국내 보안인력 공급, 수요의 20%뿐

한수원 해킹사건으로 살펴 본 보안 인력 실태

2017년까지 1만6000명 필요
공급인력은 3000명 불과…그나마도 초급수준에 몰려
정보보호 기업의 투자 절실

해킹으로 원자력발전소 도면 등 내부 문건이 유출된 한국수력원자력의 전체 직원은 1만9600여명. 이 중 보안담당 인력은 0.3%에 못 미치는 53명이다. 이 가운데 해킹을 잡아내는 사이버 관제센터 인력은 9명. 53명 가운데 34명은 보안 외에도 다른 업무를 맡아 ‘겸직’하고 있다.

정보보안 업계에서 한수원이 보안 인력에 대한 최소한의 투자도 없었다고 평가하는 이유다. 비단 한수원만의 문제는 아니다. 보안에 대한 투자 소홀과 낮은 인식, 이로 인한 인력 부족은 국내 전 산업 분야에 걸쳐 나타나고 있다는 지적이다.

○정보보호 인력 “만성 부족”

국내 정보보호 인력은 공급이 수요를 따라가지 못하고 있다. 한국인터넷진흥원(KISA)이 2012년 내놓은 ‘정보보호 인력수급 실태조사 및 분석전망’ 보고서는 2013년부터 2017년까지 5년간 정보보호 분야에서 1만6197명의 신규 인력이 필요할 것으로 내다봤다.

하지만 공급 인력은 약 18.6%인 3006명에 불과할 것으로 예상했다. 전체 수요의 5분의 1에도 못 미친다. KISA 관계자는 “올해 인력 수급 현황을 새로 조사하고 있어 변동 사항이 생길 수도 있을 것”이라면서도 “국내 정보보호 인력이 장기간에 걸쳐 부족 사태를 겪고 있는 것은 맞다”고 말했다.

이대로라면 제2·제3의 ‘한수원 사태’가 터져도 이상할 것이 없다는 지적이 나온다. 김승주 고려대 정보보호대학원 교수는 “보안은 장비 제도 인력의 삼박자가 맞아야 하는데 국내 보안 실태는 세 가지 모두 미흡하다”며 “이 가운데 보안 인력에 대한 인식은 상당히 낮고 인력 자체가 부족한 상태”라고 지적했다.

보안 인력의 구조를 살펴보면 문제는 더 심각하다. 지난해 국내 정보보호 산업에 종사하는 인력중 초급 수준 인력은 1만3753명이지만 최상위인 특급 인력은 3분의 1에 불과한 5008명이다. 조사에 따른 구분이 아닌, 현장에서 실력을 발휘할 전문인력은 더 부족하다는 얘기가 나온다. 국내 보안전문기업 관계자는 “역피라미드 구조는 어느 업계나 자연스러운 것이지만 보안 전체를 조망할 고급 인력이 크게 부족하다”며 “시스템통합(SI) 관제 수준의 초급 인력만 몰리고 있어 고민”이라고 말했다.

○보안인식 수년째 ‘제자리걸음’

보안 전문인력 양성이 더딘 이유는 국내 보안 사업으로는 큰돈을 벌기 어렵기 때문이다. 정부는 지난해 7월 ‘국가사이버안보종합대책’을 발표하고 2017년까지 사이버 핵심 인력 5000명을 양성하겠다고 공언했다. 하지만 다양한 인력 양성 시스템을 가동해도 배출된 인력이 충분한 금전적 보상을 받을 수 없다면 공염불에 그치게 된다.

보안 인력에 재투자할 글로벌 수준의 정보보호 기업이나 정부기관이 없다. 임종인 고려대 정보보호대학원장은 “미국은 시만텍 트렌드마이크로 등 글로벌 기업은 물론 미국 국가안보국(NSA)에서도 정보보호 인력에 엄청난 돈을 투자하고 급여 수준도 높다”며 “국내 기업이나 국정원이 이처럼 투자하기에는 예산 등 다양한 면에서 역부족”이라고 평가했다.

‘보안=SI’로 인식하는 국내 기업과 기관의 인식도 문제다. 한번 보안솔루션 공급계약을 맺으면 하도급업차처럼 부리고 있다. 한 국내 보안기업 관계자는 “보안 서비스에는 보안관제 등 SI 요소가 포함돼 있어 서비스 산업이라는 인식이 강하다”며 “해외에서는 솔루션을 주로 판매하고, 서비스에 대한 가격은 따로 받는데 국내 기업들은 한 번에 다 해결하려 한다”고 하소연했다.

해외에는 보안 전문가 가운데 ‘스타’가 많다. 구글 크롬 보안 담당자로 ‘보안 공주(security princess)’로 불리는 패리사 타브리즈가 대표적이다. 임 원장은 “보안을 통해 해킹을 100% 막을 수는 없지만 선제 대응은 얼마든지 가능하다”며 “현재와 같은 투자 규모라면 사태가 터지고 난 뒤 우왕좌왕하며 ‘뒷북’만 칠 수밖에 없을 것”이라고 지적했다.

김보영 기자 wing@hankyung.com