십년수목 백년수인(十年樹木 百年樹人). 10년을 내다보며 나무를 심고, 100년을 내다보며 사람을 심는다. 인재 양성은 국가 미래가 걸린 일이니 100년 앞을 내다보고 계획을 잘 세워 진행해야 한다는 의미다.
8월 초 한국 청년들이 해커 올림픽으로 불리는 ‘데프콘 CTF23’에서 우승했다. 사상 첫 우승에 모두 흥분을 감추지 못했다. DEFKOR팀은 실력이 뛰어난 인력으로 구성됐고 작전도 잘 세워 성과를 냈다. 성과는 단순히 DEFKOR팀만의 것은 아니다.
수년간 사이버 보안 인력을 양성해온 산·학·연·정 노력의 결실이다. 정부와 연구원, 기업, 학교가 꾸준히 인력을 양성하고 투자했다. 수많은 선배 해커가 열악한 환경에서 예선과 본선에 진출하며 길을 닦았다.
데프콘 CTF 우승이 바로 국가 사이버 보안 수준과 연결되는 것은 아니다. 일부에서는 보안 전문가를 양성해야지 공격에 집중하는 화이트햇 해커가 무슨 도움이 되냐는 말도 한다. 틀린 말은 아니다.
그럼에도 이들 우승에 의미를 둔다. 우리는 여전히 정보보호 인식도 낮고 투자도 미약하다. 그나마 최근 4~5년 화이트햇 해커를 양성하자는 목소리가 높아져 작은 지원이 시작됐다. 고등학교 때부터 소질을 보이는 학생을 발굴해 교육하고 지원했다. 정보보호 전공을 개설한 대학도 늘었다. 기업이 화이트햇 해커를 고용하기 시작했고 정부가 SW보안 취약점을 찾는 버그바운티 제도도 운용한다.
음지 해커를 양지로 끌어냈다. 이들이 정규 학교에 진학하고 일자리가 생기기 시작했다. 의대에 가던 학생들이 정보보호에 관심을 갖기 시작했다. 이를 특기로 내세워 군대에 간다. 인력이 지속적으로 역량을 발휘할 자리가 늘고 있다. 조금이나마 선순환 생태계가 생기기 시작했다.
내년도 예산을 정하는 시기다. 올해만큼 못 받을까 안절부절못하는 곳이 많다. 인재양성 성과는 취업이라는 잣대로만 측정되는 탓이다. 해킹대회 우승을 지표에 넣어달라는 말이 아니다. 창조적인 사이버 보안 인력은 취업문을 통과하게 찍어내는 과정으로 만들 수 없다.
사이버보안 인력 양성 생태계가 이제 막 조성되기 시작했다. 조급증을 버리고 십년수목 백년수인을 생각하자.
김인순기자 insoon@etnews.com
