정부기관 내 보안 전문인력 지속적 감소...사전대응팀도 필요

[보안뉴스 오병민] 7.7 DDoS 공격 이후 정부에서도 보안에 대한 관심이 높아져 DDoS나 보안에 대한 예산을 늘려가고 있지만, 정작 예산을 집행하는 공무원들이 전문성이 떨어져 비효율적인 집행에 대한 우려가 나타나고 있다. 예산을 집행하는 공무원 중 전문 보안인력을 보충해도 모자랄 판에, 점차 보안 인력을 줄이고 있는 것으로 나타났기 때문이다.

정부는 옥션 해킹 사고와 7.7 DDoS 대란 등 대규모 보안 사고를 통해 정보보안 인력 확충의 시급함을 느끼고 인력확충에 많은 노력을 기울이겠다고 공언한 바 있다. 그러나 정부기관 내 정보보안 전문 인력은 늘어나기는커녕 오히려 줄어든 것으로 확인됐다.

2010년 8월 국회예산정책처 ‘국가정보화사업 평가’에 따르면, 정보보호 관련 학위 취득자를 확보한 기관의 비율은 2007년 17.8%에서 2008년 8.8%, 2009년에는 5.9%까지 떨어진 것으로 파악됐다. 그리고 정보보호 관련 자격증 취득자를 확보한 기관의 비율은 2007년 13.4%에서 2009년 10.4%로 줄어든 것으로 확인됐다.

<정보보호 업무수행 인력 중 학위 및 자격증 소지자 확보 기관의 현황>

구분	2007	2008	2009
정보보호 관련 학위자 확보기관의 비중(%)	17.8	8.8	5.9
정보보호 관련 공인자격증 소지자 확보기관의 비중(%)	13.4	13.4	10.4
1. 정보보호 관련 학위자란, 정보보호학 전공 또는 유사학과에서 정보보호 분야를 전공한 석사 이상의 학위 소지자를 의미함. 2. 정보보호 관련 공인자격증 소지자란, CISSP, CISA, SIS 등의 정보보호 공인자격증 소지자를 의미함.

사실, 7.7 DDoS 대란 이후 정부기관의 정보보호 전담인력은 2009년 42개 기관 78.25명에서 104.5명으로 늘었다. 문제는 전담인력은 늘었지만 관련 전문 인력이 아니라는 점이다.

이에 따라 7.7 DDoS 대란 때, 정부기관 정보보호 전문 인력이 부족해 대응에 차질을 빚었던 사태를 겪었음에도 불구하고, 정보보호 인력 확충에 노력을 기울이지 않는다는 지적도 나오고 있다.

자유선진당 이명수 의원은 “중앙부처 정보화부서 내의 전문인력 자격증 현황을 보면, CISSP, CISA, SIS 등의 정보보호 공인자격증 소지자가 전무한 실정으로 나타났으며,  현재 정보보호 업무를 수행하는 인력 중 정보보호 관련 학위 소지자를 확보한 기관은 2007년도 17.8%에서 지속적으로 감소하여 2009년도 말까지 5.9%에 불과한 것으로 집계되었다”며 정부기관 내 정보보호 전문 인력 확보에 대한 무관심을 지적했다.

아울러 이 의원은 “작년 7.7 DDoS 공격으로 공공분야 및 민간부문을 포함한 전체 우리나라의 피해규모는 최소 363억원에서 최대 544억원으로 추정되며, 최대 피해 추정액인 544억원은 2008년 풍수해 피해액 580억원에 근접한 규모”라며 “다시는 그러한 피해를 당하지 않기 위해서는 현재 정부의 DDoS 및 각종 사이버 공격에 대응한 안보구축 체계가 다시 재정비되고, 전문화되어야 한다“고 주장했다.

한편, 최근 이란과 중국 등에서 발전소와 같은 주요 인프라를 대상으로 하는 사이버 공격이 증가하고 있어, 사이버 침해 동향을 분석하고 사고에 대비하는 침해사고 사전대응팀의 필요성도 제기되고 있다.

전문적으로 사이버보안 위협사례를 분석하고 앞으로 언제 닥칠지 모르는 보안 사고에 대해 대비하기 위해 보안 전문 인력으로 구성된 대응팀이 필요하다는 이야기다.

보안업계의 한 전문가는 “이미 외국에서는 정부나 민간단체에서 사전대응팀을 만들어 사이버테러나 침해에 대해 미리 준비하고 있다”면서 “스마트그리드나 U시티 등 전산망 기반 인프라를 확대하려는 정부의 계획이 실행되기 위해서는, 보안 사고를 대비하는 사전대응팀이 꼭 필요할 것으로 보인다”고 말했다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>