우리나라는 지난 2000년대 초 정보보안 관련 학과가 본격적으로 생겨나기 시작했다. ‘2010년 국가정보보호백서’에 의하면 우리나라 대학, 전문대를 포함해서 대학원 정보보호학과 개설 현황과 년간 졸업생 수를 보면 2009년 기준으로 학부에 정보보호학과가 개설된 곳이 15개교 관련학과 제적생 수가 2,586명에 이른다. 전임교원 수는 57명, 배출인력은 총 382명이다. 또 대학원의 경우에는 일반대학원, 전문대학원, 특수대학원으로 나눠 개설돼 있으며 2009년 기준 5개의 일반대학원에 석박사 과정이 개설돼 있고 2개 전문대학원과 9개 특수대학원 및 협동과정에 학과 또는 전공이 개설돼 있다.

2009년 기준으로 총 재적 학생 수는 704명이며 2009년 배출 인력은 186명이다. 그리고 전문대학의 경우, 4개교에 250명이 제적 중이며 2009년 매출 인력은 14명이다. 이 외에도 한국인터넷진흥원 등 비정규 기관에 의해 수행되는 단기 핵심 교육과정과 고용 계약형 석사과정 양성 프로그램 등이 있다. 이렇게 한해 약 600여 명의 관련 학과 전공자가 배출되지만 보안 전문가를 양성하는 교육기관도 부족하고 정책적으로 보안 인력을 양성할 수 있는 기반도 미흡한 편이다. 때문에 보안 전문 기업에서도 실무경험이 있는 인력을 채용하기가 매우 어려운 실정이다.

이에 대해 박춘식 서울여자대학교 교수는 “우리나라 보안산업 시장 규모가 적고 벤처 중심의 정보보호업체가 많으며 고급기술과 숙달된 경험이 필요한 전문가분야임에도 불구하고 보안 전문가에 대한 처우는 고되고 힘든 직업임에도 업무 환경과 대우는 열악해 기피하는 상황”이라면서 “정부의 관련 대학에 대한 정책적인 지원이 부족하고 보안 인력 양성을 위한 산업계와의 연계된 지원이 부족하다”고 지적했다. 또한 염흥열 순천향대학교 교수는 “최근 지식정보보안산업협회(KISIA) 조사에 따르면 131개 정보보호기업 중 98개 업체(74.8%)가 직원이 50명 이하로 중소 벤처기업이며 4개 업체만이 자본금 규모가 100억원이 넘었고 전체의 85.4%에 달하는 112개 업체가 자본금이 30억원 미만으로 매우 영세하다”고 설명했다.

그는 또 “정보보호 인력은 일반적으로 수준별로 초급, 중급, 고급, 특급 인력으로 구분되며 직종별로 연구개발직, 관리직, 영업직으로 구분되고 있다”고 덧붙였다.

‘2010년 정보보호백서’에 따르면 정보보호 산업체의 초급 인력이 38%, 중급 인력이 31%, 고급인력이 20%, 특급인력이 10% 정도이며 직종별로는 연구개발직이 45%, 관리직이 33%, 영업직이 10% 정도이다. 이를 분석하면 초급과 중급 인력이 전체 70% 정도이고 나머지 30%는 고급 및 특급 인력으로 구성돼 있음을 알 수 있다.

염흥열 교수는 “정보보호 전문인력 부족과 양성의 문제점은 크게 산업 전반에 걸친 구조적인 문제와 산학 연계 추진의 미흡 등으로 구분된다”며 “구조적인 문제의 경우, 정보보호 인력의 역할의 중요성에 비해 정보보호 산업체에서 제공하는 처우 수준이 타 정보통신 분야에 비해 상대적으로 미흡하고 인지도가 낮아 기존 정보보호 산업체가 보유한 경력급 인력도 타 분야로 유출되는 경향도 있다”고 말했다. 그는 또 “대학원에서 배출되는 고급 정보보호 인력도 직업 안정성을 확보할 수 있고 처우가 상대적으로 좋은 대기업이나 공공기관을 선호하는 경향도 있고 공공 및 정부, 국방 부문에 정보보호 조직이 없는 곳이 많아 정보보호 인력 수요기반이 확충되지 않고 있다”고 지적했다.

인력 양성 측면에서 산학 연계추진의 미흡의 경우, 산업체 등이 요구하는 인력의 분야와 질적 양적 수준이 수요기관이 제공하는 수준과 차이가 있다는 것에 있다. 결론적으로 수요 기반으로 적정한 수준의 효과적인 정보보호 인력이 양성 체계가 적절하게 마련되지 못함에 원인이 있는 것이다.

실무 및 현장 능력을 갖춰야

정보보호 산업체에서는 전문 인력 구하기가 매우 어렵다고 하고 학계에서는 인력은 많이 배출되지만 이들이 정작 취업해서 일을 할 곳이 없다고 하는 이유는 무엇일까?

이에 대해 염흥열 교수는 “300여개 보안업체 중 평균 두 명 정도의 인력을 충원하며 그나마 신입사원들은 채용이 드문 상황이다. 이는 여러가지 이유가 있겠지만, 하나는 정보보호산업체가 실무 능력을 갖춘 당장 현장에서 활용 가능한 경력급 인력 채용을 선호하고 있다는 데에 있으며 다른 하나는 산업체가 원하는 인력의 질적 수준이 대학 등이 제공하는 인력의 질적 수준이 차이가 있다는 것”이라고 지적했다.

즉 예전에는 산업체는 대학이나 대학원을 졸업한 신입 직원으로 채용하고 나서 일정기간 보완교육을 통해 기업에 적합한 인력으로 전환해 사용했는데 1990년 말 IMF 경제위기를 거치면서 평생 직장이라는 개념이 사라지게 됐고 정보보호 기술 및 제품의 수명이 크게 단축돼 정보보호 제품이나 서비스의 생명주기가 매우 짧아짐으로 기인해 기업이 채용 후 바로 제품 개발 및 현장에서 활용할 수 있는 전문적인 지식과 경험을 겸비한 경력직 인력만을 우선적으로 채용하려 하고 있다는 것. 또한 질적 측면에서는 정보보호 인력의 수요와 공급에 있어서 질적 양적 불균형에 문제가 있다고 염 교수는 덧붙였다.

기업이 원하는 경력급 인력은 대학 수준에서 양성하기에는 어려움이 있는 것이 사실이며 결국 대학원 수준에서 양성돼야 하나 대학원을 졸업한 인력 또한 중소 규모의 정보보호 산업체로의 취업을 꺼리는 경향도 있고 대학 및 대학원이 배출하는 정보보호 인력도 주로 이론에 치우치다 보니 실무 및 현장 능력을 갖춘 인력을 원하는 산업체와의 차이가 있다는 의견이다.

그리고 초급 및 보통 수준의 인력 수요가 향후 많아질 경향에 반해 주로 비수도권 대학 위주의 보통 수준 이하의 인력 양성과 수도권 대학 위주의 대학원 위주의 고급 및 특급 인력 양성으로 구분돼 양성되고 있고 정부의 인력양성 지원도 대학원 고급 인력 양성 위주로 지원되고 있는 경향이 있다. 한마디로 말해 정보보호 산업체의 채용 선호 인력의 변화와 대학 등이 배출하는 정보보호 인력의 수준이 산업체에서 요구하는 수준과의 차이에 기인한다고 볼 수 있다.

<글 : 김태형 기자(is21@boannews.com), 호애진 기자(is@boannews.com)>

[월간 정보보호21c 통권 제122호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>