[유미's 픽] 삼성도, 정부도 '보안' 강화 혈안…인력 확보 '사활'

AI 시장 확대 속 보안 취약성 노린 해킹 활발…인력 부족에 인재 확보 쉽지 않아

컴퓨팅입력 :2024/04/04 11:40    수정: 2024/04/05 08:46

"아무리 뛰어난 인공지능(AI) 기술도 사용자를 보호하지 못하면 쓸모가 없습니다. 오히려 위험합니다."

한종희 삼성전자 부회장은 지난 1일 사내 기고문을 통해 자사 가전 브랜드인 '비스포크(BESPOKE) AI'의 핵심을 '보안'으로 꼽았다. 최근 냉장고, 에어컨, 전자레인지, 세탁기, TV 등 각종 가전에 AI 기술이 폭넓게 적용되는 이른바 'AI 가전 시대'가 열리면서 개인 정보 보안 문제도 불거지고 있다는 점을 고려한 것이다.

이에 맞춰 삼성전자는 최근 보안 인력을 충원하는 데 집중하고 있다. 삼성전자의 모바일 기기와 가전제품, 네트워크 시스템 등을 담당하는 DX 부문은 지난 2월 경력직을 채용했다. 이 중 MX(무선사업부)에서는 ▲보안전략 수립 및 관련 솔루션 개발 ▲위협정보 모니터링, 보안 및 개인정보 관련 이슈 대응 등을 담당할 인원을, 네트워크 사업부는 ▲제품 보안 점검 ▲제품 보안기술 구현 및 운영 등을 맡을 직원을 선발했다. 삼성전자는 지난해 공시기관 701곳 중 정보보호 투자액과 전담 인력이 가장 많은 기업이었지만 이번에 추가로 보안 인력을 강화했다.

최근 AI 시장 확대와 함께 중국, 러시아 등을 중심으로 한 해킹 집단이 보안 취약성을 이용해 대규모 피해를 입히는 사례가 늘어나고 있다. (사진=이미지투데이)

4일 업계에 따르면 올해 들어 삼성전자뿐 아니라 병원, 금융사, 정부 등 각 분야의 기관·기업들이 정보보안 전문가 채용을 늘리고 있다. 최근 AI 시장 확대와 함께 중국, 러시아 등을 중심으로 한 해킹 집단이 보안 취약성을 이용해 대규모 피해를 입히는 사례가 늘어나고 있어서다.

대기업 겨냥 '우회 해킹' 빈번…중소기업·정부도 골머리

특히 시스템이나 파일을 마비시켜 몸값을 요구하는 공격 방식인 랜섬웨어의 피해를 받은 중소기업들이 잇따르고 있다. 실제로 한국인터넷진흥원(KISA)에 따르면 사이버 침해 사고 신고 중 중소기업이 피해 기업의 78%를 차지했다. 신고 건수는 2020년 630건, 2021년 640건, 2022년 1천142건, 2023년 1천227건으로 2년 새 큰 폭으로 증가했다.

이 중 디도스(DDoS·분산서비스거부) 공격은 2020년 213건, 2021년 123건, 2022년 122건으로 감소 흐름을 보이다 지난해 다시 213건으로 늘었다. 통신사와 웹호스팅 사를 대상으로 한 디도스 공격이 과반인 51.5%로, 전년(9.8%)보다 급증했다.

중소기업은 랜섬웨어를 포함한 전체 사이버 침해사고 건수에서도 81%를 차지한 것으로도 조사됐다.

임진수 KISA 침해예방단장은 "공격 대상은 (해커들이) 뚫기 쉬운 중소기업부터 공격하고 거기에서 금전적 이득을 챙기고 있다"고 말했다.

(사진=이미지투데이)

대기업들도 안심할 수 없는 상태다. 오아시스 시큐리티에 따르면 북한 해킹그룹이 최근 국내 대기업을 대상으로 공격에 성공한 후 자료를 탈취해 경유지 서버에 전송한 것으로 파악됐다. 공격 대상 기업은 보안 소프트웨어를 개발하는 계열사를 포함해 에너지, 중공업, 전자, 정보기술 등 다수의 계열사를 보유하고 있는 것으로 알려졌다.

업계 관계자는 "해커는 보안 체계와 시스템이 비교적 잘 자리잡은 대기업 등 원청기업을 노리는 대신 상대적으로 보안 투자가 적은 중소 규모 협력회사를 공격의 시작점으로 삼고 있다"며 "특히 제조업 기반 대기업은 협력회사와 수시로 소통해야 하는데 이를 고리로 정보 탈취 해킹을 일삼고 있다"고 설명했다.

정부도 해킹 피해로 몸살을 앓고 있다. 최근에는 국가위성운영센터가 해킹 공격에 보안이 뚫렸고, 중앙선거관리위원회도 지난해 10월 직원 업무용 PC가 악성코드에 감염돼 정보가 유출됐다. 사법부 전산망도 지난해 2월께 해커들의 공격을 받은 것으로 확인됐다. 

이처럼 최근 3년간 해커의 공격을 받은 공공기관 PC는 3천 대가 넘는 것으로 알려졌다. 유출된 기관은 교육기관이 가장 많았는데 서울시 교육청 390여 대, 경상남도 교육청 260여 대, 인천시 교육청 180여 대 순이었다. 서울시청과 경찰청, 법원, 검찰 PC도 안전하지 않은 것으로 파악됐다.

업계 관계자는 "피해를 방지하기 위해서는 이메일 계정과 비밀번호를 주기적으로 바꿔야 한다"며 "출처가 불분명한 파일 등을 PC에 설치할 때 특별히 주의해야 한다"고 말했다.

사이버 보안 인력 확보 '비상'…인재 부족 속 중소기업 부담 커

이 탓에 정부는 최근 사이버 보안 신규 사업 추진에 나섰다. 올해 사이버보안 R&D(연구개발) 예산도 전년 대비 늘어난 1천141억원으로 책정했다. 또 세계적 수준의 보안 기술 및 전문인력을 확보하기 위해 글로벌 선도국과의 공동기술 개발 협력 및 인력교류 등을 새롭게 추진하고, 근래 수요가 급증한 AI·네트워크 보안 및 공급망 보안 등에 집중 투자한다는 계획도 세웠다.

북한의 해커 조직 '라자루스(Lazarus)'로부터 장기간 전산망 해킹 피해를 입은 사법부는 최근 임기제 6급 보안 전문가 1명을 공개 채용했다. 지방법원 전산 인력 1명도 행정처 정보보호담당관실에 이동시켰다. 사법부 전산망 보안 역량 강화를 위해 대응 전력을 보강한 것이다.

(이미지=달리)

기업들도 사이버 보안 전문 인력 채용에 적극 나서고 있다. 지난해 초 고객 개인정보 유출 사고를 낸 LG유플러스는 최고정보보호책임자(CPO)를 신설한 데 이어 지난달 산하 신설 조직의 팀장급 경력 직원을 채용했다. 개인정보보호정책팀과 사이버위협대응팀, 개인정보점검팀을 이끌 외부 인력을 충원해 보안 역량을 강화하겠단 의도로 풀이된다.

KT는 지난 2월 보안컨설팅, 모의해킹 진단, 정보보호·보안관제 기획 및 침해사고 분석 대응 등 3개 파트에서 경력 4~7년차를 뽑았다. KT와 별도로 KT클라우드도 같은 기간 경력직 채용에 나섰는데, IT분야 채용은 정보보호 기획 파트만 뽑았다. 

이 외에도 서울아산병원, 생명보험협회, 은행연합회 등도 올해 정보보안 인력 채용을 진행했다. 외국계 생명보험사인 메트라이프는 재능 있는 보안 및 개발 분야 인력 확보를 위해 지난달 채용 연계형 해커톤 대회(제한된 시간 내에 보안관련 과제를 해결하는 대회)를 개최했다.

LG전자는 사이버 보안 전문 인력 양성에 나섰다. 최근 고려대와 업무협약(MOU)을 맺고 정보보호대학원 석사 과정에 'LG 사이버 시큐리티 트랙'을 신설한 것이다. 취업 보장과 장학금 등 혜택을 제공하는 계약학과로, 이달 1일부터 신입생 모집을 시작했다. 또 LG전자는 지난해 하반기 가전 데이터 보안 전담 부서도 별도 신설했다.

이처럼 기업들이 사이버 보안 인력 확충에 나서고 있는 것은 개인정보보호법 개정안의 영향도 컸다. 관련 법 시행으로 과징금 부과 대상이 대폭 확대된 데다 과징금 상한액도 종전 '관련 매출의 3%'에서 '전체 매출의 3%'로 대폭 상향됐기 때문이다.

3년째 접어든 정보보호 공시제도도 영향을 줬다. 민간·공공의 기업·기관 중 인원·매출액이 일정 규모 이상인 곳, 상급 종합병원, ISP(인터넷 서비스 공급자) 등에 대해 의무적(일부는 자발적)으로 정보보호 투자액과 전담인력 현황을 공시하도록 한 이 제도는 기업·기관이 스스로 정보보호 역량을 개선하는 데 기여하고 있다는 평가를 받는다.

관련기사

하지만 인력은 턱없이 부족하다. 구글 클라우드에 따르면 한국이 포함된 아시아·태평양 지역의 사이버 보안 분야 부족 인력은 216만 명에 이른다. 미국(50만 명), 유럽(30만 명)에 비해 심각한 수준이다.

업계 관계자는 "보안이 점점 중요해지고 있지만 능력 있는 인재를 찾는 것은 쉽지 않다"며 "대기업이나 공공기관 등이 전부 경력자들만 채용해 중견·중소기업에서 애써 육성한 중급 이상 인력들이 빠져나가고 있다는 점도 문제"라고 꼬집었다.