정보유출사태 반복되는 이유

▲ 정보보호가 중요해지면서 사이버보안 전문가가 부족하다는 지적이 일고 있다.[사진=더스쿠프 포토]

개인정보 유출사건 등 인터넷 기반사회의 취약성이 드러나면서 ‘정보보호’가 더욱 중요하게 인식되고 있다. 하지만 이런 문제를 해결할 능력이 있는 사이버보안 전문가는 턱없이 모자라다. 국내에는 200여명의 사이버보안 전문가가 있는 것으로 추정된다. 미국ㆍ중국ㆍ북한에 비해 적게는 10배에서 많게는 100배 정도 적은 수다.

인터넷 기반사회의 취약성이 드러나고 있다. 3ㆍ20 인터넷 사고(2013년ㆍ언론사ㆍ은행 사이버 테러)와 카드사 개인정보 유출사건(2014년)이 터지면서다. 정보보호가 그 어느 때보다 중요한 분야로 인식되고 있는 이유다. 한편에선 ‘정보보호 전문가가 부족한 게 아니냐’는 목소리도 나온다. 그럼 정보보안 전문가는 무엇을 하는 사람일까.

▲ [더스쿠프 그래픽]
국내에서 정보보호를 위해 일하는 이들은 얼마나 될까. 흔히 말하는 정보보호 전문가란 넓은 의미에서 조직 내 정보보호 환경 구축을 위해 전문지식을 보유한 인력이다. 정보보호 전반에 걸친 업무를 담당하고 있다. 국내 정보보안 종사자는 8만명 미만으로 집계된다. 정보보호 정책개발, 보안솔루션 개발, 정보보호 제품홍보, 보안 컨설턴트 등이 이에 속한다. 정보보호 전문가 중 사이버보안 전문가는 사이버상 모의침투, 비정형화된 공격, 침투 탐지ㆍ분석과 대응이 가능한 인력이다.

이런 인력이 얼마나 되는지 공식적으로 집계하는 기관은 없지만 국내에서 개최되는 해킹방어대회나 관련 기관의 직원수, 민간분야 전문가 등을 고려하면 200여명으로 추정된다. 미국ㆍ중국ㆍ북한에 비해 턱없이 적은 수다. 적게는 10배에서 많게는 100배 정도 차이가 나는 것으로 알려졌다. 사이버보안 전문가를 확보하고 있는 국가들은 정부 차원의 인력양성 정책을 통해 사이버보안 투자를 아끼지 않고 있다.

미국ㆍ영국ㆍ이스라엘 등 해외에선 일찍이 사이버보안 전문가 양성이 국가안보는 물론 국가경쟁력과 직결돼 있음을 인지하고 사이버위협으로부터 안전한 정보통신환경을 조성하기 위해 전략적으로 사이버보안 정책을 추진해왔다. 미국의 경우, 2013년부터 국방부 사이버사령부를 중심으로 국가기관과 민간기업을 대상으로 광범위한 사이버 공격에 대응하고 있다.

미국은 2015년 말까지 100개 이상의 사이버팀을 구축하고, 현재 사이버보안부대 인력 900명을 4900명까지 확대할 계획이다. 또 다양한 사이버보안 분야의 교육 프로그램을 개설해 기본부터 제대로 교육ㆍ훈련 받은 인력을 적기에 양성하고 적소에 배치하기 위해 노력하고 있다.

IT강국, 보안은 ‘취약 ’

▲ 사이버보안 전문가 양성은 국가안보는 물론 국가경쟁력과 직결된다.[사진=뉴시스]
영국은 전국민 사이버 보안의식 강화에 중점을 두고 있다. 영국 정부는 2011년 국가 사이버보안 전략을 수립하며 총괄기구로 정보통신사령부를 설립했다. 이를 통해 국가기관의 사이버보안ㆍ범죄 수사력 강화, 산학 연계를 통한 정보 공유와 교육, 국제 협력 체계 구축 등의 정책을 펼치고 있다. 또 영국 국방부 산하에 영국군을 지원하기 위한 사이버 예비군을 창설하고, 사이버 공격 대응 전문가 양성 과정을 개설하는 등 대학과의 협력을 통해 사이버 전문 인력을 양성하고 있다.

이스라엘의 경우, 2002년 사이버 전담부대를 창설해 사이버전 대비책을 수립하고, 방어시스템을 만드는 등 다각도로 노력하고 있다. 인력양성 과정 측면에선 2011년부터 이스라엘 국가 사이버 행정부를 주축으로 사이버 보안 산업 발전, 교육 프로그램 개발에 주력하고 있다.

▲ [더스쿠프 그래픽]
이제 국내를 보자. 정보보호 인력양성과 인식제고는 미래창조과학부와 한국인터넷진흥원(KISA)의 중요한 사업 분야 중 하나다. 정보보호 전문 교육센터인 KISA아카데미는 1996년부터 개인정보보호 교육을 포함해 정보보호 전문 인력을 양성해왔다. 특히 미래창조과학부와 한국인터넷진흥원은 국가 사이버위기에 대응할 수 있는 인력을 양성하기 위해 지난해부터 ‘최정예 사이버보안인력 양성사업’을 시작했다. 2017년까지 총 5000명을 양성하는 것을 목표로 하고 있다.

교육과정은 지능형지속보안위협(APT), 분산서비스거부(DDoS) 공격에 대한 대응과 악성코드 분석, 모의침투 등의 프로그램으로 구성됐다. 한국인터넷진흥원은 이 교육과정을 운영하기 위해 KISA아카데미 내에 100명이 수용 가능한 사이버훈련장(Cyber Range)을 구축했고, 교육플랫폼과 콘텐트를 개발했다. 최정예 사이버보안인력 양성사업은 2차에 걸친 단계별 평가시스템으로 운영된다. 이론과 실습교육을 받은 교육생을 대상으로 필기•실기평가를 실시한다. 이후 사이버보안 가상시나리오 기반 훈련 등 사이버공격ㆍ방어 실전대응 훈련을 실시한 후 종합 역량 평가를 통해 120명을 최종 인증한다.

특히 협업이 필수적인 보안업무 특성을 감안해 팀 훈련을 적용하고, 기존의 민간 교육 시스템에서는 접할 수 없었던 CTF(Capture the Flag) 훈련 프로그램을 접목함으로써 지식 공유를 통한 대응이 가능하도록 구성했다. 2013년 1기 최정예 사이버보안 인력으로 인증된 인력은 평균 6년 이상 정보보호분야에서 보안 담당 재직자로 지원인력 중 10대1이 넘는 경쟁을 뚫고 선발됐다. 최정예 1기 인력으로 인증받은 교육생들은 참여했던 최정예 사이버보안 교육을 “현업에 도움이 되는 교육”이라고 말한다. 특히 3ㆍ20 사이버테러를 재구성해 시나리오 기반으로 한 공격 대응 훈련은 국내에선 처음으로 시도되는 방식이다.

사이버보안 전문가, 2017년 5000명 목표

이렇게 양성된 사이버보안 전문가들은 정보보호 분야 멘토링 제도에 참가하거나 정보보호 분야 강사, 사이버 사고 조사 시 전문가로 활동할 수 있을 것을 기대된다. 이와 더불어 미래창조과학부와 국방부는 최정예 사이버보안 과정으로 양성된 사이버보안 전문 인력이 군에서도 재능을 발휘할 수 있는 방안을 검토 중이다. 그들의 경력단절 문제를 해결하는 동시에 군 사이버보안 전문 인력도 확보한다는 취지다. 최정예 사이버보안인력 교육과정을 통해 배출된 인재가 국방부 사이버사령부 사이버 전문가로 군복무를 마치고, 이후 취업이나 진학까지 지원하고, 사이버 예비인력으로 활동할 수 있는 시스템도 갖추는 방안을 마련하고 있다.
이윤수 한국인터넷진흥원아카데미 센터장 yslee@kisa.or.kr

저작권자 © 더스쿠프 무단전재 및 재배포 금지

개의 댓글

0 / 400
댓글 정렬
BEST댓글
BEST 댓글 답글과 추천수를 합산하여 자동으로 노출됩니다.
댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글수정
댓글 수정은 작성 후 1분내에만 가능합니다.
/ 400

내 댓글 모음