[데이터넷] 국회 과학기술정보방송통신위원회 소속 박완주 의원이 31일 국회의원회관에서 ‘12대 국가전략기술 - 사이버보안 민·관·학·연 전문가 간담회’를 개최했다.
이날 간담회 참석자들의 발표를 들은 박완주 의원은 “전문인력 수급의 어려움이 경쟁력 하락으로 이어진다는 현장의 목소리는 뼈아프다”라며 “사이버보안 분야 중요성이 대두함에 따라 기업 경쟁력 향상에 도움이 될 수 있는 과감한 수준의 예산지원, 제도개선 등의 해법을 살펴보겠다”라고 밝혔다.
그는 이어 “인력양성은 12대 국가전략기술 분야별 근본적 문제인만큼, 범정부적 차원에서 협업해 해결하는 방안을 강구하겠다”라고 말했다.
사이버보안 기술개발 능동적·선제적 추진 강조
코로나19 확산으로 인해 생활 전반이 비대면화 되면서 온라인 교육, 재택근무, 모바일 금융 등 정보통신기술(ICT) 기반 서비스가 우리 생활에 확산되고, 산업 전반에 디지털 융합이 이뤄지면서 디지털 영향력이 커지면서 사이버 위협도 매우 커졌다.
또한, 올해 세계경제포럼에서 ‘사이버범죄 및 불안 확산’을 글로벌 10대 리스크로 선정하기도 했으며, 최근 챗GPT 기술의 등장으로 사이버 공격이 인공지능을 통해 공격 코드를 생성할 수 있기 때문에 누구나 사이버 위협을 할 수도, 받을 수도 있는 환경이다.
이에 정부와 연구계는 변화하는 사이버보안 환경에 효과적으로 대응하기 위해서는 관련 기술개발이 능동적·선제적으로 추진돼야 한다는 데 인식을 같이 했다.
김경우 과학기술정보통신부 정보보호기획과장은 “사이버보안 패러다임 전환에 따른 능동대응 기술개발 추진을 위해 3576억 원의 예타를 우선순위에 두고 오는 6월에 신청할 예정”이라고 전했다.
또한, 정현철 정보통신기획평가원 PM은 “국가 안보·경제를 위협하는 사이버 공격에 대응하기 위해 세계 주요국은 기존 방어 위주 보안전략에서 능동적인 보안전략으로 변화하고 있는 만큼 우리나라도 능동대응 역량을 확보하기 위한 전략이 꼭 필요하다”라며 예타의 필요성을 다시 한번 강조했다.
교육과정·근무환경 개선해 우수인력 잡아야
정부의 사이버보안 기술 개발 계획과 더불어 산·학계 현장의 목소리는 ‘전문인력 부재’ 및 ‘교육과정 개선’에 집중됐다.
한국인터넷진흥원(KISA)이 발표한 자료에 따르면, 국내 시장에서 사이버보안 전문인력 신규 공급은 4229명인 반면 수요는 5953명으로 1724명이 부족하다. 이러한 현상이 반복될 경우 2025년에는 신규 공급 인력이 2116명 부족할 전망이다.
전성학 안랩 연구소장은 “단순히 보안 인력의 숫자만 늘리는 제도로는 실질적 효과를 기대하기 어렵다”라며 “정보보호에 대한 전문적이며 정교한 교육과정으로 개선이 필요하다”라고 주장했다.
김의탁 이스트소프트 연구소장은 “개발자의 수요는 급증하고 있으나 실력 대비 많은 연봉을 요구하거나, 대기업 스카웃 제의 등 중소기업에서 전문인력 수급에 어려움을 겪고 있다”라고 말했다. 이 같은 문제 해결을 위해서는 공공연구기관에 근무하는 비정규직 인력이 민간연구기관 정규직으로 전환할 수 있는 방안이 마련돼야 한다고 제안했다. 점차 줄어들고 있는 사이버보안 분야 대학원생을 대상으로 공공연구기관에서 방학 기간을 활용해 개발자 집체 교육을 시행하는 등 멘토링 교육을 시행하자는 아이디어도 냈다.
원유재 한국정보보호학회(KIISC) 회장은 정보보호 교육과정과 교육 내용을 정비해야 한다고 말했다. 대학마다 교육과정이 상이하고 같은 과정이라도 교육 내용이 천차만별이라는 것이다. 그는 교육이 획일적이어야 할 필요는 없지만, 수요 측면에서 교육과정별 교육 내용이 정리될 필요가 있다고 설명했다.
또한, 사이버보안 업체의 방위산업체 지정 확대 등을 통해 우수인력이 정보보호 분야를 선호할 수 있는 산업체 환경을 조성해야 한다고 강조했다. 처우가 개선되면 청년층이 정보보호 산업계에 보다 적극적으로 참여하게 될 것이란 이야기다.
아울러, 제로 트러스트 보안 전략을 조기 확산해 업무 환경을 사이버침해 사고로 인한 책임에서 자유롭게 하는 등 사이버보안 분야 종사자들에게 소속감·만족도를 향상시킬 수 있는 정책이 지원돼야 한다는 점도 덧붙였다. 정보보호 피해가 발생하면 정보보호 책임자에게 책임을 모조리 뒤집어 씌우는 방식의 ‘희생양 만들기’로는 한국 산업의 정보보호 역량 강화가 요원하다는 의미로 풀이된다.
산업계 발전·육성 아이디어 제시돼
정보보호 기업 간 협업이나 유망 정보보호 기업 발굴 관련 의견이 다수 나왔다.
문성준 한국정보보호산업협회(KISIA) 감사는 “현재 국내기업은 외산 대비 상호연동을 위한 토대가 부족하다”고 언급했다. 특히, API와 API 문서 공개 등이 부족하다는 지적이다. 기업들이 서로 공개를 해야 하는데, 각사가 가진 API 관련 자료 등 ‘카드’를 내놓지 않다 보니, 결국에는 양측이 아무 것도 얻지 못하고 손해만 입는 ‘양패구상’이 된다는 뜻이다.
문성준 감사는 “향후 AI기반 정보보호체계 개편을 위해서는 솔루션 간 상호연동 환경 조성이 필요하다”라고 밝혔다. 다만 업체 간 연동은 사적 자치의 영역인 만큼, 법·제도적으로 강제할 게 아니라 상호연동에 적극적인 기업에게 인센티브를 제공하는 방식 등으로 산업계가 환경 조성을 자율적·능동적으로 하도록 지원하자는 목소리가 산업계에서 나온다.
이어 최병규 NSHC 대표는 “대만이나 일본에서는 글로벌 1위에 준하는 보안회사가 나온 전례가 있지만 우리나라는 아직 없다”라며 “향후 기업을 대상으로 수출하거나 해외에서 일정 성과를 내는 스타 기업 발굴을 통해 전문인력부재 문제를 해결할 수 있다”라고 주장했다.
산업계의 의견에 대해, 정부가 사이버보안 산업 발전·육성을 말하고 있지만 정작 공공 사업에서는 사이버보안 산업의 특성을 무시한 행정이 계속되고 있다는 지적이 다시금 주목을 받는다.
사이버보안 솔루션의 보안패치 및 정책관리에 대한 유지비용이 현실화돼야 한다는 게 대표적이다. 현재는 이 같은 비용을 제대로 산정하지 못하고 있다는 지적이 지속적으로 나오는 실정이다.
소프트웨어와 하드웨어 일체형(SW+HW) 제품의 직접구매 불가능 문제도 있다. 현재 조달청에서는 이 같은 일체형 제품을 SW 직접구매 대상으로 인정하지 않고 있는 것으로 알려져 있다. 산업계에서는 일체형 제품에서 HW가 차지하는 비중이 미미한 만큼, 사실상 SW 직접구매 대상으로 봐야 한다는 입장이다.
정보보호관련 제품인증 등 정보보호산업의 특성을 반영한 대가산정 및 계약제도가 필요하다는 의견도 있다. 특히, 의자나 책상처럼 성능·기능 차이가 크지 않은 물품의 공공 납품을 위해 마련된 다수공급자계약(MAS) 제도가 방화벽 등 정보보호 제품에 단순 적용되는 것을 개선해야 한다는 목소리가 끊이지 않고 나온다. 산업계 관계자는 “정보보호 제품은 초당 처리용량 등 공통적인 사양 외에 각 제품마다 고유한 기술·기능이 적용돼 단순 비교하기 어려운데, MAS 제도에서는 이런 특징이 무시되고 있다”고 짚었다. 수요기관이 사업 목적에 적합한 정보보호 제품을 도입하기 위해서는 정보보호 솔루션 특성에 걸맞은 계약제도 운영이 필요하다는 것이다.
