정부 ‘해킹과의 전쟁’ 선포했지만, 국내 보안 현장은 사실상 인재 절벽

롯데카드·KT 사태 후폭풍
국내 해킹 공포 갈수록 커지는데
한국 기업 97% “대응 인력 부족”

해킹 사고 피해가 확산하자 정부가 서둘러 대책 마련에 나섰다. 해킹 피해가 의심되면 기업의 신고가 없어도 직권조사를 할 수 있도록 하고, 보안 업무에 소홀한 기업에는 제재 강도를 높인다는 게 골자다. 하지만 국내 보안 인력 부족과 낮은 처우 문제 등이 발목을 잡고 있어 제도적 강화만으로는 한계가 있다는 지적이 나온다.

통신·금융사고 특단 대책 주문

22일 정부는 김민석 국무총리 주재로 '통신사 및 금융사 해킹 사고 관련 긴급 현안점검회의'를 열고 이 같은 내용을 추진하기로 했다. 최근 'KT 무단 소액결제' '롯데카드 회원 개인정보 유출' 등 국민 생활과 밀접한 대규모 해킹 사건이 연이어 발생하자 대응에 나선 것이다. 정부는 우선 해킹 사고 조사 권한을 확대한다. 과학기술정보통신부는 해킹 정황만으로도 정부가 직권조사에 착수할 수 있도록 정보통신망법 개정을 추진한다. 현행법은 피해 기업이나 기관이 자진 신고해야만 조사가 가능해 초기 대응이 늦고 은폐 논란이 반복된다는 지적이 많았다. 검토 중인 개정안에는 '침해 사고 조사심의위원회'를 설치해 중대한 사안일 경우 전문가 심의를 거쳐 직권조사가 가능하도록 하는 방안이 담긴다. 개인정보보호법의 직권조사 조항을 참고한 것이다.

개인정보를 대량 보유한 기업·기관의 보안 의무도 강화된다. 정부는 보안 의무 위반 시 과징금 등 제재를 강화해 사고 대응력을 높인다는 방침이다. 금융위원회는 신용정보법에 따라 금융회사가 고객 정보를 고의로 누설할 경우 매출액의 최대 3%까지 과징금을 부과할 수 있다. 이번에 해킹이 발생한 롯데카드의 지난해 실적에 비춰 보면 최대 910억원의 과징금이 가능하다. 하지만 현행법은 고의성을 전제로 하기에 보안 미비로 정보가 유출된 경우에는 50억원 이하 과징금만 부과할 수 있다. 이 한계를 없애기 위해 여당은 지난 7월 신용정보법 단서 조항을 삭제하는 개정안을 발의했고, 당국도 징벌적 과징금제도 도입을 추진 중이다.

공공과 민간 전 분야에 대한 대대적 보안 점검도 예고됐다. 국가안보실은 국가 시스템, 주요 통신·플랫폼, 금융기업의 보안 취약점을 집중 점검하고, 사고 발생 시 피해 확산을 빠르게 차단할 수 있는 체계와 함께 정보 보호 투자 확대 방안을 마련 중이라고 밝혔다. 기업·기관이 소비자에게 특정 보안 소프트웨어 설치를 강요하는 등 국내 '갈라파고스식' 보안 관행도 개선한다. 더불어 사이버안보 역량 강화를 위해 인력과 산업에 대한 투자를 확대하고, 인공지능(AI)·양자컴퓨팅 등 신기술 환경 변화에 대응할 보안 신기술 투자도 늘린다. 정부는 이 같은 내용을 담은 '정보보호 종합대책'을 이달 중 발표해 정기국회 회기 내 법안을 통과시키겠다는 방침이다.

전문가 부족에 인력 확충 어려움

정부의 대응 배경에는 갈수록 심각해지는 금융권 해킹 피해가 자리한다. 금융감독원에 따르면 최근 10년간 은행·금융투자·카드·보험·저축은행 등에서 전자금융 사고가 2,889건 발생했고, 피해액은 총 871억원으로 집계됐다. 은행이 432억원으로 가장 규모가 컸고 금융투자 375억원, 보험 40억원, 카드 19억원 순이었다. 사고 건수는 2015년 232건에서 지난해 401건으로 늘었고, 올해 상반기에도 211건이 발생했다. 하반기부터 롯데카드 등 대형 사고가 잇따르면서 올해 사고 건수는 역대 최대가 될 가능성이 크다.

정부는 보안 의무를 강화해 해킹 대응력을 제고한다는 방침이지만, 업계는 국내에 보안 인력이 부족하다는 점을 문제로 지목한다. 실제 최근 국내 기업들이 연달아 해커들의 먹잇감이 되며 위기 의식이 높아졌지만 보안 인력풀의 한계로 정작 기업들은 인력 확충에 어려움을 겪는 것으로 나타났다. 지난 1일 글로벌 보안업체 시스코의 ‘2025 사이버보안 준비지수’에 따르면 한국 기업의 97%가 ‘보안 인력 부족’을 호소했다. 응답 기업의 34%는 10개 이상의 보안 관련 포지션이 ‘미충원’ 상태라고 응답했다.

한국인터넷진흥원(KISA)이 올해 2월 발표한 정부 공식 통계도 보안인력 부족을 여실히 보여준다. KISA 집계에 의하면 최근 1년 내 보안인력 채용 경험이 있는 기업은 7.6%에 불과했고, 향후 1년 내 채용 계획 보유 기업은 33.2%에 그쳤다. 기업들은 보안인력 채용 계획을 세우지 못한 이유로 ‘적합한 수준의 보안 인력 채용이 어려움’(23.8%)을 꼽았다.

2024년 기준 보안전담인력을 293명으로 대폭 늘린 LG유플러스도 최근 수개월째 보안 부문에서 적합한 전문 인력을 찾지 못해 애를 먹고 있다. 개인정보보호 부문의 실무자라면 법·제도와 보안 기술, 각 부문별 서비스 등에 전문성을 갖춰야 하는데, 눈높이에 맞는 인재를 찾기 힘들다는 것이다. 이에 LG유플러스는 지난해 숭실대 정보보호학과에 채용연계형 계약학과를 신설해 인재 확보에 나섰다. 통신업계 한 관계자는 “전반적으로 보안 전문 인력이 부족하고, 적합한 인재가 산업 수요에 비해 배출되지 못하는 문제도 있는 상황”이라고 했다.

국내 '헐값 대우'에 해외로 향하는 보안 인재들

국내에 보안 전문 인력이 부족한 이유는 낮은 처우 때문이다. 실제 과기정통부 및 한국정보보호산업협회가 올해 4월 발표한 '2024년 사이버보안 인력수급 실태조사'를 보면 사이버보안 인력들이 국내에서 취업하지 않는 이유는 '급여'였다. 해당 조사 보고서에 따르면 전문대학, 대학교, 대학원 학생 1,276명 중 사이버보안 분야 취업 비희망 이유로 가장 많이 꼽은 항목에 대해 조사한 결과 '낮은 연봉 수준' 때문이라는 응답이 38.2%로 가장 높았다. 작은 채용 규모와 열악한 근무 환경 및 처우(워라밸) 등에 대한 응답도 각각 14.2%, 11.7%로 집계됐다. 연봉 수준은 업무 대비 낮은데, 채용 규모도 작고 근무 환경 또한 열악하다는 인식으로 비춰지고 있는 것이다.

이는 해외 업계와 대조적이다. 미국 경제지 포브스는 미국 노동통계국 수치를 통해 미국 사이버 보안 일자리 수요가 크게 늘어날 것으로 전망하고 있다. 미국 노동통계국 조사에 따르면 미국에서 2032년까지 사이버 보안 일자리가 약 32% 증가할 것으로 내다봤다. 또한 2023년 기준 미국 정보보안 분석가들의 평균 연봉은 12만360달러(약 1억6,700만원)으로 조사됐다.

반면 국내의 경우는 한국인공지능·소프트웨어산업협회가 공표한 '2023년 소프트웨어 기술자 임금실태조사'에 따르면 2023년 기준 정보보안전문가의 경우 평균 연봉은 1억1,380억원에 불과한 것으로 나타났다. 이는 정보보호관리자, 침해사고대응전문가 등 기업 내 최고정보보호책임자 수준 전문가의 급여로, 국내 보안기업의 보안 인력의 경우 이보다 훨씬 낮은 6,000만~7,000만원 수준에 머무는 것으로 파악됐다.

이와 관련해 사이버보안 분야의 한 교수는 "작년부터 사이버보안 관련 예산도 삭감됐고, 보안 사고가 잇달아 발생하고 있는데도 보안 투자는 세계 대비 턱없이 모자란 상황"이라며 "이에 젊은 학생들도 해외로 눈을 돌리는 경향이 크다"고 지적했다. 보안업계에 종사하고 있는 한 관계자도 "해외에서 억 단위 연봉을 받고 모셔가는 자격증이나 경력이 있어도 국내에서는 그만큼 인정받지 못하는 현실"이라며 "그럼에도 보안 사고가 발생하면 보안부서가 책임을 뒤집어쓰는데, 이런 환경에서 어느 인력이 한국에서 일하고 싶어 하겠는가"라고 반문했다.