인터넷 기반사회의 취약성이 드러나고 있다. 3·20 인터넷 사고(2013년 언론사·은행 사이버 테러)와 카드사 개인정보 유출사건(2014년)이 터지면서다. 정보보호가 그 어느 때보다 중요한 분야로 인식되고 있는 이유다. 한편에선 '정보보호 전문가가 부족한 게 아니냐'는 목소리도 나온다. 그럼 정보보안 전문가는 무엇을 하는 사람일까.
이런 인력이 얼마나 되는지 공식적으로 집계하는 기관은 없지만 국내에서 개최되는 해킹방어대회나 관련 기관의 직원수, 민간분야 전문가 등을 고려하면 200여명으로 추정된다. 미국·중국·북한에 비해 턱없이 적은 수다. 적게는 10배에서 많게는 100배 정도 차이가 나는 것으로 알려졌다. 사이버보안 전문가를 확보하고 있는 국가들은 정부 차원의 인력양성 정책을 통해 사이버보안 투자를 아끼지 않고 있다.
미국·영국·이스라엘 등 해외에선 일찍이 사이버보안 전문가 양성이 국가안보는 물론 국가경쟁력과 직결돼 있음을 인지하고 사이버위협으로부터 안전한 정보통신환경을 조성하기 위해 전략적으로 사이버보안 정책을 추진해왔다. 미국의 경우, 2013년부터 국방부 사이버사령부를 중심으로 국가기관과 민간기업을 대상으로 광범위한 사이버 공격에 대응하고 있다.
미국은 2015년 말까지 100개 이상의 사이버팀을 구축하고, 현재 사이버보안부대 인력 900명을 4900명까지 확대할 계획이다. 또 다양한 사이버보안 분야의 교육 프로그램을 개설해 기본부터 제대로 교육·훈련 받은 인력을 적기에 양성하고 적소에 배치하기 위해 노력하고 있다.
◈ IT강국, 보안은 '취약'
이스라엘의 경우, 2002년 사이버 전담부대를 창설해 사이버전 대비책을 수립하고, 방어시스템을 만드는 등 다각도로 노력하고 있다. 인력양성 과정 측면에선 2011년부터 이스라엘 국가 사이버 행정부를 주축으로 사이버 보안 산업 발전, 교육 프로그램 개발에 주력하고 있다.
교육과정은 지능형지속보안위협(APT), 분산서비스거부(DDoS) 공격에 대한 대응과 악성코드 분석, 모의침투 등의 프로그램으로 구성됐다. 한국인터넷진흥원은 이 교육과정을 운영하기 위해 KISA아카데미 내에 100명이 수용 가능한 사이버훈련장(Cyber Range)을 구축했고, 교육플랫폼과 콘텐트를 개발했다. 최정예 사이버보안인력 양성사업은 2차에 걸친 단계별 평가시스템으로 운영된다. 이론과 실습교육을 받은 교육생을 대상으로 필기실기평가를 실시한다. 이후 사이버보안 가상시나리오 기반 훈련 등 사이버공격·방어 실전대응 훈련을 실시한 후 종합 역량 평가를 통해 120명을 최종 인증한다.
특히 협업이 필수적인 보안업무 특성을 감안해 팀 훈련을 적용하고, 기존의 민간 교육 시스템에서는 접할 수 없었던 CTF(Capture the Flag) 훈련 프로그램을 접목함으로써 지식 공유를 통한 대응이 가능하도록 구성했다. 2013년 1기 최정예 사이버보안 인력으로 인증된 인력은 평균 6년 이상 정보보호분야에서 보안 담당 재직자로 지원인력 중 10대1이 넘는 경쟁을 뚫고 선발됐다. 최정예 1기 인력으로 인증받은 교육생들은 참여했던 최정예 사이버보안 교육을 "현업에 도움이 되는 교육"이라고 말한다. 특히 3·20 사이버테러를 재구성해 시나리오 기반으로 한 공격 대응 훈련은 국내에선 처음으로 시도되는 방식이다.
◈ 사이버보안 전문가, 2017년 5000명 목표
이렇게 양성된 사이버보안 전문가들은 정보보호 분야 멘토링 제도에 참가하거나 정보보호 분야 강사, 사이버 사고 조사 시 전문가로 활동할 수 있을 것을 기대된다. 이와 더불어 미래창조과학부와 국방부는 최정예 사이버보안 과정으로 양성된 사이버보안 전문 인력이 군에서도 재능을 발휘할 수 있는 방안을 검토 중이다. 그들의 경력단절 문제를 해결하는 동시에 군 사이버보안 전문 인력도 확보한다는 취지다. 최정예 사이버보안인력 교육과정을 통해 배출된 인재가 국방부 사이버사령부 사이버 전문가로 군복무를 마치고, 이후 취업이나 진학까지 지원하고, 사이버 예비인력으로 활동할 수 있는 시스템도 갖추는 방안을 마련하고 있다.