주된 양성기관 중 하나는 고등교육기관이다. 앞에서 인용한 한국인터넷진흥원의 보고서에 따르면, 2018년 기준으로 대학 정보보호 관련 학과는 66개, 배출 인원은 960명이고, 대학원 정보보호 관련 학과는 63개, 배출 인원은 515명, 전문대학 정보보호 관련 학과는 28개, 배출 인원은 371명이다. 이를 합산하면 2018년 기준으로 고등교육기관에서 배출한 보안 인력은 모두 1,846명이다. 이는 [표 2] ‘신규 공급’ 보안 인력의 절반 정도를 차지할 것으로 추정된다.
 
[표 2] 정보보호 인력 수급 전망(2020년∼2025년) ⓒ한국인터넷진흥원, 「2019년 정보보호 인력현황 조사」, 2019.12.

그 밖에도 IT 관련 학과 배출 인원, 다른 직무에서의 이동 등 다양한 경로로 보안 인력의 신규 공급이 이뤄진다. [표 2]에 따르면 2025년 총 보안 인력 수는 약 16만 5,000명이 되고, 2020년~2025년 기간에 매년 신규 공급은 신규 수요에 미치지 못하여, 그 기간 보안 인력의 부족 인원은 매년 증가하여 6년 동안의 누적 부족 보안 인력은 10,690명에 이를 것으로 추정된다. 하지만 일면 많아 보이는 이 부족 인력의 수는 ‘10만 보안 인력 양성론’의 목표 인원의 1/10에 불과하다. 10만이란 숫자가 걸출한 역사적 인물 덕에 우리에게 익숙하지만, 보안 환경에서 그리 현실적인 숫자는 아닌 셈이다.

새롭게 보안 인력 수요가 많이 늘어날 분야도 있다.
 
[그림 1] 임베디드 소프트웨어 ⓒ허정 외, 「임베디드/인텔리전트 소프트웨어 통계 조사」, 소프트웨어정책연구소, 2020.1.

임베디드 시스템의 보안 문제는 어제오늘의 일이 아니지만, 4차 산업혁명과 디지털 전환(Digital Transformation)이 미래를 여는 주요 키워드로 등장하면서 여러 산업에서 당장의 현실이 되었다. [그림 1]에서 보듯 항공, 조선, 자동차, 에너지 등 매우 광범위한 산업에서 임베디드 시스템이 인터넷과 연결되면서 랜섬웨어 공격으로 인한 가동 중단 등 심각한 보안 문제에 노출되고 있다. 

현재 각종 산업별 임베디드 시스템과 OT(Operation Technology)/ICS(Industrial Control System) 보안을 다룰 보안 전문 인력은 턱없이 부족하여 앞으로 수요가 많이 증가할 것으로 보인다. 더욱이 제조업 중심의 국내 주요 산업은 공정이 복잡하고 도메인 지식과 경험이 중요해 기존 IT 보안 인력 양성과는 달리 산업별 특성을 살려 인력 양성 체계와 방식을 수립해 나갈 필요가 있다. 향후 딥러닝이나 기계학습 등 인공지능 분야의 보안 인력 수요도 늘어날 전망이다.

인력의 ‘양’뿐 아니라 ‘질’ 또한 살펴봐야 한다. 다른 어떤 분야보다 보안 분야는 경험과 역량을 갖춘 ‘전문 인력’이 매우 중요하다는 특징이 있다. 근본적으로 리스크 관리 분야여서 기업에서 인원을 적게 유지하는 데다, 전사적인 소통과 협업을 통해 수행해야 할 보안 업무가 상당하기 때문이다.

따라서 양성하려는 보안 인력의 목표 수준이 전문 인력인지, ‘보통 수준’의 인력인지, 보안 지식을 갖춘 관리자나 다른 직무 인력(예, SW개발 인력)인지, 다양한 직무 인력의 ‘보안인식 제고’인지에 따라 교육 내용과 대상이 달라진다. 나아가 ‘전문 인력’의 정의도 수요자와 공급자 사이에 공감대를 만들 필요가 있다.

새 정부가 발표한 110대 국정과제에 ‘10만 사이버보안 인재 양성’ 이 있다. 집권 기간 5년 동안 매년 2만 명 정도를 양성하는 것인데, 양성 인력의 목표 수준에 따라 소요 비용이 다르겠지만, 단순하게 인력 1인당 100만 원 정도 양성 비용이 든다고 가정하면, 매년 200억 원, 5년 동안 1,000억 원 정도의 비용이 든다. 연간으로 보면 별로 많지 않지만 2020년 기준 정보보안산업 중 ‘보안교육 및 훈련 서비스’ 분야의 규모가 180억 원 정도에 불과한 보안 현실에서는 적지 않게 느껴지기도 한다.

따라서 무엇보다도 ‘10만’이라는 숫자에 연연하지 말고, 어떤 분야에 어떤 수준의 인력이 필요하고, 그에 적합한 인력 양성의 방식은 무엇인지 심도 있게 검토해야 한다. 특히 제조업 중심의 우리나라에서 디지털 대전환에 적극 대응하기 위해 주요 산업의 OT/ICS 보안 인력 양성을 시급하게 진행하면서 산업 현장의 보안 인력 수요 조사를 병행해 나가는 것이 바람직하다. 

기업 보안 현업에서 CISO로 일하고, 보안 담당 임원 및 팀장 교육을 오랫동안 해오다 대학에 와서 사이버보안전공 학생들을 만나면서 인력 양성에서 목적과 목표, 전략뿐 아니라 속도와 방식, 커리큘럼, 강사, 커뮤니케이션 등 디테일의 중요성을 느낀다. 우리가 내는 세금을 허투루 쓰지 말아야 하는 것은 인지상정이다. 천사도 악마도 디테일에 있다.

* 강은성 교수는 국내 최대 보안기업의 연구소장과 인터넷 포털회사의 최고보안책임자(CSO)를 역임한 정보보호 및 개인정보보호 전문가다. 현재는 이화여자대학교 사이버보안학과 산학협력중점교수로 있다. 저서로 「IT시큐리티」(한울, 2009)와 「팀장부터 CEO까지 알아야 할 기업 정보보안 가이드」(한빛미디어, 2022) 등이 있다. ciokr@idg.co.kr 
 
추천 테크라이브러리

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.