정보보호 인력의 특성화·고급화와 더불어 보안 윤리의식 및 사명감 부여 필요

[보안뉴스= 하재철 호서대학교 정보보호학과장] 필자가 대학에서 전자공학을 전공하고 군에서 통신장교로 근무하던 시절이 있었다. 당시에는 통신보안을 위해 암호문을 수기로 작성해 교신하는 것이 불편하기도 했고 비표를 관리하기도 힘들었다. 제대 후 그 불편함을 조금이라도 해소할 수 있는 음성 비화기 같은 것을 만들어 보았으면 하는 나름의 사명감을 가지고 대학원 공부를 시작한 것이 정보보호 분야에 발을 디디게 된 계기가 됐고, 그것이 어언 30여년 전의 일이 됐다.


그 동안 정보보호는 확산 규모나 중요도 측면에서 개인이나 기업의 정보 가치를 지켜주는 절대적인 요소가 됐으며, 국가 산업 전반에서 차지하는 비중이 비약적으로 증대되어 왔다. 또한, 정보보호 산업에 대한 지속적인 지원과 육성, 그리고 연구개발 노력을 통해 이제 ICT 산업의 변방에서 중심적인 분야로 자리매김하고 있다. 특히, ICBM(IoT, Cloud, Big Data, Mobile)으로 일컬어지는 차세대 산업을 지원하는 부가적인 요소가 아니라 ICBMS(ICBM+Security)라는 경제 성장동력의 한 축을 담당하게 됐다.

정보보호를 바라보는 일반인들의 시각도 많이 변했다. 초기 정보보호에 대한 생각은 학문적으로 너무 어렵고 생소하면서도 사용자의 편의성을 감소시키는 불편한 존재로 인식되고 있었다. 또한, 기업의 제품개발자에게는 시스템의 성능을 저하시키고 가성비를 낮추어 가격 경쟁력을 감소시킴에도 어쩔 수 없이 갖다 붙여야 하는 계륵(鷄肋)과 같은 존재로 인식되기도 했다.

하지만 7.7 인터넷 대란, 개인정보 대량 유출, 그리고 한수원 사태와 같은 대형 사이버 해킹 사고를 통해 그 피해 당사자가 자기 자신이 될 수 있으며 그로 인한 피해 규모가 생각보다 크다는 것을 알게 됐다. 특히, 해킹이 사이버 전쟁이나 테러에 활용되는 국내외 사례를 접하면서 국방, 금융, 관공서, 주요 국가기반시설 관리기관에서도 정보보호의 중요성을 체감하게 됐다. 달갑지 않지만 우리나라에서 발생한 크고 작은 해킹이나 보안사고들이 오히려 정보보호 산업을 성장시키는 동력으로 작용한 것도 사실이다.

이렇게 우리나라의 정보보호 산업이 발전하는 과정을 거쳐 현재는 정보보호에 대한 일반 대중들의 인식 변화, 보안시설 및 인프라의 확대, 정보보호 기술 향상 및 국제화, 이를 시행하기 위한 법적·제도적 장치들이 마련되고 안정화되어 가고 있다. 다만, 이러한 성장기에서 한번 짚어보고 싶은 점은 정보보호 인력, 통칭해서 정보보호산업 종사자에 관한 것이다. 지난 일이지만 소위 정보보호가 뜨는 시절에는 여론 전문조사기관이나 교육기관에서 향후 각광받는 직업군에 대한 선호도 조사를 하면 정보보호 전문가가 상위 자리를 차지하곤 했다.

최근에는 수도권을 중심으로 많은 대학에서 정보보호나 사이버 보안 관련 학과를 신설하고 있고, IT 인력 구조 개편을 통해 정보보호 인력은 점차 늘어날 것으로 전망된다. 2016년 국가정보보호백서에 따르면, 2015년 말 기준으로 정보보호 업무 종사자는 약 3만 5천명으로 추산되고 있으며, 기업의 신규 채용 계획에 의하면 2,500여명(신규 1,000명, 경력 1,500명)이 필요한 것으로 조사됐다. 이에 반해 전문대학 이상 정규 교과 과정 재적 학생 수는 8,300여명이며 배출 인력은 연간 1,100여명으로 증가 추세에 있는 것으로 알려졌다.

대학에서 인력을 양성해 온 필자의 입장에서 볼 때 정보보호라는 분야가 전산, 통신, 수학, 전자공학 등 여러 가지 학문 요소들이 많이 융합된 것이다 보니 때로는 깊이는 떨어져도 이것저것 다 아는 종합형 인재가 필요하다는 것에도 공감한다. 하지만 정보보호라는 학문 특성을 보면 공격자로 불리는 해커들은 방어자나 관리자에 비해 절대적으로 적은 자원을 가지고도 시스템의 치명적인 약점을 공격해 마비시키는 것을 특징으로 한다.

이러다 보니 방어자는 해커에 비해 보다 앞선 생각을 하며, 항상 기술적 우위를 점할 수 있는 고도화된 능력을 갖추고 있어야 한다. 그러한 측면을 고려해 보면 정보보호 인력의 양적 성장도 중요하지만 정예화되고 우수한 인재를 키워야 한다는 전략이 더 설득력을 얻을 수 있다.

따라서 국가 차원에서 정보보호 인력에 대한 특성화와 고급화 사업을 적극 추진해야 할 시점이라고 여겨진다. 더구나 대학의 학령인구 감소라는 시대적 흐름을 감안하면 정보보호 인력 구조는 양적 확대보다 집약화와 고도화가 필요하다. 최근 국내 DEFKOR와 같은 팀들이 DEFCON과 같은 유수의 해킹방어대회에 참여해서 좋은 성적을 거두어 우리나라의 정보보호 수준을 과시하며 위상을 드높인 사실은 시사하는 바가 크다.

향후에는 더욱 지능화되고 첨단화된 사이버 공격들이 예상되므로 이러한 공격에 능동적으로 대응할 수 있는 창의형 인력을 육성하기 위한 인재양성 프로그램에 대한 지원이 긴요하다. 인력의 고급화 및 특성화 전략은 정보보호 관련학과가 있는 대학 및 대학원에 적용할 수 있으며 별도의 영재 발굴 프로그램에 활용될 수도 있으리라 본다.

또한, 정보보호 직무 종사자들은 자신의 업무에 대한 윤리의식과 사명감이 절대적으로 필요하다고 생각된다. 필자가 서두에 정보보호 분야에 진입하게 된 사연을 소개한 것은 정보보호 인력은 단순히 기능인이나 직업인으로서의 자세를 넘어 공익을 위해 일한다는 사명감과 긍지를 가졌으면 하는 바람에서였다. 우리는 윤리의식이 결여된 정보보호 인력이 그 역량을 발휘할 곳이 없어진다면 어설픈 기술을 가진 사이버 범죄자로 전락할 수 있음을 늘 간과해서는 안 된다.

정보보호 인력의 이직률이 타 직종에 비해 높다는 것은 시대 흐름에 맞게 산업 자체가 역동성 있게 움직인다는 긍정적인 면도 있겠지만, 자신의 역할과 기여도에 비해 사회적 대우나 위상에 만족하지 못하다는 반증일 수도 있다.

따라서 정보보호 산업에 종사하는 정보보호인들이 그저 평범한 관리자, 개발자가 아니라 국가나 조직, 개인의 안위를 지켜주고 건강한 사회를 만든다는 첨병의식과 사명감을 가지고 일할 수 있도록 사회적 분위기가 조성되고, 그러한 직무 수행 생태계가 만들어지기를 기대해 본다.
[글_ 하재철 호서대학교 정보보호학과장(jcha@hoseo.edu)]

필자 소개_ 호서대학교 하재철 교수는 현재 호서대학교 정보보호학과 학과장과 호서대학교 공학교육혁신센터장을 겸임하고 있다. 한국정보보호학회 부회장 및 한국산학기술학회 이사와 한국정보보호학회의 논문지 편집위원장으로 활동하고 있다. 이와 함께 정보보호 제품 인증 평가위원 및 정부기관 등에서 자문위원을 맡고 있다.
[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>