고려대 정보보호대학원이 한 해 배출하는 석·박사급 보안 인력은 180명 선이다. 이들 대부분은 사실상 `입도선매`됐다. 뒤늦게 학교에 보안전문 인력을 구하려는 기업들은 애를 태운다. 공공분야도 마찬가지다. 국가정보원이 화이트 해커들을 관리한다. 그 수는 해외에 비해 많지 않다. 공공·민간 할 것 없이 보안인력 수요와 공급 불일치 현상이 해소되지 않는다.
정부는 사이버 공격으로 피해가 발생할 때마다 보안 투자 확대 계획을 떠들썩하게 발표했다. 지난 2003년 1·25 대란, 2009년 7·7 디도스공격 사건 때도 예외는 아니었다. 하지만 3년 8개월이 지난 지금도 정부의 인식은 크게 달라지지 않았다. 민간 보안업체 의존도 여전하다. 민간은 거꾸로 우수한 인재를 구하지 못해 정부 투자를 요청한다.
임종인 고려대 교수는 “기업들이 원하는 정보보호학과 학부생들을 배출할 학과가 절대적으로 부족하다”며 “특히 수도권에는 학과 정원이 한정됐다”고 설명했다. 정부는 몇 해 전부터 석·박사급 전문 인력 양성을 위한 대학 IT연구센터(ITRC) 지원사업을 벌인다. 하지만 정보보호 관련 지원을 받은 곳은 충남대와 고려대 두 곳뿐이다.
국가 차원의 화이트 해커 양성은 폭넓은 공감대를 형성했다. 정부가 사태 심각성을 안다면 한국과학기술원 특별법과 같이 정보보안 인력을 양성할 기관을 설립하는 방안도 검토될 수 있다. 지난 1971년 설립된 KAIST는 국내의 영재들이 모이는 최고 두뇌집단이라는 평가를 받았다.
지식경제부가 추진한 SW특성화 대학·대학원 프로그램을 보안 분야에도 추진해야 한다는 목소리도 나왔다. `정보보안 특성화 대학 또는 대학원`을 지정하는 것이다. 이를 통해 단순히 해킹 능력만을 갖춘 인재를 배출하는 게 아니라, 사이버 공격 전략과 시나리오를 짜고 암호부터 해킹, 시스템 네트워크, 금융보안 및 소프트웨어를 모두 아는 통섭형 보안 인재를 키워야 한다.
세계적으로 해킹 공격이 국가 기간망까지 위협하는 상황에서 미국 영국 이스라엘 등의 국가는 사이버부대를 창설해 대응 태세를 강화한다. 북한도 최고 수준의 이공계 영재들을 발굴한 뒤 교육을 뛰어넘는 훈련을 받고 있다. 하지만 우리나라엔 이 같은 화이트 해커 및 정보보안 영재를 발굴 양성할 수 있는 시스템이 열악한 게 현실이다. 화이트 해커를 모두 범죄자로 취급하는 우리나라 현실에서 보안 인력을 제대로 키울 수 없다는 지적도 눈여겨볼 필요가 있다. 민재기 드림시큐리티 이사는 “우리나라는 보안 인력이 너무 부족하다”며 “국가의 인력 양성 투자가 늘지 않으면 이번처럼 소 잃고 외양간 고치는 사고를 반복할 것”이라고 우려했다.
김원석기자 stone201@etnews.com
