본문 바로가기

[+] My Think and LIfe/[-] ETC

[잡담] 정보보안 인력 양성에 대한 내 생각

 현재 범정부 차원에서 정보보안 인력 양성에 법적인 측면이나 정책적 측면, 비용적 측면에서 굉장한 노력을 쏟고 있다. 개인적인 생각으로는 근래 들어 큰 보안사고들이 여럿 터져서 이런 상황이 형성되고 있다고 보고 있다. 하지만 지금의 상황이 과연 좋은 면만 보이고 있는 걸까?


지금부터 끄적이는 모든 글은 내가 개인적으로 뉴스 기사를 보고 현재 대학교에서 교육을 받고 있는 입장으로 쓰는 글이다.


 지금의 상황을 놓고 누군가 또는 여러 사람들과 토론을 하였을 때 분명 의견을 갈리게 되어 있다. 어떤 사람은 지금의 정책이 옳은 판단 이라고 할 수 있고, 또 어떤 사람은 옳지 못한 판단이라고 할 수도 있다. 사람마다 생각의 차이가 있기 때문에 이건 어쩔 수 없는 것이라 본다. 내가 만약 이러한 토론에 참가하게 된다면 나는 후자를 주장 할 것이라 생각 된다.


 현재 정책은 예전 정부의 정책과 비교 했을 때 상당히 좋은 정책임에는 틀림 없다. 어떠한 분야의 시장을 키워주고 인력을 정부차원에서 양성 한다는 것은 업계 측에서도 바라던 정책일 것이다. 하지만, 현재 인력양성 정책에는 한가지 문제점이 있어 보인다.


 필드에서 일을 하시는 여러 지인분들과 내가 요즘 느꼈던 보안 업계의 현실을 보면 사실, 인력양성도 중요하지만 현재 필드에서 일하고 있는 사람들의 업무 환경부터 개선되어야 한다고 생각한다. 아무리 새로운 인력을 양성하여 필드에 투입한다 하더라도 그 인력들은 필드에서 일하고 있는 사람들의 노하우를 교육으로 배우지는 못한다. 이런 노하우는 보안업계를 한층 발전시키는데 분명 도움이 되는 경험들이지만, 업무환경이 안좋아 다른 나라 혹은 일반 기업으로 이직하는 사람들이 의외로 많아 이런 노하우들이 우리나라 보안업계를 업그레이드 시키는데 많이 사용되고 있지 못하는 듯 하다. 물론 현재 필드에서 일하고 있는 대다수가 보안 업계를 떠나는 것은 아니지만, 인력이 귀해 인력양성을 하는 현시점에서 한명이라도 다른 나라 또는 다른 분야로 이직을 한다는 것은 굉장히 큰 손실이라고 생각한다. 즉 현재 정책은 "밑 빠진 독에 물붓기" 식이라는 생각이 든다.


 업무환경이 좋지 않아 이직을 하거나 현재의 직업을 포기하고 다른 직업을 찾는 사람들은 크게 보았을 때 IT 분야에서 자주 볼 수 있는 일이다. 대표적으로 "프로그래머는 어느정도 IT 업계에서 일을 하면 치킨집 사장이 된다"는 소리도 간혹 IT 업계에서 일을 하다보면 들을 수 있을 정도로 IT 직종의 직업수명은 다른 분야에 비해 짧은 편이다.


 기존의 인력들이 좋은 업무 환경에서 연구와 업무를 병행하며 새로운 인력들에게 자신들이 가진 노하우를 전수해준다면 이게 가장 바람직한 정책이 아닐까 싶다. 실제로 외국에서는 회사에서 일하는 시간과 자신이 개인적으로 집에서 연구하는 시간이 비슷하거나 후자의 시간이 더 많다. 우리나라 보안업계에서 일하는 사람들도 분명 외국에 비해서 기술력은 절대로 뒤떨어지지 않는다. 이는 해킹대회 입상 결과를 보면 알 수 있다. 하지만 우리나라에서는 왜 크리티컬한 취약점이나 새로운 기술등의 연구 결과물이 나오지 않을까? 실력이 아무리 뛰어난들 업무환경이 연구를 하지 못하게 하는 환경에서 그 누가 퀄리티 높은 연구 결과물들을 내놓을 수 있을까.


 또 업무 환경이 중요한 이유는 현재 노하우를 가진 사람들의 대우에서만 끝나는 문제가 아니라고 생각한다. 새로운 인력들이 열심히 공부해서 필드에 투입되었을 때 자신들이 공부한 만큼 대우를 받지 못하는 환경에서 과연 얼마나 버틸 수 있을까? 물론 자신이 좋아서 열심히 공부한 사람이라면 계속해서 필드 활동을 하겠지만, 자신이 원하지는 않았지만 대학교 학과에서 어쩔 수 없이 공부한 사람들은 개인적인 생각으로 얼마 버티지 못할 것이라 생각 된다. 현재 나는 대학교를 다니고 있지만 학과에서 보안에 관련 해 관심이 있는 사람들을 찾아보는게 드물다고 계속 생각 해 왔다. 취업을 위해서 공부하는 사람도 있고, 성적에 맞춰 대학교를 온 사람도 있다. 아무리 정부에서 돈을 투자하여 교육을 한다고 하여도 보안이란 분야는 해당 분야에 관심이 없으면 공부하기 정말 어려운 분야라고 나는 생각한다. 관심이 없는 이런 인원들은 대학교등을 통해 교육을 마치고 보안업계에서 일을 한다고 하더라도 얼마 있지 않아 다시 다른 분야로 빠지게 될 것이고 결국 이 인원들에게 투자했던 돈들은 허공으로 날아가게 되는 꼴이 되고만다. 또 자신이 좋아서 공부를 했고 자신이 생각하던 업무 환경이 아니라고 생각했을 때, 그 사람들이 다른 곳(외국이나 공공기관 등)에서 스카웃 제의를 받았을 때 과연 흔들리지 않을까? 이런 저런 이유로 자신의 노력에 대한 대우에 불만을 품고 다른 곳으로 빠진다면 이것 또한 정부의 돈으로 다른 나라의 보안 인력을 키워주고, 민간 보안업계를 더 힘들게 하는 일이라고 생각한다.


 지금까지 했던 이야기는 약간 극단적인 이야기도 있을 수 있고 학생 입장에서의 치기 어린 입장의 글일 수도 있다. 하지만 지금이라도 정부가 한곳으로만 치우치는 정책을 펼치지 말고, 현재 보안업계의 처우나 업무 환경등을 개선시키는 정책도 함께 시행 했으면 한다.


그래야 내가 일 할 때 편해질테니까 :)