Home > 전체기사
[주말판] 재앙과 같은 보안 인재난, 문제와 해결책은?
  |  입력 : 2019-03-16 18:38
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
채워지지 않은 인력이 290만 명...작년에 비해 100만 명이나 증가
성별과 기술의 다양성도 부족...인구 감소 고려하면 모든 분야가 경쟁 상대


[보안뉴스 문가용 기자] 2018년 말, 전 세계적인 보안교육 기관인 (ISC)2가 사이버 보안 산업 내 인력 부족이 심각한 수준이라는 내용의 보고서를 발표했다. 모자라는 인원이 무려 290만 명이라고 했다. 그로부터 불과 1년 전인 2017년에 발표된, 똑같은 내용의 보고서에서는 모자라는 인력이 190만 명이라고 했었다. 정말로 불과 1년 만에 1/3이 증가한 것이다. 이런 급증에 대한 여러 가지 해석이 가능하겠지만, 이 분야가 점점 더 많은 사람을 필요로 한다는 것 하나만큼은 분명해 보인다.

[이미지 = iclickart]


인력 부족의 이유는 다양하고, 그 중 하나가 교육 시스템이다. 어린 학생들을 사이버 보안 전문가로서 양육하고 산업 현장으로 적극 인도할 만한 교육적 기회가 아직 풍성한 것과는 거리가 멀다. 2017년 맥아피(McAfee)가 조사한 바에 의하면 영국 성인의 70%가 “공교육 과정에서 IT 및 디지털 기술에 대해 충분히 접할 수 없었다”고 느끼고 있으며, 88%는 “사이버 보안이라는 분야에 대해 학창시절에는 알지 못했다”고 답했다. 20%는 “IT 관련 수업이 좀 더 재미있었다면 사이버 보안으로의 진출도 생각해봤을 듯하다”고 답하기도 했다.

이런 통계 결과가 그려주는 그림은 명확하다. 현대의 공교육 과정과 사이버 보안이라는 산업이 부드럽게 연계되지 않고 있다는 것이다(물론 공교육이 인재 부족에 대한 모든 책임을 가지고 있다는 뜻은 아니다).

공교육과 산업의 연계
영국의 비영리 국제인증기관인 크레스트(CREST)의 회장 이안 글로버(Ian Glover)는 “영국 중등교육 과정에서의 정보통신 기술과 관련된 학과 과정은 꽤나 훌륭한 편”이라고 평가한다. “그러나 그 과정을 제대로 교수할 수 있는 학교나 기관의 수가 부족한 상황이죠. 가르칠 건 있는데, 가르칠 곳 혹은 사람이 부족한 현상이 영국의 문제입니다.”

그래도 이 문제는 개선의 여지가 보인다. 글로버는 “최근 학생들 사이에서 코딩이나 기술과 관련된 활동이 증가하고 있으며, 학원들도 생기고 있다”고 설명한다. “또한 대학교에서도 학부생에서부터 박사 후보생들까지 체계적으로 사이버 보안을 공부할 수 있는 과정을 제공하고 있습니다.” 글로버는 “영국 대학이 제공하는 교육과정이 세계적인 수준”이라고 말하기도 했다.

하지만 정보보안전문가기관(Institute of Information Security Professionals, IISP)의 CEO인 아만다 핀치(Amanda Finch)는 “교육 과정이 좋고, 학원이 늘어나는 것만으로 문제가 해결되는 건 아니”라고 주장한다. “교육 과정을 마치고 사회로 진출하는 사람들이 사이버 보안 산업에서 직업을 찾을 수 있어야 합니다. 지금 인력이 부족한 건, 이 과정의 연계성이 부족하기 때문입니다. 학교에서 배우는 것과, 회사에서 필요로 하는 기술이 동떨어져 있다는 것이죠.”

“산업의 입장에서 보면 현재까지의 대학 과정이란 여러 가지 기술들을 따로 따로 배우는 집합체일 뿐입니다. 여러 가지 지식과 기술들이 서로 연계가 되어야 사이버 보안 전문가가 탄생하는 건데, 그 지점이 아직 충족되지 않고 있습니다. 각각의 분야가 너무 따로 놀고 있고, 그래서 학생들의 잠재력이 터지지 못하고 있어요.” 그러면서 핀치는 “지나치게 순수 학문을 지향하고 있지는 않은지 생각해봐야 한다”고 주장했다. “IT와 보안 기술이 실제 현장에서 발휘되려면 프로젝트 관리 스킬, 소통 능력, 사업 운영에서의 위험을 이해하는 능력 등이 필요합니다.”

글로버도 “사이버 보안이라는 직업상의 진로가 지금보다 명확하게 정의되고 학생들에게 제시될 필요는 있다”고 말한다. “하지만 이는 산업에서 맡아줘야 할 부분입니다. 산업에서 보안 전문가의 안정적인 생활이나 미래가 보장받지 못한다면, 학교에서 이를 어떻게 권할 수 있을까요. 산업에서도 보안에 대해 더 투자를 해야 합니다. 그렇지 않은 상태에서 교육자들이 ‘사이버 보안으로 진출하라’고 말할 수가 없습니다.”

보안 업체 딥3(Deep3)의 CEO인 리차드 요크(Richard Yorke)는 “교육과 산업의 협력도 중요하지만 아동들이 어렸을 때부터 보안을 공부하기에 좋은 과목을 선택할 수 있도록 만드는 것도 중요하다”고 지적한다. “교육과 산업 모두 투자의 안목이 지나치게 짧습니다. 곧바로 투자한 만큼의 성과를 내고 싶어 한다는 겁니다. 그래서 문제의 뿌리에까지 거슬러 올라갈 동력을 얻지 못합니다.”

요크는 “예를 들어 컴퓨터 과학과 같은 과목의 커리큘럼은 왜 바뀌지 않는 걸까”라고 묻는다. “컴퓨터의 기본 원리 자체는 크게 바뀌지 않는 게 맞습니다만, 그런 컴퓨터의 기본 원리를 활용하는 방식은 지금 이 순간에도 빠르게 바뀌고 있지요. 좀 더 학문이 현실적이 되려면 컴퓨터 관련 과목들도 끊임없이 변해야 합니다. 현실과 괴리가 있는 과목을 누가 즐겨 하겠어요. 역동적인 학과 과정을 만들려면 학교와 산업이 활발하게 소통해야 합니다. 산업에서도 후진 양성에 관심을 가져야 한다는 말입니다.”

실제로 딥3은 영국의 국립컴퓨터보안센터(NCSC)가 운영하는 사이버 스쿨 허브(Cyber Schools Hub)에 참여하고 있다. 사이버 스쿨 허브는 작년부터 시작된 이니셔티브로, 중등 컴퓨터 교육 과정 교사들과 산업 내 실무자들이 만나 교육 과정과 자료를 합작하는 것을 목표로 하고 있다.

다양성 추구
조심스러운 주제이긴 하지만 보안 업계는 성 불균형 문제가 항상 있어왔다. 여성을 배제했다거나 차별했다는 게 아니라, 분야 자체가 전통적으로 여성들의 관심을 받지 못했었다. 이게 ‘정치적 올바름’이나 ‘평등’이란 철학적 개념이나 이상에 대한 추구가 아니라, ‘인력 부족’이라는 실질적인 문제로 이어지고 있다는 게 여러 전문가들의 의견이다. 늘 ‘남성’에서만 인력들이 배출되고 있으니 사이버 보안 전체 인력난이 해결되지 않는다는 것이다.

그래서 여성들이 보다 많이 이 분야로의 진출을 꾀하고 전문성을 기를 수 있다면, 지금의 인력난 문제가 어느 정도 해결될 수 있지 않을까 하는 의견들이 해외에서부터 나오고 있다. 2018년 (ISC)2가 조사해 발표한 ‘사이버 보안 인력 현황’ 보고서에 의하면 현재 사이버 보안 분야의 여성이 차지하는 비율은 24%에 불과하다고 한다. 사람 모자란 이곳에 더 초대받을 수 있는 사람들이 지척에 있다는 뜻으로도 해석이 가능하다.

요크는 “어린 여학생들도 IT나 보안에 관심을 가질 수 있도록 분위기를 만들어주는 게 필요하다”고 말한다. 핀치도 “여성 부족 현상을 해결해가는 과정 중에 인력 부족 문제가 어느 정도 해결될 수 있을 것”이라고 예상한다. “우리는 지금 모든 도움의 손길이 필요한 상황입니다. 남성을 배제하고 여성을 도입하자는 게 아니라, 여성 동료들을 더 많이 영입해보자는 뜻입니다. 한 마디로 ‘이제 사이버 보안이라는 분야를 여자들에게도 한 번 팔아보자’는 의견인 것입니다.”

성별만이 문제인 것도 아니다. “기술 분야 사이에서도 다양성이 필요합니다.” 고려대학교 정보보호대학원 김승주 교수는 “학생들이 배우기 좋아하는 분야가 있고, 그렇지 않은 분야가 있다”고 지적한다. “정보보호 전문가는 크게 보안 취약점을 점검하고 위험을 평가하는 ‘보안 분석가’와 보안 소프트웨어를 만들고 고치는 ‘보안 엔지니어’로 나뉩니다. 그런데 보안을 하려는 학생들 대부분 취약점을 발견하고 분석하는 걸 선호합니다. 그래서 보안 컨설팅 시장은 팽창하고, 컨설팅 단가가 떨어집니다. 정작 기업들은 양질의 보안 솔루션을 만들어낼 인재에 목마른 상황인데 말이죠.”

김승주 교수는 “단순히 코딩을 할 줄 안다고 해서 보안 소프트웨어를 만들 수 있는 건 아닌데, 이 점이 자주 간과된다”고 설명한다. “체계적으로 개발할 수 있는 사람이 필요합니다. 체계적인 과정이라 함은, 1) ‘이런 환경에서 어떤 보안 문제가 있을까’를 식별하고 정립하는 것에서부터 시작해, 2) 솔루션을 설계하고, 그 설계 내용이 모든 필요를 수용하고 있는지 검사하며, 3) 설계된 내용을 실제로 구현해 현장에서 적용해 검증하고, 4) 배포 이후의 업데이트 과정까지도 모니터링하는 것을 다 아우릅니다. 이런 종합적인 솔루션 개발 과정을 제대로 가르치는 면이 아직은 부족한 상황입니다.”

그러면서 그는 “보안이 워낙 유행에 민감한 분야”라며 “학생들이 예를 들어 취약점 점검을 선호하는 등 유행을 따라가는 건 이해한다”고 설명한다. “다만 그것이 편식으로 이어져서는 안 됩니다. 가수 지망생들의 오디션 프로그램만 봐도 여러 단계를 거치면서 요구되는 장르가 늘어납니다. 보안 ‘전문가’라면 다 알아야 합니다.”

김승주 교수는 “화이트해커들을 만나 물어보면 ‘요즘 해커들은 개발을 하지 못한다’는 피드백이 많다”며 “개발을 하지 못한다는 건 취약점을 찾아내긴 하지만 그에 대한 해결책을 제시하고, 그 해결책을 검증할 수 있는 능력이 부족한 것”이라고 설명한다. “결국 잔소리만 할 줄 알지, 그에 대한 해결 능력은 갖추지 못하는 겁니다.”

핀치의 경우 “지나치게 기술적인 면만을 가르치는 게 문제”라고 지적한다. “보안이 암호화 기술이라거나 TCP/IP에 대한 이해만으로 구성된 분야가 아닙니다. 다양한 소식들에서 첩보를 발견하고, 온라인 세상에서 활동하는 사람들의 행동과 심리를 분석할 수도 있어야 합니다. 또 여러 사람과의 협업 능력도 요즘 같은 때에는 필수적입니다.” 그래서 핀치는 “산업과 학계가 좀 더 터놓고 대화를 해야 한다”고 주장한다.

그런 의미에서 최근 일본 후지쯔가 영국의 기술대학(University Technical Colleges, UTC)과 맺은 파트너십이 좋은 사례가 될 수 있다. 두 조직은 UTC 사이버 보안 그룹(UTC Cyber Security Group)을 설립했다. 14~19세 사이의 학생들이 성장해 사이버 보안이라는 분야로 진출하는 걸 돕는 것이 이 그룹의 목적이다. 후지쯔와 UTC는 끊임없이 소통하며 다양한 배경과 실력을 가진 학생들이 사이버 보안에 필요한 여러 가지 기술을 익히도록 도울 계획이다.

핀치는 대학 과정을 마친 사람들이 보안 업계로 들어가려고 구직활동을 할 때가 가장 중요한 타이밍이라고 꼽는다. “학교와 산업 모두가 이 타이밍에 길을 깔아줘야 합니다. 인턴십, 현장 실습, 취업 알선, 파트타임, 수습 등의 프로그램을 확대해야 합니다. 아무래도 이러한 시기에 있는 사람들은 학생에 더 가깝고, 공부하는 것에 익숙합니다. 그러니 그 공부의 기회를 계속해서 제공하면서 현장 안으로 들어오도록 안내하는 게 자연스러울 것이라고 생각합니다. 학교는 학과 과정 내에서부터 산업과 소통할 수 있도록 기회를 만들어 줘야하고, 회사들은 이런 학생들을 자주 만나야 합니다.”

물론 이런 기회를 제공하는 곳들이 없지는 않다. 대학과 산업의 연대는 점점 더 강해지고 있는 추세이기도 하다. 그러나 핀치는 “전체적으로 보면 그런 활동을 하는 학교나 회사는 매우 예외적인 사례일뿐”이라고 말한다. “예외적이기 때문에 모범 사례로 소개되곤 하죠. 누구나 할 수 있는 평범한 일이었다면 새삼스럽게 보도되는 일도 없었을 겁니다. ‘인력난을 해소하기 위해 산학이 협조해야 한다’는 말이 식상하게 들리지만, 제대로 실천하는 곳은 터무니없이 부족합니다.”

돈 문제
산학 협동이 문제의 해결책이라면, 왜 사람이 없다고 목소리만 높이지 행동을 하지 않는 걸까? 핀치는 “결국 다 돈 문제”라고 말한다. “인턴십 프로그램을 마련하고, 담당자를 배정하고, 사람을 뽑고 출퇴근 시키는 것 모두 돈이 드는 일입니다. 학교와 소통을 한다는 것에도 전화비, 교통비, 시간이라는 자원이 톡톡히 들어가고요. 워크샵을 열고 멘토 상담회 같은 이벤트도 마찬가지입니다. 비용 문제라는 게 있어요.”

그래서 자산 규모가 큰 조직들이 ‘너그럽고’ ‘넉넉한’ 투자를 할 수 있는 것이라고 핀치는 짚는다. “그런 조직들은 장기 투자도 할 수 있고, 그런 투자들을 가지고 사회적 활동이라는 홍보도 할 수 있죠. 반대로 작은 조직들은 여유가 부족하고, 따라서 담당 직원들의 희생을 요구해야 할 때가 많습니다. 그래서 신입을 들여오는 프로그램이 잘 운영되지 않는 게 현실입니다.”

핀치는 “그런 상황일수록 좀 더 공식적인 절차를 마련해야 한다”고 한다. “담당자 한두 사람에게 짐을 다 지워주면서 어떻게든 인재를 확보하라고 하는 방식에서 좋은 사람이 뽑힌다는 거 자체가 말이 되지 않죠. 인재 채용이 조직 전체에 어떤 의미를 가지고 있고, 어떤 부분에 특화된 인재상이 요구되며, 그 사람이 미칠 경제적 효과에 대해서 조직이 공식적으로 발표하고 모든 절차를 공개해가며 진행해야 합니다. 조직의 공식 프로젝트이므로 담당자에게 너무 많은 희생이 요구되지 않아야 하는 것도 당연합니다. 온전히 이 정식 프로젝트에 몰두할 수 있게 해주어야 하죠.”

핀치는 “이런 노력은 하지 않고, 대기업이 돈으로만 인재를 다 쓸어간다고 말하는 건 정말 웃기는 말”이라고 일침을 놓는다. “대기업은 월급은 둘째 치고 업무 여건도 앞서는 게 보통입니다. 사람이 일하고 싶은 환경을 만드는 데 전문가들이 대기업 운영자들이라는 걸 알아야 합니다. 사람들이 다 월급 액수만을 보고 일자리를 찾는 게 아닙니다. 자기가 원하는 일을 하고, 원하는 삶을 누리도록 해주는 게 중요합니다.”

사실 공부 자체도 돈
핀치는 “대학 문을 나서면서 공부 자체도 끊게 되는 경우가 많은데, 이 역시 해결해야 할 문제”라고 말한다. 인력이 부족하다는 건, 사람의 머릿수만을 말하는 게 아니라 문제를 해결할 수 있는 ‘양질의 실력’이 부족하다는 뜻인데, 사이버 보안에서는 공부 없이는 양질의 실력자로서 오래 남을 수 없기 때문이다. “이 점이 힘들어서 떠나는 사람도 많습니다. 공부 자체가 힘들기도 하지만, 공부를 할 여건이 되지 않고, 무엇보다 공부에도 돈이 들기 때문입니다.”

그러나 현장에 있는 보안 전문가라면 무료 교육의 기회가 없는 것도 아니다. 예를 들어 (ISC)2는 얼마 전부터 PDI라는 프로그램을 회원들을 대상으로 무료로 운영한다. PDI는 ‘전문가 양성 기관(Professionals Development Institute)’의 준말로, 전 세계적인 보안 인력난 문제를 해결하고자 올해 2월부터 시작됐다.

PDI는 현장의 사이버 보안 전문가들을 위한 교육 콘텐츠를 제공하기 위해 마련된 프로그램으로 (ISC)2는 교육 콘텐츠를 마련하기 위해 18명의 직원을 새로 충원하고, 21평짜리 영상 촬영 스튜디오를 짓기도 했다. 현장에서 일하는 선배 전문가들이 생생한 강연을 해주고, 그것이 다양한 형태로 멤버들에게 배포되는 형태의 서비스다. 교육 과정도 현장의 전문가들의 의견을 받아 만들고, 2019년 한 해에만 30개의 교육 과정을 제공할 것이라고 한다.

CEO인 데이비드 쉬어러(David Shearer)는 “정보 보안은 죽을 때까지 공부해야 하는 분야”라며, “PDI를 통해 올바른 교육 과정과 기회를 찾는 것 자체가 어려워지지 않을 수 있게 될 것”이라고 밝혔다. “사실 보안이라는 분야는 그 속성상 끊임없는 공부가 강요되는데, 실제 업무는 출퇴근 시간이 딱 정해지기가 힘들어서 공부할 수 있는 조건이 되지 않죠. 모순이지만 해결하지 않으면 결국 올바른 방어를 할 수 없게 되는, 보안 전문가의 본질 자체를 위협하는 커다란 문제입니다.”

그러면서 쉬어러는 “시간이 제한적이라는 문제, 여러 가지 비용이 발생한다는 문제가 PDI를 통해 해결될 수 있기를 희망한다”고 덧붙였다. (ISC)2는 원하는 경우 PDI를 일반 대중들에게도 제공할 예정이다. 물론 이 경우는 유료로 제공되지만, “부담스러운 가격은 아닐 것”이라고 (ISC)2는 설명한다.

결국 장기 과제이자 생존 문제
록히드마틴(Lockheed Martin)의 글로벌 보안 책임자인 마크 콕스(Mark Cox)는 “건강한 인재 확보 파이프라인 구성을 고민해야 한다”고 말한다. “파이프라인을 구성하는 모든 인원과 조직들이 교육에 투자하고, 자라나는 학생들에 관심을 쏟고 실질적인 도움을 주는 데에 적극적으로 나서야 합니다. 이걸 그저 학교 잘못, 회사 잘못, 보안을 기피하는 젊은 세대의 잘못 등으로 몰아서는 안 됩니다. 모두가 나서지 않으면 고착화되기만 할뿐입니다.”

콕스는 “산업 전체가 큰 대가를 치르게 될지도 모르는 문제라는 걸 이제 인식해야 할 때가 됐다”는 의견이다. “아동들이 초등학교에 입학하는 순간부터 자신의 미래 경력을 고민하는 나이가 될 때까지의 긴 시간 속에 사이버 보안이 제공할 수 있는 게 없을 수가 없습니다.” 그러면서 콕스는 “세계적으로 젊은이들의 인구수가 감소하는 가운데, 모든 분야가 인재 확보라는 보이지 않는 경쟁에 돌입했다는 걸 기억해야 한다”고 경고한다.

글로버도 “인재 확보라는 측면에서 이제 모든 분야와 경쟁하게 됐다”고 동의한다. “인구는 계속해서 감소하고, 노동 인구는 더더구나 사라지는 추세입니다. 보안 산업이 대학만이 아니라 모든 교육 분야와 더 긴밀히 소통하지 않는다면, 사람이 지금보다 더 귀한 분야가 될 것입니다. 긴 안목으로 보면 분야 자체의 존망이 걸린 문제라고도 볼 수 있습니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정모니터랩 파워비즈 5월 31일까지파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 디지털 도어록이 등록되지 않은 스마트워치로 무방비로 열리는 취약점이 발견돼 이슈가 되고 있는데요. 현재 귀하의 집에 설치된 디지털 도어록의 경우 비밀번호와 함께 주로 사용하고 있는 개폐 수단은 무엇인가요?
생체인식
카드키
교통카드(티머니)
스마트워치
스마트폰
기타(댓글로)
      

코오롱베니트
CCTV

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

동양유니텍
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

보쉬시큐리티시스템즈
CCTV / 영상보안

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

비전정보통신
IP카메라 / VMS / 폴

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

테크어헤드
얼굴인식 소프트웨어

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

트루엔
IP 카메라

슈프리마
출입통제 / 얼굴인식

에스카
CCTV / 영상개선

디비시스
CCTV토탈솔루션

다민정보산업
기업형 스토리지

구네보코리아
보안게이트

엔토스정보통신
DVR / NVR / CCTV

옵티언스
IR 투광기

씨오피코리아
CCTV 영상 전송장비

DK솔루션
메트릭스 / 망전송시스템

티에스아이솔루션
출입 통제 솔루션

진명아이앤씨
CCTV / 카메라

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

두레옵트로닉스
카메라 렌즈

브이유텍
플랫폼 기반 통합 NVR

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

아이엔아이
울타리 침입 감지 시스템

케이티앤씨
CCTV / 모듈 / 도어락

창우
폴대

엘림광통신
광전송링크

퍼시픽솔루션
IP 카메라 / DVR

CCTV프랜즈
CCTV

지에스티엔지니어링
게이트 / 스피드게이트

아이유플러스
레이더 / 카메라

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

유진시스템코리아
팬틸트 / 하우징

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트

글로넥스
카드리더 / 데드볼트

유니온커뮤니티
생체인식 / 출입통제

화인박스
콘트롤박스 / 배전향