일본산업뉴스요약

사이버인재 부족에 대한 온도 차는 왜?
경제산업성, 앞으로 19만명 부족 / 기업, 절박하지 않다

사이버 공격이 증가하면서 정보 시큐리티 인재의 부족을 지적하는 목소리가 많다. 경제산업성의 2016년의 조사에서는 “2020년에 국내에서 19만 3,000명이 부족하다”라고 예측했을 정도다. 그러나 사이버 방위 현장에서는 “부족하지 않다”라는 반론이 많다. 이러한 배경에는 이상적인 상황을 상정하고 필요한 인재 수를 산출한 경제산업성과 실무 대부분을 외부에 위탁하고 있는 일반기업과의 온도 차가 있었다.

“우리 회사의 보안 인재를 받아줄 수 없나요?” 사이버보안을 전개하는 IT기업 간부는 최근에 일반기업 고객에게서 이런 부탁을 조심스럽게 받았다. 이 기업은 정보 보안에 대한 의식이 높고, 몇 년 전에 자사에 사이버 공격에 대처하는 전문팀을 편성하였다. IT기업으로부터 보안 전문 인재를 선발해 오거나 팀 멤버에게 관련 자격을 취득하게 했다고 한다.

-- 사이버 공격이 없다 --
그러나 그 기업이 전문팀을 편성했을 때 상정하고 있었던 심각한 사이버 공격은 일어나지 않고 있다. 자격 보유자는 일이 없고 기술도 의욕도 정체되어 있다. 사내의 다른 부문에서는 “비용을 너무 투자하고 있다”라는 차가운 시선을 받기도 한다.

정보보안서비스 기업의 대표격인 락(LAC)에서는 “다른 IT분야와 비교해서 특별히 인재가 부족한 것은 아니다”라는 목소리가 나온다. 적어도 보안감시서비스 등의 사업 운영에 지장을 초래하는 상황은 예측하기 어렵다라고 말한다.

경제산업성의 예측과 현장의 온도 차는 왜 발생하는 것일까? 조사 전제와 현실에 큰 격차가 있기 때문이다. 조사는 일반기업의 각 사업부문에도 사이버보안 인재가 필요하다는 전제로 인원수를 추계하고 있다. 19만 3,000명이 부족하다는 예측 중 90%인 17만 2,000명은 이 유형의 인재가 차지하고 있다.

경제산업성에게 조사를 위탁 받은 미즈호정보총연의 경영∙IT건설팅부 도미타(冨田) 과장은 “당시는 내각의 사이버시큐리티센터 등에서 각 사업부문에도 사이버 보안을 이해하는 인재가 필요하다는 논의가 활발했었다”라고 설명한다. 일반기업의 사업부문이 IT부문을 통하지 않고도 클라우드 서비스를 활용하는 경우가 증가한다는 예측에서 사업부문에도 보안 인재가 필요하다는 의견이 있었던 것이다.

그러나 실제로는 사업부문이 주도하여 클라우드를 활용하는 경우라도 보안 대책은 IT기업에 거의 맡기다시피 하는 경우가 많다. 보안 인재가 없어도 현장에서는 심각한 일손 부족으로 느끼지 못하는 이유는 여기에 있다. 정작 필요할 때의 대비로서 전문가를 고용하거나 비용 측면에서 외부 기업에 위탁하거나 한다. 일본 기업의 과반수는 후자를 선택하고 있다.

PwC컨설팅의 조사에 따르면 “사내 비즈니스 부문을 서포트하는 전담 보안 요원을 고용하고 있는가?”라는 물음에 대해 “전문가를 배치하고 있다”라고 응답한 일본 기업은 31%. 56%는 “외주 혹은 배치 예정 없음”이라는 응답이었다. 해외에서는 반대로 ‘배치 중’이 48%, 외주가 39%다.

전세계의 올림픽 사례를 통해 봐도, 20년의 도쿄올림픽을 앞둔 지금은 사이버 공격자의 표적이 일본정부나 일본기업을 향할 시기다. 대규모 공격에 대비하는 의미에서도 보안 인재의 부족에 대한 우려가 높아져야 한다. 그러나 실상은 그렇지 않다.

-- AI의 진척도 이유 --
일본 IBM 시큐리티사업본부의 고케쓰(纐纈) 본부장은 “보안 인재의 부족을 느끼지 못하는 이유 중 하나로 인공지능(AI)의 진보를 놓칠 수 없다”라고 지적한다. 전문성이 낮은 작업을 AI에게 맡길 수 있게 되므로 인재를 대폭 늘리지 않아도 되기 때문에 절박함이 부족하다고 한다.

예로 들면, 감시 서비스의 경우는 이전의 사이버 공격을 찾아내서 차단하는 용도에 AI를 활용할 수 있다. 인간은 AI만으로는 판단이 서지 않는 공격을 분석하는 쪽에 업무의 중점을 둘 수 있다. 이 때문에 인재 부족에 대한 우려가 높아지지 않는 것 같다.

미국 IBM은 AI형 컴퓨터 ‘왓슨’을 활용하는 보안 운용 감시 대행의 시험 서비스를 미국에서 시작하였다. 일본도 이르면 20년에 시작할 예정이라고 한다.

절박함이 부족한 것은 기업의 투자액에도 나타나고 있다. KPMG컨설팅이 17년에 500억엔 이상의 매출을 올리는 기업을 대상으로 실시한 조사에서는 사이버보안 대책의 1년 투자액을 1,000만엔 미만이라고 응답한 비율이 47%를 차지, 3,000만엔 이상이라고 응답한 기업은 19.2%뿐이었다.

17년에 예산을 늘린다고 응답한 기업도 30%정도였다. 이래서는 인재를 증원하거나 육성하는 것은 어렵다. 한편, 기업이나 조직을 표적으로 한 사이버 공격은 악질화, 교모화되고 있다. 작년 12월에는 일본항공이 거래처 기업으로 위장한 비즈니스 메일에 속아 3억 8,400만엔을 사기 당하는 일도 있었다.

보안 전문 싱크탱크인 일본 사이버시큐리티∙이노베이션위원회(JCIC)의 우에스기(上杉) 주임연구원은 “사이버 공격을 당하면 직접적인 금전 피해뿐 아니라 간접적으로도 큰 손실을 입는다”라고 지적한다. JCIC의 조사에 따르면, 과거에 정보누설 사고가 있었던 일본기업의 순이익은 평균 21% 감소, 주가는 10% 하락하였다고 한다.

기업의 보안 사정에 밝은 정보안전보장연구소의 야마자키(山崎) 씨는 “일반기업에 필요한 것은 유사사태 시의 지휘관’이라고 지적한다. 공격이 있을 경우에 보안 서비스 기업과 잘 협력하면서 현장의 기술자를 지휘할 수 있는 ‘보안의 프로’를 어떻게 확보하는가가 일본 기업에 요구되고 있다.

즉전력에는 강한 요구
국가의 육성지원책 필요

보안 전문 IT기업 각 사는 시장의 성장이나 자사의 사업 규모를 보면서 인재를 확충하고 있다. 시장의 확대에 따라 대규모 사이버공격 등의 ‘유사사태’에 대응할 수 있는 전문가인 ‘보안의 프로’를 늘릴 필요가 있기 때문이다.

IT관련 조사회사 아이티알(ITR)이 6월에 발표한 조사에 따르면, 2017년의 국내 정보보안서비스 시장 규모는 전년 대비 13.8% 증가한 약 2,750억엔이었다. 앞으로도 22년까지 연평균 8.4%의 성장을 전망한다. 그만큼 유능한 인재에 대한 수요도 높아지고 있다.

지식이 충분한 인재라 하더라도 심각한 사이버 공격에 적절하게 대응할 수 있다고 단정할 수는 없다. 범죄자가 남긴 아주 작은 흔적에서 공격 내용을 찾아내는 것은 이론만으로는 습득하기 어렵다. 최대 보안업체인 락(LAC)에서도 수십 명 정도라고 한다.

리크루트그룹의 시스템 개발∙운용을 담당하는 리쿠르트 테크놀로지(도쿄)는 “소수의 컴퓨터가 바이러스에 감염되는 등의 경미한 피해라도 유사사태를 상정한 대응을 하고 있다”라고 말한다. 실무 현장을 인재 육성의 장으로 활용함으로써 보안의 프로를 육성할 계획이다.

즉전력 인재에 대한 요구는 일반기업에서도 강하다. 이직정보사이트인 DODA의 오우라(大浦) 편집장은 “보안 지식만이 아니라 경영진이 이해할 수 있도록 중요성을 전달할 수 있는 능력을 갖춘 인재를 많이 요구한다”라고 말한다.

히타치솔루션즈(도쿄)도 “고도의 기술을 갖춘 인재 파견을 원하는 고객기업이 증가하고 있다”라고 말한다. 히타치솔루션즈는 수요에 맞추기 위해 18년에 전기 대비 20% 인재를 늘려 2,218명 체제를 만드는 것이 목표다. 정부도 기업의 실태를 고려하여 고도의 인재 육성을 지원하는 등의 시책을 적극적으로 추진해야 할 것이다.

 -- 끝 --