국내 대표 사이버 보안기업 안랩에서 지난 6월 직원 30명이 무더기 퇴사했다. 같은 달 14명을 신규 채용했지만, 그 두 배가 넘는 인원이 사표를 쓴 셈이다. 정보통신(IT) 분야 중 보안기업보다 상대적으로 처우가 좋은 시스템통합(SI), 포털, 게임, 쇼핑·배달 플랫폼 등으로 이직했다.
한국의 사이버 보안 인력 생태계가 붕괴하고 있다. 신입 직원을 뽑아 키워도 금방 그만두고 보안업계를 떠난다. 현재 상황이 계속되면 윤석열 대통령이 공약한 ‘사이버 보안 10만 인재 양성’ 정책도 ‘밑 빠진 독에 물 붓기’라는 지적이 나온다.
3일 한국경제신문이 안랩 등 한국의 사이버 보안기업 매출 상위 20개사의 사업보고서와 국민연금 가입 사업장 내용을 분석한 결과, 올해 1월부터 6월까지 안랩에 입사한 직원은 93명이다. 같은 기간 안랩을 퇴사한 직원은 91명에 달한다. 안랩 관계자는 “정규직 외 인턴 입·퇴사자 결과가 포함된 것”이라고 설명했다.
1995년 3월 세워져 곧 창립 30주년을 맞는 안랩 전체 직원 1300명의 평균 근속연수는 6.33년에 불과하다. 사이버 보안기업 상위 20개사 재직자의 평균 근속연수는 4.91년이다. SI기업인 삼성SDS(15.6년)나 LG CNS(11.1년)의 3분의 1 수준에 가깝다.
짧은 근속연수의 배경으로는 △열악한 처우 △높은 노동강도 △정체된 성장 등이 꼽힌다. 실제 사이버 보안기업 20개사 평균 연봉은 5672만원이다. 다른 IT업계의 절반이다. 삼성SDS(1억3100만원) LG CNS(1억1100만원) 등 SI기업은 물론 네이버(1억3449만원) 카카오(1억3900만원) 등 테크기업, NC소프트(1억1400만원) 넥슨(8227만원) 등 게임사보다도 크게 낮다. 보안업계 관계자는 “보안 전문인력을 양성하기 위해서는 보안 소프트웨어(SW)에 대한 제대로 된 가치를 인정하는 정책 방향이 먼저 필요하다”고 했다.
최근 정보기술(IT)업계 전반에 불어닥친 ‘연봉 인플레이션’은 보안기업 직원들에게 남의 나라 이야기다. 1998년 8월 세워진 사이버보안기업 드림시큐리티 전체 직원의 평균 급여는 3928만원이다. SGA솔루션즈(4100만원) 한컴위드(4300만원) 케이사인(4439만원) 이글루코퍼레이션(4750만원) 윈스(4800만원) 등의 상황도 크게 다르지 않다. 이들 기업 직원들의 평균 근속연수는 3년을 간신히 넘긴다.
보안기업 직원들은 억대 연봉을 받아 가는 다른 IT 업종 개발자들을 보면서 상대적 박탈감을 느낀다. 익명을 요청한 A보안기업 대표는 “보안 소프트웨어(SW) 개발자들이 몸값을 높여 클라우드 개발 분야 등으로 이직하는 움직임이 최근 수년간 특히 가속화됐다”며 “직원들이 그만둘 것에 대비해 1년간 필요한 인력 정원(TO)의 두세배를 뽑아야 회사가 겨우 운영된다”고 말했다.
최저가 입찰 방식의 공공 보안SW 시장에서는 수많은 중소 보안기업들이 출혈 경쟁을 벌인다. 입찰 비용을 최대한 낮춰야 하므로 직원들의 연봉을 다른 IT 직군처럼 높여주기 어려운 구조다. 보안에 대한 투자를 비용으로 인식하는 한국 시장의 특성도 영향을 미친다. 이에 수년간 연구·개발(R&D)해서 선보인 보안 솔루션값을 제대로 받지 못한다.
보안 프로그램의 특성상 유지 보수에 들어가는 인건비 비율도 높다. 하지만 여기에 필요한 비용을 고객사에 청구하는 것도 쉽지 않다. B보안기업 관계자는 “비용 문제 등을 이유로 고객사가 업데이트를 제때 안 한 상태에서 해킹 사고가 발생한 경우에도 보안기업의 책임을 물을 수 있기 때문에 무료 패치를 개발해 제공하는 것이 관행처럼 굳어졌다”고 했다.
노동강도는 인력들의 보안 산업 이탈을 가속화 한다. 사이버 보안은 IT업계에서도 3D 업종에 속한다. 해킹 사고에 대비해 주 7일, 24시간 대기 상태로 근무해야 하기 때문이다. 만약 대형 시스템 해킹 사고나 분산서비스거부(DDoS) 공격이 발생하면 주말이나 새벽 여부에 관계없이 업무에 투입된다. 일각에선 신작 게임 출시 직전 ‘크런치 모드(crunch mode)’로 장시간 야근과 특근을 반복하며 일하는 게임사들보다 해킹 사고를 수습해야 하는 보안기업들의 업무강도가 세다는 말도 나온다.
신종 악성코드 역시 매일 같이 다크웹에 출현한다. 다크웹은 일반 인터넷 브라우저로는 접속할 수 없는 암호화된 인터넷망이다. ‘인터넷 지하세계’로도 불리는 곳이다. 한 보안기업 관계자는 “악성코드는 끊임없이 진화해 유포되고 있기 때문에 이에 대응하기 위한 업데이트 작업도 상시로 이뤄져야 한다”고 설명했다.
한국에 있어 봐야 성장하기 어렵다는 인식도 퍼졌다. 해외에는 원화로 환산한 시가총액이 1조원 단위를 훌쩍 넘어서는 기업이 적지 않다. 보안기업으로 최초로 시총 100조원의 벽을 넘은 바 있는 미국 팰로앨토네트웍스(1일 기준 시총 740억 달러)를 비롯해 포티넷, 크라우드스트라이크, 체크포인트 등이다. 그러나 한국의 보안기업은 규모에서 차이가 크다. 국내 대표 보안기업 안랩의 시총이라고 해봐야 6569억원이다. 나머지 보안 기업의 90% 이상이 비상장 중소기업이다. 시총 1000억원을 넘는 기업은 한손에 꼽힌다.
이에 세계 해킹대회 우승 경력이 있는 실력파 화이트 해커는 아예 ‘프리랜서’로 전직해 직접 해외로 진출한다. 개인 자격으로 다니며 보안 취약점에 대해 컨설팅을 하는 방식이다. 보안업계 관계자는 “정부가 10만 보안 인재 양성을 목표로 잡은 것은 바람직한 방향이지만 누적된 문제가 해결되지 않는다면 보안 생태계를 구축하는 것은 쉽지 않을 것”이라고 말했다.
시스템 해킹과 분산서비스거부(DDoS) 공격, 악성코드 유포 등에 대비하는 과학기술정보통신부 산하기관 한국인터넷진흥원(KISA)의 상황도 열악하긴 마찬가지다. 최근 4년 사이 침해사고는 두 배 넘게 증가했지만, 인력은 제자리걸음이다. 보안 인력 1인당 담당해야 하는 침해사고 건수가 이 기간 3.6건에서 9.28건으로 증가했다.
국회입법조사처와 과기정통부 등에 따르면 민간 분야 침해사고 신고 건수는 2019년 418건에서 작년 1142건으로 늘었다. 정보통신망법은 침해사고가 발생한 전기통신사업자에게 KISA에 의무적으로 신고하게 한다. 이를 위반할 경우 1000만원 이하 과태료가 부과된다. 신고를 접수한 KISA 사이버 침해 대응 인력은 현장에 출동한다. 해킹 경로를 조사하고 피해 규모를 확인한다. 유사 사고의 재발을 막기 위해 필요한 조치도 수행한다. 짧게는 수주일에서 길게는 수개월 이상 걸리는 일이다.
이런 업무를 수행하는 KISA 사이버 침해 대응 인력은 2019년 116명에서 작년 123명으로 7명 증가하는 것에 그쳤다. 강은수 국회입법조사처 과학방송통신팀 입법조사관은 “침해사고 신고에 효과적으로 대응하기 위해서는 침해사고 대응을 위한 적정 인력 수준에 대한 분석 및 확보가 필요하다”고 지적했다.
윤석열 정부 110대 국정과제 중 하나인 ‘사이버 10만 인재 양성 방안’도 일부 사업이 시행 첫해부터 예산 삭감으로 차질을 빚었다. 과기정통부는 기업이 인재 선발, 취업 전 과정 주도하고 정부가 사업비를 지원하는 ‘시큐리티 아카데미’를 올해부터 2026년까지 추진하고 있다. 연간 24억4000만원 이상을 투입해 매년 200~300명의 보안 인력을 육성하는 사업이다. 그러나 작년 예산 요구액 24억4000만원 중 50%만 실제 예산으로 반영됐다.
과기정통부는 사이버 교육과정을 운영하는 대학이 69개(2019년)에서 53개(2020년)로 줄어들어 인재 공급이 부족할 것으로 보고 있다. 반면 사이버 인력 수요는 2021년 12만4000명에서 2026년 16만3000명으로 늘어날 전망이다.
김진원 기자
관련뉴스