[해커와의 전쟁]③ 韓 기업 10곳 중 9곳 “사이버보안 인력 없어도 그”… CISO에 인력 관리·예산 집행 권한 부여해야

작성일 07-08

<div id="layerTranslateNotice" style="display:none;"></div> “중소기업은 보안 투자 뒷전, 대기업은 형식적 수준” 보안 종사자 연봉 낮고 근속연수 짧아 기피 美서는 사이버보안 일자리 늘고 인력 유치 경쟁 李 정부, 법·제도 마련 나서야… R&amp;D 예산 늘리고 기업 투자 유도해야 
 <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
 <section dmcf-sid="9jXIYf3IMp">
 [편집자주] 최근 SK텔레콤, 예스24, 한국연구재단 등이 해커들의 사이버 공격을 받아 개인정보 유출, 서비스 장애 피해를 입었다. 인공지능(AI) 시대를 맞아 사이버 위협은 더 거세지고 공격 수법은 교묘해지고 있는 반면 우리 정부와 기업들의 대응 역량은 취약한 실정이다. 국내외 사례를 통해 사이버보안 체계의 문제점을 진단하고 해법은 무엇인지 모색해본다.
 <blockquote class="talkquote_frm" contents-hash="bee17fd3dfe16d17e837583df9bcd26d644d78a8b08c662e4c42ca98091f2772" dmcf-pid="Vc5hH8phn3" dmcf-ptype="blockquote2">
 미국 국토안보부 산하 사이버인프라보안국(CISA)에는 정보보안 전문가, 데이터 분석가, 인프라 엔지니어 등 수천 명의 인력이 근무한다. 이들은 평상시 사이버 위협에 대응하기 위해 위협 분석과 공격에 집중한다. 혹여 해킹 사고가 발생하면 CISA는 민간 기업과 실시간으로 정보를 공유해 공동 대응 메뉴얼을 가동한다. 미국 내 민간 기업들은 고액 연봉과 복지를 제공해 우수 보안 인력 유치에 나서고 있다. 
 </blockquote>
 <blockquote class="talkquote_frm" contents-hash="8f4a520c0feb56a0f7fd1252531df350f2a7eb0256832d41715d805418fa53e3" dmcf-pid="fk1lX6UlLF" dmcf-ptype="blockquote2">
 한국은 지난 2004년 ‘보안’을 처음으로 국가 전략 산업으로 지정하고 ‘정보보호 산업 진흥 기본계획’을 수립했다. 그러나 정권마다 사이버보안 강화를 공약으로 내걸었지만, 실제 투입 예산과 인력 투자 규모는 미미한 수준이었다. 사이버보안은 IT업계에서 인식과 처우가 낮은 분야로 꼽힌다. 대부분의 민간 기업은 정보보호 부서를 최소 인원으로 운영하거나 외주화하고 있다. 사고 발생 시에도 정부와의 실시간 협조 체계가 미흡해 선제적 대응이나 즉각적인 복구가 어렵다.
 </blockquote>
 <figure class="figure_frm origin_fig" contents-hash="c3fcb5703298e33f35d2cfa2cba427f729e3a34d1f2b1f1e99f5f5f46849ff9b" dmcf-pid="4EtSZPuSLt" dmcf-ptype="figure">
 <img alt="일러스트=챗GPT" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202507/08/chosunbiz/20250708060140441qnby.jpg" data-org-width="1536" dmcf-mid="bLXuVkRuRu" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202507/08/chosunbiz/20250708060140441qnby.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 일러스트=챗GPT
 </figcaption>
 </figure>
 ◇ ‘보안불감증’이 낳은 대규모 해킹 사고… 4분의 3은 전담인력 없어
 8일 과학기술정보통신부의 ‘2024년 사이버 보안 인력수급 실태조사’에 따르면 사이버보안 인력이 필요하다고 응답한 기업은 전체의 8.7%에 그쳤다. 보안에 대한 낮은 인식은 미흡한 전담인력 확보로 이어졌다. 국내 사이버보안 인력 7만9509명 중 보안 업무만을 전담하는 비중은 전체의 28.4%에 불과했다. 다른 업무까지 겸업하는 인력이 63.8%였고 외부 인력을 사용하는 경우가 7.8%였다. 최근 2년간 사이버 침해 사고 신고 통계를 살펴보면 ▲2022년 1142건 ▲2023년 1277건 ▲2024년 1887건으로 매년 증가하는 추세다.
 김형준 고려대 정보보호대학원 교수는 “중소기업은 당장의 수익 창출에 바쁘니 보안에 뒷전이고 그나마 투자가 가능한 대기업의 경우 형식적인 수준에서만 대응하고 있다”며 “대다수 기업이 보안을 투자보다 비용으로 인식해 실질적인 리스크 관리가 이뤄지지 않고 있다”고 말했다. 이어 “보안에 관한 인식을 바꿔야 할 필요가 있다”며 “이번 대규모 해킹 사고를 계기로 보안 사고가 터지면 기업 명성에 심각한 타격을 입을 수 있다는 점을 인지하고 투자를 늘릴 필요가 있다”고 했다.
 보안에 대한 낮은 인식은 처우 수준에도 나타난다. 지난해 국내 기업 내 보안 전담인력의 평균 연봉은 5400만원이었다. 대기업은 6340만원, 중소기업은 4600만원으로 집계됐다. 주요 정보보안기업들의 지난해 평균 연봉도 6000만원대 초반에 그쳤다. 시큐아이가 7900만원으로 평균 연봉이 가장 높았고, 대표적 보안 회사인 안랩은 7070만원이었다. 반면 같은 기간 네이버(1억2900만원), 카카오(1억200만원)등 유수 IT 기업들은 평균 연봉이 1억원을 넘었다. 취업준비생들이 사이버보안 분야 취업을 희망하지 않는 가장 큰 이유로 ‘낮은 연봉’(38.2%)이 꼽혔다.
 문제는 보안업 기피가 산업 경쟁력을 떨어뜨리는 악순환이 된다는 점이다. 한국정보보호산업협회(KISIA)가 지난해 발간한 ‘2024 국내 정보보호산업 실태조사’에 따르면 정보보호 기업들의 기술개발 시 가장 큰 애로사항으로 ‘기술개발 인력 확보 및 유지’(76.3%)가 꼽혔다. 지난해 주요 정보보안 기업들의 직원 평균 근속연수는 5년 1개월로 나타났다. IT 분야 대기업 평균 근속연수가 10년인 점을 고려하면 짧은 편이다.
 <figure class="figure_frm origin_fig" contents-hash="6f7714088b8b66a1b3e9807c0c0b49ef0f4dd0baf20e0e5ce0543b78e8a44083" dmcf-pid="ySb1zo41eG" dmcf-ptype="figure">
 <img alt="그래픽=손민균" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202507/08/chosunbiz/20250708060141736huzx.jpg" data-org-width="640" dmcf-mid="KwKtqg8tdU" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202507/08/chosunbiz/20250708060141736huzx.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 그래픽=손민균
 </figcaption>
 </figure>
 ◇ 美 사이버보안 일자리 32% 증가… M&amp;A로 기술 융합 활발
 미국 노동통계국(BLS)에 따르면 사이버보안 전문가의 평균 연봉은 12만7000달러(약 1억7310만원) 수준이고 고경력자는 15만달러(약 2억450만원) 이상을 받는 경우도 있다. 팔로알토네트웍스, 지스케일러 등 일부 글로벌 보안 기업은 사이버보안 책임자에게 20만달러(약 2억7260만원)가 넘는 보수를 제시하며 인재 확보에 나서고 있다. 미국은 인공지능(AI) 발전에 따라 사이버보안의 중요성이 대두되면서 처우 개선에 적극적이다. BLS는 2032년까지 사이버보안 일자리가 미국에서 약 32% 증가할 것이라고 발표한 바 있다.
 해외에서는 사이버보안 기업 간 인수합병(M&amp;A)도 활발하다. 사이버 공격이 고도화되면서 통합 보안이 중요해졌고, 보안 기업들이 M&amp;A를 통해 솔루션과 서비스, 기술을 융합하려는 것이다. 팔로알토네트웍스는 지난 4월 AI 보안 플랫폼 기업 ‘프로텍트 AI’를 인수하고 AI로 새롭게 부상한 사이버 위협에 대응한다고 밝혔다. 이 회사는 지난해 IBM의 클라우드 보안 소프트웨어(SW)인 큐레이더를 인수하기도 했다. 지난해 시스코가 통합보안관제(SIEM) 분야 선도 기업으로 꼽히는 스플렁크를 280억달러(약 38조2116억원)에 인수했는데, 보안 네트워크 분야 사상 최대 규모의 거래였다.
 ◇ “韓 정부도 뒷짐질 때 아냐”… 관련 법·제도 마련 필요
 업계에서는 국내 보안 산업이 성장하려면 정부의 제도적 지원이 마련되어야 한다고 주장한다. 실제 사이버보안(안보) 기본법 등 관련 법안은 12년째 국회에서 공전 중이다. 이 법은 지난 17대 국회에서 처음 발의된 이후 18~21대 상임소위에서 법안으로 내놨지만, 국회 본회의 문턱을 넘지 못했다.
 과기정통부의 국내 보안산업 실태조사에 따르면 지난해 우리나라 정보보안 소프트웨어(SW) 기업은 총 814곳이다. 이중 업력이 최소 24년 이상인 보안 SW 기업은 122곳이다. 하지만 아직 세계적으로 명성을 떨치고 있는 글로벌 보안 SW 기업은 전무하다. 실제 한국정보보호산업협회(KISIA)가 발간한 지난해 실태조사 보고서에 따르면 정보보호 산업 수출액은 1조6800억원으로 전년 대비 16.3% 감소했다. 이에 정부가 핵심기술 국산화를 지원하고 전체 AI 투자 예산의 일부를 정보보호 연구개발(R&amp;D)에 배정해야 한다는 주장이 나온다.
 보안업계는 이재명 정부가 연이은 기업 해킹 사고의 대책을 찾고 있는 지금이 국내 정보보호 산업의 판도를 바꿀 기회라고 본다. 과기정통부는 지난달 국정기획위원회 현안보고를 통해 사이버보안 역량 강화 방안을 제시했다. 정보통신망법을 개정해 정보보호최고책임자(CISO)에 인력 관리, 예산 편성권을 부여하는 등 권한을 강화하는 것이 골자다. 정보보호 공시제도 의무대상도 기존 매출 3000억원 이상 기업에서 전체 상장사로 확대한다. 주요정보통신기반시설 지정을 확대하고 정보보호 인증제도 심사도 강화한다.
 염흥렬 순천향대 정보보호학과 명예교수는 “정부가 사이버보안 인력 양성과 R&amp;D 예산을 확대하는 동시에 기업들이 보안 투자를 실질적으로 늘리도록 유도해야 한다”며 “지금의 정보보호 의무공시 대상을 전 상장사로 넓하거나 기업 내 CISO 권한을 확대하는 것이 구체적인 방안이 될 수 있다”고 말했다.
 - Copyright ⓒ 조선비즈 &amp; Chosun.com -
 </section> 
 </div> 
 Copyright © 조선비즈. 무단전재 및 재배포 금지.

이전

'韓떠난' 이시영, 子와 둘이 뉴욕살이.."현실인 것 같지 않아"

07-08
다음

"돈 되는 AI"…'정책 수혜+경기 회복' 네카오, 2분기 성적표는

07-08

등록된 댓글이 없습니다.

로그인한 회원만 댓글 등록이 가능합니다.

먹튀폴리스

[해커와의 전쟁]③ 韓 기업 10곳 중 9곳 “사이버보안 인력 없어도 그”… CISO에 인력 관리·예산 집행 권한 부여해야

멤버랭킹

관련자료

멤버랭킹