강은성의 보안 아키텍트ㅣ무료 교육이 교육 산업을 망친다?

그럴 리가!
뜨거운 교육열이 대한민국 발전의 원동력이 되었다는 데 세계가 동의하는 대한민국에서?
심지어 지나친 사교육비 지출이 저출생의 한 요인으로 지목되고, 먹는 비용은 줄여도 아이들 학원비를 줄일 상황이 되면 자괴감을 느끼는 부모가 즐비한 대한민국에서 이게 말이나 될 소리인가!
제목을 읽고 이렇게 생각하신 분들이 많을 것 같다. 
 

매년 과학기술정보통신부와 한국정보보호산업협회의 ‘실태조사’에 따르면, 2022년 ‘보안교육 및 훈련 서비스’의 매출액은 179억 원 정도이고, 그 비중은 전체 정보보안산업 매출 규모의 0.3%에 불과하다. 

정보보안·개인정보보호 분야에서는 교육을 매우 강조한다. 은행, 증권사와 같은 금융회사와 PG사 같은 전자금융업자가 준수해야 하는 ‘전자금융감독규정’(금융위원회 고시)에는 교육 시간까지 적시한 정보보안 의무 교육 규정이 있다.
 

제19조의2(정보보호 교육계획의 수립 시행)  ① 정보보호최고책임자는 임직원의 정보보호역량 강화를 위하여 필요한 교육프로그램을 개발하고, 다음 각 호의 기준에 따라 매년 교육계획을 수립·시행하여야 한다.     1. 임원: 3시간 이상(단, 정보보호최고책임자는 6시간 이상)     2. 일반직원: 6시간 이상     3. 정보기술부문업무 담당 직원: 9시간 이상     4. 정보보호업무 담당 직원: 12시간 이상

정부·공공기관에서 준수해야 하는 ‘국가 정보보안 지침’(국가정보원 지침)에도 같은 취지의 규정이 있다.
 

제9조(정보보안교육)  ① 각급기관의 장은 정보보안에 대한 경각심을 제고하기 위하여 정보보안 교육계획을 수립하여 연1회 이상 모든 소속 공무원 등을 대상으로 교육(온라인 교육을 포함한다)을 실시하여야 한다. ② 제1항에 따라 모든 공무원 등은 특별한 사유가 없는 한 연 1회 이상 정보보안교육을 이수하여야 한다.

많은 회사에서 의무교육처럼 받아들이는 개인정보보호교육은 ‘개인정보의 안전성 확보조치 기준’(개인정보보호위원회 고시)의 다음 규정에 근거가 있다. 
 

제4조(내부 관리계획의 수립·시행 및 점검)  ② 개인정보처리자는 다음 각 호의 사항을 정하여 개인정보 보호책임자 및 개인정보취급자를 대상으로 사업규모, 개인정보 보유 수, 업무성격 등에 따라 차등화하여 필요한 교육을 정기적으로 실시하여야 한다.     1. 교육목적 및 대상     2. 교육 내용     3. 교육 일정 및 방법

개인정보취급자는 개인정보처리자(사업자)의 지휘·감독을 받아 개인정보를 처리하는 임직원, 파견근로지, 시간제근로자 등이어서 의무교육의 대상도 꽤 넓고, 개인정보 처리업무를 외부에 위탁하면 수탁자를 교육할 교육 의무도 생긴다. 

관련 법령에서 정보보안·개인정보보호 교육을 의무화하면 해당 교육산업이 활성화되어야 할 것 같은데, ‘실태조사’의 결과는 그렇지 않다. 상당히 많은 교육이 무료나 저가로 진행되어 그 활력을 잃었기 때문이 아닐까 한다.

예를 들어, 보안컨설팅을 하면 발주처에서는 종종 ‘무료’로 보안교육을 해 달라고 요청한다. (컨설팅 비용에 교육비용을 ‘끼워’ 넣기도 하는데 금액이 매우 적다.) 컨설팅 업체에서는 금액에 맞춰 고객사가 불만이 없을 정도의 교육을 진행하는 게 보통이다. 

공공기관에서 하는 정보보안·개인정보보호 교육 또한 대부분 무료다. 상당히 평판이 좋아서 공공기관뿐 아니라 민간기업에서도 많이 참여하는 교육 프로그램도 마찬가지다. 국민의 세금이 들어가니까 실제 무료는 아닌데, 교육을 수강하는 입장에서는 무료로 인식한다.

정보보안·개인정보보호 교육이 무료로 많이 진행되다 보니 그 교육의 가치가 사회적으로 인정받지 못한 채 어느새 무료·저가의 교육으로 자리 잡았다. 참석자도 교육 의무시간을 때우기 위한 용도로 활용하는 면이 크다. 교육 콘텐츠를 제작하는 기업이나 강사도 그런 수준의 교육 품질로 맞춰지니 그나마 의미를 갖고 참석한 사람도 자신의 업무나 환경과 관련 없는 천편일률적인 강의를 들으며 흥미를 잃게 된다. 사람이 제공하는 서비스는 지불되는 비용 수준을 넘기 어렵다는 시장의 법칙은 여기에서도 작동한다. 

몇 년 전에 대기업에서 기술고문 일을 할 때다. 한 중견 연구원이 연구개발에 필요한 보안기술 교육에 간다고 해서 내용을 봤더니 공공기관이 주관하는 며칠 짜리 꽤 괜찮은 프로그램이었다. 역시 무료였다. 우스갯소리로 대기업에서 무슨 무료 교육이냐면서 돈 내고 가라고 했다. 그 회사는 예산도 있고, 의미도 있어서 충분히 유료 교육을 보낼 만한 상황이었다.

어찌어찌하다 학교와 인연을 맺은 지 3년이 넘으면서 더 많이 여러 교육의 자리에 불려다니는 처지가 됐다. 이 업이 공부하고 말하고 쓰는 것을 주로 하고, 가진 지식과 경험을 학생과 사회에 나누는 일이라 생각하여 여건이 되는 대로 하면서 정보보안·개인정보보호 교육의 문제를 좀 더 많이 생각하게 됐다.

첫째, 공공기관에서 하는 무료 교육은 인식제고 수준의 교육으로 최소화하면 어떨까 한다. 전문적인 보안기술 교육이나 개인정보보호 교육은 유료로 진행하고, 필요하다면 중소기업에는 바우처 방식 등 별도로 지원하는 방법을 찾아보면 좋겠다.

둘째, 점진적으로 민간의 정보보안·개인정보보호 교육사업을 활성화하는 방향으로 정책을 펴나갈 필요가 있다. 민간 부문에서 정보보안·개인정보보호 교육이 활성화되어야 산업의 변화·발전 속도에 맞춰 다양하고 분야별로 특화된 교육이 발빠르게 이뤄지고, 기업 실무자 재교육 등을 통한 인력 양성이 활발하게 이뤄질 수 있다.

셋째, 임원 대상 정보보안·개인정보보호 교육이 많이 개발되기 바란다. 정보통신망법이나 개인정보보호법 등으로 선임된 CISO/CPO를 위해서는 좀 긴 시간의 교육 프로그램이 있으면 좋겠다. CTO를 위한 제품 보안(Product security) 교육, CEO(또는 고위 경영진)를 위한 공급망 위험 관리 교육 등도 필요하다. 경영진을 위한 교육은 인식 제고 수준으로 짧게 할 수 있지만, 다른 임원교육은 적절한 길이의 유료 교육으로 만들어도 괜찮지 않을까 싶다.

특히 개인적으로 지난 7~8년 동안 많은 CISO/CPO 교육을 해왔다. CISO/CPO 교육에서 중요한 것은 ▲교육 대상을 CISO/CPO로 한정 ▲회사의 임원급이나 리더가 궁금하고 수행해야 할 내용을 중심으로 콘텐츠와 강사 구성 ▲인원을 30~40명 정도로 하여 참석자들이 궁금한 내용을 (상호) 질문이 가능해야 한다는 점이다.  회사의 정보보안·개인정보보호를 책임지는 분들이 자신이 감당해야 할 책임의 무게만큼 갖고 있을 궁금증과 걱정을 풀어내는 교육이 되어야 한다. 기업에서도 담당 임원을 위해 그 정도의 투자는 할 수 있을 것 같다.

이제 ‘무료·저가 교육의 정착 → 교육 콘텐츠의 질 저하와 보안교육산업의 축소 → 참석자의 만족도 저하 → 무료·저가 교육의 확대’로 이어지는 ‘악순환의 고리’를 벗어나 ‘유료 교육의 성장과 정착 → 교육 콘텐츠의 질 향상과 보안교육산업의 성장 → 참석자 만족도 상승 → 유료 교육의 확대’의 선순환으로 들어서는 때가 하루빨리 오기를 희망해 본다.
       
* 강은성 교수는 국내 최대 보안기업의 연구소장과 인터넷 포털회사의 최고보안책임자(CSO)를 역임한 정보보호 및 개인정보보호 전문가다. 현재는 서울여자대학교 정보보호학과 조교수로 있다. 저서로 「IT시큐리티」(한울, 2009)와 「팀장부터 CEO까지 알아야 할 기업 정보보안 가이드」(한빛미디어, 2022) 등이 있다. ciokr@idg.co.kr