[정보통신신문=박광하기자]

국내 정보보호 인력이 2020~2025년 동안 1만명 가량 부족할 것이라는 전망이 나왔다. 또한 정보보안 산업 매출 대부분이 100인 미만 중소기업에서 발생하고 있어 영세성 한계를 갖고 있다는 지적이 제기됐다.

이 같은 문제를 극복하기 위해 전문적인 사이버보안 인력 양성이 필요하다는 방안이 제시됐다. 아울러 빅데이터와 인공지능(AI)을 활용한 최첨단 보안기술 확보와 기술혁신이 포함된 연구개발(R&D) 체계가 마련돼야 한다는 의견도 나왔다.

국가정보원, 과학기술정보통신부, 행정안전부, 개인정보보호위원회, 금융위원회, 외교부는 최근 이 같은 내용의 '2021국가정보보호백서'를 발간했다.

■전면적·일상적 위협 대응체계 전환 필요

백서는 지난해 예상하지 못한 코로나19 팬데믹으로 우리 생활 전반이 변화됐으며, 이로 인해 정보보호 환경도 전면적이며 일상적인 위협 대응체계로의 전환을 필요로 하고 있다고 짚었다.

이 같은 영향으로 재택근무, 화상회의 등 비대면 서비스의 확산 결과 전통산업과 정보통신기술(ICT) 간 융합이 가속화되면서 사이버 영역이 확장되고, 이로 인해 사이버위협이 전방위적으로 증가하고 있다는 점도 언급했다.

코로나19 팬데믹 위기 상황을 악용한 피싱 공격, 메일 사칭, 랜섬웨어 등의 사이버공격이 급증하고, 단기간 급성장한 비대면 서비스(원격교육, 원격근무, 전자상거래 등)에 대한 보안 위협 및 비대면 서비스를 타깃으로 하는 침해사례가 계속적으로 발생하고 있다는 것이다.

이런 국가 사이버 대응체계 전반에 걸친 패러다임 변화는 전산망 연결 접점에 대한 다양한 보안점검 포인트를 생성하게 됐다고 백서는 분석했다.

백서 내용을 살펴보면, 과거에는 보안전문가가 내부망을 집중 관리했던 반면, 이제는 이용자 PC 등 앤드포인트를 포함해 이용자 전반에 보안관리가 필요하게 됐다.

또한 재택근무 환경은 그곳이 회사 내부가 아니더라도 언제, 어디서나 회사와 동일한 수준의 보안을 요구하고 있으며, 원격의료, 원격교육, 온라인 유통 등 각 분야마다 다른 요구사항을 가지기 때문에 분야별 특성에 따른 차별화된 보안이 필요한 상황이다.

그러나 국내 기업의 보안 역량 미흡과 국내 정보보호 시장 협소, 정보보호 인력 부족 등으로 인해 새로운 사이버위협 대응에 한계가 있다.

대다수 랜섬웨어 피해사례가 중소기업, 소상공인, 개인에 편중되는 등 보안역량은 미흡한 편이고, 국내 정보보안 산업 매출 대부분이 100인 미만 중소기업에서 발생하고 있어 영세성과 기술력 부족 등으로 시장 확대에도 한계가 있다.

더욱이 정보보호 인력은 2020~2025년 약 1만명이 부족할 것으로 예상되는 등 전문인력 공급이 부족하고, ICT 분야 유망 기업 300개를 뜻하는 'K-글로벌 300' 중 보안분야 기업은 12개(4%)에 불과하다는 조사결과처럼 산업발전의 기반이 빈약한 편이다.

원격서비스의 증가와 점차 사이버공격이 지능화됨에 따라 단말기기와 원격망, 클라우드, 공급망 등 부문별 환경을 고려한 보다 체계화된 사이버방역체계 또한 요구된다.

아울러 원격근무 확산으로 인한 컴퓨터 단말 보안의 직접관리 및 공급망 보안 문제점 보완, 사용자 인증 신기술 보급도 요구되고 있다. 취약한 하드웨어와 소프트웨어 및 공급망 보안 관리, 서비스에서 단말까지 전 영역에 걸친 안전한 이용환경 구축, 분산ID(모바일 신분증), 사용자 인증 신기술 활용 등 안전성 제고를 위한 다양한 노력도 필요하다.

한편 사이버공격 급증에 대비하기 위해 각 산업 현장에 적합한 맞춤형 융·복합 인재 개발 및 전문적인 사이버보안 인력 양성이 요구된다. 이 밖에도, 복잡한 공격에 대응하기 위해 빅데이터와 AI를 활용한 최첨단 보안기술 확보와 기술혁신이 포함된 연구개발 체계가 마련돼야 한다고 백서는 진단했다.

■정보보호 중요성 알지만 투자는 미흡

백서는 종사자 수가 1인 이상이며 네트워크를 구축한 전국 9000여개 사업체 정보보호 담당자를 대상으로 지난해 8월부터 11월까지 실시한 정보보호 실태조사 결과를 바탕으로 한 '민간부문 통계'를 제시했다.

통계에 따르면 국내 사업체의 36.0%가 1년간 임직원을 대상으로 정보보호(개인정보보호) 교육(외부 위탁 교육 포함)을 실시한 것으로 조사됐다.

또한, 국내 사업체의 21.4% 정도만 공식 문서로 정보보호 정책을 수립한 것으로 나타났다. 업종별로는 금융 및 보험업이 87.9%로 가장 높게 나타났으며, 종사자 수가 많을수록 정보보호 정책 수립률이 높은 것으로 나타났다.

관련 조직을 보유한 업체는 더 적었다. 공식적인 정보보호(개인정보보호) 조직을 보유한 국내 사업체의 비율은 13.4%로 조사됐다. 업종별로는 금융·보험업이 62.3%로 다른 업종에 비해 정보보호(개인정보보호) 조직을 운영하는 사업체가 많았으며, 규모별로는 250명 이상 대규모 사업체의 정보보호(개인정보보호) 조직 운영 비율이 87.7%로 높게 나타났다.

소규모 업체일수록 정보보호 관련 교육·정책·조직에 대한 투자가 취약하다는 결론이다.

정보보호를 위한 백업 활동 또한 미흡한 것으로 조사됐다.

중요 데이터 백업을 실시하는 사업체는 45.1%, 시스템 로그 백업을 실시하는 사업체는 28.4%였다.

중요 데이터·시스템 로그 백업 방식은 'USB메모리, 외장 하드디스크 등 별도 저장장치 활용'이 82.2%로 가장 높게 나타났다.

국내 사업체가 정보보호에 대해 어려움을 느끼는 사항으로는 '예산 확보'가 64.6%로 가장 높게 나타났고, 다음으로 '필요한 정보보호제품 및 서비스를 찾기 어려움(27.2%)', '정보보호 전문인력 확보(25.5%)' 등의 순이었다.

국내 사업체 중 61.8%는 지난 2019년 1년간 정보보호 또는 개인정보보호 예산을 편성한 것으로 나타났다. 하지만 예산은 대다수가 IT 예산의 5% 미만에 불과했다.

IT 예산 중 정보보호 관련 예산이 차지하는 비중을 살펴보면 '5% 미만'인 사업체가 60.1%였으며, 예산 미편성 업체도 38.2%에 달했다. '5% 이상'인 사업체는 겨우 1.7%로 조사됐다.

민간분야 정보보호 예산 부족 등의 문제에도 불구하고 국내 사업체 중 91.5%는 정보보호가 '중요하다(중요한 편+매우 중요함)'고 응답했으며, 개인정보보호에 대해서도 '중요하다'고 응답한 사업체가 92.4%에 달하는 것으로 나타났다.

박광하 기자 다른기사 보기