산업뿐 아니라 사회 전반적으로 디지털 기반의 서비스와 인프라가 증가하면서 이를 노리는 사이버 침해 활동이 급증하고 있다. 이에 따라 사이버 보안은 산업과 공공 분야를 막론하고 선택이 아닌 필수가 되었다. 하지만 현장에서는 급증하는 사이버 보안 수요에 비해 보안 전문 인력이 부족하다는 호소가 이어지고 있다. 이처럼 부족한 정보 보안 인력의 현황과 그 원인은 무엇인지 살펴봤다. 또한 현재 국내 대학교의 주요 보안 관련 학과도 소개한다.

확대되는 정보 보안 시장

정보 보안에 대한 니즈가 갈수록 늘어나고 있다. 모든 산업이 디지털화되고 누구나 쉽게 디지털 환경에서 활동하는 세상이 도래하면서 해킹이나 사이버 범죄의 위협도 증가한 탓이다. 여기에 과거에는 해킹이 전문 교육을 받았거나 디지털 기기 조작에 익숙한 젊은 층만이 시도할 수 있는 기술로 여겨졌으나 AI(인공지능), 클라우드 등이 등장하면서 디지털 기기에 숙달되지 않아도 누구나 손쉽게 사이버 범죄를 저지를 수 있는 환경이 만들어졌다. 마음만 먹으면 누구나 해킹을 시도할 수 있는 환경이 구축되면서 이를 막아낼 수 있는 정보 보안이 덩달아 주목받고 있는 것이다.

실제로 한국정보보호산업협회(KISIA)가 조사한 2023년 국내 정보보호산업 실태조사에 따르면 2022년 국내 보안 시장 규모는 16조 1804억 원으로 전년 대비 16.7% 성장한 것으로 나타났다. 특히 정보 보안은 전체 시장의 34.7%인 5조 6171억 원 규모이었으며 성장률은 23.5%로 나타나 급격히 성장하고 있음을 알 수 있었다.

정보 보안 시장이 성장하면서 정보 보안에 탁월한 능력을 보유한 전문 인력에 대한 수요 역시 늘어나고 있다. 2022년 보안 기업 전체 종사자 수는 6만 4831명으로 전년 대비 2% 늘어났다. 주목할 점은 정보 보안 인력은 29.9% 확충된 반면, 물리 보안 인력은 8.8% 감소했다는 것이다.

이처럼 정보 보안 인력에 대한 니즈가 늘어나고 있지만 실제 기관이나 기업에서는 현장에서 일할 수 있는 핵심 정보 보안 인력이 부족하다며 인력 부족을 호소하고 있다. 2021년 국가정보원이 발간한 '2021 국가정보보호백서'에 따르면 한국의 보 인력은 2021년 이후 5년간 1만 명 가량이 부족해 사이버 공격에 원활히 대응하기 어려울 것으로 전망되었다.

이는 비단 국내 보안 기업만의 문제가 아니다. 글로벌 사이버 보안 기업인 포티넷의 조사에 따르면 응답자의 절반 이상이 사이버 보안 인재 채용이 어려우며 현재 인력을 유지하는 데도 어려움을 겪고 있다고 답했다. 스플렁크의 '2023 보안현황 보고서'에서도 응답한 기업의 88%가 핵심·숙련 인력, 인력 확충 등 인재 확보에 어려움이 있다고 밝혔으며 55%의 기업은 경기 침체에 따라 인재 채용과 유지가 더욱 힘들어질 것이라고 답했다.

이처럼 정보 보안의 중요성이 늘어나면서 일자리도 확충되는데 정작 일할 사람은 없는 독특한 상황의 원인은 무엇일까?

정보 보안 전문 인력이 부족한 이유는?

정보 보안 업계에서는 전문 인력 확충이 어려운 이유를 아직도 보안 전문가를 개발자의 하위 분야로 생각하는 조직의 인식과 열악한 근무 환경, 처우로 꼽았다. 정보 보안의 개념이나 필요성을 제대로 인식하지 못하는 조직에서는 정보 보안 전문가를 개발자, 혹은 IT 관련 인력 정도로 뭉뚱그려 생각하는 경향이 크다. 그래서 전문 능력이 없는 개발자를 정보 보안을 책임지는 자리에 앉히거나 아무런 관련이 없는 IT 인력을 정보 보호 인력으로 채용하는 경우도 많다.

여기에 열악한 근무 환경과 처우도 문제다. 해커들과 사이버 범죄는 시간이 갈수록 정교해지고 빈번해지고 있다. 실제로 대다수의 보안 인력들은 매일 수없이 발생하는 사이버 침해와 관련 긴급 이슈만을 막다가 시간이 지나가 버린다고 말한다. 조직의 보안 시스템을 천천히 구축하고 싶어도 그럴 여력 자체가 안된다는 뜻이다.

여기에 공격이 감지되면 밤이나 새벽에도 업무에 바로 투입되어야 하고 실수로라도 공격을 허용했을 때는 책임 문제도 피할 수 없다. 일부 기업에서는 사이버 공격 허용의 책임을 빌미로 퇴사를 요구하는 사례도 있었다. 밤낮없이 긴장하며 보안 시스템을 구축해도 조금만 방심하면 바로 시스템이 뚫려버리기 일쑤다. 임금도 역시 타 IT 업계의 절반 수준에 불과하다. 이런 상황에 번아웃이 와 업계를 떠나버리거나 관두는 이들이 많다는 것이다.

채용 자체도 힘들고 어렵게 채용해도 금방 관두는 이들이 많은 현실에 정부가 직접 지원을 나서기도 했다. 정부는 보안 업계의 만성 인력 부족 현상을 해소하기 위해 2022년 7월, '사이버 보안 10만 인재양성계획'을 발표한 바 있다. 2026년까지 사이버 보안 재직자 6만 명, 신규 4만 명을 양성하겠다는 야심찬 계획이었다. 이를 위해 실제로 2023년 정보 보호 특성화 대학을 추가하고 화이트햇스쿨, 시큐리티 아카데미 등이 신설되었다. 실전형 사이버 훈련장의 규모도 확대하며 정보 보호 전문 인력 양성의 기반을 조성하는 데 힘쓰고 있다.

주요 대기업에서도 정보 보호 전문 인력을 늘리려는 시도를 이어가고 있다. 최근 1년간 정보 보호 전담 인력을 70% 가까이 늘린 곳도 있고 정보 보호 인력 비중을 두 자릿수까지 늘린 기업도 소수지만 등장하고 있다.

이처럼 정부와 기업이 앞장서서 정보 보호 인력 확충을 위한 노력을 기울이고 있지만 업계에서는 보다 세부적이고 체계적인 지원이 필요하다고 말한다. 업계의 파이를 늘리는 지원도 필요하지만 직무별 인력 현황 파악은 물론이고 현장에서 일하고 있는 정보 보호 인력에 대한 처우 개선과 양질의 근무 환경이 조성되어야 비로소 장기간 일할 수 있는 정보 보호 인력이 늘어날 수 있다는 것이다.

정보 보호 전문 인력이 되려면 어떻게 해야 하나?

여러 잡음이 새어 나오고 있지만 정보 보호 전문 인력에 대한 수요가 늘어나고 있는 것은 부정할 수 없는 사실이다. 그렇다면 이제 막 사회로 진출한 사회 초년생들이 정보 보호 전문 인력이 되기 위해서는 어떤 과정을 거쳐야 할까?

가장 쉬운 방법은 정보 보안 및 정보 보호 관련 학과에 진학하는 것이다. 현재 국내에 존재하는 정보 보안 및 정보 보호 관련 학과는 32개 학교 33개 학과다. 대부분 정보보안학과라는 이름으로 학과가 개설되어 있지만 스마트 보안학부, 융합정보보안전공 등 다른 이름으로 존재하는 학과도 있으니 확인하고 지원해야 한다. 대부분의 정보 보호 관련 학과는 수시 모집으로 학생을 뽑고 있으며 대학원은 대학별로 모집 기간이 달라 지원 기간을 유심히 살펴야 한다.

수시나 정시 외 전형, 성적 반영 없이 학생을 뽑는 정보 보호 전문학교도 있다. 대표적인 곳이 한국IT전문학교 정보보안학과로 여기서는 정시 합격자 발표 기간 잠재 능력 평가와 면접을 통해 신입생을 선발하고 있다. 4년제 학사학위 취득과정으로 운영되는 한국IT전문학교 정보보안학과는 자격증 연계 수업을 실시하고 실무형 인재 양성을 목표로 하고 있다.

관련 학과에 진학하지 못했어도 관련 자격증을 취득해 업계 진출을 노릴 수도 있다. 업계에서 인정하는 보안 분야 전문 자격증은 정보보안기사-정보보안산업기사, ISMS/ISMS-P 인증심사원, 산업보안관리사, 금융보안관리사, 정보처리기능사, 정보처리산업기사, 네트워크관리사, 리눅스마스터 등이다.

해외에서 정보 보호 전문 인력으로 활동하기 위해서는 CISSP, CCSP, SSCP, CISA, LPIC, CCNA/CCNP 등의 자격증이 있으면 도움이 된다. 상술한 자격증은 대부분의 IT 전문 학원이나 교육원에서 수업을 진행하고 있으니 관심이 있다면 교육을 받아 자격증 취득을 노려 보는 게 좋다.

정보 보안 분야는 앞으로도 꾸준히 성장이 예측되는 블루오션이다. 지금 당장은 보안 전문가에 대한 인식이 명확하지 않고 근무 환경도 열악한 부분이 많지만 시장 자체가 넓어지면서 이 같은 단점들은 하나씩 개선될 것으로 보인다.

김민진 기자 다른기사 보기