[노트북 너머] 보안에 빨간불 켜졌는데…'사이버 강국' 공염불 외는 정부

“보안 담당자는 보안 사고가 나지 않으면 잘려요. 사고가 나지 않는다는 건 그 담당자가 일을 잘했다는 건데, 기업 입장에선 없어도 될 인력으로 판단하는 거죠. 역설적으로 기업은 보안 사고가 발생해야 보안 담당자를 뽑습니다.”

한 보안 업계 관계자는 이같이 말했다. 그러면서 그는 “유능한 인력은 보안 업계에 남아있을 이유가 없다. 이 업계는 ‘수익성’이 아닌 ‘사명감’으로 유지되고 있다”고 토로했다.

맞는 말이다. 최근 보안 업계가 주목받았던 건 ‘정부 24’와 국방부 및 법원 웹사이트의 분산서비스거부(디도스) 공격 이후, 북한의 위성항법장치(GPS) 전파 혼신 이후, 홈캠·CCTV 등 IP 카메라 해킹 이후, 공공기관의 개인정보 유출 사고 이후다. 사고 ‘이전’의 선제적 보안 조치는 없었다.

국가 기밀과 국민의 개인정보가 줄줄 새는 동안, 정부는 ‘사이버 안보 강국’으로 거듭나겠다고 발표했다. “공격이 최선의 방어”라는 ‘공세적 방어’를 통해서다. 산업 진흥보단 안보 강화에 가까운 정책이다. 이 같은 정부 기조에 업계에선 ‘기대’에서 ‘실망’으로, ‘실망’을 넘어 ‘포기’하겠단 반응이 대다수였다.

이는 정부의 ‘사이버 보안 10만 인재 양성 방안’에서도 드러난다. 주목할 만한 건 화이트햇 스쿨 과정을 통해 실무형 인재와 최정예 우수 ‘화이트해커’를 키우겠다는 내용이다. 과학기술정보통신부는 보도참고자료에서 “인공지능을 활용한 사이버 위협 등으로 사이버 전문인력의 중요성은 지속될 전망”이라며 “사이버전 확산 및 사이버 범죄 증가 등에 대응해 국방·치안·공공 분야 사이버 인력을 양성해야 한다”고 했다. 정책 대부분이 ‘화이트해커 양성’에 쏠려 있는 것이다.

여전히 국내 사이버 보안 인력은 부족한 실정이다. 과기정통부와 한국정보보호산업협회의 ‘2024 국내 정보보호산업 실태조사’에 따르면, 정보보호산업 인력 수는 6만308명으로 2022년에 비해 7% 줄었다. 정보보안 분야에서 기술개발 시 가장 큰 애로사항도 ‘기술개발인력 확보 및 유지’가 76.3%(복수응답 가능)로 가장 높았다. 보안 업계 관계자는 “사이버 보안 인력이 10만 명 양성된다 하더라도 이걸 받을 수 있는 기업이 적다”며 “인재들이 보안 역량을 얻고서 보안 기업에 취업한다는 보장도 없다”고 자조했다.

지금이라도 업계 목소리를 반영한 현실적인 대책이 나와야 한다. 정부가 발 벗고 국내 보안 기업의 수출을 돕는다고 하지만, 지난해 기준 해외로 진출한 기업은 약 11.5%에 불과했다. 결국, 국내 보안 산업의 진흥에 초점을 두고 실무진 양성에 매진해야 할 문제다. 언제까지나 사고 ‘이후’만을 바라볼 순 없다.