사이버보안 인재 교육 위해 ‘사이버훈련장’ 확대, 고급 인력 양성될지는 ‘미지수’
매년 교육생 목표치 초과 달성에 ‘실전형 사이버훈련’ 2배로 확대 다만 고급단계 다루는 교육과정은 딱 하나, 교육 만족도도 그다지 높지 않아 실제 기업들 정보보안 인력 수요 생각보다 적어, 인력의 양이 아닌 질 높일 정책 필요
정부가 ‘사이버보안 인재 10만 양성’ 목표를 달성하기 위해 훈련장 및 설비 확대 등에 나선다. 해마다 증가하는 사이버 보안 침해 사고와 업계 인재 부족 문제에 적극 대응하겠다는 취지로 풀이된다. 그러나 일부 전문가들로부터 현실적으로 보안 인력에 대한 수요가 그리 높지 않다는 지적과 더불어, 인력의 양뿐만 아니라 질을 높이는 방향으로 인력 양성 방식에 대한 검토가 필요하다는 비판이 제기됐다.
실전형 사이버훈련장 교육과정은 늘리고, 서버 등 설비는 확대
과학기술정보통신부(과기부)는 한국인터넷진흥원(KISA)과 함께 판교에서 운영 중인 실전형 사이버훈련장(Security-Gym)의 교육과정을 추가 개설하고 시설과 설비 등을 보완하기로 했다.
먼저 실전형 사이버훈련장의 교육생 수를 지난해 1,087명에서 올해 2,820명으로 크게 확대하고, 훈련장의 교육훈련 서버를 4대에서 10대까지 증설하기로 했다. 실시간 해킹방어 훈련 등의 교육과정도 7개에서 19개로 확대한다. 특히 다양한 정보보호 제품 실습을 위한 제품군은 2종에서 12종까지 늘리기로 했다.
실전형 사이버훈련장은 작년 7월 발표한 ‘사이버보안 10만 인재양성 계획’의 일환으로 추진되고 있다. 교육 참여자들은 훈련장을 통해 사이버 침해사고 상황에 대한 이해와 더불어 실습 훈련을 경험할 수 있다. 2016년 구축된 훈련장은 매년 교육생 배출 목표를 초과 달성하며 지난해까지 4,093명의 교육생을 배출한 바 있다.
정부는 사이버훈련장을 지역별로 특화된 사이버보안 인재 양성 및 지역 산업 육성을 위한 핵심 거점으로 활용하겠다는 계획도 밝혔다. 나아가 올해 정보보호 지역 거점(부산・울산・경남)을 새롭게 지정해 수도권과 지역 간 정보보호 수준 격차를 줄이는 데 활용하겠다는 입장이다.
수준별 맞춤 교육 지향, 실제 효과는 ‘글쎄’
이번 사업은 최근 구직자 및 재직자를 대상으로 발생한 해킹 시나리오를 기반으로 가상의 침해사고 환경을 구축하고, 침해사고 조사, 침해 공격·방어훈련, 상용 정보보호 제품에 대한 실습 등 수준별 교육 과정을 지원한다.
실전형 사이버훈련장의 대표적인 교육 과정은 ‘일방향 침해사고 방어 및 분석 훈련’과 ‘양방향 실전 공방 훈련 과정’ 등이 있다. 먼저 실전형 사이버 침해 대응 과정 중 ‘일방향 침해사고 방어 및 분석 훈련’은 가상의 기업 인프라 환경에 대한 침투를 방어하는 과정으로, 침투 사례에 대한 취약점에 대해 정보를 수집하고 분석을 통해 대책을 수립할 수 있는 수준까지 훈련을 진행한다.
반면 ‘양방향 실전 공방 훈련 과정’은 가상의 기업환경에 접속해 팀별로 할당된 인프라에 대한 방어와 동시에 상대 인프라를 공격하는 절차와 방법을 훈련하는 과정이다. 실제 침투 사고에 대응하는 과정이 포함돼 있어 실질적인 문제해결 능력 배양에 초점을 맞췄다.
다만 실제 교육 체험자들이 느낀 교육의 질은 다소 초보적인 수준에 그치는 것으로 보인다. 국내 온라인 보안 커뮤니티의 한 누리꾼은 “보안을 처음으로 공부하는 사람들에겐 신선한 교육이라고 느낄지 모른다”면서 “그러나 조금이나마 보안에 대해 공부한 사람이라면 사이버훈련장 교육 전반이 중급이나 고급이 아닌 초급과정이라고 생각할 수 있을 정도로 과정 자체의 어려움이 없었다”고 토로했다.
고급과정의 수준 역시 실제 현장에 곧바로 투입될 수 있을 정도의 체계를 다루고 있지 않다는 것이 전문가들의 지적이다. 이번 사업의 유일한 고급과정인 ‘일방향 침해사고 대응 훈련’의 경우 사이버 보안 인재 센터 등의 주최기관이 진행하는 역량평가 테스트를 통과해야 수강이 가능하지만, 학부생 수준의 지식만 있으면 통과할 수 있는 수준이라는 것이다.
국내 A대학의 정보보호학과 관계자는 “네트워크 이론 정도 공부한 대학교 1~2학년 학생들도 고급과정 입과는 어렵지 않다. 특히 기초적인 디지털 포렌식 이론이나, 간단한 하드웨어 및 소프트웨어 시스템 해킹을 경험해 본 사람이라면 통과할 수 있는 수준”이라고 설명했다. 이어 “세계 어느 기업에서도 실제 현업에서 필요로 하는 보안 전문가를 단 하나의 과정으로 훈련할 수 있다고 믿는 곳은 없다”면서 전체 사업에서 고급과정이 단 1개뿐인 점에 대해 아쉬움을 토로하기도 했다.
‘10만’이라는 숫자에 연연하지 말아야
정부가 외치는 ‘사이버보안 인재 10만 양성’ 목표가 업계 현실을 전혀 반영하지 못하고 있다는 목소리도 나온다. 설사 정부의 계획대로 10만 명의 인재가 양성된다 하더라도 현실적으론 일할 곳이 없다는 주장이다.
한국인터넷진흥원이 2019년 발표한 ‘정보보호 인력현황 조사’에 따르면 2023년부터 2025년까지 3년간 보안 인력에 대한 기업들의 신규수요 규모는 고작 1만9,463명에 그친다. 같은 기간 정보보호 관련 대학 및 대학원으로부터 예상되는 신규공급 인원은 1만3,526명으로, 공급과 수요의 수급차를 고려하면 향후 3년간 약 5,937명의 인력 부족이 예상된다.
이 같은 수요차를 두고 강은성 이화여대 사이버보안학과 교수는 “일면 많아 보이는 이 부족 인력의 수는 ‘10만 보안인력 양성론’의 목표 인원의 1/10에도 미치지 못한다”며 “10만이란 숫자가 걸출한 역사적 인물 덕에 우리에게 익숙하지만, 보안 환경에서 그리 현실적인 숫자는 아닌 셈”이라고 지적했다.
결국 전문가들은 인력의 양이 아니라 질을 높이기 위한 인력 양성 방식을 찾아야 한다고 주장한다. 강 교수는 “양성하려는 보안 인력의 목표 수준이 전문 인력인지, ‘보통 수준’의 인력인지, 보안 지식을 갖춘 관리자나 다른 직무 인력인지, 다양한 직무 인력의 ‘보안인식 제고’인지에 따라 교육 내용과 대상이 달라진다”며 “무엇보다도 10만이라는 숫자에 연연하지 말고, 어떤 분야에 어떤 수준의 인력이 필요하고 그에 적합한 인력 양성의 방식은 무엇인지 심도 있게 검토해야 한다”고 제언했다.
제조업 중심의 우리나라 산업 환경에서 디지털 대전환에 대응하기 위해 주요 산업의 보안 인력 양성이 시급한 것은 사실이다. 그러나 국내 주요 산업은 공정이 복잡한 데다 도메인 지식과 경험이 중요한 만큼 기존의 IT 보안 인력 양성과는 다른, 산업별 특성을 살린 인력 양성 체계와 방식을 수립해야 한다. 각 산업 현장에 현실적인 인력 공급이 이뤄질 수 있도록 보안 인력 양성과는 별도의 수요 조사를 병행하는 정책이 필요한 시점이다.