지난해 7.7 DDoS 대란과 대규모 정보유출 사고 등 잇달아 발생하고 있는 대형 보안 사고로 인해 보안 전문가의 역할이 갈수록 중요해 지고 있다. 지난 7.7 DDoS 대란 때에도 각계 각층에서 보안 전문가가 부족하다는 문제는 이미 여러 번 제기됐다. 이에 따라 보안 전문가에 대한 사회적 인식은 최근 많이 높아지고 있지만 우리나라 정보보안 미래를 이끌어갈 보안 전문가는 부족하다는 것이 관련 업계의 목소리다. 2009년 정보보호 관련 대학과 대학원, 그리고 전문대학 졸업생 수는 약 582명에 달하지만 이들이 보안 관련 기업에 취업하려고 해도 그 문턱은 높기만 하다는 구직자들의 목소리도 있다. ‘보안 전문 인력 양성’ 과연 무엇이 문제인지 짚어보았다.
보안 전문 인력 양성 ‘빨간불’왜?
최근 들어 보안업계에 지원하고자 하는 유망한 인재들이 늘어나고 있다. 그동안 적었던 보안업계에 대한 관심이 얼마 전부터 터져 나온 보안이슈로 인해 점차 보안업계로 눈을 돌리는 젊은 인력들이 늘어나고 있는 것. 그러나 보안 전문가가 장미빛 성공을 보장하는 직종이라는 데는 고개를 젓는 사람들이 많다.
옥션 해킹과 GS칼텍스 고객정보유출 그리고 7.7 DDoS 대란까지 잇단 대형 보안 사고로 인해 보안 전문가의 역할이 갈수록 중요해지고 있다. 7.7 DDoS 대란만 해도 각계에서 보안 전문가가 부족하다는 문제는 벌써 여러번 제기되곤 했다. 그러나 보안 전문가는 밤샘 근무를 불사함에도 불구 그에 합당한 대우를 받지 못하고 있어 보안 전문가는 이른바 3D 직종으로 불리고 있다. 가령 7.7 DDoS 대란만 해도 보안 업계의 대부분 담당자들은 밤샘 근무를 해야 했으며 급박했던 상황 때문에 화장실도 제대로 못 가곤 했지만 뒤돌아 오는 것은 “수고했다”는 격려보다 “당연히 해야 할 일을 했을 뿐”이라는 냉담한 반응이었으며 심한 경우 “제대로 대응을 못했다”라는 비난을 받기도 했다.
보안 전문가들이 이런 대우를 받는 데는 이유가 있다. 보안은 실적으로 나타나지 않기 때문이다. 보안 전문가는 태생적으로 마이너스 실적을 가진 잘해야 본전인 직종이다. 따라서 IT인력들은 보안직종을 기피하는 모습을 보이고 있고 상황이 이렇다 보니 보안 전문가를 양성하는 교육기관도 부족한 형편이다.
김광조 KAIST 교수는 “보안업계는 산업인력도 없고 학생도 없다. (학생 부족을 해결할) 근본적인 해결책이 없다면 인력이 없어 대책을 세울 수 없다”면서 “7.7 DDoS 대란과 같은 사태는 핵심적인 고급인력이 가장 필요했지만 이에 대한 대비가 없었다”고 따끔하게 지적하기도 했다. 정책적으로 보안인력을 양성할 수 있도록 기반을 만들어야 한다는 지적이다.
보안인력이 필요한 수만큼 충족되지 않아 업무가 가중되고 있다는 것도 큰 문제다. 이는 비단 보안 쪽만의 문제는 아니고 IT업계 전반적인 문제로 파악되고 있지만 보안 위협이 다방면으로 증가하고 있다는 것을 감안한다면 보안업계의 인력충원은 더욱 시급하다.
현재 보안업계에서는 보안인력을 점차 늘리고 있는 추세를 보이고 있지만 여전히 부족하다는 것이 업계의 중론이다. 그럼에도 불구 업계에서 인력충원에 어려움을 겪는 이유는 재정적인 문제 때문이다. 대부분 보안업계는 영세한 편에 속하고 있어 인력을 늘리는 것이 쉽지 만은 않다.
이진규 NHN 개인정보보호팀 팀장은 “보안과 관련한 투자 효용에 대한 인식이 부재하기 때문에 보안에 대한 투자를 매몰비용(Sunken Cost)으로만 보는 사회분위기에서는 적극적인 보안 투자 및 인력 양성이 어렵다”며 “보안에 대한 투자대비산출(SROI - Security Return On Investment)에 대한 체계적 연구를 통해 보안투자비용이 가져오는 효과를 정책입안자, 의사결정자들에게 적극 홍보해야 할 필요가 있다”고 말했다.
경력직 인력 선호가 문제
한 설문조사 결과를 보면, 보안이 관심분야이기 때문에 취업을 원한다는 의견이 75%로 가장 많았다. 반면 ‘유망직종으로 떠오른다는 기대감’이라고 응답한 사람은 18%에 지나지 않았다.
유망업종에 대한 갈망보다 보안 자체에 관심이 많고 흥미를 가지는 지원자가 많다는 것은 업계에 있어서 매우 고무적이다. 사실 유망업종에 대한 갈망만으로 지원하기에는 보안업계는 매우 힘든 일이기 때문이다. 따라서 보안업계에 관심과 흥미를 가진 인재들이 많다는 것은 앞으로 더욱 높은 수준의 보안인력을 창출할 수 있는 가능성이 있다는 것을 보여준다.
그럼에도 불구하고 현재 정보보호업계에서는 인력 가뭄에 시달리고 있다. 보안업계에 취업을 원하는 지원자가 적은 상황도 아니지만 많은 정보보호업계 인사담당자들은 쓸만한 인력을 구하는 것은 하늘에서 별 따기와 같다고 토로하곤 한다.
그 이유는 정보보호업계가 신입 채용보다 경력사원 채용에 더 많은 관심을 보이기 때문이다. 한 보안업계의 담당자는 “현재 회사에서 신입사원 채용도 진행 중이지만 경력사원에 더 많은 관심을 보이고 있는데, 그 이유는 회사가 넉넉지 않은 상황이기 때문에 신입사원을 교육시켜 실무에 투입시킬만한 여력이 부족하기 때문”이라며 “따라서 가급적이면 경력사원을 채용해 바로 실무에 투입하는데 집중하고 있다”고 말했다.
현 상황이 이렇다 보니 보안 경력자들의 수요는 증가하고 있지만 공급은 원활하지 못하고 있다. 특히 잇달아 터진 보안이슈로 인해 많은 대기업에서도 보안 경력자들을 뽑아가고 있어 상황은 더욱 악화되고 있다.
많은 보안업계 지원자들은 경력을 선호하는 상황에 대해서는 어느 정도 이해하지만 경력 쌓을 곳 없이 경력만 요구하는데 대해서는 불만을 표시하기도 했다. 한 보안업계 지원자는 “사실 보안업계 취업을 준비하는 입장에서 경력을 쌓을만한 곳을 찾기 매우 힘든 상황”이라며 “몇몇 기관이나 기업에서 인턴제를 운영해 경력을 쌓을 수도 있긴 하지만 지원자 백 명에 한 명정도 뽑는 수준에 불과한 것으로 알고 있다”고 불만을 토로했다.
인사담당자 “채용시 발전 가능성 고려”
그렇다면 보안업계에서 어떤 인재를 원하고 있을까? 많은 보안업계 인사담당자들은 정보보호 관련 지식도 중요하지만 IT전반적인 지식이 충분히 갖춰져 있어야 한다고 이야기한다. 많은 지원자들이 정보보호 전문지식 부족을 꼽았지만 정보보호 업계에서는 전문지식의 범위를 좀 더 넓혀야 한다고 이야기한다. 한 보안 전문 업체 인사채용담당자는 “보안전문업체에서 뽑으면 보안전문인력이라고 볼 수 있지만 그 인력들이 전부 보안에 특화된 인력이라고 볼 순 없다”며 “일단 보안관제 업무 외에 개발인력의 경우 프로그래밍하는 능력이 더 중요하기 때문”이라고 설명했다. 그는 또 “물론 보안에 대한 개념과 여러 가지 필요한 요소는 있지만 보안은 하나의 분야에만 위협이 나타나는 것이 아니기 때문에 네트워크나 서버 등 다방면의 IT지식을 요구하고 있다”고 덧붙였다.
물론 정보보호 관련 자격증 취득은 정보보호 업계 취직에 유용한 수단이 될 수 있다. 하지만 인사담당자들은 정보보호 자격증을 보유하고 있다고 정보보호 업무를 잘 수행할 수 있다고 생각하지는 않는다는 의견을 내비쳤다. 자격증이 있더라도 어차피 새로 시작해야 한다는 생각으로 인력을 채용하고 있는 것.
업계의 한 관계자는 “정보보호 업계에서 원하고 있는 자격증은 SIS 자격증과 CISA 등이 있으며 이런 자격증들은 일단 기본적인 갖춰야 할 조건으로 여겨지고 있는 것은 사실이지만 정보보호 업계에서는 그와 아울러 더 원하는 것이 있다”면서 “그것은 바로 발전 가능성으로 회사의 일원이 됐을 때 능력이 신장될 수 있는 가능성을 높게 보고 있다”고 설명했다.
<글 : 김태형 기자(is21@boannews.com), 호애진 기자(is@boannews.com)>
[월간 정보보호21c 통권 제122호(info@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
