지난달 정부는 7·7 DDoS 공격 등 급증하는 사이버공격의 선제적 예방 및 침해 시 피해를 최소화하기 위해 ‘국가사이버위기 종합대책’을 발표했다. 주요 내용으로는 사이버위기 관리체계 강화, 민간 분야의 사이버안전 수준 제고를 위한 세부내용과 함께 내년까지 사이버대응조직 보강과 사이버보안관 3000명 등 정보보호 전문인력 양성기반 조성을 천명했다.
2008년 말 기준 국내 정보보호 인력 양성 및 현황 통계를 살펴보면 작년도 대학 내 관련학과 졸업생 440여명, 재학생 2360여명, 행안부 등 정부기관에서 단기교육을 받은 인력 1만3400여명 등 소수에 불과하다. 14개 민간교육기관에서도 자격증과정을 포함해 수시로 정보보호 인력을 양성하고 있지만, 그나마 취업의 어려움과 IT 분야 기피로 인해 점차 축소되고 있다.
정보보호 전문인력은 국가·사회 전반에서 유무선통신망과 인터넷, 정보시스템 등이 확대되면서 그 필요성이 더욱 커졌다. 해킹으로 인한 국가 및 군사기밀, 기업 및 산업비밀, 개인신상정보 유출과 DDoS 공격으로 인한 웹서비스 중단 등의 사고가 늘면서 이를 막기 위한 시스템구축, 유지, 보수 등의 수요도 커지고 있다.
정부 부문에서만도 국가 간 사이버전쟁에 대비한 국가안보·국방분야, 인터넷을 활용하는 정보통신·에너지·수송·과학기술·교육·금융 등의 국가·사회 인프라 분야, 세금·등기 등 각종 국민생활 전자정부 민원서비스 분야, 정보·사이버범죄 증가로 인한 지능수사 분야 등 매우 다양한 분야에서 정보보호 인력이 필요하다.
민간 부문은 유무선 통신, ISP 및 포털 등 인터넷서비스 분야, 은행·증권·보험 등 금융서비스 분야, 대형쇼핑몰·G2B·B2B 등 전자거래서비스 분야 등 일상생활과 관련된 모든 인터넷 기반 서비스의 안정적 제공과 향후 국제회계기준 IFRS 적용, 소송에서의 디지털증거 도입에 따른 디지털퍼렌식 활용 등 새로운 응용 분야에서 수요가 증가하고 있다.
하지만 이 같은 장밋빛 전망과는 달리 대부분의 정부 및 공공기관, 대기업과 정보보호 업체에서 전문인력이 이탈하고 있다. 그 원인으로는 지속적인 사고위협과 과중한 직무부담, 보안사고 발생 시 무거운 책임 추궁, 열악한 처우 및 근무환경, ‘잘해야 본전’이라는 그릇된 인식 등을 들 수 있다.
국내 정보보호산업 시장은 2008년 현재 총 7724억원에 머물고 있다. 이 시장에 150여개 기업, 5000여명의 직원이 종사한다. 이들 기업 중 자본금 10억원 및 30명 이하의 영세한 소규모 기업이 55%를 차지한다. 이들은 독자적인 사업영역을 구축하기보다는 대형SI기업의 하도급업체로 전락한 상태다. 국내업체 간 과당경쟁과 외산장비와의 경쟁에서 밀리는 등 경영상 어려움과 불투명한 장래로 인해 전문인력이 수시로 이탈하고 있다.
정보보호 전문인력 양성계획이 성공하려면 사이버위기 관리체계 강화와 사이버대응 조직보강 대책에 맞춰 정부 및 주요 공공기관에 전담직 확대, 처우 개선을 통한 근무의욕 고취 등 여건개선을 함께 고민해야 한다. 기업 및 각급 기관에 대한 IT서비스 보안 평가와 함께 보안솔루션 투자와 전담직을 의무화하는 결단을 내릴 때만이 해킹이나 정보 누출을 사전에 차단할 수 있다. 이와 더불어 국내 정보보호산업 경쟁력 강화를 위한 기술개발, 국산기술 우선 및 동시 사용, 적정가격 보장과 지속적인 위협에 대비한 시스템 관리 및 유지보수 대책도 마련해야 한다.
이홍섭 한국CSO협회 회장·순천향대 초빙교수/hslee5685@naver.com
