<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=939333007162424&amp;ev=PageView&amp;noscript=1">
 

    [전자신문 기고] 정보보안 전문가, 언제 유망해 지나?


    지난 해 통신사, 금융사 해킹 사고가 세상을 들썩이게 했다. 사람들은 분노했고 최고경영자는 카메라 앞에서 연신 고개를 숙였다. 관심이 잦아들 무렵 최고로 잘 나간다는 예능 TV 프로그램에 정보보안 업체 대표가 출연했다. 그는 사고에 대해 여러 사실과 전문가로서의 견해를 밝혔다. 대부분 공감 되었지만 아닌 것도 있었다. 그런데 마지막 즈음에 격하게 공감되는 한마디를 던졌다.

    “예전부터 유망직업 조사에는 항상 정보보안 전문가가 포함되어 있었습니다. 그런데 도대체 언제 유망해 지는 겁니까? “

    필자 역시 궁금했다. 정보보안 전문가, 오래전부터 유망하다 했다. 각종 직업 전망 조사에서 늘 상위권이었다. 그런데 이상하다. 남들은 유망하다는데 정작 몸 담고 있는 이들은 그렇게 느끼지 못하는 듯 하다. 필자도 업계에 몸담은 지 20년이 훌쩍 넘었다. 그동안 기술은 발전하고 시장도 커졌다. 하지만 누군가 내게 “그래서 정보보안 전문가라는 직업이 유망합니까?” 라고 묻는다면 선뜻 그렇다고 답하기 어렵다. 적어도 아직까지는 그렇다.

    왜 그럴까? 두 가지 문제라고 생각한다. 첫째 보안업계를 대하는 태도다. 흔히들 보안을 AI 등 산업 유지를 위한 핵심 기술이라고 한다. 다만 중요성이 충분히 인식되지 않았기 때문이라고 한다. 정확히 말하자. 중요성을 몰라서 가 아니라 중요하다고 말은 했지만 실제 대우는 달랐기 때문이다. 기업은 보안을 전략이라고 말하면서도 여전히 비용으로 생각한다. 공공기관도 예외는 아니다. 사고 전에는 투자에 인색하고 사고 후에는 단기 처방에 집중한다. 평소에는 가장 싼 가격을 찾다가 사고가 터진 뒤 에야 가장 강력한 대책을 찾는다. (최근에 로펌이 보안시장에서 대우 받는 이유가 아닐까 싶다.) 이러니 산업의 외형은 커져도 전문성의 값은 제대로 매겨지지 않는다.

    둘째. 보안업계 내부의 노력이다. 시장의 요구와 전문가 역량 사이의 불일치라고 생각한다. 고객은 사업을 이해하면서 기술을 알고 위험을 숫자로 설명하며 경영진을 설득할 수 있는 보안 전문가를 원했다. 그러나 업계는 오랫동안 기술 그 자체에 머무는 데 익숙했다. 취약점 하나를 더 찾고 기능 하나를 더 구현하고 솔루션을 능숙하게 다루는 인력만 키웠다. 그 기술을 어떻게 비즈니스 언어로 나타낼 것인가에 대해서는 상대적으로 둔감했다. 보안은 늘 중요했지만 보안 전문가가 늘 중요한 위치에 있었던 것은 아닌 이유다.

    그렇다고 보안전문가의 미래를 비관할 필요는 없다. 어쩌면 지금이 유망해 지기 위한 마지막이자 가장 좋은 때 일지도 모른다. AI가 등장하면서 상황이 바뀌고 있다. 공격자는 AI로 더 빠르게 취약점을 찾고 더 정교한 공격이 가능하다. 방어자도 AI를 통해 더 빠르고 정확하게 이상 징후를 찾고 반복 업무를 자동화할 수 있다. 문제는 도구의 등장이 아니다. 도구를 이해하고 통제하며 조직의 체계 안에 심는 역할을 누가 할 것인가에 달렸다. 그 자리를 정보보안 전문가가 차지하지 못한다면 이번에도 ‘유망’ 이라는 말은 또 몇 년 뒤의 약속으로 미뤄질 것이다.

    이를 위해 정보보안 전문가는 세 가지 역할을 가져야 한다. 첫째, 통역사다. 기술자에 머물지 말고 위험을 번역할 수 있어야 한다. 위협을 기술 용어로만 설명해서는 안 된다. 매출, 고객, 평판, 규제와 어떤 관계가 있는지 설명할 수 있어야 한다. 둘째, 설계자다. 생성형 AI 사용을 예를 들어보자. 단순히 금지할 것인가 허용할 것인가의 문제가 아니다. 보안 정책을 고려해 어디까지 허용하고 어떤 데이터를 쓰게 하며 어떤 기록을 남길 것인지 설계할 수 있어야 한다. 셋째, 지휘자다. 반복 업무는 AI에게 넘기되 최종 판단과 책임의 기준은 여전히 사람이 쥐고 있어야 한다.

    필요한 역량도 분명해졌다. 보안 기술은 기본이다. 데이터와 AI 시스템에 대한 이해, 클라우드와 개발 환경에 대한 감각이 필요하다. 더 나아가 규제와 거버넌스를 읽는 힘, 그리고 경영진과 현업을 설득하는 커뮤니케이션 능력까지 갖추었다면 인재(人才)가 아닐 수 없다. 예전처럼 한 우물만 깊게 파서는 버티기 어려운 시대가 왔다. 기술, 정책, 사업을 잇는 연결 능력이 없으면 전문가라는 이름은 남아도 역할은 줄어들 수밖에 없다.

    정보보안 전문가가 유망하지 않았던 이유는 단순히 남들이, 사회가 몰랐기 때문만은 아니다. 시장도 준비가 덜 되어 있었고 우리도 기대만큼 충분히 변하지 못했다. 둘 다의 문제였다. 다만 지금은 다르다. AI는 보안을 더 어렵게 만들지만 동시에 보안 전문가의 자리를 더 선명하게 만든다. 이 기회를 살리지 못하면 또다시 “정보보안 전문가는 유망합니다”라는 말만 남을지 모른다.