"아이돌 시장을 보면 별다른 양성 정책 없이도 계속 인재들이 등장한다. '케이팝'이라는 성공 사례가 있기 때문이다. 반면 정보보호책임자는 '9시 뉴스에 나와 90도로 인사하고, 반성하는 사람'이란 이미지가 박혀 있다. 현직 CISO(정보보호최고책임자), CPO(개인정보보호책임자)들 중 어릴 적 꿈을 살렸다는 사람이 없다. 형사처벌 문제는 이런 문제를 지속되게 만들고 있다."(심상현 한국침해사고대응협의회 국장)
정부가 정보보안 산업 육성을 위해 향후 5년간 추진할 진흥 계획을 발표했다. 이에 대해 정보보안 인력의 형사처벌 등 고질적인 문제부터 해결하는 것이 급선무라는 업계 목소리가 나왔다.
지난 5일 열린 '정보보호 산업 진흥계획 온라인 토론회'에서는 지난 6월 발표된 '정보보호 산업 진흥계획'의 방향성을 두고 이같은 의견이 제기됐다.
정보보호 산업 진흥계획은 정보보호산업의 진흥에 관한 법률 제5조에 따라 5년마다 수립된다. 2차 진흥계획엔 내년부터 5년간 추진되는 진흥사업들의 내용이 담겼다.
이 계획에서 정부는 지난해 기준 13만5천명인 정보보호 분야 일자리를 2025년까지 16만5천명 수준으로 늘리겠다는 목표를 세웠다. 산업계 수요를 반영한 교육과정 설계, 재직자의 역량 강화 지원, 우수 인재 발굴을 위한 인력 양성 기반 강화, 경력 관리와 구직 정보 지원 등을 세부 수행 과제로 밝혔다.
이에 대해 패널로 참석한 신용석 비바리퍼블리카 이사(CISO)가 선결과제로 지적한 부분이 보안 인력에 대한 형사처벌 이슈다. 개인정보보호법에는 개인정보 유출 사고가 발생했을 때, 개인정보처리자를 형사처벌하는 규정이 존재한다. 이에 대해 보안업계는 실질적으로 유출 사고를 겪은 기업의 보안 역량을 강화하는 효과가 떨어지고, 능력 있는 인재들이 보안업계 진입을 꺼리게 되는 부정적 결과를 낳고 있다고 꾸준히 지적해왔다.
신용석 이사는 "정보보호 일자리는 수요에 비해 공급이 모자란 상황인데, 이런 문제를 해결하려면 정보보안 인력에 대한 형사처벌이 사라져야 한다"며 "이같은 문제를 빨리 바로잡는 게 일자리 창출을 위한 장애물을 없애는 것"이라고 지적했다.
마찬가지로 보안업계의 숙원인 유지보수(보안성 지속서비스 대가) 요율 문제도 화두로 등장했다.
정부는 2차 진흥계획의 목표로 지난해 기준 10조 5천억원을 기록했던 국내 보안업계 매출액을 2025년까지 20조원으로 키우고, 매출 300억원 이상 기업을 같은 기준 37개에서 100개로 늘리겠다고 발표한 바 있다. 비대면 서비스 등 보안 신규 시장 활성화, 중소기업 보안 투자 지원, 인공지능(AI) 보안 학습 데이터 구축 등 다양한 지원책도 내놨다.
보안업계는 이에 대해 업계의 양적, 질적 성장을 이루려면 이와 함께 인건비에도 미치지 못하는 유지보수 요율 문제가 해소되는 게 필수라고 지적했다. 다만 여러 문제가 얽혀 있어 단기간에 요율이 향상되기는 쉽지 않은 게 현실이라고 언급했다. 업계가 해결책으로 제시한 것은 클라우드 보안 제품 보급 확대다. 사용량에 따라 서비스 비용을 월별로 지불하는 구독형 모델이 기존 비즈니스 모델을 대체할 만큼 주류가 된다면 유지보수 요율 문제도 자연히 해소될 수 있다는 의견이다.
이동범 한국정보보호산업협회(KISIA) 협회장은 "최신 위협과 새로 발견된 취약점에 대응하기 위한 지속적인 업데이트가 필요하기 때문에 보안성 지속 서비스 대가라는 개념이 있어왔고, 구매자 관행이 이어지면서 여전히 낮은 요율을 받고 있다"며 "시장에서 변화가 나타나기엔 오랜 시간이 걸리기 때문에, 이 대신 구독형 모델이 시장에 정착되도록 해야 한다"고 언급했다.
IT 예산 중 보안에 투자되는 예산 비중이 해외에 비해 낮은 현실도 앞으로 개선해야 할 과제로 언급됐다. 정부는 이에 대해 공공 부문 정보화 예산 대비 정보보호 투자 비율을 지난해 기준 8.4%에서 선진국 수준인 20%까지 늘릴 수 있도록 유인해야 할 필요성이 있다고 진흥계획에서 밝힌 바 있다.
이에 대해 신용석 CISO는 민간 부문도 정보보호 예산을 적극 확대할 수 있게 할 해결책으로 정보보호 공시 제도를 제시했다. 민간 부문의 정보화 예산 대비 정보보호 투자 비율이 현재 약 3% 수준인데, 신 CISO는 이를 늘려가는 방안이 있어야 보안업계의 성장이 나타날 수 있다고 지적했다. 이를 위해 정보보호 투자 비율 등을 공시하게 해 민간 기업들의 자율적인 경쟁을 유도해야 한다고 강조했다.
신 CISO는 "기업 입장에서 개인정보는 곧 고객의 정보인데, 이를 보호하는 기업의 노력에 대해 알리도록 해야 하는 게 합리적이라는 의견이 있다"고 언급했다.
관련기사
- 폐기된 보안업계 숙원 법안, 21대 국회선 살아날까2020.06.01
- 정부, 1조원 들여 '비대면 서비스 보안' 키운다2020.07.14
- 사이버보안도 '뉴딜'…안전한 비대면 시대 만든다2020.07.16
- 방통위 김재영 국장 "개인정보유출 형사처벌 개정 공론화 필요"2019.01.15
이에 정은수 과학기술정보통신부 정보보호산업과장은 "20대 국회에서 관련 법안이 발의됐는데 폐기됐다"며 "현재 이같은 내용을 두고 정부 입법이나 국회 입법 중 어떤 것을 추진할지 고민하는 단계"라고 답했다.
정은수 과장은 "정보보호 산업 육성을 위해 필요하다고 보는 입장인데, 규제의 성격을 띄고 있기 때문에 반대하는 입장도 있어 모든 기업에 적용하기엔 쉽지 않을 것으로 본다"며 "기업 규모나 중요한 업무를 수행하는 기업 위주로 적용할 계획을 갖고 있다"고 덧붙였다.
