“실무에 바로 투입 가능한 정보보호 인력이 부족하다는 지적이 많았습니다. 한국인터넷진흥원(KISA·원장 김석환)은 실전형 훈련체계와 사이버훈련장을 구축해 정보보호 인력난 해소에 기여합니다.”
조성우 KISA 정보보호산업본부 사이버보안인재센터장은 시나리오 기반 실전형 훈련체계 성과를 밝혔다. 실전형 훈련체계는 2013년 3·20 사이버테러 같은 실제 침해사고 시나리오를 바탕으로 보안 담당자 실제 업무환경과 동일한 가상 환경을 꾸며 진행하는 훈련 방식이다.
실전형 훈련체계는 구직자 대상 '케이쉴드 주니어'와 재직자 대상 '케이쉴드'로 나뉜다. 실전형 사이버훈련장과 온라인 실전형 사이버훈련장을 운영하면서 구직자와 재직자를 포괄하는 자율적인 훈련 환경도 제공한다. 사이버훈련을 위한 가상 환경은 구축 비용이 많이 들어 민간에서 구축하기 어렵다.
'케이쉴드 주니어'는 정보보호 담당 신입직원 양성을 위한 구직자 전용 교육 프로그램이다. 대학교 4학년과 구직자를 대상으로 '정보보호 관리진단'과 '보안사고 분석대응' 과정으로 구분된다. 최소 200시간 교육이 의무다. 지난해 '케이쉴드 주니어' 1기는 SK인포섹과 안랩을 비롯한 국내 다양한 분야 취업자를 배출했다. KISA는 교육생 취업 지원을 위해 은행·쇼핑몰·병원 등 정보보호 인력이 필요한 민간 기업과 업무협약을 체결했다. 현재 정보보호기업 총 53개사와 취업정보를 공유한다.
'케이쉴드'는 민간 기업 정보보호 담당자를 대상으로 실시되는 침해사고 예방·대응 전문과정이다. 대기업에 비해 상대적으로 교육 기회가 부족한 중소, 영세기업이 우선 지원 대상이다. 총 175시간 교육을 받아야 하는 정규 과정과 △인젝션 △악성코드 △산업제어시스템(ICS) 공격 대응 실습 등으로 구성된 기술별 단기 과정으로 구분된다. 단기 과정은 특정 단위 기술에 대한 교육을 21~32시간 진행하며 대략 3일에서 5일 과정으로 이뤄진다.
성남 판교 정보보호클러스터에 위치한 KISA 실전형 사이버훈련장은 공공·민간 정보보호 인력 대상 훈련 프로그램 등을 제공한다. 조성우 센터장은 “교육을 받는 것과 현장에서 실제 훈련을 받는 건 다르다”면서 “기술은 개인이 각자 습득할 수 있지만, 팀별·조직별 대응 과정에도 훈련이 필요하다는 요구사항을 반영해 해당 과정을 개설했다”고 설명했다.
교육생은 공격과 방어를 각각 훈련한 뒤 양방향 실전 공방 훈련을 수행한다. 일방향 침해사고 대응 훈련과 양방향 훈련, 정보보호 제품군 훈련도 진행된다. 현재까지 △육군 △경찰청 △한국전력공사 △삼성전자 △한국특허정보원 △두산중공업 △한국도로공사 등에서 사이버훈련장을 찾았다.
KISA는 지방 소재 인력과 오프라인 훈련장에 접근하기 어려운 인력을 위해 온라인 실전형 사이버훈련장도 신규 개발 중이다. 이르면 새해 3월께 개소될 전망이다.
오다인기자 ohdain@etnews.com