최근 정보보안 분야에서 가장 이슈가 되고 있는 부분은 무엇일까. 바로 정보보안 인력들의 이직문제가 현안으로 대두되고 있다.
 
개인정보보호법 시행 임박과 농협사건 이후 금융권 정보보호 강화 문제로 인해 삼성 등 대기업과 제1금융권에서 경력이 오래된 보안인력들의 수요가 증가하고 있다. 또 국정원 등 공공기관에서도 5년차 이상 보안실무자 채용이 늘고 있다.
 
대기업과 주요 공공기관 그리고 금융권에서 원하는 스팩의 정보보안 인력들은 어디에 있는 것일까. 바로 보안업체 혹은 타 기업 보안담당 실무자들이다. 대학을 졸업하거나 학원 수료자 등 신입직원들이 아니라 보안업체에서 컨설팅 경력이 오래되거나 실제 기업에서 보안담당 실무경력이 최소 5년 이상 된 중견 경력자들을 원하고 있다.  
 
◇보안실무자 채용 현황, 아랫돌 빼서 윗돌 막는 수준=기업 보안책임자 몇 명을 만나 이 문제에 대해 이야기를 들어봤다. 한 업체 담당자는 “최근 보안실무자들의 이직이 문제가 되고 있다. 최근 금융권이나 대기업 등에서 보안실무자 수요가 많은데 이들이 원하는 스팩이 대부분 5년 이상 실무자들을 원하고 있다. 대부분이 보안업체 컨설턴트 혹은 대기업이나 중견기업에서 보안실무를 담당하던 경력자들”이라며 “이들의 이직은 또 다른 문제를 야기하고 있다. 보안업체는 오랜 경력을 가진 컨설턴트나 기술자가 기업으로 빠져나가면서 전체적인 보안서비스 수준이 떨어지게 되고 기업에서는 오래 일한 보안실무자가 더 좋은 조건의 타 기업으로 빠져나가고 있기 때문에 보안관리에 홀이 발생하고 있다”고 걱정했다.
 
이렇게 아랫돌 빼서 윗돌 막는 ‘카드 돌려 막기’ 현상이 계속되면 어떤 현상이 발생할까. 결국 보안업체의 서비스 신뢰도가 떨어져 보안산업에 악영향을 미칠 수 있다는 견해도 나오고 있다.
 
모 기업 보안담당자는 “경력이 5년 이상되는 보안 컨설턴트들이 최근 기업보안담당자로 흡수되면서 보안컨설팅의 퀄리티가 떨어지고 있다”며 “예를들어 선배 컨설턴트가 기업 보안담당자로 간 경우, 자신보다 실력이 떨어지고 후배로 있던 컨설턴트가 컨설팅을 하러 들어오면 그 컨설팅을 신뢰할 수 있을까. 어떤 경우는 컨설팅하러 들어온 컨설턴트가 선배 보안담당자에게 배우고 나가는 경우도 있다”고 말했다.
 
이런 형상이 지속되면, 기업 보안담당자는 보안업체의 컨설팅 수준을 무시하게 되고 결국 국내 업체보다는 해외 회계법인이나 법무법인 등에 보안컨설팅을 의뢰하는 경우가 늘어나 결국 보안산업이 전반적으로 위축될 수 있다는 것이다. 
 
실제로 최근 보안컨설팅을 국내 유명 법무법인이나 외국의 유명 회계법인이나 법무법인에 의뢰하는 경우가 늘어나고 있다고 한다.
 
◇대학원은 스팩 쌓는 곳, 새로운 전문가양성 교육기관 늘어나야=더 좋은 조건을 찾아 떠나는 컨설턴트나 보안실무자를 누가 욕할 수 있겠는가. 문제는 보안인력 양성시스템이 제대로 작동하지 않고 있다는 것이다.  
 
모 기업 보안담당자는 “기업이 원하는 보안인력을 단기적으로 양성하기는 힘들다. 기업들 대부분이 경력자를 원하고 있고 직접 실전에 투입돼 일할 수 있는 인력을 원한다”며 “현재 대학이나 학원을 졸업한 신입을 뽑는 경우는 거의 없다. 바로 현장에 투입이 힘들고 최소 1년 이상을 가르쳐야 업무가 가능한 상황”이라고 말했다.
 
현재 대학에서 정보보호 전문학과를 개설한 학교는 손으로 꼽을 정도다. 기업에서 원하는 수준의 인력이 배출되고 안되고를 떠나서 기본적인 수가 절대적으로 부족한 상황이다.
 
모 담당자는 “최근 일부 대학원에서 정보보호학과가 개설되고 있는데 이는 새로운 인력양성이 아니라 기존 보안인력들에 대한 교육과 스팩 쌓기에 그치고 있다. 새로운 보안인력 양성이 이루어지기 위해서는 대학원보다는 대학에서 전문학과가 더욱 늘어나야 한다”고 강조했다.
 
또 기업 보안담당자들이 컨설팅 경력자를 원하는 이유에 대해 “갓 대학을 졸업한 신입이나 해커 출신 그리고 보안관제 인력들이 기업에서 크게 환영을 받지 못하는 이유는 기업 보안이란 것이 단순 해킹기술이 높다고 가능한 것이 아니기 때문”이라며 “관리적 측면과 컴플라이언스 대응 능력, 커뮤니케이션 스킬 등 기술적 스킬 이외 기업 비즈니스에 도움이 되는 경험들이 필요하기 때문”이라고 말했다.
 
◇기업들, 신입 채용해 장기적으로 키우겠다는 의지 필요=일부에서는 이런 의견도 있다. “대학에서 정보보호 학과가 늘어나는 것도 중요하지만 그것을 수용할 수 있는 인프라가 있어야 한다. 기업들도 정규 보안담당자 이외 신입 보안인력을 채용해 이들을 1년 이상 키우겠다는 의식이 필요하다”며 “핵심 맴버들이 이직을 해도 밑에서 배운 인력들이 그 자리를 매울 수 있도록 신입보안인력 채용에 적극적으로 임해야 한다”고 강조했다.
 
공격자와 방어자의 기술적 격차는 크다. 앞으로 더욱 그럴 것이다. 이러한 갭을 줄이기 위해서는 대학에서 신입 정보보호 인력들 배출에 더욱 노력해야 하고 커리큘럼도 실무적 학습에 노력해야 한다. 기업에서도 대학이나 학원 수료생들에게 실무 학습을 할 수 있는 기회를 제공하고 이들을 장기적 안목으로 성장시켜야 한다. 정부와 기업, 대학이 정보보호 인력의 선순환 구조를 만들기 위해 노력해야 한다. [데일리시큐=길민권 기자]