[포럼] 정보보호 인력 수급 불확실성 해소해야

김태성 충북대 경영정보학과 교수

김태성 충북대 경영정보학과 교수

미국 랜드연구소가 2014년에 발간한 보고서에 의하면, 갈수록 보안위협을 검출하거나 숨겨진 취약점을 찾을 수 있는 고수준의 인력에 대한 구인난이 심화되고 규모가 큰 기업들은 주로 자체 교육이나 내부 채용을 통해 전문인력 수요를 충당하고 있는데 상대적으로 임금경쟁력이 약한 정부 및 공공기관이나 중소기업들의 인력난은 더욱 심화될 것이라고 전망하고 있다.

동일 보고서에서 2007년 이후 사이버보안 인력에 대한 수요가 급격하게 증가하고 있지만, 교육, 훈련 등의 시간이 필요하기 때문에 공급이 수요를 따라서 곧바로 증가하지는 못하고 있다고 한다(임금의 상승). 장기적으로 사이버보안 관련 학과의 신설, 기업 내부 보안인력의 훈련, 높은 보상 등의 매력으로 인한 타업종에서의 이직 등으로 소폭 증가하지만 수요를 충족하지는 못하기 때문에 시장에서의 임금은 소폭 하락하게 된다. 미국에서 사이버보안 인력의 임금이 상승하고 있지만, 장기적으로 사이버보안 인력의 규모는 계속 증가함으로써 상대적으로 임금이 낮아지게 되며 공급이 임금수준에 민감하게 반응해 타업종으로 이탈하는 현상이 발생할 수 있다는 것을 지적하고 있다.

한국 정부는 2000년초부터 정보보호 관련 학과 신증설 지원 등을 통해 많은 정보보호인력을 배출해왔고, 최근에는 수요가 많은 것으로 예상되는 세부 직종의 인력을 양성하는데 관심을 기울이고 있다. 인력의 수요와 공급 과정은 고유한 특성을 가지고 있는데, 수요는 휘발성(volatility) 공급은 시간지연(delay)이라는 불확실성이 있다. 대형 사이버침해사고가 발생하면 정보보호에 대한 관심이 급증하지만 자신에게 직접적인 피해가 발생하지 않고 시간이 흐르게 되면 관심이 사라지는 것처럼, 특정 시점에 필요한 인력 수요가 지속적으로 유지되지는 않는다. 파악된 인력수요에 근거해 공급 계획을 수립하면 일정 시간이 흐른 뒤에야 인력이 공급된다. 이처럼 상이한 불확실성 특성을 가지고 있는 인력의 수요와 공급 과정 사이의 상호작용에 의해 정보보호 인력의 수급이 조절된다.

수요의 불확실성을 통제하기 위해서는 정확한 수요 특성을 파악하는 것이 필요한데, 정보보호 제품과 서비스를 공급하는 전문업체의 인력 수요는 관련 업체협의체를 통해서 상대적으로 파악이 용이하지만, 정보보호 제품과 서비스를 구입해 사용하는 측의 인력 수요는 기업의 수가 매우 많고 기업당 종사인력이 적기 때문에 파악이 매우 어렵다. 또한 일반적으로 사용되는 수요 조사는 설문 기반의 의견조사를 기반으로 하기 때문에 조사결과의 사실 여부를 확인하는 것도 어려운 것이 현실이다. 이러한 인력 수요 파악의 어려움을 해결할 수 있는 방법이 구인광고를 자동수집해 분석하는 것이다. 미국의 표준기술연구소(National Institute of Standard Technology)는 노동통계국(Bureau of Labor Statistics) 등과 협력해 정보보호인력의 지역별 및 직종별 수급현황을 온라인(http://cyberseek.org)으로 제공하고 있다. 직업수요는 데이터 분석 전문기업인 Burning Glass Technologies가 인공지능 기술을 이용해 미국 국내의 구인광고 수억건을 분석해 파악하고 있다.

공급의 불확실성은 교육과정의 유연한 편성 및 운영을 통해서 통제될 수 있다. 학사과정의 경우에 정보보호 세부 직종과 관련된 학과들이 참여하는 연계전공을 통해 교육을 하면, 정규 학과 개설을 통해서 공급되는 4년의 기간을 절반 이하로 단축할 수 있다. 연계전공은 개설, 교과과정, 정원 등의 측면에서 유연하게 관리할 수 있기 때문에 정규 학과보다 산업계 수요를 신속하게 반영하기에 유리하다. IEEE(Institute of Electrical and Electronics Engineers), ACM(Association for Computing Machinery), AIS(Association for Information Systems), IFIP(International Federation for Information Processing) 등 주요 학술단체들이 작성하고 있는 학부 과정의 표준 정보보호 교육과정인 Cybersecurity Curriculum 2017을 참고하면 해외 진출 등의 측면에서도 바람직할 것이다.

정보보호인력의 수급은 시장에서 자율적으로 이뤄지는 것이 바람직하지만, 취약고리(weakest link)의 수준이 사회전체적인 정보보호 수준을 결정하는 정보보호의 특성상 정부에서 수급과정의 불확실성을 해소 또는 경감하는데 적극적으로 나서야 할 것이다.