"사이버보안 인재 양성 필요한 이유는"

[디지털비즈온 이호선 기자] 바이든 대통령은 6월 21일 연방 정부 내 사이버 보안 순환 인력 프로그램을 수립하는 법안에 서명했다.

2021년 연방 순환 사이버 인력 프로그램법 (Federal Rotational Cyber ​​Workforce Program Act of 2021) 은 순환 사이버 인력 프로그램을 만들어 연방 직원이 다양한 정부 기관을 순환할 수 있게 하고 주요 임무 이상의 경험을 쌓고 전문 네트워크를 확장할 수 있도록 한다는 내용이다.

이 법안은 또한 기관이 해당 기관의 정보 기술, 사이버 보안 또는 기타 사이버 관련 기능과 관련된 인력 위치가 프로그램에 적격한지 여부를 결정할 수 있는 권한도 부여한다.

2022년에도 세계 각국은 정부와 기업의 사이버 공격 위험은 여전히 많았다. 원격 근무로 인한 취약성, 전자 상거래에 대한 의존도 증가, 더 교묘한 악의적 행위자의 영향을 받았다. 우크라이나 전쟁과 러시아에 대한 경제 제재도 악의적인 사이버 활동의 가능성 증가에 대한 심각한 우려 를 불러일으켰다.

사이버 공격은 여러 주에서 실업 수당을 중단시켰고 랜섬 웨어 공격 은 계속해서 운영을 중단시키거나 정부, 학교, 대학 및 기업 에 막대한 비용을 지출했다.

◇러시아·우크라 사이버 전쟁 시작

러시아가 2월 우크라이나에 침공한 것을 계기로 러시아 해커들에 의해 우크라이나는 정부 웹사이트의 변조, 분산형 서비스 거부 공격(DDoS)에 의한 장애, 파괴적인 와이퍼형 악성코드 등 여러 공격을 받았다.

3월에 들어서 우크라이나 정부 관계 당국은 'IT군'이라고 부르는 그룹을 결성하여 네트워크 방어 외에 러시아의 위협 액터에 반격했다.

구글은 최근 사이버 보안기업 맨디언트(Mandiant)인수할 계획을 발표했다. 러시아의 우크라이나 침공을 받아 크게 변하는 세계의 사이버 보안 수요를 감안하면서, 기술 발전과 글로벌 상호 연결성은 시스템 보안 위험을 기하급수적으로 가속화하고 있는 상황에서 새로운 사이버 위험이 등장함에 필요성도 점점 가속화 되고 있다는 입장이다.

국내에서는 한국 기업만 노리는 랜섬웨어 피해 사례가 늘고 있다. 한국랜섬웨어침해대응센터와 안랩자료에 따르면 한국 기업을 타깃으로 한 '귀신'(GWISIN) 랜섬웨어 피해 사례가 잇따라 확인됐다.

랜섬웨어 작명부터 협상에 이르기까지 한국 정서, 기업 현황을 알고 있는 정황이 곳곳에서 드러났다. 조직에 한국인이 포함됐을 가능성도 있다.

현재까지 피해가 확인된 기업은 모두 상장사다. 랜섬웨어 조직은 한국 기업의 재무 상황, 기업 이슈 등을 파악하고 협상에 활용했다. 한국 기업과 협상을 거듭하는 과정에서 해킹 방법 및 암호화 기법을 진화시켰고, 복구 요구 금액도 많았다.

◇美 ‘사이버 보안 인력강화 법률’ 국내 검토 필요성

NCSL(미국 국회 입법부) 자료에 따르면 미국은 ‘컴퓨터 보안법(Computer Security Act of 1987)’에서 연방기관 인력의 컴퓨터보안 인식 및 실무 훈련을 의무화한 것이 미국의 사이버보안 인력양성 정책의 시작이라 볼 수 있다.

‘연방 정보보안 관리법(FISMA 2002)’과 ‘연방 정보보안 현대화법(FISMA 2014)’을 제정했으며, 특히 사이버보안법의 부속으로 제정된 ‘사이버보안 인력 평가법(Cybersecurity Workforce Assessment Act 2015)’은 연방정부의 사이버보안 인력에 대한 수요를 평가하고 관리를 강화하는 것을 내용으로 했다.

미국은 2022년 6월, 공공부문 사이버보안 인재 유치 및 양성을 위한 연방사이버인력순환프로 그램법을 제정하고 연방정부의 사이버보안 인력에 대한 관리를 강화했다.

6월에 승인된 ‘연방 사이버인력 순환프로그램법’은 특히 공공의 경쟁력을 높이기 위한 방편으로 ‘사이버인력 순환 프로그램’을 도입하고, 정부 회계감사국장이 평가보고서를 발간하도록 하는 내용을 포함하고 있다.

◇국회도서관 ‘미국 사이버보안 인력 양성 입법례’ 소개

국회도서관(관장 이명우)이 ‘미국 사이버보안 인력 양성 입법례’를 소개한 ‘최신외국입법정보(2022-20호, 통권 제201호)’를 발간했다. 이번 최신외국입법정보는 사이버안보 강화를 위한 핵심자원으로 ‘사람’ 특히 ‘사이버보안 인재 양성’에 대한 관심이 높아지는 가운데 미국의 ‘연방 사이버인력 순환프로그램법’을 다뤘다.

국내 사이버보안 법률체계는 공공과 민간, 주요기반시설을 나눠 개별법에 규정하고 있다. 공공부문은 ‘국가사이안전관리규정’, 민간부문은 ‘정보통신망법’, 주요기반시설은 ‘정보통신기반보호법’에서 규정하고 있다. 우리나라 개별법상 사이버보안 인력 양성에 관한 규정은 일관적·통일적인 체계를 구축하지 못하고 있다고 보고서에서는 서술되었다.

보고서는 사이버공격 및 테러에 대비해 우수한 전문성을 갖춘 사이버보안 인력을 확보하는 것은 미래의 국가안보를 위해서도 매우 중요하다고 강조했다. 아울러 최근 우리나라 국회에서도 사이버보안 강화를 위해 ‘사이버보안 기본법’ 및 개별법에 관한 제·개정 입법발의가 활발히 이뤄지고 있는데, 미국의 사이버보안 인력 양성 입법례를 살펴봄으로써 우리나라 입법에 참고가 될 수 있을 것이라고 설명했다.

이명우 국회도서관장은 “우수한 전문성을 갖춘 사이버보안 인력을 확보하는 것은 국가안보를 위해서도 중요한 문제”라면서, “이를 위한 통일적·체계적인 법적 근거를 마련하는 데 미국의 사이버보안 인력 양성 입법례가 참고가 될 것으로 기대한다”고 밝혔다.

◇정부 '사이버보안 10만 인재 양성 방안' 발표

정부는 7월 13일 서울 판교 기업지원허브에서 열린 '제11회 정보보호의 날 기념식'에서 이 같은 내용을 골자로 한 '사이버보안 10만 인재 양성 방안'을 발표했다.

융합보안대학원과 정보보호특성화대학을 확대 지정하고, 사이버부사관 특화 정보보호 전문 대학을 신설해 정규 교육 과정을 통해 배출되는 인력 규모를 늘린다는 계획이다. 여기에 더해 최고급 수준의 보안제품 개발자를 육성하는 'S-개발자' 프로그램 등 다양한 신규 특화교육 사업을 추진하고, 사이버보안 인력 저변 확대를 위한 상시 교육 체계도 확대한다.

이를 통해 2026년까지 신규 인력 4만 명, 재직자 6만 명 등 총 10만 명의 사이버보안 인재를 육성한다는 계획이다.

사이버보안 인재 육성 주무부처인 과학기술정보통신부의 김정삼정보보호네트워크정책관은 "디지털 혁신이 가속화에 됨에 따라 주요기업의 해킹, 러시아-우크라이나 사이버전(戰) 확대 등 사이버 위협이 국민 일상, 기업 경제활동, 국가안보를 직접적으로 위협하고 있다"며 "사이버 역량은 보안인력의 역량에 따라 좌우된다"고 강조했다.