정보보호 인력을 양성하는 것도 좋지만 이후 관리하는 게 더 중요하다는 의견이 나왔다.

홍순좌 코어시큐리티 부사장은 18일 서울 삼성동 코엑스에서 열린 ‘제31회 정보통신망 정보보호 학술대회(NetSec-KR)’에서 이같이 밝혔다. 넷섹은 한국정보보호학회가 초고속 정보통신망 구축 사업이 시작된 1995년부터 개최한 국내 최대 정보보호 학술대회다.

홍 부사장은 ‘사이버 보안 직무 역량을 측정해 인력 수급 문제를 해소하는 방안’을 발표했다. 홍 부사장은 “미국 보안 인력 업체 사이버시크(Cyberseek)는 실시간 온라인으로 국가 차원에서 공인된 전문 인력 수급 현황을 관리한다”고 말했다. 그는 “무슨 기업이 어떤 일할 사람을 찾는지 알 수 있다”며 “경력을 어떻게 개발하면 좋은지도 알려준다”고 전했다.

홍 부사장은 “한국도 정보보호 인력을 양성하고자 많이 투자했으나 이를 어떻게 관리할지는 미국·유럽보다 소홀했다”며 “미국은 연방기관·연구소·학교·산업계가 하나로 뭉친다”고 지적했다. 그는 “정보보호 인력 역량을 개발하고 역량을 평가한 뒤 이를 관리하는 체계가 필요하다”며 “지금까지 한국은 역량을 개발하는 데 머물렀던 것 같다”고 주장했다. 그러면서 “우리는 사이버 역량을 항목별로 온라인 정량 평가하는 도전을 하고 있다”며 “자격증을 얼마나 효율적으로 발행해 가치를 인정받느냐가 역량 인증”이라고 소개했다.

이용수 메타에씨케이 대표는 ‘보안 인식 수준을 측정하기 위한 사이버 모의 훈련 정량적 평가 방법’을 설명했다. 이 대표는 “사이버 훈련하지만 피해는 줄지 않고 있다”며 “한계 효용 체감의 법칙에 따라 훈련 참여도가 줄어든다는 연구도 있다”고 비판했다. 그는 “기업 정보보호최고책임자(CISO) 또한 이런 한계를 안다”며 “설문 응답자 61.5%가 훈련 결과를 정량적으로 보고 회사 정보 보안 수준을 어떻게 개선할지 알길 원했다”고 분석했다.

이어 “보안 인식 수준을 고려한 ‘안티 피싱 훈련 시스템’을 국내에서 처음으로 다음 달 선보일 것”이라며 “지방자치단체에 시범했더니 보안 인식 수준이 좋아졌다”고 덧붙였다.

이용필 한국인터넷진흥원(KISA) 단장은 ‘지역 정보 보호 지원 사업 추진 현황과 성과’를 전달했다. 이 단장은 “지방에서도 정보 침해 사고가 나지만 수도권보다 관심이 적고 지원도 부족하다”며 “2013년 산업단지로 직접 찾아가 돕기 시작했다”고 돌아봤다. 그는 “침해 사고가 터져도 어떻게 신고해야 하는지 모르는 경우가 부지기수”라며 “알더라도 꺼리는 기업도 많다”고 했다. KISA에 따르면 지난해 침해 사고는 1천882건으로 2021년 640건보다 3배 늘었다. 중소기업이 주로 당했다.

이 단장은 “지역 중소기업에 랜섬웨어 대응법을 알려줬다”며 “해킹방어대회를 열고 악성코드 분석·탐지 같은 실무 중심으로 교육하고 있다”고 강조했다. KISA는 2019년부터 지난해까지 지역 중소기업에 정보 보호 상담을 총 2천593건 했다. 방화벽과 백신 같은 보안 장비는 3천147개 지원했다. 지난해 58억원을 투입한 결과 피해 예방 금액은 575억원으로 추정했다. 10배 성과를 거둔 셈이다.