정보보호의 가장 강력한 무기는 장비보다 숙련된 인재
조직의 보안 역량 강화는 시스템보다 전문 인력
가장 확실하고, 가장 오래가는 비지니스 전략
최근 국내 대표 통신사 SK텔레콤에서 발생한 대규모 보안 사고는 많은 이들에게 충격을 안겼다.
수천만 명의 휴대폰 정보와 개인정보가 유출되었다는 발표는 단순한 시스템 오류가 아니라 내부 보안 통제 미흡과 대응 체계의 부족함에서 비롯되었음이 드러나고 있다.
비슷한 시기, 일본의 대형 증권회사들 역시 해킹 공격을 받아 수조 원 규모의 증권 계좌가 유출되었고, 이는 대규모 주가조작에 악용되었다. 이 사건은 낮은 기술적 대응 수준(ID+PW 방식의 인증)과 스미싱에 대한 보안 인식 부족, 그리고 무엇보다 보안 인력의 절대적인 부족이 복합적으로 작용한 결과로 확인되고 있다.
이 두 사건은 단순한 기술적 허점을 넘어, ‘사람’의 부재가 얼마나 큰 리스크로 이어질 수 있는지를 여실히 보여준다.
아무리 다양한 보안 솔루션을 도입하더라도, 이를 운영하고 관리하며 대응할 수 있는 인력이 없다면 보안은 허울뿐인 껍데기에 지나지 않는다.
정보보호에서 진짜 중요한 투자는 필요한 장비나 소프트웨어만이 아니라 바로 사람, 즉 보안 전문 인력에 대한 투자다.
디지털 세상이 가속화되면서 보안은 단순한 지원 부서가 아닌, 기업의 생존과 직결되는 전략적 자산으로 부상했다는 사실을 인식하고 사람에 투자해야 한다.
1. 기술은 사람 없이는 무용지물
정보보호는 단순히 방화벽이나 FDS, AI 기반 솔루션 같은 장비를 설치한다고 완성되지 않는다.
모든 기술은 사람이 설계하고, 운용하며, 대응해야 한다.
아무리 첨단 솔루션을 도입하더라도 이를 제대로 이해하고 운영할 인력이 부족하다면, 그 기술은 오히려 리스크 포인트로 전락할 수 있다.
오탐지에 대한 적절한 판단, 로그의 분석, 비상 상황에서의 빠른 대응 등은 모두 사람의 몫이다.
위협을 탐지한 보안 시스템이 이를 경고했을 때, 그것이 진짜인지 오탐인지 판단하는 것이나 로그를 읽고, 이상 징후를 포착하고, 위기 시 빠르게 대처하는 일, 모두 숙련된 인력의 손에 달려 있다. 기술은 도구일 뿐, 이를 제대로 다루는 전문가가 없다면 그 효과는 반감될 수밖에 없다.
2. 숙련된 전문가의 역할
사이버 공격은 고정된 패턴으로 이루어지지 않는다.
공격자는 항상 새로운 취약점을 찾고, 기존 방어 체계를 우회할 방법을 연구한다.
이에 대응하는 정보보호는 본질적으로 끊임없는 추적, 분석, 대응이 필요한 지능적 활동이다.
AI 기반의 보안 시스템조차 결국 사람의 판단과 지속적인 튜닝 없이는 그 잠재력을 발휘하기 어렵다.
보안 인력은 단순 운영을 넘어 위협 인텔리전스, 사고 대응, 정책 수립, 그리고 가장 핵심적인 역할인 ‘이벤트가 조직에 미치는 영향을 판단’하는 등 다방면에서 정보보호의 핵심을 책임진다. 이처럼 유기적이고 상황 중심적인 대응이 필요한 분야에서는 숙련된 전문가의 역할이 절대적이다.
3. 보안 문화는 기술이 아닌 사람으로부터 시작된다.
정보보호의 실패는 종종 기술적인 허점보다는 사람의 실수에서 비롯되는 경우가 적지 않다.
피싱 메일 한 통, 잘못 설정된 권한, 부주의한 데이터 유출 등은 여전히 주요 보안 사고의 원인이다.
결국 정보보호의 기본은 조직 구성원 모두의 인식과 실천에서 시작되고, 이를 위해선 전사적 차원의 보안 교육, 인식 제고, 정책 정착이 선행되어야 하며, 이를 주도할 전문 인력의 확보와 역량 강화가 조직의 보안 수준을 높인다.
4. 전문 인력이 곧 생존력
정보보호는 단지 위험을 막는 기능에 머물지 않는다.
기업의 신뢰도, 평판, 지속 가능성을 좌우하는 핵심 경쟁 요소가 되었다.
최근 글로벌 기업들은 보안 전문가를 지속적으로 영입하고, 보안 기업을 인수하면서까지 차별화를 꾀하고 있다.
이는 인력에 대한 투자가 단기적인 리스크 대응을 넘어서, 장기적인 경쟁력 확보 전략임을 방증한다.
우수한 보안 인력을 확보하고 유지하는 것은 미래를 준비하는 일이며, 이는 곧 기업의 생존력으로 직결된다.
관련 부처에서도 사회에 필요한 전문 인력 확보를 위한 속도를 더 내야 할 것이다.
5. 인력의 양이 보안의 '깊이'를 만든다.
정보보호는 단순히 보안시스템이 있느냐 없느냐의 문제가 아니라, 얼마나 깊이 있게(높은 수준으로) 방어할 수 있느냐의 문제다.
인력이 충분하면 각기 다른 영역—예를 들어 네트워크 보안, 애플리케이션 보안, 클라우드 보안, 데이터 거버넌스 등—에 전문 인력을 배치해 다층 방어 체계를 구축할 수 있다.
이는 하나의 사고나 침해가 발생했을 때, 보다 정밀한 탐지와 신속한 분석, 그리고 사후 대응까지 이어지는 전문성과 체계성을 보장한다.
더 많은 인력은 곧 보안의 깊이(Depth)와 지속 가능성을 의미한다.
규모와 중요도에 따라 적절한 전문 인력이 확보된 조직은 단순히 외부 솔루션에만 의존하지 않고, 내부에서 이슈를 심도있게 진단하고 해결할 수 있는 자생력을 갖출 수 있다.
인력 투자가 최고의 비즈니스 전략이라는 인식!
정보보호는 기술과 인력의 균형 위에 선 과학이다.
그러나 오늘날 대부분의 보안 투자는 여전히 기술에 치우쳐 있고, 이는 때때로 ‘보안 착시현상’을 일으킨다.
겉으로는 완비된 보안 체계처럼 보이지만, 실제로는 이를 충분한 수준으로 유지·운영할 인력이 없어 사고에 무력해지는 경우가 적지 않다.
진정한 보안은 사람 중심의 전략에서 시작되며, 숙련된 인재를 중심으로 설계되어야 한다.
조직의 보안 역량을 강화하고자 한다면, 시스템보다 먼저 사람에게 투자하라.
이는 가장 확실하고, 가장 오래가는 비즈니스 전략이 될 것이다.
[글. 보안전략연구소 박나룡 소장 / isssi.org]
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
!["AI 활용 무궁무진…'어떻게 쓰느냐'가 미래 경쟁력 좌우할 것" [서울포럼 2025]](https://newsimg.sedaily.com/2025/05/28/2GSZ30X23E_1.jpg)
![[AI와 디지털전환]이제는 '연결'과 '데이터'가 핵심이다](https://img.etnews.com/news/article/2025/05/27/news-p.v1.20250527.52d5b8bb377a410abe523f0bac6cd7f1_P3.jpg)
