연봉 좇아 너도 나도 ‘기업行’
대기업 비해 정부기관 연봉 낮아 자초
서둘러 대책 마련 안하면 제 2의 위기
|
지난 디도스(분산서비스거부, Distributed Denial of Service) 공격 사태로 주요 정부기관과 금융기관 및 일부 언론사와 포털 등의 웹사이트는 한때 접속불가상태를 맞이했다. 7일부터 시작된 공격은 12일 사실상 종결되었다. 이에 방송통신위원회와 한국정보보호진흥원은 15일 오후 3시를 기점으로 사이버 위기경보단계를 ‘주의’에서 ‘관심’으로 하향 조정했다.
이번 사태에 대한 국가차원의 대응은 미비한 수준이었고 이에 대한 질타의 목소리가 높다.
2003년 1월 인터넷대란이 발생했고 이후 유사한 사태의 발생을 대비하기 위한 방안을 마련해야 한다는 주장이 꾸준히 제기됐다. 하지만 별다른 대책 없이 발생한 사이버 공격에 속수무책이었다.
특히 이 사태의 진행상황을 분석하고 적절하게 대처한 민간보안업체와 비교할 때 정부기관의 대처능력은 ‘무능력’ 그 자체였다. 현재 정부기관에 속해 있는 보안전문가의 인력규모와 근무여건은 충분하지 않은 상황이다. 더욱 심각한 것은 보안 인력이 계속해서 유출되고 있는 추세이며 이를 막기 위한 장치가 제대로 마련되어 있지 않다는 것이다.
현재 공공 부문에 대한 정보 보호 업무는 행정안전부와 국가정보원이 담당하고 있으며 민간부문과 관련해서는 방송통신위원회와 한국정보보호진흥원이 활동하고 있다. 또 사이버범죄는 경찰청 사이버테러대응센터가 담당하고 있고 전반적인 보안 산업에 관한 사항은 지식경제부가 주관하고 있다.
특히 한국정보보호진흥원(KISA. 이하 진흥원)은 정보 보호와 관련된 업무를 하는 동시에 침해사고 대응 업무 등을 진행하는 전문 기관이다. 진흥원은 국내 보안업체뿐만 아니라 해커그룹과도 유기적인 네트워크를 구축하면서 사이버 테러 대응에 나서고 있는 것으로 알려지고 있다.
인력 유출 현상 심각
|
사이버테러 사태와 관련 주요 업무를 담당하고 있는 한국정보보호진흥원은 연구원의 유출이 계속되고 있는 것으로 나타났으며 이는 진흥원 관계자와의 통화에서도 이를 확인할 수 있었다.
진흥원측은 “인력의 증감이나 연구원의 이직에 관해서는 공개하지 않는다”면서도 “인력 유출이 있는 것은 분명하다”고 전했다. 또 “이 문제는 최근뿐만이 아니라 예전부터 불거진 문제”라고 덧붙였다.
인력이 유출되는 원인으로 ‘낮은 연봉’을 꼽은 이 관계자는 “IT인력의 대부분은 20~30대의 젊은 층이다”며 “연봉을 고려하지 않을 수 없을 것”이라고 분석했다. 이들은 모두 통신업체나 포털회사로 이직을 하는 것으로 나타났으며 실제로 진흥원에서는 지난해만 NHN으로 5명, 다음커뮤니케이션으로 3명 등의 인력이 자리를 옮긴 것으로 알려졌다.
진흥원의 현재 연봉은 일반 대기업보다는 약간 낮은 수준이다. 공공기관 경영정보 공개 시스템인 알리오에 따르면 한국정보보호진흥원의 신입사원 초임은 2008년 약 2,252만원(기본급)이며 올해도 그와 비슷한 수준이다.
전체 직원의 평균 보수는 지난해 기준으로 5,387만원(상여금 포함) 정도이고 평균 근속연수는 11.94년이다. 하지만 올해 책정된 직원 보수액 예산은 평균 4,778만원으로 지난해보다 크게 감소한 상황이다.
국가 차원의 지원 필요
|
진흥원 관계자는 계속되는 인력의 유출에 대해 “연구원이 나갈 때마다 안타까운 마음이 든다”며 “몇 년 전에도 모 국회의원이 이 문제를 지적한 바 있지만 실행되지 않았다”고 답답한 심정을 드러냈다. 또 “공공기관이다 보니 예산편성에 있어서 자유로울 수 없고 이는 정부 차원에서 추진되어야 한다”고 전했다. 이어 “우수한 인력이 남아 있는 것이 국가에 유리하다”고 주장했다.
한편 인력 유출은 업무에 있어서도 영향을 끼치는 것으로 나타났다. 이 관계자는 “인력이 적은 관계로 여러 가지 업무를 동시에 수행하기도 한다”며 “수시업무도 종종 있으며 정부 관련 기타 업무도 할 경우가 있다”고 밝혔다. 또 “인터넷침해사고대응지원센터의 연구원은 40명 남짓에 불과한 반면 안철수연구소와 같은 경우에는 훨씬 많은 인원이 같은 업무를 수행한다”며 공공기관으로서 민간업체의 역할을 수행하는 것이 현실적으로 어렵다고 설명했다.
이번 디도스 공격 사태에 대한 주요 분석 기관인 인터넷침해사고대응지원센터는 현재 인력이 진흥원 전체의 250명 중 41명에 불과하다. 이 센터는 센터장 1명, 분석예방팀 10명, 상황관제팀 14명, 해킹대응팀 8명, 이용자보호팀 8명으로 구성되어 있다.
민간업체에 대한 지원도 뒤따라야
|
공공기관뿐만 아니라 민간업체를 포함한 전체적인 보안 산업에 대한 지원 확대도 절실하다.
국가정보원 등 4개 기관이 발행한 ‘2009 국가정보 보호백서’에 따르면 지난해 연구 및 개발업무에 종사하는 인력은 총 2,167명으로 전년의 2,107명보다 2.8% 증가했다. 하지만 지식경제부 공고(제2008-109호 개정공고)에 따라 분류된 특급 인력은 237명에서 219명으로 오히려 7.6% 감소했다. 고급인력의 수도 2007년 408명에서 지난해 401명으로 줄었으며 중급 인력의 경우에도 771명에서 715명으로 7.3% 감소한 상황이다.
지난해 기준 국내 보안업체 수는 총 151개이며 이중 직원 수 30명 이하 자본금 10억원 미만의 회사가 절반을 넘는다. 반면 자본금 100억원 이상 회사는 8개에 불과하며 이 중에서도 영업이익이 각각 97억원, 107억원인 안철수연구소와 이스트소프트 두 곳을 제외한 나머지는 30억원이 채 안 되거나 손실을 본 회사도 있다.
특히 보안업체 설립이 활발했던 2000년대 초반에는 무려 80개가 넘는 회사가 설립되었지만 2006년 이후에 설립된 회사는 단 7곳에 불과하다.
안철수 카이스트 석좌교수는 칼럼을 통해 보안체계에 대한 국가적인 관심과 투자를 촉구했다. 안 교수는 “미국과 일본과 같은 선진국은 10년 전부터 전체 예산의 10% 정도를 보안에 투자하고 있다”며 “이해 반해 한국은 전체 예산의 1% 정도만 쓰고 있다 보니 1999년의 CIH 바이러스 대란, 2003년의 인터넷 대란에 이어서 이번 사태에 이르기까지 세계에서 가장 피해가 큰 나라가 되었다”고 전했다. 이어 “이번 사태는 대책 없이 있다가 결국 본보기로 당하게 된 것이고 우리 스스로 자초한 측면이 있다”며 “이제부터라도 제대로 고쳐나가야 한다”고 주장했다.
미래의 대한민국 보안 전사들
전문대학 보안학과 잇따라 개설, 취업 100%
지난해까지 총 11개의 대학교에 정보보호 관련 학과가 개설되었고 3개의 전문대학에서는 특성화된 전공들이 설치되어 있다. 또 7개의 일반대학원, 2개의 전문대학원, 9개의 특수대학원에서도 다양한 보안 관련 교육이 실시되고 있다.
최근 디도스 공격사태를 계기로 이들 학교들의 정보보안 강화를 위한 다양한 활동과 교육과정 개설이 두드러지고 있다.
호서전문학교는 지난 10일 국회에서 ‘제 4회 중고생 정보보호올림피아드’를 주최했다.
전국에서 총 200여명의 청소년이 참가해 예선을 거쳐 20명을 선발하고 다시 본선에서 최종 11명을 선발했다.
이 대회는 지난 2003년부터 시행됐으며 프로그래밍·시스템·네트워크·웹·암호학·역공학 등의 문제가 출제됐다. 특히 올해 대회에서는 참가자가 문제를 선택하도록 방식을 바꾸고 문제 수를 늘리고 분야를 다양화했다. 이번 대상은 부산의 한국과학영재학교 2학년 이대근 군이 차지했으며 방송통신위원회 위원장상이 수여됐다.
이날 이운희 서울호서전문학교 학장은 “국가의 나아갈 방향과 지표를 결정하는 국회에서 본 대회가 열려 정보보호에 대한 국가적 관심과 우리 청소년들에게 보안전문가로의 길을 제시하였다는 점에서 더욱 의미 깊은 대회가 되었다”고 전했다.
동명대학교도 지난 11일 교내 동명관에서 고교생과 대학생 등이 참여한 ‘지식정보보안 청년양성 정보보호캠프’를 가졌다.
이날 동명대 교수들과 재학생 20여명 등은 고교생 50여명을 대상으로 전문가 초청강연, 정보보호 게임과 퀴즈, 정보보호 팀 프로젝트 등을 가졌다.
특정 전문가가 해킹과 방어에 대한 고급 기술의 터득을 위주로 설명했던 기존의 정보보호 관련 행사들과 달리 이번 캠프는 고교생 및 대학생들이 흥미롭게 정보보호를 접해 일상생활 속에서 정보보호개념을 제대로 알고 실천할 수 있도록 했다는 평가를 받았다.
이 학교 정보보호학과장 조성목 교수는 “젊은이들이 정보보호 전문 강연을 통해 최신동향을 파악해 실무능력 및 정보보호역량을 강화하고 업체 전문가를 통한 지식정보 보안 산업의 직업특성과 윤리적 책임 의식을 높이는 동시에 정보보호현안 주제 토론으로 효과적 의사전달 능력을 배양하는 계기를 마련할 수 있었다”고 평가했다.
서울과학종합대학원은 국내에서는 처음으로 산업보안(Industrial Security) MBA를 개설했다. 그 시기는 올해 3월이지만 최근 디도스 사태가 발생한 이후 다시 주목받고 있다.
특히 이 과정은 지난해 11월 국가정보원 산업기밀보호센터와 산업보안 전문 인력 육성을 위한 MOU를 체결했고 미국 국가안보학센터로부터 산업보안 우수교육기관으로 인증 받은 조지메이슨대학교(George Mason University)와의 복수학위 협정을 통해 공공정책학 석사 학위도 취득할 수 있다.
현재 진행 중인 산업보안 MBA 1기 수업은 정치·경제·사회·문화·외교 등 각종 분야에 관련된 여러 보안이슈들을 통해 보안에 대한 지식을 축척하게 한다. 오는 9월에는 2기가 개원할 예정이다.
정진홍 산업보안 MBA과정 주임교수는 “그동안 우리나라는 보안의 중요성에 대한 인식과 투자가 매우 낮았으며 제도도 미비했다”며 “우선 사전예방활동으로 현재 정부 예산의 2%도 안 되는 기술개발 등의 보안 산업에 대한 투자를 선진국 수준인 10%로 대폭 늘리는 한편 보안전문가 양성을 위한 전문적이며 체계적인 정책을 과감히 수립해야 한다”고 전했다. 이어 “앞으로 산업보안 MBA 과정 등을 통해 보안지식은 물론 기술과 수사능력까지 고루 갖춘 융합적인 보안전문가를 양성하고 유사시 정부부처 각 기관과 연구소 및 보안업체 등을 효율적으로 조정·통제할 수 있는 컨트롤 타워 기능을 수행하는 전담 기구의 설치도 검토해야 한다”고 주장했다. <훈>