해킹 심각한데, 정부 ‘사이버보안 인력 양성 정책‘은 제자리…해결책은?

10만 인재·화이트해커 500명 목표 “현실적으로 힘들어”
전문가들 “양성방식·시장·커리어 구조 함께 설계돼야 가능한 얘기

과학기술정보통신부(부총리 겸 장관 배경훈)는 지난달 ‘범정부 정보보호 대책’을 발표하며 “해킹 위협이 심각한 만큼 보안 인력 양성을 대폭 강화하겠다”고 밝혔다. 그러나 ‘10만 인재·화이트해커 400명’ 목표에도 불구하고 인력 양성 현장에서는 “양보다 질, 교육·채용·처우가 이어지는 구조”가 부족하다는 지적이 계속 제기되고 있다.

최근 과기정통부가 발표한 ‘2025 정보보호 산업 실태조사’에 따르면, 국내 정보보호 산업 종사자는 총 6만6367명으로 전년 대비 10% 증가했다. 산업 매출은 18조5945억원, 수출은 1조8722억원으로 역대 최대치를 기록했다. 하지만 산업 내부의 인력 불균형은 여전하다. 정보보안 인력은 2만3987명으로 전년 대비 0.2% 증가에 그쳤다. 반면 물리보안 인력은 4만2380명으로 16.6% 늘었다. 정보보안 인력의 경우 세부적으로는 연구개발(8.6%↑), 보안컨설팅(7.1%↑) 인력이 소폭 늘었지만, 핵심 기술 기반의 엔지니어 인력은 19.7% 감소했다. 산업 외형은 커졌지만 기술직 저변은 오히려 줄어드는 모양새다.

한국정보보호산업협회(KISIA) 관계자는 “물리보안은 단기간 공급이 가능한 단순 인력 중심 구조인 반면, 정보보안은 숙련에 장시간이 필요해 변동폭이 작다”며 “이 같은 산업 구조 차이가 인력 불균형으로 이어지고 있다”고 분석했다.

표면적 인재 양성에 머물러, 단기 성과 중심 한계

과기정통부는 최근 발표한 정보보호 대책에서 전문 화이트해커 400명 양성체계를 새로 설계하고, 정보보호특성화대학 7곳과 융합보안대학원 9곳을 권역별 산업 중심 인재 허브로 강화하겠다고 밝혔다. 단기 교육에 그치지 않고 교육·채용·처우가 이어지는 인재 생태계를 만들겠다는 것이 핵심이다.

이는 전 정부 출범 직성’의 후속 단계다. 당시 정부는 2026년까지 신규 4만명, 재직자 6만명 등 총 10만명을 양성하겠다는 목표를 세웠지만, 올해 국정감사에서는 “신규 4만명 달성이 어렵다”는 정부의 공식 답변이 나왔다.

류제명 과기정통부 제2차관은 “재직자 교육을 확대해 총합 목표는 달성하되 정예 중심으로 추진하겠다”며 대안을 밝혔다. 하지만 국회는 정책의 현실성 부족을 지적했다. 이정헌 더불어민주당 의원은 과학기술정보방송통신위원회 국정감사에서 “융합보안대학원 8곳이 6년간 배출한 인력이 325명에 불과하다”며 “이 속도로는 신규 4만명 양성은커녕 1% 달성도 어렵다”고 꼬집었다.

예산의 출렁임도 문제로 꼽힌다. 이정헌 의원이 제시한 자료에 따르면, 융합보안 핵심인재 양성사업 예산은 2022년 58억원, 2023년 68억원, 지난해 88억원으로 늘었다가 올해 62억원으로 다시 줄었다. 매년 달라지는 예산 구조로는 대학과 산업계가 장기 계획을 세우기 어렵다는 비판이다.

KISA “진입장벽 높고, 기업 인식 낮아 인력 성장 더뎌

한국인터넷진흥원(KISA)은 정보보호산업 실태조사에서 드러난 인력 불균형의 원인을 구조적으로 진단했다.

KISA 관계자는 “물리보안 인력은 설치·운영 중심이라 단기간 공급이 가능하지만, 정보보안 인력은 전문지식과 기술 역량을 숙련시키기까지 오랜 시간이 필요하다”며 “구직자들이 상대적으로 진입장벽이 높다고 느끼는 경향이 있다”고 설명했다.

또 “신기술 변화가 빠르고 산업 환경의 변동성이 큰 탓에 재직자에게 지속적인 교육훈련이 필요하지만, 여전히 많은 기업이 보안을 비용으로 인식하고 있어 교육 기회가 제한된다”며 “고강도 업무 환경으로 인해 자기계발 시간을 확보하기 어려운 현실도 전문 인력 성장의 걸림돌”이라고 덧붙였다.

이를 해소하기 위해 KISA는 인공지능(AI) 보안관제 전문인력 양성, 실전형 사이버훈련장 등 실무 중심 프로그램을 운영 중이다.

KISA 관계자는 “AI 기반 보안관제 제품·서비스 개발, 침해사고 대응 시뮬레이션 등으로 산업계가 요구하는 현장 대응 인재를 양성하고 있다”며 “앞으로 산업계 참여 확대와 채용 연계형 인턴십 등 인력 관리체계 구축을 계획하고 있다”고 밝혔다.

전문가들 단기 교육, 커리어 관리 없는 양성은 한계 명확

보안 인력 양성의 구조적 한계에 대해 학계와 기업들은 비슷한 진단을 내놓는다. 보안 인력 양성 정책이 단기 성과와 숫자 중심에 머물러 산업·교육·고용이 단절된 구조적 한계에 갇혀 있다는 진단이다.

곽진 아주대학교 사이버보안학과 교수는 “화이트해커 몇백명, 몇만 인재 양성은 10년 전부터 반복돼온 얘기”라며 “인력을 길러도 이들이 일할 시장과 커리어 구조가 없으면 결국 이탈하거나 해외로 빠져나가 공염불이 되어버린다”고 지적했다.

그는 대학에서 정부와 함께 여러 보안 인력 양성 사업을 총괄한 입장에서 “정부는 여전히 양성 수치를 실적 지표로 삼는다. 몇 명을 졸업시켰느냐보다 중요한 것은 그 인력이 어디서 어떤 역할로 성장하고 있느냐”라며 “정책이 숫자 중심에서 질 중심으로 전환되지 않으면 같은 실패가 반복될 것”이라고 조언했다.

또 “보안 인력은 단순히 보안툴을 다루는 기술자가 아니라 IT·네트워크·운영체제·자료구조 등 기본기를 갖춘 전문가가 돼야 한다”며 “기초 이론 없이 단기 실습만 반복하는 교육은 산업에서 오래 버티기 어렵다”고 강조했다.

곽 교수는 또한 보안 인력의 ‘커리어 단절’ 문제를 구조적 문제 중 하나로 짚었다. 그는 “졸업생 관리나 경력 추적 체계가 전무해 양성된 인력이 산업에 남아 있는지조차 확인되지 않는다. 이탈률이 높아도 원인을 알 수 없다”며 “정부가 수혜자 수나 졸업생 숫자를 성과로 삼는 이상 산업이 변하기는 쉽지 않다”고 말했다.

이어 “인력 양성은 단기 사업이 아니라 장기적 투자이며, 최소 10년 이상 커리어 패스 관리가 동반돼야 한다”며 “교육, 산업, 일자리가 유기적으로 연결되지 않는 한 양성 정책은 늘 같은 자리에서 반복될 것”이라고 덧붙였다.

이 같은 구조적 한계는 기업의 실무 현장에서도 체감되고 있다. 전문 화이트해커 인력을 보유한 오펜시브 보안 전문기업 엔키화이트햇 관계자는 “6개월, 1년짜리 취업 코스는 기초 진단 인력 양성엔 의미가 있지만, 정부가 양성하겠다고 한 국가급 취약점을 찾아내는 핵심 화이트해커는 그런 방식으로는 한계가 있다”고 말했다.

그는 “해킹 대회나 버그바운티(보안 취약점 제보 포상제) 같은 생태계 지원이 오히려 훨씬 효과적일 수 있다”며 “동아리·커뮤니티·대회 중심의 자생적 학습 구조에 정부 예산이 더 투입돼야 한다”고 강조했다. 이어 “(자사의 경우) 화이트해커 채용 시 ‘자격증’보다 실전 경험, 예를 들어 실제 글로벌 벤더 취약점 제보 이력이나 실전 대회 경험이 더 중요하게 여긴다”고 설명했다.

또한 “정부의 인재 양성 사업은 기간 내 실적(수료·취업자 수) 산출이 필요해 구조적으로 단기화될 수밖에 없는 점이 있는 듯하다”며 “장기 인센티브를 주는 방식으로 생태계를 키워야 한다”고 제안했다. 그는 구체적으로 “차세대 보안리더 양성 프로그램(BoB)처럼 현업 멘토가 참여해 실무 중심으로 역량을 쌓는 구조가 이상적”이라며 “청소년·학부 단계부터 ‘해킹 경진대회(CTF)’나 대학 동아리 활동을 지원하고, 민간뿐 아니라 군·공공 사이버 직군으로 이어지는 경력 사다리도 제도화할 필요가 있다”고 덧붙였다.

결국 전문가들은 공통적으로 단기적 수치 확대보다 구조적 생태계 설계에 더욱 무게를 싣어야 한다고 입을 모은다. ‘몇 명을 이수·취업시켰느냐’가 아니라 ‘얼마나 오래 현장에 남아 성장했느냐’가 정책의 핵심 성과 지표가 돼야 한다는 것이다.

곽진 교수는 “교육·산업·고용이 유기적으로 맞물리지 않는 한 보안 산업의 인력은 변하지 않는다”며 “단기 성적보다 지속 가능한 생태계 투자가 필요하다”고 강조했다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network

일간 바이라인 구독하기

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다


The reCAPTCHA verification period has expired. Please reload the page.