이기영 지식정보보안산업협회 상근 부회장은 우리나라 정보보호 전문 인력의 근본적인 문제에 대해 “업계에서는 실무가 겸비된 인력을 요구하는 반면 학계에서는 이론 위주의 학습으로 인한 서로간의 눈 높이의 차이에서 온다”며 “정보보호 전문가는 전문가로서의 자질을 갖추기 위해 본인의 심화 노력이 필요하고 전문 기업은 전문기업으로서의 기술력이나 제품력에서 심화시키려는 노력이 필요하다”고 강조했다.

현재 우리나라 보안 전문인력의 부족과 양성의 문제점은.

대부분 학부와 전문대학의 경우, 이론 위주의 교육으로 진행되다 보니 업계에서 채용 후 바로 현업에 투입될 수 있는 실무분야에 대한 경험이 부족하다는 것이 가장 큰 문제다. 따라서 향후에는 학교와 산업계와 공동의 실무위주 커리큘럼도 개발하고 업계 담당자들이 직접 강의도 하면서 산업계에서 필요로 하는 기술과 향후 필요한 기술 등에 대해서도 꾸준히 학계에 전파해 주는 것이 무엇보다 필요하다고 생각한다.

업계에서는 전문 인력이 없다고 하고 관련 학과를 졸업한 사람들은 일할 곳이 없다고 하는데.

학교에서는 제한된 환경 내에서 실습 위주의 강의가 어렵다 보니 교과서 위주의 이론교육에 치중하고 업계에서는 실무위주의 교육받은 인재를 원하지만 이 둘 간의 괴리가 커서 오는 문제라고 본다. 사실 업계에서 바라는 인력들은 석겧迷映事?고급 인력에 대한 대규모 수요는 아니다. 업계들은 잘 훈련된 초급 인력들에 대한 채용 의사가 훨씬 크다. 이들을 채용해서 잘 훈련시켜 기업의 핵심인력으로 키우고자 하는 게 기업들의 희망이지만 구직을 하고자 하는 졸업생들 입장에서는 대부분 중소기업 위주의 정보보안 업체들에 대한 만족도가 떨어지기 때문에 이 분야로 취업을 꺼리는 경향도 강하게 나타난다. 대부분 대기업 및 공기업 등에 막연한 선호와 취업준비로 정보보호를 전공한 학생들조차 정보보안 기업으로 취업을 크게 신경 쓰지 않고 있는 것이 현실이다.

수준 높은 보안 전문인력 양성을 위한 정책이나 방안은.

기업 등에서 요구하는 어느 정도 수준이 되는 인력들을 양성하기 위해 당장 해볼 수 있는 것은 학계와 기업간의 긴밀한 협력을 통해 실무와 이론이 겸비된 교과과정을 별도로 마련해 공동으로 운영하는 것을 고려해 볼 수 있다. 기업에서는 현업에서 필요한 다양한 기술 등에 대한 지식을 제공하고 아울러 실험 및 실습할 수 있는 기회를 제공하고 학교에서는 이들 기업인들이 직접 강의에 참여해 학생들에게 강의할 수 있는 여건을 마련하는 것이 중요하다고 생각한다. 하지만 이렇게 산학이 긴밀히 협의해 상호 관심있는 분야의 공동교과과정을 개설해 운영하기 위해서는 정부의 적극적인 정책적 지원이 필요하다고 생각한다.

기업에서 일하고 있는 보안 전문가들의 처우나 현행 업무에 대한 문제점과 개선점은.

우리나라 대부분이 중소기업이다 보니 직원 처우나 복지 등에 있어서 대기업이나 외국계보다는 열악하다. 이게 바로 학생들이 취업을 꺼리는 요인 중 하나로 작용하기도 한다. 중소기업들이 대기업 수준의 급여나 직원복지를 하루아침에 높이는 것은 어렵다. 하지만 나름대로 중소기업만이 가질 수 있는 소규모의 기업 문화를 만들어가면서 직원들이 가족이라는 느낌을 갖고 업무에 충실히 할 수 있는 각 개별 기업마다의 문화를 만들어 가는 것이 중요하다고 생각한다. 또한 내가 일조해서 크게 만든다는 자부심과 과정의 성취감을 느끼는 것도 중요하다. 사회 전반적으로 정보보안에 대한 중요성 확산과 이로 인한 제대로 된 정보보안 시스템 및 솔루션 구축 등을 통한 기업의 매출 향상으로 이어지고 결국 매출 향상으로 얻어진 수익 등을 직원들을 위해 재투자할 수 있는 사회적 선순환 분위기가 만들어져야 될 것으로 본다.

보안 전문가 양성을 위해 지식정보보안산업협회는 어떤 노력들을 하고 있나.

협회에서는 자체 교육을 통한 재직자 직무 능력향상 교육과 KISA 등과의 협력을 통한 Skill-Up 교육 등에 주력하고 있다. 금년의 경우 지난해에 이어서 추경관련 인력양성 사업의 일환으로 정보보안기업들의 신규 인력 채용에 따른 교육과 고용 지원금 지원사업을 계속 수행하고 있다. 또한 처음으로 업계 재직자들의 직무능력 향상 지원을 위한 사업인 ‘지식정보보안 핵심인력 양성 Skill-Up 교육’을 진행하고 있다. 이 사업은 금년도 총 5개 과정(침해사고 및 DDoS 대응실무, 차세대 웹2.0 환경을 위한 보안실무, 정보보안관제 실무, 지식정보보안 전문가 취업준비를 위한 OJT 및 TCP/IP 취약점 및 유무선 네트워크 패킷 분석 실무과정)을 개설해 현재 4개 과정이 진행 중이다. 

보안 전문가가 되려면 어떤 노력을 해야 하는가.

어떤 분야든지 해당분야에서 뛰어난 전문가가 되기란 쉬운 일은 아니다. 자기심화를 위한 시간과 노력이 수반돼야 할 것이다. 정보보안도 마찬가지다. 처음에는 개인적인 관심에서 시작하지만 능력있는 전문가가 되기 위해서는 제대로 된 교육을 받고 현장에서 다양한 실무를 경험해야 진정한 전문가로 거듭날 수 있다. 현재 각 대학에 개설돼 있는 정보보호관련 학과에 재학중인 학생들도 학과 내 커리큘럼에만 국한돼 공부를 하기보다는 이들과 연관된 다양한 학과의 전공들에 대해서도 관심을 가져야 할 것으로 본다. 관련분야인 컴퓨터공학이나 전자공학 등에 대한 학습이 전체 정보보안 분야에 대한 지식을 습득하는 데 무엇보다도 필요하다고 생각한다. 결국 정보보안 전문가로 성장하기 위해서는 철저한 윤리의식을 가지고 이론적인 지식에 대한 바탕 위에 다양한 환경의 경험들이 충분히 축적돼야 가능할 것으로 본다.

기업에서 보안 전문가들의 처우 개선이나 업무활동 보장을 위해 우선 해야 할 것은.

우선 정보보안에 대한 사회적인 인식의 확산이 무엇보다 필요하다. 열악한 근무여건에 비해 급여나 직원 복지가 그래도 일정 수준이상 된다면 괜찮을 텐데 급여 등은 통상적인 IT업계에 비해 더 낮은 것이 현실이다. 이렇다 보니 우수 인력들이 보안분야로 유입되지 않는 악순환이 반복되고 있다. 결국 기업들에서는 고부가가치의 정보보안 제품 개발로 기업 수익 개선을 통해 이러한 부분들이 기업 내 조직원들에 재투자되고 이를 통해 또 우수 제품개발로 기업 수익이 또 향상되는 등의 선순환구조를 만들도록 해야 한다. 이는 개별 기업들의 노력만으로는 어려울 것으로 보이며 사회 전체적으로 정보보안에 대한 인식확산과 제품에 대한 제값 주기 운동 등이 전개돼야 가능할 것이다.

<글 : 김태형 기자(is21@boannews.com), 호애진 기자(is@boannews.com)>

[월간 정보보호21c 통권 제122호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>