[스페셜리포트]정보보호 ISC 신설·기술자 신고제 도입...보안 인재 체계적 관리를

사이버 위협 대응, 인재 육성 넘어 제도 보완 시급

Photo Image
정보기술 ISC 현황 및 정보보호 ISC 신설 체계(안)

정부가 '사이버 보안 인재 10만 양성'으로 대표되는 인재 육성책에서 나아가 관리체계를 정비해야 한다는 목소리가 커지고 있다. '구슬이 서말이라도 꿰어야 보배'라는 말이 있듯이 인력수급 미스매치를 완화하고 적재적소에 필요한 인재를 길러낼 수 있는 정보보호 인재 관리체계를 갖춰야 한다는 주장이다. 정보보호 인적자원개발위원회(ISC) 신설과 정보보호 기술자 신고제 도입 등이 제도적 보완책으로 거론된다.

◇'정보기술 ISC'선 사이버 인재 체계적 관리 어려워…“정보보호 ISC 필요”

정보보호 산업은 정보기술 ISC에 포함돼 있어 정보보호 인력 관리에 한계가 있다는 지적이 나온다. ISC는 산업별 협·단체, 기업, 근로자단체 등으로 구성된 조직으로, 인적자원개발(HRD)·관리·활용 등 기준을 마련하고 산업 상황에 맞는 인력수급을 위한 노력을 기울인다. 현재 정보기술을 포함해 금융·보험, 전기·에너지·자원, 전자, 산업안전 등 20개 ISC가 운영되고 있다.

문제는 정보기술 ISC가 정보보호, 블록체인, 개인정보보호 등 정보통신기술(ICT) 신산업을 광범위하게 포괄하고 있다는 점이다. 2015년 출범한 정보기술 ISC는 첫해 소분류 5종에서 현재 11종으로 두 배 이상 늘었다. 기존 소프트웨어(SW) 산업 중심의 인력현황 분석 등을 수행하다 보니 신산업 특수성이 반영되지 못하는 상황이다.

특히 정보보호 특화 직무만 해도 정보보호 운영·관리, 정보보호 컨설팅, 영상정보 보안, 디지털 포렌식 등 17개에 이른다. 여기에 개인정보 가명익명처리, 개인정보보호 운영, 개인정보보호 인증평가 등 개인정보보호 직무 6개까지 합하면 정보보호 관련 직무만 23개에 달한다. 정보기술 ISC 안에서 체계적으로 정보보호 직무 관리가 어려운 점을 단적으로 보여준다. 디지털 전환(DX) 가속화로 사이버 보안 영역은 더 커질 수밖에 없다.

정보보안 업계는 정부의 정보보호 인력 양성 정책을 체계적으로 지원할 수 있는 ISC 체계로 개편, '정보보호 ISC' 신설 필요성을 강조하고 있다. 현재 정보기술 ISC에 포함된 정보보호·블록체인·개인정보보호 등을 정보보호 ISC로 분리해 정보보호 업계가 인적자원 개발을 주도하겠다는 것이다. 실제 SW진흥법과 '정보보호산업의 진흥에 관한 법'이 각각 제정되는 등 SW와 정보보호는 별개의 산업이다.

정보보호 업계 관계자는 “정보보호 ISC가 신설되면 체계적인 인력관리는 물론 효율성도 강화될 것”이라면서 “산업계가 정부 사이버 보안 인력 육성 정책을 지원하기 위해서라도 정보보호 ISC가 반드시 필요하다”고 말했다.

◇정보보호 기술자 신고제 도입'사이버 예비군' 마련

SW 기술자 신고제와 같은 정보보호 기술자 신고제 도입 필요성도 제기된다. SW진흥법이 2020년 12월 개정되면서 SW기술자 신고제가 경력 확인제로 변경됐으나 제도 취지는 동일하다. SW진흥법에 따라 SW기술자 근무처, 경력, 학력·자격 등을 기록, 유지·관리할 수 있다. 한국소프트웨어산업협회가 SW기술자 경력관리시스템을 통해 SW기술자 현황 파악이 가능한 것이다.

반면 2015년 제정된 정보보호산업엔 정보보호 기술자 신고제가 빠졌다. 정보보호 전문 인력 양성을 위해 '정보보호 전문인력 관리시스템'을 구축할 수 있도록 근거를 마련했으나 시스템이 미비한 상황이다. 체계적인 인력 현황 관리가 가능한 SW기술자 경력관리시스템 성격과도 거리가 멀다.

정보보호 기술자 신고제는 갈수록 커지는 사이버 위협 대응책이라는 평가다. 전 주기적 인력 관리체계로 국가 사이버 재난 발생 시 적재적소에 전문인력을 투입할 수 있어서다.

정보보호 기술자 관리책이기도 하다. 블랙 해커와 하이트 해커 경계는 종이 한 장 차이다. 자칫 블랙마켓으로 빠질 수 있는 정보보호 기술자에 대한 정부 차원의 관리 체계가 반드시 필요한 이유다.

업계 관계자는 “국가 차원의 전문인력 경력관리시스템을 구축해 관련 업무 종사자의 경력개발을 지원하고 나아가 '진입-성장-재진입'이 유연한 선순환 인력체계와 정보보호 생태계 조성이 필요하다”면서 “정보보호 인력체계를 갖춰 인력 현황 파악이 가능해지면 사이버 재난 등 유사 시 민간 전문가를 투입할 수 있다”고 말했다. 그러면서 “정보보호 기술자 신고제는 곧 '사이버 예비군'을 창설하는 셈”이라고 덧붙였다.

◇사이버 공격 급증하는데…대응 인력은 '태부족'

당장 시급히 해결해야 하는 인력 문제도 있다. 사이버 공격이 급증하고 있지만 대응 인력은 제자리 걸음인 상태다. 북한발 사이버 안보 위협이 증가하고 한·미 사이버 안보 공조를 강화하는 만큼 대응 인력을 대폭 늘려야 한다는 목소리에 힘이 실린다.

장경태 더불어민주당 의원실을 통해 한국인터넷진흥원(KISA)으로부터 받은 답변에 따르면, KISA 사이버침해대응본부의 침해대응 인력은 지난해 123명에서 올해 122명으로 줄었다. 정부의 공공기관 조직효율화에 따라 AI보안기술단을 다른 조직과 통폐합하며 단장 자리를 없앤 결과다.

특히 13명에 불과한 사고분석팀이 연간 600여건의 사이버 침해사고 현장을 대응하고 있다. 하루 평균 2건에 가까운 사이버 침해 사고를 대응하는데 업무 부하는 불가피하다. 사이버 보안이 취약한 중소기업을 담당하는 인력도 두 명뿐이다.

반면 사이버 침해는 가파른 상승세를 보이고 있다. 2021년 640건에서 지난해 1142건으로 약 두 배 늘었다. 올해 상반기 침해사고 신고 건수는 664건으로 전년 동기 대비 40% 증가했다.

장경태 의원은 “이제 디지털 전환을 통해 사이버 보안은 경제·산업·국방을 넘어 국가 안전과 신뢰에 관한 문제가 됐다”면서 “올해 상반기 사이버 침해사고는 늘은 반면 대응 인력은 오히려 줄이는 상황을 방치해선 안 된다. 바로잡을 수 있도록 노력하겠다”고 밝혔다.

조재학 기자 2jh@etnews.com