[생활보안 3] 14. 올바른 보안인력 양성 방안

다양한 분야의 인력을 양성하라

“보안 담당자는 보안 사고가 나지 않으면 잘려요"

아침 신문에서 읽은 이 표현은 정말 몸으로 체감될 정도로 기업의 일선 현장에서는 사실이다. 침해사고가 발생하지 않도록 보안조직이 미리미리 조치 및 예방해 기업을 안전하게 만들면 최고경영진은 그 안전함에 취하게 된다. 그리고 한걸음 더 나아가 보안 조직의 필요성에 의문을 던지며 조직을 줄이고 보안담당자를 해고한다.

그러다 침해사고가 발생하게 되면 최고경영진은 보안조직의 무능함을 채근하며 또 부랴부랴 보안담당자를 고용한다. 모순되게도 기업의 안전한 환경을 만들기 위해 존재하는 보안조직의 안정적인 고용을 유지하기 위해서는 침해사고로 인해 안전하지 않은 환경이 만들어져야 한다.

이런 작업환경은 보안조직에게 높은 피로도로 작용한다. 슬프게도 일을 잘해도 문제가 되고 일을 못해도 문제가 되는 상황이기 때문이다. 그래서 이런 보안조직의 애매한 상황을 빗댄 다음과 같은 신랄한 표현이 등장하게 된 것이다.

“유능한 보안인력은 보안업계에 남아있을 이유가 없다. 상대적으로 낮은 연봉에 지나칠 정도로 과중한 책임감을 요구받기 때문이다. 이 업계는 ‘수익성’이 아닌 ‘사명감’으로 유지되고 있다”

정작 유능한 핵심인재들은 더 나은 조건과 연봉을 찾아 보안업계를 떠난다는 의미이며, 더해 정말로 유능한 인재들은 최근에는 보안업계로 진출하는 시도를 하지 않고 있다는 말을 에둘러 표현한 것이다. 그런 전차로 보안업계에 보안전문가가 부족하게 된 것이다.

그럼에도 정부는 이런 상황의 개선에는 관심을 보이지 않고 걸핏하면 "보안인력 10만 양병설"과 같은 뜬금없는 대책을 제시하곤 한다. 하지만 정부가 내세우는 "보안인력 10만 양병설"의 핵심은 "양병"이다. 사이버전쟁을 위한 병사를 양성하겠다는 의미이며, 주요 골자는 화이트해커 양성에 방점이 찍혀있다.

하지만 보안의 기본은 공격이 아닌 방어다. 실제 기업 현장에서 필요한 보안전문가도 침해사고로부터 기업을 방어하는 수비를 위한 인력이다. 어떻게 하면 안전한 환경에서 기업이 업무를 수행하도록 할 수 있는지를 고민하는 인력이다. 그리고 이러한 목적을 달성하기 위해서는 세 종류의 전문인력 양성이 동시에 이루어져야 한다. 수비형 보안전문가, 화이트해커, 개발형 보안전문가가 그것이다.

수비형 보안전문가란 기업을 외부 침해로부터 방어하는 역할을 수행하며, 현재 기업의 보안조직들이 이에 해당한다. 보안을 위해 보안설루션을 도입/운영하고, 보안정책을 운영하고, 임직원을 교육하고, 침해에 대응하는 역할을 수행한다.

화이트해커란 해커의 관점에서 기업을 외부에서 공격해 봄으로서 외부에 노출된 취약점을 찾아주는 전문가(개인 및 집단)다. 대체로 보안업체에 속해 있으며 침해사고와 같은 문제 발생가능성을 미리 발견하고 조치하도록 지원함으로써 예방효과를 극대화할 수 있도록 보안조직을 도와주는 역할을 수행한다.

개발형 보안전문가란 보안설루션을 개발하는 전문가집단(및 개인)을 뜻한다. 주요 보안업체들이 이에 해당한다. 개발자이면서 동시에 악성코드 및 해킹 등 보안과 관련된 각종 기술도 알아야 한다. 보안조직이 수행하고 있는 각종 업무들의 효율성을 극대화할 수 있도록 지원하는 역할을 수행한다.

국가는 국민 수호의 목적으로 양병을 통해 화이트해커를 육성할 수 있다. 하지만 그 지원의 대상이 기업이라면 얘기는 달라진다. 기업은 (사이버) 전쟁을 하는 주체가 아니기 때문이다. 진정 부족한 보안전문가 양성을 통해 기업을 지원하고자 한다면 시장의 상황을 두루 살펴 기업이 꼭 필요로 하는 인력을 양성해야 한다. 그것도 편식 없이 골고루 말이다.